rC3 Vorspannmusik Herald: Kommen wir zum Talk. Five Eyes, FBI, Europol und einige andere sind seit Jahren damit beschäftigt, die Ende zu Ende Verschlüsselung aufzuweichen oder ganz abzuschaffen. Dieser Talk über die Crypto Wars 2.0 von Erich Möchl gibt uns einen Einblick in die Methoden dieser Organisationen und zeigt uns, was dort in den letzten fünf Jahren vor sich gegangen ist und wohin die Reise auch nur in wenigen Tagen gehen wird. Und ganz besonders die dramatischen Entwicklungen der letzten zwei Monate haben es mächtig in sich. Hier ist Erich Möchl. Erich: Hallo Leute, begrüße auch allenfalls anwesende Damen und Herren. Lassen Sie uns gleich in medias res gehen. Ich glaube, sehr viele von Ihnen haben mitgekriegt in letzter Zeit diese diese Bestrebungen des Ministerrats Ende zu Ende Verschlüsselung irgendwie wieder aus dem Netz zu kriegen. Und hier ist, sind. Ich habe den gesamten Talk in zwei meiner üblichen Artikel verpackt, allerdings in insgesamt vierfacher Überlänge. Es sind da drin. Sie werden sehen, was da alles drin ist. Wir beginnen jetzt mit. Total. Mit. Mit etwas sehr aktuellem. Denn diese angeblich nicht verbindliche Resolution. Wie behauptet wurde. Nach meinen Berichten. Ahh hat sich bereits im ersten Dok- in der ersten Richtlinie niedergeschlagen. Es ist zwar nur ein Erwägungsgrund, aber es wird bereits auf diese nicht verbindliche Resolution des Rates Rücksicht genommen, in dem ausgerechnet in den Maßnahmen einer Richtlinie für einen gemeinsamen hochklassigen Cyber-Sicherheitsstandard haben Sie den Nachschlüssel verankert. Das geht so bei der EU. Das ist immer so die Regel. Erst kommt eine Resolution, die ist nicht verbindlich, dann kommt eine weitere Entscheidung des Rats, dann geht das in die Kommission, dann kommt ein Entwurf usw. Also das ist der übliche Prozess. Und hier sind wir im, im, im Stadium, wo ein Prozess, der noch nicht gestartet hat, bereits in anderen gesetzgeberischen Prozessen verankert wird. Also da drinnen wird Lob und Preis der Ende zu Ende Verschlüsselung gesungen. In der, weils um einen hochklassigen Cyber-Sicherheitsstand für die Union geht und dann steht in der Passage drinnen Ausnahme und E2E-Verschlüsselung und Überwachbarkeit. Weil erst Überwachbarkeit bringt totale Sicherheit. Also wir haben es mit einer klassischen Orwell Passage zu tun und ich sage Ihnen halt und will Ihnen heute zeigen. Das ist nicht vom Himmel gefallen, sondern das wurde 2014 begonnen. Einleitend möchte ich noch auf die Chronik vom in Netzpolitik zum selben Thema 5 Jahre Kampf gegen die Verschlüsselung hinweisen. Denn dort er beschreibt er hat eine ähnliche Geschichte, Zeitgeschichte geschrieben, aber der beschreibt sämtliche Vorgänge im Ministerrat in der Union sehr granulär und auch in Deutschland. Während ich hier sozusagen einen großen Überblick biete versuche und über Kompli über die Kontinente wechsle hier. 2000 wir schreiben, wir schreiben Anfang 2014: Alles ist in Aufruhr. Hier haben Sie ein Beispiel; dieses Bild. Das ist der Netzwerkverkehr, der im April 2015 schon TLS encrypted war. Man sieht, es ist nicht einmal ein Drittel und vorher waren es noch weit weniger. Es waren die Snowdenschen Enthüllungen, die dafür gesorgt haben, dass das goldene Zeitalter der Überwachung zu Ende ging. Das Abschnüffeln, das problemlose Abschnüffeln aller Daten im Internet, sagen wir hat den Leuten nicht mehr behagt, nachdem sie es wussten. Und da ging es dann, ging es dann gleich in die Vollen. Also Verschlüsselung nahm rasant zu und auch die Cops hatten ein Problem. Die hatten vorher abgezogen aus den Telefonienetzen, wofür immer sie lustig waren. Metadaten hier, Standortdaten dort. Inhalte da. Durchsuchungsbefehl. Zack, kam das über die Schnittstelle. Man brauchte nicht ermitteln gehen. Das hört sich auch immer mehr, ist immer weniger geworden, weil alles alles ins Netz geht. Und dort gibt's eben sowas wie die ETSI-Schnittstellen nicht. So, und jetzt gehen wir dorthin, wo das anfing und es fing nicht in Europa an, sondern in den USA. Da oben habe ich eben die Maßnahmen W3C, Härtung des Internet, IETF TLS pushen. Tja, und im November haben sie sich nach Snowden da war lange Pause, da waren Überwachungsgesetze nicht wirklich populär. Haben sie sich im November raus getraut, und zwar alle zugleich. Der Kerchove für Europol, GCHQ- Direktor in England, FBI-Direktor in den USA und einer, der noch fehlt. Der kommt gleich. Und wir müssen unbedingt Zugriff auf verschlüsselte Kommunikation haben, weil vor allem auch auf Mobilfunkgeräte, weil wir sonst nicht ermitteln können und bla. Na kamen: das Crypto-API des W3C war da schon fertig zur Integration in die Browser. Das war die Grundlage dafür für die Zunahme der Verschlüsselung. Dann kommen wir schon nach 2015. ENISA und STOA zwei EU-Gremien, die technisch befasst sind, sagen genau das Gegenteil was die Strafverfolger und die Geheimdienste behaupten. Die Wirtschaft braucht sichere Verschlüsselung. Und am 1.Mär- 1. Februar 2015 ist das Thema bereits im EU- Ministerrat. Und zwar geht es darum. Da haben Sie es noch im Klartext gesagt https-Verschlüsselung