Crypto Wars: Wie die EU verschlüsselte Kommunikation knacken will

Die EU-Mitgliedstaaten wollen eine "bessere Balance" zwischen dem Schutz privater Kommunikation durch Verschlüsselung und der Verbrechensbekämpfung schaffen. Das geht aus einem internen Papier des EU-Ministerrats hervor, das vom Österreichischen Rundfunk (ORF) veröffentlicht wurde. Das fünfseitige Dokument (PDF) präferiert jedoch keine konkreten Verfahren zum Brechen von Ende-zu-Ende-Verschlüsselung oder fordert gar deren Verbot. "Es sollte jedoch keine einzelne vorgeschriebene technische Lösung geben, um den Zugriff auf verschlüsselte Daten zu ermöglichen", heißt es in dem Papier.

Die aktuelle Position des Ministerrats steht damit im Einklang mit einem Forschungspapier, das Anfang September 2020 bekanntgeworden war. Dieses soll Methoden aufzeigen, um pädokriminelles Material auch bei verschlüsselter Kommunikation entdecken zu können. Entsprechende Überlegungen hatte die EU-Kommission gemeinsam mit Fachleuten von Microsoft, Google, verschiedenen Polizeibehörden, dem Geheimdienst GCHQ und mehreren Opferverbänden angestellt.

Herausgekommen sind einige halbgare technische Vorschläge (PDF), die die Ende-zu-Ende-Verschlüsselung auf verschiedene Weise aushebeln, um die übertragenen Inhalte auswerten zu können. Diskutiert wird beispielsweise ein Zweitschlüssel ("Exceptional Access"), mit dem Strafverfolgungsbehörden oder Geheimdienste auf die dann nicht mehr Ende-zu-Ende-verschlüsselten Inhalte zugreifen könnten.

Als Alternative wird vorgeschlagen, dass die Inhalte mit einer Art Uploadfilter auf dem Smartphone oder Computer des Benutzers analysiert und je nachdem an Behörden ausgeleitet werden. Auch damit würde die Ende-zu-Ende-Verschlüsselung ausgehebelt.

Ministerrat fordert sichere Verschlüsselung und Überwachung

In dem neuen Papier des Ministerrats wird zunächst hervorgehoben, dass Regierungen, kritische Infrastrukturen, Zivilgesellschaft, Bürger und Industrie "von einer leistungsstarken Verschlüsselungstechnologie profitieren". Das sei auch wichtig für den Transfer personenbezogener Daten von EU-Bürgern in Drittstaaten. Allerdings wird darauf hingewiesen, dass die Verschlüsselungsverfahren auch von Kriminellen genutzt werden können, so dass die "zuständigen Behörden" nicht darauf zugreifen könnten.

Entsprechende Bedenken werden in der Debatte um Zugriff auf verschlüsselte Kommunikation regelmäßig geäußert. Zuletzt in einem EU-Papier zum Zugriff auf Kommunikationsdaten beim neuen Mobilfunkstandard 5G.

Die EU soll dem neuen Papier zufolge die "aktive Diskussion" mit der IT-Industrie und Sicherheitsforschern suchen, "um die kontinuierliche Implementierung und Nutzung einer starken Verschlüsselungstechnik zu gewährleisten". Dann wird jedoch gefordert: "Die zuständigen Behörden müssen in der Lage sein, auf rechtmäßige und zielgerichtete Weise unter vollständiger Wahrung der Grundrechte und der Datenschutzvorgaben auf Daten zuzugreifen und gleichzeitig die Cybersicherheit zu gewährleisten. Technische Lösungen für den Zugang zu verschlüsselten Daten müssen den Grundsätzen der Rechtmäßigkeit, Transparenz, Notwendigkeit und Verhältnismäßigkeit entsprechen."

Der Ministerrat fordert dazu EU-weit einheitliche Regelungen, die auf der einen Seite die Grundrechte einhalten, auf der anderen Seite die Vorteile der Verschlüsselung wahren sollen. Abschließend heißt es: "Mögliche Lösungen sollten auf transparente Weise in Zusammenarbeit mit Kommunikationsdienstleistern entwickelt werden."

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Trojaner, Zweitschlüssel oder Uploadfilter

Solche "communication service providers" (CSP), wie es im englischen Original heißt, sind jedoch keine Messengerdienste wie Whatsapp oder Signal, die die Kommunikationsinhalte ihrer Nutzer verschlüsseln und als Over-the-Top-Anbieter (OTT) bezeichnet werden. Vielmehr werden darunter in der Regel Mobilfunkprovider oder Kabelnetzbetreiber verstanden, die die Daten lediglich transportieren. Welche Anbieter der Ministerrat aber konkret unter dem Begriff versteht, ist unklar.

Die Bundesregierung plant allerdings ebenfalls, Provider zur Manipulation des Datenverkehrs zu verpflichten, um beispielsweise Trojaner auf Endgeräten von Verdächtigen platzieren zu können. Inwieweit die EU-Länder diesen Ansatz verfolgen, ist ebenfalls offen.

Der ORF berichtet unter Berufung auf weitere Informationen, die dem Sender vorliegen sollen, dass die Überwachungsmethode "Exceptional Access" von den EU-Staaten präferiert werde. Dies würde allerdings einen Nachschlüssel bei den eigentlichen Messengerdiensten wie Whatsapp voraussetzen. Ein solcher Zugang könnte aber von Ermittlern und Geheimdiensten anderer Staaten ebenfalls genutzt werden, so dass solche Dienste, wie im Falle der USA, nicht mehr mit den Vorgaben der Datenschutzgrundverordnung (DSGVO) vereinbar wären.

Ohnehin können Pädokriminelle, Terroristen oder die organisierte Kriminalität schlicht auf Messenger oder Verschlüsselungsdienste setzen, die keine entsprechenden Hintertüren enthalten. Daher ist derzeit kaum abzusehen, wie die Ende-zu-Ende-Verschlüsselung ohne Methoden wie Staatstrojaner ausgehebelt und gleichzeitig deren eigentliche Funktion noch aufrechterhalten werden soll.