Im Oktober 2012 berichteten wir über Vorschläge des niederländischen Justizministeriums, der Polizei den Einsatz von Staatstrojanern zu erlauben. Im Dezember kritisierten über 40 Organisationen und Sicherheitsexperten diese Pläne, darunter auch 40 Organisationen und Sicherheitsexperten und der Digitale Gesellschaft e. V.
Ungeachtet davon hat die niederländische Regierung heute den Gesetzentwurf „zur Verbesserung und Stärkung der Untersuchung und Verfolgung von Computerkriminalität“ veröffentlicht. (Google Translate)
Der Vorschlag, in Computersysteme anderer Staaten einzudringen und Daten zu löschen ist noch immer darin. Und auch eine weitere Maßnahme: Verdächtige sollen gezwungen werden können, den Behörden den Zugang zu Computern oder verschlüsselten Daten zu geben. Bei Terrorismus oder Kinderpornografie soll es nicht mehr möglich sein, eine Frage nach Passwörtern zu verneinen oder zu ignorieren. Anderenfalls drohen bis zu drei Jahre Haft.
Der Gesetzestext beklagt die Zunahme von unknackbarer Verschlüsselung im Netz: (Leicht redigierte Google Translate Fassung)
Die Verschlüsselung von elektronischen Daten stellt ein zunehmendes Problem für die Verfolgung von Straftaten dar. […] Im Internet werden spezielle Programme zur Verschlüsselung von Daten angeboten. Verschlüsseln von Daten erfordert immer weniger technisches Wissen.
Das Programm ist TrueCrypt ein gutes Beispiel. TrueCrypt ist ein kostenloses Open-Source-Programm, das unter anderem Container erstellen kann, in denen eine große Anzahl von Dateien auf der Festplatte verschlüsselt gespeichert werden können. Auch kann die Festplatte vollständig verschlüsselt werden.
Darüber hinaus verwenden Informationssysteme und Software oft standardmäßig verschlüsselte Kommunikation. Diese Standardeinstellungen werden selten durch die Benutzer verändert, die damit – ohne es zu wissen oder sich zu kümmern – immer besser geschützt sind gegen Abhören und Aufzeichnen ihrer Kommunikationen. Dienste wie Google Mail und Twitter bieten Verschlüsselung standardmäßig an und bei anderen beliebten Dienste wie Facebook und Hotmail ist Verschlüsselung als Option erhältlich. Einige Smartphones verschlüsseln die Kommunikation des Benutzers standardmäßig.
Auch die Kommunikation selbst kann leicht verschlüsselt werden. Beispiele hierfür sind üblicherweise verfügbare Kommunikations-Software (z.B. Skype, WhatsApp, VPN-Dienste), die auf Computern oder Smartphones installiert werden können. Weltweit gibt es heute etwa 171 Millionen registrierte Skype-Nutzer. Auch E‑Mail-Verkehr kann verschlüsselt werden, zum Beispiel mit dem Plug-in Pretty Good Privacy (PGP) oder ähnlichen Anwendungen.
Im Internet gibt es auch Angebote, die durch das Internet transportierte Daten anonymisieren. Ein Beispiel hierfür ist das TOR-Netzwerk (The Onion Router), einem weltweiten Netzwerk von Servern von Freiwilligen, das Kommunikation verschlüsselt weiterleitet.
All diese schönen Maßnahmen sind den Ermittlern ein Dorn im Auge. Deswegen sollen Verdächtige nun gezwungen werden, ihre Passwörter den Behörden zu sagen.
Unsere Freunde von Bits of Freedom kritisieren diese Maßnahme scharf. Sie widerspricht dem rechtlichen Prinzip, sich nicht selbst belasten zu müssen, dass zwar in den Niederlanden nicht explizit im Gesetz verankert ist, sich aber aus den Menschen- und Grundrechten auf ein faires Verfahren ableitet.
Darüber hinaus ist es unverständlich, dass das Ministerium das vorschlägt, da es gar keine Beweise für die Notwendigkeit gibt. Bits of Freedom hat sich wiederholt nach Fällen erkundigt, in denen Ermittlungen nicht erfolgreich waren, weil Dateien nicht entschlüsselt werden konnten. Polizei und Ministerien konnten keine Beispiele liefern.
Zudem ist die Entschlüsselung gar nicht immer notwendig. Zwar nennt der Gesetzestext in der Begründung einen solchen Fall, doch damals hatte der Beschuldigte die Dateien freiwillig entschlüsselt.
Doch wenn Verschlüsselung damit indirekt kriminalisiert wird, wird diese grundlegende Sicherheitsmaßnahme seltener statt öfter angewendet werden. Damit könnte das Gesetz das Gegenteil bewirken – und zu weniger statt mehr Computer-Sicherheit führen.