Die Anfang April vorgestellte EU-Strategie zur inneren Sicherheit, ProtectEU, ruft zivilgesellschaftliche Organisationen auf den Plan. In einem offenen Brief an EU-Digitalkommissarin Henna Virkkunen fordern sie, dass künftig auch Wissenschaftler:innen, unabhängige Tech-Fachleute, Menschenrechts-Jurist:innen und generell Menschen aus der Zivilgesellschaft an den weiteren Diskussionen beteiligt werden müssen.
Sorge bereitet vor allem der „Fahrplan zur Entschlüsselung“, an dem die EU-Kommission derzeit arbeitet. Unter anderem gestützt auf Empfehlungen einer EU-Arbeitsgruppe will sie bis Ende des Jahres ausloten, ob und wie Ermittlungsbehörden Zugang zu verschlüsselten Inhalten erhalten können.
Polizeien betonen seit Jahren, dass sie ohne solche Hintertüren blind und taub seien, während Kriminelle sich hinter Technik verstecken würden – das sogenannte „Going Dark“-Phänomen. Allerdings sind sich IT-Expert:innen einig, dass ausgehebelte Verschlüsselung das gesamte IT-Ökosystem bedroht: Entweder oder, denn ein bisschen Sicherheit gebe es nicht, warnten etwa europäische Datenschutzbehörden.
Beteiligung der Zivilgesellschaft ein Muss
„Viele Technologie- und Digitalrechtsexperten befürchten, dass einige dieser ‚Lösungen‘ die Ende-zu-Ende-Verschlüsselung, ein wichtiges Instrument der Menschenrechte, untergraben könnten“, sagt Chloé Berthélémy von der Digital-NGO European Digital Rights (EDRi) zu netzpolitik.org. Neben EDRi haben insgesamt 39 NGOs und 43 IT-Expert:innen aus der Wissenschaft den Brief unterzeichnet, darunter der Chaos Computer Club (CCC), der Deutsche Anwaltverein (DAV) und Privacy International.
Die besagte EU-Arbeitsgruppe (High Level Group, HLG) hatte die längste Zeit hinter verschlossenen Türen und vorrangig mit Vertreter:innen aus dem Sicherheitsapparat getagt. Mutmaßlich sorgten erst Medienberichte dafür, dass die EU-Kommission zivilgesellschaftliche Gruppen überhaupt zu einem Treffen eingeladen hat – doch erst gegen Ende des jahrelangen Prozesses.
Dies dürfe sich nicht wiederholen, fordern die NGOs. Zum einen müsste sich Virkkunen mit den Unterzeichner:innen treffen, um Positionen und mögliche Beteiligungen am Prozess zu klären. Zum anderen müssten an den weiteren Diskussionen zum Fahrplan auch zivilgesellschaftliche Gruppen mit am Tisch sitzen, um sicherzustellen, „dass wir sinnvoll teilnehmen können“, heißt es in dem Schreiben.
Negativ-Beispiel Chatkontrolle
„Angesichts früherer gefährlicher Vorschläge, wie beispielsweise des in der CSA-Verordnung vorgeschlagenen Client-Side-Scannings, haben wir allen Grund zur Sorge“, sagt Berthélémy. Das gemeinhin als „Chatkontrolle“ bekannte Vorhaben, das seit Jahren im EU-Rat feststeckt, soll Inhalte gegebenenfalls vor ihrer Verschlüsselung durchleuchten und an Behörden melden, sollte ein Verdacht auf sexualisierte Gewalt gegen Kinder vorliegen.
Noch bevor die Kommission ihren Entwurf vorstellte, warnten weltweit bekannte IT-Sicherheitsforscher:innen vor „Wanzen in unserer Hosentasche“. Client-Side-Scanning auf den Geräten von Endnutzer:innen sei eine Gefahr für Privatsphäre, IT-Sicherheit, Meinungsfreiheit und die Demokratie als Ganzes. Gefruchtet hatten die Appelle an die Kommission, die zuweilen aus dem eigenen Haus kamen, nur bedingt. Tatsächlich gibt es Hinweise darauf, dass undurchsichtige Lobby-Gruppen womöglich mehr Einfluss auf den weitreichenden Gesetzentwurf hatten als Fachleute aus dem IT- und Menschenrechtsbereich.
