Dienstag, 5. Mai 2020

Immunitätsausweis: Debatte über gezielte Infektionen "an Haaren herbeigezogen"

Ein Macher des geplanten digitalen Seuchenpasses hat den Ansatz verteidigt. Zunächst solle es darum gehen, den PCR-Teststatus auf dem Handy nachweisen zu können.

Von Stefan Krempl

Stephan Noller, Geschäftsführer der IT-Sicherheitsfirma Ubirch, hat die kontroverse Debatte über den von ihm und einem Firmenkonsortium entworfenen "digitalen Corona-Impfpass" als jenseits von Gut und Böse bezeichnet. "In Deutschland sind wir gut darin, solche Diskussionen aufzumachen", erklärte er am Dienstag bei der Online-Konferenz "Basecamp on Air" von Telefónica zum Thema "Digital gegen das Virus". Befürchtungen, dass sich aufgrund eines solchen potenziellen Immunitätsnachweises Menschen voraussichtlich gezielt mit Sars-Cov-2 zu infizieren suchten, bezeichnete er als "abstrakt" und "an den Haaren herbeigezogen".

Dafür müsste man sich in die Klinik schleichen und zu jemand ins Krankenbett legen, meinte Noller. Das wäre ähnlich abenteuerlich, wie wenn sich eine Person vor den Bus werfen würde mit dem Ziel, eine Versorgungsrente zu bekommen. Ein Medienkünstler hatte zuvor angesichts der Initiative für den digitalen Seuchenpass kritisiert, dass die in der Krise um sich greifende Technikgläubigkeit "total verrückte" Blüten treibe. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber warnte angesichts des Plans der Bundesregierung, einer digitalen Immunitätsdokumentation per Impfpass-App den rechtlichen Boden zu bereiten, vor einer Diskriminierungswelle.

Noller empfahl, mit der skizzierten Digitalanwendung zunächst "nicht auf Immunität" über Antikörpertests zu gehen, sondern auf einen Nachweis, ob jemand das neuartige Coronavirus habe. Dafür ließen sich viel mehr PCR-Tests durchführen und so ganze Belegschaften, Leute in Altenheimen oder Busfahrer abchecken lassen. Bei Covid-19 komme nämlich ein "spannender Effekt" ins Spiel: Man "ist drei Tage nicht ansteckend." Der Digitalexperte spielte damit eventuell auf Erkenntnisse an, dass der Zeitraum zwischen einer Corona-Infektion und ersten Symptomen wohl drei Tage beträgt. Innerhalb dieser Phase können Virenträger aber durchaus Dritte anstecken.

Jedenfalls plädierte Noller dafür, das aktuelle Testgeschehen digital zu begleiten und Ergebnisse mit dem aktuellen Status in Form einer App oder eines QR-Codes "in der Hosentasche verfügbar" zu halten. Dies lasse sich etwa über das Lissi-Projekt der Bundesdruckerei datenschutzfreundlich gestalten, $(LB2880044:die zu der Firmenallianz gehört)$. Dabei gebe es keinen zentralen Speicher und jeder Nutzer könne selbst entscheiden, ob er sein Testergebnis etwa beim Betreten eines Pflegeheims oder Restaurants vorzeige. Das Laborergebnis lasse sich dann über einen Link in der Blockchain verifizieren, also mit einem Kryptoanker zeigen, dass alles mit rechten Dingen zugehe.

Derzeit würden 200.000 bis 300.000 vorhandene PCR-Testkapazitäten pro Woche nicht genutzt, plädierte der Unternehmer hier für eine konsequentere Strategie von Bund und Ländern: "Alle Labore sagen, sie haben Kapazitäten verfügbar." Für Antikörpertests und darauf aufbauenden weitergehende Nachweise sei es dagegen "noch etwas früh", das lasse sich besser in zwei Monaten diskutieren. Eine einschlägige App sollte aber schon jetzt gebaut werden, da es sich auch dabei um ein "wesentliches Instrument" handeln könnte, "um den Laden wieder zum Laufen zu bringen".



Zu der in Österreich sich schon seit fünf Wochen im Feld befindlichen Tracing-Anwendung "Stopp Corona" kämen auch dort weitere Maßnahmen fürs "Containment 2.0" etwa mit Symptomchecks und raschen Tests zum Tragen, erklärte Christian Winkelhofer vom IT-Haus Accenture, das die App für das Rote Kreuz innerhalb von zwei Wochen entwickelt hat. Über diese seien mittlerweile schon hunderte Infektionsmeldungen erfolgt. Ihre "volle Wirksamkeit" solle die Lösung nun bei mehr Kontaktsituationen nach dem Lockdown entfalten, weswegen eine "starke Werbemaßnahme" nächste Woche geplant sei.

Über die neue Schnittstelle zum Kontaktnachverfolgen per Bluetooth von Apple und Google zeigte sich Winkelhofer "sehr glücklich", da sich diese nun mit dem dezentralen Protokoll DP3T zusammen implementieren lasse. "Zwanghaften Charakter" etwa über Steuervergünstigungen für Nutzer $(LB2888201:sollte eine solche Anwendung aber nie annehmen)$.

