Skip to content

Protokoll der mündlichen Anhörung zur VDS beim europäischen Gerichtshof

Bastien Le Querrec von La Quadrature du Net fertigte ein Protokoll der mündlichen Anhörung vor dem europäischen Gerichtshof an. Die klagenden Verbände sowie die Beklagten bekamen Zeit Stellung zu nehmen und Fragen der Richterinnen und Richter zu beantworten. Das Originaldokument gibt es nur in französisch. Ich habe es daher mit Hilfe von DeepL, Google Translate und von Chloé Berthélémy ins Deutsche übersetzt. An einigen Stellen ist die Übersetzung noch etwas holprig. Solltet ihr Verbesserungen haben, hinterlasst bitte einen Kommentar oder schickt mit eine E-Mail.

Im erweiterten Eintrag unten findet ihr den gesamten Text des Protokolls. Alternativ könnt ihr diesen auch als PDF-Datei herunterladen.

Continue reading "Protokoll der mündlichen Anhörung zur VDS beim europäischen Gerichtshof"

Schreibt eure Provider wegen der Vorratsdatenspeicherung an!

Seit nun mehr als zehn Jahren wird um die Vorratsdatenspeicherung gerungen. Verordnungen und Gesetze wurden verabschiedet, Klagen dagegen bestritten und gewonnen. Es gab unzählige Demonstrationen und Aktionen gegen diese Form der Überwachung. Am 1. Juli 2017 soll es nun soweit sein, dass wieder ein Gesetz zur Vorratsdatenspeicherung eingeführt und umgesetzt wird. Auch hier gibt es einige laufende Verfassungsbeschwerden. Digitalcourage plant am 29. Juni 2017 Proteste gegen das Gesetz. Die SpaceNet AG klagte gegen das Gesetz und nun beschloss das Oberverwaltungsgericht des Landes Nordrhein-Westfalen, dass das Gesetz gegen europäisches Recht verstösst. Diese Entscheidung betrifft nur die SpaceNet AG. Andere Provider müssen entsprechend nachziehen. Um an der Stelle etwas Druck aufzubauen, will ich verschiedene Provider anschreiben und diese auffordern oder bitten, es der SpaceNet gleich zu tun. Unten findet ihr mein Musterschreiben. Ihr könnt es gern verwenden oder verbessern.

Sehr geehrte Damen und Herren,

das Oberverwaltungsgericht des Landes Nordrhein-Westfalen (OVG) hat mit Beschluss 13 B 238/17 vom 22. Juni 2017 entschieden, dass die zum 1. Juli 2017 umzusetzende Vorratsdatenspeicherung (VDS) gegen europäisches Recht verstößt. Damit wurde die Klägerin von der Speicherpflicht entbunden. Ich möchte Sie hiermit bitten, sich ebenso für die Grundrechte Ihrer Kundinnen und Kunden einzusetzen und eine ähnliche Entscheidung für Ihr Unternehmen zu erwirken.

Das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten (VerkDSpG) verpflichtet Internetserviceprovider (ISP) spätestens ab dem 1. Juli 2017 anlasslos eine Reihe von Verkehrsdaten zu speichern. Diesem Gesetz geht die Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten und die deutsche Umsetzung im Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG zuvor. Das Bundesverfassungsgericht erklärte diese Regelungen in dem Urteil 1 BvR 256/08 vom 2. März 2010 für verfassungswidrig und damit nichtig. Am 8. April 2014 hob dann der europäische Gerichtshof (C-293/12, C-594/12) die Richtlinie auf, da diese gegen verschiedene Rechte aus der europäischen Grundrechtscharta verstößt.

Der deutsche Provider SpaceNet AG klagte nun gegen das im Dezember wieder eingeführte Gesetz und bekam am 22. Juni 2017 vor dem OVG NRW Recht. Das Gericht beschloss, dass die Vorratsdatenspeicherung gegen europäisches Recht verstößt. Die SpaceNet AG muss damit die VDS nicht umsetzen.

