Vorratsspeicherung ade – EuGH kippt deutsche Regelung

Der Eingriff in die Grundrechte sei nicht verhältnismäßig, insbesondere die anlasslose Vorratsspeicherung von Verkehrs- und Standortdaten. Eine allgemeine Speicherung von IP-Adressen und die gezielte Vorratsdatenspeicherung zur Bekämpfung schwerer Kriminalität kann aber von den Mitgliedsstaaten geregelt werden.

Die seit Jahren anhaltende Diskussion um die allgemeine Vorratsdatenspeicherung sollte mit dem Urteil ein Ende finden – auch wenn immer wieder vereinzelt Forderungen danach zu hören waren, zuletzt von der Innenministerin Faeser. Eine Nachfolgeregelung wird es wohl geben, diese muss aber deutlich weniger Daten speichern, wenn sie das EuGH-Urteil umsetzen soll.

Aus der Pressemitteilung:

Ein solcher Satz von Verkehrs und Standortdaten, die zehn bzw. vier Wochen lang gespeichert werden, kann aber sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren , und insbesondere die Erstellung eines Profils dieser Personen ermöglichen.“

Weitere Informationen

Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen

Cyberangriffe mit Verschlüsselungstrojanern häufen sich in den letzten Jahren, neben privatwirtschaftlichen Unternehmen sind zunehmend öffentliche Einrichtungen wie Behörden und Universitäten betroffen. Seit dem Beginn des Ukrainekrieges sind die Cyberattacken mit Ransomware aggressiver geworden, so dass sowohl vorbeugende als auch lindernde Maßnahmen nun zwingend geboten sind und diskutiert werden – sowohl in der IT selbst als auch bei der Gesetzgebung.

Statt der Symptome sollten die Ursachen im Fokus stehen:

Heutige Software und Systeme sind sicherheitstechnisch löchrig wie ein Schweizer Käse.

Ziel sollte Sicherheit und Verlässlichkeit sein.

Jede Komponente sollte überprüfbar sein.

Ein offener Ransomletter-Brief zieht auch im universitären Umfeld seine Kreise. In diesem wird die Politik aufgefordert, Lösegeldzahlungen und Versicherungen, die diese abdecken, gesetzlich zu reglementieren, so dass die Ransomwaregangs Lösegelder nicht mehr so leicht eintreiben können und ihnen damit das Wasser abgegraben werden kann. Dass Lösegeldzahlungen nicht der richtige Weg sind, das Problem in den Begriff zu bekommen, liegt auf der Hand.

Jedoch wird sich das Ransomware-Geschäftsmodell durch ein Verbot von Lösegeldzahlungen nicht aushebeln lassen, denn:

  • einerseits werden angegriffene Unternehmen trotzdem Wege finden, Lösegeldzahlungen vorzunehmen, wenn sie dieses wollen und
  • andererseits der Schaden durch eine Zerstörung oder Weitergabe/Verkauf erbeuteter Daten an Dritte möglicherweise noch größer wäre

Insofern ist der Ansatz des offenen Briefs nicht zielführend. Im Gegenteil – wenn die Ursachen nicht beseitigt werden, wird es immer schlimmer. IT-Systeme werden von vielen Akteuren angegriffen, sowohl Geheimdienste als auch etliche -teilweise sogar staatlich beauftragte- Hacker tummeln sich darin.

Im Beitrag beschreiben wir den typischen Verlauf eines Ransomware-Angriffs und diskutieren, was Software sicherer machen könnte.

„Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen“ weiterlesen

Crypto Wars 2.0 – EU Kommission forciert Chatkontrolle in Gesetzentwurf

Wir berichteten bereits darüber, jetzt macht die Kommission ernst mit der digitalen Massenüberwachung:

Alle Dienstanbieter sollen verpflichtet werden,
jede (private) Kommunikation auf kinderpornographische Inhalte zu scannen.

Derzeit ist es noch freiwillig, künftig aber gefordert, dass alle Inhalte kontrolliert werden müssen. Es ist nur eine Frage der Zeit, dass die Begehrlichkeiten der Behörden nicht auf kinderpornographische Inhalte beschränkt bleiben werden, was in einer Domäne funktioniert, kann leicht adaptiert werden.

