Hallo und herzlich Willkommen zum Chaos Radio 285, ein klassisches Chaos Radio. Heißt, wir nehmen uns ein schwieriges Thema, das irgendwie mit digitalen Krams zu tun hat, vor, nehmen es auseinander und versuchen es dann so zusammenzusetzen, dass man es verstehen kann, auch weil man am Anfang noch gar keine Ahnung gehabt hat. Mein Name ist Markus Richter, ich bin hier in der Position des Fragestellers.
Das wird mir heute, glaube ich, sehr gut gelungen, weil Hä? einer der häufigsten Fragen sein wird, denn wir sprechen über europäische Digitalgesetzgebung und wenn man die letzten Jahre und oder Sendungen verfolgt hat, weiß man, da gibt es immer sehr viele lustige, bedrückende und seltsame Dinge, die man besprechen kann.
Es geht heute um, kleiner Spoiler, Eidas und Kuwaks und was das ist und worüber man da sprechen kann und warum man, also meine Vermutung zumindest ist, dass vielleicht am Ende alles anzünden möchte. Besprechen wir heute mit Anja Lehmann. Hallo und herzlich willkommen. Anja Lehmann-Hallo. Du bist Professorin am Hasso-Platner-Institut für Kryptographie. Anja Lehmann-Genau. Und hast einen offenen Brief unterschrieben, was heute noch eine Rolle spielen wird. Anja Lehmann-Ja. Okay, gut.
Jiska Klaassen. Hallo und herzlich willkommen. Jiska Klaassen-Hallo. Nachwuchsgruppenforscherin am Hasso-Platner-Institut. Was das genau ist, werden wir an dieser Stelle nicht erklären. Man kann aber lustige Diskussionen über das Wissenschaftszeitförderungsgesetz oder umgedreht. Du beschäftigst dich mit Cyber Security. Hat man noch Schmerzen, wenn man diesen Begriff im Titel führen muss? Oder ist Cyber mittlerweile in der Mitte der Gesellschaft angekommen? Ja, vielleicht.
Auf jeden Fall mache ich Mobile und Wireless. Also so irgendwie, wenn ihr euer Handy habt und ein Update kriegt, dann bin ich vielleicht schuld. Aha, jetzt wisst ihr, wen ihr schreiben könnt. Du hast auch einen offenen Brief unterschrieben. Und Konstanze Kurz, Sprecherin des Chaos Computer Clubs und Netzpolitik.org-Redakteurin, hallo und herzlich willkommen. Hallo Markus. Möchten Sie noch etwas dazu sagen? Nein, ich freue mich nur auf die Sendung. Okay.
Das gibt mir zu denken, weil du dich auf eine Sendung freust, heißt das entweder, es gibt etwas Positives zu berichten, oder es gibt etwas auseinanderzunehmen, bei EU-Gesetzgebung würde ich eher Letzteres vermuten.
So, es gibt also gerade ein Gesetz, wenn ich es richtig in Erinnerung habe, oder ein Gesetzesvorhaben, das das Kürzel EIDAS trägt und im Trilog angekommen ist, was schon relativ weit hinten bei EU-Gesetzgebung ist, Weil danach, wenn der Trilog sich einig ist, also Kommission, Rat und Parlament, dann passiert nicht mehr so richtig viel. Und wie es manchmal so ist bei EU-Gesetzen, ist auch der Moment, wo die größte Aufregung am Start ist, wenn Dinge schieflaufen.
Bevor wir darüber reden, ob und was da schiefgelaufen ist, könnte einer von euch kurz erklären, was der Plan hinter dem Gesetz ist. Also warum gibt es dieses Gesetz? Was ist die Motivation des Gesetzgebers? Ein EIDAS-Gesetz, es geht da irgendwie um digitale Identitäten, um Wallets, also digitale Brieftaschen. Was genau wird da versucht? Warum soll es dieses Gesetz geben? Also der Kern ist sicherlich die sogenannte EID auf europäischer Ebene.
Die hat sehr prominent damals die Kommissions-, also davon allein die EU-Kommissionspräsidentin vorgestellt. Ja, schon im Jahr 2020. Der hat gesagt, sie will den Europäern eine europäische Identität, eine digitale anbieten, wo sie also alles machen können, vom Führerschein beantragen bis zum Shoppen. Und dieser Verordnungsvorschlag, der dann tatsächlich auch 2021 kam, ist sozusagen die gesetzliche Festschreibung dieser Idee. Also der Kern davon ist sicherlich die sogenannte ID-Wallet.
Es gibt aber bereits einen Vorläufer, das ist eine Verordnung von 2014, die damit auch ein gewisses Update erfährt. Aber wie das mit Gesetzgebungsverfahren so ist, da ist oft ein bisschen mehr drin als nur dieser Kern. Der bezieht sich vor allen Dingen auf eine Vereinheitlichung, denn nicht alle europäischen Länder haben die gleiche E-ID. Deutschland hat etwa eine andere als Ungarn oder Dänemark. Und es soll eben auch ein europäisches Angebot sein, was interoperabel ist.
Das würde ich so mal als Kern dieser EIDAS-Verordnung sehen. Und die Kritik ist auch nicht alt. Denn nicht erst jetzt im Trilog, sondern schon 2021 haben verschiedene Institutionen oder aber auch der Datenschutzbeauftragte von Europa Kritik daran geübt. Wird das aber normal in diesem Gesetzgebungsprozess, dass Veränderungsvorschläge gemacht werden?
Ich wollte sagen, eine grundlegende Frage noch stellen, weil die Dinge, also ich soll ja so sagen, was grundlegend ist, nämlich die Identifikation eines Bürgers digitalisiert werden und die ganz grobe Frage oben ist ja bei Digitalisierungsprozessen immer. Ist die Kritik dann, wie man das macht, oder ist die Kritik, ob man das überhaupt macht? Wie ist es hier? Ich würde schon sagen, wie. Ich weiß nicht, ob ihr das anders seht, aber das ist eigentlich schon, wie.
Ich glaube, die Idee, so etwas anzubieten, liegt nahe, denn die meisten Leute bräuchten so etwas. Und es ist auch nicht verpflichtend oder so, sondern die Leute können es nutzen. Ich denke, wie, da habe ich jetzt zumindest noch keine Kritik gehört. Ich weiß nicht, ob ihr welche gehört habt.
Das ist das Ob, aber halt das wir so, ich meine Ob ist ja schon mal so eine Sache, wenn ich jetzt eine Wohnung suche oder sowas, dann schicke ich an ganz viele Leute eine Kopie von meinem Personalausweis über völlig ungesicherte Kanäle irgendwie per E-Mail, hab keine Ahnung wo das landet und am Ende wollen die ja nur wissen, dass ich eine echte Person bin und vielleicht irgendwie mir die Wohnung leisten kann und dafür muss ich so, so viele Dinge einem potenziellen Vermieter sagen,
nur in diesem Bewerbungsprozess. Das ist halt super unsicher. Und wenn man das so digitalisieren könnte, dass es sicher wäre, also sicherer für mich und auch für solche Leute, gegenüber denen ich mich ausweise, sicher, wäre das ja schon gut. Warte mal, aber sozusagen, wenn ich das nehme, was du jetzt gesagt hast, Jessica, dann haben wir schon das Zusammenwerfen von Identität und Credits gehabt.
Ja, auf jeden Fall. Das soll alles rein. Nein, ich glaube, ich weiß nicht, ob es jetzt in dem Fall so ist, Aber mehr so als ein Beispiel, was man halt vielleicht so kennt und wo schon sehr viele sich digital ausgewiesen haben. Naja, vielleicht muss man auch nochmal sehen, Leute die haben ja heute eine Form, wie sie sich elektronisch identifizieren und die ist in der Regel auf irgendwelche kommerziellen Anbieter zurückgeworfen und hier geht es halt um eine Form von staatlicher Hinterlegung quasi.
Die Infrastruktur soll halt staatlich, in diesem Fall sogar panneuropäisch quasi, über alle Staaten hinweg, angeboten werden. Wir haben in Deutschland natürlich für den Fall, den Jessica eben beschrieben hat, schon lange eine Lösung, schon über ein Jahrzehnt, nämlich einen deutschen elektronischen Identitätsnachweis, der mit dem Personalausweis zusammenhängt. Aber der zumindest in Deutschland wird ja überhaupt nicht benutzt.
Wir haben eine Quote von weit unter 10 Prozent, die auch nur jemals mal einen Anifast haben, um ihn zu probieren. Und wir haben ganz wenige elektronische Anibote. Ich muss da kurz nachvollstehen. Ich habe für die deutsche E-ID in Erinnerung, dass die nicht nur mega unkomfortabel und komplex zu bedienen ist, sondern auch immer unsicher war. Also in der konkreten Umsetzung. Also die Unsicherheit bezieht sich in der Regel darauf, wie man es benutzt.
Also bezog sich vor allem auf die Lesegeräte, die man dafür braucht, aber dass man überhaupt ein zusätzliches Lesegerät früher dafür brauchte, war natürlich auch nicht gerade förderlich. Aber es gab vor allem auch wenig Angebote. Wenn ich so ein Ding habe, dann will ich natürlich auch irgendetwas damit tun. Und es gab sehr wenige staatliche und auch privatwirtschaftliche Angebote.
Das hat sich bis heute leider kaum gewandelt. Okay, das ist für mich sozusagen, der sich nur alle Jubeljahre mit dem Thema elektronische Identität beschäftigt, eine kleine Überraschung, dass das anscheinend sehr weit fortgeschritten ist in den nächsten Jahren. In den letzten Jahren, weil ich eher den Eindruck hatte, das ist vom Konzept her sehr zweifelhaft.
Aber momentan ist es anscheinend so, dass es, oder dass ich mich als Frage formulieren, es gibt also ein Konzept dafür, wie man elektronische Identität gut und sicher machen kann. Es existiert der Glaube, man kann das so umsetzen, dass es... Also nicht ungefährlich sozusagen, aber so sicher, wie es sein kann und dass es dann halt die Vorteile bringt. Und die etwaige, ja, nein, doch. Ich würde sagen, klares Jein. Das ist ja fast wie ein Jura-Podcast hier.
Also ich glaube, so die Grundidee, sichere digitale Identitäten zu haben oder sicher sich ausweisen zu können, ist relativ weit akzeptiert. Die Frage ist nur, wie weit will man das treiben? Und ich glaube, da scheiden sich noch die Geister auch in unserer Community. Habt ihr jetzt auch in den letzten Tagen mit einigen Kolleginnen darüber gesprochen.
Und da gehen die Meinungen wirklich noch weit auseinander. Weil wenn wir einmal so eine europäische digitale Identität haben, die super bequem ist und die wir überall nutzen könnten, könnten auch Dienstanbieter dann auf die Idee kommen, sie wirklich überall zu nutzen. Und auf einmal haben wir eben eine relativ, je nachdem wie das auch datenschutzmäßig umgesetzt ist, eine Identität, die wir die ganze Zeit im Internet mit uns preisgeben.
Von daher ist es wirklich absolut wichtig, dass, wenn wir das so umsetzen, dass es genutzt werden kann, was ja die Idee dahinter ist, dass von Anfang an Datenschutz halt wirklich am höchsten Level dabei ist. Weil ansonsten haben wir hier einen riesen Desaster. Ist zwar sicherer und schöner von der Authentisierung, aber überall sozusagen sind meine Transaktionen im Netz dann eindeutig miteinander verknüpfbar und ja, können Profile zugestellt werden.
Also eindeutig auch im Sinne von mit einem staatlichen Stempel verifiziert, das ist diese Person. Also hier, was damit ja auch gemacht wird, ist tatsächlich eine Möglichkeit, vor allen Dingen für diejenigen, die werbetreibend sind, für große Konzerne, mit Sicherheit sagen zu können, das ist Person X und nicht wahrscheinlich jemand, der so heißt. Das ist wahrscheinlich dasselbe Profil, das wir schon mal gesehen haben. Das heißt, so eine Gesetzgebung würde idealerweise zwei Dinge regeln.
Nämlich einerseits die technisch sichere Gestaltung, oder drei Sachen, die technisch sichere Gestaltung. Dann die Tatsache, dass man das in den Kontexten, wo man es benutzen will, gut benutzen kann. Und dann der Schutz davor, dass, lass uns beim Klischee-Beispiel bleiben, Facebook bei der Einrichtung von WhatsApp verpflichtend abfragen kann, Gib mal bitte deine E-ID, sonst darfst du nicht messen. Ja, so ziemlich. Aber es kommt noch eine Komponente, die wir jetzt nicht erwähnt
haben dazu. Das ist jetzt schon ganz schön messy. Ich glaube, man sollte auch noch so eine Nicht-Diskriminierung dazu denken. Das heißt, man darf auch nicht versuchen, Leute, die vielleicht nicht so viel Geld haben, die sich vielleicht nicht die allerneuesten Smartphones leisten können, komplett auszuschließen.
Also ich finde es hat auch noch eine Komponente, die jetzt relativ untechnisch ist, nämlich was passiert, wenn man zum Beispiel aus finanziellen Gründen nicht mitmachen kann, weil man nicht die neuesten Smartphones hat oder so. Also ich denke diese Antidiskriminierung muss man auch noch mitdenken. Also die… Das wird dann nochmal komplizierter, aber können wir uns ja auch nicht vor verstecken. Also die EID sozusagen, wenn sie kommt, es soll immer noch eine Hosenweltalternative geben.
