Die Bundesregierung will im Rahmen ihrer EU-Ratspräsidentschaft eine Erklärung zur Aushebelung verschlüsselter Kommunikation im Internet erreichen. Die gemeinsame Linie aller Mitgliedstaaten soll Diensteanbieter unter Druck setzen, entsprechende Lösungen einzuführen. Einem gestern von der britischen Bürgerrechtsorganisation Statewatch veröffentlichten Ratsdokument zufolge sollen die einzelnen Regierungen bis zum 7. Oktober ihre Position an eine Mailadresse des deutschen Innenministeriums schicken. Anschließend will der Ständige Ausschuss für die operative Zusammenarbeit im Bereich der inneren Sicherheit (COSI) über die weitere Vorgehensweise entscheiden. Dort stimmen sich die nationalen Innenministerien untereinander ab.
„Rechtmäßiger Zugang“ zu verschlüsselten Daten
In der Mitteilung vom 18. September betont der deutsche Ratsvorsitz zwar den Nutzen von Verschlüsselung. Das für Justiz und Inneres in der EU zuständige Bundesinnenministerium fordert darin aber auch ein „angemessenes Gleichgewicht zwischen dem Schutz der Privatsphäre, dem Schutz des geistigen Eigentums und dem rechtmäßigen Zugang der Strafverfolgungs- und Justizbehörden“. Als Bereiche, in denen Behörden die verschlüsselten Datenströme ausgeleitet bekommen sollen, zählen Terrorismus, organisierte Kriminalität und Cyberkriminalität.
Das von deutschen Behörden vorbereitete Papier ist mit der Europäischen Kommission abgesprochen. Denn ebenfalls am 18. September haben die Kommissionsdienststellen in einem Dokument mögliche Lösungen für den Zugang zu verschlüsselten Daten beschrieben. Im Mittelpunkt standen dabei Ermittlungen zum sexuellen Missbrauch von Kindern. Die Brüsseler AutorInnen weisen darauf hin, dass es sich dabei „unter keinen Umständen“ um eine offizielle Stellungnahme handelt. Auch die Generaldirektion der Kommission hatte aber vor zwei Wochen auf 28 Seiten Möglichkeiten zur Entschlüsselung aufgezählt.
Ähnliches Vorgehen zur Herausgabe „elektronischer Beweismittel“
Noch gibt es also keinen Legislativvorschlag zur Entschlüsselung. Das könnte sich nach einer Erklärung aller Mitgliedstaaten ändern. Darin könnte der Rat die Kommission auffordern, eine Richtlinie oder Verordnung auszuarbeiten, mit der Internetfirmen, wenn sie Dienste in der Europäischen Union anbieten, zur Kooperation gezwungen werden. Diese würde dann im Trilog mit Parlament und Kommission beraten. Derzeit wollen die Mitgliedstaaten eine solche Einigung im Bereich der Herausgabe „elektronischer Beweismittel“ erreichen. Ein zusätzliches Abkommen zu „e-Evidence“ verhandelt die Kommission außerdem mit den USA.
Seit der slowakischen Ratspräsidentschaft 2016 arbeiten die Innen- und JustizministerInnen der Mitgliedstaaten an der Entschlüsselung digitaler Inhalte in einem Vierstufen-Modell. Verschiedene Kommissionsdienststellen haben daraufhin einen Prozess mit verschiedenen Agenturen und Strafverfolgungsbehörden der Mitgliedstaaten begonnen, an dem für Deutschland das Bundeskriminalamt teilnahm. Auch der Anti-Terrorismuskoordinator hat sich mit Verfahren zur Dekryptierung befasst. Europol richtete anschließend eine „Entschlüsselungsplattform“ ein, die nationalen Behörden Hilfe beim Auslesen verschlüsselter Datenträger anbietet.
Five Eyes gegen Facebook
Jetzt soll die Internetindustrie verstärkt in die Verantwortung genommen werden. Damit reagieren der Rat und die Kommission auf eine Ankündigung von Facebook zur Implementierung von Ende-zu-Ende-Verschlüsselungen in Facebook-Messengern. Dies würde etwa bei der Aufdeckung von Kindesmissbrauch „zu einem beträchtlichen Verlust an elektronischen Beweisen“ führen. Ähnlich hatte sich im Frühjahr vergangenen Jahres auch Bundesinnenminister Horst Seehofer geäußert.
In einem offenen Brief reagierten einige Monate später auch die sogenannten Five Eyes, nachdem Konzernchef Mark Zuckerberg mehr Verschlüsselung in Facebook-Chats angekündigt hatte. Die fünf Regierungen aus den USA, Kanada, Großbritannien, Australien und Neuseeland forderten das Technologieunternehmen auf, Polizeien und Geheimdiensten auf Anforderung den Zugang zu verschlüsselten Daten „in einem lesbaren und nutzbaren Format“ zu ermöglichen. Die Five Eyes sind dafür bekannt, dass ihre Auslandsgeheimdienste eng untereinander kooperieren. In dem Schreiben an Facebook nennen die Regierungen jedoch den Schutz vor Kindesmissbrauch als Argument gegen Verschlüsselung. Dieser liegt in der Zuständigkeit der Strafverfolgungsbehörden, nicht der Geheimdienste.
