Crypto Wars – der Kampf um Verschlüsselung

Als Crypto Wars werden die Auseinandersetzungen zwischen staatlichen und zivilgesellschaftlichen Akteuren bezeichnet, in denen es um vertrauliche Kommunikation geht. Den staatlichen Stellen geht es darum, Vertraulichkeit technisch und rechtlich zu erschweren und diese letztendlich unmöglich zu machen. Vertrauliche, verschlüsselte Kommunikation wird dabei als problematisch, wenn nicht sogar als gefährlich und kriminell eingestuft, die gesamte Kommunikation soll abgehört und mitgelesen werden können. Gegner sind dabei Akteure der Zivilgesellschaft, die teilweise auch Unterstützung in Politik und Wirtschaft finden.

Verschlüsselung ist mittlerweile weitverbreitet:
  • Webseiten und E-Mails werden überwiegend mit SSL/TLS verschlüsselt übertragen,
  • Messenger wenden Ende-zu-Ende-Verschlüsselung an,
  • VoIP-Telefonie und Videokonferenzen erlauben Verschlüsselung und
  • selbst E-Mails werden zunehmend mit S/Mime oder PGP verschlüsselt statt als Klartext gesendet

Crypto Wars – Ein Blick zurück

Angefangen hat es in den Neunzigern mit dem Clipper-Chip und dem als „Key Escrow“ bezeichneten US-amerikanischen Ansatz, der einerseits starke Schlüssel verbot und anderseits einen Generalschlüssel der Behörden vorsah. Diese Initiative führte letztlich nicht zum Ziel, sondern stärkte im Gegenteil die Kryptographie, die seitdem Einzug in viele Produkte hielt.

Nach dem 11. September 2001 stand der Kampf gegen den Terror im Fokus, weltweit machten sich Geheimdienste und staatliche Behörden daran, die gesamte (Internet-)Kommunikation abzuhören, gigantische Datenvolumina wurden beispielsweise von der NSA gesammelt und ausgewertet. Das Ausmaß wurde 2013 durch die Snowden-Enthüllungen bekannt und es formierte sich eine starke weltweite Gegenbewegung.

Seitdem sind die Crypto Wars in eine neue Phase getreten. Es entstanden viele Initiativen, die sichere Kommunikation zum Ziel hatten. Auch die großen IT-Unternehmen unterstützten zunehmend Verschlüsselung in Ihren Produkten, nicht zuletzt um ihre Glaubwürdigkeit und Akzeptanz zu erhöhen. In Folge dessen müssen Polizei, staatliche Behörden und Geheimdienste Aufwand treiben, um Kommunikationsinhalte mitlesen zu können.

Es gibt jetzt einen erneuten Anlauf, Entschlüsselungsmechanismen gesetzlich zu etablieren: Weltweit gibt es Gesetzesinitiativen, die als vorgeschobenes Argument den Kampf gegen Kinderpornographie anführen.

Letztlich geht es dabei aber um das ursprüngliche Ziel:

Vertrauliche Kommunikation technisch und rechtlich zu erschweren und letztendlich unmöglich zu machen.

Warum ist verschlüsselte Kommunikation so wichtig?

Kommunikation kann nur vertraulich sein, wenn sichergestellt wird, dass keine Dritten Kenntnis davon erhalten. Digitale Kommunikationsinhalte können bei der Übertragung mitgelesen oder abgehört werden, wenn keine geeignete Verschlüsselung angewandt wurde oder die Schlüssel Dritten zugänglich sind.

Digitale Inhalte bleiben nur mit Verschlüsselung vertraulich. Digitale Selbstbestimmung bedeutet, die Hoheit über die eigenen Daten zu behalten und selbst zu entscheiden mit wem mensch sie teilt.

