rC3 Vorspannmusik
Herald: Kommen wir zum Talk. Five Eyes,
FBI, Europol und einige andere sind seit
Jahren damit beschäftigt, die Ende zu Ende
Verschlüsselung aufzuweichen oder ganz
abzuschaffen. Dieser Talk über die Crypto
Wars 2.0 von Erich Möchl gibt uns einen
Einblick in die Methoden dieser
Organisationen und zeigt uns, was dort in
den letzten fünf Jahren vor sich gegangen
ist und wohin die Reise auch nur in
wenigen Tagen gehen wird. Und ganz
besonders die dramatischen Entwicklungen
der letzten zwei Monate haben es mächtig
in sich. Hier ist Erich Möchl.
Erich: Hallo Leute, begrüße auch
allenfalls anwesende Damen und Herren.
Lassen Sie uns gleich in medias res gehen.
Ich glaube, sehr viele von Ihnen haben
mitgekriegt in letzter Zeit diese diese
Bestrebungen des Ministerrats Ende zu Ende
Verschlüsselung irgendwie wieder aus dem
Netz zu kriegen. Und hier ist, sind. Ich
habe den gesamten Talk in zwei meiner
üblichen Artikel verpackt, allerdings in
insgesamt vierfacher Überlänge. Es sind da
drin. Sie werden sehen, was da alles drin
ist. Wir beginnen jetzt mit. Total. Mit.
Mit etwas sehr aktuellem. Denn diese
angeblich nicht verbindliche Resolution.
Wie behauptet wurde. Nach meinen
Berichten. Ahh hat sich bereits im ersten
Dok- in der ersten Richtlinie
niedergeschlagen. Es ist zwar nur ein
Erwägungsgrund, aber es wird bereits auf
diese nicht verbindliche Resolution des
Rates Rücksicht genommen, in dem
ausgerechnet in den Maßnahmen einer
Richtlinie für einen gemeinsamen
hochklassigen Cyber-Sicherheitsstandard
haben Sie den Nachschlüssel verankert. Das
geht so bei der EU. Das ist immer so die
Regel. Erst kommt eine Resolution, die ist
nicht verbindlich, dann kommt eine weitere
Entscheidung des Rats, dann geht das in
die Kommission, dann kommt ein Entwurf
usw. Also das ist der übliche Prozess. Und
hier sind wir im, im, im Stadium, wo ein
Prozess, der noch nicht gestartet hat,
bereits in anderen gesetzgeberischen
Prozessen verankert wird. Also da drinnen
wird Lob und Preis der Ende zu Ende
Verschlüsselung gesungen. In der, weils um
einen hochklassigen Cyber-Sicherheitsstand
für die Union geht und dann steht in der
Passage drinnen Ausnahme und
E2E-Verschlüsselung und Überwachbarkeit.
Weil erst Überwachbarkeit bringt totale
Sicherheit. Also wir haben es mit einer
klassischen Orwell Passage zu tun und ich
sage Ihnen halt und will Ihnen heute
zeigen. Das ist nicht vom Himmel gefallen,
sondern das wurde 2014 begonnen.
Einleitend möchte ich noch auf die Chronik
vom in Netzpolitik zum selben Thema
5 Jahre Kampf gegen die Verschlüsselung
hinweisen. Denn dort er beschreibt er hat
eine ähnliche Geschichte, Zeitgeschichte
geschrieben, aber der beschreibt sämtliche
Vorgänge im Ministerrat in der Union sehr
granulär und auch in Deutschland. Während
ich hier sozusagen einen großen Überblick
biete versuche und über Kompli über die
Kontinente wechsle hier. 2000 wir
schreiben, wir schreiben Anfang 2014:
Alles ist in Aufruhr. Hier haben Sie ein
Beispiel; dieses Bild. Das ist der
Netzwerkverkehr, der im April 2015 schon
TLS encrypted war. Man sieht, es ist nicht
einmal ein Drittel und vorher waren es
noch weit weniger. Es waren die
Snowdenschen Enthüllungen, die dafür
gesorgt haben, dass das goldene Zeitalter
der Überwachung zu Ende ging. Das
Abschnüffeln, das problemlose Abschnüffeln
aller Daten im Internet, sagen wir hat den
Leuten nicht mehr behagt, nachdem sie es
wussten. Und da ging es dann, ging es dann
gleich in die Vollen. Also Verschlüsselung
nahm rasant zu und auch die Cops hatten
ein Problem. Die hatten vorher abgezogen
aus den Telefonienetzen, wofür immer sie
lustig waren. Metadaten hier,
Standortdaten dort. Inhalte da.
