Unsicherheit für alle statt „Verschlüsselungsstandort Nr. 1“

Es war ein schöner Plan der Bundesregierung: Deutschland soll Verschlüsselungsstandort Nr. 1 in der Welt werden. Das ist nicht nur gescheitert, es wurde gar nicht erst versucht. Stattdessen macht die Sicherheitspolitik der Bundesregierung die digitale Welt für alle unsicherer.

Regierungskurs: Verschlüsselung brechen anstatt sie sicherer zu machen (Symbolbild) CC-BY-NC 2.0 jev55

Eines der Ziele in der Digitalen Agenda der Bundesregierung lautete vor drei Jahren: „Wir wollen Verschlüsselungsstandort Nr. 1 auf der Welt werden.“ Dafür wollte sie sichere Infrastrukturen fördern, um die eigene Identität im Netz zu schützen. Sie wollte die Verschlüsselung privater Kommunikation zum Standard „in der Breite“ machen. Sie wollte „mehr und bessere Verschlüsselung“ erreichen. Was in den folgenden Jahren passiert ist, könnte dem kaum mehr widersprechen.

Schon zu Anfang stand fest, dass es ein weiter Weg werden würde. Doch statt sich auf einen langen und mühsamen Weg zu machen und Verschlüsselung für alle zum Standard zu machen, ist die Bundesregierung abgebogen. Oder besser: umgedreht. Sie hat den Weg zum Entschlüsselungsstandort Nr. 1 eingeschlagen – mit weitreichenden Konsequenzen für die Grundrechte und die vielbeschworene Sicherheit aller.

Entschlüsselungsbehörde ZITiS

Beispiele für die bigotte Kryptopolitik der Bundesregierung lassen sich leicht finden. Eines der prominenteren Exempel ist sicherlich ZITiS, die vom Bundesinnenministerium eingerichtete „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“. Sie soll unter anderem technische Werkzeug entwickeln, um Verschlüsselungstechnologien zu brechen sowie Massendatenauswertung durchzuführen und führt dabei die bisher weitgehend parallel stattfindenden Bemühungen von Bundespolizei, Bundeskriminalamt und dem Bundesamt für Verfassungsschutz zusammen. Und um noch mehr „Synergie-Effekte“ zu erzielen, zog die neue Stelle gleich in Räumlichkeiten der Bundeswehr ein.

Dann war da noch der vom französischen und deutschen Innenminister vorgestellte „Aktionsplan gegen Verschlüsselung“. Pikanterweise fand sich in der französischen Version der abgegebenen Erklärung die Forderung, eine Hinterlegung von Kryptoschlüsseln durchzuführen. Warum das in der französischen, aber nicht in der deutschen Version der gemeinsamen Verlautbarung auftauchte, konnte das Bundesinnenministerium im Nachhein nicht erklären und distanzierte sich zumindest von der Forderung.

Lieblingswerkzeug Staatstrojaner

Stattdessen fördert das Innenministerium etwas anderes: Staatstrojaner. Diese dienen als beliebtes Mittel, um die leidige Diskussion abzuwehren, ob nun Verschlüsselung geschwächt werden soll oder nicht. Denn überwachungsbegeisterte Sicherheitspolitiker argumentieren, derartige „Quellen-Telekommunikationsüberwachung“ würde nicht zu einer Schwächung von Kryptographie beitragen, da sie vor der Verschlüsselung ansetze. Sie leitet Kommunikation aus, bevor sie verschlüsselt wird und greift so die Verschlüsselung nicht an.

Bundesinnenminister Thomas de Maizière sprach auf der diesjährigen re:publica darüber, warum ihm Staatstrojaner so wichtig sind. Es sei nicht akzeptabel, dass rechtsstaatliche Befugnisse des Staates zur Strafverfolgung „technisch ausgeschlossen“ seien, wenn es eine Ende-zu-Ende-Verschlüsselung in einem Messenger gibt. De Maizière betonte, er halte Quellen-Telekommunikationsüberwachung und Onlinedurchsuchung unter rechtsstaatlichen Voraussetzungen „für zwingend geboten“.

Die Geschichte vom „Going Dark“, die de Maizière erzählt, ist jedoch nicht haltbar. Trotz Kryptographie gibt es immer mehr Überwachungsmöglichkeiten. Das hat jüngst eine Studie der Harvard-Universität analysiert. Hinzu kommt, dass in der Vergangenheit oft der Verschlüsselung die Schuld in die Schuhe geschoben wurde, wenn es anderweitige Ermittlungsprobleme gab. Etwa 2015 bei den Anschlägen in Paris, wo medial lanciert wurde, die Angreifer hätten verschlüsselt kommuniziert. Am Ende stellte sich heraus, dass sie sich per herkömmlicher SMS verständigt haben.

Unsicherheit für alle

Bei der Quellen-Telekommunikationsüberwachung, die de Maizière nicht „Staatstrojaner“ nennen will, wird die Kommunikation direkt an der „Quelle“ abgegriffen. Dazu müssen die Geräte der Betroffenen mit staatlicher Schadsoftware infiziert werden. Also gehackt werden. Und um dafür Sicherheitslücken auszunutzen, muss man sie erstens finden und zweitens bewusst offen lassen.

