Deutschland hält an widersprüchlicher Kryptopolitik fest und gefährdet vertrauliche Kommunikation für alle

Sowohl in Deutschland als auch in der EU konkretisieren sich die Bemühungen, verschlüsselte Kommunikation mitlesen zu können. Dabei ist ein Trend zu erkennen: Statt zu versuchen, Nachrichten und Daten im Nachhinein lesbar zu machen, sind Staatstrojaner im Vormarsch, um Informationen direkt am Rechner der Betroffenen abzugreifen.

Staatstrojaner gefährden vertrauliche Kommunikation für alle Menschen. CC BY 2.0 via flickr/tirch

Immer wieder wird von Politikern betont, dass man in der Lage sein müsse, auf verschlüsselte Kommunikation von sogenannten Bösewichten zuzugreifen. Für den Rest der Bevölkerung soll sich dadurch nichts ändern. „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ nennt die Bundesregierung ihre Haltung. Dass beides auf einmal nicht zu erreichen ist und die Ausnutzung von Sicherheitslücken für den Einsatz von Staatstrojanern und ähnlichen Methoden auch die Sicherheit für alle unterläuft, wird geleugnet.

Zugriff auf verschlüsselte Kommunikation in Deutschland wird vorangetrieben

Die neu geplante „Zentralstelle für Informationstechnik im Sicherheitsbereich“ – kurz ZITiS – soll zum zentralen Forschungspunkt für das Brechen verschlüsselter Kommunikation werden. Bundesinnenminister Thomas de Maizière und sein Ministerium kolportieren immer wieder, dass Sicherheitsbehörden „befugt und in der Lage sein [müssen], verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen, wenn dies für ihre Arbeit zum Schutz der Bevölkerung notwendig ist“.

Frankreich und Deutschland stellten im Sommer einen Aktionsplan gegen Verschlüsselung vor, bei dem – zumindest in der französischen Sprachfassung – eindeutig Hintertüren für verschlüsselte Kommunikation gefordert wurden.

Umgehen von Verschlüsselung ist auch in der EU ein Thema

Auch auf EU-Ebene wird diskutiert, wie Strafverfolgung vor dem Hintergrund von verschlüsselter Kommunikation und verschlüsselten Daten ablaufen kann. Andrej Hunko von der Linksfraktion im Bundestag hat in einer Kleinen Anfrage bei der Bundesregierung nachgehakt, wie es derzeit um Pläne zum Umgehen von verschlüsselter Kommunikation auf EU-Ebene steht.

Laut Antwort des Bundesinnenministeriums ist Deutschland in keine „grenzüberschreitenden Kooperationen, Forschungsprojekte oder EU-Aktionspläne“ zu dem Thema involviert. Auch auf die Dienste der EU-Polizeiagentur Europol zur Entschlüsselung greife man momentan nicht zurück.

Gerade befindet man sich im Modus der Bestandsaufnahme von praktischen und rechtlichen Bedingungen bei der Strafverfolgung der einzelnen Mitgliedstaaten. Dafür hat der Rat der EU einen Fragebogen erstellt, der dem Koordinierungsausschuss für den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen vorgelegt werden wird. Dieser Ausschuss bereitet die Arbeit des Rates vor.

Bundesregierung weiß nicht, wie sehr Verschlüsselung wirklich ein Ermittlungshindernis ist

In der Kleinen Anfrage wird nun nach Deutschlands Antworten auf den Fragebogen des Rates gefragt. Im Vergleich zu früheren Anfragen haben diese sich nicht verändert: So weiß die Regierung immer noch nicht, wie häufig Strafverfolgungsbehörden bei Ermittlungen überhaupt mit verschlüsselter Kommunikation konfrontiert sind. Nicht einmal zu groben Angaben wie „fast immer“, „oft“, „kaum“ oder „gar nicht“ sieht sie sich imstande. Erstaunlich – denn in Statements von Politikern wirkt es so, als sei Verschlüsselung ein ständiges Problem, das es dringend zu umgehen gilt. Und nach Terroranschlägen wird der Verschlüsselung auch gerne die Schuld in die Schuhe geschoben, wenn die Verhinderung scheiterte, auch wenn die Täter in der Realität über die guten alten SMS kommunizierten.

