Es besteht sofortiger Handlungsbedarf, um nicht noch mehr Gesetzesideen auf den Weg zu bringen, die gar nicht oder nur unter enormem Zeitdruck von Wissenschaft, Zivilgesellschaft, Verbänden und Fachleuten bewertet wurden. Wenige Tage zur schnellen Durchsicht sind mittlerweile mehr Regel als Ausnahme, aber inakzeptabel für eine kompetente Auseinandersetzung mit oft komplexen Gesetzesvorhaben. Daher muss die derzeitige Praxis der viel zu kurzen Zeiträume zur Stellungnahme unmittelbar beendet werden. [1]
Deshalb setzt sich auch der CCC mit diesem offenen Brief für angemessene Fristen ein und gegen eine bloße Scheinbeteiligung:
Wortlaut des Briefes
Sehr geehrte Bundesminister*innen,
die Beteiligung von Zivilgesellschaft und Verbänden an Gesetzgebungsprozessen ist ein elementarer Bestandteil unserer Demokratie. Deshalb ist in § 47 der Gemeinsamen Geschäftsordnung der Bundesministerien (GGO) auch eine „möglichst frühzeitige“ Zuleitung an Verbände vorgesehen.
Leider werden seitens der Bundesministerien in zunehmendem Maße Stellungnahmen zu Gesetzesvorschlägen in weniger als drei Arbeitswochen – teilweise von gerade einmal wenigen Werktagen – erwartet. Trauriger Tiefpunkt waren im Dezember 2020 die Anfragen zu Stellungnahmen für den 4. Referentenentwurf zum IT-Sicherheitsgesetz 2.0 mit einer Kommentierungsfrist von 28 Stunden (bei 108 Seiten) und zur Novellierung des Telekommunikationsgesetzes mit einer Frist von 2 Tagen (bei 465 Seiten).
Wir, die unterzeichnenden Vereine, Stiftungen, Initiativen und Verbände dieses Briefes, fordern Sie als Ressortleiter*in auf, die Verbändebeteiligung als wichtiges Werkzeug demokratischer Teilhabe zukünftig wieder ernsthafter zu verfolgen. Die Einbindung von Zivilgesellschaft und Verbänden liefert wichtige inhaltliche Anregungen, ermöglicht es, Meinungen und Expertise aus Gesellschaft, Wissenschaft und Wirtschaft einzuholen und wirkt der zunehmenden Spaltung der Gesellschaft und der Politikverdrossenheit entgegen. Wir sehen daher folgenden Handlungsbedarf:
-
Angemessene Fristen für die Kommentierung von Gesetzesentwürfen
-
Bereitstellung von Synopsen zur besseren Vergleich- und Nachvollziehbarkeit
-
Veröffentlichung der Referentenentwürfe auf den Websites der Ministerien
-
Eine Öffnung des Partizipationsprozesses
Die Beteiligung der Zivilgesellschaft sollte weiter vereinfacht werden. Nach dem Vorbild der Online-Konsultationsverfahren der Europäischen Union sollte neben der Veröffentlichung aller Referentenentwürfe und Synopsen auch die Kommentierungsmöglichkeit für weitere zivilgesellschaftliche Akteure geöffnet werden. Bisher handelt es sich um eine intransparente Auswahl durch die federführenden Ministerien.
Expertise benötigt Zeit. Unser Anspruch ist, Ihnen fundierte Rückmeldung aus unseren jeweiligen Fachgebieten zu den Gesetzgebungsvorhaben zu liefern. Die Einbeziehung unserer Fachexpert*innen benötigt jedoch immer einen ausreichenden Vorlauf. Dies gilt insbesondere für Organisationen, die auf dem Engagement Ehrenamtlicher fußen. Diesen ist es rein organisatorisch nur schwerlich möglich, eine fundierte Stellungnahme innerhalb weniger Tage auszuarbeiten.
Wir erwarten daher, bei allen künftigen Gesetzgebungsprozessen mindestens vier Arbeitswochen für die Anfertigung von Stellungnahmen einzuräumen. Die Bemessung der Frist sollte sich zudem an der Länge eines Entwurfes orientieren. Denkbar wäre eine Festschreibung von je einer Woche für je 50 Seiten Entwurfsdokument, nicht jedoch weniger als vier Wochen.
Insbesondere wenn, wie im Falle des IT-Sicherheitsgesetzes 2.0, innerhalb weniger Wochen neue Referentenentwürfe geteilt werden, sollte den Anfragen nach Stellungnahme eine Synopse zur vorherigen Version zur besseren Nachvollziehbarkeit der Änderungen beigefügt werden.
Im Sinne eines transparenten Gesetzgebungsprozesses sollten sämtliche Referentenentwürfe, für die Stellungnahmen bei Verbänden eingeholt werden, und Synopsen öffentlich zugänglich sein. Die Entwürfe sollten zeitgleich mit ihrem Versand an die Verbände auf den Websites der Bundesministerien veröffentlicht werden.
Sehr geehrte Bundesminister*innen, wir verstehen unsere Vorschläge als Beitrag zu einem demokratischeren, kooperativeren und inklusiveren Gesetzgebungsprozess und sehen hinsichtlich der Einräumung längerer Kommentierungsfristen dringenden Handlungsbedarf. Anbei finden Sie eine exemplarische Auflistung vergangener Gesetzgebungsvorhaben mit unzureichenden Fristen.
Mit freundlichen Grüßen,
Gesellschaft für Informatik e. V. (GI)
Stiftung Neue Verantwortung
eco – Verband der Internetwirtschaft e. V.
Open Knowledge Foundation Deutschland
Verbraucherzentrale Bundesverband e. V.
Transparency International Deutschland e. V.
Chaos Computer Club (CCC)
BITMi – Bundesverband IT-Mittelstand e. V.
Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.
IfKom - Ingenieure für Kommunikation e. V.
Digitale Gesellschaft e. V.
LOAD e. V. - Verein für liberale Netzpolitik
D64 – Zentrum für digitalen Fortschritt e. V.
IEN Initiative Europäischer Netzbetreiber
Gesellschaft für Datenschutz und Datensicherheit (GDD) e. V.
Links:
[0] Offener Brief mit exemplarischer Auflistung vergangener Gesetzgebungsvorhaben mit unzureichenden Fristen: https://gi.de/meldung/offener-brief-ausreichende-fristen-fuer-verbaendebeteiligung
[1] Innenministerium sabotiert sachkundige Diskussion zum IT-Sicherheitsgesetz 2.0: https://www.ccc.de/de/updates/2020/itsichg
Das Innenministerium will eine sachkundige Beratung eines komplexen Gesetzesvorhabens durch eine derart kurze Frist behindern, dass eine ernsthafte inhaltliche Befassung mit dem Entwurf faktisch unmöglich ist: Am 2. Dezember 2020 wurde vom Bundesinnenministerium (BMI) der Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz (IT-SiG 2.0)) veröffentlicht. Dazu erging die Einladung, Stellungnahmen zum Entwurf einzureichen.
Schließlich sei es „unverzichtbar, dass Fachleute und Betroffene sich frühzeitig (sic) über ihre Einschätzungen austauschen“. Auf diese Weise würde „zum einen die demokratische Beteiligung von Bürgerinnen und Bürgern gefördert“. Zum anderen erhielte „der Gesetzgeber, das Parlament, eine bessere Grundlage für seine Entscheidungen“, schreibt das BMI. Für diese so „unverzichtbaren“ Beiträge räumte das BMI ursprünglich ganze vier Tage ab Veröffentlichung des Entwurfs ein.
Lächerliche Fristverlängerung nach Protesten
Diese Frist wurde nach allseitigen Protesten „korrigiert“: auf sieben Tage. Bis zum 9. Dezember 2020 sollten nun Stellungnahmen eingereicht werden. Wie zum Hohn erdreistete sich Bundesinnenminister Seehofer noch, am 5. Dezember 2020, dem Tag des Ehrenamts, für das Engagement von ehrenamtlich Tätigen einen Dank auszusprechen.
Neuer Gesetzesentwurf am Tag der Deadline
Am Tag des Fristendes für die Stellungnahmen, dem 9. Dezember 2020, wurde eine neue Version des Entwurfs (pdf) bekannt, die nun statt 92 stolze 108 Seiten lang ist und umfassende Veränderungen und Erweiterungen enthält – selbstverständlich nicht kenntlich gemacht. Auch hat sich das BMI nicht bequemt, diese neue Version zu veröffentlichen. Dies kann nur als weitere Bestätigung verstanden werden, dass ernsthafte Teilnahme der Zivilgesellschaft an sachverständigem Austausch unerwünscht ist.
Gezielte Sabotage der demokratischen Prozesse
Die knappe Fristsetzung für Stellungnahmen von Experten und Zivilgesellschaft ist ein immer öfter verwendetes politisches Instrument, um ein schon vorbestimmtes Ergebnis zu erreichen und gleichzeitig die Möglichkeit zur Beteiligung noch vorzutäuschen. Fundierte Stellungnahmen aus Zivilgesellschaft und Wissenschaft sind jedoch offenkundig unerwünscht und werden aktiv verhindert. Nicht nur Ehrenamtlichen ist unzumutbar, einen 108-seitigen Gesetzesentwurf zu einem facettenreichen und wichtigen Thema wie digitaler Sicherheitspolitik innerhalb von Stunden zu analysieren und eine fundierte, zielführende Stellungnahme zu verfassen.
Es ist kein Geheimnis, dass eine derart kurze Frist nicht nur Beratungsresistenz zeigt, sondern politische Gründe hat. Seehofer hat dies selbst eingeräumt. Zum Datenaustauschgesetz erklärte er im Juni 2019 etwa, das Gesetz bewusst „ganz stillschweigend eingebracht“ zu haben. „Wahrscheinlich deshalb stillschweigend, weil es kompliziert ist, das erregt nicht so.“ Und weiter: „Ich hab jetzt die Erfahrung gemacht in den letzten fünfzehn Monaten: Man muss Gesetze kompliziert machen. Dann fällt es nicht so auf.“ Weiterhin betonte er, „nicht Illegales“ zu tun, sondern „Notwendiges“. An Kritik und Sachverstand gerichtet schob er nach: „Auch Notwendiges wird ja oft unzulässig in Frage gestellt.“
CCC fordert Mindestfristen für Beteiligung und Beratung
Auch im Bundestag werden auf diese Weise Gremien und Abgeordnete oft vor de facto vollendete Tatsachen gestellt. Dieser Politik-Stil ist inakzeptabel und muss durch die Festsetzung von Mindestfristen für Beratungen und Stellungnahmen beendet werden. Die Vielzahl von handwerklich schlechten und von hohen Gerichten kassierten Gesetzen in den letzten Jahren hat nicht zuletzt mit dieser Taktik des Vermeidens von Kritik und Beratung durch zu kurze Fristen zu tun.
Das aktuelle IT-Sicherheitsgesetz schreibt eine Evaluation „vier Jahre nach Inkrafttreten der Rechtsverordnung“ vor. Diese ist seit sechzehn Monaten überfällig. Trotzdem soll nun eine neue Version des Gesetzes innerhalb von wenigen Tagen rücksichtslos durchgedrückt werden. Bei einem sicherheitspolitischen Gesetzgebungsverfahren in einem digitalen Entwicklungsland ist diese Situation katastrophal.
Dem laufenden Gesetzgebungsverfahren muss unbedingt der Raum für eine sinnvolle Qualitätssicherung durch Sachverständige gegeben werden. Im Themengebiet aktive und kompetente Organisationen müssen eingebunden werden. Denn ein tatsächlich zielführendes Gesetz benötigt eine qualifizierte Diskussion.
Links:
Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/entwurf-zweites-it-sicherheitsgesetz.html
Biometrische Überwachung in Deutschland
Schon lange warnt der CCC vor biometrischer Vollerfassung und ebenso lange zerlegen Mitglieder des CCC biometrische Systeme. Obwohl biometrische Überwachungssysteme schlechte Erkennungsraten haben und veröffentlichte Ergebnisse eines deutschen Tests offensichtlich geschönt wurden, plante das Innenministerium zuletzt Anfang 2020, Gesichtserkennungssysteme an 135 deutschen Bahnhöfen und vierzehn Flughäfen zu installieren.
In vielen Städten wird an einer Vorratsdatenspeicherung der Offline-Welt gearbeitet. Dieses technische Aufrüsten findet ohne Beachtung der Risiken und Nebenwirkungen statt. In Hamburg etwa überwachen 190 Kameras den Hauptbahnhof, Bilder von „hervorragender Qualität“ werden bis zu dreißig Tage lang gespeichert. Am wenige hundert Meter entfernten Hansaplatz sind Kameras sogar auf Wohnzimmer gerichtet. Auch in Köln werden Bürgerinnen nun von modernsten Kameras überwacht.
