• Generalverdacht | c’t | Heise Magazine
    https://www.heise.de/select/ct/2019/8/1555076053244429

    La deuxiéme chambre du parlement national d’Allemagne Bundesrat vote pour une proposition de loi qui criminalise les réseaux Tor et abolit une grande partie du secret de la communication. La loi menace des projets qui utilisent des technologie de protection de données dans le réseau comme le tracte virtuel de la revue C’T.
    https://seenthis.net/messages/771396

    Bun­des­rat be­schließt Ge­set­zes­vor­la­ge zu Darknet-Diens­te-Ver­bot und Post­ge­heim­nis

    Kaum hatte das In­nen­mi­nis­te­ri­um ein ge­ne­rel­les Ver­bot des Darknets ge­for­dert, be­schloss der Bun­des­rat eine Ge­set­zes­vor­la­ge zum Ver­bot von Darknet-Diens­ten und eine um­fas­sen­de Lo­cke­rung des Brief­ge­heim­nis­ses. Unter Ge­ne­ral­ver­dacht ste­hen künf­tig nicht nur Tor-Nut­zer, son­dern auch Frei­fun­ker und VPN-Be­trei­ber.

    Von Mirko Dölle

    Das ging dann ja flott: Keine vier Wo­chen, nach­dem ein Staats­se­kre­tär des Bun­des­in­nen­mi­nis­te­ri­ums dem Darknet „kei­nen le­gi­ti­men Nut­zen“ in „einer frei­en, of­fe­nen De­mo­kra­tie“ at­tes­tiert hat, be­schloss der Bun­des­rat nun eine um­fas­sen­de Ge­set­zes­vor­la­ge, die Be­nut­zer des Tor-Net­zes, aber auch alle Frei­fun­ker und VPN-Be­trei­ber unter Ge­ne­ral­ver­dacht stellt.

    Weit we­ni­ger Be­ach­tung fand, dass auf die In­itia­ti­ve Bay­erns hin au­ßer­dem be­denk­li­che Än­de­run­gen am Post­ge­heim­nis in die Ge­set­zes­vor­la­ge ein­ge­bracht und vom Bun­des­rat mit­be­schlos­sen wur­den. Damit sol­len die Be­hör­den um­fang­rei­chen Zu­griff auf ar­chi­vier­te Daten von Post­dienst­leis­tern er­hal­ten – aus­drück­lich rück­wir­kend. So dürf­ten Tau­sen­de Un­schul­di­ge ins Vi­sier von Dro­gen- und Ter­ror­fahn­dern ge­ra­ten.

    Der Be­schluss des Bun­des­rats ent­spricht in wei­ten Tei­len dem ur­sprüng­li­chen Ent­wurf, den die Lan­des­re­gie­rung von Nord­rhein-West­fa­len An­fang 2019 in die Län­der­kam­mer ein­brach­te – mit dem Ziel, einen ei­gen­stän­di­gen Straf­tat­be­stand für die Schaf­fung und den Be­trieb von Darknet-Markt­plät­zen ein­zu­füh­ren.

    Nicht nur Tor ist böse

    Künf­tig soll es eine Straf­tat sein, eine „in­ter­net­ba­sier­te Leis­tung“ an­zu­bie­ten, „deren Zu­gang und Er­reich­bar­keit durch be­son­de­re tech­ni­sche Vor­keh­run­gen be­schränkt“ ist. Laut der Be­grün­dung ist damit in ers­ter Linie das Tor-Netz­werk ge­meint, doch Tor wird ex­pli­zit als nur ein Bei­spiel für „Mög­lich­kei­ten der An­ony­mi­sie­rung“ an­ge­führt – das Ge­setz wird also nicht etwa auf Tor be­schränkt. Auch das Frei­funk-Netz, des­sen Rou­ter ein VPN nut­zen, um eine Ver­bin­dung ins In­ter­net her­zu­stel­len, an­ony­mi­siert seine Nut­zer zwangs­läu­fig – ge­nau­so wie jedes an­de­re VPN. Die IP-Adres­se des tat­säch­li­chen Nut­zers bleibt ver­bor­gen.

