Vorarbeiten für die Aufweichung der Verschlüsselung seit 2017

2016 eskalierte der Streit um die Verschlüsselung: Nämlich, als es um das verschlüsselte iPhone des San-Bernardino-Attentäters ging. Das FBI wollte Apple dazu zwingen, eine Software zu programmieren und auszuliefern, die Sicherheitsfunktionen des Smartphones deaktivierte.

Dabei ging es um aktuelle Kontakte auf dem Smartphone, auf die das FBI jedoch problemlos über die Backups in der iCloud hätte zugreifen können, wenn es nicht zuvor selbst das Passwort des iCloud-Kontos geändert hätte. Infolge des Streits soll Apple eine geplante Verschlüsselung der Backups in der Cloud angeblich nicht umgesetzt haben.

In der EU wurde es laut Moechel im Jahr 2017 konkret. Etliche Vorarbeiten, die für eine Schwächung der Verschlüsselung notwendig sind, seien damals umgesetzt worden: So sei Anfang 2017 ein neuer ETSI-Standard (European Telecom Standards Institute) zur Überwachung sozialer Netze verabschiedet worden. Ein Interface für den Austausch der abgefangenen Daten stehe ebenfalls bereit. Zudem übernahm der Rat die Forderung von Europol, Anbieter von sogenannten Over-the-Top-Diensten wie Messengern oder E-Mail den klassischen Internet-Providern und Telefonanbietern gleichzustellen. Alle Anforderungen für den Abtransport der Daten seien bereits vorbereitet worden, sagte Moechel.

Viele Initiativen gegen Verschlüsselung

Im darauffolgenden Jahr stellte die EU-Kommission eine Verordnung zur "Sicherung von Beweismitteln in der Cloud" vor - eine Art elektronischer Durchsuchungsbefehl, der EU-weit gilt. Zuvor hatten die USA bereits den Cloud Act verabschiedet, mit dem sie sich den Zugriff auf Server von US-Unternehmen sichern, die außerhalb der USA stehen. EU und USA verhandeln zudem über ein Abkommen, das einen gegenseitigen Zugriff auf Cloud-Dienste in der jeweiligen Jurisdiktion ermöglichen soll, auch wenn die USA dem zwischenzeitlich eine Absage erteilten.

Darüber hinaus stellte das GCHQ ein Konzept vor, bei dem etwa ein Messenger-Anbieter durch das Hinzufügen eines weiteren Kommunikationsteilnehmers (Ghost) den Geheimdiensten und Strafverfolgungsbehörden einen Zugang zu den dann nicht mehr Ende-zu-Ende-verschlüsselten Daten ermöglicht. Die Five-Eye-Staaten (USA, Großbritannien, Kanada, Neuseeland und Australien) forderten daraufhin erneut einen generellen Zugang zu verschlüsselten Inhalten.

Uploadfilter gegen Terrorinhalte und Verschlüsselung

Doch auch auf europäischer Ebene ging es in dieser Richtung weiter: 2019 veröffentlichte ETSI eine unsichere TLS-Variante, die eine Überwachungsschnittstelle enthält. Bei der IETF war es zuvor mit ähnlichen Vorstößen erfolglos gewesen. Mit dem Attentat auf eine Moschee im neuseeländischen Christchurch kehrte jedoch die Debatte um Uploadfilter für Terrorinhalte zurück.

Uploadfilter finden sich auch ein Jahr später in einem Papier der EU-Kommission wieder, in dem sie dazu dienen sollen, die Ende-zu-Ende-Verschlüsselung auszuhebeln. In dem Papier werden verschiedene Methoden diskutiert, um an die verschlüsselten Inhalte zu kommen, darunter auch Zweitschlüssel.

Nur wenige Monate zuvor wurde zudem in den USA das Gesetzesvorhaben Earn IT Act vorgestellt, das letztlich die aktuellen EU-Beschlüsse vorwegnimmt. Das Gesetz verpflichtet Anbieter von Kommunikationsdiensten, bestimmte Maßnahmen umzusetzen, die dem Schutz von Kindern dienen sollen, praktisch aber eine Ende-zu-Ende-Verschlüsselung unmöglich machen würden. Das sei fast schon wie im Ballett choreographiert, sagte Moechel zu dieser Abfolge an Initiativen, deren jüngste Schritte die Verabschiedung der Resolution im Ministerrat sowie der Richtlinienentwurf für "hochklassige Cybersicherheit" sind.

"Das wird jetzt immer wieder irgendwo in der EU auftauchen", sagt Moechel. "Die Geheimdienste und die Strafverfolgungsbehörden wollen das unbedingt." Dennoch ist er nicht gänzlich pessimistisch: "Wir haben mit der Wirtschaft und großen US-Unternehmen starke Verbündete." Letztlich handle es sich bei der Initiative "um ein Rückzugsgefecht, bei dem wir sie frühzeitig erwischt haben".