Ich wundere mich, dass es dieses Thema hier noch nicht gibt, aber gut.
Die von der EU diskutierte Chatkontrolle … kann mir jemand von euch erklären, wie dies eigentlich TECHNISCH umgesetzt werden soll?
Da müsste doch z.B. Whatsapp eine EU-Version erstellen, welche sämtliche übertragene Daten (Text,Bilder,Videos) parallel an den 100% vertrauenswürdigen EU-Kontroll-Server schickt oder keine Ende-zu-Ende-Verschlüsselung mehr beinhaltet. Und selbst wenn: was hält mich davon ab, dann einfach die US-Version mit Ende-zu-Ende-Verschlüsselung zu installieren? Und woher weiß Google/Apple denn, aus welchem Land ich stamme? Man kann ja einen VPN nutzen und sich aus einem anderen Land registrieren? Meines Wissens gibt es (noch) keine Verknüpfung mit einer Handynummer.
Oder einen Messenger-Services zu verwenden, der bei dem EU Schwachsinn nicht mitspielt? Dem es egal ist, wenn ihn Google oder Apple aus ihren Stores verbannen müssen?
Wenn ich es recht verstehe, ist das Ziel der Chatkontrolle nicht, die Chatverläufe an einen Server der EU zu schicken. Die EU will einfach die Betreiber selbst verpflichten, die Chats auf unerwünschte Inhalte hin zu durchleuchten.
Man kann wohl davon ausgehen, dass Google und Apple alles wissen, wenn man deren Smartphone-Betriebsysteme verwendet. Wer das nicht will sollte sich schon die Mühe machen, ein privatsphärefreundlicheres Open-Source-System zu verwenden.
Einen privatsphärefreundlichen, am besten Open Source Messenger-Service sollte man dann natürlich auch verwenden.
Eine der größten Sorgen von IT-Sicherheitsexperten, Bürgerrechtsorganisationen und Datenschützer bei der Chatkontrolle ist das Scannen verschlüsselter Kommunikation. Dem begegnet der Parlamentsausschuss, indem er Kommunikation ausnimmt, „bei der eine Ende-zu-Ende-Verschlüsselung eingesetzt oder angewendet wird oder wurde“. Das heißt: Wer zum Beispiel Ende-zu-Ende-verschlüsselt mit WhatsApp, Signal oder Threema kommuniziert, soll dem Ausschuss zufolge nicht per Chatkontrolle überwacht werden dürfen.
Das schiebt auch dem befürchteten Client-Side-Scanning einen Riegel vor. Dabei ließe sich Verschlüsselung umgehen, indem Inhalte auf den Geräten gescannt werden, bevor sie etwa beim Versenden einer Chatnachricht Ende-zu-Ende-verschlüsselt werden.
Hmm … wenn Kommunikation ausgenommen werden soll, bei der Ende-zu-Ende-Verschlüsselung eingesetzt wird, dann bleibt ja im Grunde genommen nicht mehr viel übrig, was gescannt werden könnte? Email? SMS? Damit würde die Chatkontrolle doch sterben.
Ich kann mir kaum vorstellen, dass die Initiatioren auf client-side-scanning verzichten (die entschärfte Version / Kompromissvorschlag ist bis jetzt ja „nur“ ein Vorschlag)
Wenn man in diesem Fall seine Privatsphäre schützen möchte, dann bleibt ja nur, wie von @sypher angedeutet, der Umstieg auf ein anderes OS. Und hier sehe ich das Problem, dass das am Ende kaum ein Nutzer macht, weil man sich zu intensiv mit der Materie auskennen muss → zu umständlich für die breite Masse. Anders ausgedrückt: die breite Masse lässt sich lieber überwachen anstatt sich mit einem anderen OS auseinanderzusetzen. Und da nehme ich mich nicht aus, verwende ja auch Windoof und nicht Linux …
Hieße im Endeffekt, dass sowohl Sphinx Chat als auch Nostr keine Vorteile bei der Privatsphäre bieten, so lange man das Standard OS laufen hat?
Das ist wohl das große Problem. Den meisten Menschen ist Privatsphäre entweder sowieso scheißegal („Ich hab ja nichts zu verbergen“) oder wenn das nicht, hat die Vermeidung schon der geringsten Unbequemlichkeit, wie etwa, ein anderes Betriebsystem auszuprobieren, Priorität vor dem Schutz der eigenen Privatsphäre. Unter solchen Voraussetzungen haben Überwachungsstaat oder auch Überwachungskonzerne natürlich leichtes Spiel.