wollten sie anfangs schwächen, da wollten sie rein. Und genau in diesen beiden Jahren kommt der jetzt und tritt an die Öffentlichkeit. Ganz unüblich. Der NSA-Direktor Rogers ist auf jeder zweiten Konferenz aufgetaucht und hat gesagt: "Wir brauchen das und das ist einfach so, da ist ja dieser Attentäter von San Bernardino", in dessen FB- in dessen iPhone das FBI nicht reingekommen ist. Und daran haben sie das Ganze auf gehängt. Naja, und da kamen schon die ersten Pleiten, Pech und Pannen. Also während die mitten in der Kampagne gegen Verschlüsselung war, kommt eine Sicherheitslücke ans Tageslicht. Genannt FREAK. Ich fasse kurz zusammen. Eine Downgrade-, die macht eine Downgrade- Attack möglich, sodass die auf eine schwache Verschlüsselung der Browser umgeschwenkt haben. Und das ist natürlich peinlich, weil die NSA die ganze Zeit das gefordert und avanciert hat. Wer in den ersten Crypto Wars dabei war, der weiß, dass vierzig Bit Verschlüsselungen erlaubt waren. Und hier sind wir auf der NSA- Webseite im Jahr 2015. SSL-Report. Schauen Sie sich, diese Noten an die haben die alte RSA-512er-Suite drinnen gehabt und da waren. Da ging es zurück bis das, bis 40 Bit haben die Schlüssel drinnen gehabt, den völlig ausgelutschten RC4-Schlüssel, der völlig obsolet war, ein Jahrzehnt oder länger. Vor 2015 hat die NSA-Webseite noch drauf gehabt. Das war eine ziemliche Blamage nach der gesamten Öffentlichkeitsarbeit, die sie geleistet haben. Naja. Oktober 2015. Let's-Encrypt- Zertifikate werden von allen Browsern weltweit anerkannt. Das war ein schwerer Schlag für die Dienste. Und da dies genau direkt nach Bekanntwerden des Snowdens Enthüllungen ist die, ist Let's Encrypt gegründet worden. Dann, die FBI Kampagne, die aufgehängt war: "Wir kommen in das iPhone des toten Attentäters von San Bernardino, nicht rein", ein Islamist der 14 Leute umgebracht hat, und, nein, hier sind wir noch bei etwas anderes. Da kamen die Hintertüren, die FBI-. Das FBI hat, das hat ja dauernd Hintertüren gefordert und schon vorher Generalschlüssel für alle Androids und iPhones. Sonst können wir nicht ermitteln. Und dann hatte das FBI Fortinet-Firewalls und die hatten eine schwere Sicherheitslücke. Und erst viel später, nämlich jetzt, hat sich herausgestellt, dass die Backdoor von der NSA stammt. Das hat alles wirklich keinen schlanken Fuß gemacht und war ziemlich blamabel, und wir hatten da schon gedacht, die Kampagne war dann gewarnt. Let's Encrypt startet Ende Dezember, ziemlich genau auf den Tag genau gestern startet Let's Encrypt mit dem Rollout seiner Zertifikate und hier schauen wir mal, wie es dann schon aussieht. Nach kurzer Zeit. In puncto Verschlüsselung 50 Prozent des Verkehrs im Netz ist verschlüsselt. Wer ein bisschen Phantasie hat, kann sich vorstellen. Da muss ich dazu sagen inklusive Mailserver. Wer ein bisschen Phantasie hat, glaube ich kann sich vorstellen, dass die die an den Switches die gesamten Glasfaserleitungen abkopiert und abgesaugt haben, da drüber nicht glücklich waren. Da kam kamen nur noch harte TLS-Streams vorbei. Also mit der Freibeuterei dort ging es langsam zu Ende. 2016 war nicht sehr viel los, außer dass es eine Mordsblamage gegeben hat für das FBI. Weil nämlich das FBI sich selbst aus dem iPhone des Attentäters, die hatten das iPhone, ausgesperrt hatte. Da ist das bekanntgeworden. Sie haben Passwörter in der Cloud zurückgesetzt, dann ging keine Synchronisation mehr, kamen sie nicht an die Daten ran. Also die erste, der erste Kampagnenschub ist ziemlich im Lächerlichen geendet. Und an die Wand gefahren. Na, das hat sie aber nicht gehindert. Es hat ein bisschen eine Ruhe gegeben im Jahr 2016, vielleicht hab ich nicht so aufmerksam berichtet. Und. Ah ja. Wir sind schon. Wir sind hier schon praktisch am am am Ende des ersten Teils angelangt. Ui, da bin ich eh halbwegs schnell unterwegs. Ende 2016. Dann kann ich ein bisschen ausholen. Ende der Ende von 2016 haben sie sich dann wieder vor getraut. Und zwar ging es diesmal von einer anderen Ebene aus, und zwar vor allem in Europa. Da waren die Europäer dran. Das ist eine konzertierte Kampagne gewesen von Anfang an, die abwechselnd auf den Kontinenten gespielt wurde und die hatte nur ein einziges Ziel: Ende zu Ende Verschlüsselung möglichst aus dem Netz zu drängen. Und es war nicht möglich für die Geheimdienste da einfach - Hier ist der zweite Teil - Es war nicht möglich für die Geheimdienste so einfach zu sagen wir verbieten Ende zu Ende Verschlüsselung. Das geht nicht. Das ist Ihnen selbst klar gewesen. Das hätten Sie auch in den Neunzigerjahren vielleicht noch gesagt. Aber heute natürlich nicht mehr, weil ganz blamieren wollen sie sich ja auch nicht. Jo. Jetzt waren die Cops auch in der traurigen Lage, dass sie an keine Daten mehr kamen, dass sie an immer weniger Daten kamen. Ich möchte nur darauf hinweisen. Netzpolitik, glaub ich, hatte das berichtet, dass im heurigen Jahr zum ersten Mal die Telefonüberwachungen rückläufig wurden. Das hat es überhaupt noch nicht gegeben, seit 1995. Zum ersten Mal waren es weniger Telefonüberwachungen. Nah: Warum? Weil man in der Telefonie die Daten nicht mehr kriegt. Du kriegst nur noch einen begrenzten Datensatz aus den Telefonienetzen raus, weil da fetzt jetzt alles E2E drüber oder transportverschlüsselt drüber. Da is nix net viel zu holen. Mehr. Da sind Bewegungsdaten. Natürlich sind doch genug da. Bewegungsdaten, du kannst super Bewegungsprofile machen, du kannst auch noch direkt Gespräche abhören. Aber so wie früher, geht es auch bei den bei den Strafverfolgern nicht mehr. Das heißt, aus diesem Grund haben sich diese Kräfte, die einander sonst nicht wirklich wohlgesonnen sind, zusammengetan. Jetzt muss ich mich doch wieder beeilen. Jo, das ist die Story, die ich gerade erst publiziert habe. Die ist jetzt. Die ist jetzt, vor einer halben Stunde oder vor einer Stunde erschienen. Ich hab noch bisschen was rausgekriegt, was über die aktuellen Pläne im Ministerrat ist. Also die Resolution des Rates sozusagen Ende zu Ende Verschlüsselung muss irgendwo eine Möglichkeit haben, dass wir an die Inhalte kommen. Da geht nur ein Nachschlüssel, also ein dritter Schlüssel. Oder man kann es auch Automatic Decryption Key nennen. So hieß das schon in der ersten PGP-Suite. Das ist z.B. in Firmen üblich, das alles zusätzlich mit einem Firmenschlüssel verschlüsselt ist. Weil wenn ein Mitarbeiter aus der Firma ausscheidet, dann muss er auch Korrespondenzen und alles übergeben. Und da kann es nicht sein, dass das nur mit dem Key des Mitarbeiters verschlüsselt ist. Also das haben das wurde gefordert und das steht eben, wurde-. Diese Forderung wurde bereits in der ersten Richtlinie, die überhaupt am Horizont aufgetaucht ist vor vor 10 Tagen vielleicht. Und das ist eben diese Richtlinie die Nachfolgerin der Netzwerkinformationssicherheit- Systemrichtlinie wie das heißt, also Härtung der Netzwerke, Meldepflicht für Cyberangriffe und das ist der Nachfolger. Weil da Erweiterungs- und Änderungsbedarf besteht,nach allgemeiner Ansicht. Nach meiner übrigens auch. Also die haben sich das. Es wurde sozusagen zum fait accompli gemacht zwischen Rat, zwischen EU-Ministerrat und EU-Kommission. Der Rat hat gesagt, wir machen da jetzt mal ne Resolution. Wir geben keinen formellen Auftrag zur Erstellung einer Richtlinie, sondern die EU-Kommission hat gesagt, Okay, wir haben verstanden, wir machen das schon. Und dann wird eben angefangen, irgendwelche Vorhaben - in diesem Fall ist es so gewesen - noch bevor die Resolution formal unterzeichnet war, ist sie bereits zitiert worden in diesem Richtlinienentwurf für hochklassige Cybersicherheit. Das deutet schon ziemlich klar hin, dass das eine recht ausgemachte Sache ist, dass da jetzt so weitergemacht wird. Mit einer, mit einem Richtlinienentwurf in diese Richtung wartet man jetzt auf das nächste Ereignis. Die gesamte. Das gesamte Vorhaben hier ist nämlich entlang von Terror-Anschlägen vorangeschritten. Aber darauf komme ich noch. Hier sehen Sie ganz einfach das Wachstum. Dass die Zuwächse von WhatsApp in dem Zeitpunkt, über den dieser Vortrag geht, von 14, ich hab nur mal bis 17 genommen. Das heißt, es ist immer mehr Verkehr aufgetaucht, an die keiner von den Beiden ran kam. Denn alle diese Überwachungsvorgaben der Staaten beziehen sich auf Telefonienetze und sind nicht so einfach auf das Internet und auf over the top Services, wie man etwas wie die Telekoms das WhatsApp und solche Services nennen. Over the top, das ist ihnen schon over the top, wenn TCP/IP gespielt wird, den Telekoms. Das ist typisch. Wir sind im Jahr 2017 und hier werden die Weichen auf allen Ebenen schon dafür gestellt. Für etwas, das der Rat jetzt erst als Resolution beschlossen hat. Aber es wurde alles schon vorbereitet. Generalstabsmäßig. Hier sehen Sie. Hier seht ihr's: Gleich im Jänner neuer ETSI- Überwachungsstandard zur Überwachung sozialer Netze. Das heißt: Online Durchsuchungsbefehl hinschicken und im ETSI machen Sie dann das Interface, wo die Daten aus den sozialen Netzwerken herausgespielt werden müssen,weil die müssen ja irgendwie übergeben werden, einem bestimmten Format, das die anderen noch lesen können. So, das heißt, Sie haben schon alles für die Anforderung, um für den Abtransport der Daten begonnen vorzubereiten, noch ehe es überhaupt eine gesetzliche Grundlage zum Zugriff auf diese Daten gab. Aber das ist, das ist überhaupt nichts Neues. So ist es bei Überwachung immer im EU-Rahmen gegangen. Es wurden da, dort, da, dort lauter kleine Maßnahmen gesetzt und dann kam irgendein Ding, das die zusammenfasste und sagte: Der sagt das, die sagen das und die sagen das. Wir müssen jetzt das und das überwachen, weil sonst droht, was weiß ich, der gesellschaftliche Zusammenbruch oder die Terroristen übernehmen die Bude. So. Das heißt, das haben sie schon angefangen zu standardisieren. Dann war die Überwachung sozialer Netze schon im Ministerrat, also das läuft alles parallel. Das ist fast gleichzeitig passiert. Das heißt, es wurden mehrere Prozesse parallel gestartet. So. Ende 2017. Da war man schon so weit, die österreichische Ratspräsidentschaft war da schon zuständig. Ich kann nur sagen, sie hat sich an Performance