Das Urteil betrifft allerdings nur einen Provider. Ohne eine ähnlich gelagerte Entscheidung müssen andere ISP die VDS umsetzen. Daher möchte ich Sie bitten, sich für die Grundrechte Ihrer Kundinnen und Kunden einzusetzen und ein ähnlich gelagertes Urteil zu erwirken. Ich bitte Sie, mir mitzuteilen, ob Sie für Ihr Unternehmen derartige Schritte planen oder ob Sie ggf. anderweitig gegen die VDS vorgehen wollen.

Ich danke Ihnen vorab für Ihre Bemühungen und verbleibe

mit freundlichen Grüßen

Hoffen wir, dass sich möglichst viele Provider gegen die VDS stark machen und das Gesetz endlich gekippt wird!

Update: Golem berichtet, dass Vodafone keinen Eilantrag stellen will und Telefónica/O2 die Sachlage prüft.

TLS-Bingo -- Wer bietet mehr?

Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:

Edas
Fehlermeldung zum Zertifikat von edas.landtag.sachsen.de

Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.

Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige. :-)

Firefox verbessert den Schutz der Privatsphäre

Als das Tor-Projekt den Tor-Browser entwarf, machten sie sich viele Gedanken zum Schutz der Privatsphäre. Sie versuchten jegliche Gefahren zu identifizieren und diese zu umschiffen. Daraus entstand das Design zum Tor-Browser. Seitdem versuchen die Entwickler, die Schwachstellen in Bezug auf die Privatsphäre im Mozilla Firefox im Griff zu behalten. Neben dem Tor-Button kommen viele individuelle Patches zum Einsatz. Die meisten davon wurden bisher von Mozilla nicht in den Firefox eingepflegt. Doch dies ändert sich jetzt.

Seit Anfang Mai gibt es im Wiki von Mozilla eine Seite, die sich Tor Uplift nennt. Mozilla fängt nämlich nun doch an, Patches vom Tor-Projekt in den Firefox wieder einzubauen. Auf der Wikiseite wird der Fortschritt festgehalten. Bisher kamen 26 Änderungen weiter und an sechs wird gerade aktiv gearbeitet. Sören Hentzschel beschreibt in seinem Blogbeitrag, welche neuen Optionen es im Firefox gibt und wie diese aktiviert werden können.

Insgesamt ist das ein guter Schritt der Entwickler, den Schutz der Privatsphäre im Firefox weiter zu erhöhen. Wie Sören in seinem Beitrag schreibt, engagiert sich Mozilla auch weiterhin stark im Tor-Projekt. Weiter so! :-)

Securityheaders.io

Viele von euch kennen vielleicht die Seite SSLLabs.com, bei der sich die Einstellungen bezüglich TLS testen lassen. Wer wissen möchte, wie gut die Daten auf einer verschlüsselten Webseite geschützt sind, kann den Namen eingeben und SSLabs führt dann verschiedene Tests durch. Nach Beendigung gibt die Seite eine Einschätzung aus.

SSLLabs für kubieziel.de
SSL-Einstellungen für kubieziel.de im Dezember 2015

Nun ist TLS nicht die einzige Baustelle, was die Sicherheit im Web betrifft. Es gibt zahlreiche Schwachstellen, die ausgenutzt werden. Für einige dieser Schwachstellen wurden neue HTTP-Header eingeführt.

So gibt es beispielsweise einen, der dem Browser auffordert, die Seite ausschließlich über HTTPS aufzusuchen (HSTS). Die meisten aktuellen Browser unterstützen den Header. Daneben gibt es Header, die Schutz vor so genanntem Cross-Site-Scripting (XSS) bieten sollen sowie weitere mehr.