Digitale Instrumente im Kampf gegen das Virus seien nötig, "um auf mittelalterliche Interventionen in unser Alltagsleben" verzichten zu können, konstatierte Bernhard Rohleder vom Branchenverband Bitkom. Neben einer Tracing-App brachte Jörg Debatin vom Health Innovation Hub des Bundesgesundheitsministeriums, hier etwa eine "Corona-Akte" ins Spiel als "Dokumentation des medizinisch Notwendigen" inklusive Vorerkrankungen und Medikation, aber auch zum Eintragen von Besuchen und Kontakten. Sinnvoll sei auch ein digitales Home-Monitoring Infizierter, damit diese rasch ins Krankenhaus gebracht werden könnten, wenn sich Symptome verschlechterten.

Die Netze hielten bei solchen mobilen Anwendungen durchaus mit, betonte Pia von Houwald, Direktorin der Sparte Digitale Dienste bei Telefónica Deutschland. Sie seien leistungsstark, stabil sowie weitreichend und damit "deutlich besser als ihr Ruf". Die Branche helfe zudem, auf Basis von rund neun Milliarden anonymisierter und aggregierter Daten über "Netzevents" pro Tag Mobilitätsströme sichtbar zu machen.

Georg Polzer vom Telefónica-Partner Teralytics zeigte hier etwa, dass die Reisetätigkeit zwischen dem Ruhrgebiet und Berlin am vorigen Samstag im Vergleich zu einem Februarwochenende insgesamt um 87 Prozent abgenommen habe mit keinerlei Flug- und fast 90 Prozent weniger Zugnutzungen. Bei den Berliner Verkehrsbetrieben (BVG) sei der Personendurchfluss an U-Bahn-Stationen um 70 Prozent eingebrochen.

Montag, 9. April 2018

E-Mobilität: Ruf nach 50-prozentiger Elektroquote erreicht verspätet den Bundestag

Mit mehrmonatiger Verspätung hat die Bundesregierung dem Parlament einen Bericht ihres Sachverständigenrats für Umweltfragen weitergeleitet, wonach bis 2030 die Hälfte der Neuwagenzulassungen elektrische Fahrzeuge sein sollten.

Nun können sich auch die Abgeordneten des Bundestags offiziell und in voller Länge mit den umfassenden Forderungen des Sachverständigenrates für Umweltfragen der Bundesregierung (SRU) rund um den "Klimaschutz im Verkehrssektor" auseinandersetzen. Mit mehr als vier Monaten Verzögerung hat die Exekutive am Mittwoch den Parlamentariern eine Unterrichtung zukommen lassen, mit der sie das einschlägige Gutachten ihres Beirats verbreitet. Das siebenköpfige Professorengremium selbst hatte schon im November die Politik aufgerufen, endlich die "strategischen Weichen für die Verkehrswende" zu stellen.

Laut dem Bericht ist die direkte Elektrifizierung aufgrund ihres sehr hohen Wirkungsgrads besonders geeignet, die Klima- und Umweltauswirkungen des Verkehrs grundlegend zu verringern. Deutschland müsse rasch auf die Elektromobilität umstellen, da damit "vielfältige Vorteile" verknüpft seien. Der SRU schlägt für das Jahr 2025 eine verbindliche Quote für den Anteil rein elektrischer Fahrzeuge an den Neuwagenzulassungen in Höhe von mindestens 25 Prozent vor, die schon bis 2030 auf mindestens 50 Prozent hochgeschraubt werden sollte.

Eine "Strategie der Technologieneutralität im Straßenpersonenverkehr" halten die Experten für verfehlt. Stattdessen sollte vor allem "das Ende der Dieselprivilegierung eingeleitet werden". Die derzeitigen niedrigen Steuern für Dieselkraftstoff seien "weder ökologisch gerechtfertigt", noch berücksichtigten sie "die negativen gesundheitlichen Effekte der Emissionen". Auch "eine Förderung von Erdgasantrieben als 'Brückentechnologie' hält der SRU für nicht zielführend, da diese immer noch relativ hohe CO2-Emissionen besitzen und Investitionen in hocheffiziente elektrische Antriebe langfristig sinnvoller sind". Im Straßengüterfernverkehr seien Oberleitungs-Lkw "eine technisch umsetzbare Option". Studien zufolge könne dabei bereits durch die Elektrifizierung eines Drittels des deutschen Autobahnnetzes ein elektrischer Fahranteil von circa 60 Prozent erreicht werden.

Als Grund für ihr Drängen, die noch gar nicht erhobene Pkw-Maut zu einer streckenabhängigen Abgabe fortzuentwickeln, führt der Beirat auch die "zu erwartende Verbreitung autonomer Fahrzeuge" ins Feld. Mit dem Einbezug konkret zurückgelegter Kilometer könnten "unnötige Leerfahrten" vermieden, ein weiterer Anstieg der Beförderungsleistung verhindert und die "intermodale Nutzung" selbstfahrender Autos in Kombination mit dem öffentlichen Personennahverkehr finanziell gefördert werden.

Da ungefähr 85 Prozent aller Ladevorgänge im privaten Bereich stattfinden, wirbt der Umweltrat für "bindende Vorgaben für die Bereitstellung von Ladeinfrastrukturen bei Neubauten auf EU-Ebene". Die gegenwärtigen rechtlichen Rahmenbedingungen erschwerten Mietern und Gemeinschaftseigentümern den Einbau von Stromzapfpunkten für Elektrofahrzeuge an ihrem privaten Kfz-Stellplatz. Private Arbeitgeber sollten verpflichtet werden, Ladeinfrastruktur auf ihren Firmenparkplätzen bereitzustellen.

