[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Brüsseler Konferenz, zweiter Teilbericht

To: debate@fitug.de
Subject: Brüsseler Konferenz, zweiter Teilbericht
From: Rigo Wenning <wenning2@rz.uni-sb.de>
Date: Mon, 22 Sep 1997 09:35:26 +0200
Comment: This message comes from the debate mailing list.
Sender: owner-debate@fitug.de
Nun der zweite Teil des Berichts. Für die Zitierung auch bitte das 
zum ersten Teilbericht gesagte beachten....

Rigo

     Users Panel
Dieses Podium diente vor allen Dingen der Erörterung
aktueller politischer Fragen.

          Marc Rotenberg, Electronic Privacy Information Center, USA 
Marc Rotenberg berichtete von der neuesten Initiative der 
Civil-Liberties Verbände. Nach dem historischen Sieg der
Freiheit vor dem U.S. Supreme Court im Verfahren um den CDA
wollte man nun einen weiteren Privatsphäreschutz erreichen
und erreichte über befreundete Abgeordnete, dass ein
Gesetzentwurf zur Lockerung der sehr strengen Krypto-
Exportbestimmungen eingebracht wurde. Wie Rotenberg dann
bemerkte, sei es allerdings nicht mehr vorhersehbar, was
daraus im parlamentarischen Spiel werde. So habe das FBI im 
Zuge der Debatte um diesen Gesetzentwurf den Spieß
herumgedreht und noch mehr Restriktionen gefordert. Es gehe
nun nicht mehr nur darum, ob die Exportkontrolle gelockert
werde oder nicht, sondern um eine stärkere Kontrolle sogar
innerhalb der USA. Gegenüber den Forderungen des FBI sei die
jetzige Regelung als freiheitlich einzustufen. Es gehe daher
nun in erster Linie darum, diese Restriktionen im weiteren
Verfahren abzuwehren. Der Ausgang der Auseinandersetzung sei
offen. Es gebe allerdings ein grosses Einvernehmen zwischen den 
Civil-Liberties Vereinigungen und der Wirtschaft und deren 
Organisationen. Natürlich sei der Standpunkt der Europäer auch für
die Diskussion in den USA sehr wichtig. Deshalb würden im
Rahmen von GILC auch die europäischen Aktivitäten sorgsam
beobachtet.
Um den Umgang des FBI mit der Öffentlichkeit und das Ausmass der 
Überwachungsmöglichkeiten zu dokumentieren erzählte Rotenberg 
eine Geschichte aus seiner Zeit als Richter vor Jahren. Sie seien vom
FBI eingeladen worden, sich die technischen Möglichkeiten
anzusehen, die zur Überwachung der Telekommunikation zur
Verfügung stünden, als Beweis dafür, dass das FBI
diesbezüglich überschätzt würde. Er sei in einen Raum mit
einem dieser alten schwachen aber schweren Computer geführt
worden (er nannte den Typ, den ich aber vergessen habe) Sie
hätten gleichartige anderswo ausgemusterte Rechner damals
noch zu Schulungszwecken irgendwo verwendet. Nach dem er
sich die Erklärungen des FBI-Mannes angehört hatte und man
hinaus ging, sah Rotenberg, wie die Maschine aus dem Zimmer
gerollt wurde. Gleichzeitig bemerkte er an der Wand ein
System, das zur automatischen Postverteilung diente. Ein Körbchen 
klapperte entlang einer Bahn die Büros ab und schob die richtige
Mitteilung in den richtigen Zimmerbriefkasten. Zu
dieser Zeit war das noch etwas sehr aussergewöhnliches. Er
habe seinen Führer vom FBI angelächelt und dieser habe
verlegen zurückgelächelt.......

