IT-Sicherheit

Von jahrelangen Debatten über Hintertüren unbeeindruckt

Längst Totgesagte tauchen wieder auf: Der verpflichtende Einbau von Hintertüren bei Verschlüsselung ist zurück in der politischen Diskussion. Mit einem Papier des EU-Ministerrats erhöht sich der Druck auf die Anbieter von verschlüsselter Kommunikation. Ein Kommentar zu den Folgen verpflichtender Hintertüren.

mobiltelefon-nutzerin
Verschlüsselte Kommunikationsanwendungen hat heute so gut wie jeder auf dem Mobiltelefon. CC-BY-NC 2.0 Matthew Macy

Der EU-Ministerrat hat eine Resolution mit dem Titel „Security through encryption and security despite encryption“ („Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“, pdf) vorbereitet: Künftig soll jedem Anbieter sicherer Kommunikationslösungen die Pflicht auferlegt werden, eine technische Lösung für den Zugang für staatliche Stellen einzurichten. Behörden bekämen damit eine Art „Nachschlüssel“, mit dem Ende-zu-Ende-verschlüsselte Kommunikation lesbar gemacht würde. Denn anders als bei allen anderen Formen digitaler Kommunikation steht einem staatlichen Mitlauschen bei solchen Anbietern eine technische Lösung im Wege, die so gebaut ist, dass Inhalte ohne Unterbrechung der Verschlüsselung von einem Kommunikationspartner zum anderen geleitet werden. Während kommerzielle Kommunikationsanbieter technische Schnittstellen zum Abhören einbauen müssen, unterbindet hier die Art der Technik das Mitlauschen.

Wer beispielsweise über WhatsApp, Signal, Telegram oder Threema kommuniziert und darüber seine Texte, Bilder und Filme versendet, der stellt eine solche verschlüsselte Verbindung her. Technisch sind die Umsetzungen zwar keineswegs identisch, aber eines verbindet sie: Nur am jeweiligen Ende der Verbindung, also am eigenen und am Gerät des Kommunikationspartners, kann der Inhalt unverschlüsselt gelesen werden.

Die geplante Verpflichtung, auch Dritten einen technischen Zugang zu verschaffen, wäre ein Kotau gegenüber den ewig und überall Zugang fordernden Geheimdiensten und würde gleichzeitig für alle Anbieter einen ganz erheblichen Aufwand bei der Umsetzung bedeuten. Letztlich würde aus der Ende-zu-Ende-Verschlüsselung eine löchrige Verschlüsselung mit Hintertür. Natürlich könnten nur den Anbietern solche Pflichten auferlegt werden, nicht jedoch der Mathematik dahinter. Denn Verschlüsselung ist letztlich Mathematik im Verein mit einer durchdachten Implementierung. Und beides ist kein Geheimwissen, sondern öffentlich verfügbar.

Der Spagat, der hier mal wieder versucht wird, liegt also nicht darin, Ende-zu-Ende-Verschlüsselung an sich zu verbieten – denn Unmögliches vermag niemand –, sondern vielmehr darin, durch eine Verpflichtung der Anbieter einen wichtigen Aspekt der IT-Sicherheit zu konterkarieren, auf die man aber angesichts einer schon langjährigen IT-Sicherheitskrise eigentlich nicht verzichten kann. Viele technische, politische und wirtschaftliche Argumente, die gegen absichtlich eingebaute Hintertüren sprechen, liegen seit Jahren auf dem Tisch: Es ist und bleibt fahrlässig und gefährlich, jede einzelne Verbindung via Ende-zu-Ende-Verschlüsselung zu unterminieren. Denn „Nachschlüssel“ öffnen Türen, wo technisch keine sein sollen. Das lädt zum Missbrauch gradezu ein.

Schon vor Jahrzehnten im Rahmen des politischen Streits im sogenannten ersten „Crypto War“ wurden diese Argumente in vielen Staaten innerhalb und außerhalb Europas vergleichsweise sachlich erwogen. Und sie führten in fast allen zivilisierten Ländern – so auch in Deutschland – dazu, dass der verpflichtende Einbau von Hintertüren aufgegeben wurde, übrigens im Interesse der eigenen Wirtschaft. Die Bürgerrechte oder die Frage danach, wo ein Kern der privaten Lebensgestaltung eines Menschen auch bei digitaler Kommunikation unangetastet bleiben darf, waren schon immer zweitrangig, wenn es um die Aushebelung der Verschlüsselung und den Zugang staatlicher Stellen ging.

Von jahrelangen Debatten unbeleckt

Doch von den jahrelangen Debatten um vor allem technische Fragen ist im EU-Ministerrat offenbar wenig angekommen. Dass die absichtliche Schwächung von Ende-zu-Ende-Verschlüsselung die damit angestrebte Informationssicherheit ad absurdum führt, können oder wollen nur diejenigen nicht anerkennen, die ernsthaft argumentieren, dass jede Form von Kommunikation abhörbar zu sein hat.

