Crypto Wars

Als Crypto Wars werden die Auseinandersetzungen zwischen staatlichen und zivilgesellschaftlichen Akteuren bezeichnet, in denen es um vertrauliche Kommunikation geht. Den staatlichen Stellen geht es darum, Vertraulichkeit technisch und rechtlich zu erschweren und diese letztendlich unmöglich zu machen. Vertrauliche, verschlüsselte Kommunikation wird dabei als problematisch, wenn nicht sogar als gefährlich und kriminell eingestuft, die gesamte Kommunikation soll abgehört und mitgelesen werden können. Gegner sind dabei Akteure der Zivilgesellschaft, die teilweise auch Unterstützung in Politik und Wirtschaft finden.

Verschlüsselung ist mittlerweile weitverbreitet:

Webseiten und E-Mails werden überwiegend mit SSL/TLS verschlüsselt übertragen,
Messenger wenden Ende-zu-Ende-Verschlüsselung an,
VoIP-Telefonie und Videokonferenzen erlauben Verschlüsselung und
selbst E-Mails werden zunehmend mit S/Mime oder PGP verschlüsselt statt als Klartext gesendet

Crypto Wars – Ein Blick zurück

Angefangen hat es in den Neunzigern mit dem Clipper-Chip und dem als „Key Escrow“ bezeichneten US-amerikanischen Ansatz, der einerseits starke Schlüssel verbot und anderseits einen Generalschlüssel der Behörden vorsah. Diese Initiative führte letztlich nicht zum Ziel, sondern stärkte im Gegenteil die Kryptographie, die seitdem Einzug in viele Produkte hielt.

Nach dem 11. September 2001 stand der Kampf gegen den Terror im Fokus, weltweit machten sich Geheimdienste und staatliche Behörden daran, die gesamte (Internet-)Kommunikation abzuhören, gigantische Datenvolumina wurden beispielsweise von der NSA gesammelt und ausgewertet. Das Ausmaß wurde 2013 durch die Snowden-Enthüllungen bekannt und es formierte sich eine starke weltweite Gegenbewegung.

Seitdem sind die Crypto Wars in eine neue Phase getreten. Es entstanden viele Initiativen, die sichere Kommunikation zum Ziel hatten. Auch die großen IT-Unternehmen unterstützten zunehmend Verschlüsselung in Ihren Produkten, nicht zuletzt um ihre Glaubwürdigkeit und Akzeptanz zu erhöhen. In Folge dessen müssen Polizei, staatliche Behörden und Geheimdienste Aufwand treiben, um Kommunikationsinhalte mitlesen zu können.

Es gibt jetzt einen erneuten Anlauf, Entschlüsselungsmechanismen gesetzlich zu etablieren: Weltweit gibt es Gesetzesinitiativen, die als vorgeschobenes Argument den Kampf gegen Kinderpornographie anführen.

Letztlich geht es dabei aber um das ursprüngliche Ziel:

Vertrauliche Kommunikation technisch und rechtlich zu erschweren und letztendlich unmöglich zu machen.

Warum ist verschlüsselte Kommunikation so wichtig?

Kommunikation kann nur vertraulich sein, wenn sichergestellt wird, dass keine Dritten Kenntnis davon erhalten. Digitale Kommunikationsinhalte können bei der Übertragung mitgelesen oder abgehört werden, wenn keine geeignete Verschlüsselung angewandt wurde oder die Schlüssel Dritten zugänglich sind.

Digitale Inhalte bleiben nur mit Verschlüsselung vertraulich. Digitale Selbstbestimmung bedeutet, die Hoheit über die eigenen Daten zu behalten und selbst zu entscheiden mit wem mensch sie teilt.

Eine (Mit-)Nutzung privater, vertraulicher Informationen sowohl durch staatliche als auch durch andere Stellen ist nicht kontrollierbar – damit wäre Missbrauch Tür und Tor geöffnet. Wenn die Endgeräte unsicher sind oder eine Verschlüsselung nicht verlässlich ist, sind wir vielfältigen Angriffen durch Kriminelle ausgeliefert. Typische Risiken sind: Erpressung, Daten-, Passwort- und Gelddiebstahl sowie Identitätsbetrug.

Im Zeichen der voranschreitenden Digitalisierung wird unser Leben buchstäblich durch Datenströme bestimmt. Persönliche Nachrichten, Kontaktlisten und private Fotos müssen geschützt werden, sie gehen niemanden etwas an, ohne dass mensch sie selbst weitergibt.