-----------------
          Prof. Alex Verrijn-Stuart, Chair, Legal & Security Issues Network, 
          Council of European Professional Informatics Societies 
          (CEPIS) & Leiden University, NL 
Der Bericht ist unter http://www.wi.leidenuniv.nl/~verrynst/cipisli.html
nachzulesen. Die CEPIS hat annähernd 200.000 Mitglieder aus
dem professionellen Bereich. Sie hat unter anderem eine
Entschliessung zur Kryptographie verfasst. Diese spricht
sich für starke Verschlüsselung aus.
-----------------
          Tony Bunyan, Statewatch, UK
Bunyan war in seinem ganzen Vortrag auf die Erhaltung
demokratischer Strukturen bedacht. Ohne es wörtlich
auszusprechen forderte er ein Recht auf öffentliche
Information. Restriktionen der Privatsphäre seien in Europa
ohne den erforderlichen demokratischen Prozess und die damit
verbundene Diskussion beschlossen worden. Insbesondere im
Bereich des Abhörens der Mobiltelephone wäre der
Informationsfluss stark gehemmt gewesen. Erst durch
hartnäckiges Nachfragen habe man erfahren, dass in diesem
Bereich eine europäische Harmonisierung der Politik
stattgefunden habe. Er fragte sich dann nach versteckten
Verbindungen vom FBI zur EU. Es sei auffällig, dass die in
den europäischen Verordnungen zum Abhören der Mobiltelephone
genau diesselben Anforderungen enthielten, wie sie auch vom
FBI gefordert wurden.
-----------------          
          Phil Zimmerman, PGP inc.
Zimmerman sprach natürlich vom neuen PGP und seinen
Erfahrungen mit Verschlüsselung, von Rückmeldungen, die er
aus aller Welt erhalten hatte. Er unterstrich mit diesen
Beispielen die Notwendigkeit der Möglichkeit zu starker 
Verschlüsselung gerade in Ländern ohne demokratische
Strukturen und Kultur. Verschlüsselung würde Menschenleben
retten. So wurde in Bosnien jemand 3 Tage im Gefängnis
gehalten, um an das Passwort für PGP zu kommen. Auf seinem
Computer lagen die Daten von Dissidenten, die im Falle der
Entschlüsselung um ihr Leben hätten fürchten müssen.
Anschliessend ging Zimmerman auf die schrittweise Erosion
der Privatsphäre ein. Privatsphäre werde nicht in einem
grossen Schlag vernichtet, sondern mit vielen kleinen
Mosaiksteinchen weiterer Überwachung ausgehölt. Er entwarf
nun ein wahrhaft Orwell'sches Bild. Die Spracherkennung sei
inzwischen soweit fortgeschritten, dass eine Überwachung im
grossen Stil möglich werde. Wenn das FBI eine Abhörkapazität
von einem Prozent der gesamten Sprachkommunikation fordere,
sei dies nur mit Hilfe von Spracherkennung und Computern zu
bewältigen. Nur mit starker Spracherkennung mache die
Forderung des FBI Sinn. Abhören werde mithin immer
einfacher. Anschliessend berichtet er von einem neuen System
namens Microimage. Dieses computergestützte System werde vor
allem an Flughäfen eingesetzt. Es erlaube einer Person durch
das Gewebe der Kleider zu schauen. Eine Kamera nehme auf und
man könne auf einem Bildschirm die nackte Person bewundern.
So sei alles erkennbar, was am Körper mitgeführt werde.
Dieses System sei wesentlich genauer als die bisher
benutzten Geräte auf Röntgenbasis.
Mehr Technik werde den Menschen also immer einen Verlust an
Privatsphäre bringen. Da es nach Zimmerman zur Zeit vor
allem um die Verhinderung staatlicher Durchdringung der
Privatsphäre gehe, sehe er PGP als gegen den Staat
gerichtet. Wie sonst hätte man ihm eine derartige
Aufmerksamkeit zu Teil werden lassen. Dass PGP überhaupt
erschienen sei und verbreitet werden konnte ist nach seiner
Meinung eine Fehleinschätzung von offizieller Seite aufgrund 
des harmlosen Namens. Als man das Ausmass der Möglichkeiten
und die gesellschaftliche Bedeutung erkannt habe, sei es zu
spät gewesen.
Er könne jedoch nun nicht mehr an erster Front stehen, da er
eine Firma hätte, von der eine ganze Reihe Leute abhängig
seien. Diese sei ein zu leichtes Opfer gegenüber Angriffen
aus dem staatlichen Bereich. 
Ich fand, dass er ein wenig übertrieben hat. Sein Vortrag hinterliess
ein beklemmendes Geführ von Orwell. 
-----------------------
     Lunch