Diese Kamera-Systeme sollen zwar noch keine Gesichtserkennung durchführen, jedoch bieten sie die Grundlage für eine nachträgliche Gesichtserkennung auf dem gesammelten Bildmaterial. So wurden während der vier Tage des G20 rund 100 Terabyte an Bildmaterial gesammelt und nachträglich biometrisch analysiert. Löschanordnungen des Hamburgischen Datenschutzbeauftragten hat die Polizei kurzerhand ignoriert. Auch andere Polizeibehörden sammeln fleißig Bilder. Gemeinsam können sie auf einen Bestand von ca. 5,81 Millionen Lichtbildern von ca. 3,65 Millionen Personen zugreifen. Und was die Geheimdienste biometrisch treiben, weiß der Fuchs und werden wir erst irgendwann in der Zukunft in der Zeitung lesen.
Nicht nur Gesichter werden biometrisch erfasst und verarbeitet. Erst Anfang November beschloss der Bundestag, Fingerabdrücke verpflichtend in Personalausweisen zu speichern. Und schon seit nunmehr dreizehn Jahren müssen reisewillige Bürgerinnen ihre Gesichtsbilder und Fingerabdrücke für den Pass abgeben.
Bitte angepasst und unauffällig verhalten
Biometrische Überwachung verletzt Grundrechte wie das Recht auf informationelle Selbstbestimmung und die Meinungsfreiheit. Menschen, die sich überwacht fühlen, verhalten sich vermeintlich konform. Neben der Meinungsfreiheit ist auch das Recht auf anonyme Teilnahme an Versammlungen gefährdet. Die Polizei kann mit Hilfe ihrer wachsenden Gesichter-Datenbanken immer mehr Menschen jederzeit, ungefragt und auch im Nachhinein identifizieren.
Ebenso können Dritte dank Gesichter-Suchmaschinen wie Clearview AI oder pimeyes viele Teilnehmende identifizieren. „Wer zum Beispiel bei Demonstrationen befürchten muss, trotz gesetzestreuem Auftreten identifiziert und gespeichert zu werden, der ändert möglicherweise sein Verhalten und geht nicht mehr demonstrieren“, so der Bundesdatenschutzbeauftragte Ulrich Kelber.
Reclaim Your Face
Der Start der europaweiten Kampagne „Reclaim Your Face“ durch ein Bündnis von zwölf Organisationen aus dem EDRi-Netzwerk ist ein deutliches Zeichen gegen die Art und Weise, wie private Unternehmen und Regierungen mit neuen Technologien experimentieren und Bürgerinnen auf bloße Datenpunkte reduzieren.
Die Kampagne wendet sich gegen den Einsatz von Gesichtserkennung und anderen biometrischen Überwachungstechnologien im öffentlichen Raum. Das Bündnis setzt sich ein für informationelle Selbstbestimmung und für das Recht, am öffentlichen Leben teilzunehmen – ohne ständig als potenzielle Verdächtige oder Versuchskaninchen behandelt zu werden, ohne permanent beobachtet und analysiert zu werden.
„Im Internet wird schon jetzt jeder unserer Schritte haargenau erfasst“, kommentiert Linus Neumann, Sprecher des Chaos Computer Clubs. „Durch Gesichtserkennung und andere biometrische Überwachungstechnologien würde das auch in der Offline-Welt Realität. Diese Erfassung muss jetzt gestoppt werden.“
Organisationen und Privatpersonen können sich der Kampagne durch Zeichnen der Petition anschließen.
Links
- Reclaim your Face!
- Petition
- Ich sehe, also bin ich ... Du. Gefahren von Kameras für (biometrische) Authentifizierungsverfahren
- Hacking fingerprint recognition systems
- Passwort, Chip, Biometrie? – Alles scheiße!
- Die Sendung mit dem Chaos - Iris-Scanner im Samsung Galaxy S8
- Venenerkennung hacken:
- Vom Fall der letzten Bastion biometrischer Systeme
- Wie kopiere ich einen Fingerabdruck?
Anbieter sollen nach dem Willen des EU-Ministerrats Mechanismen in ihre Produkte einbauen, die auf Anordnung durch MITM-Angriffe und Fremdschlüssel die Verschlüsselung unwirksam machen. Im nächsten Schritt sollen die marktbeherrschenden App-Store-Anbieter wie Apple und Google zur Kooperation gedrängt werden, um unkooperative Messenger auszuschließen.
Damit würde für technisch weniger versierte Bürger und Unternehmen der Zugang zu sicherer Ende-zu-Ende-Verschlüsselung faktisch unmöglich. Kriminelle und Terroristen hätten mit geringem Mehraufwand jedoch weiterhin keine Probleme, verschlüsselt zu kommunizieren.
Dieser weltweite Angriff auf die allgemeine IT-Sicherheit wird in euphemistische Formulierungen verpackt. Man wolle mit Firmen und der Akademia „gemeinsame Lösungen finden, die allen Anforderungen gerecht würden“. Nachdem frühere Anläufe wie etwa generelle Hintertür-Schlüssel am Widerstand von Zivilgesellschaft und Wirtschaft gescheitert sind, firmiert der neue Anlauf nun als „verantwortungsvolle Verschlüsselung“ („responsible encryption“).
Jede sich bietende Gelegenheit wird genutzt
Der Aufreger der Woche ist den Innenpolitikern und Geheimdiensten dabei relativ egal: Als Begründungen für die Notwendigkeit der Maßnahmen werden – je nach innenpolitischer Wetterlage des Tages – politischer Extremismus, Terrorismus oder Darstellungen von Kindesmissbrauch verwendet. Bei jeder sich bietenden Gelegenheit werden aus den konziliant klingenden Formulierungen konkrete Forderungen, Verordnungen und Gesetze angeschoben. Deswegen ist es jedes Mal aufs Neue wichtig, dass Wirtschaft und Zivilgesellschaft klar Position beziehen und Widerstand leisten.
Der „Verschlüsselungsstandort Nr. 1“ wird zum BER
Es ist noch keine sechs Jahre her, dass die Bundesregierung Deutschland als „Verschlüsselungsstandort Nr. 1“ ausrief. Nicht einmal ein Jahr später wurden die Staatstrojaner-Befugnisse für Strafverfolgungsbehörden erheblich ausgeweitet, und erst vor drei Wochen beschloss die Bundesregierung die Befugnis zum Staatstrojaner-Einsatz für sämtliche deutschen Geheimdienste.
Weshalb die jüngst drastisch ausgeweiteten Trojaner-Befugnisse nun schon wieder nicht mehr genügen sollen, begründen die Verschlüsselungsfeinde wie immer nicht. Auch die vom Bundesverfassungsgericht angemahnte (BVerfG, 1 BvR 256/08) Überwachungsgesamtrechnung, die die Gesamtheit der Abschnorchel-Befugnisse der Behörden betrachtet, wird wieder einmal ignoriert.
Verschlüsselung ist Sicherheitsanker der Digitalisierung
Als WhatsApp 2016 Ende-zu-Ende-Verschlüsselung ausrollte, wurde diese Reaktion auf die Enthüllungen Edward Snowdens zu Recht international gefeiert und mancherorts mit Erleichterung aufgenommen. Gerade das Feld der Ende-zu-Ende-verschlüsselten Messenger ist essentiell für die weitere Innovation in der Online-Kommunikation und -Wirtschaft. Die Vertrauenswürdigkeit und Sicherheit der digitalen Kommunikation liegt auch der EU-Kommission am Herzen, die ihre Mitarbeiter Anfang des Jahres eindringlich zur Nutzung verschlüsselter Messenger drängte.
Diese Sicherheit nun zu unterminieren, ist eine klare Gefährdung der europäischen Wettbewerbsfähigkeit, Innovationskraft und Sicherheit: In einer digitalisierten Welt brauchen Unternehmen Schutz vor Wirtschaftsspionage und Bürgerinnen Schutz vor allumfassender Überwachung durch Konzerne, Regierungen und Kriminelle. Dieser noch lückenhafte Schutz muss jetzt massiv ausgebaut werden, wenn wir unsere liberale Gesellschaft und wirtschaftliche „Vorreiterstellungen“ erhalten wollen.
Gerade kleinere Unternehmen sind darauf angewiesen, den am Markt befindlichen Schutzmitteln vertrauen zu können. Dazu gehören insbesondere die in Deutschland so häufig beschworenen „hidden champions“. Aber auch die Großen der Branche sollten nicht als Handlanger von Regierungen instrumentalisiert und zur Schwächung ihrer Verschlüsselungsmaßnahmen gezwungen werden.
Wenn Verschlüsselung kriminalisiert wird, verschlüsseln nur noch Kriminelle
Verschlüsselung kann nicht zwischen Gut und Böse unterscheiden. Entweder ist sie sicher oder sie ist es nicht. Man kann Verschlüsselung nicht so schwächen, dass die Schwächen nur durch Strafverfolgungsbehörden ausgenutzt werden können. Wohl aber können versierte Nutzer auf kaputte Kryptographie verzichten. Im Ergebnis hätten nur noch Kriminelle wahren Schutz: If privacy is outlawed, only outlaws will have privacy.
International koordinierter Angriff: „Wer will nochmal, wer hat noch nicht?“
Die Vorstöße des EU-Ministerrats reihen sich ein in eine ganze Serie von weltweiten Angriffen auf Verschlüsselung. So waren zuletzt im Iran und China sichere Varianten des DNS- bzw. TLS-Protokolls blockiert worden.
Indien, Japan und die angelsächsische Geheimdienst-Koalition „Five Eyes“ blasen seit Jahren ins gleiche Anti-Krypto-Horn und haben in letzter Zeit wieder begonnen, entschiedener gegen Ende-zu-Ende-Verschlüsselung vorzugehen. Die EU-Kommission plant seit einigen Monaten einen ähnlichen Angriff, der mit dem Kampf gegen dokumentierten Kindesmissbrauch begründet wird.
Es geht um die digitale Zukunft von Wirtschaft & Zivilgesellschaft
„Das Vorhaben des EU-Ministerrats geht in die völlig falsche Richtung. Sichere Ende-zu-Ende-Verschlüsselung muss die Regel werden, um den Schutz von Wirtschaft, Zivilgesellschaft und Politik im 21. Jahrhundert zu gewährleisten. Stattdessen würde uns dieser Schuss ins eigene Knie zurück in die Steinzeit katapultieren“, sagte Dirk Engling, Sprecher des Chaos Computer Clubs.
Links:
Der Chaos Computer Club hat sich so oft in Stellungnahmen und Pressemitteilungen gegen derartige Angriffe auf Verschlüsselung positioniert und technische Argumente erklärt, dass es uns spontan nicht gelungen ist, eine vollständige Übersicht anzufertigen. Wir verweisen daher nur auf eine Auswahl der vergangenen Jahre:
Kurz vor dem Abschluss der Verhandlungen zwischen Parlament, Kommission und den Mitgliedsstaaten versuchen die deutsche Ratspräsidentschaft und die EU-Kommission nun mit einem erneuten Vorstoß, Uploadfilter in die TCO aufzunehmen: Inhalte, die von einem Mitgliedsstaat nach eigenem Ermessen als „terroristisch“ eingestuft werden, sollen innerhalb einer Stunde von Plattformen gelöscht und das erneute Hochladen verhindert werden.
Uploadfilter
Plattformen sollen „proaktive“ und „spezifische Maßnahmen“ treffen, um das erneute Hochladen von als „terroristisch“ eingestuften Inhalten zu verhindern. Das ginge nur mit Uploadfiltern.
Nach Annahme der umstrittenen Urheberrechtsreform verlangte die deutsche Bundesregierung noch, „Uploadfilter nach Möglichkeit zu verhindern“. Auch entgegen dem Koalitionsvertrag werden Uploadfilter in der TCO allerdings jetzt von der Bundesregierung unterstützt.
Wir fordern den vollständigen Verzicht auf Uploadfilter.
Und dafür gibt es gute Gründe:
Benachteiligung kleiner Plattformen
Uploadfilter müssten sämtliche Inhalte prüfen, die von Nutzern hochgeladen werden. Da wenige Plattformen diesen immensen Aufwand leisten können, droht damit eine Zentralisierung auf wenige große Anbieter. Also werden erneut kleinere Plattformen hart belastet, während die kommerziellen Werbenetzwerke und großen Konzerne ihre Macht zementieren können.
Nach Vorstellung der Kommission müssten Plattformen künftig innerhalb von einer Stunde nach Eingang einer Beschwerde reagieren. In dieser Zeit ist dann darüber zu entscheiden, ob es sich um einen als „terroristisch“ eingestuften Inhalt oder etwa einen vom Zitatrecht gedeckten journalistischen Inhalt oder vielleicht Satire handelt. Insbesondere kleine und nicht-kommerzielle Plattformen können kaum den nötigen Aufwand leisten und die Kosten aufbringen, um eine solche Frist rund um die Uhr einhalten zu können. Für Community-Plattformen ist dies nicht weniger als die Bedrohung ihrer Existenz.
