Archiv der Kategorie: EU

Verschlüsselung ist nicht Teil der Lösung, sondern Teil des Problems

Im Rahmen der globalen Internet-Überwachung, die PRISM und Tempora offensichtlich gemacht haben – und wahrscheinlich gibt es doch auch noch andere Programme in anderen Staaten – ist ein Gutteil des Online-Diskurses der Frage gewidmet, wie man sich selbst mit Verschlüsselung schützen kann.

Nach meinem Dafürhalten ist aber der Einsatz von Verschlüsselung keine Lösung des Problems: weder für persönliche Kommunikation noch als Ansatz für die globale Herausforderung.

Was wir bislang gehört haben, geht es bei den Überwachungsprogrammen um Metadaten. Diese werden durch keine Verschlüsselung verschleiert: Empfänger der Nachrichten sind bei derzeit allen Diensten identifizierbar. Auch die Nachrichtenlänge und Nachrichtenfrequenz sind leicht festzustellen. Hier hilft Verschlüsselung nicht.

Verschlüsselung verführt uns zur Annahme, die Kommunikation sei sicher. Dies muss nicht so sein. Die NSA ist einer der größten Arbeitgeber für Mathematiker weltweit. Aus Zeiten der Verabschiedung des DES (1976) ist bekannt, dass die NSA schon damals der öffentlich bekannten Forschung an Verschlüsselung einige Jahre voraus war – die von ihnen vorgeschlagenen Veränderungen am Algorithmus sicherten ihn gegen Analyseverfahren ab, die zu dem Zeitpunkt in der zivilen Welt noch nicht entdeckt worden waren. Es kann also gut sein, dass wir uns auf Verfahren verlassen, deren Sicherheit nicht mehr gegeben ist.

Und selbst wenn die Verschlüsselung heute noch sicher ist: die NSA speichert sehr, sehr lange. Wer sagt uns denn, dass innerhalb der nächsten dreissig Jahren die entsprechenden Algorithmen – sei es durch hinreichend schnelle Computer, sei es durch Fortschritte in deren Rückrechnung – nicht alle keinen Wert mehr haben? So groß ist die Anzahl der derzeit in den verschiedenen Tools eingesetzten Verfahren nicht.

Ein weiteres Thema ist, dass Verschlüsselung eine komplexe Aufgabe ist, wenn man sie ernst nimmt. Auch wenn wir uns bemühen, die Verfahren so einfach wie möglich zu gestalten und die Programme so benutzerfreundlich wie möglich zu bekommen: eine gewisse Komplexität muss bleiben, wenn die Verfahren ernsthaft genutzt werden sollen. Man denke nur an die Aufgaben, um private Schlüssel einerseits sicher und nur auf Geräten des Benutzers zu halten, andererseits aber auch in Backups zu sichern oder über mehrere Geräte abzugleichen. Von so Themen wie Integration in Webmail ganz zu schweigen – hier stoßen dann Welten zusammen, die nur sehr, sehr schwierig zusammenzuführen sein werden. Durch diese Komplexität wird es aber auch so bleiben, dass Verschlüsselung immer nur einer Minderheit zur Verfügung steht: jenen Menschen, die sich ernsthaft mit diesen Themen auseinandersetzen.

Was die Menschen, die sich stark online bewegen, so sehr stört ist kein technisches Problem; es ist ein politisches. Anstatt sich um technische Lösungen zu kümmern, sollten wir die Energie viel lieber darauf verwenden, uns politische und soziale Lösungen zu überlegen: das ist das Spielfeld, auf dem wir uns derzeit bewegen müssen. Ich sehe gerade keinen anderen Weg, uns der Überwachung der Unterseekabel zu entziehen, als nur möglichst wenig Daten über diese Kabel zu schicken. Das bedeutet: Europa muss sich Gedanken darüber machen, wie es die Abhängigkeiten von den USA als Technologiequelle reduziert. Europa muss sich darüber Gedanken machen, auf welche Weise wir die Internet-Wirtschaft in Europa so stärken können, dass europäischen Benutzern der Zugriff auf europäische Dienste lieber ist, als Unternehmen zu bemühen, die sich dem amerikanischen Recht unterordnen müssen. Denn, machen wir uns doch nichts vor: Europa wird es nicht schaffen, nennenswerten Einfluss auf das Vorgehen der amerikanischen Sicherheitsbehörden zu nehmen. Über keine Verhandlungen, über keine Gesetzgebung werden wir es schaffen, dass FISA-Beschlüsse öffentlich werden, dass die NSA sich gegenüber Ausländern anders verhalten muss oder dass die amerikanischen Unternehmen plötzlich bessere Werkzeuge haben, um sich dem Sicherheitswesen zu widersetzen. Vielleicht ändert sich der Narrativ, den wir hören: das heisst aber noch lange nicht, dass sich fundamental am Vorgehen was ändert.

Die EU muss sich darum bemühen, dass die IT-Industrie in Europa zu einer innovativen, beweglichen und eben auch unabhängigen Branche wird. Erst dann werden wir es schaffen, dass das europäische Recht auch für die europäischen Daten bindend ist.

European Software

Reading that the German Foreign Ministry is about to change their computing desktops back from a GNU/Linux-based system to Microsoft Windows and their Office offerings, a thing that has been on my mind for a while comes back again.
I think it would be very worthwhile to start an initiative to foster european software; I think that wherever software produced in europe is available, it should be favored over other products. There are european operating system vendors – especially in the GNU/Linux arena. Why are they not getting the money, but rather the big vendor from Redmont?
There also is the point that I think particularly for sensitive information, an operating system where the code can be audited and traced is a good idea. I am not sure that you should be trusting the operations of a highly sensitive network to a company that is not all transparent about it motives, or its potential connections to the intelligence community in its home country.
I think that strategic investments would also do wonders to stimulate activity in the software market. Working towards the goal of eroding Microsoft’s dominance would be a good thing in my book. Considering that there have been many pushes towards fostering something like a european (or german, or british or …) Silicon Valley, this could just be the way to get the european software industry to focus on providing competitive offerings for basic functionality like office and desktop operating systems.

Europa vs USA

George Walker Bush ist mit deshalb wiedergewählt worden, weil er sich deutlich gegen ein potentielles Recht homosexueller Paare auf Eheschliessung gestellt hat.

Die alte neue EU-Kommision von José Manuel Barroso ist mit deshalb gescheitert, weil einer seiner Kommisare sich deutlich gegen ein Recht homosexueller Paare auf Eheschliessung ausgesprochen hatte.

Manchmal finde ich es gar nicht so schlecht, in Europa zu leben.

Biometrische Daten im Pass

Die EU-Innenminister haben sich wohl darüber verständigt, biometrische Daten in die Reisepässe der EU-Bürger aufzunehmen.

Wenn man sich überlegt, welchem Nebennutzen die im Rahmen der Terrorbekämpfung eingeführte Überwachung von Bankkonten im Zuge der Einführung der Arbeitslosenhilfe neu (vulgo: Hartz IV) schon zugeführt wurde, ist die Aussicht, dass in Kürze systematisch Gesichter vermessen und Daten gespeichert werden, eher beängstigend. Die Video-Überwachung ist ja schon in recht vielen Gegenden recht flächendeckend, aber bisher war die Gesichtserkennung noch nicht so weit, dass die Daten ordentlich verwertbar wären.

Das könnte sich nun plötzlich ändern.

Welchen Nutzen sollen die biometrischen Daten eigentlich genau haben?