Wird wohl so sein müssen, weil die Smartphones, die man, wenn man jetzt realistisch darüber nachdenkt, sind doch relativ teuer. Also eher so High-End-Phones. Also die Smart-, also Moment, das heißt, im Subtext habe ich verstanden, die E-ID findet in Smartphones statt. Das ist nicht sozusagen eine extra Chipkarte, USB-Dongle, irgendwas, sondern etwas, was im Smartphone stattfinden soll? Naja, der praktische Fall wird in der Regel sein, dass Leute das mit dem Mobiltelefon benutzen.
Es wird wahrscheinlich auch andere Möglichkeiten geben, mit hoher Wahrscheinlichkeit sogar. Aber wenn man ehrlich ist, wird der meiste Use Case einfach anhand der Menschen, wie sie heute ihre Smartphones benutzen, Smartphone sein. Und da sind es halt nur bestimmte, die bisher überhaupt technisch mitmachen könnten. Das ist sozusagen wie bei allen Dingen, die Kapitalismus verkauft. Alle Funktionen hat man nur, wenn man die ganz teuren Geräte kauft.
Ja, also dafür gibt es technische Gründe, die ich auch nicht unsinnvoll finde, denn man möchte das eben in einer Weise betreiben, die neueren technischen Standards entspricht. Und das bieten eben nicht alle Mobiltelefonanbieter an. Insofern gibt es Gründe dafür, warum das gewisse Exklusivität hat bei den Geräten. Ist auch heute so bei der deutschen EID, das ist genauso. Das schließt aber gleichzeitig andere Leute aus, die nicht Geld haben für wirklich
neuere, teurere Smartphones. Insofern, da muss man einfach nur mitdenken. Ich will das nicht in den Fokus dieser Sendung stellen. Okay, aber das ist auch ein wichtiger Punkt. Jetzt haben wir also vier Säulen für, wie man das idealerweise umsetzen würde. Folgt logischerweise auch die Frage... Das EIDAS-Gesetzesvorhaben, macht es das? Nee. Nicht mal ein bisschen? Also klar, die entsprechenden Stellen werden angehört, wie das immer so ist.
In den Ausschüssen, hier ist der federführende Ausschuss der ITRE, das ist der Industrieausschuss. Der hat sich natürlich Sachverständige herangeholt, die haben Kritik geübt in vielen Anhörungen. Dann ist der Europäische Datenschutzbeauftragte, der dazu schon lange Stellungnahmen abgibt. Also die Kritik ist durchaus gehört worden.
Also zum einen die ganze Überwachungsfrage, aber auch die eben schon angesprochen Diskriminierungsfrage, technische Details, die aber teilweise in der Verordnung nicht drin sind, sondern erst noch spezifiziert werden müssen.
Und jetzt zum Schluss und noch eine ziemlich wichtige Frage, die auch schon eine Weile kritisiert wird, auf die wir noch kommen wollen, nämlich die Frage der Zertifikate, die in einem bestimmten Artikel, nämlich dem Artikel 45 drin sind und die besondere Kritik auf sich erzogen haben. Also FachhörerInnen werden das schon vermuten, der größere Teil der Sendung wird sich dann wahrscheinlich um den Artikel 45 drehen.
Was ist denn mit den anderen Kritikpunkten? Ist das, also wie gesagt, wir sind im Trilog, das heißt also relativ das Ende der Gesetzgebung ist schon abzusehen. Ist das noch fixable oder würdet ihr sagen, so wie das da drin steht, lieber nicht? Also gerade bei der Wallet, um es ein bisschen zu relativieren, da sind eine Menge gute Sachen eigentlich reingekommen.
Also da habe ich mich eigentlich zum gewissen Grad schon gefreut, da stehen solche Sachen drin wie Unlinkability, dass man eben in der Lage sein soll, sich auszuweisen, ohne dass es verknüpft werden kann, dass man das Recht haben soll. Entschuldigung, das ist die Stelle, wo ich Detail freistellen muss. Unlinkable, dass man sich ausweisen kann, ohne dass es verknüpft ist. Bedeutet das, Verständnis Frage jetzt wirklich nur, bedeutet das.
Eine Stelle kann sagen, weiß mal bitte nach, dass du du bist und dann weise ich das nach und dann wird aber nicht meine E-ID mit dem verknüpft, was da passiert oder was bedeutet das? Ist ein bisschen komplexer. Also natürlich, wenn ich nachweisen muss, dass ich ich bin, also mit meinem Namen, da ist keine Unlinkability, dann weiß auch die empfangende Stelle, wer ich bin.
Aber ganz oft wurde ja gesagt, würde es ja reichen zu wissen, ist da eine echte Person dahinter, eine Bürgerin aus Deutschland, jemand aus Berlin. Und dann kann ich diese Informationen sicher übertragen, zum Beispiel ich bin Berlinerin oder ich bin aus Deutschland, kann mir sicher ausweisen, kann ein Pseudonym machen, aber ich kann halt jedes Mal ein anderes Pseudonym erstellen. Das heißt, ich kann meine sichere digitale Identität bootstrappen.
Es ist immer noch identifizierbar, es kommt von der sicheren digitalen Identität. Aber wenn ich keine identifizierbaren Attribute dabei preisgebe, kann ich das jedes Mal neu und frisch machen, wenn ich das möchte. Das heißt, der abstrakteste Anwendungsfall wäre, ich bin eine Person, die eine E-ID hat. Und mehr weiß man aber nicht über mich, außer diesen einen Punkt.
Oder Alter ist typisch auch. Ich bin über 18. Ja. Obwohl ich halt wirklich denke, dass das so diese Pseudonyme abzuleiten und da wird es schon wieder ein bisschen technischer, man kann es halt wirklich so machen, dass ich bei jedem Dienstanbieter einen eindeutigen Pseudonym habe, dass die mich auch wiedererkennen können und dass ich nicht eine 10.000 Identitäten erfinden kann, sondern die genau wissen, ich kann genau einen Account machen,
aber mein Account ist halt jedes Mal, sieht ja anders aus oder meine Identität, die ich überall erzeuge. Warte mal, also ich gehe zu Anbieter X und der sagt, weiß dich mal aus und zwar sag mir, du bist... Über 18. Für ein Beispiel. Wofür könnte man das brauchen? Egal. Hallo, könnt ihr ruhig aussprechen? Wir sind eine Erwachsenensendung, das ist Porn. Wir sind keine Erwachsenensendung. Wir machen sozusagen mit Altersfreigabe null. Wirklich, jeder ist hier willkommen und soll lernen.
So, liebe Eltern, falls ihr jetzt erklären müsst, was Porn ist, fragt Constanze. Also Anbieter, ich weise mich aus, 18, und dann sagst du, das soll also so passieren, dass wenn ich bei dem Anbieter nochmal ein Konto aufmache und dann fragt er das ja wieder und dann zeige ich meine E-ID vor, dann weiß er, ich bin dasselbe Pseudonym wie da. Soll das verpflichtend sein oder soll das, also ist das Bequemlichkeit oder Verpflichtung?
Man kann es sowohl als auch machen. Also sozusagen auch das ist wieder, die Technologie lässt erstmal alles zu. Man kann es so entscheiden, dass man sagt, man möchte wiedererkannt werden, gerade wenn ich einen Account habe und er sagt, ich möchte nur pro Bürgerin einmal eine Abstimmung zulassen zum Beispiel, Das ist ein ganz klassisches Beispiel. Da will ich natürlich, dass sich jeder nur einmal anmelden kann.
Man kann aber auch freier sein und sagen, man will einfach nur wissen, da ist irgendjemand aus Deutschland, ob ich da zehn Konten habe oder nicht, ist mir egal. Das heißt, die Technologie erlaubt einfach erst mal sehr, sehr viel. Und das ist eben auch genau die Schwierigkeit jetzt bei dieser Gesetzgebung, weil da steht überhaupt nichts von Technologie drin. Da wurde einfach nur gesagt, man soll unverknüpfbar sich ausweisen können.
Man hat Selective Disclosure, man kann auswählen, belegen, welche Attribute man vorzeigt. Jetzt wurde noch später hinzugefügt, diese Unobservability, der ja auch immer diese Wallet zur Verfügung stellt, weil das noch gar nicht klar ist, wird das auf dem Smartphone sein oder vielleicht doch eine Online-Lösung. Dass wer auch immer das zur Verfügung stellt, soll nicht rausfinden können, wo ich mich die ganze Zeit damit einlogge.
Da stehen also schon eine Menge wirklich gute Sachen drin und insbesondere steht nichts komplett Schlechtes drin. Und das ist ja mal ein großer Fortschritt, muss man ja auch mal so sagen. Es steht nicht drin, dass wir zum Beispiel eine eindeutige ID brauchen, mit der wir uns immer und überall ausweisen. Das war mal eine Diskussion. Heute würde man denken, wie bitte? Aber das zeigt ja nur, dass Kritik auch anerkannt wurde.
Genau, es sind wirklich eine Menge schöne Sachen, die drinstehen, aber nichts von den Dingen ist verpflichtend. Das hat man gesagt, das soll enabled werden. Und das Problem ist auch, sobald man eine Sache weglässt, insbesondere diese Unobstacability, die wir am Ende noch reingefügt haben, dass man den nicht überwachen kann, was man gerade macht, der dieses Wallet zur Verfügung stellt.
Wenn man allein das weglässt, kann man eine Lösung zur Verfügung stellen, die die anderen Sachen erfüllt, aber datenschutzmäßig eine Riesenkatastrophe ist, weil wir eine Stelle hätten, die uns komplett überall verfolgen kann. Aber verstehe ich das richtig? Es gibt ein Gesetz, da steht drin, wie man es richtig macht, Und dann aber steht quasi nicht drin und so sollt ihr es machen, sondern so könnt ihr es machen? Genau.
Ja und das und die eigentliche, sozusagen die technische Ausformung, die steht ja natürlich auch nicht drin. Also das kommt noch hinzu, also da wird es ja eine Form von technischer Erklärung geben, die aber nicht in der Verordnung direkt drin steht oder aber die auch national gelöst werden kann.
Das heißt, es soll zwar eine interoperable Lösung zwischen allen sein, aber wie die einzelnen Nationalstaaten das ausgestalten und wie es technisch gemacht wird, das steht halt nochmal auf dem anderen Blatt. Also die Kritik ist, das sagt übrigens auch schon seit vielen Monaten der europäische Datenschutzbeauftragte, der kann nämlich keine richtige Datenschutzfolgeabschätzung machen, was zwangsweise gemacht werden muss.
Und auch diejenigen, die sich von der IT-Sicherheit damit beschäftigen, schon lange. Nämlich, dass eine ernsthafte Analyse natürlich ohne diese Spezifikation, also ohne die detaillierte technische Darstellung ja nicht gemacht werden kann. Da muss ich aber trotzdem mal zurückfangen. Detaillierte technische Darstellung in einem Gesetz, das klingt so ein bisschen wie, da wird eine konkrete Implementation, soll da nach der Forschung festgeschrieben werden.
Weil ich dachte immer, dass es in Gesetzen mit Digitalisierung sagen, eher darum geht, einen Rahmen für die richtige Implementation zu schaffen. Aber dass man nicht konkret reinschreibt, so muss man es machen. Das verstehe ich jetzt nicht ganz genau. Naja, man kann das normativ so machen, dass man bestimmte Dinge vorschreibt, aber das ist ja hier gerade nicht passiert. Sondern da sind sehr viele offene Möglichkeiten und Kannlösungen.
Naja, und die hätte man natürlich ein bisschen, man hätte sie müssen, konkrete Regeln müssen. Nämlich das, was nicht erlaubt ist zu sagen. Ah, okay. So ist das Verhältnis sehr weit offen. Na gut. Trotzdem nochmal, weil ich das klare Jein hat sich zu einem wohl ausformulierten Jein versinnbildlicht.
Ist das Gesetz noch zu retten, klingt schon ein bisschen zu scharf, weil du hast ja gesagt, da stehen sozusagen keine wirklich schlimmen Sachen dran, aber mal jetzt abgesehen von dem Artikel 45, ist das jetzt was, wo ihr sagt, da kann man dann trotzdem mitarbeiten oder sagt ihr, nee, da stehen zwar gute Sachen drin und es ist nichts richtig Schlimmes drin, trotzdem, wenn es so verabschiedet wird, dann wirft das alles zurück, das muss eigentlich nochmal umgearbeitet werden.
Also habt ihr eine klare Haltung zu diesem Gesetz? Ich hab eigentlich eine, aber die hat jetzt auch nochmal andere Aspekte, die man dann auch nochmal aufwerfen müsste. Also wir haben jetzt alle so ein bisschen geguckt, wieso? Naja. Aber der Punkt dran ist wohl, egal wie man sich dazu stellt, wenn man sagt, das geht jetzt gerade noch durch oder ach nee, lass mal. Der Punkt ist ja, die Leute müssen das Vertrauen haben, denn diese Form von Identität ist optional.
Das heißt, du musst eigentlich in diese Verordnung das Vertrauen einbauen und woher soll es kommen, wenn man sich nicht technisch darauf verlassen kann, dass es nicht auch ein überfettetes Überwachungstool werden soll? Mal unabhängig vom Artikel 45, auf den wir gleich noch kommen. Also ich glaube, dass leider das Ziel, nämlich eine coole, vertrauenerweckende Lösung zu erdenken, nicht erreicht wurde. Da das glaube ich mein, deswegen bleibt das immer noch ein Jein.