Eine (Mit-)Nutzung privater, vertraulicher Informationen sowohl durch staatliche als auch durch andere Stellen ist nicht kontrollierbar – damit wäre Missbrauch Tür und Tor geöffnet. Wenn die Endgeräte unsicher sind oder eine Verschlüsselung nicht verlässlich ist, sind wir vielfältigen Angriffen durch Kriminelle ausgeliefert. Typische Risiken sind: Erpressung, Daten-, Passwort- und Gelddiebstahl sowie Identitätsbetrug.

Im Zeichen der voranschreitenden Digitalisierung wird unser Leben buchstäblich durch Datenströme bestimmt. Persönliche Nachrichten, Kontaktlisten und private Fotos müssen geschützt werden, sie gehen niemanden etwas an, ohne dass mensch sie selbst weitergibt.

Zunehmend werden Smartphones für alles Mögliche genutzt, von Fahrkarten über Bezahldienste hin zu digitalen Ausweisen wie dem Impfpass. Damit diese elektronischen Dienste zuverlässig und sicher funktionieren, müssen die Geräte und Daten sicher und geschützt werden, Verschlüsselungsmechanismen und Signaturen sind dabei ein zentraler Baustein.

Ein „Recht auf Verschlüsselung“ von Daten und Netzverkehr gesetzlich festzuschreiben, wird nicht nur von Datenschützern, sondern auch von den geladenen Experten in einer Anhörung des Bundestagsinnenausschusses am 27. Januar 2020 überwiegend begrüßt. Die Forderung wird von der Gesellschaft für Informatik unterstützt, deren Präsident weist darauf hin, dass eine Aufweichung der Verschlüsselung auch die Digitalisierung der Wirtschaft untergräbt, da damit Betriebs- und Geschäftsgeheimnisse nicht ausreichend geschützt sind und zudem die demokratische Willensbildung Vertraulichkeit erfordert.

Das Post- und Fernmeldegeheimnis

Aus dem grundgesetzlich garantierten Post- und Fernmeldegeheimnis (Artikel 10 GG) und weiteren gesetzlichen Regelungen wie dem Telekommunikationsgesetz (TKG) ergibt sich, dass die Kommunikationsinhalte grundsätzlich geschützt sind, also ausschließlich den Endnutzern zugänglich sein sollen.

Das Post- und Fernmeldegeheimnis kann per Gesetz beschränkt werden, beispielsweise für die Strafverfolgung. Es gibt jedoch keine Generalvollmacht, Zugriff auf Kommunikationsdaten zu erlangen, ein Zugriff muss in jedem Einzelfall richterlich begründet werden.

Selbst für die Verkehrsdaten gilt laut Telekommunikationsgesetz (TKG) das Verbot der Verwertung für andere Zwecke. Verkehrsdaten sind Metadaten, sie umfassen wer mit wem wann kommuniziert hat und bei mobilen Geräten deren Standortdaten und damit Bewegungsprofile.

Ein bunter Strauß an Gesetzen

Die Unzulässigkeit der anlasslosen Vorratsdatenspeicherung von Verkehrsdaten zur Strafverfolgung schwerer Straftaten wurde durch einschlägige Urteile bestätigt, u.a. durch das Bundesverfassungsgericht. Trotzdem wurde die Vorratsdatenspeicherung erneut ins Telekommunikationsgesetz aufgenommen.

Ein genereller Zugriff auf die Kommunikationsinhalte war in Deutschland bislang rechtlich nicht zulässig, dank dem 2020 novellierten BND-Gesetz ist nun eine Massenüberwachung von bis zu dreißig Prozent der Übertragungskapazität aller global bestehenden Telekommunikationsnetze erlaubt. Selbst das Hacken von Kommunikationsanbietern durch die Geheimdienste wird jetzt legal.

