 Hallo, schönen guten Abend, dass noch ein paar hergefunden haben, ist super. Genau, in dem Talk soll es jetzt um die sogenannten Crypto Wars oder das staatliche Misstrauen gegenüber Verschlüsselung gehen. Der Hintergrund für den Vortrag lag so ein bisschen in der nachträglichen Diskussion um Kommunikation im Internet nach den Anschlägen auf die Redaktionsräume von Charlie Hebdo in Paris am 7. Januar und im Nachgang dieser Anschläge und der Diskussion um, wie Polizei denn Potenzialtäter überwachen kann und wie man so eine Anschläge in Zukunft verhindern könnte, gab es auch etliche Stimmen, die stärkeren Zugriff auf verschlüsselte Kommunikationskanäle und anderes forderten. Der Grundtenor war dabei, auch diese Räume verschlüsselte Kommunikationskanäle dürfen nicht vor Überwachung geschützt sein. Hier müssen die Ermittlungsbehörden Zugriff drauf bekommen und grundsätzlich war der Tenor verschlüsselte Kommunikation das Böse und wir müssen daran kommen. Und um das mal so ein bisschen zu illustrieren, habe ich mal einige Zitate, die im Zeitraum von Ende Januar bis März so gefallen sind von europäischen Politikern und Vertretern von Ermittlungsbehörden, und steigen wir doch einfach mal direkt ein mit einer Äußerung vom Antiterrorkoordinator im Rater Europäischen Union, Gildek Kerchow, der sagte, the Commission should be invited to explore rules obliging internet and telecommunications companies operating in the EU to provide access of relevant national authorities to communications, sharing encryption keys. Also hier der Ansatz vom Antiterrorkoordinator, dass doch die jeweiligen Ermittlungsbehörden auf die Kommunikationsströme Zugriff erhalten sollten oder die Schlüssel erhalten sollten. Ein weiterer Stimme, die gefallen ist, war von Thomas de Maizière, Bundesminister des Innern auch Ende Januar. Die Behörden müssen befugt und in der Lage sein verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen, wenn dies für ihre Arbeit zum Schutz der Bevölkerung notwendig ist. Hier gibt es dann halt so diese Figur, nicht nur irgendwie die Kommunikation zu entschlüsseln, sondern sie auch zu umgehen. Das heißt, wenn es halt schon nicht klappt, da irgendwie anderweitig heranzukommen, dann muss man doch bitte irgendwie eine Lücke finden, um die Daten lesen zu können und im Zweifelsfall Terroranschläge verhindern zu können. Weiter mit den Aussagen in diese Richtung geht es mit David Cameron, Premierminister von Großbritannien, der sagte, there should be no means of communication which we cannot read. Also halt so ein allumfassendes Kontrollbedürfnis, was so Kommunikationsmittel und Kommunikationswege angeht. Und zu guter Letzt, noch der Direktor von Europol Rob Rainwright von Ende März 2015, der sagt, there is a significant capability gap that has to change if we are serious about ensuring the internet isn't abused and effectively enhancing the terrorist threat. Hier finde ich, dass man nochmal ganz gut so zusammengefasst sieht, worum sich die Diskussion dreht, nämlich zum einen, das Internet dient Terroristen und Kriminellen als Kommunikationsplattformen. Es gibt eine Befähigungslücke oder quasi eine Fähigkeitslücke zwischen den kriminellen und den Ermittlungsbehörden und diese muss geschlossen werden. Also es bleibt noch relativ nebulös, was jetzt da passieren soll, aber es muss auf jeden Fall was passieren, damit da nicht dieser Vorsprung der zu bestehen scheint noch größer wird. Grundsätzlich bezeichnet man jetzt diesen aktuellen, diese aktuelle Diskussion um ja die Gefahr von Verschlüsselung als sogenannte Crypto Wars und da es solche Diskussion auch schon in der Vergangenheit war, wird die aktuelle Diskussion seit Anfang bzw. Ende letzten Jahres als Crypto Wars 3.0 bezeichnet. Das heißt halt, da gab es auch davor schon was und generell ist halt hier so die Idee, dass staatliche Stellen und Ermittlungsbehörden versuchen Maßnahmen zur Verschlüsselung und Maßnahmen zur digitalen Selbstverwaltung, also auch so Anonymisierungsdienste zu kriminalisieren und einzuschränken im Namen der verbesserten Strafverfolgung. Aber schauen wir doch mal ein Stück zurück auf die bisherigen Crypto Wars, denn was, wenn das jetzt der Crypto War 3.0 ist, was sind denn die anderen beiden? Bei den ersten Crypto Wars, da