Im Sommer trafen sich Vertreter:innen von EU-Institutionen und aus dem Sicherheitsapparat, um sich über ein besonders brisantes Thema die Köpfe zerbrechen: Wie lassen sich effektiv Straftaten verfolgen, wenn immer mehr Daten verschlüsselt verschickt und verschlüsselt gespeichert werden?
Polizeien und Geheimdienste nennen dieses Phänomen gerne „Going Dark“. Sie fürchten, blind und taub zu werden, wenn Kriminelle zunehmend auf moderne Technik setzen, die sich nicht ohne Weiteres knacken lässt. Offenkundig wird das Problem so groß eingeschätzt, dass die schwedische EU-Ratspräsidentschaft es zu einem Schwerpunkt erklärt hat.
Der Auftrag der Schweden an die EU-Kommission war eigentlich ganz klar: Eine hochrangige Expert:innengruppe (High-Level Expert Group) sollte das Phänomen näher untersuchen und Vorschläge erarbeiten, damit Ermittlungsbehörden einfacher an Daten kommen. In diese „kollaborative und inklusive Plattform“, wie es bis heute heißt, sollten alle relevanten Akteure eingebunden sein – neben Polizeien und dem Sicherheitsapparat eben auch Datenschutzexpert:innen, Nichtregierungsorganisationen sowie Forscher:innen.
Keine echte Expert:innengruppe
Gekommen ist es anders. Zwar hat die Kommission tatsächlich eine Gruppe eingerichtet, dabei aber das Wort „Expert“ gestrichen. Aus der High-Level Expert Group wurde eine High-Level Group. Das ist mehr als nur ein kleines Detail: Denn für offizielle Expert:innengruppen gelten bestimmte Regeln, unter anderem Grundanforderungen an die Transparenz. An die Regeln müssen sich allerdings „suis generis“-Gruppen, wie die Kommission auf Nachfrage die High-Level Group nun bezeichnet, nicht halten.
Zugleich hat die Kommission mit diesem Vorgehen die Zivilgesellschaft quasi aus dem Prozess ausgeschlossen. Im entsprechenden Kommissionsbeschluss heißt es nun lediglich, dass nicht-institutionelle Akteure eingeladen werden können – oder eben nicht. Zudem erhalten bestimmte Teilnehmer:innen, etwa der Europäische Datenschutzbeauftragte, bestenfalls Beobachterstatus. An der Formulierung von Empfehlungen dürfen solche Beobachter:innen nicht mitwirken, heißt es ausdrücklich.
Die Folge war absehbar: Bislang bleiben bei den Treffen Kommission und EU-Rat mit Strafverfolgungsbehörden weitgehend unter sich, wie jüngst freigegebene Dokumente belegen. Bei den vier Treffen, zu denen geschwärzte Teilnehmerlisten vorliegen, waren neben den EU-Institutionen und Polizeien der EU-Länder fast nur Abgesandte der Polizeibehörde Europol, der Justizbehörde Eurojust oder der Koordinator für die Terrorismusbekämpfung zugegen.
Polizeien wollen gute, alte Zeit zurück
Dort warb etwa das Bundeskriminalamt (BKA) einmal mehr für die Wiedereinführung der Vorratsdatenspeicherung, sie sei „alternativlos“: Ansätze wie das in Deutschland diskutierte Quick Freeze oder die Login-Falle seien „kein adäquater Ersatz für Mindestspeicherdauern für IP-Adressen“, lässt sich einer BKA-Präsentation entnehmen. In einem anderen Vortrag bedauerte die belgische Polizei das „Ende der Blütezeit ‚klassischer Telefonüberwachung'“ („End of the gilded age of ‘classic telephony interception’“) und würde die Datenbestände sogenannter OTTs (Over-The-Top-Anbieter wie WhatsApp oder Signal) am liebsten zu „Schatzkisten für Inhalte“ machen.
Andere Sichtweisen bleiben hingegen rar. Nur zwei Mal waren je ein:e Vertreter:in des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten als Beobachter:innen zu Gast. In einem Fall war ein:e Expert:in einer ungenannt gebliebenen Anwaltskanzlei anwesend. Es könnte sich um die Brüsseler Kanzlei Timelex handeln, die am gleichen Tag die „Perspektive eines Praktikers“ präsentierte.