Die Meldung des ORF schlägt heute erstaunlich hohe Wellen, wenn man bedenkt, dass diese Idee einer staatlichen Hintertür in Europa bereits seit Jahren wieder diskutiert wird und das aktuelle Papier des Ministerrats eben nur das ist: ein Papier – ohne rechtliche Bindungskraft für irgendwen. Aber wer die Diskussion um das verpflichtende Durchlöchern der Ende-zu-Ende-Verschlüsselung und den Kampf um Verschlüsselung und Anonymität ein paar Jahre verfolgt hat, wird bemerkt haben, wie der Druck auf die Anbieter immer weiter steigt, wie eine politische Extremposition, die lange Zeit nur Kopfschütteln auslöste, nach und nach gesellschaftsfähig wurde. Zwar ist nur eine nicht-bindende Resolution der Anlass der aktuellen Diskussion, doch sie erhöht den Druck auf die EU-Institutionen, die einen Gesetzesprozess in Richtung Verordnung starten können.

kelber statement
Der Bundesdatenschutzbeauftragte Ulrich Kelber reagiert heute auf das EU-Ministerratspapier und spricht sich weiterhin „vehement gegen Hintertüren bei Verschlüsselungen“ aus.

Wenn heute darüber gesprochen wird, wie man staatlicherseits an verschlüsselte Kommunikation gelangen könnte, dann geht es nur mehr um das Wie. Welche Nachteile zwingend in Kauf genommen werden, tritt immer mehr in den Hintergrund. Die Diskussion hat sich von den Folgen einer verpflichtenden Hintertür schon weitgehend losgelöst.

Diese Folgen träfen vor allem Menschen außerhalb Europas. Denn Polizeien und Geheimdienste in allen Staaten Europas unterliegen verschiedenen Formen von Kontrolle. Die kann man im Einzelnen mit Recht kritisieren, aber sie existieren. Doch jenseits von Europa und Nordamerika sieht es düster aus. Ob aber die Anbieter, die einer solchen „Nachschlüssel“-Verpflichtung künftig nachkommen müssten, gegenüber anderen Staaten den technischen Zugang zu verschlüsselter Kommunikation verweigern könnten, ist mindestens fraglich. Wie sollten Anbieter das auch begründen? Sollen sie sich aufschwingen zu Richtern darüber, ob dieser oder jene Geheimdienst gerade noch akzeptabel ist, während dieser oder jener Staatsanwalt ganz klar schon für eine Diktatur arbeitet?

Politisch ein klares Signal

Ob übrigens ein direkter Zusammenhang zwischen der jetzigen Initiative des Ministerrats für den heimlichen staatlichen Zweitschlüssel und den widerwärtigen Gewalttaten vor wenigen Tagen in Wien bestehen, darüber kann man trefflich streiten. Dafür spricht, dass es bereits ein wiederkehrendes politisches Muster ist, nach Terroranschlägen so etwas wie Handlungsfähigkeit oder politische Macht zu demonstrieren und Vorschläge aus der Schublade auf den Tisch zu packen. Dass im konkreten Fall von Wien der Täter den Polizeien und Geheimdiensten ausgiebig bekannt war, macht noch nicht immun dagegen, irgendwas gegen Verschlüsselung zu fordern. Dass man der Ohnmacht bei solchen Taten etwas entgegensetzen will, ist auch verständlich. Bei dem vorliegenden Ministerratspapier ist die Idee allerdings nicht nur unsinnig, sondern gar kontraproduktiv auf längere Sicht. Aber man darf wohl nicht die Augen davor verschließen, dass es gleichwohl politische Zustimmung dafür geben könnte. „Endlich macht mal einer was gegen den Terror“ ruft sich eben einfacher, als sich mit der Idee auseinanderzusetzen, zumal in den technischen Details.

Dagegen spricht allerdings die politische Gesamtsituation: Nach den nun zumindest vorläufig entschiedenen US-Präsidentschaftswahlen und unter einer deutschen Ratspräsidentschaft dürfte das in diesem Bereich federführende Bundesinnenministerium eine politische Wieder-Annäherung im Verhältnis zu den Vereinigten Staaten und den „Five Eyes“ wünschen. Und die „Five Eyes“-Staaten hatten ihren Willen in Bezug auf die Anbieter von verschlüsselten Messengern schon deutlich zum Ausdruck gebracht. Politisch ist das Ministerratspapier ein klares Signal an die kommende US-Regierung. Das Ziel, „Verschlüsselungsstandort Nr. 1“ zu sein, ist wohl hinfällig.