Zweifellos. Ein vertrauenswürdiges Programm auf einer nicht vertrauenswürdigen Plattform bringt nicht viel.
Man sollte wissen dass solche Ideen eindeutig auf eine Massenüberwachung abzielen. Weil bei Verdachtsfällen mit richterlichem Beschluss hilft bei handelsüblichen Geräten auch keine End-zu-End Verschlüsselung. Es ist seit vielen Jahren bekannt dass man solche Geräte über Sicherheitslücken relativ einfach kapern kann. Dadurch wird ein Art Rootkit auf Systemebene installiert, der Trojaner kann dann alle auf dem Gerät entschlüsselten Nachrichten mitlesen und umgeht somit die Verschlüsselung.
Das heißt um bei Verdachtsfällen effektiv Leute zu überwachen braucht es keine solchen Gesetze.
Ich hab auch schon Betrachtungen gesehen, die davon ausgehen, dass die Umsetzung der Chatkontrolle das Ende von Open-Source bedeuten könnte, da die freien Entwickler die Auflagen nicht erfüllen könnten und somit deren Software illegal würde. Wenn man dann einfach „cui bono“ fragt, könnte man darauf kommen, dass das für die „großen Tec-Konzerne“ nicht unerwünscht sein könnte.
Ja, so denken die meisten - es ist aber ein Trugschluss und ein grober Fehler: Ich verwende seit vielen Jahren nur noch (Manjaro-)Linux und kann dir versichern: Linux ist einfacher, besser, schneller, sicherer und kostengünstiger, als Windows oder iOS. Wobei iOS wenigstens technisch noch mithalten kann - Windows aber wirklich schlecht ist.
Allerdings ist es dabei, wie mit allem: Nicht das Beste setzt sich durch, sondern dass, was das beste Marketing hat.
Übrigens kann ich auch für das Smartphone nur immer wieder eine der Apple- und Googlefreien Alternativen empfehlen. Es gab immer welche, es gibt viele (ich verwende /e/OS), man muss aber kurzzeitig seine Komfortzone verlassen, um in das viel bessere Fahrwasser zu gelangen.
Apple kann sicher das iPhone auslesen und andere Hersteller sicher auch.
Das kann z. B. auch alles auf Hardware-Ebene geschehen. Da schützt dich gar kein Messenger.
Heute dann noch eSIM.
Es gab auch mal den Fall, bei dem das Handy eines arabischen Kritikers über das Empfangen einer SMS, ohne dass es einer Aktion erfordert hat, kompromittiert wurde. Facebook, WhatsApp, Signal, … konnte komplett ausgelesen werden. Der Betroffene wurde nachher in der türkischen Botschaft durch seine anderen arabischen Landsmänner, glaub Saudis, zersägt und in Koffern rausgeflogen.
Ende-zu-Ende-Verschlüsselung ist gut, sofern keine Hintertüren drin sind.
Entscheide dich für die vertrauenswürdigsten Messer, wie Signal und Threema, geh sparsam mit Daten um. Was ich gar nicht verstehe, ist der Hype um Telegram. Interessant sind auch die neuen BTC-Messenger. Du brauchst aber für jeden Teilnehmer eine Node. Würdest du das auf Geschäftsebene nutzen, wäre das eine Node je Mitarbeiter.
Mehr kannst du nicht tun, oder willst du mit Brieftauben arbeiten? Die können auch abstürzen.
Könnte man nicht (oder gibt es das?) eine externe offline Hardware (ähnlich wie ein Blackbarry) nutzen, die nur PGP Nachrichten verschlüsselt und entschlüsselt und per Bluetooth mit dem Handy die verschlüsselten Nachrichten austauscht?
Das wäre umständlich, aber sollte sicher sein, oder? Es wäre quasi wie eine Hardware Wallet, bei der man jede Transaktion/Nachricht vorher signiert/verschlüsselt.
Es müsste automatisiert funktionieren und kompatibel mit den Messangern sein, so dass man quasi nur seine externe Hardware zum Chatten braucht.
edit da hatten wir wohl im selben Augenblick diesselbe Idee @mapleloopsong
Da bräuchte es fast so etwas wie eine Bitbox oder Ledger für das Smartphone. Ein „nicht kompromitierbares“ Gerät mit sehr schmalem Code, auf welchem man die Nachricht eingibt, die dann dort verschlüsselt, dann per bluetooth aufs Smartphone und von dort ins Netz geschickt wird. Ist natürlich maximal benutzerunfreundlich und würde sich deswegen wohl auch kaum durchsetzen. Wäre aber technisch gesehen eine ziemlich sichere Möglichkeit.