Ich will da kurz sagen, verstehe ich das richtig, dass du sagst, wenn das Gesetz in der Form wie es jetzt ist, stattfinden wird, dann könnte es E-IDs geben, die wird aber niemand haben wollen, weil das Gesetz halt sozusagen mäßig vertrauenswürdiges E-ID macht. Anja schüttelt gerade so ein bisschen den Kopf. Ne, es geht schon in die Richtung. Man weiß es halt einfach nicht.
Also sozusagen es kann gut und schlecht werden und jedes EU-Land kann wieder für sich entscheiden, wie es umsetzt und da kennen wir ja auch ein paar, die dann vielleicht nicht ganz vorne beim Datenschutz mit dabei sein werden. Es kommt noch eine Komponente dazu, die wir jetzt nicht erwähnt haben. Also das ist halt eine komplexe Gesetzgebung, nämlich dass von Seiten der Industrie es nicht optional sein wird. Das heißt, es soll so sein, dass für bestimmte Wirtschaftsbereiche.
Die Angebote verpflichtend werden. Das heißt, um dem vorzubeugen, dass es wieder so ein Rohrkrepierer wird, wie das schon mal in Deutschland war und jetzt noch ist, will man auf der anderen Seite, auf der Angebotsseite verpflichtende Lösungen finden. Das heißt, in bestimmten ganzen Bereichen, bestimmten Branchen wird man dafür Verpflichtungen haben. Also das heißt, Anbieter müssen E-ID-Funktionalität haben, unabhängig davon, ob das dann überhaupt jemand benutzen wird oder nicht.
Was aber in der Konsequenz bedeuten könnte, dass die ihre Angebote dann so gestalten, dass man da mehr oder weniger hingenutscht wird? Oder was ist da die Befürchtung? Naja, oder sich auch keinem Mühe geben, das weiß man natürlich nicht. Achso, dass sie es einfach sloppy umsetzen und dann… Ich muss immer an die deutsche E-ID denken. Vor zehn Jahren, als ich nur eBay gehabt habe in der alten Form, da ging es um diese Anbieter.
Man wollte, damit die Deutschen anfangen, die E-ID zu benutzen und wie coole Angebote haben, etwa bei eBay oder damals, Facebook war noch nicht so riesengroß. Aber je nachdem, wie sexy die die gestalten, ist das halt entweder interessant für Leute oder überhaupt nicht. Und in Deutschland gab es halt einfach nichts, was Leute benutzen wollten. Also insofern, es ist schwer abzuschätzen, was wohl kommen wird.
Also mein Stand, ich versuche noch einmal eine klare Anbeziehung, mein Stand ist jetzt, dass ihr sagt, also das Gesetz kann schon so kommen. Aber dann wird sich halt niemand dafür interessieren, die Industrie wird Geld für schlechte Lösungen ausgeben und das Ganze wird sozusagen versandt, aber es wird kein gesellschaftlicher Schaden entstehen.
Das höre ich auch so ein bisschen im Subjekt. Also gerade, genau, durch die Verpflichtung, je nachdem in welchen Branchen, zumindest für Anbieter und so, ich würde jetzt nicht sagen, dass kein Schaden entsteht. Wo siehst du den? Vielleicht sind wir auch schon zu passiv. Darf ich das gerade kurz? Ja. Der Schaden, wo siehst du den, wo könnte der entstehen? Also sagen wir, das wird nicht von Endanwendern genutzt.
Und wir hätten aber zum Beispiel jetzt vorgegriffen, Artikel 45, hätten wir trotzdem eine Infrastruktur geschaffen, die zum Nachteil werden kann. Und das ist die große Gefahr. Also ich glaube, im Positiven, wenn wir ein System schaffen würden, das wirklich genutzt wird und dass auch die Versprechen, so die optional sind, gerade tatsächlich halten würde und implementieren würde, das wäre schön.
Aber wenn wir es halt nicht schaffen, heißt es nicht, dass dann davon auch nichts implementiert wird und nichts zum Nachteil wird. Also das ist, glaube ich, das ist so ein bisschen zu, ja, es ist nicht so binär, glaube ich. Ja, okay, aber ich verstehe es auch nicht. Also du sagst, es könnte, also es könnte ein System geben, das dann zwar erst mal nicht genutzt wird, das dann aber in der Zukunft zu etwas oder von jemandem genutzt wird, was wir noch nicht absehen können.
Und weil es dann schon da ist, ermöglicht durch die Gesetzgebung, gibt es sozusagen das Potenzial für eine schadhafte Entwicklung. Ist das, verstehst du? Okay. Genau, und da würde ich jetzt auch dem zustimmen. Also, ich denke schon, dass was jetzt umgesetzt oder was geplant wird, das wird schon kommen und es wird umgesetzt. Und ich glaube schon, dass es einen großen Impact haben wird, weil ich glaube, wir können uns diese Passivität bei digitalen Identitäten irgendwann nicht mehr leisten.
Also, das wird ein zunehmendes Problem, wie man sich sicher ausweist. Und das, was da jetzt eben beschlossen wird, ich denke schon, dass es kommen wird. Und der Punkt sein, ist es gut genug? Also, das ist ja auch die Forderung, die wir dann gemacht haben, Es muss halt wirklich klar werden, dass die Umsetzung mein Verständnis von der ganzen Gesetzgebung ist. Wir können daran glaube ich nichts mehr ändern. Man kann jetzt nur noch Ja oder Nein sagen. Zu diesem Gesetz, wie es jetzt aussieht.
Aber man kann vielleicht einen Kompromiss finden, dass man sagt, wir müssen wirklich jetzt auch gemeinsam arbeiten, um diese technische Ausarbeitung so zu machen, dass sie den aktuellen technischen Stand der Forschung auch mit einbezieht und wirklich Datenschutz ganz weit oben hinsetzt und alles, was momentan nur angedacht ist, halt wirklich verpflichtend umsetzt.
Also ich versuche immer sozusagen das für alle nochmal umzuformulieren, das heißt, es klingt ein bisschen nach das Gesetz, so wie es jetzt aussieht, ist alles andere als ideal. Wir können es aber eh nicht mehr ändern. Deswegen müssen wir im Nachgang des Beschlusses dieses Gesetzes alles daran setzen, dass das in einer Art und Weise umgesetzt wird, um die Löcher zu stopfen, Unklarheiten klar werden zu lassen und vor allen Dingen die unsicheren Dinge sicher zu machen.
Bei dieser digitalen Wallet ja, ich glaube bei Artikel 45, da hilft irgendwie nur anzünden. Okay, gut, okay. So, also wir haben jetzt den Rest des Gesetzes besprochen und Artikel 45, herzlich willkommen. Bevor wir aber dahin gehen, eine kleine Side-Note, die aber mit dem Thema zu tun hat, nämlich es gibt zu diesem Gesetz einen offenen Brief, den ich am Anfang gesprochen habe, den ihr alle, Konz hast du den eigentlich auch unterschrieben? Natürlich nicht. Natürlich, natürlich nicht.
Ich habe ihn indirekt unterschrieben, weil ja nicht nur Wissenschaftler, sondern auch NGOs, also Organisationen, ihn mit unterzeichnet haben und dazu gehört auch EDRI und damit auch der CCC. Ah, okay, gut. So, also es gibt einen offenen Brief, der lustigerweise bei mir, also als wir besprochen haben, wir machen heute dieses Thema, war ich so, hä, noch nie von gehört und ihr so, ja, das Thema läuft voll unter dem Radar.
Ich so, das stimmt offensichtlich. Ich habe aber von diesem offenen Brief schon mal gehört, ohne das mit dem Thema zu verknüpfen, nämlich der offene Brief, wo NGOs, also aktivistische Organisationen, WissenschaftlerInnen und Google unterschrieben haben. Wer steckt denn da jetzt dahinter und was zur Hölle passiert da? Also der Brief, aber ich glaube wir hatten auch schon andere, wo Google mitgeschrieben hat, also nicht mitgeschrieben hat, aber mitunterzeichnet hat, sorry.
Also der Brief entstand aus einer Initiative von verschiedenen ForscherInnen, die gesehen haben, dass da was schiefläuft, die ein Auge immer noch auf die politischen Entwicklungen haben, dann ein paar andere KollegInnen zusammengetrommelt haben und gesagt haben, wir müssen mal wieder was machen.
Und dann fängt man eben an, solche Sachen zu schreiben, erst mal das Thema irgendwie auch so durchdringend zu überlegen, wie kurz und lang kann man das machen und versucht sich dann auf eine gemeinsame Story und Text zu einigen und dann fängt man an eben Unterschriften zu sammeln. Und da sind aber sozusagen quer durch die Gesellschaft alle dabei. Also quer durch die Gesellschaft halt alle Security-Forscherinnen. Nein, also es ist schon eine sehr spezielle technische Gesellschaft.
Ich meine jetzt im Sinne von Einzelpersonen, Aktivistenorganisationen und schon auch eben einfach große Firmen. Nee, die kommen halt wirklich erst, also quasi später dazu.
Das sind halt, ja, ForscherInnen, die sich kennen, die man sich persönlich kennt, die dann gegenseitig anschreiben, bis man halt eine Gruppe zusammen hat, die, ja, gleiche Interessen und Themen verfolgt und dann fängt man eben an, diese Briefe zu schreiben und zu Beginn waren es, glaube ich, wirklich auch nur ForscherInnen, die das Ganze auch unterzeichnet hatten und dann wurde es aber auch geöffnet und NGOs und auch größere Firmen haben sich dem Ganzen angeschlossen.
Ich glaube, darauf kommt eine gewisse, also es gibt eine Zunahme dieser offenen Briefe, aber ich glaube, es ist auch ein gewisser Frust darüber, gerade in der IT-Security. Dass so diese Klassiker, die als Standard gelten und von denen alle wissen, das ist eigentlich jetzt so ungefähr Stand der Forschung, so weitgehend ignoriert werden. Also da steckt ein gewisser Frust hinter.
Und mich hat hier erstaunt, weil es so viele sind. Also 300 waren es, glaube ich, bei Veröffentlichungen und mittlerweile sind wir bei über 500. Also das ist einfach eine große Menge. Und im Prinzip kann man sagen, gibt es überhaupt keine Mindermeinung. Jedenfalls nicht in der Wissenschaft. Jeder weiß, das ist technisch einfach mal korrekt. Das muss man auch mal festhalten.
Das erinnert mich ein bisschen an die Klimakatastrophe. Anyways, so, also die Schlagzeilen, die man davon mitbekommen hat, wenn man nicht tiefer reingegangen sind, es gibt diesen offenen Brief. Die Schlagzeile ist, die EIDAS-Gesetzgebung ermöglicht die Etablierung einer Überwachungsinfrastruktur in unserem Internet. Und das alles hängt irgendwie mit Artikel 45 zusammen. Wir machen es jetzt sozusagen wie bei dem ganzen Gesetz, aber für diesen einen kleinen Artikel.
Artikel 45. Was steht da drin? Was ist die Idee? Was soll der? Wer will noch mal? Wer hat noch nicht? Ich kann es mal versuchen, aber sozusagen, mir ist die Frage, wie weit man ausholt. So, dass ich noch folgen kann? Ja, weil so in Artikel 45 geht es im Endeffekt darum, dass Browser gewisse Zertifikate, die von der EU ausgestellt werden, als Root-Zertifikat-Äquivalent akzeptieren müssen. Das ist schon klar, wenn du das sagst, dann müssen wir das merken. Das ist genau die Frage, genau.
Das ist ein extrem technischer Punkt. Das ist für die Hörerinnen eine Sache klar. Ich werde jetzt gleich die geneigten Gäste dazu nötigen, ganz kurz zu erklären, was asynchrone Verschlüsselung ist, was Zertifikate sind, was ein Root-Zertifikat ist. Aber wir halten das heute kurz und das kann man auch sagen, Das ist eine Auffreschung.
Wenn euch das alles ganz, ganz neu kommt, und ich bitte um Entschuldigung, aber wenn wir das noch mal von vorne machen würden, wäre die Sendung, die wahrscheinlich 1,5 Stunden lang wird, noch mal weitere 1,5 Stunden lang. Es gibt das Chaos Radio 192, radioaktive Krypto-Party. Da haben wir uns mal die Zeit genommen, einfach Verschlüsselungen, die Konzepte und Grundsätze von Verschlüsselungen genau zu erklären.
Dann macht jetzt Pause, 192 anhören, einmal anhören, kommt dann wieder zurück, und dann könnt ihr den Refresher, den wir jetzt gleich noch machen, mitnehmen. So, ganz kurz, einfach, unkompliziert, sodass jeder folgen kann, aber trotzdem nicht zu lang. Verschlüsselung in Browsern. How? Why? Gut, mal schauen, wie ich das hinkriege. Ich hab da mal so eine Vorlesung vorbereitet.
Die Datenübertragung im Internet ist ja momentan schon relativ gut gesichert durch Verschlüsselung durch das TLS-Protokoll. Das heißt, wir sind schon in der Lage, zwischen Client und Server eine sichere Verbindung aufzubauen, die wirklich, das ist nicht Ende zu Ende, aber transportverschlüsselt ist, zwischen Client und Server wird Schlüsselmaterial ausgetauscht. Und dann werden alle Daten so verschlüsselt, dass jemand, da die Verbindung abhört, nichts mehr über die Nachrichten lernen kann.