     Views of International Organizations

          Hiroko Kamata, Organization for Economic Cooperation and
Development 
Frau Kamata stellte noch einmal die OECD-Guidelines zur
Kryptographie vor. Aus dem Vortrag ergab sich nichts neues
gegenüber in den Guidelines ausgeführten Erwägungen.
Zusammenfassend ergeben sich die folgenden Punkte:
Die Bedeutung der Kryptographie für die Wirtschaft wird
anerkannt. Kryptographie ist ein effektives Mittel, die
notwendige Datensicherheit herzustellen, indem Vertraulichkeit, 
Integrität und Verfügbarkeit von Informationen gewährleistet
werden und Authentifizierungsmechanismen zur Verfügung
gestellt werden.
Die Guidelines sehen im Gegensatz zu den Vorarbeiten kein
Kapitel zu "lawful access" mehr vor. Dies bedeutet eine sehr
kritische Sicht gegenüber Key-Escrow Systemen. Man braucht
hier keine weitere Beschreibung, da sich alle Aussagen auch
auf dem Server der OECD finden (http://www.oecd.org/)
--------------

          Christine Sottong-Micas, DG XV, European Commission 

***************
Artikel 17 (Entwurf, aus meiner Datenbank)

1. Die Mitgliedstaaten sehen in ihren Rechtsvorschriften vor, 
daß der Verantwortliche der Verarbeitung die geeigneten 
technischen und organisatorischen Maßnahmen zu treffen hat, 
die für den Schutz gegen die zufällige oder unrechtmäßige 
Zerstörung, den zufälligen Verlust sowie die Umgestaltung, 
die Weitergabe und jede andere Form der nicht genehmigten 
Verarbeitung personenbezogener Daten erforderlich sind.

Diese Maßnahmen müssen für die automatisierte Verarbeitung 
der Daten unter Berücksichtigung des Standes der Technik 
sowie der Art der zu schützenden Daten und der Beurteilung 
potentieller Risiken ein angemessenes Sicherheitsniveau 
gewährleisten. Dazu hat der Verantwortliche der Verarbeitung 
die Empfehlungen für die Sicherheit und der Datenverarbeitung 
und die Verknüpfbarkeit von Netzen zu berücksichtigen, die die 
Kommission nach den in Artikel 35 Absatz 2 vorgesehenen 
Modalitäten ausgearbeitet hat.

2. Für die Übertragung personenbezogener Daten über Netze sind 
Verfahren zu wählen, die eine angemessene Sicherheit gewährleisten.

3. Besteht die Möglichkeit des Fernzugriffs, so hat der 
Verantwortliche der Verarbeitung die technischen Anlagen und 
Programme so zu gestalten, daß der Zugriff im Rahmen der 
Zulässigkeit der Verarbeitung erfolgt.

4. Die in den Absätzen 1 bis 3 genannten Pflichten obliegen 
auch den Personen, die bei der Verwirklichung der Verarbeitung 
Verantwortung tragen, insbesondere der mit der Verarbeitung 
beauftragten Person.

5. Jede Person, die im Rahmen ihrer beruflichen Tätigkeit 
Zugang zu personenbezogenen Daten hat, darf diese Dritten nicht 
ohne das Einverständnis des Verantwortlichen der Verarbeitung 
weitergeben, außer wenn Verpflichtungen aufgrund einzelstaatlicher 
oder gemeinschaftlicher Rechtsvorschriften bestehen.
*****************

Die DG XV ist u.a. für Privatsphäre und Datenschutz
zuständig. Frau Sottong-Micas stellte demgemäß die
Datenschutzrichtlinie der EU in den Mittelpunkt ihrer
Betrachtungen. Sie stellte eine sehr bemerkenswerte
Verbindung zwischen Kryptographie und der
Datenschutzrichtlinie her. Art. 17 der Datenschutzrichtlinie
sehe vor, dass der Verantwortliche der Datenverarbeitung
diese so zu gestalten hätte, dass die Sicherheit der
personenbezogenen Daten gewährleistet wird. Ziel des Datenschutz 
ist nach ihrer Lesart vor allen Dingen die Datensicherheit,
wie sie in Art. 17 der Richtlinie normiert ist. Für die
Kommunikation in offenen Netzwerken wie dem Internet
verlangt die Richtlinie eine angemessene Sicherheit. Diese
Sicherheit werde im wesentlichen durch kryptographische
Verfahren hergestellt. 