Verbrecher können Dateien ja auch per 7zip verschlüsseln und dann als Anhang über den Facebook Messenger verschicken. Zum Beispiel. Dann würde also ein allgemeines Verschlüsselungsverbot nicht viel bringen. Am Ende gäbe es dann nur einen Überwachungsstaat der die Masse aushorcht während kriminelle mit ein paar OpenSource tools weiterhin sicher verschlüsselt kommunizieren können. Ich halte diese ganze Debatte daher doch schon für ziemlich ausgemachten Unsinn.
In Zukunft wird einfach alles geblockt und gefiltert was nicht lesbar/überprüfbar ist. Wir haben schließlich nichts zu verbergen. (Und wehe wenn doch!)
Also komplexitätstheoretisch sehe ich das Problem, einen Filter zu bauen, der erkennt, was er nicht erkennen kann.
Sonst sieht ja die Lösung so aus: Alles was nicht von der VG-XY ist, wird geblockt. Ich vermute, das ist auch das unausgesprochene Ziel. Aber meinten Sie ihren Beitrag so?
Nicht vergessen, dass die Zielgruppe idR sowohl den Server als auch das Endbenutzerprogramm vollstaendig kontrollieren. Auf einem smartphone ist das Erkennen von Sprache nicht problematisch, wenn man ohnehin eine komplette Spracheingabe zur Verfuegung hat. Die Erkennung von Bild- und Videoformaten ist nicht problematisch, wenn die entsprechenden Dienste ohnehin fuer entsprechende Applikationen verfuegbar sind, etc, pp. Die gesamte interaktive „Intelligenz“ des Endgeraetes kann gegen die Benutzer als „Filterelement“ verwendet, dadurch gewonnene Informationen in Metadaten als Teil der Kommunikation mitversendet werden.
Da treffen sich dann auch die Ueberwachungsansprueche des Staates mit den umfassenden Nutzungs- und Monopolanspruechen der grossen Plattformen.
Also nix mit verschlüsseltem Postfach mehr…
Es wird mindestens die besonders sichere Kopie des Anbieters geben.
„So gut wie möglich verschlüsselt“ next?
Womit soll man in der EU jetzt werben? „Wir können nichts wirklich, aber Privatsphäre eben auch nicht?“
Stehen dieses Jahr die Planeten in einer besonderen Konstelation, dass so viel Mist passiert?
Ich kann nur hoffen, dass das gekippt wird.
Bei „angemessenes Gleichgewicht zwischen dem Schutz der Privatsphäre, dem Schutz des geistigen Eigentums und dem rechtmäßigen Zugang der Strafverfolgungs- und Justizbehörden“ ist dann auch sofort klar, wo die Reise hingeht: Ueberpruefung aller Inhalt auf moegliche Copyright-Verstoesse.
Was sind fuer Politiker schon Buergerrechte gegen die Interessen der Content-Lobby…
Die Überprüfung können rechtssicher dann durchführen … konzerngeschmiedete Filter!
Mit AGB, Datenauswertung, freier Markt eben. Ach so und zahlen tut ihr dafür auch noch.
Noch besser: „angemessenes Gleichgewicht zwischen dem Schutz der Privatsphäre, dem Schutz des geistigen Eigentums und dem rechtmäßigen Zugang der Strafverfolgungs- und Justizbehörden“, und dann in Verbindung mit einem entsprechenden Leistungsschutzrecht globale Kommunikationsfilter zur Durchsetzung desselben vorschreiben, natuerlich analog Uploadfilter nur indirekt.
Meinungsfreiheit: jeder kann sagen, was er will, aber es bekommt keiner mehr zu sehen 8)
Es ändert nichts am Thema, aber die Überschrift „Bundesinnenministerium plant EU-Erklärung gegen Verschlüsselung“ ist nicht korrekt.
Niemand hat etwas gegen Verschlüsselung einzuwenden; es geht darum bestimmten Stellen die Möglichkeit der Entschlüsselung einzuräumen.
E2E (Ende zu Ende) hat als Grundvoraussetzung im Design dass die Entschlüsselung nur den beiden Enden möglich ist, und niemandem sonst, auch keinen“bestimmte Stellen“. Was hier passiert wäre entweder nicht effektiv (wenn es nur gegen die „Großen“ wie Whatsapp gerichtet wäre) oder wäre ein Angriff auf die Informations- und Wissensfreiheit (wenn nämlich die gesamte Verschlüsselungstechnologie angegriffen werden soll, und z.B. freie Software dazu verboten wird).
Kampf gegen sichere IT statt Kampf gegen Kindesmissbrauch.
Eine widerliche Bande.