Und wir wissen ja, Verschlüsselung und Kryptografie ist so wunderschönbar sicher, dass halt wirklich jemand, der den Schlüssel nicht kennt, nichts über die Nachrichten, den ausgetauschten Informationen lernen kann. Dann ist die Frage, wie kommt man an den Schlüssel? Wie können sich ein Client und ein Server diesen Schlüssel austauschen, der dann nachher eingesetzt wird? Und das ist ja die erste Phase in diesem TLS-Protokoll passiert, da wird ein Schlüssel ausgetauscht zwischen Client und Server.
Und auch da wird wieder wunderschöne Kryptografie eingesetzt, die dafür sorgt, dass, weil der Teil ist halt noch über einen unsicheren Kanal, dass außer der Client und Server, die miteinander reden und diesen Schlüssel austauschen wollen, obwohl alles über einen unsicheren Kanal geht, ein Angreifer, der das abgehört hat, nichts über den ausgetauschten Schlüssel lernt. Also ich sitze an meinem Computer und frage völlig willkürlich herausgeriffen url ccc.de ab.
Und dann sagt mein Rechner, hey, ich bin's. Ich würde gerne mit dir kommunizieren. Und das ist aber, ah, du bist es. Wir wollen, dass niemand zuhört und dann werden Dinge ausgetauscht. Genau, da werden Dinge ausgetauscht und das ist das Faszinierende. In dem Moment kann auch jeder quasi mitlesen und mithören. Aber trotzdem wird am Ende zwischen dir und dem anderen Server ein Schlüssel ausgetauscht sein, den ihr nachher die vierte Verschlüsselung nutzen könnt.
Obwohl ihr bei dem Austausch noch über einen unsicheren Kanal kommuniziert habt. Okay. Und das ist auch wieder wunderschöne Kryptografie. Das finde ich irgendwie so eines der faszinierendesten Konzepte, dieses Schlüsselaustausch. Das heißt, auch da haben wir Sicherheit, außer vor den Parteien, die den Schlüssel kennen, weil natürlich, wenn man einen Schlüssel hat, dann kann ich auch entschlüsseln. Genau das ist ja auch das Ziel dahinter.
Und dann ist es jetzt natürlich ganz, ganz wichtig für die Verschlüsselung, dass ich tatsächlich mit der Party, mit der ich kommunizieren möchte, den Schlüssel ausgetauscht habe, mit dem dann der Rest meiner Kommunikation auch verschlüsselt wird. Und da kommen jetzt eben Zertifikate ins Spiel, weil dieser Schlüsselaustausch muss authentisiert sein.
Das heißt, ich muss mir schon sicher sein, dass die Webseite, mit der ich mit dem Server, mit dem ich kommunizieren möchte, auch der ist, mit dem ich jetzt den Schlüssel ausgetauscht habe, weil ansonsten könnte sich halt irgendjemand dazwischenhängen. Ein sogenannter man in the middle attack oder man in the middle attack.
Kann sich dazwischenhängen und einfach nur so tun, als wäre es eigentlich die Endpartei, mit der ich kommunizieren möchte, Schlüsselmaterial abfangen und einfach immer alles wieder re-encrypten. Also sozusagen der Schlüsselaustausch ist nur so sicher, wie ich mir sicher sein kann, dass ich mit der richtigen Partei kommuniziere, mit der ich den Schlüssel entzeige. Also das heißt sozusagen die Information ist am Anfang zwar unverschlüsselt und da kann jeder zugucken.
Aber, damit sozusagen diese ganzen Schritte überhaupt passieren können, die genau im Chaos Radio 192 erklärt werden. Muss ich mir sichern, dass ich wirklich mit ccc, oder dass mein Browser wirklich mit ccc.de kommuniziert und nicht mit cc-kyrillisches-s.de das so tut, als wäre es ccc.de. Und dafür gibt es ein Zertifikat, das ist also so eine Art e-ID.
Genau, das ist eben das Verwöhnende. Das hat erstmal mit E-ID sozusagen nichts zu tun und ich glaube auch das Verwöhnende, dass so diese beiden Sachen im selben Gesetz kommen. Aber genau, sozusagen wir müssen das austauschen und ich muss mir sicher sein, dass ich mit der richtigen Partei online kommuniziere. Aber ein Zertifikat ist sozusagen letztlich ein Stück Mathematik oder ein Stück Code, was irgendwo abgerufen wird.
Es ist erstmal wirklich wie ein so normales Zertifikat, wie man es sich vorstellt. Was ist ein normales Zertifikat? Was meinst du jetzt? Also irgendwas, wo halt Dinge drinstehen, die zertifiziert wurden. Wirklich wie so ein analoges Zertifikat, wo halt... Also so eine Urkunde quasi. Genau, wo halt Dinge drinstehen, die jemand über dich gesagt hat, man hat einen Führerschein oder man hat gewisse Attribute.
Weil die Authentisierung, die man eben braucht, die wird wieder mit kryptografischen Schlüsseln realisiert. Also sozusagen man kann die Kryptografie immer weiter treiben und irgendwann kann ich Signaturen verifizieren von der gegenüberliegenden Stelle, wo unterschrieben ist, ja, ich spreche tatsächlich mit ccc.de. Und es wurde unterschrieben und da wurde ein Schlüssel, ein öffentlicher Schlüssel mitgeliefert und gesagt, damit verifiziert das Ganze.
Aber auch das, Kryptografie an sich hat erstmal, kann tolle Sicherheit liefern, aber es kann keinen Kontext liefern. Und dieser Kontext kommt dann über Zertifikate zustande. Das heißt, es ist alles wunderbar mathematisch gesichert. Es wurde unterschrieben, es verifiziert mit einem öffentlichen Schlüssel. Aber das Wichtige ist, zu wem gehört denn jetzt diese öffentliche Schlüssel?
Und das steht dann im Zertifikat drin. Das steht drinnen. Dieses wurde jetzt mit einem Public Key oder verifiziert mit einem Public Key und der gehört jetzt dem CCC. Und das ist erst mal, wenn das nur ein Zertifikat ist, wo drin steht, dieser öffentliche Schlüssel gehört dann. Also im Prinzip ist es schon wie so eine Urkunde. Früher der König hat mir einen Brief geschrieben, der steht drin, das ist Markus Richter.
Na, du würdest heute keinen König mehr suchen, mal angenommen du möchtest deine eigene Webseite mit einem Zertifikat ausstatten, dann würdest du dir eher das Äquivalent von heutzutage, von einem Notar suchen, der sozusagen dir bestätigt, this is you. Und dann natürlich auch der CCC-Etat an dem Beispiel, weil Anja am Eingang sozusagen hatte oder du hast, glaube ich, gewählt. Der CCC hat einen solchen digitalen Notar und das ist bei uns Let's Encrypt. Also es gibt sozusagen...
Ja, solche Zertifikatsausstellungsentitäten, da kannst du halt hingehen und holst dir sozusagen für spätere Surfer, die auf deine Webseite kommen, diese Bestätigung. Also, Königin, da können Leute vielleicht heute nicht mehr viel mit anfangen, weil, mhm, gibt's ja nicht mehr alleine. Also, wenn ich das anfrage, dann kriege ich ein Zertifikat und auf dem Zertifikat steht dann drauf, das hat Let's Encrypt ausgestellt. Let's Encrypt bestätigt, dass ccc.de ccc.de ist.
In gewisser Weise verstehen die dieses Vertrauen her, aber sind natürlich auch nicht die einzigen. Genau, das Wichtige ist aber eben auch, dass der ccc.de, das ist halt die Frage, wie kann man das überhaupt testen? Und was wird da überhaupt zertifiziert? Aber das Wichtige ist wirklich das Binden. Deswegen muss ich so ein bisschen länger ausführen, ist mir nicht so wahnsinnig
gut gelungen. Das Binden von CCC an diesen kryptographischen Schlüssel, der dann die weiteren Schlüssel authentisiert, die wir für unsere Verschlüsselung später brauchen. Also es bindet eben kryptographisches Material, was tolle Sicherheit leisten kann, aber an sich eben ohne Kontext nichts wert ist. An den Kontext nämlich, wem gehört denn dieser Schlüssel? Mit wem baue ich jetzt gerade die sichere Verbindung auf?
Und das sozusagen kannst du mir nicht einfach irgendein Zertifikat schicken, wo du das selber gesagt hast, dir bestätigt hast, dass du jetzt der CCC bist, sondern da gibt es eben eine Stelle, der auf bestimmten Paradigmen basierend Vertrauen abgeleitet wird. Und das ist eben zum Beispiel Let's Encrypt, das ist so eine Zertifizierungsstelle, da glaubt man, dass man denen vertrauen kann.
Und der Grund ist, warum man glaubt, dass man denen vertrauen kann, ist, dass sie wieder auch ein Zertifikat haben. Also auch die wurden zertifiziert von einer anderen Stelle, wo gesagt wurde, Let's Encrypt ist eine vertrauenswürdige Zertifikatsausstellende Behörde.
Und auch Auch das wurde ja von irgendjemandem zertifiziert und da kommen wir jetzt sozusagen, dann hat man diese Public Key-Infrastruktur, hat man so eine Hierarchie, also man kommt immer weiter, sozusagen irgendjemand hat zertifiziert, dass Let's Encrypt gut ist, das wurde zertifiziert und ganz, ganz oben am Ende der Wurzel, der Spitze des Baumes steht dann eben das Root-Zertifikat.
Also eine sozusagen, der wirklich die Wurzel des Vertrauens im Internet, die sagt, von da können wir das gesamte Vertrauen immer weiter ableiten. Das ist also wie eine Siegelkette. Genau, ist wie eine Siegelkette. Also jemand hat bestätigt, dass dieser Brief vom Absender kommt?
Der Absender ist von jemand anders bestätigt worden und so weiter und so fort und so weiter und so fort und ganz oben ist dann, sozusagen irgendein, also weil du Jeska gerade gesagt hast, es gibt ja tausende Siegel, also irgendwo ganz oben prangt das eine Siegel, das aber alle wirklich kennen. Der Notar der Notare. Der Metanotar. Fühlt das zu weit, wenn ich frage, wie das technisch realisiert ist?
Also woher weißt du sozusagen, also weil jetzt im Siegelding kann man sich das vorstellen, jeder hat das Siegel mal gesehen, das ist auch so unfassbar filigran, dass man es nicht nachmachen kann. Woher weißt du sozusagen, keine Ahnung, mein Computer oder mein Smartphone, dass ein Rootzertifikat ein Rootzertifikat ist? Und da reden wir jetzt tatsächlich über, also das ist eine sehr, sehr zentrale Entscheidung. Weil davon hängt ja ab, welchen Ketten vertraue ich.
Und da kommt jetzt unter anderem zum Beispiel Mozilla ins Spiel, weil Browser-Hersteller können sagen, welche Zertifikate sind in diesem Browser oder Betriebssystem-Hersteller können sagen, welche Zertifikate sind in meinem Betriebssystem und denen wird vertraut. Das heißt, letztendlich sind es Software-Hersteller, die entscheiden können, welche Liste von Zertifikaten da jetzt drin ist.
Und das wird auch regelmäßig reviewt, also wenn rauskommt, es gab irgendwelche Data Breaches, was auch immer, dann kann es eben sein, dass, wenn das häufiger passiert, sogar bestimmte Zertifikatsaussteller komplett da rausfliegen oder einfach so, dass man halt, ja, schlechte Zertifikate da draus entfernt. Da gibt es auch Mechanismen, das festzustellen, um dieses ganze System sicher zu.
Verstehe ich das richtig zu sagen? Also wenn der Anwendungsfall, mein Browser fragt ccc.de, da passiert so eine Kette und ganz am Ende steht ein Root-Zertifikat und durch Mathe, sehr kompliziertes Mathe, aber letztlich Mathe, dann ist auf meinem Rechner ein Stück Software, wo drin das Aussehen des Root-Zertifikats enthalten ist. Das heißt, im Prinzip ist die Information von Anfang an bei mir. Ja, du hast quasi eine Liste, die ist in jedem Browser, den du hast. Nicht unbedingt im Betriebssystem.
Aber sozusagen im Gerät. Okay, gut. Achso, und wichtig ist noch die Aussage, die jetzt dabei war, die kann, da kann es, man nennt es Revokation, es kann mal einer aus der Liste rausfliegen. Ja. Das ist eine wichtige Information, weil es kommt zu IT-Sicherheitsvorfällen. Es gab auch schon sehr große, sehr breit berechnete. Ich habe jetzt leider nicht im Vorfeld nachgeschlagen, aber ich glaube, wir hatten auch mal ein Chaos Radio zu dem einen Fall von... Diginota?
Ja, ich glaube ja. Das war der größte, glaube ich, international bekannteste. Genau, so. Wenn ich mir jetzt ausdenken würde, was eine Gesetzgebung damit zu tun hat... Naja, das ist ja wohl naheliegend, oder? Ich versuche hier voll zu schauspielen, dass ich den mega cleveren Gedanken habe, aber... Ich würde so sagen, denken, dann steht in dem Gesetz irgendwas drinnen,
was einen Eingriff... Nee, genau, ich wollte vorher noch was anderes fragen, nämlich diese Revokation, von der du gerade gesprochen hast. Das muss ja irgendjemand entscheiden. Also irgendjemand muss ja in einem Gremium möglicherweise sein, was sagt so, nein, Böse raus. Oder macht das jeder Hersteller für sich, oder gibt es so eine Art internationale Aufsichtsbehörde, die das macht?