Freitag, 24. November 2017

Bundesrat fordert Herstellerpflicht für Sicherheitsupdates

Der Bundesrat hat am Freitag Position bezogen zur geplanten neuen Cybersicherheits-Strategie der EU-Kommission. In der Stellungnahme zu der einschlägigen Mitteilung der Brüsseler Regierungseinrichtung spricht sich die Länderkammer unter anderem für eine schärfere Inanspruchnahme von Herstellern von Hard- und Software aus:
Die Gewährleistungsrechte von Verbrauchern bedürfen im Zusammenhang mit Sicherheitslücken von IT-Produkten und -Dienstleistungen einer klaren Justierung. Der Bundesrat bittet die Kommission, hier Vorschläge für eine zeitgemäße Konkretisierung von Mängelbeseitigungsrechten zu entwickeln. Es sollte eine Pflicht zur Bereitstellung von Sicherheitsupdates in Erwägung gezogen werden, die transparente Vorgaben dazu enthält, wie schnell, regelmäßig und für welchen Zeitraum Hersteller den Verbrauchern entsprechende Angebote unterbreiten müssen.
Zu IT-Sicherheit & freier Software:
Aus Sicht des Bundesrates wird die Mitteilung den Potenzialen quelltextoffener Software ("Open Source") für die Steigerung der IT-Sicherheit nicht gerecht. Der Bundesrat bittet die Kommission um eine konzeptionelle Klärung, inwieweit die öffentliche Hand zur Steigerung der IT-Sicherheit beitragen kann, indem sie selbst "Open Source"-Technologie einsetzt und deren Weiterentwicklung fördert. In diesem Zusammenhang sollten zudem die wirtschaftlichen Chancen -- auch für kleine und mittelständische IT-Unternehmen in Europa -- betrachtet werden.
Und noch was zu den laufenden "Crypto Wars", so ein wenig geht das in Richtung "Zitis"-Kurs:
Der Bundesrat nimmt zustimmend zur Kenntnis, dass die Kommission die Bedeutung der Verschlüsselung für die Wahrung von Grundrechten wie der Meinungsfreiheit und des Schutzes personenbezogener Daten sowie für die Sicherheit des elektronischen Geschäftsverkehrs hervorhebt.. Zugleich darf nicht außer Acht gelassen werden, dass Verschlüsselung durch Terroristen und andere Kriminelle zur Vorbereitung und Durchführung schwerer Straftaten missbraucht wird. Der Bundesrat unterstützt daher die Überlegungen der Kommission, die Rolle der Verschlüsselung beim Schutz der inneren Sicherheit und bei strafrechtlichen Ermittlungen näher zu untersuchen.

Freitag, 6. Oktober 2017

E-Government: Normenkontrollrat drängt auf vernetzte Register mit Personenkennziffer

Der Normenkontrollrat hat ein Gutachten veröffentlicht, wonach Datenbanken der öffentlichen Verwaltung wie das Melderegister miteinander verknüpft werden sollen als Basis für eine stärkere Digitalisierung von Dienstleistungen.

Rund 84 Millionen Stunden weniger pro Jahr müssten die Bürger hierzulande mit Behördenkram verbringen, wenn nicht sie selbst, sondern die Daten liefen. Dies geht aus einem Gutachten im Auftrag des Nationalen Normenkontrollrats (NNK) hervor, das dessen Vorsitzender Johannes Ludewig am Freitag Bundeskanzleramtschef Peter Altmaier (CDU) übergeben hat. Voraussetzung für das große Zeitgeschenk wäre es, die Verwaltungsleistungen komplett zu digitalisieren und dafür in einem ersten Schritt die staatlichen Register zu modernisieren und zu vernetzen. Insgesamt könnte damit die Interaktionszeit der Bürger mit der Verwaltung fast halbiert werden.

Das parallele Einsparpotenzial für Unternehmen schätzen die Gutachter vom Beratungshaus McKinsey auf jährlich über eine Milliarde Euro, was einem Minus von 54 Prozent entspräche. Das größte Potenzial sehen sie aber bei der Verwaltung selbst, wo sie auf eine Zeitersparnis von bis zu 59 Prozent oder 64 Millionen Stunden pro Jahr kommen. Bei Volkszählungen sei zudem ein vollständig registerbasierter Zensus bis zu 98 Prozent günstiger als die traditionelle, derzeit "registergestützte" Variante. Finanziell entspräche dies allein einem Plus von gut 650 Millionen Euro in der Staatskasse. Dem stünden beim dem Vorhaben insgesamt Anlaufkosten für ein "Basisdatenprogramm", die weitere technische Standardisierung, ein "Stammzahlensystem" und ein Pilotprojekt "Elterngeld" von rund 700 Millionen Euro gegenüber.

"Die heutige Registerlandschaft in Deutschland ist nicht dafür geeignet, den Informationsreichtum der öffentlichen Verwaltung optimal zu nutzen", heißt es in der gut 60-seitigen Analyse, für die McKinsey mit dem Statistischen Bundesamt und dem Deutschen Forschungsinstitut für öffentliche Verwaltung in Speyer zusammengearbeitet hat. Daher sei eine "grundlegende Modernisierung" der allein auf Bundesebene über 200 einschlägigen Datenbanken nötig.

