CINIPAC gehört zu den größten Webhostern, die sich auf anonymes Webhosting spezialisiert haben. Anonymer Webspace wird beispielsweise immer dann benötigt, wenn man Inhalte veröffentlicht, die den Autor oder dessen Angehörige/Freunde/Kollegen gefährden würden. Ein prominentes Beispiel ist die Whistleblowing-Website “Wikileaks”.
Heute sprach ich mit Sebastian Kessler, CEO bei CINIPAC, über die Firma selbst und anonymes Webhosting, aber auch die Auswirkungen von ACTA für die gesamte Hosting-Branche.
Leetperator (Leet): Hallo Sebastian, danke, dass Du dir die Zeit für das Interview genommen hast!
Sebastian Kessler (Kessler): Kein Problem.
Leet: Bitte beschreibe als kleine Einleitung kurz deine Firma.
Kessler: Wir sind ein Hostingunternehmen, das seit 2008 verschiedene Lösungen für Kunden aus dem Privacy-Bereich anbietet. Unser höchstes Ziel ist dabei die Anonymität und Sicherheit unserer Kunden. Unsere Zielgruppe sind vor allem die Kunden, welche Whistleblowing-Portale betreiben oder ihr Recht auf Meinungsfreiheit ungehindert ausleben wollen.
Leet: Unter euren Kunden sind sicherlich auch solche, die es mit der Legalität nicht so genau nehmen. Wie steht ihr dazu, dass ihr eventuell Kriminellen eine Plattform bietet?
Kessler: Anonymität ist immer ein zweischneidiges Schwert. Natürlich ist es möglich, solche Dienste zu “missbrauchen”. In einer Welt, in der immer mehr die persönlichen Freiheiten der Menschen angegriffen und auch unterdrückt werden, ist Anonymität aus unserer Sicht ein großer Vorteil. Nehmen wir Bargeld als Beispiel – Schwarzarbeit wird fast immer bar bezahlt, ebenso Drogen- und sogar Waffengeschäfte. Dennoch würde niemand die Abschaffung des Bargelds fordern.
Leet: Geht eurer Verständnis von Meinungsfreiheit also so weit, dass ihr selbst die radikalsten Ideen unterstützt?
Kessler: Das ist ein schwieriges Thema. Wir haben grundsätzlich kein Problem mit allen Meinungen. Das beinhaltet natürlich auch Meinungen oder Aussagen, die wir selber nicht unbedingt unterstützen würden - getreu unserem Motto “I disapprove of what you say, but I will defend to the death your right to say it”. Natürlich hat auch unser Verständnis von Meinungsfreiheit seine Grenzen, wenn es beispielsweise um Mordaufrufen oder ähnlichen Aussagen handelt.
Leet: Was unternehmt ihr dabei, um eure Kunden zu schützen? Beispielsweise bei Whistleblowing-Projekten, welche natürlich einen besonders hohen Schutzfaktor benötigen?
Kessler: Das ist situations- und projektabhängig. Whisteblowerprojekte z.B. laufen bei uns über ein “Duallocation”-Verfahren. Dabei stehen der Webserver und der eigentliche Datenserver an unterschiedlichen Standorten. So ist bei einer Beschlagnahmung des Servers nur der Tunnel offline und innerhalb kurzer Zeit ersetzbar. Der eigentliche Datenserver ist nicht in Gefahr. Mit der Fertigstellung des IMMI, der aktuell schon sehr weit fortgeschritten ist, werden wir alle diesbezüglichen Projekte sicher an unserem neuen Standort in Island unterbringen können. Die Vorbereitungen dafür laufen schon und sobald der IMMI komplett umgesetzt ist, können wir vor Ort die komplette Palette an Diensten anbieten. Webspace, VPS, dedizierte Server oder auch Colocation nach Kundenwunsch. Unser Fokus für 2012 und die Zukunft liegt ganz klar in Island. Dank sehr guter Kontakte zu den örtlichen Behörden und den Initiatoren des IMMI können wir sehr gut planen. Abgesehen davon sind alle unsere Kunden-Server vollständig verschlüsselt.
Leet: IMMI?
Kessler: IMMI ist die Abkürzung für “Island Modern Media Initiative”, ein Gesetz, was Island zu einem sicheren “Datenhafen” machen soll. Weitere Details sind unter http://www.immi.is/ verfügbar. IMMI ist allerdings noch nicht umgesetzt.
Leet: Wann ist mit einer Umsetzung zu rechnen? Wird euer neuer Standort dann sofort verfügbar sein?
Kessler: Wir hoffen das dies noch 2012 der Fall sein wird. Es fehlen noch Nachbesserungen im Bereich des Libel Tourism, also dem Schutz vor Klagen aus dem Ausland und auch der Schutz vor aufwendigen Prozessen muss noch überarbeitet werden. Alle anderen Punkte wie z.B. der Schutz von Whistleblowern sind schon umgesetzt oder in der neuen Verfassung Islands enthalten. Allerdings arbeitet auch in einem kleinen Land wie Island die Politik recht langsam – wenn auch nicht so langsam wie z.B. in Deutschland
Leet: Wo wir schon bei “Klagen aus dem Ausland” sind: Was passiert, wenn ihr von Behörden (z.B. aus Deutschland) dazu aufgefordert werden, eine bestimmte Website zu entfernen und/oder die Kundendaten preiszugeben?