Durchsuchungsbefehl. Zack, kam das über
die Schnittstelle. Man brauchte nicht
ermitteln gehen. Das hört sich auch immer
mehr, ist immer weniger geworden, weil
alles alles ins Netz geht. Und dort gibt's
eben sowas wie die ETSI-Schnittstellen
nicht. So, und jetzt gehen wir dorthin, wo
das anfing und es fing nicht in Europa an,
sondern in den USA. Da oben habe ich eben
die Maßnahmen W3C, Härtung des Internet,
IETF TLS pushen. Tja, und im November haben
sie sich nach Snowden da war lange Pause,
da waren Überwachungsgesetze nicht
wirklich populär. Haben sie sich im
November raus getraut, und zwar alle
zugleich. Der Kerchove für Europol, GCHQ-
Direktor in England, FBI-Direktor in den
USA und einer, der noch fehlt. Der kommt
gleich. Und wir müssen unbedingt Zugriff
auf verschlüsselte Kommunikation haben,
weil vor allem auch auf Mobilfunkgeräte,
weil wir sonst nicht ermitteln können und
bla. Na kamen: das Crypto-API des W3C war
da schon fertig zur Integration in die
Browser. Das war die Grundlage dafür für
die Zunahme der Verschlüsselung. Dann
kommen wir schon nach 2015. ENISA und STOA
zwei EU-Gremien, die technisch befasst
sind, sagen genau das Gegenteil was die
Strafverfolger und die Geheimdienste
behaupten. Die Wirtschaft braucht sichere
Verschlüsselung. Und am 1.Mär- 1. Februar
2015 ist das Thema bereits im EU-
Ministerrat. Und zwar geht es darum. Da
haben Sie es noch im Klartext gesagt
https-Verschlüsselung wollten sie anfangs
schwächen, da wollten sie rein. Und genau
in diesen beiden Jahren kommt der jetzt
und tritt an die Öffentlichkeit. Ganz
unüblich. Der NSA-Direktor Rogers ist auf
jeder zweiten Konferenz aufgetaucht und
hat gesagt: "Wir brauchen das und das ist
einfach so, da ist ja dieser Attentäter
von San Bernardino", in dessen FB- in
dessen iPhone das FBI nicht reingekommen
ist. Und daran haben sie das Ganze auf
gehängt. Naja, und da kamen schon die
ersten Pleiten, Pech und Pannen. Also
während die mitten in der Kampagne gegen
Verschlüsselung war, kommt eine
Sicherheitslücke ans Tageslicht. Genannt
FREAK. Ich fasse kurz zusammen. Eine
Downgrade-, die macht eine Downgrade-
Attack möglich, sodass die auf eine
schwache Verschlüsselung der Browser
umgeschwenkt haben. Und das ist natürlich
peinlich, weil die NSA die ganze Zeit das
gefordert und avanciert hat. Wer in den
ersten Crypto Wars dabei war, der weiß,
dass vierzig Bit Verschlüsselungen erlaubt
waren. Und hier sind wir auf der NSA-
Webseite im Jahr 2015. SSL-Report. Schauen
Sie sich, diese Noten an die haben die
alte RSA-512er-Suite drinnen gehabt und da
waren. Da ging es zurück bis das, bis 40
Bit haben die Schlüssel drinnen gehabt,
den völlig ausgelutschten RC4-Schlüssel,
der völlig obsolet war, ein Jahrzehnt oder
länger. Vor 2015 hat die NSA-Webseite noch
drauf gehabt. Das war eine ziemliche
Blamage nach der gesamten
Öffentlichkeitsarbeit, die sie geleistet
haben. Naja. Oktober 2015. Let's-Encrypt-
Zertifikate werden von allen Browsern
weltweit anerkannt. Das war ein schwerer
Schlag für die Dienste. Und da dies genau
direkt nach Bekanntwerden des Snowdens
Enthüllungen ist die, ist Let's Encrypt
gegründet worden. Dann, die FBI Kampagne,
die aufgehängt war: "Wir kommen in das
iPhone des toten Attentäters von San
Bernardino, nicht rein", ein Islamist der
14 Leute umgebracht hat, und, nein, hier
sind wir noch bei etwas anderes. Da kamen
die Hintertüren, die FBI-. Das FBI hat,
das hat ja dauernd Hintertüren gefordert
und schon vorher Generalschlüssel für alle
Androids und iPhones. Sonst können wir
nicht ermitteln. Und dann hatte das FBI
Fortinet-Firewalls und die hatten eine
schwere Sicherheitslücke. Und erst viel
später, nämlich jetzt, hat sich
herausgestellt, dass die Backdoor von der
NSA stammt. Das hat alles wirklich keinen
schlanken Fuß gemacht und war ziemlich
blamabel, und wir hatten da schon gedacht,
die Kampagne war dann gewarnt. Let's
Encrypt startet Ende Dezember, ziemlich
genau auf den Tag genau gestern startet
Let's Encrypt mit dem Rollout seiner
Zertifikate und hier schauen wir mal, wie
es dann schon aussieht. Nach kurzer Zeit.
In puncto Verschlüsselung 50 Prozent des
Verkehrs im Netz ist verschlüsselt. Wer
ein bisschen Phantasie hat, kann sich
vorstellen. Da muss ich dazu sagen
inklusive Mailserver. Wer ein bisschen
Phantasie hat, glaube ich kann sich
vorstellen, dass die die an den Switches
die gesamten Glasfaserleitungen abkopiert
und abgesaugt haben, da drüber nicht
glücklich waren. Da kam kamen nur noch
harte TLS-Streams vorbei. Also mit der
Freibeuterei dort ging es langsam zu Ende.
2016 war nicht sehr viel los, außer dass
es eine Mordsblamage gegeben hat für das
FBI. Weil nämlich das FBI sich selbst aus
dem iPhone des Attentäters, die hatten das
iPhone, ausgesperrt hatte. Da ist das
bekanntgeworden. Sie haben Passwörter in
der Cloud zurückgesetzt, dann ging keine
Synchronisation mehr, kamen sie nicht an
die Daten ran. Also die erste, der erste
Kampagnenschub ist ziemlich im
Lächerlichen geendet. Und an die Wand
gefahren. Na, das hat sie aber nicht
gehindert. Es hat ein bisschen eine Ruhe
gegeben im Jahr 2016, vielleicht hab ich
nicht so aufmerksam berichtet. Und. Ah ja.
Wir sind schon. Wir sind hier schon
praktisch am am am Ende des ersten Teils
angelangt. Ui, da bin ich eh halbwegs
schnell unterwegs. Ende 2016. Dann kann
ich ein bisschen ausholen. Ende der Ende
von 2016 haben sie sich dann wieder vor
getraut. Und zwar ging es diesmal von
einer anderen Ebene aus, und zwar vor
allem in Europa. Da waren die Europäer
dran. Das ist eine konzertierte Kampagne
gewesen von Anfang an, die abwechselnd auf
den Kontinenten gespielt wurde und die
hatte nur ein einziges Ziel: Ende zu Ende
Verschlüsselung möglichst aus dem Netz zu
drängen. Und es war nicht möglich für die
Geheimdienste da einfach - Hier ist der
zweite Teil - Es war nicht möglich für die
Geheimdienste so einfach zu sagen wir
verbieten Ende zu Ende Verschlüsselung.
Das geht nicht. Das ist Ihnen selbst klar
gewesen. Das hätten Sie auch in den
Neunzigerjahren vielleicht noch gesagt.
Aber heute natürlich nicht mehr, weil ganz
blamieren wollen sie sich ja auch nicht.
Jo. Jetzt waren die Cops auch in der
traurigen Lage, dass sie an keine Daten
mehr kamen, dass sie an immer weniger
Daten kamen. Ich möchte nur darauf
hinweisen. Netzpolitik, glaub ich, hatte
das berichtet, dass im heurigen Jahr zum
ersten Mal die Telefonüberwachungen
rückläufig wurden. Das hat es überhaupt
noch nicht gegeben, seit 1995. Zum ersten
Mal waren es weniger Telefonüberwachungen.