Ein Kernpunkt dabei müsse ein "standardisierter digitaler Zugriff auf Informationen für alle autorisierten Nutzer über einheitliche und sichere elektronische Schnittstellen" sein, heißt es in der Analyse. Möglich sollte es auch werden, Daten etwa aus Melde-, Fahrzeug-, Handels- oder Gewerberegistern eindeutig zuzuordnen und zu verknüpfen. Der Bürger könnte Bescheide dann sofort bekommen, eigene Daten müsste er im Einklang mit dem "Once only"-Prinzip nur einmal der Verwaltung liefern.

Bei einem solchen Digitalisierungsvorhaben gibt es aber eine Crux. Neben Angaben zu Unternehmen, Gebäuden und Wohnungen oder Flurstücken sollen nämlich auch solche zu Personen aus Datenbeständen der Behörden zusammengeführt werden. Voraussetzung dafür wäre es, eine mehr oder weniger eindeutige Personenkennziffer einzuführen. Für Datenschützer ist ein solches Identifizierungsmerkmal ein rotes Tuch, das Bundesverfassungsgericht hat dafür im Volkszählungsurteil enge Grenzen gezogen. Demnach dürften damit auf keinen Fall "sämtliche Daten aus bereits vorhandenen Dateien der Verwaltung" zusammengeführt werden. Ein "Super-Register" sei nicht mit dem Grundgesetz vereinbar, detaillierte Persönlichkeitsprofile sollten vermieden werden.

Als Kompromiss bringen die Gutachter das österreichische Modell ins Spiel. Dort arbeitet die Verwaltung mit einer Art virtuellem Personenkennzeichen, bei dem keine Behörde vollständig auf alle gespeicherten Merkmale zugreifen kann. Die Datenschutzbehörde generiert in der Alpenrepublik eine geheime Stammzahl als eindeutige Identifikationsnummer. Daraus und aus einem auf einzelne Sektoren zugeschnittenen Kürzel werden in einem Hashverfahren kryptografisch "bereichsspezifische Personenkennzeichen" generiert. Aus diesen auf die Stammzahl zurückzuschließen, soll nicht möglich sein.

Ämter können über diesen Weg personenbezogene Daten aus anderen Bereichen abfragen und mit eigenen Informationen verknüpfen. Dafür erhalten sie von der Registerbehörde in Form der Datenschutzaufsicht einen Schlüssel für einen temporären Zugriff auf konkrete Personenmerkmale aus einem bereichsfremden Register. Dieser Ansatz soll sicherstellen, dass Informationsabrufe zweckgebunden und im Umfang begrenzt sind.

Matthias Daub, der bei McKinsey für den öffentlichen Sektor verantwortlich ist, verdeutlicht diese Lösung an einem konkreten Verfahren. Die Elterngeldbehörde könnte sich so über die zentrale Stelle autorisieren lassen, etwa beim Finanzressort Informationen abzufragen. Im dortigen "Tresor" lägen dann nur Datenbestände, die der Bürger selbst vorher freigegeben habe. Die Elterngeldstelle sei nicht imstande, den Code zu entziffern und gebe ihn verschlüsselt etwa an die Krankenkasse weiter. Diese könne dann die von ihr benötigten Bescheide zurücksenden.

"Es gibt keine zentralen Register, keinen Generalzugang", wirbt Daub für diesen Weg, den auch die Schweiz ähnlich vorexerziere. "Die Daten bleiben in lokalen Verzeichnissen", könnten aber ausgetauscht und verknüpft werden. Auch David Wagner, Referent an dem beteiligten Speyerer Forschungsinstitut, spricht von einem "ausgewieften Modell". Zusätzlich könnte dieses mit einem "Datenschutz-Cockpit" kombiniert werden, das transparent mache, "welche Behörde welche Daten über die Betroffenen erhebt". Ein weiterer Vorteil sei, dass Hacker zunächst nur eine Nummer erhielten und erst den Verschlüsselungsmechanismus knacken sowie es schaffen müssten, formgerecht Anfragen an andere Behörden zu stellen.

In einem parallel vorgelegten rechtlichen Kurzgutachten warnen Wagner, der Vizedirektor des Instituts, Mario Martini, sowie ein weiterer Kollege aber, dass die geheime Stammzahl "alle unter den bereichsspezifischen Personenkennziffern verbundenen Daten verknüpft" und technisch versierten Unbefugten durchaus eine Fläche für komplexe Angriffe mit Folgen bis hin zu Identitätsdiebstahl, finanziellen Verlusten oder Rufschädigungen eröffne. Auch bei dem letztlich wohl tragfähigen "österreichischen Vorbild" verblieben "erhebliche Gefahrenpotenziale".

Eine allgemeine Personenkennziffer schafft den Wissenschaftlern zufolge einen "Zentralschlüssel", um Datenbestände zusammenzuführen und ins Recht auf informationelle Selbstbestimmung der Betroffenen einzugreifen. Auch eine pseudonymisierte bereichsgebundene Kennung vereinfache Missbrauch. Für sich genommen ermögliche sie es dem Staat aber zumindest nicht, "ein Gesamtpersönlichkeitsbild zu entwerfen, das gleichsam das Innerste des Bürgers ausleuchtet". Als "erster Schritt" in diese Richtung sowie als "Vorbereitungsstadium" einer "freiheitsberaubenden digitalen Vermessung" könnte das Merkmal aber trotzdem betrachtet werden, zumal die Schutzmaßnahmen reversibel seien.

