Tag Archives: Verschlüsselung

„In digitaler Gesellschaft“ – DigiGes @ FluxFM Folge 1

In der Reihe „In digitaler Gesellschaft“ berichten wir seit diesem Mittwoch beim Berliner Radiosender 100,6 FluxFM einmal pro Woche live über das netzpolitische Thema der Woche. Das Format läuft jeden Mittwoch um 16:45 Uhr.. Für alle, die das bewegte Bild schätzen, gibt es auch eine Aufzeichnung:

Den Audiomitschnitt gibt es hier bei Soundcloud. Den Audiomitschnitt gibt es hier bei Soundcloud. Unseren Kanal als Podcast kann man hier abonnieren: http://feeds.soundcloud.com/users/soundcloud:users:47267071/sounds.rss


In Folge 1 widmen wir uns dem Thema Verschlüsselung. Dazu haben wir gemeinsam mit anderen Organisationen, Unternehmen und Einzelpersonen die Regierungen in aller Welt in einem offenen Brief dazu aufgerufen, sich für starke Verschlüsselung einzusetzen statt Hintertüren und Schwachstellen in kryptographische Verfahren einzubauen.

Offener Brief:
https://digitalegesellschaft.de/2016/01/offener-brief-verschluesselung/

Unsere Kampagnenseite:
http://securetheinternet.org/


Unsere Freunde von FluxFM findet Ihr hier:
https://www.fluxfm.de


00002-langer-atem-marathon-quelle

Offener Brief an Regierungen: Verschlüsselung stärken statt schwächen

Regierungen, Strafverfolgungsbehörden und Geheimdienste in aller Welt wünschen sich uneingeschränkten Zugriff auf verschlüsselte Daten. Nur wenn staatliche Stellen in der Lage seien, kryptographische Sicherungen zu umgehen, seien sie auch in der Lage, Cyberkriminalität und Terrorismus wirksam zu bekämpfen, so das gebetsmühlenartig wiederholte Credo; die Privatsphäre der Nutzerinnen und Nutzer, die Vertraulichkeit ihrer Kommunikation und die Integrität informationstechnischer Systeme müssten im Zweifel hinter höherwertigen Belangen wie der nationalen Sicherheit zurückstehen.

Dementsprechend versuchen derzeit Regierungen in der EU, den USA und vielen anderen Staaten auf der Welt, Online-Unternehmen zur Offenlegung verschlüsselt gespeicherter Daten zu verpflichten oder kryptographische Verfahren durch den Einbau von Hintertüren zu schwächen. Damit würden sie jedoch genau denjenigen in die Hände spielen, um deren Bekämpfung es vorgeblich geht: Cyberkriminelle und Terroristen könnten Schwachstellen in Verschlüsselungsverfahren ebenso für ihre Zwecke ausnutzen, wie dies für staatliche Stellen möglich wäre.

Das ist deshalb so verheerend, weil kryptographische Verfahren gerade in besonders sensiblen Bereichen dazu dienen, eine Vertrauensgrundlage zu schaffen, etwa bei elektronischen Transaktionen, bei der Ablage von Firmen- oder Personaldaten in der Cloud oder beim Online-Kontakt zwischen Journalisten und Informanten, zwischen Ärzten und Patienten, zwischen Rechtsanwälten und Mandanten. Mit anderen Worten: die Schwächung kryptographischer Verfahren bewirkt tatsächlich nicht mehr Sicherheit, sondern erodiert das Fundament der digitalen Gesellschaft.

Gemeinsam mit anderen Organisationen, Unternehmen und Einzelpersonen haben wir uns deshalb in einem offenen Brief an die Regierungen in aller Welt gewandt und sie dazu aufgefordert, den bisher eingeschlagenen Kurs in Sachen Verschlüsselung zugunsten echter Cybersicherheit aufzugeben. Konkret verlangen wir:

  • Keine Verbote oder Zugangsbeschränkungen für Verschlüsselung jeglicher Art
  • Keine Verpflichtung zu Schwachstellen in Werkzeugen, Technologien oder Diensten
  • Keine Verpflichtung, Dritten den Zugriff auf entschlüsselte Daten oder kryptographische Schlüssel zu erlauben
  • Keine Schwächung von Verschlüsselungsstandards und keine Verpflichtung zum Einsatz unsicherer Standards, Werkzeuge oder Technologien
  • Keine Beeinflussung von Einzelpersonen, Firmen oder anderen Organisationen in einer Art und Weise, die mit den vorstehenden Forderungen unvereinbar ist

Den offenen Brief sowie weitere Informationen zu der Kampagne und den Teilnehmern gibt es hier.

