Na przestrzeni kilku ostatnich miesięcy w Niemczech toczyły się ożywione dyskusje na temat „federalnych koni trojańskich”, jak również luk w zabezpieczeniach, których państwo rzekomo wymagało od producentów. Rozmowy te stawiają Niemcy w negatywnym świetle w kontekście tworzenia godnej zaufania bazy operacyjnej dla rozwiązań zabezpieczających. Utrzymanie najwyższej pozycji w rankingu krajów o najbardziej surowych standardach prywatności i ochrony danych to dla Niemiec konieczność.
Na chwilę przed konferencją ministrów spraw wewnętrznych niemieckich landów zorganizowaną w Lipsku, na stronie Redaktionsnetzwerk Deutschland pojawiły się raporty sugerujące, iż minister Thomas de Maizière zamierza podjąć kroki umożliwiające „szpiegowanie prywatnych samochodów, komputerów i telewizorów typu Smart”. Raporty odwoływały się do inicjatywy Departamentu Sprawiedliwości, która rozszerzyła katalog środków nadzoru dostępnych dla niemieckich organów ścigania.
Inicjatywa zakłada, że środki nadzoru dla „systemów technologii informacyjnej” mogą zostać włączone do sprawy karnej przeciwko podejrzanemu. Uzupełnienie to wzbudziło ożywioną dyskusję i zostało nazwane „Quellen TKÜ” (co można przetłumaczyć jako „nadzór nad telekomunikacją u źródła”). Sposób, w jaki parlament wdrożył wspomniane środki został żywo skrytykowany przez Petera Schaara, byłego niemieckiego Federalnego Rzecznika Ochrony Danych Osobowych, jak również przez innych oficjeli. Twierdzono również, że zaplanowano totalny nadzór nad obywatelami oraz wyrażono obawę o niezgodność planowanych rozwiązań z konstytucją.
Raport opublikowany na stronie RND zinterpretowano jako wymuszenie na producentach, by przy projektowaniu produktów tworzyli luki, zapewniające organom ścigania dostęp do pewnych informacji.
Johannes Dimroth, rzecznik Ministerstwa Spraw Wewnętrznych Niemiec, opublikował na Twitterze nagranie, w którym podkreślił, że cała dyskusja opiera się na nieporozumieniu. Tematem konferencji nie był ani dostęp do komputerów czy smartphone’ów, ani poszerzenie zakresu środków dostępnych dla organów ścigania. Dimroth jasno wskazał, że Ministerstwo Spraw Wewnętrznych nie miało na celu wprowadzenia obowiązkowych luk.
W rzeczywistości dyskusja prowadzona podczas konferencji dotyczyła tego, w jaki sposób zapewnić organom ścigania techniczne środki umożliwiające wykonanie nakazu aresztowania po jego wydaniu przez sędziego. W praktyce nakazy aresztowania często nie mogą zostać wykonane z powodu obecności systemów zabezpieczających zarówno w pojazdach, jak i w budynkach mieszkalnych. Minister de Maizière zaprzeczył także zarzutom związanym z obowiązkiem pozostawiania luk w zabezpieczeniach, które wyniknęły w trakcie briefingu prasowego zorganizowanego po konferencji.
– Nigdy nie wyraziłem takiej sugestii. […] Organy ścigania muszą posiadać techniczną możliwość wykonywania prawnie dozwolonych operacji – powiedział de Maizière. Dodał również, że obecnie odpowiednie środki są poddawane ocenie.
Wiele napięć i kontrowersji tworzy się pomiędzy chęcią „utrzymania skuteczności władz i ich zdolności do działania” a pytaniem, do jakiego stopnia oraz w jakich okolicznościach można ingerować w prywatność.
Kluczowe jest przyjrzenie się skutkom, jakie niesie ze sobą tego typu dyskusja na temat nadzoru i „federalnych koni trojańskich”. Główny problem związany z dyskusją to fakt, że skuteczne środki zabezpieczające mają zostać prawnie osłabione. W tym zakresie raport RND sprawił, że wiele osób w Niemczech i za granicą ma poważne obawy. A zaznaczyć trzeba, że nie był to pierwszy tego typu raport. Prowadzonym w Niemczech dyskusjom na temat dostępu do zaszyfrowanych danych, rozszerzania zakresu nadzoru video oraz technologii rozpoznawania twarzy bacznie przyglądają się obywatele innych krajów. Najlepszym przykładem jest tu Edward Snowden, który twierdzi, że mamy do czynienia z „falą zniewolonego myślenia”, jako że nawet w takich krajach, jak Niemcy pojawia się dążenie do narzucania obowiązkowych luk w celu prowadzenia potajemnego nadzoru. Norbert Pohlmann z „ekologicznego” Stowarzyszenia Sektora Internetowego widzi również niebezpieczeństwo utraty zaufania do technologii cyfrowych.
