FM4-Logo

jetzt live:

Aktueller Musiktitel:

Sicherheitstüre offen

Pixabay / CC0

Erich Moechel

EU-Ministerrat diskutiert wieder Hintertüren in Verschlüsselung

Gilles de Kerchove, Anti-Terrorkoordinator der EU, reitet wieder gegen sichere Verschlüsselung per se. Da diese neuen Forderungen der Strafverfolger an den EU-Ministerrat nirgendwo einsehbar sind, wird dieses vertrauliche Ratsdokument im Volltext von FM4 veröffentlicht.

Von Erich Moechel

Die Coronavirus-Pandemie hat weltweit zu einem sprunghaften Anstieg bei Teleworking geführt. Statt hinter Firewalls in abgesicherten Firmennetzen arbeiten Millionen Beschäftigte weltweit in unsicheren Home Offices. Den einzigen wirkliche Schutz dabei bietet die Ende-zu-Ende-Verschlüsselung (E2E) des Datenverkehrs.

Mitten in dieses Szenario startet die „Five Eyes“-Geheimdienstallianz die nächste Phase ihrer globalen Kampagne gegen sichere Verschlüsselung. Als Vehikel wird auch diesmal die polizeiliche Strafverfolgung benutzt, nach den USA ist nun wieder der europäische Protagonist Gilles de Kerchove am Zug, der Anti-Terror-Koordinator der Union. Sein neuer Vorstoß wird bereits hinter den Polstertüren des EU-Ministerrats diskutiert, sein Grundlagenpapier vom 8. Mai wurde ORF.at zugespielt.

EU-Ministerrat Dokumente zur Verschlüsselung

Public Domain / CC0

Rechterhand sieht man die verschiedenen Ratsarbeitsgruppen, an die das Dokument gerichtet ist. Das Papier trägt dieselbe Dokumentennummer wie der Brief de Kerchoves an den Ministerrat, den Netzpolitik .org am Donnerstag veröffentlicht hat, da es sich um die technischen Erläuterungen zu diesem Brief handelt.

Anfang März kam EARN IT in den US-Senat, der den Einsatz von Ende-zu-Ende-Verschlüsselung durch Facebook, Apple & Co de facto unter Strafandrohung stellen wird.

Neusprech über „Vordertüren“

Das als „limite“ - Zugriff für einen eingeschränkten Personenkreis - eingestufte Papier ist das technische Addendum zum Brief de Kerchoves an die Mitgliedsstaaten, der am Donnerstag von Netzpolitik.org veröffentlicht worden war. De Kerchove fordert da unverblümt europäische Gesetze gegen E2E-Verschlüsselung nach dem Muster des amerikanischen EARN IT Act, der im März in den US-Senat eingebracht wurde. Im Wesentlichen sollen die Anbieter dazu gezwungen werden, verschlüsselte Services nur dann anzubieten, wenn sie für all diese Kommunikationen auch Nachschlüssel anfertigen, die sie den Strafverfolgern bei Bedarf aushändigen können.

De Kerchove nennt das in bewährter Neusprech-Manier „Vordertüren“, denn geheime „Hintertüren“ seien abzulehnen, da sie missbraucht werden könnten, heißt es in seinem Brandbrief an die Regierungen der Union. Alle Zugriffe würden streng nach den Gesetzen ablaufen, nämlich autorisiert durch den Beschluss eines ordentlichen Gerichts. Was dabei konsequent verschwiegen wird ist die Tatsache, dass diese „Vordertüren“ nur funktionieren können, wenn die existierenden Sicherheitsroutinen systematisch durch solche Nachschlüssel gebrochen werden. In diesem Fall spricht man von einer „Backdoor“, also einer Hintertür, die nicht nur die „gesetzesmäßig Überwachten“, sondern sämtliche Benutzer des jeweiligen Webservices kompromittiert.

EU-Ministerrat Dokumente zur Verschlüsselung

Public Domain / CC0

Diese Passage, in der die windschiefe Metapher von den „Vordertüren“ strapaziert wird, stammt aus dem Brief de Kerchoves an die Mitgliedsstaaten. Der Brief ist an Politik und Ministerialbürokratien gerichtet und nicht an eine breitere Öffentlichkeit.

Wie der Hebel in den USA angesetzt wird

Anfang Dezember 2018 wurde ein erstes solches Gesetz im australischen Parlament verabschiedet, das die Internetfirmen verpflichtet, verschlüsselte Kommunikationen aufzubrechen.

