3fgue-technologie

This is a read only archive of pad.okfn.org. See the shutdown announcement for details.

3fgue-technologie 3. Forum gegen Überwachung, 31. August 2014
https://pad.okfn.org/p/3fgue

Technologie

Wir haben uns auf folgende pressetaugliche Zusammenfassung geeinigt:

"Wir wollen Telekommunikations- und Telemedienanbieter ab Zeitpunkt X gesetzlich verpflichten, abhörsichere und anonyme Kommunikation zu garantieren."

Wir treffen uns morgen (Montag) um 17 Uhr im Büro von Simon Kowalewski in der Crellestr. 33; Schöneberg um weitergehende Details eines potentiellen Gesetzesvorschlages zu besprechen, anschließend bringen wir die Debatte ins Netz (wastun-Listen etc).

Der Output vom Montagsmeeting ist in http://youbroketheinternet.org/legislation/ObCrypto-law-proposal-0.5.odt – es gibt aber bereits einige weiteren Änderungen (aber noch nicht gekonsenst). Letzter Stand auf http://youbroketheinternet.org/legislation/

-------------- Zusatzinfos vom 01.09.2014 ------------------

Vorbemerkung: Es gibt mit Sicherheit viele Wege, ein 'Verschlüsselungsgesetz' zu implementieren. Das folgende ist nur ein Beispiel und steht hier in der Hoffnung, dass es für die Erarbeitung hilfreich ist. Wenn Ihr einen anderen Weg gehen wollt ist das auch OK.

Sichere Kommunikation - gesetzlich verpflichtend im EnWG - Energiewirtschaftsgesetz

Die Art der Kommunikation ist! für Smart Metering im EnWG gesetzlich geregelt - und zwar im §21e.

Hier der Link zu dem Gesetzestext: http://www.gesetze-im-internet.de/bundesrecht/enwg_2005/gesamt.pdf
Die Passage ist auf Seite 56.

Zur Erläuterung des §21e:

In Absatz (2) wird festgelegt:

Es muss ein Schutzprofil erstellt werden, dass mögliche Bedrohungen analysiert und Strategien gegen diese Bedrohungen vorschreibt.

In diesem Fall hat die Industrie jahrzehntelang gezeigt, dass sie die Gefahr vor die es zu schützen gilt nicht erkannt hat – somit zeigt der Gesetzesvorschlag selbst "Profil" :)

Die Geräte müssen interoperabel sein, d.h. niemand darf eine proprietäre Technik verbauen. So werden Sicherheitsinseln vermieden, die die Menschen auf einen Technologieanbieter festnageln.

Jupp, ist drin.

Absatz (3) führt den Stand der Technik ein, um

eine Mindestanforderung definieren zu können
um im Falle von technischer Entwicklung die Dynamik des Fortschritts nicht zu behindern

Ok, unser Text hängt die Feature-Latte weit nach oben, macht jedoch keine allzupräzisen Vorgaben was die Realisierung betrifft. Somit sollte er fortschrittsfreundlich sein.

Absatz (4) legt fest, dass es ein Zertifizierungsverfahren gibt, um die oben definierten Standards (oder die Standards, auf die von oben verwiesen wird) im Markt umzusetzen

Bei uns ist das bisher quasi implizit. Wenn sich die telcos auf einen Standard einigen, müssen sie das ja dann wohl auch irgendwie so handhaben. Aber vielleicht reicht das nicht. Good point.

Absatz (5) legt fest, ab wann nur noch zertifizierte Geräte / Dienstleistungen verfügbar sein dürfen - mit evtl. Ausnahmen

Damit haben wir nun einen gesetzlichen Anker geschaffen, aber nun fehlt noch ein verbindlicher 'Stand der Technik'. Dazu verweist der §21e auf den §21i 'Rechtsverordnungen'. Dort kann man dann auf Seite 58 lesen:

"(1) Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates"

heisst also, die Bundesregierung erteilt sich selber das Recht, einen Mindeststandard zu setzen.

