Netzpolitik titelt heute irreführend mit EU: Vorratsdatenspeicherung inkompatibel mit Grundrechten. Warum irreführend? Weil der EU-Generalanwalt in seiner Stellungnahme {englisch) die Richtlinie für unvereinbar mit der EU-Grundrechtecharta hält, nicht aber die Generalüberwachung der Bevölkerung an sich.
In der Regel hält sich der Gerichtshof in seinem Urteil an die Gutachten des Generalanwalts. Wir können also davon ausgehen, daß die endgültige Entscheidung ähnlich ausfallen wird. Sehen wir uns die Stellungnahme mal genauer an.
Der Generalanwalt sieht auf der einen Seite schon eine schwerwiegende Einschränkung des Grundrechts auf Privatsphäre (“a serious interference with the fundamental right of citizens to privacy”). Auf der anderen Seite ist seiner Meinung nach die Vorratsdatenspeicherung aber eine angemessene, ja sogar notwendige Hilfe zur Verhinderung schwerer Straftaten (“may be regarded as appropriate and even […] as necessary for achieving that objective”).
Konkret bemängelt er an der Richtlinie folgende Dinge:
Bevor wir jetzt also in Jubel ausbrechen und das Ende der Vorratsdatenspeicherung feiern, sollten wir mal kurz einen Abgleich dieser Mängelliste mit den Plänen unserer geliebten großen Koalition machen.
Wenn das Gericht sich der Stellungnahme anschließt, dann können wir also leider nicht davon ausgehen, daß die deutsche Vorratsdatenspeicherung über Europa wieder gekippt werden kann. Bleibt noch die Überarbeitung der EU-Richtlinie, die wir wohl in ein paar Jahren erwarten können, und die Straftaten, in denen die Vorratsdaten zur Anwendung kommen dürfen, näher regeln werden muss. Dann können wir immerhin versuchen, die Verwendung für „mittels Telekommunikation begangenen Straftaten“ wieder aus dem Anwendungsbereich rauszuklagen. Wie das mit Prozessen so ist, wird das dann aber wohl auch nochmal einige Jahre brauchen.
Persönlich ruht meine letzte Hoffnung ja darauf, daß das Gericht sich an die eigenen Fragen in der Anhörung zur Sache erinnern wird. Denn auch auf explizite Nachfrage konnte nicht belegt werden, daß Vorratsdatenspeicherung wirklich notwendig zur Aufklärung schwerer Straftaten ist. Oder auch nur, daß sie die Aufklärungsquoten in den Ländern und den Zeiträumen, in denen es sie bereits gegeben hat, signifikant beeinflußt hat. Ich hoffe, daß das Gericht in dem Punkt eine andere Meinung vertritt als der Generalanwalt und auf dieser Grundlage einer Vorratsdatenspeicherung grundsätzlich die Verhältnismäßigkeit absprechen wird.
Man wird ja wohl noch träumen dürfen.
]]>Seit bald einem halben Jahr reden wir uns den Mund fusselig, daß Realität ist, was die Aluhüte unter den Nerds schon immer gewusst zu haben meinen: wir alle werden flächendeckend und verdachtslos überwacht. Von den Amis, von den Briten, aber auch von unseren „eigenen“ Leuten beim BND. „Strategische Fernmeldekontrolle“ nennt sich das bei uns übrigens, wenn man sich einfach in Frankfurt an den DE-CIX hängt und da mitschnorchelt.
Die Opposition hat ein bisschen Empörung gespielt, zumindest im Bund, wo sie Opposition ist. Im Landtag NRW war die Reaktion analog zu schwarz-geld im Bund: das ist ja alles nur ein durchsichtiges Wahlkampfmanöver und überhaupt, man sei ja gar nicht zuständig dafür, daß wir jetzt alle in einem Überwachungsstaat leben dürfen.
