Feldzug der Spionageallianz „Five Eyes“ gegen WhatsApp und Co
Von Erich Moechel
Alle zwei Jahre wieder um dieselbe Zeit kehrt eine Kampagne der Spionageallianz „Five Eyes“ gegen Verschlüsselungsprogramme wieder. Anders als 2016 hat die neue Kampagne ihr erstes Ziel blitzartig erreicht. Anfang Dezember wurde ein Gesetz im australischen Parlament verabschiedet, das die Internetfirmen verpflichtet, verschlüsselte Kommunikationen aufzubrechen.
Die Anbieter von Whatsapp, Snapchat und Co werden dadurch verpflichtet, Überwachungsschnittstellen in ihre Apps einzubauen, um australischen Strafverfolgern verdeckten Zugang zu ermöglichen. In einem parlamentarischen Handstreich - ohne Diskussion oder Änderungsanträge - wurde mit dem „Assistance and Access Act“ ein globaler Präzendenzfall geschaffen. Orchestriert wird die Kampagne vom britischen GCHQ, das wenige Tage davor ein programmatisches Plädoyer für Hintertüren veröffentlicht hat.
The West Australien
Das Australian Signals Directorate ist das Gegenstück zu NSA und GCHQ unter den sogenannten „Five Eyes“
Moderater Vorschlag für Konferenzschaltungen
Im Jänner 2017 hatten Europol und das FBI unter dem reißerischen Titel „Going Dark“ - „Wir werden blind“ eine Kampagne für polizeiliche Überwachung von Cloud-Services gestartet
Verfasst wurde es von Ian Levy, dem Direktor des britischen National Cyber Security Center, das zum Militärgeheimdienst GCHQ gehört. Betitelt ist der Aufsatz, der Ende November im renommierten „Lawfare“-Blog veröffentlicht wurde, mit „Prinzipien einer Debatte mit gehobenem Niveau über ausnahmsweisen Zugang“ sehr moderat. Die ersten zwei Drittel des Texts lesen sich ebenso, denn da geht es um „notwendige Transparenz“, um „Privatsphäre und Sicherheit“ und was alles nicht an Überwachung geplant ist. Um solche „Ausnahmen“ zu ermöglichen, sollten Anbieter von Messaging-Diensten wie Apple, Facebook, Snapchat und alle anderen nach dem Muster der Telekoms zum Einbau von Überwachungsschnittstellen verpflichtet werden.
Zu einem Chat zweier oder mehrerer Personen soll nun ein weiterer Account verdeckt hinzugefügt werden, das ist die Kernaussage des GCHQ. Gemeint sind hier Konferenzschaltungen, die von der analogen Telefonie noch bis in die Frühzeit der Mobilfunknetze zu Überwachungszwecken benutzt wurden, also bevor es noch genormte, spezialisierte Überwachungsschnittstellen gab. Das passierte, um die gesetzlichen Vorgaben zur Überwachbarkeit aller Netze zu erfüllen.
- public domain -
Die Kernaussage des „moderaten Vorschlags“, wer diesen Begriff in Großbritannien geprägt hat, ist ganz unten nachzulesen.
Nacht- und Nebelaktion in „Down under“
Ende 2017 waren die ETSI-Überwachungsstandards zur grenüberschreitenden Cloud-Überwachung bereits weit fortgeschritten
Genauso ein Gesetz wurde wenige Tage nach den moderaten Vorschlägen des GCHQ in einer Nacht- und Nebelaktion der beiden Großparteien durch das Parlament Australiens geschleust. Angesichts von 171 Änderungsanträgen der Labour Party war man auf eine längere Debatte eingestellt, doch völlig unerwartet hatten die Sozialdemokraten in der vergangene Woche sämtliche Anträge zurückgezogen. Damit war der Weg frei und der „Assistance and Access Act“ wurde mit großer Mehrheit durchgewunken, mit dem vagen Versprechen, dass man Einwände nachträglich berücksichtigen werde.
Das Gesetz sieht nicht nur hohe Strafen beі Nichtkooperation durch die Provider vor, sogar die Konsultation von Technikern ist strafbar, wenn sie zur Umgehung dieser Maßnahmen dient, auch der Konsulent wird strafrechtlich verfolgt.ie australische IT-Branche wurde durch diesen Coup erst auf dem falschen Fuß erwischt, dann herrschte Aufruhr. Dort hatte man naturgemäß sofort verstanden, welche Konsequenzen dieses überschießende Gesetz auf die Branche haben würde. Wer immer Kommunikationskanäle betreibt, müsste „Fangschaltungen“ einbauen, die Dritte verdeckt überwachen lässt. Der australische Marktführer Telstra ist von den Philippinen über China bis Malaysia mit Niederlassungen in 20 Staaten einer der größten IT-Player im Südpazifik.
