Hintertüren vs. Trojaner

Europol prüft Möglichkeiten gegen Ende-zu-Ende-Verschlüsselung

Das Bundeskriminalamt nutzt eine „Entschlüsselungsplattform“ bei Europol, um auf verschlüsselte Datenträger zuzugreifen. Die Anlage gehört zu einem „Innovationslabor“ und wird derzeit mit neuer Technik ausgestattet. Demnächst entscheidet die EU-Kommission, ob Europol auch die Entschlüsselung sicherer Verbindungen erledigen soll.

Die neue Europol-Direktorin Catherine de Bolle mit BKA-Chef Münch bei ihrem Antrittsbesuch in Berlin. Das BKA ist einer der Poweruser bei Europol. – Alle Rechte vorbehalten BKA

Verschlüsselte Rechner oder Mobiltelefone stellen ErmittlerInnen regelmäßig vor Probleme. Seit 2014 bietet deshalb die EU-Polizeiagentur Europol den Mitgliedstaaten Unterstützung bei der Entschlüsselung solcher Datenträger an, um auf die Inhalte zugreifen zu können.

Laut dem Jahresbericht von Europol für 2018 wurde die eigens dafür eingerichtete „Entschlüsselungsplattform“ seit ihrer Gründung 32 Mal angefragt, in 12 Fällen sei dies erfolgreich gewesen. Einsätze erfolgen in verschiedenen Bereichen, darunter neben Cyberkriminalität auch Drogenhandel und Migrantenschmuggel. Der Bundesregierung zufolge stehen die Dienste auch Drittstaaten zur Verfügung.

Nationale Kompetenzzentren zur „Entschlüsselung“

Die „Entschlüsselungsplattform“ ist beim „Zentrum zur Bekämpfung der Cyberkriminalität“ (EC3) angesiedelt, die ein Jahr zuvor im Hauptquartier der EU-Polizeiagentur in Den Haag entstand. Welche forensischen Werkzeuge Europol hierzu nutzt, beantwortet die Europäische Kommission, die für die Arbeitsweise der EU-Agenturen verantwortlich ist, nicht.

Anfragen kommen auch vom deutschen Bundeskriminalamt (BKA), das sich in sechs Fällen „mit Entschlüsselungsaufträgen“ an Europol gewandt hat. Das schreibt das Bundesinnenministerium in der Antwort auf eine Kleine Anfrage. In welchem Zeitraum diese erfolgten und ob sie erfolgreich waren, erklärt das Ministerium nicht. Wie die Kommission gibt sich die Bundesregierung auch zur Arbeitsweise der „Entschlüsselungsplattform“ wortkarg. Die dort unterstützten Geräte, Anwendungen oder Verfahren seien ihr „im Detail nicht bekannt“.

Europol zählt die Abteilung seit letztem Jahr zu den Dienstleistungen, die ihr neu eingerichtetes „Innovationslabor“ anbietet. Zu dessen Aufgabenbereichen zählt der polizeiliche Umgang mit Anonymisierung und Verschlüsselung im Internet und im Darknet. Europol forscht außerdem zur Nutzung von Quantencomputern.

„Entschlüsselungshandbuch“ für Mitgliedstaaten

Zurzeit wird die „Entschlüsselungsplattform“ zusammen mit der EU-Forschungsstelle erweitert. Im Haushalt für 2018 hatte die Kommission zusätzliche 5 Millionen Euro bewilligt. Die vom EC3 bis dahin nebenbei erledigten Maßnahmen werden jetzt von einem neu angestellten „Entschlüsselungsexperten“ übernommen. Die Gelder wurden auch in neue Technik investiert, die im nächsten Jahr einsatzbereit sein soll. Ob die neue Anlage wie laut dem Jahresbericht erwogen als „Off-Site-Plattform“ bei einem externen Anbieter untergebracht ist, schreibt Europol nicht.