Nah: Warum? Weil man in der Telefonie die
Daten nicht mehr kriegt. Du kriegst nur
noch einen begrenzten Datensatz aus den
Telefonienetzen raus, weil da fetzt jetzt
alles E2E drüber oder
transportverschlüsselt drüber. Da is nix
net viel zu holen. Mehr. Da sind
Bewegungsdaten. Natürlich sind doch genug
da. Bewegungsdaten, du kannst super
Bewegungsprofile machen, du kannst auch
noch direkt Gespräche abhören. Aber so wie
früher, geht es auch bei den bei den
Strafverfolgern nicht mehr. Das heißt, aus
diesem Grund haben sich diese Kräfte, die
einander sonst nicht wirklich wohlgesonnen
sind, zusammengetan. Jetzt muss ich mich
doch wieder beeilen. Jo, das ist die
Story, die ich gerade erst publiziert
habe. Die ist jetzt. Die ist jetzt, vor
einer halben Stunde oder vor einer Stunde
erschienen. Ich hab noch bisschen was
rausgekriegt, was über die aktuellen Pläne
im Ministerrat ist. Also die Resolution
des Rates sozusagen Ende zu Ende
Verschlüsselung muss irgendwo eine
Möglichkeit haben, dass wir an die Inhalte
kommen. Da geht nur ein Nachschlüssel,
also ein dritter Schlüssel. Oder man kann
es auch Automatic Decryption Key nennen.
So hieß das schon in der ersten PGP-Suite.
Das ist z.B. in Firmen üblich, das alles
zusätzlich mit einem Firmenschlüssel
verschlüsselt ist. Weil wenn ein
Mitarbeiter aus der Firma ausscheidet,
dann muss er auch Korrespondenzen und
alles übergeben. Und da kann es nicht
sein, dass das nur mit dem Key des
Mitarbeiters verschlüsselt ist. Also das
haben das wurde gefordert und das steht
eben, wurde-. Diese Forderung wurde
bereits in der ersten Richtlinie, die
überhaupt am Horizont aufgetaucht ist vor
vor 10 Tagen vielleicht. Und das ist eben
diese Richtlinie die Nachfolgerin der
Netzwerkinformationssicherheit-
Systemrichtlinie
wie das heißt, also Härtung der Netzwerke,
Meldepflicht für Cyberangriffe und das ist
der Nachfolger. Weil da Erweiterungs- und
Änderungsbedarf besteht,nach allgemeiner
Ansicht. Nach meiner übrigens auch. Also
die haben sich das. Es wurde sozusagen zum
fait accompli gemacht zwischen Rat,
zwischen EU-Ministerrat und EU-Kommission.
Der Rat hat gesagt, wir machen da jetzt
mal ne Resolution. Wir geben keinen
formellen Auftrag zur Erstellung einer
Richtlinie, sondern die EU-Kommission hat
gesagt, Okay, wir haben verstanden, wir
machen das schon. Und dann wird eben
angefangen, irgendwelche Vorhaben - in
diesem Fall ist es so gewesen - noch bevor
die Resolution formal unterzeichnet war,
ist sie bereits zitiert worden in diesem
Richtlinienentwurf für hochklassige
Cybersicherheit. Das deutet schon ziemlich klar
hin, dass das eine recht ausgemachte Sache
ist, dass da jetzt so weitergemacht wird.
Mit einer, mit einem Richtlinienentwurf in
diese Richtung wartet man jetzt auf das
nächste Ereignis. Die gesamte. Das gesamte
Vorhaben hier ist nämlich entlang von
Terror-Anschlägen vorangeschritten. Aber
darauf komme ich noch. Hier sehen Sie ganz
einfach das Wachstum. Dass die Zuwächse
von WhatsApp in dem Zeitpunkt, über den
dieser Vortrag geht, von 14, ich hab nur
mal bis 17 genommen. Das heißt, es ist
immer mehr Verkehr aufgetaucht, an die
keiner von den Beiden ran kam. Denn alle
diese Überwachungsvorgaben der Staaten
beziehen sich auf Telefonienetze und sind
nicht so einfach auf das Internet und auf
over the top Services, wie man etwas wie
die Telekoms das WhatsApp und solche
Services nennen. Over the top, das ist
ihnen schon over the top, wenn TCP/IP
gespielt wird, den Telekoms. Das ist
typisch. Wir sind im Jahr 2017 und hier
werden die Weichen auf allen Ebenen schon
dafür gestellt. Für etwas, das der Rat
jetzt erst als Resolution beschlossen hat.
Aber es wurde alles schon vorbereitet.
Generalstabsmäßig. Hier sehen Sie. Hier
seht ihr's: Gleich im Jänner neuer ETSI-
Überwachungsstandard zur Überwachung
sozialer Netze. Das heißt: Online
Durchsuchungsbefehl hinschicken und im
ETSI machen Sie dann das Interface, wo die
Daten aus den sozialen Netzwerken
herausgespielt werden müssen,weil die
müssen ja irgendwie übergeben werden,
einem bestimmten Format, das die anderen
noch lesen können. So, das heißt, Sie
haben schon alles für die Anforderung, um
für den Abtransport der Daten begonnen
vorzubereiten, noch ehe es überhaupt eine
gesetzliche Grundlage zum Zugriff auf
diese Daten gab. Aber das ist, das ist
überhaupt nichts Neues. So ist es bei
Überwachung immer im EU-Rahmen gegangen.
Es wurden da, dort, da, dort lauter kleine
Maßnahmen gesetzt und dann kam irgendein
Ding, das die zusammenfasste und sagte: Der
sagt das, die sagen das und die sagen das.
