From 6f5b6030a642405e6068052c19cc5997f075df07 Mon Sep 17 00:00:00 2001
From: erdgeist <erdgeist@erdgeist.org>
Date: Tue, 11 Jun 2019 20:42:46 +0000
Subject: committing page revision 1
---
updates/2019/encrypted-messengers.md | 309 +++++++++++++++++++++++++++++++++++
1 file changed, 309 insertions(+)
create mode 100644 updates/2019/encrypted-messengers.md
(limited to 'updates')
diff --git a/updates/2019/encrypted-messengers.md b/updates/2019/encrypted-messengers.md
new file mode 100644
index 00000000..40f61c10
--- /dev/null
+++ b/updates/2019/encrypted-messengers.md
@@ -0,0 +1,309 @@
+title: CCC gegen Angriff des Innenministeriums auf verschlüsselte Kommunikation
+date: 2019-06-11 20:42:46
+updated: 2019-06-11 20:42:46
+author: linus
+tags: update, pressemitteilung, verschlüsselung, bmi
+
+Gegen die Bestrebungen des Innenministeriums, verschlüsselte Kommunikationsdienste per Gesetz zur Schwächung ihrer Sicherheit zu zwingen, wendet sich breites Bündnis aus Experten für IT-Sicherheit und Innere Sicherheit, Wirtschaftsverbänden, Bürgerrechtlern und Forschern in einem heute veröffentlichten offenen Brief. Der Chaos Computer Club (CCC) gehört zu den Erstunterzeichnern.
+
+<!-- TEASER_END -->
+
+AN: Bundesministerium des Innern, für Bau und Heimat
+
+IN KOPIE: Auswärtiges Amt,
+
+Bundesministerium der Justiz und für Verbraucherschutz,
+
+Bundesministerium für Wirtschaft und Energie,
+
+Bundesamt für Sicherheit in der Informationstechnik
+
+**Betreff: Geplanter Eingriff in Verschlüsselung von Messenger-Diensten
+hätte fatale Konsequenzen**
+
+Sehr geehrte Damen und Herren,
+
+das Bundesministerium des Innern, für Bau und Heimat plant [laut
+Medienberichten](https://www.spiegel.de/plus/horst-seehofer-greift-whatsapp-an-a-00000000-0002-0001-0000-000164076162)
+eine Gesetzesänderung, um es deutschen Polizei- und Sicherheitsbehörden
+künftig leichter zu machen, Zugriff auf die digitale Kommunikation von
+Verdächtigen zu erhalten. Dafür sollen Anbieter von Messenger-Diensten
+wie beispielsweise Whatsapp, Threema oder iMessage gesetzlich
+verpflichtet werden, ihre Verschlüsselungstechnik so umzubauen, dass
+Behörden bei Verdachtsfällen die gesamte Kommunikation von Nutzer:innen
+mitschneiden können.
+
+Wir warnen ausdrücklich vor einem solchen Schritt und fordern eine
+sofortige Abkehr von diesem oder ähnlichen politischen Vorhaben auf
+deutscher wie europäischer Ebene. Die vorgeschlagene Reform würde das
+Sicherheitsniveau von Millionen deutscher Internet-Nutzer:innen
+schlagartig senken, neue Einfallstore für ausländische
+Nachrichtendienste und Internetkriminelle schaffen sowie das
+internationale Ansehen Deutschlands als führender Standort für eine
+sichere und datenschutz-orientierte Digitalwirtschaft massiv
+beschädigen. Statt bereits seit Jahren überholte Reform-Ideen
+umzusetzen, sollte das Bundesministerium des Innern, für Bau und Heimat
+aus unserer Sicht einen neuen sicherheitspolitischen Weg einschlagen und
+Vorschläge entwickeln, die die Arbeit der Polizei- und
+Sicherheitsbehörden verbessern, ohne dabei aber die Sicherheit von
+IT-Systemen und privater Kommunikation in Deutschland insgesamt
+verschlechtern.
