Europäische Kommission

Neuer Angriff auf Ende-zu-Ende-Verschlüsselung

Die „Entschlüsselungsplattform“ bei Europol will bald auf Supercomputer umsteigen. Eine Arbeitsgruppe sucht Möglichkeiten gegen Ende-zu-Ende-Verschlüsselung. Bis Ende des Jahres will die Kommission eine Studie vorlegen, wie Internetanbieter diese sicheren Verbindungen aushebeln und kriminelle Inhalte melden können.

Internetfirmen könnten mit einer Verordnung oder Richtlinie gezwungen werden, Ende-zu-Ende-Verschlüsselung mitzulesen und bestimmte Inhalte an Strafverfolgungsbehörden zu melden. Gemeinfrei-ähnlich freigegeben durch unsplash.com Samantha Lam

Seit Jahren fordert die Europäische Kommission, dass Strafverfolgungsbehörden mehr Zugang zu verschlüsselter Kommunikation erhalten. Auch der Rat, in dem sich die Mitgliedstaaten organisieren, hat vor drei Jahren entsprechende Schlussfolgerungen verabschiedet. Regelmäßig veröffentlicht zudem der „Anti-Terrorismus-Koordinator“ der Europäischen Union Gilles de Kerchove Papiere, in denen er das Aushebeln der sicheren Kommunikation fordert. Zuletzt hatte Kerchove die Aufmerksamkeit auf die Gaming-Community und deren Chats mit Ende-zu-Ende-Verschlüsselung gelenkt.

Auf EU-Ebene ist Europol für das Auslesen von verschlüsselter Kommunikation und Speichermedien zuständig. Die Polizeiagentur hat hierfür eine „Entschlüsselungsplattform“ eingerichtet. Dort arbeitet laut dem Europol-Jahresbericht für 2018 ein „Entschlüsselungsexperte“, bei dem sich die zuständigen Behörden der Mitgliedstaaten Hilfe holen können. Die Abteilung ist beim Europäischen Zentrum für Computerkriminalität (EC3) bei Europol in Den Haag angesiedelt und erhielt vor zwei Jahren fünf Millionen Euro für die Beschaffung entsprechender Werkzeuge.

Erfolgsquote der Software „Hashcat“ bei 39 Prozent

Geknackt werden aber nur Inhalte und Speichermedien, die mit einfachen Passwörtern geschützt sind. Europol nutzt dafür die Software „Hashcat“, die auf einem Cluster mit Grafikprozessoren der Firma Nvidia läuft und mit Brute-Force-Angriffen bekannte Passwörter ausprobiert, schreibt das deutsche Innenministerium. Im ersten Jahr ihres Bestehens sei die „Entschlüsselungsplattform“ in 32 Fällen genutzt worden. Im Jahresbericht für 2019 nennt Europol weitere 59 Fälle, die Erfolgsquote liegt demnach bei 39 Prozent. Insgesamt seien mehr als 1.750 passwortgeschützte mobile Geräte untersucht worden. Mindestens sechs Mal hat auch das Bundeskriminalamt die Dienste angefragt.

Zukünftig soll die „Entschlüsselungsplattform“ Supercomputer der Europäischen Union nutzen. Europol hat hierfür eine Vereinbarung mit der Gemeinsamen Forschungsstelle der EU-Kommission abgeschlossen, wonach die Angriffe auf verschlüsselte Inhalte im italienischen Ispra am Lago Maggiore durchgeführt werden sollen. Die im vergangenen Jahr geplante Inbetriebnahme der Anlage hat sich jedoch laut Europol verzögert und soll nun im Sommer dieses Jahres erfolgen. Probleme hätten sich demnach bei der sicheren Verbindung zwischen Ispra und dem Kontrollraum von Europol in Den Haag ergeben.

Europol führt außerdem Schulungen durch, in denen entsprechende Techniken unterrichtet werden. Im Jahr 2019 hat die Agentur hierfür zwei „Entschlüsselungsexpertengruppen“ eingerichtet. Die erste Gruppe richtet sich an forensische ErmittlerInnen aus den Mitgliedstaaten, die unter anderem in der Anwendung von „Hashcat“ trainiert werden. Die Polizeiagentur arbeitet dazu an einem „Entschlüsselungshandbuch“, das als Arbeitshilfe dienen soll.

