Kryptografie

ravenhorst

Das vorläufige Stopp-Schild für die Vorratsdatenspeicherung - 02.03.2010

Anlässlich des Beschlusses des Europäischen Gerichtshofs zur Vorratsdatenspeicherung Anfang 2009 und vor dem Abschluss der Koalitionsverhandlungen zum Bereich der inneren Sicherheit im September 2009 hatte ich zuletzt versucht, einen Blick auf den möglichen Ausgang der heutigen Entscheidung des Bundesverfassungsgerichts zur Vorratsdatenspeicherung zu werfen. Dem waren seit 2002 Beiträge zur Vorratsdatenspeicherung auf der Homepage und später hier im Blog vorangegangen.

Die Höhepunkte im langjährigen Kampf gegen die Vorratsdatenspeicherung stellten ohne Zweifel die Freiheit statt Angst Demonstrationen und die Durchführung der Sammel-Verfassungsbeschwerde dar, die u. a. vom Arbeitskreis Vorratsdatenspeicherung wie so viele andere Aktionen organisiert wurde.

Im Großen und Ganzen entsprach die Entscheidung des Bundesverfassungsgericht meinen Erwartungen. Wie bereits zuvor bei ähnlichen Entscheidungen des Bundesverfassungsgerichts auch hier mit einem lachenden und einem weinenden Auge.

Der Titel der Pressemitteilung zum Urteil – Konkrete Ausgestaltung der Vorratsdatenspeicherung nicht verfassungsgemäß –, auf die sich dieser Beitrag stützt, brachte die Entscheidung des Bundesverfassungsgerichts eigentlich schon sehr gut auf den Punkt. Sprich, die bisherige Umsetzung der EU-Richtlinie 2006/24/EG zur Vorratsdatenspeicherung in das Telekommunikationsgesetz (im Kern § 113a TKG und § 113b TKG) und die Strafprozessordnung (im Kern § 100g StPO), sowie die Anwendung der Gesetze und Nutzung der auf Vorrat gespeicherten Verkehrs- und Internetzugangsdaten ist zunächst einmal für nichtig und verfassungswidrig erklärt worden. Das schließt positiv auch ein, dass alle seit Inkrafttreten des Gesetzes gespeicherten und genutzten Vorratsdaten bei Providern und staatlichen Stellen unverzüglich zu löschen sind! Das heißt, es muss reinen Tisch mit allen Daten gemacht werden und der Stand bleibt bis zu einer Novellierung der gesetzlichen Vorschriften bei 0, was bereits einen guten Erfolg der Verfassungsbeschwerden darstellt.

Die Vorratsdatenspeicherung ist jedoch – wie erwartet – laut des Gerichts nicht an sich verfassungswidrig, denn das Gericht stellte fest, dass "eine Speicherungspflicht in dem vorgesehenen Umfang nicht von vornherein schlechthin verfassungswidrig ist", in Bezug zur EU-Richtlinie und der abgewiesenen Vorlage an den Europäischen Gerichtshof, dass mit dem Inhalt der EU-Richtline, "die Richtlinie ohne Verstoß gegen die Grundrechte des Grundgesetzes umgesetzt werden kann" und "das Grundgesetz eine solche Speicherung nicht unter allen Umständen verbietet". Später heißt es in Bezug zum Art. 10 GG ("Telekommunikationsgeheimnis") weiter, dass die Vorratsdatenspeicherung "für qualifizierte Verwendungen im Rahmen der Strafverfolgung, der Gefahrenabwehr und der Aufgaben der Nachrichtendienste (...) mit Art. 10 GG nicht schlechthin unvereinbar ist" und "bei einer Ausgestaltung, die dem besonderen Gewicht des hierin liegenden Eingriffs hinreichend Rechnung trägt, eine anlasslose Speicherung der Telekommunikationsverkehrsdaten nicht schon als solche dem strikten Verbot einer Speicherung von Daten auf Vorrat im Sinne der Rechtsprechung des Bundesverfassungsgerichts unterfällt", denn "eingebunden in eine dem Eingriff adäquate gesetzliche Ausgestaltung kann sie den Verhältnismäßigkeitsanforderungen genügen". Auch den wiederholt vorgebrachten Argumenten der Strafverfolgungs- und Geheimdienstbehörden, dass für sie angesichts der steigenden Vernetzung, Nutzung des Internets und der Mobilfunkkommunikation die Vorratsdatenspeicherung unerlässlich sei, folgte das Gericht mit der Feststellung, dass "eine Rekonstruktion gerade der Telekommunikationsverbindungen daher für eine effektive Strafverfolgung und Gefahrenabwehr von besonderer Bedeutung ist."

Sprich, macht die Regierung zukünftig ihre Aufgaben richtig und folgt den Rüffeln und Vorgaben des Urteils, wird die Vorratsdatenspeicherung nach der Novellierung fortgesetzt und nicht durch das reine Quick Freeze Verfahren für Verkehrsdaten ersetzt. Es sei denn, das neue Gesetz würde seinerseits neue Angriffspunkte bieten oder die EU-Richtlinie würde signifikant geändert oder gar aufgehoben werden, womit wohl nicht zu rechnen ist. Wie groß die Auswirkungen der beabsichtigten Überprüfung der EU-Richtlinie sind, die von der EU-Justizkommissarin Viviane Reding und der EU-Innenkommissarin Cecilia Malmström angekündigt wurde, steht noch in den Sternen. Es wäre aber vielleicht intelligent und vorteilhaft für die Bundesregierung, das Ergebnis dieser Überprüfung abzuwarten und ggf. bei der Novellierung zu berücksichtigen.

Also eine Atempause, mit Aussicht auf eine Vorratsdatenspeicherung, die verhältnismäßiger, zweckgebundener, eingeschränkter und "abgesicherter" durchgezogen wird, mit dem Auftrag an jeden einzelnen Internet- und Telekommunikationsteilnehmer, sich weiter praktisch mittels Anonymisierungs- und Verschlüsselungstechniken und entsprechenden Verhaltensweisen um die Umgehung und Verhinderung der Erhebung seiner Daten für die Vorratsdatenspeicherung zu bemühen.

Das die Bundesregierung und die zustimmenden Parteimitglieder des Bundestages wie so oft zuvor bei der Sicherheitsgesetzgebung mit dem Gesetz zur Vorratsdatenspeicherung schludrig, im Schnellschuss und verfassungswidrig gehandelt haben, stellte das Bundesverfassungsgericht mit der Kennzeichnug der jetzigen Vorratsdatenspeicherung fest:
  • unzureichende Ausgestaltung der Verhältnismäßigkeit
  • unzureichende Datensicherheit für die gespeicherten Daten
  • unzureichende Begrenzung der Verwendungszwecke der gespeicherten Daten
  • unzureichende Transparenz
  • unzureichender Rechtsschutz
Der jetzigen Form der Vorratsdatenspeicherung stellte das Gericht Kennzeichen, Anforderungen und Beschränkungen einer zukünftigen Vorratsdatenspeicherung gegenüber:
  • die Nutzung der VDS-Daten muss die Ausnahme bleiben
  • die VDS an sich begrenzt den Spielraum für zukünftige anlasslose Datensammlungen auch über den Weg der Europäischen Union ("das Maß ist voll")
  • sie muss sich durch für die zum Speichern Verpflichteten verbindliche, normenklare, konkrete und effektive Maßnahmen zur technischen Sicherung des gesamten Vorratsdatenspeicherprozesses von der Erhebung bis zum Abruf auszeichnen ("hohes Sicherheitsniveau") und nicht durch Hinweise auf Sorgfaltspflichten der Speicherungsverpflichteten und Wirtschaftlichkeitserwägungen
  • der unmittelbare Abruf der VDS-Daten durch Strafverfolgungsbehörden setzt den bestimmte Tatsachen begründeten Verdacht einer auch im Einzelfall schwerwiegenden Straftat voraus und nicht Straftaten, die "nur" von erheblicher Bedeutung sind oder allgemein "jede mittels Telekommunikation begangene Straftat", mit der das jetzige VDS-Gesetz weit über die Zielsetzungen der EU-Richtlinie hinausgegangen war
  • der Abruf der VDS-Daten zur Gefahrenabwehr und Gefahrenprävention durch Geheimdienst- und Polizeibehörden unterliegt einer engen Zweckbindung (konkrete Gefahr für eine Person, für den Bestand/ Sicherheit des Bundes/Bundeslandes, gemeine Gefahr), während der Abruf der VDS-Daten für die Aufklärung im Vorfeld von Gefahren durch die Geheimdienste in vielen Fällen ausscheidet. Keine grobe Benennung allgemeiner Zielsetzungen und Aufgabenfelder wie bisher, die zur Erstellung allgemeiner und offener "Datenpools" bei den Sicherheitsbehörden einluden
  • grundsätzliches Übermittlungsverbot (aber nicht Erhebungsverbot) für die VDS-Daten von Personen, Behörden und Organisationen in sozialen oder kirchlichen Bereichen mit telefonischer Beratung in seelischen oder sozialen Notlagen, aber nicht zum Beispiel für Journalisten ("Quellen- und Informantenschutz")
  • der Abruf und die Verwendung der VDS-Daten soll vom Grundsatz her offen und mit Benachrichtigung der Betroffenen erfolgen ("wirksame Transparenzregeln") und nicht mit der grundsätzlichen Möglichkeit für Behörden, Abrufe ohne Wissen der Betroffenen durchzuführen, ist aber mit den üblichen und bekannten Ausnahme- und Umgehungsmöglichkeiten für Sicherheitsbehörden verbunden, so dass es – wenn überhaupt und wie bisher – bei der nachträglichen Benachrichtigung von Betroffenen im Rahmen der Strafverfolgung und der richterlichen Kontrolle der Ausnahmen bleibt
  • die Übermittlung und Nutzung von VDS-Daten stehen grundsätzlich unter dem Richtervorbehalt
  • nachträgliche Beschreitung des Rechtswegs und gerichtliche Kontrolle für Betroffene
  • wirksame Sanktionen für unzulässige Verletzungen des Telekommunikationsgeheimnisses und Persönlichkeitsrechts im Rahmen der VDS-Nutzung, aber mit "weitem Gestaltungsspielraum" für den Gesetzgeber
Zur reinen Auflösung bzw. Rückverfolgung einer IP-Adresse im Rahmen behördlicher Auskunftsanfragen mit der mittelbaren Nutzung der Vorratsdaten in Daten zum Inhaber des Anschlusses, dem die bereits bekannte IP-Adresse zugeordnet war, stellte das Gericht ein paar Beschränkungen, aber auch Lockerungen im Verhältnis zur Nutzung aller Vorratsdaten fest, die geradezu zur vollumfänglichen Anwendung und Nutzung der gesamten Palette von Anonymisierungstechniken "auffordern":
  • sie begrenzen den Umfang der Anonymität von Kommunikationsbedingungen und führen zur Ermittlung der Identität von Internetnutzern in weitem Umfang
  • keine Übermittlung kompletter Datensätze der VDS-Daten, sondern Beschränkung auf personenbeogene Daten ("Namen und Adresse")
  • die Auskunftsersuchen können ohne engere Zweckbindung (schwerwiegende Straftat, Verletzung eines Rechtsgutes eines definierten Rechtsgüterkatalogs) zur Strafverfolgung, Gefahrenabwehr, Gefahrenprävention und Vorfeldaufklärung durch Polizei- und Geheimdienstbehörden erfolgen
  • die Auskunftsersuchen sind aber an einen hinreichenden Anfangsverdacht, Vorliegen einer konkreten Gefahr oder besonders gewichtige Ordnungswidrigkeit als Eingriffsschwellen gebunden und dürfen nicht pauschal gestellt werden, z. B. für das präventive und allgemeine Anlegen von Persönlichkeits- Bewegungs- oder Kommunikationsprofilen (z. B. allgemeine "Staubsauger" Überwachung wie der NSA in den USA oder der GCHQ in Großbritannien)
  • die Auskunftsersuchen können durch Polizei- und Geheimdienstbehörden ohne richterliche Genehmigung ("Richtervorbehalt") erfolgen
  • alle Betroffenen müssen nachträglich von der Einholung einer Auskunft benachrichtigt werden
Die Feststellung des Gerichts, dass für eine mit Art. 10 GG vereinbare Vorratsdatenspeicherung "maßgeblich ist", dass sie "nicht direkt durch den Staat, sondern durch eine Verpflichtung der privaten Diensteanbieter verwirklicht wird", ist am Rande auch wichtig, gab es doch in der Vergangenheit und in anderen europäischen Staaten wie Großbritannien Überlegungen, die Vorratsdaten aller Provider direkt einer zentralen, staatlichen Sammelstelle zuzuführen und dort zu verwalten. Solchen Ansinnen hat das Gericht schon einmal vorbeugend einen Riegel vorgeschoben.

