Hintertüren zu verschlüsselter KommunikationWirtschaft und Zivilgesellschaft stellen sich gegen Pläne der EU-Staaten

Ein Vorschlag des EU-Ministerrats, dass verschlüsselte Kommunikation erheblich geschwächt werden soll, ruft starke Gegenreaktionen hervor. Sie kommen aus Zivilgesellschaft und Wirtschaft gleichermaßen.

Eine Hintertür, die auf eine Betonwand stößt, schwarz-weiß-Bild
Hintertüren offenzuhalten, ist nicht nur wenig hilfreich, sondern auch eine Gefahr für alle. CC-BY-SA 2.0 Vincent Truchseß

Nach dem Anschlag in Wien hat es nicht lange gedauert, bis der EU-Ministerrat eine Resolution vorbereitet hat, der zufolge Anbieter verschlüsselter Kommunikationsdienste staatlichen Stellen einfacheren Zugang geben sollen. Ermittler sollen so verschlüsselte Nachrichten mitlesen können. Genauso schnell wie der Resolutionsvorschlag formierte sich breiter Widerstand gegen die Pläne, die als klarer Angriff auf die IT-Sicherheit und Datenschutz wahrgenommen werden.

Kritik kam dabei aus Zivilgesellschaft und Wirtschaft gleichermaßen. Susanne Dehmel, Mitglied der Geschäftsleitung im Verband der deutschen Telekommunikationsbranche Bitkom, erklärt: „Wer Verschlüsselungen aufweicht, schwächt die IT-Sicherheit insgesamt. Backdoors sind nicht dauerhaft kontrollierbar und zugleich eine Einladung an Cyberkriminelle und ausländische Nachrichtendienste.“ Statt diese Sicherheit aufzugeben, solle man sich auf qualifizierte Mitarbeiter in den Behörden konzentrieren, „die im digitalen Raum ermitteln können“.

Kriminelle finden andere Wege zur sicheren Kommunikation

Ähnlich argumentiert der Verband der Internetwirtschaft eco. Dessen stellvertretender Vorstandsvorsitzender Klaus Landefeld weist darauf hin, dass auch bei dem Anschlag in Wien andere Schwachstellen deutlich geworden sind, „wie beispielsweise die mangelhafte Kommunikation zwischen Behörden und Geheimdiensten der unterschiedlichen Mitgliedstaaten“.

Zweifel gibt es auch daran, was eine Schwächung von sicheren Kommunikationslösungen überhaupt etwas bringen würde und ob sich Kriminelle nicht einfach andere Möglichkeiten zur Kommunikation suchen würden. So schreibt der Chaos Computer Club in einer Pressemitteilung:

Verschlüsselung kann nicht zwischen Gut und Böse unterscheiden. Entweder ist sie sicher oder sie ist es nicht. Man kann Verschlüsselung nicht so schwächen, dass die Schwächen nur durch Strafverfolgungsbehörden ausgenutzt werden können. Wohl aber können versierte Nutzer auf kaputte Kryptographie verzichten. Im Ergebnis hätten nur noch Kriminelle wahren Schutz: If privacy is outlawed, only outlaws will have privacy.

Unvereinbar mit dem Datenschutz

Auch der Bundesverband IT-Sicherheit TeleTrusT macht auf das Problem aufmerksam, dass sich Straftäter Verschlüsselungslösungen ohne staatliche Hintertüren besorgen können, selbst wenn diese verboten werden sollen. Der stellvertretende TeleTrusT-Vorstandsvorsitzende
Karsten Bartels mahnt außerdem an, dass es nicht mit der Datenschutzgrundverordnung und dem IT-Sicherheitsgesetz vereinbar sei, auf einen schlechteren Technologiestandard durch ausgehöhlte Verschlüsselung zurückzufallen.

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung FifF weist ebenfalls auf die Datenschutzgrundverordnung hin, durch die sich die EU eine „Signalfunktion in der Welt“ erarbeitet habe:

Wenn also hierzulande Technologiefirmen gezwungen werden sollten, Ende-zu-Ende-Verschlüsselung zurückzubauen, dann verlieren nicht allein die Bürger*innen der EU: Menschenrechts- und Umweltaktivist*innen, Anwält*innen, Ärzt*innen, Bürgerechtler*innen und Journalist*innen – sie alle sind für ihre Arbeit auf sichere Kommunikationskanäle angewiesen.

„Das politische Signal aus der EU muss daher klar sein: Es kann keine Kompromisse bei Ende-zu-Ende Verschlüsselung geben“, so Alexander Prehn vom FIfF.

Schaden für Wirtschaft und Demokratie

Der Präsident der Gesellschaft für Informatik, Prof. Dr. Hannes Federrath, macht deutlich, dass das Vorhaben nicht nur dem Ansehen der EU und vielen Personen schaden würde. Auch Betriebs- und Geschäftsgeheimnisse von Unternehmen seien in Gefahr: „Indem sämtliche Bemühungen um rechtsverbindliche Unternehmenskommunikation durch eine Aufweichung von Verschlüsselung unterlaufen werden, wird letztlich die notwendige Digitalisierung der europäischen Wirtschaft behindert.“

Auch für die politische Willensbildung und Gestaltung einer freien Gesellschaft sei eine verlässlich vertrauliche Kommunikation notwendig. „Das Grundrecht auf Verschlüsselung ist wichtig für unsere Demokratie – so wie es das Postgeheimnis in der analogen Welt war“, so Federrath weiter.

Nicht nur zivilgesellschaftliche Organisationen und Branchenverbände aus Deutschland haben ihre Kritik geäußert. In einem offenen Brief an die deutsche EU-Ratspräsidentschaft fordern verschiedene internationale Organisationen wie der europäische Dachverband der digitalen Bürgerrechtsorganisationen, EDRi, und Access Now, die Pläne zur Schwächung von Verschlüsselung fallenzulassen. „Wir können nicht akzeptieren, dass den Strafverfolgungsbehörden und Geheimdiensten das Recht eingeräumt wird, Nachrichten zu überwachen, die von Verbrauchergeräten gesendet werden sollen, bevor sie durch eine Ende-zu-Ende-Verschlüsselung geschützt werden. Das käme einer unrechtmäßigen Massenüberwachung gleich“, so einer der vielen Punkte in ihrem Schreiben.

Der Entwurf für die Resolution des Ministerrats ist zunächst ein nicht verbindlicher Vorschlag. Er erhöht aber den Druck auf die EU-Kommission, gesetzgeberische Schritte zu gehen. Umso wichtiger ist der frühe Gegendruck, damit die reflexartigen Vorschläge nicht irgendwann zur gesetzlichen Realität werden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Ich möchte nochmal kurz drauf hinweisen: In klassischen Kommunikationsinfrastrukturen wie dem Mobilfunk haben wir seit ca. 20 Jahren verpflichtendes Lawful Interception d.h. staatliches Man-in-the-Middle damit Strafverfolgungsbehörden und andere Bedenkenträger mithören können. Obwohl technisch einigermaßen leicht möglich wird bei jeder neuen Generation Mobilfunk immer wieder gegen ausschließliche Ende-zu-Ende Verschlüsselung entschieden. Aus Gründen.

    Bei 5G haben wir sogar die absurde Situation, das die Standardisierung einige illegale Abhör- und Manipulationsmöglichkeiten rausnehmen möchte/wollte – mit dem Verweis: Wenn sie was brauchen, nehmen sie doch bitte LI, das ist definiert. Und die Antwort erhielt: Nein, wir brauchen auch diese Möglichkeiten, manchmal.

    Ich hab‘ das unten beim Artikel von Frau Kurz auch schon geschrieben: Sich jetzt drüber aufzuregen ist ein bisschen spät.

    1. Und in der modernen Zeit haben wir automatisch flächendeckende Abhör- und Auswertungsmöglichkeiten.

      Was nun?

    2. „Bei 5G haben wir sogar die absurde Situation, das die Standardisierung einige illegale Abhör- und Manipulationsmöglichkeiten rausnehmen möchte/wollte – mit dem Verweis: Wenn sie was brauchen, nehmen sie doch bitte LI, das ist definiert. Und die Antwort erhielt: Nein, wir brauchen auch diese Möglichkeiten, manchmal.“
      Was natürlich aufhorchen lassen sollte: manchmal scheint man bei den Diensten die „Interception“ also _nicht_ „lawful“ durchführen zu wollen.

    3. Zu Zeiten als die von ihnen „klassische Kommunikationsinfrastruktur“ gennanten Netze errichtet wurden war das Thema Verschlüsselung nur für Nationalstaaten und vielleicht noch Internationale Organisationen ein Thema. Nun gab es in den letzten Jahrzehnten aber einen gewissen technischen Fortschritt. Ich sehe keinen Grund, warum man die Sicherheit der Netze künstlich auf dem Niveau des letzten Jahrhunderts belassen müsste, nur weil dies von Behörden gefordert wird. Die Argumentation, dass man nur durch weniger Sicherheit mehr Sicherheit erreichen könnte ist da etwas widersprüchlich. Anders formuliert: Ich soll mich durch schlecht gesicherte Netze Kriminellen ausliefern, nur weil mir Sicherheitsbehörden versprechen, sie könnten so das Verbrechen besser aufklären, das mir mit sicheren Netzen nie passiert wäre? (Wobei die Aufklärung normaler Alltagskriminalität wie Internet-Betrug, Phishing, etc. sicher nicht die obersten Plätze der Prioritätenliste bei den Behörden einnehmen)

      Letztendlich kann man mit einer solchen Gesetzgebung auch nur die wirtschaftlichen Unternehmen erfassen; Privatpersonen und/oder Personenzusammenschlüsse (z.B. Vereine) können sich heutzutage aber genau so einfach einen Server mieten und darüber E2E-verschlüsselte Chats etc. betreiben. Die Software dafür ist Open-Source und frei verfügbar. Es stellt sich für mich also die Frage, wie lange es danach noch dauert, bis der Staat die allgemeine Freiheit der Menschen angreift, und Verschlüsselung wirklich komplett verbieten will bzw. nur noch unter Lizenzgabe für Unternehmen gestatten will (vergleichbar mit der Kriegswaffenherstellung).

      1. Das ist ja die Logik dahinter. Die reichweitenstärksten Sachen werden PR-wirksam angegriffen, wobei gerne aber ein weitflächiger Kollateralschaden in Kauf genommen wird, z.B. wenn kleine Dienste auch mitmachen müssen, obwohl die nicht Teil der PR-Kampagnen waren.

        Hier geht es nach dem Prinzip „viel hilft viel, vor allem aber vorwärts“, mit den Mitteln der Demokratie, bzw. was auch immer in diesem System machbar ist. Die Vorgehensweise stützt das Narrativ des Machers und des Vorankommens dank starker Führung, aus der Position jahrzehntelangen Versagens unter den selben „Führern“ heraus, mit dem Kollateralschaden des zu eng gewordenen Gefäßes (Demokratie) sowie Freiheit und Zukunft im Allgemeinen. Mehr sehe ich darinnen nicht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.