ist die Definition so ein bisschen schwammig, aber ich wähle es jetzt mal quasi als den ersten Crypto War, kann man schon zur Zeit des Zweiten Weltkriegs zurückgehen. In der Zeit hatten die Deutsche Armee oder die Wehrmacht halt einen ziemlich großen Vorteil in ihrer Kommunikation durch die Verwendung von der Enigma Verschlüsselungsmaschine, also da gab es auch gestern noch einen kurzen Vortrag darüber. Es war halt so eine mechanische wirklich Schifriermaschine, mit dem sie ihre Funksprüche verschlüsselt haben und die Alliierten haben enorme Aufwände betrieben. Also es gibt in der Nähe von London ein großes Museum noch dazu, wo nochmal die Arbeit zur Entschlüsselung dieser Enigma noch mal dargestellt wird. Alan Turing, auch sehr bekannter Informatiker, hatte halt maßgeblich daran gearbeitet, halt dieses Verschlüsselungsverfahren zu knacken. Und die Idee so ein bisschen war halt auch, was passiert denn mit dem Wissen, dass die Enigma geknackt wurde? Wenn man es rauspursaunt, ändern die Deutschen ihre Verschlüsselung und die ganze Arbeit ist dahin. Deswegen wurde halt das Wissen über das Knacken des Enigma Verfahrens sehr selektiv nur genutzt und auch nach dem Krieg wurde das jetzt nicht großartig herauspursaunt, weil das Verfahren an sich war jetzt nicht nur bei den Deutschen genutzt worden, sondern wurde auch weltweit noch weiter eingesetzt. Und weiter in diese Richtung, mit dem wir halten das Wissen über das Knacken von kryptografischen Verfahren und über das auch entwickeln von neuen kryptografischen Verfahren sehr unter Verschluss, findet sich noch in den 70er Jahren wieder, also dann zur Hochzeit so das Kalten Krieg ist, wo beim GCHQ, also beim britischen Geheimdienst, ein Kryptograf namens James Ellis, das jetzt bei PGP zum Beispiel bekannte Public Key Verschlüsselungsverfahren entwickelte und da aber gesagt wurde, das ist so relevant, wenn das anderen Leuten in die Hände kommt, auch wenn es halt nützlich ist, dann sind wir halt von unserem strategischen Vorteil, was wir andere Kommunikation jetzt vielleicht lesen können, weil wir deren Verfahren geknackt haben, ausgeschlossen, deswegen wurde das Verfahren einfach unter Verschluss gehalten. Und erst dadurch, dass nochmal ein paar Jahre später andere Kryptografen das selbe Verfahren nochmal, unabhängig davon entdeckten, steht es uns heute mehr oder weniger zur Verfügung. Der zweite Kryptowall zieht sich so dann auch in die Post kalte Kriegzeit, also in die 90er rein, denn bis zu dieser Zeit, also was ich eben gerade auch erwähnt hatte, man wollte halt sehr stark kontrollieren, wer Verschlüsselung einsetzen kann und wer das Wissen darüber besitzt, Verschlüsselung und starke Verschlüsselung wurde in dieser Zeit halt Munition eingestuft. Das heißt, nicht einfach so, als wir diskutieren in der Universität drüber und dann gibt es ein Paper und ich veröffentliche das auch in anderen Ländern, sondern da hatten Verteidigungsministerien halt sehr stark die Hand drauf und wer das irgendwie in andere Länder exportieren wollte, musste da einen schwierigen Prozess von Exportkontrollen und so weiter durchlaufen. In den USA war es halt bis Mitte der 90er der Fall, dass nur Verschlüsselung bis maximal 40-Bit einfach so exportiert werden konnte. Das heißt also wirklich schwache Verschlüsselung, stärkere Verschlüsselung durfte nur innerhalb des Landes verwendet werden oder musste halt dann die entsprechenden Exportgenehmigungen erlangen. Das führte dann auch so in dieser Anfangszeit des Internets, wo es halt in der Öffentlichkeit starker benutzt wurde, dann datst du das zum Beispiel der Netscape-Brauser, vielleicht kenn ich ihn einigen noch, in zwei Versionen angeboten wurde, nämlich einmal internationalen Variante mit 40-Bit SSL-Verschlüsselung und in der US-Variante mit 128-Bit SSL-Verschlüsselung. Das Problem war allerdings, dass selbst in den USA aufgrund der Verteilproblematik dieser Software auch manche einfach mit der schwachen Verschlüsselungsvariante unterwegs waren und in dieser aufkeimenden Zeit von Onlinebanking und E-Commerce war das natürlich auch ein Wettbewerbsnachteil, halt auf so schwache Verschlüsselungsverfahren zurückgeworfen zu werden. Ein anderes Aspekt, woran man diese Diskussion und die aufkeimenden Konflikte um diese