Going DarkDie Mär, dass Verschlüsselung den Staat blind macht

In den letzten Jahren fingen immer mehr Menschen an, Verschlüsselungstechnologien zu nutzen. In Deutschland und vielen anderen Ländern warnen Behörden davor, dass sie technisch nicht mehr in der Lage seien, ihre rechtlichen Pflichten auszuüben. Ein Bericht der Harvard-Universität ging dieser These nach, hält diese Sorge aber für unbegründet.

Behörden fürchten, bald im Dunkeln zu stehen.

Das FBI spricht in den USA von „Going Dark“ und auch hierzulande haben wir gehört, dass man die „dunklen Flecken des Internets ausleuchten“ müsse. Diese Metapher wird gerne herangezogen, um die scheinbare Unfähigkeit der Beamten aufzugreifen, auf verschlüsselte Daten zuzugreifen. Polizei oder Geheimdienste hätten in vielen Fällen gerichtlich die Möglichkeit erhalten, beispielsweise Kommunikation zu überwachen, aber wegen Verschlüsselung sei dies nicht immer möglich. Nicht zum ersten Mal wird daher der Ruf von Politikern laut, dass man „technisch tun können müsste, was man auch gesetzlich darf“.

Ein Bericht der Harvard-Universität geht dieser Annahme nach und prüft die Befürchtungen im Hinblick auf zukünftige Entwicklungen in der Technologiebranche. Dabei ging es nicht um die Frage, ob ein staatlicher Zugriff möglich sein sollte, sondern darum, ob die Angst „blind zu werden“ überhaupt berechtigt ist. Das Forschungspapier kommt zu einem eindeutigen Urteil: Auch wenn manche einzelne Kanäle in Zukunft schwieriger zu überwachen sein werden, tun sich gleichzeitig neue Wege der Überwachung auf.

Was ist (Ende-zu-Ende-)Verschlüsselung? Worum geht es überhaupt?

Die Ende-zu-Ende-Verschlüsselung von Kommunikation ist ins Zentrum dieser Diskussion gerückt. Dennoch trifft die Frage auch andere Bereiche wie zum Beispiel die Festplattenverschlüsselung bei Computern oder Handys. Insbesondere geht es um Fälle, wenn Dritte keinen Zugriff herstellen können und dies technisch auch so vorgesehen ist — wenn beispielsweise die Firma, die die ursprüngliche Software entwickelt hat, technisch nicht in der Lage wäre, an die Daten der Nutzer zu gelangen.

Nur schwer zu brechende Verschlüsselung gibt es schon lange und wird beispielsweise bei E-Mails mittels PGP seit über zwanzig Jahren ausgeführt. Dennoch waren diese Techniken für lange Zeit nur für versierte Nutzer bedienbar. In den letzten Jahren — nicht zuletzt dank dem Wissen über die Massenüberwachung — gibt es in vielen Bereichen Vorstöße, die Kommunikation und Daten von vielen Bereichen sicherer zu machen. Programme, die nun standardmäßig eine Verschlüsselungen vornehmen und so dem Massenmarkt die Technologie zur Verfügung stellen, sind vielleicht die wichtigste Neuerung. WhatsApp ist hierfür das prominenteste Beispiel.

Muss der Gesetzgeber einspringen?

Wenn nun ein institutionalisierter Weg gefordert wird, an die verschlüsselten Daten zu gelangen, dann heißt das im Klartext, dass die Verschlüsselung unsicherer gemacht werden muss. Zum Beispiel indem das Nutzerpasswort hinterlegt wird oder ein „Generalschlüssel“ beziehungsweise eine „Hintertür“ im Code vorgesehen ist. Kritiker befürchten, dass solche Schritte die Sicherheit und Privatsphäre aller Nutzer und die Wirtschaft gefährden würde.

Ist dieser Weg wirklich notwendig? Wird sich das Problem stellen, dass sich Menschen gegen jegliche Form der Beweisaufnahme schützen können? Braucht es daher rechtliche Maßnahmen? Das Papier aus dem Berkman Center for Internet & Society, das an der Harvard-Universität angesiedelt ist, begründet anschaulich, warum die Antwort auf all diese Fragen ein klares Nein ist.

