Verschlüsselungsverbot: EU macht Ernst mit Crypto Wars

Kommt nun das Verschlüsselungsverbot? Nach dem Terroranschlag von Wien nutzten verschiedene Regierungen einmal mehr die Gelegenheit, gegen die Ende-zu-Ende-Verschlüsselung zu argumentieren: Sie nütze Terroristen, stelle jedoch Strafverfolger vor unlösbare Herausforderungen. Offenbar möchte die EU nun Ernst machen mit ihrem Crypto Wars: Eine Resolution zur Entschlüsselung wurde bereits beschlossen – allen Kritiken zum Trotz.

Rückblick Verschlüsselungsverbot: Pläne der Regierungen

Schon in der jüngeren und ferneren Vergangenheit wurde ein Verschlüsselungsverbot hitzig diskutiert – so hitzig, dass der Begriff „Crypto Wars“ („Krieg um die Verschlüsselung“) heute fester Bestandteil dieser Diskussion ist: Zur Vermeidung von Terrorakten sowie zum Verhindern von Kindesmissbrauch sei die Ende-zu-Ende-Verschlüsselung hinderlich, wenn es darum ginge, Verbrechen dieser Art aufzuklären, führen Strafverfolgungsbehörden an. Ende-zu-Ende-Verschlüsselung sei jedoch kein Täter-, sondern Privatsphäre-Schutz – etwa für Menschenrechtler oder Journalisten, halten Verschlüsselungsbefürworter dagegen. Außerdem sei eine aufgeweichte Verschlüsselung eben keine echte Verschlüsselung mehr: Werden Backdoors, also Hintertüren in der Verschlüsselung geschaffen, können dort nicht nur Strafverfolger, sondern auch Straftäter einsteigen.

Die Diskussion wird laut und öffentlich geführt. So verkündete Facebook-Chef Mark Zuckerberg schon im April 2019: „Die Zukunft ist privat“. Auch der US-Konzern Apple wurde mehrfach dazu aufgefordert, Ermittlungsbehörden durch Entschlüsselungen zu unterstützen, Apple jedoch verteidigte die sichere Verschlüsselung. Die Diskussion wird also weltweit, nicht nur in Europa geführt. Schließlich haben US-Senatoren sogar einen Gesetzesentwurf zum Verschlüsselungsverbot vorgelegt, wir berichteten. Wie wir bereits im Oktober in unserem Artikel „Ende-zu-Ende-Verschlüsselung: Zur Entschlüsselung gezwungen“ dargelegt haben, wollte die Bundesregierung ihre EU-Ratspräsidentschaft bis Jahresende nutzen, um auch in Europa eine Erklärung zum Aushebeln verschlüsselter Kommunikation zu schaffen. Was ist seither passiert?

Crypto Wars geht nach Wiener Attentat in die nächste Runde

Am 2. November geschah in Wien das Unfassbare: Ein Österreicher erschoss vier Menschen und verletzte 23 weitere bei einem Terroranschlag. Dieser Vorfall ist sehr tragisch – er kostete Menschenleben und gehört selbstredend aufgeklärt. Soweit bekannt, hat dieser Akt des Terrors jedoch keinerlei Zusammenhang mit dem Thema Verschlüsselung – bei dem Anschlag spielten keine verschlüsselten Nachrichten eine Rolle. Vielmehr darf man ein Versagen vorwerfen, weil ein einschlägig vorbestrafter Täter, der noch im Juli versuchte, in der Slowakei Munition zu erwerben, frei herumlief und keinerlei Überwachung erfahren hat. Nach dem Versuch, Munition zu kaufen, informierte das slowakische Innenministerium über Europol österreichische Ermittlungsbehörden. Ein Staatsanwalt wurde nicht verständigt, den vorbestraften Mann nahm man nicht in Haft.

