35C3: CCC kämpft gegen Upload-Filter, Gesichtserkennung und Hackbacks
Biometrische Überwachung dürfe nicht "das neue Normal" werden, erklärten CCC-Sprecher bei ihrem Jahresrückblick.
Der Chaos Computer Club (CCC) hat am Freitag im Rahmen seines Jahresrückblicks auf dem 35. Chaos Communication Congress (35C3) in Leipzig gemeinsam mit der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) eine neue Kampagne gegen Upload-Filter gestartet. "Ruft Peter Altmaier an", appellierte Kurt Opsahl von der EFF an die versammelte Hackergemeinde. Der Bundesregierung und vor allem dem Wirtschaftsminister käme eine Schlüsselrolle bei den noch laufenden Verhandlungen über die EU-Copyright-Reform zu. Es gelte zu verhindern, dass die Brüsseler Gesetzesmacher schlechte Internetregeln weltweit exportierten.
Der vorgesehene Artikel 13 der geplanten Urheberrechtsrichtlinie, der Plattformbetreiber in die Haftung nehmen soll für nutzergenierte Inhalte, könnte "die gefährlichste Regel sein, die je aus einem demokratischen Prozess hervorgekommen ist", warnte Opsahl. Die Klausel öffne Missbrauch Tür und Tor, da damit jeder Code, Texte, Bilder oder Videos auf eine schwarze Liste setzen lassen könne. Die praktisch geforderten Upload-Filter kosteten Millionen US-Dollar, sodass nur große Konzerne wie Google oder Facebook sich diese leisten könnten. Kleinere Online-Anbieter hätten das Nachsehen. Dies sei schlecht für den Wettbewerb, die Künstler und die Meinungsfreiheit.
Es gelte rasch zu handeln, da ein fauler Kompromiss Mitte Januar in Brüssel festgezurrt werden solle. Über vier Millionen Nutzer hätten bereits eine Petition gegen Upload-Filter unterzeichnet. Damit die Politik die digitalen Bekundungen nicht als Aktivitäten von Bots abtun könnten, sei nun die persönliche Anrufwelle wichtig. Eine Kontaktliste haben EFF und CCC veröffentlicht.
Viele Baustellen
Auf einer zweiten Brüsseler Baustelle seien auch "Terrorfilter" in der Mache, ergänzte CCC-Sprecherin Constanze Kurz. An dieser Front dürften die Datenreisenden zudem nicht das hiesige "NetzDG" aus dem Blick verlieren, auch wenn die Betreiber sozialer Netzwerke nach ersten Statistiken mehr aufgrund ihrer internen Community-Richtlinien als über Hinweise aus den gesetzlich vorgeschriebenen Beschwerdeformularen löschten.
Zu den Ergebnissen ihrer netzpolitischen Aktivitäten in 2018 zogen Vertreter der intergalaktischen Hackervereinigung ein gemischtes Fazit. Als Erfolg werteten sie, den massiven Widerstand gegen die Reformen von Polizeigesetzen auf Länderebene mitorganisiert zu haben. Allein in Hannover sei so eine der größten Demonstrationen der vergangenen Jahre in Niedersachsen zustande gekommen, freute sich Falk Garbsch alias Nexus. Es gehe darum, etwa einen ausgeweiteten Einsatz von Staatstrojanern oder eine ausufernde "Gefährderhaft" zu verhindern. Auch das rege Interesse an einer erstmals mit durchgeführten "Bits & Bäume"-Konferenz zur Nachhaltigkeit in der Digitalisierung stehe auf dem Positivsaldo.
Als "frustrierend" bezeichnete es dagegen Frank Rieger, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) nur eine "Wischiwaschi-Regelung" mit Kann-Bestimmungen gegen unsichere Plaste-Router herausgegeben habe. "Diese Runde haben die Lobbyisten der Kabelnetzanbieter gewonnen", konstatierte der CCC-Sprecher. Eventuell könne man in den Folgegesprächen aber noch Nachbesserungen erreichen. Bisher habe sich das BSI aber in der Auseinandersetzung nicht mit Ruhm bekleckert.
Biometrische Übwerwachung soll nicht normal werden
In der bislang herausgekommenen Technischen Richtlinie stehe "nichts drin, was den Herstellern weh tun würde", untermauerte Linus Neumann die Kritik des Clubs und der OpenWrt-Community. Eine alternative Open-Source-Firmware sei wichtig, da sonst kein Support mehr für ältere Geräte gewährt werden könne. Hiesige Routerhersteller hätten dagegen nur ein Interesse daran, "ein Deutschland-Siegel" auf ihre Pakete zu drucken, "um höhere Preise zu rechtfertigen". Für das vom CCC geforderte Haltbarkeitsdatum bestehe allein die Option, es auf die Webseite zu schreiben.
Schwer beschäftigt waren die IT-Sicherheitsexperten im auslaufenden Jahr auch erneut mit Systemen vor allem zur automatisierten Gesichtserkennung. Den Abschlussbericht zu einem einschlägigen Videoüberwachungsprojekt am Berliner Bahnhof Südkreuz werte Kurz als "dreiste unwissenschaftliche Beschönigung". Da die Bundespolizei und das federführende Innenministerium die Zwischenergebnisse des Tests "geheim gestempelt" hätten, sei ihnen zurecht der Negativpreis der "Unstatistik des Monats" verliehen worden. Dass nun ein Ableger mit 76 Kameras in Mannheim anstehe, sei ärgerlich, denn biometrische Überwachung dürfe nicht "das neue Normal" werden.
Sorgen bereitet dem CCC auch die laufende Debatte über "Hackbacks" durch staatliche Stellen wie die geheimdienst- und bundeswehrnahe Zitis oder die künftige Agentur für disruptive Innovationen in der Cybersicherheit (ADIC). Dabei drehe sich alles darum, die "Offensiverlaubnis" für IT-Angriffe zu bekommen, erklärte Neumann. Ziel sei es, Systeme schon vor einer möglichen Attacke von außen zu infiltrieren. Der Hacker unterstrich: "Genau da sollten wir nicht hin."
Dagegen habe der Club eine defensive Cyber-Strategie ins Spiel gebracht, führte Rieger aus. Diese reiche von Kennzeichnungspflichten für Geräte über Anreize für sichere Software bis hin zu einer harten Haftungspflicht für unsichere IT-Systeme, um Angriffsmöglichkeiten zu verringern. Ein "Zurückschlagen" bringe dagegen nichts. So sei die Kommandoführung beim Bundeshack über kommerzielle E-Mail-Anbieter gelaufen.
Urteile gegen Massenüberwachung ignoriert
"Wollt ihr Gmail hacken?", richtete Rieger daher als Frage an die künftigen Cyberkrieger. Erfolgsversprechender seien internationale Verträge gegen IT-Angriffe oder "Killer-Roboter". Andernfalls müssten die Hacker sich darum kümmern, dass keiner aus der Community Bock habe, für solche Hersteller oder Behörden zu arbeiten. Nicht weniger bedenklich sei, dass die Crypto Wars mit Anordnungen für Hintertüren wie jetzt in Australien "auf die Unternehmen zugetragen" würden. Es werde nun spannend, ob die Konzerne mitspielten.
Neben der hohen Manipulationsmacht von Facebook & Co. und den potenziellen Folgen für demokratische Prozesse oder Zero-Rating-Angeboten, die nicht begünstige Inhalte im Netz diskriminierten, ist den Hackern auch die Vorratsdatenspeicherung und die geheimdienstliche Massenüberwachung weiter ein Dorn im Auge. Kurz beklagte, dass die EU-Staaten die einschlägigen Urteile des Europäischen Gerichtshofs gegen das anlasslose Protokollieren von Nutzerspuren weitgehend ignorierten und sie zu umgehen suchten. Der Europäische Menschengerichtshof habe zudem die Spionage des britischen Geheimdiensts GCHQ zum Teil als rechtswidrig erachtet. Die Mitklägerin berichtete, gegen das noch unzureichende Urteil zusammen mit mehreren Bürgerrechtsorganisationen gerade eine "schriftliche Erwiderung" eingereicht zu haben. Der Fall werde also noch einmal verhandelt. (tig)