27C3 – Tag 1 – don’t lost the war

Rop Gonggrijp und Frank Rieger verkündeten in ihrem Vortrag “We lost the war” (Videomitschnitt) am 22C3, dass der Kampf gegen staatliche Überwachung, für das Recht auf Privatsphäre und für starke Bürgerrechte verloren ist. Fünf Jahre später gibt Rop in seiner Keynote zum 27. Chaos Communication Congress (27C3) zu, dass seine damalige Einschätzung zu pessimistisch war. Der Kampf gegen staatliche Überwachung, für das Recht auf Privatsphäre und für starke Bürgerrechte ist in vollem Gange und war vermutlich noch nie so wichtig wie in der heutigen Zeit. In den letzten fünf Jahren wurden in wichtige Erfolge Deutschland erzielt: das Bundesverfassungsgericht entschied Ende Februar 2008, dass Online-Durchsuchungen (Stichwort Bundestrojaner) nur unter strengen Auflagen zulässig sind und anfangs März 2010, dass die Datenvorratsspeicherung (die deutsche Umsetzung der EU Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten) verfassungswidrig und nichtig sei. Ausserdem ist es den verschiedenen Organisationen, wie dem Chaos Computer Club (CCC), dem FoeBuD, der AK Vorrat u.a. gelungen die Wichtigkeit des Datenschutzes und der Bürgerrechte über die Medien der breiteren Öffentlichkeit zu vermitteln (beispielsweise durch die Demonstrationen “Freiheit statt Angst“). Sowohl in den Niederlanden, wie auch in Deutschland wurde der Einsatz unsicherer Wahlcomputer erfolgreich bekämpft. Leider sind diese Erfolge auf internationaler und europäischen Ebene noch nicht auszumachen. In der EU ist beispielsweise die der Vorratsdatenspeicherung zu Grunde liegende EU Richtlinie 2006/24/EG immer noch in Kraft. Wie wichtig Aktionen auf europäischer Ebene sind, zeigt die momentan laufende Überprüfung der EU Richtlinie 2006/24/EG durch die Europäischen Kommission. Ausserdem hat das Europäische Parlament mit dem Vertrag von Lissabon mehr Macht erhalten, welche es momentan zur Stärkung der Bürgerrechte in Europa einsetzt – dies gilt es zu nutzen. Um die internationalen Herausforderungen aufzuzeigen, erzählte Rop von seinem Engagement im Zusammenhang mit indischen Wahlcomputer. Bei den indischen Wahlcomputern handelt es sich um “Black Boxes” bei denen es keine Möglichkeit gibt, die Richtigkeit des ausgespuckten Wahlresultates zu überprüfen, was Wahlfälschung Tür und Tor öffnet (siehe Video rechts). Als das Team mit Rop die Möglichkeit zur Manipulation der indischen Wahlcomputern veröffentlichte und die Resultate an einer indischen Sicherheitskonferenz besprechen wollte, wurde dem Team die Einreise wegen “Visa-Problemen” verweigert und der indischstämmige Hari Prasad mehrere Wochen festgenommen und befragt. Rops Fazit lautet: der Kampf ist nicht verloren, es gibt jedoch noch viel Aufklärungsarbeit in der Öffentlichkeit zu leisten. Ausserdem könnte es nach den Veröffentlichungen von Wikileaks durch die staatlichen Bestrebungen Kontrolle über das Internet zu erlangen für die Netzgemeinschaft etwas “chaotischer” werden, was jedoch auch eine Chance sei. Die in der Regel breit informierten, multifunktionellen Personen und Organisationen der Netzgemeinschaft hätten die besten Voraussetzungen um solche chaotische Zeiten gut zu überstehen – schliesslich heisse der Chaos Computer Club nicht so, weil er Chaos produziere, sondern weil er auch im Chaos funktioniere (Transkript, Videomitschnitt).

We understand a small part of how chaos works. As the world becomes more chaotic, we can help. — Rop Gonggrijp, 27.12.2010.

