E2E-Encryption – offener Brief

Es werden wieder einmal Gesetzentwürfe in der EU und im Bundestag zur Beschlussfassung vorgelegt in denen es vordergründig um Verbrechensbekämpfung, Terrorismusbekämpfung und Kampf gegen sexuellen Missbrauch von Kindern geht. Besonders die End to End-Verschlüsselung (E2E-Encryption/E2EE) unserer Kommunikation ist den Sicherheitsbehörden ein Dorn im Auge. Ich habe als Pirat einen offenen Brief an die demokratischen Parteien, die im EU-Parlament und im Deutschen Bundestag vertreten sind, geschrieben. Nachfolgend könnt ihr ihn lesen.

Leipzig, den 15. November 2020

Sehr geehrte Damen und Herren,

Die Ministerpräsidenten der EU-Staaten, Ihre Abgeordneten im Europäischen Parlament und auch Ihre Abgeordneten des Deutschen Bundestages sollen demnächst, nach dem das Bundeskabinett den Gesetzesentwurf zur „Erweiterung der Quellen-Telekommunikationsüberwachung („Quellen-TKÜ“)“ bereits beschlossen hat, mit dem „Digital Services Act“ weitere Beschlüsse zur Verbesserung der inneren und äußeren Sicherheit fassen.

Die Grundlagen dafür sind unter anderem in den Dokumenten „Draft Council Resolution on Encryption-Security through encryption and security despite encryption1, „Draft Council Conclusions on Internal Security and European Police Partnership2 und dem „Joint Statement by the EU Home Affairs Ministers on the recent terrorist attacks in Europe3 beschrieben.

Geradezu klassisch, wie mit der Anrufung der Muse bei Homer, werden zu Beginn aller Dokumente der Schutz der Privatsphäre und das gesetzmäßige Handeln betont, wie hier im zweit genannten Dokument:

„UNTERSTREICHT, dass die Verschlüsselung ein Vertrauensanker für die Digitalisierung ist und gefördert und weiterentwickelt werden sollte. Die Verschlüsselung ist ein Mittel zum Schutz der Privatsphäre sowie der digitalen Sicherheit von Regierungen, Industrie und Gesellschaft. Gleichzeitig muss der rechtmäßige Zugang für Strafverfolgungs- und Justizzwecke erhalten bleiben. Wie es in der Erklärung des Rates zur Verschlüsselung heißt, muss jede Maßnahme diese Interessen sorgfältig gegeneinander abwägen und gleichzeitig in einem engen Dialog mit der technologischen Industrie nach technischen Lösungen für den rechtmäßigen Zugang zu verschlüsselten Daten suchen.“4

Allerdings findet sich im hervorgehobenen Satz schon eine Einschränkung.

Das dritte Dokument wird da noch deutlicher:

„Im gleichen Sinne muss sich der Rat mit der Frage der Datenverschlüsselung befassen, damit digitale Beweise von den zuständigen Behörden rechtmäßig gesammelt und verwendet werden können und gleichzeitig die Vertrauenswürdigkeit der auf Verschlüsselungstechnologie basierenden Produkte und Dienstleistungen gewahrt bleibt.“5

Der Widerspruch zwischen „Vertrauenswürdigkeit der Verschlüsselungstechnologien“ und der „rechtmäßigen digitalen Beweisfindung“, die ja nur mit Entschlüsselung und somit für Endnutzer nicht vertrauenswürdiger Verschlüsselungstechnologie möglich ist, wird hier nicht aufgelöst. Er scheint auch nicht auflösbar.

Die zugehörigen Instrumente sind unter anderem im folgenden Dokument beschrieben: „Technical solutions to detect child sexual abuse in end-to-end encrypted communications6

Dort heißt es:

Dieses Papier:
– definiert das Problem der Erkennung von CSA-Inhalten in verschlüsselten Ende-zu-Ende-Kommunikationen (E2EE [End to End Verschlüsselung]); und
– stellt eine Reihe von möglichen technischen Lösungen vor, die die Erkennung von CSA [sexueller Kindesmissbrauch] in E2EE-Kommunikationen ermöglichen könnten.
Eine mögliche Lösung ist eine, die das Aufspüren von CSA in der elektronischen E2EE-Kommunikation unter Verwendung bestehender Technologien (z.B. Hashing) sowie neuer Technologien, soweit diese heute bekannt sein könnten, ermöglicht.“7

Meine Damen und Herren,

wir erleben hier einen Angriff auf die IT-Sicherheit durch letztendliche Verhinderung verschlüsselter, also sicherer, Kommunikation. Da das „hashing“ nur als Beispiel genannt wird, werden diese Maßnahmen letztendlich durch Backdoors, also bewusst programmierte Sicherheitslücken, in Softwareprodukten mit „Generalschlüsseln“ oder ähnlichen Methoden und technischen Mitteln durchgeführt.