Verschlüsselung wird sich nicht universell durchsetzen

Current company business models discourage implementation of end-to-end encryption and other technological impediments to company, and therefore government, access.

[Gegenwärtige Geschäftsmodelle bremsen die Einführung von Ende-zu-Ende-Verschlüsselung oder anderer technischer Hürden, die den Zugriff für Firmen — und daher auch Regierungen — beschränkt.]

Facebooks Geschäftsmodell basiert auf individualisierter Werbung.
Facebooks Geschäftsmodell basiert auf individualisierter Werbung.

Die erste Frage muss sein, ob sich eine Ende-zu-Ende-Verschlüsselung überhaupt im breiten Markt durchsetzen wird — die Forscher gehen jedenfalls nicht davon aus. Viele heutige Geschäftsmodelle halten Internet-Firmen davon ab, eine Ende-zu-Ende-Verschlüsselung einzuführen, weil sie auf Inhalte angewiesen sind. In einer Internetwelt, in der für viele Firmen der Einsatz von Werbung das kommerzielle Rückgrat ist, gibt es für solche Firmen wenig Anreize, Inhalte so zu verschlüsseln, dass sie sich selber von Inhalten ausschließen, mit denen sie Werbung besser anbieten könnten.

Cloud-basierte Software, die eine anhaltende Verbindung zwischen Anbieter und Benutzer herstellt, bietet sich besser für Überwachungs- und Kontrollzwecke an als eine, die einmal gekauft und dann eigenständig verwendet wird. Dienste wie Google Docs oder Dropbox können einige Funktionen nur anbieten, wenn sie auch Zugriff auf Daten im Klartext haben.

Damit im Zusammenhang steht die Nutzerfreundlichkeit. Wenn man ein Passwort für einen Cloud-Dienst vergessen hat, kann man nur an verschlüsselte Daten gelangen, wenn ebenjene Verschlüsselung nicht vollumfassend war, beispielsweise weil – wie bei Apples iCloud-Backup – eine Kopie des Schlüssels auf einem Server des Unternehmens lag.

Zusätzlich neigt die Software-Landschaft zu einer Fragmentierung. Um eine umfassende Verschlüsselung über verschiedene Dienste hinweg zu ermöglichen, wäre ein Maß an Kooperation und Absprache nötig, dass sich heute noch nicht erkennen ließe, so die Forscher aus Harvard.

Eine Tür schließt sich, eine anderen öffnet sich

Das „Internet der Dinge“ ist keine Zukunftsvision mehr und trotzdem wird noch ein massives Wachstum für die Zukunft vorhergesagt. Von dem Lautsprecher, über den ich mein Taxi buchen kann, bis hin zur Überwachungskamera, die ihre Bilder in Echtzeit an mein Handy sendet, sind viele alltägliche Dinge bereits heute mit dem Internet verbunden.

Dies könnte in Zukunft auf erschreckende Art eine allumfassende Überwachung ermöglichen. Die Bilder, Videos und Töne, die von diesen Geräten aufgenommen werden, könnten in Echtzeit mitgeschnitten werden. Die Unfähigkeit, einen verschlüsselten Kanal direkt zu überwachen, könnte durch die Überwachung eines anderen ausgeglichen werden.

Hört dieser Fernseher gerade mit? Foto: CC-BY 2.0  Kārlis Dambrāns
Hört dieser Fernseher gerade mit? Foto: CC-BY 2.0 Kārlis Dambrāns.

Bei einigen Samsung-Fernsehern wird heute schon jedes gesprochene Wort mitgeschnitten, an einen Server weitergeleitet und dort analysiert. (Die dazu nötige Rechenleistung im Gerät selbst zu installieren, ist wirtschaftlich schwer umzusetzen.) Solch ein Gerät bietet sich natürlich an, das Gespräch im selben Raum mitzuschneiden — ganz egal wie verschlüsselt das Gespräch selbst ist. Das ist kein neuer Ansatz, bereits 2001 wollte das FBI ein im Auto eingebautes Mikrofon umfunktionieren, um Gespräche mitzuschneiden.