In seiner derzeit vorliegenden Form hält das kommende US-Gesetz EARN IT einen gewaltigen Hebel bereit, der die Internetkonzerne dazu zwingen soll, die Sicherheit ihrer Services zugunsten von Überwachbarkeit zu untergraben. Wie auch in Europa sind IT-Konzerne, die Webspace, Kommunikationsdienste etc. für eine breite Öffentlichkeit anbieten, für die von ihren Benutzern generierten Inhalte grundsätzlich haftungsfrei gestellt. In den USA gilt dieser Grundsatz bereits seit dem „Communications Decency Act“ von 1996, durch den EARN IT Act soll diese Haftungsfreiheit abgeschafft werden.

Das hätte man gern auch in Europa. Anhand der Hierarchie in den technischen Erläuterungen hat der Zugriff auf die Inhalte verschlüsselter Smartphones für die Strafverfolger offenbar weiterhin Priorität, obwohl die EU-Kommission hier bereits neben einem umfangreichen Maßnahmenkatolog fünf Millionen Euro an das European Cybercrime Centre von Europol zur Anschaffung von forensischen Toolkits bereitgestellt hat. Das sei zuwenig, befindet das Papier, zumal auch immer mehr Smartphones verschlüsselt würden.

EU-Ministerrat Dokumente zur Verschlüsselung

Public Domain / CC0

Hier beschwert sich de Kerchove im Namen der Strafverfolger darüber, dass von den Internetkonzernen einfach so sichere Verschlüsselung eingeführt wurde, ohne die Behörden vorher um Erlaubnis zu fragen. Von einem westlich-demokratischen Weltbild zeugt solch ein obrigkeitsstaatlicher Ansatz nicht, vielmehr wird hier dieselbe Vorgangsweise für den Westen gefordert, die für Staaten wie China, Russland oder den Iran typisch ist.

Im Jänner 2017 hatten Europol und das FBI unter dem reißerischen Titel „Going Dark“ - „Wir werden blind“ eine Kampagne für polizeiliche Überwachung von Cloud-Services gestartet

Das Dokument im Volltext

Nicht erwähnt wird hingegen, dass ein wachsender Anteil von Logins bei Smartphones nicht über Passwörter, sondern über Fingerprint- und Gesichtserkennung passiert. Wenn die Strafverfolger nun das Smartphone bereits in Gewahrsam haben, haben sie höchstwahrscheinlich auch dessen Besitzer und damit auch Fingerprints und Gesicht. Während diese Forderungen an sich noch durchaus nachvollziehbar sind, weil sie die Sicherheit der Kommunikation Aller nicht gefährden, tun das alle vier folgenden Punkte allemal.

Danach geht es dann frontal gegen E2E-Verschlüsselung wie sie WhatsApp, Signal und alle anderen sicher verschlüsselten Services bieten. Das ist das wichtigste Ziel der Kampagne, die über EUROPOL 2016 gestartet wurde und in Folge in Australien und den USA bereits bis zu einem gewissen Grad erfolgreich war. Da wird argumentiert, dass eine Ausweitung der E2E-Verschlüsselung von WhatsApp auf den gesamten Facebook-Konzern dessen eigene Maßnahmen gegen „Kinderpornographie“ und Terrorismus gefährdet würden (Punkt 3). Auch die Transportverschlüsselung der Daten auf Protokollebene - die wichtigste Sicherheitsmaßnahme gegen Internetkriminelle überhaupt - wird ausschließlich unter dem Aspekt der polizeilichen Überwachbarkeit behandelt. In de Kerchoves gesamtem Konvolut wird überhaupt nichts gegeneinander abgewogen, die Sicherheit der Benutzer durch Verschlüsselung ihres Datenverkehrs ist überhaupt kein Thema. Vielmehr wird „Sicherheit“ nachgerade penetrant mit „polizeilicher Überwachbarkeit“ gleichgesetzt. Sämtliche Protokolle und Sicherungsmechanismen des Internets werden ausschließlich unter dem Aspekt ihrer Überwachbarkeit durch die Behörden bewertet.

Da das als „vertraulich“ klassifizierte Dokument derzeit noch nirgendwo einsehbar ist, veröffentlicht es FM4 an dieser Stelle. Erst durch die Lektüre des gesamten Texts wird die ganze Arroganz dieses Ansatzes sichtbar.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

mehr Netzpolitik:

Aktuell: