Australiens Assistance & Access Bill ist ein Alptraum für den Datenschutz

2017 murmelte die australische Regierung über eine neue Gesetzesvorlage, die es für Technologie- und Kommunikationsunternehmen gesetzlich vorschreibt, die Behörden beim Knacken verschlüsselter Nachrichten zu unterstützen. Nach Angaben der Regierung von Turnbull war der Zugriff auf verschlüsselte Nachrichten bei Terroruntersuchungen und anderen hochrangigen Strafverfahren zu einer unverzichtbaren Notwendigkeit geworden.

Zu diesem Zeitpunkt gaben die Behörden an, dass 90% der von der Polizei während der Ermittlungen abgefangenen Nachrichten durch eine Verschlüsselung geschützt seien. Im vergangenen Jahr soll die Verschlüsselung die polizeilichen Ermittlungen in rund 200 Fällen behindert haben.

Nun wurde ein Gesetzesentwurf veröffentlicht, in dem die Pläne Australiens zur Bewältigung dieser lästigen verschlüsselten Nachrichten dargelegt sind. Das neu veröffentlichte Dokument trägt den Titel des Gesetzes zur Änderung von Telekommunikations- und anderen Gesetzen (Assistance and Access) 2018 [PDF] und ist ein massives und widersprüchliches Gesetz.

Hintertür

Die Gesetze Australiens gegen die Gesetze der Mathematik

Trotz der Tatsache, dass eine sichere Ende-zu-Ende-Verschlüsselung (e2e) nicht ohne eine Art Hintertür abgefangen werden kann, besteht die australische Regierung darauf, dass die neue Gesetzgebung so funktioniert.

In einer am Dienstag vor der Presse abgegebenen Erklärung erklärte der australische Minister für Strafverfolgung und Cybersicherheit, Angus Taylor, dass die neuen Rechtsvorschriften „Strafverfolgungs- und Überwachungsbehörden den Zugang zu bestimmten Nachrichten ermöglichen würden, ohne die Sicherheit eines Netzwerks zu gefährden."

Laut Taylor „verbietet“ die Gesetzgebung ausdrücklich, dass „systembedingte Schwachstellen oder systembedingte Sicherheitslücken“ bei sicher verschlüsselter Kommunikation auftreten.

"Diese Reformen werden es Strafverfolgungs- und Überwachungsbehörden ermöglichen, auf bestimmte Mitteilungen zuzugreifen, ohne die Sicherheit eines Netzwerks zu gefährden. Die Maßnahmen verhindern ausdrücklich die Schwächung der Verschlüsselung oder die Einführung sogenannter Backdoors."

In diesem Fall ist die australische Regierung möglicherweise auch im Bett geblieben, da dies bedeutet, dass die Gesetzesvorlage ausdrücklich die einzigen Mechanismen verbietet, mit denen die tatsächlich existierende e2e-Verschlüsselung gebrochen werden kann.

Christopher Parsons, ein wissenschaftlicher Mitarbeiter am Citizen Lab der University of Toronto, erklärte gegenüber ProPrivacy.com:

„Während der kürzlich von der australischen Regierung vorgeschlagene Gesetzesentwurf besagt, dass Unternehmen nicht gezwungen werden könnten,„ systemische “Schwächen in ihre Software und Prozesse einzufügen, wäre es Regierungsbehörden gestattet, Unternehmen zu zwingen, die Sicherheit einiger Personen selektiv zu schwächen. Solche Schwachstellen könnten eine weniger robuste Verschlüsselung sein, die von Regierungsbehörden entschlüsselt werden könnte, oder die vollständige Beseitigung der Verschlüsselung für Zielpersonen. “

Citizen Lab Neu

Unterstützung der Industrie

Wie erwarten die australischen Behörden, diese scheinbar unmögliche Aufgabe zu erfüllen? In Teil 15 des Gesetzes zur Überwachung von Konflikten werden drei „Tools“ vorgeschlagen, mit denen hochrangige Sicherheitsbeamte Informationen von Kommunikationsanbietern anfordern würden. Die erste davon ist eine freiwillige „technische Hilfeanforderung“, die Technik- und Telekommunikationsunternehmen dazu ermutigt, den Inhalt verschlüsselter Nachrichten auf eigenen Wunsch zu übergeben (weiter so, Sie wissen, Sie möchten)..