 
Das Schwergewicht der folgenden Vorträge während des ersten Tages behandelten viele der in der Keynote angesprochenen Themen detaillierter, beispielsweise der Vortrag “Data Retention in the EU five years after the Directive” der European Digital Rights (EDRi). Er zeigt die Hintergründe der EU Richtlinie 2006/24/EG etwas genauer auf. Durch den Druck der USA und Grossbritannien nach den Terroranschlägen in London im Juli 2005 und die fast zeitgleiche Übernahme der Ratspräsidentschaft durch Grossbritannien wurde die Richtlinie von der EU-Kommission in kürzester Zeit durchgedrückt – bereits gegen Ende September 2005 legte sie ein Entwurf der Richtlinie vor. Die Vorratsdatenspeicherung greift unverhältnismässig in die persönliche Privatsphäre ein, sie beschneidet die Informations-, Meinungs-, Versammlungs und Organisationsfreiheit und stellt 500 Millionen EU-Bürger unter Generalverdacht (vgl. “Stoppt die Vorratsdatenspeicherung“). Auslöser für den breit organisierten Widerstand gegen die EU Richtlinie zur Vorratsdatenspeicherung war Ende 2005 der Artikel “EU-Parlament beschliesst massive Überwachung der Telekommunikation” auf Heise, doch die Verabschiedung der Richtlinie konnte nicht verhindert werden. Momentan wird die Richtlinie auf europäischer Ebene durch die Europäische Kommission überprüft. Das bedeutet, dass die Staaten der EU aufzeigen müssen, dass die Vorratsdatenspeicherung zur Aufklärung für die innere Sicherheit bedeutender Straftaten unerlässlich ist. Gemäss einer vom EDRi zitierten deutschen Studie seien die meisten Daten, welche zur Verbrechnungsbekämpfung notwendig seien auch ohne Vorratdatenspeicherung verfügbar. Anhand der Statistik der Staaten, welche bereits Vorratsdatenspeicherung nutzen, ist bekannt, dass 72% der Fälle, bei denen Vorratsdatenspeicherung zur Aufklärung einer Straftat angefordert wurden, es zu keiner Anklage kam. Ausserdem nahm die Anzahl der ungelösten Fälle nach Einführung der Vorratsdatenspeicherung nicht ab. Die Aufklärung von Straftaten erfolgt in der Regel durch andere Vorgehensweisen. Ausserdem setzen insbesondere versierte Benutzer nach der Einführung der Vorratsdatenspeicherung vermehrt Verschlüsselungs- und Anonymisier-Techniken ein. Missbräuche – beispielsweise ein Abhörskandal in den Niederlanden – und das vehemente Lobbying der Content-Industrie für die Vorratsdatenspeicherung zeigt, dass die Bürgerrechte nicht ausgehöhlt werden dürfen (Audiomitschnitt)

Ein sehr guter Rückblick über die deutschen Zensurbestrebungen bietet Alvar C. H. Freude in seinem Vortrag “Von Zensursula über Censilia hin zum Kindernet“. Unter dem Vorwand Kinderpornographie zu bekämpfen, wurde in Deutschland das Gesetz zur Bekämpfung der Kinderpornografie in Kommunikationsnetzen (Zugangserschwerungsgesetz) ausgearbeitet, was die Durchsetzung von Sperrlisten des Bundeskriminalamtes bei Internetprovidern zum Ziel hatte. Mit diesen Sperrlisten wären Webseiten über die Domainnamen, welche in den Sperrlisten eingetragen sind, nicht mehr erreichbar. Die Inhalte sind jedoch weiterhin verfügbar und entweder über die IP-Adresse des Servers oder über einen Provider eines anderen Staates abrufbar. Mit Sperrlisten wird also Kinderpornografie nicht bekämpft, sondern bloss verschleiert. Damit wird jedoch eine Technik installiert, welche eine staatliche Zensur ermöglicht. Das Beispiel einiger Staaten, welche bereits solche Sperrlisten anwenden und das Lobbying der Content-Industrie zeigen, dass die Gefahr des Missbrauchs als hoch eingestuft werden muss (vgl.: “All internet porn will be blocked to protect children, under UK government plan“, NewsCore, 19.12.2010).

