Erstellt am: 1. 2. 2015 - 19:00 Uhr
Facebook-Überwachungspläne des EU-Ministerrats
Auch das Treffen des EU-Ministerrats am Donnerstag brachte keine Klarheit, welche konkreten Maßnahmen denn nun geplant sind, um den geforderten "Zugang zur Verschlüsselung" zu erhalten. Aus einem aktuellen Sitzungsprotokoll der EU-Kommission geht jedoch hervor, dass der Rat darunter in erster Linie den Zugang zu https-verschlüsselter Kommunikation in Sozialen Netzen versteht.
Im European Telecom Standards Institute ist ein Technischer Report zur Überwachung von "Cloud-Services" laut eigenen Angaben seit Ende 2014 fertig. Auch damit sind Soziale Netze wie Facebook, Twitter oder Services wie Gmail gemeint, die nach Willen des Ministerrats auch Vorratsdaten - wer mit wem wann kommuniziert - von Chats und Postings etc. abliefern sollen. Nachdem der deutsche Bürgerrechtsblog Netzpolitik.org die betreffende Passage am Wochenende entdeckt hatte, war das Sitzungsprotokoll von der Website der Kommission wieder verschwunden.
"Robuster Zugang", Soziale Netze
Die Kommission bezieht sich dabei auf die ebenfalls vom Rat geforderte Wiedereinführung der Vorratsdatenspeicherung, und erkennt an, dass es einen Wunsch nach "wohlüberlegtem und robusten Zugang bei dieser komplexen Thematik" bedürfe. Ebenso wird anerkannt, "dass Soziale Medien in eine mögliche neue Version inkludiert werden, um sie effektiv zu machen". Allerdings müsse eine Neuauflage der vom EuGH anullierten Vorratsdatenspeicherung auch von "neuen Regeln zum Datenschutz begleitet werden", heißt es seitens der Kommission.
Public Domain
Die Frage, aus welcher Richtung dieser "Wunsch" denn an die Kommission herangetragen wurde, ist schnell beantwortet, denn es handelt sich um exakt jene Forderungen, die Englands Premier David Cameron von den Straßenkrawallen in London 2010 angefangen bei jeder möglichen Gelegenheit aufgestellt hat. Unterstützt wird Cameron dabei vor allem von Frankreich und einer Reihe weiterer Staaten.
Bemühte Notstandsgesetze
Frankreich wie Großbritannien hatten ihre bestehenden Überwachungsgesetze nach dem Urteil des EuGH gegen die langjährig praktizierte Vorratsdatenspeicherung im zweiten Halbjahr 2014 "adaptiert". De facto wurden die Gesetze einfach ausgeweitet und unter einem anderen Titel verabschiedet. Im Fall von Großbritannien wurde dabei sogar auf Notstandsgesetze zur "nationalen Sicherheit" zurückgegriffen, um sich gegen das im Grunde vernichtende EuGH-Urteil gegen die Vorratsdatenspeicherung rechtlich abzusichern.
Public Domain
In der Mobilfunk-Überwachungsgruppe 3GPP SA3LI des European Telecom Standards Institute sitzen denn auch Beamte des französischen Verteidigungsministeriums (SGDSN) mit Angehörigen der Abteilung NTAC des britischen Militärgeheimdienstes GCHQ an einem Tisch. Zuletzt war SA3LI vom 20 bis 22. Jänner im französischen Sophia Antipolis zusammengetroffen, die französischen und britischen Geheimdienste - NTAC stellt den Sekretär der Arbeitsgruppe - waren dabei in passender Gesellschaft.
Die technischen EU-Gremien STOA und ENISA empfehlen aktuell mit sicherer "End-to-End"-Verschlüsselung das exakte Gegenteil zur Forderung nach Krypto-Hintertüren im Ministerrat.
