Nicht die feine englische Art: UK-Gesetzesentwurf startet Frontalangriff auf Verschlüsselung

by Privacy International

Heute präsentierte die britische Innenministerin Theresa May vor dem Parlament ihre Pläne für ein neues Überwachungsgesetz. Kernpunkte sind ein massiver Angriff auf Verschlüsselungsanwendungen und eine enorm weitreichende Vorratsdatenspeicherung. Ermittlungsbehörden sollen dadurch Zugriff auf Standort- und Verbindungsdaten haben, die für ein Jahr gespeichert werden sollen. Auch die Aufsicht über Geheimdienste und Ermittlungsbehörden soll neu strukturiert werden.

Teile des Gesetzesentwurfs waren im Vorfeld an die Öffentlichkeit gedrungen. Kritisiert wurde daran, dass die Ermittlungsbehörden de facto ohne richterlichen Beschluss Zugang zu den Vorratsdaten bei den Internetanbietern haben sollten. Stattdessen soll Home Secretary May die polizeilichen Auskunftsanfragen erlauben können. Ministerin May versuchte diese bittere Pille durch eine handvoll Spezialrichter zu versüßen, denen ein Veto-Recht eingeräumt wird. Während May dieses System einer doppelten Absicherung als „strongest authorisation regimes anywhere in the world“ verkaufen will, sieht Privacy International darin eine Aushebelung der Judikative. In dringenden Fällen sollen die Maßnahmen ganz ohne richterliche Aufsicht anwendbar sein.

CC BY 2.0 by UK Department for International Development
CC BY 2.0 by UK Department for International Development

Ähnlich schwerwiegend wie die Frage eines Richtervorbehalts ist jedoch das Verbot von Ende-zu-Ende-Verschlüsselung. Ein weiterer Höhepunkt in den „Crypto Wars“ ist damit beschrieben. Die lange gehegten und oft geäußerten Ambitionen von Premierminister David Cameron könnten damit Wirklichkeit werden.

Die Internetanbieter sollen demnach rechtlich verpflichtet werden, „ernsthafte Anstrengungen“ zu unternehmen, um Ermittlungsbehörden die angefragten Daten zur Verfügung zu stellen. Das beinhaltet auch, dass sie auf Anfrage Ende-zu-Ende-Verschlüsselung zugänglich machen müssen und im Zweifelsfall Hintertüren in ihre Systeme einbauen müssen, um den Behörden Zugang zu ermöglichen.

Obgleich die Regierung vehement verneint, dass es sich bei dem Gesetzesvorhaben um den Ausbau von Massenüberwachung handelt, benennt May folgende Kernpunkte des Investigatory Power Bills:

  • The ability to intercept the contents of communications in order to acquire sensitive intelligence to tackle terrorist plots and serious and organised crimes;
  • The use of equipment interference powers to obtain data covertly from computers;
  • And the use of these powers by the security and intelligence agencies in bulk to identify the most serious threats to the UK from overseas and to rapidly establish links between suspects in the UK.
  • Daneben soll auch die Überwachung von Parlamentsabgeordneten weiterhin möglich sein. Notwendig dafür ist die Zustimmung des Premierministers.

    Digital-Rights-Initiativen kritisierten den Gesetzesentwurf an verschiedenen Stellen und in seiner grundsätzlichen Ausrichtung vehement. Besonders die Verpflichtung zu Hintertüren in Verschlüsselungsanwendungen schade nachhaltig der Sicherheit von NutzerInnen solcher Programme. Das Gesetz erlaubt es außerdem erstmals explizit Geheimdiensten und Ermittlungsbehörden, Geräte zu hacken und Schwachstellen auszunutzen. Und auch die Arbeit von Journalisten und Berufsgeheimnisträgern dürfte durch das Gesetz schwerwiegend beeinflusst werden, wie The Guardian zusammenfasst:

  • In the case of interception warrants involving confidential information relating to sensitive professions such as journalists, doctors and lawyers, the protections to be used for privileged information have to be spelled out when the minister approves the warrant.
  • Bill includes similar protections in the use of powers to hack or bug the computers and phones of those in sensitive professions as well.
  • by Privacy International
    by Privacy International

    Gemeinsam mit dem knapp 200-seitigen Investigatory-Power-Entwurf veröffentlichte das Innenministerium noch eine Reihe von zwanzig zugeordneten Berichten und PR-Blättern. Darunter auch die Zahl von 517.236 genehmigten polizeiliche Anfragen von Verbindungsdaten im Jahr 2014.

    Deine Spende für digitale Freiheitsrechte

    Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

    19 Ergänzungen

    1. natürlich ist das Gesetz … faschistisch, würde ich es nennen, wenn ein Diktator genau das versucht.

