Da hat der Verein D64 ein No-Spy-Gütesiegel gefordert und @netnrd Daniel Schwerdt hält das für ne naive Idee. Aber so naiv das ist – die Idee ist gut.
Disclaimer: Ich bin selber Mitglied bei D64 – Zentrum für Digitalen Fortschritt. Die Forderung nach dem No-Spy-Siegel wuchs zwar nicht auf meinem Mist, aber in der Presseerklärung sind auch ein paar Kommata von mir drin und ich stehe zu der Idee.
Natürlich hat Daniel recht: Die Gag-Orders der Geheimgerichte und die National Security Letters der Geheimdienste binden Unternehmen mit Sitz in den USA. Wenn sie dazu aufgefordert werden, dann müssten sie Hardware auch dann mit No-Spy-Siegel versehen, wenn sie mit Abhör Hard- und Software durchsetzt sind.
Aber: Es ist ja gar nicht so, dass die Hersteller das Siegel anbringen sollen. Vielmehr soll eine Kontrollinstanz hier in Europa die Geräte prüfen. Wie das genau geht und ob eine Art Typenabnahme mit Stichproben der ausgelieferten Waren ausreicht, das muss noch evaluiert werden.
Durch die Kontrolle in Europa, außerhalb des legalen Zugriffsbereichs der US-Geheimdienste, wird das Verwanzen von Routern erschwert. Das Risiko, bei Stichproben entdeckt zu werden, steigt.
Gleichzeitig müssen die Hersteller sich verpflichten, eben keine Spionagedinge auszuliefern. Wenn ihre Hardware verwanzt ist, stehen Vertragsstrafen ins Haus. Das hat mehrere Effekte:
- Der Markt hier in der EU ist so groß, dass Cisco & Co es sich nicht leisten können, hier nicht präsent zu sein.
- US-Amerikanische Unternehmen werden sich überlegen, die Fertigung in die EU zu verlegen, um Geräte zu produzieren, die dem Zugriff der US-Geheimdienste entzogen sind
- Firmen mit Sitz in der EU haben einen Heimvorteil
- Firmen, die ihre Betriebssysteme und Firmware als Open Source ausführen, haben weitere Vorteile, weil Hintertüren und Sicherheitslücke überhaupt erst entdeckt werden können.
Sobald man Kommunikationswege auf andere delegiert ist eine Abhörmöglichkeit vorhanden. Seit Fürsten ihre Briefe nicht mehr durch eigene Boten, sondern ab 1490 durch eine Postorganisation überbringen ließen, mussten sie diesem Kommunikationsnetz vertrauen können.
Die Wirtschaft und die EU-Staaten haben nach der klaren Aussage, dass EU-Einrichtungen abgehört und aktive Witschaftsspionage betrieben wurde und wird, keine Grundlage mehr, einem Netz zu trauen, das sogar in ihren eigenen Häusern durch möglicherweise verwanzte Geräte läuft.
Wir alle haben ein Interesse an Hardware, die dies verhindert. Staaten und Wirtschaft werden US-Produkte ohne No-Spy-Siegel meiden und möglicherweise EU-Produkte nach Open-Source-Standards lieber einsetzen, als US-Produkte mit No-Spy-Siegel.
Nein, wir können nicht verhindern, dass die NSA ganze Chargen von Cisco-Routern verwanzt. Durch das No-Spy-Siegel und entsprechende EU-Regulierungen können wir aber das Bewusstsein wach halten, dass Importgeräte ohne Siegel am beste gar nicht und selbst welche mit Siegel nur unter Vorbehalt in sicherheitsrelevanten Bereichen eingesetzt werden sollten.
Ich denke gerade ein waches Bewusstsein geht mit einem No-Spy-Siegel verloren, denn so ein Siegel schafft eher eine trügerische Gelassenheit.
Wie lässt sich ausschließen, dass Hardware nicht nach der No-Spy-Glaubens-Veredelung einen Zwischenstopp einlegt? Und wer würde solche Siegel glaubhaft vergeben können, wenn sich dieses Risiko besteht? Niemand der gleichzeitig glaubhaft sein kann.
Ein merkwürdiges Problem, dass mein besiegelter Öko-Apfel nicht kennt; für Datenschutz aber eine Siegel-Lösung unmöglich macht und sogar kontraproduktiv ist.
Es ist gut, dass sich D64 Gedanken macht. Nach Snowden muss jeder Vorschlag laut auf den Tische – schon deshalb, um möglichst alle Perspektiven zu hören.
[…] hatten das ja vorgeschlagen und es lag anscheinend so auf der Hand, dass die Regierung es auch plant. Die International […]