Exportbeschränkungen gut sehen kann, ist die Entwicklung von PGP, also dem, was wir heute so für E-Mail-Verschlüsselung sehr stark immer noch einsetzen. PGP war halt auch so ein starkes Verschlüsselungsverfahren und der Autor Phil Zimmermann hat halt auch ein Interesse daran, dieses Produkt außerhalb der USA verfügbar zu machen, war natürlich aber trotzdem durch diese Exportbeschränkung irgendwie also beschränkt und hat dann halt einen ziemlich interessanten Weg gewählt, nämlich er hat den Quellcode eines Programms als Buch veröffentlicht über die Universität. Das waren so knapp 1000 Seiten, wiegt irgendwie mehrere Kilo. Das Buch kann man auch heute noch bei Amazon gebraucht für so 400 bis 600 Dollar kaufen und er hat das Buch dann halt in anderen Ländern veröffentlicht. Die Leute haben es da dann entweder eingescannt oder per Hand abgetippt, dann das Programm selbst kompiliert und konnten so halt Zugriff auf diese starken Verschlüsselungsmechanismen gewinnen. Die US-Regierung hat halt lange Zeit versucht, ihm daraus irgendwie einen Strick zu drehen. Ja, er hätte Exportbeschränkungen und so weiter gebrochen. Aber zuletzt, also ihm heilf halt durch diesen Ansatz, er veröffentlicht es als Buch. Hier heilf ihm halt der erste Zusatzartikel der US-Verfassung. Freie Rede ist ein Buch, es darf veröffentlicht werden und damit war das halt okay. Ein anderer Ansatz neben dieser Exportbeschränkung war halt der Versuch, starke Verschlüsselung halt sehr unter staatliche Kontrolle zu kriegen. Also wenn wir das schon haben, war die Idee, okay, dann wollen wir aber auf jeden Fall die Hand drauf haben und wir wollen am besten auch immer mitlesen können, wenn notwendig. Und da gab es sowohl in der BRD als auch in den USA Versuche solche Systeme einzuführen. Also vielleicht erinnern sich noch ein paar Leute an Manfred Kantar oder an Bill Clinton. Die haben halt so Mitte der 90er, Anfang Mitte der 90er versucht, so Kryptografie-Chips einzuführen. Also hier sieht man sogenannten Clipper-Chip, in der BRD hieß das ganze Projekt Pluto. Und die Idee dabei war, ich zitiere mal aus einem internen Papier des BKA von 1998, sinnhaft wäre ein aktives Anbieten starker Kryptografischer Verschlüsselungsverfahren mit dem Gütesiegel des BSI, die strukturell eine Hinterlegung beinhalten. Diese müssten in der Lage sein, schnell eine große Marktdurchdringung zu erreichen. Wenn kriminelle Struktur und andere als diese Verfahren nutzen, würden sie damit ein Indikator für weitere Ermittlungen setzen. Also die beiden, die Grundideen dieses Einführungswahl, es gibt ein Chip und wir haben, wir bestimmen zum einen das Verfahren, was darauf läuft. Die Idee bei Verschlüsselungsverfahren ist ja eigentlich immer, das Verfahren ist öffentlich, aber es ist nicht so einfach knackbar, auch weil es öffentlich ist, und es ist einfach als System sicher. Das Problem bei den Chips war zum Beispiel bei der US-Version, dass da die NSA einfach dieses Verfahren entwickelt hat. Niemand hat da großartig Einblick haben können. Und das absolute, also das Kernfeature dieses Chips war halt auch, dass die Schlüssel treuhänderisch bei einer Bundesbehörde zum Beispiel hinterlegt werden sollten. Also wirklich als so integraler Bestandteil. Und falls einmal jemand quasi in den Ermittlungsfokus gerät, könnten halt Ermittlungsbehörden den Schlüssel anfordern natürlich, nur mit richterlicher Anordnung und so weiter. Aber wie einfach sowas rausgegeben wird, wissen wir ja. Und könnten damit halt die Verschlüsselung aufmachen. Und zweitens, war das halt auch, wer was anderes benutzt, wird halt automatisch verdächtig. Das heißt, zu versuchen, andere Verschlüsselungsmaßnahmen zu kriminalisieren. Nichtsdestotrotz kommt halt da so die ersten Konflikte zwischen der IT-Industrie und so Regierungen und Ermittlungsbehörden zu Tage. Denn so Online-Banking-Dienste und auch e-Commerce-Unternehmen hat natürlich ein starkes Interesse daran, dass diese Verschlüsselung nicht so einfach knackbar war. Denn so eine zentrale Lagerung von Schlüsseln für eventuelle Zugriffe, das ist natürlich ein perfektes Angriffsziel für alle möglichen Leute. Also Leute, die irgendwie Online-Betrug bei e-Commerce oder Online-Banking machen wollen, halt nur diese eine Behörde knacken, auch wenn