Uit documenten die de Duitse site Netzpolitik heeft gepubliceerd, blijkt dat de Duitse overheid 150 miljoen euro overheeft voor het vinden van lekken in de encryptie van chatapps, bijvoorbeeld WhatsApp en Telegram.

De site meldt dat het geld wordt besteed aan het project 'Aniski', dat zich richt op het ontwikkelen van analyse- en bewerkingssoftware voor metadata en encryptie. Zo wil de Duitse geheime dienst BNDbeveiligingslekken in de encryptie van communicatie-apps vaststellen en deze gebruiken om toegang te krijgen tot de inhoud van berichten. Volgens de documenten 'sluit dit geen analyseopdrachten voor externe bedrijven uit'. Uit de beschrijving van het project komt naar voren dat de BND in staat is om minder dan tien van de in totaal zeventig crypto-chatapps te kraken. Vaak gaat het daarbij om oudere varianten.

De dienst klaagt erover dat het standaard aanbieden van encryptie, bijvoorbeeld door WhatsApp, ervoor zorgt dat de inhoud van berichten niet in te zien is. Dat zou daarnaast nog moeilijker gemaakt worden doordat 'de communicatiediensten voor een groot deel gebruikmaken van gesloten overdracht- en encryptieprotocollen'.  Dit zou gevolgen hebben voor de opsporing van terrorisme en georganiseerde misdaad. Om toegang te krijgen tot de communicatie wil de BND het beschikbare geld onder andere inzetten om 'decryptiehardware en - software aan te schaffen'. Daarvoor is in 2016 5,4 miljoen euro beschikbaar en in 2017 is dat 15,9 miljoen euro. De rest is gereserveerd voor 2018.

Met een tweede project, genaamd URAn/OS wil de BND openbare informatie, oftewel osint, gebruiken om aan de hand van algoritmes en procedures 'onregelmatigheden' vast te stellen. Daaronder vallen 'trends die duiden op crisisontwikkelingen'. Een vertegenwoordiger van de Duitse 'Chaos Computer Club' noemt de projecten 'excessief en niet te rechtvaardigen'. Hij stelt dat staten een plicht hebben om hun burgers te beschermen. Daarbij moet de risicoafweging volgens hem in het voordeel uitvallen van het melden van kwetsbaarheden in plaats van het geheimhouden daarvan. Een Duitse politicus die deel uitmaakt van de controlecommissie van de geheime diensten stelt dat de regering hiermee 'een verkeerd pad is ingeslagen' en dat het vinden en geheimhouden van kwetsbaarheden ervoor zorgt dat terroristen op een andere manier gaan communiceren en dat burgers met onveilige software achterblijven.

Onlangs bleek dat de Nederlandse politie in bepaalde gevallen onbekende kwetsbaarheden in software, oftewel zero days, geheim kan houden. Bijvoorbeeld als een melding zou betekenen dat een verdachte erachter komt dat er een onderzoek tegen hem aan de gang is.

Reacties mogelijk gemaakt door CComment