Wenn das Internet der Dinge ein auch nur annähernd so großes Wachstum erfährt wie vorhergesagt, werden sich unzählige neue Kanäle für die Überwachung auftun. Man kann davon ausgehen, dass immer mehr Geräte jeden Aspekt unseres Lebens mitschneiden, auch wenn das nicht ihre primäre Funktion ist.

Manche Datentypen bleiben unverschlüsselt

Es gibt einige Daten, die momentan nicht verschlüsselt werden. Dies ist oft der Fall, damit Systeme ordnungsgemäß funktionieren können — eine Umstellung würde sich als sehr aufwendig erweisen. Ortungsinformationen von Handys und ähnlichen Geräten, Kopfzeilen in E-Mails und andere Metadaten erlauben einen sehr tiefen Einblick und viele Möglichkeiten zur Überwachung. Möglichkeiten, die es vor dem Entstehen dieser Technologien gar nicht gegeben hat.

Verschlüsselung umgehen anstatt sie zu brechen

Die Forscher erwähnen auch, dass Behörden immer mehr dazu übergehen, die Verschlüsselung nicht selbst zu knacken, sondern zu umgehen. Eine Ende-zu-Ende-verschlüsselte Nachricht wird beispielsweise in dem Augenblick entschlüsselt, wenn der Empfänger sie lesen will. Wer also den Bildschirm (beispielsweise mittels eines Trojaners) erfasst, kann zum gleichen Zeitpunkt wie der Empfänger die Nachricht erfassen. Oder wer sich im Nachhinein Zugang zum Gerät verschafft, kann darauf gespeicherte Inhalte im Nachhinein erfassen, wenn sie nur auf dem Weg von einem zum anderen Gerät verschlüsselt wurden.

Diese Vorgehensweise ist die offizielle Politik der deutschen Regierung. Natürlich gibt es wieder andere große Fragen und Probleme, die sich bei dem Einsatz von Trojanern zwangsweise auftun. Dennoch zeigt es, dass Behörden keineswegs „blind“ werden, sollten manche Inhalte verschlüsselt werden.

Falscher Ansatz

Würde eine gesetzliche Hintertür überhaupt helfen? Dazu gibt der Bericht die Antwort, dass jede gesetzliche Regelung auch umgangen werden würde:

Short of a form of government intervention in technology that appears contemplated by no one outside of the most despotic regimes, communication channels resistant to surveillance will always exist. This is especially true given the generative nature of the modern Internet, in which new services and software can be made available without centralized vetting.

[Da eine Einmischung der Regierung in die Technologie, die anscheinend von niemandem außer den despotischsten Regimen gewünscht wird, ausbleibt, wird es immer Kommunikationskanäle geben, die sich Überwachung entziehen. Dies ist besonders zutreffend, wenn man die produktive Natur des modernen Internets beachtet, in der neue Dienste und Software ohne eine zentralisierte Überprüfung verfügbar gemacht werden können.]

Im Anschluss an ihren Bericht geben die Forscher aus Harvard noch einen anderen Denkansatz: Ist der Anspruch, jede Information auch den Behörden zugänglich zu machen, wirklich der richtige Weg?

Das Framing von „Sicherheit (Zugriff für Behörden) gegen Datenschutz“ (starke Verschlüsselung) treffe den eigentlichen Punkt nicht. Es sollte eine Debatte über Sicherheit gegen Sicherheit sein, wie erst letztens im NSA-Untersuchungsausschuss festgestellt wurde. Verschlüsselung hilft nicht nur einer oft belächelten Privatsphäre, sie ist ebenso wichtig, um Firmengeheimnisse zu schützen, Kriminelle abzuwehren und (ausländischen) Geheimdiensten keinen Zugang zu gewähren. Viele Systeme der Infrastruktur oder Dissidenten in repressiven Staaten sind ebenfalls auf gute Datensicherheit angewiesen. Man kann ein System nicht nur „manchmal“ anfällig machen. Wenn Geräte auf richterlichen Geheiß umprogrammiert werden können, dann können auch andere diesen Hebel umlegen.

Oft wird auch der generelle Wunsch angeprangert, auf so viele Daten zuzugreifen. Dabei sagen viele, dass der Eindruck der Behörden, blind zu werden, nur daher kommt, dass sie vorher von der Informationsmasse geblendet wurden.

Eine informierte Debatte

Jede Debatte über eine gesetzliche Schwächung von Kryptographie sollte die hier beschriebenen Trends beachten. Zukünftige Kommunikationskanäle werden sich weder dem Zugriff vollkommen verweigern noch totaler Überwachung offenstehen. Die Forscher dazu:

Market forces and commercial interests will likely limit the circumstances in which companies will offer encryption that obscures user data from the companies themselves, and the trajectory of technological development points to a future abundant in unencrypted data, some of which can fill gaps left by the very communication channels law enforcement fears will „go dark“ and beyond reach.
[…]
To paint an overall picture of going dark based upon the fact that a number of widely used applications and products have introduced encryption by default risks obscuring this larger trend.

[Einflüsse von Märkten und kommerzielle Interessen werden die Bedingungen beschränken, unter denen Unternehmen Verschlüsselung anbieten werden, welche die Daten auch den Unternehmen selber unzugänglich macht. Die Richtung technologischer Entwicklung deutet zudem auf eine Zukunft voll unverschlüsselter Daten hin. Manche von ihnen werden genau die Lücken füllen, die von Kommunikationskanälen hinterlassen werden, bei denen Behörden vor einem Verlust des Zugriffs warnen.
[…]
Den generellen Eindruck eines Blindwerdens zu vermitteln, weil manche vielbenutzte Dienste eine standardmäßige Verschlüsselung eingeführt haben, birgt die Gefahr, diesen generellen Trend zu verschleiern.
]

Erst kürzlich hat die Bundesregierung eine neue Behörde, die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“ (Zitis), ins Leben gerufen. Dies ist der falsche Ansatz. Der Weg zu mehr Sicherheit führt über bessere, stärkere Verschlüsselung. Horrorszenarien, dass sich dadurch die Tür für die Beamten immer weiter schließt und in der Zukunft keinerlei Möglichkeiten mehr hat, auf essentielle Daten zuzugreifen, sind realitätsfern. Dafür liefert das Papier viele Argumente.

12 Ergänzungen

  1. Wenn wir (Politiker) wüssten, was der Bürger wirklich will!
    Wir (Politiker) erhöhen seit 2001 die gefühlte Sicherheit durch reale Einschränkungen, obwohl unser Land nicht von Terroristen überrannt wurde, wie unsere Berater es androhten!
    Anscheinend missfällt es dem Bürger, aber dennoch bestätigt er unsere Politik der realen Einschränkung der Grundrechte, in dem er unsere Partei und somit unsere Verfahrensweise, immer wieder durch seinen Wählerauftrag!
    Wie können wir (Politiker) dem Bürger vermitteln, das die Privatsphäre wie er sie kennt, nicht mehr existiert, da er diese schon freiwillig in den Sozialen Medien aufgibt und der nächste konsequente Schritt wäre, die Privatsphäre für alle aufzuheben?
    Es ist schwierig!
    Deswegen müssen wir (Politiker) die Kommunikation der Bürger untereinander examinieren, um diese Zwiespäligkeit zu ergründen!
    Das Grundgesetz verbietet diese politischen Notwendigkeiten!
    Wir (Politiker) müssen uns an unsere Antiterrorspezialisten wenden, damit sie uns unterstützen, Gründe zu generieren, damit wir (Politiker) das Grundgesetz entsprechend den neuen Erfordernissen anpassen dürfen!

    1. Hab oisch den Sarkasmus hier überlesen oder wie darf ich das verstehen? Nur weil 99% Der Bevölkerung sich in Sozialen Medien Nakich macht – bedeutet das in keinen denkbaren Fall das irgendeiner der restlichen 1% diesen Unfug mit machen müsste, dazu gedrängt werden könne oder dies schlichtweg erdulden möge. Da sei das Grundgesetz immer noch davor!
      Ansonsten läuft es deterministisch in Richtung „Großer Bruder“ und Diktatur (von wem genau werden wir dann noch sehen)

      Darum gibt es nur eines. Wenn ALLE mit Persönlichen Daten Geld verdienen wollen, dann WIR das Volk auch. D.h. Wenn z.B. eine Versicherung meine Daten für einen Vertrag braucht – und anderes – dann sollen sie auch dafür Zahlen! So wird nebenbei auch noch die Versicherung günstiger.