Die NGOs bieten nun ihre konstruktive Mitarbeit an. „Anstatt mehr Ressourcen und Zeit in Systeme zu investieren, die nachweislich Schaden verursachen, sind wir der festen Überzeugung, dass alle Beteiligten zusammenarbeiten müssen, um langfristige Lösungen (sowohl technischer als auch nicht-technischer Art) für komplexe gesellschaftliche Probleme zu finden“, schreiben sie an Virkkunen. Diese Lösungen müssten „auf wissenschaftlichen Erkenntnissen beruhen und alle Grundrechte respektieren“.
Vermutlich wird dann die sichere Verschlüsselung zu genau dem Zeitpunkt verboten kurz bevor die AfD dann die Macht übernimmt. Damit die neue Reichsregierung unter Reichskanzler Höcke dann direkt alle Kritiker überwachen lassen kann. Muss schon sagen, richtig Geil was die EU sich da so im Moment ausdenkt. Kann einen alles nur noch irgendwie fassungslos machen.
> Muss schon sagen, richtig Geil was die EU sich da so im Moment ausdenkt. Kann einen alles nur noch irgendwie fassungslos machen.
Das lässt sich auch anders deuten: Die EU und EU-Länder sind, trotz so mancher Defizite, immer noch demokratische Gebilde. Dass bis heute weder Chatkontrolle noch Hintertüren gesetzlich festgeschrieben sind, hat genau damit zu tun und lässt sich durchaus als Erfolg sehen.
In anderen Worten: Politisches Engagement zahlt sich aus!
Das wievielte mal ist das jetzt inzwischen eigentlich, dass NGOs oder Wissenschaftler vor den Irrwegen, auf denen sich die EU mit ihrer Going-dark-Gruppe und der Chatkontrolle befindet, eindringlich warnen?
Hat irgendwer von diesen Politikern in der Vergangenheit mal irgendwann drauf gehört? Wohl eher nicht, sonst würden sie diesen Schwachsinn nicht heute noch weiter verfolgen.
Es ist mehr als offensichtlich, dass es den Überwachungsfanatikern der EU vollkommen egal ist, wie groß der Schaden ist, den sie der Zivilgesellschaft zufügen werden.
Solange es keine ernsthaften Konsequenzen für solche Verbrechen (anders kann ich das nicht nennen) gibt, so lange wird das weitergehen und möglicherweise irgendwann auch durchkommen.
Wenn überhaupt, werden – zumindest Kommission und Rat – erst wach, wenn das Kind schon in den Brunnen gefallen ist und die ersten großen Schäden bereits angerichtet wurden.
Die einzigen Instanzen, von denen ich mir vorstellen könnte dass sie das eventuell stoppen könnten, sind entweder im Trilog das Parlament (mit großem Fragezeichen) oder eben nachträglich die Gerichte.
> Hat irgendwer von diesen Politikern in der Vergangenheit mal irgendwann drauf gehört?
Die Debatte rund um Hintertüren, Going Dark usw. ist mehr als 30 Jahre alt und der worst case ist bis heute nicht eingetreten. Das ist nicht zuletzt dem politischen Engagement der Zivilgesellschaft, aber auch „Der Politik“ zu verdanken, selbst wenn sich Innenpolitiker:innen immer wieder einen Wettkampf liefern, wer denn die schlechteste Idee in der öffentlichen Debatte unterkriegen kann.
Nicht verzagen, sondern weiterkämpfen! So ist das nunmal in der Politik – und erst recht in Demokratien, wo unterschiedliche Interessenslagen aufeinander treffen.
Die Aufforderung weiter zu kämpfen ist schon richtig. Nur das werden gefühlt immer mehr Themen
– Vorratsdatenspeicherung
– immer noch existierende, lausig formulierte Gesetze, siehe Hackerparagraph
– Staatstrojaner
– Sicherheitslücken speziell im Bereich IoT und die Un(willig|fähig)keit der Hersteller, die zu flicken
– immer mehr Datensammlungen bei Polizei und Geheimdiensten
– dann reden unsere Neulandimmigranten von „Datenschätzen“, die es zu heben gilt
– …
„Nur das werden gefühlt immer mehr Themen“
Eben. Und man verfrachtet ja nicht mal eine schwachsinnige Idee A nach dem gefühlt 99. Versuch endgültig in die Mottenkiste, wo sie hingehört, sondern ist inzwischen bei Schwachsinnsidee X angelangt, hat auch alle anderen Ideen zwischen A und X nach wie vor auf der Agenda und hofft, dass wenigstens Idee A dann beim Versuch Nummer 100 durchkommt.