Wir müssen jetzt das und das überwachen,
weil sonst droht, was weiß ich, der
gesellschaftliche Zusammenbruch oder die
Terroristen übernehmen die Bude. So. Das
heißt, das haben sie schon angefangen zu
standardisieren. Dann war die Überwachung
sozialer Netze schon im Ministerrat, also
das läuft alles parallel. Das ist fast
gleichzeitig passiert. Das heißt, es
wurden mehrere Prozesse parallel
gestartet. So. Ende 2017. Da war man schon
so weit, die österreichische
Ratspräsidentschaft war da schon
zuständig. Ich kann nur sagen, sie hat
sich an Performance ein Keller-Duell mit
der deutschen Ratspräsidentschaft
geleistet. Sie haben allesamt nur
Überwachungsgesetze gemacht. Beide. Aber
wirklich nur Überwachungsgesetze. Die
gesamte Agenda der Österreicher war damals
genau so ausgerichtet, also nur, dass ihr
wisst, dass ihr nicht alleine seid mit
euren Seehofers. Ok. Facebooküberwachung
hat Priorität hieß es. Das hatte unser
Bundeskanzler Kurz mehrfach und Dings
verkündet. Und dann ist klar: Die Message
ist auf allen Ebenen gewesen. Na, wie soll
das funktionieren? Wieder im ETSI, die
haben schon angefangen, irgendwelche
Schnittstellen zu machen, und jetzt war es
das Problem, dass die Internet, das
irgendwelche Internetkonzerne natürlich
nicht in dem Land sitzen, in dem überwacht
werden soll. Also wenn Österreicher
Österreich, wenn die österreichischen
Behörden, Österreicher oder sonst wen im
Facebook überwachen wollen, müssen sie die
Anfrage nach Irland stellen. Naja, jetzt
haben die angefangen, da schon
Schnittstellen zu bauen zum Datenaustausch
zwischen den Polizeibehörden. Was
natürlich alles schon eine sehr komplexe
Sache wurde, wie die gesamten
Netzüberwachungsstandards immer sich
langsam Unbrauchbarkeit nähern, weil die
so komplex sind und dass immer mehr
Kollisionen zwischen einzelnen
Anforderungen gibt. 2018 hat sich dann das
abgespielt, was sich 2017 vorbereitet
wurde. Es ist wirklich in allen Ebenen
gleichzeitig losgegangen. Wieder die
Österreicher. Facebooküberwachung hat
Priorität. Und die ePrivacy-Verordnung
hätten sie auch so vorantreiben sollen, da
haben sie überhaupt nichts
zusammengebracht. Die Österreicher vor
zwei Jahren nicht und die Deutschen jetzt
nicht. Die EU wollten unbedingt da schon
ein Abkommen mit den USA zur Cloud-
Überwachung. So wechselweise: Ich
überwache deine Cloud, ich darf deine
Cloud-Dienste überwachen, natürlich mit
richterlicher Genehmigung. Ihr dürft meine
Cloud-Dienste überwachen, nur die USA
haben sich auf das nicht eingelassen. Weil
es sind praktisch alle Cloud-Dienste,
WhatsApp, Facebook, was du willst, sind
alle, Twitter, das sind alles US-Dienste.
Und viel mehr, haben die USA einfach ein
eigenes Gesetz gemacht. Kein Wunder unter
Trump. Und mit dem Cloud Act gehts auch
so. Wir fordern. Es ging auch beim Cloud
Act gehts auch, gings genau wie später in
der EU um Beweissicherung in der Cloud, so
haben sie das genannt. Also Facebook muss
Daten rausrücken. So, da kam schon eine
neue EU-Verordnung, weil das mit dem
Interface und mit dem Austauschen
chancenlos war. Das wäre nie in Time,
hätte nie in Time passieren können. Na,
was passiert? Jetzt hat's ne EU-Verordnung,
haben sie gestartet zur
grenzüberschreitenden Überwachung. Also
jeder darf in einem Land anderen Land
Überwachungsbefehle zustellen und die
jeweiligen Provider müssen das dann
irgendwie durchführen und die Daten binnen
sechs Stunden überspielen. Also die
ungarische Regierung oder die polnische
Regierung fragen in Österreich oder in
Deutschland einfach mit einer Gericht,
einem Gerichtsentscheid an und sagen wir
brauchen alle Metadaten von dieser Nummer
und das und das und das, weil größeres
Delikt, eine Majestätsbeleidigung oder
Beleidigung der heiligen Stephans-Krone
oder sowas. Also das würde es theoretisch
ermöglichen, ist bis heute nicht
durchgegangen. Es spießt sich nämlich am
"grenzüberschreitenden". Na da war ein
kleines Intermezzo, der BND ist
aufgeflogen, dass er zusammen mit dem HNA
die Glasfaser überwacht von der Telekom
Austria. No na ned. Dann hat das FBI einen
Musterprozess gegen Facebook gestartet.
Zugang zu verschlüsselten Messenger
Diensten bla bla bla. Und vor allem
telefonieren. Und da hatte es etwas mit
dem Facebook-Protokoll, das sie
implementiert hatten. Da wollten sie ran.
Wenn. Die. Die. Die. Die Aushandlung und
die Schlüssel landen auf einem, werden im
Klartext an einen Facebook Server
geschickt. Es ist eine Einladung. Ja,
okay. Dann geht es weiter mit Anti-Terror
Filtern. Warum kommen da hier Filter vor?
Was haben die mit Verschlüsselung zu tun?
Sehr viel, wie man sehen wird. Also da
geht es um schnelles Herauskriegen der IS-
Inhalte aus dem Netz, die schon lange
nicht mehr gegeben hat. 2018, das war
nämlich 2015. Und da kommt das wichtigste
Ereignis des Jahres. Das GCHQ geht
ungefragt an die Öffentlichkeit und
schlagt ganz einfach vor: Drittschlüssel
für die Provider. Weil dann können wir,
haben wir ein Protokoll, da können Sie
dann die Überwachungsanforderungen
erfüllen. Wenn Sie selber den Schlüssel
für die E2E-Kommunikation haben. E2E ist
es dann natürlich nicht mehr. Noch und am
selben Tag als der praktisch am selben
Tag, als das herauskam im renommierten
Laufer Blog, da ist schon der US
Generalanwalt wieder an die Öffentlichkeit
gegangen und erklärt so, wir brauchen das
jetzt. Und sonst bricht das Justizsystem
zusammen und Kanada und Neuseeland haben
die Polizeichefs dasselbe gesagt. Also
alle 5 Eyes beisammen. So jetzt gehen wir
weiter. Das hat. Dort hat man geglaubt,
man kann das Rollout von Tele Science 3
mit einem eigenen Sicherheitsstandard für
das ETSI konterkarieren. Was ist es? Es
ist ein ein ein TLS 1.2 Nachfolger, der
einfacher als TLS 1.2 an den Firewalls zu
brechen ist. Und TLS 1.3 kannst du an,
kannst du dich an der Firewall brausen
gehen. So, naja. Ne kurze Zeit später war
schon wieder wieder vorbei weil der ITF
hat protestiert, dass die das ITLS nennen,
wenn es ein Unsicherheitsstandard ist,
mussten sie es umbenennen. Wollte keiner.
