Standort: fm4.ORF.at / Meldung: "Polizeizugriff auf neues Handy-Zahlsystem"

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

7. 9. 2012 - 18:02

Polizeizugriff auf neues Handy-Zahlsystem

Der neue Überwachungsstandard betrifft nicht nur Facebook, Twitter und Co. Hintertüren soll es auch für die neuen SIM-basierten Bezahlsysteme der Telekoms geben.

Schon heute sind Smartphones für viele Menschen die wichtigsten Begleiter im Alltag. Nach dem Willen der Mobilfunker und Telekoms soll die neue Generation von SIM-Karten mit Funktionen vom virtuellen "Börserl" bis zum kompletten, handybasierten Bezahlsystem samt digitalem Ausweis aufgerüstet werden. Doch dieser Plan könnte an staatlich verordneten Sicherheitsproblemen scheitern. Geheimdienste und Polizei arbeiten längst an einem neuen Überwachungsstandard, der Zugriff auf alle Sozialen Netzwerke und alle neuen Bezahlsysteme gewährleisten soll.

Die Basis für dieses Vorhaben wurde schon in den 1990er Jahren gelegt - weitestgehend unbeobachtet von der Öffentlichkeit. Bereits die allerersten Entwürfe zur technischen Überwachung der damals neuartigen GSM-Mobilfunknetze enthielten eine Passage des folgenden Inhalts: Wenn der Netzbetreiber Verschlüsselungsmethoden verwende, dann müsse er auch den Inhalt der Kommunikation auf Verlangen der Behörden unverschlüsselt bereitstellen können.

Damals bezog sich diese Forderung nur auf die im GSM-Netz eingesetzte Standardverschlüsselung, die in der Regel nur auf der "letzten Meile" - nämlich zwischen Handy und Funkmast - eine Rolle spielte. Die Überwachungsmaßnahmen für Telefonie wurden und werden in der Regel aber ohnehin nicht dort gesetzt, sondern an einer zentralen Schnittstelle des Netzanbieters. Diese Schnittstellen wurden seit 1996 im European Telecom Standards Institute (ETSI) definiert und seither immer wieder angepasst - etwa für UMTS-Telefonie oder neue Datendienste.

Überwachung des WWW

Der Absatz zur verpflichtenden Knackbarkeit von Verschlüsselung wurde denn all die Jahre fortgeschrieben, ohne dass dies besondere Auswirkungen gehabt hätte. Das ändert sich nun radikal, denn nach britischem Muster wird die Überwachung nun auf den gesamten WWW-Verkehr ausgedehnt.

Mit "Cloud-Services" sind daher in Folge Soziale Netzwerke wie Facebook, Twitter oder Google+ gemeint, aber auch Virtual Private Networks von Drittanbietern, Anonymisierungs- oder Bezahldienste aller Art, die über drahtloses Breitband oder Festnetzinternet daherkommen.

"Wenn ein Communication Service Provider (CSP) einen 'Cloud-Service' implementiert", dann ändere das nichts an seiner gesetzlichen Verpflichtung.

Welche Dienste betroffen sind

So heißt es denn in der neuesten Version des Standardentwurfs zur "gesetzeskonformen Überwachbarkeit der Cloud und virtueller Services", der ORF.at vorliegt. Diese Verpflichtung besteht eben darin, die abgefangene Kommunikation den Strafverfolgern auf Verlangen im Klartext vorlegen zu können. "CSP" ist eine Telekom, ein Kabelnetzbetreiber, ein Mobilfunkunternehmen oder ein reiner Internetprovider.

Die technischen Details dieses Überwachungstandards für Zahlungssysteme, Facebook und Co. werden auf dem Kongress "Daten Netz Politik" im Kabelwerk Wien näher erläutert. Der Datenschutzkongress startet am Samstag, den 8. September und läuft bis Sonntag Abend.

Das betrifft neben sämtlichen Sozialen Netzwerken mit "https"-Zugang auch alle Anbieter von Anonymisierungsdiensten oder Virtual Private Networks. Ebenso betroffen sind Bezahlvorgänge über die WWW-Portale der Banken.