      Aber es ist klar wohin das dann führen wird. Es werden; nach dem Vorbilde SchuFa; Agenturen entstehen die einen Datensatz mittels Scoring finanziell bewerten.

      Dann wird endlich wahr was „Der Postillion“ gerne kolportiert, Das „der kleine Timmi“ von der Rating-Agentur auf Ramsch Niveau herunter gestuft wurde – und er sich kein Butterbrot mehr leisten kann.

      Und wozu das alles dann? Nur wegen ein paar Terroristen, Der Datengeilen Wirtschaft, unwissenden Entscheidungsträgern?

      ERNSTHAFT JETZT!?!?

      1. … noaja, ich ändere mal gerne die Sichtweise … das von mir gepostete wäre die eines Innenpolitikers, der die Reaktionen der Bürger nicht mehr versteht!
        Er will quasi das was, wie du schon bemerkst, 99% der Bevölkerung freiwillig macht, lediglich in verbindliche Gesetze gießen … damit seine Fraktion daran Partizipieren kann!

        Von meiner Seite aus … klar blanker Zynismus mit etwas Ironie … aber unsere Politiker haben wirklich eine solche Geisteshaltung!

  2. Die Wahlergebnisse der vergangenen Jahre zeigten, dass die „Wahlberechtigten“ von „ihren Politikern“ die Faxen dicke haben. Kaum zu Unrecht. Diese Politiker kämpfen nur um ihren Platz am Fressnapf des Steuerzahlers. Um sonst garnichts.

    Wer über Verschlüsselung redet, sollte zunächst mal einen sicheren Router und dann ein sicheres Betriebssystem haben. Vorher braucht man über Verschlüsselung nicht nachdenken. Mit den jüngeren Betriebssystemen, nicht nur Windows, ist die Integrität und Authentizität der Daten auf einem PC keine Minute mehr gewährleistet. Über Smartphones braucht man in der heutigen Konfiguration kein Wort verlieren.

    Beispiel: Letztens sagte eine Cyberlink-Video-Software auf meiner VM-Win8-Maschine, die gehärtet ist und bei der alle bekannten Schnüffelfunktionen abgeschaltet sind, sogar Microsoft-Verbindungen sind geblockt, dass sie ohne den Microsoft-Media-Player nicht funktioniert. Denke ich mir, gut dann eben nicht. Aber Microsofts Service war perfekt, ein paar Tage später stellte ich fest, dass ich neuerdings den Media-Player auf dem Rechner habe. :-) Offenbar hatte Akamai die Aufgaben der blockierten Microsoft-Verbindungen freundlicherweise übernommen. Diese Funktionalität bezeichnet man allerdings als BOT. Der Nutzer hat keine Möglichkeit dem „Service“ zu entkommen. Das soll laut Meldung Heise (heute) unter Strafe gestellt werden. Also meine lieben Mircrosoft-Benutzer haltet für den Tag, an dem die Polizei bei euch anklopft, schon mal eine Tasse Kaffee für die Polizei und für den Knastaufenthalt danach ein Stück Seife bereit. :-) Wenn allerdings TTIP durchgeht, könne Microsoft die BRD/EU verklagen, weil die sich an Microsofts Daten vergriffen haben.

    Wer Interesse hat, kann ja mal fakenet-ng 1 (kam letztens bei sempervideo.de, herzlichen Dank) installieren und starten, wireshark sniffen lassen. Fakenet biegt Verbindungen so um, dass rein garnichts mehr ins Netz kann. An dem Protokoll kann man schön beobachten, wer denn so ins Netz wollte. Dann Fakenet mit Strg-C abbrechen und bewundern, was bei wireshark losgeht. Das Ergebnis bei statistics-endpoints ist garantiert spektakulär. Die Besorgnis oder Hilfsbereitschaft von allerlei Software mit ihren Verbindungen zu meinen PC war wirklich sensationell. Man sollte ja meinen, dass es nur eine Verbindung, nämlich die zum Provider gibt. Bis WinXP war es so, danach brach der Irrsinn aus. Man kann ihn mit einer VPN nur kanalisieren. Selbst daran versucht Akamai sich vorbeizuschleichen.

