Crypto Wars: Die Quadratur des Verschlüsselungskreises
Wie sollen Ermittler verschlüsselte Nachrichten lesen können, ohne die Verschlüsselung zu schwächen oder Hintertüren in die Programme einzubauen? Vor diese kaum lösbare Aufgabe will die Bundesregierung die Anbieter von Messenger-Diensten wie Whatsapp oder Signal stellen. Die kryptografische Quadratur des Kreises könnte nach den Vorstellungen der EU-Mitgliedstaaten vorgeschrieben werden. Mit derzeit kaum absehbaren Folgen.
Nach Ansicht des Bundesinnenministeriums sollen die Anbieter selbst darüber entscheiden können, wie sie Ermittlern einen Zugriff auf Chatverläufe gestatten. Auf Nachfrage von Golem.de teilte das Ministerium mit: "Wir wollen den Providern (z.B. den Anbietern von sog. Instant Messaging Services und Sozialen Netzwerken) die Entscheidung überlassen, wie sie verschlüsselte Kommunikation als Regelfall und staatlichen Zugriff auf die Kommunikationsinhalte als gesetzlich geregelte Ausnahme gewährleisten."
Keine Hintertüren und Verschlüsselungsverbote
Weiter versicherte die Bundesregierung: "Unser Ziel ist es nicht, Verschlüsselung zu regulieren, einzuschränken oder zu verbieten. Wir wollen auch weiterhin keine Hintertüren oder Verschlüsselungsverbote." Hintergrund der Debatte ist eine geplante Resolution der EU-Mitgliedstaaten , die eine "bessere Balance" zwischen dem Schutz privater Kommunikation durch Verschlüsselung und der Verbrechensbekämpfung schaffen will.
Messenger wie Whatsapp, Signal oder Threema setzen standardmäßig auf eine Ende-zu-Ende-Verschlüsselung, bei der die verschlüsselten Inhalte nur auf den Endgeräten gelesen werden können. Bei Telegram kann eine Ende-zu-Ende-Verschlüsselung optional aktiviert werden, allerdings nicht bei Gruppen.
Seehofer will Abhörschnittstelle
Auf die mittels Ende-zu-Ende-Verschlüsselung geschützten Inhalte können Dritte, Kriminelle, Ermittlungsbehörden oder Geheimdienste nicht zugreifen. Seit Jahren wird daher über Hintertüren oder eine Schwächung der Verschlüsselung diskutiert. So forderte beispielsweise Bundesinnenminister Horst Seehofer (CSU) im vergangenen Jahr die Einrichtung einer Abhörschnittstelle .
Unklar bleibt, wie die Anbieter einen Zugriff auf die Inhalte ermöglichen sollen, ohne die kryptografischen Verfahren zu schwächen, was wiederum die Bundesregierung nicht wünscht. So versicherte in der Regierungspressekonferenz vom 9. November 2020 ein Sprecher des Innenministeriums: "Es geht jedenfalls bei der Initiative nicht darum, in irgendeiner Form eine Art Generalschlüssel zu definieren oder zu erstellen."
Doch wie könnte das sonst gehen?
Zweitschlüssel, Filtersysteme, Hintertüren
Ein Papier der EU-Kommission analysierte kürzlich verschiedene halbgare Methoden zur Umgehung der Ende-zu-Ende-Verschlüsselung . Beispielsweise werden Zweitschlüssel für den Staat oder ein Filtersystem auf dem Smartphone vorgeschlagen, das verdächtige Inhalte ausleiten könnte. Eine alternative Abhörmethode könnte eine Hintertür in der jeweiligen App sein, über die staatliche Stellen Inhalte bei bestimmten Nutzern abfragen oder ausleiten lassen können.
Nun schiebt die Bundesregierung das Problem an die Messenger-Anbieter ab, die ein unlösbares technisches Problem lösen sollen. Schon seit Jahren weisen Fachleute darauf hin, dass es entweder eine sichere Ende-zu-Ende-Verschlüsselung gibt oder eine Hintertür. Die Anbieter haben daher im Grunde nur die Wahl zwischen Pest und Corona.
Die Pläne für den Zugriff auf verschlüsselte Inhalte sind daher vergleichbar mit einer Forderung an die Autokonzerne, den Behörden einen Fernzugriff auf vernetzte Autos zu ermöglichen, um beispielsweise ein Fluchtfahrzeug stoppen zu können. Das könnte in wenigen Situationen hilfreich sein, würde aber potenziell eine große Missbrauchsgefahr bedeuten.
Kriminelle nutzen eigene Systeme
Hinzu kommt: Nutzer könnten auf solche Messenger-Dienste ausweichen, die nicht mit den Behörden kooperieren und diesen keinen Zugriff auf die Inhalte erlauben wollen. Ohnehin ist es gerade in der organisierten Kriminalität üblich, auf spezielle Messenger-Dienste und gehärtete Smartphones zurückzugreifen. Das haben auch die Ermittlungen im Zusammenhang mit dem Cyberbunker an der Mittelmosel oder der kürzlich von Europol gehackte Messenger Encrochat gezeigt , dessen Kundschaft vornehmlich Kriminelle gewesen sein sollen.
Der Chaos Computer Club (CCC) kritisierte in einer Stellungnahme(öffnet im neuen Fenster) : "Verschlüsselung kann nicht zwischen Gut und Böse unterscheiden. Entweder ist sie sicher oder sie ist es nicht. Man kann Verschlüsselung nicht so schwächen, dass die Schwächen nur durch Strafverfolgungsbehörden ausgenutzt werden können. Wohl aber können versierte Nutzer auf kaputte Kryptographie verzichten. Im Ergebnis hätten nur noch Kriminelle wahren Schutz."
Jarzombek hält Pläne für "supergefährlich"
Auch aus der Bundesregierung selbst gibt es bereits scharfe Kritik an den Plänen. "Ich finde die Idee, sichere Verschlüsselung zu brechen, supergefährlich. Kriminelle werden leicht neue Apps finden und alle rechtschaffenen Menschen kriegen eine Hintertür verpasst, durch die weiß Gott wer alles gehen wird" , sagte der Beauftragte der Bundesregierung für Digitale Wirtschaft und Startups, Thomas Jarzombek (CDU).
Inwieweit der Koalitionspartner SPD die Wünsche aus dem CSU-geführten Innenministerium mitträgt, ist ebenfalls offen. Vor allem SPD-Chefin Saskia Esken dürfte als Informatikerin die Pläne kritisch sehen. Allerdings haben Netzpolitiker wie Jarzombek und Esken bekanntlich auch nicht das Leistungsschutzrecht und Uploadfilter verhindern können.
Rein rechtlich könnte die EU beispielsweise über eine Verordnung den Betreibern von Kommunikationsdiensten untersagen, Systeme zu betreiben, die keinerlei Zugriff auf die übertragenen Inhalte ermöglichen. Das würde zwar kein ausdrückliches "Verschlüsselungsverbot" bedeuten, aber dennoch eine Hintertür in irgendeiner Art und Weise erfordern. Damit wäre die Ende-zu-Ende-Verschlüsselung faktisch ausgehöhlt. Inwieweit dies am Ende tatsächlich eine Mehrheit im Europaparlament und Ministerrat finden würde, ist derzeit offen.
Verbote schwer durchsetzbar
Ebenfalls ist fraglich, wie eine solche Anordnung durchgesetzt werden kann. Im vergangenen Jahr hatte Seehofer in diesem Fall für eine Blockade der Messenger plädiert. Wie diese Sperre umgesetzt werden und technisch funktionieren soll, ist aber unklar.
Threema hat im vergangenen Jahr bereits angekündigt, bei der Sicherheit des Messengers keine Kompromisse einzugehen. Das Unternehmen besitze in Deutschland keine Infrastruktur und falle nicht unter deutsches Recht. Verhindere Deutschland die Nutzung des Messengers, "würde sich das Land nahtlos in die Reihen totalitärer Staaten wie China oder Iran einreihen." Russland hatte schon im Jahr 2018 erfolglos versucht , den Messenger Telegram zu blockieren.
Hinzu kommt, dass Messenger mit Hintertüren im Grunde keine Server in Ländern betreiben dürften, die EU-Bürgern keinen vergleichbaren Datenschutz wie innerhalb der EU garantieren können. Das ist derzeit sogar bei den USA der Fall.
Die vielen Nachteile könnten die EU-Mitgliedstaaten vielleicht am Ende doch noch zu der Einsicht bewegen, dass der Zugriff auf verschlüsselte Kommunikation doch keine so gute Idee ist. Falls nicht, werden Mathematiker demnächst vielleicht gesetzlich dazu verpflichtet, die Quadratur des Kreises endlich zu lösen.