+
+Unsere Kritik im Detail:
+
+## Die deutsche Kryptopolitik
+
+Ende Mai wurde bekannt, dass das Bundesministerium des Innern, für Bau
+und Heimat plant, die bestehende TKG-Regulierung auf verschlüsselte
+Messenger wie WhatsApp, Signal, Threema, Wire oder Telegram auszuweiten.
+Konkret bedeutet dies: Die Betreiber dieser Dienste müssen ihre Software
+so umgestalten, dass die Inhalte der Nachrichten unverschlüsselt an
+Sicherheitsbehörden weitergegeben werden können. Sollten die Betreiber
+dies ablehnen, so würden ihre Dienste in Deutschland gesperrt. Wie eine
+technische Umsetzung der Hintertüren in den Messengern aussehen könnte,
+beschreiben Vertreter:innen des britischen GCHQ in ihrem “Ghost
+Proposal”^[\[1\]](#ftnt1){#ftnt_ref1}^. Dieser Vorschlag wurde erst vor
+Kurzem von einer internationalen Allianz aus Wirtschaft, Wissenschaft
+und Zivilgesellschaft in einem offenen Brief stark
+kritisiert.^[\[2\]](#ftnt2){#ftnt_ref2}^
+
+Der BMI-Vorschlag konterkariert 20 Jahre erfolgreiche Kryptopolitik in
+Deutschland^[\[3\]](#ftnt3){#ftnt_ref3}^. In den Eckpunkten der
+deutschen Kryptopolitik aus dem Jahre 1999^[\[4\]](#ftnt4){#ftnt_ref4}^
+einigte sich die damalige Bundesregierung auf ein Prinzip, das unter der
+Maxime “Sicherheit durch Verschlüsselung und Sicherheit trotz
+Verschlüsselung” bekannt wurde. Dieser Grundsatz wurde seitdem mehrfach
+von Seiten der nachfolgenden Bundesregierungen bestätigt. Noch 2014
+wollte Deutschland sogar zum “Verschlüsselungsstandort Nr.
+1”^[\[5\]](#ftnt5){#ftnt_ref5}^ in der Welt aufsteigen. Ein Bruch mit
+diesen Bekenntnissen würde der IT-Sicherheit Deutschlands in Verwaltung,
+Wirtschaft und Gesellschaft nachhaltig schaden.
+
+## Auswirkungen auf die IT-Sicherheit
+
+Die geplante Verpflichtung der Messenger-Betreiber würde dazu führen,
+dass die Betreiber eine Schwachstelle in ihre Software einbauen müssten.
+Das erfordert einen tiefen Eingriff in die bestehenden komplexen
+Softwaresysteme der Betreiber. Diese Schwachstelle könnten von
+Nachrichtendiensten und Kriminellen ausgenutzt werden, um an sensible
+Informationen von Individuen, Behörden und Firmen zu kommen. Aktuelle
+Beispiele^[\[6\]](#ftnt6){#ftnt_ref6}^ zeigen, dass die Absicherung
+eines Messengers schon komplex genug ist, ohne dass dort zusätzlich
+gezielt Schwachstellen eingebaut werden und so die IT-Sicherheit
+zusätzlich gefährdet wird.
+
+Gleichzeitig würde dieser Schwachstelle-Einbau es Mitarbeiter:innen bei
+den Betreibern ermöglichen, Kommunikationsinhalte einsehen zu können,
+was aktuell nicht möglich ist. Hierdurch erhöht sich nicht nur das
+Missbrauchspotenzial. Eine zentrale Ablage der dazu benötigten
+kryptographischen Schlüssel^[\[7\]](#ftnt7){#ftnt_ref7}^ würde auch ein
+primäres Ziel für Angreifer:innen darstellen, der im Fall eines
+erfolgreichen Angriffs zur Offenlegung der Kommunikation aller (!)
+Nutzer:innen führen könnte (Single-Point-of-Failure).
