Vorgeschichte
(Übersetzung des FSFE-Artikels)
“Im Mai 2014 verabschiedeten das Europäische Parlament und der Europäische Rat die Funkgeräterichtlinie 2014/53 / EU. Hauptziele sind die Harmonisierung bestehender Vorschriften, die Verbesserung der Sicherheit von Funkfrequenzen und der Schutz von Gesundheit und Sicherheit. Alle EU-Mitgliedsstaaten müssen die Richtlinie bis zum 12.06.2016 mit einer Übergangsfrist von einem Jahr in nationales Recht umsetzen. Die Länder haben in der Regel einen gewissen Interpretationsspielraum bei der Umsetzung. Die Richtlinie selbst ist nicht schlecht und wir unterstützen ihr Ziel als Ganzes. Wenn es jedoch um die Details der Software-Compliance-Bewertung geht, scheint es, dass der Gesetzgeber die Rechte der Nutzer und den fairen Wettbewerb unverhältnismäßig benachteiligt.
In der Tat sind fast alle Geräte betroffen, die Funksignale senden und empfangen können (WiFi, Mobilfunknetz, GPS …). Der Knackpunkt ist in Artikel 3.3 (i) enthalten: Funkausrüstung muss “bestimmte Merkmale unterstützen, um sicherzustellen, dass Software nur dann in die Funkanlage geladen werden kann, wenn die Übereinstimmung der Kombination von Funkausrüstung und Software nachgewiesen ist”. Dies bedeutet, dass die Gerätehersteller jede Software, die in das Gerät geladen werden kann, hinsichtlich ihrer Übereinstimmung mit den geltenden Funkvorschriften (z. B. Signalfrequenz und -stärke) überprüfen muss. Bisher lag die Verantwortung für die Compliance bei den Anwendern, wenn diese etwas modifiziert haben, egal ob hardware- oder softwaremäßig.”
Thematische Allianz mit betroffenen Projekten
Gemeinsam mit der FSFE haben Freifunkas eine Kampagne ins Leben gerufen. Es wurde ein “Joint Letter” verfasst, dem sich viele Gruppen an geschlossen haben:
https://freifunk.net/blog/2016/04/eu-richtlinie-verhindert-freie-digitale-kommunikation/
Da Ganze wurde durch Artikel bei MEP Julia Reda und netzpolitik.org begleitet. Seitdem war nicht mehr viel zu hören, weil sich nichts bewegte. Erst in diesem Jahr …
EU-Kommission Expertenrunde für Reconfigurable Radio Systems (RRS Expert Group)
Die Kommission plant einen “delegierten Rechtsakt” und hat dazu eine Expertengruppe gebildet. Nach Ende der Bewerbungsphase im Januar 2017 standen die Mitglieder die Expertenrunde fest: Unter den “Member State Authorities” sind Regulierungsbehörden, wie die Deutsche Bundesnetzagentur, dazu kommen neben Einzelpersonen noch Vertreter des Standardisierers ESTI, den internationalen Funkamateurem (IARU), die um ihre HAMnet-Projekte fürchten, und aus dem Bereich der Wissenschaft das Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG)
Im Oktober 2017 trat die Gruppe erstmals mit dem Ziel zusammen, eine Geräteklassendefinition für die Anwendbarkeit der Bestimmungen aus der Funkrichtlinie zu erarbeiten. Die Expertengruppe hat den Vorschlag gemacht, darüber hinaus eine weitere Folgenabschätzung vorzulegen. Es werden die Artikel 3.3.i und 4 beleuchtet sowie 16-19 der RED erwogen.
