Mitarbeiter sind nicht das Ziel von Verschlüsselungsgesetzen: Inneres

Australische Entwickler müssen sich wirklich entspannen. Polizisten und Agenten wird sehr deutlich gesagt, dass das Assistance and Access Act nicht dazu dient, Sie dazu zu bringen, Ihre Vorgesetzten zu täuschen.

Softwareentwickler haben das in Australien befürchtet umstrittene neue Verschlüsselungsgesetze könnten sie dazu zwingen, den Produkten und Dienstleistungen ihrer Arbeitgeber heimlich Malware und Hintertüren hinzuzufügen.

Kostenloses PDF

Australiens Verschlüsselungsgesetze: Ein Insider-Leitfaden

Australien hat jetzt die weltweit ersten Verschlüsselungsgesetze. Dieser Leitfaden erklärt, was die Gesetze tun können, was sie nicht können und wie Australien hierher gekommen ist.

Lies jetzt

Ein neu erhaltenes Briefing-Dokument des Innenministeriums (DHA) macht deutlich, dass dies nicht beabsichtigt ist.

Dies bestärkt die Expertenmeinung, dass es sich um Gesetze handelt „höchst unwahrscheinlich“, Mitarbeiter zu zwingen um ihre Vorgesetzten zu täuschen und gleichzeitig die Absicht des DHA-Mitarbeiters zum Ausdruck zu bringen, der die Gesetze entworfen hat.

Vor einer Abhöragentur, die Unterstützung von einem „designierten Kommunikationsanbieter“ sucht – das ist weit gefasst und etwas vage Die Definition dieses Begriffs hat sicherlich zu einigen Befürchtungen geführt – eine Schlüsselfrage war, ob sie sich dem „Relevanten“ nähern juristische Person".

„Wichtig ist, dass die Mitteilungen nicht dazu bestimmt sind, herausgegeben zu werden Personen innerhalb einer Organisation. Vielmehr werden Mitteilungen dem Anbieter als juristische Person zugestellt (obwohl es sich dabei auch um einen Einzelunternehmer handeln könnte)“, heißt es in dem Briefing-Dokument. [Hervorhebung im Original.]

„Es ist wichtig, direkt zur Kenntnis zu nehmen, dass diese neuen Maßnahmen kann nicht in einer Weise verwendet werden, die die Cybersicherheit unschuldiger Parteien gefährden würde um den staatlichen Zugang zu Kommunikationsinhalten und -daten zu erleichtern.“

Die neuen Gesetze sind umstritten Gesetz zur Änderung der Telekommunikations- und anderen Gesetzgebung (Unterstützung und Zugang) von 2018 [PDF], verabschiedet im Dezember 2018.

Das Gesetz definiert drei Arten von Mitteilungen, die eine sogenannte „Abhörstelle“ im Rahmen des Industry Assistance Process an sogenannte „designierte Kommunikationsanbieter“ richten kann:

Anfragen zur technischen Unterstützung (Technical Assistance Requests, TAR), bei denen es sich um „freiwillige“ Anfragen an die benannten Kommunikationsanbieter handelt, ihre vorhandenen Möglichkeiten für den Zugriff auf Benutzerkommunikation zu nutzen;
Technical Assistance Notices (TAN), bei denen es sich um obligatorische Hinweise zur Nutzung einer vorhandenen Funktion handelt; Und
Technical Capability Notices (TCN), bei denen es sich um obligatorische Mitteilungen für eine bestimmte Kommunikation handelt Der Anbieter muss eine neue Abhörfunktion aufbauen, damit er spätere technische Hilfe leisten kann Hinweise.

Übersichtliches Flussdiagramm des Industry Assistance Process

(Bild: Innenministerium)

Ein Großteil der Kontroversen wurde durch die Gesetze ausgelöst vage Definitionen, und nicht nur, dass „designierter Kommunikationsanbieter“ eine dreiseitige Liste aller Personen ist, von einem großen Telekommunikationsunternehmen bis hin zum Betreiber einer persönlichen Website.

Wie kann ein Kommunikationsanbieter eine Möglichkeit schaffen, auf bestimmte verschlüsselte Kommunikation zuzugreifen, ohne dies zu tun? Schaffung einer verbotenen „systemischen Schwachstelle“, die genutzt werden könnte, um mehr auf diese Kommunikation zuzugreifen weit?

Eine systemische Schwäche wird als eine Schwäche definiert, die „eine ganze Technologieklasse betrifft, aber nicht einschließt.“ Schwachstelle, die selektiv in eine oder mehrere Zieltechnologien eingeführt wird, die mit einer bestimmten Zieltechnologie verbunden sind Person". Aber das schafft nur ein neues Rätsel: Was gilt als „ganze Klasse“ von Technologie?