Mit in der Runde war auch die holländische Geheimdienstplattform PIDS, der deutsche Bundesverfassungsschutz und "Public Safety", das kanadische Gegenstück zum US-Heimatschutzministerium. Dazu kamen ein paar nicht einfach zuzuordnende Ministerialbeamte vorwiegend aus England, Frankreich und Deutschland und Techniker großer Telekoms, die an den Standards zur staatlichen Überwachung ihrer Netze mitarbeiten.
Public Domain
"Das Problem der Verschlüsselung"
Seit Monaten steht dort "das Problem der Verschlüsselung" auf der Agenda, seit Ende Oktober kursiert auch ein Diskussionspapier dazu. Vor der Frage, ob und wie Daten aus Sozialen Netzen "auf Vorrat" gespeichert werden sollen steht nämlich eine andere: Wie kommt man an diese Daten überhaupt heran, wenn die Verbindung vom Browser des Benutzers bis ins Netz von Facebook oder Google "End-to-End"-verschlüsselt ist.
Die Kampagne des EU-Koordinators Gilles de Kerchove und der Direktoren von GCHQ und FBI gegen sichere Verschlüsselung hatte bereits im Herbst mit der Forderung nach "Goldenen Schlüsseln" für iPhones und Androids begonnen
"Die Frage stellt sich, an welchem Ort im Netz die Kommunikation im Klartext für "gesetzesmäßige Überwachung" voliegen solle und "wie und wo Regierungen Lösungen durchsetzen könnten, die ihrem Sicherheitsbedürfnis genügen", heißt in einem Thesenpapier des kanadischen Providers Rogers Wireless. Ansätze dafür habe es bereits bei der Internationalen Telekom Union (ITU) bereits 2012 sowie in Internet-Standardisierungsgremien gegeben. Allerdings hätten die G7-Staaten dies abgelehnt. Was nicht im Thesenpapier steht: Der Vorstoß, die Domainvergabe und die Zertifizierungsstellen über die ITU unter nationalstaatliche Kuratel zu stellen, kam aus Russland und wurde von China und anderen diktatorisch regierten Staaten unterstützt.
"Brute Force" gegen Facebook
Hinter Begriffen "Souveränität" und "nationale Sicherheit", mit denen der Antrag Russlands bei der ITU gespickt war, lief alles auf eine Quasiverstaatlichung des Internets hinaus. Das eigentliche, nicht-deklarierte Ziel Russlands, Chinas, und anderer Staaten wie Turkmenistan oder Zimbabwe war der Zugriff auf "Cloud Computing", also Facebook, Twitter, Google+ und Co
Die Verstaatlichung vor allem der Zertifikatsvergabe hätte das "Problem der Verschlüsselung" natürlich insofern gelöst, weil die als "https" bekannte SSL/TLS-Verschlüsselung ja auf Zertifikaten - die eigentlich nur digitale Ѕignaturen sind - aufbaut. Sobald diese jedoch unter staatlicher Kontrolle stehen, eröffnet sich die Möglichkeit, diese Zertifikate zum Zweck der "gesetzesmäßigen Überwachung" nach Belieben zu fälschen. Nur so ist es nämlich möglich, HTTPS-Verbindungen etwa zwischen einem Facebook-Server und einem Benutzer zu knacken, indem der Datenverkehr beim Aufbau der Verschlüsselung über einen "transparenten", also unsichtbaren Proxy-Server geleitet wird.
Der weist sich mittels Zertifikat gegenüber dem Benutzer als Facebook-Server aus, entschlüsselt den Verkehr, kopiert ihn, dann wird Richtung Facebook erneut verschlüsselt. Diese "Man-in-the Middle"-Methode würde die Frage nach den Vorratsdaten zwar im Sinne der Geheimdienste beantworten, allerdings wäre damit die Sicherheit und damit die Brauchbarkeit sämtlicher Online-Bankingsysteme und des gesamten digitalen Zahlungsverkehrs im Netz restlos kompromittiert.
