Crypto Wars: Täglich grüßt das Murmeltier

Crypto Wars; mit diesem Begriff bezeichnet die Digitalszene die seit Jahrzehnten immer wiederkehrenden Versuche staatlicher Stellen, Verschlüsselung aufzuweichen, in Frage zu stellen oder gar zu verbieten.

Der Ablauf ist immer gleich. Irgendwo passiert ein furchtbares, grauenvolles und abscheuliches Verbrechen und weil die Stimmung gerade voller Wut und Zorn über das Unrecht ist, kommen politische Akteure mit ihren Forderungen um die Ecke, Geheimdienste und Polizei endlich neue Möglichkeiten für die Strafverfolgung und -verhinderung an die Hand zu geben.

Die Argumentation ist ebenfalls immer gleich: Weil Kriminelle verschlüsselt (z.B. über Threema, Signal oder WhatsApp) kommunizieren, kann der Staat nicht mehr wirksam ermitteln. Das angebliche Resultat: Straftaten werden nicht verhindert oder zumindest nicht aufgeklärt. Der jüngste Akt in dieser Saga, die so alt ist wie die digitale Kommunikation, ist der aktuelle Terroranschlag in Wien und die darauf folgende Forderung des EU-Ministerrates nach einer neuen „Balance“ zwischen Sicherheit und Verschlüsselung.

Was sich insgesamt wie ein recht ausgewogenes Positionspapier liest, ist im Ergebnis nichts anderes, als ein weiterer Versuch, verschlüsselte Kommunikation kategorisch in Frage zu stellen. Es bemängelt, dass Verschlüsselung effektiver Strafverfolgung im Wege stehe und Behörden deshalb auch auf verschlüsselte Kommunikation Zugriff haben sollten. Zwar wird an allen Ecken und Enden betont, dass das natürlich nur unter strenger Beachtung der europäischen Grundrechte geschehen soll, aber in Sachen Verschlüsselung ist die Angelegenheit ziemlich schwarz/weiß: Entweder der Inhalt von Nachrichten ist auf dem Weg von Senderin zur Empfängerin sicher … oder eben nicht.

Zum Schutz der Vertraulichkeit unserer Kommunikation setzen viele Messenger mittlerweile auf „Ende-zu-Ende-(E2E)-Verschlüsselung„. PGP für E-Mails ist ein weiteres Beispiel für frei verfügbare und verbreitete E2E-Verschlüsselung. E2E bedeutet im Wesentlichen: Nur die Geräte, auf denen die Nachricht verschickt und empfangen wurde, können den Inhalt entschlüsseln. Für alle anderen auf dem digitalen Weg dazwischen (Internetunternehmen, Serverhosts, sogar die Apps-Betreibenden selbst) ist die Nachricht nichts als sinnloser Zeichenbrei. Den Code, um den Salat in verständlichen Inhalt umzusetzen, kennen nur die Geräte am Ende und Anfang des Datenkanals. Nur mein Handy oder Computer kann die E-Mail oder die Threema-, Signal- bzw. Whatsapp-Nachricht wieder verständlich machen. Ob auf dem Weg dazwischen jemand mithört, mitliest oder überwacht, ist also ganz egal, weil nur Buchstabensalat abgefangen werden kann. So, als würde ich quer durch den Bus meiner Freundin in einer Geheimsprache Dinge zurufen. Alle hören es zwar, aber trotzdem kommunizieren wir vertraulich.

Technisch kann man Ende-zu-Ende-Verschlüsselung nur knacken, wenn die Mithörenden auch den nötigen Schlüssel haben, um aus dem Salat wieder verständlichen Inhalt zu machen. Seit Jahrzehnten fordern Sicherheitsbehörden daher, dass staatliche Stellen einen Zweitschlüssel oder „Masterkey“ bekommen sollten, mit dem sie im Einzelfall den Inhalt ebenfalls entschlüsseln können. Und nichts anderes steht realistischer Weise hinter dem neuen Papier aus der EU. Das Problem daran: Wirksame Verschlüsselung ist danach praktisch Vergangenheit. Die Vertraulichkeit der Kommunikation hinge nur noch daran, dass dieser Zweitschlüssel nicht missbraucht wird oder in fremde Hände gelangt. Und beides dürfte nur eine Frage der Zeit sein.