Das gefährdet die Sicherheit der IT-Systeme unwiederbringlich. Denken Sie bitte an 2017, als der Erpressungs-Trojaner „wannacry“ über eine Sicherheitslücke in Microsoft-Windows eingeschleust wurde. Diese Sicherheitslücke war der NSA bekannt, wurde von ihr genutzt und konnte vom technisch hoch aufgerüsteten Geheimdienst der USA nicht geheim gehalten werden.

Gestatten Sie mir Ihnen die Auswirkungen solcher Maßnahmen mit einem Gleichnis zu beschreiben.

Sie bauen ein Haus und sichern es bestmöglich mit baulichen und technischen Mitteln gegen Einbrecher. Nun verlangt aber plötzlich die Polizei, dass Sie zur Erhöhung der allgemeinen Sicherheit entweder eine einfache Brettertür am Hintereingang anbringen damit, im Falle Sie werden straffällig, die Polizei sich nicht von der gesicherten Vordertür beim Eindringen aufhalten lassen muss. Oder Sie müssen der Polizei, aus gleichem Grund, einen Generalschlüssel für Ihr Haus und Ihren Tresor geben. Diese werden dann in einem Blechkasten an der Außenwand des Polizeireviers aufbewahrt. Die genaue Lage der Hintertür und des Schlüsselkastens unterliegen selbstverständlich strikter Geheimhaltung.

Es sollte Sie nicht stören – Sie haben ja nicht die Absicht straffällig zu werden. Also alles in Ordnung?

Sie sagen natürlich „Nein, jetzt haben ja die Einbrecher freie Fahrt!“ Sie haben Recht und das einleitend beschriebene Problem verstanden.

Natürlich werden die „Hintertüren“ und „Generalschlüssel“ mit allen zur Verfügung stehenden Mitteln geheim gehalten und gesichert werden – sie werden geradezu gepanzert sein. Lassen Sie mich einen Spruch aus dem militärischen Bereich zum Besten geben, er beschreibt das Problem bei der Entwicklung von Waffen- und Abwehrsystemen:

Den Wettlauf zwischen Panzer und Geschoss gewinnt am Ende immer das Geschoss!“

So wird es am Ende auch hier sein. Hacker aller Coleur werden sich auf die Hintertüren stürzen, sie knacken und die Generalschlüssel werden im Darknet gehandelt werden. Abgesehen von den Problemen der privaten Kommunikation der BürgerInnen, der vertraulichen Kommunikation z.B. von RechtsanwältInnen mit KlientInnen, ÄrztInnen mit PatientInnen oder JournalistInnen mit ihren Quellen wird es zu folgendem kommen.

Die Digitalisierung der öffentlichen Verwaltung und der Wirtschaft, denken wir hier nur an die Telemedizin als Beispiel, wird um Jahre zurückgeworfen – wer wird den so kompromittierten IT-Systemen trauen wenn zu vermuten ist, dass möglicherweise Privatpersonen, Institutionen, andere Staaten, Konkurrenzunternehmen oder andere mitlesen?

Um dieses zu verhindern bleibt Ihnen nur:

Stimmen Sie Gesetzesvorlagen mit diesen Inhalten nicht zu. Damit erhöhen Sie die Sicherheit unserer IT-Infrastruktur und letztendlich sichern Sie Ihre eigene vertrauliche Kommunikation.

Mit freundlichen Grüßen

Thomas Köhler

Stadtrat in Leipzig für die Piratenpartei

Die vorstehenden und nachfolgenden Übersetzungen habe ich mit „DeepL Übersetzer“ durchgeführt, sie dienen nur der allgemeinen Orientierung. Für Ungenauigkeiten oder Fehler übernehme ich keine Haftung.