Sie führte weiter aus, dass man immer einen Sinn brauche, um
personenbezogene Daten zu verarbeiten. Ein Zugang zu
personenbezogenen Daten könne nur nach Abwägung und mit
einem Grund erfolgen. Dabei sei die Effektivität der
Massnahme zu überprüfen. Sie müsse mildestes Mittel sein.
Gerade Key-Escrow Systeme würden erheblich in den
Datenschutz eingreifen, ohne dass hierfür immer ein
ausreichender Grund zur Verfügung stehe. Es stehe darüber
hinaus noch nicht fest, ob solche Systeme das mildeste
Mittel seien. Sie bezweifele daher die Konformität von Key-
Escrow Systemen mit der Datenbankrichtlinie der EU.

In Zukunft müssten jedenfalls Techniker und Juristen
zusammenkommen, um über Sicherungen gegenüber einer
generellen Überwachung nachzudenken. 

Aus Sicht der DG XV ist die freie Wahl starker
Verschlüsselung auch als Konsequenz der OECD Guidelines zum
Datenschutz aus dem Jahre 1981 zu erlauben. Diese sehen
einen sehr starken Privatsphäreschutz vor, der sich
nur schwer mit Key-Escrow Systemen vereinbaren lässt.

So hat auch die ITU in jüngster Zeit für eine freie
Verfügbarkeit starker Verschlüsselung plädiert.

In Beantwortung einer anschliessenden Frage hielt sie es
durchaus für möglich, dass die Kommission Mitgliedsstaaten,
die Key-Escrow Systeme einführen zur die Einhaltung der
Datenschutzrichtlinie anhalten will. Schliesslich könne dies
durch den EUGH durchgesetzt werden, wenn eine entsprechende
Klage anhängig gemacht würde. Ein entsprechendes Verfahren
werde dann zeigen, inwiefern und ob Datenschutz überhaupt 
ohne starke Verschlüsselung auskommen könne.
----------------

          Detlef Eckert, DG XIII, European Commission 
Eckert stellte zuerst einmal klar, dass wir erst am Anfang
der Diskussion sind. Bisher seien es nur die Spezialisten,
die Kryptographie, elecronic commerce etc. diskutiert
hätten. Die Auseinandersetzung in der breiten Öffentlichkeit 
stehe noch bevor. 
Auch der "electronic commerce"(die digitale Wirtschaft?:)
stecke noch in den Anfängen. Damit es endlich losgehe
brauche man schnelle Diskussion, die den Prozess nicht
hemmen. 
Das Potential, das in dieser Entwicklung stecke, lasse sich
am Erfolg der Internet-Firmen ermessen. Wäre für eine High-
Tech-Firma eine Wachstumsratio von 7-14 bereits sehr gut,
liege die Börsenentwicklung der Internet-Firmen bei einer
Ratio von 40. Das bedeute, dass wir die Geschwindigkeit der
Entwicklung noch unterschätzten. 
Um die Entwicklung der neuen Medien und der digitalen
Wirtschaft in Europa weiter zu fördern bedürfe es eines
europäischen Rahmens. Zum Rahmen der inneren Sicherheit, die
wohl Hauptgrund für Key-Escrow ist, könne er nichts sagen,
weil die EU auch nach Amsterdam keine Kompetenz auf diesem
Gebiet erhalten habe. Dennoch war die Bonner Konferenz
wichtig, denn es gab die Ermunterung von der ministeriellen 
Ebene, auf dem bisher eingeschlagenen Weg fortzufahren.
Eckert fuhr fort, dass der "electronic commerce" einen globalen 
Zusammenhang habe. Er sage denjenigen, die sich über die
amerikanische Vorherrschaft im "electronic commerce"
beklagten, dass wir in Europa eine eigene starke Industrie
in diesem Bereich schaffen müssten. Dies schliesse auch die 
starke Verschlüsselung ein: "Wir brauchen starke
Verschlüsselung". 