Alles wird zur "Cloud"

Dieser Standard zur Überwachung aller "Cloud"-basierten Dienste - praktisch ist das der gesamte Internetverkehr - wird in schnellem Wechselspiel der zwei damit befassten Gremien im European Telecom Standards Institute vorangetrieben.

Der nun vorliegende Entwurf des Technischen Reports (ETSI DTR 101 567 V 0.1.0) wurde in der für Mobilfunknetze zuständigen Arbeitsgruppe 3GPP SA3LI erstellt und ist bereits vom übergeordneten Technischen Komitee TC LI (Lawful Interception) abgesegnet. Alle bestehenden Dienste im Netz, für die es bis jetzt keine Überwachungsverpflichtung gab, werden einfach zu neuen "Cloud"-Services erklärt.

Manipulierte Verschlüsselung

Damit ist der Weg klar vorgezeichnet: Entweder bietet der Cloud-Anbieter selbst eine Hintertür - genannt "Cloud Lawful Interception Function". Oder der Telekombetreiber muss den verschlüsselten Datenverkehr seines Kunden mit einem Drittanbieter durch Manipulation beim Aufbau der verschlüsselten Verbindung knacken.

Nach den Krawallen in London vom Sommer 2011 hatte der britische Premier David Cameron Facebook, Twitter und den BlackBerry-Service BBM (verschlüsselte Chats) gedroht, diese Dienste zu blockieren, wenn sie weiter zur Organisation von Krawallen genutzt würden. Drei Monate später tauchten im ETSI die ersten Entwürfe zur Manipulation der Blackberry-Verschlüsselung auf.

Ein entsprechender Mechanismus wird auf Verlangen der britischen Regierung seit Herbst 2011 im ETSI entwickelt, die Verschlüsselung der Blackberrys wird dabei durch eine Manipulation beim Verschlüsselungsaufbau ausgehebelt. In Großbritannien wird diese Methode erklärtermaßen bereits angewendet. Sie soll nun auf alle anderen Services ausgeweitet werden, die - in welchem Zusammenhang auch immer - für sichere Kommunikation sorgen.

"Muster von Interesse"

In Abschnitt 4.3 "Sicherheit virtueller Services" heißt es da, "die für gesetzmäßige Überwachung interessanten Möglichkeiten schließen Identitätsmanagement und Security-Implementationen mit ein, die es ermöglichen, Verkehrsdaten und Muster von Interesse abzugreifen."

Übersetzt heißt das: Durch generelle Sicherheitsmaßnahmen des Cloud-Anbieters, die stets mit Filterung und Analyse von Verkehrsdaten verbunden sind, fallen für die staatlichen Überwacher interessante Datensätze an, die der Suche nach bestimmten Kommunikationsmustern dienlich sind.

Der im Juni von der britischen Regierung veröffentlichte Entwurf einer "Communications Data Bill" ("Verkehrsdatengesetz") weitet die Vorratsdatenspeicherung auf die gesamte Kommunikation im Internet aus.

Das fällt allerdings nicht unter traditionelle Polizeiarbeit, das ist eindeutig in der Domäne der Geheimdienste angesiedelt. Die aber sind in den beiden ETSI-Gremien massiv vertreten, eine Hauptrolle spielt dabei der Militärgeheimdienst GCHQ, das britische Gegenstück zur National Security Agency (NSA) der USA.

Facebook-Überwachung

Welche Arten von Cloud-Anbietern unter diese Überwachungsverpflichtung fielen, würde auf nationaler Ebene festgelegt, sagt Abschnitt 5.2 des ETSI-Dokuments. Damit sind für die britischen Facebook-Überwachungspläne Tür und Tor geöffnet.