Anhand der Chatkontrolle wurde /wird das mehr als deutlich. Und es zeigt ebenso deutlich, welche Taschenspielertricks (Stichwort: Ungarns Upload-Moderation) und Lügen (Johansson) die Politiker bereit sind anzuwenden/ zu verbreiten, um ihr Ziel zu erreichen.
Aber das schlimmste an dem ganzen ist ja, dass es einen Großteil der Bevölkerung offenbar nicht juckt und er auch nicht bereit ist, sich darüber aufklären zu lassen, welche Gefahren von den Plänen der EU (egal ob Chatkontrolle, Biometrie, usw), bzw auch einer Wunschliste wie der der CDU ausgehen. Seh ich auch selbst immer wieder in meinem Umfeld.
Aber das wäre gerade angesichts dieser Tatsachen halt enorm wichtig.
Der Aufschrei der großen Masse bzgl Chatkontrolle wird – wenn überhaupt – erst dann kommen, wenn sie plötzlich nicht mehr ohne Ausweis kommunizieren können, oder wegen dem nächsten harmlosen Urlaubsfoto fälschlicherweise eine Anzeige wegen angeblicher „KiPo“-Verbreitung kassieren.
Bzw im Fall von Going dark, wenn bösartige Hacker die Hintertüren der EU ausnutzen -und das wird passieren, sollten sie mit ihrem Entschlüsselungs-Irrsinn durchkommen.
Und da stellt sich die Frage:
Was tun, wenn
a) die meisten nichts darüber wissen wollen, obwohl sie genauso betroffen sind
b) die Leute, die das befürworten und vorantreiben (also halt auch solche wie EU bzw bei uns
CDU & Co) auch nach Versuch 99 immer noch weiter machen können wie bisher ohne ernsthafte Konsequenzen zu befürchten?
„Nicht verzagen, sondern weiterkämpfen!“
Ich bin nach über 30 Jahren Abwehrkampf langsam ausgelaugt. Die Zivilgesellschaft wird von der Entwicklung positiver Utopien abgehalten, wenn sie sich permanent gegen die Schleifung von Bürgerrechten wehren muss.
So haben die Populisten der extremen Mitte und von rechts leichtes Spiel, ihre Agenda zu setzen, während wir nur noch Rückzugsgefechte führen.
Man ist nicht enttäuscht von dingen die jemand tut, oder auch nicht tut, sondern von der eigenen Dummheit etwas anderes erwartet zu haben. Berge wollen nicht versetzt werden, sie stürzen einfach nur ins Tal der tränen!
Viele Algorithmen sind Open-Source und ich bin gespannt wie man da Schwachstellen einbauen möchte ohne das Sie aufgedeckt würden. Sicherlich sind diese sehr komplex und nur wenige verstehen diese. Will man alle die aus Überzeugung den Code durchforsten und Schwachstellen veröffentlichen wegschließen? Gerade wenn dies beschlossen würde wird jede Zeile Code zigmal umgedreht. Außerdem gibt es nicht nur ein Verfahren. Was die Politik sich vorstellt ist eine Art Generalschlüssel und der wäre schlich weg Verfassungswidrig. Es kann nicht mehrere Schlüssel geben das führt das ganze Verfahren ins absurdum. Es wird ja immer so getan als ob nur Kriminelle Verschlüsslung nutzen, jeder der eine Webseite heute aufruft nutzt TLS -> HTTPS. Es würde die IT-Sicherheit weltweit auf den Kopf stellen und es wäre ja nicht so das Ermittlungsbehörden wehrlos wären.
SSL Zertifikate müssten dann als Kopie beim Staat hinterlegt werden und sicher verschlüsselnde OpenSource Software wird einfach verboten und gesperrt. So werden sich das viele Konservative wohl vorstellen.
Siehe die Geschichte um das Thema „Systemd“ für Linux.