Zur Rede von Commissoner Bangemann in Genf befragt, erklärte
er, dass man zur Zeit auch darüber nachdenke, die Signatur
von der inhaltlichen Verschlüsselung zu trennen. Beides
könne als unabhängig voneinander betrachtet werden, weil es
verschiedene Anforderungen an Signatur und Datensicherheit
gebe. Ausserdem gebe es sehr viele verschiedene
Möglichkeiten das für die Wirtschaft notwendige Vertrauen in
die Signatur herzustellen. Man müsse nun zuerst einmal
normieren, was eine elektronische Signatur ist. Zur
Bestimmung der weiteren Politik habe die DG XIII eine
Kommunikation zur internen Abstimmung innerhalb der
Kommission herausgegeben, deren Ergebnisse noch abgewartet
werden müssten.
Geklärt werden muss auch der juristische Rahmen der
Kryptographie auf Basis internationaler Vereinbarungen. Es
muss in jedem Fall eine diesbezügliche Forschung gefördert
werden. Er hoffe, dass die Geschwindigkeit der derzeitigen
Entwicklung gehalten werden könne. Dies setze viel Freiheit,
also leichte und vor allem klare Regelungen voraus. 
-----------------
     
     Views of National Governments

          Dr. Ulrich Sandl, Ministry of Economic Affairs, Germany 
Sandl unterstrich in seinem Vortrag noch einmal die Position
der Bundesregierung, die schon in der Debatte um das IuKDG
deutlich geworden war. Man wisse noch zu wenig über die
Probleme und Auswirkungen von Kryptographie, um eine
definitive Regulierung zu schaffen. Deutschland habe jedoch
im Bereich der digitalen Signatur mit dem IuKDG eine
Vorreiterrolle übernommen. Im Wirtschaftsministerium sei man
dem GAK (key-escrow) sehr skeptisch gegenüber. Bevor man die
Notwendigkeit eines solchen Systems proklamiere sollte man
sich erst Gedanken über mögliche Alternativen klar machen.
Dabei (auf meine Frage) ist das Abhören der von Computern
ausgehenden Strahlung nur eine Möglichkeit. Bevor diese
Alternativen nicht evaluiert seien, könnten keine Aussagen
getroffen werden. Eine vorschnelle Entscheidung für Key-
Escrow sei in der derzeitigen Regierung unwahrscheinlich. 
-------------------
          Per Helge Sorensen, Ministry of Research and Information Theory,
Denmark 
Ein Bericht zum dänischen Key-Escrow System und den Versuchen dazu. 
Die dänische Regierung versucht über die Erstellung von Trust-Centern 
die Bürger freiwillig zum Gebrauch des Trusted-Third-Party Systems zu
bewegen, wobei auch hier der private Schlüssel hinterlegt werden soll.
Genaueres findet man unter http://www.dsk.dk/
-------------------
          Wayne Madsen, Global Internet Liberty Campaign
Wayne Madson hatte eine Umfrage bei Botschaften
verschiedener Länder gestartet. Darin erfragte er die
Regierungspolitik zu Kryptographie und Key-Escrow. Er trug
einige Länderberichte vor, die sich aber besser auf 
http://www.fitug.de/ulf/ finden. Als Erfahrung aus den
verschiedenen Rückmeldungen konnte er berichten, dass die
meisten Länder andere Probleme hätten, die direkter mit dem
Überleben zu tun hätten. Vielfach hätte man sich noch keine
Gedanken dazu gemacht.
-------------------
Nach einigen abschliessenden Bemerkungen von Deborah Hurley
wurde die Konferenz um 17h30 geschlossen.


Assessor Rigo Wenning 
Mitarbeiter am Insitut fuer Rechtsinformatik von Prof. Dr. Maximilian
Herberger
wenning2@rz.uni-sb.de			http://www.uni-sb.de/~wenning/
http://www.jura.uni-sb.de/france/
Follow-Ups:
- Spracherkennung bei Telefonscanning (was: Re: Brüsseler Konferenz, zweiter Teilbericht)
  - From: ralf@ark.franken.de (Ralf W. Stephan)
Prev by Date: Fwd: Europe to resist U.S. cryptography policy
Next by Date: Re: [DEBATE] French daily prints Diana crash picture on the Net (9/19/1997)
Prev by thread: Re: Fwd: Europe to resist U.S. cryptography policy
Next by thread: Spracherkennung bei Telefonscanning (was: Re: Brüsseler Konferenz, zweiter Teilbericht)
Index(es):
- Date
- Thread