Die Logik dahinter sieht so aus: Da der Telekom-Netzbetreiber seit jeher verpflichtet ist, verschlüsselte Services auf Verlangen der Behörden offenzulegen, hat er nun auch dafür zu sorgen, dass solche Dienste überwachbar werden, die von Drittanbietern über sein Netzwerk kommen. Damit gemeint sind Facebook, Twitter und andere Soziale Netzwerke, die "https"-verschlüsselte Zugänge anbieten, der technische Terminus in der "Cloud" dafür ist "Communication as a Service".

Die Grafik zu den Verpflichtungen des CSP genannten Provider von mobilem Breitband oder Festnetzinternet - zeigt drei Arten von Services, die überwachbar werden müssen. Darunter fällt praktisch alles, was über einen Internetzugang daher kommen kann. Quelle: Die neueste Version 0.1.0 von ETSI DTR 101 567

?

Hintertüren für SIM-Cards

Der dritte Punkt, dass auch eigene, neue Services des Internetproviders selbst überwachbar werden müssen, richtet sich direkt gegen ein neues Geschäftsmodell, das von eingesessenen Telekoms wie von Mobilfunkern jahrelang entwickelt wurde und nun vor dem "Roll-Out" steht.

Die neueste Generation der SIM-Cards, die USIM, ist nur das letzte fehlende Element eines kompletten Zahlungssystems, das auf iPhones, wie auf Android-Geräten oder Blackberrys gleichermaßen funktionieren wird. Es ist der USIM-Chip, der alles verschlüsselt und alle essentiellen Daten speichert, seine zentrale Funktion aber ist die eines elektronischen Ausweises gegenüber dem Netzbetreiber.

SIM steht schließlich für "Subscriber Identity Module", die neue "universelle" SIM soll nach dem Modell der Telekoms ein universeller, elektronischer Ausweis werden. Das ist das oben explizit erwähnte "Identitätsmanagement" und damit wir sind wieder bei den verschlüsselten Diensten angelangt, die der Netzbetreiber im Klartext zur Verfügung stellen muss.

Kompromittierte Bezahlsysteme

Mit den neuen SIMs werden Smartphones und Tablets zu Terminals eines bereits großteils fertiggestellten Bezahlsystems, das die Mobilfunkbetreiber zu universellen Finanzdienstleistern machen sollte. Der Konjunktiv wurde deshalb gewählt, weil ein neues Zahlungssystem mit eingebauten Hintertüren zur Überwachung auf keinen Fall Erfolg haben wird.

Ein sicheres Ausweis- und Bezahlsystem, wie es die Telekoms vorhaben, aber steht und fällt mit dem angebotenen Sicherheitsgrad, den wiederum digitale Zertifikate, die auf digitalen Signaturen beruhen, garantieren. Wenn die Vorgabe jedoch wie hier lautet, dass Kommunikationen über "https"-Zugänge von Drittanbietern wie Facebook auf Verlangen der Behörden vom Netzbetreiber im Klartext zur Verfügung gestellt werden müssen, dann müssen die Verschlüsselungsmechanismen generell manipulierbar werden.

Das stellt nicht nur das in Umsetzung befindliche Geschäftsmodell einer sicheren Infrastruktur für Zahlungsdienste der Telekoms in Frage, sondern kompromittiert sämtliche bisherigen, internetbasierten Zahlungssysteme sowie die gesamte Zertifizierungsinfrastruktur, die sich während des letzten Jahrzehnts zur Basis für das gesamte Internetgeschäft entwickelt hatte.

Vorbild Vorratsdatenspeicherung

Natürlich handelt es sich derzeit "nur" um den Entwurf eines technischen Standards - das ETSI ist ein privater Verein - und nicht um eine EU-Regelung. Noch nicht, ist hier hinzuzufügen, denn umgesetzt wird da, was in Großbritannien bereits erklärtes Vorhaben der Regierung ist.

Genauso hatte alles im Jahr 1999 mit der Vorratsdatenspeicherung begonnen, die Großbritannien schon damals einführen wollte, aber im eigenen Parlament daran gescheitert war. Frankreich hatte diese parlamentarischen Probleme nicht und deshalb schon 2001 ein entsprechendes Gesetz. Fünf Jahre danach kam dann der EU-Beschluss zur Vorratsdatenspeicherung, was als britischer Alleingang begonnen hatte, wurde zur EU-weit gültigen Pflicht. Bald danch folgte der zugehörihe ETSI-Standard.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • smallfreak | vor 1689 Tagen, 4 Stunden, 23 Minuten

    Bei Mobilgeräten kann ich mir vorstellen, dass die EU mit Anbietern und Geräteherstellern so einen Deal ausheckt. Da hat man als Benutzer keinen Einfluss darauf und alles findet innerhalb der EU Grenzen in kontrolliertem Rahmen statt.

    Zumindest für "normalen" Internetverkehr, ist es aber für den Gesetztgeber leichter zu fordern, dass die Provider den verschlüsselten Datenstrom unverschlüsselt bereitzustellen haben, als die tatsächliche Durchführung.

    Die Datenverschlüsselung erfolgt nämlich "End-Zu-End", also zwischen (beliebigem) Browser und (beliebigem) Server. Um den nur durchlaufenden Datenverkehr durch den Provider zu entschlüsseln, muss dieser einen "Man-In-The-Middle" Attack durchführen. Genau gegen solche Angriffe ist das Verfahren aber praktisch immun. Der Provider müßte ein gefälschtes Zertifikat für den Ziel Server präsentieren, das von einer für den Browser vertrauenswürdigen Zertifizierungsstelle ausgegeben ist.

    Auf die freundliche Zusammenarbeit mit den Zertifikats Stellen UND Browserherstellern braucht die EU aber nicht zu hoffen. Die sitzen großteils außerhalb der EU und wenn auch nur der Verdacht besteht, sie würden kompromittierbare Schlüssel ausgeben, wäre das Geschäft tot.

    Wollen sie dann vielleicht alle Server Betreiber weltweit bitten, ihnen freundlicherweise einen Ersatzschlüssel zu ihren Zertifikaten zu übergeben? Lachhaft.

    Wer WIRKLICH nicht will, dass seine Daten im Klartext gelesen werden, setzt sowieso eigene Zertifikate...

    Auf dieses Posting antworten
    • smallfreak | vor 1689 Tagen, 4 Stunden, 21 Minuten

      ..ein, deren Qualität er selbst unter Kontrolle hat und keine fremden. Die zu knacken geht nur mit "Brute Force" und erfordert Rechenkapazitäten die einen Supercomputer Cluster zumindest einige Stunden beschäftigen. Pro Schlüssel natürlich und der wird je Datenverbindung individuell erstellt alle paar Minuten geändert. Das geht vielleicht bei einzelnen, mitprotokollierten Datenströmen, aber nicht "on the fly" und automatisch. Vielleicht mit der nächsten Generation Quantencomputer.

      Die Bösewichte erwischt man so nie, die sind technisch nämlich weiter als die Beamten, die so eine Schnapsidee aushecken.

    • tantejutta | vor 1689 Tagen, 2 Stunden, 17 Minuten

      Die Briten knacken bereits VPN

      Beim ersten Anzeichen eines Aufbauversuchs schlägt ein "dynamic triggering"-Mechanismus Alarm, der ins Deep Packet Filtering integriert ist. Daraufhin wird die Verbindung auf eine spezielle Kiste umgeroutet und mit einem Gummizertifikat signiert. In beide Richtungen. Dazwischen wird der Stream in clear rausgespielt, weil ide Verschlüsselungskette unterbrochen wurde.

    • torus | vor 1689 Tagen, 2 Stunden, 5 Minuten

      Das geht aber nur bei völlig genormten Techniken. Ein privates VPN kann ja völlig proprietär aufgebaut sein. Da bleibt dann nur, wie es die Amis versucht haben mit dem Kryptografieexportverbot, das generelle Verbot von unentzifferbaren Verschlüsselungen. Das wäre dann ident mit Redeverbot, wenn niemand zuhört.

