[...] Wer solch grundgesetzwidrige Vorgehensweise nach der Maxime ‘der Zweck heiligt die Mittel’ nicht nur billigt, sondern fortzuführen plant, hat in verantwortlicher Position in einem Rechtsstaat nichts verloren. [...]

mit der Forderung des CCC:

1. Kein weiterer Einsatz von Trojanern in strafprozessualen Ermittlungen.
2. Sofortige Offenlegung der Quellcodes und aller Prüfprotokolle über vergangene Einsätze von Trojanern durch deutsche Ermittlungsbehörden.
3. Zukünftige automatische Offenlegung von Quellcode, Binary und Protokollen des Trojaners nach jedem Einsatz.
4. Bei einer staatlichen Infiltration eines Rechners muß unwiderruflich die Möglichkeit erlöschen, Daten von der Festplatte des infiltrierten Systems gerichtlich zu verwerten.

Weitere Beiträge dazu:

• Heise
• Spiegel Online
• ZEIT ONLINE
  

Weitere Infos und Hintergründe dazu:

• Chaos Computer Club
• Heise 1
• Heise 2
• Heise 3
• ZEIT Online
• Spiegel Online
• FAZ 1
• FAZ 2
• FAZ 3
• Lawblog
• Tagesschau 1
• ZDF – Heute

Update 10.10.2011:

• netzpolitik.org
• Piratenpartei 1
• Piratenpartei 2
• Tagesschau 2

Video zur Veranschaulichung der Problematik:

Quelle Video: Alexander Svensson, CC-Lizenz, auf YouTube

Quelle CR161: Chaosradio

Passend dazu war die Demo zuletzt Thema beim Chaosradio CR160.

Und hier noch der Trailer zur Demo auf YouTube:

Hier das Video zur Sendung:

Quelle: ARD, über YouTube

Da es immer eine Unsicherheitskomponente gibt, und sei es der Mensch selbst, hätte man meines Erachtens den ePA als hoheitliches Dokument nicht so mit neuen Funktionen überladen dürfen. Die beiden Kardinalfehler beim ePA sind aus meiner Sicht:

1) RFID/NFC-Schnittstelle

Damit können Daten über Funk (im Nahbereich) ausgelesen werden. Falls jemand diese Schnittstelle knackt oder bei authentifizierten Übertragungen mitlesen kann, ist die Sicherheit des Gesamtsystems am Ende. Derzeit ist das Auslesen der verschlüsselten Daten zwar nur nach Authentifizierung der Lesegeräte und PIN-Eingabe möglich, aber wie beim Online-Banking, bei dem die eigentlichen Kryptoverfahren auch sicher sind, wird es über kurz oder lang wahrscheinlich Möglichkeiten geben, diese ePA-Sicherheit zu umgehen (Pishing, Skimming, Man-in-the-middle, etc.).

Und ganz wichtig: Ich selbst habe keine unmittelbare physische Gewalt mehr über dieses Schnittstelle. Außer Schutz durch Alu-Hüllen.

2) Kopplung mit privatwirtschaftlichen Funktionen

Wieso wird der ePA mit Funktionen ausgestattet, die größtenteils der Privatwirtschaft nützen? Der ePA sollte ein rein hoheitliches Dokument bleiben. Alles andere (eID, digitale Zertifikate mit Signaturfunktion) gehört auf eine separate (Bürger-)Karte.

Diese beiden Punkte hätten jedem halbwegs kompetenten und lernwilligen Entscheider auffallen müssen. Denn ist so ein System erst mal gehackt, dann geht es uns wie bei den EC-Karten. Wehe dem, dessen Identität plötzlich missbraucht wird und in der Beweispflicht steht.

Weitere Infos:

• PlusMinus erklärt den ePerso (netzpolitik.org)
• Sicherheitsmängel beim neuen Personalausweis? (Tagesschau)
• Elektronischer Personalausweis: Sicherheitsdefizite bei Lesegeräten (Heise)
• Elektronischer Personalausweis: Wissens- oder Sicherheitsdefizite? (Heise)
• Der elektronische Personalausweis – Identitätsdiebstahl wird einfacher (Aktion Freiheit statt Angst e.V.)