Ich glaube, da ist sozusagen auch der Gedanke von diesem Article 45, da ist relativ viel Verantwortung und auch Einflussmöglichkeiten wirklich bei den Browserherstellern. Okay. Die können entscheiden, ob sie gewissen Root CAs nicht mehr vertrauen und die dann eben rausnehmen. Das heißt praktisch gesehen einigen die sich schon irgendwie immer, aber theoretisch kann auch ein Browserhersteller einfach sagen, ich habe hier noch das Root-Zertifikat von – keine Ahnung.
Okay. Warte, wir sollten das kurz klären. Root CA ist genau das. Die sozusagen Root Certificate Authority. Also damit wir die Begriffe, die hier immer so fallen, das ist genau. Das ist genau die Institution, wo das gesammelt wird? Nee. Das ist nur, damit man die Akronyme versteht. Das ist die Certificate Authority, also sozusagen derjenige, der das Zertifikat ausstellt.
Nur weil das so ein Begriff ist, der typischerweise immer fällt, obwohl Leute oft nicht wissen, was eigentlich das Akronym bedeutet. Und das ist in unserem, jetzt hier, das sind die Browser-Hersteller zum Beispiel. Nein, die sind drin, die sind Teil der Liste, die in den, über die Browser zu den Leuten. Das oberste, das oberste, das oberste Zertifikat ist das RootCA.
Genau, es gibt eben nicht nur eins, sondern relativ viele. Also da ist eigentlich überhaupt schon fast so ein Wunder, dass das Internet noch funktioniert. Wenn man sich mal anguckt, wie viele RootCA es da eigentlich gibt. Okay, dann also These in Artikel 45 steht drin, die EU ist jetzt in Zukunft auch, gibt ein RUZ.de raus und dadurch kann man dann schlimme Dinge machen. Genau. Und das ist aber alles ein bisschen unbenannt. Also das heißt nicht mehr Roots.ca, sondern irgendwie QTSP.
Und ich glaube Qualified Trust Service Provider anstatt Roots.ca. Und das können dann eben Länder sein und die stellen dann auch nicht mehr normale Zertifikate, sondern irgendwie QVEX aus. Also es ist einfach alles unbenannt. Was heißt QVEX? Das ist, würde ich sagen, einer von den beiden Schlagzeilen, die… Unified Web Authentication Certificate. Lernt ihr bis zum nächsten Mal alle schön auswendig. Ja, es wird abgefragt.
Das heißt, letztendlich im Artikel 45 wird so eine Parallelinfrastruktur festgelegt.
Und anstelle, dass es die Browser-Hersteller sind, die entscheiden, wer ist gut, wer ist schlecht, wird einfach gesagt, jeder Staat ist ja gutartig, weil die stellen Identitäten von Leuten fest und das heißt wir geben jetzt den Staaten die Möglichkeit zu sagen oder den Ländern Möglichkeit zu sagen, hey, das ist jetzt irgendwie unsere Zertifikatsausstellungsstelle, denen vertrauen wir, denen muss jetzt auch vertraut werden, also einfach in dieser parallelen Infrastruktur.
Also natürlich nur europäische Länder, bezieht sich jetzt eher auf Europa. Warum ist das gefährlich? Wir sprechen ja hier im Chaos-Radar ab und zu auch über staatliche Überwachung. Der Verdacht wäre, also vielleicht haben wir das noch gar nicht so explizit gesagt, dann müsste man das auch mal sagen, eine, so eine Root CA, also sagen so ein Wurzelzertifikat, das kann ja beliebige Zertifikate signieren.
Das ist ja also dieses, wenn so eine Dinge abgesagt werden, dann auch, weil sie möglicherweise Zertifikate signiert haben, die gar nicht stimmen. Das heißt also, wenn ein Staat ein Root CE wäre, könnte der sagen, Guck mal, der Server ccs.de hat ein gültiges Zertifikat für ccc.de und deswegen können wir jetzt die Verschlüsselung irgendwie angreifen oder was? Das wäre eine Variante, aber du kannst einfacher denken. Du kannst die ganze Vertrauenskette damit sozusagen unterminieren.
Davon leitet sich ja dein Vertrauen ab. Und wichtigsten ist natürlich, dass der Herrscher über den eigentlichen Verschlüsselungskern, also da ist ja das kryptografische Material, von dem das Vertrauen abgeleitet wird. Und deswegen ist auch der Protest so groß natürlich, weil… Ich verstehe noch nicht ganz die konkrete Gefahr, weil von dem, was ihr gesagt habt, ist ja sozusagen so ein Blue-C-A, wenn da irgendwie Sachen schief gehen, dann wird das irgendwie rausgeschmissen. Ja, eben nicht.
Also das Gesetz sagt, Länder sind vertrauenswürdig und die dürfen Zertifikate ausstellen. Also das Gesetz legitimiert die Länder dazu, eine Hoheit darüber zu haben, ihre eigenen QTSPs zu haben, die Zertifikate ausstellen, unabhängig davon, ob mal was schief läuft. Und wir wissen ja, wie gut Länder solche digitalen Infrastrukturen aufbauen. Ich versuche es so ganz hinzuverstehen.
Das heißt, ein Browserhersteller wäre zum Beispiel verpflichtet, diese Zertifikate aufzunehmen, egal wie crappy sie sind. Aber was ist die konkrete Gefahr? Also nicht, ihr sagt jetzt, die Zertifikatskette kann kompromittiert werden, aber was könnte passieren? Was sind, sagen, ein oder zwei oder drei Worst-Case-Szenarien? Also das Erste ist, weil du hast jetzt gesagt, dann könnte irgendwie ccc.sde oder sowas signiert werden, aber das stimmt nicht.
Also auch, aber das Schlimmere ist eigentlich genau das, was Constanze gesagt hat, dass diese Vertrauenskette aufgebrochen wird. Und du könntest denken, du redest mit ccc.de, aber in Wirklichkeit redest du mit wem ganz anderen. Und jetzt ist es so, Zertifikate sind eben an allen möglichen Stellen und sichern ziemlich viel ab. Also im ersten Moment würdest du sagen, okay, dann rede ich halt nicht mehr mit ccc.de, sondern da ist jemand dazwischen, vielleicht ist es nicht so schlimm.
Aber ich ziehe mir ja auch zum Beispiel Software-Updates und möchte eben der Gegenseite Vertrauen, woher ich mir die Software hole. Und dadurch kann das eine ziemlich große Auswirkung haben. Also vielleicht ziehe ich mir jetzt ein Software-Update, wo zwischendrin irgendein Staat ist und die Software austauscht, die ich mir dann installiere. Und dann habe ich einen Staatsroyale? Das könnte das Schlimmste sein. Also wenn du nach dem schlimmsten Szenario fragst,
dann wäre auch so was möglich. Da sind natürlich einige Angriffsschritte dazwischen. Und vielleicht ist auch die Software selbst nochmal signiert an einer Stelle, was es verhindern würde. Aber wenn wir sagen, hey, TLS ist doch eigentlich sicher. Dann wäre das was, was passieren könnte, wenn man sich nur darauf verlässt. Okay, dann möchte ich den einen Schritt nochmal deutlich sagen, den du gerade gemacht hast.
Weil wir jetzt als Beispiel mal genommen hatten, ich sitze an meinem Computer, der Browser kommuniziert mit dem Server. Diese, aber diese, wir haben das als Beispiel genommen, die Technologie zu erklären und die ist bei ziemlich vielen Schritten, also wann auch immer eigentlich technische Geräte im Internet miteinander kommunizieren, wird heutzutage sichergestellt, dass sie genau das machen. Dass sie sozusagen gucken, okay, und das sozusagen könnte an allen Stellen untergraben
werden. Okay, warte mal. Vielleicht, dass ich nochmal ein Realweltbeispiel nehme, weil das ein bisschen anschließt irgendwie so an, weiß ich nicht, zehn Jahre Snowden oder so.
Es gibt natürlich Geheimdienste etwa in europäischen Ländern, die sich alle zehn Finger danach lecken würden, weil einfach die strukturelle Überwachung, etwa wenn du, mal angenommen, du kriegst einen großen Metadatensatz und möchtest aber auch gerne an die Inhalte von Kommunikation ran, ist natürlich super, da könnten Geheimdienste natürlich sehr viel strukturierter mit abhören.
Das kann man immer sagen. Natürlich, die europäischen Staaten sind Demokratien, die haben Gesetze und das stimmt ja auch. Aber dennoch, man baut hier absichtlich eine Schwachstelle ein. Warum? Ich meine, dass sich da eine technische Community gegenwehrt, ist auch verständlich.
Und ich denke, das ist auch nicht die Verpflichtung dieser technischen Community, jeden einzelnen Fall, der sich eventuell als Missbrauch herausstellen könnte, darzustellen, sondern strukturiert auf dieses Problem hinzuweisen.
Wenn wir hier ein tolles Beispiel finden oder mehrere finden, wie man das ausnutzen könnte, ist das trotzdem nicht die Aufgabe dieser wissenschaftlichen Community, sondern die hat sich vor allen Dingen angesehen, was steht in diesem Artikel und warum geht das nicht, warum ist das falsch? Und die Reaktion eigentlich von denjenigen, die jetzt die Verordnung machen, müsste sein, oh man, ja wirklich, das ist vielleicht eine schlechte Idee, vielleicht streichen wir mal diesen blöden Artikel 45.
Das ist aber natürlich nicht geschehen. Da würde ich kurz nachfragen, sozusagen die... Also im Prinzip, wenn man jetzt nur diese Sendung sozusagen gehört hat, dann hat man gehört, okay, es gibt dieses Erzgeben. Da gibt es einen Artikel 45 und der Artikel 45 beinhaltet quasi, wir machen Verschlüsselung kaputt, indem wir das Vertrauen nachhaltig unterminieren.
Jetzt frage ich mich aber gerade, gab es eine, vielleicht irgendwie gut gedacht, schlecht gemacht Motivation, warum man überhaupt an dieses System rangeht? Weil man könnte ja sagen, also es klang auch schon an, es ist funktionierende Technik, wir wissen, wie es geht. Es gibt sowohl technisch, im Sinne von wie ist das programmiert, ist das irgendwie lange alles geklärt, als auch der institutionelle Weg, wer legt fest, welche Zertifikate, wem vertrauen, das gibt es alles schon.
Gab es irgendeine Motivation, außer das kaputt zu machen, warum es überhaupt diesen Artikel gibt? Genau, die Motivation war natürlich nicht irgendwas kaputt zu machen. Das ist ja schon mal beruhigend. Oder ist zumindest meine naive Hoffnung. Vielleicht war auch die Motivation, das kaputt zu machen. Aber ich habe die Hoffnung, dass das wirklich mit guten Intentionen zumindest einige daran gegangen sind.
Und die Befürchtung war oder die Sorge, dass wir in Europa zu abhängig werden von amerikanischen Firmen und von Browser-Herstellern und wir müssen unsere digitale Souveränität sichern. Weil, was eben ja schon sein kann, dass die Browser-Hersteller haben halt schon eine Menge Macht, die entscheiden, welche Root-Zertifikate da reinkommen, aber es gibt auch dafür etablierte Standards, was für Sicherheitsvorkehrungen die machen können.
Aber es könnte irgendwann einmal passieren, dass sie sagen, es wird so viel Schindluder getrieben mit diesen ganzen Root-CLs, dass Google sagt. Nur noch Root CAs sind sicher, die bei uns in Google-Infrastruktur laufen. Und dann hat man sich natürlich schon sehr, sehr abhängig gemacht. Das ist auch so ein Zukunftsszenario, keine Ahnung, ob das jemals passieren wird. Aber ich glaube, das war die Sorge.
Was ist, wenn die Browserhersteller einfach immer weiter versuchen, sozusagen das einzuschränken? Und wir möchten als Europa auch in der Lage sein, da mitzuspielen und immer akzeptiert zu sein. Aber heißt das sozusagen, die haben ein Problem versucht zu klären und sie haben das Problem exakt reproduziert? Nämlich, sie haben potenziell nicht vertrauenswürdige Stellen zu Root CAs machen wollen?
Genau, also sie haben überhaupt nicht das Problem gelöst, sondern einfach nur gesagt, wir fügen jetzt einfach noch mal mehr hinzu. Weil sozusagen das war das eine Problem, wir machen uns abhängig und das andere, was ich mehrfach gehört habe, war, ob wir denn nicht glauben, dass die NSA schon überall damit drin sitzt in den ganzen amerikanischen Root CAs. Also sozusagen, zwar einerseits wurde den aktuellen zum Teil misstraut und zum anderen wurde gesagt, wir machen uns abhängig.
Und haben gesagt, dann lass uns doch einfach noch mehr hinzufügen und das sozusagen zu erzwingen, dass die akzeptiert werden. Aber nochmal, mein Kopf platzt gleich, das ist doch literally dasselbe Problem. Also wenn du vorwürfst, wenn du Google vorwürfst, möglicherweise bist du von der NSE einem staatlichen Geheimdienst unterwandert und deswegen können wir dir nicht vertrauen.
Deswegen bauen wir jetzt einen neuen Baustein, der potenziell von einem staatlichen Geheimdienst untermauert werden könnte. Das ist doch dasselbe Ding in Grün. Nein, ist es nicht. Wieso nicht? Weil aus der europäischen Perspektive ist die Frage der, sozusagen der Souveränität, wie die jetzt immer geframed wird, die ist ja vorhanden. Also wir können ja nicht den Ist-Zustand als gut bewerten. Da gibt es ein Problem, das wollen wir euch ja nicht von Hand weisen oder so.
