In mehreren Papieren, Arbeitsgruppen und neuen Zusammenarbeitsformen diskutiert die Europäische Union den Zugang von Strafverfolgungsbehörden zu verschlüsselter Kommunikation. Die vor rund einem Jahr gestartete Krypto-Debatte zum Umgehen oder Brechen geschützter Kommunikation erhält neuen Schwung.
Zuletzt hat der luxemburgische Ratsvorsitz ein Papier mit einem Sachstand an die Mitgliedstaaten verschickt, in dem Herausforderungen durch die „Kommunikationskanäle des Internets und die zahlreichen sozialen Medien“ skizziert werden. Neue „verschlüsselungsbasierte Technologien“ würden die „Durchführung effektiver Ermittlungen“ zunehmend erschweren oder verhindern. Von besonderer Bedeutung seien diese nicht nur im Bereich des „Terrorismus“, sondern auch bei „Antiradikalisierungsmaßnahmen“.
Das Papier trägt den Titel „Effektive Strafjustiz im digitalen Zeitalter – Bestimmung des Bedarfs“ und fordert unter anderem eine „effektive Vorratsdatenspeicherung“. In einem weiteren Dokument fragt der luxemburgische Ratsvorsitz nun den Bedarf für entsprechende Schritte der Kommission ab. Als weitere Hindernisse für Strafverfolger werden die „private Nutzung des Live-Streamings“, das Darknet und Anonymisierungswerkzeuge genannt. „Entscheidende elektronische Beweismittel“ gingen verloren, wenn den zuständigen Behörden keine geeigneten Mittel zur Verfügung gestellt würden.
Verschlüsselung „eines der Hauptinstrumente von Terroristen und Kriminellen“
Im Januar hatte bereits der EU-Anti-Terror-Koordinator Gilles de Kerchove gefordert, Internet- und Telekommunikationsanbieter zum Einbau von Hintertüren für verschlüsselte Kommunikation zu zwingen. Wohl deshalb bleibt das Thema auch bei der EU-Polizeiagentur Europol auf der Agenda. Bereits im März hatte der Europol-Direktor Rob Wainwright vor der zunehmenden Nutzung von Verschlüsselungstechnologien gewarnt. Verschlüsselung sei demnach „eines der Hauptinstrumente von Terroristen und Kriminellen“.
Im September trug der stellvertretende Leiter der Operationsabteilung von Europol, Wil van Gemert, auf einer Konferenz der europäischen Polizeichefs den Bericht einer Arbeitsgruppe zu „terroristischen Online-Bedrohungen“ vor. Demnach müssten vor allem die „Hindernisse von Anonymisierung und Verschlüsselung“ überwunden werden. An der Arbeitsgruppe nahmen unter anderem Behörden aus Österreich, Dänemark, Ungarn, Deutschland und Spanien teil. Sie raten zu mehr Kooperation mit dem „privaten Sektor“, darunter Providern und Diensteanbietern, um an verschlüsselte Inhalte und den Zugang zu Servern zu gelangen.
Zum zweiten Mal hat Europol im Herbst einen Lagebericht zu Cyberkriminalität herausgegeben, in dem das Thema Verschlüsselung und Anonymisierung ausführlich behandelt wird. Zu den Erschwernissen für die Behörden zählt Europol auch „Anti-Forensik-Werkzeuge“, darunter Software zum Überschreiben von Inhalten oder Betriebssysteme, die von Wechselmedien gestartet werden. Diese seien bei Kriminellen nicht mehr die Ausnahme, sondern die Regel. In Ermittlungen würden jedoch in „zunehmenden Ausmaß“ digitalisierte Daten benötigt.
Europol sieht Herausgabe von Schlüsseln kritisch
Laut Europol seien die ErmittlerInnen in drei Vierteln aller Fälle mit verschlüsselten Inhalten konfrontiert. Die Werkzeuge seien inzwischen derart leicht zu handhaben, dass sie auch von Kriminellen ohne Technikerfahrung genutzt werden könnten. Namentlich genannt werden TrueCrypt und BitLocker sowie PGP, dessen zunehmende Nutzung von den Behörden der Mitgliedstaaten bestätigt worden sei. Internetanbieter und Plattformen wie WhatsApp, iMessage, Facebook, Facetime, Google und Yahoo würden zudem die voreingestellte Ende-zu-Ende-Verschlüsselung implementieren. Zwar sei dies für den „öffentlichen und privaten Sektor“ zu begrüßen, jedoch stelle sich die Frage nach der Bedeutung dieser Entwicklung für Regierungen und Strafverfolgungsbehörden.
Ein Anhang des Lageberichts erörtert auf drei Seiten die verschiedenen Sichtweisen der „Verschlüsselungsdebatte“. Ein generelles Verbot von Verschlüsselung wird dabei kritisch gesehen, auch weil dadurch mehr private Daten in die Hand von Kriminellen geraten könnten und die Privatheit der Kommunikation sogar in der Allgemeinen Erklärung der Menschenrechte der Vereinten Nationen verankert sei. Die Entstehung und Nutzung von Verschlüsselungswerkzeugen sei ohnehin nicht mehr zu kontrollieren.