Was passieren kann, hätte sich in dieser Woche nicht eindrücklicher zeigen können: Das Schadprogramm Wannacry hat weltweit Systeme befallen, um von betroffenen Nutzern Lösegeld zu erpressen. Es nutzt dafür eine Sicherheitslücke aus, die dem US-Geheimdienst NSA bereits längere Zeit bekannt war. Geschlossen wurde sie nicht, da der Geheimdienst sie selber nutzen wollte. Deutlicher könnte eine Demonstration des drohnenden Schadens nicht sein, ironischer der Name „National Security Agency“ ebensowenig.

Es gibt mehrere Wege, um an die Sicherheitslücken für Staatstrojaner heranzukommen. Eine Möglichkeit: Kaufen. Auf dem Schwarzmarkt für Sicherheitslücken, mit Steuergeldern. Damit befeuern die staatlichen Käufer den Markt. Und der stellt seine Angebote ebenso gewöhnlichen Kriminellen und ausländischen staatlichen Stellen zur Verfügung.

Die andere Möglichkeit: Selbst finden. Auf der Podiumsdiskussion von Innenminister de Maizière auf der re:publica begrüßte er diese Praktik und rechtfertigte damit ZITiS:

[Das ist] einer der Gründe, warum ich es richtig finde, ZITiS gegründet zu haben. Weil ich möchte, dass der Staat sowas selber erforscht oder dann unter Bedingungen etwas aufkauft, was dann klar ist, dass es rechtsstaatlich verwendet werden kann. Und das ist allemal besser, als wenn Einzelbehörden versuchen etwas zu erwerben, was möglicherweise von anderen anschließend missbraucht wird.

Deutschland hat keinen Alleinanspruch auf Sicherheitslücken

Der Minister führte weiter aus, dass er kein Problem damit habe, wenn Sicherheitsdienste Lücken nutzen, er wolle nur nicht, dass Sicherheitslücken geschaffen werden. Doch der Staat hat nicht die Hoheit darauf, Sicherheitslücken zu finden. Nur weil eine Lücke von ZITiS entdeckt wurde, heißt das nicht, dass sie nicht gleichzeitig, früher oder später auch andere Stellen nutzen. Ohne, dass ZITiS das mitbekommt. Oder dass die Informationen aus ZITiS selbst in andere Hände gelangen.

Diverse Datenlecks bei der NSA haben uns allen vor Augen geführt, dass selbst der mächtige Geheimdienst NSA nicht sicher davor ist. Und andere Staaten sammeln genauso Sicherheitslücken, die sie auch gegen Deutschland einsetzen können. Daraus wird ein internationales Wettrüsten, bei dem Staaten Sicherheitslücken anhäufen und horten. Aus einzelnen Lücken wird so mit der Zeit ein großes Loch, durch das am Ende alle fallen müssen.

Passenderweise veröffentlichten wir heute einen Gesetzentwurf zum massenhaften Einsatz von Staatstrojanern. Damit soll die staatliche Schadsoftware von der Polizei bei Alltagskriminalität eingesetzt werden können. Was ursprünglich mit dem Kampf gegen den Terrorismus legitimiert wurde, wird schon jetzt massiv ausgeweitet.

Um fair zu sein: Ein paar Bestrebungen zur Verschlüsselung gab es dann doch. Das gescheiterte Projekt De-Mail oder die durch das Fraunhofer SIT koordinierte Initiative Volksverschlüsselung. Groß geworden ist sie nicht, die Prioritäten liegen anders.

Aber kein Problem: Wenn wegen einer offengelassenen Sicherheitslücke, die dankenswerterweise zur Ergreifung einen kleinen Haschisch-Dealers führte, ein paar Kraftwerke ausfallen, haben wir bestimmt Verständnis.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

  1. Einen einzigen Tag, nachdem die WannaCry – Attacke, deren Grundlagen NSA-Schnüffelmethoden bildeten, verkünden unsere Großkoalitionäre solchen Unsinn. Die müßten ihr Staatspferdchen im Prinzip für alle Betriebssysteme basteln. 90% nutzen der PC Windows, aber allein die 2% Linuxer teilen sich an die 100 verschiedenen Distributionen. Dann hätten wir aber noch etliche Unixe, BSD und sonstwas. Dazu kämen noch die mobilen Anwendungen. Daran erkennt man, dass der feuchte Traum mancher Politiker nie Wirklichkeit werden wird. Als Krimineller würde ich die glatt auslachen.

  2. Off topic: Verwendet ihr auf netzpolitik.org eine neue Schriftart für den Text oder funktioniert mein Browser nur nicht richtig?

  3. „Deutlicher könnte eine Demonstration des drohnenden Schadens nicht sein, ironischer der Name „National Security Agency“ ebensowenig.“
    Der für mich schönste Satz des gesamten Beitrags :D. Der bringt das Problem sehr gut auf den Punkt. Danke!

    Btw: Typo im vorletzten Absatz: Be_s_trebungen statt „Betrebungen“

  4. off topic: warum ist das „G“ am ende von Netzpolitik.orG groß geschrieben? ihr habt euch ganz bestimmt was dabei gedacht…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.