00006-protest-gesichter-fawks-quelle2

FAQ zur WLAN-Störerhaftung: Sie können es nicht

Das Bundeswirtschaftsministerium (BMWi) hat ein FAQ  zum Gesetzentwurf der Bundesregierung zur Änderung des Telemediengesetzes online gestellt. Mit dem Entwurf soll die sogenannte „WLAN-Störerhaftung“, die hierzulande noch immer eines der größten Hindernisse für eine weitreichende Versorgung mit offenen Funknetzen darstellt, abgeschafft werden. Nach der Veröffentlichung des Entwurfs hagelte es zivilgesellschaftliche Kritik, die das Ministerium nun in dem FAQ aufgreift.

Leider bleibt die Auseinandersetzung mit der Kritik oberflächlich und verdeutlicht sogar, wie wenig das BMWi die Problematik offener WLAN-Zugänge verstanden hat. Dies wollen wir im Folgenden anhand einiger Beispiele veranschaulichen.

Der Entwurf selbst sieht vor, dass WLAN-Anbieter grundsätzlich nicht als Störer für Rechtsverletzungen ihrer Nutzerinnen und Nutzer haften. Um in den Genuss dieser Haftungsfreistellung zu kommen, müssen die Anbieter allerdings bestimmte „zumutbare Maßnahmen“ ergreifen. Dazu müssen sie ihr Funknetz verschlüsseln und nur solchen Nutzerinnen und Nutzern Zugang gewähren, die zuvor erklärt haben, keine Rechtsverletzungen zu begehen. Sind die Anbieter weder „geschäftsmäßig“ noch als „öffentliche Einrichtung“ tätig, müssen sie die Nutzerinnen und Nutzer zudem namentlich kennen.

2015_01 foerdermitglied_w

1. Namenskenntnis (Frage 1)
Zunächst ist das BMWi bemüht, den Eindruck zu zerstreuen, mit der Pflicht zur Namenskenntnis sei eine Vorratsdatenspeicherung durch die Hintertür verbunden. Weder von geschäftsmäßigen Betreibern oder öffentlichen Einrichtungen noch von privaten WLAN-Anbietern verlange der Gesetzentwurf, dass sie die Namen von Nutzerinnen und Nutzern protokollieren, registrieren oder anderweitig erfassen, so das BMWi. Nur im Zeitpunkt der WLAN-Überlassung müsse die Namenskenntnis gegeben sein.

Tatsächlich verlangt der Entwurf nur die Kenntnis des Namens selbst, eine explizite Pflicht zur Speicherung dieser Information findet sich dort hingegen nicht. Unweigerlich stellt sich daher die Frage, welcher Zweck mit dieser Regelung verfolgt werden soll. Besteht ihr Ziel darin, Rechtsverletzungen durch Nutzerinnen und Nutzer effektiv verfolgen zu können, so wäre sie dazu bereits offensichtlich ungeeignet. So ist weder klar, wie der Anbieter sicherstellen soll, dass die erhobene Namensinformation korrekt ist, noch wie gewährleistet ist, dass er sie zum Zeitpunkt der Verfolgung einer Rechtsverletzung bereit hält. Auch ein disziplinierender Effekt auf die Nutzerinnen und Nutzer dürfte auszuschließen sein, da sie mangels Überprüfung der Richtigkeit ihrer Angaben ohne Weiteres falsche oder erdachte Namen nennen könnten. Die Pflicht zur Namenskenntnis stellt daher eine unnötige, weil funktionslose Hürde für das Teilen des eigenen WLAN-Zugangs mit Anderen dar.

2. Verschlüsselung (Frage 5)
Dass sämtliche WLAN-Anbieter verpflichtet sein sollen, ihre Zugänge zu verschlüsseln, begründet das BMWi mit den Interessen des WLAN-Betreibers selbst. Die Verschlüsselung verhindere, dass Unbefugte über den Zugang surfen und auf die Daten des Betreibers zugreifen; überdies diene sie dem Schutz des Kommunikationsgeheimnisses.

