Verschlüsselung: Europäische Union will Schwachstellen ausnutzen

Europäische Sicherheitsbehörden wollen sich nicht mit der zunehmenden Verschlüsselung von Kommunikation und persönlichen Daten abfinden. Zwei neue Papiere des Rates und der Europäischen Kommission schlagen deshalb neue Lösungen vor. Sie könnten die Handschrift der deutschen „Zentralen Stelle für IT im Sicherheitsbereich“ tragen.

Die „deutsche Lösung“ will Verschlüsselung mit Trojanern umgehen. Frankreich, Großbritannien, Italien, Ungarn und Polen fordern Hintertüren. CC-BY-NC 2.0 jev55

Der Rat der Europäischen Union ruft dazu auf, Lösungen zum Brechen verschlüsselter Telekommunikationsdaten zu finden. So steht es in einem Dokument, welches das Generalsekretariat des Rates an die Mitgliedstaaten versandt hat. Die zuständigen Behörden sollen demnach „Schwächen bei Algorithmen und Implementierungen“ untersuchen, um mögliche „Fehler“ ausnutzen zu können. Hierzu müssten sie mit dem „aktuellen Stand der Technik im Bereich der Verschlüsselung“ vertraut sein und in „spezielle Hard- und Software mit angemessener Rechenleistung“ investieren. Dann könnten verschlüsselte Dateien oder verschlüsselte Kommunikation durch Brute-Force-Angriffe (etwa mithilfe von Wörterbüchern) geknackt werden.

Weil bei vielen Anwendungen Verschlüsselung standardmäßig implementiert ist, stehen Strafverfolgungsbehörden dem Rat zufolge zunehmend vor Problemen. Auch Abhörmaßnahmen würden sich aufgrund der Verwendung von Ende-zu-Ende-Verschlüsselung schwierig gestalten. Beim „European Cybercrime Centre“ (EC-3), das zur Polizeiagentur Europol in Den Haag gehört, soll deshalb eine „Entschlüsselungsplattform“ („decryption platform“) zur forensischen Untersuchung kryptierter Daten eingerichtet werden. Von einem dort eingerichteten „Werkzeugkasten“ (toolbox“) sollen die Mitgliedstaaten Gebrauch machen, bis sie eigene VerschlüsselungsexpertInnen ausgebildet haben. Auch dabei soll Europol helfen.

Kommission verspricht Gelder für Forschung und Stellen

Gestern hat die Europäische Kommission ihren elften Fortschrittsbericht auf dem Weg zur Sicherheitsunion veröffentlicht, der auch neue Maßnahmen gegen Verschlüsselung vorschlägt. So soll der Zugang zu verschlüsselten Kommunikationsdaten erleichtert und Fähigkeiten zu deren Entschlüsselung erweitert werden. Europol erhält hierzu 19 neue Stellen, allerdings ist unklar, ob das zusätzliche Personal sämtlich in der „Entschlüsselungsplattform“ beim EC-3 arbeiten soll.

Die Kommission will auch in neue Forschungen investieren und dafür das Forschungsrahmenprogramm „Horizon 2020“ nutzen. Einzelne Mitgliedstaaten könnten auch Gelder beim Inneren Sicherheitsfonds (ISF) der Europäischen Union beantragen. Eine halbe Million Euro soll im nächsten Jahr in die Ausbildung nationaler ExpertInnen fließen, entsprechende Inhalte sollen von der EU-Polizeiakademie CEPOL entwickelt werden. Die Steuerung könnte die „European Cybercrime Training and Education Group“ (ECTEG) übernehmen, die von Europol in 2001 gegründet wurde und bei der auch das Bundeskriminalamt (BKA) seit 2008 beteiligt ist.

Unter dem ISF könnten außerdem nationale Kompetenzzentren („national expertise points“) finanziert werden, um andere Mitgliedstaaten Kenntnisse zum Umgehen oder Brechen von Verschlüsselung zur Verfügung stellen. Europol soll hierzu die Koordinierung übernehmen.

Deutsche oder französische Lösung?

An mehreren Stellen betont die Kommission, dass Verschlüsselungstechniken nicht abgeschwächt oder korrumpiert werden sollen. Damit setzt sie auf die „deutsche Lösung“, die sich nicht gegen Verschlüsselung an sich wendet, sondern den vermehrten Einsatz von Trojanern fordert. Frankreich hatte hingegen den Einbau von Hintertüren in Verschlüsselungssoftware oder Geräte gefordert. Der französische Vorschlag wird unter anderem von Großbritannien, Italien, Ungarn und Polen unterstützt.

