Beobachten, warten und beten: Die möglichen Auswirkungen von Aktualisierungen des Ermittlungsbefugnisgesetzes

Wenn es um die Technologieregulierung geht, scheint die britische Regierung von einer Kontroverse zur nächsten zu schwanken. Nach einem Streit mit Big Tech um die Ende-zu-Ende-Verschlüsselung (E2EE) in ihrem äußerst umstrittenen Online-Sicherheitsgesetz richtet die Regierung ihre Aufmerksamkeit nun auf vorgeschlagene Aktualisierungen des Investigatory Powers Act (IPA).

Wenn die Vorschläge in ihrer jetzigen Form in Kraft treten, könnten sie das Vereinigte Königreich in einen Wilden Westen für Cyber-Bedrohungen und -Ausbeutung verwandeln und unzählige Technologieanbieter dazu zwingen, ihre Dienste vom Markt zu nehmen, sodass die Benutzer mit unsicheren und ineffektiven Kommunikationstools sitzen bleiben.

Was ist neu im IPA?

Die IPA war weithin als „Charta des Schnüfflers“ bekannt. Aus einem sehr guten Grund. Zu den umstrittensten Bestimmungen gehört, dass die Regierung von Technologiekommunikationsanbietern verlangen kann, ihre Dienste zu ändern, um staatliches Schnüffeln in einer Weise zu ermöglichen, die die Sicherheit für alle gefährden könnte. Eine Mitteilung zur technischen Leistungsfähigkeit (Technical Capability Notice, TCN) ist hierfür das wichtigste Mittel. Theoretisch könnte die „Entfernung elektronischer Schutzmaßnahmen durch einen relevanten Betreiber“ erforderlich sein, sofern die Regierung nachweisen kann, dass dies im Verhältnis zu ihrem Endziel steht. Da solche Anfragen geheim sind, können wir uns nur vorstellen, dass bisher keines davon erfolgreich war, da die beteiligten Technologieunternehmen höchstwahrscheinlich mit der Drohung reagiert hätten, sich aus dem Markt zurückzuziehen.

Im Rahmen von sind mehrere Ziele aufgeführt die vorgeschlagenen IPA-Updates. Aber zwei könnten für britische Unternehmen besonders problematisch sein:

Ziel 3

erweitert den bestehenden extraterritorialen Geltungsbereich des IPA und zwingt globale Technologieunternehmen dazu, sich in jedem Land, in dem sie tätig sind, an die Regeln der Regierung zu halten. Als Grund wird angegeben, dass mögliche „Unsicherheiten“ für die Regierung bei der Vergabe von TCNs an Unternehmen mit „komplexen Unternehmensstrukturen“ beseitigt werden sollen. Das Ziel sieht neben diesem Ziel auch vor, „die verfügbaren Durchsetzungsmöglichkeiten bei Nichteinhaltung der Melderegelungen zu stärken“.

Ziel 4

fügt eine Verpflichtung für „Betreiber“ hinzu, „den Außenminister über relevante Änderungen, einschließlich technischer Änderungen, zu informieren“ und dies „eine angemessene Zeit vor der Umsetzung relevanter Änderungen“ zu tun. Solche Änderungen werden nicht spezifiziert, könnten aber als jede neue Sicherheitsfunktion verstanden werden, die von einem Technologieanbieter eingeführt wird, oder sogar als Sicherheitsupdate, das Schwachstellen behebt. Theoretisch könnte der Außenminister solche Änderungen blockieren, die sich auf alle Endbenutzer von Messaging-Diensten und Kommunikationsgeräten auswirken würden.

Wozu ein neues IPA führen könnte

Befürworter des Datenschutzes und der Sicherheit sind verständlicherweise schockiert über die Vorschläge. Und Apple hat es bereits getan sagte es wird Entfernen Sie Dienste wie iMessage und FaceTime aus Großbritannien, wenn sie implementiert sind. Es gibt mehrere offensichtliche Gründe, warum nicht nur Technologieunternehmen, sondern auch Unternehmen und Verbraucher ein neues IPA ablehnen würden:

Ziel 3 würde:

• Untergräbt möglicherweise die Sicherheit von Journalisten, Dissidenten und anderen in verschiedenen Teilen der Welt, die auf sichere Kommunikation angewiesen sind, um der Aufmerksamkeit autokratischer Regierungen zu entgehen.
• Bringen Sie Technologiefirmen in eine unmögliche Lage: Sie werden gezwungen, neue Anforderungen der britischen Regierung einzuhalten, die tatsächlich gegen internationale Menschenrechtsgesetze verstoßen und den in Gesetzen wie der EU festgelegten Regeln widersprechen können DSGVO, bei dem „Security by Design“ im Mittelpunkt steht.