Für den EU-Abgeordneten Patrick Breyer (Piraten), der die Dokumente angefordert hatte, ist „offensichtlich“, was dahintersteckt: „Hinter verschlossenen Türen will die EU-Kommission mit Polizeien und Regierungen sichere Verschlüsselung aushebeln und verdachtslose Internet-Vorratsdatenspeicherung europaweit erzwingen. Die Zivilgesellschaft, Wissenschaft und Internet-Community würden da nur stören.“
Kaum auflösbarer Konflikt
Dieser Konflikt zwischen Polizeien und Zivilgesellschaft ist so alt wie die sogenannten Crypto Wars, die in den 1990er-Jahren begonnen haben und bis heute andauern. Ermittlungsbehörden würden gerne möglichst jeden digitalen Winkel ausleuchten und sind offenbar bereit, dafür grundrechtliche Einschränkungen und technische Unsicherheiten in Kauf zu nehmen.
Doch dieser Preis wäre unverhältnismäßig hoch, warnen etwa Sicherheitsexpert:innen gebetsmühlenartig: Ansätze wie Hintertüren oder sonstwie geschwächte Verschlüsselung untergraben die Sicherheit im Netz für alle, erzeugen Datenschutzprobleme und gefährden die Privatsphäre. Nicht von ungefähr sollte die von der EU eingerichtete Gruppe eigentlich „Lagerdenken überwinden und allgemein akzeptierte Lösungen“ finden, wie es in einem Ratspapier heißt.
Dass sich hinter all den geschwärzten Einträgen in der Liste der Teilnehmer:innen ausschließlich Polizeien verbergen, will die Kommission weder bestätigen noch dementieren. Es handle sich um eine „bewusst divers“ zusammengestellte Gruppe mit „breitem Fachwissen“, sagt eine Sprecherin. Sie umfasse „Strafverfolgungsbehörden, Anwaltskanzleien, Justizbehörden und Datenschutzexperten, die von den Mitgliedstaaten nominiert wurden“.
Zugleich gehe die Kommission aktiv auf nicht-institutionelle Akteure zu, so die Sprecherin gegenüber netzpolitik.org. Beim letzten Treffen einer Arbeitsgruppe am 5. Dezember seien etwa Vertreter:innen des US-Unternehmens Apple, des European Network for Forensic Science Institutes (ENFSI) und des National Technical Assistance Centre (NTAC) zu Gast gewesen.
Ausgewogen ist dies kaum. Während sich Apple öffentlichkeitswirksam für starke Verschlüsselung und den Schutz von Privatsphäre ausspricht, dürften sich die beiden anderen genannten Gruppen am anderen Ende des Spektrums befinden: Das als deutscher Verein eingerichtete ENFSI sitzt in Wiesbaden, wo das Bundeskriminalamt das Sekretariat für ihn übernimmt. Das NTAC wiederum ist beim britischen Geheimdienst GCHQ angesiedelt und unterstützt eine Reihe britischer Behörden beim Abhören von Kommunikation. Diese Auswahl mit auffälliger Schieflage deckt sich mit früheren Erfahrungen: Zuletzt ließ sich die Kommission etwa bei der umstrittenen Chatkontrolle weitgehend vom Sicherheitsapparat beraten.
Zivilgesellschaft nicht an Bord
Umgekehrt reagiert die EU-Kommission verhalten auf Anfragen aus der Zivilgesellschaft, an der High-Level Group teilnehmen zu können. So sollen mehrere Nichtregierungsorganisationen, darunter die griechische Homo Digitalis, Absagen erhalten haben. Auch eine europäische Wissenschaftler:in, die zuvor schon an Expert:innengruppen der Kommission beteiligt war, hatte ihr Interesse angemeldet. Ihr wurde allerdings beschieden, dass sie nur schriftliche Kommentare einreichen könne. Sollte sich ihr Beitrag als relevant erweisen, werde sie womöglich später eine Einladung erhalten, heißt es in einem Schriftverkehr, welcher der Redaktion vorliegt.