„Expertenprozess“ im EU-Internetforum

Die zweite „Expertengruppe“ von Europol widmet sich explizit der Suche nach technischen und rechtlichen Möglichkeiten gegen die Ende-zu-Ende-Verschlüsselung. Ihre Bemühungen finden Gehör bei der Kommission, die am Freitag ihre aktuelle „Strategie für die Sicherheitsunion“ veröffentlicht und darin neue Maßnahmen gegen Verschlüsselung angekündigt hat. Im Vordergrund steht der sexuelle Kindesmissbrauch, wozu die Kommission eine weitere Mitteilung „EU-Strategie für eine wirksamere Bekämpfung des sexuellen Missbrauchs von Kindern“ herausgegeben hat.

Internetdienstleister wie Google, Facebook, Microsoft sollen demnach Möglichkeiten schaffen, Ende-zu-Ende-verschlüsselte Kommunikation mitzulesen. Werden kriminelle Inhalte gefunden, sollen diese anschließend an die zuständigen Strafverfolgungsbehörden gemeldet werden. Hierzu hat die Kommission im Rahmen des EU-Internetforums einen „Expertenprozess“ eingeleitet, der in einer Studie Vorschläge machen soll.

Dieser Prozess könnte später in einer Verordnung oder Richtlinie münden, mit der die Firmen zur Mitarbeit gezwungen werden. In der Studie will die Kommission deshalb „die regulatorischen und operativen Herausforderungen“ zur Entschlüsselung betrachten. Dabei soll es aber nicht bleiben, denn die Frage der Anonymität und Verschlüsselung im Internet und Darknet wird in einer weiteren „umfassenden“ Studie betrachtet. Sie soll „Gesetzeslücken, bewährte Verfahren und vorrangige Maßnahmen auf EU-Ebene“ im Kampf gegen den sexuellen Missbrauch von Kindern ermitteln. Die Ergebnisse beider Studien sollen bis Ende 2020 vorliegen, dann wird über die Umsetzung beraten.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

27 Ergänzungen
  1. Und schon wieder ein Vorstoß, die amerikanischen Überwachungsmethoden in Europa nach zu bauen. Anscheinend hat man von Snowden &co NICHTS gelernt. Sind Überwachungsinstrumente erst einmal eingerichtet, werden sie auch willkürlich genutzt. Vielleicht nicht m ersten Tag, aber garantiert in der Zukunft.
    End-zu-End verschlüsselte Kommunikation sollte ein Grundrecht sein.

    1. Zunächst, GG Artikel 10 „Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.“ -> Das Fernmeldegeheimnis ist bereits ein Grundrecht – und damit End2End auch.

      Danach folgend, das Fernmeldegeheimnis kann mit Gesetzen (Strafprozessordnung, Sicherheitsgesetze etc.) eingeschränkt werden und wird nach Schwere des Vergehens gerechtfertigt.

      Und zur Angleichung, klassische Kommunikationsabieter (dein Mobilfunkprovider) müssen nach TKG110 Überwachungsmaßnahmen unterstützen. Das für ’neuartige‘ Kommunikationsanbieter (e.g. Messager) nachzuziehen war zu erwarten.

      1. Nur müssen die gesetzlichen Einschränkungen der Grundrechte eben maßvoll und gezielt sein. Eine pauschale „Einschränkung“ für ALLE Menschen ist gleich einer Abschaffung des Grundrechts, und damit in DE (und auch in der EU) ein Verfassungsbruch mit Ansage!

    2. Oh doch, man hat gelernt. Und zwar, das Netz aus Überwachung und Kontrolle so dicht und lückenlos zu schließen, dass es jemand wie Snowden nicht wieder schaffen kann. Und die EU-Kommission schließt gerade im Eiltempo diese Lücken, wie es scheint.

  2. Ohh, die Ironie:
    Man arbeitet am Brechen von Verschlüsslung, aber:
    „Die im vergangenen Jahr geplante Inbetriebnahme der Anlage hat sich jedoch laut Europol verzögert und soll nun im Sommer dieses Jahres erfolgen. Probleme hätten sich demnach bei der sicheren Verbindung zwischen Ispra und dem Kontrollraum von Europol in Den Haag ergeben.“

  3. Das erinnert an die Erfindung der Sandalen.

    Willst du den ganzen Planeten mit Leder zupflastern, um nicht mehr spitze Steine leiden zu müssen, oder erschaffst du für die wesentlichen Interaktionen Schnittstellen in Sandalenform?

    Eines scheint klar mit solchen Vorstößen: die Menschen sollen wieder barfuß gehen.

