Geheimdienstallianz„Five Eyes“ fordern staatliche Hintertür für verschlüsselte Apps

Die „Five-Eyes“-Staaten machen gemeinsam mit Indien und Japan einen neuen Vorstoß für staatliche Hintertüren in Ende-zu-Ende verschlüsselten Anwendungen. Ob sie die Tech-Industrie dazu bringen werden, ihre Produkte nach den Wünschen der Sicherheitsbehörden umzubauen, bleibt fraglich.

Viele Schlösser an einer Brücke
Viele Menschen nutzen verschlüsselte Messenger, damit Überwacher:innen im Internet und beim Betreiber nur chiffrierten Datensalat zu Gesicht bekommt. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Georgia de Lotz

Die Regierungen des Geheimdienstverbundes „Five Eyes“ haben gemeinsam mit Japan und Indien erneut einen staatlichen Zugriff auf Ende-zu-Ende verschlüsselte Kommunikationsinhalte im Interesse der öffentlichen Sicherheit gefordert. Die am Sonntag veröffentlichte Erklärung appelliert an die Tech-Industrie. Diese soll ihre Produkte den Wünschen der Strafverfolgungsbehörden anpassen und Hintertüren einbauen, mit deren Hilfe eine Verschlüsselung Im Fall von Ermittlungen umgangen werden kann.

Die Verfasser sehen die öffentliche Sicherheit durch Verschlüsselung schwer bedroht. Erstens, weil sich die Firmen mit Verschlüsselung die Möglichkeit verbauten, die selbst gesetzten Gemeinschaftsregeln durchzusetzen – auch wenn das angebotene Produkt für illegale Inhalte und Aktivitäten genutzt wird. Zweitens, weil Strafverfolgungsbehörden in nicht auf Inhalte zugreifen und Aktivitäten wie sexuelle Ausbeutung von Kindern, Gewaltverbrechen, terroristische Propaganda und Anschlagsplanung ermitteln können. Außerdem sei es nicht möglich, verschlüsselte Kommunikation automatisiert auf Kindesmissbrauch wie Cyber-Grooming zu analysieren.

Durchsuchungsbefehle gehen ins Leere

Der erneute Vorstoß bezieht sich auf mehrere vorangegangene Erklärungen, etwa eine gemeinsamen Erklärung der USA und der EU von 2019. Darin heißt es, dass „warrant-proof encryption“, also Verschlüsselungstechnologie, die einem Durchsuchungsbefehl standhält, den Schutz der Allgemeinheit im großen Stil untergräbt. Dieses Urteil wird von den „Five Eyes“-Ländern regelmäßig auf ihren Ministertreffen verlautet, so auch 2019 und 2018.

Die Regierungen wollen erreichen, dass die Anbieter ihre Produkte nach den Anforderungen der Strafverfolgungsbehörden und Geheimdiensten gestalten. Privatsphäre, Datensicherheit und Menschenrechte sollen mit Verschlüsselung geschützt werden, zugleich soll ein staatlicher Zugriff auf verschlüsselte Inhalte möglich sein. Bislang gibt es allerdings kein Konzept, das eine wirksame Verschlüsselung und eine staatliche Hintertür ohne ein erheblich risikobehaftetes zentrales Schlüsselregister umsetzt.

Dabei gestehen die USA, das Vereinigte Königreich, Australien, Neuseeland, Kanada, Indien und Japan ein, dass ihr Vorstoß die Privatsphäre und Datensicherheit für die öffentliche Sicherheit kompromittiert. Dennoch äußern sie den „starken Glauben“, dass eine technische Lösung möglich sei, mit der Staat und Industrie einverstanden sein können.

Öffentliche Sicherheit by Design

Die Willensbekundung sieht eine Zusammenarbeit von Staat und Industrie vor, um einen Weg für einen staatlichen Zugriff auf Verschlüsselung zu finden. Verschlüsselt wird neben Kommunikation auch der Speicher von Geräten wie Smartphones und Computern, auf Cloudplattformen und sonstigen Anwendungen. Alle diese Anwendungsfälle wollen die unterzeichnenden Länder mit „öffentliche Sicherheit by Design“ umbauen lassen.

Die Bundesregierung, insbesondere das zuständige Bundesinnenministerium, will sich im Rahmen der EU-Ratspräsidentschaft ebenfalls für die Aushebelung verschlüsselter Kommunikation einsetzen. Sollten sich die EU-Mitgliedsstaaten im Rat einig werden, könnten sie die Kommission auffordern, ein Gesetz einzubringen.

Die EU-Kommission ist bereits bemüht mit einer Studie bis Ende dieses Jahres Wege zu finden, wie Anbieter trotz Ende-zu-Ende-Verschlüsselung Daten an Strafverfolgungsbehörden weitergeben können. Außerdem arbeitet Europol daran, die Verschlüsselung in bestimmten Fällen zu knacken, auch mit dem Einsatz von Supercomputern.

Widerstand aus der Zivilgesellschaft

Immer wieder richten sich breite Bündnisse aus der Zivilgesellschaft gegen Pläne zur Regulierung von Verschlüsselung in Deutschland und Europa. Sie kritisieren die Aussage, dass letztlich nur mit Hintertüren in Verschlüsselung die öffentliche Sicherheit gewährleistet werden könne.

Im Gegenteil würden Hintertüren die IT-Sicherheit schwächen. Angesichts der Bedeutung von IT-Systemen für das Funktionieren der Gesellschaft, würde damit eine größere Gefahr geschaffen als verhindert werden. Außerdem stellen sie die Behauptung der Strafverfolgungsbehörden infrage, dass aufgrund verschlüsselter Kommunikation Ermittlungen nicht zustande kommen können.