Und so weiß die Bundesregierung auch nicht, welche Verschlüsselungsmethoden primär eingesetzt werden. „Hinsichtlich Online- als auch Offline-Verschlüsselung sind gängige Verschlüsselungsmethoden
anzutreffen“ – so die lapidare Antwort.

Das Entschlüsseln Ende-zu-Ende-verschlüsselter Kommunikation bereitet deutschen Sicherheitsbehörden Probleme. Daher setzen sie zum Teil auf einen anderen Weg:

Für laufende Telekommunikationsvorgänge bestünde eine Möglichkeit darin, auf das entsprechende informationstechnische System zuzugreifen und eine speziell hierfür geschaffene Software zu installieren, welche die Kommunikation erfasst, bevor diese verschlüsselt wird und bei der sichergestellt ist, dass ausschließlich laufende Telekommunikation erfasst wird.

Im Klartext: Staatstrojaner. Das Innenministerium hat vor einer Weile demonstriert, dass es den Einsatz von Staatstrojanern auch entgegen verfassungsrechtlicher Bedenken billigt. Die Beschränkung auf „laufende Telekommunikation“, die vom Bundesverfassungsgericht auferlegt wurde, ist technisch kaum möglich. Noch schwieriger ist es, diese Beschränkung auch zu kontrollieren. Das Innenministerium konnte diese offenen Fragen auf eine frühere Nachfrage von netzpolitik.org hin nicht beantworten.

Zugriff auf die Daten, bevor sie verschlüsselt werden

Fragesteller Hunko vermutet, dass die EU-weite Initiative sich primär auf ebenjene Staatstrojaner konzentriert:

Wie bei der Vorratsdatenspeicherung wird das Umgehen, Aushebeln oder Unbrauchbarmachen von verschlüsselter Kommunikation nun auf EU-Ebene gehievt. Ich vermute, dass es weniger um das Brechen von Verschlüsselung geht, sondern dass Einsätze von Trojanern erleichtert werden sollen.

Das ist logisch, denn gelingt es den Ermittlern, die Kommunikation bereits auf dem Rechner abzufangen, zum Beispiel beim Schreiben einer Nachricht, müssen sie sich mit der Entschlüsselung in Nachhinein nicht beschäftigen.

Die Bundesregierung betont auch explizit, dass ihr besonders wichtig ist, ein Verbot der Schwächung von Verschlüsselung zu manifestieren. Doch sie kann nicht beides haben, auch wenn sie es noch so sehr behaupten. Bei früheren Staatstrojanern wurden Sicherheitslücken in Systemen ausgenutzt, anstatt sie in staatlicher Fürsorgepflicht für alle zu schließen. Außerdem enthielten die Trojaner ihrerseits teils massive Sicherheitslücken. Spätestens in diesen beiden Punkten gilt: Diese Sicherheitslücken können nicht nur von den Strafverfolgern genutzt werden, sondern auch von Menschen mit gewöhnlichen kriminellen Absichten. „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ funktionieren auf diese Weise für Kommunikationssysteme nicht.

Hunko will sich dafür einsetzen, dass Verschlüsselung auch weiter zum Schutz aller eingesetzt werden kann, betont er gegenüber netzpolitik.org:

Jeder Rest von Vertrauen in die Freiheit des Internet und der Telekommunikation wird auf diese Weise demontiert. Als Mitglied des Europarates setze ich mich deshalb auch dort für eine Resolution ein, die jede Schwächung von Verschlüsselungsstandards verbietet. Die Bundesregierung muss das Vertrauen in Verschlüsselungstechnik stärken statt aushöhlen. Hierzu gehört, die aus dem vergangenen Jahrhundert stammenden deutschen Eckpunkte der Kryptopolitik zu überarbeiten und jedes Korrumpieren von Verschlüsselung (auch durch Polizeien oder Geheimdienste) zu ächten.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

15 Ergänzungen

  1. Was sind das bloß für Menschen, die bei dieser „Zentralstelle“ arbeiten gehen? Und sich vermutlich noch denken, sie tun was Gutes. Denen würde ich gerne einen nach dem anderen…hmpf…. die furchtbaren Horrorclowns nach Hause schicken.

  2. Unbrauchbarmachen von verschlüsselter Kommunikation

    Das ist die billigste, schnellste und effektivste Methode um verschlüsselte Kommunikation zu verhindern/sabotieren.

  3. Heutzutage sollte der Staatstrojaner allerdings besonders für mobile Kommunikation geeignet sein. In der Tat gab es in Deutschland nicht so viele Terroranschläge, die überhaupt eine Reaktion des Staates bei der Überwachung der Kommunikation erfordern würden. Wenn ein Idiot durchdreht, hat das nicht unbedingt mit Terror i.e.S. zu tun. Interessanter war der Fall von München, bei dem noch Stunden später von 3 Tätern mit Langwaffen die Rede war. Wer glaubt, dass man einfach so zielsicher mit einer Pistole schießen kann, der irrt gewaltig. Dazu gehört Training, das überhört man nicht. Eine Pistole ist nicht die Waffe, mit der man sieht, schießt und tötet. Kein einziges Überwachungsvideo tauchte in der Öffentlichkeit auf. Sonmit liegt der Verdacht nahe, dass das Staatsterror war. Aber sollen die Knülche ruhig spitzeln, dann wird eben die AfD die Systemparteien ersetzen und wir kriegen erst mal eine Links-Rot-Grüne Kifferkoaliation. Bis die Leute verstehen, dass zum Sturz dieser jetzigen Bande absolute Mehrheiten nötig sind.
    Den Big Brother Award für den schicksten Staatstrojaner haben aber dieses Jahr die Ösis verliehen gekriegt. Wobei die Anzahl gefangener Staatshoppler noch an 10 Fingern abzuzählen ist. Als Bedrohung für die Demokratie gehen die nicht durch. Bundestrojaner 1, vor ungefähr 5 Jahren auf freier Wildbahn ertappt, enthielt sogar echte Urheberrechtsverstöße. Wer mir einen Trojaner unterjubelt kriegt ihn leicht modifiziert zurück. Egal, wer.

    1. „Kein einziges Überwachungsvideo tauchte in der Öffentlichkeit auf.
      Sonmit(sic) liegt der Verdacht nahe, dass das Staatsterror war“

      Kontrollier‘ besser mal, ob Dein Aluhut nicht ein Loch hat ;)

  4. Mh… ich verschlüssele meine Nachrichten als Kopierschutz, zum Schutz meines Urheberrechts. Selbst, wenn es ein dummer Tweet ist. (Wer mir jetzt mit Schöpfungshöhe kommt kriegt einen Öttinger vor den Kopf.) Und Umgehen von technischen Kopierschutzmaßnahmen ist illegal. Sagt meine Regierung. Die Regelung stammt noch aus einer Zeit, als das Brennen von Computer-Spiel-CDs in manchen Kreisen üblich war. Meine Firewall ist in dem Sinne auch ein technischer Kopierschutz, der nur illegal umgangen werden kann. Genauso mein Passwort. Wenn ich also einen Staatstrojaner bei mir finde – dann müsste ich doch den Staat verklagen können, nicht wahr?

    Nein ich rechne nicht damit, dass das so stimmt. Es zeigt nur wie sich unsere Staatslenker als, wie der Engländer sagen würde, „bumbling idiots“ aufführen, getrieben von den Blähungen der Lobbyisten.