ein Keller-Duell mit der deutschen Ratspräsidentschaft geleistet. Sie haben allesamt nur Überwachungsgesetze gemacht. Beide. Aber wirklich nur Überwachungsgesetze. Die gesamte Agenda der Österreicher war damals genau so ausgerichtet, also nur, dass ihr wisst, dass ihr nicht alleine seid mit euren Seehofers. Ok. Facebooküberwachung hat Priorität hieß es. Das hatte unser Bundeskanzler Kurz mehrfach und Dings verkündet. Und dann ist klar: Die Message ist auf allen Ebenen gewesen. Na, wie soll das funktionieren? Wieder im ETSI, die haben schon angefangen, irgendwelche Schnittstellen zu machen, und jetzt war es das Problem, dass die Internet, das irgendwelche Internetkonzerne natürlich nicht in dem Land sitzen, in dem überwacht werden soll. Also wenn Österreicher Österreich, wenn die österreichischen Behörden, Österreicher oder sonst wen im Facebook überwachen wollen, müssen sie die Anfrage nach Irland stellen. Naja, jetzt haben die angefangen, da schon Schnittstellen zu bauen zum Datenaustausch zwischen den Polizeibehörden. Was natürlich alles schon eine sehr komplexe Sache wurde, wie die gesamten Netzüberwachungsstandards immer sich langsam Unbrauchbarkeit nähern, weil die so komplex sind und dass immer mehr Kollisionen zwischen einzelnen Anforderungen gibt. 2018 hat sich dann das abgespielt, was sich 2017 vorbereitet wurde. Es ist wirklich in allen Ebenen gleichzeitig losgegangen. Wieder die Österreicher. Facebooküberwachung hat Priorität. Und die ePrivacy-Verordnung hätten sie auch so vorantreiben sollen, da haben sie überhaupt nichts zusammengebracht. Die Österreicher vor zwei Jahren nicht und die Deutschen jetzt nicht. Die EU wollten unbedingt da schon ein Abkommen mit den USA zur Cloud- Überwachung. So wechselweise: Ich überwache deine Cloud, ich darf deine Cloud-Dienste überwachen, natürlich mit richterlicher Genehmigung. Ihr dürft meine Cloud-Dienste überwachen, nur die USA haben sich auf das nicht eingelassen. Weil es sind praktisch alle Cloud-Dienste, WhatsApp, Facebook, was du willst, sind alle, Twitter, das sind alles US-Dienste. Und viel mehr, haben die USA einfach ein eigenes Gesetz gemacht. Kein Wunder unter Trump. Und mit dem Cloud Act gehts auch so. Wir fordern. Es ging auch beim Cloud Act gehts auch, gings genau wie später in der EU um Beweissicherung in der Cloud, so haben sie das genannt. Also Facebook muss Daten rausrücken. So, da kam schon eine neue EU-Verordnung, weil das mit dem Interface und mit dem Austauschen chancenlos war. Das wäre nie in Time, hätte nie in Time passieren können. Na, was passiert? Jetzt hat's ne EU-Verordnung, haben sie gestartet zur grenzüberschreitenden Überwachung. Also jeder darf in einem Land anderen Land Überwachungsbefehle zustellen und die jeweiligen Provider müssen das dann irgendwie durchführen und die Daten binnen sechs Stunden überspielen. Also die ungarische Regierung oder die polnische Regierung fragen in Österreich oder in Deutschland einfach mit einer Gericht, einem Gerichtsentscheid an und sagen wir brauchen alle Metadaten von dieser Nummer und das und das und das, weil größeres Delikt, eine Majestätsbeleidigung oder Beleidigung der heiligen Stephans-Krone oder sowas. Also das würde es theoretisch ermöglichen, ist bis heute nicht durchgegangen. Es spießt sich nämlich am "grenzüberschreitenden". Na da war ein kleines Intermezzo, der BND ist aufgeflogen, dass er zusammen mit dem HNA die Glasfaser überwacht von der Telekom Austria. No na ned. Dann hat das FBI einen Musterprozess gegen Facebook gestartet. Zugang zu verschlüsselten Messenger Diensten bla bla bla. Und vor allem telefonieren. Und da hatte es etwas mit dem Facebook-Protokoll, das sie implementiert hatten. Da wollten sie ran. Wenn. Die. Die. Die. Die Aushandlung und die Schlüssel landen auf einem, werden im Klartext an einen Facebook Server geschickt. Es ist eine Einladung. Ja, okay. Dann geht es weiter mit Anti-Terror Filtern. Warum kommen da hier Filter vor? Was haben die mit Verschlüsselung zu tun? Sehr viel, wie man sehen wird. Also da geht es um schnelles Herauskriegen der IS- Inhalte aus dem Netz, die schon lange nicht mehr gegeben hat. 2018, das war nämlich 2015. Und da kommt das wichtigste Ereignis des Jahres. Das GCHQ geht ungefragt an die Öffentlichkeit und schlagt ganz einfach vor: Drittschlüssel für die Provider. Weil dann können wir, haben wir ein Protokoll, da können Sie dann die Überwachungsanforderungen erfüllen. Wenn Sie selber den Schlüssel für die E2E-Kommunikation haben. E2E ist es dann natürlich nicht mehr. Noch und am selben Tag als der praktisch am selben Tag, als das herauskam im renommierten Laufer Blog, da ist schon der US Generalanwalt wieder an die Öffentlichkeit gegangen und erklärt so, wir brauchen das jetzt. Und sonst bricht das Justizsystem zusammen und Kanada und Neuseeland haben die Polizeichefs dasselbe gesagt. Also alle 5 Eyes beisammen. So jetzt gehen wir weiter. Das hat. Dort hat man geglaubt, man kann das Rollout von Tele Science 3 mit einem eigenen Sicherheitsstandard für das ETSI konterkarieren. Was ist es? Es ist ein ein ein TLS 1.2 