Europol erinnert auch an den Krypto-Krieg der 1990er Jahre, als die US-Regierung die Ausfuhr von PGP unter Strafe stellte, die Software fortan jedoch als „PGP International“ weltweit verbreitet wurde. Heutzutage abwegig sei die damals erhobene Forderung, alle Anbieter von Verschlüsselungstechnologien zur Einrichtung von Hintertüren für Strafverfolger zu zwingen. Dies stelle beispielsweise international agierende Konzerne vor Sicherheitsprobleme, zudem würden viele Dienste für jeden einzelnen Kommunikationsvorgang einen neuen Schlüssel generieren. Fraglich sei auch, wo die Backdoor-Schlüssel zentral und und vor HackerInnen unzugänglich gespeichert werden sollten.
„Forum der Internetdienstleister“ startet am Donnerstag
Der Bericht schlägt deshalb mehrere Maßnahmen vor. „Gesetzgeber“ und Abgeordnete müssten „mit der Industrie und der Forschung“ brauchbare Lösungen entwickeln, die einerseits die Privatheit und Urheberrechte respektieren, den Behörden jedoch ausreichend Handhabe zur Bekämpfung von „kriminellen oder nationalen Sicherheitsbedrohungen“ bereitstellten. Auch Ermittlungen wegen Kinderpornografie seien hiervon betroffen.
Zu dem Empfehlungen gehört die Entwicklung von Techniken, um bei einer polizeilichen Razzia Daten aus verschlüsselten, aber noch nicht ausgeschalteten Systemen rekonstruieren zu können. Die Behörden sollten außerdem eine „zentrale Datenbank“ mit „VPN- und Proxy-Diensten“ anlegen, die bevorzugt von „Cyberkriminellen“ genutzt würden.
Im Bundesinnenministerium werden die europäischen Anstrengungen ausdrücklich begrüßt. Das „Streben nach einer abgeschirmten, klandestinen Übermittlung von Informationen“ sei in vielen Phänomen- und Kriminalitätsbereichen ein „prägendes Wesensmerkmal im Kommunikationsverhalten“. Sie hätten zum Ziel, „die staatlichen Aufklärungs- und Bekämpfungsmaßnahmen ins Leere laufen zu lassen“. Für den Zugriff auf nutzerseitig verschlüsselte Kommunikation bestehe jedoch derzeit keine Rechtsgrundlage. Zur Suche nach den „unterschiedlichen Bedürfnissen im Verhältnis Datenschutz zu Gefahrenabwehr und Strafverfolgung“ sei deshalb „jedweder Dialog mit Internet-Diensteanbietern“ zu begrüßen.
Als nächsten Schritt will die EU am Donnerstag den offiziellen Start des „Forums der Internetdienstleister“ verkünden. In der neuen Gemeinschaft organisieren sich die EU-InnenministerInnen mit Internetkonzernen. Nach über einem Jahr Vorbereitung wird eine Zusammenarbeitsform installiert, die eine möglichst schnelle Beseitigung unliebsamer Internetinhalte ermöglichen soll. Zu den weiteren „Möglichkeiten der praktischen Zusammenarbeit“ zählt der Umgang mit Verschlüsselungstechniken.
Update 1. Dezember:
Auch die Gruppe „Freunde der Präsidentschaft zu Cyber“ (FoP Cyber) will sich mit dem Thema Verschlüsselung befassen. Dies geht aus einem von Statewatch veröffentlichten Dokument hervor, in dem die Umsetzung der „Strategie der Inneren Sicherheit“ erörtert wird. Auch dort ist die Rede von Ermittlungshindernissen, die es zu überwinden gelte. Die Gruppe kündigt an, die zukünftige Entwicklung im Auge zu behalten.
Die „FoP Cyber“ wurde 2012 aus verschiedenen Mitgliedstaaten, der Kommission, den Agenturen Europol und ENISA sowie dem für die Außen- und Sicherheitspolitik zuständigen Auswärtigen Dienst gegründet. Ihre Aufgabe ist die Behandlung von „Cybersicherheit“ als Querschnittsthema, das sowohl die innere als auch die äußere Sicherheit betrifft. Deshalb ist auch die Verteidigungsagentur EDA mit an Bord.
Jeder teilnehmende Mitgliedstaat entsendet einen „Cyber-Attaché“ nach Brüssel. In den zwei letzten Treffen dieser hohen BeamtInnen im Oktober und November ging es unter anderem um den „Missbrauch von Verschlüsselung und Anonymität“ und entsprechende Gesetzeslücken. Die Gruppe will nun für öffentliches Bewusstsein zum Thema sorgen, Handlungsempfehlungen geben und die Kommission mit „praktischen Beiträgen“ zu neuen Gesetzgebungsvorschläge versorgen.