Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!
Hut ab! Eine solche Einordnung würden die meisten Zeitungen nicht hinbekommen.
Den Digital Markets Act finde ich erstaunlich klug. Ein solches Regelwerk unbeschadet durch den Gesetzgebungsprozess (zumindest durch den schwierigen "Trilog") zu bringen, ist ein seltener Glücksfall. Das könnte weltweit ein Vorbild dafür werden, wie man den Wettbewerb in einer Plattformwirtschaft sichert.
Nur die Interoperabilität wird wohl nicht funktionieren.
Sie bringt zu grosse Sicherheitsprobleme mit sich.
Denn alle interoperablen Anbieterinnen müssen sich einigen über die Behandlung der Inhalte, die der Empfänger nicht wünscht oder die ihm schaden.
Und: Lückenlose Verschlüsselung hat insgesamt grosse Sicherheitsvorteile gegenüber bewusst geschaffenen Lücken.
Leider finden die Interessen von Bürgerinnen und Unternehmen an lückenloser Verschlüsselung (und an IT-Sicherheit allgemein) kaum Fürsprecher im politischen Prozess.
Verschlüsselung ist für den Normalsterblichen einfach zu abstrakt, weil schlussendlich höhere Mathematik. Deshalb finde ich das Beispiel mit den Briefumschlägen im Text, die an der Grenze geöffnet und umverpackt werden müssen absolut genial.
Ich finde die Analogie nicht geeignet. Denn der bestehende CH Briefumschlag kann einfach in einen zweiten FR gesteckt werden (und umgekehrt). Dies ist ein typisches Muster zur Erreichung von Interoperabilität ohne das bestehende zu ändern. Funktioniert natürlich nicht bei Verschlüsselung.
Solche Kritik ist ein Minenfeld, denn einerseits sind sowohl der Überwachungshunger als auch teils die technische Unbedarftheit der Regulatoren wohlbekannt und da ist höchste Wachsamkeit angesagt (und Danke dafür!). Andererseits muss frau/man sich klar sein, dass hier die mächtigsten Lobbyisten der besagten US-Konzerne eifrig am Werk sind, negative Argumente zu spin-doktern und in die Redaktionsstuben zu spülen, um derlei Regulierung zu verhindern oder wenigstens zu verzögern.
Inhaltlich kann ich fast alles nachvollziehen, aber die Aussage, dass End-Zu-End Verschlüsselung unter der Interoperabilität der Anbieter nicht möglich sein soll, bzw. die Aussage "für den Transfer zwischen Messengern müssen die Daten zuerst einmal entschlüsselt und anschliessend im Zielmessenger neu verschlüsselt werden" ist ganz und gar unzutreffend und die Vermutung liegt halt nahe, dass so ein Argument aus der Küche von Tech-Lobbyisten stammen könnte.
Eine solche Messsage kann sehr wohl End-Zu-End verschlüsselt übertragen werden, dafür müssen die Anbieter lediglich ein gemeinsames (oder wechselseitig offengelegtes) Datenformat verwenden und entsprechende Public Keys tauschen. Da kann unterwegs niemand mitlesen.
So funktioniert ja seit nun mehr als 30 Jahren "PGP" für E-Mails oder das mehr auf Chat zugeschnittene "Matrix" (mit übrigens allerlei weiteren Vorteilen).
https://www.openpgp.org/
https://matrix.org/
Dass dabei (ausser bei dezentraler Verwendung von Matrix) die Meta-Daten aussen vor bleiben, also immer noch ge-track-t werden kann wer-wann-mit-wem, trifft auch innerhalb desselben Messengers zu, also ohne Interoperabilität.
Eine solche Messsage kann sehr wohl End-Zu-End verschlüsselt übertragen werden, dafür müssen die Anbieter lediglich ein gemeinsames (oder wechselseitig offengelegtes) Datenformat verwenden und entsprechende Public Keys tauschen. Da kann unterwegs niemand mitlesen.
Das funktioniert unter der Annahme, dass alle bei einem solchen Austausch beteiligten Messenger dieselben Prorokolle, dasselbe Verschlüsselungsverfahren und denselben Schlüsselmechanismus anwenden. Ich mag mich täuschen, aber meiner Meinung nach ist diese Annahme falsch (Threema verwendet zum Beispiel ein anderes Verfahren als WhatsApp, und iMessages wohl ebenfalls).
