Die Sicherheitslücke namens Grundgesetz

Für die Piratenpartei habe ich folgenden Kommentar zur Forderung Joachim Herrmann, Innenminister Bayern getippt:

Joachim Herrmann entdeckt erschreckende Sicherheitslücken – an überraschender Stelle. Ein Kommentar von Bernd Schreiner, Spitzenkandidat für den Bundestag in Thüringen.

Der bayerische Innenminister Joachim Herrmann hat eine „erschreckende Sicherheitslücke“ entdeckt. Für ihn ist es „grob fahrlässig“, dass die Polizei private Nachrichten von Bürgern in Messengern wie WhatsApp nicht mitlesen kann. Offenbar ist dem gelernten Juristen Herrmann Artikel 10 des Grundgesetzes bisher entgangen.

Unter einer Sicherheitslücke versteht man bei Softwareprodukten, etwa einem Messenger, einen Fehler, durch den ein fremdes Programm mit Schadwirkung oder ein Angreifer in ein Computersystem eindringen kann.

Der bayerische Innenminister Joachim Herrmann interpretiert den Begriff der Sicherheitslücke eher eigenwillig: Für ihn ist es eine „erschreckende Sicherheitslücke“ und „grob fahrlässig“ [1], dass die Polizei private Nachrichten von Bürgern in Messengern wie WhatsApp nicht mitlesen kann. Dabei sollte der gelernte Jurist Herrmann eigentlich so weit mit dem Grundgesetz vertraut sein, um zu wissen, dass laut Artikel 10 Absatz 1 [2] das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis unverletzlich sind. Weshalb also sollten für die zeitgemäße Kommunikation per Internet plötzlich andere Regeln gelten als für die guten alten, analogen Methoden wie Briefe oder Telefonate? Das Internet ist kein Produkt, welches von Außerirdischen auf einem anderen Planeten mit anderen Rechtsgrundlagen entwickelt wurde, sondern eine annähernd in Echtzeit funktionierende Kommunikationstechnologie von dieser Welt.

Ob nun Siegelwachs oder PGP zum Schutz privater Nachrichten benutzt wird, ist völlig gleichgültig: Der Inhalt geht niemanden etwas an, abgesehen vom Verfasser und dem Adressaten der Nachricht. Selbstverständlich müssen dem Staat Möglichkeiten eingeräumt werden, um in bestimmten Fällen mit rechtlich zulässigen Methoden und nach rechtskonformer Anordnung der Judikative genau diese Nachrichten erfassen und auswerten zu können. Doch diese Vorgehensweise darf eben nur in diesen Fällen eingesetzt werden. Massenhafter Gebrauch, oder gar die Erhebung zum Standardprozedere, verstoßen schlichtweg gegen den schon zitierten Artikel 10 unseres Grundgesetzes. Und machen wir uns nichts vor: Wird die sichere Verschlüsselung von WhatsApp geschwächt oder gar verboten, führt das nur dazu, dass Schwerverbrecher und Terroristen auf einen andere Messenger umsteigen – sofern sie diese überhaupt nutzen. Man schnappt also die dümmsten Terroristen, nimmt dafür aber in Kauf, die private Kommunikation unbescholtener Bürger unsicher zu machen. Was sagt es über gewählte und vereidigte Amtspersonen aus, wenn wir Bürger ihnen dauernd erklären müssen, welche rechtlichen Restriktionen ihnen das Grundgesetz für die Ausübung ihres Amtes auferlegt?

Nochmal zum Mitschreiben, Herr Herrmann: Es hat Ihnen egal zu sein, ob es Bewegungsdaten durch Smartphone-Nutzung oder digitalisierte Dokumente sind, die wir auf irgendeinem Server auf dieser Welt in einer Cloud lagern. Sobald diese Daten aus dem intimen oder privaten Bereich stammen, gibt es keinerlei Anlass und kein Recht auf den unbegrenzten Zugriff durch Ihre Behörden. Das ist keine Sicherheitslücke, sondern ein Grundrecht! Auch das ewige Argument der Strafverfolgungsbehörden und Sicherheitsfanatiker, dass nur unbegrenzter Zugriff auf alle Daten aller Bürger die Vorbeugung schwerster Straftaten und Terrorattacken sicherstellen kann, zieht nicht. Dann könnte man in vorauseilender Vorsorge gleich alle Briefe öffnen, alle Bargeld-Zahlungen registrieren, alle Fahrkartenautomaten verwanzen, die Smart Devices aller Haushalte auswerten und die daraus gewonnenen Daten direkt in Ihr Ministerium zur Auswertung schicken lassen; aber abgesehen von dem Arbeitsaufwand ist es den Organen einer freiheitlich verfassten, demokratischen Staatsordnung eben nicht erlaubt, so zu handeln. Das macht den kleinen Unterschied zu totalitären Systemen aus.

Wo würde man dann die Grenze ziehen?
Hätten als nächstes die Kamera- und Mikrofonmodule von Smart-TVs eine Standleitung zum BKA? Käme nach dem Pflichtrauchmelder die Pflichtinstallation einer Überwachungskamera im Wohnungsflur? Wir müssen jetzt die grundlegende Weichenstellung vornehmen und unabhängig von der verwendeten Technologie festlegen, dass die gute alte Privatsphäre und die Unverletzlichkeit der Wohnung auch für digitale Räume zu gelten hat. Persönliche und personenbezogene Daten gehören ihren Erzeugern und nur diese bestimmen, wie und in welchem Umfang sie freigegeben und verwendet werden!