Demnach sind weitere Nachteile der “Bezahlmail”-Dienste, die ich noch nicht genannt hatte:

• Die digitalen Postkarten gelten spätestens 3 Tage nach Ablage der Nachricht in der Mailbox als zugestellt. Das ist in der analogen Welt, verglichen mit einem Einschreiben, nicht so. Dort wird darauf geachtet, dass ich persönlich das Einschreiben in den Händen halte. Erst dann beginnen Fristen. Bei den elektronischen Varianten liegt die Mailbox zudem bei einem privatwirtschaftlichen Anbieter und damit außerhalb meines Machtbereichs.
• De-Mail & Co. sollen keine Dokumente ersetzen, die der Schriftform unterliegen. Die dafür nötige qualifizierte elektronische Signatur ist indes heute schon möglich, wird jedoch bei De-Mail & Co. nicht angewandt. Wozu also De-Mail ?

Eine schöne Zusammenfassung der Problematik mit De-Mail und E-Postbrief bietet Heise in der aktuellen c’t unter dem Titel “Elektronische Einschreiben“, wobei der Schlusssatz es auf den Punkt bringt:

Während Unternehmen und Behörden viel Porto sparen, bekommen Privatkunden mehr Pflichten aufgebürdet als bei der Zustellung der Papierpost und müssen einem System vertrauen, von dem noch nicht bekannt ist, ob es wirksam gegen Angriffe und Spam-Attacken geschützt ist und die Korrespondenz dort sicher aufgehoben ist.

Quelle CR159: Chaosradio

Siehe auch:

• Viel Kritik an geplanter Neuregelung des Jugendmedienschutzes (Heise)
• Grünes Licht für Neufassung des Jugendmedienschutzstaatsvertrags (Heise)
• 1&1 Blog: Das Ende der freien Kommunikation im Internet? (netzpolitik.org)
• Zensur im Namen des Jugendschutzes: Stellungnahme zum Jugendmedienschutz-Staatsvertrag (AK Zensur)
• Horrorkabinett der Jugendschützer: Haftung für Links, Kommentare, Communities (ODEM.blog)
• Petition gegen den Jugendmedienschutz-Staatsvertrag (zensur-in.de)
• Video: Gesperrt, gefiltert, abgeklemmt: Das unfreie Netz (Elektrischer Reporter, auch auf YouTube)
• Kompletter Entwurf für Anti-Piraterie-Abkommen ACTA im Netz (Heise)
• EU-Parlament fordert Einschränkung des Anti-Piraterie-Abkommens ACTA (Heise)
• EU will Websperren einführen (Heise)
• Justizministerin gegen EU-Vorstoß für Internetsperren (Heise)

Quelle CR155: Chaosradio

Bei der Vorratsdatenspeicherung ist nämlich so gut wie gar nichts geändert worden. Es soll weiter verdachtslos für 6 Monate protokolliert werden, mit wem ich wann und wo telefoniert habe, wem ich wann und wo eine Email oder SMS geschrieben oder empfangen habe und welche IP-Adresse ich beim Surfen im Internet verwendet habe. Lediglich die Auswertung dieser Daten soll auf schwere Gefahrensituationen begrenzt werden, zumindest bis das BVerfG in der Sache endgültig entscheidet. Man muss sich bewusst machen: Das BVerfG hat diese Einschränkung jedoch schon im März 2008 verkündet. Was da nun verbessert worden sein soll, erschließt sich mir nicht. Es wird also munter weiter gespeichert. Es muss aber das Ziel sein, die Speicherung der Daten eben nicht pauschal zu erlauben, sondern schon bei der Speicherung sehr hohe Hürden zu setzen. Die Verfassungsklagen müssen also aufrecht erhalten bleiben.

Bei den Web-Sperren ist in der Tat ein signifikanter Erfolg verzeichnet worden, zumindest bis auf weiteres. Denn die Sperrlisten sollen vom BKA für ein Jahr weder erstellt noch an die Provider weitergegeben werden. Vielmehr soll ein Jahr lang versucht werden, die betreffenden Seiten zu löschen. Das Gesetz wird aber wohl dennoch in Kraft treten, so dass die Sperren eben noch nicht vom Tisch sind. Inwiefern das problematisch sein kann, wird bei netzpolitik.org erörtert. Und die Zensurinfrastruktur ist erstmal geschaffen und kann jederzeit wieder aktiviert werden.
Trotzdem: Diese Wendung hin zum Löschen statt Sperren ist durchaus ein großer Erfolg der Kritiker und Bürgerrechtler. Vor allem gilt der Dank den Teilnehmern an Arbeitskreisen, Petitionen, Unterschriftsaktionen und Demos. Und nicht zuletzt der Piratenpartei. Die FDP konnte eigentlich nicht anders, als sich hier in Szene zu setzen. Vielleicht ist aber auch bei vielen in der CDU langsam die Einsicht gekommen, dass das Zugangserschwerungsgesetz untauglich und dilettantisch ist. Selbst Herr Schäuble hat sich dazu geäußert. Wir müssen aber auch hier dran bleiben.