Die Seite securityheaders.io hat es sich zum Ziel gemacht, die Header der Webseiten zu testen und ein ähnliches Rating wie SSLLabs auszugeben. Auch hier erhaltet ihr einen schnellen Überblick über die Sicherungsmaßnahmen. Allerdings habe ich Einstellungen gefunden, wo das Rating aus meiner Sicht nicht gerechtfertigt ist. Die Seite hatte HSTS gesetzt und erhielt trotzdem nur ein sehr schlechtes Rating. Laut Aussage der Entwickler sind die aber dabei, das zu ändern. Testet die Seite doch mal aus!

Meine Seite hat derzeit folgendes Rating:

Bewertung der HTTP-Header bei kubieziel.de
Bewertung der HTTP-Header bei kubieziel.de

Wie ihr seht, fehlt derzeit CSP und das Key Pinning. Bei letzterem lässt sich aus meiner Sicht viel falsch machen. Da will ich erstmal noch ein paar Gedanken reinstecken, bevor ich den setze. Und CSP muss ich testen, inwieweit das mit dem Blog Probleme gibt. Wenn das passiert ist, steht einem A+ nichts mehr im Wege. :-)

Neues TLS-Zertifikat

Der Webserver hat seit heute ein neues Zertifikat. Ich bin jetzt von CAcert auf Let’s Encrypt umgestiegen. Bei den Übernauten ist die Einrichtung sehr einfach. Nachdem die Befehle uberspace-letsencrypt, letsencrypt certonly und uberspace-prepare-certificate eingegeben wurden, war alles fertig.

Wenn ihr das Zertifikat prüfen wollt, hier ist der SHA-256-Hash:

B8:8A:B3:34:0E:5F:97:6A:88:F0:A7:E7:91:73:F4:50:42:29:0A:73:07:54:68:2D:96:EB:36:29:BB:FC:58:A8

Browser gegen LogJam absichern

Der macht eine Meldung über die LogJam-Schwachstelle die Runde. Ein Besuch der Webseite WeakDH.org offenbarte auch bei meinen Browser-Einstellungen Schwächen. Doch wie sichere ich den gegen die Attacke?

Im Firefox ist das recht einfach: In die Adresszeile einfach about:config eingeben und dann in den Konfigurationseinstellungen nach dem Wert .dhe suchen. Der Punkt vor dhe ist wichtig, dass nur die relevanten Algorithmen gefunden werden. Alle Werte (je nach Version sind das zwei oder mehr) werden auf false gesetzt. WeakDH.org sollte nun keine Warnung mehr anzeigen.

Einstellungen im Tor Browser Bundle

Im Chrome oder Chromium gibt es keine Möglichkeit, die Einstellung über ein Menü zu machen. Der beste Weg, den ich fand, ist, zunächst die Cipher-Suite-Detail-Seite zu besuchen. Dort findet ihr eine Tabelle mit Algorithmen, die euer Browser unterstützt. In der Spalte Spec stehen Zahlen-/Buchstaben-Kombinationen. So findet sich bei mir beispielsweise der Eintrag: (00,0a). Sucht nun nach allen Einträgen, bei denen der Cipher-Suite-Name mit DHE (nicht ECHDE) beginnt und entfernt die Klammern und das Komma von der Spec. Nun fügt ihr noch ein 0x an den Anfang. Im obigen Beispiel wird also aus (00,0a) ein 0x000a. Diese unerwünschten Algorithmen werden als Option dem Chrome oder Chromium übergeben: google-chrome --cipher-suite-blacklist=0x009e,0x0033,0x0032,0x0039,0x0004,0x0005 ist das bei meinem Browser.

Wie sieht es bei anderen Browsern aus? Meines Wissens kann man den Internet Explorer nicht so detailliert steuern. Ich freue mich über Hinweise und nehme die gern mit in den Beitrag auf. Schließlich sollte das Ergebnis der Webseite dann wie unten aussehen. :-)

Keine Angriffsmöglichkeit durch LogJam

cronjob