    • torus | vor 1689 Tagen, 1 Stunde, 58 Minuten

      Oder anders ausgedrückt (wie es in manch autoritären Staaten gehandhabt wird): ein Klartextgebot statt eines Verschlüsselungsverbots.
      Wer verschlüsselt, ist verdächtig und wer verdächtig ist, ist zu 50% schuldig.

  • tobiass77 | vor 1689 Tagen, 6 Stunden, 27 Minuten

    Unsere Volksvertreter sind Volkstreter

    Wozu entsenden wir, das Volk, der Souverän, Vertreter in die Parlamente, wenn diese unsere gesamte, private Kommunikation offenlegen und so Menschenrechte und Menschenwürde mit Füßen treten ? Ein ungeheuerlicher Vorgang mit weitreichenden, demokratieschädlichen Folgen. Unsere Volksvertreter sind zu Volkstretern mutiert. Und zwar nicht nur in diesem Fall, sondern auch in einer endlosen Verquickung mit den Reichen und Vermögenden zum Schaden des Gemeinwohls (wenn ich so darüber nachdenke, dann hat wahrscheinlich das Eine mit dem Anderen wesentlich zu tun !).

    Auf dieses Posting antworten
  • torus | vor 1689 Tagen, 7 Stunden, 47 Minuten

    Bankgeheimnis

    Eigentlich fällt das ins Bankgeheimnis, das natürlich von den Banken einzuhalten wäre (mehr oder weniger). Hier wird die Verantwortung der Wahrung aber an den Kommunikationsträger ausgelagert, so als ob die Post meine Kontoauszüge lesen und bei Bedarf weitergeben dürfen soll. Dann ist gleich das Postgeheimnis auch dahin.

    Auf dieses Posting antworten
  • kerberos | vor 1689 Tagen, 9 Stunden, 26 Minuten

    Das Problem ist: Selbst WENN die Leute das durchaus mit Interesse lesen, fühlen sie sich nicht kompetent genug, sich dagegen zu engagieren. Diese Mechanismen sind ja für Leute, die nicht gerade Technik-Freaks sind, kaum zu durchschauen und klingen so nach Science-Fiction, daß man sie leicht als "Panikmache" oder so einstufen und geistig beiseite schieben kann.

    Auf dieses Posting antworten
  • cato | vor 1689 Tagen, 11 Stunden, 47 Minuten

    ich frage mich

    warum lassen sich die Menschen das alles gefallen, warum geht kein Aufschrei durch das Bürgertum?

    Gerade Bezahlsysteme eröffnen dem Staat tiefste Einblicke in den Habitus des Menschen. Wer hat Interesse an diesen Daten, denn der Staat sind wir und ich habe kein Interesse daran, was mein Nachbar wo, wie, warum und weshalb kauft, bezahlt, oder sich leistet. Sind wir Marionetten von Mächtigen, die diese Daten interessieren, denn alleine mit dem Argument, "Kampf gegen den Terror" kann sich doch nicht alles und jedes Überwachungsinstrument rechtfertigen lassen!

    Auf dieses Posting antworten
    • cato | vor 1689 Tagen, 11 Stunden, 46 Minuten

      noch mehr

      schreckt mich die Tatsache, dass hier praktisch kein Kommentar zu lesen ist!
      Die haben uns alle völlig eingelullt.
      Wir mutieren zum willenlosen Stimmvieh.....

    • hejdi | vor 1689 Tagen, 10 Stunden, 27 Minuten

      ...ich nehme an, weil das ein gut geschriebener Artikel mit viel interessanten aber nicht immer unbedingt leicht verständlichen Hintergrundinfos ist, den man nicht beim ersten Überfliegen sofort völlig versteht, sondern für den man sich die Zeit und Ruhe nehmen muss, ihn richtig zu lesen. Und wer tut heute sowas noch?

    • tantejutta | vor 1689 Tagen, 8 Stunden, 49 Minuten

      No dann fragts halt

      die Tante ist immer für Antworten da.

    • tantejutta | vor 1689 Tagen, 8 Stunden, 48 Minuten

      ;)