An dieser Stelle offenbart das BMWi sein völliges Unverständnis für die Funktionsweise offener WLAN-Zugänge und widerspricht sich zugleich inhaltlich selbst. Die Verschlüsselung des Zugangs passt mit dem Ziel, den Betrieb offener Funknetze zu ermöglichen, schlicht nicht zusammen. Bei einem offenen Zugang kann jede beliebige Person ohne Weiteres auf das Netz zugreifen, während ein verschlüsselter Zugang dafür sorgt, dass nur diejenigen Zugriff haben, die zuvor das entsprechende Passwort in Erfahrung gebracht haben. Folgerichtig gibt es bei einem offenen Netzzugang auch keine „Unbefugten“, da es ja gerade im Interesse des Anbieters liegt, allen Menschen, die das Netz nutzen wollen, Zugang zu verschaffen. Wer also die „Unbefugten“ sein sollen, vor denen die WLAN-Betreiber angeblich geschützt werden sollen, bleibt das Geheimnis des BMWi.

Auch in technischer Hinsicht erscheint die Haltung des BMWi in der Verschlüsselungsfrage wenig nachvollziehbar. Dass Nutzerinnen und Nutzer auf die Daten des Betreibers zugreifen, lässt sich effektiv vor allem durch den Einsatz entsprechender Router, die das eigene Netz des Betreibers sicher vom öffentlich betriebenen Netz abschotten, erreichen. Eine Verschlüsselung des Zugangs würde im Übrigen auch kaum zu einem wirksamen Schutz des Kommunikationsgeheimnisses beitragen. Zwar würde damit verhindert, dass Dritte den Datenverkehr eines WLAN-Hotspots belauschen, der Betreiber könnte aber immer noch Einblick in die Kommunikation der Nutzerinnen und Nutzer nehmen. Der einzige Weg, um auch das zu unterbinden, ist der konsequente Einsatz von Ende-zu-Ende-Verschlüsselung seitens der Nutzerinnen und Nutzer. In diesem Zusammenhang entbehrt es auch nicht einer gewissen Ironie, dass das Innenministerium parallel fordert, Verschlüsselungsstandards zu schwächen und mit Hintertüren für Geheimdienste und Polizei zu versehen.

Forderung1_1

3. Einwilligung, keine Rechtsverletzungen zu begehen (Frage 6)
Zur Einwilligung der Nutzerinnen und Nutzer, keine Rechtsverletzungen zu begehen, führt das BMWi lediglich aus, in welcher Art und Weise diese Einwilligung eingeholt werden kann. So könne dem Zugang eine entsprechende Erklärung, der per Klick zugestimmt wird, vorgeschaltet werden; alternativ sei es auch möglich, die Nutzungsbedingungen in die AGB zu integrieren oder ein Passwort in der Speisekarte abzudrucken.

Abgesehen davon, dass nicht verständlich ist, wieso der Abdruck eines Passworts in der Speisekarte einer Einwilligungserklärung der Nutzerinnen und Nutzer gleichkommen sollte, beantwortet das BMWi leider nicht die weitaus brennendere Frage, wozu die Einwilligung eigentlich gut sein soll. Dass Erklärungen, denen mit einem Klick zustimmt wird, keinerlei echte Hürde darstellen, dürfte etwa von Nutzungsbedingungen für Software oder Pornoseiten hinlänglich bekannt sein und mittlerweile einen Gemeinplatz darstellen. Bei der Pflicht zur Einwilligung handelt es sich daher um eine weitere unnötige, weil funktionslose Belastung der Betreiber offener WLAN-Zugänge.

4. Warum keine komplette Abschaffung? (Frage 10)
Die Entscheidung, die Störerhaftung nicht konsequent und bedingungslos abzuschaffen (wie von uns und Anderen gefordert), begründet das BMWi mit dem hohen Wert des geistigen Eigentums in Europa. Bei einer vollständigen Abschaffung der Störerhaftung, so das BMWi, könne jeder über das WLAN eines anderen auf dessen Daten zugreifen, Urheberrechtsverletzungen oder Straftaten begehen; der Gesetzentwurf sei das Ergebnis einer verantwortungsvollen Interessenabwägung zwischen den Interessen der Hotspot-Anbieter sowie der Nutzerinnen und Nutzer einerseits und den Interessen der Rechteinhaber und des Staates andererseits.

Schon der Ausgangspunkt der Überlegungen des BMWi ist nichts weiter als eine unbewiesene Behauptung. Bislang ist das Ministerium einen empirischen Beleg für die Annahme schuldig geblieben, gänzlich offene WLAN-Zugänge würden zu einem Wildwuchs bei Urheberrechtsverletzungen und anderen Straftaten führen. Darüber hinaus tragen die in dem Gesetzentwurf vorgesehenen Betreiberpflichten (Namenskenntnis, Verschlüsselung, Einwilligungserklärung) wie oben bereits dargestellt weder zu einem wirksamen Schutz vor Urheberrechtsverletzungen und anderen Straftaten noch zur Verfolgung derartiger Vergehen bei. Vielmehr entpuppen sie sich bei näherer Betrachtung als ein aus Ängsten, Befürchtungen und mangelndem technischen Sachverstand geborenes Placebo, deren Folge eine weitere Verringerung des Angebots offener WLAN-Zugänge sein wird. Damit ist zugleich bereits die Grundlage der vom BMWi vorgenommenen Interessenabwägung fehlerhaft.