Zunehmend werden Smartphones für alles Mögliche genutzt, von Fahrkarten über Bezahldienste hin zu digitalen Ausweisen wie dem Impfpass. Damit diese elektronischen Dienste zuverlässig und sicher funktionieren, müssen die Geräte und Daten sicher und geschützt werden, Verschlüsselungsmechanismen und Signaturen sind dabei ein zentraler Baustein.

Ein „Recht auf Verschlüsselung“ von Daten und Netzverkehr gesetzlich festzuschreiben, wird nicht nur von Datenschützern, sondern auch von den geladenen Experten in einer Anhörung des Bundestagsinnenausschusses am 27. Januar 2020 überwiegend begrüßt. Die Forderung wird von der Gesellschaft für Informatik unterstützt, deren Präsident weist darauf hin, dass eine Aufweichung der Verschlüsselung auch die Digitalisierung der Wirtschaft untergräbt, da damit Betriebs- und Geschäftsgeheimnisse nicht ausreichend geschützt sind und zudem die demokratische Willensbildung Vertraulichkeit erfordert.

Das Post- und Fernmeldegeheimnis

Aus dem grundgesetzlich garantierten Post- und Fernmeldegeheimnis (Artikel 10 GG) und weiteren gesetzlichen Regelungen wie dem Telekommunikationsgesetz (TKG) ergibt sich, dass die Kommunikationsinhalte grundsätzlich geschützt sind, also ausschließlich den Endnutzern zugänglich sein sollen.

Das Post- und Fernmeldegeheimnis kann per Gesetz beschränkt werden, beispielsweise für die Strafverfolgung. Es gibt jedoch keine Generalvollmacht, Zugriff auf Kommunikationsdaten zu erlangen, ein Zugriff muss in jedem Einzelfall richterlich begründet werden.

Selbst für die Verkehrsdaten gilt laut Telekommunikationsgesetz (TKG) das Verbot der Verwertung für andere Zwecke. Verkehrsdaten sind Metadaten, sie umfassen wer mit wem wann kommuniziert hat und bei mobilen Geräten deren Standortdaten und damit Bewegungsprofile.

Ein bunter Strauß an Gesetzen

Die Unzulässigkeit der anlasslosen Vorratsdatenspeicherung von Verkehrsdaten zur Strafverfolgung schwerer Straftaten wurde durch einschlägige Urteile bestätigt, u.a. durch das Bundesverfassungsgericht. Trotzdem wurde die Vorratsdatenspeicherung erneut ins Telekommunikationsgesetz aufgenommen.

Ein genereller Zugriff auf die Kommunikationsinhalte war in Deutschland bislang rechtlich nicht zulässig, dank dem 2020 novellierten BND-Gesetz ist nun eine Massenüberwachung von bis zu dreißig Prozent der Übertragungskapazität aller global bestehenden Telekommunikationsnetze erlaubt. Selbst das Hacken von Kommunikationsanbietern durch die Geheimdienste wird jetzt legal.

Außerdem wurde 2020 der zulässige Rahmen der Behörden mit weiteren Gesetzesvorhaben ausgeweitet, die Polizei vieler Bundesländer sowie alle deutschen Geheimdienste dürfen Staatstrojaner einsetzen und Sicherheitslücken ausnutzen, um Zugriff auf Endgeräte und die darauf gespeicherten Daten zu erlangen, was als Online-Durchsuchung bezeichnet wird. Staatliche Stellen haben die Lizenz zum Hacken bekommen, infolgedessen steht zu befürchten, dass Sicherheitslücken nicht gemeldet und damit potentiell geschlossen, sondern über längere Zeiträume ausgenutzt werden. Das Hacking der Endgeräte erfolgt oft mit (eigentlich) kriminellen Root-Kits, um Trojaner oder andere Schadsoftware zu installieren – ein Weg um Ende-zu-Ende-verschlüsselte Kommunikationsdaten abzuhören.

Dienstanbieter wurden mit dem überarbeiteten Gesetz zur Bestandsdatenauskunft dazu verpflichtet, Passwörter an Strafermittlungsbehörden herauszugeben, die Hürde wurde auf „besonders schwere Straftaten“ festgesetzt, dazu zählen etwa die Bildung terroristischer Vereinigungen oder Menschenhandel.

Die angedachte Pflicht zur Identifizierung mit Ausweisdokumenten für Dienste wie E-Mail und Messenger wurde erfreulicherweise aus dem Gesetzentwurf wieder gestrichen, für Mobiltelefone ist sie seit Jahren vorgeschrieben.

Recht auf Entschlüsselung?

Derzeit ist die politische Linie in Deutschland, der EU und weltweit darauf ausgerichtet, ein „Recht auf Entschlüsselung“ gesetzlich zu etablieren, so dass Behörden mittels eines Generalschlüssels alle Inhalte von Betroffenen sogar nachträglich entschlüsseln können. Kommt nach der missglückten Vorratsdatenspeicherung der nächste große Wurf gegen die Verschlüsselung?