Die Wissenschaftler:in, die anonym bleiben möchte, zeigt sich gegenüber netzpolitik.org „ein bisschen überrascht“ von dem aktuellen Vorgehen. Allerdings sei ihr zugetragen worden, dass die High-Level Group „nur ein Schritt im Reflexionsprozess“ sei, der sich mit dem Going-Dark-Phänomen beschäftige. Spannend werde sein, was nach den EU-Parlamentswahlen im kommenden Sommer und mit einer neu besetzten EU-Kommission geschehen werde, so die Forscher:in. In jedem Fall brauche es einen „soliden Konsultationsprozess“, bevor Brüssel konkrete Gesetzesvorschläge auf den Tisch legt, fordert sie. Ihr zufolge dürfte zunächst ein Paket rund um die Vorratsdatenspeicherung an der Reihe sein.
„Überwachungsgesetze von morgen“
Derweil gehen die Treffen der High-Level Group weiter – und sie sollen künftig zumindest ab und zu breiter besetzt sein, beteuert die Kommission. Für Anfang kommenden Jahres plane sie etwa ein eigenes Treffen der Gruppe, zu dem ausdrücklich zivilgesellschaftliche Gruppen eingeladen werden sollen.
Der EU-Abgeordnete Breyer hält das indes für Augenwischerei. „Im Grunde sind das Vorverhandlungen für die Überwachungsgesetze von morgen im Hinterzimmer“, sagt Breyer. Direkt nach der Europawahl und rechtzeitig für das Arbeitsprogramm der neuen EU-Kommission Mitte 2024 sollen die Ergebnisse dieser „undemokratischen Überwachungsschmiede“ vorliegen, so Breyer. Er fordert, die Arbeitsgruppe aufzulösen: „Wo Grundrechte ausgesperrt werden, haben demokratische Staaten nichts zu suchen.“
ZITAT: Deutscher Bundestag Drucksache 20/3220 20.Wahlperiode 29.08.2022
Frage 11 :Sind der Bundesregierung oder einer ihr nachgeordneten Behörde Software-Lösungen bekannt, die es erlauben, ohne Wissen des Nutzers Ende-zu-Ende-verschlüsselte Nachrichten auf Messenger-Diensten in Echtzeit mitzulesen oder mit Verzögerung zu „knacken“ und zu entsperren (wenn ja, bitte ausführen)?
Antwort: Aus den im Rahmen einer Beantwortung der Frage erteilten Auskünfte ließe sich ablei-ten, welche Softwareprodukte den Sicherheitsbehörden des Bundes bekannt / nicht bekannt sind oder sich im Portfolio der Sicherheitsbehörden befinden könnten. Diese Angaben lassen Rückschlüsse auf bestehende oder in Entwicklung befindliche technische und taktische Fähigkeiten der Sicherheitsbehörden des Bundes zu, was den Ein-satzerfolg verschiedener Maßnahmen gefährden kann. Mögliche künftige Adressaten der Maßnahmen könnten Abwehrstrategien gezielt entwickeln, um sich den polizeilichen und nachrichtendienstlichen Maßnahmen zu entziehen und somit den Einsatz aktuell geeigneter Produkte für künftige Verfahren untauglich machen. Einem öffentlichen Bekanntwerden dieser Informationen stehen damit überwiegende Belange des Staatswohls entgegen. Mit den aus diesen Auskünften ableitbaren Informationen über gegebenenfalls zur Verfügung oder nicht zur Verfügung stehende kriminaltaktische Vorgehensweisen (und damit zu konkreten Maßnahmen oder Ermittlungs-/ Analysefähigkeiten) würden die Sicherheitsbehörden des Bundes polizeiliche und nachrichtendienstliche Vorgehensweisen zur Gefahrenabwehr oder zur Verhinderung und Aufklärung von Straftaten offenlegen oder Rückschlüsse darauf ermöglichen und die Arbeitsfähigkeit und Aufgabenerfüllung der Sicherheitsbehörden gefährden.
https://dserver.bundestag.de/btd/20/032/2003220.pdf
Eine Verschlüsselung die nur von der EU/Polizei überwacht werden kann aber nicht auch vom Russischen Geheimdienst wird wohl technisch unmöglich sein. In sofern doch totaler Wahnsinn was die EU da wieder macht !
Die einzige Hoffnung sind die Ergebnisse der Europawahl, die grundrechtsfreundliche Parteien in der EU ans Ruder kommen lassen. Ich glaube zwar nicht daran, aber möglich ist es.
Teil des Problems ist aber: Frau Johansson ist „Sozialdemokratin“. Das Europa-Wahlprogramm der deutschen SPD hat nach der Europawahl evtl. nur noch den Wert von Altpapier. Selbst sogenannte „liberale“ Parteien tun sich schwer damit Massenüberwachung zu verhindern, weil es ja auch immer ein paar Unternehmen gibt die damit Gewinn erwirtschaften.
