Aus dem Innenministerrat der EU-Staaten sind kürzlich Papiere zum Thema Verschlüsselungsverbot bekannt geworden. Darin wird nicht von einer bestimmten Forderung an Technologiekonzerne gesprochen, sondern davon, dass Regierungen mit den Konzernen sowie mit Forschung und Wissenschaft gemeinsam „technische Lösungen erarbeiten, um Zugang zu verschlüsselten Daten zu erlangen“. Es bleibt offen, wie dies erreicht werden soll, ohne die Sicherheitsarchitektur im Ganzen zu kompromittieren.

Niedersachsen und Thüringen haben bereits am 19.11.2020 mit Digital-Expert*innen zu diesem Thema diskutiert. Valentina Kerst, Staatssekretärin für Wirtschaft und Digitale Gesellschaft in Thüringen und Stefan Muhle, Staatssekretär für Digitalisierung in Niedersachsen, teilten die Auffassung, dass die Digitalminister*innen die öffentliche Debatte über Maßnahmen wie „staatlich verordnete Backdoors“ anregen und immer wieder für die Problematik sensibilisieren sollten. Alle Akteure, Politiker*innen, Bürger*innen und Wirtschaftsvertreter müssten dazu in der Lage sein, grundlegende technische Fakten rund um die Technologien, die sie täglich regulieren, nutzen und betreiben, verstehen. Es müsse offen darüber gesprochen werden, was bestimmte regulatorische Entscheidungen in der Praxis bedeuten.

Angriff auf vertrauenswürdige IT

Die deutsche Ratspräsidentschaft hätte digitalpolitisch mehr als eine gescheiterte Einigung bei der ePrivacy-Verordnung und den Beginn der dritten „Cryptowars“ erreichen können. Nun gilt es, die „Entschließung des Rates zur Verschlüsselung – Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“, also den Angriff der EU-Innenminister*innen auf eine vertrauenswürdige IT, sachlich zu debattieren. Niedersachsen und Thüringen werden eine gemeinsame Äußerung der Digitalminister*innen der Länder anregen, um hierzu beizutragen. Grundlage ist die Diskussion vom 19.11.2020, die zusammenfassend folgende Ergebnisse brachte:

Zum „Mitlesen“ Ende-zu-Ende-verschlüsselter Kommunikation sind grundsätzlich zwei Varianten denkbar: 1. bewusst geschaffene/offen gelassene Sicherheitslücken, die den „für Sicherheit und Justiz zuständigen Stellen“ bekannt sind und von ihnen ausgenutzt werden können. 2. „Nachschlüssel“, die nur diesen „zuständigen Stellen“ zugänglich sind.

Die Diskussion ergab, dass beides nicht möglich sein wird:

  1. In Codes sind auch unabsichtlich immer wieder Lücken enthalten. Diese gilt es zu schließen, um IT-Infrastrukturen sicherer zu machen. Absichtlich noch zusätzliche Lücken zu schaffen, ist nicht sinnvoll. Sie könnten von jedem anderen auch gefunden werden, der sie mit eigenen Exploits ausnutzt oder Informationen über die Exploits der „zuständigen Stellen“ bei diesen erlangt.
  2. Im sogenannten Escrow-Verfahren werden „Nachschlüssel“ bei Dritten hinterlegt und die „zuständigen Stellen“ erhalten unter gewissen Voraussetzungen Zugriff darauf. Auch hierbei ist es möglich, dass Unberechtigte an diese Schlüssel gelangen. Je mehr Beteiligte, desto höher das Risiko.

Wenn bekannte Dienste Sicherheitslücken enthalten müssen, werden organisierte Kriminelle auf eigene Dienste ausweichen, beispielsweise auf Basis von Open-Source-Verschlüsselungsverfahren. Im Ergebnis wird die IT-Sicherheit für die Allgemeinheit schlechter und das Risiko, Opfer eines Angriffs zu werden, höher, ohne dass die organisierte Kriminalität effektiver verfolgt werden könnte.

IT-Sicherheit wurde in den letzten Jahren auch durch rechtliche Vorgaben – beispielsweise hohe Anforderungen durch die DSGVO – gestärkt. Den Verantwortlichen einerseits strenge Vorgaben zu machen, andererseits aber die zur Verfügung stehende Technik zu schwächen, ist widersprüchlich.

Themen wie die Vorratsdatenspeicherung und effektive Verschlüsselung werden immer wieder Gegenstand sicherheitspolitischer Diskussionen. Obwohl oberste Gerichte wiederholt klare Grenzen für demokratische Rechtsstaaten aufgezeigt haben, wird weiterhin mit dem Bedürfnis nach diesen „Ermittlungsansätzen“ zur effektiveren Strafverfolgung argumentiert. Ob diese Mittel tatsächlich zu besserer Strafverfolgung beitragen würden, ist zumindest beim Vergleich mit anderen Staaten, die beispielsweise eine Vorratsdatenspeicherung haben, fraglich. Der Nachweis fehlt.

Technologieauswirkungen der Backdoor müssen erst erklärt werden, die Argumentierenden der Gegenseite adressieren direkt Emotionen – dieses unfaire Verhältnis der Argumente führt zum einen dazu, dass die technischen Rahmenbedingungen gar nicht durchdrungen werden und greifen zum anderen gleichzeitig im Kern das Vertrauen in Digitaltechnologien an.

Wahrung von Freiheitsrechten

Das Internet ist ein Teil des Lebens aller Bürger*innen. Sich hier mit dem gleichen Anspruch auf Wahrung der eigenen Freiheitsrechte zu bewegen, wie auch in der analogen Welt, sollte möglich sein und bleiben. Im Interesse der Strafverfolgung sind bereits umfängliche Maßnahmen wie die Onlinedurchsuchung auf richterliche Anordnung möglich. Diese werden jedoch im begründeten Verdachts- und Einzelfall angeordnet. Das ist ein großer Unterschied zu Maßnahmen, die die Sicherheit für alle in Frage stellen und maximal skalierbar sind, also über die eine Überwachung aller technisch möglich ist. Solange ein solch umfassendes technisches Mittel nur rechtlich untersagt, aber technisch möglich ist, ist die Missbrauchsgefahr unverhältnismäßig groß.

Als Fazit bleibt, dass dieser Dialog zwischen Expert*innen und Politik sehr begrüßt wurde. Wir als Digitalagentur Niedersachsen sehen uns in der Rolle, Digitaltechnologie und deren Auswirkungen zu erklären und möchten hier auch im Kontext der Verschlüsselungstechnologien vermehrt ansetzen. Dafür laden wir Sie ein, sich in den weiteren Prozess einzubringen. Nehme Sie bei Interesse einfach Kontakt mit uns auf.

 

(Bild: madartzgraphics/pixabay)