Die Gründe sind viele, warum sehr viele Linux Nutzer „Systemd“ freie Distributionen suchen und nutzen.
> Open-Source und ich bin gespannt wie man da Schwachstellen einbauen
>… würde wird jede Zeile Code zigmal umgedreht
Ich erinnere an den Heartbleed-Bug. Da haben viele am Projekt gearbeitet und es nicht bemerkt. Erst als es Jahre später ausgenutzt wurde kam es raus, das den teil kaum jemand ansah und unterbezahlte/überarbeitete Entwickler es übersahen. Kurz: Zu wenig Manpower!
Ein anderer „absichtlicher“ Versuch in SSH eine Backdoor ein zu bauen ist auch eher per Zufall aufgeflogen. Weil ein Entwickler sich über Timing–unregelmäßigkeiten wunderte.
Ergo: Es gibt ALLE Möglichkeiten Bugs und Hintertüren ein zu bauen. Aber diese zu finden und zu beheben erfordert eben Sachkenntnis und (Bezahlte) Arbeitszeit. Und keine KI „Magie“ die Wunder wirken solle (denn das tut sie nicht)!
Kann es denn bei dem Problemkomplex überhaupt eine (Technische o. Soziale) Lösung geben die allen gerecht würde? Die einen wollen im Trüben (Netz) Fischen, sie wollen potentielle Täter vorab erkennen, sie verfolgen und überwachen (was nach PreCrime klingt) und damit letztlich Digitale „Beweise“ für Schuld und Anklage erheben. Alle anderen wollen ihre Privatsphäre durch Verschlüsselung behalten (so auch die Täter) – was Ermittlungen auf die Metadaten (wer sprach wann mit wem) beschränken würde. Ich meine, da KANN es doch keinen Konsens geben!
Nur bei einem „Schauplatz“ sehe ich eine Primär Soziale Lösung. Der Schutz der Kinder liegt in der Verantwortung der Eltern und der Staat sollte bestenfalls Regeln und Hilfestellungen liefern. Die KiPo-Debatte scheint mir aber für alles obige Instrumentalisiert zu sein. Das sollte man entflechten und getrennt betrachten. Vielleicht kommt dann Schwung in die Sache – oder es entblößt die Reinen Überwachungsfantasien.
„Vielleicht kommt dann Schwung in die Sache – oder es entblößt die Reinen Überwachungsfantasien.“
Wenn man bedenkt, bei was das „Kinderschutz“- Argument insgesamt alles zum Tragen kommt – kann es nur letzteres werden:
Um es mal aufzuzählen:
– Chatkontrolle
– Internetzensur
– Zensur von App Stores & Co
– Die Idee mit den Pornofiltern bzw Altersverifikationen in Betriebssystemen
-ab und zu dann mal auch VDS ( im Wechsel mit Terrorismus)
– bei der Going DARK Gruppe kam es auch bereits vor
-die ständige Debatte mit Alterskontrolle
Im Grunde haben die Kinder doch mittlerweile längst Platz 1 erreicht.
Das einzige, wo ich von diesem „Kinderschutz“-Unsinn bislang noch nichts gelesen habe, war bei biometrischen Dingen.
Da wäre es wohl aber auch zu offensichtlich, wenn das Argument dort käme.
Vermutlich sind sich die da „Oben“ nicht wirklich darüber im klaren, daß weder deren Titel, noch deren Berufstand sie vor dem Übergriff durch Hintertüren schützen würde. Und damit meine ich nicht mal Hacker. Die größten Feinde lauern meistens in den eigenen Reihen. Auch auf den ersten Blick für viele nicht ersichtlich ist die Vernetzung aller möglichen Systeme. Kurzes Beispiel wäre ein System ohne Hintertür, das wiederum an einem System hängt welches Hintertüren hat. Hackt man das System mit Hintertür, könnte man auch Zugriff über z.B. Zerodays auf das ohne Hintertür bekommen. Jeder mit bisschen Ahnung kann sich dann denken, wie schnell sowas völlig eskalieren kann. Hintertüren welcher Art auch immer sind ein extrem gefährliches Risiko und dürfen niemals umgesetzt werden! Schon darüber zu denken ist ein fundamentaler Fehler im System (der Politik)!