sie noch so gut gesichert ist. Lücken gibt es immer. Und auf einmal haben sie halt irgendwie so waschkörbeweise Schlüssel in der Hand und könnten damit alles Mögliche anstellen. Das widerspricht, aber das ist halt ein absolut schlechtes, das ist halt ein totaler Markel für Produkte aus den jeweiligen Ländern, wo sowas erzwungen würde. Und so kam es halt dann dazu, dass so Mitte der 90er-Jahre diese Versuche mit diesen Crypto-Chips und auch mit den starken Exportbeschränkungen für Verschlüsselung halt gekippt wurden. Das heißt, diese Crypto-Chips wurden in den USA 96 halt begraben und in der BRD wurde das 98 halt auch ad acta gelegt. 1996 wurde dann auch in den USA dieses Exportbeschränkungsgesetz geändert für starke Kryptografie und seitdem stehen halt so kryptografische Verfahren unterstehen halt nicht mehr dem Verteidigungsministerium, sondern dem Handelsministerium und sind damit halt viel weiter verbreitbar. Seit Anfang der 2000er wurden halt dann diese Crypto-Wars, also die Versuche staatlicher Behörden, die Verschlüsselung zu kriminalisieren und auch zu verbieten und unter ihre Kontrolle zu bekommen, eigentlich für beendet erklärt und Befürworter von starker und freier Verschlüsselung haben das halt für sich als Sieg verbucht. Und wo es ein bisschen ruhiger. Doch was jetzt nun, also jetzt haben wir halt wieder diese, was ich vorhin erwähnt hatte, diesen Krypto-Wars 3.0, was ist anders und warum tritt es auf einmal wieder auf? Die Diskussion um Verschlüsselung ist böse, Verschlüsselung nutzt den falschen Leuten, wurden ja eigentlich schon mal geführt. Seit also in diesen 10 Jahren, 10, 15 Jahren, seit diesen letzten Krypto-Wars gab es halt die Entwicklung, die vermehrt auf einmal eine enormen Boost innerhalb der gesamten Bevölkerung genommen hat. Verschlüsse, also Kommunikationswege laufen vermehrt über das Internet, jeder hat zu Hause einen Internetanschluss mittlerweile. Das weckt natürlich auch Begehrlichkeiten bei den Ermittlungsbehörden. Das heißt einfach da Daten abzugreifen, ist halt jetzt einfacher und kann im großen Stil erfolgen. Auch läuft halt super viel von alltäglichem Leben über Internetkommunikation, das Einkaufen, was man vielleicht davor in der Einkaufsstraße in der Innenstadt gemacht hat, läuft halt deres bei Amazon oder bei eBay, ist auch potenziell interessant für Ermittlungsbehörden. Ein zweiter Aspekt, der zu den neuen Krypto-Wars geführt hat, sind die Aufdeckungen von Edward Snowden. Das heißt, seit bekannt wurde, in welchem Stil die NSA halt Daten abgeschöpft hat und auch andere Dienste, haben halt ein Großteil der Bevölkerung, den ist erstmal bewusst geworden, in welcher, wie sie ihre Privatsphäre quasi nach außen, ihre Prats, ihre Ausgespäte wurde, haben teilweise angefangen Verschlüsselung einzusetzen, privat, aber auch große Technologiefirmen haben natürlich diesen Vertrauensverlust irgendwie versucht zu kompensieren, weil das Vertrauen, was jetzt irgendwie bei in so große Telekommunikationsdienste wie Google und deren Maildienste oder Facebook und so weiter, was halt da aufgetreten ist, haben sie natürlich versucht, in der einen oder anderen Weise, mit welcher Motivationen sei da hingestellt, haben sie natürlich versucht irgendwie, haben sie versucht zu begegnen und sowohl oder zum Beispiel Ende letzten Jahres haben sowohl Google als auch Facebook als auch Apple angekündigt Ende zu Ende Verschlüsselung in ihren Softwareprodukten und Hardwareprodukten zu aktivieren, das heißt zum Beispiel, dass in dem neuen ausgelieferten iPhones standardmäßig die Ende zu Ende Verschlüsselung oder die Verschlüsselung des Gerätes aktiviert ist, auch Google liefert neue Android-Phones aktivierter Verschlüsselung aus, WhatsApp nutzt die Text-Secure Ende zu Ende Verschlüsselung, also wenn auch eingeschränkt, aber zumindest wurde es halt für viele Leute mit einem Schlag aktiviert und es betrifft halt nicht nur so ein paar 5.000 Leute, die man halt so mit Crypto-Partys oder so weiter erreicht, sondern halt auf einen Schlag irgendwie Millionen Leute und da gab es dann halt so die Figur des Going Dark. Also Ermittlungsbehörden, vor allen Dingen in den USA haben sich halt hingestellt und gesagt, wie können die großen Tech-Internehmen das halt machen? Sie sperren halt jetzt