Wir fordern eine Lockerung der Anforderungen für kleine Plattformen.
Gefahr für Freiheit von Meinung, Presse, Forschung und Lehre
Uploadfilter sind nicht nur fehleranfällig, sondern berücksichtigen auch nicht den inhaltlichen Kontext einer Veröffentlichung. So kann das gleiche Bild für Propaganda einer terroristischen Vereinigung oder zur Presseberichterstattung genutzt werden. Probleme mit Overblocking sind also vorprogrammiert.
Bisher ist das Risiko der Unterdrückung legitimer journalistischer Inhalte und Meinungen in Deutschland noch gering. Darauf sollten wir stolz sein. Mit Sorge beobachten wir – wie übrigens auch die Kommissionspräsidentin – beunruhigende Entwicklungen in anderen, auch europäischen Ländern. Dem dürfen wir nicht noch Vorschub leisten, indem Uploadfilter in Europa verpflichtend werden. Und dass Uploadfilter fehlerfrei arbeiten würden, behaupten ja nicht mal die härtesten Verfechter.
Wir fordern den vollständigen Verzicht auf automatisierte Löschungen.
Der aktuelle Verhandlungsstand sieht nicht vor, dass Inhalte von Bloggerinnen, Content-Produzentinnen (etwa YouTuberinnen) und Nichtregierungsorganisationen den journalistischen Schutz genießen dürfen. Auch die kulturelle und die dokumentarische und wissenschaftliche Arbeit braucht besonderen Schutz gegen Uploadfilter.
Wir fordern explizite Ausnahmen für journalistische, archivarische, künstlerische und dokumentarische Nutzung in Bildungskontexten.
Löschbefehle aus dem EU-Ausland
Institutionen anderer europäischer Länder könnten durch Löschanordnungen unbequeme Inhalte in Deutschland und europaweit entfernen lassen. Gleichzeitig werden die – meist außerhalb der EU ansässigen – Großplattformen zu Hilfssheriffs für die Einhaltung der europäischen Grundrechte auserkoren, da allein ihnen die Kompetenz zugesprochen wird, einer Löschanordnung zu widersprechen. Das ist so offensichtlich falsch und kurzsichtig, dass sich die Balken biegen und sich die Diktatoren dieser Welt nun ins Fäustchen lachen können.
Wir fordern einen adäquaten Rechtsweg für Löschanweisungen.
Die Kommission will es nicht lernen
„Uploadfilter haben katastrophale Folgen für Wirtschaft und Gesellschaft. Für die Verbreitung tatsächlicher terroristischer Inhalte stellen sie indes keine Herausforderung dar“, sagte Linus Neumann, Sprecher des Chaos Computer Clubs.
Es wird Zeit, dass Bundesregierung und Kommission endlich erkennen, dass ihre unselige Uploadfilter-Idee an der Realität scheitert.
Als „Pyonen“ sind Marc-André Janizewski und sein Mitstreiter Markus Ossevorth seit Jahrzehnten weit über Berlin hinaus als Pioniere der Open-Air-Kultur bekannt.
André verstand es wie kaum ein anderer, kreative Netzwerke aus Künstlerinnen jeder Art zu formen. Diese unverkennbare Handschrift brachte die Pyonen und den CCC erstmalig 1999 zusammen: Beim Chaos Communication Camp entstand durch eine enge Kooperation beider Gruppen nicht nur ein Hacker-Camp, sondern ein utopisches Gesamtkunstwerk. Durch seine visuelle Kreativität hauchte André der Location und dem Event die besondere Magie ein, der sich niemand entziehen konnte und die für viele weitere Veranstaltungen des Clubs prägend wurde.
Die gewachsene Freundschaft ebnete dem Club ganz neue Perspektiven, Wege und Möglichkeiten. Dies zeigte sich vor allem bei den nachfolgenden Camps, denen André jedes einzelne Mal mit seiner unverwechselbaren und außergewöhnlichen Raumgestaltung seinen persönlichen Stempel aufdrückte. Aber auch der Chaos Communication Congress und viele andere Veranstaltungen im Clubumfeld entwickelten sich durch seinen Einfluss zunehmend künstlerischer, diverser, utopischer. Nerd- und Partykultur verschmolzen zu einer neuen Community. Vielleicht wäre es ohne den „Realitätsfluchthelfer“ André so nie gekommen.
Für den nicht zu selten mit gewichtigen gesellschaftlichen und dystopischen Themen beschäftigten Club boten die Leichtigkeit und Schönheit von Musik, Kultur und freiem Himmel eine wichtige Energiequelle: einen kurzen Moment der Utopie.
André selbst blieb dabei immer zurückhaltend und still im Hintergrund. Mit Liebe zum Detail schuf er temporäre Räume und verträumte Situationen. Er selbst war zufrieden, wenn die Menschen sich daran erfreuten. Meist fand man ihn am Rande des Geschehens, gemütlich auf dem Sofa sitzend, das Treiben verträumt genießend.
Nie drängte er sich ins Rampenlicht, nie verlangte er viel Anerkennung – und es sollte zwanzig Jahre dauern, bis wir das erste Mal mit ihm und Markus öffentlich auf die lange und intensive gemeinsame Zeit zurückblicken konnten: Auf dem letzten Camp sprachen die beiden mit Tim Pritlove über diese besondere Zusammenarbeit.
Es ist allgemein bekannt, dass Ehrenmitgliedschaften vergeben werden, damit sich der Verein mit den Würdenträgern schmücken kann – nicht etwa umgekehrt. Wir sind stolz, dass „zewski“ und Markus seit 2016 Ehrenmitglieder des Chaos Computer Clubs sind.
Wir sind voller Dankbarkeit für die schöne und weite Reise, auf der André uns als maßgeblicher Navigator begleitet hat. Seine unverkennbare Handschrift steckt in vielem, was den Chaos Computer Club und seine Veranstaltungen heute für tausende Menschen ausmacht.
Wir hoffen, dass wir sie bewahren können.
Unsere Gedanken sind bei Andrés Angehörigen, Freunden und engen Begleitern.
Mach’s gut, André. You will be missed.
Links
- media.ccc.de: 20 Jahre Camp mit Marc-André Janizewski und Markus Ossevorth
- Küchenradio: KR190 Pyonen
- cre.fm: CRE 219: Partykultur – Über Musik, Gestaltung und gelebte Freiräume
- ARD Mediathek: Ein Dorf im Techno-Fieber (Video verfügbar bis 05.09.2021)
In der vergangenen Woche haben Mitglieder des CCC Schwachstellen in einer Online-Plattform für Reservierungen und Kontakt-Erfassung in der Gastronomie gemeldet und veröffentlicht. [1] Durch vollmundige Versprechungen auf Twitter erregte ein Konkurrenzangebot ihr Interesse. Dort gefundene Schwachstellen hat der CCC gemeldet, sie wurden durch das Unternehmen zügig behoben.
Verschlüsselte Daten
Die betroffene Plattform verschlüsselt die erfassten Daten jeweils so, dass nur die Gastgeberin diese entschlüsseln kann. Diese Maßnahme verhinderte erfolgreich das retrograde Auslesen der erfassten Daten: Trotz der vorhandenen Schwachstellen blieben so über 400.000 Datensätze von über 1.000 Einrichtungen vor fremdem Zugriff geschützt.
Allerdings war es möglich, die zur Verschlüsselung verwendeten Schlüssel unbemerkt auszutauschen.
Die Folge eines solchen Angriffs:
- Alle zukünftig erfassten Daten wären durch Angreiferinnen zugreifbar gewesen.
- Die betroffenen Gastronominnen hätten keinen Zugriff mehr auf die Daten gehabt.
Im Ernstfall wäre also eine Kontaktverfolgung nicht mehr möglich gewesen.
Zügige Reaktion
Ein 18-seitiger Bericht über die Schwachstellen wurde dem betroffenen Unternehmen am 2. September um 17:09 Uhr übermittelt. Bereits am nächsten Tag um 12:20 Uhr wurde die Behebung der gemeldeten Schwachstellen schriftlich bestätigt. Wir danken für die Nachtschicht!
Die Schwachstellen waren im Einzelnen:
1. Fehlende Autorisierungsprüfung
Gastgeberinnen konnten die Stammdaten und die öffentlichen Schlüssel anderer Gastgeberinnen überschreiben und dadurch Vollzugriff auf deren Konten erlangen.
Diese Schwachstelle wurde laut Betreiber behoben.
2. Nicht-authentisierter Schlüsselaustausch
Öffentliche Schlüssel der Gastgeberinnen konnten von Besucherinnen nicht auf Echtheit geprüft werden. Ersetzte eine Angreiferin den öffentlichen Schlüssel einer Gastgeberin durch ihren eigenen, so konnte nur noch die Angreiferin – und nicht mehr die Gastgeberin – die damit verschlüsselten Kontaktdaten entschlüsseln.
Diese Schwachstelle verliert durch die Behebung von Schwachstelle #1 ihre akute Kritikalität und wird laut Betreiber zeitnah adressiert.
3. Administrativer Vollzugriff auf Content-Management-System
Unter Ausnutzung veröffentlichter Zugangsdaten des Content-Management-Systems und einer Änderung der Rollenzugehörigkeit gelang administrativer Vollzugriff auf bestimmte Inhalte der Online-Präsenz, die jedoch nicht im Zusammenhang mit der Kontaktverfolgung standen.
Diese Schwachstelle wurde laut Betreiber behoben, indem das Content-Management-System durch statische Seiten ersetzt wurde.
4. Code-Ausführung im Content-Management-System
Durch Hochladen ausführbarer PHP-Skripte konnten Nutzerinnen des Content-Management-Systems beliebigen Code ausführen.
Diese Schwachstelle wurde laut Betreiber behoben, indem das Content-Management-System durch statische Seiten ersetzt wurde.
Bewertung: Verschlüsselung schützt
Nicht selten wird Verschlüsselung von Strafverfolgungsbehörden und Geheimdiensten verteufelt. Am vorliegenden Beispiel zeigt sich einerseits ihre Wichtigkeit für Datenschutz, Privatsphäre und IT-Sicherheit: Dank Verschlüsselung blieben über 400.000 Datensätze von über 1.000 Einrichtungen vor fremdem Zugriff geschützt. Weitere 300.000 Datensätze blieben geschützt, weil die Betreiber der Löschpflicht nachkommen.
Andererseits zeigen sich auch übliche Tücken bei der Implementierung: Wenn Schlüssel nicht unabhängig verifiziert werden, können sie unbemerkt ausgetauscht werden. Wenn Daten mit dem falschen Schlüssel verschlüsselt sind, sind sie verloren.
„Wer verschlüsselt, kann auch mal große Klappe haben“, sagte Martin vom CERT mit Bezug auf ein vollmundiges Versprechen der Betreiber von darfichrein.de.
Das CERT (Chaos Emergency Response Team) ist der Brandschutz- und Sanitätsdienst des CCC.
Links:
Das Chaos Emergency Response Team (CERT) ist vielen bekannt als das Sanitäts- und Brandschutz-Team auf Veranstaltungen des CCC. Doch auch in der veranstaltungsfreien Zeit engagiert sich das CERT stets für die Sicherheit seines Umfelds.
Digitale Corona-Listen
Bei einem gemeinsamen Restaurantbesuch wurden Mitglieder des CERT gebeten, sich in eine digitale „Corona-Liste“ einzutragen. Die gastgebenden Gastronominnen wollten die verpflichtende Datenerfassung offenbar modern und unkompliziert gestalten – mit Hilfe einer Cloud-Software.
Deren vollmundige Versprechen über die Sicherheit der erfassten Daten weckten Argwohn und Altruismus des CERT-Teams. Wie erwartet hatte das System akuten Bedarf an Sanitäts- und Brandschutzmaßnahmen durch Spezialkräfte des CCC.
Über 87.000 Corona-Datensätze und 5,4 Mio. Reservierungen
Verschiedene Schwachstellen ermöglichten den Zugriff auf insgesamt 87.313 Corona-Kontakterhebungen von 180 Restaurants, die das System aktiv nutzten*.
Im betroffenen System wurden jedoch nicht nur Corona-Listen, sondern auch Reservierungen, Bestellungen und Kassenumsätze gespeichert. Der Cloud-Service wirbt damit, monatlich über 96 Mio. Euro Umsatz von 7,7 Mio. Kundinnen sowie 600.000 Reservierungen über das System abzuwickeln*. Persönliche Daten von Besucherinnen werden vor allem bei Reservierungen und Corona-Registrierungen erfasst.
Insgesamt war der Zugriff auf 4,8 Mio. Personendatensätze aus über 5,4 Mio. Reservierungen möglich, wie der Cloud-Service bestätigt*.