Dennoch nutzen Politiker dieses Attentat als Argument aus, um für mehr Überwachung und weniger Verschlüsselung zu werben. Wie der Österreichische Rundfunk seinerzeit berichtete, bereitete der EU-Ministerrat binnen fünf Tagen eine beschlussfertige Resolution, in der gefordert wird, dass Ermittlungsbehörden Zugriff auf verschlüsselte Kommunikation erhalten müssen. Die Polizei, aber auch andere „autorisierte Behörden“ sollen Zugriff beispielsweise auf verschlüsselte WhatsApp-Chats oder andere Messenger-Kommunikationen erhalten.

Generalschlüssel soll Kommunikation dechiffrieren

Dass sich die EU-Minister in der Resolution auch schon Gedanken um das „Wie“ gemacht haben, versteht sich von selbst: Bei der „Exceptional Access“-Methode hinterlegen Messenger-Betreiber einen digitalen „Generalschlüssel“. Mit seiner Hilfe lässt sich verschlüsselte Kommunikation dechiffrieren. In dem Papier heißt es weiter, dass die EU starke Verschlüsselung nach wie vor unterstütze und dass die Grundrechte geschützt gehören. Jedoch seien Strafverfolger im Kampf gegen Kindesmissbrauch, Terrorismus sowie gegen das organisierte Verbrechen auf „Hintertüren“ zu verschlüsselter Kommunikation angewiesen. Dass Privatsphäre-Experten und Datenschützer dies anders sehen, versteht sich von selbst.

Verschlüsselungsverbot: IT-Experten sehen Sicherheitsrisiken

In einer Grundsatzerklärung (PDF) spricht sich der Branchenverband Bitkom sehr klar gegen diese Schwächung der Verschlüsselung aus. Bitkom-Chef Bernhard Rohleder: „Wir müssen alles dafür tun, elektronische Kommunikation so sicher wie möglich zu machen, und hier ist eine starke Verschlüsselung das Mittel der Wahl.“ Der Verband warnt, dass die Debatte zum Verschlüsselungsverbot „eine bislang ungekannte Intensität und Eingriffstiefe“ erreicht habe. „Aus technischer Sicht ist Verschlüsselung binär – sie ist sicher oder eben nicht“, heißt es.

Rohleder erkennt den Unsinn von Hintertüren: „Hintertüren sind nicht dauerhaft kontrollierbar und lassen sich durch alle denkbaren Akteure ausnutzen – von Cyberkriminellen bis zu fremden Nachrichtendiensten“, gibt er zu bedenken. Weiter sei für den Verband zu erwarten, dass Cyberkriminelle nach einem Verschlüsselungsverbot in welcher Form auch immer auf Technologien ausweichen, die ihnen eine geheime Kommunikation weiter erlaube und auf die Behörden keinen Zugriff hätten. Die Allgemeinheit jedoch bliebe mit unsicheren Systemen durch die geschwächte Verschlüsselung zurück.

Ins selbe Horn bläst die Global Encryption Coalition (GEC): Nicht nur Techniker, sondern vor allem normale Bürger müssten die Gefahren, die von unsicherer Kommunikation im Netz ausgehen, kennen. Die GEC besteht aus mehr als 75 Organisationen und fast 100 Mitgliedern. Gemeinsam zielt man darauf ab, sich gegen Hinter- und Vordertüren in sicheren Kommunikationskanälen zu engagieren. Die GEC betont insbesondere, dass in Umlauf kommende Nachschlüssel in Extremfällen Menschenleben kosten können: In Syrien seien Journalisten, die nicht verschlüsselte Quellen genutzt haben, Opfer des Islamischen Staats und des Assad-Regimes geworden.

Die Koalition weiß jedoch noch einen weiteren guten Grund, der für die verschlüsselte Kommunikation spricht: Die Bevölkerung müsste auf Enthüllungen verzichten, die Geldwäsche, Willkür oder staatliche Korruption ans Tageslicht bringen. Quellen für Enthüllungen dieser Art würden sich ausschließlich dann melden, wenn absolute Vertraulichkeit zugesichert werden kann – etwas, was heute bereits schwierig, mit aufgeweichter Verschlüsselung jedoch endgültig vorbei ist. Was für derartige Enthüllungen gilt, gilt auch für Betriebs- und Geschäftsgeheimnisse in Unternehmen: auch sie könnten in Gefahr sein.

