Europol: EU will "Entschlüsselungsplattform" ausbauen
Die Europäische Union will die Ressourcen für das Brechen verschlüsselter Kommunikation vergrößern und besser koordinieren. Dies geht aus Dokumenten hervor, die die Europäische Kommission sowie der Rat der Europäischen Union (Ministerrat) veröffentlicht haben. Allerdings will die EU-Kommission Verschlüsselung weder "verbieten, einschränken oder schwächen" . Auch die Überlegungen des Ministerrats erwähnen die Möglichkeit von gesetzlich vorgeschriebenen Hintertüren in Verschlüsselungsprogrammen nicht.
Damit verfolgt die EU einen ähnlichen Ansatz wie die Bundesregierung. Diese lehnt auf der einen Seite den Einsatz von Backdoors oder eine Schlüsselhinterlegung ab, gründete aber andererseits die neue Bundesbehörde Zitis , um auf anderen Wegen verschlüsselte Kommunikation und Daten entschlüsseln zu können. Zudem beschlossen Union und SPD im vergangenen Juni, den Einsatz von sogenannten Bundestrojanern stark auszuweiten . Damit lässt sich auf Computern und Smartphones von Verdächtigen die Kommunikation beispielsweise mit Hilfe von Keyloggern vor der Verschlüsselung überwachen. Die französische Regierung hatte hingegen auf eine europäische Initiative gedrängt , um Diensteanbieter wie Whatsapp oder Telegram zur Entschlüsselung zwingen zu können.
Mehr Mitarbeiter für Europol
In dem Dokument des Ministerrats vom 2. Oktober 2017 ( PDF, deutsch(öffnet im neuen Fenster) ) heißt es unter anderem: "Zur Lösung dieser Probleme ist es nötig, mit dem aktuellen Stand der Technik im Bereich der Verschlüsselung vertraut zu sein und Schwächen bei Algorithmen und Implementierungen zu untersuchen, auch um mögliche Fehler ausnutzen zu können." Eine wichtige Rolle soll dabei die im niederländischen Den Haag angesiedelte europäische Polizeibehörde Europol spielen. Deren Ressourcen und Dienste, "insbesondere das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3), bieten die Möglichkeit der Nutzung einer Entschlüsselungsplattform an." Einige der 28 EU-Mitgliedstaaten machten bereits davon Gebrauch.
In ihrem am Mittwoch vorgestellten elften Fortschrittsbericht zur Sicherheitsunion ( PDF, englisch(öffnet im neuen Fenster) ) schlägt die EU-Kommission sechs konkrete technische Maßnahmen vor, um die Entschlüsselungsmöglichkeiten zu verbessern. Demnach soll Europol 86 zusätzliche sicherheitsbezogene Stellen bekommen. Das seien 19 mehr als im bisherigen Budgetplan vorgesehen. Damit solle insbesondere das EC3 gestärkt werden.
Werkzeugkasten entwickeln
Darüber hinaus will die EU-Kommission ein Netzwerk von Kompetenzzentren etablieren, um Ermittlungs- und Justizbehörden auf nationaler Ebene zu unterstützen. Diese sollen nationale Initiativen jedoch nicht ersetzen. Europol soll wiederum die EU-weite Zusammenarbeit dieser Einrichtungen koordinieren.
Das Netzwerk und das EC3 sollen dazu dienen, einen "Werkzeugkasten mit alternativen Ermittlungstechniken" zusammenzustellen und bereitzuhalten. Dieser Werkzeugkasten soll die Entwicklung und Nutzung von Maßnahmen erleichtern, um die von Kriminellen verschlüsselten Informationen zu erhalten. "Maßnahmen, die Verschlüsselung schwächen oder eine Auswirkung auf eine größere oder unbekannte Zahl von Nutzern haben könnten, kommen nicht in Betracht" , heißt es in dem Papier. Was damit ist, bleibt jedoch unklar. Wird beispielsweise eine unbekannte Sicherheitslücke ausgenutzt, sind potenziell Millionen Nutzer davon betroffen.
Unklare Rolle der privaten Wirtschaft
Etwas unklar bleibt auch, was mit der vierten Maßnahme bezweckt wird. Dabei legt die Kommission den Fokus "auf die wichtige Rolle von Diensteanbietern und anderen Industriepartnern bei der Bereitstellung von Lösungen mit starker Verschlüsselung" . Demnach soll "eine bessere und strukturiertere Zusammenarbeit zwischen Behörden, Diensteanbietern und anderen Industriepartnern zu einem besseren Verständnis der bestehenden und sich entwickelnden Herausforderungen auf den verschiedenen Seiten beitragen" .
Deutlich konkretere Vorschläge zur Lösung des Problems macht hingegen das Papier des Ministerrats. Dies gilt vor allem für Fälle, in denen verschlüsselte Daten bereits vorliegen und nachträglich entschlüsselt werden sollen. So könnten "in der Regel einige Erfolge erreicht werden, wenn sehr einfache Formen von Verschlüsselungsmethoden verwendet werden und dass Schlüssel mittels geeigneter Software, die eine Entschlüsselung ermöglicht, ermittelt bzw. rückgerechnet werden können. Einfache Passwörter lassen sich durch entsprechende Hardware und Programme 'knacken'."
Entschlüsselung mit Brute Force gelungen
Demnach könnten die Ermittler "erheblich zur erfolgreichen Entschlüsselung von Passwörtern beitragen, wenn sie den IT-Forensik-Experten Informationen im Zusammenhang mit dem Passwort selbst (mögliche Passphrasen, Phrasensegmente, Zeichensatz, Passwortlänge usw.) und alle elektronischen Beweismittel oder Geräte zur Verfügung stellen" . In bestimmten Fällen hätten die Passwörter mit Brute-force- oder Wörterbuchangriffen entschlüsselt werden können.
Schwer zu knacken seien Dateien, die mit Programmen wie TrueCrypt, BitLocker, FileVault2, WinRar oder PGP geschützt seien. Daher könne sich "in Fällen, in denen die Täter technisch fortschrittliche Passwörter oder komplexe Algorithmen verwenden, als unmöglich erweisen, den Verschlüsselungsschutz zu durchbrechen" . Dem Ministerrat zufolge wird dabei in einigen Mitgliedstaaten die "Entschlüsselung in Zusammenarbeit mit Privatunternehmen durchgeführt, deren Sachkenntnis sich als nützlich erweist, insbesondere wenn die Verschlüsselungsmethoden sehr komplex sind" . In mehreren Staaten gebe es jedoch keine Zusammenarbeit mit Privatfirmen für die Entschlüsselung.
Geheimdienste beharren auf Backdoors
Abschließend empfiehlt der Ministerrat den EU-Staaten, in spezielle Hard- und Software mit angemessener Rechenleistung sowie in entsprechend geschultes Personal zu investieren, "um auch in komplexen Fällen von verschlüsselten Dateien und verschlüsselter Kommunikation eine Entschlüsselung sicherzustellen" . Eine Empfehlung, die die Bundesregierung mit der Einrichtung von Zitis bereits beherzigt haben dürfte.
Den deutschen Geheimdiensten dürften diese Vorschläge jedoch nicht reichen. So hatte Verfassungsschutzpräsident Hans-Georg Maaßen kürzlich in einer Bundestagsanhörung einen "vollen Werkzeugkasten" gefordert und gesagt: "Wir hätten gerne Zugang zu Whatsapp und Telegram." Damit scheint er sowohl in der Bundesregierung als auf EU-Ebene bislang auf taube Ohren zu stoßen.