Niederlande: Neues Cybercrime-Gesetz fordert Staatstrojaner und Zwang zum Entschlüsseln

In den Niederlanden sollen Verdächtige zukünftig gezwungen werden können, Passwörter von Computern und verschlüsselten Daten herauszugeben. Das schlägt ein neues Cybercrime-Gesetz vor, das heute veröffentlicht wurde. Zudem soll die Polizei in Rechner auf der ganzen Welt eindringen können – und dort Daten manipulieren und sogar löschen.

Im Oktober 2012 berichteten wir über Vorschläge des niederländischen Justizministeriums, der Polizei den Einsatz von Staatstrojanern zu erlauben. Im Dezember kritisierten über 40 Organisationen und Sicherheitsexperten diese Pläne, darunter auch 40 Organisationen und Sicherheitsexperten und der Digitale Gesellschaft e. V.

Ungeachtet davon hat die niederländische Regierung heute den Gesetzentwurf „zur Verbesserung und Stärkung der Untersuchung und Verfolgung von Computerkriminalität“ veröffentlicht. (Google Translate)

Der Vorschlag, in Computersysteme anderer Staaten einzudringen und Daten zu löschen ist noch immer darin. Und auch eine weitere Maßnahme: Verdächtige sollen gezwungen werden können, den Behörden den Zugang zu Computern oder verschlüsselten Daten zu geben. Bei Terrorismus oder Kinderpornografie soll es nicht mehr möglich sein, eine Frage nach Passwörtern zu verneinen oder zu ignorieren. Anderenfalls drohen bis zu drei Jahre Haft.

Der Gesetzestext beklagt die Zunahme von unknackbarer Verschlüsselung im Netz: (Leicht redigierte Google Translate Fassung)

Die Verschlüsselung von elektronischen Daten stellt ein zunehmendes Problem für die Verfolgung von Straftaten dar. […] Im Internet werden spezielle Programme zur Verschlüsselung von Daten angeboten. Verschlüsseln von Daten erfordert immer weniger technisches Wissen.

Das Programm ist TrueCrypt ein gutes Beispiel. TrueCrypt ist ein kostenloses Open-Source-Programm, das unter anderem Container erstellen kann, in denen eine große Anzahl von Dateien auf der Festplatte verschlüsselt gespeichert werden können. Auch kann die Festplatte vollständig verschlüsselt werden.

Darüber hinaus verwenden Informationssysteme und Software oft standardmäßig verschlüsselte Kommunikation. Diese Standardeinstellungen werden selten durch die Benutzer verändert, die damit – ohne es zu wissen oder sich zu kümmern – immer besser geschützt sind gegen Abhören und Aufzeichnen ihrer Kommunikationen. Dienste wie Google Mail und Twitter bieten Verschlüsselung standardmäßig an und bei anderen beliebten Dienste wie Facebook und Hotmail ist Verschlüsselung als Option erhältlich. Einige Smartphones verschlüsseln die Kommunikation des Benutzers standardmäßig.

Auch die Kommunikation selbst kann leicht verschlüsselt werden. Beispiele hierfür sind üblicherweise verfügbare Kommunikations-Software (z.B. Skype, WhatsApp, VPN-Dienste), die auf Computern oder Smartphones installiert werden können. Weltweit gibt es heute etwa 171 Millionen registrierte Skype-Nutzer. Auch E-Mail-Verkehr kann verschlüsselt werden, zum Beispiel mit dem Plug-in Pretty Good Privacy (PGP) oder ähnlichen Anwendungen.

Im Internet gibt es auch Angebote, die durch das Internet transportierte Daten anonymisieren. Ein Beispiel hierfür ist das TOR-Netzwerk (The Onion Router), einem weltweiten Netzwerk von Servern von Freiwilligen, das Kommunikation verschlüsselt weiterleitet.

All diese schönen Maßnahmen sind den Ermittlern ein Dorn im Auge. Deswegen sollen Verdächtige nun gezwungen werden, ihre Passwörter den Behörden zu sagen.

Unsere Freunde von Bits of Freedom kritisieren diese Maßnahme scharf. Sie widerspricht dem rechtlichen Prinzip, sich nicht selbst belasten zu müssen, dass zwar in den Niederlanden nicht explizit im Gesetz verankert ist, sich aber aus den Menschen- und Grundrechten auf ein faires Verfahren ableitet.

Darüber hinaus ist es unverständlich, dass das Ministerium das vorschlägt, da es gar keine Beweise für die Notwendigkeit gibt. Bits of Freedom hat sich wiederholt nach Fällen erkundigt, in denen Ermittlungen nicht erfolgreich waren, weil Dateien nicht entschlüsselt werden konnten. Polizei und Ministerien konnten keine Beispiele liefern.

