Aus dem Internet-Observatorium #02

Ende-zu-Ende

Liebe Internet-Beobachtende,

vielen Dank für den Platz in dieser Inbox, ich freue mich weiterhin über Feedback, Kritik, Anregungen etc.!

Thema der Woche: Die Verschlüsselungsdebatte - ein kurzer Aufriss

Derzeit gibt es drei große europäische Digitalthemen rund um die Frage, wie das Internet künftig aussehen wird: Die Debatte um Upload-Filter im Kontext Copyright und Terrorvideo-Verbreitung; die nicht totzukriegende Frage nach der Vorratsdatenspeicherung; und dann die Diskussion um den Umgang mit Ende-zu-Ende-Verschlüsselung mit Schwerpunkt Terror, Verbrechen und speziell Pädophilie-Netzwerken (letzte Woche hatte ich das kurz erwähnt). Ich möchte mich auf die Verschlüsselung konzentrieren und die Debatte skizzieren.

Verschlüsselung - das Problem:

Die meisten Messenger bieten inzwischen Ende-zu-Ende-Verschlüsselung an. Soweit, so gut, aber eben auch gut für Kriminelle, “Gefährder” etc.: Denn wenn die Kommunikation “im Transit” (also von User A zu User B) verschlüsselt ist, können Ermittler und Geheimdienste die Botschaft nicht mehr auf dem Weg abfangen, sondern müssen anders rankommen.

Szenario 1 - Cloud-Zugriff:

Für den späteren Zugriff auf Kommunikation zur Sicherstellung von Beweisen gibt es mehrere Möglichkeiten, vor allem über die Cloud. Zumindest, wenn ein Backup aktiviert ist. Beispiel: Apple verzichtet (wohl auf Druck der Ermittungsbehörden) darauf, die iCloud-Backups komplett Ende-zu-Ende (E2E) zu verschlüsseln, sondern verschlüsselt nur einen Teil E2E. Und Apple ist auch im Besitz eines Schlüssels, weil es de facto Szenarien gibt, in denen Kunden Zugänge zu ihre Backups vergessen/verlieren und Apple als letzte Instanz für die Wieder-Freischaltung benötigt wird (alternativ wären alle Daten für immer weggesperrt, was mächtig Kunden-Ärger bedeuten würde). De facto können hier Ermittler/Geheimdienste mit den entsprechenden institutionellen Freigaben (soweit vorhanden, vgl. Gerichte, Geheimdienstkontrollgremien) zugreifen.

Szenario 2 - Zugriff auf das Gerät:

Bruce Schneier und Orin Kerr haben dazu 2018 ein Paper verfasst. In Kürze: Wenn ich Smartphone/PC (oder den Router) in die Hand bekomme, ist vieles einfacher. Der Content eines Telefons lässt sich virtualisieren, die sechsstellige Pin via Software knacken. Bei PC-Passwörtern ist es etwas komplizierter, weshalb z.B. bei Beschlagnahmung der Nutzer eingeloggt sein muss (so wurde auch Silk-Road-Betreiber Ross Ulbricht überführt).

Szenario 3 - das Echtzeit-Problem:

Schwierig wird es, wenn ich direkt in Echtzeit Zugriff möchte, also quasi digital abhören. Dann muss ich heimlich auf das Gerät oder in die Konversation gelangen. Dafür gibt es verschiedene Methoden, in Deutschland zum Beispiel den Staatstrojaner, der Schadsoftware auf ein Gerät einschleust und die Quellen-Telekommunikationsüberwachung aktiviert (also Chats mitlesbar und E2E-Telefonate “an der Quelle” mithörbar macht, bevor sie verschlüsselt von A nach B reisen). Eine andere Variante solcher Hintertüren sind zum Beispiel der “Ghost Access”, also das heimliche Hinzufügen eines “Dritten” zu einer Konversation (das müsste über die Betreiber, also bei WhatsApp über Facebook Inc. passieren).

Die Staatstrojaner-Methode ist teuer und komplex, die TKÜ hat dem Vernehmen nach immer wieder technische Probleme. “Ghost Access” würde einen Umbau der Schlüssel-Vergabe benötigen. Allen Lösungen ist gemein, dass sie de facto auf einer Ausnutzung oder Schaffung von Sicherheitslücken beruhen. Und Sicherheitslücken existieren dann eben für alle, so bildet die von Edward Snowden enttarnte NSA-Spionagesoftware die Grundlage für viele Malware-/Ransomware-Skripte, die derzeit verwendet werden. Dabei geht es übrigens auch um die Angreifbarkeit von EU-Unternehmen durch Wirtschaftsspionage. Zugleich ist der Bedarf von Ermittlern nach Echtzeit-Überwachung nicht von der Hand zu weisen.

Der Ausblick:

Ich sehe im Moment nicht, dass es bei diesem Thema derzeit einen “Default” gibt, der allen Bedürfnissen gerecht wird. Im Moment ist allerdings klar zu erkennen, dass wieder die Innen- und Sicherheitspolitiker den Ton angeben, also die Forderung nach Überwindung von Verschlüsselung Konjunktur hat; auch, weil das Thema eher im Backend liegt und offensichtlich nicht so nutzernah wie die Angst vor “Upload-Filtern”/Zensur ist, also viele Menschen bislang nicht politisch aktiviert.

Ein zentrale sArgument gegen Hintertüren ist für mich die Geographie des Internets: Denn natürlich kann ich Facebook/WhatsApp dazu zwingen, E2E de facto auszuhebeln. Das macht Kommunikation für alle Nutzer unsicherer, während Kriminelle zeitnah auf andere Dienste ausweichen. Telegram ist zum Beispiel in Dubai registriert und hat Server in aller Welt.

Um dieser geographischen Realität Herr zu werden, wäre eine Reaktion auf diese Ausweichbewegungen, gesetzlich zu veranlassen, dass nur noch Messenger-Dienste mit EU-Betreiberstandort erlaubt sind. Das würde freilich nur in den App-Stores funktionieren, nicht im freien Web bzw. im Jailbreak-Kontext.

Dennoch würde der Schritt angesichts der derzeitigen Renationalisierung des Internets nicht besonders überraschen. Wir würden damit aber deutlich näher als bisher an das chinesische Internet-Modell des “Command and Control” rücken.

Hashtags /zl;ng

#AproposVerschlüsselung Laut Quanta Magazine gab es diesen Sommer einen Durchbruch bei der “Indistinguishability obfuscation” (“ununterscheidbare Verschleierung”), kurz IO. So nennt sich eine Verschlüsselungsmethode, deren Umsetzbarkeit bislang angezweifelt wurde. Das Prinzip: (Programm)-Code wird derartig zerhackt, dass er unverständlich wird, aber trotzdem die Funktionalität bewahrt. Für Verschlüsselung heißt das: Ich könnte zum Beispiel implementieren, dass eine Nachricht glaubhaft die Botschaft “Ich esse Pasta” hat, während der echte verschlüsselte Content “Wir treffen uns um halb drei an der alten Eiche” lautet und nicht nachweisbar ist (Deniable Encryption). Cloud-Daten könnten von einem Computer verarbeitet werden, ohne dass dieser Computer wirklich Klartext-Zugriff erhält (Homomorphe Verschlüsselung) . Der Quanta-Artikel ist sehr detailliert, aber ich bin immer vorsichtig, solche Meilensteine anhand von Medien-Artikeln zu bewerten, zumal ich bei dem Thema Laie bin.

#CyberBewaffnung Ciaran Liam Martin, bis August noch Chef des National Cyber Security Center und damit der höchste Cyber-Geheimdienstler Großbritanniens, hat in einer bemerkenswerten Rede davor gewarnt, Cyber-Bewaffnung als wirksames Mittel zur Abschreckung gegen Cyber-Attacken (Stichwort: mögliches Gegenschlag-Risiko) zu betrachten. Würde es um konventionelle Waffen gehen, würden solche Aussagen global rezipiert werden - aber so bleibt es eine Debatte in der Fachcommunity, genau wie es keine Cyber-Friedensbewegung oder ähnliches gibt. (via)

#InternetInChina (I) Während das Land immer stärker zum digitalen Trendsetter im Konsum-Internet wird, steht nicht nur die große Firewall zwischen China und dem Westen: Viele der chinesischen Ideen, die inzwischen hier kopiert werden (wir erinnern uns: früher war es andersherum) funktionieren im Westen nicht - vom profitablen Essensliefergeschäft bis zur Super-App.

#InternetInChina (II) Xiaowei Wang ist durch das ländliche China gereist und hat sich angeguckt, wie Digitaltechnologie dort die Gesellschaft verändert. Das Ergebnis ist das Buch “Blockchain Chicken Farm”, das auch auf meiner Leseliste steht. Hier ein interessantes Einstiegs-Interview mit ihm.

Ein Lesetipp:

The Rise and Fall of Getting Things Done

Digitalisierung und Produktivitätskultur hängen eng miteinander zusammen - aktuell beim Boom digitaler Wissensmanagements-Systeme zu erleben (disclosure: Ich selbst nutze Roam Research). Cal Newport, Autor des Buchs “Deep Work”, argumentiert in seinem Longread für den New Yorker, dass wir Wissensarbeiter uns in die Tasche lügen, weil die berufliche/organisatorische Overload-Kultur eine Informations-Bändigung für den Einzelnen im Kern unmöglich macht.

Vielen Dank für die Aufmerksamkeit und bis Ausgabe #03!

Johannes

(Foto-Quelle)