Außerdem wurde 2020 der zulässige Rahmen der Behörden mit weiteren Gesetzesvorhaben ausgeweitet, die Polizei vieler Bundesländer sowie alle deutschen Geheimdienste dürfen Staatstrojaner einsetzen und Sicherheitslücken ausnutzen, um Zugriff auf Endgeräte und die darauf gespeicherten Daten zu erlangen, was als Online-Durchsuchung bezeichnet wird. Staatliche Stellen haben die Lizenz zum Hacken bekommen, infolgedessen steht zu befürchten, dass Sicherheitslücken nicht gemeldet und damit potentiell geschlossen, sondern über längere Zeiträume ausgenutzt werden. Das Hacking der Endgeräte erfolgt oft mit (eigentlich) kriminellen Root-Kits, um Trojaner oder andere Schadsoftware zu installieren – ein Weg um Ende-zu-Ende-verschlüsselte Kommunikationsdaten abzuhören.

Dienstanbieter wurden mit dem überarbeiteten Gesetz zur Bestandsdatenauskunft dazu verpflichtet, Passwörter an  Strafermittlungsbehörden herauszugeben, die Hürde wurde auf „besonders schwere Straftaten“ festgesetzt, dazu zählen etwa die Bildung terroristischer Vereinigungen oder Menschenhandel.

Die angedachte Pflicht zur Identifizierung mit Ausweisdokumenten für Dienste wie E-Mail und Messenger wurde erfreulicherweise aus dem Gesetzentwurf wieder gestrichen, für Mobiltelefone ist sie seit Jahren vorgeschrieben.

Recht auf Entschlüsselung?

Derzeit ist die politische Linie in Deutschland, der EU und weltweit darauf ausgerichtet, ein „Recht auf Entschlüsselung“ gesetzlich zu etablieren, so dass Behörden mittels eines Generalschlüssels alle Inhalte von Betroffenen sogar nachträglich entschlüsseln können. Kommt nach der missglückten Vorratsdatenspeicherung der nächste große Wurf gegen die Verschlüsselung?

Hier kommen die Crypto Wars ins Spiel:

Es gibt derzeit weltweit mehrere Initiativen, die zum Ziel haben, staatlichen Stellen ein Recht auf Entschlüsselung einzuräumen.

Bezeichnend ist, dass es eine Allianz der demokratischen Staaten ist, die damit die Bestrebungen zur Kontrolle in autoritären Staaten legitimieren:

  • Der Geheimdienstverbund der Five Eyes (Australien, Großbritannien, Kanada, Neuseeland und USA) startete zusammen mit Indien und Japan eine Initiative gegen End-zu-Ende-Verschlüssung und begründet die Notwendigkeit mit dem Kampf gegen Kinderpornographie.
  • Im US-amerikanischen Kongress wird der „Earn It“-Act vorangetrieben, der auf Bundesebene außerordentliche Entschlüsselungsrechte der Behörden durchsetzen soll.
  • In der EU hat der Europäische Rat eine Entschließung gegen sichere Verschlüsselung entworfen, bei Europol startete eine Entschlüsselungsplattform als Service, gerade forderte die EU das Scannen privater Chats von Facebook & Co. um Kindespornographie zu verfolgen (was letztlich nur mit Entschlüsselung geht) …
  • In Deutschland wurden die oben erwähnten Gesetze verabschiedet und die deutschen Vertreter treiben die Aktivitäten gegen Verschlüsselung in den europäischen Initiativen mit voran.

Es ist an der Zeit, das informationelle Selbstbestimmungsrecht in der digitalen Welt zu erstreiten – Verschlüsselung muss sicher sein.

Staatliche Stellen sollen dazu verpflichtet werden, sichere Kommunikationswege und nachweisbar sichere Verschlüsselung voranzutreiben, statt sie aufzuweichen.

Quellen und weitere Informationen

Aufgrund der Vielzahl an Quellen geben wir diesmal keine Hinweise auf Aktivitätenverfolgung und ggf. weitere eingebundene externe Inhalte , diese sind bei einigen der genannten Quellen vorhanden.

Crypto Wars

Recht auf Verschlüsselung

Deutsche Gesetze

Internationale Gesetzesinitiativen

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.