Man sollte jetzt nicht mit den Achseln zucken und denken: Papier hat Geduld, das ist ja noch lange kein Gesetz. Denn das mag zwar stimmen, und das Vorhaben in verpflichtende Regeln zu gießen, ist schon noch eine demokratische Hürde, die erstmal genommen werden muss. Aber wenn wir eines aus anderen netzpolitischen Streitigkeiten in Europa gelernt haben sollten, dann ist es wohl das: Beim Argumentieren und Protestieren darf man nicht warten, bis ein bindender Beschluss vorliegt. Schon gar nicht, wenn man die technisch besseren Argumente hat.

60 Ergänzungen
  1. Ich weiß, Straßenprotest kann nur ein kleiner Teil davon sein, sich dagegen zu wehren. Aber was ist eigentlich aus den entsprechenden Demos geworden?
    Wo sind die „Freiheit statt Angst“ Proteste geblieben? Ich hab das Gefühl, dass da mittlerweile einiges am brodeln ist und die Menschen nur darauf warten. Hoffe ich täusche mich nicht.
    Das Ganze ließe sich sicher auch gut mit den Urheberrechtsthemen verbinden…
    COVID-19 darf keine Ausrede sein weiterhin ruhig zu Hause zu sitzen.

    1. Ganz realistisch: Demos sind den handelnden Politikern voellig egal, wenn ihnen deren Richtung nicht in den Kram passt. Solange der Union keine weiteren Konsequenzen zB im Wahlergebnis zu fuerchten haben, sitzen die das einfach aus, wie die letzten Jahre. Die SPD-Fuehrung hat Waehler diesseits von scheintot ohnehin abgschrieben und macht einfach mit der Union weiter, solange es Posten & Pensionen zu ergattern gibt.

      1. Gerade uebrigens auch sehr schon zu sehen nach der Querdenker-Demo in Leipzig: man komminiziert einfach konsequent eine alternative Realitaet und kommt offensichtlich damit durch. Auch Scheuer und Scholz fahren diesen Kurs seit Jahren, erfolgreich. Die gesamte Autoindustrie in Deutschland macht seit Jahrzehnten nichts anderes.

        Nicht vergessen: Trump war keine Entgleisung, Trump ist das neue normal in diesem System, weil es erfolgreich ist. Und nur die Buerger koennen das wieder aendern, denn sie entscheiden (noch!) ueber diesen Erfolg und das System. Ich bin skeptisch.

    2. Solche Demos wären dringendst notwendig. Und sie wären möglich. Die Israelis im Frühjahr oder meinetwegen auch Alarmstufe Rot machen es ja vor, dass man auch in Corona-Zeiten verantwortungsbewusst demonstrieren kann.
      Auf jeden Fall müssen die Leute auf die Straße. Dass die Protestbekundungen im Internet nicht viel bringen, sollte längst klar sein. Meist verlassen sie ja nicht mal die eigene Filterblase.

      Das Ausmaß an Überwachung und Zensur sowie die Pläne zu noch umfassenderer digitaler Kontrolle sind eine akute Bedrohung für Demokratie und FDGO. Mit der gegenwärtigen EU-Kommission, der deutschen Ratspräsidentschaft, und dem autoritären Führungspersonal von Merkel, Macron, Orban und Co. hat der Erhalt von Freiheitsrechten richtig schlechte Karten. Und auch der neue US-Präsident Biden lässt in dieser Hinsicht alles andere als Gutes erhoffen (nicht, dass sein Vorgänger da besser war). Zu nah ist Biden mit Big Tech, Leuten wie Eric Schmidt, Firmen wie Facebook und Palantir verbandelt. Naomi Klein hat in „Screen New Deal“ gezeigt, wohin die Reise damit geht: In eine rundumüberwachte, kontaktlose, entmenschlichende und undemokratische Gesellschaft. Auch die Digitalisierungs-Visionen der EU-Kommission müssen in diesem Licht betrachtet werden, denn mit von der Leyen, Breton usw. sind dort auch Menschen, denen die Geschäftsinteressen von Big Tech und der Lobbyismus oftmals wichtiger zu sein scheinen, als freie und offene Gesellschaften. Ohnehin muss dieses „Digitalisierung = Fortschritt“-Narrativ hinterfragt werden. Fortschritt für wen und was? Und was bleibt da vielleicht auf der Strecke? Dass es dabei primär nicht um Umweltschutz geht, mit dem das Thema gerne verbunden wird, sollte eigentlich allen längst klar sein.

      Und genau deshalb muss auf der Straße demonstriert und Debatten eingefordert werden. Und zwar von der offenen, freien, progressiven Zivilgesellschaft. Das Thema Grundrechte und Kampf gegen Überwachungsstaat und Demokratieabbau sollte man wirklich nicht rechten bis weithin rechtsoffenen Bewegungen alleine überlassen.

      1. Demos ohne weitere Aktionen und Konsequenzen bringen: nichts. Unsere Politiker haben gelernt, dass sie Empoerung folgenlos aussitzen koennen.

