Verschlüsselung ist global: Hintertüren wären sinnlos, zeigt neue Studie

Bruce Schneier ist einer der drei Autoren der Studie

In den letzten Monaten ist die Debatte um Verschlüsselung neu entflammt. Eine neue Studie verdeutlicht nun den Unsinn von Verschlüsselungs-Verboten und dem Einbau von Hintertüren anhand greifbarer Zahlen. Wissenschaftler*innen haben eine beeindruckende Liste von über 800 verschiedenen Verschlüsselungs-Produkten aus 55 Ländern erstellt. Sie zeigt, dass es immer Alternativen geben wird, welche außerhalb der Reichweite von Ermittlungsbehörden liegen.

Crypto-Produkte aus 55 Ländern

Das Team von Forscher*innen, unter ihnen der Kryptograph Bruce Schneier, hat für die Studie insgesamt 865 verschiedene Hardware- und Software-Produkte gesammelt, die zum Verschlüsseln von Dateien, E-Mails, Nachrichten und Netzwerkverkehr genutzt werden können. Die Hersteller sitzen in 55 Ländern weltweit, wobei rund ein Drittel aller Produkte in den USA hergestellt werden. Auf dem zweiten Platz folgt Deutschland mit 112 Produkten, darunter GnuPG und KeePass.

Cryptography is very much a worldwide academic discipline, as evidenced by the quantity and quality of research papers and academic conferences from countries other than the US. […] Additionally, the seemingly endless stream of bugs and vulnerabilities in US encryption products demonstrates that American engineers are not better their foreign counterparts at writing secure encryption software

Schon einmal hatten Wissenschaftler*innen eine weltweite Umfrage zu Verschlüsselungstechnologien durchgeführt. Im Jahr 1999 wurden von einem Team der George-Washington-Universität insgesamt 805 Produkte aus 36 Ländern gezählt. Nur einige wenige Produkte von damals sind 17 Jahre später in der neuen Liste zu finden. Beide Studien erheben aber keinen Anspruch auf Vollständigkeit, es sind also wahrscheinlich mehr Produkte verfügbar. Die Liste der erhobenen Produkte ist auf dem Blog von Bruce Schneier einsehbar.

Crypto-Wars 3.0?

Die Studie kommt dabei zu einem guten Zeitpunkt: Seit den Anschlägen von Paris im Herbst 2015 ist die Debatte um Verschlüsselungssoftware neu entflammt: Weltweit überbieten sich die Direktor*innen von Geheimdiensten und Polizeien gegenseitig mit ihren Rufen nach wahlweise Hintertüren (Backdoors) oder einem Komplettverbot von Verschlüsselungsstechnologien. Auch in der Europäischen Union gibt es Stimmen, welche den Zugriff von Strafverfolgungsbehörden auf verschlüsselte Kommunikation und Dateien fordern. So erst in der letzten Woche der neue thüringische Verfassungsschutzpräsident Stephan J. Kramer gegenüber heise online.

Die Studie belegt nun ein oft genanntes Argument in der Verschlüsselungs-Debatte: Verschlüsselung lässt sich nicht verbieten! Es gibt schlicht zu viele verschiedene Produkte, die zum Verschlüsseln genutzt werden können. Sogar wenn es der US-Regierung gelingen könnte, beispielsweise Apple zum Einbau einer Hintertür in deren iPhone-Verschlüsselung zu verpflichten, gäbe es noch genügend alternative Verschlüsselungsprodukte. Die meisten von ihnen aus anderen Ländern und damit unerreichbar für jegliche Regulierungsbehörde.

It is easy to purchase products, especially software products, that are sold anywhere in the world from everywhere in the world. Encryption products come from all over the world. Any national law mandating encryption backdoors will overwhelmingly affect the innocent users of those products. Smart criminals and terrorists will easily be able to switch to more-secure alternatives

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

20 Ergänzungen

  1. Die gängigsten Crypto Tools sind sowieso OpenSource und unterliegen somit keiner nationalen Regulierung mehr da sie global frei zur Verfügung stehen.

    Dennoch bei der Inkompetenz unserer Politiker ist durchaus davon auszugehen das Verschlüsselung verboten wird. Dann wird der normale Nutzer kriminalisiert und kann seine Daten nicht mehr schützen. Die kriminellen verschlüsseln dann eben weiterhin ihre Kommunikation. Damit wäre dann nur Schaden angerichtet und absolut niemandem geholfen.

  2. Sehr geehrter Herr Simon,

    als forschende Wissenschaftlerin möchte ich sie auffordern, richtig zu gendern. Formen wie
    Wissenschaftler*innen sind dazu geeignet, die Leistung von Frauen zu Verunglimpfen und ins Lächerliche zu ziehen. Bitte halten Sie sich an die Normen der deutschen Rechtschreibung, so wie sie auch in der Wissenschaft Anwendung finden.

    1. Welcher kausale Zusammenhang besteht denn zwischen der gewählten Form & der damit implizierten „Verunglimpfung“?
      Das kann ich beim besten Willen nicht nachvollziehen.

      1. … und schon ist die ganze Uni kaputt:

        Aufgrund von Wartungsarbeiten ist die gewünschte Seite kurzfristig nicht verfügbar.
        Bitte versuchen Sie es später wieder.

        Wir bitten Sie um Ihr Verständnis!

        Due to maintenance work, the requested page is not available.
        Do not try again.

        Sorry for the inconvenience!

        http://www.uni-graz.at
        Apache

    2. Wenn wir hier sowieso schon am trollen sind, eine Frage in die Runde:
      Geht das nur mir so oder auch anderen? Aber jedes mal, wenn ich auf einer Seite sehe das sie bei diesem Gendermüll mitmachen verlieren sie ein wenig meinen Respekt. Erstens verschandelt es die Sprache und zweites kennen diese Leute ja keine Grenzen, denn sobald sich dieses Gendern etabliert hat erfinden sie irgendwelche Pseudomischgeschlechter die dann wieder nicht ausreichend dadurch repräsentiert werden oder sonst etwas.

      1. Geht das nur mir so oder auch anderen?

        Mir ist das *innen nicht einmal aufgefallen beim Lesen des Artikels …

    1. Da hatte sich ein Tippfehler eingeschlichen, die erste Studie war von 1999. Danke für den Hinweis!

  3. Ob und welche Verschlüsselungstechniken legal oder illegal eingesetzt werden sollen, ist doch eine Scheindiskussion.
    Einerseits bleiben die Apologeten einer anlasslosen Massenüberwachung den Nachweis schuldig, dass die so erschnüffelten Daten einen substantiellen Beitrag zu Verbrechensbekämpfung oder Terrorabwehr leisten würden. Deren Forderungen nach Hintertüren oder gar Verbot von Verschlüsselung sind doch längst als Versuch entlarvt, Massenüberwachung noch auszuweiten bzw. formal zu legalisieren. Das es immer Möglichkeiten geben wird, sich einer Überwachung zu entziehen, ist doch nun wirklich keine neue Erkenntnis!
    Andererseits ist Verschlüsselung für die breite Masse aber auch völlig sinnlos, weil die diversen Schnüffeldienste seit Jahren über die Fähigkeit verfügen, sämtliche gängigen Verschlüsselungen zu knacken. Hintertüren sind doch längst gang und gäbe, davor schützt auch Open-Source nicht, im Gegenteil! Und da wo es sie – noch – nicht gibt, wird keine Verschlüsselung den nahezu unbegrenzten Ressourcen der Geheimdienste lange standhalten.
    Der „Cryptowar“ ist längst entschieden.
    Es geht nicht um Verschlüsselung. Wir müssen die politische Kontrolle über die Geheimdienste zurückgewinnen.

  4. Es nützt halt nur leider im Härtefall herzlich wenig. Man muss ja gar nicht die Software verschwinden lassen, es reicht ja völlig aus, die zu kriminalisieren, die Verschlüsselung benutzen bzw. zur Herausgabe von Passwörtern zu zwingen (s. Großbritannien).
    Verschlüsselung lässt sich also in der Tat halbwegs effektiv “verbieten“.

    1. Mahlzeit,

      wenn auch nur irgendeine Regierung auf die Idee käme national Verschlüsselung zu verbieten, wären alle Banken, Versicherungen und jeglicher andere nicht-staatseigene Betrieb in dem Land umgehend pleite. Viele Firmen treiben bei Kryptologie einen massiven Aufwand, um Kunden- und Geschäftsdaten zu verschlüsseln.

      Ich habe gerade eine Bank als Kunden und was man hier alles an Zertifikaten, Schlüsseln, verschlüsselten Schlüsseln und sonstigem Zeug benötigt, um auch nur eine txt-Datei von Server A auf Server B zu schieben, ist unglaublich. Aber eben auch notwendig, weil ich sonst dieser Bank mein Geld nicht anvertrauen würde.

      Gruß
      einie

  5. Das ist wie mit den Warngeräten für Radaranlagen: seitdem der Einsatz von mobilen Radarwarngeräten (Warn-Apps) per Gesetz unter Strafe gestellt wurde, nützt einem die ganze Argumentationskette nichts mehr. § 23: „Dem Führer eines Kraftfahrzeuges ist es untersagt, ein technisches Gerät zu betreiben oder betriebsbereit mitzuführen, das dafür bestimmt ist, Verkehrsüberwachungsmaßnahmen anzuzeigen oder zu stören.“

    So schrieb Auto, Motor und Sport 2011: „Dass Geräte überhaupt mit solchen Funktionen ausgestattet sind, liegt an der uneinheitlichen Gesetzeslage in Europa. So ist der Warndienst via Navigationssystem in einigen EU-Ländern erlaubt. “

    Genauso wird es irgendwann mit der Verschlüsselung laufen.

  6. Haha, „American engineers are not better their [sic!] foreign counterparts at writing secure encryption software.“ Wer hätte das gedacht? Und es braucht schon eine Studie von Schneier, um so etwas herauszufinden. ;-)

    Wusste nicht, dass in Deutschland so viele Krypto-Produkte entwickelt werden. Die, welche ich nutze, stammen aus der Schweiz (Threema und ProtonMail).

  7. Der Trick ist ja: Verschlüssele ich die secret.txt zuerst mit einem gebackdoorten US-Produkt und das Resultat dann mit einem gebackdoorten Programm aus, sagen wir, Nordkorea, ist sie vor Entschlüsselung sicher.
    Zumindest bis sich die USA und Nordkorea sich einigen, gemeinsam gegen mich vorzugehen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.