Stand Jetzt gilt leider: Freiheitsrechte sind nur noch Verhandlungsmasse im kapitalistisch-politischen Betrieb (siehe auch transatlantischer Datenaustausch, Safe-Harbor-Abkommen, Privacy-Shield, etc).
Naja, das Wahlprogramm der deutschen SPD hat seit Jahrzehnten nur noch den Wert von Altpapier. Und innenpolitisch positioniert man sich stabil an der Seite der CDU gegen die Bürger.
>> Beim letzten Treffen einer Arbeitsgruppe am 5. Dezember seien etwa Vertreter:innen des US-Unternehmens Apple….
>> Ivan Krstić has headed Apple Security Engineering and Architecture (SEAR), the group responsible for end-to-end security of all Apple products, since its inception. He has led the design and implementation of key security mechanisms across Apple platforms, including Lockdown Mode, Two-factor authentication for Apple ID, and Advanced Data Protection for iCloud.
https://www.lawfaremedia.org/article/personal-data-in-the-cloud-is-under-siege.-end-to-end-encryption-is-our-most-powerful-defense
„Das Europa-Wahlprogramm der deutschen SPD hat nach der Europawahl evtl. nur noch den Wert von Altpapier.“
Vielleicht. Aber Johansson ist halt eine der Hauptfiguren, wenn nicht gar
DIE Hauptfigur, was diesen bürgerverachtenden Überwachungsirrsinn angeht. Sobald irgendwas in dieser Richtung zur Sprache kommt, ist sie doch die erste die laut „HIER“ schreit.
Daher kann ich mich der Aussage von Verstandsbrunnen nur anschließen.
Wenn Johansson & Co bei der Europawahl wieder gewählt werden sollten und wir diese Leute -oder welche die genauso denken und handeln – die nächsten 5 Jahre auch noch an der Backe haben, bekommt „Going dark“ eine gänzlich andere Bedeutung.
1984 ist eine Lachnummer gegen das, was dann schleichend auf uns zukommt. Es sei denn der EUGH verhindert das alles. Aber der wird dann die nächsten Monate / Jahre seeeeeeehr viel zu tun haben…
Das Top-Szenario wäre halt wirklich, wenn bürgerfreundliche Parteien (z.B. die Piraten) ans Ruder kommen würden…
Hoffen wir das beste…
Going Dark ist völliger Unsinn. Noch nie gab es so viele Daten über Menschen wie heute. Daran ändern auch https und EzuE-Verschlüsselung nichts. OSINT und Metadaten-Analyse eröffnen Ermittelnden umfassende, neue Möglichkeiten. Und für besonders schwerwiegende Fälle kann jederzeit nach wie vor die verdeckte Ermittlung in Betracht gezogen werden. Mit social engineering lassen sich auch Informationen aus EzuE-verschlüsselter Kommunikation und aus dem darknet in Erfahrung bringen. Eine Überwachung des payloads von Kommunikation sollte stets auf Einzelfälle und ein Minimum beschränkt bleiben. Wichtig ist aber der Grundsatz „follow the money“. Hierbei geht es nicht nur um personenbezogene Daten, sondern auch um Machtstrukturen der Gesellschaft. Daher sehe ich das Thema crypto currencies durchaus etwas anders als z.b. Patrick Breyer. Es gibt kein Recht auf anonyme Finanztransaktionen und das sollte es auch nicht geben.
„Es gibt kein Recht auf anonyme Finanztransaktionen und das sollte es auch nicht geben.“
Doch, das gab es auch bisher und muss es weiterhin geben. Wenn man in einem Supermarkt (natürlich ohne Überwachungskamera und das eigene Handy zuhause oder off) beim Einkauf bar bezahlt, ist man anonym (es sei denn, man trifft bekannte Leute). Kein Mensch käme auf die Idee, einen dort nach seinen persönlichen Daten zu fragen.
Beim Bezahlen mit Karte oder Überweisungen sieht es natürlich anders aus.
> „Es gibt kein Recht auf anonyme Finanztransaktionen und das sollte es auch nicht geben.“
Es existiert sehr wohl und hat gefälligst zusammen mit Bargeld so lange zu existieren bis die Sonne gefriert.