irgendwie unsere Ermittlungsbemühungen aus und helfen halt kriminellen Elementen, irgendwie Straftaten vorzubereiten. Genau, und in dieser ganzen Atmosphäre von Snowden, Überwachung, verstärkter Verschlüsselung und auch so ein Wettbewerb oder so ein Versuch, Vertrauen in Kommunikationsdienste wieder zurück zu gewinnen, tritt jetzt diese Forderung von Regierung, Verschlüsselung doch irgendwie wieder einzuschränken. Und die Forderungen, die halt auch so aus den Zitaten so ein bisschen aufge-, die in den Zitaten schon so ein bisschen klar waren, wurden halt verbot, zum Beispiel von Crypto-Chats, also WhatsApp zum Beispiel, da hat sich David Cameron halt hingestellt und das wirklich gefordert, allerdings ziemlich allein auf weiter Flur. Andere Ansätze, die halt in die Richtung zielen, sind halt dieses sogenannte Key-S-Crow, also die Treuhänderschaft von Schlüsseln. Die NSA diskutiert aktuell so ein bisschen den Ansatz, na ja, okay, wir verstehen ja schon, dass irgendwie so dieses eingebaute Backdoor in die Verfahren blöd ist, aber wir könnten ja vielleicht den Schlüssel, den man hinterlegt, auf mehrere Parteien auftreilen. Das wäre doch vielleicht so ein Kompromiss. Ein weiterer Ansatz, in dem so ein Beispiel de Maizière und Europool erwähnen, sind Methoden zur Umgehung oder zur Entschlüsselung, da kann man das so ein bisschen nebulös, da kann man halt vermutlich so gezieltes Ausnützen von Lücken oder so ein neuer Anlauf für Staats-Trojaner oder andere Mailware vielleicht darin erkennen. Und die anderen Forderungen, die da zum Beispiel auftauchen sind, also das Deaktivieren dieser Default Encryption, was ich gerade erwähnt hatte, die zum Beispiel Apple und Google gerade so eingeführt haben. Gut, also ich habe schon so ein bisschen die Reaktion gesehen, irgendwie so ein Verbot von Kryptografie ist halt eine ziemlich, also eine absurde Forderung einfach, aber gucken wir uns mal die Szenarien an, wie sowas irgendwie aussehen könnte. Was sind so die Szenarien, die staatliche Stellen irgendwie für so ein Crypto-War führen könnten? Zum einen gibt es natürlich die Möglichkeit, Verschlüsselung öffentlich zu kriminalisieren, also weiter in die Richtung zu pushen, wer Verschlüsselung nutzt, hilft kriminellen und behindert Ermittlungsbehörden und Katzen werden sterben. Ein zweiter Aspekt wäre zum Beispiel die Möglichkeit Appstores, die verschlüsselte Apps für Smartphones anbieten oder Druck zu setzen, denn sei mal mal ehrlich, die meisten bekommen halt irgendwie so Software für Devices über die jeweiligen angeschlossenen Appstores. Auch wenn natürlich die aus den, also die Ermittlungsbehörden könnten die Betreiber unter Druck setzen, die Software verschwindet aus den Appstores und ein Großteil von nicht so techaffinen Leuten werden damit erstmal aus und vor die Software sich zu bezorgen. Man könnte natürlich sich aus anderen Quellen dann diese Pakete runterladen, die per USB-Kabel aufs Smartphone schieben, deaktivieren, dass irgendwie nur aus sicheren Quellen die Pakete installiert werden können und dann hätte man die Software auch. Aber nur für den Großteil der Leute wäre das natürlich kein machbares Szenario. Weiterhin gäbe es natürlich die Möglichkeit, Technologiefirmen, die unter Druck zu setzen, bestimmte Hindertüren einzurichten. Das ist auch ein mittlerweile, also es sind auch schon seit langen so begangener Weg, zum Beispiel von der NSA, die haben seit mehreren Jahren ein Programm, das nennt sich Bull Run, oder das vergleichbare Programm wäre Edge Hill bei der GCHQ. Das kam so im Zuge dieser ganzen Snowden-Enthüllungen zu Tage, dass die NSA so langfristig geplant, Sicherheitslücken und so Schwächen, die nach außen erstmal nicht so aussehen, sondern eher so nach, naja, es ist halt nicht so richtig zu Ende gedacht, hat mal jemanden Fehler gemacht, solche Verfahren halt in Softwareprodukte einzuschleusen, die mit Verschlüsselung zu tun haben, also zum Beispiel in den schlechten Zufallszahlen-Generator, das dann erstmal quasi Marktdurchdringung erreichen zu lassen und dann die Fehler aktiv auszunutzen, um halt bestimmte verschlüsselte Kommunikation aufzumachen. Und auch sowas wäre natürlich weiterhin möglich, so an die Firmen heranzutreten und zu sagen, so hier, wir haben hier eine richterliche