EU-Staaten haben Resolution zur Entschlüsselung beschlossen

Das traurige Ende dieser Diskussion: am 14.12. hielt der EU-Rat eine virtuelle Sitzung ab, bei der die Innenminister der Mitgliedsstaaten die vorbereitete Resolution ohne weitere Diskussion angenommen haben. Den massiven Protesten aus der Zivilgesellschaft, der Wissenschaft, Wirtschaft und aus Teilen der Politik zum Trotz wurde der Entwurf in finaler Fassung vom 24.11. (PDF) der deutschen Ratspräsidentschaft gebilligt.

Nach offizieller Lesart möchte man keinerlei Sicherheitsmängel für Nutzer von Diensten oder Technologien schaffen. Kritiker halten dagegen: „ein bisschen verschlüsselt“ gibt es nicht – genauso wenig wie „ein bisschen schwanger“. Der EU-Rat ist taub auf diesem Ohr und möchte zum Entschlüsseln elektronischer Kommunikation die Unterstützung der Diensteanbieter wie Facebook, Google oder auch Apple.

In der Erschließung heißt es einerseits: „Verschlüsselung ist ein notwendiges Mittel zum Schutz der Grundrechte und der digitalen Sicherheit von Regierungen, Industrie und Gesellschaft“. Andererseits jedoch müsse die EU sicherstellen können, dass die „zuständigen Behörden im Bereich Sicherheit und Strafjustiz [ihre] gesetzlichen Befugnisse“ ausüben und „sowohl online als auch offline unsere Gesellschaften“ schützen können.

Dieser Zwiespalt – einerseits der Schutz, andererseits Ermittlungsbehörden, denen die Hände gebunden seien – zieht sich durchs gesamte Dokument und man stolpert bereits in der Überschrift über ihn: „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“. In einem „aktiven Dialog mit der Technologiebranche“ seien „dabei Forschung und Wissenschaft einzubeziehen“, heißt es in der Erklärung. Einerseits möchte man dabei starke Verschlüsselungstechnologien sowie die Cybersicherheit gewährleisten. Andererseits jedoch müssten die Strafverfolgungsbehörden „unter uneingeschränkter Achtung der Grundrechte und der einschlägigen Datenschutzgesetze rechtmäßig und gezielt auf Daten zugreifen können“. Man wolle grundrechtskompatible „technische Lösungen“ finden. Allerdings sei eine „einheitliche vorgeschriebene technische Lösung für den Zugang zu verschlüsselten Daten“ nicht machbar. Mit ihrer „Anti-Terror-Agenda“ hat sich auch die EU-Kommission hinter diese Ratserklärung gestellt.

Crypto Wars: Verschlüsselungsverbot ist kein gangbarer Weg

Es klingt recht hübsch: „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ und auch die Untermauerungen in dem Dokument darüber, wie wertvoll eine sichere Verschlüsselung sei, klingen wirklich toll. Was dahinter steckt, ist jedoch schlicht und ergreifend das Aufweichen sicherer Verschlüsselung – sei es nun durch Generalschlüssel, Hinter- oder Fronttüren, Uploadfilter oder sonstiger Mittel. Es ist schade, dass die Politik kein Ohr für die Kritiken an diesem Vorgehen hat – zumal es der eigentlichen Sache, dem schnelleren Stellen von Verbrechern, nicht dienlich ist: Wie der Bitkom und viele andere Kritiker bereits mehrfach betonten, weichen Kriminelle dann eben auf andere Kanäle aus. Was bleibt, sind unsicher und lückenhaft verschlüsselte Kommunikationen für die Allgemeinheit.

Ein wesentlich demokratischerer, inklusiverer sowie kooperativerer Ansatz, wie es der Branchenverband Bitkom in seinem Positionspapier beschrieben hat, wäre zielführender, denn dass Terroranschläge und Kindesmissbrauch gestoppt gehören, bezweifelt niemand. Es geht um das „Wie“ – das Aufweichen der sicheren Verschlüsselung ist sicherlich der falsche Weg.