Kaum ist die Wahl vorbei und der ganz große Koalition ist es gelungen, die Piraten auf Bundesebene weiter keine Rolle spielen zu lassen, fällt irgendeinem schlauen Menschen im Bundeskanzleramt auf: „Moment! Alle heißt doch auch die Kanzlerin!“ Flugs wird das Thema gezielt skandalisiert. Man hat ja gerade vom Inhalt der Koalitionsverhandlungen abzulenken. Stichworte „neue Vizepräsidenten“ und „mehr Ministerposten“ z.B.
Also trötet man auf allen Rohren „die böse NSA hört das Kanzler-Handy ab“. Verdammte Scheiße, das ist nicht das beschissene Problem! Es geht nicht um die Kanzlerin, es geht nicht um irgendwelche Politiker, es geht nicht um die EU oder die UN. Bei den letzten drei Personengruppen war unsere Regierung übrigens noch ganz still. Nein, es geht darum, daß jeder Mensch, der auf irgendeine Art und Weise elektronisch kommuniziert, dabei vollständig überwacht wird.
Es geht auch nicht (nur) um Handys. Es geht um alles, was irgendwo durch ein Kabel geht:
Mit den ersten beiden Dingen wird sich vermutlich jeder identifizieren können, beim dritten helfe ich gerne nochmal auf die Sprünge. Über das Netz gehen (Liste bei weitem nicht vollständig)
Diese Daten musst Du nicht mal selbst verschicken, um betroffen zu sein. Es gibt ja genug Dritte, die Daten über Dich haben, verwenden und kommunizieren. Alle diese Daten werden dann mindestens mit dem Rüssel auf die Festplatten unserer „befreundeten“ Geheimdienste gezogen, weitere Verwendung: unbekannt. Je nachdem, welche Technik gerade im Einsatz ist, kann man aber auch direkt noch den Datenstrom manipulieren. Die Erfahrung lehrt uns, daß einmal gesammelte Daten auch verwendet werden. Und zwar nicht nur für Zwecke, die ursprünglich mal geplant waren.
All das hat niemanden interessiert. Leider auch nicht zur Bundestagswahl. Dementsprechend sich-bestätigt-fühlend benehmen sich unsere Spitzenpolitiker jetzt. Wisst schon, eine Kanzlerin ist natürlich definitiv mehr wert als 82 Millionen Bundesbürger, für die sie sonst verantwortlich sind. Die Überschrift „vom Wert eines Menschen“ habe ich mir jetzt aber mal verkniffen.
]]>Deutsche Internetunternehmen sind mal wieder total innovativ. Nach nur 11½ Jahren haben T-Offline und United Internet es geschafft, RFC 3207 zu implementieren. Bravo!
Aber wie es sich für Verkäufer von heißer Luft gehört, muss das natürlich von einem Medienspektakel begleitet werden. Schließlich hat mittlerweile auch der gemeine Verbraucher mitbekommen, daß das mit der Sicherheit im Internet vielleicht doch wichtig ist. Aber mal eins nach dem anderen.
Ignorieren wir einfach die Tatsache, daß bestimmt nicht ⅔ der Deutschen bei den drei Anbietern ihre Mails lagern (ich sage nur: GMail), ignorieren wir weiterhin, daß sie es so aussehen lassen, als würde sonst niemand verschlüsseln. Sind bestimmt nur bedauerliche Fehler.