Ludewig hofft als Zuständiger für den Bürokratieabbau trotz dieser Bedenken, dass sich mit dem Gutachten der gordische Knoten beim E-Government hierzulande endlich durchschneiden lässt. Einen ersten Kontakt mit der Bundesdatenschutzbehörde habe es in Fragen der Registerintegration schon früh gegeben, Details seien mit den dortigen Experten aber noch nicht besprochen worden. Auch der IT-Planungsrat sei informiert, da Bund, Länder und Kommunen bei dem Vorhaben an einem Strang ziehen müssten. Für die Politik stehe dabei auch "ein Stück Glaubwürdigkeit auf dem Spiel". Schließlich habe die Bundesregierung schon lange versprochen, dass die "Top-100-Dienstleistungen" digitalisiert werden sollten. Im Online-Zugangsgesetz sei inzwischen eine Fünfjahresfrist für alle Verwaltungsservices festgeschrieben.

Sonntag, 15. Mai 2016

Experten: "Systemische Missgriffe" bei der Geheimdienstkontrolle

Der frühere Bundesrichter und Abgeordnete Wolfgang Nešković hat die parlamentarische Überwachung von BND & Co. als völlig ineffektiv kritisiert. Der Ex-Bundesdatenschützer Peter Schaar beklagte "riesige kontrollfreie Räume".

Die Rufe nach einer besseren demokratischen Kontrolle des Bundesnachrichtendiensts (BND) und anderer deutscher Spionagebehörden werden parallel zur Aufarbeitung des NSA-Skandals im Bundestag immer lauter. Die Überwachung der Überwacher sei nur "in der Hinsicht effektiv, dass sie optimal ineffektiv ist", monierte Wolfgang Nešković, Ex-Richter am Bundesgerichtshof und früheres Mitglied des Parlamentarischen Kontrollgremiums PKGr des Bundestags, am Dienstag auf einer Tagung zivilgesellschaftlicher Organisationen zu "grund- und menschenrechtlichen Anforderungen an die Kommunikationsüberwachung" des BND. "Systemische Missgriffe" rund um die Institution müssten abgeschafft werden.

Nešković räumte zunächst mit dem Mythos auf, dass das PKGr die Nachrichtendienste direkt in den Blick nähme. "Wir kontrollieren die Kontrolltätigkeit der Regierungsaufsicht", berichtete er aus seiner siebenjährigen Zeit bei dem Gremium. Außen vor blieben schon "60 bis 70 Prozent" des BND-Gesamtmaterials, da diese mit Informationen ausländischer Geheimdienste verknüpft und damit für die demokratischen Aufpasser tabu seien. Auch der dehnbare Bereich der "exekutiven Eigenverantwortung" dürfe nicht einbezogen werden.

Von sich aus müsse der Auslandsgeheimdienst zudem nur über Vorkommnisse von "besonderer Bedeutung" dem PKGr berichten, führte der einst für die Linksfraktion im Bundestag sitzende Parteiunabhängige aus. Damit hätten die Agenten "letztlich freie Auswahl, was sie vorlegen". Fragerunden verkämen so oft zur reinen "Märchenstunde", wenn nicht Presseberichte Anhaltspunkte für konkrete Nachforschungen bildeten. Zudem leide das Gremium an "institutionalisierte Antriebsarmut", da nur die Mehrheit Untersuchungsverfahren einleiten und Berichte öffentlich machen könne.

Peter Schaar verwies aus seiner früheren Tätigkeit als Bundesdatenschutzbeauftragter auf "riesige kontrollfreie Räume" beim BND. Die reine Ausland-Ausland-Überwachung mit sogenannten Transit- oder Routineverkehren dürfe etwa weder von der G10-Kommission des Bundestags geprüft werden, die Abhöranordnungen für hiesige Grundrechtsträger und Suchbegriffe für die strategische Telekommunikationsaufklärung genehmigt, noch von der Bundesdatenschutzbehörde. Letzteres habe ihm das Bundesinnenministerium mit "grenzwertigen Schreiben" verdeutlicht.

So komme es zu dem "strukturellen Problem", dass "nirgends ein Gesamtbild entsteht", erläuterte Schaar. Die Kontrollregimes müssten daher verknüpft und eine "quasi-justizielle" Instanz geschaffen werde, die auch präventiv arbeite und mit einem "Anwalt der Bürgerrechte" bestückt sei.

Die Staatsrechtler Matthias Bäcker und Christoph Gusy waren sich einig, dass der BND vor allem bei der Überwachung rein ausländischer Kommunikation in einem weitgehend rechtsfreien Raum agiere, in dem sogar Speicher- und Löschfristen Fehlanzeige seien. In diesem Fall sei es "unklar, welches Gesetz man anwenden muss", zeigte sich Bäcker perplex. Er tue sich schwer mit der Position der Bundesregierung, dass hier der Schutz des Fernmeldegeheimnisses nicht greife. Die BND-Tätigkeit bleibe insgesamt "juristisch so ein bisschen unsichtbar".