Google hat diese Macht und Google ist auch von der NSA in verschiedenen Fällen unterminiert worden. Also ich wollte das nicht in Abrede stellen, ich wollte nur sagen. Die Lösung des Problems reproduziert das Problem nur sozusagen auf eine andere Art und also sagen, der nicht vertrauenswürdige Root-Certificate-Aussteller ist jetzt ein anderer nicht vertrauenswürdiger. Es geht aber nicht das Problem an, sondern es reproduziert es halt in anderer Form.
Ja, aber natürlich durch die Tatsache, dass da staatliche Entitäten enthalten sind, sehen die das anders. Also ich würde dir im Prinzip zustimmen, aber du hast ja nach der Motivation gefragt, warum sie das eigentlich machen wollten. Nee, aber auch da sozusagen, nochmal dazwischen zu reden, es macht ja wirklich, es fügt aber noch mal ein Problem hinzu.
Weil sozusagen, wenn die Kritik ist, wir haben Sorge, dass einige Root-CAs von der NSE unterlaufen sind und wir fügen jetzt einfach noch weitere hinzu, dann geht ja nicht das erste Problem weg. Das heißt, genau auch diese sozusagen potenziell unterminierten Root-CAs zu nutzen, um eben verschlüsselte Kommunikation sozusagen in der Mitte abzufangen und alles auslesen zu können, geht ja nicht weg.
Wir haben nur potenziell mehr Root-CAs geschaffen, wo jetzt Geheimdienste diese Möglichkeit haben und die Rechte eine Roots CA zu stellen, auch wenn es da eben anders heißt und das ist eben das richtig perfide, es wird eben nicht mehr von Roots CA und TLS Zertifikaten gesprochen, sondern von dieser neuen Form von Zertifikaten. Man wird immer gesagt, das ist was ganz anderes. Das löst ja eben dieses Problem nicht und es kann ja insbesondere von jedem Member State in der EU vorgeschlagen werden.
Und es gibt ja auch ein paar Länder, die jetzt vielleicht nicht ganz so demokratisch vor mir sind. Und vor allen Dingen, wo deren Gesetzgebung in Bezug auf Massenüberwachung und Geheimdienste etwas unterentwickelt ist. Gibt's ja auch. Nur ein Beispiel. UK ist raus, also, ne? Ich wollte gerade sagen, die sind ja eh nicht mehr in der EU. Also Länder, von denen ich Angst habe, in der EU, also beziehungsweise die ich
für Bildungsfreiheit habe, also Ungarn fällt mir ein. Mal gucken, wie es in den Niederlanden wird jetzt. Polen maybe auf dem Weg der Besserung, wer weiß. Was gibt's noch für Beispiele? Also ich würde auch durchaus Frankreich und Spanien dazu nehmen, die nämlich sehr fordernde Geheimdienste haben und auch technisch hochgerüstete. Also das ist doch durchaus in Ländern, die man jetzt als gute Demokratien bezeichnet, ein Problem.
Und wir können ja auch nicht absehen, was in der Zukunft an Konflikten passiert. Wir machen jetzt ein Gesetz und falls sich Regierungen ändern, falls es neue Konflikte gibt. AfD. Ich wollte gerade sagen, der Maßstab für Digitalisierungsgesetzgebung sollte ja immer sein, was passiert mit dem, was man baut, wenn die Nazis an die Macht kommen.
Vielleicht aber noch eine Ergänzung, direkt von einer Sache, die auch noch putzig ist, die in diesem Artikel 45 steht, ist nicht nur, dass sie sagen, es gibt diese Zertifikate, die verpflichtend akzeptiert werden müssen.
Es wird auch gesagt, es gibt ein Maximumlevel an Sicherheitschecks, die man durchführen kann, weil diese Roots hier sind halt wirklich extrem gewettert, da wird wirklich sehr, sehr viel Maschinerie und Aufwand betrieben, um sicherzustellen, dass diese Schlüssel, die dahinter liegen, halt wirklich sehr sicher sind und sehr gut geschützt sind.
Und was jetzt in dieser EU-Verordnung steht, ist, dass ETSI, also die europäische Standardisierungsbehörde, die kann genau vorgeben, was die Regularien sind, um eben so eine Root CE oder diese europäische Root CE, die dann eben ein bisschen anders heißt, erfüllen zu hat. Und die Browserhersteller dürfen keine zusätzlichen Checks machen, um die Sicherheit davon zu überprüfen. Ich habe sowas auch noch nie gehört. In dem Fall fällt mir auch keine inhaltliche Begründung ein.
Außer Praktikabilität höchstens. Also jetzt, Sie sagen, wollten Sie es einfacher machen. Ich verstehe überhaupt nicht, wie das da reingekommen ist.
Ja Kosten, weil irgendwie muss es ja auch ein Land noch selber machen und das ist tatsächlich ein großes Problem, weil sonst, wenn sagen wir Deutschland das nicht selber hinkriegt, dann müssten sie halt, keine Ahnung, zur Deutschen Telekom gehen, die sind vielleicht schon eine Routier so und dann ändert sich ja aber im Status quo nichts, weil diese digitale Souveränität dann nicht da ist, sondern die Länder müssen
wieder zu großen Firmen gehen, die das eh schon dürfen und haben diese Abhängigkeit und vermutlich, um eben davon loszukommen, War das die Idee? Und auch da, glaube ich, war so ein bisschen Hintergedanke wieder diese digitale Souveränität.
Der Paranoia-Hintergedanke könnte ja sein, was ist, wenn die bösen, bösen Browserhersteller, wo ich auch immer nicht weiß, was da gerade beim Mozilla, was da so die Befürchtung ist, gesagt wird, was ist, wenn die anfangen, irgendwelche utopischen Sicherheitsanforderungen zu machen?
Das könnte ja, wie gesagt, man könnte irgendwann so weit gehen, wenn es zum Beispiel irgendwann wirklich nur noch Google gäbe, dass sie sagen, es muss eben auf, ja, auf Google-Maschinen oder Servern laufen, die müssen Zugang haben. Also sie könnten schon Sicherheitslevel sich ausdenken, mit denen wir jetzt als europäische Länder nicht konform gehen würden. Aber auch das ist schon wieder so eine Utopie, der ich mich jetzt nicht unbedingt verschreiben möchte.
Und ich glaube, auch da wäre die bessere Lösung, erst mal das Problem zu lösen. Weil das wurde überhaupt nicht angesprochen in der ganzen EU-Gesetzgebung, dass gesagt wird, wir sind so unglaublich von diesen amerikanischen Browserherstellern abhängig. Dann lass doch einfach mal EU-Gelder auf europäische Browser werfen und sozusagen eine alternative Infrastruktur entwickeln. Also meine Frage wäre jetzt tatsächlich gewesen, wie kann man das Problem denn sozusagen anders lösen?
Und jetzt ist ja, also europäische Varianten von erfolgreichen US-amerikanischen Angeboten und Plattformen gab es ja schon, nutzt keiner so richtig. So, das heißt also Ja, irgendwie selber einen Browser bauen, okay, aber ... Pragmatisch gesehen, maybe nicht so erfolgsversprechend. Gibt es noch andere Möglichkeiten?
Also vor allem sozusagen, es geht ja auch nicht nur um Browser, es geht ja sozusagen um die grundlegende Infrastruktur, also das Update, was man Computer runterlädt, etc. Also gibt es überhaupt eine andere Lösung des Problems oder ist, was Zertifikate angeht, jetzt die EU-Gesetzgebung schlecht, aber das Fazit hinten raus ist, we are fucked anyways. Ich bin eigentlich relativ optimistisch und will da auf ein bestimmtes Beispiel raus. Das ist natürlich Let's Encrypt.
Das ist eine Organisation, die hat ihre Wurzeln bei der IFF, also amerikanische Zivile. Ja, sie hat aber auch in anderen Kontinenten mittlerweile ihre Dependancen.
Also, was wir gelernt haben im letzten Jahrzehnt ist eigentlich, dass sich sehr wohl auch in diesem Bereich, der lange als total festgezohrt und auch als eigentlich im Prinzip nur mit Geld kann man da irgendwas erreichen, dass sich da eine Menge ändern kann, dadurch, dass Let's Encrypt von null auf wirklich weit über die Hälfte aller Zertifikate mittlerweile gesprungen ist.
Also hier, man kann hier was verändern und auch mit einem relativ transparenten Gedanken, denn ich glaube, das ist ja immer bei diesen Vertrauensketten so, das wird zwar nicht weniger komplex, aber durch Transparenz kann man zumindest denen, die sich dafür interessieren, einen Einblick ermöglichen und das ist eigentlich für mich der einzige Weg. Aber ich bin da optimistischer als früher durch das Beispiel von Let's Encrypt.
Ich muss es aber nochmal fragen, weil das spukt mich schon die ganze Zeit im Hinterkopf rum, weil die, also alle anderen Zertifikatsanbieter ist, wenn du da als Webseite zum Beispiel oder als professioneller Anbieter ein Zertifikat willst, dann gehst du ja eine Vertragsbeziehung ein, du musst das Zertifikat kaufen. Let's Encrypt funktioniert ja so, dass ich hingehen kann und mir das sozusagen selber erstelle. Das heißt, ich behaupte, ich bin ich.
Aber das hat dann sozusagen, also Let's Encrypt zertifiziert das dann, weil ich hab's ja gesagt, aber es gibt sozusagen keinen Kanalierprozess. Also ist das nicht ein bisschen anders als die anderen und würde das das Problem lösen? Es ist technisch sehr anders implementiert. Also, du kriegst dieses Zertifikat nur, wenn du mit dem Server, der sich jetzt zum Beispiel ausgeben möchte und zertifizieren möchte, auch eine ... Also, das ist eine Verifizierung nicht mit dir.
Du sagst, ich hab ccc.de, sondern diese Verifizierung durch Let's Encrypt findet dann direkt auf ccc.de auch statt. Und nur wenn du die Kontrolle über diese Webseite hast, kriegst du auch das Zertifikat. Und wenn ein Angreifer eh die Kontrolle hätte können, Also solange du davon ausgehst, dass der Server, wo ccc.de drauf läuft, nicht kompromittiert ist, ist alles in Ordnung mit dieser Zertifikatsausstellung. Also deine Darstellung ist eigentlich dann nicht ganz korrekt.
Du kannst es dir ausstellen lassen und du musst dafür auch nichts bezahlen. Aber du musst die Hoheit haben darüber, was du zertifizieren willst. Also in dem Fall jetzt z.B. ccc.de. Und das musst du schon erstmal haben. Ansonsten kannst du dir natürlich ein Zertifikat ergaunern, da musst du aber vorher mal kurz den Server von der entsprechenden Einheit übernommen haben. Also deine Nachstellung war etwas unterkomplex. Ich bin ja hier sozusagen aus
Laienperspektive da, von daher soll ich mir das nachsehen? Aber du hast es schon getan. Aber du hast es ja schon gemacht, oder? Du hast ja selber Let's Encrypt-Zertifikate, oder? Ja. Naja, dabei hast du dann nur, sozusagen, du denkst logisch daran nicht gedacht, dass du ja das, was du zertifizieren willst, auch unter deiner Hoheit hattest. Hattest du doch Richter-FM?
Pfff, stimmt. Ich krieg's jetzt gerade im Kopf nicht zusammen, warum das für mich ein Unterschied war, aber ich glaube, es ist tatsächlich eher der Fehler, dass ich die Zertifikate institutionell sozusagen gesehen habe.
Also wenn ich ein Zertifikat kaufe für bundesdruckerei.de, wird da eine Geschäftsbeziehung eingegangen und dann gibt es sozusagen noch einen zweiten Kanal, auf dem sichergestellt wird, dass bundesdruckerei.de tatsächlich der Firma bundesdruckerei.de gehört, während ich sozusagen, ich könnte mir außen eine Webseite machen, irgendwie kurz.com und dann zuletzt in Kripps sagen, ich bin Konstanzo Und dann so, genau, aber tatsächlich sozusagen,
das Zertifikat macht technisch ja nichts weiter, als zu sagen, die URL oder die Domain, mit der du kommunizierst. Ist die Domain, mit der du kommunizierst. Aber wem diese Domain gehört, können wir dir nicht sagen. Das ist eben genau das, wo eben auch Artikel 45 jetzt mehr machen möchte. Also es gibt auch verschiedene Zertifikatstypen und die einfachste Art, die eben auch Let's Encrypt ausstellt, ist sozusagen so ein, glaube ich, Domain-Validation.
Also dass man wirklich immer nur sagt, wem gehört diese Domäne und wir bitten jetzt den Schlüssel an den Domänenbesitzer. Ob hinter der Domänenbesitzer, wenn es jetzt kurz.com schon gibt, vielleicht eine andere Seite, einfach eine andere Person impersonator oder eine andere Firma. Wenn ihr die URL nicht haben, kann ich die Domänen ja kaufen und die einfach besitzen.
Und es gibt sozusagen noch bessere Zertifikate, gab es auch schon vorher mit TLS, hieß so, das heißt besser, einfach sozusagen enhanced validation, wo wirklich geschaut wird, ist die legale Entität dahinter auch die, die tatsächlich zu der Domäne gehört. Wurde vor ein paar Jahren eingestellt, das irgendwie verschieden darzustellen.