Snowden-Effekt hat Verschlüsselung in den Mainstream gebracht

Seit den Snowden-Veröffentlichungen ab 2013 wird Ende-zu-Ende Verschlüsselung häufiger in beliebte Anwendungen eingebaut, etwa bei WhatsApp. Bekannt geworden war die Massenüberwachung des Internets und der direkte Zugriff auf Daten bei privaten Kommunikationsanbietern durch die US-Dienste NSA, den britischen GCHQ, auch unter Beteiligung des BND.

Die US-Techindustrie befürchtet einen Nachteil im globalen Wettbewerb und setzt seitdem öfter auf Verschlüsselung und andere Technologien, um einen staatlichen Zugriff auszuschließen. Dabei werden die Anwendungen so designt, dass auch die Betreiberfirma keinen Zugriff auf Daten hat, zu deren massenhafter Herausgabe sie durch geheime Überwachungsgesetze gezwungen werden könnte.

Bei WhatsApp und allen anderen Ende-zu-Ende verschlüsselten Messenger-Apps haben ausschließlich die Geräte der Nutzer:innen die Schlüssel zum ver- und entschlüsseln von Nachrichten. Klopft die Polizei beim Anbieter an, kann dieser nur praktisch unknackbare Chiffren herausgeben.

Auch die Geräteverschlüsselung insbesondere von Smartphones ist mittlerweile zur Standardeinstellung geworden. Auch wenn das Gerät beschlagnahmt wird, kann es nur mit Einverständnis der Besitzer:in geöffnet werden.

Das führte in den USA zu einer großen Debatte, in der sich die Tech-Industrie öffentlichkeitswirksam auf die Seite der Verschlüsselung stellte. Apple lehnte etwa ein Gesuch des FBI ab, die Geräteverschlüsselung des iPhones eines Attentäters zu brechen. Es sei dem Konzern nicht möglich, die Verschlüsselung eines einzelnen Geräts auszuhebeln, ohne damit potentiell alle Geräte angreifbar zu machen

Dafür ist Apple im Mai erneut von US-Justizminister William Barr scharf kritisiert worden, der für die USA die neue Erklärung gegen Ende-zu-Ende Verschlüsselung für öffentliche Sicherheit unterzeichnet hat. Auch US-Präsident Donald Trump forderte von Apple, den Zugang zu den Geräten für Strafverfolgung zu öffnen, was als Ankündigung möglicher neuer Gesetze interpretiert wurde.

Wer andern eine Grube gräbt

Immer mehr Nutzer:innen legen Wert auf Verschlüsselung, um sich der anlasslosen Massenüberwachung zu entziehen. Schließlich gibt es keinen Grund dafür, dass sie überwacht werden. Durch ihre anlasslose Massenüberwachung haben die „Five Eyes“ die Wahrscheinlichkeit selbst erhöht [PDF], dass sie während der Ermittlungen in einem anlassbezogenen Fall nur noch Datensalat abfangen können.

Organisierte schwere Kriminalität, Terrorismus und Kindesmissbrauchsringe setzen nicht erst seit Snowden Verschlüsselung ein, um sich Überwachung und Strafverfolgung zu entziehen. Allerdings machen diese Akteure Fehler, die zu Ermittlungserfolgen führen. Außerdem garantiert Verschlüsselung keine Anonymität. Wer wann mit wem über welche Dauer Kontakt hatte, ließe sich wie bei einer Observation trotz Ende-zu-Ende Verschlüsselung ermitteln.

Krypto-Gegner bisher nicht erfolgreich

Verschlüsselungsprogramme wie PGP sind seit Jahrzehnten allgemein verfügbar. Gerade im Bereich der Verschlüsselung von Messengern wird es als gute Praxis angesehen, den Code offenzulegen, damit Hintertüren ausgeschlossen werden können und das Programm als verlässlich gelten kann. Ob die Uhr zurückgedreht werden kann, ist fraglich.

Die Debatte um die Regulierung von Verschlüsselung flammt trotzdem immer wieder auf und Sicherheitsbehörden machen Politiker:innen erheblichen Druck. In den so genannten Crypto-Wars, in denen verschiedene Verbote von kryptografischen Verfahren und Anwendungen debattiert wurden, konnten sie sich bisher aber nie durchsetzen. Dass der neue Vorstoß der „Five Eyes“ mit internationaler Unterstützung die Tech-Industrie in naher Zukunft dazu bringt, ihre Produkte für die Strafverfolgung umzubauen, ist unwahrscheinlich.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

3 Ergänzungen

  1. Bei allen Tools/Messengern, die einen Schüsselimport noch nicht einmal vorsehen, ist die Entscheidung schon gefallen.

  2. wäre die ‚Budapest Convention on Cybercrime‘ keine Möglichkeit, Druck auf die Tech-Industrie auszuüben?

  3. Ich verstehe ja das Argument, Straftaten aufdecken zu wollen … aber das ist nicht ausreichend um eine generelle Einsicht unserer Behörden zu rechtfertigen. Ich finde es gut, dass sich Firmen wie Apple oder Whatsapp gegen die staatlichen „Zwänge“ wehren. Auch wenn immer das Gefühl bleibt, die Dienste selbst würden „mitlesen“. In einem ähnlichen Beitrag (https://www.psw-group.de/blog/ende-zu-ende-verschluesselung-zur-entschluesselung-gezwungen/7781) wurden noch die parallelen Anstrengungen wie Uploadfilter oder Photo-DNA erwähnt, welche im Endeffekt die Verschlüsselung vorgelagert umgehen. Eins ist sicher, wer digital Kommuniziert wird nie zu 100 % „unbeobachtet“ sein können.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.