In diesem Kontext enstehen bis Februar nun Fallstudien zu genaueren Bestimmung der möglichen Problemfälle und Nebenwirkungen, unter anderem zur Free & Open Source Software, aber auch zum Umgang mit Patches für Sicherheitslücken in Geräten, die unter die Funkgeräterichtlinie fallen. In diesem Rahmen haben wir uns nun mit der Fallstudie Freifunk & Free Wireless Networks eingebracht, die bereits in einem ETSI Meeting vorgestellt und letzte Woche an die EU-Kommision weiter gegeben wurde. (Deutsche Übersetzung):
Fallstudie: Auswirkungen von Artikel 3.3.i der EU-Funkrichtlinie und mögliche Lösungen
Monic Meisel (Mitbegründer von freifunk.net und Vorstandsmitglied des Fördervereins freie Netzwerke eV)
Dr. André Gaul (Freifunk Firmware-Entwickler)
Felix Fietkau (OpenWRT / LEDE Entwickler)
Leonardo Maccari, PhD (netcommons.org und Forscher des Community Network)
Community-Netzwerke und Freifunk
Community-Netzwerke erstellen und betreiben eine kostenlose Netzwerkinfrastruktur, die sich im Besitz der Community befindet. Freifunk [1] ist ein Beispiel für ein solches Netzwerk, ähnliche Projekte existieren in vielen europäischen Ländern und auf der ganzen Welt [2,11]. In dieser Fallstudie konzentrieren wir uns auf das Freifunk-Netzwerk als eines der größten und am weitesten entwickelten Community-Netzwerke mit mehr als 45.000 aktiven Knoten zum Zeitpunkt des Schreibens und benutzt von Zehntausenden von Menschen in Deutschland täglich, aber die gleichen Aussagen gelten auch für Hunderttausende Nutzer anderer Community-Netzwerke.
Um am Freifunk-Netzwerk teilnehmen zu können, müssen Community-Mitglieder Freifunk-Software auf Wifi-Routern installieren. Solche Freifunk-fähigen Wifi-Router erkennen andere Freifunk-Router innerhalb der Kommunikationsreichweite und tauschen Informationen über weitere Router und Netzwerke aus, die ihnen bekannt sind. Daraus ergibt sich ein sogenanntes Maschennetzwerk, das dezentralisiert ist, sich automatisch an seine Umgebung anpasst, widerstandsfähig ist und allen Beteiligten gehört und von diesen betrieben wird. Solche Netzwerke können ganze Städte abdecken, wie Freifunk Berlin [3] oder sogar ganze Regionen, wie Guifi.net, ein Community Network mit Sitz in Katalonien [31].
Community Networks sind nicht nur ein Schlüsselelement, um das Problem der digitalen Kluft zu lösen, sie schaffen auch eine Community rund um ein Kommunikationsnetzwerk, in der die Menschen den Wert und die gesellschaftlichen Auswirkungen von Kommunikationstechnologien wahrnehmen. Der Wert von Gemeinschaftsnetzen wurde kürzlich auch von der Europäischen Kommission anerkannt [32] und im Parlament diskutiert [33].
OpenWrt / LEDE
Die Freifunk-Software basiert auf OpenWrt / LEDE [4,5], einer Linux-Distribution für Embedded-Geräte, einschließlich, aber nicht beschränkt auf Wifi-Router. OpenWrt / LEDE besteht aus einem auf dem Linux-Kernel basierenden Betriebssystem (mit Treibern für Wifi und andere Netzwerkhardware) und einer Vielzahl von Softwarepaketen, mit denen die Funktionalität erweitert werden kann (z. B. mit Webservern, Firewalls oder Advanced Wifi, Authentifizierungsmechanismen). Dieses Software-Framework kann somit dazu genutzt werden, das volle Potenzial der Hardware auszuschöpfen – oft für Lösungen, die sich der Produkthersteller nicht vorgestellt hat und die für eine kommerzielle Entität wirtschaftlich nicht realisierbar sind. OpenWrt / LEDE wird häufig auch verwendet, um neue kommerzielle Produkte auf der Basis von vorhandener Hardware zu erstellen, Produkte, die dann in der gesamten Industrie und Regierung weit verbreitet sind [6] (z. B. kommerzielle WLAN-Betreiber, Event-Netzwerke). In Bezug auf die Wifi-Regulierung ist zu beachten, dass der Linux-Kernel bereits die Verwendung einer regulatorischen Datenbank ermöglicht und die OpenWrt / LEDE-Software bereits eine Datenbank mit regulatorischen Informationen für jedes Land enthält.
Auswirkungen von RED 3.3.i
Um die Kosten für die Bereitstellung zu reduzieren und die Benutzeranzahl zu erhöhen, ist es für Community-Netzwerke von entscheidender Bedeutung, dass benutzerdefinierte Software auf kostengünstigen Wifi-Routern installiert werden kann, die von den Nutzern problemlos erworben werden können. Mit Artikel 3.3.i der Richtlinie über Funkanlagen ist absehbar, dass Hersteller entweder die Installation von Software von Drittanbietern vollständig blockieren oder Software von Drittanbietern kryptografischen Signaturprüfungen unterziehen müssen, um die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Für die Hersteller spart das einfache Schließen von Geräten für alle Software von Drittanbietern Entwicklungskosten und ermöglicht eine kürzere Markteinführungszeit. Dies wurde bereits in der FCC-Regulierungsdomäne beobachtet, nachdem ähnliche Regulierungen dort wirksam wurden [7, 8, 9, 10].
