Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen

Die vom Innenministerium erarbeitete Strategie wurde vielfach kritisiert – nun wird die Aufweichung der Cybersicherheit zum Regierungsprogramm.

Statt für eine Erhöhung der Cybersicherheit durch entsprechende Gesetze mit strafbewehrten Auflagen zu sorgen, sollen Geräte und Software löchrig bleiben wie ein Schweizer Käse.

Kein Gerät ist sicher.
Jede*r ist betroffen.

Letztlich zeigt die Strategie, wohin die Reise geht: Überwachung und Kontrolle. Es wurden bereits etliche Gesetze beschlossen und weitere Gesetzesinitiativen sind auf dem Weg, sowohl in Deutschland als auch international (siehe den Blogbeitrag dazu).

Eine weitere Kritik an der Strategie: Die Weichen wurden noch vor der Bundestagswahl gestellt, statt der neuen Bundesregierung einen Gestaltungsspielraum einzuräumen.

Aus dem Inhalt der Cyber(un)sicherheitsstrategie 2021:

  • Ende-zu-Ende-Verschlüsselung aushöhlen: Hintertüren für Behörden – Anbieter sollen Klartext-Zugang ermöglichen.
  • Sicherheitslücken ausnutzen: Legaler Angriff über 0-day-Exploits und andere Schwachstellen; Hacking-Auftrag für das BSI und das neu geschaffene ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich).
  • Staatstrojaner für alle: neben den Geheimdiensten dürfen Polizei und Zoll diese nutzen (das BKA hat bereits 2019 den Staatstrojaner Pegasus der NSO Group für eine Million € beschafft).

„Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen“ weiterlesen

Crypto Wars – der Kampf um Verschlüsselung

Als Crypto Wars werden die Auseinandersetzungen zwischen staatlichen und zivilgesellschaftlichen Akteuren bezeichnet, in denen es um vertrauliche Kommunikation geht. Den staatlichen Stellen geht es darum, Vertraulichkeit technisch und rechtlich zu erschweren und diese letztendlich unmöglich zu machen. Vertrauliche, verschlüsselte Kommunikation wird dabei als problematisch, wenn nicht sogar als gefährlich und kriminell eingestuft, die gesamte Kommunikation soll abgehört und mitgelesen werden können. Gegner sind dabei Akteure der Zivilgesellschaft, die teilweise auch Unterstützung in Politik und Wirtschaft finden.

Verschlüsselung ist mittlerweile weitverbreitet:
  • Webseiten und E-Mails werden überwiegend mit SSL/TLS verschlüsselt übertragen,
  • Messenger wenden Ende-zu-Ende-Verschlüsselung an,
  • VoIP-Telefonie und Videokonferenzen erlauben Verschlüsselung und
  • selbst E-Mails werden zunehmend mit S/Mime oder PGP verschlüsselt statt als Klartext gesendet

„Crypto Wars – der Kampf um Verschlüsselung“ weiterlesen

Messenger-Dienst Matrix startet zum Wintersemester

Matrix ist ein sicherer und datensparsamer Messenger-Dienst, dessen Kommunikation ohne Dienste Dritter funktioniert – anders als gängige Produkte wie WhatsApp, Telegram, Signal oder Threema. Matrix ist Open-Source und wird aktiv weiterentwickelt.

Die öffentliche Testphase des Betriebs hat an der TU begonnen, zunächst für  Studierende. Matrix wird von immer mehr Hochschulen betrieben.

Zentrales Feature ist die Ende-zu-Ende-Verschlüsselung für Chats und VoIP-Telefonie (auch mit Video).

„Messenger-Dienst Matrix startet zum Wintersemester“ weiterlesen

Schritt-für-Schritt-Anleitung: Einzelne E-Mail in Outlook verschlüsseln

Wir empfehlen, bei einzelnen E-Mails die Verschlüsselung zu aktivieren.

E-Mails generell zu verschlüsseln ist nicht hilfreich, da nur wenige Empfänger S/Mime nutzen; beim Senden wird sonst für jeden weiteren Empfänger ein Dialog eingeblendet „unverschlüsselt senden?“, der bestätigt werden muss.

„Schritt-für-Schritt-Anleitung: Einzelne E-Mail in Outlook verschlüsseln“ weiterlesen

E-Mails mit S/Mime in Outlook signieren und verschlüsseln

Dank signierter E-Mails ist ein Absender verifiziert und vertrauliche und personenbezogene Daten können Ende-zu-Ende-verschlüsselt per E-Mail gesandt werden. Es gibt zwei gängige Methoden: S/Mime und PGP.

Es ist einfacher als man/frau denkt: Die TU bietet für Ihre Mitglieder den Zertifizierungsservice des DFN Vereins an (der Service wird auch von anderen Hochschulen genutzt, fragen Sie bei Ihrem Rechenzentrum nach).

Jede*r TU-Angehörige kann bei der ZECM ein S/Mime-Zertifikat beantragen und dieses in seinem E-Mail-Programm einbinden.

Wie es geht und was es dabei zu beachten gibt beschreiben wir hier.

„E-Mails mit S/Mime in Outlook signieren und verschlüsseln“ weiterlesen

Ende-zu-Ende-Verschlüsselung soll EU-weit von (Strafverfolgungs-)behörden ausgehebelt werden können.

Eine aktuelle Initiative der EU Kommission fordert die Mitgliedstaaten auf, an der Schaffung von Lösungen zur Entschlüsselung verschlüsselter Kommunikation zu arbeiten.

Erklärtes Ziel ist der Zugriff auf private, verschlüsselte Nachrichten. Begründet wird es nicht nur mit dem Kampf gegen Terrorismus und organisierte Kriminalität, sondern Kindesmißbrauch wird angeführt. Die europäischen Strafverfolgungsbehörden wollen ihre Befugnisse und Möglichkeiten weiter ausdehnen: Online-Durchsuchung und Staats-Trojaner, stille SMS und weitere Überwachungsmethoden genügen ihnen nicht, sie wollen den Vollzugriff auf alle Daten (zunächst noch mit Richtervorbehalt).

Im gleichen Atemzug wird in dem Papier auf die Bedeutung von Verschlüsselung für die Wahrung der Privatsphäre verwiesen, die nicht untergraben werden soll.

Das ist ein nicht auflösbarer Widerspruch!

Wenn ein Zugriff in Einzelfällen erfolgen soll, muss er für jede Kommunikation möglich sein, so dass es keine sichere Verschlüsselung mehr gäbe.

„Ende-zu-Ende-Verschlüsselung soll EU-weit von (Strafverfolgungs-)behörden ausgehebelt werden können.“ weiterlesen