1 Entwurf einer Entschließung des Rates zur Verschlüsselung – Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung
2 Entwurf von Schlussfolgerungen des Rates zur inneren Sicherheit und Europäischen Polizeipartnerschaft
3 Gemeinsame Erklärung der EU-Innenminister zu den jüngsten Terroranschlägen in Europa
4 „UNDERLINES that encryption is an anchor of confidence in digitalisation and should be promoted and developed. Encryption is a means of protecting privacy as well as the digital security of governments, industry and society. At the same time, lawful access for law enforcement and judicial purposes must be preserved. As stated in the Council declaration on encryption, any action taken has to balance these interests carefully, while seeking technical solutions for lawful access to encrypted data in a close dialogue with the technological industry.“
5 „In the same vein, the Council must consider the matter of data encryption so that digital evidence can be lawfully collected and used by the competent authorities while maintaining the trustworthiness of the products and services based on encryption technology.“
6 Technische Lösungen zur Erkennung von sexuellem Kindesmissbrauch in verschlüsselter Ende-zu-Ende-Kommunikation
7 „This paper:
• defines the problem of the detection of CSA [child sexual abuse] content in end-to-end encrypted (E2EE) communications; and
• presents a number of possible technical solutions that could allow the detection of CSA in E2EE communications.
A possible solution is one that allows the detection of CSA in E2EE electronic communications using existing technologies (e.g. hashing), as well as upcoming technologies, to the extent that these may be known today.“

Bild von Kerstin Riemer auf Pixabay

Stadtrat Leipzig 11.11.2020 – Corona-Leugner-Wanderzirkus

Selbstverständlich war die „Querdenken-Demonstration“ am 11. 11. das dominierende Thema zu Beginn derr Stadtratssitzung. Da ich momentan, durch die Corona-bedingte vom Gesundheitsamt angewiesene Absonderung von Sven Morlok, als Fraktionsvorsitzender bei der Ratsversammlung amtiere hielt ich die Redebeiträge zum Thema. Durch den eingangs beschlossenen Geschäftsordnungsantrag wurde die Redezeit für die Fraktionen von 5 auf 2 mal 3 Minuten geändert, wodurch ich meinen vorbereiteten Redebeitrag, am Pult stehend, modifizieren musste. Der zweite Redebeitrag war „aus dem Bauch heraus“, auf Grund der vorhergehenden Beiträge von CDU und AfD. Daraus resultieren die Stockungen während der Rede. Der nachfolgende Text ist analog dem vorgetragenen. Der Link beim Stream führt zur LIZ-Seite, dort findet ihr die Aufzeichnung.

Teil 1: ab 1:28:25 im Stream:

Zu Beginn möchte, nein muss, ich betonen, dass die Fraktion Freibeuter – also sowohl die FDP als auch die Piratenpartei – die Meinungsfreiheit und das Versammlungsrecht als essentielle Rechte in unserer Demokratie betrachten. Auch wenn es uns mitunter wünschenswert erscheint, so ist es doch richtig, dass die Hürden für ein Demonstrationsverbot extrem hoch angelegt sind.

Wir stehen zur Versammlungsfreiheit wie auch zur Meinungsfreiheit – die es allen BürgerInnen erlaubt die eigene Meinung frei zu äußern.

Oft gefällt uns diese Freiheit nicht, eine Demokratie muss damit leben und sich gegen Exzesse aller Seiten wehren können.

Kommen wir nun zum Samstag, dem 07. 11. 2020.

Die Verlegung der geplanten Demonstration der Querdenken-Bewegung auf das Gelände der neuen Messe, schränkte die Demonstrationsfreiheit, unserer Meinung nach, in keiner Weise unzumutbar ein, war aber dazu geeignet im Sinne der Sächsischen Corona-Schutzverordnung Gefahren für Leben und körperliche Unversehrtheit der Leipziger BürgerInnen zu verhindern.

Welche Gründe das Oberverwaltungsgericht Bautzen zu dem Beschluss führten diese doch auf dem Augustusplatz zu genehmigen ist hier nicht mein Thema. Es erheben sich natürlich Fragen zu den Angaben zum Demonstrationsort und besonders zum letzten Satz in der vorgestrigen Medienmitteilung der da lautet:

Damit (also mit einer unkontrollierten Situation in der Innenstadt T.K.) sei jedoch bei der von der Stadt Leipzig verfügten Verlegung der Versammlung zur Neuen Messe zu rechnen gewesen, da der Antragsteller bereits angekündigt habe, seine Versammlung dort nicht durchzuführen.