      Aber „Verbot von Ende-zu-Ende-Verschlüsselung“? Ich weiß nicht wie kompetent May da ist. Für mich hört sich das so an, dass eine vom Provider angebotene Verschlüsselung auch vom Provider entschlüsselt werden muss. Mehr geht sowieso nicht. Das ist so ähnlich, wie die „Verschlüsselung“ im DE-Netz funktioniert, als seien die Leute zu doof gpg zu installieren. Womit ich nicht sagen will, gmx und Co. würde die Verschlüsselung „knacken“. Ich will nur sagen, dass sie es könnten und gpg (lokal installiert) würde das nahezu unmöglich machen.

      Die Idee ist also: Du sollst dumm sein. Dein Rechner gehört dir nicht. Dumm wie Du bist nutzt Du die „Angebote“ der Industrie. Android, Windows, den Provider mit der Cloud und Daten für die Regierung. Das fördert auch noch die „Wirtschaft“.

      Nice try.

      1. Die Problematik ist, dass im jetzigen Gesetzesentwurf die Unternehmen zu weitreichender Zusammenarbeit verpflichtet werden. Darunter fällt auch, dass sie ernsthafte Anstrengungen unternehmen müssen, um den Behörden Zugriff auf verschlüsselte Kommunikation zu ermöglichen. Das kann im Zweifelsfall bedeuten, dass die Unternehmen ihre Implementierungen so designen müssen, dass Zugriffswege bestehen. Nichts anderes als Hintertüren. Präziser ist es natürlich zu sagen, dass die Hintertürchen wahrscheinlich in die Implementierung eingebaut werden, statt in die eigentliche Krypto. Aber das reicht natürlich um die Sache unsicher und damit sinnlos zu machen.

        1. Die Frage ist doch: welche Unternehmen. Die Access-Provider? Naja, das ist dann Show und bringt nichts.
          Oder Plattformbetreiber und Softwarehersteller? Unter welchen Bedingungen genau? In Einzelfällen oder pauschal? Wenn Softwarehersteller: Verbot von Software ohne Hintertüren? Verbot von GnuPG? Wie dieses Verbot umsetzen? Netzsperren? Github blockieren? Oder nur einzelne Unterseiten dort, nachdem generell die Verschlüsselung aufgebrochen und die Zielseite festgestellt wird?

          Zwar ist auch die harmloseste mögliche Interpretation noch schlimm genug, nichtsdestotrotz bleibt noch genügend Spielraum …

    2. Kann mal jemand herausfinden, welche Filme Ihr Gatte während Ihrer Abwesenheit gerade auf Staatskosten schaut.
      Jaqui Smith lässt grüßen.

    3. Frontalangriff auf Verschlüsselung …
      Wie wollen die das durchziehen?
      Jeden erschießen, der verschlüsselt?

    4. Zitat:“In dringenden Fällen sollen die Maßnahmen ganz ohne richterliche Aufsicht anwendbar sein.“
      … ach, da brauchen die Behörden nur zu schreien „Al Bundy will seine Schuhe ausziehen! Um das zu verhindern, müssen wir die Verbindungsdaten seiner Tochter einsehen, weil Al hat kein Telefon!“

      Zitat:“Ähnlich schwerwiegend wie die Frage eines Richtervorbehalts ist jedoch das Verbot von Ende-zu-Ende-Verschlüsselung.“
      … ist doch Klar, wer verschlüsselt verhindert, das Al Bundy seine Schuhe am Fuß behält!
      Außerdem, nur Terroristen verschlüsseln!
      Firmen dürfen auch nicht verschlüsseln, da die Nationale Sicherheit durch die Infiltration der verschlüsselnden Firmen durch Terrororganisationen, wie z.B. Reinigungspersonal (Terror wegen des zu hohen Mindestlohns), ist die Überwachung des Firmeninternen VPN-Verbindungen aller in den Vereinigten Königreichen von Nöten, insbesondere der ausländischen Terrorfirmen!

      Also, eine eigene Maildomäne zusammentackern, MX Eintrag und hoffen, das man nicht in den Knast kommt, weil man Spam von einem Taliban oder von der Tochter Al Bundy’s bekommen hat!
      Ich mein‘, UK ist doch mittlerweile eine Gefängnisinsel, oder?

        1. Naja, unseren (Volks-) Vertretern ist ja das Grundgesetz im Weg!
          Das Grundgesetz schränkt die Freiheit unserer (Volks-) Vertreter so stark ein, das sie quasi Handlungsunfähig sind, im Gegensatz zu den Briten!