Die großen Verlierer des Urteils sind alle Diensteanbieter und Provider, die zur Vorratsdatenspeicherung verpflichtet sind, denn der bisherigen Strategie vor Gerichten, der Vorratsdatenspeicherung sei aufgrund der hohen Kosten, der Wettbewerbsverzerrungen und des steigenden Personal- und Hardareaufwands zu begegnen, erteilte das Gericht im Punkt "Vereinbarkeit mit Art. 12 GG" eine Abfuhr: Die Vorratsdatenspeicherung hält das Gericht für die Betroffenen "für nicht übermäßig belastend", sie ist bezüglich der "finanziellen Lasten nicht unverhältnismäßig" und "gegen die erwachsenden Kostenlasten bestehen keine grundsätzlichen Bedenken", denn die Kosten werden ja vom Gesetzgeber nur "insgesamt in den Markt verlagert" und so, wie "neue Chancen der Telekommunikationstechnik zur Gewinnerzielung" genutzt werden können, müssen die Telekommunikationsunternehmen halt auch "die Kosten übernehmen und in ihren Preisen verarbeiten".

Damit dürfte klar sein, dass zukünftigen Klagen gegen die Umsetzung der "neuen" Vorratsdatenspeicherung seitens verpflichteter Diensteanbieter wegen unverhältnismäßiger Kosten und Aufwände kein Erfolg beschieden sein wird, aber auch, dass letztendlich wir als Kunden über die Preise einen Anteil der Kosten für die technische und personelle Umsetzung der Vorratsdatenspeicherung und damit unserer eigenen Überwachung mitzutragen haben. Aber das war bisher schon bei allen anderen technischen Überwachungs-Infrastrukturen so, die Telekommunikationsunternehmen aufgrund neuer Sicherheitsgesetze umzusetzen hatten und gilt auch für die Zukunft.

Alles in allem also eine Entscheidung zur Vorratsdatenspeicherung, die, wie gesagt, zu erwarten war. Eine kräftige Ohrfeige und Warnung für die Bundesregierung, die sich schon darin ausdrückt, dass die gesetzlichen Grundlagen und die aktuelle Umsetzung der Vorratsdatenspeicherung nicht nur für verfassungswidrig, sondern komplett für nichtig erklärt wurden. Auf Seiten des Bundesverfassungsgerichts scheint man auch mit Blick auf die Gesetzgeber und die Exekutive der Europäischen Union, aber auch mit Blick auf die Zukunft der technischen Entwicklungen im Bereich der Überwachung den Punkt erreicht zu haben, wo es heißt "Bis hierhin, aber nicht weiter". Mit der Vorratsdatenspeicherung muss für das Gericht ein Schlusstrich gezogen werden, darüber hinausgehende Eingriffe in die Grundrechte der Bürger verbieten sich.

Nun gut, es würden auch nur noch die zusätzliche Speicherung, Abfrage und Auswertung aller Inhalts- und Nutzungsdaten aller Internet- und Telekommunikationsdienste und die Verfolgung aller Maßnahmen zur Umgehung und Verhinderung der Telekommunikationsüberwachung und Vorratsdatenspeicherung fehlen, um vollends in einem Polizeistaat aufzuwachen. Schlimm genug, dass es in Zukunft eine neue Ausgestaltung der Vorratsdatenspeicherung geben wird und man nicht auf Quick Freeze setzt, auch wenn sie durch das Gericht eine Menge von Sperrriegeln und Grenzen verpasst bekommen hat. Abzulehnen bleibt sie auch weiterhin.

Das alle bisher angefallenen Vorratsdaten zusammen mit der "alten" Vorratsdatenspeicherung gelöscht werden und den Erhalt der Sperrriegel und Grenzziehungen haben wir aber nur einer fortgesetzten kritischen Aufklärungs- und Berichtsarbeit, dem praktischen Engagement vieler Leute und Organisationen, den Demonstrationen, dem Anwachsen einer Datenschutzbewegung und ihrer Internationalisierung, den Sammel-Verfassungsbeschwerden und Einzel-Verfassungsbeschwerden, den kritischen Stimmen aus Verbänden, von einzelnen Politikern im Bundestag und Journalisten in den Medien, aber nicht zuletzt auch den Richtern des Bundesverfassungsgerichts zu verdanken. Erinnern wir uns immer daran.

Als Nachtrag zur Frage der Speicherungspflichten von Anonymisierungsdiensten hier noch drei Stellen aus der Entscheidung des Bundesverfassungsgerichts, die sich auf "die Beschwerdeführerin" beziehen, die "Software für einen kommerziellen Internet-Anonymisierungsdienst entwickle und vertreibe. Der Dienst werde im Zusammenwirken mit anderen unabhängigen Betreibern erbracht, auf deren Servern ihre Software genutzt werde. Dabei betreibe die Beschwerdeführerin auch selbst einen öffentlich zugänglichen Anonymisierungsserver.":