Digitalaktivistinnen fordern deshalb, derartige Zweitschlüssel gar nicht erst herzustellen. Sicherheitsbehörden und Politikerinnen versuchen hingegen zu beruhigen: Derartige Zweitschlüssel würden nur mit Erlaubnis durch Richterinnen eingesetzt, sicher aufbewahrt und nur zur Verfolgung schwerster Kriminalität eingesetzt. Zweifel an diesen Versprechungen gibt es zuhauf:

  • Wenn Threema, WhatsApp oder Signal dazu verpflichtet werden, an Sicherheitsbehörden derartige Zweitschlüssel herauszugeben, sollen sie etwa auch prüfen, wozu diese eingesetzt werden? Soll Whatsapp mit dem Bundeskriminalamt kooperieren, aber Viktor Orbán abblitzen lassen?
  • Wie sicher sind wir, dass die Zweitschlüssel in den Händen rechtsstaatlicher Akteure bleiben? Was, wenn die demokratische Regierung von gestern durch rechtspopulistische Mehrheiten von morgen verdrängt wird?
  • Wer kann in Zeiten von täglich neuen Fällen des Missbrauchs von Polizeimacht garantieren, dass der Zweitschlüssel nur zur Bekämpfung von Schwerstkriminalität eingesetzt wird?
  • Welche Argumente haben Unternehmen wie Threema oder Dienste wie Signal noch, die mit viel Geld und Mühe ihre Alleinstellungsmerkmale rund um sichere Kommunikation entwickelt haben, wenn sie jetzt doch genauso abhörbar werden, wie alle anderen Messenger?
  • Und vor allem: Wie will man verhindern, dass Kriminelle dann eben nicht mehr auf populäre Messenger setzen, sondern selbst verschlüsseln mittels PGP oder ähnlichem?

So würden im Ergebnis nur normale Menschen überwachbar, während die eigentlichen Ziele derartige Maßnahmen – nämlich: Schwerstkriminelle – weiter verschlüsseln könnten und würden. Sinn ergäbe das Ganze letztlich also nur, wenn man gleichzeitig alle Menschen verpflichten würde, auch nur diese abhörbaren Kommunikationsmittel zu benutzen. So absurde Vorschläge liegen (bisher) aber nicht auf dem Tisch.

Viel zu verlieren, nichts zu gewinnen. So lautet daher die Sorge der Digitalszene und deshalb regt sich auch gegen diesen neuen Vorstoß der EU-Minister durch die Bank heftiger Widerstand.

Die ganze Debatte aufbereitet hat aktuell auch der Podcast „Rechtsbelehrung“ von Marcus Richter (freier Redakteur und Moderator, u.a. für Deutschlandfunk Kultur) und Dr. Thomas Schwenke (Rechtsanwalt für Datenschutz- sowie Marketingrecht), die mich eingeladen haben, das Thema mit ihnen zu diskutieren.

Ein Klick führt zur aktuellen Folge 👆

Was Ende-zu-Ende-Verschlüsselung mit Plattdeutsch gemeinsam hat und was man jetzt tun kann, um zu verhindern, dass aus dem Positionspapier der EU-Minister ein Gesetz wird, hört ihr in Folge 84 des Rechtsbelehrung Podcasts.

Viel Spaß dabei und bis bald

Malte

Artikel kommentieren

Dein Kommentar wird in der Regel sofort veröffentlicht. Bei erhöhtem Spam-Aufkommen kann es aber zu Verzögerungen kommen. Hab dann bitte einfach Geduld. Zur Erkennung von Spam verwendet das Blog ein Plugin, das den Inhalt des Kommentars, seine Uhrzeit sowie einige weitere Daten, wie zB enthaltene URLs, berücksichtigt. Bitte beachte deshalb die Datenschutzhinweise zur Kommentarfunktion.

Notwendige Felder sind mit * markiert.