Was funktionieren kann ist eine lokal laufende Gateway-App (wie es ja auch Matrix vorschlägt) welche quasi mehrere Protokolle spricht und und so dem Nutzer direkten Zugang zu den angeschlossenen Messenger-Netzen gibt. Inwieweit eine solche dann noch einen Mehrwert ggü dedizierten Apps darstellt, muss jeder für sich selber entscheiden.
Und wie bei PGP-verschlüsselter Mail stellt sich generell die Frage der Meta- und Adressdaten. Diese sind für beteiligte Plattformbetreiber so oder so sichtbar (und allenfalls auch für Ermittlungsbehörden zugänglich).
Im idealen Fall könnten sich die Anbieter alle auf ein Protokoll (à la Matrix) einigen, das kann ja immer ein gemeinsamer Nenner sein, mit Erweiterungsmöglichkeiten, die sie dann proprietär bewirtschaften dürfen.
Falls so ein Standard nicht zustande kommt, ist es klar, dass bei Interoperabilität die Verschlüsselung und das Datenformat schon auf dem Client des Senders an den Empfänger angepasst werden muss. Wenn es ein Empfänger im eigenen Messenger-Biotop ist, kann eine proprietäre Methode verwendet werden, wenn nicht, dann braucht es entweder ein Standard-Protokoll, oder (im schlechtesten Fall) eine Anpassung an ein offengelegtes Protokoll des Ziel-Messengers.
Hinweis: Bei Gruppen/Verteilern muss bei E2E Public Key Messaging eh mindestens der Transport-Schlüssel pro Empfänger verschlüsselt und mitgeschickt werden, diese "Anpassung an den Empfänger" ist also quasi ein inhärentes Element.
Alle diese Messenger-Dienste kochen auch nur mit Wasser. Es gibt nur wenige Public Key Verfahren und es ist der Sicherheit und dem Vertrauen sicherlich zuträglich, wenn man sich auf offene anerkannte Verfahren und Standards (RFCs) einigt, so wie bei PGP und S/MIME. Es gibt keinerlei Grund, warum die einzelnen Messenger dann noch proprietäre Verfahren nach anrüchiger "Security through obscurity" fahren müssen (Erweiterungen wie oben gesagt vorbehalten).
Diese Messenger sind ja keineswegs Raketenphysik, ein bisschen Klartext, vielleicht noch extra Emojis (wenn Unicode nicht reicht) und multi-part/Attachments verpacken. Fertig.
Bei diesen gratis Internet-Anwendungen ist ja nicht die eigentliche Anwendung das Produkt. Sie als User sind das Produkt! Im besten Fall für Werbetreibenende, aber wahrscheinlich auch für allerlei andere Halsabschneidereien. Da ist dann die "Raketenphysik" drin.
Der Matrix Bridge muss man dann aber auch vertrauen, weil hier wie im Text vorher "der Inhalt der Briefumschläge umverpackt wird".
Ich denke aber auch, das grösste Problem dürfte effektiv die Sache mit dem Adressbuch werden. Dann werden die Adressbücher der Signal User an Whatsapp übermittelt, was ein Signal-Benutzer ja möglichweise genau vermeiden wollte. Oder gibt es da schlaue Ideen, wie dies (massentauglich!) gelöst werden kann?
Ja, die Annahme ist heute falsch. Sie zeigt aber eine wünschenswerte Lösung
Genau dies sollte eine Regulation ändern. Die Standardisierung der Schnittstellen ermöglicht Interoperabilität der Anbieter. Ohne offene, standardisierte Protokolle gäbe es kein globales und dezentrales Internet (DNS, BGP, IP,...) und kein Web (HTTP, TLS,...).
Gerade Matrix ist doch ein Beispiel dafür, dass es mit E2E nicht klappt. Das wird bei Matrix nur dadurch entschärft, dass die Bridge selber betrieben werden kann. Das ist aber nicht Massentauglich und, wenn dies beispielsweise eine Firma für die Mitarbeiter macht, genau gleich wie die übliche SSL Interception auf dem Web-Proxy.
Sie dürfen Matrix nicht mit den quasi als "Zubehör" erhältlichen Bridges gleichsetzen.
Die Bridges werden ja eben gerade ohne Kooperation der überbrückten Messenger betrieben. Logisch, dass man da umverschlüsseln, selber betreiben und/oder vertrauen muss. Das darf man aber nicht vergleichen mit einem Betrieb innerhalb des Matrix-Standards. Es gibt ja X Matrix Implementationen und bei diesen wird E2E selbstredend voll unterstützt.