Anordnung und bitte macht doch mal dies und das. Eine weitere Szenario für, okay, wenn wir halt schon irgendwie die Verschlüsselung nicht knacken können, dann können wir euch wenigstens dazu, also können wir versuchen euch zu zwingen, die Passwörter rauszugeben, das heißt so beugehaft für Passwort-Herausgabe. Das gibt es auch aktuell schon in Großbritannien. Dass Leute bis zu, ich glaube, sechs Monate in Haft genommen werden kann, wenn sie die Passwörter zu verschlüsselten Festplatten und so weiter nicht herausrücken. In Deutschland ist es aktuell für Angeklagte. Bei Zeugen ist es nochmal ein bisschen was anderes. Aktuell ist es in Deutschland so ein nicht einfaches Szenario, einfach Beschuldigte dazu zu zwingen, ihre Passwörter herauszugeben. Denn es gibt da so eine ziemlich zentrale Figur in der Rechtsprechung, dass Beschuldigte nicht an ihrer eigenen Überführung mit helfen müssen. Und diesen zentralen Punkt in der Rechtsprechung zu umgehen oder auszuhebeln, halte ich aktuell für nicht so gegeben. Ein weiteres Szenario ist natürlich auch, das ist alles nur eine Nebelkerze, aber wir diskutieren dann nochmal eine Neuauflage des Staatstrojaners und wir schleusen Mailware auf die Zielrechner ein. Das ist natürlich im Gegensatz zum, wir können massenhaft Daten abschöpfen aus dem unverschlüsselten Strom von Daten im Internet, wo wir uns einfach an einen Internetknotenpunkt setzen, jetzt mal bildlich gesprochen, mit der Croco-Klemme uns an die Leitung hängen und die Daten abschöpfen und dann mitlesen können und suchen, was ist denn interessant, ist natürlich ungleich aufwendiger, weil die Mailware auf das jeweilige Zielsystem zugeschnitten werden, wie zugeschnitten werden muss. Es muss halt einen Zugriff auf das System erfolgen. Es ist auf jeden Fall aufwendiger, als halt massenhaft Daten abschöpfen zu können, so wie es halt vor Snowden und manchen Mechanismen, die da dann eingeführt wurden, möglich war. Weiterhin gibt es natürlich auch dann das Szenario, dass polizeiliche Stellen immer mehr so geheimdienstliche Befugnisse erlangen. Dort Informationen und Technologie abgreifen können, weil aktuell ist ja der Fall so, dass jede lokale Polizeidienststelle, also Polizeidirektion Leipzig zum Beispiel, die haben natürlich nicht eine eigene Abteilung für, die haben vielleicht eine eigene Abteilung, die ihr aber, wenn dann nicht so groß, die sich halt mit dem Knacken von Verschlüsselung beschäftigen. Das heißt, wenn die was haben oder andere kleinere Polizeidirektionen, wenn die was haben, dann haben die vielleicht 100-Dollar-Finnfischer-Lizenz, wo sie halt Passwort Brutforce durchlaufen lassen können. Und wenn es dann damit nicht klappt, dann war es das halt. Während halt große Geheimdienste natürlich ganz andere Möglichkeiten haben von großen Teams, die sich halt nun mit dem Ausnutzen von nach außen noch nicht bekannten Sicherheitslücken in Verschlüsselungsalgorithmen beschäftigen. Und das Szenario wäre halt, dass die geheimdienstlichen Tätigkeiten da immer weiter so in den Polizeialtag rein war, aber in Deutschland gibt es halt da aktuell, oder gibt es halt bisher eigentlich dann noch immer eine ziemlich drickte Trennung auf dem Papier zumindestens aus der Erfahrung des Dritten Reiches. In anderen europäischen Ländern ist es allerdings nicht so, wird es nicht so eng gesehen. Und das Szenario wäre halt, dass das einfach so von europäischer Ebene immer mehr dann in die deutsche Rechtsprechung auch eine deutsche Praxis rein war. Genau. Und natürlich nicht zuletzt gäbe es halt auch die Idee, dass das alles ein neuer Anlauf für eine Vorratsdatenspeicherung ist, in welcher Form auch immer. Das heißt, okay, wir diskutieren jetzt, okay, wir kommen an die Verschlüsselung nicht ran. Das macht natürlich auch Probleme auf. Die Konflikte zwischen Wirtschaftsspionageschutz und den Diensten, die ermitteln wollen und den TIT-Firmen, die mit Sicherheit werben wollen. Denn Deutschland hat sich ja, stellt sich ja einerseits hin und will so Datenschutzstandort Nummer 1 in Europa werden und andererseits wollen sie halt so Verschlüsselung und Datenschutz wieder so eindämmen. Da gibt es natürlich unterschiedliche Interessen. Nichtsdestotrotz kann dann am Ende einfach rauskommen, okay, das klappt alles nicht. Wir