Google soll zur Telekom werden
Das Diskussionspapier von Rogers Wireless empfiehlt diese Methode denn auch nicht, zumal Google und Co ja anderweitig in die Pflicht genommen werden können und das ohne den immensen technischen Aufwand, eine ganze Batterie von Proxy-Servern in den Netzwerken der Internet-Zugangsprovider aufzubauen. Im Zentrum der Überlegungen steht dabei eine Änderung des rechtlichen Status von Sozialen Netzen.
Bis jetzt sind nur Telekoms und andere Provider von Internetzugängen dazu verpflichtet, Verbindungen ihrer Kunden für staatliche Organe "aufzusperren" - allerdings gilt das nur, wenn die Provider selbst über die nötigen Schlüssel dazu verfügen. Bei SSL/TLS (https) wird jedoch vom Browser des Benutzers bis ins Netz von Google durchgehend verschlüsselt, beim Interprovider fallen außer der IP-Adresse des Benutzers und dem ungefähren Datenvolumen keinerlei brauchbare Daten an.
Vorratsspeicherung von Facebook-Chats
Würden Google oder Facebook hingegen rechtlich wie die Telekoms eingestuft, müssten sie diese Daten zum Zweck der Live-Überwachung abliefern. Im Fall einer auf Soziale Netze ausgeweiteten Vorratsdatenspeicherung wären die Internetkonzerne dann sogar gesetzlich verpflichtet, Protokolle von Chat-Sessions, Postings usw. laufend für die Behörden bereitszustellen. Der Datenaufwand fiele dann für Firmen wie Google an, die für jeden EU-Staat die jeweiligen Vorratsdaten bereitstellen müssten.
Rogers Wireless
Hier gebe es zwei Möglichkeiten für eine Lösung, heißt es in dem Positionspapier von Rogers Wireless. Man könne sich in diesem Fall dann entweder für die Aufstellung von Proxy-Servern zur Vorratsdatenspeicherung bei den Internetprovidern entscheiden, oder dasselbe zentral durch einen externen Dienstleister durchführen lassen, heißt es abschließend.
Das ominöse Cloud-Dokument
Wie es mit dem nunmehr fertiggestellten Technischen Report zur "gesetzesmäßigen Überwachung in der Cloud" weitergeht, ist derzeit noch offen. Nach ersten Berichten hierorts über den ETSI-"Facebook-Überwachungsstandard" wurde das Dokument nur noch im Technischen Komitee TC-LI behandelt, das ziemlich strikter Geheimhaltung unterliegt. Diesbezügliche Anfragen von SA3LI wurden laut den Protokollen lapidar so beantwortet: Das Cloud- Dokument DTR 101 567 sei so gut wie fertig, wann und ob es überhaupt veröffentlicht werde, sei noch nicht entschieden.
Public Domain
LTE-Breitband, Mythen und Konfusion
Nebem dem "Problem der Verschlüsselung" beschäftigt 3GPP SA3LI die Überwachung des schnellen Breitbandstandards LTE, wobei es in der Standardisierung offensichtlich größere Probleme gibt. Deswegen ist seit Herbst eine FAQ in Arbeit, die erklärtermaßen dazu dient, der "großen Konfusion rund um die Implementierung gesetzesmäßiger Überwachung in LTE" sowie "verwirrenden Punkten oder Mythen" über LTE zu begegnen. Neben Vodafone und British Telecom sind die Sektion für "Informationssicherheit" des britischen Militärgeheimdienstes GCHQ und die holländische Geheimdienstplattform an der Erstellung dieser FAQ beteiligt.
Die Entscheidung, wann und ob der Technische Report zur Überwachung Sozialer Netze veröffentlicht wird, dürfte schon in der nächsten Woche fallen. Da tritt nämlich das Technische Komitee TC LI zur ersten Sitzung des Jahres 2015 ebenfalls im ETSI-Hauptquartier in Sophia Antipolis an der Côte d'Azur zusammen.