Spenden

5. Private und ihre Pflichten (Fragen 12, 13)
Zu der Frage, warum Betreiber, die weder geschäftsmäßig noch als öffentliche Einrichtung WLAN-Zugänge anbieten, die Namen der Nutzerinnen und Nutzern kennen müssen, erklärt das BMWi, das Risiko von Straftaten oder Urheberrechtsverletzungen sei im geschützten privaten Bereich höher einzuschätzen als in der Öffentlichkeit.

An dieser Stelle wird erneut deutlich, wie wenig durchdacht der Gesetzentwurf tatsächlich ist. Mit der Pflicht zur Namenskenntnis zielt das BMWi auf Betreiber ab, die nur gelegentlich Dritten über ihr WLAN Zugang zum Internet gewähren. Warum ausgerechnet Denjenigen, die weder geschäftsmäßig noch als öffentliche Einrichtung ein Funknetz betreiben, die weitestreichenden Pflichten auferlegt werden sollen, erscheint bereits wenig sachgerecht. Darüber hinaus wäre es für einen solchen Betreiber auch ein Leichtes, sich von dieser Pflicht zu befreien, indem er seinen WLAN-Zugang dauerhaft und nicht nur gelegentlich öffnet. Dann wäre er nach Lesart des BMWi als „geschäftsmäßiger Betreiber“ anzusehen, so dass die Pflicht zur Namenskenntnis nicht mehr greifen würde. Schließlich entbehrt auch die Einschätzung, das Risiko von Rechtsverletzungen sei im privaten Bereich höher als in der Öffentlichkeit, einer empiririschen Grundlage.

Gutachten zu Verschlüsselung: Digitale Vernunft statt Sicherheitsesoterik

„Die Expertenberichte im Europäischen Parlament belegen klar, dass lückenlose Verschlüsselung der einzig effektive Weg ist, die Privatsphäre zu schützen. Die politischen Entscheider in Deutschland und der EU müssen ihre gefährliche Sicherheitsesoterik endlich zugunsten einer vernünftigen, evidenzbasierten Digitalpolitik aufgeben.“, fordert Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft.

In zwei Gutachten, die der Ausschuss für Technikfolgenabschätzung im Europäischen Parlament in Auftrag gegeben hatte, kommen die Autoren zu dem Schluss, dass allein durchgängige Ende-zu-Ende-Verschlüsselung die Privatsphäre bei der Nutzung elektronischer Kommunikation wirksam schützen könne. Mit einer Medienkampagne sollten die Vorteile starker Verschlüsselung publik gemacht und beworben werden, so die Experten. Außerdem sprachen sie sich für eine Förderung von Open Source-Lösungen und für strengere Regelungen bei der Übermittlung von Daten aus der EU in Drittstaaten aus. Diese Forderungen stehen in diametralem Widerspruch zu den in der vergangenen Woche bekannt gewordenen Plänen von Kommissionsvize Frans Timmermans und EU-Anti-Terror-Koordinator Gilles de Kerchove. Sie beabsichtigen, ebenso wie Bundesinnenminister De Maiziére, Verschlüsslungsverfahren mit Hintertüren für Polizei und Geheimdienste zu versehen. Auch eine Neuauflage der Vorratsdatenspeicherung sowie eine Ausweitung der Programme zur Bevorratung von Fluggastdaten stehen auf ihren Wunschzetteln.

Mit dem Vorhaben, Verschlüsselungstechniken aufzubohren, um staatlichen Stellen die Kommunikationsüberwachung zu erleichtern, untergraben Kommission, Anti-Terror-Koordinator und Bundesinnenminister das Fundament einer freien und offenen demokratischen Gesellschaft. Sie setzen die Privatsphäre der europäischen Bevölkerung ebenso wie Geschäftsgeheimnisse und die vertrauliche Kommunikation mit Journalisten, Anwälten, Ärzten und Geistlichen enormen Missbrauchsrisiken durch Kriminelle und ausländische Geheimdienste aus. Zugleich sind sie bislang jeglichen Beweis schuldig geblieben, dass schlechtere Verschlüsslung und mehr Überwachung zur Verhinderung terroristischer Anschläge und schwerer Straftaten beitragen.