Kessler: Grundsätzlich sind wir nicht verpflichtet auf solche Anfragen zu reagieren, da wir dort keinen Firmensitz haben. Anders sieht es natürlich aus, wenn die lokalen Behörden des Serverstandorts uns auffordern die Seite zu entfernen, was auch gelegentlich vorkommt. Dann verschieben wir den Kunden innerhalb kürzester zeit an einen anderen Standort, womit fast immer der Fall abgeschlossen ist. Bei Kundendaten lehnen wir eine Herausgabe ab, ein Gericht in Deutschland z.B. kann uns dazu auch nicht zwingen. Zumal wir die Daten unserer Kunden sowieso nicht überprüfen und daher in den meisten Fällen die Identität unserer Kunden auch nicht kennen. Es gibt natürlich immer wieder kritische Stimmen die sagen: “aber jeder reagiert bei Anfragen”, aber auch diese können wir beruhigen. Wir erhalten 2-3 solcher Anfragen im Monat und haben alle abgewiesen, wie auch einige Seitenbetreiber bestätigen können.
Leet: Grundsätzlich haften Provider ja nicht für die Inhalte der Kunden, bis die Provider Kenntnis von den Inhalten bekommen. Dies soll sich mit ACTA ja ändern. Wie wird sich dies auf euch und die gesamte Webhoster-Branche auswirken?
Kessler: ACTA ist ein schwieriger Punkt. Wir beobachten solche Gesetzesvorhaben immer mit Argwohn. ACTA selbst ist im Gegensatz zu SOPA/PIPA noch recht “auslegbar”. In den Punkten Providerhaftung wird eine Haftung nur stark empfohlen, aber nicht zwingend gefordert. Aber auch soetwas ist häufig, wie Markus Beckedahl von Netzpolitik auch schon erwähnte, für Politiker die Gelegenheit zu sagen “wir müssen aber…”. Eine Haftung würde natürlich dem gesamten Sektor, und dazu zählen auch “normale” ISP wie z.B. die Telefonica oder T-Com, unserer Ansicht nach Probleme bereiten. Eine Überwachung sämtlicher Kunden ist schlichtweg nicht möglich, sehr kostspielig und würde auch in vielen Ländern der EU gegen die Verfassung verstoßen. So wurde beispielsweise die Vorratsdatenspeicherung in Rumänien durch den obersten Gerichtshof gekippt.
Leet: Könnte ACTA im extremfall anonymes Webhosting nicht komplett verbieten? So dass z.B. jeder Webhosting-Kunde sich vor Bereitstellung des Webspace beispielsweise über Post-Ident ausweisen muss? Kaum ein Hoster würde die komplette Haftung vom Kunden auf sich selbst übertragen…
Kessler: Bei vielen Anbietern sind personenbezogene Abfragen schon Realität. ACTA könnte allerdings für Unternehmen, die keine Kundendaten verlangen in sofern Probleme bereiten, als dass ACTA eine höhere Kontrolle fordert und als erstes währe natürlich da die Kontrolle der Nutzerdaten. Das würde dann die gesamte EU, die Schweiz, die USA und noch einige Länder mehr treffen. Dort währen “Privacy”-Hoster oder ISP unter Umständen nicht mehr möglich.
Leet: Könnten solche Hoster dann nur nicht mehr in den USA, der Schweiz und EU nicht mehr ansässig sein oder wäre anonymes Hosting dann verboten, egal welche Inhalte genau gehostet werden?
Kessler: Das betrifft meist in erster Linie den Firmenstandort. Natürlich wäre es möglich Gesetze lokal so zu gestalten, dass dies für alle Inhalte des betreffenden Servers im Land gilt.
Leet: Sebastian, danke für das Interview. Möchtest Du sonst noch etwas “loswerden”?
Kessler: Wenn es noch Fragen zu den einzelnen Punkten gibt, können die Leser Deines Blogs uns gerne auch direkt kontaktieren. Abschließend möchte ich noch sagen, dass wir auch in Zukunft dafür kämpfen werden unseren Kunden die höchstmögliche Sicherheit zu bieten und in diesem Jahr werden wir einen großen “Transparenzschub” nach vorne machen. Details dazu werden in Kürze in unserem Blog inside.cinipac.com folgen.
Update – Leet: Eine Frage habe ich noch von einem Leser gestellt bekommen, die ich an Dich weiterleiten möchte. Bald ist es ziemlich genau ein Jahr her, als CINIPAC quasi von der Bildfläche verschwand. Support-Tickets wurde nicht mehr bearbeitet, DNS-Änderungen, die damals noch durch den Support geändert werden mussten, wurden überhaupt nicht oder nur mit großer Verzögerung bearbeitet. Gegen Juni 2011 wurde die Situation mit dem Relaunch eurer Website dann schlagartig besser. Möchtest du dazu Stellung nehmen?
Kessler: Gerne. Wir hatten das auch schon mehrfach im Gulli:Board erwähnt und in einer Rundmail an unsere Kunden. Aus privaten Gründen sind viele Mitglieder des Teams “weggebrochen” und daher kam es zu diesen Vorfällen. Mit dem Relaunch hat sich das Team neu formiert und seitdem bieten wir ja auch deutlich bessere Supportzeiten an (die offiziellen Bürozeiten sind Mo-Fr. 10-20 Uhr / Sa-So 14-18 Uhr) GMT+1) und auch 24/7 Notfallsupport für Kunden mit gesonderten Support-Vereinbarungen.