In Abs. 294 wird noch einmal festgestellt, dass zu den Speicherungsverpflichteten die Anonymisierungsdienste zählen, die öffentlich zugänglich und kommerziell betrieben werden:
Die Speicherungspflichten richten sich an solche Diensteanbieter, die öffentlich zugänglich Telekommunikationsdienste in der Regel gegen Entgelt für Endnutzer erbringen (vgl. § 113a Abs. 1, § 3 Nr. 24 TKG) und damit an Dienstleister, die die Dienste jedenfalls typischerweise zu Erwerbszwecken anbieten.
In Abs. 295 erklärt das Bundesverfassungsgericht – wenn man es genau nimmt – ziemlich verkürzend, dass der hauptsächliche Zweck von Anonymisierungsdiensten in der Anonymisierung von statischen IP-Adressen (hat das BverfG dabei bereits IPv6 im Blick gehabt?) gegenüber privaten Webservern und im Schutz vor illegalen Zugriffen durch Dritte liegt, aber nicht aller IP-Adressen gegenüber allen Gegenstellen und für alle Internetdienste. Bei kommerziellen Anonymisierungsdiensten hat die Anonymisierung nur solange Bestand, wie Strafverfolgungsbehörden keine unmittelbaren Abfragen kompletter VDS-Daten bei Vorlage eines "bestimmte Tatsachen begründeten Verdachts einer auch im Einzelfall schwerwiegenden Straftat" vornehmen wollen. Die reine Auflösung von IP-Adressen in Name und Adresse (falls diese Beziehung überhaupt bei einem kommerziellen Anonymisierungsdienst existiert und nicht durch die anonyme Nutzung eines "Nutzerkontos" und anonyme Bezahlung unterbunden ist) durch Auskunftsersuchen mit niedrigeren Eingriffsschwellen (s. o.) berührt der Absatz nicht.
Jedoch führt die Speicherungspflicht nach § 113a Abs. 6 TKG nicht dazu, dass Anonymisierungsdienste grundsätzlich nicht mehr betrieben werden können. Die Anonymisierungsdienste können ihren Nutzern weiterhin anbieten, ohne Identifizierungsmöglichkeit der IP-Adresse durch Private im Internet zu surfen. Sie ermöglichen damit Nutzern, die eine statische (und folglich offene) IP-Adresse haben, ihre Identität zu verbergen und schützen andere Nutzer vor Hackern oder sonstigem illegalen Zugriff. Aufgehoben wird die Anonymität nur gegenüber den staatlichen Behörden und dabei auch nur dann, wenn nach den engen Voraussetzungen für die unmittelbare Verwendung der nach § 113a TKG gespeicherten Verkehrsdaten ein Datenabruf ausnahmsweise erlaubt ist. Abgehalten werden damit folglich allein Kunden, deren Anonymisierungsinteresse sich gegen die in solchen besonders schwerwiegenden Fällen ermittelnden Behörden richtet. Das Angebot eines Anonymisierungsdienstes wird dadurch nicht insgesamt hinfällig.
In Abs. 295 erklärt das Bundesverfassungsgericht, dass man als Betreiber eines kommerziellen Anonymisierungsdienste konkrete Beweise zu finanziellen Belastungen aufgrund der Umsetzung und Anwendung der VDS vorlegen muss, um existenzbedrohende Eingriffe in Art. 12 Abs. 1 GG ("Berufsfreiheit") zu belegen und das Bundesverfassungsgericht zu veranlassen, dieser Argumentation zu folgen.
Insbesondere hat sie [die Beschwerdeführerin] auch in Bezug auf Anonymisierungsdienste eine über die bei den sonstigen Telekommunikationsunternehmen hinausgehende Belastung weder für sich noch für andere Anbieter solcher Dienste hinreichend nachvollziehbar durch konkrete Zahlen belegt. Nur unter dieser Voraussetzung ließe sich aber eine Überschreitung des gesetzgeberischen Gestaltungsspielraums bei der Indienstnahme der Anonymisierungsdienste feststellen. Solange die Einschätzung des Gesetzgebers nur durch Vermutungen und Behauptungen in Frage gestellt wird, kann das Bundesverfassungsgericht dieser Frage nicht nachgehen.
Siehe auch (als Auswahl):

Arbeitskreis Vorratsdatenspeicherung - Nach Urteil: AK Vorratsdatenspeicherung fordert Aufhebung der Vorratsdatenspeicherung in ganz Europa
FoeBuD e.V. - Urteil des Bundesverfassungsgerichtes: Vorratsdatenspeicherung verfassungswidrig
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit - Lob für das wegweisende Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung
Deutscher Anwaltverein - DAV zum Vorratsdatenspeicherungs-Urteil: Jetzt muss die Politik nachbessern!
Deutscher Anwaltverein - DAV: Bezüglich Vorratsdatenspeicherung EU-Richtlinie ändern
Repoter ohne Grenzen - Reporter ohne Grenzen begrüßt Urteil zur Vorratsdatenspeicherung
eco e. V. - Vorratsdatenspeicherung ist verfassungswidrig und nichtig
eco e. V. - Jetzt brauchen wir die volle Kostenerstattung für die Vorratsdatenspeicherung!
BITKOM e. V. - BITKOM begrüßt Entscheidung des Verfassungsgerichts
Gewerkschaft der Polizei (NRW) - Gesetz zur Vorratsdatenspeicherung verfassungskonform machen
Deutsche Polizeigewerkschaft - Polizei kann sich nicht mehr auf Gesetzgeber verlassen
Bund Deutscher Kriminalbeamter - Strafverfolgung und Gefahrenabwehr werden im "www" verfassungsrechtlich bis zur gesetzlichen Neuregelung aufgegeben
Bundesverband Musikindustrie e. V. - Urteil zur Vorratsdatenspeicherung ermöglicht fairen Ausgleich zwischen Datenschutz und Interessen von Rechteinhabern
Humanistische Union - Karlsruhe hat gesprochen, aber die Vorratsdatenspeicherung ist damit noch nicht endgültig vom Tisch

Bundesministerium des Innern - Vorratsdatenspeicherung: Stellungnahme des Bundesinnenministers
Bundesministerium der Justiz - Herausragender Tag für Grundrechte und Datenschutz
Deutscher Bundestag - Innenausschuss debattierte über Urteil zu Vorratsdatenspeicherung (plus Auswirkungen auf SWIFT-Abkommen und PNR-Deals)
Bundestagsfraktion Die Linke - Technischer K.o. für den Big Brother
Bundestagsfraktion Bündnis 90/Die Grünen - Kampf gegen Vorratsdatenspeicherung war erfolgreich
Bundestagsfraktion FDP - Epochaler Sieg für die Bürgerrechte
Bundestagsfraktion SPD - Freiheitsrechte sind auch im Internetzeitalter zu berücksichtigen
Bundestagsfraktion CDUCSU - Vorratsdatenspeicherung weiter möglich – zügig neue Rechtsgrundlage schaffen, Endlich Rechtssicherheit durch die Entscheidung des Bundesverfassungsgerichts, Vorratsdatenspeicherung nicht per se verfassungswidrig
Piratenpartei - Ein Sieg der Bürgerrechte - Vorratsdatenspeicherung ist verfassungswidrig

Netzpolitik / Markus Beckedahl - Kommentar zum Vorratsdatenspeicherungs-Urteil
Telemedicus / Adrian Schneider - BVerfG zu Vorratsdatenspeicherung: Was geht, was geht nicht?
unwatched.org - VDS: Ein guter Tag für den Datenschutz
Save-Privacy - Auf dem Weg zu einer wegweisenden Entscheidung
Für weitere Beiträge surfe man die Rivva Resonanzen auf die Pressemitteilung des BverfG an.

Sueddeutsche - "Die Normen fallen nicht vom Himmel" - Interview mit Hans-Jürgen Papier
Sueddeutsche / Heribert Prantl - Urteil zur Vorratsdatenspeicherung: Gruslige Aussichten
Spiegel / Christian Stöcker - Vorratsdatenurteil - Firewall für die Rasterfahnder
FAZ / Frank Rieger (CCC) - Ein grundlegendes Urteil
Zeit / Kai Biermann - Karlsruhe drückt den Reset-Knopf
Focus / die Presseagenturen - Vorratsdatenspeicherung: BKA will schnell ein neues Gesetz
Financial Times - Vorratsdatenspeicherung: Das Ende des Sicherheitswahns
taz / Julia Seeliger - Kurs auf Straßburg
taz / Christian Rath - Das Vorratsdaten-Urteil - Guter Tag für Bürgerrechte
Freitag / Julian Heißler - Mit Sicherheit mehr Freiheit
Geschrieben von Kai Raven in Anonymität, Anti-Überwachung, Data Mining / Fusion, Datenschutz, Geheimdienst / Polizei, Gesellschaft, Grundrecht, Internet / TeKo, Kryptografie, Politik, Terror, VDS um 20:07 | Kommentare (3) | Trackbacks (6)

Von Datenbriefen und Internet-Führerscheinen - 01.03.2010

Bundesinnenminister De Maizière hat im Tagesspiegel vom 28.02.2010 den Gastbeitrag Digitaler Datenverkehr veröffentlicht, den man – da als Meinung und Kommentar deklariert – wie andere Statements zuvor, als seine persönlichen "Eckpfeiler der Internet- und Netzpolitik" bezeichnen kann oder in Anlehnung an die Arbeitsliste, die der CCC vor den Koalitionsverhandlungen ausgestellt hatte, als aktuelle Sammlung der Punkte, die er gerade auf seinem "Spickzettel" notiert hat.

Was davon in die tatsächliche Internet- und Netzpolitik der Bundesregierung einfließen wird, steht noch auf einem anderen Blatt, denn dazu wird der Koalitionspartner FDP auch ein Wörtchen mitreden wollen, es gibt jenseits von De Maizière in der CDU auch noch andere Leute wie Uhl und Bosbach und die Realpolitik sieht dann auch wieder anders aus, wie zum Beispiel De Maizière Abstimmungsverhalten zur SWIFT-Geschichte zeigte.
"Ich hätte mir ein anderes Urteil gewünscht, aber das Urteil des Bundesverfassungsgerichts gilt. Das Gericht hat gesagt: So geht es nicht, aber anders geht es. Und ich füge hinzu: Und so muss es dann auch gehen."

Bundesinnenminister De Maizière in seiner Stellungnahme zum Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung am 02.03.2010.
Aber wenn wir mal davon absehen und uns an den reinen Wortlaut dieser Veröffentlichung halten, was steht denn so in diesem Spickzettel?

Zuerst einmal, dass der Bundesinnenminister nichts von "Internet-Führerscheinen" und einem "Internet-TÜV" hält.

Der Begriff des "Internet-Führerscheins" hat aus meiner Sicht zwei Ausformungen: Im Zusammenhang mit einem "Internet-TÜV" eine zwingend vorgeschriebene oder freiwillige Ausbildung "am Gerät", sprich die Erlernung des Umgangs mit dem Computer, der Software im Zusammenhang mit der Nutzung von Internetanwendungen und -diensten, mit anschließender Prüfung und Auffrischungen erworbener Kenntnisse und Ausstellung einer "Nutzungs- und Betriebserlaubnis". Auf Anbieter von Internetinhalten bezogen, könnten das Kennzeichnungspflichten oder gar Anmeldepflichten wie in China sein, mit Kontrolle durch staatliche Behörden, die regelmäßig nachschauen, ob auch alles seine Richtigkeit hat.