Nachfolger, der einfacher als TLS 1.2 an den Firewalls zu brechen ist. Und TLS 1.3 kannst du an, kannst du dich an der Firewall brausen gehen. So, naja. Ne kurze Zeit später war schon wieder wieder vorbei weil der ITF hat protestiert, dass die das ITLS nennen, wenn es ein Unsicherheitsstandard ist, mussten sie es umbenennen. Wollte keiner. Also auch hier hat man es probiert. Ja, dann spießte sich bei der Filterung. Da haben einige nicht mitgespielt und dann wollte die USA wieder mit den USA Datenaustauschabkommen starten. Ist es auch nix geworden. Und dann kommt die Terror-Debatte wieder zurück. Es waren die Terroranschläge in Christchurch und Neuseeland. Ah, dann WhatsApp, die Staatstrojaner werden immer teurer, ist eh klar, weil immer mehr Verkehr auf WhatsApp und anderen ist und da kommt dann ein Schlüsseldokument. Das war am 29., am ersten Dezember 2019. Ein großes Briefing des Berner Clubs. Ich glaube, dass der Berner Club? Ja. Ah, na, das ist die Counter Terrorist. Ah ja, großes Briefing für den Minister. Da ist Kooperation zwischen Strafverfolgern und Intelligence Actors, also den Geheimdiensten gebraucht wird. Seit dem 13. November 2016 gab es darüber eine Einigung. Also irgendwie alle waren da dran beteiligt und es wurde in jedem internationalen Gremium in dem's um Sicherheit geht drüber gesprochen. So und. Am Stand diesem Tag hat es ein Briefing gegeben. Des Berner Clubs. Für die Minister. Der Berner Club sind die Geheimdienste aus 27 oder 28, weiß nicht, ob die Briten noch dabei sind, Staaten, und es ist eine informelle Vereinigung. Wo aber die wichtigsten Sachen im informell besprochen werden. Also es gibt auch faits accompli im im Geheimdienstbereich. Ja, aber es werden die ihnen wohl gesagt haben. Anfang Februar dieses Jahres: Seuchenausbruch. Kommt dass plötzlich ein Gesetz in den US-Senat? Es war noch ein Entwurf um die Zeit, der sogenannte EARN-IT-Act und der hat zum Inhalt, dass, dass um Kinderpornographie, wenn Provider, wenn Plattformen nicht in der Lage sind, irgendwie ihren gesamten Verkehr zu identifizieren und bei Fällen von Kinderpornographie was rausrücken können, dann verlieren sie die Haftungsfreiheit. Das heißt, es geht wieder gegen Ende-zu- Ende-Verschlüsselung, weil bei Ende- zu- Ende-Verschlüsselung kannst du beim besten Willen nicht sagen, was dahinter rennt. Auch da, die Plattform nicht. No. Und dann kommt wieder der Anti-Terror-Beauftragte der EU und schreibt einen Brandbrief an den Ministerrat. Jetzt muss was gegen die Verschlüsselung getan werden, das geht nicht mehr. Und sonst was. Und wir wollen ja keine Hintertüren, sondern Vordertüren. Das ist genau dasselbe, was der FBI-Chef 2014 gefordert hat. Goldene Schlüssel, de Kerchhove und die Neusprech-Leute im Rat sagen immer Vordertür dazu. In Wirklichkeit sind es überhaupt keine Türen, sondern einfach ein Drittschlüssel, der in E2E reinkommt. Und hier hat er das, hat er eben im Ministerrat gesagt, unter Tonaussetzer unter Anführungszeichen, ich nenne es nur so, weil es noch so in den Gesetzestexten steht, ist ein furchtbares Wort. Aber ich kann nicht jedes Mal "Darstellungen von Kindesmissbrauch" sagen. Aber es steht so im Gesetzestext. Er hat gesagt: "Wir müssen untersuchen, ob man solche Bilder in E2E-Datenströmen identifizieren kann. Äh, geh bitte, wie denn? Ja, und die ENISA war schon vorher beauftragt, eine Studie dafür zu machen, ich meine, so ein offenbarer Unsinn, ja? Wo du nicht einmal weißt, um irgendwelche Umfänge oder irgendwelches von den Dateien, die da gefährlich werden sollten. Aber man soll sie irgendwie, ihre Hashes in Verschlüsselung identifizieren können. Nein, bitte. Tja. Und dann kam die deutsche Ratspräsidentschaft eben dort auf die Idee: "wir untersuchen das jetzt direkt". Und dann wurde im, das wurde dann erst im Juli produziert, das das Dokument 7 Methoden da versteckte. Äh. Da versteckte Inhalte in E2E-Datenströmen zu identifizieren. Ja, keine hat funktioniert. Und da haben sie unter anderem die die Methode des GCHQ genommen. Nur haben sie sie völlig anders verwendet. Das GCHQ hat gerade aus gefordert, wie man hier auf dieser Folie sieht. Hier seht da Zweitschlüssel während des Verschlüsselungsvorgangs und zack auf einen Server, gut is. Nur hier haben sie da eben lauter Schwachfug hinzugefügt. Ob man damit Kinderpornographie identifizieren kann, also das war sehr irreführend, und alles war eigentlich nur dazu da, um zu beweisen, das geht nur so nicht. So, jetzt ist in den USA, ist der EARN-IT-ACT -- oh da habe ich einen Link vergessen -- bereits ein Gesetzesentwurf geworden. Auf verschlüsselte Daten, Signal und WhatsApp, genau dasselbe wird verlangt, das der de Kerchove in Europa fordert. Also muss ich auf der Zunge zergehen lassen, das ist choreographiert gewesen wie ein Ballett. So, im Juli wird schon eine Regulationen gegen die sichere Verschlüsselung in den Raum gestellt von Thierry Breton, dem Digital-Kommissar. Aber nix genaues. Na, da isses. Weil die Probleme so ansteigen werden, wird das irgendwie angegangen. Und in den USA haben sie in den paar Monaten den echt rigorosen EARN-IT-Act aber dermaßen von entschärft und durchlöchert. Also dass vom Kampf gegen Ende-zu-Ende Verschlüsselung keine Rede mehr sein konnte. Es wurde sogar extra ausgenommen. Tja und da kommt schon die Kursänderung. Ah, warte mal da, habe ich eines noch übersehen, da habe ich noch eines übersehen. Die Frau, das ist sie. Na, da hab ich's. Nein, das ist nicht richtig. Da habe ich ein Bild übersehen. Ein Bild, da fehlt etwas. Da muss ich noch was. Da muss ich. Da muss ich noch etwas nachschärfen. Ah, da sind wir. Hier haben wir einen richtigen, einen richtigen Fall von Desinformation durch eine EU- Kommissarin. Sie ist im Juli, das wollte ich, das wollte ich nämlich noch referieren kurz. Bisschen Zeit ist noch. Äh äh, sie hat Ende Juli angekündigt, dass Chatanbieter ihre Plattformen routinemäßig nach pädokrimenellen Inhalten durchsuchen müssen. Und dann hat sie dazugesagt, das gelte auch für Verschlüsselung. Verschlüsselte Kommunikation. Denn die Verbreitung solcher Videos habe explosiv zugenommen. Handlungsbedarf. Wir müssen gegen diese Videos vorgehen. Und hier? Kommt, ist es raus rausgekommen. Tatsächlich hat es eine Zunahme gegeben, aber die ist nicht auf einen explosiven Anstieg des des Delikts zurückzuführen gewesen, sondern dass Microsoft, das 2009 bereits sein Tool PhotoDNA, das ist eine riesige Datenbank mit Hashes von allen vorstellbaren Scheußlichkeiten gegen Kindern. Die zu, die da digital sozusagen, Identität, eine ID-Nummer bekamen. Und die ist bei allen möglichen großen Plattformen läuft die im Hintergrund mit, es rennen die ganze Zeit schon Filter, nur diese PhotoDNA konnte keine Videos und sie konnte erst 2016, war es erst möglich auch Videos damit zu identifizieren und Microsoft bot das an! Will heißen, die gesamte Explosion der pädokriminellen Inhalte ist auf ein Softwareupdate zurückzuführen. Man hat sie vorher bloß nicht gefunden automatisch. Aber jetzt fand man sie. Und nachdem immer mehr Plattformen das Tool von Microsoft so integriert hatten, also die haben den Abgleich mit der Datenbank gemacht, bei allen Uploads, also Uploadfilter haben sie eh schon alle. Und dann, die haben das halt nacheinander integriert und dadurch sind immer mehr Videos ans Tageslicht gekommen. Und zusätzlich sehr viele sind derzeit von Videos äh auf, auf, auf. Na da bin ich falsch. Na, Moment, jetzt habe ich mich kurz verklickt, aber da sind wir schon wieder. Ich habe wie gesagt eine Übersicht auf der ORF-Webseite gemacht. So, hier sind wir. Und also es hat alles nicht gestimmt, warum das jetzt gemacht werden soll. Und dann kam die Kursänderungen zu Uploadfiltern. Also die Kommissarin hat irgendwie verraten, wozu diese Uploadfilter von Anfang an gedacht waren, seitdem eh die meisten IS-Videos aus dem Netz sind und sie bei weitem einen Bruchteil des Problems darstellen, den sie 2015 und 2016 hatten. Sie wollten ganz einfach sagen zu den Plattformen, wenn dir da nicht gegen Terroristen filtern könnt, dann müsst ihr, dann könnt ihr eure Services nicht anbieten, nämlich in E2E-Verschlüsselung. So, dann kam der Terroranschlag in Wien. Hatte Null damit zu tun. Nix mit Handy, nix mit Internet. Hat sich in der Moschee radikalisiert. Hat sein Handy vor der Tat irgendwo weggeschmissen und es war nichts interessantes drauf. Trotzdem, zack! ist es losgegangen. Binnen fünf Tagen haben sie so den Entwurf der deutschen Ratspräsidentschaft beschlussfertig gemacht. Binnen fünf Tagen im Rat. Jetzt oder nie. Nächste Anschlag, zack! Jetzt machen wir's beschlussfertig. So ist es die ganze Zeit seit 2014 gegangen. Äh ja. Und dann kam das raus und da gab es einen ziemlichen Wirbel Anfang November und da drinnen, und das muss man sich auf der Zunge zergehen, hier wird referenziert auf das "International Statement". Das ist vorher erschienen. Das International Statement ist nichts anderes als eine Erklärung aller Minister, aller fünf Minister der 5-Eyes Staaten. Und da steht eben, mit denen müssen wir engen Kontakt halten, was sie die ganze Zeit gemacht haben und einen fortwährenden Dialog besonders mit England in dieser Angelegenheit führen. Weil nämlich das Drittschlüsselschema vom GCHQ stammt und es 2017 bereits das erste Mal vorgestellt wurde. Da habe ich den Mann getroffen, der es geschrieben hat, in Cambridge, Massachusetts, an der Massachusetts Universität Cambridge bei einem Vortrag. Da ist er schon damit hausieren gegangen. Sehen Sie bitte, die Strafverfolger, die Armen brauchen doch einen zusätzlichen Schlüssel, die können ja nicht mehr ermitteln und bla. Ja, so ist der ganze Prozess gelaufen. Propaganda, lies. More lies. Absprachen hinter den Kulissen und eine Inszenierung so gut sie es halt zusammengebracht haben, auf allen Kontinenten. Das ist im Wesentlichen das, was ich euch hier schildern wollte, im Affentempo. Ihr könnt beides in aller Ruhe nachlesen. Ich habe mir so ein bisschen ausgerechnet, es sind irgendwas um die 200000 Zeichen Text und es sind sehr viele Bilder und alle weiterführenden Links drinnen. Und damit darf ich manchmal so vorerst, darf ich das beenden und bin sehr gespannt, ob es Fragen gibt. Ich stehe auch später noch zur Verfügung. Wenn es jemand will, begeben wir uns, wenn es Leute wollen, kann ich das auch später noch in irgendeinem anderen Raum durchführen. Wenns halt Fragen gebe. Dankeschön, liebe Leute, auch die lieben Damen und Herren sei's gedankt für Ihre Aufmerksamkeit und Geduld. Herald: Ja, Erich, vielen Dank für diese ausführlichen Ausführungen und überhaupt für die vielen Jahre Berichterstattung. Mir schwirrt jetzt gerade erst einmal so ziemlich der Kopf. Das war ja eine Hausnummer. Erich lacht Herald: Und ja, wir haben Fragen. Wir haben noch Zeit für ein paar Fragen von euch. Die könnt ihr uns übers IRC schicken. Den Link findet ihr unten. Oder postet sie im fediverse oder auf Twitter und das Hashtag ist nochmal rc3-one. Das ist r, c, die Buchstaben, dann die Zahl 3 und dann o n e. Ja, fangen wir mal an. Wir haben schon ein paar Fragen bekommen aus dem IRC. Die Frage. Hat sich das Verhalten Österreichs beim letzten Regierungswechsel verändert diesbezüglich? Als Deutscher kenne ich Regierungswechsel ja nicht. Erich lacht Erich: Da hat er aber Recht, ja. Es hat sich schon verändert. Wenn du 2 so rechte Parteien abgehen lässt, wie sie wollen und die haben sich gegenseitig vorangetrieben, dann geht das natürlich komplett in die andere Richtung. Aber diesmal muss ich sagen, gehen sie es deutlich anders an. Es gab auch nach dem Anschlag in Wien nicht das übliche große Geschrei, wir müssten mehr überwachen hier, sondern es war eher eine Blamage. Die Beamten hatten den am Radar, die hatten den sogar im Auftrag des deutschen Bundesverfassungsschutzes beobachtet und haben dann über... Es ging in in deren Kommunikation nichts. Also das war der Grund dafür. Und das hat uns auch, glaube ich, weil das hat ordentlich Schlagzeilen gemacht, ordentlich Schlagzeilen gemacht, weil das BVT ist ein Trümmerhaufen in Wien, das Bundesamt für Verfassungsschutz. Das haben sie politisch völlig ruiniert, die zwei rechten Parteien, indem sie sich tot gematcht haben. Das heißt, das ist jetzt weg. Also es hat sich schon was zum Positiven verändert. Das muss man schon sagen. Ich hoffe, das war die Frage. Herald: Die nächste Frage aus dem IRC: "Wie siehst du die Überwachung in 5 bis 10 Jahren nach deiner Einschätzung?" Das ist ein ganz schön langer Zeitraum. Erich: Puh. Das ist echt schwer. Ich kann es ehrlich gesagt nicht sagen. Ich verfolge das jetzt seit 25 Jahren und berichte darüber. Aber ich kann trotzdem... Wenn man sehr viel Geschichte weiß, dann kann man ein bisschen die Geschichte hochrechnen. Aber nicht sehr lange. Nicht sehr lange. Um 5 bis 10 Jahre. Da traue ich mir wirklich überhaupt nichts zu sagen. Ich kann sagen, was sich in den nächsten 5 Jahren auf EU-Ebene abspielen wird. Weil... diese Prozesse sind irgendwie zu berechnen. Das wird jetzt immer wieder irgendwo auftauchen, dass sie da dran müssen. Auch die Kryptologen in Europa und die Sicherheitsforscher, die da protestiert haben dagegen, praktisch die gesamte, die gesamte Branche. Ich rechne mit einem langen Zehnkampf. Die wollen das nämlich unbedingt. Die sind verwöhnt. Die 5-Eyes und der BND, die haben sich an der Glasfaser bis jetzt geholt, was sie wollten und hatten so viele Daten, dass sie dermaßen aufrüsten mussten mit so Brutalotools wie XKeyscore, aus den 90er Jahren von der NSA. Naja, und das ist jetzt nimmer so und deswegen wollen sie unbedingt darein. Unbedingt, um jeden Preis. Und deswegen wird das ein festes, ein festes Match. Allerdings ich bin schon alt genug, um das schon langsam rein sportlich zu nehmen. Und dann kommt's nur. Nee, das hier jetzt, das haben wir ja relativ schnell erwischt, direkt beim Aufsteigen. Das ist so wie bei den Moorhühnern. Früher war ??? dann ist alles gut. Und das hier haben wir direkt beim Launch erwischt. Und das hatte schon bad bad Presse, bevor es überhaupt richtig losging. Das stimmt mich sehr optimistisch. Herald: Ja, aus der IRC Community allgemein fetten Dank. Die fanden den Talk richtig super. Ich hätte noch eine Frage. Ich meine, ich hab. Ich frage mich immer, wie wenig effektiv das an manchen Stellen dann doch sein könnte, weil die... Ich sehe es vielleicht naiv, aber die Ende zu Ende Verschlüsselung. Wie praktisch kann man die abschaffen? Im schlimmsten Fall umschifft man das doch einfach und setzt nochmal oben auf die üblichen Messenger und Kommunikationswerkzeuge und setztnochmal eine weitere Verschlüsselung oben drauf. Dann können die Geheimdienste knacken wie sie wollen. Erich: Das ist natürlich richtig. Ich glaube, dass sie auf einem Rückzugsgefecht sind. Liebe Leute, es ist nicht so, dass wir in der Verliererposition sind. Es ist nicht so, dass die dass die machen können, was sie wollen. Die haben jetzt noch nen anderen, noch nen anderen gegen sich. Und das sind auch 5, und die gehen los mit Google. Das heißt, die haben sich da rund um die Welt auch zusammengetan, weil ein Land alleine sich nicht mehr zugetraut hat, so ein Vorhaben zu heben, die USA alleine auch, nicht einmal unter Trump. Und deswegen glaube ich, dass wir in einer ziemlich guten Position sind. Wir können uns immer irgendwie selbst verteidigen. Ich meine damit und wir können unsere Netze, wir können unsere Netze sichern. Aber was ist mit den Leuten, die auf WhatsApp z.B. angewiesen sind oder so etwas, wenn die wirklich auf Signal losgehen sollten? Man weiß es nicht, was ihnen noch alles in den Sinn kommt. Aber ich glaube wir, die Leute, die friedlichen Leute, die eigentlich nur normal kommunizieren, sozial sein und vielleicht doch Geschäfte machen wollen, ohne dabei ständig verfolgt zu werden. Ich glaube, wir sind da in keiner schlechten Position. Und als nächstes gehen sie ja erstmal, also die EU, die USA gleichzeitig auf die, eben auf die Großkonzerne los. Da haben sie auch was anderes zu tun. Und das ist gut, wenn die was anderes zu tun haben. Weil, dann kommen sie nicht auf ganz dumme Gedanken. Das war schon immer eine Regel bei der gesamten, im gesamten Überwachungskomplex. Wenn sie gut beschäftigt sind, dann sagen wir, kommen die neuen Begehrlichkeiten nur sehr langsam. Herald: Ja, IRC noch eine Frage. Gibt's denn ganz konkrete Handlungsanweisungen aus deiner Richtung? Wie kann man sowas möglichst schnell stoppen? Wird da gefragt. Erich: Öffentlichkeit? Es geht nur Öffentlichkeit auf allen Ebenen. Handelsverbände, Wirtschaftskammern. Die sind ja auch irgendwie betroffen davon. Und die mögen es gar nicht, wenn amerikanische Dienste so groß aktiv sind, weil sie genau wissen, es sind nicht nur die Chinesen nach Geschäftsgeheimnis hinterher. Das ist eine Mär. Der nur die NSA bezeichnet sich halt so heilig, dass sie es auf keinen Fall niemals nicht tun würden. Aber die Wirtschaft glaubt ihnen nicht wirklich, und das sind alles Punkte, die bei uns, die bei uns liegen. Ich wollte nur zum Abschluss noch ein Ding aus den Crypto Wars, weil da war ich nämlich auch dabei und mein Vorredner Ross Anderson überhaupt federführend eins null war. So von 1994 bis 2001. Da waren wir die Gruppe, die ständig protestiert hat, und wir hatten lange schon einen unsichtbaren riesen Verbündeten, von dem wir nicht einmal etwas wussten, bis er uns der Mark Rotenberg von EPIC sagte, der sagte: Weißt du wer? Weißt du, wer uns unterstützt und wofür wir auch Geld kriegen für Konferenzen? Die Bankster. Die Banken haben uns unterstützt im Kampf für Befreiung. Und wir waren total baff. Das hätten wir uns nicht gedacht. Die wollten unbedingt Onlinebanking einführen, dass sie Filialen schließen können oder Leute raushauen können. Und dazu brauchten sie sichere Verschlüsselung, erlaubte sie ihre Verschlüsselung und sagte tatsächlich zur Mark Rotenberg. Wie gut, dass es diese vielen Gruppen weltweit gibt. Können wir was für Sie tun? Weil das ersparte uns irrsinnig viel Aufwand. Da brauchen wir nicht erst eigene Astroturfing Gruppen aufstellen. Wissen Sie was Astroturfing ist? Das ist sowas wie ne gelbe Gewerkschaft. Eine Gruppe für digitale Internetfreiheit, die in Wirklichkeit die Interessen eines Interessenverbands vertritt, der durchaus nicht mit den Interessen der Bewegung gleich läuft. Also so ist es. Genau so ist er. Ganz ähnlich ist die Konstellation auch hier, nur, dass unsere natürlichen Verbündeten, es sind temporär Verbündete. Weil Freunde werden wir mit Google, Facebook nie. Aber wenn man zufällig eine Zeit, ein Stück des Weges, zu zweit eben miteinander gehen kann, wenn es ein schöner Weg ist, dann finde ich das eine gute Sache. Herald: Ja. Wie siehst du das mit den? Mit den Konzernen? Mit den Googles? Den Amazons? Den Apples? Gerade da scheint ja, wenn man sich jetzt mal Apple. Wenn man Apple glauben möchte, scheinen die dann Ruf verlieren zu haben. Sollen wir uns mit denen verbünden? Erich: Nö. Nein überhaupt nicht Herald: Dazu eine Frage aus dem IRC: Wie können wir verhindern, dass sie uns Backdoor in unsere OpenSource Crypto-Tools rein schummeln? Das ist wahrscheinlich gar nicht so ohne. Erich: Puhh das, Leute... Ich bin studierter Geisteswissenschaftler und Jurist und Literaturwissenschaftler, und ich bitte euch, diesen Job selber zu übernehmen. Die Hacker seid ihr, nicht ich. Ich bin nur technisch angelernt, ich habe null technische Ausbildung. Ich hab mir halt teilweise selber beigebracht und teilweise bin ich großartig von der Community unterrichtet worden und gebildet worden. Ich habe euch sehr, sehr viel zu verdanken. Nur das kann ich nicht beantworten. Müsst ihr selber ganz gut schauen. Jawohl. Ich weiß, das ist durchaus möglich, dass die mal einen Build versauern. Wenn das. Wenn das sogar, sogar Solarwinds passiert ist. Haben sie alle Builds versaut. Die NSA. Naja, dann kriegen die das bei uns auch zusammen, aber das geht nur flächendeckend, und geht nicht lang. Weil irgendwann finden es die Reverse-Engineering-Zampanos des CCC sehr schnell wieder heraus. Also ich glaube nicht, dass es eine persistente Gefahr ist. Herald: Alles klar? Dann würde ich sagen, wir kommen hier zum Ende. Erich Möchel nochmal tausend Dank. Das war ein Augenöffner und ich bin sicher, ich bin nicht der einzige, dem es hier so gegangen ist. Und damit beende diesen... rc3 Abspannmusik Untertitel erstellt von c3subtitles.de Mach mit und hilf uns!