    Im Vor­schlag Nord­rhein-West­fa­lens gibt es je­doch eine ent­schei­den­de Ein­schrän­kung, wo­nach das An­bie­ten sol­cher Diens­te nur dann straf­bar sein soll, wenn „deren Zweck oder Tä­tig­keit dar­auf aus­ge­rich­tet ist, die Be­ge­hung von rechts­wid­ri­gen Taten im Sinne von Satz 2 zu er­mög­li­chen oder zu för­dern“. Satz 2 ent­hält eine lange Liste von Straf­ta­ten zu den Be­rei­chen Arz­nei­mit­tel, Be­täu­bungs­mit­tel, Waf­fen und Spreng­stoff, Falsch­geld, Kre­dit­kar­ten, Com­put­ers­a­bo­ta­ge, Da­ten­han­del und Kin­der­por­no­gra­fie. Es müss­te also erst im Ein­zel­fall ge­klärt wer­den, ob ein Zweck oder eine Tä­tig­keit dar­auf aus­ge­rich­tet ist, Tä­tern das Leben zu er­leich­tern – bis dahin fal­len prak­tisch alle Tor- und VPN-Diens­te unter Ge­ne­ral­ver­dacht. So sieht das auch unser Ju­rist Ni­co­las Maekeler in einer ers­ten Ein­schät­zung.

    Ver­schär­fung ab­ge­lehnt

    Et­li­che aus Bay­ern ein­ge­reich­ten Än­de­run­gen ziel­ten dar­auf, diese Ein­schrän­kun­gen voll­stän­dig zu kip­pen: Es soll­te alles unter Stra­fe ge­stellt wer­den, was die Be­ge­hung rechts­wid­ri­gen Taten er­mög­licht, för­dert oder auch nur er­leich­tert, egal ob es um Graf­fi­ti oder Waf­fen­han­del geht, im Darknet oder sonst­wo im In­ter­net. Diese Ver­schär­fung wurde je­doch mehr­heit­lich ab­ge­lehnt.

    Zu­stim­mung fand Bay­erns Vor­schlag in dem Punkt, auch aus­län­di­sche An­bie­ter von „Leis­tun­gen zur Er­mög­li­chung von Straf­ta­ten“ unter deut­sches Straf­recht zu stel­len, so­fern sich „die an­ge­bo­te­ne in­ter­net­ba­sier­te Leis­tung auf die Er­mög­li­chung von rechts­wid­ri­gen Taten im In­land be­zieht“.

    Ein Bei­spiel für einen Dienst, der nach der vom Bun­des­rat be­schlos­se­nen Ge­set­zes­vor­la­ge vor­aus­sicht­lich ver­bo­ten wäre, ist das von uns in c’t 22/2017 auf Seite 144 vor­ge­stell­te di­gi­ta­le Flug­blatt auf Basis des Raspber­ry Pi: Es stellt einen Darknet-Web­ser­ver in Form eines Tor Hi­d­den Ser­vice be­reit und ist dazu ge­dacht, Dis­si­den­ten und Whist­leb­lo­wern die an­ony­me Wei­ter­ga­be von – mög­li­cher­wei­se il­le­gal er­lang­ten – In­for­ma­tio­nen und Do­ku­men­ten zu er­mög­li­chen.

    Bay­ern nutz­te die Ge­le­gen­heit au­ßer­dem, um im Zuge des Darknet-Ge­set­zes auch noch das Post­ge­heim­nis aus­zu­höh­len – und gleich noch einen Rück­wir­kungs­ef­fekt im Ge­set­zes­vor­ha­ben zu ver­an­kern. So sol­len künf­tig die Post, DHL und alle an­de­ren Post­dienst­leis­ter sämt­li­che ge­spei­cher­ten In­for­ma­tio­nen zu Sen­dun­gen eines Ab­sen­ders oder Emp­fän­gers her­aus­ge­ben müs­sen, wenn ein Rich­ter dies an­ord­net. Bis­her durf­ten die Un­ter­neh­men le­dig­lich Aus­kunft über Pa­ke­te und Brie­fe geben, die be­reits ver­schickt, aber noch nicht aus­ge­lie­fert waren. Dies stell­te der BGH 2016 in einem Grund­satz­ur­teil fest, ein so­ge­nann­tes „re­tro­gra­des Aus­kunft­ver­lan­gen“ lehn­te er ab.

