Crypto Wars, die unendliche Geschichte: „Kein Recht auf absolute Privatsphäre“

Der stellvertretende US-Justizminister Rod Rosenstein forderte IT-Unternehmen dazu auf, Ermittlungsbehörden den Zugang zu verschlüsselten Daten zu gewähren. Damit geht die Auseinandersetzung rund um Hintertüren und IT-Sicherheit in die nächste Runde.

Der stellvertretende US-Justizminister Rod Rosenstein bei einer Rede im Mai 2017. CC-BY 2.0 Shane T. McCoy / US Marshals

Es war nur eine Frage der Zeit, bis die Trump-Regierung einen Anlauf gegen Verschlüsselung startet. Am Dienstag war es dann soweit: Rod Rosenstein, stellvertretender US-Justizminister, forderte in einer Rede Zugang zu verschlüsselten Inhalten. Zu keinem Zeitpunkt hätte es in der Menschheitsgeschichte Techniken gegeben, sagte Rosenstein, um sich der Strafverfolgung zu entziehen. Aber das sei die Welt, die IT-Unternehmen erschafften.

„Milliarden an Kurznachrichten werden jeden Tag über Mainstream-Apps verschickt und empfangen, die standardmäßig Ende-zu-Ende-Verschlüsselung nutzen“, sagte Rosenstein. „Die Hersteller machen dabei etwas, was das Gesetz [herkömmlichen] Telefonieanbietern nicht erlaubt: Sie nehmen sich das Recht heraus, Anordnungen von Gerichten nicht nachzukommen.“ Das mache Ermittlungen schwierig, wenn nicht gar unmöglich.

„Kein Recht auf absolute Privatsphäre“

Der Karrierejurist verwies auf einige Fälle, bei denen sich das sogenannte „Going Dark“-Problem besonders stark ausgewirkt hätte – etwa eine Attacke im Mai 2015 in Garland oder das öffentlichkeitswirksame Nachspiel eines Anschlags im Februar 2016, als Apple sich weigerte, das iPhone des mutmaßlichen Täters aus San Bernardino zu entsperren. „Aber es gab nie ein Recht auf absolute Privatsphäre“, sagte Rosenstein.

Die Lösung dieses Problems wäre „verantwortungsvolle Verschlüsselung“. Diese gebe es bereits heute und erlaube laut Rosenstein den Einsatz „effektiver, sicherer Verschlüsselung“, die nach einer Gerichtsanordnung dennoch zugänglich wäre. Darunter fiele beispielsweise die zentrale Verwaltung von Schlüsseln, mit denen Betriebssystem-Updates signiert werden oder die etwa Apple vorhält, um auf bestimmte, in der iCloud liegende Inhalte von Nutzern zuzugreifen (iMessage-Nachrichten zählen nicht dazu); das Scannen von E-Mails für Werbezwecke; die Auslieferung von Kurznachrichten an mehrere Geräte; oder Wiederherstellungsschlüssel, wenn Laptop-Nutzer ihre Festplatte nicht mehr entschlüsseln könnten.

Hintertüren, die keine sein sollen

Niemand würde diese Funktionen als „Hintertüren“ bezeichnen, behauptete Rosenstein. Deshalb benötige man nicht eine einzige, staatlich verordnete Lösung, um an die gewünschten Daten zu kommen – etwa zentral hinterlegte Schlüssel oder Systeme wie den „Clipper Chip“, der recht kurz nach seiner Vorstellung in den 1990er-Jahren entzaubert wurde.

Stattdessen, so Rosenstein, sollen sich einfach IT-Unternehmen etwas einfallen lassen. Den Ermittlungsbehörden sei es gleichgültig, wie sie an die Daten kommen – Hauptsache, die Hersteller rücken sie bei einer Gerichtsanordnung heraus. Dabei appellierte Rosenstein besonders an große Unternehmen: „Verschlüsselte Kommunikation und Geräte sind die größte Gefahr für die öffentliche Sicherheit, wenn sie Teil des Massenmarkts sind und standardmäßig Verschlüsselung aktiviert haben.“

Zwar könnten fortgeschrittene Kriminelle auf weniger genutzte Systeme umsteigen, räumte Rosenstein ein, und sich so der Strafverfolgung entziehen. „Aber jeder Fortschritt, um Zugang zu Kommunikationsmethoden zu erhalten, die die meisten Kriminellen und Terroristen nutzen, wäre ein großer Schritt nach vorne.“

