Weil auf der ganzen Netzwelt so viel passiert, und wir nicht alles gleichzeitig verarbeiten, verarzten und verkommentieren können, empfehlen wir hin und wieder ein paar Artikel aus der Netzwelt, mit Lob, mit Kritik und auch Ergänzungen. Einfach und simpel Meta.
1. Der Cloud Act-Bericht des Bundesamts für Justiz
Dieser am 17. September veröffentlichte- wirklich sehr empfehlenswerte- Bericht wäre eigentlich ein eigenes Artikelchen wert. Denn die Befunde haben es in sich. Im Bericht wird die Frage behandelt, ob die Schweiz mit der USA ein Executive Agreement abschliessen soll oder nicht. Also das wäre dann ein bilateraler Sondervertrag zum CLOUD Act mit beidseitigen Rechten und Pflichten.
Zur Erinnerung: der Cloud Act ist ein Gesetz der USA (seit 2018) welches US-Behörden ermöglicht, auf die Daten in sämtlichen amerikanischen Cloud Providern und IT-Unternehmen zuzugreifen, auch wenn diese Datenzentren ausserhalb der USA unterhalten. Es ist einer der heikelsten Themen in der transatlantischen Diskussion zwischen EU und USA, nicht zuletzt auch weil das ganze Schrems II-Urteil noch nicht vollständig gelöst ist. Mit einem Executive Agreement könnten die Behörden beider Länder gegenseitig die Daten von Cloud-Unternehmen beider Länder zuzugreifen. Allerdings dürfen dabei keine Daten von US-BürgerInnen abgefragt werden- somit wären die Daten einer Amerikanerin beim Schweiz-Ungarischen Unternehmen Tresorit Tabu. Umgekehrt könnte sich die Schweiz dasselbe ausbedingen. Grossbritannien hat bereits ein Executive Agreement mit den USA ausgehandelt, aufgrund der zeitlichen Eile (Brexit-Deal) hat die EU dem britischen Datenschutzniveau Äquivalenz bescheinigt (und die Agreement-Kröte geschluckt).
Nun hat sich die Schweiz also eingehend damit beschäftigt. Der Report ist lesenswert: er listet u.a. auf, welche weitreichende Befugnisse sich die USA unilateral mit dem Cloud Act gibt und inwiefern eine “Amerikanisierung” des internationalen Rechtssystems angestrebt wird. Auch wenn die Schweiz seitenweise damit liebäugelt, welches Datengold für ihre Strafverfolgung mittels wenigen Klicks bei einem spezifischen Vertrag mit den USA rausspringen würde (anstelle auf die monatelangen Rechtshilfegesuche bei Google & Co zu warten) und die Verlockung wohl sehr gross sein muss: ein Executive Agreement wird schlussendlich vom BJ als sehr kritisch beurteilt.
Aus zwei Gründen: 1.) Der Angemessenheitsentschluss der EU für das Schweizer Datenschutzniveau wäre gleich hinfällig. Die Schweiz hat das Privacy Shield-Abkommen mit den USA aufgekündigt, und folgte der EU. Ergo: die Schweiz anerkennt das US-Datenschutzniveau als nicht genügsam. Ein US CH-Private Executive Agreement wäre ein absolutes Eigentor. Die EU würde das niemals akzeptieren (Akzeptanz vom USA UK-Vertrag war wohl eine Ausnahme vermutet das Bundesamt für Justiz).
2.) Mit einem Executive Agreement würde die Souverenität nationalstaatlicher Behörden komplett unterwandert, und daran hätte der Dienst ÜPF und die Schweizer Justiz (Bundesverwaltungsgericht) gar keine Freude. Ein Unternehmen wie Threema wäre damit gleich direkt einem amerikanischen Gericht unterworfen bei einer Datenherausgabepflicht. Threema würde auf Augenhöhe mit den USA verhandeln. Ausserdem müsste Threema hoheitliche Aufgaben erfüllen und selber über den Rekurs der Datenweitergabe mit amerikanischen RichterInnen verhandeln. Damit wäre eigentlich das ganze BÜPF und alle zwischengelagerten Institutionen hinfällig. Und das wäre für einmal nicht zum Besseren der Gesellschaft.
Last but not least: Die Schweiz will abwarten wie genau die geplante E-Evidenz-Verordnung der EU (ein ähnlich fatales Unterfangen wie der Cloud Act, einfach nur EU-weit) sich entwickelt. Wir halten also fest: Der Bundesrat prescht nicht vor und will die Lage weiterhin nur beobachten. Und das ist für einmal gut so.
2. Behind the One-Way Mirror: A Deep Dive Into the Technology of Corporate Surveillance
Ein wunderbare Zusammenstellung zum Tracking-Universum der Electronic Frontier Foundation, verständlich und anschaulich geschrieben. Wie Real-Time-Bidding funktioniert im Hintergrund, wenn man eine Website besucht und wie hartnäckig all diese Identifiers (Kennungen) sich im Web und in den Apps halten. In dieser Zusammenstellung lernt man viel Neues. Mein (Adrienne) persönlicher Lieblingssatz und WTF-Moment: “All the information in the bid request is shared before any money changes hands. Advertisers who don’t win the auction still receive the user’s personal information. This enables “shadow bidding.” Auch wer die millisekundenschnelle Auktion nicht gewinnt, erhält trotzdem alle Daten des Webseitenbesuchers.
3. Vladimir Putin is finally getting the Internet he wants
Ein Meinungsbeitrag des Journaliten und Autoren Andrej Soldatov wirft ein Schlaglicht auf die Internet-Diskurse abseits des Westens. Soldatov zeigt auf, wie der russische Präsident seinem Traum des autarken russischen Internets näher kommt. Allerdings nicht durch Abschottung wie es China mit dem Firewall anstrebt, sondern durch den Aufbau einer heimischen Internet-Industrie. Putin will ein eigenes digitales Ökosystem: russische Suchmaschine, sozialen Netzwerk, Apps etc. Alle Server sollen auf russischem Boden stehen, wo der Kreml nach Belieben darauf zugreifen kann. Nun wissen wir dass Russland neben talentierten HackerInnen auch durchaus in der Lage ist -im Gegensatz zu Europa- eigene populäre Dienste anbieten zu können: Yandex, vKOntakte und Telegram sind die berühmtesten Aushängeschilder.
Und diese gelingen – so Soldatovs These des Beitrags – nur, wenn Russland sich eben NICHT abschottet, sondern von der westlichen Konkurrenz im Lande angetrieben wird. Er referenziert interessante Beispiele aus der Sowjetzeit (der erste sowjetische Kopierer). Deshalb erachtet er Putins Move nach Autarkie und Protektionismus als kommerzielles Eigentor.
Bezeichnend dafür dieses Zitat:
“In the 1990s, Russia adopted many Western technologies. That in turn enabled the astonishing rise of the Russian tech companies such as Yandex, Kaspersky Lab and many others. Now, in turn, it is the very success of these companies that makes Putin’s entourage confident it can afford to bank on isolation once again.”
Andrej Soldatov
4. Explainer: Security certificates
Vor einigen Tagen war das Ungültig-werden von Let’s Encrypt-Zertifikaten und die damit verbundenen Probleme beim Zugriff auf Webseiten und sonstige Internetangebote Thema. Howard Oakley erklärt in einem Übersichtsartikel die Bedeutung von Zertifikaten für sichere Übertragungen im Internet und beschreibt, wieso es je nach Zertifikats-Typ/Einsatz mehr oder weniger dramatisch ist, wenn dessen Gültigkeit abläuft.
Identification of ownership relies on establishing a chain of trust going back to a Certificate Authority (CA), normally accomplished using three separate certificates. The trusted CA has a Root certificate which it signs; it then issues intermediate certificates that can be traced back to that Root certificate. At the end of the chain, a ‘leaf’, your security certificate, can be traced back to an intermediate, thus to the Root. If at any stage in that chain a certificate has expired or is not valid, then it invalidates all the security certificates from there out to the leaf.
Howard Oakley
Am Beispiel macOS geht er im weiteren darauf auf die Verwendung von Zertifikaten in Betriebssystemen ein. Hier kommen sie unter anderem zum Signieren von Binaries/Programmen zum Einsatz und sollen sicherstellen, dass nur Programme aus vertrauenswürdigen Quellen ausgeführt werden können. Im Normalfall ist das für viele Anwender eine gute Option, heikel wird es wenn es Malware-Entwickler ebenfalls schaffen, signierte Software zu verteilen oder eben wenn die Gültigkeitsperiode des zum Signieren verwendete Zertifikat abläuft. Da kann man dann unter Umständen plötzlich Software nicht mehr starten nur weil das Betriebssystem deren Ausführung mangels gültiger Signatur verhindert.