Also auch hier hat man es probiert. Ja,
dann spießte sich bei der Filterung. Da
haben einige nicht mitgespielt und dann
wollte die USA wieder mit den USA
Datenaustauschabkommen starten. Ist es
auch nix geworden. Und dann kommt die
Terror-Debatte wieder zurück. Es waren die
Terroranschläge in Christchurch und
Neuseeland. Ah, dann WhatsApp, die
Staatstrojaner werden immer teurer, ist eh
klar, weil immer mehr Verkehr auf WhatsApp
und anderen ist und da kommt dann ein
Schlüsseldokument. Das war am 29., am
ersten Dezember 2019. Ein großes Briefing
des Berner Clubs. Ich glaube, dass der
Berner Club? Ja. Ah, na, das ist die
Counter Terrorist. Ah ja, großes Briefing
für den Minister. Da ist Kooperation
zwischen Strafverfolgern und Intelligence
Actors, also den Geheimdiensten gebraucht
wird. Seit dem 13. November 2016 gab es
darüber eine Einigung. Also irgendwie alle
waren da dran beteiligt und es wurde in
jedem internationalen Gremium in dem's um
Sicherheit geht drüber gesprochen. So und.
Am Stand diesem Tag hat es ein Briefing
gegeben. Des Berner Clubs. Für die
Minister. Der Berner Club sind die
Geheimdienste aus 27 oder 28, weiß nicht,
ob die Briten noch dabei sind, Staaten,
und es ist eine informelle Vereinigung. Wo
aber die wichtigsten Sachen im informell
besprochen werden. Also es gibt auch faits
accompli im im Geheimdienstbereich. Ja,
aber es werden die ihnen wohl gesagt
haben. Anfang Februar dieses Jahres:
Seuchenausbruch. Kommt dass plötzlich ein
Gesetz in den US-Senat? Es war noch ein
Entwurf um die Zeit, der sogenannte
EARN-IT-Act und der hat zum Inhalt, dass,
dass um Kinderpornographie, wenn Provider,
wenn Plattformen nicht in der Lage sind,
irgendwie ihren gesamten Verkehr zu
identifizieren und bei Fällen von
Kinderpornographie was rausrücken können,
dann verlieren sie die Haftungsfreiheit.
Das heißt, es geht wieder gegen Ende-zu-
Ende-Verschlüsselung, weil bei Ende- zu-
Ende-Verschlüsselung kannst du beim besten
Willen nicht sagen, was dahinter rennt.
Auch da, die Plattform nicht. No. Und dann
kommt wieder der Anti-Terror-Beauftragte
der EU und schreibt einen Brandbrief an
den Ministerrat. Jetzt muss was gegen die
Verschlüsselung getan werden, das geht
nicht mehr. Und sonst was. Und wir wollen
ja keine Hintertüren, sondern Vordertüren.
Das ist genau dasselbe, was der FBI-Chef
2014 gefordert hat. Goldene Schlüssel, de
Kerchhove und die Neusprech-Leute im Rat
sagen immer Vordertür dazu. In
Wirklichkeit sind es überhaupt keine
Türen, sondern einfach ein Drittschlüssel,
der in E2E reinkommt. Und hier hat er das,
hat er eben im Ministerrat gesagt, unter
Tonaussetzer
unter Anführungszeichen, ich nenne es nur
so, weil es noch so in den Gesetzestexten
steht, ist ein furchtbares Wort. Aber ich
kann nicht jedes Mal "Darstellungen von
Kindesmissbrauch" sagen. Aber es steht so
im Gesetzestext. Er hat gesagt: "Wir
müssen untersuchen, ob man solche Bilder
in E2E-Datenströmen identifizieren kann.
Äh, geh bitte, wie denn? Ja, und die ENISA
war schon vorher beauftragt, eine
Studie dafür zu machen, ich meine, so ein
offenbarer Unsinn, ja? Wo du nicht einmal
weißt, um irgendwelche Umfänge oder
irgendwelches von den Dateien, die da
gefährlich werden sollten. Aber man soll
sie irgendwie, ihre Hashes in
Verschlüsselung identifizieren können.
Nein, bitte. Tja. Und dann kam die
deutsche Ratspräsidentschaft eben dort auf
die Idee: "wir untersuchen das jetzt
direkt". Und dann wurde im, das wurde dann
erst im Juli produziert, das das Dokument
7 Methoden da versteckte. Äh. Da
versteckte Inhalte in E2E-Datenströmen zu
identifizieren. Ja, keine hat
funktioniert. Und da haben sie unter
anderem die die Methode des GCHQ genommen.
Nur haben sie sie völlig anders verwendet.
Das GCHQ hat gerade aus gefordert, wie man
hier auf dieser Folie sieht. Hier seht da
Zweitschlüssel während des
Verschlüsselungsvorgangs und zack auf
einen Server, gut is. Nur hier haben sie
da eben lauter Schwachfug hinzugefügt. Ob
man damit Kinderpornographie
identifizieren kann, also das war sehr
irreführend, und alles war eigentlich nur
dazu da, um zu beweisen, das geht nur so
nicht. So, jetzt ist in den USA, ist der
EARN-IT-ACT -- oh da habe ich einen Link
vergessen -- bereits ein Gesetzesentwurf
geworden. Auf verschlüsselte Daten, Signal
und WhatsApp, genau dasselbe wird
verlangt, das der de Kerchove in Europa
fordert. Also muss ich auf der Zunge
zergehen lassen, das ist choreographiert
gewesen wie ein Ballett. So, im Juli wird
schon eine Regulationen gegen die sichere
Verschlüsselung in den Raum gestellt von
Thierry Breton, dem Digital-Kommissar.