Eine freie Gesellschaft 5.0 wird ohne starken Datenschutz in Unfreiheit münden: Wenn erst mal Serviceroboter im Haushalt helfen, Einkäufe erledigen, Bedürftige pflegen oder auch nur dem Spiel und der Unterhaltung dienen, kann es nicht angehen, dass diese Daten aus dem persönlichen und Intimbereich von Millionen von Menschen so transparent und auswertbar würden wie die von Labormäusen. Unsere Gesellschaft braucht einen starken Schutz der Digitalen Privatsphäre und muss sich dem Grundsatz verpflichten, dass „Allgemeine Geschäftsbedingungen“ Konsumenten nicht von vornherein die freie Nutzbarkeit ihrer Daten vorschreiben dürfen.

The Big Bluff – Ein Honeypot für alle

cc 2.0 https://creativecommons.org/licenses/by/2.0/ @ Sam Azgor https://www.flickr.com/photos/samazgor/9344676230

Was hats auf sich mit Whatsapps Ende-zu-Ende Verschlüsselung? Sind die Nutzer jetzt sicher, so wie es plötzlich überall steht. Selbst bei heise.de erscheint nach der Meldung ein Security Check der grünes Licht „Verschlüsselung im Test: Whatsapp hält sein Versprechen“ für den Datenschutz bei Whatsapp gibt, ganz anders noch wie in der Vergangenheit.

Doch sind die Nutzer wirklich sicher?

Nein. Nicht im Geringsten!

Auch wenn wir jetzt mal kurz vergessen, dass Kryptotechnologien in den USA unter die Kriegswaffenbestimmungen fallen gilt seit Mitte der 1990iger Jahre, dass Dinge aus den USA nur exportiert werden dürfen, wenn sie die Bestimmungen erfüllen, zu denen auch die vielfältigen Zugriffsmöglichkeiten für die Dienste oder deren OK gehören. Dies hat sich auch mit der Lockerung im Jahr 2000 nicht geändert.

Auch haben wir heute von Stephan J. Kramer, immerhin der Verfassungsschutzpräsident Thüringens, hören dürfen, dass der Verfassungsschutz in Thüringen die eingeführte Ende-zu-Ende Verschlüsselung bei Whatsapp bedauert. Sie seien jetzt da blind gegenüber dem Terror.

Wenn wir weiter vergessen, dass das so geschätzte, auch von heise.de und sogar Herrn Snwoden von Open Whisper Systems Verschlüsselungsverfahren möglicherweise durch manipulierte Zufälle, Generalschlüssel oder sonstige kompromittierende Verfahren knackbar wäre, dann Bleiben immer noch die guten alten Metadaten.

Um die scheint es auch zu gehen. Jetzt wo jeder weis, –sogar die kritischen der Kritiker, dass Whatsapp sicher Ende-zu-Ende verschlüsselt ist, sagen die Metadaten mehr als genug aus.
Whatsapp hängt immer mit einer Telefonnummer zusammen, ist somit eindeutig zuordenbar, sogar mit Geokoordinaten. Da hat man alles was man braucht, um heute zu wissen, wer was wann getan hat oder tun wird.

Welche Kontakte stehen im Telefonbuch?

Ja, auch das weis Whatsapp weiterhin und damit alle die es interessieren dürfte. Auch Telefonnummern in verschlüsselten Nachrichten sollen gelesen und ausgewertet werden.
Alles genug um eine Drohne zielgenau zu steuern, genug um mittels Sozialer Netzwerkanalyse zu wissen in welchen Kreisen sich der Nutzer bewegt.
Und im Falle des Falles gibt es ja immer noch die stille SMS und Möglichkeiten Tools auf dem identifizierten Endgerät zu installieren, die Whatsapp- Inhalte lange vor der Verschlüsselung ausleiten. Ketzer reden dabei von der Googletastatur.

Also, warum das Ganze?

Wie sicher fühlen sie sich jetzt, die Whatsapp- Verweigerer?

Nach dieser Medienlawine auf allen Kanälen, von viele geteilt und damit mit gewisser Reputation weitergetragen, – sehr sicher.

Ja, auch ich hatte einen kurzen Moment meines Daseins damit verbracht, zu überlegen mir das auch aufs Smartphone zu holen. Aber noch bevor der Gedanke wirklich erschien, löste er sich in snaik oil auf.

Millionen wissen jetzt, dass auch sie Whatsapp sicher nutzen können. Die Nutzung der bisherigen Nutzer wird sich ändern und doch sicher werden viele neue Benutzer plötzlich dazu kommen. Damit sind sie im Analysenetzwerk von Whatsapp, incl. ihrer Kontakte.

Besser kann man die Totalüberwachung kaum voran treiben, insbesondere wenn man im Blickwinkel auch die Entwicklung der KI der Analysetools hat. Big Data winkt da kräftig, denn mit einem Whatsapp User ist fest ja eine Rufnummer verbunden, Smartphones haben GPS, Kamera, erzeugen Bewegungsprofile, werden für Geschäfte und Authentifizierung genutzt. Denkt ruhig weiter…

Da steht er nun, der gefüllte Honigtopf und zieht die Nutzer auf die klebrige Oberfläche.

Und für die VTler unter euch: Ach bei Apples iPhone und dem NSA Hack, der Weigerung des Apple CEO Tim Cook und seiner Weigerung dass Apple Entwickler helfen, das iPhone von den Attentäter von San Bernardino zu knacken passt gut ins Bild.

Update 11.4.2016 heise.de hat die Metadatenproblematik aufgegriffen

Wer ein Google-Mailkonto hat kann selbst mal etwas Metadaten mit Immersion auswerten.