Die „aufgeführten Handlungen oder Dinge“, die verlangt werden können, sind ebenfalls weit gefasst. Dazu gehört das Entfernen von Verschlüsselungs- oder Authentifizierungskontrollen; Bereitstellung technischer Informationen; Installieren, Warten, Testen oder Verwenden von Software oder Geräten; unter anderem sogar „die Änderung oder Erleichterung der Änderung von Merkmalen eines vom benannten Kommunikationsanbieter bereitgestellten Dienstes“.

Versuch, die unklaren Definitionen zu klären

Der undatierte Bericht Das Assistance and Access Act: Ein vorläufiger Leitfaden für Sicherheit, Geheimdienste und Strafverfolgung, erhalten von Der Wächter Gemäß den Gesetzen zur Informationsfreiheit soll all dies den Polizisten und Geheimdienstagenten klargestellt werden, die es nutzen werden.

Im Leitfaden heißt es, dass es sich bei Personen, die bei McDonald's, Westfield in Australien und anderen kostenlosen WLAN-Anbietern auf das Internet zugreifen, möglicherweise um ein Problem handelt zur Überwachung ins Visier genommen zum Beispiel durch die Polizei.

Es werden auch Beispiele aufgeführt, die die Reichweite eines „designierten Kommunikationsanbieters“ veranschaulichen: Einrichtungen wie Amazon Web Services (AWS) oder ein Content Distribution Network (CDN); Systemintegratoren wie DimensionData; Gerätehersteller; oder sogar jeder australische Einzelhändler, der eine mobile Shopping-App anbietet.

Der Leitfaden nimmt sich aber auch viel Zeit, um die Einschränkungen zu erklären.

Lesen Sie auch: Änderungen der australischen Verschlüsselungsgesetze scheitern vor der Wahl

Es muss beispielsweise bereits eine richterliche Anordnung zum Zugriff auf die betreffende Kommunikation vorliegen und der Entscheidungsträger, der die Maßnahme genehmigt, muss eine Reihe von Faktoren berücksichtigen.

die Interessen der nationalen Sicherheit;
das Interesse der Strafverfolgung;
die berechtigten Interessen des jeweiligen Anbieters;
die Ziele der Anfrage oder Mitteilung;
die Verfügbarkeit anderer Mittel zur Erreichung dieser Ziele;
ob die Anforderungen die am wenigsten einschneidende Form der Industrieunterstützung darstellen, soweit sie unschuldige Dritte beeinträchtigen könnten;
ob die Anforderungen notwendig sind;
die berechtigten Erwartungen der australischen Gemeinschaft in Bezug auf Datenschutz und Cybersicherheit; Und
solche anderen Angelegenheiten, die der Entscheidungsträger für relevant hält.

Besorgniserregend ist, dass der Entscheidungsträger im Allgemeinen der Leiter der Behörde ist, die die Maßnahme ergreift. Der Autor ist der Ansicht, dass es eine unabhängige gerichtliche Aufsicht geben sollte, bevor Maßnahmen ergriffen werden.

Allerdings müssen die Behörden ihre Maßnahmen gegenüber dem unabhängigen Generalinspekteur für Nachrichtendienste und Sicherheit (IGIS) rechtfertigen. ZDNet versteht, dass dies manchmal eine entmutigende Aussicht sein kann.

Im Leitfaden heißt es, es handele sich um einen „Zwischenschritt zur Entwicklung umfassenderer Leitlinien“.

„Das Ministerium wird in Kürze mit Konsultationen mit Interessenvertretern aus Regierung und Industrie zur Entwicklung umfassender Maßnahmen beginnen Leitlinien zur Nutzung der Industrieunterstützungsmaßnahmen, einschließlich Standardformularen und Verträgen, die der Industrie zugrunde liegen Hilfe."

In der Zwischenzeit versprach Labour, dass sie dies tun würden, wenn sie die jüngsten Bundestagswahlen gewonnen hätten Überprüfen Sie die Verschlüsselungsgesetze. Die Partei hatte konkrete Bedenken geäußert, dass dies der australischen IT-Branche schaden würde.

Die Koalitionsregierung von Scott Morrison wurde jedoch zurückgegeben. Während es eine gibt laufende Untersuchung Nach Angaben des Parlamentarischen Gemeinsamen Ausschusses für Geheimdienste und Sicherheit (PJCIS) ist noch nicht klar, ob die Regierung einer Debatte im Parlament Priorität einräumen wird.