Das Vereinigte Königreich schwächt die Sicherheit weltweit

• Diese Woche hat das Vereinigte Königreich die ganze Welt in Gefahr gebracht
• 2016 wurde der „Investigatory Powers Act“ verabschiedet, wodurch die Befugnisse des Vereinigten Königreichs zur elektronischen Überwachung erheblich ausgeweitet wurden
• Kürzlich hat das Vereinigte Königreich Apple angewiesen, eine Verschlüsselungs-Backdoor in iCloud einzubauen, und zugleich untersagt, dies öffentlich zu machen
• Apple hat Regierungsforderungen nach Backdoors bislang abgelehnt, sich diesmal jedoch entschieden, die iCloud-Verschlüsselung für Nutzer im Vereinigten Königreich vollständig zu entfernen

Erweiterter Datenschutz

• Verschlüsselung ist eine Technik, die Daten für unbefugte Personen unlesbar macht
• Die meisten modernen Geräte und der meiste Internetverkehr sind verschlüsselt, Dienstanbieter können jedoch weiterhin darauf zugreifen
• Einige Anbieter setzen „Ende-zu-Ende-Verschlüsselung (E2EE)“ ein, sodass Daten nur auf den Geräten der Nutzer zugänglich sind
• Apples Programm „Advanced Data Protection (ADP)“ wurde 2022 eingeführt und verschlüsselt fast alle iCloud-Daten per E2EE, mit Ausnahme von E-Mail, Kontakten und Kalendern
• Aufgrund der Forderung des Vereinigten Königreichs hat Apple ADP dort entfernt

Backdoors & Salt Typhoon

• Was ist eine Backdoor?
  • Eine Backdoor ist ein verborgener Zugang in einer Verschlüsselung oder Software, der direkten Zugriff für Entwickler ermöglicht
  • Sie arbeitet in der Regel unbemerkt und ohne Zustimmung der Nutzer; das unterscheidet sie von freiwillig bereitgestelltem technischem Support-Zugriff
• Können Backdoors nur von den „Guten“ genutzt werden?
  • Politiker und Regierungsvertreter behaupten oft, Backdoors seien für „gute Zwecke“ notwendig, doch dieses Konzept ist in der Praxis unmöglich
  • Wie bei physischen Hintertüren können auch Software-Backdoors böswillige Eindringlinge nicht aufhalten
  • Angreifer können sie umgehen, etwa indem sie Software-Schwachstellen finden oder Nutzerkonten per Phishing übernehmen
• Backdoors können von jedem missbraucht werden
  • Die Bedrohung durch Insider ist real, und nicht vertrauenswürdige Mitarbeitende könnten Backdoors missbrauchen
  • So hackte etwa ein Yahoo-Ingenieur Nutzerkonten und stahl private Fotos
• Der Fall Salt Typhoon (Hack des US-Telekommunikationsnetzes 2024)
  • 2024 wurde bekannt, dass die chinesische Regierung Telekommunikationsnetze in den USA und mehreren anderen Ländern gehackt hatte
  • Mindestens neun große US-Telekommunikationsanbieter (darunter Verizon, T-Mobile und AT&T) wurden angegriffen, wobei eine für Strafverfolgungsbehörden vorgesehene Backdoor ausgenutzt wurde
  • Diese Backdoor war ursprünglich für gerichtlich genehmigte Überwachungsmaßnahmen gedacht, wurde am Ende aber in gleicher Weise auch von Hackern der chinesischen Regierung genutzt
  • Dabei wurden Anrufprotokolle und Nachrichten hochrangiger Amtsträger wie Präsident Donald Trump und Vizepräsidentin Kamala Harris offengelegt
• Die Vorstellung einer „Backdoor, die nur von den Guten genutzt wird“, ist Fiktion
  • Der Fall Salt Typhoon ist ein entscheidender Beleg dafür, dass Backdoors zwangsläufig missbraucht werden können
  • Wenn Politiker behaupten, „Backdoors sind sicher“, ist das in der Realität kaum anders, als zu sagen, Einhörner und Orks existierten

Das Backdoor-Problem im größeren Zusammenhang

• Selbst wenn man anerkennt, dass es falsch war, Apple zu einer Backdoor zu zwingen, betrifft das nicht nur Nutzer im Vereinigten Königreich
• Dieser Vorfall ist kein isolierter Einzelfall, sondern muss als Teil eines größeren Musters verstanden werden
• PGP und die Crypto Wars
  • PGP (Pretty Good Privacy) wurde nach seiner Veröffentlichung 1991 von der US-Regierung als Waffe behandelt und entsprechend reguliert
  • Nachdem vor Gericht entschieden wurde, dass „Code freie Meinungsäußerung ist“, konnte sich Verschlüsselungstechnologie breit verbreiten
  • Dank dieses Urteils sind Technologien wie TLS und AES heute allgemein verbreitet, wodurch sicheres Online-Shopping und sichere Datenspeicherung möglich wurden
  • Dieser Fall machte die EFF (Electronic Frontier Foundation) bekannt; die damalige Rechtsvertreterin war Cindy Cohn, heute Geschäftsführerin der EFF
• Die Crypto Wars dauern an
  • Auch in den USA hält die Debatte über die Einführung von Backdoors an
    • Unter der Trump-Regierung befürwortete Justizminister William Barr Backdoors nachdrücklich
    • Auch die Biden-Regierung unterstützte 2022 mit dem „Kids Online Safety Act“ indirekt eine Schwächung von Verschlüsselung
    • Bidens Position zu schärferen Regulierungsvorhaben wie dem EARN IT Act und dem STOP CSAM Act ist unklar
• Auch in Europa nehmen Bedrohungen der digitalen Sicherheit zu
  • Chat Control: In Europa wurde ein Gesetzesvorschlag eingebracht, der Messenger-Apps (wie WhatsApp) zur Erkennung von Material sexuellen Kindesmissbrauchs (CSAM) verpflichten würde
  • Apple hatte in der Vergangenheit versucht, ein ähnliches System einzuführen, zog es jedoch wegen technischer Mängel und Missbrauchsrisiken wieder zurück
  • Dennoch werden solche Vorstöße immer wieder unternommen und neu belebt
• Die Regierung des Vereinigten Königreichs versuchte mit der Kampagne #NoPlaceToHide sogar, Nutzer von Verschlüsselung als Kriminelle darzustellen
  • Bestrebungen, Online-Anonymität abzuschaffen, sowie umfassende Überwachungsprogramme für soziale Medien breiten sich weltweit als datenschutzfeindliche Politik aus
  • Die Forderung des Vereinigten Königreichs an Apple ist nicht bloß eine Maßnahme für die eigene Bevölkerung, sondern ein weiterer Angriff auf die globale digitale Privatsphäre und könnte zu einem erfolgreichen Präzedenzfall werden