Daten reichen über ein Jahrzehnt zurück
Erstaunt stellte das CERT fest, dass im System personenbezogene Daten gespeichert sind, die teilweise ein ganzes Jahrzehnt zurückreichen. Der Cloud-Service versteht sich als „Auftragsverarbeiter“ und verortet die Verantwortung zur Löschung bei den Gastronominnen. Die wiederum schienen sich dessen oft nicht bewusst zu sein und vertrauten verständlicherweise auf die Full-Service-Cloud.
Mehrere Schwachstellen
Mangelndes Rechte-Management
Durch eine fehlerhafte Prüfung der Zugriffsrechte konnte im Handumdrehen administrativer Vollzugriff auf sämtliche im System gespeicherten Daten erlangt werden. Andere Fehler in der API ermöglichten Nutzerinnen auch ohne besondere Rechte den Zugriff auf schützenswerte Daten, die nicht für ihre Augen bestimmt waren. So konnte zum Beispiel Restaurant A auf die Corona-Daten von Restaurant B zugreifen.
Unzureichend geschützte Passwörter
Auch unzureichend geschützte Passwörter konnten mittels einfachem API-Request abgerufen werden. Dabei fielen dem Katastrophenschutz des CCC nicht nur Hashes, sondern auch Passwörter im Klartext auf. Für neuere Accounts wurde immerhin eine zeitgemäße Hashing-Methode verwendet. Dennoch hätten in einer Stichprobe über 25% der Passwörter aus ihren Hashes geborgen werden können. Triviale Passwörter wie „1234“ deuteten auf das Fehlen einer angemessenen Passwortrichtlinie hin.
Das Risiko schlecht geschützter Passwörter geht über den betroffenen Dienst hinaus, weil Nutzerinnen oft dazu neigen, das gleiche Passwort für mehrere Accounts zu verwenden.
Großzügiges Bestellsystem
Haben Sie in der Vergangenheit einmal vergeblich auf Ihr bestelltes Essen gewartet? Oder wurde Ihnen in einer Hamburger Eck-Kneipe mit 42 Litern Bier eine spontane Freude bereitet? Vielleicht hatte einfach nur eine brasilianische Teenagerin Spaß an der offenen API… Diese hat es ohne weitere Hindernisse ermöglicht,
- die Speisekarten aller Restaurants einzusehen und damit
- für Dritte Bestellungen auszulösen oder zu stornieren,
selbstverständlich unter Umgehung sämtlicher gesetzter Einschränkungen. Weltweiter, grenzenloser Service!
Schnelle Reaktion des Cloud-Anbieters
Alle gefundenen Schwachstellen wurden durch die CERT-Mitglieder Sophie, Martin, cwoomio,
deinkoks, Lady_Raven, Metal_Warrior,
Wellenformer, blubbel und cbro
schriftlich dokumentiert und dem Betreiber gastronovi mit der Bitte um Behebung mitgeteilt.
In einer zügigen Reaktion bestätigte gastronovi alle gemeldeten Schwachstellen und machte sich an die umgehende Behandlung. Den lebensrettenden Sofortmaßnahmen folgt auf Rat des CCC nun auch eine ausführliche Diagnostik des Systems durch geschultes Fachpersonal.
CCC rät von digitalen „Corona-Listen“ ab
Laut gastronovi sind die gemeldeten Schwachstellen inzwischen kuriert. Doch auch in den Systemen anderer Cloud-Services wurden bereits ähnliche Schwachstellen gefunden.
„Denken first, digital second“, kommentiert Linus Neumann, Sprecher des Chaos Computer Clubs. „Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen.“
So haben etablierte Cloud-Services bestehende Systeme oft nur hastig „umfunktioniert“, statt sich spezifisch mit den Sicherheits- und Datenschutzanforderungen des Contact-Tracings auseinanderzusetzen. „Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hackerinnen warten.“
Empfehlungen für Besucherinnen
Sollte Ihr präferiertes Restaurant auf Cloud-Erfassung bestehen, raten wir zu neuen kulinarischen Abenteuern in anderen Etablissements.
Doch auch bei papierbasierter Erfassung empfiehlt der CCC das Einrichten einer gesonderten pseudonymen E-Mail-Adresse nur für diesen Zweck. Viele kostenlose Dienstanbieter ermöglichen zum Beispiel eine Weiterleitung von eingehenden Nachrichten an die eigentliche E-Mail-Adresse. Fünfzehn Minuten Aufwand gewährleisten Datensparsamkeit ohne das Risiko, eine wichtige Warnung zu verpassen.
Empfehlungen für die sichere Erfassung
Der Chaos Computer Club rät grundsätzlich von digitalen Corona-Listen ab – erst recht, wenn diese ihre Daten in einer Cloud speichern, statt im Restaurant.
Auch in unseren eigenen Hackspaces verwenden wir folgendes Papier-System:
- Jede Besucherin oder Gruppe erhält einen gesonderten Zettel zur Erfassung, damit nicht die Daten anderer Gäste eingesehen werden können.
- Der ausgefüllte Zettel wird in einen verschlossenen Briefkasten geworfen, um ihn dort vor neugierigen Blicken zu schützen.
- Dieser wird am Ende des Tages in einen Umschlag geleert, welcher mit dem Datum des erfassten Tages beschriftet und versiegelt wird.
- Die versiegelten Umschläge werden an einem sicheren Ort aufbewahrt.
- Täglich wird ein Umschlag sicher vernichtet, dessen Frist abgelaufen ist – und ein neuer kommt hinzu.
Empfehlungen an den Gesetzgeber
Das Ziel, Besucherinnen im Falle eines Falles schnell informieren zu können, ist legitim und wichtig. Dennoch wurden dem Unterfangen eine Reihe unnötiger Probleme in den Weg gelegt:
- Es häufen sich die Fälle, in denen die Listen für Polizei-Ermittlungen zweckentfremdet wurden. Derartige Maßnahmen motivieren Besucherinnen, falsche Daten in die Listen einzutragen.
- Der Gesetzgeber sieht keinen Anlass, diesem Datenmissbrauch ein Ende zu setzen. Damit wird das geringe verbliebene Vertrauen weiter untergraben.
- In vielen Einrichtungen liegen die Listen offen aus, was die Sorge vor unerwünschtem Kontakt durch andere Gäste weckt.
Leichtfertig verspieltes Vertrauen kann jetzt nur noch durch eine klare gesetzliche Regelung zurückgewonnen werden.
* Markierte Angaben wurden durch gastronovi schriftlich bestätigt oder konkretisiert.
Erst am Mittwoch hat der Chaos Computer Club (CCC) im Bundestagsausschuss für Menschenrechte die Bedeutung von Technologien und Infrastrukturen zur Umgehung von Überwachung und Zensur betont. Nun droht der Open-Source-Community ein empfindlicher Rückschlag.
Journalistinnen und andere Zielpersonen von staatlichen und nicht-staatlichen Angriffen können auf verschiedene Open-Source-Tools zurückgreifen, um sich gegen Überwachung und Repression zu schützen. Transparenz und Überprüfbarkeit sind in diesem Bereich unverhandelbare Voraussetzung für die Sicherheit und Vertrauenswürdigkeit der verwendeten Systeme. Wie von selbst versteht sich, dass derartige Tools nicht wirtschaftlichen Erwägungen von kommerziell orientierten Unternehmen untergeordnet sein dürfen. Die vertrauensvollste Möglichkeit zur Finanzierung ihrer Entwicklung ist daher die Förderung von Not-for-profit-Projekten.
Der Messenger Signal und das Anonymisierungs-Framework Tor sind nur zwei Leuchtturmprojekte einer aktiven, aber ständig auch unter Finanzierungssorgen leidenden Community. Der Open Technology Fund (OTF) der US-Regierung hat sich in den letzten acht Jahren zu einer der wichtigsten Stützen dieser unabhängigen Community entwickelt.
Nun will die Trump-Administration dem ein schnelles und erbarmungsloses Ende bereiten:
- In der U.S. Agency for Global Media, welches den OTF verwaltet, wurde eine neue Trump-loyale und Bannon-nahe Führung installiert.
- Am 17. Juni wurde die OTF-Führung entlassen und das bisherige unabhängige und international besetzte Board durch fachfremde Trump-Loyalisten ersetzt.
- Eine koordinierte Lobbying-Kampagne will die bisherigen Budgets zur Förderung von proprietären Closed-Source-Systemen umleiten.
- Libby Liu, CEO des OTF, sah sich zum Rücktritt unter Protest gezwungen.
Zusammen mit vielen anderen internationalen Organisationen wendet sich der Chaos Computer Club gegen diesen koordinierten Angriff: Save Internet Freedom: Support the Open Technology Fund. Ebenfalls rufen wir andere Individuen und Organisationen dazu auf, den offenen Brief zu zeichnen. Es bleibt nur ein kurzes Zeitfenster, diesen immensen Schaden für die Open-Source-Community abzuwenden.
Gleichzeitig zeigt dieser Vorgang die verheerende einseitige Abhängigkeit bei diesen Open-Source-Technologien auf. Vergleichbare unabhängige Finanzierungsstrukturen in Europa fehlen schmerzhaft. Auch wenn der bevorstehende Schlag noch abgewendet werden kann, müssen Deutschland und Europa dringend solide Strukturen zur unabhängigen Finanzierung von Open-Source-Werkzeugen für Informations- und Kommunikationsfreiheit aufbauen.
Der CCC wird neben seiner schriftlichen Stellungnahme [1] zu den Fragen der Abgeordneten am 17. Juni auch mündlich Auskunft geben, die Anhörung wird aufgezeichnet [2].
Der weltweite Schutz von Menschenrechten wird immer stärker zu einer Frage der Technologiepolitik. Deutschland und Europa als Herstellerländer von Überwachungs- und Dual-Use-Technologien müssen sich der Verantwortung stellen, die mit ihrer Rolle als Produktionsstandort einhergeht. Menschenrechte müssen als mindestens gleichwertiges Ziel gegenüber außen- oder sicherheitspolitischen Zielen angesehen werden. Besser noch sollten sie übergeordnete Basis und Wertesystem allen gesetzgeberischen und staatlichen Handelns sein.
Verschlüsselung und Anonymisierungsdienste wie Tor sind grundlegend für sichere Kommunikation und den Schutz von Informationen vor dem Einblick durch Fremde. Für von Repression oder Überwachung betroffene Menschen ist es essenziell wichtig, dass Verschlüsselungsverfahren und Anonymisierungdienste weder abgeschwächt noch mit Hintertüren versehen werden. Jegliche Bestrebungen demokratischer Staaten, Anonymisierung und Verschlüsselung für die Zwecke von Strafverfolgung und Geheimdiensten zu verbieten, einzuschränken oder zu schwächen, führen unmittelbar zu einer drastischen Verschlechterung der Situation von schutzbedürftigen Personen, deren Menschenrechte auf vielfältige Weise verletzt werden.
Die derzeitige Rolle Deutschlands und der EU bei der Ausrüstung von nicht-demokratischen Regimen mit Überwachungssystemen und Dual-Use-Technologien bedarf einer Neubewertung und einer Reform der Exportkontrolle. Dies ist umso wichtiger, je weiter für Überwachung und Menschenrechtsverletzungen geeignete Dual-Use-Technologien wie Gesichtserkennung und Distanzbiometrie oder die Auswertung digitaler Lebensspuren verbreitet werden. Automatisierte Massen-Gesichtserkennung sollte grundsätzlich verboten und ihr Export untersagt werden.
Im aktuellen Trilog zur Dual-Use-Verordnung auf EU-Ebene werden gerade neue Regeln für den Export von Überwachungssystemen gesetzt. Eine Ausweitung und gleichzeitige Modernisierung der Exportkontrolle ist unbedingt notwendig, um Europa nicht weiter zum digitalen Handlanger von Diktaturen zu machen.
Weiterhin sollte im Rahmen des grundlegenden Primats der Menschenrechte die Verwendung von im Rahmen von EU-geförderten Projekten erzeugten Ergebnissen und insbesondere Software durch die Festlegung einer Verwendungslizenz reguliert werden, die ihre Benutzung in Überwachungssystemen ausschließt.
Links
Auf dem 36C3 präsentierten Sicherheitsforscher des CCC, wie sich Unbefugte gültige Heilberufsausweise, Praxisausweise, Konnektor- und Gesundheitskarten auf die Identitäten Dritter verschaffen können. Damit gelang anschließend der Zugriff auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten.
Ein Investigativteam des NDR ließ sich sogar einen Arztausweis an die Käsetheke liefern und bestätigte so den Befund des CCC eindrücklich.
Doch statt die Mängel wie vom CCC gefordert abzustellen, werden diese nunmehr gesetzlich festgeschrieben. Mit den neuen Regelungen soll die Verpflichtung zur sicheren Identifikation des Versicherten bei Kartenbeantragung vollständig entfallen. Die Ausgabe der Gesundheitskarte wird nur noch auf niedrigem Sicherheitsniveau vorgeschrieben.
Krankenkassen als Herausgeber der Gesundheitskarte, dem Zugangsschlüssel zur kommenden elektronischen Patientenakte und damit Deutschlands größtem Gesundheitsdatenschatz, sollen mit dem Gesetzentwurf zudem von den Sanktionen der Datenschutzgrundverordnung (DSGVO) ausgenommen bleiben. Dabei kommen sie ihren datenschutzrechtlichen Verpflichtungen regelmäßig nicht nach, wie die spätestens seit 2014 wiederholt ausgenutzten Mängel bei der Beantragung und Ausgabe der Gesundheitskarte zeigen. Die im Gesetzentwurf vorgesehenen und im Verhältnis zum Ausgabevolumen der Krankenkassen von mehr als 25 Mrd. Euro völlig unzureichenden Bußgeldvorschriften entstammen dem zahnlosen alten Bundesdatenschutzgesetz (BDSG) und setzen keinen dringend notwendigen Anreiz zur Behebung dieser langjährigen Versäumnisse.
„Die Schwachstellen wurden zunächst theoretisch angemahnt. Dann haben wir sie praktisch demonstriert. Eine Behebung wurde medienwirksam angekündigt. Und doch werden sie weiter ignoriert. Dieser Umgang ist einfach fahrlässig“, sagte Martin Tschirsich, der als Sachverständiger des CCC dem Gesundheitsausschuss am 27. Mai Auskunft geben wird. Seine Initiativ-Bewerbung als Sachverständiger hatte er schon auf der Bühne des 36C3 mit der Demonstration der Schwachstellen eingereicht.
Der CCC veröffentlicht schon heute die schriftliche Stellungnahme zur Sachverständigenanhörung im Gesundheitsausschuss des Deutschen Bundestags am 27. Mai.
Links:
- Stellungnahme zur Sachverständigenanhörung im Gesundheitsausschuss am 27. Mai 2020
- Pressemitteilung Dez. 2019: CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk
- Vortrag Dez. 2019: "Hacker hin oder her": Die elektronische Patientenakte kommt!
- Aktueller Entwurf des Patientendaten-Schutz-Gesetzes
- Anhörung zum Patientendaten-Schutz-Gesetz
Mit seinem Urteil [1] zum BND-Gesetz hat das Bundesverfassungsgericht heute die unbeschränkte massenhafte Kommunikationsüberwachung durch den Bundesnachrichtendienst als grundgesetzwidrig erkannt. Das Urteil beendet den bisherigen Ansatz der Massenüberwachung, bei der der Geheimdienst im Wesentlichen nach eigenem Gutdünken und ohne effektive Kontrolle agieren konnte und Nicht-Deutsche als Überwachungsfreiwild galten. Die Vorschriften des Urteils für eine zukünftige Regelung sehen eine unabhängige und umfangreiche Kontrolle der geheimdienstlichen Überwachungsmaßnahmen vor. Dafür muss eine entsprechende Instanz aufgebaut werden.
Zwar hat das Gericht durch die Anerkennung der Grundrechte auch für Ausländer einen Pflock für die Menschenrechte eingeschlagen, erlaubt aber eine Weiterführung der bisherigen Massenüberwachung. Verlangt wird jedoch eine stärkere Zielgerichtetheit mit gesetzlicher Neuregelung und einer neuen Kontrollinstanz. Dem Gesetzgeber wurde aufgegeben, den Schutz des Kernbereichs privater Lebensgestaltung für die Betroffenen der BND-Überwachungsmaßnahmen zu verbessern.
„Entscheidend wird sein, mit welchen Mitteln und Rechten diese neue Kontrollinstanz ausgestattet wird. Daran wird sich bemessen, ob sie den Geheimdienst wirksam kontrollieren kann“, sagte Frank Rieger, einer der Sprecher des Chaos Computer Clubs. „Das Gericht hat die Praxis der Massenüberwachung an sich nicht beendet, es hat aber eine bessere Kontrolle vorgeschrieben.“
Das Verfassungsgericht hat durch das Urteil dem seit den Snowden-Enthüllungen offensichtlichen Graubereich des internationalen Ringtausches von Geheimdienst-Abhördaten Beschränkungen auferlegt. Insbesondere die bisherige Praxis des unkontrollierten Datentauschs zur Umgehung von Abhör-Beschränkungen ist dann nicht mehr möglich. Das Schattenreich der bilateralen Geheimdienst-Abkommen soll nun – soweit es den BND betrifft – einer Kontrolle und Nachvollziehbarkeit unterworfen werden.
„Leider hat sich das Gericht nicht dazu durchringen können, die globale Überwachungspraxis des BND grundsätzlich zu beenden. Es versucht nur, sie in einen konkreteren rechtlichen Rahmen zu pressen“, fasste Frank Rieger zusammen. „Dass Grundrechte prinzipiell für alle Menschen weltweit gelten, ist eine wichtige Entscheidung. Leider wird sie im Urteil durch diverse mögliche Gründe für Grundrechtseinschränkungen deutlich relativiert.“
Noch vor dem Ende des BND-NSA-Untersuchungsauschusses wurde das BND-Gesetz 2017 reformiert. Im Wesentlichen wurde dabei die rechtswidrige Praxis des Auslandsgeheimdiensts ins Gesetz gegossen. Eine längst überfällige wirksame Geheimdienstkontrolle wurde nicht vorgesehen.
Das Bundesverfassungsgericht hat mit diesem Urteil zum wiederholten Male ein Überwachungsgesetz als verfassungswidrig eingestuft. Dass die Politik weit entfernt davon ist, schon im Gesetzgebungsverfahren grundgesetzkonforme Regelungen zu finden, ist und bleibt ein Skandal. Der Gesetzgeber muss nach diesem Urteil endlich reflektieren, wie er sich zu den Grundrechten stellt und ob er sich weiterhin so grobe Schnitzer wie den Verstoß gegen das Zitiergebot leisten will. Abstruse Konstrukte wie die „Funktionsträgertheorie“ oder die „Weltraumtheorie“ wurden vom Bundesverfassungsgericht mit diesem Urteil komplett abgeräumt.
Der Chaos Computer Club war im Rahmen des Verfahrens als Sachverständiger für das Bundesverfassungsgericht tätig und hat dazu eine Stellungnahme verfasst. [3] [4]
Links:
Die Bundesregierung zieht ein Konzept für die geplante „Contact Tracing“-App vor, das eine zentrale Instanz beinhaltet. Damit ist sie auf dem Holzweg. Denn es herrscht internationale Einigkeit unter Experten und Wissenschaftlern, dass der dezentrale Ansatz der bessere ist. Selbst Apple und Google haben das eingesehen und ihn implementiert, obwohl sie sonst nicht gerade scheu sind, Daten ihrer Nutzer zu sammeln.
Daher wenden sich heute netzpolitische Organisationen, darunter der Chaos Computer Club (CCC), mit einem offenen Brief an Bundesgesundheitsminister Jens Spahn und Kanzleramtsminister Helge Braun. [1]
Blickt man realistisch auf das Ziel, dass nämlich die App massenhaft genutzt werden soll, dann ist der zentrale Ansatz schon deswegen hinfällig, weil sich die beiden großen Anbieter mobiler Betriebssysteme bereits dagegen entschieden haben. Da kann sich die Bundesregierung noch so verrenken, damit ist der zentrale Ansatz weit entfernt von jeder Möglichkeit zur Realisierung. Gesundheitsminister Jens Spahn kann einen nationalen Alleingang gar nicht durchsetzen, wenn er nun auf den zentralen Ansatz pocht.
Die Corona-Tracing-App bringt ein hohes Risiko mit sich, da die anfallenden Daten hochsensibel und besonders zu schützen sind. Je mehr Daten verarbeitet werden, desto größer ist das Risiko einer De-Anonymisierung – auch durch Dritte, vor denen die Daten geschützt werden müssen. Gesundheitsdaten gehören per Definition zu den intimsten Daten von Menschen. Das lückenlose zentrale Verfolgen der Aufenthalte aller Bürger ist das Horror-Szenario schlechthin. Andere Beispiele von sorglos hingeschluderten Corona-Apps [2] haben gezeigt, dass die anfallenden sensiblen Datenhalden nicht angemessen geschützt werden und von Innen- und Außentätern missbraucht werden könnten.
Dies wissen auch technische Laien inzwischen und werden daher die Finger von einer solchen App lassen, selbst wenn sie grundsätzlich zur Hilfeleistung bereit wären. Dass auch Minister Spahn das weiß, darauf deutet die Peitsche hin, die er mit der App-Pflicht hinter dem Rücken versteckt hält. Dass eine solche Pflicht in Hinsicht auf die Millionen von Bürgern ohne Smartphone technisch hanebüchen ist, setzt der Posse nur die Krone auf.
Links
[0] CCC veröffentlicht die Zehn Prüfsteine für die Beurteilung von „Contact Tracing“-Apps.
[1] Offener Brief: Geplante Corona-App ist höchst problematisch, an Bundesgesundheitsminister Jens Spahn (pdf) und an Kanzleramtsminister Helge Braun (pdf)
- D64 – Zentrum für digitalen Fortschritt e. V.
- Chaos Computer Club e. V. (CCC)
- LOAD e. V.
- Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V.
- Gesellschaft für Informatik (GI) e. V.
- Stiftung Datenschutz
Seit Wochen wird in Europa eine lebhafte Diskussion über „Corona Apps“ geführt. Für derartige Anwendungen hat der CCC kürzlich zehn Prüfsteine veröffentlicht. „Contact Tracing“ soll Infektionsketten zurückverfolgbar und die Pandemie beherrschbar machen, so die Hoffnung.
In diese Erwartungshaltung hinein platzierte das RKI am 7. April eine App ganz anderer Natur – die „Corona-Datenspende“. Über diese App leiten inzwischen über 400.000 Freiwillige Daten ihres Fitnesstrackers an das RKI. Das erklärte Ziel: Eine bessere Vorhersage von Infektionen und damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die SARS-CoV-2-Pandemie.
Auch wenn die zehn Prüfsteine des CCC nicht für diese Art von App formuliert wurden, beinhalten sie doch einige wichtige Prinzipien, die auch bei einer „Datenspende“ berücksichtigt werden sollten. So wäre eine Offenlegung von Architektur und Quellcode der App die wohl wichtigste vertrauensbildende Maßnahme gewesen.
Doch auch ohne eine solche Offenlegung haben Sicherheitsforscher des CCC der „Datenspende“ auf den Zahn gefühlt.
Insgesamt werden im Rahmen der Analyse acht technische und organisatorische Aspekte bemängelt. Der CCC veröffentlicht heute die Ergebnisse dieser Analyse in einem detaillierten Bericht: Blackbox-Sicherheitsbetrachtung der Corona-Datenspende
- Cloudanbindung: Das RKI holt sich die Daten der meisten Nutzer wider Erwarten nicht vom Smartphone, sondern direkt von den Anbietern der Fitnesstracker – und hat über einen Zugangscode potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren Fitnessdaten vor Beginn der Spende. Bei einer einfachen Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen.
- Mangelhafte Pseudonymisierung: Entgegen der Darstellungen werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht schon auf dem Smartphone pseudonymisiert, sondern vollständig und teils mitsamt Klarnamen der Datenspender abgerufen. Eine Pseudonymisierung findet erst auf Seiten des RKI statt und kann durch die Nutzer nicht kontrolliert oder verifiziert werden.
- Unzureichender Schutz der Zugangsdaten: Bei Verknüpfung der App mit einem Fitnesstracker müssen dessen Zugangsdaten eingegeben werden. In der Mehrzahl der Fälle könnten diese durch Man-in-the-Middle-Angreifer mitgelesen werden. Zudem können Zugangsdaten beispielsweise zum Google-Konto des Nutzers bei Verlust oder Diebstahl des Smartphones durch Dritte ausgelesen werden.
- Organisatorische Defizite: Das RKI weiß weder, wer die Daten spendet, noch ob der Spender überhaupt existiert. Dies öffnet Manipulation Tür und Tor. Auch die bei Einwilligung zugesagten Betroffenenrechte können nicht gewährt werden, da nicht sichergestellt ist, dass es sich tatsächlich um den Betroffenen handelt. Das RKI holt keine wirksame Einwilligung in die Datenverarbeitung ein.
Fazit
Das RKI hat vor dem Hintergrund der gebotenen Eile im Umgang mit der SARS-CoV-2-Pandemie in sehr kurzer Zeit eine „Corona-App“ herausgegeben. Der CCC konnte darin die Verletzung einiger „best practices“ feststellen. Zwar gelang zum jetzigen Zeitpunkt kein unmittelbarer direkter Zugriff auf die gesammelten Daten, aber die Risiken sind auf Dauer nicht tragbar. Der CCC empfiehlt eine rasche Umsetzung der empfohlenen Maßnahmen zur Behebung.
Für künftige Vorhaben empfiehlt der CCC darüber hinaus proaktives Handeln: Viele der identifizierten Risiken ließen sich durch Berücksichtigung der vom CCC veröffentlichten zehn Prüfsteine eliminieren. Die darin vom CCC geforderte Transparenz fördert zudem eine aktive und konstruktive Einbindung der Fachöffentlichkeit und hat damit das Potential, künftige App-gestützte Maßnahmen zur Eindämmung der SARS-CoV-2-Pandemie und anderer Anwendungen noch schneller zur Reife zu bringen.
Technische und organisatorische Risiken sollten immer transparent kommuniziert werden, so dass Nutzer eine informierte Entscheidung für oder gegen den Einsatz der App treffen können. Indem auf die fertige technische Lösung eines Dienstleisters zurückgegriffen wurde, hat das RKI Flexibilität in der Berücksichtigung von Expertenmeinungen verloren.
Die Digitalisierung im Gesundheitswesen könnte ferner eine Basis schaffen, dass in Zukunft auf ähnliche gesellschaftliche Situationen schnell reagiert werden kann, wenn nun schnellstmöglich auch die organisatorischen Mängel um die elektronische Gesundheitskarte abgestellt werden. Gerade die Umsetzung der organisatorischen Maßnahmen verschlingt viel Zeit und kann nicht erst im Notfall durchgeführt werden
Download: Blackbox-Sicherheitsbetrachtung der Corona-Datenspende (PDF)
FAQ
- Konnte der CCC auf meine Gesundheitsdaten zugreifen?
-
Nein. Der CCC hat vielmehr festgestellt, dass die Hürde für Angreifer zu niedrig liegt. Einem erfolgreichen Angreifer würden sich Gesundheitsdaten aus der Zeit vor der Datenspende sowie Klarnamen der Spender offenbaren. Dies ist ein vermeidbares Risiko.
- Hat das RKI bereits reagiert?
-
Der CCC hat seine Analyse vorab an das RKI und seinen Dienstleister übermittelt. Mit beiden stehen wir im Austausch.
Erste technische Verbesserungen wurden sofort nach der Übermittlung der Befunde implementiert und damit einhergehende Schwachstellen geschlossen.
- Wie schnell lassen sich die gefundenen technischen und organisatorischen Mängel abstellen?
-
Die technischen Mängel lassen sich teilweise rasch, teilweise aber nur mit einigem Entwicklungsaufwand beseitigen. Die organisatorischen Mängel können jedoch nur mit großem Aufwand beseitigt werden.
Hier zeigt sich, dass die in den letzten fünfzehn Jahren versäumte Digitalisierung des Gesundheitswesens einen zügigen und zielgerichteten Einsatz solcher Apps erheblich erschwert.
- Was können Nutzer unternehmen?
-
Grundsätzlich könnten erfolgreiche Angreifer Ihren Namen und Ihre Fitnesstracker-Daten extrahieren. Je nachdem, wie Sie persönlich den Schutzbedarf ihrer Fitnesstracker-Daten bewerten, können Sie entscheiden, ob Sie überhaupt reagieren wollen.
In der Informiertheit liegt ein wesentlicher Punkt, um sich für oder gegen die Nutzung der App zu entscheiden. Neben den bereits vom Bundesdatenschutzbeauftragten Herrn Kelber genannten Punkten, dass die Nutzer eindeutig und widerspruchsfrei informiert sein müssen, welche Daten die App zu welchem Zweck sammelt, müssen die Bürger auch über die mit der Nutzung der App verbunden Risiken der Informationssicherheit informiert werden.
Unter iOS ist die Datenbereitstellung über Apple Health zu bevorzugen, da hierüber im Gegensatz zu anderen Datenquellen keinen Zugriff von Seiten des RKI über einen zentralen Zugangscode möglich ist.
- Was hätte bei der Entwicklung der App besser laufen müssen?
-
Gerade vor dem Hintergrund des hohen Zeitdrucks, schnell eine App zu realisieren, hätte der Entwicklungsprozess anders gestaltet werden können. Die aktuellen Bemühungen im Rahmen der Entwicklung der „Contact Tracing“-Apps haben gezeigt, dass durch eine Nutzung von Experten aus verschiedenen Fachrichtungen Ergebnisse erzielt werden können, die weit über das hinausgehen, was einzelne Unternehmen mit begrenzten Ressourcen leisten können.
Indem auf eine bereits etablierte technische Lösung zurückgegriffen wurde, hat das RKI Flexibilität in der Berücksichtigung dieser Expertenmeinungen verloren.
- Kann ich die Datenspende auch nach Deinstallation der App noch abbrechen?
-
Sie können die Datenweitergabe manuell auch nach Deinstallation der App über ihren Fitnesstracker-Anbieter beenden. Das Vorgehen bei Datenspende über Apple Health hat das RKI in seinen FAQ beschrieben. Das Vorgehen bei Datenspende über Google Fit ist ähnlich: Öffnen Sie die Google Fit-App, und gehen Sie in die Einstellungen unter „Profil“. Unter „Verbundene Apps verwalten“ können Sie die Verbindung mit der Corona-Datenspende aufheben.
Politik und Epidemiologie ziehen aktuell gestütztes „Contact Tracing“ als Maßnahme in Erwägung, systematisch einer Ausbreitung von SARS-CoV-2-Infektionen entgegen zu wirken. Dies soll der Gesellschaft eine größere Freizügigkeit zurückgeben, indem Infektionsketten schneller zurückverfolgt und unterbrochen werden können. Durch eine solche Lösung sollen Kontakte von Infizierten schneller alarmiert werden und sich dadurch schneller in Quarantäne begeben können. Dadurch wiederum sollen weitere Infektionen ihrerseits verhindert werden. Eine "Corona-App" soll also weder uns selbst, noch unsere Kontakte schützen: Sie soll Infektionsketten unterbrechen, indem die Kontakte unserer Kontakte geschützt werden.
„Contact Tracing“ als Risikotechnologie
Für die technische Implementierung dieses Konzepts gibt es eine Reihe an Vorschlägen. Diese Empfehlungen reichen von dystopischen Vorschlägen für Vollüberwachung bis hin zu zielgenauen, vollständig anonymisierten Methoden der Alarmierung von potentiell Infizierten ohne Kenntnis der konkreten Person.
Grundsätzlich wohnt dem Konzept einer „Corona App“ aufgrund der möglicherweise erfassten Kontakt- und Gesundheitsdaten ein enormes Risiko inne. Gleichzeitig gibt es breite Anwendungsmöglichkeiten für „Privacy-by-Design“-Konzepte und -Technologien, die in den letzten Jahrzehnten von der Crypto- und Privacy-Community entwickelt wurden. Mit Hilfe dieser Technologien ist es möglich, die Potenziale des „Contact Tracing“ zu entfalten, ohne eine Privatsphäre-Katastrophe zu schaffen. Allein deshalb sind sämtliche Konzepte strikt abzulehnen, die die Privatsphäre verletzen oder auch nur gefährden. Die auch bei konzeptionell und technisch sinnvollen Konzepten verbleibenden Restrisiken müssen fortlaufend beobachtet, offen debattiert und so weit wie möglich minimiert werden.
Im Folgenden skizzieren wir gesellschaftliche und technische Minimalanforderungen für die Wahrung der Privatsphäre bei der Implementierung derartiger Technologien. Der CCC sieht sich in dieser Debatte in beratender und kontrollierender Rolle. Wir werden aus grundsätzlichen Erwägungen keine konkreten Apps, Konzepte oder Verfahren empfehlen. Wir raten jedoch von Apps ab, die diese Anforderungen nicht erfüllen.
I. Gesellschaftliche Anforderungen
1. Epidemiologischer Sinn & Zweckgebundenheit
Grundvoraussetzung ist, dass „Contact Tracing“ tatsächlich realistisch dabei helfen kann, die Infektionszahlen signifikant und nachweisbar zu senken. Diese Beurteilung obliegt der Epidemiologie. Sollte sich herausstellen, dass „Contact Tracing“ per App nicht sinnvoll und zielführend ist, muss das Experiment beendet werden.
Die App selbst und jegliche gesammelte Daten dürfen ausschließlich zur Bekämpfung von SARS-CoV-2-Infektionsketten genutzt werden. Jede andere Nutzung muss technisch so weit wie möglich verhindert und rechtlich unterbunden werden.
2. Freiwilligkeit & Diskriminierungsfreiheit
Für eine epidemiologisch signifikante Wirksamkeit setzt eine „Contact Tracing“-App einen hohen Verbreitungsgrad in der Gesellschaft voraus – also Installationen auf den Smartphones möglichst vieler Menschen. Diese weite Verbreitung darf nicht durch Zwang erreicht werden, sondern kann nur durch ein vertrauenswürdiges, privatsphären-achtendes System erzielt werden. Vor diesem Hintergrund verbietet sich das Erheben von Gebühren für die Nutzung ebenso wie die Incentivierung durch finanzielle Anreize.
Menschen, die sich der Nutzung verweigern, dürfen keine negativen Konsequenzen erfahren. Dies sicherzustellen, ist auch eine Aufgabe von Politik und Gesetzgebung.
Die App muss von sich aus regelmäßig auf ihren Betrieb hinweisen, einfach temporär zu deaktivieren und dauerhaft zu de-installieren sein. Die Implementierung restriktiver Maßnahmen, bspw. die Funktion „elektronischer Fußfesseln“ zur Kontrolle von Ausgangs- und Kontaktbeschränkungen, halten wir für inakzeptabel.
3. Grundlegende Privatsphäre
Nur mit einem überzeugenden Konzept, das auf dem Grundsatz der Wahrung der Privatsphäre beruht, kann überhaupt eine gesellschaftliche Akzeptanz erreicht werden.
Dabei sollen belegbare technische Maßnahmen wie Kryptografie und Anonymisierung die Privatsphäre der Nutzer zwingend sicherstellen. Es reicht nicht, sich auf organisatorische Maßnahmen, Versprechen und "Vertrauen" zu verlassen. Organisatorische oder rechtliche Hürden gegen einen Datenabfluss sind im derzeitigen gesellschaftlichen Klima von Notstands-Denken und möglichen weitgehenden Grundrechtsausnahmen durch das Infektionsschutzgesetz nicht hinreichend.
Die Beteiligung von Unternehmen, die Überwachungstechnologien entwickeln, lehnen wir als "Covid-Washing" grundsätzlich ab. Grundsätzlich gilt: Die Nutzerinnen sollten keiner Person oder Institution mit Ihren Daten "vertrauen" müssen, sondern dokumentierte und geprüfte technische Sicherheit genießen.
4. Transparenz und Prüfbarkeit
Der vollständige Quelltext für App und Infrastruktur muss frei und ohne Zugangsbeschränkungen verfügbar sein, um Audits durch alle Interessierten zu ermöglichen. Durch Reproducible-Build-Techniken ist sicherzustellen, dass Nutzer überprüfen können, dass die App, die sie herunterladen aus dem auditierten Quelltext gebaut wurde.
II. Technische Anforderungen
5. Keine zentrale Entität, der vertraut werden muss
Ein vollständig anonymes "Contact Tracing" ohne allwissende zentrale Server ist technisch möglich. Es ist technisch nicht notwendig, alleine auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon ausreichend zu schützen. Darauf beruhende Konzepte lehnen wir daher von vornherein als fragwürdig ab.
Hinzu kommt, dass die Sicherheit und Vertrauenswürdigkeit zentralisierter Systeme – etwa gegen die Verknüpfung von IP-Adressen mit anonymen Nutzer-IDs – für die Anwender nicht effektiv überprüfbar ist. Die Sicherheit und Vertraulichkeit des Verfahrens muss daher ausschließlich durch das Verschlüsselungs- und Anonymisierungskonzept und die Verifizierbarkeit des Quellcode gewährleistet werden können.
6. Datensparsamkeit
Es dürfen nur minimale und für den Anwendungszweck notwendige Daten und Metadaten gespeichert werden. Diese Anforderung verbietet die Erfassung sämtlicher Daten, die über einen Kontakt zwischen Menschen und dessen Dauer hinausgehen, wie zum Beispiel Lokationsdaten.
Sofern lokal auf den Telefonen Daten wie Aufenthaltsorte erfasst werden, dürfen Nutzerinnen nicht gezwungen oder verleitet werden, diese Daten an Dritte weiterzugeben oder gar zu veröffentlichen. Daten, die nicht mehr benötigt werden, sind zu löschen. Auch lokal auf dem Telefon müssen sensible Daten sicher verschlüsselt werden.