    Um es auf den Punkt zu bringen, wer glaubt mit Verschlüsselung irgendwas verstecken zu können, könnte einem Irrtum unterliegen. Die einzige Möglichkeit die Sicherheit der Daten zu gewährleisten besteht darin, dem Rechner keinerlei Internetzugang zu gestatten. Selbst das wäre im Zeitalter der Schnüffelstaaten und ihrer Lakaien nicht ganz sicher.

    1. Hört sich lustig an, bin aber zu faul.

      Wenn ich mit dem rumfaulen aufhöre, kaufe ich mir ne neue Maschine und spiele Linux drauf. Das läuft grad bei mir in einer WinVM

  3. Also mir fällt der zunehmende Gebrauch von Nicht-Sätzen auf: Nicht denken! Oder oft auch: Nicht vor 2018! Und jetzt auch noch: Nicht verschlüsseln!

    Weitere mögliche Optionen: Nicht studieren! oder Nicht in die USA oder nach Südamerika reisen!

    Oder gleich doppelt verneint: Das (uns) nicht Mögliche ist (uns) nicht möglich.

      1. Wer sich politisch (Ein-) Bilden … und wissen möchte, was Politiker so nutzen -> http://www.kas.de/wf/de/21.54/ … die Zahlen und Studien sind alle öffentlich … wer seinen „Feind“ (der mündige Bürger) kennt, kann ihn auch bekämpfen!
        Gut für den „Feind“ (der mündige Bürger) wäre es doch, wenn dieser wissen würde, was die Politik denkt über den „Feind“ (der mündige Bürger) zu wissen, nicht?

  4. Auf Grund der Wichtigtkeit poste ich das hier nochmal:

    Senator Ron Wyden delivered a speech on the floor of the Senate on Thursday calling for passage of a bill that would annul new rules for judges. These rules will give the FBI authority to hack millions of people’s computers with a single search warrant, regardless of where the device is located.

    The Stop Mass Hacking Act (S. 2952, H.R. 5321), which has bipartisan support, is composed of a single sentence:

    „To prevent the proposed amendments to rule 41 
of the Federal Rules of Criminal Procedure from taking effect.“

    Wyden’s bill attempts to stop the upcoming changes to Rule 41, set to take effect in less than 90 days. „

  5. Die Geheimdienste müssten im Prinzip GAR NICHTS ändern. Denn Geheimdienstarbeit erstreckte sich schon immer auf die Überwachung von gefährlichen MENSCHEN – nicht Geräten. Würde man diese schon immer praktizierte Arbeit ernsthaft tun, wäre jede Art der Telekommunikationsüberwachung oder das Knacken von Systemen unnötig! Denn jede Kommunikation geht von den genannten Menschen aus und kann VOR ORT mit Kameras und Mikrofonen mitgeschnitten werden. Diese Kommunikation wird in dem Moment mit 100% iger Sicherheit unverschlüsselt stattfinden (ansonsten verstünden sich die Kommunikationspartner ja nicht!).
    Problem: Diese Art der Geheimdienstarbeit ist Personalaufwändig und muss daher auf tatsächliche „Gefähreder“ beschränkt bleiben.
    Ich werde daher den Eindruck nicht los, dass unsere Staaten und deren Zuständige zu geizig, zu faul, zu inkompetent sind, um diese Arbeit zu tun. Lieber legt man die Füße auf den Schreibtisch und lasst diese Arbeit von einer automatischen Software erledigen. Man sieht jedoch: diese Software ist unfähig und nicht in der Lage Terroranschläge zu verhindern.
    Fazit also: (mal wieder) Geld zum Fenster raus geblasen, Grundrechte der Bürger verletzt und eingeschränkt und doch nichts (zu wenig) erreicht!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.