Über die erste Ausformung könnte man sogar in anderer Gestalt nachdenken. An einigen Schulen laufen ja bereits Projekte, um Schülern die nötige Kompetenz im Umgang mit dem Computer, dem Internet, den Medien und den eigenen Daten zu vermitteln, besonders auf "Silver Surfer" abgestellte Kurse oder Kurse für interessierte Bürger an Volkshochschulen vermitteln "Senioren" und "Newbies" Kenntnisse und Tipps für den Umgang mit dem Internet. Das kann man ruhig ausbauen und wenn Teilnehmer am Ende ein nett gestaltetes Zertifikat mit dem Titel "Internet-Führerschein" erhalten, dass sie sich an die Wand pinnen oder abheften können, warum nicht. Da man es in Deutschland gerne mit Zwängen, Verordnungen, Prüfung und Kontrolle hat, verbunden mit der Absage, auch daraus wieder ein Fach zu machen, für das es Noten, Bestrafung oder staatliche Sanktionen und Kontrolle für diejenigen gibt, die nicht in das Bild des korrekten Internetnutzers passen. Es wäre auch absurd und nicht umsetzbar, die Internetnutzung jedes Bürgers vom Erhalt eines staatlichen "Internet-Führerscheins" oder "Internet-Zeugnisses" abhängig zu machen. Das wären mit den Worten des Innenministers gesprochen die "Karten", "Navigationssysteme", "Orintierungshilfen" und "Aufklärung", die sich die Bürger "selbtbestimmt" in "Privatautonomie" aneignen können.

Über die zweite Ausformung denke ich gar nicht nach, sondern lehne es ab, bis vielleicht auf die bekannten und expliziten "ab 18 Bereiche". Zwangskennzeichnungen, Anmeldepflichten wie in China und Betriebsprüfungen von Inhalteanbietern wären auch in Deutschland entweder Vorstufen und Vorbereitungen oder Bestandteile von Zensur-Infrastrukturen.

Die zweite Form des "Internet-Führerscheins", so wie er zum Beispiel auch von Leuten aus den Branchen für Biometrie- und Netzwerksicherheit-Lösungen oder Bereichen der Cyber-Kriminalitätsbekämpfung immer wieder angedacht wird, wäre die technische Umsetzung einer Identifizierungs- und Authentifizierungs-Infrastruktur, die vor jedem Internet-Zugang und bei jeder Nutzung von Internet-Diensten den permanenten Identitäts-Nachweis und die Möglichkeit der jederzeitigen Rückverfolgbarkeit und Aufdeckung der Identität zwingend voraussetzt – u. a. mittels eines "Identitäts-Token" wie dem auch vom Bundesinnenministerium geförderten elektronisch-biometrischen Personalausweises (ePA) oder "neuen Personalausweises" (nPA), wie er jetzt im Neusprech-Sprachgebrauch heißt und kontrollierter Internet-Dienste wie der De-Mail.

Ob sich der Einzug biometrischer Identifizierungsmittel und elektronischer Identitäts-Dokumente nicht in diese Richtung mit den möglichen Kollateralschäden in Gestalt weiterer Eingriffe in das Telekommunikationsgeheimnis und Aushebelung anonymisierter Nutzungsmöglichkeiten des Internets auswirken wird, kann auch der aktuelle Bundesinnenminister weder garantieren, noch ausschließen. Es bleibt auf lange Sicht gesehen fraglich, ob es in Zukunft dabei bleiben wird, dass "die Bürger selbstbestimmen, ob und in welchem Umfang sie diesen elektronischen Identitätsnachweis nutzen" und ob staatlich kontrollierte und reglementierte Dienste, wie es die De-Mail nun mal ist, langfristig nur "zusätzlichen Möglichkeiten" bleiben.

Zum Komplex Datenschutz, Rechtsschutz Datenkontrolle nehme ich mal die Diskussion um den Datenbrief heraus, einer Idee des CCC, die De Maizière nach seinem "Dialog mit der Netz-Community" auch in diesem Spickzettel aufgreift.

Zuerst einmal ist positiv zu vermerken, dass der Bundesinnenminister feststellt, dass "die Nutzer eine echte Wahl haben müssen, ob sie etwa die Weitergabe ihrer Daten akzeptieren oder nicht", denn wenn dieser Feststellung gefolgt wird, bedeutet sie die grundsätzliche Absage an jede Opt-Out Stategie und das grundsätzliche Opt-In, sprich es können Daten nicht erst erhoben, gesammelt und weitergegeben werden und der Kunde, Nutzer muss seine Verneinung äußern, sondern es ist immer die Einwilligung des Kunden und Nutzers nötig. Würde aber auch bedeuten, dass Opt-In in vollem Umfang gilt und man keine Ausnahmen gewährt, wodurch sich wieder Schutzlücken auftun und Datenschutz verwässert wird. Das kennen wir ja bereits.

Ob er sich damit immer gegen Lobbys wie die der Werbeindustrie und die Kollegen der eigenen Partei und des Koalitionspartners durchsetzen wird, bleibt abzuwarten. Ich würde auch nicht defensiv darauf warten und setzen, dass sich auf Seiten der Datensammler aller Art "freiwillig" und "selbstverpflichtend" in der Hinsicht etwas bewegt. Das mag dem eigentlich positiven Grundtenor entsprechen, zuerst den Dialog zu suchen und Überlegungen anzustellen, anstatt alles sofort mit Gesetzen und Verordnungen regeln zu wollen und es entspricht auch den politischen Prinzipien der CDU und FDP, den privatwirtschaftlichen Bereich möglichst nicht zu behelligen und erst einmal selbst wurschteln zu lassen. Aber ich kann mich leider nicht an positive Entwicklungen und Resultate erinnern, die auf Selbstverpflichtungen und den Willen basierten, sich freiwillig zu reglementieren und zu beschränken. Das bleibt nicht zielführend und erfolgversprechend.

Was mir zu diesem Punkt, wie auch zum Punkt der nachträglichen Datenschutzkontrolle per Datenbrief in den Ausführungen De Maizières fehlen, sind eindeutige Positionen zur staatlichen Datensammelei und Kontrolle der Daten, die staatliche Stellen gesammelt haben. Die Prinzipien der Datensparsamkeit und Datenvermeidung werden zwar angetippt, aber sie zu Eckpfeilern staatlichen Handelns zu machen und darzustellen, wo und wie sie umgesetzt werden sollen, war für mich nicht erkennbar. Dabei wäre es gerade im Angesicht der SWIFT-Debatten, dem Flugpassagierdatenaustausch, der Vorratsdatenspeicherung und auch dem von De Maizière verfolgtem Ziel, den europäischen und internationalen Datenaustausch und Vernetzungsgrad der Sicherheitsbehörden weiter voranzutreiben, äußerst interessant gewesen, wie dazu De Maizières Positionen aussehen.

Was den Datenbrief angeht, zeichnen sich De Maizières Ausführungen wiederum dadurch aus, dass er zu gleichartigen Verpflichtungen von Stellen und Behörden des Bundes, der Länder und Kommunen nichts ausführt. Ich kann mich an die Veröffentlichungen von Datenschutz-Checkheften der Landesdatenschutzbehörden erinnern, in denen der Bürger Karten finden kann, mit denen er bei einzelnen Stellen manuell anfordern muss, welche Daten von ihm gespeichert wurden. So sollte es nicht weitergehen, sondern die staatliche Sektoren müssen auch in das Datenbrief-Konzept integriert sein – wenn es zu einer Umsetzung des Datenbrief-Konzeptes kommen würde.

Generell finde ich die Idee des Datenbriefs positiv. Schon alleine deshalb, weil an die Stelle der Holschuld des Bürgers und Kunden, um an die Auskunft zu den Daten zu gelangen, die erhoben, gespeichert, gesammelt und weitergegeben wurden, die Bringschuld des Staates und der Wirtschaft gesetzt würde. Das betrifft zum Beispiel auch die Daten einer Schufa, die man sich ab dem 1. April einmal im Jahr selbst abholen muss.

Beim Datenbrief steckt laut De Maizière "der Teufel im Detail". Es werden mehrere Teufel sein.

Ein Teufel wäre die Frage, wie ich an den oder die Datenbriefe komme? Ein zentraler Datenbrief, der alle Datensätze, Quellen und Ziele von der Datenerhebung bis zur Datenweitergabe in sich vereinigen würde, verbietet sich schon von selbst, denn ein besseres Gesamtprofil könnte man sich nicht vorstellen. Datenbriefe dürften nicht zu neuen Möglichkeiten führen, direkt oder über Verknüpfungen Gesamtprofile zu erstellen. Ein zentraler Datenbrief-Index, ähnlich wie man es uns bei den Antiterrordatenbanken vorgemacht hat, der Querverweise zu den eigentlichen Datenbriefen oder Meldungen zu neuen Datenbriefen enthält, die aber so gestaltet wären, dass sich trotzdem ein Dritter, der Einsicht haben könnte, kein Gesamtprofil erschließen kann, sondern nur der eigentliche Datenbriefempfänger (pseudonyme Kennungen, die der Datenbrief-Empfänger zu Klartext-Verweisen entschlüsselt?), schon eher, wenn dieser Index technisch so abgesichert werden kann, dass er nur dem Datenschutz-Empfänger zugänglich ist.

Oder setzt man sofort oder besser auf vollständige Dezentralisierung? Dann würde man entweder von jedem Unternehmen und jeder staatlichen Stelle entweder postalisch per Brief oder per signierter und verschlüsselter E-Mail die jeweiligen Datenbriefe zugestellt bekommen. Eigentlich eine der möglichen "Killer-Anwendungen" für die De-Mail und De-Datentresore, wenn man denn vom nPA und den De-Mail und De-Datentresor Konzepten überzeugt ist.