Das nächste Tool ist eine "Benachrichtigung über technische Unterstützung", die Unternehmen zwingt, bei der Entschlüsselung von Nachrichten zusammenzuarbeiten, wenn sie bereits über die entsprechenden technischen Fähigkeiten verfügen.

Das dritte und eindrucksvollste Tool ist eine obligatorische Anforderung, die als "Technische Fähigkeitsbenachrichtigung" bezeichnet wird. Dieser Haftbefehl würde im Wesentlichen einen "Kommunikationsanbieter" dazu zwingen, die Fähigkeit zu entwickeln, den australischen Behörden den gewünschten Zugang zu verschlüsselten Nachrichten zu ermöglichen.

Kollidierende Gesetzgebung

Das Verständnis der sicheren e2e-Verschlüsselung macht das Problem der in Australien vorgeschlagenen Gesetzgebung augenblicklich deutlich. Der "Technical Capability Notice" ist in jeder Hinsicht eine Aufforderung an die Anbieter, eine Hintertür in ihre Verschlüsselungsplattformen einzurichten.

Die Idee, dass Technologiefirmen ihre eigene Verschlüsselung knacken können sollten - ohne diese Verschlüsselung zu schwächen oder eine Hintertür zu schaffen - ist technisch nicht umsetzbar. Tim Singleton Norton, Vorsitzender von Digital Rights Watch, fasste es am besten zusammen, als er darauf hinwies, dass der Zugriff auf "verschlüsselte Nachrichten, ohne die zugrunde liegende Plattform zu zerstören, die sie an erster Stelle sicher macht", "lächerlich" ist.

Digital Rights Watch

Weitreichende Implikationen

Für wen würde dieses neue Gesetz gelten? Das zusammen mit dem Gesetzesentwurf veröffentlichte erläuternde Dokument (ED) macht deutlich, dass das neue Gesetz für alle gelten würde "ausländische und inländische Kommunikationsanbieter, Gerätehersteller, Komponentenhersteller, Anwendungsanbieter sowie traditionelle Netzbetreiber und Beförderungsdienstleister."

Dies gilt für Unternehmen wie Apple, Google, Microsoft, Facebook, WhatsApp, Open Whisper (Signal), Telegramm und andere verschlüsselte Messaging-Dienste oder Hardware, die E2E-Verschlüsselung bereitstellen. Tatsächlich besagt die ED, dass E-Mail-Konten und der physische Gerätespeicher ebenfalls als Spiel zur Entschlüsselung gelten.

Für Technologiefirmen, deren Motivation von den Wünschen der Verbraucher nach privater Kommunikation abhängt, führt diese Politik zwangsläufig zu Uneinigkeit. Nicole Buskiewicz, Managing Director bei DIGI, der Firma, die Facebook, Google, Twitter, Oath und Amazon vertritt, erklärte gegenüber ProPrivacy.com:

"Der Schutz der Öffentlichkeit hat für Regierung und Industrie Priorität. Dazu gehört aber auch der Schutz der Privatsphäre und der Daten der Öffentlichkeit vor Angriffen, die wahrscheinlich eine unbeabsichtigte Folge dieser Gesetzesvorlage sind. Die Realität ist, dass die Schaffung von Sicherheitslücken, auch wenn sie zur Bekämpfung von Kriminalität gebaut wurden, uns alle für Angriffe von Kriminellen offen lässt. Dies könnte verheerende Folgen für Einzelpersonen, Unternehmen, die öffentliche Sicherheit und die Gesamtwirtschaft haben. Wir sind äußerst besorgt über die mangelnde gerichtliche Kontrolle und die mangelnde Kontrolle dieser Rechtsvorschriften.