Aber nix genaues. Na, da isses. Weil die
Probleme so ansteigen werden, wird das
irgendwie angegangen. Und in den USA haben
sie in den paar Monaten den echt rigorosen
EARN-IT-Act aber dermaßen von entschärft
und durchlöchert. Also dass vom Kampf
gegen Ende-zu-Ende Verschlüsselung keine
Rede mehr sein konnte. Es wurde sogar
extra ausgenommen. Tja und da kommt schon
die Kursänderung. Ah, warte mal da, habe
ich eines noch übersehen, da habe ich noch
eines übersehen. Die Frau, das ist sie.
Na, da hab ich's. Nein, das ist nicht
richtig. Da habe ich ein Bild übersehen.
Ein Bild, da fehlt etwas. Da muss ich noch
was. Da muss ich. Da muss ich noch etwas
nachschärfen. Ah, da sind wir. Hier haben
wir einen richtigen, einen richtigen Fall
von Desinformation durch eine EU-
Kommissarin. Sie ist im Juli, das wollte
ich, das wollte ich nämlich noch
referieren kurz. Bisschen Zeit ist noch.
Äh äh, sie hat Ende Juli angekündigt, dass
Chatanbieter ihre Plattformen routinemäßig
nach pädokrimenellen Inhalten durchsuchen
müssen. Und dann hat sie dazugesagt, das
gelte auch für Verschlüsselung.
Verschlüsselte Kommunikation. Denn die
Verbreitung solcher Videos habe explosiv
zugenommen. Handlungsbedarf. Wir müssen
gegen diese Videos vorgehen. Und hier?
Kommt, ist es raus rausgekommen.
Tatsächlich hat es eine Zunahme gegeben,
aber die ist nicht auf einen explosiven
Anstieg des des Delikts zurückzuführen
gewesen, sondern dass Microsoft, das 2009
bereits sein Tool PhotoDNA, das ist eine
riesige Datenbank mit Hashes von allen
vorstellbaren Scheußlichkeiten gegen
Kindern. Die zu, die da digital sozusagen,
Identität, eine ID-Nummer bekamen. Und die
ist bei allen möglichen großen Plattformen
läuft die im Hintergrund mit, es rennen
die ganze Zeit schon Filter, nur diese
PhotoDNA konnte keine Videos und sie
konnte erst 2016, war es erst möglich auch
Videos damit zu identifizieren und
Microsoft bot das an! Will heißen, die
gesamte Explosion der pädokriminellen
Inhalte ist auf ein Softwareupdate
zurückzuführen. Man hat sie vorher bloß
nicht gefunden automatisch. Aber jetzt
fand man sie. Und nachdem immer mehr
Plattformen das Tool von Microsoft so
integriert hatten, also die haben den
Abgleich mit der Datenbank gemacht, bei
allen Uploads, also Uploadfilter haben sie
eh schon alle. Und dann, die haben das
halt nacheinander integriert und dadurch
sind immer mehr Videos ans Tageslicht
gekommen. Und zusätzlich sehr viele sind
derzeit von Videos äh auf, auf, auf. Na da
bin ich falsch. Na, Moment, jetzt habe ich
mich kurz verklickt, aber da sind wir
schon wieder. Ich habe wie gesagt eine
Übersicht auf der ORF-Webseite gemacht.
So, hier sind wir. Und also es hat alles
nicht gestimmt, warum das jetzt gemacht
werden soll. Und dann kam die
Kursänderungen zu Uploadfiltern. Also die
Kommissarin hat irgendwie verraten, wozu
diese Uploadfilter von Anfang an gedacht
waren, seitdem eh die meisten IS-Videos
aus dem Netz sind und sie bei weitem einen
Bruchteil des Problems darstellen, den sie
2015 und 2016 hatten. Sie wollten ganz
einfach sagen zu den Plattformen, wenn dir
da nicht gegen Terroristen filtern könnt,
dann müsst ihr, dann könnt ihr eure
Services nicht anbieten, nämlich in
E2E-Verschlüsselung. So, dann kam der
Terroranschlag in Wien. Hatte Null damit
zu tun. Nix mit Handy, nix mit Internet.
Hat sich in der Moschee radikalisiert. Hat
sein Handy vor der Tat irgendwo
weggeschmissen und es war nichts
interessantes drauf. Trotzdem, zack! ist
es losgegangen. Binnen fünf Tagen haben
sie so den Entwurf der deutschen
Ratspräsidentschaft beschlussfertig
gemacht. Binnen fünf Tagen im Rat. Jetzt
oder nie. Nächste Anschlag, zack! Jetzt
machen wir's beschlussfertig. So ist es
die ganze Zeit seit 2014 gegangen. Äh ja.
Und dann kam das raus und da gab es einen
ziemlichen Wirbel Anfang November und da
drinnen, und das muss man sich auf der
Zunge zergehen, hier wird referenziert auf
das "International Statement". Das ist
vorher erschienen. Das International
Statement ist nichts anderes als eine
Erklärung aller Minister, aller fünf
Minister der 5-Eyes Staaten. Und da steht
eben, mit denen müssen wir engen Kontakt
halten, was sie die ganze Zeit gemacht
haben und einen fortwährenden Dialog
besonders mit England in dieser
Angelegenheit führen. Weil nämlich das
Drittschlüsselschema vom GCHQ stammt und
es 2017 bereits das erste Mal vorgestellt
wurde. Da habe ich den Mann getroffen, der
es geschrieben hat, in Cambridge,
Massachusetts, an der Massachusetts
Universität Cambridge bei einem Vortrag.
Da ist er schon damit hausieren gegangen.
Sehen Sie bitte, die Strafverfolger, die
Armen brauchen doch einen zusätzlichen
Schlüssel, die können ja nicht mehr
ermitteln und bla. Ja, so ist der ganze
Prozess gelaufen. Propaganda, lies. More
lies. Absprachen hinter den Kulissen und
eine Inszenierung so gut sie es halt
zusammengebracht haben, auf allen
Kontinenten. Das ist im Wesentlichen das,
was ich euch hier schildern wollte, im
Affentempo. Ihr könnt beides in aller Ruhe
nachlesen. Ich habe mir so ein bisschen
ausgerechnet, es sind irgendwas um die
200000 Zeichen Text und es sind sehr viele
Bilder und alle weiterführenden Links
drinnen. Und damit darf ich manchmal so
vorerst, darf ich das beenden und bin sehr
gespannt, ob es Fragen gibt. Ich stehe
auch später noch zur Verfügung. Wenn es
jemand will, begeben wir uns, wenn es
Leute wollen, kann ich das auch später
noch in irgendeinem anderen Raum
durchführen. Wenns halt Fragen gebe.