Daraus dann aber die Wege und Weitergaben wirklich nachzuvollziehen, was ja auch ein Anstoß des Datenbriefs war, dürfte sich schwierig gestalten, genauso wie das Management aller erhaltenen Datenbriefe. Geht man den elektronischen Weg, wären dafür neue Anwendungen nötig, aber aus meiner Sicht auch möglich. Geht man den Papierweg, sind volle Aktenordner und Aktenwälzen angesagt.

Für den Staat, aber auch für den Bürger, ist auch hier die Frage der Ausnahmen von Interesse. In den Sicherheitsgesetzen und innerhalb der politischen Kontrollstrukturen gibt es ja Regelungen, die für den Erfolg von Ermittlungen und nationalen Sicherheitsinteressen, Geheimhaltungspflichten und -möglichkeiten den Zugang zu Daten behindern, einschränken oder versagen. Hier den Ausgleich zwischen legitimen Sicherheitsinteressen des Staates und der Gefahr, dass sich der Staat zu sehr von einer Datenbrief-Pflicht herausnimmt, zu finden, wäre ein weiteres Teufelchen. Das war nur eine kleine Auswahl von Teufeln, die mir auf Anhieb einfielen. Es gibt mit Sicherheit mehr davon, aber keine Teufel, die man aus meiner Sicht nicht im Dialog, mit den vom CCC angesprochenen Beratungen mit Datenschutz- und Datensicherheitsexperten, politisch wie auch praktisch-technisch bewältigen könnte.

Doch, einen dicken "Teufel" in Sachen Datenbrief gibt es noch und das ist die sogenannte "Bürgerrechtspartei" FDP. Deren innenpolitische Sprecherin der FDP-Bundestagsfraktion, Gisela Piltz, ist im Ergänzungsartikel CDU: Mehr Kontrolle von Internetdaten (warum hat man ihr nicht die Gelegenheit einer ausführlichen und differenzierten Gegen-Meinung gegeben?) mit den Statements zu vernehmen, dass "'ein solcher bürokratischer Aufwand, der mit hohen Kosten für die Unternehmen verbunden ist, durch nichts gerechtfertigt ist.' Zwar teile sie die Forderung des Innenministers nach mehr Transparenz, aber 'man muss prüfen, ob es nicht weniger bürokratische und effektivere Wege als den Datenbrief gibt'. Piltz forderte, in erster Linie müssten die Unternehmen möglichst kostenlos Daten zur Verfügung stellen, diese sollten aber von den Firmen nicht ungefragt und automatisch versendet werden müssen."

Es überrascht mich natürlich nicht, dass die FDP dort mit Bürgerrechten und Datenschutz Halt macht, wo die Interessen ihrer Klienten anfangen. Zu den Statements von Gisela Piltz ist zu sagen, dass "Unternehmen" auch keine Kosten und keinen bürokratischen Aufwand scheuen, wenn es darum geht, für Werbezwecke, Kundenprofile, Verbesserungen der Marktpositionen und Erhöhung des Profits Daten zu erheben, zu speichern, zu sammeln, weiterzugeben oder zu verschachern. Und ohne vorherige Klärung des tatsächlichen Umsetzungaufwandes eines Datenbriefes oder den Möglichkeiten, Datenbrief-Funktionen in bestehende Strukturen zu integrieren, sofort von einem ungerechtfertigten Aufwand loszuplärren, spricht genauso eine deutliche Sprache wie ihr Bild vom Bürger und Kunden, der weiterhin als Bittsteller mit Holschuld seiner Daten habhaft werden soll. Und wo sie gerade von Transparenz spricht, sei an dieser Stelle an den von ihr eingebrachten Bundesparteitagsbeschluss Datenschutz im nicht-öffentlichen Bereich verbessern der FDP von Mitte 2008 erinnert. Wie heißt es dort so schön:
Die FDP fordert, die gesetzlichen Regelungen zum Datenschutz im nicht-öffentlichen Bereich mit dem Ziel zu überarbeiten, den Grundsatz der Datensparsamkeit zu stärken und seine Achtung zu gewährleisten, die Transparenz der Datenverarbeitung größtmöglich zu erhöhen und somit mehr eigenverantwortliches Handeln der betroffenen Personen zu fördern.

Datenschutzrechtliche Regelungen im nicht-öffentlichen Bereich sollen vor allem das Fundament für Transparenz und Überprüfbarkeit der Verarbeitungsprozesse legen. Nur dann können die Beteiligten eigenverantwortlich über ihre Daten bestimmen. Für die FDP ist daher insbesondere zentral, dass die Verbraucher darüber informiert werden, welche Daten zu welchem Zweck erhoben, gespeichert und verwendet werden, wie sie diese einsehen und ggf. korrigieren können und wer die verantwortliche Stelle für die Datenverarbeitung ist.
Ich denke, eine Umsetzung des Datenbrief-Konzepts würde gehörig zu einer "größtmöglichen Transparenz der Datenverarbeitung" beitragen und "zentral" für die Information der Verbraucher sein. Aber schöne Worte und Forderungen kann man für die Profilierung als "Bürgerrechtspartei" vor Wahlen und Teilhabe an der politischen Macht immer aufstellen, danach gelten das Gegenteil und die Interessen anderer Kreise.

Siehe auch:
FDP-Bundestagsfraktion - Piltz: Klares "Ja" für mehr Transparenz (01.03.2010)
tageszeitung - Kritik aus Wirtschaftsflügeln, vier Minister für Datenbrief (04.03.2010)
Geschrieben von Kai Raven in Anonymität, Chips, Datenschutz, Gesellschaft, Grundrecht, Infofreiheit, Internet / TeKo, Kryptografie, Ökonomie, Politik, Zensur / Filter um 15:39 | Kommentar (1) | Trackback (1)

Peers - 26.10.2009

I2P Peerliste
Momentaufnahme der Peers in I2P. Nur mal so von wegen Three Strikes, Zensurgesetzen und den Big Brothers in Frankreich und im Europäischen Parlament. Es muss ja nicht immer Tor, Freenet oder eine andere schöne Lösung sein.
Geschrieben von Kai Raven in Anonymität, Anti-Überwachung, Internet / TeKo, Kryptografie, Politik, Zensur / Filter um 19:49 | Kommentar (1) | Trackbacks (0)

Gerüchte zu Skype von der Counter Terror Expo - 12.02.2009

Etwas aus der Gerüchteküche zur VoIP Lösung Skype auf der gerade in London stattfindenden "Counter Terror Expo '09" liefert uns heute der Register Beitrag NSA offering 'billions' for Skype eavesdrop solution. Wie es in dem Beitrag heißt, habe ein CEO eines Unternehmens, das den Geheimdiensten Equipment zuliefert, gesteckt, dass die NSA wie auch andere Geheimdienste und Polizeibehörden so genervt von der P2P Weiterleitung der Gespräche und der Verschlüsselung mit Ebays Skype sei, dass die NSA in der Szene mit dem Angebot hausieren würde, der Firma, die der NSA eine Lösung anbieten könne, um jedes Skype Gespräch abzufangen (sonst hätte es ja keinen Sinn) und die Verschlüsselung zu knacken, mit Milliarden reich belohnen würde.

Nun ja, das Gerücht wäre genauso gut als Versuch geeignet, den Glauben der Skype-Nutzer an den Schutz ihrer Gespräche weiter zu schwächen. Etwas fies merkt der Register an, dass sich doch Ebay selbst den "Bonus" für ein NSA Backdoor in die Tasche stecken könnte. Gar nicht so abwegig, wenn man sich anschaut, wie Ebay und Skype in China agiert.
Geschrieben von Kai Raven in Geheimdienst / Polizei, Internet / TeKo, Kryptografie, Netz, Software, Terror um 16:19 | Kommentare (6) | Trackback (1)

Der Beschluss des EuGH zur Vorratsdatenspeicherung am "Tag danach" - 11.02.2009

Nun hat der Europäische Gerichtshof also mit seinem Beschluss entschieden, dass die Vorratsdatenspeicherung für alle EU-Mitgliedsstaaten formell auf der richtigen Rechtsgrundlage als Richtlinie zur Rechtsangleichung für den EU-Binnenmarkt beschlossen wurde. Übrigens nicht nur durch Rat und Kommission, sondern auch unter Mitwirkung und Ränkespielen der "Großen Koalition" aus Sozialdemokraten und Konservativen im Europäischen Parlament. Eine Wiederholung erleben wir gerade für die Aufweichung der Privatsphäre und des Datenschutzes im "Telekom-Paket". Die Humanistische Union nahm sich bereits der rechtlichen und politischen Dimension der Entscheidung in ihrer Pressemitteilung Grundrechte für den freien Binnenmarkt verhökert? an und äußerte darin ihren Protest. Was zwar spannende Fragen für Historiker, Juristen und Politologen sein mag, aber mich dieses Mal nicht weiter interessiert, denn das Kind ist jetzt "formal" in den Brunnen gefallen und der Gerichtshof wird seine Entscheidung bestimmt nicht revidieren, so kritisch sie und das undemokratische Taktieren der EU-Institutionen mit verschiedenen Kompetenzen und Rechtsakten auch zu würdigen ist.

Der Beschluss stellt einen schweren Schlag für alle Gegner der Vorratsdatenspeicherung dar, denn damit hat sich die Hoffnung zerstoben, dass mit einem gegenteiligen Beschluss des Gerichtshofs der EU-Richtlinie zur Vorratsdatenspeicherung und deren Umsetzungen in die nationalen Gesetze bereits formal die rechtliche Grundlage und Legitimation entzogen wäre, was den Widerstand und das weitere rechtliche Vorgehen gegen die nationalen Umsetzungen gestärkt hätte. Das zu beschönigen, indem man jetzt darauf herumreitet, dass der Beschluss ja "nur" die formelle Rechtmäßigkeit der EU VDS-Richtlinie betrifft, ist ziemlich daneben, auch wenn es der optimistischen Aufrichtung der eigenen Reihen dienlich ist. Insofern verständlich, nützlich oder vielleicht nur die Frage, wie man gerne "Politk" betreibt, weshalb es keiner Vertiefung bedarf.