Mit seiner abgehobenen "Weltraumtheorie" habe der BND an seinem Horchposten in Bad Aibling "den Ausstieg aus den Grundrechten geschafft", ergänzte Gusy. Die These werde zwar "von niemand außerhalb der Nachrichtendienste selbst vertreten". Der BND erkläre damit aber die "Erhebung und Verwendung" von Auslandskommunikation für "grundrechtsfrei". Keine Regeln enthalte das Gesetz für den Geheimdienst auch für dessen Praxis, Kommunikationsanschlüsse mit Verbindungsdaten abzugrenzen zu versuchen. In dieses Verfahren seien die Grundrechtseingriffe schon von vornherein eingeschlossen.

Ob aus den laut Schaar "zaghaften" Initiativen des Bundeskanzleramts oder der Koalition noch etwas wird, den BND stärker an die Kandare zu nehmen, erschien vielen Rednern zweifelhaft. Georg Mascolo, Leiter des Rechercheverbunds von NDR, WDR und Süddeutscher Zeitung, machte hier einen Dissens "in der Regierung zwischen verschiedenen Denkschulen" aus. Der frühere Innen- und jetzige Finanzminister Wolfgang Schäuble (CDU) etwa führe ein Lager an, wonach die Politik aufpassen müsse, es mit der parlamentarischen Kontrolle nicht zu übertreiben. Die Dienste seien schon jetzt verunsichert, zudem würden zu viele Dinge nach außen getragen.

Die andere Seite wolle eine Art "Parlamentsgeheimdienst" vergleichbar zum Genehmigungsverfahren für Bundeswehreinsätze, konstatierte Mascolo. Im Bundestag selbst regten sich fast alle Abgeordnete dagegen parteiübergreifend darüber auf, dass sie über wesentliche Vorkommnisse rund um die Kooperation zwischen NSA und BND "nicht oder falsch informiert worden" seien. Er habe auch selten etwas Eklatanteres erlebt wie die Tatsache, dass das Parlament "so lange in die Irre geführt worden ist". Ohne den NSA-Untersuchungsausschuss und Presseberichte wäre vieles daraus nicht öffentlich geworden. Aus dem Skandal werde aber wohl eher die Industrie Konsequenzen ziehen als der Gesetzgeber.

Thorsten Wetzling, der im Namen der Stiftung Neue Verantwortung Vorschlägefür eine effektivere Geheimdienstkontrolle skizziert hat, befürchtete, dass die geplante Reform zwischen einer "Lizenz zum Lügen" und einer "zum Schlafen" landen werde. Die große Gefahr sei, dass die G10-Kommission nicht für die Auslandsaufklärung zuständig werde. Der zunächst angestrebte bessere Schutz von EU-Bürgern und -Institutionen vor BND-Spähmaßnahmen gelte bei allen Beteiligten inzwischen als "Verhandlungsmasse".

Freitag, 1. Januar 2016

Schlösserknacken einfacher gemacht mit 3D-Druck

Studenten der Uni Michigan haben ein Open-Source-Werkzeug veröffentlicht, mit dem sich auf Basis eines Handy-Fotos per 3D-Druck ein Rohling für Sicherheitsschlösser mit restriktivem Schlüsselmanagement herstellen lässt.

Wer bei der Haus- oder Büroschließanlage auf Nummer sicher gehen will, setzt häufig auf ein eingeschränktes Schlüsselmanagement. Dafür gibt es spezielle Verfahren, die oft patentiert sind und es einem Schlosser untersagen, ohne klare Autorisierung des Hauptnutzers Nachschlüssel oder Rohlinge dafür zu verkaufen. Dieses mit Sicherungskarten arbeitende System konnten findige Dritte zwar schon immer mit einigem Aufwand umgehen. Nun ist es aber möglich, die bei Angreifern begehrten "Blankoschlüssel" beziehungsweise Rohlinge im 3D-Druckverfahren einfach und kostengünstig herzustellen.

"Wir haben automatisch produzierte 3D-Modelle dafür gebaut", erklärte Eric Wustrow, Student an der Universität Michigan, am Mittwoch auf dem 32. Chaos Communication Congress (32C3) in Hamburg. Es reiche dank einer parallel veröffentlichtenOpen-Source-Lösung aus, ein Foto mit dem Smartphone vom Schlüsseleingang eines Schlosses zu erstellen und schon zaubere die Software die Vorlage für einen zugehörigen Rohling hervor. Die entsprechende STL-Datei müsse man nur noch mit einem 3D-Drucker ausdrucken.

Das Ergebnis ist zwar noch nicht derart gebrauchsfertig, dass man es einfach in das Schloss stecken, drehen und die Verriegelung lösen kann. Es erlaube aber, eine Reihe schon länger bekannter Angriffe auf den Schließmechanismus auszuführen, erläuterte Wustrow. So lasse sich etwa aus einem Praktikantenschlüssel mit wenig Öffnungsmöglichkeiten ein Generalschlüssel erstellen. Für solche "Privilege Escalation"-Attacken seien Rohlinge nötig. Einzelheiten hat der Student mit seinen Kollegen Ben Burgess und Alex Halderman in einem Aufsatz publiziert.

