5724036

Verbot von Verschlüsselung in der EU: Der Generalschlüssel

Seit digitale Sicherheit demokratisiert wurde, versuchen Behörden die Privatsphäre auszuhebeln. Der Anschlag von Wien bietet Gelegenheit.

Ein junger Mann hat seinen Rollkragenpullover über seinen Kopf gezogen und hat die Arme verschränkt

Rolli statt Hoodie: Private Kommunikation geht die Behörden nichts an Foto: Francesco Carta/getty images

Der Ministerrat der EU weiß eines ganz genau: „Verschlüsselung ist ein notwendiges Mittel, um Grundrechte und die digitale Sicherheit von Regierungen, Wirtschaft und Gesellschaft zu schützen.“ So heißt es zumindest am Beginn einer vom ORF veröffentlichten Beschlussvorlage, die bereits Anfang Dezember ohne weitere Diskussion von dem Gremium verabschiedet werden soll.

Einziger Zweck dieser Vorlage jedoch ist eine grundlegende Schwächung von Verschlüsselung, die einem Verbot der Technologie gleichkommt. Innerhalb weniger Tage nach Terroranschlägen in Frankreich und Österreich nutzen die Regierungen beider Länder die Gelegenheit, einen ganz alten Hasen zu servieren: den „Generalschlüssel“ für verschlüsselte Kommunikation.

Einerseits sei zwar „offensichtlich, dass alle Seiten von high performance Verschlüsselungstechnologie profitieren“, andererseits wären verschlüsselte Anwendungen aber nur allzu leicht für alle verfügbar.

Man meint, eine gewisse Unentschiedenheit in der Bewertung der Technologie zu spüren – eine Unentschiedenheit, die Polizeien und Geheimdienste weltweit seit mehreren Jahrzehnten quält. Sichere Verschlüsselung? Aber gewiss doch, nur soll sie nicht vor staatlich sanktioniertem Zugriff schützen.

Seit Mitte der 1990er Jahre mit der Entwicklung für alle frei verfügbarer Kryptografie wie der Mail-Verschlüsselung PGP digitale Sicherheit demokratisiert wurde, suchen Behörden global Zugriff auf geschützte Kommunikation. Spätestens seit der damals geführten ersten Runde der sogenannten Cryptowars erklären Netzaktivist*innen immer wieder, dass eine Verschlüsselung mit Hintertür eben keine Verschlüsselung ist.

Ablenken vom Versagen der Sicherheitsbehörden

Denn erstens ist die absichtlich eingebaute Sicherheitslücke nicht davor zu schützen, dass sie auch von Kriminellen entdeckt und genutzt wird. Und zweitens gibt es eben keine Garantie, dass selbst demokratisch verfasste Staaten sie immer nur in bester Absicht nutzen würden, von repressiven Regimen mal ganz abgesehen.

Relativ neblig als „competent authorities“ beschriebene Instanzen sollen nach dem Willen des Ministerrats Zugang zu den Inhalten der Kommunikation auf Messengerdiensten wie Whatsapp und Signal erhalten. Begründet wird das mit einer Erleichterung der Ermittlungstätigkeit bei „schwerer und/oder organisierter Kriminalität und Terrorismus“.

Der ORF deutet in seiner Berichterstattung an, dass es sich in diesem Fall um eine Ablenkung vom Versagen der Ermittlungsbehörden handeln könnte. Schließlich hätte der Attentäter von Wien auch ohne Zugang zu seiner verschlüsselten Kommunikation, lediglich bei Auswertung bereits bekannter Informationen, an seiner Tat gehindert werden können.

Es wäre tatsächlich nicht das erste Mal, dass unter dem Eindruck schwerer Verbrechen lange geplante Einschränkungen von Bürger*innenrechten mit Law-and-Order-Rhetorik durchgesetzt und sachliche Fehleranalysen einfach unterlassen würden.