    Das neue Ge­setz soll dies er­mög­li­chen. Pro­ble­ma­tisch ist vor allem, dass der jetzt be­schlos­se­ne Ge­set­zes­ent­wurf keine zeit­li­che Be­schrän­kung vor­sieht: Die Er­mitt­lungs­be­hör­den dürf­ten damit alle ver­füg­ba­ren Daten ver­wer­ten – selbst wenn ein Paket be­reits vor Jah­ren aus­ge­lie­fert wurde, als das Ge­setz noch gar nicht in Kraft war. Es wer­den ver­mut­lich erst Ge­rich­te klä­ren müs­sen, in­wie­fern dies mit dem im Grund­ge­setz ver­an­ker­ten Rück­wir­kungs­ver­bot ver­ein­bar ist.

    Der Knack­punkt ist, dass ins­be­son­de­re der On­line-Dro­gen­han­del in Deutsch­land na­he­zu voll­stän­dig über die Deut­sche Post und DHL ab­ge­wi­ckelt wird und die Un­ter­neh­men die Daten von Emp­fän­ger und Ab­sen­der, den Sen­dungs­ver­lauf und die Un­ter­schrift für min­des­tens ein Jahr spei­chern – laut un­se­ren Quel­len sogar noch viel län­ger.

    Un­schul­di­ge im Vi­sier

    Dro­gen­händ­ler geben aus na­he­lie­gen­den Grün­den je­doch nicht ihre ei­ge­ne Adres­se als Ab­sen­der an, son­dern be­vor­zugt wech­seln­de Adres­sen von Mehr­fa­mi­li­en­häu­sern oder Wohn­blö­cken in grö­ße­ren Städ­ten. Da­hin­ter steckt auch die Hoff­nung, dass die Sen­dung bei einer Re­tou­re nicht bei der zen­tra­len Adres­ser­mitt­lungs­stel­le lan­det und auch der vor­geb­li­che Ab­sen­der nicht die Po­li­zei ein­schal­tet. Wird künf­tig eine Dro­gen­lie­fe­rung iden­ti­fi­ziert, gerät nicht mehr nur der auf die­ser Sen­dung ge­nann­te Ab­sen­der in Ver­dacht. Viel­mehr dürf­te eine Ab­fra­ge aller Sen­dun­gen der letz­ten Jahre zu einer Viel­zahl von Ab­sen­dern füh­ren, die dann al­le­samt in den Ver­dacht des Dro­gen­han­dels ge­ra­ten.

    Noch ist die Ge­set­zes­vor­la­ge erst vom Bun­des­rat be­schlos­sen wor­den. Die Län­der­kam­mer wird sie dem­nächst an die Bun­des­re­gie­rung wei­ter­lei­ten, die sie dann im Bun­des­tag zur Ab­stim­mung ein­brin­gen kann. Eine kon­kre­te Frist gibt es dafür nach An­ga­ben des Bun­des­tags nicht. (mid@​ct.​de)

    Flug­ver­bot: Das von c’t vor­ge­stell­te di­gi­ta­le Flug­blatt mit Raspber­ry Pi Zero W wäre un­mit­tel­bar von dem neuen Darknet-Ge­setz be­trof­fen, weil es einen Web­ser­ver im Tor-Netz be­reit­stellt, über den Straf­tä­ter leicht il­le­ga­le In­hal­te ver­brei­ten könn­ten. Ent­wi­ckelt wurde es für re­gie­rungs­kri­ti­sche Dis­si­den­ten und Whist­leb­lo­wer.

    #Allemagne #politique #répression #réseaux #internet #censure

    • Ceci pose la question de la légalité de tout service chiffré.

      https://www.wired.com/story/encrypted-messaging-isnt-magic

      Signal, WIRED’s secure messaging recommendation, is open source, but it also proved its trustworthiness in a 2016 case where the service was subpoenaed. Developer Open Whisper Systems responded to a grand jury subpoena saying it could only produce the time an account was created and the most recent date that a user’s Signal app connected to its servers. The court had asked for significantly more detail like user names, addresses, telephone numbers, and email addresses. Signal had retained none of it.

      While end-to-end encryption is a vital privacy protection that can thwart many types of surveillance, you still need to understand the other avenues a government or attacker could take to obtain chat logs. Even when a service works perfectly factors like where messages are stored, who else has received them, and who else has access to devices that contain them play an important role in your security. If you’re using encrypted chat apps as one tool in your privacy and security toolbox, more power to you. If you’re relying on it as a panacea, you’re more at risk than you realize.

      ..