+
+Hinzu kommt, dass die neue Version des jeweiligen Messengers mit
+Hintertür als Softwareupdate eingespielt werden müsste. Hier würden dann
+entweder alle deutschen Nutzer:innen oder ausgewählte deutsche
+Nutzer:innen dieses mit der Hintertür versehene Update eingespielt
+bekommen. Dieser Vorgang würde das Vertrauen der Verbraucher:innen in
+Sicherheitsupdates erschüttern und sich damit nachhaltig negativ auf die
+IT-Sicherheit in Deutschland auswirken.
+
+Sollten die Messenger-Betreiber die vorgesehene Maßnahme nicht umsetzen,
+sollen laut Plan des Innenministeriums ihre Dienste in Deutschland
+gesperrt werden. Das wäre auch die einzige Möglichkeit, wie die
+zuständigen Behörden mit Messengern umgehen könnten, deren
+Verschlüsselung ohne einen zentralen Betreiber auskommt und in die daher
+keine Hintertüren per Regulierung implementiert werden könnten (z. B.
+Pretty Good Privacy, Off-The-Record). Das würde unweigerlich dazu
+führen, dass es innerhalb Deutschlands keine sichere
+Messenger-Kommunikation mehr geben könnte. Eine technische Umsetzung
+wäre aber, vor allem für quelloffene Messenger wie Signal, faktisch
+unmöglich zu realisieren. Es würde eine dedizierte und stark in die
+Freiheitsrechte eingreifende IT-Infrastruktur brauchen, um das Umgehen
+dieser Sperren auszuschließen (inklusive Blockieren von Virtuellen
+Privaten Netzwerken \[VPNs\] und The Onion Router \[TOR\]), da
+Kriminelle die ersten wären, die dies versuchen
+würden.^[\[8\]](#ftnt8){#ftnt_ref8}^
+
+Betroffen wären davon allerdings nicht “nur” deutsche Behörden (u. a.
+Polizei, Feuerwehr, THW), Firmen und Bürger:innen im Allgemeinen,
+sondern auch Berufsgeheimnisträger:innen (z. B. Rechtsanwälte,
+Geistliche, Ärzte, Journalisten und Abgeordnete) und andere besonders
+schützenswerte Personengruppen.
+
+Mittlerweile argumentieren auch vermehrt ehemalige Geheimdienstchefs,
+dass gemessen an den Kosten, der Nutzen von umfassender Verschlüsselung
+(ohne Hintertüren) im Zeitalter von Cyber-Kriminalität, Datenlecks und
+Spionage den Verlust der Überwachungsfähigkeit mehr als aufwiege. Die
+strategischen Interessen wie die Stabilität des IT-Sektors und des
+IT-Ökosystems wiegen hier schwerer als die taktischen Interessen der
+Strafverfolger, so zum Beispiel der ehemalige NSA-Chef Michael Hayden
+und der ehemalige Chef des britischen Inlandsgeheimdienstes
+MI5.^[\[9\]](#ftnt9){#ftnt_ref9}^
+
+## Empirischer Erkenntnisstand und Alternativen
+
+Den Eckpunkten der Kryptopolitik folgend hat sich die Bundesregierung im
+Jahr 1999 entschieden, keine Schwächung der Verschlüsselung (inklusive
+Einbau von Hintertüren) vorzunehmen, sondern Schadsoftware
+(“Bundestrojaner”) zur Beschaffung von Daten vor/nach Verschlüsselung
+einzusetzen. Dieser Maßnahme wurde vom Bundesverfassungsgericht aus
+nachvollziehbaren Gründen hohe Hürden gesetzt. Anstatt auf Basis der
+bereits existierenden Überwachungsmaßnahmen eine dringend notwendige
+Bedarfsanalyse und die bereits vor vielen Jahren vom
+Bundesverfassungsgericht geforderte
+Überwachungsgesamtrechnung^[\[10\]](#ftnt10){#ftnt_ref10}^
+durchzuführen, soll nun eine Regulierung implementiert werden, die mehr
+als 20 Jahre wissenschaftliche Erkenntnisse in der
+IT-Sicherheitsforschung ignoriert^[\[11\]](#ftnt11){#ftnt_ref11}^.