  4. Ich fühle mich gehemmt, etwas mit Client-Server Architektur zu machen. Das beinhaltet das Ausliefern von Updates für Software.

    Aber Fussballfans „müssen“ Corona Tests machen sollen, Reiserückkehrer auch… Schneeflockenframing für ganz Blöde.

  5. Finde den Widerspruch:
    „Internetdienstleister wie Google, Facebook, Microsoft sollen demnach Möglichkeiten schaffen, Ende-zu-Ende-verschlüsselte Kommunikation mitzulesen.“

    Ende-zu-Ende-verschlüsselte Kommunikation, die man mitlesen kann, ist nicht Ende-zu-Ende-verschlüsselt.

    Insofern gibt es für die zu schaffenden Möglichkeiten eine sehr triviale technische Lösung: Einfach nicht mehr Ende-zu-Ende-verschlüsseln.

    Oder ist Problem unlösbar aufgrund des Widerspruchs? :p

    1. Naja, es schreibt ja niemand vor wie viele Enden es gibt zwischen denen verschlüsselt wird… Oder wie gut die Schlüssel verwaltet werden.
      Bei WhatsApp habe ich ziemlich großes Vertrauen in die Verschlüsselung an sich – aber null Vertrauen darin, dass nur mein Gegenüber auch den Schlüssel kennt.

    2. Es ist kein Widerspruch, denn der Dienstleister kontrolliert auch die Endpunkte, zB die vom Benutzer verwendete App. Fuer Politiker wie Behoerden ist der Dienstleister das Gesamtsystem, nicht nur die zentrale Infrastruktur.

      Eine Nachricht kann problemlos Ende-zu-Ende verschluesselt und damit auf dem Transportweg sicher sein, trotzdem kann einer der Endpunkte eine bedarfstraegerlesbare Kopie ausleiten. Bei entsprechendem Design koennte ein Bedarfstraeger einen Endpunkt dazu auch ohne weitere Mitwirkung des Dienstleisters anweisen („Vordertuer“).

      1. Um die Verschlüsselung Ende-zu-Ende zu garantieren sollte dann der Client als Open-Source ausgelagert werden und frei verfügbar sein. Mangels Kontrolle des Dienstleisters wäre dann auch keine Anweisung durch Behörden mehr erteilbar.
        (Wobei ich trotzdem noch Zweifel habe, in wie weit Behörden den Dienstleister zu einer aktiven Abänderung des eigenen Produkts – wie einer App – zwingen kann … lange geheim halten liesse sich das sicher nicht.)

        1. Siehe Artikel 13: Man schreibt keine upload filter vor, man schreibt ein Verhalten vor. Das Verhalten ist technisch praktisch nur mit upload filtern zu erreichen, also bekommt man natuerlich upload filter. Weiterhin gewaehlt wird man ohnehin.

          Erfolgreiche Politiker sind sehr gut darin, Interessen gegen andere Interessen und Widerstaende durchzusetzen, ohne selber durch die auftretenden Nebeneffekte aus dem Spiel genommen zu werden. Sie sind auch sehr gut darin, sich an Gegebenheiten anzupassen, gerade was Auswirkungen auf sich selbst angeht. Das wird mE weithin unterschaetzt, das sind wirkliche Kompetenzen und wirklich nicht einfach. Und daher sind Leute wie Scheuer, Scholz, Kloeckner usw durchaus kompetent und sehr erfolgreich.

  6. > Internetdienstleister wie Google, Facebook, Microsoft sollen demnach Möglichkeiten schaffen, Ende-zu-Ende-verschlüsselte Kommunikation mitzulesen.

    Das erschließt sich mir nicht ganz. ¿Effektiv soll das heißen, die Vorgaben der DSGVO werden hier ausgehebelt und den Dienste-Providern die Vorgabe gemacht verschlüsselte Daten und Streams auf ihren Plattformen mit einem „Generalschlüssel“ zu versehen? Oder ist die Rede von dem Aushebeln mit TLS abgesicherter Verbindungen (in Europa wohl dann bezogen auf ISP und nicht google, etc.)?

    1. Das sagen und wissen die handelnden Politiker nicht, das interessiert sie auch nicht. Das sind fuer sie technische Details, und Technik hat sich in deren Weltbild gefaelligst nach Gesetzen zu richten. Artikel 13 lief genauso.

      Das sind Leute, die es gewohnt sind, dass sie alles machen koennen. Realitaet ist nur was fuer Leute, die nicht genug Geld und Macht haben.