        Solange weite Teile der Bevoelkerung nicht willens sind, ihre in Umfragen durchaus guten Vorstellungen konsequent umsetzen zu wollen, umsetzen zu lassen und umzusetzen, wird sich nichts aendern. Und die ueberzeugt und mobilisiert man mE nicht mit Demos, die haben gelernt, dass sie sich bequem folgenlos empoeren koennen.

  2. Erstaunlich ist, das im aktuellen Vorschlag – wie bei vielen Überwachungsvorschlägen – weder Kosten noch Nutzen diskutiert werden. Und auch keine Alternativen!

    Beim Nutzen ist nicht klar, was denn genau erreicht werden soll, wenn Anbieter (!) auf Nachfrage entschlüsseln können. Eine Vorratsüberwachung wäre erst möglich, wenn Geheimdienste ständig mitlesen könnten. Insbesondere stellt sich die Frage,welche Vorteile Deutschland und andere EU-Länder haben, die den 5 gar nicht angehören. Verlangen wir allen Ernstes Hintertüren, damit Nicht-Eu-Länder uns besser ausspionieren können?

    Bei den Kosten stellt sich die Frage, welche Missbrauchsmöglichkeiten es gibt. Es überrascht schon, wenn wir einerseits die mit Abstand beste 5G-Technologie verbieten, um es ein kleines Risiko gibt, eine ausländische Regierung könnte mithören. Andererseits aber robuste Verschlüsselungen kaputt machen und so ein Rieseneinfallstor für alle Spione schaffen.

    Bei den Alternativen stellt sich mindestens die Frage, warum wir Abhörtrojaner UND Hintertüren brauchen. Gerade hat unsere Regierung den Geheimdiensten erlaubt, Abhörtrojaner zu installieren mit dem Argument, anders sei Whatapp nicht ab zu hören. Und jetzt wird die Verschlüsselung verboten, mit dem Argument, anders könnten die Geheimdienste Whatsapp nicht mithören?

  3. Hinzu kommt: Diejenigen, die z.B. aus kriminellen Gründen wirklich Ende-zu-Ende-verschlüsselt kommunizieren möchten, werden dies natürlich auch in Zukunft tun. Und zwar so, dass man die Verschlüsselung nicht bemerkt. Getroffen werden nur die normalen Bürger.

    Leider unternimmt die EU schon seit langem nicht mal mehr den Versuch, glaubhaft für Rechtsstaatlichkeit und ein modernes Bürgerbild einzustehen.

    @ Netzpolitik.org: Mir fällt in der letzten Zeit auf, dass ich bei all den Hiobsbotschaften kaum noch mitkomme, die ihr veröffentlicht. Jede Woche gibt es eine neue katastrophale Meldung. Allmähliche stumpfe ich ab. Vielleicht wäre es nicht schlecht, wenn es ein Kompendium der Bürgerrechtsverschärfungen der letzten 20 Jahre gäbe. Etwas, was man Skeptikern auch mal weiterleiten kann, so dass sie das ganze Elend auf einen Blick sehen.

      1. Oh, vielen Dank! Das ist wirklich interessant, muss ich mir mal alles von Beginn an durchlesen.

        Jetzt im Nachhinein liest sich mein Kommentar etwas negativ, so ist er aber gar nicht gemeint. Ihr seid ja u.a. Chronisten und erfüllt eure Aufgabe sehr gut. Unser Problem heute ist, dass so viel regiert und verabschiedet wird, dass man mit der Kontrolle nicht mehr hinterherkommt. Die dritte und die vierte Gewalt werden einfach mit Masse überwältigt.

        1. Hi Constanze,
          der Bericht „Chronik des Überwachungsstaates“ endet am 24. August 2017!?
          Meinst Du nicht auch da mal langsam was aktualisiert erden müsste??????

          1. Das gehört eigentlich in einen Wikipedia-Artikel „Ausweitung von Überwachungsgefugnissen des Staates seit Erlass des GG“!

    1. „die ihr veröffentlicht. Jede Woche “ – na, ja hier hat netzpolitik.org dir ein schönes, unbeschwertes Wochenende bereitet; ging die Diskussion ja schon am Freitag los.

  4. Entweder haben die langsam wirklich Angst und es daher eilig, oder die Gelegenheit war zu günstig…

    Ganz langweilig und realistisch: die versuchen es einfach immer, und immer wieder. Sie werden ja sogar dafür bezahlt.

    Bürgerrechte müssen fortwährend erstritten und verteidigt werden, und der Gegner ist idR privilegierter Teil des Systems. Die grosse Bedrohung ist nicht die AfD, die grosse Bedrohung sind Union&SPD.

  5. Wir haben (in DE, aber in vielen Ländern gleichwertig)

    * Einschränkung des Fernmeldegeheimnisses für die StPO, Strafverfolgungsbehören und Verfassungsschützer/Geheimdienste.
    * Nichfunktionierende Kontrolle des Obigen
    * Weitgehende Befugnisse von Auslandsgeheimdiensten zum Datensammeln
    * Staatstrojanereinsatz (zB zur Schlüsselgewinnung)
    * Verpflichtende Lawful Interception in klassischen Kommunikationsdiensten

    Warum sollte dieser Zug jetzt gestoppt werden?

    Was macht jetzt WhatsApp/Signal etc. so besonders, dass man hier jetzt auf das Fernmeldegeheimnis pocht?

    Ich bewundere den Idealismus von Leuten, die jetzt akut dafür demonstrieren wollen, aber euch ist klar: Ihr hättet schon vor dem 11. September 2001 damit anfangen müssen?

    1. Herr Engstrand! Was für eine lebensbejahende und positive Perspektive auf die Welt Sie wieder in unser kleines Blog bringen!

      Warum der Zug jetzt gestoppt werden sollte, ist so einfach erklärbar, wie bei jeder Entgleisung: Nur weil ein Zug entgleist ist, muss man ja nicht gleich dafür sorgen, dass er auch in den Abgrund rutscht, gelle?
      Wir wissen doch: Es geht nicht um Whatsapp, es geht um Verschlüsselung.

      Auf den Idealismus und zum Gruße:
      Constanze :}

      1. Ich hab’s echt lang mit der Lebensbejahung durchgehalten; die Entfristung des Otto Katalogs (durch CDU/CSU, SPD und AfD) hat mir den Rest gegeben.

        C. Alternativen
        Keine.

      2. Nicht verzagen!

        Der Klimazug ist eigentlich in den 1970ern abgefahren. Die US Öl- und Waffenindustrie haben das fast im Alleingang an die Wand gefahren.

        Ach ist erst 2020?

    2. WhatsApp/Signal und alle anderen verschlüsselten digitalen Textnachrichten haben gemeinsam, dass man sie unverschlüsselt relativ einfach durchsuchen und überwachen kann. Egal ob verdächtig oder nicht. Bei Brief, Telefon, Fax etc. ist das so ohne erheblichen Aufwand nicht möglich.
      Daher sollte man durchaus auf das Fernmeldegeheimnis pochen, weil es nur ein ganz oder gar nicht gibt. Entweder können theoretisch alle Nachrichten gelesen werden oder keine.

      1. …und wenn alle gelesen werden koennen, dann werden alle gelesen, und gespeichert, und jetzt wie zukuenftig ausgewertet. Das wissen wir alle spaetestens seit Snowden.

      2. Die meisten digitalen Überwachungsprojekte wären im Analogbereich undurchführbar, da zu personalintensiv/teuer/aufwendig/etc. Hier arbeitet die Politik also unter dem Leitsatz: „Alles was (technisch) möglich ist.“ Und damit lässt man die roten Linien des Rechtsstaats mit Leichtigkeit zurück.

  6. Telegram ist nicht Ende-zu-Ende verschlüsselt und der Betreiber kann die Nachrichten theoretisch mitlesen.

    Telegram filtert Pornos automatisch raus und hat bereits mehrmals mit Behörden bei Terrorismusverdacht kooperiert.

    Finde den Fehler ;-)

    (ok, es gibt auch Secret Chats, aber die nutzt keiner)

    1. Ihre aussage, Telegram sei nicht Ende-zu-Ende verschlüsselt, ist m. E. nur halbrichtig. Es bestelt die Möglichkeit, einen „geheimen Chat“ aufzumachen, was m.W.n. die Ende-zu-Ende Verschlüsselung aktiviert. Inwiefern der Betreiber dann noch mitlesen kann, entzieht sich meiner Kenntnis. Weiterhin besteht soweit ich weiss, die Möglichkeit, dies auch für Gruppen einzustellen.

      1. Standardmäßig sind Chats in Telegram nicht Ende-zu-Ende verschlüsselt. Geheime Chats sind Ende-zu-Ende verschlüsselt, werden jedoch nicht in der Cloud gespeichert, und können daher nicht auf mehreren Geräten genutzt werden. Es gibt keine Möglichkeit, Geheime Chats für Gruppen zu starten.

  7. Wird dann OpenbSource Software wie OpenVPN, SSH, AES, TLS usw verboten ? Damit könnte man ja auch weiterhin sichere Kommunikation aufbauen. Und Hintertüren lassen sich wohl in Quelloffene Software nicht so leicht einbauen.

    Und würde das dann vor den Verfassungsgerichten Bestand haben ?

    1. Verboten: nein. Aber man kann Zulassungen fordern und ueber die Hardware erzwingen, was dann automatisch alles nicht offiziel zugelassene blockiert. Das ist auch im Interesse von Herstellern wie Apple und laeuft letztlich auf die Abschaffung des frei programmierbaren/nutzbaren Computuers hinaus. Analog arbeiten Hersteller wie zB John Deere ja durchaus erfolgreich an der Abschaffung des frei nutzbaren Traktors, etc, pp.

      Im Endstadium gibt es alles nur noch als Service: Mietbasis, ausser der Kontrolle des Konsumenten, Eigentum des Herstellers unter zentraler Verfuegungs- wie Inhaltskontrolle, und natuerlich Erfassung und Abrechnung jeder Nutzung und jeder Inhalte. Auch da treffen sich die Interessen der Industrie mit denen der Ueberwachungspolitiker.

  8. Wie und wo kann man aktiv werden, am Besten E-Mails (bzw. Faxe) hinschicken, anrufen? Seine lokalen Politker? Wen in Brüssel? Danke im Voraus für Input.

    1. Das EU-Parlament bietet XML-Downloads mit Kontaktadressen von MEPs an. Die habe ich immer gerne verwendet, denn mit fertigen Tools könnte deine Mail als Spam gelöscht werden (https://christianengstrom.wordpress.com/2013/04/08/president-of-the-european-parliament-defends-treating-emails-from-citizens-as-spam/). Weitere Tips:

      * keine Gmail-Adresse als Absender verwenden, sonst bist du ein Bot
      * am besten in kleinen Empfängerhäppchen senden, sonst bist du ein Bot

      Hier ein tolles Addon für Thunderbird für Massenmails: https://addons.thunderbird.net/en-US/thunderbird/addon/mail-merge/

      1. Im Artikel geht es um den EU-Ministerrat (um es noch korrekter auszudrücken: der Rat der Europäischen Union), also sind die Mitglieder die nationalen Regierungen aus der EU, also die Exekutive. Die MEPs des Parlaments haben da nichts zu melden bisher.

        1. Vielen Dank an Constanze für die Verdeutlichung und an Kim für den Hinweis auf jene Liste, die in anderen Belangen sicherlich hilfreich sein kann.

  9. Wir werden vielleicht den Amateurfunk modernisieren müssen. Mit offline Verschlüsselung kann man die Inhalte immer schützen (einfach und verfügbar), nie aber das Problem lösen, dass dem Beobachter bekannt ist, wer mit wem kommuniziert, das ist auch mit TOR bekanntlich schwer. Gibt es dafür überhaupt einen sicheren Ansatz im Www? Falls nicht, auf ein neues Übertragungsmedium!

  10. das regime in belarus wird sich freuen, dann können die auch wieder mitlesen und schon vor den demonstranten da sein.
    detto türkei
    detto ungarn

    versteht die kommission eigentlich, dass überwachung das verhalten ändert. naja, das haben sie ja auch nicht verstanden, sonst hätte edward snowden die staatsbürgerschaft in einem europäischen land erhalten. der hat den menschen nicht nur in den westlichen demokratien den größten gefallen in den letzten 10 jahren gemacht, nur sind wir zu blöd das zu verstehen/zu schätzen.
    jetzt tun wir wieder vor 2013 weiter…

    1. Das verstehen die sehr gut, und Konformitaet mit einer von ihnen definierten Normalitaet ist das Ziel. In dieser Normalitaet fuehlen sie sich wohl und haben die Machtpositionen inne, ganz zufaellig.

  11. Sehr gut, dass es Netzpolitik gibt. Spontan ein Vorschlag an alle, die aktiv werden wollen.
    Schreibt doch Euren Abgeordneten aus dem Wahlkreis an und schickt Ihnen die Übersicht mit dem schleichenden Entzug der Grundrechte (wurde oben auch erwähnt) https://netzpolitik.org/2018/wie-man-in-69-jahren-einen-ueberwachungsstaat-aufbaut/
    Vielleicht wissen die Politiker:innen das ja gar nicht, was gerade die „Gesamtrechnung“ so bietet…(und die aktuellen Beschneidungen der Freiheiten der letzten 2 Jahre sind ja noch gar nicht berücksichtigt…)

  12. Nachdem die Berichterstattung da ungenau ist: Es geht nicht darum Verschlüsselung zu unterbinden. Es geht um die Fälle in denen nicht der Benutzer die Schlüssel verwaltet, sondern der Dienstanbieter – was quasi heutzutage der Standardfall ist.

    1. Nein, das ist nicht richtig, dafür bräuchte es auch keinen Versuch einer Resolution, da es in den meisten europäischen Ländern bereits möglich ist, dann beim Dienstanbieter die Herausgabe der Schlüssel zu verlangen. Die Idee ist vielmehr die Verpflichtung, (etwa in die Apps) einen Mechanismus erst einbauen zu lassen, damit dieser in bestimmten Fällen die Verschlüsselung aushebeln kann (faktisch also MITM oder Zweitschlüssel). Damit wird natürlich das Konzept Ende zu Ende unterlaufen.

      1. ja, aber MITM oder Zweitschlüssel geht nur (wenn mich mein mathematisches Fachwissen nicht täuscht) wenn der Benutzer nie eigene Schlüssel definiert – oder diese aus der Hand gibt („nicht der Benutzer die Schlüssel verwaltet, sondern der Dienstanbieter“).

        1. Ne, beispielsweise bei MITM würde quasi Ende zu Ende nur vorgegaukelt, beide Geräte könnten ihre Schlüssel zwar erzeugen, aber dazwischen säße eben ein Dritter. Natürlich müsste man die App dann umbauen. Aus der Hand geben müsste man dabei (aus Nutzersicht) die sichere Verifizierung des Kommunikationspartners.

          1. Nicht vergessen: es handelt sich hierbei nicht um offene Protokolle, sondern jeweils geschlossene Systeme, in denen der Anbieter/Betreiber sowohl die Server als auch die Clients/Apps kontrolliert. Es muss also nicht ein klassisches MITM sein.

          2. Stimmt, hast Du nicht, denke ich. Also pro Kommunikation nicht, soweit ich das überblicke bei den heute verbreiteten Apps.

          3. threema bietet eine out of band verification von Kontakt und dessen Schluessel an, das laeuft dann nicht ueber server sondern per QR/Camera von mobile zu mobile.

            Aber der App selber muss man natuerlich trauen.

          4. Ja, das habe ich auch schon mehrfach durchgeführt, aber nur initial bei Kontaktbeginn, nicht im Sinne der Prüfung von Kommunikationsvorgängen. Ich muss mir erst anschauen, ob es dafür auch geeignet wäre.

          5. Hm, die Kommunikation muesste mit dem verifizierten privaten Schluessel signiert sein, oder? Muss ich aber auch nochmal nachlesen…

      1. Wird der Umbau zum Überwachungsstaat nicht viel mehr aktiv voran getrieben? Und das alles mit dem seichten Versprechen gepaart: „Ja, wir schaffen die Mittel – aber wir werden sie nur in ganz schweren Fällen nutzen (Terror, Mord, KiPo)“. Am Ende ist es so leich gebrochen wie versprochen.

  13. Wie wird in Zukunft staatliche Industriespionage verhindert? Wie oft wird z.B. die america-first Konkurrenz kurz vor dem eigentlichen Erfinder wichtige Patente einreichen wenn sichere Kommunikation verboten wird?

    1. Industriespionage wurde in der Vergangenheit bereits nicht erfolgreich verhindert. Die Spionage konzentrierte sich bis vor aufkommen der Smartphones, Social Media und der großen Tech Konzerne fast ausschließlich auf Diplomaten- und Industriespionage. Die Ausgabe Nr. 16 des Le Monde Diplomatique (Edition) aus dem Jahre 2015 ist in der Hinsicht sehr erhellend. Ist digital immer noch zu erwerben und sehr empfehlenswert. Ich schaffe es immer nur häppchenweise das zu lesen, sonst droht mir die totale Depression…
      Ein Bericht dreht sich z.B. darum, dass die erste UN Versammlung und darauf auch das UN Hauptquartier von Seiten der US Regierung drängend nicht aus reiner Gastfreundschaft auf US-Amerikanischen Boden sein sollte, sondern weil nur so gewährleistet werden konnte, dass man auch alles und jeden abhören konnte. Gesagt, getan.

  14. Ich erinnere an dieser Stelle noch einmal daran, dass bei den Entscheidungen zum 5G-Ausbau von Seiten der Geheimdienste und Polizeibehörden explizit gegen ein sicheres Netz geschossen wurde, das Authentizität garantiert, und man sich einen „minderwertigen“ Standard gewünscht hat, der sich mehr oder weniger leicht von staatlichen Stellen hacken/missbrauchen lassen würde (und dann eben auch von Kriminellen).

  15. „Längst Totgesagte tauchen wieder auf: Der verpflichtende Einbau von Hintertüren bei Verschlüsselung“

    Aber nein. Doch nicht totgesagt. Nut totgeschwiegen. War immer da. „Journalisten“ haben es nur nicht mitbekommen oder wollten nicht.

    Sämtliche Pseudozufallszahlengeneratoren sind Hintertüren. Alle Juniper Geräte, das sind die, die statt Huawei in den 5 G Netzen eingesetzt werden, haben Hintertüren, alles von Cisco wird mit Hintertüren ausgeliefert, jeder Staat zwingt Anbieter von Hardware, die sie kaufen, zum Einbau staatlicher Hintertüren, SHA und AES wurden vor der Standardisierung geschwächt, was eine Hintertür ist, EFI ist eine Hintertür, der Zwangs-TPM-Chip in jedem Computer schwächt Verschlüsselungen durch zwei Hintertüren (CVE-2017-15361 von Infineon und eine Dotierung, was nachträglich nicht mehr aufzuspüren ist), das Betriebssystem auf jedem Handy, das die Kommunikation mit der Funkinfrastruktur übernimmt, enthält staatliche Hintertüren als Abhörschnittstellen, die Verschlüsselung der Handykommunikation ist so schwach, dass man sie auf jedem Laptop brechen kann, die Intel Management Engine ist eine Hintertür in jedem Computer, GnuPG erlaubt nur schwache Algorithmen und viel zu kurze RSA-Schlüssel (blockiert über 2048 Bit, die fünffache Länge wäre mindesten nötig), Ubuntu lässt nur AES für Festplattenverschlüsslungen zu und nur in einem Modus, der die Schlüssellänge um 50 % reduziert, wodurch die Verschlüsselung angreifbar wird, Microsoft enthält hunderte Hintertüren, allein das BSI hat über 400 gefunden https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/SiSyPHuS_node.html und das ist lange nicht alles.