Hinterlegte Schlüssel sind Hintertüren

Die digitale Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) war wenig begeistert über diesen neuerlichen Vorstoß und zerlegte die Rede Punkt für Punkt. Menschen könnten schon seit jeher vertraulich miteinander reden, indem sie sich persönlich treffen würden. Das Scannen von E-Mails sei kein sonderlich gelungenes Beispiel für Verschlüsselung, während hinterlegte Schlüssel nichts anderes als Hintertüren seien, von denen Rosenstein doch nichts wissen wolle. Zudem zeigten regelmäßige Leaks, dass es selbst dem US-Geheimdienst NSA nicht gelänge, für absolute Sicherheit zu sorgen.

Auch in Europa will die Debatte darüber nicht abreißen, wie mit verschlüsselter Kommunikation umzugehen ist. So sorgte die EU-Digitalkommissarin Marija Gabriel bei ihrer Anhörung im EU-Parlament für Stirnrunzeln, als sie einen „rechtmäßigen Zugang unter sehr strikten Bedingungen“ zu verschlüsselter Kommunikation forderte. Unterdessen veranstaltet Europol Workshops für Strafverfolgungsbehörden, um der Thematik Herr zu werden. Noch weiter ging die britische Innenministerin Amber Rudd, die kürzlich behauptete, „echte Leute“ würden doch gar keine Verschlüsselung benötigen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

  1. Dem stellvertretenden Justizminister ist vielleicht nicht bekannt, dass alle namenhaften Hersteller von Hard- und Software in den USA mit den Behörden zusammenarbeiten. Ein vor Staatshackern sicheres System ist wahrscheinlich auch ohne Hintertüren heute kaum oder nur sehr schwer möglich. Die Smartphoes sind leicht zu knacken, weil sie fast nie auf dem aktuellsten Stand sind. Bei Heim-PC ist bei den meisten die einzige Verteidigungslinie der Router.

    Der vor Kurzem eingetretene Fall Ccleaner hat doch sehr schön gezeigt, wie einfach sogar relativ gut geschützte Systeme von IT-Firmen kompromittiert werden konnten. Der EFF kann ich mit ihrem Glauben an Verschlüsselung auch nicht folgen. Der kompromittierte Ccleaner hatte ein gültiges Zertifikat. Von daher kann der stv. Minister sein Geblubber sein lassen. Natürlich sind diverse Schnüffelansätze, wie „Vorratsdatenspeicherung“, Rastern nach Polizeigesetz und was die noch für ein Zeug in Gesetze gegossen haben, einfach sinnlos. Damit beunruhigt man vielleicht die Bevölkerung, aber Kriminelle oder gar total durchgeknallte Terroristen fängt man so ganz sicher nicht. Da sind übliche Methoden der Polizeiarbeit erfolgreicher. Die brauchen natürlich qualifizertes Personal. Wie das Scheitern der vorbeugenden auf Statistik beruhenden Polizeiverfahren an den deutschen Versuchsstandorten bewies.

  2. @Tim: Software, schön und gut. Doch wenn Dritte die Herrschaft über die _zugrunde liegende Hardware_ erlangen können, so werden dann eben auch, mit an Sicherheit grenzender Wahrscheinlichkeit, „Sicherheitsmechanismen“ der Software umgehbar. Zum Einstieg ein paar Buzzwords: baseband processor, Intel Management Engine. Ich möchte darauf hinweisen, dass ich dies mit Hinblick auf die Vetrauenswürdigkeit der genutzten Plattformen meine. Es handelt sich bei den beiden zuvor genannten Komponenten „leider“ um proprietäre Komponenten; letzte Gewissheit wird man nur bei Kenntnis des kompletten Inhalts erlangen.

  3. Na da komme ich doch aus dem Lachen nicht mehr raus.
    Mit diesem Theater will man die Nutzer doch nur in Sicherheit wiegen. Machen wir uns doch nichts vor, in Wahrheit haben die US-Behörden (und alle anderen, die die Internetknoten kontrollieren) schon immer Zugriff auf im Internet kursierenden Daten.

  4. leider dürfte es schlimmer sein. Mag sein, dass die Beruhigung der Bevölkerung ein netter Nebeneffekt ist. Aber mir schein, es geht gar nicht darum Kriminelle und Terroristen zu schnappen. Denn die Ausweichmöglichkeiten sind ihm ja auch bekannt, da er sie anspricht. Also kann es wohl nur darum gehen, dass man eben den Zugriff auf die „Milliarden an Kurznachrichten[, die] […] jeden Tag über Mainstream-Apps verschickt und empfangen [werden]“ haben möchte. Und eben nicht um Kriminelle und Terroristen zu schnappen, sondern um die Bevölkerung zu überwachen. Genauso wie schon jetzt in den USA alles bspw. nach Hash-Werten von Kipo-Bildern gefiltert, d.h. durchsucht wird, was ja auch nichts anderes als eine Totalüberwachung ist. Daneben nehme man noch Vorratsdatenspeicherung und was sonst noch so geht, und schon hat man was man will: den gläsernen Bürger, ähh nein: „Untertan“.
    Denn wie immer bei solchen Regelungen: wenn ich (sicherer) Verschlüsselung verbiete, dann haben irgendwann nur noch Verbrecher sichere Kommunikation/Verschlüsselung. Das gilt für alles was ich verbiete, weswegen auch Waffengesetze die Waffen nicht wie gewollt dazu führen, dass Verbrecher keine Waffen haben; es wird dadurch nur schwieriger, aber wer Verbrechen begehen will (oder gar Terrorismus), der riskiert sowieso schon viel (in Amerika häufig ggf. sogar Todesstrafe); da dürfte das kaum interessieren.
    Und „going dark“: nun m.E. dürfte es insoweit eher eine „staying dark“ sein. Denn zuvor gab es diese milliardenfache verschriftlichte Messaging Kommunikation nicht, da hat man face-to-face diese Dinge ausgetauscht, also in einer Form, die außer bei einer gezielten (und aufwändigen) Überwachung auch unbekannt blieb.

  5. Es geht hier zum einen um die Vormachtstellung des Staates gegenüber ihren Untertanen. Zum anderen — und das sollte man nicht vergessen — aber auch um die Hoheit in den Händen eines einzelnen Landes, den USA.

    Versucht doch mal einen Computer zusammenzustellen, der keine Technologie aus den USA enthält; Das ist derzeit wohl ziemlich unmöglich. Selbst bei Betriebssystemen etwas zu finden, fällt schon schwer. Und vertrauen wir nicht alle unsere intimsten Informationen Dienstleistern mit Hauptsitz in den USA an? Sei es bei Suchmaschinen, Videoportalen, soziale Netzwerke…
    [Nachtrag: Nachdem ich mir das nochmal durchgelesen habe, frage ich mich ernsthaft, ob es wohl richtig war, hier jeweils den Plural zu verwenden.]

    Wir sind bei der IT doch vollkommen von den USA abhängig. Es geht mir jetzt nicht speziell um die USA. Anderen Ländern vertraue ich auch nicht unbedingt mehr. Sondern es geht darum, dass es nur ein einziges Land ist, von dem wir uns abhängig gemacht haben. Um es mit einem Fachausdruck zu beschreiben: Das ist der „Single Point of Failure“.

    1. Ich halte es ehrlich gesagt für relativ unwahrscheinlich, dass eine Linuxdistribution von der Stange irgendwelche US-Schadsoftware enthält. Dass viele der Entwickler in USA sitzen ist dabei völlig unerheblich da ja der Quellcode öffentlich ist.

      man müsste ja den Kernel oder eine andere wichtige Systemkomponente kompromittieren. Im Quellcode wäre es natürlich möglich Hintertüren einzubauen und zu geschickt zu verstecken aber die müssten schon sehr gut gemacht sein um nicht mittelfristig aufzufallen.

      Ich kann jetzt nur von Debian GNU/Linux reden, aber da ist das Setup eigentlich schon so, dass man davon ausgehen kann, dass die Pakete auch aus genau dem Quellcode gebaut wurden, den man im Repo findet. Das ReproducibleBuilds Projekt ist leider noch nicht in die aktuell stabile Version eingezogen. Das würde klar helfen das Ganze nochmal eine Stufe unwahrscheinlicher zu machen.