        2. Na aber momentmal, die Britten sind doch genauso handlungsunfähig oder haben die den Art. 17 aus dem UN-Zivilpackt nun endgültig beerdigt.
          „Niemand darf willkürlich oder rechtswiedrig Eingriffe in […] und seinen Schriftverkehr […] ausgesetzt werden.“ Und wenn das nicht willkürlich ist, weiß ich auch nicht. Aber sicherlich ist dann die Auslegung wieder: „Ja nur weil sie es können, heißt das ja nicht das sie das auch tun.“

        3. @exa … die britischen Politiker sind wie unsere Politiker, sie haben weder die gültigen UN-Richtlinien (an die sich kein Staat halten muss) gelesen, noch lesen sie die Gesetze, die sie dem Bürger überstülpen, dafür haben sie ihre Berater und „Denkfabriken“, die im Sinne der Wirtschaft agieren!

    5. Wie hat mal ein kluger Mensch gesagt: Der Inhalt ist das, was wir sagen, die Metadaten sind das, was wir denken,

    6. Also, wenn ich auf meinem PC eine Software instaliere die meinen gesamten Traffic Verschlüsselt und als erste Stelle einen ausländischen proxy ansteuert…..

      Was kann mein Provider dann an Daten weitergeben? Metadaten zum ersten Proxy?

    7. Und zu diesen weiteren Maßnahmen gehört auch dass hier:

      e) wir müssen sofort ALLE Wirtschaftsunternehmen und ALLE Banken warnen!!
      f) wir müssen alle noch am Netz befindlichen AKWs warnen!!

      Außerdem sollten wir Anonymous aktivieren, damit die gegen diese Sache vorgehen und sämtliche britischen Geheimdienste und us-Geheimdienste downlegen und deren Luftwaffe downen!! Und am liebsten würde ich mir würde ich mir wünschen, dass unsere U36, unsere U35, unsere U34 zusammen als Warnschuss einen von deren Flugzeugträgern versenken und zwar OHNE Vorwarnung!! Nur dass kapieren die Briten noch!! Zusätzlich müssen wir alles unternehmen, um Hinckley Point C zu stoppen und zu verhindern!!

    8. >>Teile des Gesetzesentwurfs waren im Vorfeld an die Öffentlichkeit gedrungen. Kritisiert wurde daran, dass die Ermittlungsbehörden de facto ohne richterlichen Beschluss Zugang zu den Vorratsdaten bei den Internetanbietern haben sollten. Stattdessen soll Home Secretary May die polizeilichen Auskunftsanfragen erlauben können. Ministerin May versuchte diese bittere Pille durch eine handvoll Spezialrichter zu versüßen, denen ein Veto-Recht eingeräumt wird.<<

      Nichtmal das, der Richtervorbehalt mit dem "Double Lock" gilt nur für direkte Überwachung. Der Zugriff auf Vorratsdaten erfolgt auf Zuruf: http://www.theguardian.com/world/2015/nov/05/mass-snooping-and-more-the-measures-in-theresa-mays-bill

    9. Mit am interessantesten ist auch, das diese Politiker von der britischen Bevölkerung freiwillig gewählt werden. Komisch, ist aber so. Ähnlich wie in Deutschland.

    10. Hello, my English is bad, but I understand, that M decided an new structure for 007 – am I right?
      Well, in Germany we have the same problems. Mr. 007 is long time ago, he was working before 1989 and settled down.
      If Germany read books like GERMANY 2064, we will perhaps understand the opportunities of technic and the problems, may bee.
      I think our German Bundes news service (BND) has a great building in Berlin. But I don’t know, if the whole IT is only produced there?
      I heard, that the law and order has many problems in this country. I think it would help, if someone somewhere has an eye winkle on it.
      I am really very blind @it but I try to learn my new smartphone. Its a challenge for both of us.
      Wouldn’t it be a great idea if people with IT-Know-how and Ingenieurs are going into the Bundestag and help to prepare Justice for us? I see many justice, working without Know-How of many things there. Our lives ar not safe in this insecure times. Do you think the same ???
      Have a nice day – yours SUSI

    11. Was bitte ist die feine englische Art? Die Engländer stammen vom Ursprung aus Schleswig Holstein und siedelten komplett aus unbekannten Gründen um 400nC auf die Inseln um die römische Bevölkerung in
      Londinum(City of London) als Söldner zu unterstützen. Was die Römer nicht schafften schften sie mit den Im grunde friesischen Germanen sie rotten die Urbevölkerung auf den britischen Inseln aus nämlich die Kelten. Ist das etwa fein? Das englische Prinzip wurde noch angewandt in Amerika, Australien, Neuseeland, Kanada. Indien usw und sind heute u. a die big five. SInd das etwa feine Leute?

    Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.