Für das Open-Source-Verfahren hat das Team eine Web-Demo erstellt, über die sich mit einem Klick ein Foto hochladen lässt. Das Werkzeug wandle ein solches in ein Schwarzweißbild um, suche nach dem größten schwarzen Fleck und generiere auf dieser Basis eine Maske des Schlüsselwegs beziehungsweise die blanke Schlüsselform ohne Kerben, führte der Tüftler aus. Das Programm erzeuge zunächst einen OpenSCAD-Code, dann das 3D-Model. Einkerbungen könne man gleich miterzeugen, wenn man bereits wisse, wie der endgültige Schlüssel aussehen solle.

Als billigstes Druckmaterial für die Schlossöffner haben sich laut Wustrow in eigenen Tests Polyactide erwiesen. Mit dem Plastikmaterial lasse sich für 0,08 Cent ein Schlüssel erzeugen, der robust genug gewesen sei für die meisten Türschlösser. Nur bei Sturzbügeln habe diese Variante versagt. Nylon oder Acryl sei nicht gut geeignet, ein Alumide-Schlüssel für Fertigungskosten von drei US-Dollar sei etwas besser gegangen, habe aber eine ziemlich raue Oberfläche aufgewiesen. Am besten funktioniert hätten rostfreier Stahl und Messing, die man in professionellen 3D-Druck-Zentren verarbeitet bekäme. Die Herstellungskosten lägen für die Metallrohlinge zwischen zehn und 25 US-Dollar. Das Team habe das Verfahren insgesamt noch nicht an europäischen Schlössern getestet, aber an US-Varianten wie dem Schlage Primus, die als vergleichsweise sicher gälten.

Bislang habe man mit einer CNC-Fräse (Computerized Numerical Control) zwar auch bereits in Eigenregie Rohlinge oder Dietriche anfertigen können, berichtete Wustrow. Dafür seien aber Wissen und ein größerer Geldbatzen nötig gewesen. Der Spezialautomat KeyMax EasyEntrie nehme einem zwar vieles ab, schlage jedoch mit rund 7000 Euro zu Buche. Der 3D-Druck werde dagegen immer innovativer und verbraucherfreundlicher. Wustrow erinnerte in auch daran, dass andere Mitstreiter aus der Maker-Szene erst jüngst Generalschlüssel im Rapid-Prototyping-Verfahren hergestell hätten, mit denen die US-Transportsicherheibsbehörde TSA verschlossene verdächtige Kofferschlösser öffnet.

Zum Schutz vor 3D-Druck-Schlossknackern empfiehlt der Student, "aktive" Schlüssel beziehungsweise Schließvorkehrungen zu verwenden, bei denen sich einzelne Komponenten sich beim Auf- oder Zuschließen veränderten. Es gebe auch einige Projekte in diese Richtung, die mit magnetischen Bestandteilen arbeiteten. Elektronische Schließanlagen hätten wiederum andere Schwächen. Sicherheitsforscher hatten auf dem Kongress zuvor gezeigt, dass Systeme mit RFID-Transpondern leicht auszuhebeln sind.

Donnerstag, 14. Mai 2015

CDU-General: Vorratsdatenspeicherung und Datenschutz sind überbewertet

 Peter Tauber hält als CDU-Generalsekretär wenig von der Haudrauf-Rhetorik, die viele seiner Vorgänger pflegten. Er drückt sich lieber diplomatisch aus und möchte sich nicht gern festnageln lassen. Wenn ihm der deutsche Datenschutz als zu enges Korsett erscheint, sagt er dies etwa nicht gradheraus. Vielmehr verweist er darauf, dass das Thema hierzulande "in einer Weise emotionalisiert wird", die sich nicht allen erschlösse. Er zählt diesen Bereich zu "einigen Stellen", an denen man fragen müsse: "Haben wir dazu den richtigen Zugang?"

Zahlreiche Beispiele für die Kunst, sich mäandrierend an politische Herausforderungen anzunähern, brachte der gebürtige Gelnhausener am Mittwoch bei einem Gespräch in der Reihe "Digitales Deutschland" bei Microsoft in Berlin. Startups sagten ihm, sie hätten eine tolle Idee, könnten sie hierzulande aber nicht umsetzen wegen der Vorgaben zum Verarbeiten personenbezogener Informationen, führte er etwa aus. Mit dem viel beschworenen "Geschäftsmodell Datenschutz" sei es offenbar nicht weit her. Er habe zumindest "noch keinen getroffen, der mir konkret gezeigt hat, wie man damit Geld verdienen kann". Es gelte, angesichts von Big Data "chancenorientierter über Datenschutz zu reden".

Viel und schnell reden ist generell nicht nur ein Markenzeichen des mit seinen gut 40 Jahren vergleichsweise jungen Spitzenpolitikers, sondern auch eine seiner Lieblingsempfehlungen neben dem Aufwerfen von Fragen. Angesichts der Übermacht von US-Internetkonzernen in Sektoren wie Suchmaschinen oder sozialen Netzwerken hält er es etwa für nötig, einmal "ordnungspolitisch darüber zu reden, wo noch Gestaltungsspielraum" sei. Dies dürfe aber nicht "immer aus einer Abwehrhaltung heraus" erfolgen. Das neue Leistungsschutzrecht sei ein Beispiel dafür, dass diese Taktik nicht stets greife. Er sei zumindest nach wie vor sehr skeptisch, ob dieses "die richtige Antwort auf die Herausforderungen ist".