Wenn ich so drüber nachdenke, könnte sogar ein „altes“ Smartphone ohne Internetzugang und einer entsprechenden App solch ein nicht kompromitierbares Gerät darstellen. Dass man dann immer zwei Smartphones laden und mit sich herumschleppen darf, versteht sich von selbst.
Das sind alles nur Gedankenspiele, wie man eine mögliche Chatkontrolle auf technischer Ebene aushebeln könnte. Warum ich dem Braten „Kompromis“ nicht traue, sieht man gut in den Kommentaren im von @KrisenSicher verlinkten Artikel von Netzpolitik.org, zum Beispiel:
Das ist kein Kompromiss, das ist ein de facto Sieg der Chatkontroll-Befürworter. Das ganze wird, inklusive Client-side-scanning, auf Betriebssystem-Ebene eingeführt, halt nicht in den Apps selber. Verdacht und Richtervorbehalt sind jederzeit problemlos zu etablieren oder abzuschaffen. Glückwunsch, verloren.
Das ganze Thema ist sehr traurig und gefährlich. Aber ich bin zuversichtlich dass es, sobald es nötig ist, Lösungen geben wird. Aktuell entwickeln sich, leider sehr schleichend, viele Alternativen. Je extremer das Thema wird desto höher wird die Nachfrage nach solchen Alternativen werden. Je höher die Nachfrage ist desto schneller werden sich Angebote etablieren. Im worst case könnten sich DIY Lösungen etablieren.
Fakt ist, es wird immer Möglichkeiten geben, sich solcher Kontrolle zu entziehen. Umso fragwürdiger sind diese Entscheidungen. Denn am Ende betrifft es nur die, die nichts kriminelles vor haben. Die Kriminellen werden einen Weg finden, unentdeckt zu bleiben.
Am Ende wird einfach nur der Normalo Bürger routinemässig abgehört und jeder der wirklich will wird das easy umgehen können.
Die archivieren das sicher 200 Jahre oder? Können wir nicht einen Schwarm von AI chat bots machen welche diese Dienste mit irgendwelchen Bullshit Gesprächen fluten? Oder einfach erst mal Terrabyte weise Entropie in die Chats pumpen und denen die Disks füllen (das werden sie halt irgendwann merken, deshalb dann chat bots ).
Ich geh dann mal Hitachi und Western Digital Aktien kaufen, bis nachher…
EDIT:
Das Schweizer Parlament hat neulich die Regierung beauftragt das Volk vor der EU Überwachung zu schützen: Motion. Ich habe zwar keine Ahnung wie sie das umsetzen würden.
Ich meine so ein Gesetz ist ideal wenn du deinen Geheimdiensten die Infrastruktur auf einem Silbertablett servieren willst über wirklich jede und jeden automatisch ein Kompromatdosier zu sammeln und damit für diese erpressbar zu machen sollte die Person politische oder wirtschaftliche Ambitionen entwickeln.
Entweder sind die Politiker schon kompromittiert dass die das pushen oder zu blöde zu kapieren das sie sich damit am ersten mal selber ins Bein schiessen. Oder beides… Ich tippe auch beides.
Es werden die Daten wahrscheinlich auch nach einer Weile des Sammelns dann in eine AI gespeist, welche dann ein „Verdächtigkeitslevel“ ausspuckt und dann gehen die Behörden wie der Nachrichtendienst oder gar die NSA rein und überprüfen alle Menschen mit den höchsten Verdächtigkeitsleveln manuell per Pegasus/Bundestrojaner.
So könnte ich mir vorstellen wird sich das ausspielen am Ende.
Absolut wird das passieren. Die stehen bestimmt schon in den Startlöchern um die Daten nach potenziellen „Gefährdern“ abzugrasen die sie dann ohne Anklage einfach mal einbuchten zum „Schutz der Bevölkerung“. Die Infrastruktur dazu wird gerade hochgefahren oder ist zum Teil schon da.
Ich kann nur jedem raten sich möglichst mit Linux und Open Source vertraut zu machen um sich für den ganzen Überwachungsstaat unsichtbar zu machen. Das ist das einzige was sie nicht einfach per Gesetz mit Hintertüren zum Daten abschnorcheln versehen können.