+
+Die oft angeführte These, dass Geheimdienste und
+Strafverfolgungsbehörden aufgrund von Verschlüsselung keinen Zugriff
+mehr auf relevante Daten haben (Going Dark), ist bisher nicht empirisch
+belegt.^[\[12\]](#ftnt12){#ftnt_ref12}^ Im Gegenteil haben die
+technologischen Entwicklungen der letzten Jahrzehnte dazu geführt, dass
+Strafverfolger:innen mehr Daten zur Verfügung stehen als je
+zuvor.^[\[13\]](#ftnt13){#ftnt_ref13}^ Strafverfolgungsbehörden
+dokumentieren bisher kaum, in wie vielen Fällen verschlüsselte
+Kommunikation tatsächlich zu einem Erliegen von Ermittlungen geführt
+hat. Auch liegt keine vollständige Übersicht vor, welche alternativen
+Möglichkeiten zur Erhebung der notwendigen Daten in Deutschland bereits
+legal sind und wo sich noch weiße Flecken
+befinden.^[\[14\]](#ftnt14){#ftnt_ref14}^
+
+## Internationale Spillover-Effekte
+
+Sollte dieser Vorschlag umgesetzt werden, hätte dies auch weit über die
+deutschen Grenzen hinaus negative Strahlkraft. Autoritäre Staaten würden
+sich auf diese Regulierung berufen und entsprechende Inhaltsdaten von
+den Messenger-Betreibern anfordern mit dem Verweis darauf, dass dies in
+Deutschland – und damit technisch – möglich sei. Hiervon wäre dann die
+Kommunikation von Menschenrechtsaktivist:innen, Journalist:innen und
+anderen verfolgten Personengruppen massiv betroffen – Personengruppen,
+die die deutsche Außen- und Entwicklungshilfepolitik bisher zu schützen
+versucht hat und jährlich in Milliardenhöhe fördert. Deutschland muss
+sich seiner Verantwortung in der Welt auch in diesem Bereich bewusst
+sein. Mit einer bewussten Schwächung von sicheren Messengern würde
+Deutschland seine außenpolitische Glaubwürdigkeit als Verfechter eines
+freien und offenen Internets auf Spiel
+setzen.^[\[15\]](#ftnt15){#ftnt_ref15}^ Das Netzwerkdurchsetzungsgesetz
+dient hier als mahnendes Beispiel dafür, welche Auswirkung eine deutsche
+Gesetzgebung in der Welt entfalten kann.^[\[16\]](#ftnt16){#ftnt_ref16}^
+
+## Wirtschaftsstandort Deutschland
+
+Verwaltung, Wirtschaft und Verbraucher:innen müssen sich darauf
+verlassen können, dass bei der Nutzung digitaler Produkte und
+Dienstleistungen die Voraussetzungen zum Schutz ihrer Daten und zur
+Integrität ihrer Systeme erfüllt sind. Gerade für Unternehmen spielt das
+bei der Wahl ihres Produktionsstandortes eine große Rolle. Sie siedeln
+sich dort an, wo sie ihre Geschäftsgeheimnisse und Kundendaten geschützt
+wissen.
+
+Sabotage und Wirtschaftsspionage verursachten in den Jahren 2016/2017
+alleine im Industriesektor einen Schaden von 43 Mrd.
+Euro.^[\[17\]](#ftnt17){#ftnt_ref17}^ Es ist davon auszugehen, dass eine
+Schwächung der Verschlüsselung diese Zahlen weiter in die Höhe treibt,
+da eingebaute Hintertüren auch von ausländischen Nachrichtendiensten und
+Kriminellen missbraucht werden können. Wenn Deutschland ein
+innovationsfreundlicher und wettbewerbsfähiger Wirtschaftsstandort sein
+möchte, müssen technische Hintertüren, die Zugriffe für Dritte
+ermöglichen, weiterhin ausgeschlossen bleiben.
+
+Dazu kommt, dass Deutschland auch ein Standort für
+IT-Sicherheitsunternehmen u. a. mit Fokus auf
+Verschlüsselungstechnologien ist. Die Vertrauenswürdigkeit dieser
+Unternehmen im Speziellen würde durch das geplante Vorhaben massiv
+gefährdet. Damit würde Deutschland als Standort für die
+IT-Sicherheitsindustrie auch als Ganzes geschwächt werden, was den
+industriepolitischen Zielen Deutschlands und Europas direkt
+widerspricht.
+
+Wir warnen ausdrücklich vor dem geplanten Vorhaben des
+Bundesministeriums des Innern, für Bau und Heimat zur Regulierung von
+Messenger-Diensten und fordern eine sofortige Abkehr von diesem oder
+ähnlichen politischen Vorhaben auf deutscher wie europäischer Ebene.
+Darüber hinaus wäre eine offizielle Einschätzung folgender Stellen
+erforderlich:
+
+- des Bundesministeriums für Wirtschaft und Energie (Fokus: möglicher
+ Schaden für die deutsche Industrie sowie die Digitalwirtschaft)
+- des Auswärtigen Amts (Fokus: Spillover-Effekte, v. a. in autoritären
+ Staaten, Ansehensverluste Deutschlands als etablierter Rechtsstaat)
+- des Bundesministeriums der Justiz und für Verbraucherschutz (Fokus:
+ Vertrauensverlust von Verbraucher:innen)
+- und des Bundesamts für Sicherheit in der Informationstechnik (Fokus:
+ Gefährdung der IT-Sicherheit in Deutschland für Staat, Wirtschaft
+ und Gesellschaft)
+
+Mit freundlichen Grüßen
+
+[**Die
+Unterzeichner**](https://docs.google.com/document/d/17F-OxKJtR8DM9O8jiEfUhxDGguBnJoZ2-lvp9614CyM/mobilebasic)
+
+------------------------------------------------------------------------
+
+## Links und Fußnoten
+
+- [\[1\]](#ftnt_ref1){#ftnt1} [Ian Levy, Crispin Robinson: Principles
+ for a More Informed Exceptional Access
+ Debate](https://www.lawfareblog.com/principles-more-informed-exceptional-access-debate)
+- [\[2\]](#ftnt_ref2){#ftnt2} [Coalition Letter: Open Letter to
+ GCHQ](https://newamericadotorg.s3.amazonaws.com/documents/Coalition_Letter_to_GCHQ_on_Ghost_Proposal_-_May_22_2019.pdf)
+- [\[3\]](#ftnt_ref3){#ftnt3} [Sven Herpig, Stefan Heumann: Encryption
+ Debate in
+ Germany](https://carnegieendowment.org/2019/05/30/encryption-debate-in-germany-pub-79215)
+- [\[4\]](#ftnt_ref4){#ftnt4} [Die Raven Homepage: Eckpunkte der
+ deutschen
+ Kryptopolitik](https://hp.kairaven.de/law/eckwertkrypto.html)
+- [\[5\]](#ftnt_ref5){#ftnt5} [Die Bundesregierung: Digitale Agenda
+ 2014 -
+ 2017](https://www.bmwi.de/Redaktion/DE/Publikationen/Digitale-Welt/digitale-agenda.pdf?__blob%253DpublicationFile%2526v%253D3)
+- [\[6\]](#ftnt_ref6){#ftnt6} [Jürgen Schmidt: Kritische
+ Sicherheitslücke gefährdet Milliarden
+ WhatsApp-Nutzer](https://www.heise.de/security/meldung/Kritische-Sicherheitsluecke-gefaehrdet-Milliarden-WhatsApp-Nutzer-4186365.html)
+ und [Marius Mestermann: Ernster iPhone-Bug: Apple schaltet
+ FaceTime-Gruppenanrufe
+ ab](https://www.spiegel.de/politik/deutschland/nachrichten-am-morgen-die-news-in-echtzeit-a-1249669.html)
+- [\[7\]](#ftnt_ref7){#ftnt7} Es handelt sich hierbei um eine mögliche
+ Implementierung dieser Hintertüren. Es gibt auch andere
+ Implementierungsmöglichkeiten, die technisch jedoch nicht weniger
+ problematisch sind.
