Crypto Wars: Massive Proteste gegen EU-Angriff auf Verschlüsselung

Nach- oder Generalschlüssel könnten zu einer "Katastrophe" und einem "Totalverlust" der digitalen Grundrechte führen, warnen Experten.

Die geplante Erklärung des EU-Ministerrats zu "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung", mit der die Mitgliedsstaaten die Beihilfe von Dienstanbietern wie Apple, Facebook, Google, Threema, Signal oder WhatsApp zum Entschlüsseln fordern wollen, schlägt hohe Wellen. Vertreter aus Wissenschaft, Wirtschaft und Politik laufen Sturm gegen das Vorhaben. Sie sehen den Datenschutz und die Sicherheit im Internet und anderen digitalen Anwendungen komplett unterlaufen.

Die Gesellschaft für Informatik (GI) etwa fordert die deutsche EU-Ratspräsidentschaft, die Kommission und das Parlament auf, sich dem Versuch "vehement entgegenzustellen", Ende-zu-Ende-Verschlüsselung aufzuweichen. Die Initiative gefährde nicht nur die informationelle Selbstbestimmung der Bürger, sondern auch den Schutz von Betriebs- und Geschäftsgeheimnissen der Unternehmen, warnte GI-Präsident Hannes Federrath. Die Bundesregierung müsse sich auf ihre Position besinnen, wonach sie eine "gezielte Schwächung oder Regulierung von Verschlüsselungstechniken" nicht verfolge.

"Auch für die politische Willensbildung und Gestaltung einer freien Gesellschaft brauchen wir eine verlässlich vertrauliche Kommunikation", mahnte Federrath. "Das Grundrecht auf Verschlüsselung ist wichtig für unsere Demokratie – so wie es das Postgeheimnis in der analogen Welt war." Geheime Kommunikation lasse sich weder mit einem Generalschlüssel noch mit einem Verschlüsselungsverbot wirksam verhindern. Kriminelle könnten etwa auf unbeobachtbare Kommunikation mit Steganographie ausweichen. Die Datenschutzgrundverordnung (DSGVO) verpflichte explizit zum Einsatz kryptographischer Lösungen.

IT-Systeme gehören geschützt
Verschlüsselung habe sich zwar "zu einem massiven Problem für die Ermittlungsbehörden entwickelt", meint der Bundesverband IT-Sicherheit (TeleTrusT). Prinzipiell helfe sie aber "die Werte auf unseren IT-Systemen angemessen zu schützen und damit sicher und vertrauenswürdig in die digitale Zukunft zu gehen". Verschlüsselung auszuhöhlen bedeute, "die ohnehin träge Digitalisierung in der EU zu gefährden", gibt Karsten aus dem Vorsitz des Verbands zu bedenken. Es gelte, das Vertrauen in IT zu fördern, nicht zu mindern.

Lösungen mit Hintertüren können laut Bartels nicht "als dem 'Stand der Technik' entsprechend betrachtet werden". Generalschlüssel schadeten "massiv dem liberalen Rechtsstaat". Wenn Nachschlüssel in größerer Zahl in die falschen Hände fielen, könnte dies zu einer Katastrophe führen.

"Verschlüsselung ist ein – um nicht zu sagen das wichtigste – Instrument für sichere Kommunikation im Netz", unterstreicht Klaus Landefeld aus dem Vorstand des eco-Verbands der Internetwirtschaft. Der geplante tiefe Eingriff konterkariere die IT-Sicherheit, manipuliere die bestehenden komplexen Softwaresysteme der Betreiber von Messenger-Diensten und stehe "in keinem Verhältnis zum noch unbewiesenen Nutzen bei der Kriminalitäts- und Terrorbekämpfung". Es drohten breite Einfallstore für den "unkontrollierten Zugriff unzähliger Bedarfsträger und Geheimdienste aus dem In- und Ausland auf die Kommunikation der EU-Bürger".

Vorfälle werden für eine Sicherheitsrhetorik genutzt
In dem Papier, das die Bundesregierung ausgearbeitet hat, sei zwar wiederholt von einem Ausgleich zwischen Sicherheitsinteressen und Grundrechten die Rede, weiß Stephan Dreyer vom Hans-Bredow-Institut für Medienforschung. Der Hinweis auf die "Zusammenarbeit" mit den Anbietern weise aber darauf hin, "dass die Initiative möglicherweise auf die Schaffung von Hintertüren oder das Vorhalten von Generalschlüsseln durch die Plattformen abzielt". Jede Form der systematischen Möglichkeit einer Entschlüsselung würde bedeuten, "dass definitionsgemäß von Beginn an gar keine Verschlüsselung vorlag". Ein bisschen verschlüsselt "gibt es nicht".

Die seit Jahren geführte Debatte behandle ein "hochrangiges Thema", da es "vor allem auch um den Schutz von Leib und Leben geht", erläutert Dennis-Kenji Kipker vom Bremer Institut für Informationsrecht. Kaum nachvollziehbar sei aber, dass immer wieder einzelne tragische Vorfälle – wie jüngst der Anschlag in Wien – herausgegriffen würden, "um sicherheitspolitische Vorhaben konsensfähig zu machen". So werde aus einem Abwägen schnell eine "einseitige Sicherheitsrhetorik", die nicht zwangsläufig zu einem verfassungskonformen Gesetz führe.

Tod des digitalen Briefgeheimnisses
Für Thilo Weichert vom Netzwerk Datenschutzexpertise hätte die Pflicht, Zugänge für Sicherheitsbehörden inklusive Geheimdiensten bereitzustellen, zur Folge, dass ein technischer Selbstschutz nicht mehr möglich wäre. Niemand könne gewährleisten, "dass die Entschlüsselung nur unter rechtsstaatlicher Kontrolle zum Einsatz käme". Digitale Grundrechte drohten so "zum Totalverlust zu werden". Der Bundesdatenschutzbeauftragte Ulrich Kelber twitterte, dass er sich "seit jeher vehement gegen Hintertüren" ausgesprochen habe. Das konkrete Papier müsse er sich aber erst genau anschauen.

Wer sichere Verschlüsselung opfere, um abhören zu können, öffne "massenhaftem Ausspähen durch ausländische Geheimdienste und auch Hackerangriffen Tür und Tor", betonte der EU-Abgeordnete Patrick Breyer von der Piratenpartei. "Die Sicherheit unser aller Kommunikation muss Vorrang haben. Das ist die klare Position des Europaparlaments seit 2017." Sein FDP-Kollege Moritz Körner äußerte sich ähnlich: "Ein Verschlüsselungsverbot wäre ein Terroranschlag auf die Bürgerrechte in der EU und würde jede private Kommunikation unsicher machen." Terroristen würden sofort alternative Wege nutzen, die Bürger wären schutzlos, das digitale Briefgeheimnis tot.

Quelle: Crypto Wars: Massive Proteste gegen EU-Angriff auf Verschlüsselung | heise online

Crypto Wars: Grünes Licht für umkämpfte EU-Erklärung zu Entschlüsselung

Diplomaten haben die von der Bundesregierung ausgearbeitete Entschließung des EU-Rats zur Verschlüsselung gebilligt. IT-Firmen sollen beim Entschlüsseln helfen.

Im EU-Ministerrat ist der Weg frei für die heftig umstrittenen Schlussfolgerungen zu "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung". Der Ausschuss der Ständigen Vertreter der Mitgliedstaaten (Coreper) befürwortete den finalen Entwurf der deutschen Ratspräsidentschaft am Mittwoch. Die Innenminister der EU-Länder müssen das Papier so bei ihrer nächsten Videokonferenz am 14. Dezember nur noch formal abnicken.

Zugriff auf verschlüsselte Daten
Die im Coreper versammelten Diplomaten, die Entscheidungen der Ressortleiter vorbereiten, billigten die Entschließung im schriftlichen Umlaufverfahren ohne Aussprache. Die endgültige Version vom 24. November haben die Bürgerrechtsorganisation Statewatch auf englisch und die Zeit auf deutsch veröffentlicht. Obwohl die Bundesregierung mit früheren Entwürfe eine Welle der Kritik aus Wirtschaft, Wissenschaft und Zivilgesellschaft auslöste, änderte sie zuletzt nur noch Nuancen am Text.

Die Autoren der Erklärung werben so nach wie vor für die in den laufenden Crypto Wars unter anderem von Geheimdiensten und dem FBI entwickelte Idee, dass für Sicherheitsbehörden eine Form des außergewöhnlichen Zugriffs auf verschlüsselte Daten möglich sein sollte und könnte. Grundlegende Sicherheitsmängel für alle anderen Nutzer eines Dienstes oder einer Technologie sollen damit nicht geschaffen werden.

"Magische Lösung"
Techniker haben eine solche "magische Lösung" immer wieder ins Reich der Märchen verdammt, da es "ein bisschen verschlüsselt" nicht gebe. Der Rat setzt trotzdem auf die Beihilfe von Dienstanbietern wie Apple, Facebook, Google, Threema, Signal oder WhatsApp beim Entschlüsseln elektronischer Kommunikation.

"Verschlüsselung ist ein notwendiges Mittel zum Schutz der Grundrechte und der digitalen Sicherheit von Regierungen, Industrie und Gesellschaft", heißt es in der Entschließung. Gleichzeitig müsse die EU aber sicherstellen, dass die "zuständigen Behörden im Bereich Sicherheit und Strafjustiz", was Geheimdienste einschließt, ihre "gesetzlichen Befugnisse" ausüben und so "sowohl online als auch offline unsere Gesellschaften" und Bürger schützen können.

Elektronische Beweismitteln
Diese Zwiespältigkeit, die schon im Titel angelegt ist, zieht sich durch das ganze Dokument. "Ganz offensichtlich kommen Verschlüsselungstechnologien allen Seiten zugute", schreibt die Bundesregierung. "Es werden nicht nur elektronische Geräte und Anwendungen zunehmend so programmiert, dass sie gespeicherte Nutzerdaten standardmäßig verschlüsseln". Auch immer mehr Kommunikationskanäle und Datenspeicherdienste würden durch Ende-zu-Ende-Verschlüsselung gesichert.

Die Digitalisierung moderner Gesellschaften bringt laut der Deklaration indes auch "gewisse Schwachstellen und das Potenzial einer Ausbeutung für kriminelle Zwecke mit sich". So könnten Straftäter "leicht zugängliche, herkömmliche Verschlüsselungslösungen, die für rechtmäßige Zwecke konzipiert sind, für ihre Vorgehensweisen nutzen". Gleichzeitig hänge die Strafverfolgung zunehmend vom Zugang zu elektronischen Beweismitteln ab, um Terrorismus, organisierte Kriminalität, sexuellen Missbrauch von Kindern sowie eine Vielzahl anderer Cyberstraftaten wirksam zu bekämpfen.

Datenzugriff trotz starker Verschlüsselung
Unabhängig vom derzeitigen technologischen Umfeld ist es den Verfassern zufolge daher unerlässlich, die Befugnisse der zuständigen Behörden "durch rechtmäßigen Zugang zu wahren, damit sie ihre Aufgaben wie gesetzlich vorgeschrieben und zulässig wahrnehmen können". Die Rede ist von Gesetzen, in denen solche "Durchsetzungsbefugnisse vorgesehen sind". Diese müssten "im vollen Einklang mit einem ordnungsgemäßen Verfahren und anderen Garantien sowie den Grundrechten stehen". Die unterschiedlichen Interessen seien sorgfältig abzuwägen.

Die EU zeigt sich laut der Erklärung nun bestrebt, "in einen aktiven Dialog mit der Technologiebranche einzutreten und dabei Forschung und Wissenschaft einzubeziehen". Dabei gelte es, einerseits den Einsatz starker Verschlüsselungstechnologien und die Cybersicherheit zu gewährleisten. Andererseits müssten Sicherheitsbehörden "unter uneingeschränkter Achtung der Grundrechte und der einschlägigen Datenschutzgesetze rechtmäßig und gezielt auf Daten zugreifen können". Dafür seien grundrechtskompatible "technische Lösungen" nötig.

Know-how der Behörden
Vage ist in der Endversion im Gegensatz zu Vorläufern nachzulesen, dass die Notwendigkeit, einen entsprechenden EU-weiten Regelungsrahmen zu entwickeln, weiter bewertet werden "könnte". Dies soll offenbar nahelegen, dass eine zusätzliche Analyse nicht mehr zwingend für künftige gesetzgeberische Schritte nötig ist. Es sei vor allem wichtig, die Bemühungen aller Länder, Organe und Institutionen der EU zu bündeln.

Klar ist die Ansage, dass "mögliche Lösungen in transparenter Weise und in Zusammenarbeit mit den nationalen und internationalen Anbietern von Kommunikationsdiensten und anderen einschlägigen Interessenträgern entwickelt werden" sollten. Auch die "technischen und operativen Kompetenzen" und das Know-how der Behörden müssten kontinuierlich verbessert werden. Eine "einheitliche vorgeschriebene technische Lösung für den Zugang zu verschlüsselten Daten" werde es aber nicht geben.

Datenschutzkonferenz weist Forderungen zurück
Die Datenschutzkonferenz von Bund und Ländern (DSK) nahm derweil auf ihrer 100. Sitzung am Mittwoch eine Resolution an, in der sie Forderungen nach einem Zugriff der Sicherheitsbehörden und Geheimdienste auf die verschlüsselte Kommunikation in Messenger-Diensten und der privaten Kommunikation entschieden zurückweist. Die "Aushöhlung von Verschlüsselungslösungen", wie sie der geplante Ratsbeschluss nahelege, wäre kontraproduktiv und könnte durch Kriminelle und Terroristen leicht umgangen werden.

Eine sichere und vertrauenswürdige Verschlüsselung sei eine essenzielle Voraussetzung "für eine widerstandsfähige Digitalisierung in Wirtschaft und Verwaltung", unterstreichen die Aufsichtsbehörden. Unternehmen müssten sich vor Wirtschaftsspionage schützen, Bürger auf eine sichere und integre Nutzung digitaler Verwaltungsleistungen vertrauen können. Verschlüsselung sei auch ein zentrales Mittel für die Datenübermittlung in "unsichere Drittländer". Der Europäische Gerichtshofs habe dies mit dem "Schrems II"-Urteil jüngst erneut deutlich gemacht.

Quelle: Crypto Wars: Grünes Licht für umkämpfte EU-Erklärung zu Entschlüsselung | heise online