Als aufstrebender Netzpolitiker war Tauber auch einst ein ausgewiesener Gegner der Vorratsdatenspeicherung. "Ich kann es mit meinem persönlichen Freiheitsbegriff nur schwer vereinbaren, dass der Staat meine sämtlichen Telefondaten für eine bestimmte Dauer ohne Verdacht auf eine vorliegende Straftat speichert", schrieb er 2012. Er lehne das Mittel prinzipiell ab. Jüngst zählte er den Plan der Koalition, das umstrittene Instrument wieder einzuführen, dagegen zu den Erfolgen der CDU.

Dies sei "eine der Sachen, die sich in meinem Job verändert haben", erläuterte der Spindoktor seinen neuen Ansatz. Er habe immer gesagt, er sei sich "nicht so sicher", dass das anlasslose Protokollieren von Nutzerspuren "das zentrale Element bei der Kriminalitätsbekämpfung" sei, relativierte der CDU-General seine frühere Darstellung. Es sei "nicht klug zu denken", dass alle immer wieder genannten Probleme von Kinderpornographie bis Terrorismus damit gelöst würden.

Andererseits verwies der promovierte Politikwissenschaftler auf die "Beschlusslage" seiner Partei, wonach die Vorratsdatenspeicherung "ein Instrument sein kann in der Sicherheitspolitik". Dies stehe auch im Koalitionsvertrag, der sich aber auf die Umsetzung der mittlerweile gekippten EU-Vorgaben bezieht. Er müsse hier also "die Meinung der gesamten Partei" verkaufen, auch wenn er dies "nicht mit so einer Verve" tue wie CDU-Innenpolitiker. Zudem sei der mit der SPD gefundene Kompromiss "Lichtjahre von dem weg, was am Anfang der Debatte stand". Die Speicherfristen etwa seien deutlich verkürzt worden.

Wieso versuche die Union nicht, das "Symbolthema" einfach umzubenennen und positiver zu besetzen, wollte Taubers Fragepartner Wolfram Weimer wissen. Dem Journalist schien entgangen zu sein, dass die Konservativen dieses Unterfangen seit Jahren mit der Rede von Mindest- und Höchstspeicherfristen sowie vom "Sichern digitaler Fingerabdrücke" längst in Angriff genommen haben. "Ich hätte gerne das Geld, um drei Semantiker zu beschäftigen, die nur über schöne Begriffe nachdenken", unkte der Angesprochene. Wenn die Leute aber merkten, dass man sie "hinter die Fichte" führen wolle, "nehmen sie es einem übel".

Als "ziemlich kompliziert" beschrieb Tauber die Gemengelage in der neuen BND-NSA-Affäre. Leicht auf den Punkt zu bringen sei sie nicht: "Die Wahrheit ist meistens nicht 140 Zeichen lang." Er glaube nicht, dass der Skandal schon wieder ausgestanden sei – unabhängig davon, "ob 80 oder acht Prozent hinschauen". Auch wenn der Großteil der Bevölkerung sich im Gegensatz etwa zu einem Breitbandzugang nicht für Geheimdienstkooperationen interessiere, sei es trotzdem wichtig zu klären, auf welcher Grundlage diese erfolgten und ob die Partner die vereinbarten Regeln einhielten.

Zugleich überlegte der Generalsekretär laut, ob nicht auch diese Affäre "in etwas Positives" gedreht werden könne. "Es ist eine Stärke, dass wir das diskutieren, das gibt es in China oder Russland so nicht", spann er den Gedanken weiter. Schon die Tatsache, dass es hierzulande eine Debatte über die Vorgehensweise der Geheimdienste gebe, zeige, dass "die Kontrolle doch funktioniert". Eine demokratische Gesellschaft tue sich keinen Gefallen, wenn sie ihren eigenen Institutionen wie den Volksvertretern und Funktionsträgern nicht vertraue. Zudem sei er "skeptisch, ob alle aufregenden Schlagzeilen eine Substanz haben".

Dass die Bundeskanzlerin und CDU-Vorsitzende ihr Bonmot über das "geht gar" nicht zum Ausspähen unter Freunden mittlerweile relativiert habe, wollte ihr Vertrauter nicht nachvollziehen: "Ich kann nicht erkennen, dass Angela Merkel hier ihre Meinung geändert hat." Die Deutschen müssten sich bewusst machen, dass sie schon angesichts 700 in Syrien kämpfender Gotteskrieger auf die Erkenntnisse ausländischer Nachrichtendienste angewiesen seien. Man könne aber "gerne darüber reden", ob die Auflagen für Datentransfers "strenger sein können".

Um die Chancen der Digitalisierung und der Industrie 4.0 der gesamten Partei aufzuzeigen, werde die CDU im September alle Mitglieder ins "deutsche Silicon Valley" nach Berlin einladen, kündigte der General an. Auch die Kanzlerin werde bei dem großen Treffen dabei sein. Bei vielen an der Basis spreche sich langsam herum, dass das Internet "eigentlich andere Formen der Mitbestimmung" ermögliche. Es sollten daher alle Gremien verpflichtet werden, regelmäßig Online-Konferenzen für den direkten Austausch zwischen den Ebenen durchzuführen.

Langfassung eines Beitrags für heise online.