Über mehrere Seiten tänzelt das schwedische Justizministerium um den heißen Brei herum. Die Abfolge der Tanzschritte lässt sich in einem Papier für die Justiz- und Innenminister*innen der Europäischen Union verfolgen, die sich derzeit informell in Stockholm treffen. Dieses Papier hat Signalkraft, denn seit Januar hat Schweden den Vorsitz im Rat der EU inne. So eine Ratspräsidentschaft ist eine gute Gelegenheit für politische Akzente, und das schwedische Justizministerium hat sich die Bekämpfung von Online-Kriminalität vorgeknöpft.
Zunächst beschreibt das schwedische Papier, warum Ermittlungsbehörden angeblich ein Problem mit Ende-zu-Ende-Verschlüsselung haben. Diese sichere Form der Verschlüsselung bewirkt, dass allein Sender*in und Empfänger*in einer Nachricht deren Inhalte lesen können. Wer die Daten auf dem Weg abfängt, sieht nur Zeichensalat. Die Polizei tappe demnach im Dunkeln, wenn mutmaßliche Kriminelle mit sicheren Messengern chatten. Deshalb heißt das Phänomen auch „going dark“.
Da muss man doch was machen können, so lassen sich die ersten Absätze des Papiers sinngemäß zusammenfassen. Die Zuspitzung geschieht in einem entscheidenden Nebensatz, der auf Seite fünf hervorgehoben steht: Es gebe den „Bedarf, den Zugriff auf Kommunikationsdaten zu diskutieren“. Die Formulierung ist vage und vorsichtig, das Vorhaben dennoch offensiv: Schweden plant offenbar den Angriff auf sicher verschlüsselte Kommunikation. Wenn auch unter dem Vorbehalt, mit „allen relevanten Interessengruppen“ zu sprechen.
Gruß aus den Neunzigerjahren
Die Forderung ist Jahrzehnte alt. Schon seit den Neunzigern wollen manche Politiker*innen die sichere Verschlüsselung von Inhalten im Netz am liebsten loswerden. Immer wieder gibt es Vorstöße dafür, Grundrechte wie die Vertraulichkeit von Kommunikation oder die Integrität von IT-Systemen umfassend verletzen zu dürfen. Vor diesem Hintergrund lassen sich die teils zögerlich formulierten Seiten des schwedischen Papiers als Versuch einer Beschwichtigung lesen. Tenor: Ja, wir wissen, das ist ein schwieriges Thema – aber wir wollen trotzdem private Chats knacken.
„Kriminelle können Straftaten auf eine Art und Weise begehen, die Strafverfolgungsbehörden nicht erkennen und abfangen können“, heißt es im Papier. „Nach Ansicht des Ratsvorsitzes ist es an der Zeit, Mittel und Wege zu erörtern, um die Rechtsstaatlichkeit im digitalen Zeitalter aufrechtzuerhalten und gleichzeitig die Sicherheit zu wahren, die Privatsphäre und die Grundrechte zu schützen und die europäische Wettbewerbsfähigkeit zu steigern“. Bei der Diskussion müsse man den „Schutz der Privatsphäre“ mit den „Erfordernissen der Strafverfolgung“ vereinbaren.
Der Fokus auf Inhalte mit Ende-zu-Ende-Verschlüsselung wird dem Thema allerdings nicht gerecht. Längst gibt es differenziertere Lösungen, um gegen Online-Kriminalität vorzugehen, ohne dabei private Nachrichten abgreifen zu müssen. Eine Palette davon hat etwa die Initiative „Tech Against Terrorism“ diesen Januar zur Diskussion gestellt. Hinter der Initiative steht ein Gremium der Vereinten Nationen (United Nations Counter Terrorism Executive Directorate, kurz: UN CTED). Das Gremium entwickelt Maßnahmen zur Bekämpfung von Terrorismus.
Die Vorschläge „Tech Against Terrorism“ sind das Ergebnis aus einem Jahr Recherche mit verschiedenen Interessengruppen, wie die UN-Initiative mitteilt. „Tech Against Terrorism“ richtet zwar den Fokus auf Terrorismus, führt dabei aber zahlreiche allgemeine Argumente an, die sich auch für andere Fälle von Kriminalität anwenden lassen.
„Sicherheit aller gefährdet“
„Wir können die Tatsache nicht von der Hand weisen, dass Terrorist*innen und Extremist*innen Ende-zu-Ende-verschlüsselte Dienste nutzen“, schreibt „Tech Against Terrorism“ in englischer Sprache. Es möge „verlockend“ sein, verschlüsselte Dienste systematisch zu überwachen. Aber solche Werkzeuge würden ihre selbstgesteckten Ziele verfehlen: „Sie sind ressourcenintensiv, lassen sich nur schwer in großem Maßstab umsetzen und bergen erhebliche Risiken, einschließlich der Gefahr des Missbrauchs durch kriminelle Akteur*innen und autoritäre Staaten.“
Weiter schreibt die Initiative: „Expert*innen für Verschlüsselung, digitale Grundrechte und Dienste-Anbieter sind sich einig, dass die systematische Überwachung verschlüsselter Inhalte technisch nicht machbar ist, es sei denn, die Sicherheit und der Datenschutz aller Nutzer*innen sollen gefährdet werden.“ Außerdem sei bekannt, dass Terrorist*innen und gewaltbereite Extremist*innen einfach den Dienst wechseln, sobald bekannt würde, dass ein Dienst nicht mehr sicher sei. Vor diesem Hintergrund formuliert „Tech Against Terrorism“ insgesamt 13 konkrete Vorschläge.
Offene Daten und klassische Methoden
Zum Beispiel könnten Ermittler*innen mit offen zugänglichen Daten arbeiten, die nicht Ende-zu-Ende-verschlüsselt sind. „So können Namen und Profilbilder gescannt werden“, heißt es. Auch Metadaten von Nutzer*innen könnten Hinweise auf verdächtige Verhaltensmuster geben. Anbieter könnten zudem vereinfachte Meldemechanismen einführen, mit deren Hilfe Nutzer*innen selbst auffällige Accounts melden können.
Eine entscheidende Rolle für Terrorist*innen spielen laut „Tech Against Terrorism“ auch Einladungslinks, die offen im Netz kursieren. Damit sind Zugänge zu verschlüsselten Chaträumen gemeint. Verschlüsselte Messenger könnten die Verbreitung solcher Einladungslinks einschränken, Online-Anbieter ihre Seiten gezielt nach solchen durchforsten, heißt es weiter. Außerdem könnten Behörden im Netz wie im Offline-Leben Undercover-Agent*innen einsetzen, um die Kommunikation von mutmaßlichen Terrorist*innen zu überwachen.
Die Initiative plädiert dafür, diese Ideen nicht ohne weitere Abwägungen umzusetzen. Vielmehr empfiehlt „Tech Against Terrorism“, Maßnahmen im Austausch mit Expert*innen aus den Bereichen Kryptographie, Grundrechten und Industrie zu entwickeln. Für ethische und rechtliche Fragen brauche es demnach einen klaren Rechtsrahmen.
UN-Initiative für staatliches Hacken
Gegen Ende empfiehlt „Tech Against Terrorism“ eine Maßnahme, die aus grundrechtlicher Perspektive eine empfindliche Grenze überschreitet: „Strafverfolgungsbehörden sollten ausarbeiten, unter welchen Umständen eine gezielte Überwachung, insbesondere Hacken, für Ermittlungen von Nutzen sein kann“, schreibt die UN-Initiative.
Hier geht es offenbar um staatliches Hacken von Geräten, beispielsweise mit Hilfe von sogenannten Trojanern. Dabei infizieren Ermittlungsbehörden gezielt Handys und Laptops von Bürger*innen, um diese auszuspionieren. „Tech Against Terrorism“ sieht in diesem gezielten Vorgehen einen Vorteil gegenüber dem pauschalen Eingriff in die Kommunikation von allen. Das Papier der schwedischen Ratspräsidentschaft wiederum ist so offen formuliert, dass es auch an ein solches Vorhaben anknüpfen könnte.
Doch die Argumentation hat eine Leerstelle: Staatliches Hacken ist nicht so gezielt, wie es scheint. Und es gefährdet die IT-Sicherheit von allen. Denn um ein Gerät hacken zu können, braucht es in der Regel offene Sicherheitslücken. Ein Staat, der seine Bürger*innen hackt, hat den Anreiz, Lücken offenzuhalten – auch wenn bereits andere sie ausnutzen und damit Menschen, Unternehmen oder der öffentlichen Infrastruktur schaden.
Die Haltung von „Tech Against Terrorism“ zu staatlichem Hacken zeigt: Die UN-Initiative würde auch solche Maßnahmen akzeptieren, die aus grundrechtlicher Perspektive tabu sind. Umso mehr fällt es ins Gewicht, dass selbst diese Initiative beim pauschalen Angriff auf Ende-zu-Ende-Verschlüsselung ein klares Nein signalisiert. Zugleich zeigen die Vorschläge von „Tech Against Terrorism“ einige mögliche Alternativen zu invasiver Überwachung. Wenn die schwedische Ratspräsidentschaft eine Debatte fordert, dann dürfte sie in den Vorschlägen Diskussionsstoff finden.
Nehme wir doch mal das Beispiel Russland. Dissidenten und Informanten könnten dort wohl kaum Informationen über Kriegsverbrechen und Morde raus schmuggeln wenn es keine sichere Verschlüsselung geben würde. Die entsprechenden Taten würden damit weniger häufig aufgeklärt werden können.
Die Gegner der Verschlüsselung unterliegen einem einfachen Denkfehler:
Wie haben es Terroristen/Kriminelle vor der Internet-Ära geschafft, ihre Untaten zu planen?
Genau!
Und darauf werden alle, die etwas Schlimmes planen, wieder zurückgreifen, sollte das Netz etc. komplett überwacht werden. Also nützt das gar nichts. Zumal meines Wissens keine Studie existiert, die beweist, dass der Terrorismus wie auch die in diesem Zusammenhang als Grund für die Notwendigkeit für Entschlüsselung oft zitierte Kinderpornografie seit der Existenz des Internets zugenommen haben.
Die wahren Ursachen liegen, wie auch früher schon, woanders:
Falsche Aussenpolitik, Rüstungsexporte, Fanatismus, u. v. m.
Aber das möchten die „Entschlüsseler“ ja nicht hören, geschweige denn die echten Ursachen des Terrorimus etc. bekämpfen!
„Die Gegner der Verschlüsselung unterliegen einem einfachen Denkfehler:“
Betrifft das nicht mehr die Mitläufer? Die eigentlichen Gegner dürften andere Ziele verfolgen, und wenn es „nur“ über Lobbyisten dazu kommt.
Die gesamte Logik Messnager zu überwachen leuchtet mir nicht ein: Wenn Threema nicht mehr End-To-End verschlüsseln kann, was hindert mich daran meine Inhalte vorher zu verschlüsseln? Oder in Bilder einzubetten. Die Algorithmen dafür sind Open Source. Was ist mit Mails? Dürfen die auch nicht mehr verschlüsselt werden?
Das ist doch alles albern-
Naja mit einem System wie ChatGPT könnte das schon interessant werden:
– „Kann ich bei dieser Person aufgrund des Chatverlaufs eine Hausdurchsuchung anordnen?“
– „Schreibe mir eine Begründung für den Richter dafür, dass ich trotzdem …“
Lernen die denn wirklich nichts? Hat man den Pegasus-Vorfall schon längst wieder vergessen? Mit schwacher Verschlüsselung oder Hintertüren wird es noch viel einfacher und weitaus schlimmer!
Da las ich bei Heise einen Kommentar, warum die 460000 unbescholtenen Bürger nun beim Reisen bespäht wollen würdeten.
Da fielen mir konkret nur zwei Antworten ein:
1. Nur 44000 passen auf den Hügel, der alle irgendwie retten soll.
2. Natürlich um… die drei Fische herauszuterroristen…. ÄH, die drei Terroristen herauszufischen…
Verhältnismäßigkeit ist einfach mal biblisch zu messen, oder was?