"Die Branche hat auch eine Reihe globaler Prinzipien entwickelt, die Regierungen auf der ganzen Welt - einschließlich Australiens - auffordern, Überwachungsgesetze und -praktiken zu verabschieden, die den geltenden Normen für Privatsphäre, freie Meinungsäußerung und Rechtsstaatlichkeit entsprechen. Wir hoffen, dass mit der Regierung ein konstruktiver und öffentlicher Dialog über diese Grundsätze geführt wird, während der Gesetzesentwurf seine Fortschritte im Parlament fortsetzt."

Unterbrochene Verschlüsselung

Gebrochene Verschlüsselung

Was die australische Regierung nicht vollständig zu verstehen scheint, ist, dass Sie beim Erstellen des Zugangs zu verschlüsselten Nachrichten für die Behörden auch eine Sicherheitsanfälligkeit erzeugen, die von unerwünschten Dritten ausgenutzt werden kann. wie Cyberkriminelle und staatlich geförderte Hacker.

Eine solide End-to-End-Verschlüsselung funktioniert nach mathematischen kryptografischen Prinzipien, die nicht einfach rückgängig gemacht werden können. Dies bedeutet, dass Unternehmen zur Einhaltung eines technischen Hinweises tatsächlich eine Schwachstelle in ihrer Verschlüsselung - auch bekannt als eine Hintertür - erstellen müssen.

Jordon Steele-John, der Sprecher der Grünen für digitale Rechte, ging kürzlich auf die Akte, um Folgendes zu erklären:

„Dies ist in jeder Hinsicht äußerst problematisch, denn wenn die End-to-End-Verschlüsselung ordnungsgemäß funktioniert, müssen Unternehmen das Unmögliche tun. Es gibt keine Methode, auf Daten zuzugreifen, wenn diese ordnungsgemäß verschlüsselt wurden.

"Unternehmen werden gezwungen sein, ihre eigene Verschlüsselung zu untergraben, um den australischen Gesetzen zu entsprechen, und somit die Privatsphäre und Sicherheit der Benutzerdaten zu untergraben.".

"Dies erfordert ganz einfach Überwachungscodes, Schlüssel-Treuhandkonto oder eine andere Backdoor-Methode zum Entschlüsseln von Daten, damit sie übergeben werden können, wenn die australische Regierung einen Haftbefehl ausstellt."

Der Gesetzesentwurf Australiens steht nun bis zum 10. September 2018 zur öffentlichen Diskussion. Zu diesem Zeitpunkt wird der Gesetzesentwurf für Änderungen geprüft, bevor er durch das australische Parlament weitergeleitet wird. Jeder, der Bedenken bezüglich des Entwurfs äußern möchte, kann Kommentare an folgende Adresse senden: [email protected]

ProPrivacy.com ermutigt die Australier, sich gegen diese alarmierende Gesetzgebung zu stellen. Wie Parsons im Citizen Lab betont:

"Sollte diese Gesetzgebung unverändert in das Gesetz übernommen werden, könnte dies das Vertrauen der Öffentlichkeit in die Sicherheit und Integrität ihrer Kommunikation und der Kommunikationsprodukte, die sie in ihrem täglichen Leben verwenden, ernsthaft und erheblich schwächen. Darüber hinaus könnte es die jahrelange hart verdiente Arbeit der Industrie stören, die sichersten Produkte und Dienstleistungen zu entwickeln und zu produzieren, da die gleichen Unternehmen, die daran arbeiten, unsere Online-Sicherheit zu gewährleisten, gezwungen sein könnten, gegen ihre eigenen jahrelangen Sicherheitsfortschritte vorzugehen. Dies ist eine gefährlich formulierte Gesetzgebung, und ich hoffe, dass die australische Regierung sie entweder zurückzieht oder umfassend ändert, um die australischen Bürger zu schützen, anstatt sie zu gefährden. “

Artikel aktualisiert am 21/08/2018, um die aktualisierte Erklärung von DIGI aufzunehmen

Bildnachweis: GarryKillian / Shutterstock.com, enzozo / Shutterstock.com, hvostik / Shutterstock.com, Sergey Nivens / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me