+- [\[8\]](#ftnt_ref8){#ftnt8} [Matthias Schulze: Überwachung von
+ WhatsApp und Co. Going
+ dark?](http://percepticon.de/2019/06/04-going-dark/)
+- [\[9\]](#ftnt_ref9){#ftnt9} [Michael Hayden: The Pros and Cons of
+ Encryption](https://www.youtube.com/watch?v%253D6HNnVcp6NYA)
+ and [The Guardian: Ex-MI5 Chef warns against crackdown on encrypted
+ messaging
+ apps](https://www.theguardian.com/technology/2017/aug/11/ex-mi5-chief-warns-against-crackdown-encrypted-messaging-apps)
+- [\[10\]](#ftnt_ref10){#ftnt10} [Constanze Kurz:
+ Überwachungsgesamtrechnung: Vorratsdatenspeicherung ist der Tropfen,
+ der das Fass zum Überlaufen
+ bringt](https://netzpolitik.org/2015/ueberwachungsgesamtrechnung-vorratsdatenspeicherung-ist-der-tropfen-der-das-fass-zum-ueberlaufen-bringt/)
+- [\[11\]](#ftnt_ref11){#ftnt11} [Danielle Kehl, Andi Wilson, Kevin
+ Bankston: DOOMED TO REPEAT HISTORY? Lessons from the Crypto Wars of
+ the
+ 1990s](https://static.newamerica.org/attachments/3407-doomed-to-repeat-history-lessons-from-the-crypto-wars-of-the-1990s/Crypto%252520Wars_ReDo.7cb491837ac541709797bdf868d37f52.pdf)
+- [\[12\]](#ftnt_ref12){#ftnt12} [Matthias Schulze, Going Dark?
+ Dilemma zwischen sicherer, privater Kommunikation und den
+ Sicherheitsinteressen von
+ Staaten.](http://www.bpb.de/apuz/259141/going-dark?p%253Dall)
+- [\[13\]](#ftnt_ref13){#ftnt13} [Peter Swire, The FBI Doesn’t Need
+ More Access: We’re Already in the Golden Age of
+ Surveillance](https://www.justsecurity.org/17496/fbi-access-golden-age-surveillance/)
+ und [Matthias Schulze: Clipper Meets Apple vs. FBI—A Comparison of
+ the Cryptography Discourses from 1993 and
+ 2016](https://www.cogitatiopress.com/mediaandcommunication/article/view/805)
+- [\[14\]](#ftnt_ref14){#ftnt14} [Sven Herpig: A Framework for
+ Government Hacking in Criminal
+ Investigations](https://www.stiftung-nv.de/sites/default/files/framework_for_government_hacking_in_criminal_investigations.pdf)
+- [\[15\]](#ftnt_ref15){#ftnt15} [Matthias Schulze: Verschlüsselung in
+ Gefahr](https://www.swp-berlin.org/publikation/verschluesselung-in-gefahr/)
+ und [Cathleen Berger: Is Germany (involuntarily) setting a global
+ digital
+ agenda?](https://medium.com/@_cberger_/is-germany-involuntarily-setting-a-global-digital-agenda-21c7eb735e26)
+- [\[16\]](#ftnt_ref16){#ftnt16} [Reporter ohne Grenzen: Russland
+ kopiert Gesetz gegen
+ Hassbotschaften](https://www.reporter-ohne-grenzen.de/russland/alle-meldungen/meldung/russland-kopiert-gesetz-gegen-hassbotschaften/)
--
cgit v1.2.3