– Zwyczajna dyskusja na temat nowych środków nadzoru osłabia zaufanie użytkowników do technologii opartych na wykorzystaniu Internetu oraz skutkuje namacalnymi stratami dla niemieckiego handlu w sieci – powiedział Pohlmann.
Niemiecki oddział firmy G DATA otrzymał wiele próśb o skomentowanie tej kwestii zarówno od zaniepokojonych klientów, jak i od dziennikarzy z Polski, Włoch i innych krajów europejskich. Wydaje się, że Niemcy powoli tracą czołową pozycję, jeśli chodzi o najsurowsze standardy ochrony danych i ustawy poświęcone ochronie prywatności, co nie przechodzi bez echa dla firmy G DATA oraz całego sektora zabezpieczeń.
Gdy tylko rozpętała się dyskusja na temat federalnego konia trojańskiego, zobowiązaliśmy się do przestrzegania gwarancji ochrony przed lukami „no backdoor”. Prawie od samego początku firma G DATA aktywnie angażowała się w inicjatywę TeleTrusT-Initiative „IT-Security Made in Germany” (ITSMIG), wyrażając zgodę na przestrzeganie narzucanych przez nią niezwykle surowych kryteriów. Od tamtej pory w inicjatywę ITSMIG zaangażowało się ponad 170 firm. Prowadzona obecnie dyskusja na temat złagodzenia środków zabezpieczających niesie za sobą negatywne skutki dla całego sektora zabezpieczeń IT i nie tylko. Kto zdecyduje się na kupno nowego telewizora z funkcją Smart, jeśli będzie miał podstawę do obaw, że może on przekształcić się w orwellowski teleekran? Dyskusja ta odbije się również negatywnie na zainteresowaniu samochodami typu connected car, gdy kierowców i pasażerów niepokoić będzie kwestia dostępu do ich danych.
Komentarz przedstawiciela polskiego oddziału G DATA – Roberta Dziemianko:
– Chcielibyśmy jeszcze raz podkreślić nasze zaangażowanie w kampanię „Moje pliki, mój biznes”. Kampania ta ma na celu zapewnienie wszystkich naszych klientów, że zachowujemy najwyższą ostrożność podczas obchodzenia się z danymi wrażliwymi i działamy w zgodzie z surowymi niemieckimi ustawami. Dla firmy G DATA ochrona prywatności jest co najmniej tak samo ważna, jak ochrona komputerów i sieci. Przez lata firma G DATA działała w zgodzie z polityką „No Backdoor“. W świetle obecnej sytuacji prowadzenie rozmów na temat pozostawiania luk do wykorzystania przez państwo nie jest niczym nowym. Informacje ujawnione przez Edwarda Snowdena oraz dokumenty Vault7 dobitnie pokazują, że w niektórych krajach władze posiadają już możliwość szpiegowania i podsłuchiwania osób prywatnych bez żadnej kontroli z zewnątrz lub z zachowaniem znikomego poziomu kontroli. W trakcie wycieku Vault7 na jaw wyszły pewne narzędzia, które niezwłocznie przechwycili przestępcy. Na przykład exploit „Eternalblue”, na którym opierał się Wannacry, wywodzi się ze zbioru narzędzi amerykańskiej agencji wywiadu. Przykład ten ma za zadanie podkreślić, jak niebezpieczne są te działania: narzędzia nie pozostaną utrzymane w tajemnicy i głęboko zakopane w nieskończoność. Jeśli wpadną w niepowołane ręce, przestępcy otrzymają nasze najbardziej prywatne i wrażliwe dane „podane na tacy”. Odkrycie „federalnej luki” to tylko kwestia czasu, a przestępcy nie będą mieli żadnych skrupułów, by wykorzystać tę wiedzę. Jak na razie w związku z inicjatywami Niemieckiego Departamentu Sprawiedliwości oraz Ministerstwa Spraw Wewnętrznych wciąż niezbędne jest dostarczenie rozstrzygających argumentów na to, jak wdrożyć przedstawione pomysły bez uszczerbku dla bezpieczeństwa całego ekosystemu zabezpieczeń i prywatności w zakresie IT. Deklaracje woli nie wystarczą. Bez wyraźnych wytycznych tego typu dyskusje doprowadzą do niepewności i utraty zaufania. Pomiędzy potencjalnymi korzyściami (nawet w przypadku wartych uwagi środków) oraz negatywnymi skutkami ubocznymi mamy do czynienia z poważnymi dysproporcjami.