Internet-Standards: IETF streitet über Grundrechtsrisiken bei Protokollentwicklung
Raue Töne und destruktive Reviews. Auf der Konferenz der IETF erheben Aktivisten und Entwickler gegenseitige Vorwürfe bei der Entwicklung neuer Standards.
(Bild: dpa, Tim Brakemeier/Archiv)
Eine kleine Arbeitsgruppe der Internet Research Task Force (IRTF) stellte bei der Konferenz der Internet Engineering Task Force in Bangkok Berichte zu möglichen Grundrechtsrisiken mehrerer neuer Protokolle vor – und eckt damit mächtig an. Die Arbeitsgruppen der IETF hätten in den vergangenen Jahren selbst exzellente Arbeit bei der Verbesserung der Vertraulichkeit im Netz geleistet, sagte die IETF Vorsitzende Alissa Cooper. Die unorthodoxe "Aufsichtsarbeit" ist aber vielen Entwicklern lästig.
Seit den Enthüllungen von Edward Snowden schicken eine Reihe von Nichtregierungsorganisationen wie Article19, CDT oder NetBlocks regelmäßiger Vertreter, um die Arbeit an neuen Internet-Standards zu beobachten, und, wie im Fall der American Civil Liberty Union (ACLU), auch eigene Vorschläge in die Standardisierungsarbeit einzubringen. Daraus ist die bei der IRTF angesiedelte Arbeitsgruppe Human Rights Protocol Considerations (HPRC) entstanden. Diese Arbeitsgruppe prüft mittlerweile häufiger die Protokollentwürfe auf Risiken für Vertraulichkeit, Meinungsfreiheit, Zugangsoffenheit und andere aus internationalen Grundrechtsstandards abgeleitete Rechte der späteren Nutzer.
Die IETF selbst hat in der Vergangenheit abgelehnt, Überwachungsstandards im Sinne von Strafverfolgern zu standardisieren und hält die Fahne gegen neue Gesetze für Hintertüren in Verschlüsselung hoch. Datenschutzaspekte spielen aber eben auch in vielen zunächst unverdächtigen neuen technischen Standards eine Rolle – und Privacy by Design ist angesichts der bei der IETF vertretenen Unternehmensinteressen kein Automatismus.
Quic Review
Als die HPRC in der laufenden IETF Woche Berichte zum neuen Transportprotokoll Quic, zu Vorarbeiten einer Evaluierung von DNS over HTTPS und zu fehlender Datensparsamkeit beim Whois-Nachfolge Protokoll RDAP vorstellte, mussten sich die Aktivisten teils rüde Kritik anhören.
Technisch fehlerhaft, einseitig und wenig hilfreich für die Quic-Arbeitsgruppe lautete etwa das Verdikt zu einer Review des neuen Transportprotokolls Quic. Insgesamt lobten die Aktivisten Quic wegen seiner Vorzüge in Bezug auf die Vertraulichkeit. Eine der Empfehlungen lautete allerdings auch, auf das so genannte Spin Bit zu verzichten. Das hat die Quic Arbeitsgruppe nach einem Jahr Widerstand in dieser Woche doch noch beschlossen – allerdings mit einer Reihe von Einschränkungen für die Netzbetreiber.
Mixed Signals
Die IETF Vorsitzende Alissa Cooper riet der HRPC, statt Berichte zu schreiben direkt mit den Arbeitsgruppen zu sprechen. Doch dort sind die Aktivisten auch nicht immer willkommen. Die Entwickler, die die Verifizierung von Domaininhaber Daten standardisieren, wiegelten in Bangkok ab. Politik müsse aus Standards ferngehalten werden, hielt man Gurshabad Grover vom indischen Institute for Internet and Society entgegen. Tatsächlich hatte die Debatte offenbart, dass der Standard-Entwurf aus dem Haus VeriSign selbst Politik macht: er wollte den VSPs verpflichten, die validierten persönlichen Daten zu speichern.
Ulrich Wisser, DNS Spezialist der Internet Foundation in Schweden, die .se betreibt, kritisierte seine Kollegen daher auch. "Nachdem Snowden uns das Ausmaß staatlicher Überwachung im Netz vor Augen geführt hat, haben wir alle applaudiert und waren uns einig, dagegen etwas zu tun. Das muss man jetzt aber auch machen."
Ex-Europaparlamentsmitglied Amelia Andersdotter von Article19 sagte gegenüber heise online, die inkonsistente Haltung der IETF Spitzengremien erschwere die Arbeit der Aktivisten. Nicht alle Arbeitsgruppen sind dabei ablehnend. Ob bei IoT-Software-Updates SUIT Transportverschlüsselung ausreicht oder Adressverschlüsselung zusätzlich notwendig ist, könne durchaus nochmals diskutiert werden, befand die SUIT Arbeitsgruppe auf eine Nachfrage von Grover.
Rauer Umgangston ein Problem für die IETF
Unabhängig vom Streit mit den Bürgerrechtsvertretern, mussten sich die IETF Spitzengremien diese Woche massive Kritik zum allgemein rauen Umgangston anhören. Neulinge, die die IETF angesichts gesunkener Teilnehmerzahlen gerne binden möchte, würden durch den teils aggressiven Ton in den Debatten abgeschreckt. Cooper kündigte an, die IETF Peergremien würden sich noch in dieser Woche mit dem Thema befassen. (bme)