  7. Es braucht eben mal mehr dezentrale OpenSource Lösungen wo es gar keinen zentralen Anbieter gibt der zu irgendwas verpflichtet werden könnte. Es wäre ja doch etwas naiv wenn wir auf die EndezuEnde Verschlüsselung von Facebook oder Apple vertrauen.

    Ich frage mich warum es da bisher so wenig quellfreie Alternativen gibt ?

    1. Was ist eine Alternative?

      Es gibt andere Software, aber die interessiert nicht so viele Menschen.

      Facebook muss verboten oder zur Interoperabilität zum Nutzen der Menschen gezwungen werden, anders kann man solchen Superaggregaten nicht wirklich beikommen. Ja Werbung verbieten und Datenschutz umsetzen, … langsam … ganz langsam …

    2. Es gibt jede Menge freier Alternativen, das ist durchaus Teil des Problems.

      Popularitaet solcher Dienste ist auch stark von einem Ecosystem abhaengig, Werbung, Synergien, Einfache Nutzung…und schlicht Verbreitung, denn die die meisten Benutzer richten sich primaer nach anderen Benutzern, die sie schon kennen. Daher auch die Monopol-Tendenzen solcher Platformen, neben des expliziten Monopol-Strebens als Geschaeftsmodell.

      Und Benutzer tendieren zu einem starken Stockholm-Syndrom. Wenn eine Gruppe zB „natuerlich“ WhatsUp verwendet/verwenden will, wird sie oft eher Abweichler als Verweigerer ausschliessen als Alternativen auch nur zu diskutieren, BTDT.

    1. Scheinbar nicht nur einen, sondern Überwachungsstaaten überall. Es gibt ja diese Intitiativen nicht nur in der EU, sondern auch in den USA (EARN IT Act) und in Brasilien sowie in vielen anderen Ländern der Welt. Und selbst Bill Gates hat gestern in einem Interview auf CNBC für die Bekämpfung von Ende-zu-Ende-Verschlüsselung aufgerufen, weil diese angeblich zur Verbreitung von Verschwörungstheorien über Impfungen in Social Media beitragen würden.
      Scheinbar sind das weitreichende Kampagnen mit unterschiedlichen Argumenten aber dem selben Ziel.

  8. Wie gut, dass ich kein Facebook verwende. Bei Twitter ist ohnehin alles öffentlich und selbst bei E-Mail dränge ich mittlerweile nur noch auf Verschlüsselung. Mal sehen, ob ich etwas einrichten kann, dass sinngemäß antwortet tut mir leid, du hast nicht verschlüsselt mir eine E-Mail geschickt. Korrigiere das gefälligst. Meine Festplatten sind übrigens auch verschlüsselt. Jeder Blog der Festplatte wurde dreimal hintereinander mit drei unterschiedlichen Kryptographie Verfahren zu je 256 Bit und jeweils unterschiedlichen Schüsseln verschlüsselt. eine Entschlüsselungssequenz dauert etwa 2 Minuten. Da also viel Spaß Das zu brechen. Das Problem bei Open Source Software sehe ich meistens darin, dass es weder besonders einfach installiert noch wenn es installiert ist schnell zum laufen gebracht werden kann. Ich bin ein Benutzer, kein Programmierer. Ich möchte ein Befehl ausführen können, und dann wird alles vor konfiguriert, und ich kann in eine Web Interface zum Beispiel die Konfiguration abschließen und es läuft dann. Wenn ich mir mal so die Fehlermeldungen von meiner Nextcloud ansähe, sehe ich von eigenreperatur Möglichkeiten nicht besonders viel. Was die einfache Installation angeht, finde ich stellt Pihole eine besonders gute Ausnahme von der Regel da. Ein Befehl ausgeführt, und der Rest wird dann nicht mehr in der Konsole konfiguriert. Ein weiterer Vorteil dort ist, dass die Konfiguration einfach exportiert und bei einer Neuinstallation wieder eingefügt werden kann. Dabei handelt es sich ohnehin nur um Filterlisten. Auch WordPress finde ich, ist dort eine gute Möglichkeit gelungen. Klar, das Zeug muss erst mal hoch kopiert werden. Aber danach, kümmert es sich selbstständig um Updates und so weiter. Mittlerweile brauch es nur noch Schreibzugriff, auf das entsprechende Verzeichnis. Das war früher mal richtig anders und übel.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.