Wie in der Pressemitteilung des Gerichtshofs selbst formuliert und in der Pressemitteilung "Nach Entscheidung zu Vorratsdatenspeicherung: Datenschützer weiter zuversichtlich" des AK VDS oder "EuGH-Entscheidung zur Vorratsdatenspeicherung räumt verfassungsrechtliche Zweifel nicht aus" des Bundesdatenschutzbeauftragten aufgeriffen, geht es im Rahmen der juristischen Widerstandsmöglichkeiten nun darum, dass über die eingelegten Verfassungsbeschwerden gegen die Vorratsdatenspeicherung das Bundesverfassungsgericht überprüft bzw. vom Europäischen Gerichtshof überprüfen lässt, ob die "eventuelle Verletzung der Grundrechte als Folge von mit der Richtlinie verbundenen Eingriffen in das Recht auf Privatsphäre" durch die EU-Richtlinie selbst und das in Deutschland beschlossene "Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Vorratsdatenspeicherung (Richtlinie 2006/24/EG)" besteht.

Die vom Gerichtshof angenommene Eventualität ist zu verneinen, denn das von Dir und mir permanent jeweils für sechs Monate alle Verkehrsdaten der Internet- und Telekommunikationsnutzung, Standortdaten der Handynutzung und unsere Nutzerdaten für Richter, Staatsanwälte, Polizei- und Geheimdienstbehörden zur Verfügung stehen, ist weder notwendig, noch verhältnismäßig und effektiv ist es auch nicht. Aber darüber haben nicht mehr die Regierung und die Abgeordneten der Großen Koalition im Bundestag zu befinden oder wir, sondern die Gerichte.

An den Fortgang der Verfahren und die Entscheidungen der Gerichte knüpfen sich deshalb sowohl optimistische Erwartungen, Hoffnungen und Zweifel. Von einigen Seiten wird dabei der "Solange-II-Beschluss" des Bundesverfassungsgerichts angeführt. Verkürzt aus optimistischer Perspektive gesagt: Sieht das Bundesverfassungsgericht in Rechtsakten der EU (wie die VDS-Richtlinie), davon abgeleiteten nationalen Gesetzen (wie dem deutschen VDS-Gesetz) und Beschlüssen des Europäischen Gerichtshofs (wie zur VDS-Richtlinie) keinen wirksamen Schutz der Grundrechte gegeben, der den Grundrechten und ihrem Schutz im Grundgesetz entspricht, muss es Verfassungsbeschwerden (wie die gegen die VDS-Richtline und das VDS-Gesetz) zulassen und die darin aufgeworfenen Beschwerden und Fragen klären. Würde das Bundesverfassungsgericht das anders sehen, die Verfassungsbeschwerden nicht weiter verfolgen.

Nun kann man bereits in der oben erwähnten Feststellung der Pressemitteilung des Gerichtshofs und seinem Beschluss den indirekten Auftrag an die nationalen Verfassungsgerichte erkennen, die Klagen bezüglich der "eventuellen" Grundrechtsverletzungen und das Ausmaß der Eingriffe aufzunehmen und zu verfolgen. Also: "Hallo Bundesverfassungsgericht, formell ist nichts mehr am Conatiner der EU-Richtlinie zu beschliessen, aber mit dem Inhalt des Containers stimmt in Sachen Verletzung der Grundrechte und der Privatsphäre etwas nicht". Zum anderen haben Bundesgerichte – darunter auch das Bundesverfassungsgericht – in Stellungnahmen und Eilentscheidungen zur Einschränkung der in Deutschland seit 2009 im vollen Umfang aktiven Vorratsdatenspeicherung erkennen lassen, dass die Vorratsdatenspeicherung mit Grundrechtseingriffen und einer präventiven Totalüberwachung verbunden ist, die Achtung des Wesensgehalts der Grundrechte und ihren ausreichenden Schutz vermissen lassen, was sich auch in einigen Äußerungen von Richtern des Bundesverfassungsgerichts spiegelte. Insofern ist Zuversicht und Grund zur Hoffnung durchaus angebracht.

Wie das Ausmaß und die Qualität des Ausgangs der Verfassungsbeschwerden in unserem Sinne ausehen wird – dazu gibt es wieder verschiedene Ansichten und Perspektiven. Statt sie lang und breit auszuwalzen, schließe ich mit meinem kleinen Glaskugelausblick. Von den gleichen Stellungnahmen, vorläufigen Beschlüssen und Interviews aus Richtung der Bundesgerichte, aber u. a. auch Beschlüssen wie zum BKA-Gesetz oder Luftsicherheitsgesetz und dem weiter bestehenden "Anti-Terror –"Sicherheit über alles" Kontext ausgehend, glaube ich nicht, dass die Gerichte die Vorratsdatenspeicherung an sich komplett scheitern lassen werden und es zum vollständigen Kollaps kommen wird, wie zum Beispiel immer wieder aus dem AK VDS zu hören ist. Als Resultat der Verfahren erwarte ich den Fortbestand der Vorratsdatenspeicherung, aber mit der Feststellung, dass sie in Teilen verfassungswidrig und deshalb Richtlinie und/oder Gesetz zur VDS durch Parlamente und Regierungsinstitutionen zu korrigieren ist und zusätzliche Beschränkungen und Kontrollen als Gegengewichte zu implementieren sind. Damit verbunden als Alternative oder Optimum, Vorratsdatenspeicherung durch "Quick Freeze" zu ersetzen oder "Quick Freeze" Elemente zu integrieren.

Im Vergleich zu dem, was 2004 ursprünglich durch den VDS-Entwurf des Quartetts Frankreich, Irland, Schweden und Großbritannien in die Welt gesetzt werden sollte und was jetzt in der Richtlinie und im deutschen Gesetz verankert ist, wären auch diese möglichen Resultate als Gewinn für Grundrechte und die Privatsphäre jedes Internet- und Telekommunikationsnutzers zu verbuchen, der aus meiner Sicht allen Aufwand im Zeitraum 2002 - 2009 gelohnt hätte, obgleich sie die Nutzer auch weiterhin nicht aus der Selbst-Verantwortung entlassen würden, mit der Unterstützung und Anwendung von Anonymisierungs- und Verschlüsselungslösungen den Selbst-Schutz ihrer Grundrechte und Privatsphäre effektiv und kreativ auszugestalten :-)

Ein P.S. muss auch noch sein. Mir ist bewußt, dass "Lissabon" und der aktuelle Datenschutzskandal (Bahn) an diesen Tagen im Vordergrund steht und den Beschluss des Europäischen Gerichtshofs zur EU-Richtlinie verdrängt, aber dennoch empfand ich (mal wieder) die Reaktionen und Aufnahmen auf den Beschluss in der Presse und den Sendern mit Ausnahme der hier verlinkten Beiträge als äußerst ungenügend, um nicht zu sagen erbärmlich.

Siehe auch:
beck-blog - EuGH hält Vorratsdatenspeicherung: Richtlinie als geeignete Rechtsgrundlage
netzpolitik - EuGH: Vorratsdatenspeicherung ist legal
FoeBuD - EuGH erklärt Vorratsdatenspeicherung für rechtskräftig
Futurezone - EuGH bestätigt Vorratsdatenspeicherung
Heise - Europäischer Gerichtshof bestätigt Rechtsgrundlage für Vorratsdatenspeicherung
Geschrieben von Kai Raven in Anonymität, Anti-Überwachung, Data Mining / Fusion, Datenschutz, Geheimdienst / Polizei, Grundrecht, Internet / TeKo, Kryptografie, Medien / Kultur, Netz, Politik, Terror, VDS um 12:07 | Kommentar (1) | Trackback (1)

No De-Mail - 04.02.2009

Zur "De-Mail", den sogenannten "Bürgerportalen", dem "Datensafe", dem damit verbundenen elektronischen Personalausweis (ePA) mit dessen elektronischer Identifizierungsfunktion (eID) habe ich u. a. in den Beiträgen E-Gov 2.0 Perso 2.0 für Big Brother 2.0, Elektronische Ausweise und Portale für den kontrollierten Portalbürger, Gesetzentwurf zu elektronischem Personalausweis und elektronischer Identifizierung oder Bitte halten Sie Ihren ePA an das Lesegerät mehr als genug geschrieben und ihnen auch nichts weiter hinzuzufügen.

Zum heutigen Beschluss des Gesetzentwurfs zur Regelung von Bürgerportalen und zur Änderung weiterer Vorschriften des Bundesinnenministeriums durch die Bundesregierung, erklärte unser Bundesinnenminister in der Pressemitteilung des BMI:
"Mit De-Mail wollen wir für alle Bürgerinnen und Bürger eine einfache Möglichkeit schaffen, im Internet zuverlässig, sicher und vertraulich zu kommunizieren. Jede und Jeder soll in die Lage versetzt werden, sich gegen unerwünschtes Mitlesen, Diebstahl wichtiger Daten, Betrug im Internet und gegen Spam besser zu schützen. De-Mail steht für Fortschritt, IT und IT-Sicherheit made in Germany."
Ich erkläre dagegen, dass ich Euren ePA mit RFID Funkchip, biometrischer Erfassung, eID und Eure "De-Mail Infrastruktur" nicht benötige, denn mit TLS/SSL verschlüsseltem Versand und Erhalt meiner E-Mails für den Transport, der Anwendung von OpenPGP für die Inhaltsverschlüsselung und dem Gebrauch von Tor, I2P Mail und Remailern kann ich genauso gut und dazu weniger kontrolliert "zuverlässig, sicher und vertraulich" per E-Mail ohne "unerwünschtes Mitlesen" kommunizieren. Wenn es sein muss, auch per S/Mime, aber hier kamen nie S/Mime verschlüsselte E-Mails an. Ich brauche genauso wenig wie die Anti-Spam "Features" bei irgendwelchen E-Mail Providern Euer "De-Mail" Anti-Spam System, um von Spam unbelastet meine E-Mails und Mailinglisten zu lesen. Und schon gar nicht brauche ich irgendeinen "Datentresor" bei irgendeinem Bürgerportal-Provider, denn ich verlasse mich lieber auf meine eigene Datensicherung und -verschlüsselung.

Insbesondere, wenn solche Angebote von den gleichen Leuten kommen, die Vorratsdatenspeicherung, das BKA-Gesetz, das BSI-Gesetz und all die anderen Sicherheitsgesetze verbrochen haben.

Das Einzige, was ich damit nicht kann, ist der Erhalt und Versand von E-Mails mit Verschlüsselung und Signaturen durch "rechtssichere" Zertifikate. Aber sollte ich die eines Tages benötigen, würde ich mir lieber eine Signaturkarte und ein Lesegerät kaufen, als mir Euren ePA und Eure "De-Mail" andrehen zu lassen, wenn es sie dann noch gibt oder sie erlaubt sind. Ihr werdet schon alles daransetzen, dass die "De-Mail" und "ePA" Verweigerer irgendwann direkt oder indirekt diskriminiert werden.

Die rhetorische Frage "Geht mit De-Mail die E-Post ab?", die Ihr durch Euren "Bundes-CIO" ausrichten lasst, beantworte ich deshalb für mich ganz einfach mit:
No De-Mail
Siehe auch:
Bundesbeauftragter für Datenschutz / Informationsfreiheit - Schaar sieht Verbesserungsbedarf beim Bürgerportalgesetz (04.02.2009)
beck-Blog - Entwurf zum Bürgerportalgesetz liegt vor: De-Mail für Alle soll pro Jahr bis zu 1,4 Mrd € sparen (04.02.2009)
sicherheitsblog - Das Bürgerportalgesetz: De-Mail im Detail (04.02.2009)
BMI - De-Mail geht in die Testphase: So einfach wie E-Mail und so sicher wie die Papierpost (08.10.2009)

P.S.: Da nicht alle den Links folgen: Die obige Grafik ist ohne "No" Bestandteil der BMI-Pressemitteilung zum Beschluss des Bürgerportal-Gesetzes.
Geschrieben von Kai Raven in Anonymität, Biometrie, Chips, Datenschutz, Geheimdienst / Polizei, Internet / TeKo, Kryptografie, Politik, Software, VDS um 15:09 | Kommentare (16) | Trackbacks (8)

TrueCrypt, Backups, Rettung und ein DAU - 31.01.2009

Eine kleine Story zu TrueCrypt (unter Windows), Backups und warum man sich ein paar Gedanken machen sollte.

Gestern war es dann endlich so weit. Nach einem Start und mehrmaliger Eingabe des TrueCrypt Passworts kam das, was im TrueCrypt Manual so beschrieben wird: "If you repeatedly enter the correct password but TrueCrypt says that the password is incorrect, it is possible that the master key or other critical data are damaged". In diesem Fall muss die TrueCrypt Rettungs-CD zum Einsatz kommen, um die Schlüsseldaten wiederherzustellen, die während der Systemverschlüsselung über ein ISO Image erstellt und gebrannt werden kann. "Kann" – denn man kann das Image auch mit einem der Tools für virtuelle Laufwerke auf eine virtuelle CD schreiben, wie das einige Nutzer machen, die der Brennvorgang nervt. Ich nehme als Tool die bekannten Daemon Tools (ohne Adware) und hatte das auch so gemacht. Das ISO Image hatte ich in TrueCrypt Containern auf USB-Stick und Partition gespeichert, aber mit dem Hintergedanken, das bei Bedarf zu brennen, nicht gebrannt. Ein falscher Hintergedanken, wenn man nur einen CD/DVD Brenner im Rechner hat.

Zum Beginn der Beschäftigung mit und dem Einsatz von TrueCrypt hatte ich mir außerdem überlegt, wie man für Windows und TrueCrypt Backups und/oder Images machen kann, die selbst wiederum mit TrueCrypt gesichert sind, denn verschlüsselte Partitionen und unverschlüsselte Backups/Images sind unsinnig und deshalb auch in ein paar Webforen nachgelesen, wie es andere Nutzer damit halten. Dafür gibt's verschiedene Vorgehensweisen. Meine ist folgende:

Ich habe eine WD SATA Festplatte in dem externen MX-1 Gehäuse von Antec, mit dem ich übrigens sehr zufrieden bin. Auf der befinden sich wie auf der internen Festplatte TrueCrypt verschlüsselte Partitionen. Eine Windows BartPE/XPE Boot-CD enthält das Image-Programm TrueImage von Acronis, TrueCrypt und verschiedene andere Sachen. Mit der boote ich regelmäßig und entschlüssle/mounte mit TrueCrypt die Partitionen auf der externen Festplatte. Dann werden von interessierenden Partitionen der internen Festplatte mit TrueImage Images ohne Komprimierung und die Acronis eigene Verschlüsselung in die TrueCrypt Partitionen auf der externen Festplatte erstellt, damit es schnell geht. Für die verschlüsselte Systempartition gibt es zwei "TrueImages" in zwei TrueCrypt Partitionen: Eines per "Sektor-für-Sektor" der Systempartition im verschlüsselten Zustand in die eine externe TrueCrypt Partition und eines nach gemounteter Systempartition ohne Pre-Boot Authentifizierung, bei dem der entschlüsselte Inhalt komplett in das Acronis Image auf der anderen externen TrueCrypt Partition gespeichert wird. Da sich das erste Image bereits im verschlüsselten Zustand befindet, könnte man das Image auch auf einer unverschlüsselten Partition ablegen, das zweite Image dient dazu, zumindest und immer an Daten zu kommen, wenn es mit dem ersten Image nicht hinhaut.

Eigentlich unverzeilich, bin ich diesem Schema gefolgt, ohne jemals selbst ausprobiert zu haben, ob eine Wiederherstellung mit Acronis, dessen Images, der Boot-CD und TrueCrypt überhaupt funktioniert, weil diverse Leute ausführlich berichtet hatten, dass es funktioniert. Man sollte sich aber trotzdem nicht darauf verlassen.

Der zweite DAU Fehler war, wie bereits angedeutet, die nicht gebrannte TrueCrypt Rettungs-CD, denn mit dem nachträglichen Brennen wurde es nichts über meine BartPE/XPE und eine Knoppix-CD, denn mit nur einem Laufwerk muss man natürlich die Boot-CD mit einem Rohling wechseln und danach ging nichts mehr mit Brennen – falls es da nicht eine Vorgehensweise oder einen Trick gibt, der mir nicht eingefallen ist. Damit auch keine Möglichkeit, das beschädigte Schlüsselmaterial wiederherzustellen.

Um mir zu behelfen und zum Brennen zu kommen, habe ich dann ein weiteres Image der aktuellen unzugänglichen Systempartition erstellt, wieder per Sektor-für-Sektor. Danach habe ich das alte Acronis Image der Systempartion wiederhergestellt, das per Sektor-für-Sektor erzeugt wurde. Für diejenige, die das auch so mit Acronis machen wollen oder müssen: Man muss wiederum die Sektor-für-Sektor Methode aktivieren, dann zuerst die Partition und als weitere "Partition" den MBR auswählen. Danach löscht Acronis zuerst die existierende Partition, stellt sie aus dem Image wieder her und danach wird der MBR wiederhergestellt.

Danach kam der Zeitpunkt, ob das alles so klappt mit der Vorgehensweise und den Acronis Images. Nach einem Neustart ging es aber wie gewohnt mit der TrueCrypt Pre-Boot Authentifizierung nebst Entschlüsselung der Systempartition und erfolgreichem Booten des "alten" Windows weiter – die zu späte Bestätigung der Vorgehensweise. Mit dem "alten" Windows habe ich dann das ISO Image der TrueCrypt Rettungs-CD auf eine CD-RW gebrannt und danach den ganzen Zauber erneut durchgeführt, sprich Booten mit der BartPE/XPE CD, Wiederherstellen des Images der unzugänglichen Systempartition mit Acronis, Einlegen der TrueCrypt Rettungs-CD, Neustart und Reparatur des TrueCrypt Schlüssels der Systempartition mit der Restore Key data Funktion im Menü der Rettungs-CD. Tja und danach war wieder alles in Butter. Abgesehen von der rot angelaufenen Stirn aufgrund der Zusammenstöße mit dem Schreibtisch ;-)
Geschrieben von Kai Raven in Datenschutz, Hardware, Kryptografie, Linux / Windows, Software um 12:51 | Kommentare (20) | Trackbacks (0)

Paperkey für das GnuPG Schlüssel-Backup - 23.01.2009

Für die GnuPG Anwender, die es benötigen.

David Shaw, einer der Entwickler im GnuPG Team, hat für *nix und Windows Version 1.0 des Paperkey Programms veröffentlicht.

Um ein Backup des eigenen Schlüsselpaares in Datenform zu pflegen, kann man entweder die Schlüsselringdateien komplett als Kopie oder den geheimen Schlüssel als Datei exportieren und ihn auf einem Datenträger speichern. Da ein Datenträger verloren gehen, beschädigt werden oder nach längerer Zeit seine Lesbarkeit verlieren kann, ist es ggf. sinnvoll, für ein zusätzliches Backup auf das gute alte Papier und Drucker auszuweichen.