Die Polizeiagentur arbeitet außerdem an einem „Entschlüsselungshandbuch“, das den Mitgliedstaaten als Arbeitshilfe dienen soll. Weitere 500.000 Euro erhielt Europol deshalb für Schulungen der zuständigen nationalen Strafverfolgungs- und Justizbehörden. Ausbildungsinhalte werden von der EU-Polizeiakademie CEPOL entwickelt. Die Mitgliedstaaten können nationale Kompetenzzentren zur „Entschlüsselung“ errichten, deren Aufbau über Gelder aus dem Inneren Sicherheitsfonds (ISF) der Europäischen Union gefördert werden. Europol könnte die Koordinierung der nationalen Zentren übernehmen.

Schlussfolgerungen des Rates

Jetzt werden die „Instrumente“ zur Entschlüsselung weiter ausgebaut. So steht es in einem Dokument, das die ehemalige und finnische und jetzige kroatische Ratspräsidentschaft vergangene Woche veröffentlicht haben. Die beiden Regierungen fordern, auch die „möglichen Lösungen für eine Ende-zu-Ende-Verschlüsselung“ weiter zu untersuchen. Hierzu hatte der Europäische Rat im Juni 2017 entsprechende Schlussfolgerungen verabschiedet. Anschließend hat die Kommission mehrere „Expertensitzungen“ mit Behörden aus den Mitgliedstaaten durchgeführt.

Die Maßnahmen sollen auf einem Bericht aufbauen, in dem Europol und die Justizagentur Eurojust eine „Analyse in Bezug auf die Verschlüsselung“ erstellt haben. Allerdings bleiben die Agenturen darin vage, auf welche Weise die Behörden Zugang zu entschlüsselter Kommunikation erhalten sollen.

Regierungen wie Deutschland sprechen sich gegen eingebaute Hintertüren für Verschlüsselungstechnik aus und wollen stattdessen die Internetdienstleister in die Pflicht nehmen. So forderte der BKA-Präsident kürzlich erneut, dass die Firmen entschlüsselte Kopien vorhalten und diese auf Anfrage von Polizeien und Geheimdiensten über eine „Vordertür“ herausgeben sollen.

Kommission entscheidet zu Ende-zu-Ende-Entschlüsselung

Auch die finnische und kroatische Regierung wollen die verschlüsselte Verbindungen „nicht verbieten, einschränken oder abschwächen“. Laut dem Papier haben die Kommission und Europol bereits eine „technische Sitzung“ durchgeführt und „mögliche Wege zur Lösung dieses Problems“ diskutiert. Die Ergebnisse münden unter anderem in einem zweiten Bericht, den Europol und Eurojust demnächst vorlegen wollen. Als eine der Möglichkeiten haben die Agenturen bereits den Einsatz von Trojanern genannt („remotely access a computer system“). Das liegt auf der Linie von deutschen Behörden, in den Polizeigesetzen von Bund und Ländern werden die Hürden für den Einsatz von Trojanerprogrammen derzeit gesenkt.

Nach Vorlage des neuen Berichts von Europol und Eurojust liegt der Ball bei der Kommission, die anschließend über neue Maßnahmen und Gelder für die „Entwicklung von Optionen zur Bekämpfung des Missbrauchs der Ende-zu-Ende-Verschlüsselung durch Kriminelle“ entscheiden soll. Anfang März steht das Thema auch auf der Agenda des hochrangigen EU-US-Treffens im Bereich Justiz und Inneres.

Eine Ergänzung
  1. Eine kleine Zusammenstellung, wozu mit Absicht nicht geschlossene Hintertüren bereits geführt haben ist bei Heise erschienen: https://www.heise.de/security/artikel/Best-of-Backdoor-Fails-4660194.html
    Backdoors nur „für die Guten“ (nach Ansicht der diversen Behörden- und Politikerschwachköpfe, man kann das ja durchaus auch anders sehen) gibt es nicht. Wenn staatliche Stellen die finden können, dann auch kriminelle. Daher kann es bei Hintertüren nur eine Regel geben: An den Hersteller melden und den unter Druck setzen, das er sie auch so schnell wie möglich schließt.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.