„angemessenes Gleichgewicht zwischen dem Schutz der Privatsphäre, dem Schutz des geistigen Eigentums und dem rechtmäßigen Zugang der Strafverfolgungs- und Justizbehörden“
Dass Schutz des geistigen Eigentums jetzt schon genannt wird zeigt deutlich in welche Richtung der digitale Hase am Ende rennen soll. Vorerst werden wir die nächsten Monate aber eher wieder alles mögliche zu KiPo und Terrorismus zu hören bekommen.
Zudem sei angemerkt, dass „geistiges Eigentum“ schon ein Kampbegriff der Content-Lobby ist, der letztlich der gesamten menschlichen Kulturgeschichte entgegen steht. Aber die Menschheit hat nunmal prinzipiell gegenueber der Gewinnmaximierung zurueckzutreten, das gilt fuer Wissen, Kultur, Klima, …
Ich mag paranoid sein, bin aber dann doch nun mittlerweile ganz glücklich, dass ich auf End-To-End Postfach & Tails für den Rechner umgestiegen bin.
Wobei das Gift eben in der Gesellschaft steckt.
Z.B. Geschäftskontakte auch Konsument-Geschäft-kontakte u.a. werden wohl nicht immer so weit gehen, sich und andere zu schützen. Oftmals kann man froh sein, wenn zumindest TLS angeboten wird und somit nicht alles überall rumfliegt. Mal abgesehen von der Frage wie weit oder tief das dann schön ist.
Es wird ja die Kommunikation der Menschen untereinander angegriffen. Damit gibt es keine verlässliche Reichweite mehr. Bei mehr Überwachung, weniger Transparenz, und wiederkehrendem Mißbrauch, kann man sich nur noch gegenseitig indirekt denunzieren, in dem man überhaupt kommuniziert. Ergo ist hier das Ende eigentlich schon erreicht. Die sinnvolle Reichweite und Interaktionsfähigkeit auf Distanz ist abgeschafft, man kann sich wieder mit den Locals im Wald treffen, solange es noch welchen gibt.
Etwas weiter und wir haben die Ära der Tauschdiskette wieder zurück, weil die Kryptoschlüssel dann auch nirgendswo mehr aus dem Netz auf entfernt vertrauenswürdige Weise geholt werden können. Man behält sich ja/dann Verkehrsumleitung und Manipulation vor, sowie Datenstromkontrolle bei großen Anbietern, will aber natürlich nicht verpflichtet sein, z.B in der Software eines Anbieters genutzte Sicherheitslücken an diesen melden zu müssen.
Ich möchte an der Stelle kurz darauf hinweisen, das klassische Kommunikationssysteme (Telephonnetz, Mobilfunk) immer schon per Gesetz Abhören ermöglichen mussten und deswegen entweder nicht E2E verschlüsselt sind, oder Schlüsselweitergabe existiert. Das Messenger daran angepasst werden war zu erwarten – und Systeme wie WhatsApp sind dafür vorbereitet.
Ich möchte darauf hinweisen, dass z.B. Geschäftsbeziehungen, aber auch moderne Sachen wie Linuxentwicklung u.a. daher nicht im Wesentlichen über Telefon abgewickelt werden.
Dann gibt es da noch so eine Entwicklung mit Nextcloud oder Secudos oder FTAPI etc….
Bei internationalisierung von Kontakten, nicht nur geschäftlichen Kontakten, ist es nicht wirkich möglich, diesen Weg zu gehen. Das wird schlimmer als „des Teufels Küche“. Die andere Seite ist ja, dass Konzerne sichere Verbindungen anwenden können, und an der Überwachung aller gleichzeitig beteiligt werden. Dieses strategische Ungleichgewicht, verhindert nicht nur Demokratie im Ansatz, sondern höchstvermutlich auch die Menschheit insgesamt. Ich vermute dass das im Wesentlichen das konzeptionelle Ende ist. Insofern, als dass Warten auf Zerbrechen der nicht mehr auftrennbaren bösartigen Systeme, die effizientesten verbleibenden Interaktionsmöglichkeiten sein werden.
Ja, das war aus der Reihe „Finde eine Formulierung für: ‚ich bin mit der Gesamtsituation unzufrieden!'“ heute Marvin.B aus OFF – „OFF“ habe ich das richtig ausgesprochen?
Die „klassische Kommunikation“ war eben so. Als man diese Netze aufgebaut hat war Verschlüsselung noch kein großes Thema. Wenn man da abhören wollte musste einer mit Kopfhörern und Notizzettel in der Schaltzentrale sitzen und zuhören, oder ein Tonbandgerät musste mitlaufen – Massenüberwachung war also gar nicht so einfach möglich, und man hat schon aus Kosten/Effizienzgründen nicht beliebig alles und jeden überwacht.
Heute ist die totale Massenüberwachung aber technisch problemlos möglich – ich finde hier sollte man dann nicht auch noch fordern, dass die moderne Technik sich dem Stand der Vergangenheit anpassen soll, sondern besser mit der Zeit gehen und sich an die Existenz von E2E anpassen und gewöhnen. Denn auch mit einem plumpen Verbot wird man das nicht mehr los.