Das eingangs erwähnte Ratsdokument wird bezüglich der Fähigkeiten zur Entschlüsselung konkreter als das Papier der Kommission. So sollen die Mitgliedstaaten auch die Unterstützung von „Privatunternehmen“ suchen, um die „Entschlüsselungsfähigkeiten“ der zuständigen Behörden zu verbessern. Auch EU-Organe wie die Kommission werden aufgerufen, „einen offenen Dialog mit dem Privatsektor zu intensivieren“. Als erster Schritt könnten „einfache Formen von Verschlüsselungsmethoden“ geknackt werden, etwa schwache Schlüssel oder Passwörter. Dabei könnte es auch helfen, wenn ErmittlerInnen Hinweise zu „Passphrasen, Phrasensegmente, Zeichensatz, Passwortlänge“ erhielten. Bleibt die Passwortsuche erfolglos, müssten „intelligentere Analysen“ und eine „dynamische Aggregation der Rechenleistung“ entwickelt werden, um die Passwortmuster von Tatverdächtigen zu rekonstruieren.

Nutzt das BKA Zero Days?

Das Kommissionspapier geht unter anderem auf ein Treffen zurück, das Europol am 18. September mit den Behörden der Mitgliedstaaten ausgerichtet hat. Vermutlich hat daran auch das BKA teilgenommen und seine „Zentrale Stelle für IT im Sicherheitsbereich“ (ZITiS) vorgestellt, die ebenfalls Methoden zur Entschlüsselung entwickelt. Ob dabei wie vom Rat gefordert Schwachstellen („Zero Day Exploits“) genutzt werden, will die Bundesregierung während der laufenden Jamaica-Verhandlungen nicht bestätigen.

Die Vorschläge des Rates und der Kommission werden nun auf EU-Ebene weiter diskutiert. Unter anderem ist das noch recht junge „Europäische Justizielle Netz für Cyberkriminalität“ (EJCN) daran beteiligt. Anfang Dezember findet das nächste offizielle „EU Internet Forum“ statt, bei dem sich die Behörden mit Internetdienstleistern wie Microsoft, Google und Facebook zur Entfernung von anstößigen Inhalten und dem Zugang zu elektronischen Beweismitteln“ austauschen. Auch dort steht das Thema „Verschlüsselung“ auf der Agenda.

6 Ergänzungen

  1. Bruteforce? O.o
    Schön, die Politik ist in den 90’er angekommen. :>
    Darf ich JtR empfehlen?

    Hintertüren sind aber eine lustige Idee. Kann den Politikern mal bitte jemand erklären, dass die jeder aufmachen kann?
    Oder müssen sich erst ein paar Freaks finden die Smartphones und Rechner in Brüssel mit KiPo vollschaufeln?
    Aus dem Fall Edathy nichts gelernt?

  2. Die Hintertüre, die jetzt geöffnet wird ist, dass EU-Gesetzgebung in nationales Recht umgesetzt werden muss. Backdoor-Legislative sozusagen.

    Treibende Kraft seit langem sind die Innenminister der Nationalstaaten, die bisher an Opposition und an den eigenen Gerichtshöfen gescheitert sind. Wenn die EU vorgibt, wird auch Karlsruhe kuschen müssen. Das ist der Plan.

    Das alles ist politisch nur solange machbar, solange es keinen nennenswerten Widerstand aus der Bevölkerung gibt. Und die besteht bekanntlich mehrheitlich nicht aus Intellektuellen.

  3. Das Problem ist ein ganz anderes.
    In meinen Augen hat die zunehmende Überwachung keine ernste Straftat, geschweige denn einen Terrorakt verhindern können (siehe England, mehrfach).
    Warum?
    Ganz einfach. Weil das weltfremde extremistische Gesocks wieder auf „Old School“ Basis operiert. Kein Telefon, kein Handy und kein Internet. So gut wie möglich untertauchen. Eine kurze Zeit brachte der technologische Vorsprung auch Vorteile bei der Überwachung. Nun stehen wir aber sprichwörtlich wieder im dunklen.
    Treffen werden wieder über tote Briefkästen arrangiert. Unsere Beschützer müssen wohl oder übel ihre übergewichtigen Ärsche wieder mehr in Bewegung setzten und infiltrieren, observieren und analysieren. So wie zu Zeiten des kalten Krieges. „Old School“
    Bei letzterem könnte die EDV dann vielleicht wieder dienlich sein.

    Wenn ihr jetzt auf Lockere Verschlüsselungen, 0-Days, Backdoors etc. pp. hinarbeitet, macht ihr es den zukünftigen Terroristen nur leichter, uns K.O. zu schlagen. Dem wandelnden Bettlacken ist es egal, wenn bei uns keine Geldautomaten oder Zapfsäulen mehr laufen, der überfällt das nächste Dorf, und holt sich was er braucht, und lacht sich ins Fäustchen.

    Verdammt, ihr dumben Politiker Ä……, schaltet endlich mal EUer Hirn ein.

  4. … oder geht es gar nicht um Terrorabwehr, sondern darum die Bevölkerung unter Kontrolle zu halten ?

  5. Wohl denn. Auf das die IT-Infrastruktur von Kraftwerksanlagen und Wirtschaftsunternehmen noch anfälliger für Attacken aus dem Netz wird. Diese ganzen Internetausdrucker wissen doch gar nicht, welche Dose der Pandora damit geöffnet wird. Hier hilft nur konsequente Verschlüsselung und schärfere Datenschutzgesetze, die einen Missbrauch so klein wie möglich halten, im privaten als auch im beruflichen Umfeld.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.