Das habe ich auch erst bei einem Konferenzvortrag, glaube ich, mal gehört, dass es da, das Logo konnte verschieden grün aufleuchten, je nachdem, was für ein Zertifikatstyp man im Hintergrund hatte. Eben eins, was noch zusätzlich wirklich die legale Identität überprüft hat, wurde abgeschafft, weil es einfach zu kompliziert war und man das wirklich auch kaum eigentlich verifizieren konnte.
Und das, was die EU jetzt möchte, deswegen heißen die Zertifikate eben auch anders, diese Quarks, wo ich mir immer nicht merken kann, wofür es steht, die sollen eben gerade wieder diese legale Bindung bieten und verpflichten zum Beispiel auch Browser-Hersteller dazu, das was sie abgeschafft haben, weil sie gesagt haben, die Leute haben es nicht verstanden und das konnte sogar für Phishing ausgenutzt werden, diese Identitätsinformationen wieder darzustellen.
Dass man eben wirklich überprüft hat, wen gehört denn diese Domain? Einfach nicht nur ich bin ein Besitzer von der Domain, sondern ich bin auch irgendwie die Firma, die das zu besitzen hat. Aber das, also jetzt mal abgesehen davon, dass die Umsetzung anscheinend bis jetzt gräulich war. Ich finde das als Konzept jetzt nicht so doof. Genau, auf den ersten Blick mag es irgendwie ganz gut aussehen. Und das haben auch größere Firmen, bei gewissen Banken will man das natürlich
haben. Aber die Frage ist immer, wie kann man das überprüfen? Durch das Zertifikat dachte ich. Durch das Zertifikat, aber zum Beispiel, was ist eine legale Identität? Weil es gibt, also der Name einer Firma ist ja nicht global eindeutig.
Das heißt, ich kann auch eine Firma mit demselben, oder ein anderes Land gehen, wo die Firma vielleicht nicht registriert ist, mir da den selben Firmennamen registrieren lassen, hab dann wieder eine legale Bindung, aber vielleicht nicht in dem Staat oder in einem Land, wo ich eigentlich gerade kommunizieren möchte.
Also auch da, es gibt, wird immer Möglichkeiten geben, das zu unterlaufen und einfach dieses, das Vortäuschen, dass man jetzt mehr Sicherheit hat, weil wir wirklich eine legale Bindung überprüft haben. Der tatsächliche Gewinn an Sicherheit ist, glaube ich, eher marginal, weil man den auch wieder unterlaufen kann und man, ja, man täuscht Vertrauen vor, indem man da jetzt ein größeres oder dickeres grünes Siegel hinbaut, der aber genauso gut zu unterlaufen ist.
Also das heißt sozusagen, eure Aussage ist im Prinzip alles, wie hast du es genannt, ... Domain Verification, also alles außer ... Wenn man Zertifikate benutzt, sollte man sie nur für diese technische Definition, du redest gerade mit der Domäne, mit der du glaubst, mit der du redest, nutzen, alles andere ist Stand heute, 30. November, Quatsch. Es ist nicht Quatsch. Also gerade bei Banken, die haben schon dieses bessere Zertifikat, aber der Unterschied wird mir nicht mehr dargestellt.
Also sozusagen, und das ist eben eine Sache, die jetzt einfach gefordert wird, dass wir sagen, wir brauchen jetzt wieder diese komplexeren Zertifikate. Und da einfach nochmal einfach eine andere Tür aufgemacht wird, über die man gar nicht unbedingt reden muss. Auch dass diese Informationen dargestellt werden. Es wird nur wieder die Komplexität für die EndnutzerInnen erhöhen. Und die werden überfordert sein, was jetzt ein grünes Siegel und ein grün umrandetes Siegel bedeutet.
Weil das gab halt wirklich früher diesen Unterschied. Jetzt kommen wir von der Stelle, wo Konstantin gesagt hat, sie ist so leicht optimistisch, weil letzten Krypt gibt es ja, aber so richtig schlau. Aber so habe ich es jetzt auch nicht gesagt. Ich wollte nur sagen, das ist ein Beispiel, dass das keine unveränderbare Struktur ist, sondern dass man da Bewegung reinkriegt und auch wirklich viel Bewegung. Aber momentan ist doch sozusagen vor allen Dingen, wir wollen den Artikel 45
nicht. Ja, der muss weg, der doch. Also anzünden, hat er dir schon gesagt. Man kann den auch einfach rausstreichen. Kann er rausstreichen oder anzünden, aber was dann? Es ist ja kein Zwang, im Rahmen dieser EIDAS-Verordnung auch die Zertifikatsstruktur unbedingt anzufassen, das ist ja nicht unbedingt Zwang. Kann einfach weg, verstehst du? Damit könnte immer noch EIDAS kommen.
Wir haben ja schon eine funktionierende Infrastruktur, also warum sollten wir eine zweite Schatteninfrastruktur mit anderen Sicherheits… Schlechte Richtlinien. Moment mal, also wir haben eine funktionierende Infrastruktur, aber ihr habt schon gesagt, dass die Motivation, aus der der Artikel 45 entstand, jetzt nicht ganz von der Hand zu weisen ist.
Also das heißt, wir müssten es trennen, wenn man jetzt sozusagen nur aufs EIDAS-Gesetz kommt, dann sagt ihr Artikel 45 streichen, weil alles andere funktioniert auch ohne. Und was ich jetzt als halbwegs aufmerksamer Zuhörer sozusagen aber auch mitnehme, das mit dem Zertifikatsding ist schon ein Ding, da könnte man sich schon nochmal Gedanken drüber machen. Aber das muss man dann extra machen und das muss man vor allen Dingen nicht
in der Form machen wie Artikel 45. Nicht mit den Zertifikaten, weil ich glaube, da haben wir wirklich funktionierende Lösungen. Und wenn ein EU-Land sagt, es möchte gerne selber eine Rootserie haben, kann es ja eine gründen. Es gibt ja Prozesse, die können einfach so eine Sache machen und müssen sich halt an die Regeln, an die Standards halten, müssen schauen, dass sie sicher sind und dann werden sie auch akzeptiert. Gibt es Beispiele dafür? Also das wäre ja nicht, das gibt es ja.
Genau, das unterliegende Problem war ja, dass einige anscheinend die Befürchtung haben, wir machen uns zu abhängig von amerikanischen Browsern und vielleicht machen die irgendwann in der Zukunft Entscheidungen, mit denen wir nicht mehr einverstanden sind. Und wenn aber das Problem ist, wir machen uns zu abhängig von amerikanischen Browsern, muss man dieses Problem lösen und nicht irgendwie hintenrum noch was ranflanschen.
Also keine Gesetzgebung machen, sondern eher, keine Ahnung, Technologieförderung oder was da Werkzeuge sind, um… Ich finde es nicht verkehrt, meine Güte. In Europa könnte man es ja mal, wenn man es ernst meinte, mit der digitalen Souveränität tun. Sie haben ja auch nicht nur von den Amis Angst, sondern auch von den Chinesen. Also bitte. Das heißt, das Zertifikatsthema ist technisch geklärt.
Es wird nur in der Tat momentan von, sozusagen, also geografisch konzentriert, sozusagen von finden, also Software und Plattformen sitzen halt im US-amerikanischen Raum. Wenn man das diversifizieren wollen würde, müsste man das machen und nicht ein Gesetz machen, wo man vorschreibt, welche Zertifikate. Das ist sozusagen die Quintessenz.
Genau, das wäre so meine Sprache. Und deswegen auch das Beispiel von Constanze mit Let's Encrypt, weil das eben genau ein Schritt in die Richtung ist, sich unabhängiger zu machen. Vielleicht sollten wir der Fairness-Faber mal sagen, ist ja offener Brief, nicht nur in Deutschland, sondern auch europäisch durchaus in der Presse berichtet worden, ist ja auch nicht immer so selbstverständlich. Vielleicht sollten wir die Reaktion wenigstens mal erwähnen.
Ich hatte dir ja vorhin angeboten, dich zu moderieren, weil es meine nächste Frage wäre gewesen. Ich habe jetzt diesen Brief geschrieben und ich habe jetzt verstanden, was die Quintessenz der Forderung sein soll. Was sagt denn die Politik und was sagen alle anderen? Ja, also da gab es jetzt eben diese Trilog-Abstimmung und da sind. An dem Artikel selber hat sich nichts mehr geändert, aber es kam dieses Recital dazu. Was ist denn das deutsche Wort?
Konstanz, weißt du das? Ich glaube, es gibt keins. Ich kenne keins. Recital. Heißt halt so. Was macht das? Naja, das ist eine Form von Gegenüberstellung. Also, ja, das, also, sie haben, nee, anders. Wir müssen mal kurz den Zeitplan sagen. Also, es war jetzt unmittelbar. Jetzt ist der 30. November. Genau, und vor zwei Tagen war das in diesem ITRA-Ausschuss, das ist der Industrieausschuss, und dann hat man immer vorher natürlich eine gewisse Zeit, wenn ich mich recht erinnere, war am 8.
November der offene Brief, um Änderungen darzustellen und zu veröffentlichen. Und das haben die irgendwie erst zum 16. November geschafft. Das heißt, das waren sehr wenige Tage, um das überhaupt mal durchzusehen. Und diese Dresd-Weite, das stellt die Änderungen gegenüber. Und da hatten sie jetzt im Industrieausschuss leider festgestellt, da gab es ein Softwareversagen, weswegen diese Gegenüberstellung nicht so richtig war. Da fehlte irgendwas, da fehlten ganze Zeilen.
Weswegen es jetzt eine Verschiebung gab wegen dieser technischen Probleme auf den 7. Dezember. Das wir wissen noch nicht. Und da könnte sich noch was ändern dann? Also ist das nur eine Anzeige der Änderung oder könnte dann nochmal neu verhandelt werden? Streichen wir Artikel 45 doch noch. An dem Artikel hat sich nichts geändert und es kam eben so ein Recycle hinzu. Und da wurden ein paar von unseren Bitten sozusagen auch erhört.
Es wurde insbesondere gesagt, dass die Bedingungen, diese neuen Zertifikate der EU zu akzeptieren, sollen nicht dazu führen, dass die Verschlüsselung, dass die Browser in der Unterstützung ihrer Verschlüsselung irgendwie gehindert werden sollen. Aber der Wortlaut ist identisch geblieben und dieses Recycle ist halt wie eine Form von Hinzufügung. Und der eigentliche Artikel ist gleich. Genau, es hat überhaupt nicht rechtlich Binden.
Also sozusagen die Bedeutung von diesem Recycle ist nicht klar und es ist auch wieder so ein bisschen misleading, weil eben gesagt wird, nur dadurch, dass ihr diese Roots hier, diese neuen Roots CR-Digen Sachen akzeptieren müsst, könnt ihr trotzdem die Verschlüsselung genauso weitermachen wie bisher. Aber der Punkt ist ja einfach, dass man aufgrund von diesen Zertifikaten, die hinzukommen, potenziell mit falschen Schlüsseln verschlüsselt.
Also das ist so, man hat was hinzugefügt, ohne dass es eigentlich einen wirklich effektiven Nutzen gibt. Ja, also Artikel 45 kommt. Ne, das können wir jetzt auch noch nicht genau sagen, weil du hast ja vorhin schon beschrieben, wir sind jetzt im Trilog, das heißt der ITRA-Ausschuss, aber auch das Parlament und der Rat müssen sich ins Benehmen setzen und da wissen wir noch nicht, wie das Ergebnis sein wird.
Ich glaube aus politischen Gründen…, wird leider diese Streichung nicht mehr erfolgen, aber man sollte die Hoffnung nicht aufgeben und wir haben noch nicht den 7. November, also 7. Dezember, wir wissen noch nicht genau, wie der ausgehen wird. Wir werden vorher veröffentlichen. Was, wenn der kommt? Naja, dann würde ich jetzt selber sagen, was du vorhin sagtest. Also, was man ja noch machen kann, ist auf jeden Fall gucken, wie wird es tatsächlich praktisch getan?
Wie setzen sich die einzelnen Nationalstaaten hin und setzen das um? Das muss man dann einfach beobachten. Da bleibt einem ja keine andere Wahl. Also, was willst du machen? In den Untergrund gehen? Also die Frage ist sozusagen zweigleisig, weil einerseits sagen nach dem politischen Plan, also was macht man, wenn ein Gesetz verabschiedet würde, von dem man sagt, das muss angezündet werden?
Und das andere ist aber auch aus NutzerInnen-Perspektive, das heißt also absehbar haben wir vordergründig einen Browser, wo ich dann vielleicht lernen muss, wie ich einzelne Root-CAs ausschließe, zum Beispiel die von Ungarn. Das soll auch nicht möglich sein. Es wird auch explizit gefordert, dass die Browser keine Möglichkeitsverfügung stellen, einzelne auszuschalten. Haben wir ja noch nicht erwähnt. Aber wenn man einen Browser Open Source macht?
Das wird vermutlich so die Konsequenz sein, dass es dann sozusagen eine EU-Variante der Browser geben wird. Und die Nicht-EU-Variante von allen, die technisch versiert sind oder vielleicht auch die, die kriminell sind, die man vielleicht damit irgendwie fangen wollte, die werden natürlich dann einfach die Nicht-EU-Variante des Browsers nehmen. Okay, dann machen wir, also wenn das so weit kommt, machen wir dann Hands-on-Chaos-Radio für Nicht-Go-Browser auf einem eigenen Rechner kompilieren.