Für freiwillige, über den eigentlichen Zweck des Contact Tracing hinausgehende Datenerhebungen zum Zweck der epidemiologischen Forschung muss in der Oberfläche der App eine klare, separate Einwilligung explizit eingeholt und jederzeit widerrufen werden können. Diese Einwilligung darf nicht Voraussetzung für die Nutzung sein.
7. Anonymität
Die Daten, die jedes Gerät über andere Geräte sammelt, dürfen zur Deanonymisierung ihrer Nutzer nicht geeignet sein. Die Daten, die jede Person ggf. über sich weitergibt, dürfen nicht zur Deanonymisierung der Person selbst geeignet sein. Daher muss die Nutzung des Systems möglich sein, ohne dass persönliche Daten jedweder Art erfasst werden oder abgeleitet werden können. Diese Anforderung verbietet eindeutige Nutzerkennungen.
IDs für "Contact Tracing" über Drahtlostechnik (z. B. Bluetooth oder Ultraschall) dürfen nicht auf Personen zurückführbar sein und müssen häufig wechseln. Aus diesem Grund verbietet sich auch eine Verbindung mit oder Ableitung von IDs aus Kommunikationsbegleitdaten wie Push-Tokens, Telefonnummern, verwendeten IP-Adressen, Gerätekennungen etc.
8. Kein Aufbau von zentralen Bewegungs- und Kontaktprofilen
Das System muss so beschaffen sein, dass weder absichtlich noch unabsichtlich Bewegungsprofile (Standortverfolgung) oder Kontakt-Profile (auf konkrete Menschen zurückführbare Muster von häufigen Kontakten) aufgebaut werden können. Methoden wie zentrales GPS/Location-Logging oder eine Verknüpfung der Daten mit Telefonnummern, Social-Media-Accounts u. ä. sind daher grundsätzlich abzulehnen.
9. Unverkettbarkeit
Das Design der ID-Generierung muss so gestaltet sein, dass diese ohne den Besitz des privaten Schlüssels nicht verkettbar sind. Sie dürfen also nicht aus anderweitigen Daten abgeleitet werden. Egal auf welchem Weg IDs im Infektionsfall kommuniziert werden, muss ausgeschlossen sein, dass die gesammelten "Contact Tracing"-Daten über längere Zeiträume verketten werden können.
10. Unbeobachtbarkeit der Kommunikation
Auch wenn die Übermittlung einer Nachricht im System beobachtet wird (z. B. über die Metadaten der Kommunikation), darf daraus nicht geschlossen werden können, dass eine Person selbst infiziert ist oder Kontakt zu Infizierten hatte. Dies ist sowohl gegenüber anderen Nutzern als auch gegenüber Infrastruktur- und Netzbetreibern oder Angreifern, die Einblick in diese Systeme erlangen, sicherzustellen.
Rolle und Selbstverständnis des CCC
Seit weit über 30 Jahren engagiert sich der CCC ehrenamtlich im Spannungsfeld zwischen Technologie und Gesellschaft. Unsere ethischen Prinzipien stehen für Privatsphäre, Dezentralisierung und Datensparsamkeit – und gegen jede Form von Überwachung und Zwang.
Ohne Anspruch auf Vollständigkeit benennen wir in diesem Beitrag Mindestanforderungen, denen eine "Corona App" entsprechen muss, um gesellschaftlich und technisch überhaupt tolerabel zu sein. Der CCC wird aus grundsätzlichen Erwägungen unter keinen Umständen jemals eine konkrete Implementierung mit Zustimmung, Empfehlung oder gar einem Zertifikat oder Prüfsiegel versehen.
Es obliegt den Entwicklern von "Contact Tracing"-Systemen, die Erfüllung dieser Anforderungen zu belegen, oder von unabhängigen Dritten belegen zu lassen.
Wir als unterzeichnende Organisationen fordern die Regierungen nachdrücklich auf, bei der Bekämpfung der Pandemie sicherzustellen, dass der Einsatz digitaler Technologien zur Verfolgung und Überwachung von Einzelpersonen und Bevölkerungsgruppen streng im Einklang mit den Menschenrechten erfolgt.
Technologie kann und soll bei diesen Anstrengungen, Leben zu retten, eine wichtige Rolle spielen, etwa bei der Verbreitung von Nachrichten zu Gesundheitsthemen und bei der Verbesserung des Zugangs zur Gesundheitsversorgung. Eine Zunahme von nicht freiwilligen digitalen Überwachungsbefugnissen des Staates, wie beim Zugang zu den Standortdaten von Mobiltelefonen, bedroht jedoch die Privatsphäre, die Meinungs- und Versammlungsfreiheit in einer Weise, die Rechte verletzen und das Vertrauen in die Behörden herabsetzen könnte – und damit die Wirksamkeit jeglicher Maßnahmen im Bereich des Gesundheitswesens untergräbt. Solche Maßnahmen stellen auch ein Risiko der Diskriminierung dar und können bereits marginalisierte Gemeinschaften unverhältnismäßig schaden.
Es sind außergewöhnliche Zeiten, aber die Menschenrechte gelten nach wie vor. Die Struktur der Menschenrechte ist in der Tat so gestaltet, dass die verschiedenen Rechte sorgfältig ausbalanciert werden können, um einzelne Personen und die Gesellschaft insgesamt zu schützen. Dabei können Staaten Rechte wie die Privatsphäre und die Meinungsfreiheit nicht einfach im Rahmen der Bewältigung einer Krise im Bereich des Gesundheitswesens missachten. Vielmehr wird durch einen Schutz der Menschenrechte auch das Gesundheitswesen gestärkt. Mehr denn je müssen die Regierungen jetzt rigoros sicherstellen, dass jegliche Einschränkung dieser Rechte mit den seit langem bestehenden Menschenrechtsstandards in Einklang steht.
Diese Krise bietet eine Gelegenheit, unsere gemeinsame Menschlichkeit zu demonstrieren. Wir können außerordentliche Anstrengungen zur Bekämpfung dieser Pandemie unternehmen, die mit den Menschenrechtsstandards und der Rechtsstaatlichkeit in Einklang stehen. Die Entscheidungen der Regierungen, um der Pandemie zu begegnen, werden das zukünftige Aussehen der Welt prägen.
Wir rufen alle Regierungen auf, auf die COVID-19-Pandemie nicht mit einer verstärkten digitalen Überwachung zu reagieren, es sei denn, die folgenden Bedingungen sind erfüllt:
- Überwachungsmaßnahmen, die zur Bewältigung der Krise angewandt werden, müssen rechtmäßig, notwendig und verhältnismäßig sein. Sie müssen gesetzlich vorgesehen und durch berechtigte Ziele der öffentlichen Gesundheit, die von den zuständigen Gesundheitsbehörden festgelegt werden, gerechtfertigt sein und in einem angemessenen Verhältnis zu diesen Bedürfnissen stehen. Die Regierungen müssen die von ihnen ergriffenen Maßnahmen transparent machen, damit sie überprüft und gegebenenfalls später geändert, zurückgezogen oder aufgehoben werden können. Wir dürfen nicht zulassen, dass die COVID-19-Pandemie als Vorwand für eine wahllose Massenüberwachung dient.
- Wenn Regierungen ihre Überwachungs- und Kontrollbefugnisse ausweiten, dann müssen diese Befugnisse zeitlich begrenzt sein und dürfen nur so lange fortbestehen, wie es nötig ist, um die aktuelle Pandemie zu bekämpfen. Wir können nicht zulassen, dass die COVID-19-Pandemie als Vorwand für Überwachung auf unbestimmte Zeit dient.
- Staaten müssen sicherstellen, dass eine verstärkte Sammlung, Speicherung und Aggregation von persönlichen Daten, einschließlich Gesundheitsdaten, nur für die Zwecke der Bewältigung der COVID-19-Pandemie erfolgt. Daten, die zur Bewältigung der Pandemie gesammelt, aufbewahrt und aggregiert werden, müssen in ihrem Umfang begrenzt und zeitlich auf die Pandemie bezogen sein und dürfen nicht für kommerzielle oder andere Zwecke verwendet werden. Wir können nicht zulassen, dass die COVID-19-Pandemie als Vorwand dient, um das Recht des Einzelnen auf Privatsphäre auszuhöhlen.
- Die Regierungen müssen alle Anstrengungen unternehmen, um die Daten der Menschen zu schützen, einschließlich der Gewährleistung einer ausreichenden Sicherheit aller gesammelten persönlichen Daten und aller Geräte, Anwendungen, Netzwerke oder Dienste, die an der Sammlung, Übertragung, Verarbeitung und Speicherung der Daten beteiligt sind. Alle Behauptungen, dass Daten anonym sind, müssen auf Beweisen beruhen und mit ausreichenden Informationen darüber, wie sie anonymisiert wurden, untermauert werden. Wir können nicht zulassen, dass Versuche, auf diese Pandemie zu reagieren, als Rechtfertigung für die Gefährdung der digitalen Sicherheit der Menschen benutzt werden.
- Jeglicher Einsatz von digitalen Überwachungstechnologien zur Bewältigung von COVID-19, einschließlich Big Data und Systemen der Künstlichen Intelligenz, muss sich mit dem Risiko befassen, dass diese Instrumente die Diskriminierung und andere Rechtsverletzungen gegen Minderheiten, in Armut lebende Menschen und andere marginalisierte Bevölkerungsgruppen erleichtern, deren Bedürfnisse und Lebensrealitäten in großen Datensätzen möglicherweise verdeckt oder falsch dargestellt werden. Wir können nicht zulassen, dass die COVID-19-Pandemie die Kluft in der Wahrnehmung der Menschenrechte zwischen verschiedenen Gruppen der Gesellschaft weiter vergrößert.
- Wenn Regierungen mit anderen öffentlichen oder privaten Einrichtungen Vereinbarungen über die gemeinsame Nutzung von Daten treffen, müssen diese auf einer Rechtsvorschrift beruhen, und die Existenz dieser Vereinbarungen und die zur Beurteilung ihrer Auswirkungen auf die Privatsphäre und die Menschenrechte erforderlichen Informationen müssen öffentlich bekannt gegeben werden – schriftlich, mit Verfallsklauseln, öffentlicher Aufsicht und anderen Schutzmaßnahmen als Vorgabe. Unternehmen, die an den Anstrengungen der Regierungen zur Bekämpfung von COVID-19 beteiligt sind, müssen mit der erforderlichen Sorgfalt sicherstellen, dass die Menschenrechte respektiert werden und jede Intervention von anderen geschäftlichen und kommerziellen Interessen abgewehrt wird. Wir können nicht zulassen, dass die COVID-19-Pandemie als Vorwand dafür dient, die Menschen im Dunkeln zu lassen, welche Informationen ihre Regierungen sammeln und an Dritte weitergeben.
- Jede Reaktion muss eine Rechenschaftspflicht und Schutzmaßnahmen gegen Missbrauch beinhalten. Verstärkte Überwachung im Zusammenhang mit COVID-19 darf nicht in den Bereich der Sicherheits- oder Geheimdienstbehörden fallen und muss einer wirksamen Aufsicht durch geeignete unabhängige Gremien unterliegen. Darüber hinaus müssen auch Einzelpersonen die Möglichkeit erhalten, von allen Maßnahmen, mit denen Daten im Zusammenhang mit COVID-19 gesammelt, aggregiert, gespeichert oder genutzt werden, zu erfahren und diese anzufechten. Personen, die einer Überwachung unterzogen wurden, müssen Zugang zu wirksamen Rechtsmitteln haben.
- Reaktionen auf COVID-19, bei denen Daten erhoben werden, sollten Mittel für eine freie, aktive und sinnvolle Beteiligung relevanter Interessengruppen, insbesondere von Experten des Gesundheitswesens und der am stärksten marginalisierten Bevölkerungsgruppen, vorsehen.
Alle Unterzeichner dieser gemeinsamen Erklärung.
In Krisensituationen zeigt sich die Bedeutung von unabhängigen und belastbaren digitalen Infrastrukturen, die es Menschen, Organisationen und Firmen ermöglichen, ihren alltäglichen Aufgaben nachzukommen. Von den Umstellungen zur Eindämmung von Covid-19 haben bislang vor allem die großen Technologiekonzerne profitiert: Die Verlagerung des Lebens in die digitale Sphäre beschert ihnen größere Marktanteile, Nutzungszahlen und Datensammlungen. Um in Krisenzeiten nicht von ihnen abhängig zu sein, braucht es ein aktives digitales Ökosystem, das echte Wahlmöglichkeiten bietet.
Wer sich den Forderungen anschließen möchte, kann unter digitalezivilgesellschaft.org mitzeichnen.