„Crypto Wars 2.0 – EU Kommission forciert Chatkontrolle in Gesetzentwurf“ weiterlesen

EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten

Alle Strafverfolger wollen es, Apple hat bereits gezeigt, wie es geht.

Endgeräte scannen, bevor die Kommunikation verschlüsselt wird.

Die EU Kommission lanciert eine Verordnung, die Tech-Unternehmen und Telekommunikations-Anbieter dazu verpflichten soll, Endgeräte der Nutzer*innen und Kommunikation auf strafbare Inhalte zu scannen und diese automatisiert an die Behörden weiterzugeben.

„EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten“ weiterlesen

Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen

Ja!

Der gestern präsentierte Koalitionsvertrag von SPD, Grünen und FDP greift viele Forderungen aus der Zivilgesellschaft auf, u.a.

  • Überprüfung der Sicherheitsgesetze in einer Überwachungsgesamtrechnung, die wissenschaftlich evaluiert wird
    (statt wie bisher: massive Ausweitung der Befugnisse und Staatstrojaner-Einsatz)
  • Videoüberwachung und biometrische Identifizierungen sollen im öffentlichen Raum (weitgehend) unterbleiben
    (statt wie bisher diskutiert: Digitale Kontrolle des öffentlichen Raumes ausweiten)
  • Meldepflicht von Sicherheitslücken an das BSI durch staatliche Stellen
    (statt wie bisher: diese einzukaufen um sie für Onlinedurchsuchungen / Staatstrojaner zu nutzen oder als Angreifer Hackbacks vorzunehmen)
  • Neuausrichtung des BSI als unabhängigere IT-Sicherheits-Instanz
  • ein Recht auf sichere Verschlüsselung
    (statt wie bisher: Aushöhlung und Hintertüren)
  • Legalisierung der Aufdeckung von Schwachstellen „responsible disclosure“
    (statt wie bisher: Strafverfolgung)
  • Herstellerhaftung für Schäden, die fahrlässig durch IT-Sicherheitslücken verursacht werden
    (statt wie bisher: Bitten um Produktverbesserung)
  • Ersatzteile und Updates sollen für die gesamte Lebenszeit von Produkten verfügbar sein
    (statt wie bisher: Hoffen auf freiwillige Selbstverpflichtung)
  • Open Source und offene Standards sollen bei öffentlichen Softwareentwicklungsprojekten die Regel sein „public money for public code“
  • Anonyme / pseudonyme Nutzung von Diensten soll möglich sein
    (statt wie bisher diskutiert: Klarnamenpflicht)
  • Regelungen zur Anonymisierung von Daten sowie Strafbarkeit von De-Anonymisierung

„Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen“ weiterlesen

Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen

Die vom Innenministerium erarbeitete Strategie wurde vielfach kritisiert – nun wird die Aufweichung der Cybersicherheit zum Regierungsprogramm.

Statt für eine Erhöhung der Cybersicherheit durch entsprechende Gesetze mit strafbewehrten Auflagen zu sorgen, sollen Geräte und Software löchrig bleiben wie ein Schweizer Käse.

Kein Gerät ist sicher.
Jede*r ist betroffen.

Letztlich zeigt die Strategie, wohin die Reise geht: Überwachung und Kontrolle. Es wurden bereits etliche Gesetze beschlossen und weitere Gesetzesinitiativen sind auf dem Weg, sowohl in Deutschland als auch international (siehe den Blogbeitrag dazu).

Eine weitere Kritik an der Strategie: Die Weichen wurden noch vor der Bundestagswahl gestellt, statt der neuen Bundesregierung einen Gestaltungsspielraum einzuräumen.

Aus dem Inhalt der Cyber(un)sicherheitsstrategie 2021:

  • Ende-zu-Ende-Verschlüsselung aushöhlen: Hintertüren für Behörden – Anbieter sollen Klartext-Zugang ermöglichen.
  • Sicherheitslücken ausnutzen: Legaler Angriff über 0-day-Exploits und andere Schwachstellen; Hacking-Auftrag für das BSI und das neu geschaffene ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich).
  • Staatstrojaner für alle: neben den Geheimdiensten dürfen Polizei und Zoll diese nutzen (das BKA hat bereits 2019 den Staatstrojaner Pegasus der NSO Group für eine Million € beschafft).

„Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen“ weiterlesen

Endlich: Staatstrojaner auch ohne Tatverdacht präventiv durch Polizei und Geheimdienste einsetzbar

Heute wird das vielfach diskutierte und nur punktuell angepasste Bundespolizeigesetz im Bundestag beschlossen.

Es ist nun den Polizeibehörden und Geheimdiensten möglich ohne Strafantrag die Rechner unbescholtener Bürger zu hacken und mit Staatstrojanern zu versehen. Für die Telekommunikationsüberwachung (TKÜ) musste zumindest ein Tatverdacht bestehen.

Sicherheitslücken dürfen dabei ausgenutzt und Schadsoftware installiert werden.

Die Telekommunikationsanbieter sind dabei zur Mitwirkung verpflichtet.

Der Grundrechtseingriff ist so massiv, dass bereits jetzt absehbar ist, dass das Gesetz vom Bundesverfassungsgericht gekippt werden wird. Allerdings wird bis dahin noch viel Wasser die Spree hinunter fließen.

Weitere Informationen

Nachtrag v. 23.9.2021

Die Gesellschaft für Freiheitsrechte hat insgesamt 7 Klagen gegen die einschlägigen Gesetze zum Staatstrojaner eingereicht sowie zuletzt eine Beschwerde beim Bundesdateschutzbeauftragten gegen den Kauf und die Nutzung der Software Pegasus durch das BKA.

Vortrag „Crypto Wars: Ende der Ende-zu-Ende-Verschlüsselung?!“

Wie funktioniert Verschlüsselung, wie sicher kann sie sein, welche Angriffsmöglichkeiten und gesetzgeberischen Bestrebungen gibt es?

Zunächst wird das Prinzip der symmetrischen und asymmetrsichen „public-key“ Verschlüsselung erläutert, anschließend Angriffsszenarien diskutiert und schließlich die weltweiten Gesetzesinitiativen zur Unterwanderung der Ende-zu-Ende-Verschlüsselung angerissen.

Verschlüsselte Kommunikation ist wichtig!

„Digitale Inhalte bleiben nur mit Verschlüsselung vertraulich.

Digitale Selbstbestimmung bedeutet, die Hoheit über die eigenen Daten zu behalten und selbst zu entscheiden mit wem mensch sie teilt.“

„Vortrag „Crypto Wars: Ende der Ende-zu-Ende-Verschlüsselung?!““ weiterlesen

Datenschutzrechtliche Rahmenbedingungen für Online-Dienste in Lehre & Forschung

Wir erläutern, welche Dinge bei der datenschutzkonformen Nutzung von Online-Diensten an der TU Berlin bedacht werden sollten. Der Fokus liegt in diesem Beitrag auf deren Nutzung im Rahmen von Lehre & Forschung.

„Datenschutzrechtliche Rahmenbedingungen für Online-Dienste in Lehre & Forschung“ weiterlesen

Crypto Wars – der Kampf um Verschlüsselung

Als Crypto Wars werden die Auseinandersetzungen zwischen staatlichen und zivilgesellschaftlichen Akteuren bezeichnet, in denen es um vertrauliche Kommunikation geht. Den staatlichen Stellen geht es darum, Vertraulichkeit technisch und rechtlich zu erschweren und diese letztendlich unmöglich zu machen. Vertrauliche, verschlüsselte Kommunikation wird dabei als problematisch, wenn nicht sogar als gefährlich und kriminell eingestuft, die gesamte Kommunikation soll abgehört und mitgelesen werden können. Gegner sind dabei Akteure der Zivilgesellschaft, die teilweise auch Unterstützung in Politik und Wirtschaft finden.

Verschlüsselung ist mittlerweile weitverbreitet:
  • Webseiten und E-Mails werden überwiegend mit SSL/TLS verschlüsselt übertragen,
  • Messenger wenden Ende-zu-Ende-Verschlüsselung an,
  • VoIP-Telefonie und Videokonferenzen erlauben Verschlüsselung und
  • selbst E-Mails werden zunehmend mit S/Mime oder PGP verschlüsselt statt als Klartext gesendet

„Crypto Wars – der Kampf um Verschlüsselung“ weiterlesen