Und genau darum braucht es ja auch die EU-Verpflichtung, so einen Standard zu unterstützen.
Ich bin absolut einverstanden mit Herrn K.
Weil relevant für die Diskussion: Matrix hat sogar grob umrissen wie eine solche Interoperabilität praktisch ungesetzt werden könnte. Hier der Link: https://matrix.org/blog/2022/03/29/…-dma-world
Für mich als DAU klingt es klingonisch, doch bin ich froh, dass es wache Köpfe gibt, die sich der Thematik annehmen, aufklären und sich für Datenschutz und Persönlichkeitsrechte einsetzen. Wobei die Frage nach wieviel Überwachung nötig oder gewünscht ist beschäftigt mich und ich bin ambivalent…
Ein System das Überwachung zulässt und gleichzeitig Privatsphäre garantiert, ist technisch nicht möglich.
Prove me wrong!
Keine wirkliche Challenge, wenn es sich um eine Kontradiktion handelt à la «Die Flat Earth Gesellschaft hat Mitglieder rund um den Globus.».
Aber for the sake of the argument: Die «Blackbox» ist im Grunde eine «private Überwachung». Erst im Falle eines «Unfalls» würde sie «geöffnet» werden.
I don‘t even want to try…
nuqneH
Eigentlich haben wir ja schon den Anspruch, dass unsere Texte eben genau nicht klingonisch rüberkommen. Wenn uns das diesmal nicht überall gelungen sein sollte, wäre ich um konkrete Hinweise auf entsprechende Stellen froh.
Kurz gefasst lässt sich generell sagen, dass digitale Überwachung praktisch immer alle betrifft, d.h. jede Massnahme und Regulierung trifft sowohl die welche wir allenfalls als überwachungswürdig ansehen wie auch uns alle anderen. Und oft ist es zumindest PolitikerInnen nicht klar (oder wird bewusst ignoriert) welche Nebeneffekte vordergründig gut gemeinte Eingriffe in die digitale Kommunikation haben.
Guten Tag Herr L., vielen Dank für Ihren Kommentar. Gerne würde ich - wie mein Kollege Patrick bereits fragte- auch wissen wollen: wie könnten wir das Ganze NICHT klingonisch aufschreiben?;-)
Ich glaube, das ist mit den Einschub-Boxen eigentlich ganz gut gelöst. Mehr Details gehen wahrscheinlich nur, wenn man mal einen ganzen Artikel mit den Grundlagen verfassen würde. Vielleicht hatt Herr L. das Beispiel mit dem Umverpacken von Briefumschlägen überlesen. Aber auch die Problematik mit den Europäischen Zertifikatstellen war sogar für mich, der ich "in der Welt lebe" schon nicht ganz einfach formuliert.
Der Hinweis auf "Let's Encrypt" fand ich übrigens nicht so ganz passend, weil das ja nur die Verschlüsselung zwischen dem Client und dem Server sicherstellt aber nur sehr bedingt hilft zu erkennen, ob ich wirklich mit dem Server meiner Bank kommuniziere oder aber nur mit einem Server, der dank spezieller Sonderzeichen in der URL nur so aussieht wie der Server meiner Bank.
Wie wenn der Vorstand des Schweizerischen Verbandes für Pferdesport dem CERN Empfehlungen für den Betrieb des Large Hedron Colliders abgeben würde. Weil, ich bin auch eine Kernphysikerin.
Danke, dass ihr dran bleibt!
</sadirony>
Ich weiss nicht, ob wir mit unserem Milizsystem in dieser Hinsicht das Maul zu weit aufreissen sollten..
Voll einverstanden ... NDG und Büpf olé!
Mir schwant Böses. Die Absichten mögen wohl gut sein, aber wenn es so rauskommt wie beim "Exportschlager und Trendsetter" DSGVO, dann sehe ich schwarz.
Auch bei der DSGVO waren nicht die Absichten das Problem, sondern die Umsetzung. Datenschutz ist ein wichtiges Thema, soweit so klar. Die DSGVO aber wurde ein 88-seitiger Papiertiger (https://www.datenschutz-grundverord…DE_TXT.pdf) formuliert wohl von mehrheitlich Technologie-fernen Bürokraten.
Die Folge: Gefühlt täglich 50 zusätzliche Klicks um Cookie Hinweise wegzuklicken, sowie eine Zunahme von AGB artigen Disclaimer Texten (die niemand liest und daher vor Gericht auch nicht wirklich etwas taugen) um 200%.
