eIDAS-Verordnung u. weitere "rechts"staatlich zwangsauferlegte Unverschämtheiten

[duda]

Verfolgt das jemand, hat das jemand auf dem Schirm?

... was da deutschland-/europaweit derzeit (so scheinbar schleichend) im Hintergrund läuft?

Passend dazu füge ich hier mal ein Zitat von "fefe" (Fefes Blog) ein:

Zitat

Findet doch mal in eurem Browser die Liste der als vertrauenswürdig markierten CAs. Das sind die Stellen, die Zertifikate ausstellen dürfen, denen der Browser dann traut.

Diese Liste war schon immer unfassbar lang und beinhaltet so Entitäten wie "e-commerce monitoring GmbH" (wat!?) und natürlich Konzerne und staatliche Stellen aus aller Herren Länder. Ich sage nur: GUANG DONG CERTIFICATE AUTHORITY.

Nehmen wir mal an, ihr klickt zu https://blog.fefe.de/ und euer Browser baut eine TLS-Verbindung auf. Dann meldet sich die Gegenstelle (hoffentlich, aber nicht unbedingt, mein Server!) mit einem mit meinem Public Key signierten Handshake, und mein Public Key ist signiert von Let's Encrypt, und Let's Encrypt ist in der Liste in eurem Browser. Daher weiß euer Browser, dass er mit meinem Server redet und nicht mit der NSA.

Aber weiß er das wirklich? Was wenn sich da jemand anderes meldet, sagen wir mal der chinesische Geheimdienst fängt die Verbindung ab und leitet die zu sich selbst um, und da kommt dann ein gültig aussehendes Handshake, das aber von einer anderen CA in eurer Browserliste signiert wurde! Zum Beispiel von "Hong Kong Post". Dann würde euer Browser das auch akzeptieren.

Die Telekom hat auch eine CA in der Liste.

Das ist ein fundamentales Problem bei der ganzen TLS-Nummer, für die es auch keine wirklich tolle Lösung gibt. Bisherige Ansätze sind, dass ich in meinem DNS einen Eintrag haben kann, dass nur Let's Encrypt CAs ausstellen darf. Andere CAs sollten sich dann weigern, wenn der Geheimdienst kommt und ein Cert ausgestellt haben will. Das nimmt aber gutmeinende, nicht kompromittierte und nicht an gesetzliche Vorgaben gebundene CAs an.

Der nächste Ansatz ist, dass alle CAs sich zu Transparenz verpflichtet haben, und alle ausgegebenen Zertifikate automatisiert in eine gemeinsame öffentlich einsehbare Liste eintragen. Das nimmt leider auch eine gutmeinende, nicht kompromittierte CA an.

Warum erzähle ich das alles? Erstens um noch mal Honest Achmed's Used Cars and Certificates zu verlinken. :-)

Aber der dringendere Grund ist, dass die EU gerade an der eIDAS-Verordnung arbeitet, bei der es um digitale Identitäten für die EU geht. Das hehre (und gute!) Ziel ist, "Login via Google" kaputtzumachen. Ihr Plan ist, ein eigenes System zu bauen, ein staatliches System, und das hat dann natürlich eine eigene CA, und die kommt in alle Browser und jedes Mitgliedsland bietet eine Wallet-App an, die dann auf alle Smartphones kommt, und Behörden und Google und Facebook und co werden dann gezwungen, Logins via dieser Wallets zu ermöglichen. Schlimmer noch: dafür kriegt dann jeder Bürger endlich einen Barcode auf den Vorderarm tätowiert (Deutschland ist endlich wieder Technologieführer!!1!), äh, einen lebenslang gültigen eindeutigen Identifier zugewiesen, mit dem der Staat dann schön alle Bürger tracken kann.

Ich würde ja von der Benutzung von sowas immer grundsätzlich abraten, weil man damit Google staatlich validierte Daten gibt, die deren Datensätze massiv aufwerten.

Aber der Punkt, wieso ich das hier alles überhaupt ausrolle, ist ein anderer. Die CAs sollen dann in die Browser, und zwar per Verordnung, d.h. staatlich erzwungen. Im Moment kann man im Browser CAs als unvertrauenswürdig markieren. Das darf der Browser dann bei diesen staatlichen CAs nicht erlauben.

Mit anderen Worten: Hier kommt per EU-Verordnung eine TLS-Hintertür in alle eure Browser. Die erlaubt Polizeien und Geheimdiensten das Ausstellen von Zertifikaten für jede Webseite, bei der sie das gerne haben wollen, und damit können sie dann einen Man-in-the-Middle-Angriff gegen jeden fahren, und zwar nicht nur innerhalb der EU, und deren Verbindungen mitlesen oder auch manipulieren und sich als Server ausgeben. Die EFF warnt da seit Jahren vor. Aktuell gibt es einen offenen Brief von hunderten von Experten dagegen. Ist alles ganz traurig, insbesondere weil sich die EU damit hinter Ländern wie Kasachstan und Indien einreiht, die ihren Bürgern bereits Zwangs-CAs oder "digitale ID"-Systeme aufgedrängt haben.

Quelle: https://blog.fefe.de/?ts=9bb22f9a?css=paper.css

Hunderte Experten warnen vor staatlichen Root-Zertifikaten
https://www.heise.de/-9355165.html

... Schlagwort: "Hessendata"

Hessen-Koalition | Vorratsdatenspeicherung statt Gendersternchen

Zitat

golem.de
Hessen-Koalition: Vorratsdatenspeicherung statt Gendersternchen - Golem.de
Friedhelm Greis
5–6 Minuten

Mit dem Wechsel ihres Koalitionspartners will die CDU in Hessen deutlich mehr Überwachungsbefugnisse für die Sicherheitsbehörden umsetzen. Das geht aus den Eckpunkten hervor, die CDU und SPD in ihren Sondierungsgesprächen vereinbart haben. Ministerpräsident Boris Rhein (CDU) entschied nach der Landtagswahl vom 8. Oktober 2023, nach zehn Jahren nicht mehr mit den Grünen zusammen regieren zu wollen.

In dem sechsseitigen Papier (PDF) halten die beiden Parteien zum Thema Sicherheit fest: "Wir schaffen verbesserte Rahmenbedingungen für Videoüberwachung sowie ausreichend geschultes Personal (vereinfachte Zulassung, Erweiterung um Akustik, Mustererkennung, zielgerichtete Fahndung via Gesichtserkennung)."
Vorratsdatenspeicherung von IP-Adressen

Zudem planen die Verhandlungspartner: "Die Fahndungsmöglichkeiten werden wir ausweiten und in besonderen Fällen und auf richterlichen Beschluss den Zugang zu audiovisuellen Systemen ermöglichen sowie die Quellen-TKÜ für den Verfassungsschutz einführen. Hessendata werden wir ausweiten, indem wir den Straftatenkatalog erweitern, die Nutzung von IP-/Maut-/Verkehrsüberwachungsdaten ermöglichen und einen verbesserten Datenaustausch zwischen Sicherheitsbehörden und anderen Behörden sicherstellen."

Auf der Wunschliste von CDU und SPD steht darüber hinaus: "Den Einsatz von KI zur automatisierten Auswertung großer Datenmengen und zur Erkennung von Hate-Speech im Netz werden wir ermöglichen. Im Bundesrat werden wir einen Gesetzesentwurf zur IP-Adressspeicherung einbringen."
Ampelkoalition lehnt solche Pläne ab

Die Pläne sind teilweise diametral zu den Vorhaben der Ampelkoalition in Berlin, an der die hessische SPD-Vorsitzende Nancy Faeser als Bundesinnenministerin ebenfalls beteiligt ist. So lehnt die Ampel in ihrem Koalitionsvertrag von 2021 eine Vorratsdatenspeicherung von IP-Adressen ab. Stattdessen legte Justizminister Marco Buschmann (FDP) bereits vor einem Jahr einen Gesetzentwurf vor, der das Quick-Freeze-Verfahren etablieren will.

Eine "zielgerichtete Fahndung via Gesichtserkennung", wie von CDU und SPD gewünscht, will die Ampel auf EU-Ebene ausschließen. Derzeit verhandeln noch das Europaparlament und die Mitgliedstaaten darüber (g+), ob eine biometrische Fernüberwachung in der geplanten KI-Verordnung generell untersagt wird.
Audioüberwachung bislang unzulässig

Neu auf der Überwachungswunschliste erscheint das Thema Akustik, das heißt eine Audioüberwachung. Dafür wäre wohl eine Änderung des hessischen Datenschutzgesetzes erforderlich, das in Paragraf 4 bislang nur die Videoüberwachung zulässt. Nach Ansicht der bayerischen Datenschützer (PDF) ist das vergleichbare bayerische Datenschutzgesetz "keine taugliche Rechtsgrundlage" für eine Audioüberwachung. Denn das unbefugte Abhören und Aufnehmen des vertraulich gesprochenen Wortes sei nach Paragraf 201 des Strafgesetzbuchs (StGB) strafbar.

Die Nutzung von Maut- und Verkehrsüberwachungsdaten für Zwecke der Strafverfolgung ist ebenfalls umstritten. So erklärte das Bundesverfassungsgericht im Jahr 2019 die Vorschriften zum automatischen Abgleich von Kfz-Kennzeichen mit Fahndungsdaten in den Bundesländern Bayern, Hessen und Baden-Württemberg zum Teil für verfassungswidrig.
Verfassungsbeschwerden zu erwarten

Darüber hinaus erklärten die Karlsruher Richter im Februar 2023 den Einsatz der Datenanalyse-Software Hessendata für verfassungswidrig. Eingesetzt wird das vom US-Unternehmen Palantir entwickelte Programm bislang insbesondere zur Bekämpfung von Terrorismus, organisierter Kriminalität und Kinderpornografie. Das Urteil betraf ausschließlich die Datenanalyse zur vorbeugenden Bekämpfung von Straftaten.

Es ist daher nicht ausgeschlossen, dass die Überwachungswunschliste der potenziellen Hessenkoalition wieder die Verfassungsgerichte beschäftigen wird. Allerdings ist noch unklar, ob und wie diese Pläne tatsächlich umgesetzt werden. Das gilt auch für Nutzung der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) durch den Verfassungsschutz. Zwar hatte die Koalition von Union und SPD dies im Juni 2021 gesetzlich erlaubt, doch gibt es bereits etliche Klagen gegen das Gesetz.
Gendersternchen verboten

Abschließend halten CDU und SPD in ihrem Sondierungspapier fest: "Wir bekennen uns zum Leitbild des mündigen Bürgers. Das bedeutet für uns: Anreize statt Verbote, Beteiligung statt Bevormundung und Entlastungen statt Belastungen." Um gleich im nächsten Satz festzuhalten, "dass in staatlichen und öffentlich-rechtlichen Institutionen (wie Schulen, Universitäten, Rundfunk) auf das Gendern mit Sonderzeichen verzichtet wird".

Quelle (hinter Paywall): https://glm.io/179363

Die "rechts"staatlichen Vorhaben sind (wirken auf mich) derart pervers, dass mir im wahrsten Sinne des Wortes die Worte fehlen. Ich bin sprachlos.