Dankeschön, liebe Leute, auch die lieben
Damen und Herren sei's gedankt für Ihre
Aufmerksamkeit und Geduld.
Herald: Ja, Erich, vielen Dank für diese
ausführlichen Ausführungen
und überhaupt für die
vielen Jahre Berichterstattung.
Mir schwirrt jetzt gerade erst einmal so
ziemlich der Kopf.
Das war ja eine Hausnummer.
Erich lacht
Herald: Und ja, wir haben Fragen. Wir
haben noch Zeit für ein paar Fragen von
euch. Die könnt ihr uns übers IRC
schicken. Den Link findet ihr unten. Oder
postet sie im fediverse oder auf Twitter
und das Hashtag ist nochmal rc3-one. Das
ist r, c, die Buchstaben, dann die Zahl 3
und dann o n e. Ja, fangen wir mal an. Wir
haben schon ein paar Fragen bekommen aus
dem IRC. Die Frage. Hat sich das Verhalten
Österreichs beim letzten Regierungswechsel
verändert diesbezüglich? Als Deutscher
kenne ich Regierungswechsel ja nicht.
Erich lacht
Erich: Da hat er aber Recht, ja. Es hat
sich schon verändert. Wenn du 2 so rechte
Parteien abgehen lässt, wie sie wollen und
die haben sich gegenseitig vorangetrieben,
dann geht das natürlich komplett in die
andere Richtung. Aber diesmal muss ich
sagen, gehen sie es deutlich anders an. Es
gab auch nach dem Anschlag in Wien nicht
das übliche große Geschrei, wir müssten
mehr überwachen hier, sondern es war eher
eine Blamage. Die Beamten hatten den am
Radar, die hatten den sogar im Auftrag des
deutschen Bundesverfassungsschutzes
beobachtet und haben dann über... Es ging
in in deren Kommunikation nichts. Also das
war der Grund dafür. Und das hat uns auch,
glaube ich, weil das hat ordentlich
Schlagzeilen gemacht, ordentlich
Schlagzeilen gemacht, weil das BVT ist ein
Trümmerhaufen in Wien, das Bundesamt für
Verfassungsschutz. Das haben sie politisch
völlig ruiniert, die zwei rechten Parteien,
indem sie sich tot gematcht haben. Das
heißt, das ist jetzt weg. Also es hat sich
schon was zum Positiven verändert. Das
muss man schon sagen. Ich hoffe, das war
die Frage.
Herald: Die nächste Frage aus dem IRC:
"Wie siehst du die Überwachung in 5 bis 10
Jahren nach deiner Einschätzung?" Das ist
ein ganz schön langer Zeitraum.
Erich: Puh. Das ist echt schwer. Ich kann
es ehrlich gesagt nicht sagen. Ich
verfolge das jetzt seit 25 Jahren und
berichte darüber. Aber ich kann
trotzdem... Wenn man sehr viel Geschichte
weiß, dann kann man ein bisschen die
Geschichte hochrechnen. Aber nicht sehr
lange. Nicht sehr lange. Um 5 bis 10
Jahre. Da traue ich mir wirklich überhaupt
nichts zu sagen. Ich kann sagen, was sich
in den nächsten 5 Jahren auf EU-Ebene
abspielen wird. Weil... diese Prozesse
sind irgendwie zu berechnen. Das wird
jetzt immer wieder irgendwo auftauchen,
dass sie da dran müssen. Auch die
Kryptologen in Europa und die
Sicherheitsforscher, die da protestiert
haben dagegen, praktisch die gesamte, die
gesamte Branche. Ich rechne mit einem
langen Zehnkampf. Die wollen das nämlich
unbedingt. Die sind verwöhnt. Die 5-Eyes
und der BND, die haben sich an der
Glasfaser bis jetzt geholt, was sie
wollten und hatten so viele Daten, dass
sie dermaßen aufrüsten mussten mit so
Brutalotools wie XKeyscore, aus den 90er
Jahren von der NSA. Naja, und das ist
jetzt nimmer so und deswegen wollen sie
unbedingt darein. Unbedingt, um jeden
Preis.
Und deswegen wird das ein festes,
ein festes Match. Allerdings ich bin schon
alt genug, um das schon langsam rein
sportlich zu nehmen. Und dann kommt's nur.
Nee, das hier jetzt, das haben wir ja
relativ schnell erwischt, direkt beim
Aufsteigen. Das ist so wie bei den
Moorhühnern. Früher war ??? dann ist alles
gut. Und das hier haben wir direkt beim
Launch erwischt. Und das hatte schon bad
bad Presse, bevor es überhaupt richtig
losging. Das stimmt mich sehr
optimistisch.
Herald: Ja, aus der IRC Community allgemein
fetten Dank. Die fanden den Talk richtig
super. Ich hätte noch eine Frage. Ich
meine, ich hab. Ich frage mich immer, wie
wenig effektiv das an manchen Stellen dann
doch sein könnte, weil die... Ich sehe es
vielleicht naiv, aber die Ende zu Ende
Verschlüsselung. Wie praktisch kann man
die abschaffen? Im schlimmsten Fall
umschifft man das doch einfach und setzt
nochmal oben auf die üblichen Messenger
und Kommunikationswerkzeuge und
setztnochmal eine weitere Verschlüsselung
oben drauf. Dann können die Geheimdienste
knacken wie sie wollen.
Erich: Das ist natürlich richtig. Ich
glaube, dass sie auf einem Rückzugsgefecht
sind. Liebe Leute, es ist nicht so, dass
wir in der Verliererposition sind. Es ist
nicht so, dass die dass die machen können,
was sie wollen. Die haben jetzt noch nen
anderen, noch nen anderen gegen sich. Und
das sind auch 5, und die gehen los mit
Google. Das heißt, die haben sich da rund
um die Welt auch zusammengetan, weil ein
Land alleine sich nicht mehr zugetraut
hat, so ein Vorhaben zu heben, die USA
alleine auch, nicht einmal unter Trump. Und
deswegen glaube ich, dass wir in einer
ziemlich guten Position sind. Wir können
uns immer irgendwie selbst verteidigen.