Der eigene Rechner muss ja dann eine Waste damit beschäftigen, wenn es so weit ist. Das ist aber schlimm trotzdem, weil das Problem ist ja, jetzt sagen wir, hey, technisch versierte Leute können das ja irgendwie hinkriegen oder Kriminelle, aber für die große Masse könnte damit trotzdem die Überwachung kommen. Also man muss immer die Mobiltelefone heute mitdenken, wo die meisten Leute sehr viel weniger in der Lage sind, was zu konfigurieren.
Und wo auch die Spanne an Betriebssystemen viel geringer ist. Also da ist halt nicht mehr eine große Linux-Community, wo du noch ran kannst, sondern du hast diese zwei Betriebssysteme, wo du nicht mehr viel machen kannst. Aber gibt es einen Plan aus eurer, also Wissenschaft, NGO, Aktivistie Perspektive, was man dann macht, wenn der Artikel 45 kommt?
Naja, es wird natürlich einmal auch, das haben wir jetzt noch nicht besprochen, kann man sich natürlich überlegen, ob man strategisch den rechtlichen Weg beschreitet, könnte man ja immer nochmal tun. Ist ja bei Verordnungen auch so selten nicht. Das heißt also eine Klage vor welchem Gericht dann? Naja, das wird wahrscheinlich dann schon eher so sein, dass man auf die Nationalgesetzgebung gucken muss und dann in der Regel die nationalen Gerichte verweisen auf den EuGH, Europäischen Gerichtshof.
Das ist ja sehr schwierig, den direkt anzusprechen. Aber ich glaube, vor allen Dingen muss man es im Blick behalten. Also, welche Länder wie umsetzen. Also nun sind natürlich in Europa die Länder nicht alle gleichwertig, was zum Beispiel Deutschland für eine Gesetzgebung daraus machen wird und wie sie das umsetzen, also vor allen Dingen praktisch umsetzen wird eine Rolle spielen.
Mehr als gucken können wir dann wohl nicht. Er dreht sich halt ein in so eine Vielzahl an Gesetzgebungen, an der man echt sehr fundamentale Kritik üben kann, die vor allen Dingen aus der technischen Community kommt. Das ist jetzt gerade so eine Häufung. Das liegt aber auch ein bisschen daran, wo wir gerade sind in der Legislaturperiode. Weil jetzt gerade viel durchgesetzt wird, weil dann ja die Europawahlen kommen und die versuchen natürlich jetzt auch vieles noch durchzudrücken.
Gibt es eigentlich politisch, also in der EU-Politik, im Parlament sozusagen Fraktionen, also lassen sich da politische Richtungen klar machen, dass es irgendjemand gibt, der sagt, das ist aber Quatsch, was ihr da gerade macht? Oder sind politisch gesehen eigentlich alle dafür? Naja, das ist deshalb schwierig, weil das hier ja nicht der Ausschuss für bürgerliche Freiheiten ist oder so, also der Innenausschuss, sondern das ist der Industrieausschuss.
Da sind oft die Parlamentarier drin, die ohnehin sehr wirtschaftsfreundlich sind und ein Ohr an der Wirtschaft haben. Und weniger jetzt an den Lippen der Zivilgesellschaft hängen oder gerne die Akademie ja von vorne bis hinten lesen. Das ist ja ein Industrieausschuss, der hier federführend ist.
Und insofern würde ich schon meinen, es scheint mir auch so ein bisschen in der Reaktion, mein Eindruck ist, dass das so ein bisschen abgetan wird, als oh je, läuft eine Kampagne gegen uns und sich gar nicht auf die Argumente, die ja auch schriftlich dargelegt sind in diesem offenen Brief, den wir verlinken werden, darauf richtig eingegangen wird. Das sieht man auch, finde ich, an der unmittelbaren Reaktion.
Das ist halt schade. Und dann noch dieser heimliche Vorwurf, der jetzt sozusagen an die Akademie gemacht wird, Oder man hätte sich da mit Google ins Bett gelegt oder mit Mozilla, die ja nun auch dieselbe Position vertreten, die sind jetzt natürlich im Farm, weil der letztlich, also hier bringt eine Community von Experten Argumente vor und man kriegt nur komische Antworten, die irgendwie an der Seite vorbei argumentieren.
Darf ich mir kurz auf der Zunge zergehen lassen, dass EU-PolitikerInnen sagen, die Wissenschaft wäre sozusagen Opfer von Lobbyismus geworden? Nein, so direkt ist es dann doch wieder nicht. Ich glaube, da gibt es wirklich Statements, die das so direkt sagen. Also so direkt? Okay, echt? Ich dachte, das wäre so hinter der Blume. Ne, da gibt es ein paar Statements leider. Na toll. Ich meine jetzt auch durch die Blume sozusagen nur übersetzt, aber das ist schon wow.
Okay, das ist okay. So, Werner, Sie hatten ja ursprünglich gefragt, was war die Reaktion an der Politik? Nicht so gut, haben wir gerade erfahren. Was sagt denn der Rest der Welt dazu? Oh, profunder Disinteresse, würde ich sagen. Also ich habe den Eindruck, dass das schon wieder sehr, sehr nischig ist. Also man braucht immer sehr lange, wenn man richtig so fundamentale Kritik durchbringen will und dafür ist der Prozess schon zu weit am Ende, glaube ich.
Und es ist auch technisch zu kompliziert, glaube ich. Also irgendwie zu erklären, wie diese Zertifikate, was mit Verschlüsselung zu tun haben, weil wir noch mehr vertrauenswürdige Zertifikate hinzufügen, wie kann es denn schlimm sein?
Also es ist irgendwie so ein technisch anspruchsvolles Thema und das gibt es eben auch gerade heute wurde jetzt auch noch mal so ein Dokument geleakt, wo halt wirklich auch die Komplexität so ausgenutzt wird, um Missinformationen zu verbreiten, um einfach zu sagen, es wird ja nicht schlimmer, es wird ja alles besser. Dokument geleakt von wem? Also nicht von wem geleakt, sondern zu sagen, wessen Dokument?
Das ging an die MEPs, also Member of the European Parliament, einfach nochmal so ein Informationsdokument. Ich weiß nicht, wer der Absender ist, ich glaube, das ist nicht rausgekommen. Da wurde es die Kommission schon, also ne. Aber da wurde so gegenübergestellt, was sind denn jetzt diese neuen qualifizierten Zertifikate, was bedeutet das?
Da wurde eben schon auf die Argumente eingegangen, aber eben jedes Argument ist halt, es ist, sagen wir mal, misleading, als wäre das die beste Beschreibung, die mir da einfällt. Es werden quasi die Kritiken komplett umgedreht.
Also so ein, hey, es gab doch die folgenden Kritiken, aber das stimmt überhaupt nicht, weil… Und danach kommt eine Begründung, die sich für jemanden, der technisch nicht so tief drinsteckt, so liest, als wäre eben dieser Brief von Wissenschaftler und Wissenschaftlerinnen falsch. Also es ist quasi so ein, das Argument kam, aber das stimmt gar nicht. Und man muss eben sich sehr, sehr, sehr tief mit der Technik beschäftigt haben, um zu wissen, wer lügt hier eigentlich wen an.
Und das ist halt super schade. Also ich meine, es gibt ja genau deswegen Wissenschaftlerinnen, Wissenschaftler, die sagen, hey, das ist unsere Meinung, wir haben das unterschrieben. Und Und trotzdem gibt es eben irgendjemand, wir kennen den Absender halt leider nicht, der sagt so, ne die Argumente stimmen nicht und alles ist genau das Gegenteil von dem, weil, Das ist eine schwierige Situation auch für Journalisten, muss man natürlich auch sehen.
Also Adelt überhaupt zu berichten, das ist jetzt nicht gerade das Sexiness weit oben. Wir haben doch nur eineinhalb Stunden gebraucht, um das grob zu verstehen. Also zeigt halt so ein bisschen, naja, es ist vielleicht nicht unbedingt, es ist kein gutes Beispiel, weil letztlich hat natürlich der Protest auch spät
begonnen. In dem Prozess. Andererseits gab es schon sehr früh Proteste 2021, da war der Kommissionsvorschlag relativ frisch und viele von denen, die wir heute aufgezählt haben, waren schon Teil der Kritik, inklusive Artikel 45, explizit, mit denselben Argumenten. Übrigens auch auf eine Weise erklärt, die man hätte verstehen können. Aber was willst du nun machen? Jetzt sind die Monate vergangen, da ist natürlich jetzt Druck, weil jetzt oder nie, sonst kommt die Europawahl.
Ich weiß nicht so recht, also ich bin eigentlich mittlerweile so weit, dass ich sage, man muss auch den Mut haben zu sagen, streichtet. Viele trauen sich oft nicht mehr, die machen dann so eine, ja da können wir uns noch irgendwie mit abfinden, aber ich bin da wirklich rigoros mittlerweile, muss weg. Aber noch mal kurz gefragt zu sagen, wer, also gibt es jemand außer der Politik, die ein Interesse dafür haben.
Also frage ich mich jetzt gerade nochmal, der offene Brief, ne, so sagen auch von Google und Mozilla, also sagen auch großen Playern und im Fall von Google auch mit quasi unendlich Geld und Lobbymöglichkeit in Brüssel, gab es auch irgendwie eine Industrie, die dachte so geil europäische Zertifikate, voll gut, damit machen wir viel Geld. Genau, das ist, glaube ich, so ein Punkt, den wir noch gar nicht angesprochen haben.
Ich glaube, da ist eben auch der größte Druck her, weil mit Let's Encrypt wurden diese Zertifikate kostenlos. Ja, das haben wir noch nicht erwähnt, das ist ein wichtiger, ein guter Gut, dass du das nochmal gefragt hast. Ach so, das heißt sozusagen, und jetzt sehen Zertifikatsanbieter?
Die Möglichkeit eben wieder diese Extended Validation wieder einzuführen, auf dem Hinterweg zu sagen, wir müssen eben diese Identitätsprüfung machen, es geht eben nicht alles automatisch, indem wir das nur an die Domänen binden. Und wir haben zuverlässigerweise schon die ganzen CAs vorbereitet und jetzt haben wir wieder unser altes Businessmodell rausgeholt. Und wir haben eine Verpflichtung in der Verordnung, dass ganz Bereiche der Branche mitmachen müssen, also der Wirtschaftsbranche.
Das ist quasi eine Gelddruckmaschine. Na ja, und dann ist es halt eben, also seien wir mal ehrlich, ohne ganz generelle EU-Kritik üben zu müssen, aber das ist halt auch nicht irgendwie, Brüssel ist nicht gerade der Mittelpunkt der Grundrechte, sondern die haben halt sehr viele Interessenträger, die sich da breittun und gerade im ITRA-Ausschuss. Ja, schade. Gut, und was machen wir jetzt? Na ja, wir haben dagegen mit Informationen angekämpft. Immerhin.
Das ist echt wow. Also Chaosreale sind ja oft deprimierend, aber oft sozusagen wegen des Zustands der Welt und am Ende immerhin meistens noch mit der Möglichkeit Dinge anzuzünden. Aber ich finde das total faszinierend, weil einerseits ist das nicht so hart, also keine Ahnung, so ein Staatstrojaner. Unfassbares Übel, aber irgendwie in seiner Auswirkung auch sehr konkret.
So eine Zertifikats-Rut-Infrastruktur, die ist ja erst mal nichts per se Schlimmes, also wenn das jetzt kommt, geht die Welt nicht sofort unter, aber es ist sozusagen so eine Art slippery slope in den Weltuntergang hinein und trotzdem macht jemand was und es ist auch schon viel zu spät, es ist mega deprimierend. Ja, aber wir machen ja was. Also wir hier und die Wissenschaftler, die sich zusammengetan haben,
wir machen ja. Ja, ja, aber es fühlt sich, ich hatte so gute Laune in den letzten Monaten, vielen Dank. Aber was ist denn der Lichtblick? Es kann ja noch sein, dass am 7. Dezember doch noch alles anders kommt. Hilft es da, wenn man jetzt seinen EU-Abgeordneten nochmal mal zitiert oder was? Warum nicht? Ich weiß nicht, warum nicht. Ja, also schreibt drüber, kontaktiert die Abgeordneten, aber man kann auch das weiter verbreiten, was andere geschrieben haben.
Es gibt jetzt eine Menge, auch kritische Presse, auch jenseits von der Tech-Presse, die jetzt darüber schreibt. Do it. Also ich meine, es ist ja nicht so, dass das irgendwie ein Geheimthema wird. Es gibt schon Leute, die sich damit auseinandersetzen in Deutsch, aber auch in Englisch. Also ja, beteiligt euch. Kleiner Aktivismus wird groß. Und wenn jemand sagt, ich verstehe es aber nicht, dann gebt ihm einfach dieses Chaos Radio zum Hören. Ja komm, wir haben erklärbärmäßig, oder?
Also ich traue mir das nicht zu sagen, weil wir stecken jetzt sozusagen in der Sendung drin, aber liebe Hörerinnen, wenn ihr Kommentare und Feedback habt, schreibt es auf Chaosradio.de. Dort ins Kommentarfeld, Anja, Jiska und Konz, vielen lieben Dank. Es war ernüchternd, aber wenigstens gut erklärt. Und ansonsten bleibt mir nur das zu sagen, was mir immer noch am Ende übrig bleibt. Der einzige Stein, an dem wir uns festhalten können.
Lasst euch nicht überwachen, wichtiger denn je heute und verschüttelt immer schön eure Backups. Tschüss! Tschüss! Music.