Auf den Terroranschlag folgt EU-Verschlüsselungsverbot

Im EU-Ministerrat wurde binnen fünf Tagen eine Resolution beschlussfertig gemacht, die Plattformbetreiber wie WhatsApp, Signal und Co. künftig dazu verpflichtet, Generalschlüssel zur Überwachbarkeit von E2E-verschlüsselten Chats und Messages anzulegen.

EU-Flagge mit Generalschlüssel

CC0

Von Erich Moechel

Der Terroranschlag in Wien wird im EU-Ministerrat dazu benützt, um ein Verbot sicherer Verschlüsselung für Services wie WhatsApp, Signal und viele andere im Schnellsiedeverfahren durchzusetzen. Das geht aus einem mit 6. November datierten internen Dokument der deutschen Ratspräsidentschaft an die Delegationen der Mitgliedsstaaten im Rat hervor, das ORF.at vorliegt.

Das sollte nun unter den „weiteren Schritten gegen den Terrorismus“ zu verstehen sein, die Frankreichs Präsident Emmanuel Macron mit Bundeskanzler Sebastian Kurz (ÖVP) im Rahmen einer Videokonferenz zu Wochenbeginn besprechen will. Der Beschluss ist bereits so weit akkordiert, dass er in der Videotagung der Innen- und Justizminister Anfang Dezember ohne weitere Diskussion verabschiedet werden kann.

Text

EU Ministerrat

Rechts sind die Ratsarbeitsgruppen aufgelistet, an die dieser Text erging, dessen erste revidierte Fassung offenbar am Freitag fertig wurde. Wie im Ministerrat üblich, wurde das Dokument als „limite“ klassifiziert. Da es aus diesem Grund abseits des Rats nirgendwo für die Öffentlichkeit einsehbar ist, wird es hier zur Verfügung gestellt: [PDF]

Analogien zur Vorratsdatenspeicherung

Aus dem ursprünglich für Anfang kommender Woche geplanten Besuch Macrons wurde pandemiebedingt eine Videokonferenz „zur Bekämpfung des islamistischen Terrorismus“. Weiters steht ein Besuch des EU-Ratspräsidenten Charles Michel in Wien für Montag an, der ebenfalls mit Bundeskanzler Kurz Gespräche führen wird. Zudem empfängt Europaministerin Karoline Edtstadler (ÖVP) den französischen Europastaatssekretär Clement Beaune im Bundeskanzleramt. Alleine um Kondolenzbezeugungen geht es dabei natürlich nicht.

Mittlerweile wird zwar immer klarer, dass offenbar haarsträubende Ermittlungsfehler im BVT den Anschlag erst ermöglicht hatten und nicht fehlende digitale Überwachungsbefugnisse. Ob irgendein solcher Zusammenhang zur Tat besteht, ist allerdings unerheblich. In Brüssel wird so ein Anlass seit 25 Jahren mit schnöder Regelmäßigkeit dafür missbraucht, längst geplante Überwachungsvorhaben durchzusetzen. Auf diese Weise wurde die fünf Jahre lang in der EU umstrittene Vorratsdatenspeicherung nach den Zugsanschlägen in Madrid (2004) und London durch Islamisten (2005) durch den Ministerrat und das Parlament geschleust.

Text

EU Ministerrat

An den letzten Änderungen (fett und unterstrichen) sieht man, welche Formulierungen von einzelnen Mitgliedsstaaten in den Text reklamiert worden waren. Zuletzt eingefügt wurden „Terrorismus“ und eine unscheinbare Änderung im Wording. Statt der in allen Dokumenten seit 1995 üblichen Strafverfolger („law enforcement“) ist nun konsequent von „competent authorities“ die Rede. Wer damit gemeint ist, steht weiter unten.

Verabschiedung ohne weitere Diskussionen

Diese Resolution des Ministerrats ist laut Dokument – da wird um allfällige letzte Einwände gebeten – nicht nur fast fertig ausformuliert. Sie ist im Rat offenbar auch bereits fertig abgestimmt. Am 19. November soll sie dann in der Ratsarbeitsgruppe zur Kooperation im nationalen Sicherheitsbereich (COSI) verabschiedet werden, am 25. ist die Vorlage im Rat der ständigen Vertreter der EU-Mitgliedsstaaten (COREPER) geplant. Dort hat der Ratsbeschluss bereits den Status eines I-Items, damit kann er ohne weitere Diskussion passieren.

