Anlasslose Überwachung am Handy [technisch]

Gerade gelesen, dass die Ampel wohl Brüssel zustimmt und die anlasslose Überwachung von Handys zustimmt.

Was denkt ihr, kann man sich dem ganzen mit alternativen Systemen entziehen oder gibt es hier überhaupt keine Möglichkeit mehr?

Das der Grund dafür einfach nur vorgeschoben ist, darüber brauchen wir hier ja nicht zu diskutieren.

7 Beiträge wurden in ein neues Thema verschoben: Anlasslose Überwachung am Handy [politisch]

Aktuell sieht es aus deutscher Sicht so aus, dass man Ende-zu-Ende-verschlüsselte Kommunikation, Cloud usw. außen vor lassen will. Unverschlüsselte Dienste wären aber betroffen (hier pfeift man auf den Koalitionsvertrag). Man müsste also schauen, dass man E2EE verwendet, wo es nur möglich ist, was spätestens bei E-Mail schwierig werden dürfte.

Andere Punkte, gegen die sich Faeser nicht stemmt (Ausweispflicht, Netzsperren) kommen noch hinzu.

EDIT: ganz frisch: https://www.heise.de/news/Massenueberwachung-Wissing-kuendigt-Veto-bei-der-Chatkontrolle-an-8972501.html

2 „Gefällt mir“

Wie sähe das denn eigentlich in der technischen Umsetzung aus?
Ein Überwachungsmodul direkt auf dem Server der Messenger geht aufgrund der Verschlüsselung nicht, richtig?
D.h. man muss damit auf das Endgerät. Wie kommen die Daten dann zum Überwacher? Könnte man diese Verbindung nicht unterbinden? Und wie machen dass Google, Meta und Co., die ja nach deren Aussagen, bereits jetzt schon freiwillig an der Überwachung teilnehmen?

Die App mit dem Überwachungsmodul soll dann verdächtige Inhalte ausleiten an ein EU-Zentrum, das sie bereits aufbauen, wo dann genau überprüft wird. Geprüft von Menschleins, die da sitzen und private Nacktfotos o.ä inspizieren. Was mit den privaten Nachrichten, Fotos, Videos danach passiert…keine Ahnung.

Ob man diese Verbindung unterbinden kann? Keine Ahnung, da es diese Module noch nicht gibt. Und im Idealfall wird es sie nie geben.

Google, Meta und Co. scannen unverschlüsselte Inhalte ihrer Nutzer. Das haben sie früher auch gemacht, hätten es mit der E-Privacy-Verordnung eigentlich nicht mehr machen dürfen, dürfen es aber doch wieder, da die EU-Kommission die Erlaubnis zum freiwilligen Scannen durchgedrückt hat und wo die EU-Kommission schon mal warmgelaufen war, hat sie beschlossen, aus der Freiwilligkeit eine Verpflichtung zu machen.

1 „Gefällt mir“

Soweit ich das mitbekommen habe gibt es hier wohl zwei unterschiedliche Ansätze:

  1. Überwachung der Messenger durch ein „Modul“. Wobei es die Messenger ab einer bestimmte Anzahl von Usern umsetzen müssen.
  2. Überwachung durch Scannen direkt am jeweiligen Gerät.

bei 1. hätte ich noch die Möglichkeit, meinetwegen die Kommunikation über die eigene Nextcloud Talk zu führen.
bei 2. wäre das auch nicht mehr möglich, da sämtliche Kommunikation gescannt würde

Also läuft es letztlich doch auf ein Modul im Betriebssystem hinaus, ungefähr so wie es Apple schon seit iOS 16 mit dem Fotoscan (in den USA) macht.
Dann wäre doch die Frage, ob man sich mit einem alternative System dem entziehen könnte, oder die Entwicklung eines solchen Systems dann gesetzteswidrig wäre …

Bei Mastodon kann ich leider nicht folgen. Was schade ist

Genau das würde mich auch interessieren

Seit ich das Thema verfolge, war nie von einem Scanmodul, das im Betriebssystem verankert sein soll, die Rede.

Es geht um die Anbieter interpersoneller Kommunikationsdienste (Mail, Messenger, Chats). Über Clouspeicher wird diskutiert und über Identifikationspflichten in App-Stores. Der Vorschlag der Kommission ist verdammt umfangreich. Patrick Breyer hat eine gute Zusammenfassung hier: https://www.patrick-breyer.de/beitraege/chatkontrolle/

EDIT: Zu Apple: https://netzpolitik.org/2022/chatkontrolle-apple-macht-rueckzieher-beim-client-side-scanning/

2 „Gefällt mir“

Bei Apple bin ich mir ehrlich gesagt nicht so ganz sicher was denn nun stimmt.
Seit iOS 15.6 ist CSAM im Betriebssystem implementiert.
(kleine technische Zusammenfassung)
Das haben sie bestimmt nicht wieder raus genommen, zumal sie ja in den USA dazu verpflichtet sind. Die Enwicklung werden sie auch nicht umsonst gemacht haben. Ich kann mir gut vorstellen, dass es in diese Richtung gehen wird.

Meines Wissens ging es vor allem 2021 um das Thema, als Apple ankündigte, dass man eine solche Funktion einführen wolle. Ich habe damals bei Reddit im Apple-Sub mitgelesen und da ging es richtig ab. Apple erhielt außerdem tonnenweise wütende Mails aus aller Welt (eine auch von mir), sodass man zurückruderte und das Vorhaben erst mal auf Eis legte.

Danach gabs nur noch die oben verlinkte Meldung, dass sich das Thema erledigt hat. Wie es auf den US-Geräten aussieht, auf denen man die Funktion zuerst einführen wollte, weiß ich nicht.

1 „Gefällt mir“

Da hast du recht.
Ich kann mir nur nicht vorstellen, dass Apple sich von ein paar wütenden Emails (auch wenn es unzählige waren) hat beeindrucken lassen. :wink:
Letztendlich dürfte aber wohl jede Überwachung auf das Prinzip von Apple hinauslaufen: es wird im Betriebssystem noch vor der Verschlüsselung gescannt. Oder?

Nein, was den EU-Entwurf betrifft, will man, dass die Client-Hersteller von verschlüsselten Diensten, wie Threema, Signal, Tutanota…scannen, bevor verschlüsselt wird. Deshalb Client-Side-Scanning, NICHT OS-Side-Scanning.

Verstehe.
Also kann doch nur innerhalb der App auf dem Endgerät selbst gescanned werden und nicht auf dem Server, richtig? D.h. jeder Dienst baut dann seinen eigenen Scanner ein, der dann die Daten wohin schickt?

Ist das der feine Unterschied zum „Bundestrojaner“ auf EU-Ebene.
Gibt es überhaupt einen?

Richtig bei Ende-zu-Ende-verschlüsselten Diensten. Da bei denen nur Verschlüsseltes über die Server huscht oder dort gespeichert wird, will man von den Anbietern, dass sie eine Lösung finden, um Kriminelles in Nachrichten zu finden. Sofern so ein Anbieter die Verschlüsselung nicht aufgeben oder Ermittlern eine Backdoor bauen will, wird er zwangsläufig im Client scannen müssen, bevor eine Nachricht verschlüsselt und versendet wird.

Von unverschlüsselten Diensten wird man auch einen Scan erwarten. Die könnten/müssten dann entsprechend auf ihren Servern scannen.

Das ist übrigens auch so eine Hinterfotzigkeit der Kommission. Die sagen natürlich nicht, was technisch gemacht werden soll, sondern die Anbieter sollen sich überlegen, wie sie in der Lage wären, die Nachrichten ihrer Kunden zu durchsuchen. Technologieoffenheit nennen sie das.

Jedenfalls sollen gefundene/verdächtige Nachrichten an das EU-Zentrum geschickt werden. Siehe oben #7.

Hier noch ein Link zu einem guten Info-Video: https://ccc.cdn.as250.net/chatkontrolle/04-high.mp4

Das würde ich so sehen, ja. Der Bundestrojaner wird sich vermutlich eher auf OS-Ebene einklinken, sodass auch Bilderordner usw. durchsucht werden können.

Der Unterschied für mich: Gegen das Client-Side-Scanning schmeiße ich die entsprechende App vom Gerät. Gegen Scanning auf dem Gerät schmeiße ich selbiges weg (wobei ich es bei einem Staatstrojaner eher nicht mitkriegen würde, wenn man mein Gerät untersucht).

Wenn Du den Installationsweg kennst (Layer2 oder Layer3) Kannst Du dafür sorgen, dass das Teil niemals auf Deinem Gerät landet. Also dem Internetprovider die Kontrolle über deinen Traffic entziehen, damit er nichts einspielen kann. Wenn Du es schaffst, dass sich dein Smartphone ausnahmslos nur über einen VPN-Service verbindet, gebe es hier keinen Installationsweg für den Internet Provider.

1 „Gefällt mir“

Interresant ist hier Delta.Chat. Dieser Messenger nutzt email Konten und macht Autoencrypt E2EE.

Es gibt nicht „den“ Server, und die App bietet keine Chat Dienste an. Sie ist lediglich ein email Client mit spezieller Oberläche :grin:

Auch Delta Chat bietet aber halt einen interpersonellen Kommunikationsdienst. Um das Vorhaben der EU-Kommission mal einfach zu übersetzen: Egal, auf welche Art Menschen kommunizieren, es soll künftig nicht mehr möglich sein, innerhalb solch einer Konversation Kriminelles unterzubringen (Text, Fotos, Videos). Verschlüsselung ist denen im Weg und sie soll weg oder zumindest umgangen werden.

Dann schau mal nach was ein Dienstanbieter ist.
Dein email anbieter ist z.B.einer. Delta nicht.