Um ein Backup des eigenen Schlüsselpaares in Papierform anzulegen, könnte man einfach den geheimen Schlüssel mit ASCII Hülle exportieren und den Inhalt ausdrucken. Zum späteren Wiederherstellen des Schlüsselpaars kann dann der Ausdruck entweder per OCR eingelesen oder abgetippt und das Ergebnis wieder mit GnuPG importiert werden. Der Nachteil bei dieser Methode ist die Menge an Zeichen, die der Export enthält, denn darin ist alles enthalten, was einen Schlüssel ausmacht, inklusive des öffentlichen Schlüsselmaterials.

Das bedeutet, dass sich der Ausdruck unter Umständen auf mehrere Seiten Papier verteilt bzw. die Schriftgröße stark verkleinert werden muss und sich damit die Wahrscheinlichkeit erhöht, dass sich beim Einlesen und Abtippen Fehler einstellen und deshalb eine Wiederherstellung fehlschlägt.

Hier setzt Paperkey an, das aus dem exportierten geheimen Schlüssel in Binärform nur die relevantesten Anteile extrahiert und sie ebenfalls in ASCII Zeichen auswirft, die dann zu einem komprimierten Ausdruck auf Papier führen, der viel besser zur späteren Wiederherstellung geeignet ist. Zur vollständigen Wiederherstellung des Schlüsselpaars ist neben dem eingelesenen oder abgetippten Ausdruck der öffentliche Schlüssel nötig, der sich bei den meisten GnuPG Anwendern auch nach einem Schlüsselverlust auf einem Schlüsselserver befindet, auf einer Webpage angegeben wird oder in anderer Form bereits existiert.

Zu Paperkey gibt es eine kurze Anleitung, die aber nicht vollständig ist und zu keinem vollständigen Ergebnis führt, deshalb hier die "vollständige" Version:

Erstellung des Paperkey Backups
  1. Export des geheimen Schlüssels in Binärform in die Datei SchlüsselIDsec:

    gpg -o SchlüsselIDsec --no-armor --export-options no-export-clean,export-minimal --export-secret-keys Schlüssel-ID

  2. Erzeugung der komprimierten Version der relevanten Schlüsselbestandteile des geheimen Schlüssels für den Ausdruck:

    paperkey --secret-key SchlüsselIDsec --output SchlüsselIDpaper.txt

    Für meinen zurückgezogenen Schlüssel 0x0A146804 reduziert sich das auf folgenden Output: 
    # Secret portions of key 5AB6B450D8CC132B80B17F24431C6A350A146804
# Base 16 data extracted Fri Jan 23 10:21:51 2009
# Created with paperkey 1.0 by David Shaw

# File format:
# a) 1 octet:  version of the paperkey format (currently 0).
# b) 1 octet:  OpenPGP key version (currently 4)
# c) n octets: Key fingerprint (20 octets for a version 4 key)
# d) 2 octets: 16-bit big endian length of the following secret data
# e) n octets: secret data: an OpenPGP secret key or subkey as specified in
#              RFC 4880, starting with the string-to-key usage octet and
#              continuing until the end of the packet.
# Repeat fields b through e as needed to cover all subkeys.
# To recover, use the fingerprint to match an existing public key with the
# corresponding secret data, then append field e to the public key to
# create a secret key.
# Each base 16 line ends with a CRC-24 of that line.
# The entire block of data ends with a CRC-24 of the entire block of data.

  1: 00 04 5A B6 B4 50 D8 CC 13 2B 80 B1 7F 24 43 1C 6A 35 0A 14 68 04 0C08F6
  2: 00 53 FE 0A 03 08 24 28 E0 0F 13 57 BB 10 60 3B 5B 31 C9 7B F3 69 08B4F5
  usw.
 17: 4B AD 65 E2 E9D940
 18: 5B7490
    Das ist doch im Gegensatz zur anfangs erwähnten Methode erheblich weniger, gut einzulesen und zur Not auch gut abzutippen. Genauso wie beim tatsächlichen geheimen Schlüssel ist auch die Ausdruckversion durch die Passphrase geschützt, denn natürlich ist die Verschlüsselung durch die Passphrase und den gewählten symmetrischen Algorithmus ebenfalls Bestandteil im Ausdruck.

    Ist die Passphrase nicht im "Susi" Style gewählt, sondern ausreichend lang, in ihrer Zusammensetzung ausreichend komplex und ein starker symmetrischer Algorithmus gewählt, kann auch ein Ausdruck in die Hände der Möchtegern-Cracker des BKA, BND oder anderer Geheimdienste fallen, wenn es sich nicht verhindern lässt. Sollte man spätestens seit Annes Story mit dem PGP Schlüssel wissen und beherzigen. Wer es etwas paranoider haben möchte und sich selbst im Umgang mit GnuPG nicht vertraut, kann ja noch eine symmetrische Verschlüsselungsschicht um das Paperkey Backup legen und den Ciphertext ausdrucken (aber zusätzliche Passphrase nicht vergessen!) ;-)

    gpg --cipher-algo TWOFISH --s2k-digest-algo SHA256 -ac SchlüsselIDpaper.txt

  3. Die SchlüsselIDpaper.txt Datei ausdrucken, den Ausdruck abheften, verbuddeln, verstecken usw. und danach wie die SchlüsselIDsec Datei "rückstands- und spurenlos" löschen, wie es immer so schön in den Sicherhheitsgesetzen heißt.
Wiederherstellung des Schlüsselpaares mit Paperkey
  1. Davon ausgehend, dass man nicht mehr über die GnuPG Schlüsselring- oder Schlüsseldateien verfügt, wird der eigene öffentliche Schlüssel über die oben genannten Quellen bezogen.
  2. Da der öffentliche Schlüssel meistens in ASCII Form vorliegt oder erhalten wird, konvertiert man die Datei mit dem öffentlichen Schlüssel in seine Binärform:

    gpg --dearmor SchlüsselID.asc (mit SchlüsselID.asc.gpg als Resultat)

  3. Wiederherstellung des geheimen Schlüssels in seine Binärform mit dem Paperkey "Ausdruck" (entweder bereits auch als Datei vorliegend oder eingelesen/abgetippt) und dem öffentlichen Schlüssel:

    paperkey --pubring SchlüsselID.asc.gpg --secrets SchlüsselIDpaper.txt --output SchlüsselIDsec

  4. Import der Dateien mit dem geheimen und öffentlichen Schlüssel:

    gpg --import --import-options no-import-clean,import-minimal SchlüsselIDsec
    gpg --import --import-options no-import-clean,import-minimal SchlüsselID.asc.gpg

  5. Vetrauenswert für eigenen Schlüssel wiederherstellen und aktuelle Fremd-Zertifikate von Schlüsselserver importieren:

    gpg --edit-key SchlüsselID
    trust
    5

    gpg --refresh-keys SchlüsselID
Danach kann das Schlüsselpaar wie gewohnt mit GnuPG genutzt werden. Die Vorgehensweise habe ich auch mit einem aktuell aktiven Schlüssel anwenden können.

Die --*armor Option, Import- und Export-Optionen dienen dazu, jenseits möglicher Optionen, die bereits in der gpg.conf vom Nutzer oder anderen Programmen gesetzt wurden, doppelte Zertifikate im Schlüssel zu vermeiden und die für Paperkey benötigte Binärform anzuwenden. Die Änderung des Vetrauenswerts des Schlüssels nach Wiederherstellung kann unterbleiben, wenn zuvor beim Export/Backup des geheimen Schlüssels auch die Vetrauenswerte mit gpg --export-ownertrust > mytrust.asc exportiert wurden, so dass sie nach Wiederherstellung des Schlüssels mit gpg --import-ownertrust mytrust.asc wieder importiert werden können. Die Vetrauenswertedatei kann man natürlich ebenfalls als Backup ausdrucken.
Geschrieben von Kai Raven in Datenschutz, Geheimdienst / Polizei, Kryptografie, Linux / Windows, Software um 12:31 | Kommentare (4) | Trackback (1)
(Seite 1 von 26, insgesamt 207 Einträge) » nächste Seite

Gefahr-Indikator

für Demokratie & Rechtsstaatlichkeit in Deutschland:

Gefahrstufe-Indikator für Demokratie und Rechtsstaatlichkeit

März 2010 / Info
Action

ROG Iranaktion Banner

data retention is no solution Button

TCP Onion Router Button I2P Button

individual-i
Datenschutzerklärung

Kontakt

Kalender

Zurück März '10 Vorwärts
Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

im Blog

Info: abc* : kurze, "abc(-)def" : verbundene Wörter, exakte Treffer

Scroogle-SSL

ixquick-SSL

Aktuell

Daten-Nacktscanner
10.03.2010
Wortwechsel um VDS-Urteil und Datenschutz
6.03.2010
Das vorläufige Stopp-Schild für die Vorratsdatenspeicherung
2.03.2010
delicious am Rande
1.03.2010
Von Datenbriefen und Internet-Führerscheinen
1.03.2010
Zukunftsreport Ubiquitäres Computing
15.02.2010
de Maizière über Abhörzentralen, Sicherheitsgesetze und Europol
6.02.2010
Linkpartnerschaft und Linktausch
4.02.2010
US-Geheimdienstchef bestätigt Shoot-to-Kill Praxis
4.02.2010
Input und Output eines Fusionszentrums
30.01.2010

Archive

Kategorien


Alle Kategorien

Infos

Blog abonnieren

xml button RSS 2.0 Feed

Sonstiges

Raven Homepage
Raven Fotos
Raven Wiki
delicious Bookmarks
Altes Weblog

Impressum

impgrafik

Lizenz

Creative Commons License - Some Rights Reserved

Powered by

Serendipity PHP Weblog