      Sven

      1. Es geht nicht um Schadsoftware, sondern um schwache, oder zumindest umgehbare Kryptographie. Ich erinnere an den Zufallszahlengenerator Dual_EC_DRBG. Okay, der wurde unter GNU/Linux wohl nie wirklich eingesetzt, aber er steckt in OpenSSL auch mit drin. Oder ich erinnere an das Debakel mit dem OpenSSL-Zufallsgenerator in Debian. Da will ich jetzt keine böse Absicht unterstellen, aber das zeigt, wie leicht sowas auch in freier Software passieren kann. Das Schlimme war nicht mal, dass der Fehler passierte — Fehler passieren halt — das Schlimme war, dass es fast zwei Jahre dauerte, bevor das jemandem auffiel, obwohl der wirklich sehr kaputt war.

        Linus Torvalds, der mittlerweile auch die amerikanische Staatsbürgerschaft hat, wurde mal gefragt, ob die NSA auch ihn schon mal angesprochen habe. Seine Lippen sagten „No“, doch sein Kopf machte eine nickende Bewegung…

        Auch ich vertraue freier Software mehr, als unfreier. Doch Garantien gibt uns keiner, kein lieber Gott, auch der nicht, leider.

  6. Wo Sie schon FOSS ansprechen. Hier ein interessanter Artikel und sehr wichtiger.

    https://futurezone.at/netzpolitik/urheberrechtsreform-gefaehrdet-github-und-wikipedia/289.612.830

    @Sven

    „Ich halte es ehrlich gesagt für relativ unwahrscheinlich, dass eine Linuxdistribution von der Stange irgendwelche US-Schadsoftware enthält.“

    Warum halten Sie es für relativ unwahrscheinlich? Beispiele dafür dass weder Mensch noch Maschine perfekt sind, gibt es doch. Da reichen auch ungewollte Schwachstellen in vermeindlich gut gemeinten Ideen, um kalten Schweiss auf die Stirn zu treiben.

    „Sicherheitsexperten zeigten, wie sie eine Sicherheitslücke in Intels ME-Firmware nutzen, um unsignierten Code auszuführen. Die ME hat im Prinzip unbeschränkten Zugriff auf die Hardware des Systems, kann aber von Virenscannern nicht überwacht werden.“

    https://www.heise.de/security/meldung/Intel-Management-Engine-gehackt-3837239.html

    https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

  7. moin,
    was hätten wohl früher unsere jüdischen mitbürger gesagt, wenn die us-emigrantenpässe „Hintertüren“ für das RSH (Gestapo) , gehabt hätten??Deren minimalchancen hätten gegen NULL gestrebt. Diese Frage mal an den stv. Minister gestellt. Aber man kann das auch , auf eine voll-
    abstrahierende ebene heben: ?Gibt es hier noch verhältnismaßige „waffengleichheit“, oder ist alles schon aus dem ruder gelaufen, und treibt die atlantische welt in eine sklavengesellschaft?
    Was die sicherheit von it-systemen angeht, so ist die doch viel , viel zu lasch. Schaut mal jegliche Browserkonfigurationen an. Bei den meisten mitgelieferten Serverzertifikaten handelt es sich um abgelaufene, diese mit https bedient ergibt ein Fallback. Wer macht sich die arbeit, diese zu löschen?? Dieses gilt auch für Firefox als solches,
    natürlich um so mehr für microsoftgoogle , „fuckbook“,
    u.a.. Von der Weise der Vertrauenswürdigkeit will ich mal ganz absehen, immerhin sagen sie :“da war mal wer“.
    Und natürlich ist es so, ..je länger der schlüssel/ Passwd , desto länger die Knackzeit–aber NUR ohne die Fallback-Fallen– sonst Drain-Source!

    Wieviel dieser ach doch so „hochmodernen“ smartphones und notebooks greifen glatt auf die Hardwareebene zu,
    so wie früher WIN95? Das sind doch alles eigebaute
    „Qualitätsmanegment-Produkte“ wie die von VW (Abgas).

  8. Wir sind alle frei an Rechten auf diese Erde geboren worden. Niemand hat das Recht sich darüber zu erheben oder sich in eine Kommunikation einzuschalten, an der er nicht beteiligt ist. Erst Recht keine Regierung, die ohnehin schon mehr Macht über Menschen hat, als sie haben sollte.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.