Öffentliches Geld, Öffentliches Gut
Es braucht rechtliche Grundlagen, die es verpflichtend machen, dass mit öffentlichen Geldern erarbeitete Inhalte offen zugänglich und weiterverwendbar gemacht werden. Der Datenschutz muss dabei immer gewahrt sein. Dazu gehören: öffentlich finanzierte Software, Datenbestände und Informationen öffentlicher Stellen, Forschungs- und Bildungsinhalte öffentlich getragener Institutionen sowie die Inhalte des öffentlich-rechtlichen Rundfunks.
Entwicklung öffentlicher digitaler Infrastruktur
- Wir empfehlen kontinuierliche staatliche Investitionen in die Entwicklung und Instandhaltung digitaler Infrastruktur und den Aufbau widerstandsfähiger Netze.
- Wir fordern die Förderung von Dezentralisierung und einem breiten Ökosystem von Betreibern digitaler Infrastruktur, um digitale Souveränität zu erlangen und Abhängigkeiten von einzelnen Anbietern aufzulösen, durch den Abbau von Betreibermonopolen sowie den konsequenten Einsatz von offenen Standards, Freier- und Open-Source-Software-Technologien.
Öffnung der Digitalpolitik für gesellschaftlichen Input
Digitalpolitik, die das Gemeinwohl ins Zentrum stellt, lässt sich nur gemeinsam mit gesellschaftlichen Akteurinnen, Akteuren und Initiativen verwirklichen. Hierfür muss sich die Politik noch weiter für Vorschläge aus der Gesellschaft öffnen und diese in die Politikgestaltung miteinbeziehen. Dazu braucht es die Anerkennung zivilgesellschaftlicher Expertise und ein klares Versprechen, deren Wissen und Kompetenzen zu nutzen.
Gezielte Förderung
Die digitale Zivilgesellschaft ist nur durch das ehrenamtliche Engagement und die Spenden von Bürgerinnen und Bürgern arbeitsfähig. Gerade in Krisensituationen brechen diese Stützpfeiler schnell weg und bedrohen die Existenz von Vereinen, Stiftungen und Initiativen. In Deutschland mangelt es an niedrigschwelliger finanzieller Unterstützung für Organisationen und Sozialunternehmen aus der digitalen Zivilgesellschaft. Es braucht neue Fördermechanismen, die den Aufbau nachhaltiger Strukturen unterstützen und nicht nur Innovation im Blick haben, sondern auch die Instandhaltung und Weiterentwicklung bestehender Technologien. Möglich wäre eine solche Förderung beispielsweise durch eine vom Bund geförderte Stiftung öffentlichen Rechts, die Entwicklung, Wartung und Bereitstellung digitaler Technologien für die Gesellschaft fördert.
Der Selfmade-Unternehmer und begeisterte Netzwerker (von Menschen und Computern) bleibt uns als immer freundlicher und allzeit in sich ruhender Mensch in Erinnerung, der dennoch stets begeisterungsfähig war. Als ob er „Keine Panik“ vor 42 Jahren als Lebensmotto gewählt hätte. Seinem Organisationstalent, seiner Beharrlichkeit und Verlässlichkeit hat der Chaos Computer Club viel zu verdanken. Als „Hacker der ersten Stunde“ betrieb er eine der ersten privaten Mailboxen in der alten Republik. Später brachte er das Internet für Menschen und Firmen nach Hamburg. Bekannte Unternehmen der Internetwirtschaft hatten ihre ersten Server in seinem Rechenzentrum. Und auch dem CCC und der Wau-Holland-Stiftung bot er nicht nur Netz und Speicher, sondern auch Schreibtische und immer ein Heißgetränk, ein offenes Ohr und kluge Gedanken. „Dieser Knopf hier ist wahrscheinlich der empfehlenswerteste.“
Er konnte etwas, was heute fast ein wenig unmodern erscheint, besonders in sozialen Gefügen mit ehrenamtlichem Charakter: Er hat sich oft und herzlich bedankt bei Aktiven, für gelungene Hacks, für engagierte Arbeit, für die Organisation von Treffen oder größeren Veranstaltungen. Daran können und werden wir uns ein Beispiel nehmen.
Nachdem er die letzten Monate die operative Übergabe seiner Firma vorbereitete, wollte er in naher Zukunft den wohlverdienten Unruhestand antreten, um noch mehr als üblich am Meer sein zu können. Hoffentlich baut Slartibartfast einen schönen Fjord.
Am Montag findet von 14 bis 16 Uhr im Ausschuss für die Angelegenheiten der EU eine öffentliche Anhörung über den Schutz von demokratischen Willensbildungsprozessen und über manipulative Meinungsmache auf den Werbeplattformen statt. [1] Der Chaos Computer Club (CCC) veröffentlicht seine schriftliche Stellungnahme. [2]
Die Stellungnahme fasst Ziele und Methoden der Beeinflussung demokratischer Willensbildungsprozesse mit Hilfe der sogenannten „sozialen Medien“ zusammen. Durch die Verlagerung der gesellschaftlichen Kommunikation und Interaktion in diese kommerziellen Plattformen gewinnen Manipulationstrategien immer mehr Einfluss bei gleichzeitiger Erschwinglichkeit für jegliche Interessengruppen.
Im Vordergrund von manipulativen Kampagnen steht die gezielte Ausweitung von Verunsicherung und Konfusion in der Gesellschaft sowie die weitere Erosion des Vertrauens in Medien, Institutionen oder Parteien: Menschen sollen durch Informationsflut, Zweifel an Fakten und konträre Erklärungsmodelle ihr Vertrauen in staatliche und mediale Institutionen verlieren.
Gleichzeitig werden verschiedene Weltanschauungen gezielt gefördert und voneinander entfernt, um Dissens und Unruhe zu stärken. Dazu wird auf die von den Plattformen im Rahmen ihres primären Geschäftszwecks angebotene granulare Klassifizierung der Nutzer zurückgegriffen. Zahlenden Kunden – zu denen auch die Akteure von Desinformationskampagnen gehören – wird so die gezielte Ansprache von immer kleineren, präzise definierten Zielgruppen ermöglicht, um ihnen unterschiedliche Botschaften, Schwerpunkte und Zweifel zu vermitteln. Profilbildung, Zielgruppenfilterung und Microtargeting schaffen die Grundlage für politische Meinungsmanipulation – und sind die primären Geschäftsmodelle der „Sozialen Medien“.
„Eine Vielzahl von Akteuren, die Desinformation und politische Meinungsmanipulation betreiben, benutzt die sogenannten sozialen Medien für die Zerrüttung von gesellschaftlicher Willensbildung und damit der Demokratie“, sagte CCC-Sprecher Frank Rieger. „Es ist dringend nötig, das Grundproblem zu adressieren: die Konzentration von Manipulationsmacht bei den Werbeplattformen, die eben nicht nur für profane Produktwerbung, sondern auch für handfeste Desinformations- und Manipulationskampagnen benutzt werden.“
Transparenzanforderungen an die kommerziellen Plattformen und die Verbesserung der digitalen Mündigkeit der Nutzer durch dazu geeignete Bildungspolitik sind nur das Mindeste zum Beginn einer Gegenstrategie. Um sinnvolle Gegenmaßnahmen zu ergreifen, ist es nicht ausreichend, sich auf einzelne Plattformen und deren Regulierung oder auf bestimmte staatliche oder nichtstaatliche Akteure zu konzentrieren. Weil die Manipulationsmechanismen allen Akteuren mit hinreichend vielen Ressourcen zur Verfügung stehen, muss die Machtkonzentration der Plattformen beendet werden.
Da Gegen-Propaganda nur den Teufelskreis von Zweifel und Zerrüttung befördert, wäre eine Immunisierung der Zielgruppen durch Aufklärung, Medien- und Technikkompetenz die zweite Säule der Verteidigung. Eine Schulung im bewussten, aufgeklärten und informierten Umgang mit „Sozialen Medien“ gehört leider entgegen allem Rat sämtlicher Experten und Expertinnen in Deutschland nach wie vor nicht zu den Bildungsschwerpunkten. Dies bemängelt der CCC regelmäßig. [3] [4]
Um den demokratischen Prozess als dritte Säule aktiv gegen Angriffe auf der IT-Ebene zu schützen, ist es zudem nötig, sowohl die Infrastruktur der Parlamente als auch die Software für die Auswertung von Wahlen und Abstimmungen auf gut auditierbare, sichere Open-Source-Lösungen umzustellen. Entsprechende Empfehlungen hat der CCC schon zu früheren Gelegenheiten zusammengefasst. [5][6][7][8][9]
Links:
- [1] Öffentliche Anhörung im Ausschuss für die Angelegenheiten der Europäischen Union des Bundestags
- [2] Stellungnahme des CCC zu Bedrohungen demokratischer Willensbildungsprozesse in der EU und zur Rolle kommerzieller Werbeplattformen („Social Media“)
Frühere Stellungnahmen zur Medienkompetenz:
- [3] „Chaos macht Schule“: Forderungen für digitale Bildung an Schulen
- [4] Stellungnahme des CCC zum Digitalpakt in Hessen: Zeitgemäße Bildungskonzepte entstehen nicht von selbst
Frühere Stellungnahmen zur IT-Sicherheit:
- [5] Effektive IT-Sicherheit fördern
- [6] Nicht zielführend, dafür risikoreich: Stellungnahme zum geplanten IT-Sicherheitsgesetz
- [7] CCC fordert kompromissloses Recht auf Verschlüsselung
Frühere Stellungnahmen zur Integrität von Wahlen:
Heute wird im Innenausschuss des Deutschen Bundestags über das „Recht auf Verschlüsselung“ diskutiert. In Anbetracht der nach wie vor alarmierenden Lage bei IT-Sicherheit und Datenschutz in Deutschland stellt sich die Frage, wieso über ein solches Recht überhaupt noch Diskussionsbedarf besteht:
-
Deutsche Alleingänge in der Verschlüsselung gehen regelmäßig und zielsicher schief, siehe De-Mail [1, 2, 3] und beA [1, 2].
-
Im Fokus der Gesetzgebungsverfahren liegt regelmäßig nicht etwa die Stärkung von Verschlüsselungstechnologien, sondern deren gezielte Schwächung, etwa durch Staatstrojaner oder Hintertüren bei Betreibern.
Der CCC wendet sich in Anbetracht dieser Schieflage mit einer schriftlichen Stellungnahme an die Ausschussmitglieder (pdf).
Unsere Forderungen im Einzelnen:
-
Verschlüsselung muss die Regel werden, nicht die Ausnahme:
Ein Recht auf Verschlüsselung muss nicht nur grundsätzlich gewährt, sondern auch aktiv ausgebaut und vorangetrieben werden. -
Verbot von Schwächung und Angriffen:
Von staatlicher Seite bieten sich zwei grundsätzliche Möglichkeiten, in verschlüsselte Kommunikation einzugreifen:- Das Ausnutzen bekannter Schwachstellen. Diese Schwachstellen müssen dann aber geheimgehalten werden und können auch von Dritten in potentiell allen IT-Systemen ausgenutzt werden.
- Verpflichtung der Anbieter: Wenn Diensteanbieter und Betreiber gezwungen werden, ihre Anwendungen mit Hintertüren zu versehen, wird das Vertrauen der Nutzer und Nutzerinnen in die IT grundsätzlich erschüttert.
-
Verpflichtung zur Meldung von Sicherheitslücken:
Werden Behörden Sicherheitslücken bekannt, sollen diese im Rahmen von Responsible-Disclosure-Verfahren behoben und veröffentlicht werden. -
Unabhängiges BSI:
Der CCC wiederholt in diesem Zusammenhang seine Forderung nach einem kompromisslosen und unabhängigen BSI. Solange das BSI dem Innenministerium untersteht, kann es seinem Auftrag nicht kompromisslos gerecht werden, weil die demselben Ministerium unterstellten Behörden konträre Interessen verfolgen. -
Verwendung von frei verfügbaren, offenen Protokollen:
Als Irrweg haben sich Versuche erwiesen, Verschlüsselung halbherzig, mit sogenannten Kompromissen, Ausnahmen und „besonderen Anforderungen“ individuell umzusetzen. Diese Versuche scheitern an ihrer Komplexität, ihren offenkundigen Schwächen und nicht zuletzt auch ihrer Sinnlosigkeit. Nur frei verfügbare, überprüfbare und offene Protokolle sollen genutzt werden dürfen. Die Verwendung von Verschlüsselungsverfahren, die nicht durch die internationale Forschungsgemeinschaft geprüft wurden, muss ausgeschlossen sein. -
Weiterentwicklung:
Werden neue Kommunikationssysteme konzipiert, sind Verschlüsselungsverfahren nach Stand der Technik von Anfang an zu berücksichtigen. Die Entwicklung und regelmäßige Prüfung frei verfügbarer, offener Protokolle ist zu fördern.
Der CCC veröffentlicht seine Stellungnahme im Volltext: Chaos Computer Club (2019): Kompromisslose Verschlüsselung stärken (pdf)