Hier kommen die Crypto Wars ins Spiel:

Es gibt derzeit weltweit mehrere Initiativen, die zum Ziel haben, staatlichen Stellen ein Recht auf Entschlüsselung einzuräumen.

Bezeichnend ist, dass es eine Allianz der demokratischen Staaten ist, die damit die Bestrebungen zur Kontrolle in autoritären Staaten legitimieren:

Der Geheimdienstverbund der Five Eyes (Australien, Großbritannien, Kanada, Neuseeland und USA) startete zusammen mit Indien und Japan eine Initiative gegen End-zu-Ende-Verschlüssung und begründet die Notwendigkeit mit dem Kampf gegen Kinderpornographie.
Im US-amerikanischen Kongress wird der „Earn It“-Act vorangetrieben, der auf Bundesebene außerordentliche Entschlüsselungsrechte der Behörden durchsetzen soll.
In der EU hat der Europäische Rat eine Entschließung gegen sichere Verschlüsselung entworfen, bei Europol startete eine Entschlüsselungsplattform als Service, gerade forderte die EU das Scannen privater Chats von Facebook & Co. um Kindespornographie zu verfolgen (was letztlich nur mit Entschlüsselung geht) …
In Deutschland wurden die oben erwähnten Gesetze verabschiedet und die deutschen Vertreter treiben die Aktivitäten gegen Verschlüsselung in den europäischen Initiativen mit voran.

Es ist an der Zeit, das informationelle Selbstbestimmungsrecht in der digitalen Welt zu erstreiten – Verschlüsselung muss sicher sein.

Staatliche Stellen sollen dazu verpflichtet werden, sichere Kommunikationswege und nachweisbar sichere Verschlüsselung voranzutreiben, statt sie aufzuweichen.

Quellen und weitere Informationen

Aufgrund der Vielzahl an Quellen geben wir diesmal keine Hinweise auf Aktivitätenverfolgung und ggf. weitere eingebundene externe Inhalte , diese sind bei einigen der genannten Quellen vorhanden.

- Crypto Wars 2.0 (Erich Moechel, ORF)
  - Teil I: EU-Richtlinie für „hochklassige Cybersicherheit“ mit Nachschlüsseln https://fm4.orf.at/stories/3010484/
  - Teil II: EU-Entschlüsselungspläne offenbar „beschlossene Sache“ https://fm4.orf.at/stories/3010502/
  - Erich Moechels Talk bei der Remote Chaos Experience des CCC https://media.ccc.de/v/rc3-11533-crypto_wars_2_0_de
- Wie alles anfing: Fünf Jahre Kampf gegen Ende-zu-Ende-Verschlüsselung https://netzpolitik.org/2020/wie-alles-anfing-fuenf-jahre-kampf-gegen-ende-zu-ende-verschluesselung/
- Same old story: 40 years of debating encryption (long version) https://percepticon.de/2016/10/same-old-story-40-years-of-debating-encryption-long-version/
- Key Escrow https://en.wikipedia.org/wiki/Key_escrow

Recht auf Verschlüsselung

- Gesellschaft für Informatik: Recht auf Verschlüsselung statt Generalschlüssel für Chat-Kommunikation https://gi.de/meldung/recht-auf-verschluesselung-statt-generalschluessel-fuer-chat-kommunikation
- Bundestag, Anhörung am 27. Januar 2020: Fachleute für ein Recht auf Verschlüsselung https://www.bundestag.de/dokumente/textarchiv/2020/kw05-pa-inneres-669564
- Chaos Computer Club CCC fordert kompromissloses Recht auf Verschlüsselung https://www.ccc.de/en/updates/2020/ccc-fordert-kompromissloses-recht-auf-verschlusselung
- Electronic Frontier Foundation (EFF) – Tell Congress: Federal Money Shouldn’t Be Spent On Breaking Encryption https://www.eff.org/deeplinks/2021/04/tell-congress-federal-money-shouldnt-be-spent-breaking-encryption
- internetsociety.org – Losing the Right to Encryption Means Losing Business https://www.internetsociety.org/blog/2020/09/losing-the-right-to-encryption-means-losing-business/
- Wachsender Widerstand gegen EU-Entschlüsselungsgebot https://fm4.orf.at/stories/3010176/
- Gipfel EU-USA gegen sichere Verschlüsselung https://fm4.orf.at/stories/3013266/