Das BKA-Gesetz, gegen das ebenfalls eine Verfassungsklage ansteht, wurde demgegenüber nur leicht kosmetisch eingeschränkt. Verdeckte Online-Durchsuchungen sind weiterhin gesetzliches Mittel zur Strafverfolgung.

Insgesamt also eine Reihe von Kompromissen, deren praktische Implementierung und Wirkung erst abgewartet werden müssen. Bürgerrechtler sind weiterhin dringend erforderlich, denn der Kampf ist noch nicht vorbei. Welche Punkte sonst noch auf der Agenda stehen sollten, hat heute der Chaos Computer Club überaus eindrucksvoll als Spickzettel digitaler Bürgerrechte publiziert.

Update: Erste Reaktionen und weitere Links zu den Einigungen:

• Stoppschild für Zensursula (Spiegel Netzwelt) – eine sehr gute Zusammenfassung und Beurteilung der Ergebnisse
• Gemischte Reaktionen auf Koalitionsabsprachen zur Innenpolitik (Heise)
• Gerhart Baum hält Verfassungsklage gegen Vorratsdatenspeicherung aufrecht (Heise)

Für besonders erwähnenswert finde ich die Tatsache, dass der Einsatz der Bundeswehr im Innern vom Tisch ist. Das hätte wirklich einen Dammbruch bedeutet.

Update 2: Der FoeBuD e.V. hat inzwischen eine Beurteilung der Ergebnisse veröffentlicht, die sich stark mit meinen Einschätzungen deckt. Auch der AK Vorrat hat reagiert und bezeichnet die Einigung als völlig unzureichend.

Quelle: ZDF, auf YouTube

• SIGINT 2009 vom CCC gestartet, siehe auch Heise-Meldung mit Hintergründen.
• Zum 60. Geburtstag unseres Grundgesetzes mahnende Worte des Präsident des Bundesverfassungsgerichts, die Freiheit nicht der Sicherheit zu opfern.
• Die Tageschau befasst sich ebenfalls mit dem 60. Geburtstag des Grundgesetzes. Ein Video erklärt, dass es erfreulicherweise viele Menschen gibt, die dem Grundgesetz stark verbunden sind, ja sogar als Verfassungspatrioten gelten können.
• Wie man durch geschickte Fragestellung jedes Umfrageergebnis erzielen kann, zeigt das Beispiel “Konträre Umfrageergebnisse zu Kinderporno-Sperren“. Siehe auch Artikel bei linux-community.de und netzpolitik.org.
• Die Gesellschaft für Informatik fordert Taten statt Internetsperren und erklärt, dass bestehende Rechte zur Strafverfolgung ausreichen.
• Der AK-Zensur hat eine Pressemitteilung herausgegeben: “Löschen statt Verstecken! Internet-Experten sagen: Im Kampf gegen Kinderpornographie sind Sperrgesetze keine Lösung“.
• Der CCC ruft dazu auf, die Petition gegen die Sperren zu zeichnen.
• Der Provider 1&1 machte einen Vorschlag, wie man Websperren alternativ umsetzten könnte.
• ZEIT ONLINE brachte einen kritischen Artikel zu den Sperren “Wie man eine Generation verliert” und befasst sich mit Fakten in “Von der Leyens unseriöse Argumentation“.
• heute.de befasste sich ebenfalls mit dem Thema in “Kinderpornografie: Täter verfolgen statt Seiten sperren“
• Die FDP bekennt sich gegen die Websperren und möchte eine Internetrepublik in Deutschland etablieren. Ich frage mich jedoch, inwiefern das mit den Vorstellungen von CDU/CSU zu verwirklichen ist. Meines Erachtens ist das derzeit unvereinbar mit der Weltanschauung der CDU/CSU.
  Ein Interview mit FDP-Generalsekretär Dirk Niebel ist ebenfalls interessant.
• Auch die Grünen haben sich letze Woche für Freiheit im Internet und Datenschutz ausgesprochen.