Man stelle sich bloss einmal diesen gewaltigen Leerlauf vor, der quasi jeden Website Betreiber verpflichtet so eine "Privacy Policy" und einen Cookie Banner anzuzeigen. Das mag den Juristen Arbeit geben, dem Nutzer bringt es bloss lästige zusätzliche Hinweise.
Dabei wäre technisch eine Browser-seitige Umsetzung viel einfacher und auch wirkungsvoller. Nur: Das will die Politik ja gar nicht, die Werbelobby in Brüssel ist zu stark. Also gibt man sich ein 88-seitiges Datenschutz Feigenblatt und spekuliert darauf, die User nach deren Zustimmung wacker weiter zu tracken.
Die Cookieklickdinger sind meist nicht DSGVO-konform und das wird auch gerade von Max Schrems/NOYB eingeklagt: https://noyb.eu/en/more-cookie-bann…s-underway.
Es wäre auch ganz trivial eine konforme Website zu haben: einfach keine Daten sammeln.
Die klassische Lösung für Interoperabilität wäre ein offener Standard mit nicht-diskriminierender Lizenz und Zugang für alle, die Anbieter werden wollen (nicht nur die ganz Grossen). Aber vielleicht will ja die EU, wie die meisten anderen Regierungen nicht unbedingt die Verbreitung von Chat mit e2e Verschlüsselung fördern - man danke ja and die Kinder und den Terrorismus!
So etwas gibt es schon länger https://xmpp.org/
Vielen Dank für diesen Überblick samt Einordnung. Ich frage mich allerdings, wo der Digital Services Act geblieben ist / weshalb er fehlt.
Der DSA steckt in der Pipeline der EU-Gesetzgebung und liegt nach unserem Wissen noch nicht in einer Form vor die man als „vermutlich final“ bezeichnen kann.
Vielen Dank - bei mir ist die gleiche Frage aufgekommen und es stimmt natürlich, dass der DSA-Text noch nicht final ist. Trotzdem scheint mir das Auschlusskriterium etwas vage definiert: Verschiedene Initiativen wie die NIS2-Direktive oder der European Chips Act sind an der gleichen Stelle (NIS2) oder noch viel früher im Gesetzgebungsprozess (ECA) als der DSA.
Vielen Dank für Ihre Antwort. Ich teile Ihre Einschätzung und hatte das Ausschlusskriterium wohl überlesen.
Wir haben ein Internet gebaut, wenn das kaputtreguliert wird, bauen wir halt ein zweites:
Ich verstehe die Strategie hinter dem European Chips Act nicht. Das Ziel ist es doch, Europa unabhängiger zu machen von internationalen Chipfertigern. Warum aber soll dann das Geld ausgegeben werden um Intel und TSMC Fabriken zu fördern. Nur weil die Fabriken in der EU stehen, heisst das ja nicht, dass die dann auch für die EU arbeiten. Oder dass die USA und Taiwan keine Kontrolle über diese Firmen und deren Fabriken haben.
Für mich sieht das so aus, als würde hier EU-Steuergeld an internationale Firmen bezahlt, welche damit ihre Marktposition und ihren technologischen Fortschritt weiter stärken werden. Zudem erhalten diese Firmen, von denen die EU bereits in vielerlei Hinsicht abhängig ist, dadurch weitere Druckmittel. Denn bestimmt werden grosse Fertigungswerke wichtige Arbeitgeber sein in der Region.
Oder, ein wenig zynischer formuliert:
Da will sich doch irgend ein Politiker gesund stossen. Den interessiert es nicht, dass er die Steuergelder den multinationalen Konzernen in den * schiebt und das angebliche Ziel dabei meilenweit verfehlt, ja sogar untergräbt. Solange das so aussieht als würde er etwas tun, am besten möglichst schnell, und er sich vor eine grosse Fabrik stellen kann und sich damit brüsten, wie viele Arbeitsplätze er geschaffen habe.
Dass das er das Volk für dumm verkauft und das Geld zum Fenster hinaus geworfen hat, wird man erst in der nächsten Krise merken, bis dahin ist seine Amtszeit längst vorbei...
Vielleicht kriegt er in der Zwischenzeit ja auch noch ein Verwaltungsratsmandat bei Intel, oder eine gut bezahlte "Berater"-Position bei TSMC...
Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz