Deutschland hält an widersprüchlicher Kryptopolitik fest und gefährdet vertrauliche Kommunikation für alle

Sowohl in Deutschland als auch in der EU konkretisieren sich die Bemühungen, verschlüsselte Kommunikation mitlesen zu können. Dabei ist ein Trend zu erkennen: Statt zu versuchen, Nachrichten und Daten im Nachhinein lesbar zu machen, sind Staatstrojaner im Vormarsch, um Informationen direkt am Rechner der Betroffenen abzugreifen.

Staatstrojaner gefährden vertrauliche Kommunikation für alle Menschen. CC BY 2.0 via flickr/tirch

Staatstrojaner gefährden vertrauliche Kommunikation für alle Menschen. CC BY 2.0 via flickr/tirch

Immer wieder wird von Politikern betont, dass man in der Lage sein müsse, auf verschlüsselte Kommunikation von sogenannten Bösewichten zuzugreifen. Für den Rest der Bevölkerung soll sich dadurch nichts ändern. „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ nennt die Bundesregierung ihre Haltung. Dass beides auf einmal nicht zu erreichen ist und die Ausnutzung von Sicherheitslücken für den Einsatz von Staatstrojanern und ähnlichen Methoden auch die Sicherheit für alle unterläuft, wird geleugnet.

Zugriff auf verschlüsselte Kommunikation in Deutschland wird vorangetrieben

Die neu geplante „Zentralstelle für Informationstechnik im Sicherheitsbereich“ – kurz ZITiS – soll zum zentralen Forschungspunkt für das Brechen verschlüsselter Kommunikation werden. Bundesinnenminister Thomas de Maizière und sein Ministerium kolportieren immer wieder, dass Sicherheitsbehörden „befugt und in der Lage sein [müssen], verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen, wenn dies für ihre Arbeit zum Schutz der Bevölkerung notwendig ist“.

Frankreich und Deutschland stellten im Sommer einen Aktionsplan gegen Verschlüsselung vor, bei dem – zumindest in der französischen Sprachfassung – eindeutig Hintertüren für verschlüsselte Kommunikation gefordert wurden.

Umgehen von Verschlüsselung ist auch in der EU ein Thema

Auch auf EU-Ebene wird diskutiert, wie Strafverfolgung vor dem Hintergrund von verschlüsselter Kommunikation und verschlüsselten Daten ablaufen kann. Andrej Hunko von der Linksfraktion im Bundestag hat in einer Kleinen Anfrage bei der Bundesregierung nachgehakt, wie es derzeit um Pläne zum Umgehen von verschlüsselter Kommunikation auf EU-Ebene steht.

Laut Antwort des Bundesinnenministeriums ist Deutschland in keine „grenzüberschreitenden Kooperationen, Forschungsprojekte oder EU-Aktionspläne“ zu dem Thema involviert. Auch auf die Dienste der EU-Polizeiagentur Europol zur Entschlüsselung greife man momentan nicht zurück.

Gerade befindet man sich im Modus der Bestandsaufnahme von praktischen und rechtlichen Bedingungen bei der Strafverfolgung der einzelnen Mitgliedstaaten. Dafür hat der Rat der EU einen Fragebogen erstellt, der dem Koordinierungsausschuss für den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen vorgelegt werden wird. Dieser Ausschuss bereitet die Arbeit des Rates vor.

Bundesregierung weiß nicht, wie sehr Verschlüsselung wirklich ein Ermittlungshindernis ist

In der Kleinen Anfrage wird nun nach Deutschlands Antworten auf den Fragebogen des Rates gefragt. Im Vergleich zu früheren Anfragen haben diese sich nicht verändert: So weiß die Regierung immer noch nicht, wie häufig Strafverfolgungsbehörden bei Ermittlungen überhaupt mit verschlüsselter Kommunikation konfrontiert sind. Nicht einmal zu groben Angaben wie „fast immer“, „oft“, „kaum“ oder „gar nicht“ sieht sie sich imstande. Erstaunlich – denn in Statements von Politikern wirkt es so, als sei Verschlüsselung ein ständiges Problem, das es dringend zu umgehen gilt. Und nach Terroranschlägen wird der Verschlüsselung auch gerne die Schuld in die Schuhe geschoben, wenn die Verhinderung scheiterte, auch wenn die Täter in der Realität über die guten alten SMS kommunizierten.

Und so weiß die Bundesregierung auch nicht, welche Verschlüsselungsmethoden primär eingesetzt werden. „Hinsichtlich Online- als auch Offline-Verschlüsselung sind gängige Verschlüsselungsmethoden
anzutreffen“ – so die lapidare Antwort.

Das Entschlüsseln Ende-zu-Ende-verschlüsselter Kommunikation bereitet deutschen Sicherheitsbehörden Probleme. Daher setzen sie zum Teil auf einen anderen Weg:

Für laufende Telekommunikationsvorgänge bestünde eine Möglichkeit darin, auf das entsprechende informationstechnische System zuzugreifen und eine speziell hierfür geschaffene Software zu installieren, welche die Kommunikation erfasst, bevor diese verschlüsselt wird und bei der sichergestellt ist, dass ausschließlich laufende Telekommunikation erfasst wird.

Im Klartext: Staatstrojaner. Das Innenministerium hat vor einer Weile demonstriert, dass es den Einsatz von Staatstrojanern auch entgegen verfassungsrechtlicher Bedenken billigt. Die Beschränkung auf „laufende Telekommunikation“, die vom Bundesverfassungsgericht auferlegt wurde, ist technisch kaum möglich. Noch schwieriger ist es, diese Beschränkung auch zu kontrollieren. Das Innenministerium konnte diese offenen Fragen auf eine frühere Nachfrage von netzpolitik.org hin nicht beantworten.

Zugriff auf die Daten, bevor sie verschlüsselt werden

Fragesteller Hunko vermutet, dass die EU-weite Initiative sich primär auf ebenjene Staatstrojaner konzentriert:

Wie bei der Vorratsdatenspeicherung wird das Umgehen, Aushebeln oder Unbrauchbarmachen von verschlüsselter Kommunikation nun auf EU-Ebene gehievt. Ich vermute, dass es weniger um das Brechen von Verschlüsselung geht, sondern dass Einsätze von Trojanern erleichtert werden sollen.

Das ist logisch, denn gelingt es den Ermittlern, die Kommunikation bereits auf dem Rechner abzufangen, zum Beispiel beim Schreiben einer Nachricht, müssen sie sich mit der Entschlüsselung in Nachhinein nicht beschäftigen.

Die Bundesregierung betont auch explizit, dass ihr besonders wichtig ist, ein Verbot der Schwächung von Verschlüsselung zu manifestieren. Doch sie kann nicht beides haben, auch wenn sie es noch so sehr behaupten. Bei früheren Staatstrojanern wurden Sicherheitslücken in Systemen ausgenutzt, anstatt sie in staatlicher Fürsorgepflicht für alle zu schließen. Außerdem enthielten die Trojaner ihrerseits teils massive Sicherheitslücken. Spätestens in diesen beiden Punkten gilt: Diese Sicherheitslücken können nicht nur von den Strafverfolgern genutzt werden, sondern auch von Menschen mit gewöhnlichen kriminellen Absichten. „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ funktionieren auf diese Weise für Kommunikationssysteme nicht.

Hunko will sich dafür einsetzen, dass Verschlüsselung auch weiter zum Schutz aller eingesetzt werden kann, betont er gegenüber netzpolitik.org:

Jeder Rest von Vertrauen in die Freiheit des Internet und der Telekommunikation wird auf diese Weise demontiert. Als Mitglied des Europarates setze ich mich deshalb auch dort für eine Resolution ein, die jede Schwächung von Verschlüsselungsstandards verbietet. Die Bundesregierung muss das Vertrauen in Verschlüsselungstechnik stärken statt aushöhlen. Hierzu gehört, die aus dem vergangenen Jahrhundert stammenden deutschen Eckpunkte der Kryptopolitik zu überarbeiten und jedes Korrumpieren von Verschlüsselung (auch durch Polizeien oder Geheimdienste) zu ächten.

15 Kommentare
  1. Insane Mole 29. Okt 2016 @ 3:45

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert. Die Kommentar-Regeln findest Du hier.

Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden