Wie alles anfingFünf Jahre Kampf gegen Ende-zu-Ende-Verschlüsselung

Die Regierungen der EU-Mitgliedstaaten wollen ihre Polizeien und Geheimdienste befähigen, Ende-zu-Ende-verschlüsselte Kommunikation zu umgehen oder mit technischen Werkzeugen auszuhebeln. Ein Rückblick.

Transparentes Vorhängeschloss mit Lockpicking-Werkzeug
Der deutsche EU-Ratsvorsitz will Messengerdienste zum Entschlüsseln drängen. Eine Resolution fordert erstmals einen einheitlichen Rechtsrahmen. CC-BY-ND 2.0 John Jones

Zahlreiche Organe, Agenturen, „Expertengruppen“ oder andere Initiativen befassen sich auf EU-Ebene damit, wie Behörden auf verschlüsselte Kommunikation zugreifen können. Die Betrachtung der vergangenen fünf Jahre verdeutlicht, wer sich für den neuen Kryptokrieg besonders ins Zeug gelegt hat. In dessen Windschatten entwickelt Europol außerdem neue Fähigkeiten zur Nutzung von Trojanern und zum Knacken verschlüsselter Datenträger.

2015

Der EU-Anti-Terrorismus-Koordinator Gilles de Kerchove fordert die Europäische Kommission auf, rechtliche Möglichkeiten zu suchen, um die Internet- und Telekommunikationsanbieter zum Einbau von Hintertüren für verschlüsselte Kommunikation zu zwingen („share encryption keys“).

Der damalige Bundesminister des Innern, Thomas de Maizière (CDU), erklärt auf dem „Internationalen Forum für Cybersicherheit“ im nordfranzösischen Lille, die deutschen Sicherheitsbehörden müssten „befugt und in der Lage sein, verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen, wenn dies für ihre Arbeit zum Schutz der Bevölkerung notwendig ist“.

Einige EU-Mitgliedstaaten gründen die „European Expert Group on Cybercrime“, die unter anderem zu Verschlüsselung arbeiten soll. Aktionsleiter ist die Kriminalpolizei in Frankreich, Co-Leiter sind Europol, das Bundeskriminalamt und das bayerische Landeskriminalamt.

Die Europäische Kommission kündigt in ihrer „Europäischen Sicherheitsagenda“ an, dass „Bedenken der Strafverfolgungsbehörden in Bezug auf die neuen Verschlüsselungstechniken Raum gegeben werden“ soll.

Rob Wainwright, damaliger britischer Direktor der EU-Polizeiagentur Europol, warnt mehrfach vor der zunehmenden Nutzung von Verschlüsselungstechnologien als „eines der Hauptinstrumente von Terroristen und Kriminellen“. Behörden sollten „mit Technologiefirmen kooperieren“, um auf diese Weise „Zugang zur Kommunikation jener Personen zu bekommen, die unsere Gesellschaft beschädigen wollen“.

Der luxemburgische Ratsvorsitz verschickt einen Sachstand zu Herausforderungen durch die „Kommunikationskanäle des Internets und die zahlreichen sozialen Medien“ an die Mitgliedstaaten, wonach neue „verschlüsselungsbasierte Technologien“ die „Durchführung effektiver Ermittlungen“ zunehmend erschweren oder verhindern würden.

Europol gibt zum zweiten Mal einen Lagebericht zu Cyberkriminalität heraus, der Verschlüsselung und Anonymisierung ausführlich thematisiert. Ein Anhang erörtert auf drei Seiten die verschiedenen Sichtweisen der „Verschlüsselungsdebatte“. Ein generelles Verbot wird dabei kritisch gesehen, auch weil dadurch mehr private Daten in die Hand von Kriminellen geraten könnten und die Privatheit der Kommunikation sogar in der Allgemeinen Erklärung der Menschenrechte der Vereinten Nationen verankert sei. Die Entstehung und Nutzung von Verschlüsselungswerkzeugen sei ohnehin nicht mehr zu kontrollieren.

Der stellvertretende Leiter der Operationsabteilung von Europol, Wil van Gemert, referiert dazu auf der Konferenz der europäischen Polizeichefs und erklärt, dass zunehmend „Hindernisse von Anonymisierung und Verschlüsselung“ überwunden werden müssten. ErmittlerInnen seien in drei Vierteln aller Fälle mit verschlüsselten Inhalten konfrontiert. An der Arbeitsgruppe nehmen auch Behörden aus Österreich, Dänemark, Ungarn, Deutschland und Spanien teil. Sie raten zu mehr Kooperation mit dem „privaten Sektor“.

Auch die Gruppe „Freunde der Präsidentschaft zu Cyber“ (FoP Cyber) befasst sich mit Verschlüsselung. Sie will nun für öffentliches Bewusstsein zum Thema sorgen, Handlungsempfehlungen geben und die Kommission mit „praktischen Beiträgen“ zu Gesetzgebungsvorschlägen versorgen. Die FoP Cyber wurde 2012 aus verschiedenen Mitgliedstaaten, der Kommission und EU-Agenturen gegründet. Ihre Aufgabe ist die Behandlung von Cybersicherheit als Querschnittsthema. Auch der für die Sicherheits- und Verteidigungspolitik zuständige Europäische Auswärtige Dienst (EAD) sowie die Europäische Verteidigungsagentur (EDA) nehmen an der FoP Cyber teil. Zu den Aufgaben der beiden EU-Organe gehört die „Cyber-Diplomatie“ gegenüber Drittstaaten.

2016

Im Mai führt Europol die Konferenz „Privacy in the digital age of encryption & anonimity online“ durch. Thematisiert wird die „Balance“ von Freiheit und Sicherheit.

Auf ihrem Juni-Treffen diskutieren die EU-JustizministerInnen in Bratislava über Verschlüsselung. Der Ministerrat verteilt anschließend einen Fragebogen zu möglichen Gegenmaßnahmen an die Delegationen der Mitgliedstaaten. Auch das Bundesinnenministerium antwortet darauf und verweist auf die in Deutschland mögliche Nutzung von Trojanern.

Die Ergebnisse des Fragebogens mit der Aufforderung zur weiteren Untersuchung zu Lösungsmöglichkeiten werden in der FoP Cyber diskutiert und dem Koordinierungsausschuss für den Bereich der polizeilichen und gerichtlichen Zusammenarbeit in Strafsachen (CATS) vorgelegt. Der CATS nutzt die Ergebnisse und Diskussionen zur Vorbereitung der Treffen der Innen- und JustizministerInnen.

Am 9. Juni 2016 veröffentlicht der Justiz-Ministerrat Schlussfolgerungen zur Verbesserung der Strafjustiz im Cyberspace, die „Lösungen für die Probleme bei der Erlangung digitaler Beweismittel“ vorschlagen. Anschließend wird mit Unterstützung der Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen Eurojust ein Europäisches Justizielles Netzwerk für Cyberkriminalität (EJCN) eingerichtet. Zu dessen zwei Kernaufgaben gehört die „Bewältigung der Herausforderungen von Verschlüsselung“, zuständig ist hierfür eine „Beobachtungsstelle für Verschlüsselung“. Bei der Auftaktveranstaltung des EJCN im November werden technische und rechtliche Fragen thematisiert.

Deutschland und Frankreich fordern in einem gemeinsamen Schreiben an die EU-Mitgliedstaaten im Oktober Lösungen, „die effektive Ermittlungen mit Blick auf verschlüsselte Daten im Zusammenhang mit terroristischen Aktionen ermöglichen“.

Der Anti-Terrorismus-Koordinator ersucht die Kommission, „für eine langfristige Lösung für einen raschen und effizienten Zugang für Ermittler und Justizbehörden zu elektronischen Beweismitteln“ gegenüber Internetdienstleistern auch „das Thema der Verschlüsselung“ zu betrachten.

Die Innenministerien aus Deutschland und Frankreich richten ein weiteres Schreiben an die Ratspräsidentschaft, das mehr Zusammenarbeit mit Internetdienstleistern anmahnt und gleichzeitig die Notwendigkeit von Verschlüsselung betont. Der Anti-Terrorismus-Koordinator erwähnt das Schreiben später in seinen Forderungen zur Umsetzung der „Agenda für Terrorismusbekämpfung“.

Die slowakische Ratspräsidentschaft veröffentlicht den Fortschrittsbericht „Herausforderungen für die Strafjustiz im Zusammenhang mit dem Einsatz von Verschlüsselung – zukünftige Schritte“. Zu den vier vorgeschlagenen Maßnahmen gehören ein „Reflexionsprozess“ unter Führung der Kommission, mehr Kooperation mit Internetdienstleistern und die enge Zusammenarbeit und Konsultationen mit Europol, Eurojust und dem EJCN.

Nach der Behandlung im Innen- und Justizrat startet die Kommission mit einigen Mitgliedstaaten einen „Reflektionsprozess“ zur Rolle der Verschlüsselung in strafrechtlichen Ermittlungen.

Der „Umgang mit Verschlüsselung“ ist Thema auf dem EU-US-Ministertreffen in Washington.

Im Dezember diskutieren die EU-Innen- und JustizministerInnen die Ergebnisse des Fragebogens zu Verschlüsselung, im Justizteil trägt das deutsche Innenministerium dazu vor. Legislativvorschläge sind zu dieser Zeit immer noch kein Thema.

Anschließend befasst sich auch das „EU-Internetforum“ mit „Herausforderungen“ für die Strafverfolgung durch Verschlüsselung. Das Thema gehört zu den Aufgaben der ein Jahr zuvor gegründeten Vereinigung.

2017

Am 18. Januar verschickt die Kommission ihren Arbeitsplan „Die Rolle der Verschlüsselung bei strafrechtlichen Ermittlungen“ an die FoP Cyber, die inzwischen als Horizontale Arbeitsgruppe zu Cyber-Fragen des Rates firmiert. Demnach will die Kommission zwei Arbeitsprozesse zu Fragen des Zugangs zu verschlüsselten Inhaltenstarten. Teilnehmende einer Gruppe zu technische Rahmen sind die Generaldirektionen HOME und CNECT sowie die Agenturen Europol und ENISA. „Gegebenenfalls“ sollen zusätzliche ExpertInnen aus den Mitgliedstaaten, Unternehmen oder Hochschulen eingeladen werden. Die rechtlichen Fragen werden unter anderem mit Eurojust und dem EJCN erörtert. Auf „Ad-hoc-Basis“ würden auch Organisationen der Zivilgesellschaft einbezogen. Am Ende sollen die Ergebnisse der beiden Arbeitsprozesse zusammengeführt und auf einer Konferenz vorgetragen werden. Außerdem soll das Thema im Februar 2017 in der EU-US-Arbeitsgruppe zu Cyberkriminalität behandelt werden. 

Im Mai findet auf Einladung des Europol-Zentrums zur Bekämpfung der Cyberkriminalität (EC3) der erste „Expertenworkshop“ zu Verschlüsselung statt. Zu den Teilnehmenden gehörten die Kommission und  Delegierte aus Österreich, Slowenien, Kroatien, Großbritannien, den Niederlanden und Deutschland. Das Bundeskriminalamt ist mit MitarbeiterInnen verschiedener Abteilungen vertreten. Im Ergebnis wird beschlossen, statistische Informationen zu erheben und Fallstudien zur Verbreitung von Verschlüsselungstechniken zu beauftragen. Die „ExpertInnen“ diskutieren auch die „zentrale Bündelung“ technischer Kompetenzen und „Dienstleistungen“ bei Europol.

Unter maltesischer Ratspräsidentschaft berichtet die Kommission dem Juni-Rat für Inneres und Justiz im Justizteil über die Arbeiten im Rahmen des „Expertenprozesses zur Verschlüsselung“, diese sollen in den kommenden Monaten fortgesetzt werden.

Im Oktober legt die estnische Ratspräsidentschaft den Abschlussbericht „Praktische Umsetzung und Durchführung europäischer Strategien zur Verhütung und Bekämpfung von Cyberkriminalität“ vor, der sich auf mehreren Seiten den Möglichkeiten widmet, Verschlüsselung zu „überwinden“ und zu „knacken“. Dabei geht es zunächst um „data in rest“, also von Behörden der Mitgliedstaaten konfiszierte Datenträger und Speichermedien. Europol soll hierfür Rechenleistung von Supercomputern nutzen.

Auf dem Oktober-Rat für Justiz und Inneres berichtet die Kommission erneut über den Fortgang des „Expertenprozesses zur Verschlüsselung“. Legislativvorschläge sind weiterhin nicht in der Diskussion.

In ihrem „11. Fortschrittsbericht zur Sicherheitsunion“ geht die Kommission anschließend ausführlich auf die „Rolle von Verschlüsselung“ ein und kündigt einen Sechs-Punkte-Plan mit rechtlichen und technischen Maßnahmen „zur Verbesserung der Entschlüsselungsfähigkeiten“ an. Hierzu gehören mehr Kapazitäten zur Entschlüsselung in den Mitgliedstaaten, die im Aufbau von „Fachwissenszentren“ durch eine „Entschlüsselungsplattform“ bei Europol unterstützt werden. Diese wird beim EC3 in Den Haag angesiedelt. Die Europol-Cyberabteilung soll „Maßnahmen zur Erlangung von durch Straftäter verschlüsselten Informationen“ entwickeln und zur Verfügung stellen und erhält hierzu 19 neue Stellen. Dies betrifft zunächst wieder „data in rest“, also noch keine Ende-zu-Ende-Verschlüsselung. Für Schulungsprogramme durch die EU-Polizeiakedemie CEPOL stellt die Kommission 500.000 EUR im Rahmen des „Fonds für die innere Sicherheit – Polizei“ bereit. Die Polizeiagentur arbeitet außerdem an einem „Entschlüsselungshandbuch“, das den Mitgliedstaaten als Arbeitshilfe dienen soll. Die Bemühungen von Europol sollen durch das EU-Internetforum unterstützt werden – ein Hinweis, dass auch die Ende-zu-Ende-verschlüsselte Kommunikation früher oder später im Fokus stehen wird.

Auf ihrem Dezember-Rat führen die Justiz- und InnenministerInnen eine „gemeinsame Aussprache über die Verschlüsselung“ durch und diskutieren die von der Kommission im Oktober vorgestellten Maßnahmen. Die Kommission wird „eindringlich“ aufgefordert, „der Frage weiter nachzugehen“ und soll im März 2018 über Fortschritte bei der Durchführung der vorgeschlagenen technischen Maßnahmen berichten.

2018

Laut dem „13. Fortschrittsbericht zur Sicherheitsunion“ erhält Europol weitere fünf Millionen Euro zur Entwicklung von Fähigkeiten zum Auslesen verschlüsselter Inhalte. Die Kommission hatte diese Gelder bereits im 12. Fortschrittsbericht zugesagt, deren Höhe jedoch erst Anfang des Jahres veröffentlicht. Die Mittel sollen auch zur Untersuchung der „rechtlichen Aspekte der Rolle der Verschlüsselung bei strafrechtlichen Ermittlungen“ dienen.

Am 5. Februar 2018 findet bei Europol in Den Haag ein Workshop zu Verschlüsselung statt, auf dem das deutsche Bundeskriminalamt vorträgt. Gegenstand ist „insbesondere ein Erfahrungsaustausch über die Auswirkungen von Verschlüsselung auf die Telekommunikationsüberwachung“. Laut dem Bundesinnenministerium hat es zu dem Thema in einer „Workshopreihe“ weitere Veranstaltungen gegeben. Zu diesem Zeitpunkt arbeitet bei Europol mindestens ein „Entschlüsselungsexperte“, bei dem sich die zuständigen Behörden der Mitgliedstaaten Hilfe holen können.

Im Oktober versendet die Kommission ein „Arbeitspapier“ an den Rat, in dem sie vorschlägt, dass Europol einen Trojaner entwickeln und den Behörden der Mitgliedstaaten als Dienstleistung zur Verfügung stellen soll. Damit könnte der „Missbrauch der Verschlüsselung durch Kriminelle und Terrorverdächtige“ gekontert werden. Die Polizeiagentur soll hierzu ein Trojaner-Pilotprojekt leiten, das anschließend verstetigt werden könnte. Die technische „Lösung“ zum Eindringen in fremde Rechnersysteme soll in einer nicht-öffentlichen Ausschreibung beschafft werden.

2019

Europol und Eurojust veröffentlichen einen „Ersten Bericht der Beobachtungsfunktion zur Verschlüsselung“, der zahlreiche Möglichkeiten für Verschlüsselung sowie deren Umgehung aufführt. Die Agenturen treffen keine Aussage, welche dieser Methoden von Behörden zum Zugang zu entschlüsselter Kommunikation genutzt werden sollte.

Auch das bei Europol neu eingerichtete „EU-Innovationszentrum für innere Sicherheit“ („EU Innovation Hub“) soll sich im Bereich der Sicherheitsforschung mit Verschlüsselung befassen.

Ein Jahr vor Übernahme der EU-Ratspräsidentschaft kündigt Bundesinnenminister Horst Seehofer (CSU) an, Anbieter verschlüsselter Messengerdienste verpflichten zu wollen, auf richterliche Anordnung Nachrichten und Anrufe ihrer NutzerInnen herauszugeben.

Unter finnischer Ratspräsidentschaft verabschieden die Mitgliedstaaten Schlussfolgerungen zur Bekämpfung des sexuellen Missbrauchs von Kindern, die als Notwendigkeit neuer Maßnahmen die zunehmend verschlüsselte Kommunikation von TäterInnen beklagen.

Nachdem Konzernchef Mark Zuckerberg die Ende-zu-Ende-Verschlüsselung in Facebook-Chats ankündigt, fordern die sogenannten „Five Eyes“-Staaten USA, Kanada, Großbritannien, Australien und Neuseeland mit einem Offenen Brief den Zugang zu den Daten „in einem lesbaren und nutzbaren Format“. In den „Five Eyes“ kooperieren unter anderem Auslandsgeheimdienste zum Abhören digitaler Kommunikation. In dem Schreiben an Facebook nennen die Regierungen den Schutz vor Kindesmissbrauch als Argument gegen Verschlüsselung.

Der Präsident des Bundeskriminalamts, Holger Münch, fordert eine „Frontdoor-Debatte“, in deren Rahmen Anbieter verschlüsselter Messengerdienste „zur Herausgabe einer unkryptierten Überwachungskopie“ verpflichtet werden sollen.

2020

Im Bericht zur Umsetzung der erneuerten EU-Strategie der inneren Sicherheit bemängeln die frühere finnische und die amtierende kroatische Präsidentschaft, dass seit Ende 2018 über mögliche Ansätze gegen Ende-zu-Ende-Verschlüsselung „keine Fortschritte erzielt worden“ seien. In dem Dokument wird die Erwartung formuliert, „dass die Kommission eine Entscheidung über die Lösung trifft“ und diese finanziert.

In einem Brief fordert der Anti-Terrorismus-Koordinator die EU-Mitgliedstaaten auf, „den Trend der unregulierten Verschlüsselungspraxis [zu] brechen“. Die „zügellose Verschlüsselung“ in Anwendungen und Standards sei eine „massive Herausforderung“ für Polizei und Geheimdienste, diese erforderten eine „robuste Antwort“ der Politik. Kerchove fordert deshalb „regulatorische Maßnahmen“ und stellt einen Fahrplan auf. In einem Begleitdokument beschreibt er verschiedene Formen von Verschlüsselung, darunter Ende-zu-Ende, Transportverschlüsselung und passwortgeschützte Geräte.

Für Brute-Force-Attacken auf passwortgeschützte Speichermedien nutzt Europol die Software „Hashcat“. 2018, im ersten Jahr ihres Bestehens, sei die „Entschlüsselungsplattform“ in 32 Fällen genutzt worden, für 2019 nennt Europol weitere 59 Fälle: Die Erfolgsquote liegt demnach bei 39 Prozent. Insgesamt seien mehr als 1.750 verschlüsselte Geräte untersucht worden. Mindestens sechs Mal hat auch das Bundeskriminalamt die Dienste angefragt. Zukünftig soll die „Entschlüsselungsplattform“ Supercomputer der Europäischen Union nutzen. Europol hat hierfür eine Vereinbarung mit der Gemeinsamen Forschungsstelle (JRC) der EU-Kommission abgeschlossen, wonach die Angriffe auf verschlüsselte Inhalte im italienischen Ispra am Lago Maggiore durchgeführt werden sollen.

Regelmäßig finden am JRC „Law Enforcement Authorities Decryption Workshops“ statt, in dem sich „technische Expertinnen und Experten“ über aktuelle Entwicklungen und Projekte zur Entschlüsselung digitaler Inhalte austauschen.

Eine europaweite Arbeitsgruppe zum Abhören von 5G-Telekommunikation durch Polizeien und Geheimdienste wird verstetigt und unter anderem auf verschlüsselte Kommunikation ausgeweitet. Diese „Ständige Gruppe der Leiter der Abhörabteilungen“ („European Heads of Lawful Interception Units“) soll helfen, die „operativen Fähigkeiten“ in den Mitgliedstaaten zu verbessern. Ihre neuen Aufgaben erstrecken sich auch auf den „legislativen Bereich“. Ursprünglich wurde die Gruppe auf Initiative des Bundeskriminalamtes als „Expertengruppe 5G“ eingerichtet.

Im Juni referiert die EU-Kommissarin für Inneres, Ylva Johansson, in einem Webinar zur Bekämpfung des sexuellen Missbrauchs und der Ausbeutung von Kindern und fordert eine „technische Lösung“ gegen das „Problem“ der Verschlüsselung. Ihr Büro habe „eine spezielle Gruppe von Experten aus Wissenschaft, Regierung, Zivilgesellschaft und Wirtschaft initiiert“, die entsprechende Lösungen finden soll. Das Magazin Politico veröffentlicht später den nicht-offiziellen Bericht der Gruppe, der verschiedene technische Möglichkeiten zum Zugang zu verschlüsselten Daten bei Messengerdiensten aufführt.

Am 18. September kündigt die Bundesregierung an, im Rahmen ihrer EU-Ratspräsidentschaft eine Erklärung zur Aushebelung verschlüsselter Kommunikation im Internet verabschieden zu wollen. Die Regierungen der Mitgliedstaaten sollen dazu bis zum 7. Oktober ihre Position an eine Mailadresse des Bundesinnenministeriums schicken.

Am 23. September lässt sich die deutsche Ratspräsidentschaft von den EU-Mitgliedstaaten im Ständigen Ausschuss für die operative Zusammenarbeit im Bereich der inneren Sicherheit (COSI) mandatieren, „eine Initiative zum Thema Verschlüsselung ins Leben zu rufen“.

Die Regierungen der „Five Eyes“ fordern mit Japan und Indien erneut einen staatlichen Zugriff auf Ende-zu-Ende-Verschlüsselung. Die Erklärung appelliert an Internetdienstleister, als Argumente werden wie in dem Offenen Brief von 2018 die sexuelle Ausbeutung von Kindern, aber auch Gewaltverbrechen, terroristische Propaganda und Anschläge als Argumente genannt.

Am 21. Oktober 2020 veröffentlicht das Bundesinnenministerium „Zehn Punkte zur Zukunft von Europol“, die Erklärung fordert für die dort angesiedelte „EU-Zentralstelle für Innovationen im Bereich der Inneren Sicherheit“ einen Schwerpunkt auf Verschlüsselung.

Ebenfalls am 21. Oktober veröffentlicht der deutsche Ratsvorsitz den Vorschlag zu einer „Entschließung des Rates zur Verschlüsselung – Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“, der in der Folge mehrfach überarbeitet wird. Für ihre Diskussionen haben die ReferentInnen aus den Mitgliedstaaten ein sogenanntes ad-hoc-Format „Verschlüsselung“ eingerichtet. Die Resolution enthält einen eigenen Absatz zur Schaffung eines „Regelungsrahmens“ und fordert in der finalen Fassung vom 24. November, dieser solle „weiter bewertet werden“. In früheren Versionen wurde hier noch die „Notwendigkeit eines ordnungspolitischen Rahmens“ behauptet, weshalb Maßnahmen für Strafverfolgungs- und Justizbehörden gegen Ende-zu-Ende-Verschlüsselung „Vorrang“ haben müssten. In seiner endgültigen Fassung verlangt das Papier von „nationalen und internationalen Anbietern von Kommunikationsdiensten und anderen einschlägigen Interessenträgern“ die Mitarbeit an „technischen Lösungen und Normen“.

Zusätzlich plant der deutsche Ratsvorsitz „Schlussfolgerungen zur inneren Sicherheit und zu einer europäischen Polizeipartnerschaft“, die ebenfalls Ausführungen zu Verschlüsselung enthalten. „Technische und operationelle Lösungen“ sollten sicherstellen, dass Strafverfolgungs- und Justizbehörden „ihre rechtmäßigen Befugnisse sowohl online als auch offline“ ausüben können. Bekräftigt wird auch die Notwendigkeit für einen „rechtlichen Rahmen“, der „in enger Absprache mit Diensteanbietern, anderen relevanten Interessengruppen und allen relevanten zuständigen Behörden entwickelt werden“ soll. Demnach soll es keine vorgeschriebene technische Lösung für den Zugang zu verschlüsselten Daten geben, stattdessen sollen die Mitgliedstaaten selbst über die von ihnen genutzten Methoden zur Aushebelung oder Umgehung von Ende-zu-Ende-Verschlüsselung entscheiden.

In einem „Input“ zu den Terroranschlägen in Deutschland, Frankreich, Österreich fordert der Anti-Terrorismus-Koordinator eine „legislative Lösung im Hinblick auf Strafverfolgung und gerichtlichen Zugang zu verschlüsselten Inhalten“. Die Initiative der deutschen Präsidentschaft ist laut Kerchove „ein guter erster Schritt“.

Am 13. November veröffentlichen die EU-InnenministerInnen eine „Gemeinsame Erklärung zu den jüngsten Terroranschlägen in Europa“. Diese fordert, dass sich der Rat „mit der Frage der Datenverschlüsselung befassen [soll], damit digitale Beweismittel von den zuständigen Behörden rechtmäßig erhoben und genutzt werden können“.

In einem Begleitdokument zu der geplanten „Entschließung des Rates zur Verschlüsselung“ wirbt das Bundesinnenministerium um Zustimmung und zeigt sich „entschlossen“ zu einem engen Austausch mit den Staaten der „Five Eyes“. Dabei nimmt das Ministerium Bezug auf deren vor wenigen Wochen veröffentlichte „Internationale Erklärung“ gegen Ende-zu-Ende-Verschlüsselung. Gefordert wird auch ein „ständiger Dialog insbesondere mit dem Vereinigten Königreich“. In einer Folgeversion wird das Dokument zwei Wochen später um die Aufforderung an die Kommission ergänzt, dem Rat regelmäßig Bericht zu erstatten.

Auf seiner Sitzung am 25. November billigt der Ausschuss der Ständigen Vertreter der Mitgliedstaaten (AStV) die Entschließung zu Verschlüsselung im schriftlichen Umlaufverfahren ohne Aussprache. Ebenfalls stimmt er den Schlussfolgerungen zur inneren Sicherheit und zu einer europäischen Polizeipartnerschaft mit Ausführungen zu Verschlüsselung zu. Beide Schlussfolgerungen auf dem Rat der InnenministerInnen am 14. Dezember in Brüssel formal verabschiedet werden.

Das im Herbst geplante EU-US Ministerreffen, an dem stets die amtierende und die kommende EU-Ratspräsidentschaft teilnimmt, fällt wegen der Corona-Pandemie aus. Die Bundesregierung bestätigt, dass auf den halbjährlichen Treffen zum Thema „Umgang mit Verschlüsselung“ regelmäßig „ein Meinungsaustausch“ stattfindet.

Update:

In der am 9. Dezember vorgelegten Mitteilung zur Sicherheitsunion „Agenda für Terrorismusbekämpfung und Stärkung von Europol für eine resilientere EU“ warnt die EU-Kommission, dass Verschlüsselung „als sicherer Kanal für Täter genutzt werden [kann], über den sie ihre Handlungen vor Strafverfolgung und Justiz verbergen können“. Die Kommission will deshalb mit den Mitgliedstaaten „mögliche rechtliche, operative und technische Lösungen für den rechtmäßigen Zugang“ ermitteln.

Am 14. Dezember veröffentlicht der Ministerrat für Inneres schließlich die „Entschließung des Rates zur Verschlüsselung – Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“. Die EU soll demnach sicherstellen, dass die „zuständigen Behörden im Bereich Sicherheit und Strafjustiz […] sowohl online als auch offline unsere Gesellschaften“ und Bürger schützen können.

Ebenfalls am 14. Dezember verabschieden die EU-InnenministerInnen die „Schlussfolgerungen des Rates zur inneren Sicherheit und zu einer europäischen Polizeipartnerschaft“, wonach „technische und operative Lösungen, die in einem Rechtsrahmen verankert sind“, entwickelt werden sollen, auch wenn es in den Mitgliedstaaten „keine einheitliche technische Lösung für den Zugang zu verschlüsselten Daten geben sollte“. Dies soll „in enger Abstimmung mit Diensteanbietern, anderen einschlägigen Interessenträgern und allen einschlägigen zuständigen Behörden“ erfolgen.

In ihrem „Ersten Fortschrittsbericht zur EU-Strategie für die Sicherheitsunion“ weist außerdem die EU-Kommission am 14. Dezember darauf hin, dass das EU-Internetforum „seinen Wirkungsbereich auf den sexuellen Missbrauch von Kindern im Internet ausgeweitet“ hat. Der Zusammenschluss mit den Internetdienstleistern werde „einen gemeinsamen Raum für […] die Ermittlung von Hindernissen bieten […] der technische Experten aus Wissenschaft, Industrie, Behörden und Organisationen der Zivilgesellschaft umfasst und mögliche technische Lösungen zur Aufdeckung und Meldung von sexuellem Missbrauch von Kindern in der End-zu-End-verschlüsselten elektronischen Kommunikation erfassen und vorläufig bewerten soll“.

Am 18. Dezember startet Europol seine bereits in Betrieb genommene „Entschlüsselungsplattform“ nun auch offiziell. Soweit bekannt, wird den Mitgliedstaaten dort derzeit nur Unterstützung bei der digitalen Forensik verschlüsselter Geräte und Speichermedien angeboten.

2021

Laut einem Agenturbericht plant die EU-Kommission „keinen Vorschlag für ein allgemeines Verbot verschlüsselter Kommunikation“. Dies schrieb die EU-Innenkommissarin Ylva Johansson an drei EU-Abgeordnete. Es werde keine Lösung in Betracht gezogen, die Verschlüsselung „grundsätzlich für alle Bürger schwächen“ würde. Johansson schließt auch „Hintertüren“ für den Zugriff auf verschlüsselte Daten aus.

Beim verspäteten Jahrestreffen des EU-Internetforums für 2020 erklärt die EU-Innenkommissarin Ylva Johansson, dass der Zusammenschluss seinen Geltungsbereich auf den sexuellen Missbrauch von Kindern im Internet ausgeweitet hat (Video). Mit den dort anwesenden Internetdienstleistern (Google, Facebook, Microsoft etc.) will die Kommission technische Lösungen suchen, um Bilder und Videos, die den sexuellen Missbrauch von Kindern zeigen, trotz Ende-zu-Ende-verschlüsselten Diensten zu erkennen.

Die deutsche Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) beteiligt sich im Rahmen der „Europol Platform for Experts“ (EPE) „mit einzelnen Experten“ an Diskussionen zu „Herausforderungen von Verschlüsselungen“.

In ihrer zweijährigen Vorausschau für das Forschungsrahmenprogramm „Horizon 2020“ (Bereich „Civil Security for Society“) kündigt die Kommission weitere Anstrengungen gegen mit 5G Ende-zu-Ende-verschlüsselter Kommunikation an. Ein Projekt in der Forschungslinie „Fighting Crime and Terrorism“ trägt den Titel „Lawful interception using new and emerging technologies (5G & beyond, quantum computing and encryption)“ und soll eine Plattform entwickeln, die an Schnittstellen zum Ausleiten entschlüsselter Kommunikation ansetzt. Daran sollen sich mindestens drei Polizeibehörden aus drei Mitgliedstaaten oder „assoziierten Ländern“ beteiligen. Das für fünf Millionen Euro zu entwickelnde Verfahren soll den Technologie-Reifegrad 5-6 erreichen. Das schließt einen Prototyp ein.

Auf dem EU-US-Treffen ranghoher Beamt*innen im April stehen „Herausforderungen im Zusammenhang mit Verschlüsselung und rechtmäßigem Abhören“ auf der Tagesordnung. Die amtierende EU-Präsidentschaft stellt dort die im Dezember unter deutschem Vorsitz beschlossene Ratsresolution zu Entschlüsselung vor.

In einer öffentlichen  Konsultation für Maßnahmen im Rahmen ihrer im Juli 2020 veröffentlichten „EU-Strategie für eine wirksamere Bekämpfung des sexuellen Missbrauchs von Kindern“ fragt die EU-Kommission, ob eine Verpflichtung der Provider, Missbrauch „zu entdecken, zu melden und zu löschen […] auch für verschlüsselte Kommunikationen gelten“ sollte.

Großbritannien bleibt nach dem Brexit Mitglied der „G6“, wo sich die Innenministerien aus Deutschland, Frankreich, Großbritannien, Italien, Spanien und Polen organisieren. Unter britischem Vorsitz befasst sich der informelle Zirkel, an dem auch die EU-Kommission teilnimmt, Ende März mit Problemen „die durch die Ende-zu-Ende-Verschlüsselung entstehen“. Auch die USA nehmen an diesem Austausch teil.

In ihrer Mitteilung „Bekämpfung der organisierten Kriminalität: neue Strategie für die kommenden fünf Jahre“ beschreibt die EU-Kommission den Zugang zu verschlüsselten Inhalten als eine der Prioritäten. Gemeinsam mit „relevanten Akteuren“ sollen die „bestehenden Möglichkeiten und Ansätze für einen rechtmäßigen und gezielten Zugriff“ analysiert werden. Diese sollen sich nicht nur auf die „Bekämpfung der gegenwärtigen Hindernisse konzentrieren“, sondern zukünftige Ver- und Entschlüsselungstechnologien „antizipieren“. Neben dem Abhören von 5G „und darüber hinaus“ nennt das Papier den „Nischenmarkt für verschlüsselte Kommunikationsgeräte“, der nach den jüngsten Operationen gegen Encrochat und SkyECC offenkundig wurde. Um „das Gefundene [zu] verstehen, sollen die entschlüsselten Daten schließlich „in Verbindung mit anderen Daten gebracht werden“ können. Eine Bestandsaufnahme des Umgangs der Mitgliedstaaten mit Verschlüsselung und ein „Multi-Stakeholder-Prozess“ zur Erkundung und Bewertung rechtlicher und technischer Möglichkeiten sollen in einen Vorschlag zum „gezielten Zugriff“ auf verschlüsselte Inhalte münden, den die Kommission 2022 vorlegen will.

Der portugiesische Ratsvorsitz fordert im Mai eine EU-weite Regelung für den Zugang zu verschlüsselten Inhalten durch Polizei und Justiz. Dies soll erstmals auch Gerätehersteller betreffen. Bei Nichtbefolgung könnte den Firmen das Geschäft in der EU untersagt werden, diese könnte dazu „die Stärke ihres Binnenmarktes nutzen“. Als neuen Akteur für die Arbeit an einer Regulierung bringt der Rat die „COSI-Gemeinschaft“ ins Spiel. Gemeint ist der Ständige Ausschuss für die innere Sicherheit, der sich aus hohen Beamt:innen der Innen- und/oder Justizministerien aller EU-Mitgliedstaaten sowie der Kommission und des Auswärtigen Dienstes zusammensetzt.

Laut einer Pressemitteilung zu einer gemeinsamen Erklärung nach dem G7-Gipfel haben sich Großbritannien und die USA „darauf geeinigt, sicherzustellen, dass die Strafverfolgungsbehörden rechtmäßig auf Kommunikationsinhalte zugreifen können, die für die Ermittlung und Verfolgung schwerer Verbrechen unerlässlich sind“. Dies soll in dem geplanten, bilateralen „Datenzugangsabkommen“ enthalten sein, das in der Erklärung als „“weltweit führend“ bezeichnet wird. Die Aufrechterhaltung „eines streng kontrollierten, rechtmäßigen Zugangs zu Kommunikationsinhalten“ sei für die Untersuchung und Verfolgung von Straftaten wie Terrorismus und Kindesmissbrauch „von entscheidender Bedeutung und hat für beide Regierungen höchste Priorität“. Beide Regierungen hätten vereinbart, „partnerschaftlich mit Technologieunternehmen zusammenzuarbeiten, um die Sicherheit unserer Bürger zu schützen und gleichzeitig strenge Datenschutzstandards einzuhalten“.

Fazit

  • Ab 2015 bringt das neu errichtete Zentrum zur Bekämpfung der Cyberkriminalität bei Europol das Thema Verschlüsselung in verschiedenen Publikationen in die Öffentlichkeit, der damals britische Europol-Chef warnt mehrfach vor deren Risiken.
  • Unter Vorsitz von Frankreich sowie Co-Vorsitz von Deutschland und Bayern startet Europol 2015 eine „European Expert Group on Cybercrime“, die zu Verschlüsselung arbeitet. Zwei Jahre später folgt eine ähnliche Gruppe des Innen- und Justizrates.
  • Auch die Kommission und Eurojust starten „Expertengruppen“ oder „Expertenprozesse“ zu Verschlüsselung, die jeweils technische und rechtliche Aspekte betrachten.
  • Seit 2017 fordern sich der Rat und die Kommission gegenseitig zu verschiedenen Initiativen auf, dabei entstehen Sachstände, Statistiken und Studien zu technischen Lösungen gegen verschlüsselte Datenträger und Ende-zu-Ende-Verschlüsselung.
  • Der Anti-Terrorismus-Koordinator sorgt mit seinen regelmäßig erscheinenden Papieren dafür, dass das Thema auf der EU-Agenda bleibt.
  • Europol errichtet ab 2018 Fähigkeiten zur Entschlüsselung von Speichermedien mit Brute-Force-Attacken mithilfe von Hochleistungsrechnern. Die Polizeiagentur will außerdem Trojaner beschaffen und bei deren Einsatz in den Mitgliedstaaten behilflich sein.
  • In mehreren Schlussfolgerungen und Berichten erwähnen der Rat und die Kommission bis 2019 die Notwendigkeit technischer und rechtlicher Lösungen zu Ende-zu-Ende-Verschlüsselung, ohne sich dabei auf Hintertüren oder Trojaner als technische Möglichkeiten festzulegen.
  • Begründet wird die Notwendigkeit zum Umgehen von Verschlüsselung anfangs eher mit Terrorismus, später eher mit der Verfolgung von Straftaten gegen die sexuelle Selbstbestimmung von Kindern.
  • Neue Dynamik entsteht 2019 in Vorbereitung auf die deutsche Ratspräsidentschaft.
  • Das Bundesinnenministerium sorgt 2020 für eine Resolution gegen Verschlüsselung, die erstmals die Forderung nach einem Rechtsrahmen gegen Ende-zu-Ende-verschlüsselte Kommunikation enthält. Sie wird im Diskussionsprozess zwar entkräftet, aber flankiert von weiteren Schlussfolgerungen, die dezidiert legislative EU-Maßnahmen fordern.
  • Die Kommission wird sich nun aufgefordert fühlen, die Internetdienstleister zum Dialog über technische Maßnahmen für den Zugang zu Ende-zu-Ende-verschlüsselter Kommunikation zu drängen, hierfür wird vermutlich das EU-Internetforum genutzt.
  • Die Kommission könnte außerdem eine Machbarkeitsstudie und/oder ein Pilotprojekt zum Einsatz eines Europol-Trojaners mit freiwilligen Mitgliedstaaten starten und finanzieren.
  • Sämtliche Aktivitäten der vergangenen fünf Jahre erfolgten ohne Beteiligung des Europäischen Parlamentes, das erst um Zustimmung ersucht wird, wenn auf Grundlage der aus Deutschland angestoßenen Resolution in einigen Jahren ein Legislativvorschlag gegen Verschlüsselung vorliegt.

5 Ergänzungen

  1. Ist das Teil des „Idiots in Charge Problems“, oder ist das Teil des Kriegs Reich gegen Arm, oder beides?

    Und am Rande: Was für Einschätzungen würdet ihr von einer echten KI erwarten, und wie wird es da mit Transparenz, bzw. der größe des Kreises der Zugreifenden aussehen?

  2. Wir brauchen mehr völlig dezentral arbeitende Kommunikationstools auf Basis von freier Software so das es dann gar keinen „Anbieter“ mehr gibt den ein Staat zur Überwachung überhaupt noch verpflichten könnte.

    TOR, I2P, Tribler usw Crypto Messenger die z.B. Blockchain anstatt zentraler Server verwenden, sowas in diese Richtung.

    1. Als ich vor ein paar Jahren mikroprozessorbasiertes Kryptochicken implementieren wollte, war die Warensendung mit dem einen fehelenden USB-Kabel, das mir den kaputten Gehäusebau gerettet hätte, sauber aufgeschlitzt und entleert, sowie das Paket mit dem Motherboard für das Programmiersystem so angestochen, dass man schön reingucken konnte. Da hatte ich keine Lust mehr :(.

      Bei immer noch zentralen Lösungen (wenige Programmierer, viele Nutzer), ist es bald vorbei, wenn der Sack wirklich zu soll. Die Frage ist, was ich in diesem abstrusen Szenario alles anstellen könnte, wenn schon „nichts stimmt“, und ob es danach noch Säcke gibt.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.