Unsere Sperrmassnahmen tragen leider nicht dazu bei, die Produktion von Webpornografie zu vermindern. — Björn Sellström, schwedischer Chefermittler zitiert in “Experte: Sperrung von Kinderporno-Seiten falscher Weg“, Focus, 28.03.2009.

Der öffentliche Widerstand gegen das Zugangserschwerungsgesetz führte schliesslich zu einem Meinungsumschwung bei den politischen Parteien in Deutschland und zum Entscheid das Gesetz zunächst auszusetzen. Da gegen das Gesetz jedoch “keine durchgreifenden verfassungsrechtlichen Bedenken” bestand, wurde es am 17. Februar 2010 vom deutschen Bundespräsident Horst Köhler unterschrieben. Das Bundeskriminalamt wurde daraufhin vom Bundesministerium des Innern durch einen Erlass angewiesen, keine Sperrlisten zu erstellen. Der FoeBuD will im Februar 2011 beim Bundesverfassungsgericht eine Verfassungsbeschwerde gegen das Zugangserschwerungsgesetz einlegen. Doch auch bei den Sperrlisten ist das Thema noch lange nicht vom Tisch: die Content-Industrie lobbyiert auf EU-Ebene für die europaweite Einführung von Sperrlisten und die schwedische Politikerin Cecilia Malmström gab am 8. März 2010 bekannt, dass sie auf EU-Ebene einen Richtlinienentwurf zur Blockierung von Webseiten im Internet vorlegen wird. Sie stützt sich dabei auf ähnliche Argumente, die bereits die Basis des Zugangserschwerungsgesetzes in Deutschland bildeten und mittlerweile widerlegt wurden (vgl.: Holger Bleich, “Déjà vu: EU-Kommission fordert Websperren gegen Kinderpornografie“, Heise, C’T Nr. 9, 2010).

Etwas enttäuscht hat mich der Vortrag “Copyright Enforcement Vs. Freedoms” von Jérémie Zimmermann, Sprecher und Co-Founder von La Quadrature du Net weil er recht oberflächlich und sehr Frankreich zentriert war. Aus meiner Sicht verteufelt er das Anti-Counterfeiting Trade Agreement (ACTA) per se, was die Kritik in Diskussionen nicht sehr glaubwürdig macht. Er stellt ACTA als geheimes Abkommen dar, was jedoch mit der Veröffentlichung der Schlussversion nicht stimmt. Ausserdem handelt es sich bei ACTA bloss um eine Vereinbarung, welche erst mit der Umsetzung in nationales Recht eine Wirkung erzielt. In diesem politischen Prozess sind die nationalen Parlamente involviert, so dass die Bürger Einfluss nehmen können. Sollte diese Möglichkeit nicht bestehen, so würde das Problem nicht bei ACTA, sondern bei den politischen Prozessen des betroffenen Staates liegen. Im Falle der Schweiz sind nach Angaben des Eidgenössischen Institut für Geistiges Eigentum keine Gesetzesänderungen notwendig:

ACTA ist auch im Bereich des Internets mit dem Schweizer Recht vereinbar und macht keine Gesetzesänderungen nötig. Die generelle Verpflichtung der Mitgliedstaaten, das Recht auch im Internet durchzusetzen und dabei die Grundrechte aller zu respektieren, ist für die Schweiz selbstverständlich und bereits heute Teil der Rechtsordnung. Die Konkretisierung des Schutzes technischer Massnahmen zum Schutz von Werken und von elektronischen Rechteinformationssystemen orientiert sich an der geltenden Gesetzeslage in der EU und der Schweiz und bedingt deshalb keinerlei Anpassungsbedarf. Das Auskunftsrecht des Rechteinhabers gegenüber dem Internet Service Provider schliesslich ist eine Kann-Vorschrift. Es ist damit den Mitgliedstaaten überlassen, ob sie die Bestimmung in ihrem nationalen Recht umsetzen wollen. — Eidgenössisches Institut für Geistiges Eigentum, 14.12.2010.