„Die vorgeschlagene Verpflichtung, HMG zu informieren, bevor technische Änderungen vorgenommen werden, hat mehrere große und kleine Technologieanbieter verärgert. Ich weiß wirklich nicht, warum die Regierung das vorschlägt, denn sie muss wissen, welche Reaktion es hervorrufen würde“, sagt Professor Alan Woodward von der Surrey University gegenüber ISMS.online.

„Die Quintessenz ist, dass sich die betroffenen Technologieunternehmen weigern werden, dem nachzukommen, wenn die Regierung versucht, dies zu erzwingen. Und wenn das einen Rückzug aus dem Vereinigten Königreich erfordert, werden sie genau das tun. Es erscheint außerordentlich naiv, dass die Regierung annimmt, unsere Gesetze würden die Gesetze anderer Gerichtsbarkeiten außer Kraft setzen – insbesondere die der Gerichtsbarkeit, in der der Anbieter seinen Sitz hat.“

Ziel 4 könnte zu Folgendem führen:

• Die britische Regierung blockiert oder verzögert absichtlich Sicherheitsupdates, damit ihre Spione zugrunde liegende Schwachstellen zu Überwachungszwecken ausnutzen können.
• Die Veröffentlichung von Patches dauert länger oder wird auf unbestimmte Zeit zurückgehalten, sodass Bedrohungsakteure genügend Zeit haben, nach Exploits zu suchen.
• Bedrohungsakteure zielen auf Regierungssysteme ab, um Informationen über ausstehende Patches von Anbietern zu erhalten

„Sicherheitsupdates zu verzögern ist immer schlecht, denn selbst wenn Sie keine Beweise dafür haben, dass eine Schwachstelle ausgenutzt wird, bedeutet die Tatsache, dass der Anbieter sie entdeckt hat, dass jemand anderes dies getan haben könnte.“ Und jede Minute, die Sie verzögern, bedeutet für sie zusätzliche Zeit, diese auszunutzen“, fährt Woodward fort.

„Es ist schwer, nicht zu dem Schluss zu kommen, dass die Regierung über solche Änderungen im Voraus Bescheid wissen möchte, für den Fall, dass sie eine Schwachstelle betreffen, die sie bereits zur Überwachung ausnutzt.“

Wie wahrscheinlich ist es?

Die öffentliche Konsultationsphase zu den von der Regierung als „überarbeiteten Bekanntmachungsregelungen“ im IPA 2016 bezeichneten Regelungen ist nun abgeschlossen. Daher ist noch nichts entschieden, und es gibt mehrere Gründe, warum die umstrittensten Vorschläge möglicherweise nicht in die endgültigen Überarbeitungen gelangen.

As Privacy International argumentiert, Ziele 3 und 4 könnten gemeinsam dazu führen, dass das Vereinigte Königreich gegen internationale Menschenrechtsnormen verstößt – insbesondere gegen das Recht auf Achtung des Privatlebens, das in Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) verankert ist. Denn wenn die Regierung einen Kommunikationsdienstanbieter daran hindert, Sicherheitsupdates oder erweiterte Schutzmaßnahmen wie E2EE anzuwenden, würde sie dieses Recht nicht nur dem Vereinigten Königreich, sondern auch den Bürgern weltweit verweigern. Es ist schwierig, sich einen Fall vorzustellen, in dem die Erteilung dieser Befugnisse „notwendig und verhältnismäßig“ wäre, wie es die EMRK verlangt.

„In der sich entwickelnden Landschaft digitaler Rechte und Sicherheit unterstreichen diese vorgeschlagenen Änderungen die zwingende Notwendigkeit für Regierungen, ein angemessenes Gleichgewicht zwischen nationaler Sicherheit und individuellen Rechten zu finden“, argumentiert Privacy International. „Bei der Überarbeitung der inländischen Überwachungsgesetze sollte sich das Vereinigte Königreich erneut seinen völkerrechtlichen Verpflichtungen zum Schutz der Rechte des Einzelnen im In- und Ausland verpflichten.“

Der zweite Grund ist eher rein kommerzieller Natur. Wenn es nach der Regierung ginge und diese Vorschläge umgesetzt würden, würde die digitale Welt deutlich unsicherer werden. Aber die Technologieanbieter lassen das einfach nicht zu.

„Letztendlich werden die Marktkräfte bestimmen, wie diese Unternehmen reagieren: Sie werden nichts für einen relativ kleinen Markt wie das Vereinigte Königreich tun, wenn dadurch Kunden in anderen großen Märkten verdrängt werden könnten“, schließt Woodward.

Ein Worst-Case-Szenario für britische Unternehmen besteht darin, dass die Vorschläge in gewisser Weise nur im Vereinigten Königreich umgesetzt werden, was dazu führt, dass Technologieunternehmen einige ihrer sichersten Dienste aus dem Land zurückziehen. Das würde sich wahrscheinlich ändern ein langjähriges Versprechen der Regierung auf den Kopf stellen und Großbritannien zum unsichersten Ort der Welt für Online-Geschäfte machen.