    Nur leider berichtet niemand darüber. Schlimmer noch, leider verhindert es niemand.

    1. „Sämtliche Pseudozufallszahlengeneratoren sind Hintertüren.“

      WATT? Bitte präzisieren, bzw. erläutern :).

      Ein softwarebasiertes Teil könnte schon auffliegen, auch ohne Source Code. In der Hardware wird’s dann komplizierter, da ist dann aber auch der „echte“ Zufallschip/Teil, der auch nicht immer ohne weiteres prüfbar ist. Weswegen…. auch mal ein externes Gerät für ganz wirklich richtigen Zufall angeflanscht wird. Mit einem vernagelten Open Source Betriebssystem ist man dann schon zwei halbe Schritte weiter. Bei proprietärem Geräten und Chips kann prinzipiell fast alles Denkbare drinnen sein, allerdings werden mittels Bugs oder geleakten Schlüsseln auch mal Firmwareteile ausgelesen.

      Natürlich sind Pseudozufallsgeneratoren großartige Kandidaten für state level trickery, weil sich alle Werte ableiten lassen, und das so vom Design her gewollt ist, eine Hintertür also auch leichter zu verbergen ist, zudem noch auf eine Anwendung begrenzt ist (oft), für die alle geholten Werte berechnet werden können, womit die Zuordnung leichter fällt. Eine Hintertür in einem „echten“ Zufallschip wäre wohl nutzlos, oder wäre zu offensichtlich, bzw. irgendwie dazwischen.

      ABER, damit es nicht leicht auffällt, darf der Generator entweder nur in wenigen Geräten verbaut bzw. genutzt sein, nicht bei paranoiden Menschen landen, bzw. nicht durch Entropietests durchfallen. Hier wird es durchaus viel komplizierter, bzw. aufwändiger, da z.B. der Rechenaufwand für eine Zuordnung zu einem RSA Schlüssel vielleicht im 100k Euro Bereich liegt (gedacht mal so). Also Ein Staat kann es für wichtige Sachen machen, aber das lokale Syndikat wird es nicht können bzw. wollen, zudem muss ein Geheimnis gekannt werden, damit die Berechnung nicht noch komplexer und teurer wird. Und es muss überhaupt erst untersucht werden. Z.B. könnte ein präpariertes System über eine Abschaltvorrichtung verfügen, um z.B. Tests zu erkennen, oder für gängige Betriebssysteme sogar eine Anwendung zu erkennen (da wäre dann die Management Engine mit dabei). So einen code hat man nicht gefunden, also in den Management Engines, die auslesbar waren, aber vielleicht hat man auch nicht gesucht. Eher zu suchen wären vielleicht Eigenschaften des Chips, die z.B. performant in den eigenen Speicher schreiben können, und vielleicht eine Art Gastenklave einrichten können (z.B. Code aus den Zwischenlagen des MB auslesen :) …). Naja ich sauge mir das aus den Fingern, um anzudeuten, dass das viel viel komplizierter ist, als das sehr plumpe „ich will jetzt ficken, und zwar alle, und zwar immer wenn ich will“, was unsere Regierungs- bzw. Polit- bzw. Fachfeindrüpel hier derzeit abziehen. Also das offene Fordern von Schnittstellen bzw. Hintertüren ist natürlich viel plumper und einfacher. Allerdings ist es auch irgendwie transparent, die Menschen wissen also eigentlich womit sie es hier zu tun haben. Beispiele gibt es ja inzwischen schon „historische“, im Sinne von verbucht.

      Der PRNG von der Corona App jew. von Apple und Google würde mich auch noch interessieren. Mindestens ein Statement, ob dieselben Bibliotheken bzw Code verwendet werden, wie für die sicheren Verbindungen, die Google/Apple mit sich selbst initiieren, fänd ich mal nett. Habe allerdings auch ein paar Wochen/Monate nicht mehr draufgeguckt, was dazu so spezifiziert wird.

  16. An sich echt unfassbar was hier vorgeschlagen oder angestrebt wird.

    Was kann man selbst noch dagegen tun oder wo kann man sinnvoll seine Meinung und Vorschläge einbringen? Briefe, Email und ähnliches werden vermutlich nichts erreichen?

    Wer stellt sich in der EU gegen dieses Thema? Gibt es überhaupt jemanden mit ausreichend technischer Kompetenz im EU Parlament?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.