Und wie wird dieser nun festgelegt? Da genügt ein Blick in Absatz (1) Punkt 12. Dort wird auf ein Schutzprofil und eine Technische Richtlinie verwiesen:

"12. im Sinne des § 21e Schutzprofile und Technische Richtlinien für Messsysteme im Sinne von § 21d
Absatz 1 sowie für einzelne Komponenten und Verfahren zur Gewährleistung von Datenschutz,
Datensicherheit und Anforderungen zur Gewährleistung der Interoperabilität von Messsystemen und ihrer
Teile sowie Anforderungen für die sichere Einbindung nach § 21c Absatz 5 Satz 1 vorzugeben und die
verfahrensmäßige Durchführung in Zertifizierungsverfahren zu regeln;"

Der Zwang zur Verschlüsselung nach Stand der Technik ist also über drei Dokumente hergestellt

Das EnWG macht als Gesetz alle Regelungen verbindlich und verweist auf weitere Dokumente, die damit automatisch rechtsverbindlich sind.
Das Schutzprofil ist das Ergebnis einer Bedohungsanalyse und zeigt auf, gegen welche Angriffe welche Verteidigungsstrategie zu nutzen sind. Je nach schwere des vermuteten Angriffs muss ein Hersteller den Quellcode seiner Verteidigungswaffen offenlegen, um zu zeigen, dass er tatsächlich wirksame Waffen hat. Das Schutzprofil kann sogar vorschreiben, dass regelmäßige Penetrationstests zu erfolgen haben, um die Wirksamkeit der Waffen im Produktionsbetrieb zu testen.
Die Technische Richtlinie schreibt interoperabel vor, welche Waffen bei der Verteidigung benutzt werden dürfen. Eine konkrete Implementierung wird nicht vorgeschrieben, aber die Verwendung von speziellen Verschlüsselungsverfahren ist da festgelegt.

Ach herrjeh, x Implementationen auditen. Das kann ja lustig werden. So aufwendig wie die Architektur ist, die von unserem Vorschlag eingefordert wird, würde ich ja eher darauf tippen, dass die telcos sich auf eine einzige Implementation einigen. Nichtsdestotrotz ist es natürlich gut die weitere Vorgehensweise festzunageln, somit gibt es da Dinge abzukucken.

Bleibt noch eine letzte Frage zu klären: Wer kümmert sich um Schutzprofil und Technische Richtlinie? Auch das steht in dem Gesetz, am Ende von §21i auf Seite 60: Die Bundesnetzagentur, das Bundesamt für Sicherheit in der Informationstechnik und die Physikalisch-Technische Bundesanstalt. Hier könnte jetzt auch der CCC, der AK Vorrat oder sonst wer stehen - das wäre ja mal was innovatives ;-))

Ich persönlich halte dieses Konstrukt aus Gesetz, Schutzprofil und technischer Richtlinie für einen guten Ansatz, da dadurch zum einen eine gesetzliche Verbindlichkeit geschaffen wird, die proprietäre Lösungen verbietet, der aber gleichzeitig so flexibel ist, dass ohne Gesetzgebungsverfahren der Stand der Technik stetig nachgezogen werden kann.

Ich würde noch hinzufügen, dass immer mehrere unterschiedliche Verfahren unterstützt werden müssen, damit wenn ein Verfahren bricht, auf das Alternativ-Verfahren umgeschaltet werden kann. Zusätzlich sollte definiert werden, wie damit umzugehen ist,
wenn die Verschlüsselung gebrochen ist und keine brauchbare Alternative besteht (Fail-Safe(unsicher weiter kommunizieren) oder Fail-Secure(abschalten)). Dies kann durchaus auch nach "Schutzklassen" gestaffelt werden.

Wenn wir die Gesetzesini als einfache "Empfehlung" an die Kommission weitergeben gemäß http://ec.europa.eu/citizens-initiative/public/how-it-works?lg=de … dann brauchen wir solche Finessen nicht unbedingt selbst einbauen. Das ist dann wohl eine Hausaufgabe für die Kommission. Ausserdem ist im derzeitigen Text kaum technisches – es geht um Grundprinzipien wie der Schutz der Metadaten.