Ich meine damit und wir können unsere
Netze, wir können unsere Netze sichern.
Aber was ist mit den Leuten, die auf
WhatsApp z.B. angewiesen sind oder so
etwas, wenn die wirklich auf Signal
losgehen sollten? Man weiß es nicht, was
ihnen noch alles in den Sinn kommt. Aber
ich glaube wir, die Leute, die friedlichen
Leute, die eigentlich nur normal
kommunizieren, sozial sein und vielleicht
doch Geschäfte machen wollen, ohne dabei
ständig verfolgt zu werden. Ich glaube,
wir sind da in keiner schlechten Position.
Und als nächstes gehen sie ja erstmal,
also die EU, die USA gleichzeitig auf die,
eben auf die Großkonzerne los. Da haben
sie auch was anderes zu tun. Und das ist
gut, wenn die was anderes zu tun haben.
Weil, dann kommen sie nicht auf ganz dumme
Gedanken. Das war schon immer eine Regel
bei der gesamten, im gesamten
Überwachungskomplex. Wenn sie gut
beschäftigt sind, dann sagen wir, kommen
die neuen Begehrlichkeiten nur sehr
langsam.
Herald: Ja, IRC noch eine Frage. Gibt's
denn ganz konkrete Handlungsanweisungen
aus deiner Richtung? Wie kann man sowas
möglichst schnell stoppen? Wird da
gefragt.
Erich: Öffentlichkeit? Es geht nur
Öffentlichkeit auf allen Ebenen.
Handelsverbände, Wirtschaftskammern. Die
sind ja auch irgendwie betroffen davon.
Und die mögen es gar nicht, wenn
amerikanische Dienste so groß aktiv sind,
weil sie genau wissen, es sind nicht nur die
Chinesen nach Geschäftsgeheimnis hinterher.
Das ist eine Mär. Der nur die NSA bezeichnet
sich halt so heilig, dass sie es auf keinen
Fall niemals nicht tun würden. Aber die
Wirtschaft glaubt ihnen nicht wirklich,
und das sind alles Punkte, die bei uns,
die bei uns liegen. Ich wollte nur zum
Abschluss noch ein Ding aus den Crypto
Wars, weil da war ich nämlich auch dabei
und mein Vorredner Ross Anderson überhaupt
federführend eins null war. So von 1994
bis 2001. Da waren wir die Gruppe, die
ständig protestiert hat, und wir hatten
lange schon einen unsichtbaren riesen
Verbündeten, von dem wir nicht einmal
etwas wussten, bis er uns der Mark
Rotenberg von EPIC sagte, der sagte: Weißt
du wer? Weißt du, wer uns unterstützt und
wofür wir auch Geld kriegen für
Konferenzen? Die Bankster. Die Banken
haben uns unterstützt im Kampf für
Befreiung. Und wir waren total baff. Das
hätten wir uns nicht gedacht. Die wollten
unbedingt Onlinebanking einführen, dass
sie Filialen schließen können oder Leute
raushauen können. Und dazu brauchten sie
sichere Verschlüsselung, erlaubte sie ihre
Verschlüsselung und sagte tatsächlich zur
Mark Rotenberg. Wie gut, dass es diese
vielen Gruppen weltweit gibt. Können wir
was für Sie tun? Weil das ersparte uns
irrsinnig viel Aufwand. Da brauchen wir
nicht erst eigene Astroturfing Gruppen
aufstellen. Wissen Sie was Astroturfing
ist? Das ist sowas wie ne gelbe
Gewerkschaft. Eine Gruppe für digitale
Internetfreiheit, die in Wirklichkeit die
Interessen eines Interessenverbands
vertritt, der durchaus nicht mit den
Interessen der Bewegung gleich läuft. Also
so ist es. Genau so ist er. Ganz ähnlich
ist die Konstellation auch hier, nur, dass
unsere natürlichen Verbündeten, es sind
temporär Verbündete. Weil Freunde werden
wir mit Google, Facebook nie. Aber wenn
man zufällig eine Zeit, ein Stück des
Weges, zu zweit eben miteinander gehen
kann, wenn es ein schöner Weg ist,
dann finde ich das eine gute Sache.
Herald: Ja. Wie siehst du das mit den? Mit
den Konzernen? Mit den Googles? Den
Amazons? Den Apples? Gerade da scheint ja,
wenn man sich jetzt mal Apple. Wenn man
Apple glauben möchte, scheinen die dann
Ruf verlieren zu haben. Sollen wir uns mit
denen verbünden?
Erich: Nö. Nein überhaupt nicht
Herald: Dazu eine Frage aus dem IRC: Wie
können wir verhindern, dass sie uns
Backdoor in unsere OpenSource Crypto-Tools
rein schummeln? Das ist wahrscheinlich gar
nicht so ohne.
Erich: Puhh das, Leute... Ich bin
studierter Geisteswissenschaftler und
Jurist und Literaturwissenschaftler, und
ich bitte euch, diesen Job selber zu
übernehmen. Die Hacker seid ihr, nicht
ich. Ich bin nur technisch angelernt, ich
habe null technische Ausbildung. Ich hab
mir halt teilweise selber beigebracht und
teilweise bin ich großartig von der
Community unterrichtet worden und gebildet
worden. Ich habe euch sehr, sehr viel zu
verdanken. Nur das kann ich nicht
beantworten. Müsst ihr selber ganz gut
schauen. Jawohl. Ich weiß, das ist
durchaus möglich, dass die mal einen Build
versauern. Wenn das. Wenn das sogar, sogar
Solarwinds passiert ist. Haben sie alle
Builds versaut. Die NSA. Naja, dann
kriegen die das bei uns auch zusammen,
aber das geht nur flächendeckend, und geht
nicht lang. Weil irgendwann finden es die
Reverse-Engineering-Zampanos des CCC sehr
schnell wieder heraus. Also ich glaube
nicht, dass es eine persistente Gefahr
ist.
Herald: Alles klar? Dann würde ich sagen,
wir kommen hier zum Ende. Erich Möchel
nochmal tausend Dank. Das war ein
Augenöffner und ich bin sicher, ich bin
nicht der einzige, dem es hier so gegangen
ist. Und damit beende diesen...
rc3 Abspannmusik
Untertitel erstellt von c3subtitles.de
Mach mit und hilf uns!