In einer für Anfang Dezember geplanten virtuellen Sitzung des Rats der Innen- und Justizminister soll der Beschluss dann abgefeiert werden. Was folgen wird, ist klar, nämlich ein Auftrag des Ministerrats an die EU-Kommission, einen Entwurf für eine Verordnung zu erstellen, die dann das übliche Prozedere durch Parlament und Rat durchlaufen wird. Angesichts der offenbaren Einstimmigkeit wäre es im Ministerrat allerdings möglich, die geplante Regulation in ihrem Kern auch ohne Mitwirkung des Parlaments durchzuziehen. Auch das hat es in Zusammenhang mit Überwachung schon gegeben. So wurde der berühmte Beschluss im Fischereiausschuss des Rats von 1995 zur Überwachbarkeit der damals neuen GSM-Netze als A-Item (beschlossene Sache) durchgezogen, von dem das EU-Parlament erst nach seinem Inkrafttreten 1996 Kenntnis erhielt.

Text

Public | FiveEyes

Diese Passage sieht dem EU-Ministerratsbeschluss zwar zum Verwechseln ähnlich, stammt jedoch nicht aus Europa. Sie findet sich vielmehr in einer Resolution der Innen- und Justizminister aus den „Five Eyes“-Staaten, datiert mit 11. Oktober. Die Spionageallianz ist neben Europol und diversen europäischen Diensten eine der treibenden Kräfte, auf die der aktuelle Ministerratsbeschluss zurückzuführen ist.

Treibende Kräfte im Hintergrund

Frankreich treibt das ursprünglich von Großbritannien angestoßene Vorgehen gegen sichere Verschlüsselung auf Plattformen wie WhatsApp bereits das ganze Jahr auf EU-Ebene voran. Der Boden dafür wurde seit 2015 in einer ganze Serie von Kampagnen vorbereitet, die abwechselnd von Europol und FBI bzw. den Diensten der „Five Eyes“-Spionageallianz samt den dafür zuständigen Ministern gefahren wurden. Erst Anfang Oktober hatten die Innenminister dieser fünf Staaten – Großbritannien, USA, Australien, Neuseeland und Kanada – die Internetkonzerne erneut aufgefordert, ihre IT-Netze mit Hintertüren für die Strafverfolger auszustatten.

Sekundiert wurden sie dabei von ihren Amtskollegen in Japan und in Indien. Warum sich die Geheimdienstallianz so auffällig um die bedauernswerten Strafverfolger jahrelang öffentlich gesorgt hat, ist eigentlich selbsterklärend. Sie sind die übrigen „competent authorities“ die ebenfalls Zugang erhalten werden.

„Competent authorities“ lassen grüßen

Laut weiteren Informationen, die ORF.at vorliegen, soll die Überwachungsmethode „Exceptional Access“ gewählt werden, das geht indirekt bereits aus diesem nicht technischen Resolutionstext hervor. Unter acht möglichen Modellvorschlägen, die allesamt aus technischen Szenarien verschiedener Geheimdienste stammen, wurde jener aus dem britischen „National Cyber Security Center“ (NCSC) ausgewählt. Das NCSC ist eine Abteilung des britischen Militärgeheimdienstes GCHQ. Plattformbetreiber wie WhatsApp, Signal und Co, die alle E2E-Verschlüsselung benützen, sollen verpflichtet werden, zusätzlich Generalschlüssel anzulegen und diese zu hinterlegen.

Skizzen aus Dokumenten

EU-Ministerrat

Hier wird ein Nachschlüssel für Dritte in den Verschlüsselungsprozess zweier Chatteilnehmer geschmuggelt, es ist die Methode „Exceptional Access“ des GCHQ. Mit sicherer Verschlüsselung hat diese wie alle anderen in diesem Dokument enthaltenen Varianten nichts zu tun, es sind einfach nur verschiedene Arten von „Man in the middle“ -Angriffen auf sichere Kommunikation. Die Studie wurde im Auftrag der deutschen Ratspräsidentschaft erstellt und im August vom Fachmagazin Politico veröffentlicht.

Das nämlich sind die „competent authorities“: GCHQ, DGSE, BND usw., deren Staubsaugermethoden an den Glasfasern wegen zunehmender Transportverschlüsselung immer weniger verarbeitbare Daten einbringen. Um diese drohende Datenarmut abzuwenden, wurden jetzt Generalschlüssel verlangt – und wie es aussieht, wird das im Rat auch bewilligt. Dann kann das BVT, das es nicht einmal schafft, einen Terroristen auszuschalten, der von zwei anderen Diensten zweimal auf dem Silbertablett serviert wird, künftig auch in Chatverläufen wochenlang nicht ermitteln.

Hier ist der RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s