Spenden

Zum Europäischen Datenschutztag: Datenschutz ist Vertrauenssache

Heute findet zum achten Mal der Europäische Datenschutztag statt. Mit diesem 2007 vom Europarat ins Leben gerufenen Anlass soll das Bewusstsein der Menschen in Europa für den Datenschutz gefördert werden. Von der Datenschutzgrundverordnung über die Vorratsdatenspeicherung bis hin zur Geheimdienst-Spähaffäre läuft die Politik der Bundesregierung diesem Ziel bisher allerdings klar zuwider.

“Datenschutz ist Vertrauenssache.”, sagt Volker Tripp, politischer Referent des Digitale Gesellschaft e.V.. “Die Bundesregierung muss ihre Politik so ausrichten, dass das Vertrauen der Menschen in die Sicherheit ihrer privaten Daten und ihrer Geschäftsgeheimnisse wiederhergestellt und gestärkt wird.”.

EU-Datenschutzgrundverordnung
Bisher hat Bundesregierung ein starkes gesamteuropäisches Datenschutzniveau behindert. Dass die entsprechende EU-Datenschutzgrundverordnung noch immer nicht verabschiedet ist, ist unter anderem dem beharrlichen Widerstand der deutschen Vertreter im EU-Ministerrat geschuldet. Auf diese Weise ermöglicht es die Regierung Unternehmen wie beispielsweise Facebook, sich in EU-Staaten mit besonders laxen Datenschutzbestimmungen niederzulassen. “Es darf in Europa keine Datenschutzinseln mehr geben. Die Bundesregierung muss die Verabschiedung der Datenschutzgrundverordnung jetzt aktiv vorantreiben, um Schlupflöcher zur Umgehung des Datenschutzes in Europa zu schließen.”, kommentiert Volker Tripp.

Vorratsdatenspeicherung
Als wenig vertrauensbildend erweist sich auch das Vorhaben der Bundesregierung, die Vorratsdatenspeicherung in Deutschland gesetzlich zu verankern. “80 Millionen Menschen in Deutschland einem solchen Generalverdacht zu unterwerfen, kommt einem Misstrauensvotum gegenüber der eigenen Bevölkerung gleich.”, so Tripp. “Die Möglichkeit, aus diesen Daten Persönlichkeitsprofile zu erstellen, das soziale Umfeld und die Kommunikations- und Lebensgewohnheiten einzelner Menschen ausforschen, ist dabei mindestens so beunruhigend wie die Speicherung derart sensibler Daten bei privatwirtschaftlichen Unternehmen.”. Zahlreiche Fälle von Datendiebstahl bei Telekommunikationsprovidern wie der Telekom und Vodafone, in denen jeweils mehrere Millionen Nutzerinnen und Nutzern betroffen waren, belegen eindringlich, dass die Daten dort niemals völlig sicher vor dem  Zugriff durch unbefugte Dritte sind. „Statt die privatesten Daten der Menschen in Deutschland einer solchen Missbrauchsgefahr auszusetzen, sollte sich die Bundesregierung auf die Datensparsamkeit als einen der zentralen Grundsätze des Datenschutzes besinnen. Zu einem Verzicht auf die Vorratsdatenspeicherung gibt es aus unserer Sicht daher keine Alternative.”, erklärt Volker Tripp.

Geheimdienst-Spähaffäre
Der Umgang der Bundesregierung mit der Geheimdienst-Spähaffäre nährt zudem massive Zweifel an ihrem politischen Willen, die Bürger vor einer Totalüberwachung zu schützen. „Statt für Aufklärung zu sorgen, hat die Regierung von Anfang an auf eine hilflose Appeasement-Politik gegenüber den USA gesetzt und versucht, den Skandal mit hanebüchenen Beschwichtigungen kleinzureden. Die Bundesregierung zeigte eine höchst bedenkliche Mischung aus fehlendem Problembewusstsein und politischer Ohnmacht. Richtig wäre es gewesen, etwa die Abkommen zum Datenaustausch mit den USA umgehend auszusetzen, die Kontrolle der Geheimdienste zu verbessern, die Entwicklung und Verbreitung von Open Source-Verschlüsselungssoftware zu fördern und die Verteidigung der Grundrechte endlich ernst zu nehmen. Das Krisenmanagement der Bundesregierung hinterlässt ein durchweg verstörendes Bild.“, so Tripp abschließend.