  5. für mich hört sich das an wie BER oder stuttgart21. sobald das irgendwie im raum steht wird das auch irgendwie durchgeprügelt. es bleibt zu hoffen, dass ebenso wie es an taktik mangelt, auch ein konkretes wirtschaftliches oder repräsentatives ziel nicht ausgemacht werden kann (zumindest bis es eine regierung hat, die sich mit anderen dingen beschäftigt).

  6. Zitat:“Diese Sicherheitslücken können nicht nur von den Strafverfolgern genutzt werden, sondern auch von Menschen mit gewöhnlichen kriminellen Absichten. “

    Ist das nicht die Absicht unserer Regierung?
    Rechtschaffende Bürger in eine Situation zu versetzen, aus der sie „errettet“ werden müssen … klar mit neuen, schärferen Gesetzen!
    Freiheit? Das war Gestern! Heute haben wir statt Freiheit Sicherheit! Die Sicherheit, das der Bürger keine Freiheit mehr zu haben hat, da sie die Sicherheit gefährdet!

    Was hätte die DDR Regierung in dieser Situation gemacht?
    Klar, den Staatstrojaner präventiv auf jedes Gerät geladen, da der imperialistische Kundschafter sich in der unschuldigen Menge versteckt!
    Ferner wird vorgeschrieben, das nur das sozialistische HTML Darstellungsprogramm zu nutzen ist, auch ist das ändern des DDRNS Servers durch Hacking strengstens bei Strafe nicht unter 25 Jahren verboten!

    Hmmm … das wäre doch auch eine Lösung, nicht?
    Die Deutschen bekommen ihr eigenes Betriebssystem, das alle verwenden müssen, sie sind vor illegalen Inhalten, von linken Parteien z.B., optimal geschützt!
    Damit die Bürger auch die Partei wählen, die sie vor dem Unheil „Freiheit“ schützen, die die Sicherheit für alle unterminieren!

    1. Ich hoffe der Staatstrojaner kriegt ne ordentliche DIN-Norm. Und hoffentlich kommt auch ein elitärer iStaatstrojaner auf den Markt; mit dem schnöden Volks-Staatstrojaner will ich nicht zu tun haben.

  7. Nunja, hauptsache ist, der Staat hat die Daten, egal ob mit Trojaner oder ohne. Datenschutzrechtlich ist hier nach wie vor noch Redebedarf.

    1. Bei Eurer „Gruppendynamik in Rechtsanwalts Lobbyisten Politik“ wo jeder nur ins gleich Horn bläst, weil jeder Angst vor der Medien-gestuerten-Politik hat (da werden Rechtsanwälte genauso „eingekauft“ wie „Journalisten“), weil er oder sie sonst arbeitslos wird und aus dem „Ich muß als Rechtsanwalt ins Raster passen und mich anpassen sonst falle ich durch“ … da kommt doch sowieso nischt „konstruktives“ bei raus. Die Daten sind schon seit „Internet Neuland“ und früher schon in CETA Sprache das „Neue Erdöl“ mit dem gerne gehandelt wird und das billigst verkauft wird … und der Bürger wird gleich mitverkauft, ob er oder sie will oder nicht.

    1. Ein Cynogenmod-Tutorial wär auch fein. Ich will nämlich dem toischten Staat meine uneingeschränkte Solidarität im Kampf gegen den Törror demonstrieren.

  8. „gefährdet vertrauliche Kommunikation für alle“
    Das Lieblingsprojekt westlicher …….Demokratien.
    Plus Industriespionage.

    http://www.thespacereview.com/article/3095/1
    […] The leaked documents contain a few more interesting facts. While we have mostly talked about a role for Space-based SIGINT in the context of the drone war, counter-insurgency, and military conflict, the second of the leaked documents(https://www.documentcloud.org/documents/3089521-Menwith-satellite-classification-guide.html) mentions yet another role: collecting economic information.
    […] It is also a warning that efforts by some European governments to restrict the use of encryption technologies by civilians is an unwise move that could actually harm these countries’ own economic interests.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.