Wenn Benutzer die Software auf Routern, die ihnen gehören, nicht ändern können, wird das gesamte Konzept eines Community-Netzwerks untergraben, da diese Arten von Netzwerken verständlicherweise nicht mit der mit Wifi-Routern gelieferten Bestandsoftware realisiert werden können.
Nicht nur Community Networks, sondern auch kommerzielle Anbieter nutzen Geräte von Drittanbietern mit spezieller Software und werden von der RED betroffen sein.
Geräte, die die Installation von Software von Drittanbietern als einen “Mehrwert” anbieten, z.B. durch einen “Entwicklungsschlüssel” werden wahrscheinlich teurer, wenn gleichzeitig erschwingliche, Consumer-Hardware die Installation von Drittanbieter-Software überhaupt nicht mehr erlaubt oder eben nur im Ermessen des Herstellers.
Infolgedessen würden drahtlose Produkte für Endbenutzer einen Preisanstieg erfahren, während sie gleichzeitig proprietärer, nicht interoperabel und nicht skalierbar würden. Dies würde alle bestehenden Anreize beseitigen und keinen neuen für die Hersteller schaffen, ihre Praktik zu ändern, wenn es darum geht, Sicherheitslücken zu schließen.
Free Network Communities und ihre Open Source Software sind wichtig, weil sie Auswirkungen haben auf:
Netzwerksicherheit
Hardware wird viel länger verwendet als von den Herstellern erwartet oder beabsichtigt. Kritische Software-Updates werden nur selten für Produkte am Ende des Lebenszyklus bereitgestellt. Insbesondere bei der Verwendung von Wifi-Routern in Industrie- und Produktionsumgebungen kann dies schnell zu Sicherheitsrisiken führen. Jüngste Beispiele für Sicherheitslücken in Wifi-Routern sind KRACK (kaputte WPA2-Verschlüsselung [12]) und ein Sicherheitsproblem in dnsmasq [13], das in den meisten Linux-basierten Router-Firmware verwendet wird. Fast jeder Router ist anfällig, aber ältere Modelle werden nie vom Hersteller aktualisiert. In der Vergangenheit wurden und aktuell werden Tausende, wenn nicht Millionen von Geräten mit ungepatchten Softwareschwachstellen genutzt, um Denial-of-Service-Attacken zu erstellen. Dieses Szenario könnte sich in Zukunft verschlechtern, wenn WLAN-Router-Firmware nicht gewartet wird.
Gegenwärtig stellen Open-Source-Communities wie OpenWrt / LEDE kontinuierlich Sicherheitsupdates zur Verfügung, und die Hersteller verlassen sich häufig auf diese Sicherheitsfixes für ihre Updates. Wenn die Installation von Drittanbieter-Firmware eingeschränkt ist, wird die Entwicklung von Sicherheitsupdates durch die größere Open Source-Community unmöglich gemacht, was sich auch negativ auf Updates auswirken wird, die von Herstellern bereitgestellt werden. Es ist offensichtlich, dass Router weiterhin lange nach Ablauf der Garantiezeit verwendet werden. Alle Router, die keine Updates vom Hersteller erhalten, stellen eine enorme Sicherheitsbedrohung dar.
Innovation und Forschung
Die Freiheit, mit Hardware und ihrer Software zu experimentieren, ist grundlegend für Innovation und Forschung. Es gibt zahlreiche Veröffentlichungen auf verschiedenen Gebieten, z.B. Thomas Hühn [14]. Drittanbieter-Community-Mitglieder erfinden Hardware- und Firmware-Lösungen, um neu auftretende Bedürfnisse besser und schneller als der Markt zu erfüllen. Da diese Arbeit unter freien Lizenzen veröffentlicht wird, profitiert nicht nur die Industrie davon, sondern Technologie wird für alle zugänglich gemacht, auch für diejenigen, die sich keine Ausrüstung leisten können [15,16]. Freifunk wird auch in Schulen zum Unterrichten von Computernetzwerken verwendet, indem tatsächlich ein unabhängiger Teil der Internetinfrastruktur mit einem lokalen Freifunk-Netzwerk aufgebaut wird [17]. Die Beschränkung der Installation von Drittanbieter-Software wirkt sich nachteilig auf zukünftige Generationen von Ingenieuren und Programmierern aus.
Freifunk sowie andere Community Networks und die OpenWRT / LEDE-Community spielen eine Schlüsselrolle in der Forschung und der Weiterentwicklung der drahtlosen Technologie. Es wurden Projekte im Rahmen der Forschungsrahmenprogramme RP7 und H2020 für mehr als 10 Mio. EUR finanziert, die in und mit Gemeinschaftsnetzen forschen. [34, 35, 36, 37] Das interdisziplinäre wissenschaftliche Interesse an Gemeinschaftsnetzen ist ein Beweis für ihr Potenzial: Die gesamte Forschung zur Verbesserung und Vergrößerung von Gemeinschaftsnetzen würde nutzlos werden, wenn die Menschen nicht mehr in der Lage sind, eigene Software auf den eigenen Routern zu installieren.
Gesellschaft und Grundrechte
Uneingeschränkter und breiter Internet-Zugang liegt im öffentlichen Interesse, da dies Voraussetzung [28] für die Ausübung von Menschen- und Grundrechten wie Zugang zu Bildung, Meinungs-, Kommunikations- und Informationsfreiheit sowie zur kulturellen und Gesellschaftliche Teilhabe ist.
Der UN-Menschenrechtsrat hat dies wiederholt bestätigt, zuletzt in seiner Entschließung von 2014. Siehe auch die Entschließung der Parlamentarischen Versammlung des Europarats zum Recht auf Zugang zum Internet [27]. Dieses Internetzugangsrecht im Artikel 19 Absatz 2 des Völkerrechtes [29] schützt die Verbindungstechnologien durch den Schutz des Ausdrucks durch “Mittel eigener Wahl”. In Ziffer 15 [30] heißt es: “Die Staaten sollten alle notwendigen Schritte unternehmen, um die Unabhängigkeit dieser neuen Medien zu fördern und den Zugang für die Bürger sicherzustellen”.
Ländliche Gemeinden auf der ganzen Welt nutzen die Mesh-Technologie, um sich miteinander zu verbinden, insbesondere in Gebieten, in denen der Markt versagt [20]. Freifunk leistet humanitäre Hilfe für Flüchtlinge und soziale Projekte [18,19]. Selbsterhaltende Infrastruktur und Gemeinschaftswissen halfen bei Katastrophen-Entlastungsszenarien, z.B. nach dem Supersturm Sandy [22] und dem Hurrikan Katrina [23]. Dabei ist zu beachten, dass die meisten Initiativen auf Software basieren, die hauptsächlich von in der Europäischen Gemeinschaft ansässigen Netzwerk Gruppen entwickelt wird. Freie Community-Netzwerke entwickeln auch offene Bildungsressourcen (Open Educational Ressources – OER) und ermöglichen es den Menschen, ihre technischen Fähigkeiten und ihre digitale Kompetenz zu verbessern [21]. Rathäuser und Verwaltungen benutzen Freifunk, um den Besuchern Zugang zum Internet und die Teilnahme am Netzwerk in der Nachbarschaft zu bieten, zum Beispiel im Rathaus Berlin-Kreuzberg [24]. Unter Anderen haben verschiedene deutsche Institutionen erkannt, dass Community Network Initiativen lokale soziale Strukturen stärken und unterstützen diese wie im Fall der Medienanstalt Berlin Brandenburg [25]. All dies ist durch RED 3.3.i gefährdet.
Vorgeschlagene Ergänzungen zu RED 3.3.i
Wir schlagen vor, die folgenden Lösungen im Expertenkreis zu diskutieren:
- Routerhersteller sollten verpfichtet werden, ihre Geräte für die Installation von Open-Source-Software von Drittanbietern zu öffnen, z.B. verweist die FCC explizit auf Open-Source-Software, als sie erklärt, dass Software von Drittanbietern nicht unterbunden werden sollte [26].
- Hersteller sollten Open-Source-Entwicklungsgemeinschaften mit ausreichenden Informationen über mögliche Konsequenzen von Firmware-Änderungen unterstützen.
- WLAN-Router sollten von Artikel 3.3.i ausgenommen werden.
- Hardware, die eine Verletzung wesentlicher Anforderungen an Funkgeräte schon durch physikalische Beschaffenheit nicht ermöglicht, sollte ausgenommen werden, da eine große Vielfalt von Hardware die zulässigen Sendeleistungsgrenzen gar nicht überschreiten kann.
[1] https://freifunk.net/
[2] http://freenetworks.org/
[3] https://berlin.freifunk.net/
[4] https://openwrt.org/
[5] https://lede-project.org/
[6] https://omnia.turris.cz/en/
[7] https://transition.fcc.gov/Daily_Releases/Daily_Business/2016/db0801/DA-16-850A1.pdf
[8] http://nerdpolitik.org/en/2016/08/fcc-tp-link-no-reason-to-relax/
[9] https://lists.openwrt.org/pipermail/openwrt-devel/2015-November/037509.html
[10] http://ml.ninux.org/pipermail/battlemesh/2016-February/004379.html
[11] https://www.netcommons.eu/sites/default/files/attachment_0.pdf (p. 85–98)
[12] https://www.krackattacks.com/
[13] https://access.redhat.com/security/vulnerabilities/3199382
[14] https://depositonce.tu-berlin.de/handle/11303/4022
[15] https://wiki.freifunk.net/Freifunk-MPP-Tracker
[16] https://wiki.freifunk.net/MABB:TVWS
[17] http://www.andreas-schule.org/2017/07/10/freifunk-am-andreas-gymnasium-abschluss-einer-erfolgsgeschichte/
[18] https://freifunk-hilft.de/
[19] http://spheres-journal.org/humanitarian-media-intervention-infrastructuring-in-times-of-forced-migration/
[20] http://wndw.net/
[21] http://jugendnetz-berlin.de/de/freifunk/die-foerderinitiative.php
[22] https://commotionwireless.net/files/rhiwifi_tidepools_casestudy.pdf
[23] http://www.nella.org/jra/dr/katrina/katrina-final-report.html
[24] http://www.zeit.de/digital/2012-12/w-lan-berlin-kreuzberg
[25] http://mabb.de/files/content/document/UEBER%20DIE%20MABB/Download-Center/Publikationen/Freifunk-Broschuere/freifunk-publikation-webversion-2-Auflage.pdf.pdf (p. 10)
[26] http://nerdpolitik.org/en/2016/08/fcc-tp-link-no-reason-to-relax/
[27] http://semantic-pace.net/tools/pdf.aspx?doc=aHR0cDovL2Fzc2VtYmx5LmNvZS5pbnQvbncveG1sL1hSZWYvWDJILURXLWV4dHIuYXNwP2ZpbGVpZD0yMDg3MCZsYW5nPUVO&xsl=aHR0cDovL3NlbWFudGljcGFjZS5uZXQvWHNsdC9QZGYvWFJlZi1XRC1BVC1YTUwyUERGLnhzbA==&xsltparams=ZmlsZWlkPTIwODcw
[28] http://www2.ohchr.org/english/bodies/hrcouncil/docs/17session/A.HRC.17.27_en.pdf
[29] http://www.ohchr.org/EN/ProfessionalInterest/Pages/CCPR.aspx
[30] https://www.humanrights.ch/upload/pdf/111201_CCPR-C-GC-34.pdf
[31] http://guifi.net
[32] https://ec.europa.eu/digital-single-market/en/news/five-projects-got-first-ever-european-broadband-award
[33] https://www.netcommons.eu/?q=content/eu-parliament-workshop-community-networks-and-telecom-regulation
[34] http://www.confine-project.eu
[35] http://www.clommunity-project.eu
[36] http://www.netcommons.eu
[37] http://www.rife-project.eu
Die EU-Richtlinie zur Regulierung von Funkanlagen, die ab Juni in Kraft tritt (2014/53/EU), gefährdet aus unserer Sicht die Sicherheit von WLAN-Geräten, statt sie zu verbessern. Neue Softwareversionen müssen entsprechend der neuen Richtlinie ein Zertifizierungsverfahren durchlaufen, bevor sie auf der Hardware installiert werden können. Das können Freie Software-Projekte jedoch kaum gewährleisten, dabei werden viele Sicherheitslücken von freien Entwicklern behoben.
Das 