brauchen aber die Vorratsdatenspeicherung und dann ist es halt dann der Kompromiss, der dabei rausfällt. Ganz interessant ist an dem Punkt auch, dass die USA, die ja auch so vehement schon die Szenarien fordern. Ja, wir brauchen eingebaute Hintertüren oder so ein schönes Zitat vom FBI-Direktor James Comey. We aren't seeking a backdoor approach. We want to use the front door with clarity and transparency and with clear guidance provided by law. Also es wird dann so schön positiv formuliert. Wir wollen kein Hintertürchen, wo man sich so reinschleicht, sondern wir wollen so eine schöne Vordertür, also genau solche Vordertüren im Prinzip fordert gerade China in einer Gesetzgebung und zwar fordern sie, dass sämtliche Hardware und Software, die dabei irgendwie eingesetzt wird von ausländischen Firmen, dass da einfach Zugriff, wenn der Verschlüsselung eingesetzt wird, das Zugriff für chinesische Behörden drinnen ist. In der Regen sieht die USA gerade massiv auf, also konkretes Handelsministerium und mit dem Zitat, the administration is aggressively working to have China in these troubling regulations. Also einerseits zu fordern, wir wollen die Hintertür und andererseits von anderen Ländern natürlich total schockiert sein, wenn sie genau das Gleiche fordern. Gut, das klingt alles ziemlich unschön und was wären jetzt die Maßnahmen, die wir ergreifen könnten, um uns irgendwie in diesem Crypto-Word zu wappnen, wenn wir mal bei der Sprachform bleiben. Zum einen ist es natürlich der Ansatz, Verschlüsselung ist ein Grundrecht. Nicht nur zurückzugehen, rückreifend auf diese Sprachform privatsphäre ist ein Grundrecht. Auch hier zu sagen, Verschlüsselung muss ich mich nicht erklären, warum ich das mache. Verschlüsselung darf jeder und ich lasse mich nicht dafür nicht kriminalisieren. Mit Hinblick auf nur kriminelle Nutzenverschlüsselung. Ein weiterer Aspekt wäre auch, Infrastruktur zu dezentralisieren. Ich hatte vorhin so ein bisschen ausgeführt, dass große Technologiefirmen so Ende-zu-Ende-Verschlüsselung quasi per Knopfdruck anschalten. Genauso gut könnten sie sich aber auch einfach wieder abschalten und wir würden es vermutlich erst später merken. Das Problem ist halt bei diesen zentralisierten Infrastrukturen, wie sie halt Facebook, Apple und Google und Cloud-Dienste und so weiter betreiben, dass man extrem abhängig ist von diesen Firmen, die halt da natürlich auch wirtschaftliche Interessen mitbetreiben, die unter Umständen anderen Gesetzssprechungen unterworfen sind und die halt auch anfällig sind, einfach für Angriffe in der Infrastruktur, von dem man erst mal nichts mitbekommt. Denn selbst wenn der Verschlüsselungsalgorithmus jetzt safe ist, den zum Beispiel WhatsApp jetzt einsetzt, könnten Ermittlungsbehörden immer noch dorthin gehen und sagen, okay, wir wollen jetzt aber, die in eurem Key-Austausch-System, was dafür ja auch notwendig ist, irgendwie von uns nochmal ein bisschen Zusatzsoftware installiert und damit quasi uns die Möglichkeit gibt, irgendwie mitzulesen. Also an dem Punkt wäre es so ein Beispiel notwendig, dass wir uns auch von diesen großen Technologiefirmen lösen und auf dezentralisierte Lösungen wechseln. Das ist Arbeit, aber ich glaube, es ist notwendig. Es ist natürlich jetzt aus dem anderen Vortrag auch schon so ein bisschen klar geworden, dass halt nur offene und bewährte Verfahren zur Verschlüsselung einsetzbar sind und man Firmen, die sich halt mit so einem Sicherheitsversprechen irgendwie schmücken nicht einfach glauben darf. Also nur weil halt irgendwie auf der Packung von der Software oder einem Chat-Fenster so ein kleines Schloss irgendwie sichtbar ist, heißt es noch lange nicht, dass da irgendwas sicher ist. Das heißt, man muss da halt auch kritisch irgendwie mit umgehen, man muss ein bisschen gucken, was sagen andere Leute zu dieser Software, taugt die was. Da gibt es ja aktuell auch ziemlich viel Bewegung einfach, dass z.B. verschlüsselte Chats irgendwie unter die Lübe genommen werden, unter dem Aspekt okay, was wird denn überhaupt eingesetzt, ist es offene Software und wie sicher ist es wirklich. Und an dem Punkt dem Sicherheitsversprechen kann man die Firmen natürlich auch festnageln. Das heißt, wenn da Firmen irgendwie mit Werben sich, dass sie besonders