Aus der Sicht des französischen Netzaktivisten sieht dies natürlich etwas anders aus. Die Content-Industrie übt in Bezug auf die Bekämpfung von Urheberrechtsverletzungen schon länger Druck auf die französische Regierung aus. Eine Konsequenz dieses Drucks war das Gesetz “Haute Autorité pour la diffusion des oeuvres et la protection des droits sur l’Internet” (HADOPI). In diesem Gesetz ist festgeschrieben, dass wenn jemand der Urheberrechtsverletzung verdächtigt wird, zwei Mal verwarnt (das erste Mal per E-Mail, das zweite Mal per Einschreiben) und das dritte Mal bestraft wird. Dabei wird durch ein vereinfachtes Gerichtsverfahren in der Regel eine Geldstrafen und die zeitweilige Sperrung des Internetzugangs verfügt. Insbesondere das Kappen des Internetzugriffs führte zur Debatte, ob heutzutage der Zugang zum Internet nicht ein unverletzliches Grundrecht sei. Mit dieser Erfahrung im Hinterkopf befürchtet Zimmermann, dass der Inhalt von ACTA in Frankreich eins zu eins in die nationale Gesetzgebung übernommen wird, dass der Artikel 27 in ACTA zu einer Kriminalisierung der Internet-Benutzer führt, dass die französische “Three Strikes” Regelung zukünftig auch in anderen europäischen Staaten eingeführt wird und dass die Internetprovider zur Zusammenarbeit (Verhinderung der Anonymisierung, Filterung des Internet-Content, Vorratsdatenspeicherung, Anzeige usw.) gezwungen werden (Videomitschnitt).

Nach dem ich mich den ganzen Tag den politischen Themen gewidmet hatte, schloss ich den Tag mit dem technischen Vortrag “Adventures in analyzing Stuxnet” von Bruce Dang ab. Der Vortrag war nur schon deshalb aussergewöhnlich, weil Dang ein leitender Network Security Analyst bei Microsoft ist. Angesicht dessen, dass Microsoft bei vielen Hackern nicht auf eine grosse Gegenliebe stösst (wobei sich diese Einstellung in den letzten 10 Jahren gelockert hat), war es ungewöhnlich, dass sich ein Vortragender offen als Microsoft-Mitarbeiter outet. Er zeigt in seinem überaus interessanten Vortrag, wie er in Zusammenarbeit 20-30 anderen Spezialisten bei Microsoft die vier Sicherheitslücken (Zero Day Exploit), welche von Stuxnet zur Verbreitung ausgenutzt wurden, analysierte und schloss. Der Vortrag kam beim Publikum sehr gut an, wenn es auch schade war, dass sich Dang aus beruflichen Gründen nur auf die Behebung der Sicherheitslücken in Windows konzentrierte und nicht auf die Schadroutine von Stuxnet. Sein Vortrag gab insbesondere einen Einblick, wie bei Microsoft Sicherheitslücken gefunden, analysiert und behoben werden (Videomitschnitt).

Ich habe mir offensichtlich eine leichte Grippe eingefangen, deshalb werden sich die Berichte der restlichen Kongresstage um einige Tage verzögern – sorry.

Pressereviews

• Stefan Krempl, “27C3: Hacker zwischen Wikileaks, Zensurbestrebungen und Chaos“, Heise, 27.12.2010.
• Stefan Krempl, “27C3: Mehr Nerd-Lobbyismus gefordert“, Heise, 27.12.2010.
• “Kein Angriff auf Mastercard und Visa“, TAZ, 27.12.2010.
• “Hacker kritisiert Hobby-Hacker“, Spiegel, 27.12.2010.
• John Borland, “Hackers Watch a World Collapsing Into Chaos“, Wired, Threat Level, 27.12.2010.
• John Borland, “Flaws Spotlighted in Tor Anonymity Network“, Wired, Threat Level, 27.12.2010.
• John Borland, “A Four-Day Dive Into Stuxnet’s Heart”, Wired, Threat Level, 27.12.2010.