Um das jetzt nochmal hier zu Protokoll zu geben: Es ist absolut unmöglich, mathematisch nicht machbar, auch von Politikern und Geheimdienstlern nicht, im Allgemeinen eine Verschlüsselung zu verhindern oder gar sie zu erkennen. Stichpunkte zum Selbergooglen: Steganografie und die Beziehung von Kompressionsverfahren zu Verschlüsselungsverfahren.
Ein Gesetz, welches Verschlüsselung zum Zwecke der Straftatbekämpfung oder gar Terrorismusbekämpfung verbietet, ist das Papier nicht wert, auf dem es steht. So ein Gesetz ist nicht durchsetzbar. Im Gegenteil, in der wahnsinnigen Annahme, dass „die Bösewichter“ ja Verschlüsselung benutzen „müssen“, um ihre Absprachen zu verstecken, wird eine Hexenjagd losgetreten, in der jeder harmlose Text als eine „geheime Botschaft“ ausgelegt werden kann. Da aus einer falschen Annahme bewiesenermaßen jede beliebige Schlussfolgerung gezogen werden kann, ließe sich auf Basis eines solchen Gesetzes jedes Unrecht rechtfertigen. Von den Risiken des Normalbürgers als „Beifang“ ins Netz der Ermittler zu gelangen, schreibt der Artikel ja ausführlich.
So ein Gesetz wäre m.E. rechtsstaatlicher Selbstmord, intellektueller sowieso.
Vorsicht mit Nichterkennen.
Wenn Verschlüsselung „immer“ aufbrechbar ist, wird vielleicht „nicht immer“ findbar sein. Dafür muss man allerdings wirklich alles inklusive „nach US“ aufbrechen (nach belieben können).
International … vermutlich nicht realistisch, jedenfalls nicht ohne Letztgültige Deppenfirewall. Selbst dann das Kompetenzgerangel… doch letztlicht wird es einfach sein, ein paar Unternehmen und deren IPs herauszufiltern. Wenn man unbedingt will, geht das. Das Problem darf nicht sein „geht irgendwie nicht“, sondern „wer Zivilisation bekämpft, muss und wird besiegt werden“. Mir ist besonders wichtig, dass das auch die Militärs der Welt verstehen.
Prinzipiell ist natürlich Verschlüsselung nicht mal erkennbar, z.B. bei Formen der Steganographie. Es ist auch nicht wirklich realistisch.
Dennoch ist ein paranoides Regime denkbar, in dem alles registriert ist, und z.B. Unternehmen noch normale Verschlüsselung benutzen dürfen, Internetdienste aber zum Speichern und zur Herausgabe von Schlüsseln mittels spezieller Hardware verpflichtet sind. Bürgerverkehr wird dann teil-automatisiert stichprobenartig geprüft. In der Logik gibt es dann keine unverdächtigen Lücken.
Natürlich ist das jetzt völlig unrealistisch, lokal wie international. Es müsste alles umgekrempelt werden, für keinen gesellschaftlichen Nutzen.
Anonymous u. Verstandsbrunnen:
Besser kann man es nicht zusammenfassen! Allerdings befürchte ich, dass es das Heer von selbsternannten und vermeintlichen Sicherheitsfanatikern nicht davon abhalten wird, sich neue „Maßnahmen“ auszudenken, und seien sie noch so abstrus und/oder nutzlos.
> Zunächst beschreibt das schwedische Papier, warum Ermittlungsbehörden angeblich ein Problem mit Ende-zu-Ende-Verschlüsselung haben. Diese sichere Form der Verschlüsselung bewirkt, dass allein Sender und Empfänger einer Nachricht deren Inhalte lesen können. Wer die Daten auf dem Weg abfängt, sieht nur Zeichensalat. Die Polizei tappe demnach im Dunkeln, wenn mutmaßliche Kriminelle mit sicheren Messengern chatten. Deshalb heißt das Phänomen auch „going dark“.
Das „Not in my backyard“-Prinzip: „Ich bin für „going dark“, aber nur wenn es in diktatorisch regierten Ländern stattfindet. Hier in der EU sollte es so etwas nicht geben dürfen.“