YouTube
Der eloquente Direktor des National Cyber Security Centre Dr. Ian Levy ist einer der beiden Autoren des programmatischen GCHQ-Manifests, das Ende November im Lawfare-Blog erschienen ist
GCHQ-Kampagne Nummer zwei
Im April 2018 kam der Kommissionsentwurf zur E-Evidence, der „Sicherung von Beweismitteln in der Cloud“ heraus.
Die moderaten Vorschläge für Konferenzschaltungen des GCHQ laufen klarerweise auf tiefe Eingriffe in die Software der Apps selbst hinaus. In die müssen nämlich Optionen eingebaut werden, um die Anzeige der Chatteilnehmer zu manipulieren. Im Netz des Servicebetreibers müssen dafür eigens abgesicherte „Konferenzserver“ eingerichtet werden, die diese „Konferenzen“ in Audio-, Video- oder Textformaten an die Strafverfolger überspielen. Das wird in den Vorschlägen des GCHQ wenig überraschend nicht erwähnt, betont wird aber, dass es sich um „Ausnahmen“ handeln werde und man erwarte nicht, dass 100 Prozent der Anordnungen auch ausgeführt werden könnten.
Parallel dazu hat das GCHQ noch eine weitere Kampagne hochgezogen, wobei beide ineinandergreifen. Da beklagt das GCHQ das Überhandnehmen verschlüsselter Kommunikationen, die gegen 95 Prozent des Datenaustausch gestiegen seien. Wenn es nicht möglich sei, neue Gesetzesgrundlagen zu schaffen, die gezielte Überwachung von Messengerdiensten erlaubten, dann sehe sich das GCHQ eben gezwungen, die Metadatenüberwachung an den Glasfasern beträchtlich hochzufahren. Das Problem dabei ist also, das 95 Prozent des Datenverkehrs verschlüsselt sind. Wie das mit der Behauptung zusammenpasst, dass es sich bei Zugriffen auf verschlüsselte Datensätze dann um „Ausnahmen“ handeln sollte, wird nicht näher erklärt.
Open Government Licence v1.0 (OGL)
Das Hauptquartier des britischen Militärgeheimdienstes GCHQ im Londoner Stadtteil Cheltenham.
Der Zweck des moderaten Vorschlags
Der Ministerrat hat die Verordnung zur „Beweissicherung in der Cloud“ gerade fertig. Im Jänner 2019 kommt sie ins EU-Parlament
Am selben Tag an dem die moderaten Vorschläge des GCHQ veröffentlicht wurden, trat US-Generalanwalt Rod Rosenstein vor die Presse und beklagte sich über zunehmend verschlüsselte Kommunikation. Das mache die Arbeit der Polizeibehörden zunehmend unmöglich, sagte der oberste US-Strafverfolger. Auch aus Kanada und Neuseeland kamen ähnliche Stellungnahmen, damit sind alle Five Eyes vertreten. Anders als 2016 sind diesmal jedoch nicht die Strafverfolger, sondern die Militärgeheimdienste federführend, die sich nun rührend um die Belange der zivilen Strafverfolger sorgen.
Der Grund: In Großbritannien und den anderen Five-Eyes-Staaten werden komplexere Überwachungsmaßnahmen von den Militärgeheimdiensten im Auftrag der Strafverfolger durchgeführt. Das ist die Konsequenz dieser moderaten Vorschläge der Geheimdienste, die verdächtig dem berüchtigten PRISM-Programm der NSA ähneln. Da hatten die US-Dienste Zugang zu Daten von den Internetkonzernen gefordert, die an den Masseabzapfpunkten in den Glasfasern nicht unverschlüsselt zu haben waren.
Wie es nun weitergeht
Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Mittlerweile wurden weitere Spuren dieser Kampagne in internationalen Standardisierungsgremien entdeckt. Das erfordert einen gewissen Aufwand an Recherche, ein Follow-Up ist daher nicht im direkten Anschluss, jedenfalls aber noch 2018 zu erwarten. Was den Terminus „moderater Vorschlag“ angeht, so wurde der vom irischen Satiriker Jonathan Swift geprägt. Angesichts der Hungersnot in Irland 1729, der Zehntausende zum Opfer fielen, schlug der Satiriker im gleichnamigen Essay („A Modest Proposal“) vor, Kleinkinder im Alter von einem Jahr zu schlachten und entweder gekocht gerösted, gegrillt, oder als Frikassee zu servieren.
Publiziert am 12.12.2018