Gegenmaßnahmen

• Wenn man Salt Typhoon und Fälle von Datenlecks berücksichtigt, dann fehlt denjenigen, die Backdoors vorantreiben, offenbar entweder das technische Verständnis, oder sie verfolgen bewusst die Absicht, dies durchzusetzen
  • Dass die Regierung des Vereinigten Königreichs Verschlüsselung als Bedrohung betrachtet und schwächen will, macht letztlich Nutzerdaten angreifbarer und liefert anderen Staaten eine Rechtfertigung für ähnliche Versuche
• Es wird spekuliert, dass Apples Rückzug aus dem britischen Markt eine Strategie für rechtliche Gegenmaßnahmen sein könnte, doch dafür gibt es keine verlässlichen Belege
  • Sollte Apple einen Rechtsstreit führen und gewinnen, wäre das ein wichtiger Wendepunkt für den Schutz der Privatsphäre
  • Wie einst im Fall von PGP-Verschlüsselung und Phil Zimmermann könnte ein juristischer Sieg einen Präzedenzfall zum Schutz der digitalen Privatsphäre schaffen
  • Maßnahmen eines Landes, insbesondere einer Großmacht, wirken sich auch auf andere Länder aus, meist in negativer Richtung
• Maßnahmen, die Nutzer ergreifen können
  • iCloud nicht mehr nutzen:
    • Apples Advanced Data Protection (ADP) wird in einigen Ländern zwar weiterhin angeboten, aber alle Daten der Cloud anzuvertrauen, ist keine verlässliche Wahl
    • Fotos, Kalender, Notizen, Drive-Speicher und Ähnliches können zu vertrauenswürdigeren Alternativdiensten migriert werden
    • Liste von Alternativdiensten, bei denen Privatsphäre und Sicherheit im Vordergrund stehen
  • Daten, die sich nicht leicht replizieren lassen, auf dem Gerät speichern oder gar nicht erst nutzen
    • Bei Diensten wie Gesundheitsdaten, Benachrichtigungen und digitalen Wallets kann es sinnvoll sein, sie auf dem Gerät zu speichern oder ganz darauf zu verzichten
    • Die Bequemlichkeit von Apple Wallet ist unbestritten, aber Studien legen nahe, dass Bargeld bei der Budgetkontrolle effektiver ist
    • Auch ohne Auswertung von Schlafdaten reicht es oft aus, grundlegende Schlafhygiene einzuhalten
  • Politische Beteiligung
    • Datenschutzgesetze können eine wichtige Schutzmauer für den Schutz von Daten sein (zum Beispiel gibt es in der EU unter Geltung der DSGVO kaum Websites zur Personensuche)
    • Bürger des Vereinigten Königreichs sollten ihre Abgeordneten kontaktieren und ihnen ihre Ablehnung der „technical capability notice“ in Bezug auf Apples Advanced Data Protection mitteilen
    • Unterstützung ist auch über in Großbritannien ansässige Organisationen wie Big Brother Watch und Privacy International möglich

Fazit

• Unter Menschen, denen Privatsphäre wichtig ist, gibt es niemanden, der Verbrechen befürwortet
• Doch die bürgerlichen Freiheiten zu opfern, um einige wenige Kriminelle aufzuhalten, ist ein unausgewogener Ansatz
• Viele datenschutzfeindliche Maßnahmen werden unter dem Vorwand vorangetrieben, „Kinder zu schützen“, doch das ist kein wirklicher Schutz
  • Kinder und Jugendliche brauchen ein Umfeld, in dem sie sich frei entwickeln und aus Fehlern lernen können
  • Die Welt darf nicht zu einem Ort werden, an dem Fehler im digitalen Raum für immer bestehen bleiben und individuelle Freiheit unterdrücken
  • Nicht politische Maßnahmen, sondern technische Schutzmaßnahmen sollten die tatsächliche Lösung sein
• Ein Verbot von Verschlüsselung schützt nicht, sondern schafft vielmehr Risiken
• So kann man auf die Verletzung der Privatsphäre durch die Regierung des Vereinigten Königreichs reagieren:
  • Zu sicheren Diensten wechseln, die nicht dem britischen Recht unterliegen
  • Als Wähler der Regierung die eigene Ablehnung mitteilen