Zudem ist die Entschlüsselung gar nicht immer notwendig. Zwar nennt der Gesetzestext in der Begründung einen solchen Fall, doch damals hatte der Beschuldigte die Dateien freiwillig entschlüsselt.

Doch wenn Verschlüsselung damit indirekt kriminalisiert wird, wird diese grundlegende Sicherheitsmaßnahme seltener statt öfter angewendet werden. Damit könnte das Gesetz das Gegenteil bewirken – und zu weniger statt mehr Computer-Sicherheit führen.

10 Ergänzungen

  1. Dafür haben die Niederlande gesetzlich vorgeschriebene Netzneutralität. Ist doch auch was wert.

  2. Würde es den „demokratischen“ Regierungen des „freien“ Westens um die Sicherheit der Bürger gehen, würde Verschlüsselung massiv gefördert und verbreitet werden.

    Wenn Verschlüsselung hingegen als Terroristenwerkzeug kriminalisiert wird, sollte jeder wache Geist die wahren Absichten der Regierung erkennen. STAATssicherheit ist das Ziel.

    Übrigens:

    Polizist: „Wie? Sie wollen uns nichts erzählen? Sie wollen sich nicht äußern? Sie wollen schweigen? Das ist aber verdächtig! Jetzt knasten wir Sie erst einmal für drei Jahre ein! Und eine vorzüglich Sonderbehandlung durch unseren amtlichen Knochenbrecher kriegen Sie auch!“

    Bürger: „OK, ich habe zwar nichts mit diesem Verbrechen zu tun, aber lieber gestehe ich, als gefoltert zu werden.“

    Polizist: „Brav. Das ist gut für unsere Statistik. Ein Verbrechen mehr aufgeklärt. Für uns gibt es eine Sonderprämie und für die Regierung gibt es eine schöne Statistik.“

  3. …schlage vor, jetzt einen Counter zu starten, der dann stoppt, wenn unser Innenminister das für Deutschland auch fordert.

    Ich bin mir sicher, das wird „alternativlos“ sein und gar nicht lange dauern!

  4. Wie, nur drei Jahre Knast für die einfache Weigerung sich u. U. selbst zu belasten? Ich hätte mit Waterboarding, Elektroschocks oder Streckbank gerechnet. Los gestehe du Drecksack, oder wie schneiden dir die Eier ab,

  5. Hallo Andre,

    ich wollte nur an merke , daß in dem Text von „Kinderpornographie“ die Rede ist und daß ich diesen Begriff für völlig daneben halte. Da ich meine Begründung bzw. Argumentation gegen diesen Begriff bereits bei Udo Vetter im Lawblog einmal dargelegt hatte, will ich an dieser Stelle bloß den Link dorthin posten.

    Würde mich freuen, Dich überzeugen zu können, künftig lieber von „Kindesmissbrauchsdarstellungen“ zu statt KiPo zu sprechen. Die EU-Kommission spricht ja schließlich auch aus guten Gründen seit längerer Zeit von „child abuse“ statt „child pornography“.

    Danke & Gruß
    Peter

    1. Peter, wir haben doch zusammen im AK Zensur gerockt. Natürlich hast du vollkommen recht und ich verwende das auch meistens korrekt. Hier habe ich’s direkt aus dem Gesetzestext genommen, Politikersprech quasi. Ich habe auch „Terrorismus“ nicht in Anführungszeichen gesetzt.

  6. Ich prophezeie dass Steganographie wieder in Mode kommt. Was wollen die dagegen tun? „Entschlüssele gefälligst deine Urlaubsfotos, oder Du wanderst in den Bau?“
    Aber das Gesetz ist ohnehin unausgegoren. Ich frage mich, was sie gegen geschachtelte Container á la Rubberhose tun wollen? Jeden einknasten der das Programm hat, es könnte ja noch ein Container im Container sein? Und bei Tor komme ich als User überhaupt nicht mit den Schlüsseln in Berührung, wie soll ich die rausgeben?

  7. Gleich mal Bookmarken. Hier steht ja das ganze kleine ein mal eins des sicheren Umgangs mit persönlichen Daten!
    Brauche ich jetzt nurnoch zu verlinken wenn mich jemand fragt wie er sicher mit seinen Daten umgeht, danke!

  8. Die Terroristen fordern von Ihren Opfern vollen Zugang zu ihren Intimbereichen und Kinderpornografie soll mal wieder dafür her halten? Was würden die toten Zeugen von Dutroux wohl dazu sagen?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.