Gehen wir jetzt mal von dem (unwahrscheinlichen) Fall aus, daß die Mailserver bei Verbindungen untereinander nicht nur verschlüsseln, sondern auch den Fingerprint des Zertifikats prüfen, das sie vom Gegenüber präsentiert bekommen. Ansonsten könnte ich auch behaupten, die Telekom zu sein. Dann ist diese Aktion sogar wirklich eine Verbesserung des Status Quo. Mir wäre es aber zu peinlich, per großer Aktion darauf hinzuweisen, daß ich bisher zu blöd war, Mails meiner Kunden zu verschlüsseln. Und daß ich weiterhin nicht in der Lage bin, von Kundenseite her nur verschlüsselte Verbindungen für Empfang und Versand von Mails anzunehmen, denn das kommt erst 2014 …
Der Gipfel ist aber, den Nutzern zu suggerieren, auf den Servern der neuen Allianz seien die Mails der Kunden dann sicher. In der Grafik des letzten Links ist nämlich nicht nur der Transportweg grün markiert (respektive rot bei Verbindung nach „draußen“), sondern auch die Server selbst. Bitte einmal den Arm heben, wem das seltsam vorkommt. Hab’ ich mir gedacht. Man beachte die überspezifische Formulierung zur Speicherung: „Sie sichert die Geltung des strengen deutschen Datenschutzes ohne mögliche Aufweichungen oder Regelungen ausländischer Instanzen.“. Großartig. Ausländische Dienste haben also keinen direkten Zugriff auf die Hardware, die deutschen schon. Also quasi genauso wie bei allen anderen deutschen Servern auch. Na, das ist doch mal ein Sicherheitsgewinn.
Genau wie bei De-Mail wird wieder das Augenmerk auf die Transportverschlüsselung gelegt, nicht auf die Verschlüsselung der Mail selbst. Das ist in etwa so, als würde ich damit werben, daß ich Post im Umschlag verschicke und den Postboten nicht reingucken lasse. In der Leitstelle nehme ich den Brief aber natürlich raus und lagere ihn dann ohne. Damit schützt auch E-Mail made in Germany nur vor dem direkten, unverschlüsselten Abschnorcheln der Email, während sie versandt wird. Ist sie einmal in meinem Postfach gelandet, liegt sie vollkommen unverschlüsselt auf der Festplatte des Providers.
Gegen unbefugten Zugriff auf Mailinhalte kann weiterhin nur Ende-zu-Ende-Verschlüsselung helfen. Die Mail muss auf dem Rechner des Absenders ver- und auf dem Rechner des Empfängers erst wieder entschlüsselt werden. Alles andere erlaubt Befugten und im Zweifel auch Unbefugten den Zugriff auf den Klartext der Mail, der dann auf den Servern des Providers gespeichert ist. Aber seien wir mal ehrlich: das ist ja auch gewollt.
Im Gegensatz zu De-Mail ist das Ganze aber weiterhin Email, damit kompatibel zu Email anderer Anbieter, und weiterhin muss ich mich nicht ausweisen, um eine Adresse zu bekommen. Man muss auch nicht jeden Tag in sein Postfach gucken, weil man sonst vielleicht gegenüber Behörden in Verzug gerät. Das wird jetzt zwar als Nachteil dargestellt, damit ist es aber trotzdem immer noch besser als De-Mail. Immerhin. (Man beachte übrigens auch bei dieser Tabelle wieder, daß offenbar alle anderen Server im Ausland stehen und SSL erst gestern erfunden wurde.)
Netterweise sind die Macher so zuvorkommend, in ihrem illustren Kreis nicht auf Teufel komm raus alleine bleiben zu wollen. Melden kann man sich als interessierter Betreiber eines Mailservers unter teilnehmer@e-mail-made-in-germany.de. Dazu muss man nur die Sicherheitsregeln verpflichtend einhalten. Hmm. TLS? Check. Serverstandort in Deutschland? *unter den Tisch guck* Check. Datenschutz? Check. Vielleicht sollte ich da mal hinschreiben? Bekomme ich dann auch einen Platz für ein von mir ausgewähltes Logo auf der Kampagnenseite? Kann ich da wohl “Snake Oil” reinschreiben, ohne daß es unlesbar wird?
Statt sich von Marketinggetue einlullen zu lassen, sollte man also lieber mal
sinnvoll Zeit investieren und eine
Cryptoparty besuchen. Das Chaosdorf
hier organisiert z.B.
morgen heute eine. Zumindest vermutlich schon heute, wenn Du das
hier liest. Wer keine Angst vor Piraten hat, kann sich auch von
denen was erzählen lassen, auch wenn sie noch nicht mal
„Cryptoparty“ richtig schreiben können. Z.B. am
Sonntag in Düsseldorf. Das ist auch wirklich
erst morgen :)