Deutsche Gesetze

Fernmeldegeheimnis: Artikel 10 GG https://www.gesetze-im-internet.de/gg/art_10.html
Telekommunikationsgesetz (TKG)
- Gesetzestext: https://www.gesetze-im-internet.de/tkg_2004/BJNR119000004.html
- Zur Vorratsdatenspeicherung: Ignoranz als politische Methode https://digitalcourage.de/blog/2021/vorratsdatenspeicherung-ignoranz-politische-methode
Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
- Gesetz mit Koalitionsmehrheit beschlossen
  https://www.bundestag.de/dokumente/textarchiv/2021/kw16-de-sicherheit-informationstechnischer-systeme-834878
- Sicherheit gestalten statt Unsicherheit verwalten. Sachverständigenauskunft zum Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme. Linus Neumann et al, Chaos Computer Club https://www.bundestag.de/resource/blob/825580/b447a04913a338092da9596293f1e4a2/A-Drs-19-4-741-F-data.pdf
BND-Gesetz
- Ausspähen unter Freunden wird legalisiert und ausgeweitet https://netzpolitik.org/2020/bnd-gesetz-ausspaehen-unter-freunden-wird-legalisiert-und-ausgeweitet/
- Bundesregierung beschließt Geheimdienst-Überwachung wie zu Snowden-Zeiten https://netzpolitik.org/2020/bnd-gesetz-bundesregierung-beschliesst-geheimdienst-ueberwachung-wie-zu-snowden-zeiten/
- Bundesnachrichtendienst erhält so viele Überwachungsbefugnisse wie noch nie https://netzpolitik.org/2021/bnd-gesetz-bundesnachrichtendienst-erhaelt-so-viele-ueberwachungsbefugnisse-wie-noch-nie/
Staatstrojaner und mehr
- Vertrauen in amtliche E-Mails und Software wie ELSTER verspielt: Staatstrojaner für alle Geheimdienste! https://blogs.tu-berlin.de/datenschutz_notizen/2020/10/21/vertrauen-in-amtliche-e-mails-und-software-wie-elster-verspielt-staatstrojaner-fuer-alle-geheimdienste/
Bestandsdatenauskunft
- Gesetze gegen Hass und zur Passwortherausgabe treten in Kraft https://www.heise.de/news/Gesetzespaket-gegen-Hass-und-zur-Passwortherausgabe-tritt-in-Kraft-6004554.html
- Gesetz zur Anpassung der Regelungen über die Bestandsdatenauskunft https://www.heise.de/SharedDocs/drucksachen/2021/0201-0300/232-21.pdf?__blob=publicationFile&v=1

Internationale Gesetzesinitiativen

Five Eyes (Australien, Großbritannien, Kanada, Neuseeland und USA): Initiative gegen Kindesmißbrauch und verschlüsselte Kommunikation
- International Statement: End-To-End Encryption and Public Safety https://www.justice.gov/opa/pr/international-statement-end-end-encryption-and-public-safety
- Geheimdienstallianz „Five Eyes“ fordert staatliche Hintertür für verschlüsselte Apps – https://netzpolitik.org/2020/geheimdienstallianz-five-eyes-fordern-staatliche-hintertuer-fuer-verschluesselte-apps/
Earn it Act (USA)
- Electronic Frontier Foundation dazu
  - In 2020, Congress Threatened Our Speech and Security With the “EARN IT” Act https://www.eff.org/deeplinks/2020/12/2020-congress-threatened-our-speech-and-security-earn-it-act
  - The New EARN IT Bill Still Threatens Encryption and Free Speech https://www.eff.org/deeplinks/2020/07/new-earn-it-bill-still-threatens-encryption-and-free-speech
- Entwurfstext – EARN IT Act of 2020 https://www.congress.gov/bill/116th-congress/senate-bill/3398/text
Europäischer Rat – Entschließung des Rates zur Verschlüsselung – Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung
- Text des Entwurfs (Stand November 2020) https://data.consilium.europa.eu/doc/document/ST-13084-2020-REV-1/de/pdf
- Open letter responding to the Council’s draft resolution on „Encryption — Security through encryption and security despite encryption“ https://sites.google.com/view/scientists4crypto/
Crypto Wars: Europol startet mit Entschlüsselungsplattform durch https://www.heise.de/news/Crypto-Wars-Europol-startet-mit-Entschluesselungsplattform-durch-4995869.html
Crypto-Wars: EU-Staaten wollen Zugang zu verschlüsselten Nachrichten https://netzpolitik.org/2020/crypto-wars-eu-staaten-wollen-zugang-zu-verschluesselten-nachrichten/
ePrivacy-Ausnahme: EU billigt Durchleuchtung privater Chats https://netzpolitik.org/2021/eprivacy-ausnahme-eu-billigt-durchleuchtung-privater-chats/

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia Alle Beiträge von don't panic anzeigen