Lavabit-Gründer sollte private SSL-Schlüssel aushändigen

Am 16. Juli hat ein Gericht im US-Bundesstaat Virginia auf Verlangen der US-Regierung einen Beschluss ausgestellt, der Lavabit-Gründer Ladar Levison auffordert, die privaten SSL-Schlüssel für seinen verschlüsselten E-Mail-Service Lavabit übergeben. Damit hätte die Regierung Zugriff auf die Mailkonten von 400.000 Kunden erhalten.

Die jetzt veröffentlichten Gerichtsbeschlüsse verdeutlichen die Situation, in der der Lavabit-Betreiber sich entschloss, seinen Dienst zu schließen und die vorhandenen Daten zu vernichten.

Dem Gerichtsbeschluss auf Herausgabe der SSL-Schlüssel vorausgegangen war am 10. Juni ein versiegelter Beschluss, Levison solle der Installation eines durch den Patriot Act legitimierten Überwachungsgeräts zustimmen, damit die Regierung Zugriff auf die Daten eines bestimmten E-Mail-Kontos nehmen konnte. Dieses Konto gehörte mit großer Wahrscheinlichkeit Edward Snowden. Der Name ist im jetzt freigegebenen Beschluss zwar geschwärzt, die Anschuldigungen lauten aber auf Spionagetätigkeit und Diebstahl von Regierungseigentum. Die Regierung wollte zunächst lediglich die Metadaten dieses Kontos überwachen. Diese umfassen unter anderem Absender und Adressaten der ein- und ausgehenden E-Mails, IP-Adressen sowie Wohnadressen und erfordert nicht einmal einen begründeten Anfangsverdacht. Levison stimmte der „Pen Order“ zur Installation des Geräts zu, klärte die Regierungsvertreter aber zugleich darüber auf, dass wegen der Verschlüsselung des Dienstes auf diesem Weg keinerlei Informationen zu erlangen seien. Im Folgenden erklärte er sich jedoch außerstande, die Verschlüsselung zu umgehen.

Der Beschluss vom 16. Juli zur Herausgabe aller Schlüssel, die erforderlich sind, um Zugriff auf das gewünschte Konto zu erlangen, sah eine Hausdurchsuchung bei Lavabit vor, um den Beschluss umzusetzen. Der Einwand von Levison an die Richter, die Offenlegung der Daten dieses einen Kontos bedinge die Offenlegung aller Konten, die der Dienst verwaltet, wurde mit dem Argument abgeschmettert, es sei die alleinige Schuld von Levison, dass ein Schlüssel Zugriff auf alle Konten gewähre, er habe das bewusst so eingerichtet. Diese Tatsache stelle ihn nicht anders als andere Dienste, die einfacher auf ihre Daten Zugriff nehmen könnten.

Da Levison der Herausgabe der privaten SSL-Schlüssel nicht nachkam, setzte am 1. August ein Richter eine Frist von 24 Stunden für die Herausgabe der Schlüssel mit dem Hinweis, das FBI habe versichert, es sei lediglich an dem genannten Konto interessiert und nicht am E-Mail-Verkehr der anderen Lavabit-Kunden. In einem Versuch, die Situation weiter auszusitzen, übermittelte Levison insgesamt fünf SSL-Schlüssel – allerdings ausgedruckt über elf Seiten in einer Schriftgröße von vier Punkten. Die Regierung fand dies „unleserlich“ und nicht hilfreich. Ein Regierungsbeamter sagte dazu, um die ausgehändigten Schlüssel benutzen zu können, müsse ein Mitarbeiter alle 2.560 Zeichen manuell eingeben, was sehr fehleranfällig sei. Der Forderung nach einer elektronischen Übermittlung der Schlüssel wurde am 5. August mit der Androhung von 5.000 US-Dollar Strafe pro weiterem Tag der Weigerung Nachdruck verliehen. Wenige Tage später, am 8. August, schloss Levison sein Unternehmen und zerstörte sämtliche Daten. Da er über die Vorfälle nicht sprechen durfte, gab die Webseite von Lavabit damals nur einen vagen Hinweis: „Ich wurde vor eine schwierige Entscheidung gestellt: „Entweder werde ich Komplize bei Verbrechen gegen das amerikanische Volk oder ich gebe fast zehn Jahre harter Arbeit auf und schließe Lavabit. Nach reiflicher Überlegung habe ich mich entschieden, den Dienst vorerst auszusetzen.“