Das bedeutet für mich, das ist keine Ankündigung – das ist eine Androhung „Wir gehen sowieso nicht dorthin, wir gehen in die Innenstadt, ob ihr uns lasst oder nicht!“

Das ist aber mehr ein Fall für Juristen, davon haben wir ja genug.

Adressieren wir nun die Verantwortlichkeit für die Eskalation am 7.11..

Rene Hobusch hat das für die FDP so formuliert:

Polizei, die nicht in der Lage ist, Auflagen durchzusetzen. Die Angriffe auf Journalisten nicht unterbinden kann. Die einen verbotenen Marsch gewähren lassen muss, weil sie personell das Recht nicht durchsetzen kann. Das ist klassisches Führungsversagen bei der Polizei und im Innenministerium. Und zwar wiederholt. Dass dann Wasserwerfer abends in Connewitz zum Einsatz kamen, nicht aber am Nachmittag zur Verhinderung der Rechtsbrüche, ist die Krönung des Versagens im Amt“

Ich habe es für die Piratenpartei Sachsen ähnlich gesehen:

Es ist erschreckend, dass die schlecht vorbereitete Einsatzleitung erst nach Stunden die Versammlung, auf Grund der massenhaften Verstöße gegen die Auflagen als beendet erklärte.

Was darauf folgte und noch läuft – als ich das schrieb lief die Demo noch – ist nur mit katastrophal zu bezeichnen. Gegendemonstranten werden von der Polizei eingekesselt während die Polizeiabsperrung, dadurch geschwächt, von den Demonstranten überrannt wird und Hooligans, Nazis und andere Corona-Leugner über den Leipziger Innenstadtring ziehen. Journalisten und Gegendemonstranten wurden angegriffen, auch die Polizei selbst wurde attackiert. In einer Stadt in der bei linken Demos massive Polizeieinsätze mit schwerem Gerät die Regel sind, kann den BürgerInnen, die sich in der Pandemie vorbildlich verhielten, nur schwer erklärt werden warum der Corona-Leugner-Wanderzirkus gepaart mit Rechtsradikalen nicht ebenso im Zaum gehalten werden kann.

Natürlich darf man hier die Verantwortung nicht an „die Polizei“ adressieren, [hier erfolgte die erste Mahnung zur Redezeit] die Verantwortung liegt nicht bei „der Polizei“, sie liegt bei der Polizeiführung – sie liegt bei der Führung die diesen Einsatz zu verantworten hat.

Wenn ich hier lese: An erster Stelle habe die Absicherung der Versammlung gestanden, an zweiter Stelle die Verhinderung von Gewalt und an dritter Stelle der Infektionsschutz. Dann frage ich mich, gehört zur Absicherung der Versammlung auch die Durchsetzung der Auflagen? Warum trennt man hier die Auflagen der Versammlung vom Infektionsschutz, im konkreten Fall geht es hier um dasselbe.

Ich frage hier nicht erneut zu der Gefahrenprognose der Polizei vom 5.11. – diese Fragen wurden bereits gestellt.

[hier erfolgte die zweite Mahnung zur Redezeit]

Die Verantwortlichen haben, das tut nicht nur mir als Leipziger weh, zudem für verstörende Bilder gesorgt. Sie haben dafür gesorgt, dass am Abend des 7. November Menschen über den Leipziger Ring zogen und das Erbe der Montags-Demonstranten konterkarierten.

Teil 2 ab 1:53:35 im Stream:

Ich bin erschüttert, einmal über die Auslegung der Corona-Inzidenz durch den Kollegen (hier war der CDU-Sprecher gemeint) und zum anderen auch über das Statement von Herrn Kriegel (AfD) zu den 89ern, ich meine ich war auch dabei. Dort standen Frieden und Freiheit liebende Menschen, die sich selbstorganisiert verantwortungsvoll verhalten haben gegen eine Polizeipräsenz und die Präsenz unter anderem der „Kampfgruppen der Arbeiterklasse“, die beim ersten Anzeichen von Gewalt losgeschlagen hätte. Ich bitte darum hier weder die Ziele, noch die Art der Demonstration mit denen der 89er hier zu vermischen.

Was mich noch interessiert: Wie kommt eigentlich das erste Statement unseres Polizeipräsidenten in dem von einem „weitestgehend friedlichen Verlauf“ und von „circa 30 Straftaten am Rande der Demonstration – vorwiegend Sachbeschädigungen“ zu hören war. Wie kommt so etwas zustande? Auch die Äußerungen, ob nun vom Ministerpräsidenten oder vom Innenminister, die auch von einem „weitgehend erfolgreichen Polizeieinsatz“ sprechen und von einem „weitgehend friedlichen Verlauf“ – davon war für mich nichts zu sehen.

Stadtrat Leipzig – Parkgebühren

Am 11.11.2020 war die Vorlage zur Parkgebührenverordnung im Stadtrat Leipzig zur Abstimmung dran. Es gab mehrere Änderungsanträge, von denen die meisten eine Verschiebung der Einführung forderten. Ich habe, als einzelner Stadtrat, den Antrag gestellt die Einnahmen aus der Erhöhung in den ÖPNV zu investieren. In meinem Redebeitrag habe ich auch meine Ablehnung einer Verschiebung begründet. Der Änderungsantrag wurde vom Stadtrat angenommen, ich könnte mich also freuen – allerdings wurde mit der Annahme des „dritten Anstrichs zum Beschlusspunkt a“ des SPD-Antrags die Einführung nun doch verschoben.

Nachfolgend der Text meines Redebeitrags. Das ist natürlich die Vorlage – Abweichungen beim gesprochenen Wort sind möglich, ich lese ja nicht stur vor. Zur Aufzeichnung des Live-Streams gehts hier.

Sehr geehrter Herr Oberbürgermeister am Livestream, Sehr geehrter Herr 1. Bürgermeister, Meine Damen und Herren Beigeordnete, Kolleginnen und Kollegen Stadträte, Liebe Zuschauer im Saal und am Livestream, Werte Pressevertreter

Es wurde, meiner Meinung nach, höchste Zeit die Parkgebühren nach 9 Jahren endlich anzupassen.
Kostete ein 4-Fahrten-Ticket für die Zone 110 im Jahre 2011 8,00 €, so kostet es heute 10,80 € – das ist eine Erhöhung um über 30%. Das Moratorium für die Ticket-Preise der LVB ist abgelaufen, so dass im August 2021 mit einer Erhöhung zu rechnen ist.
Fahren also 2 Erwachsene mit dem ÖPNV in die Innenstadt bleiben dort 2 Stunden und fahren zurück kostet es 10,80 €. Ein Parkticket für diese Zeit kostet in der jetzigen Zone 1 ganze 4,00 €. Nach der Anpassung sind es 6,00 €, selbst wenn wir die Kosten für den Betrieb des Kfz berechnen ist es also immer noch billiger als das ÖPNV-Ticket. Wozu also das Lamento der Gegner des Antrags?
Mein Antrag, der mit dem der Fraktion Bündnis90/Die Grünen – in deren Punkt 1 – fast deckungsgleich ist, nämlich die Mehreinnahmen durch die Erhöhung der Parkgebühren zweckgebunden für die Entwicklung des ÖPNV einzusetzen mag symbolisch erscheinen. Ich habe meinen Änderungsantrag gestellt weil das „adäquat“ im Grünen-Antrag mir nicht ausreicht.
Diese Mehreinnahmen sind ein Tropfen auf den heißen Stein, wir geben jetzt schon weitaus höhere Summen für den ÖPNV aus und benötigen weitaus mehr finanzielle Mittel um den ÖPNV zukunftssicher und attraktiv zu machen.
Allerdings, wie will die Stadt erklären, dass sie die Gebühren erhöht um MiV-Nutzer zum Umstieg auf den ÖPNV zu bringen – wenn sie das Geld nicht für diesen verwendet?
Im Absatz „Bezug zur Maßnahme B6 der Fortschreibung des Luftreinhalteplanes“ ist beschrieben, dass durch die Erhöhung der Parkgebühren ein Umstieg auf den ÖPNV forciert werden. Ein solcher ist in erster Linie durch eine Verbesserung der Attraktivität des ÖPNV zu erreichen. Eine Verwendung der Mehreinnahmen für diesen Zweck ist somit angebracht und erhöht auch die Akzeptanz für die Erhöhung.
Die Anträge für eine Verschiebung des Zeitpunktes lehne ich persönlich ab – Wenn nicht jetzt, wann dann? Wenn der Zeitpunkt herankommt wird sich wieder ein Grund finden ihn zu verschieben
Ich bitte um Zustimmung zu meinem Änderungsantrag.


Header-Bild by Pixaline from Pixabay