sichere Software anbieten oder entwickeln und ihre Dienste besonders sicher sind, kann man sie halt auch darüber bloßstellen und aktuell ist halt auch überbieten sich Facebook oder verbieten sich Apple und Google in dem Kampf um die Security-Krone auch so ein bisschen selbst. Das heißt, an der Stelle kann man auch eingreifen und da den wirtschaftlichen Druck so ein bisschen nutzen. Nichtsdestotrotz bleibt natürlich immer die Frage, wie ernst meinen die Firmen das und wo kommen ihre eigenen wirtschaftlichen Interessen diesem Sicherheitsversprechen dann in die Quere. Genau, und nicht zuletzt hilft es natürlich nur, irgendwie, das läuft natürlich auch schon seit Langem, Verschlüsselung irgendwie allgemein verfügbar zu machen. Das heißt, Verschlüsselung zum einen irgendwie so präsent und für als notwendig in die Öffentlichkeit zu tragen und auch diese Software zu entwickeln, die Leute ohne ein Informatik-Diplomen benutzen können. Software zu entwickeln, die auch so nutzerfreundlich ist, dass sie nicht bei kleinsten Fehlern irgendwie das ganze System aufmachen. Das ist die Herausforderung, die halt auch in diesem Crypto-War bei uns jetzt quasi ansteht. Genau, ich danke euch für die Aufmerksamkeit und jetzt gibt es noch Zeit für Fragen. Ich finde, du hast oder in dieser Liste von Szenarien fehlt ein Szenario und zwar die Basement-Prozessoren in Mobiltelefonen. Also wenige Leute wissen, dass es in der Regel zwei Chips gibt in einem Mobiltelefon. Das eine ist für die schöne bunte Oberfläche da und das andere ist für die Kommunikation mit dem Mobilfunknetz da. Und der andere Chip, über den weiß man sehr, sehr wenig und das, was man weiß, sagt aus, dass im Wesentlichen über das Mobilfunknetz diese eine Chip ferngesteuert werden kann und diese eine Chip wiederum kann den anderen Chip ferngesteuern, sodass letztendlich über das Mobilfunknetz ein kompletter Zugriff auf alle Mobiltelefone vorherrschen. Da die Mobiltelefone wiederum das digitale Gerät sind, was die meisten Neuen nutzen, sehe ich das als aktuelles, als als das größte problematisches Szenario, was nicht nur potenziell Zukunft ist, sondern das ist auch der Fall also bei Charlie Hebdo. Wurde ja gesagt, der eine Angreifer oder so hätte vergessen, sein Telefon aufzulegen, als er irgendwie mit der Polizei verhandelt hätte und dann hätten sie gemerkt, dass er irgendwie gebetet hätte und dann haben sie Zugriff gemacht. Das ist natürlich Quatsch. Die haben seinen Telefon aus der Ferne angeschaltet mit einem entsprechenden Exploit. Danke für die Ergänzung. Gibt es noch weitere Ergänzungen oder Diskussionsbeiträge? Vielen Dank für den Vortrag. Ich fand das super mal ein bisschen nicht so technisch, sondern ein bisschen übergeordneter Sichtweise zu sehen. Was ich mich jetzt frage, es ist ja ein politisches Problem und ich vermute, das kann man nur mit Druck gegen oder auf die Politik lösen. Woher sollte da der Druck kommen? Reicht es, wenn der Druck aus der IT-Industrie kommt? Muss der Druck aus der Bevölkerung kommen und wie würdest du einschätzen, passiert das? Ich bin da so ein bisschen pessimistisch. Genau die Frage habe ich mir auch gestellt. Ich habe leider auch nicht so die perfekte Antwort darauf, muss ich zugeben. Es gibt wie gesagt aktuell super viel Bewegung und Empörung, was diese NSA-Skandale und die Verwicklung des BND darin betrifft. Mein aktueller Ansatz wäre auch die Repräsentanten, die wir vielleicht auch nicht gewählt haben, darauf festzunageln und da die politische Auseinandersetzung zu führen. Ich glaube, das ist ein Ansatz und dann auch Fakten zu schaffen, indem wir diese Verschlüsselung in unserer Community verbreiten und darüber hinaus Patentrezepte und einfache Lösungen würde es ja nicht geben und wahrscheinlich nicht einfacher, weil die Dienste sind extrem mächtig, haben enorm viel Geld und sind wahrscheinlich in der Entwicklung auch nochmal fünf Jahre voraus. Aber es gibt halt den politischen Weg und dann den selbstorganisierten technischen Weg, den wir halt selber beschreiten können. Wenn es nicht noch weitere Wortmeldungen gibt, ich bin auch noch sonst hier, könnt auch noch gerne mich ansprechen. Ansonsten danke ich euch für die Aufmerksamkeit und dann geht es glaube ich jetzt noch mit einem Trock hier weiter.