Hier wird obrig­keitsstaatlich der digitale Rammbock ausgepackt

Der Ministerrat ist sich derweil des dialektischen Problems, Kryptografie sowohl zu begrüßen, als auch zu kriminalisieren, durchaus bewusst. So trägt die Beschlussvorlage den schönen Titel „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“. Der rhetorische Kniff die „Sicherheit durch Verschlüsselung“ als Wert zwar anzuerkennen, nur um diesen dann als nachrangig zu den Begehren von Polizei und Geheimdiensten zu behandeln, ist jedoch allzu billig.

Hier wird, anders als behauptet, keine „vorsichtige Balance“ gesucht, hier wird in obrigkeitsstaatlicher Tradition der digitale Rammbock ausgepackt, um bei Bedarf in die Privatsphäre der Bürger*innen einbrechen zu können. Ein Rammbock, der wie beschrieben dazu auch noch von technisch hinreichend fähigen Kriminellen genauso benutzt werden kann.

Jahre bringen Da­ten­schüt­zer*in­nen, Aktivist*innen und auch die Handvoll in der Sache informierte Politiker*innen nun schon damit zu, ein Bewusstsein dafür zu schaffen, wie wichtig und schützenswert private Daten sind.

Seit den Snowden-Enthül­lun­gen über die Massenüberwachung jeglicher digitalen Kommunikation steigt endlich das Angebot an nutze­r*in­nen­freundlichen, mit Verschlüsselung geschützten Anwendungen. Und der EU-Ministerrat will diese ideellen und materiellen Fortschritte nun ohne Diskussion mit einem Federstrich wieder einreißen?

Dabei ist klar, dass die Maßnahme nicht einmal ihren vorgeblichen Zweck, die Bekämpfung von Terror und schwerer Kriminalität, erfüllen wird. Nicht ganz zufällig lautet ein kluges Credo der zivilgesellschaftlichen Cryptowarriors schon lange: „Wird Verschlüsselung ungesetzlich, werden nur noch Gesetzlose Verschlüsselung haben.“

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • 07324 (Profil gelöscht)

    Gast

    In einem anderen Kommentar hatte ich schon den Link zum Automation Report geteilt.

    Um das hier in den Kontext zu setzen.

    Es sollen/werden Datenbanken mit Informationen aller Bürger:innen erstellt und da werden dann sogenannte Gefährder:innen Attribute hinterlegt.

    Das wird im Moment sicherlich noch sehr viel manuelle Zwischenschritte geben, aber man kann sicher sein, dass das nur ein Zwischenschritt zur automatischen und permanenten Auswertung aller Kommunikationen ist und somit erhält diese Datenbank eine Dynamik.

    Wer hier wegen Social Scoring nach China schauen mag und sich echauffiert, der braucht nur die eigene Haustüre aufmachen und mal seine "das wird schon alles seine Richtigkeit Brille" abnehmen.

    Dass diese News immer im Netzbereich zu finden sind, ist eben auch erbärmliche Nachrichtenbereitstellung.

    Hauptsache es wird der x-te Corona Artikel gepostet.

    Vielleicht solltet ihr mal versuchen, das Thema Überwachung der normalen Bevölkerung darzustellen.

    Denn es kapiert anscheinend niemand, vielleicht nicht mal ihr (von der TAZ).

  • Hans Wurst

    Es gibt eine Petition dazu, die dringend mehr Unterschriften braucht!

    www.change.org/p/c...sphäre-zu-bewahren

  • uvw

    Einige irren sich hier, dass staatl. Stellen keine Möglichkeit hätten, Crypto zu schwächen. Die NSA hat vorgemacht, wie das geht. Das geht bis zur Teilnahme in Gremien, die die Standards für bestimmte Verfahren festlegen, die dann eben doch nicht ganz so sicher sind wie behauptet. Man muss nur die Schwachstellen eines bestimmten Verfahrens kennen oder es gar so designen und das als einen der Standards durchbekommen.

    Darüber hinaus könnten App-Hersteller gezwungen werden, die Inhalte abzugreifen, bevor sie durch die Verschlüsselung gehen.

    Weiterhin gibt es seit langem (und dokumentiert) Backdoors in der Netzwerkhardware der großen US-Hersteller, zb Cisco und Juniper. Diese Firmen sind gesetzlich verpflichtet dazu. Ob die Geräte im Ausland eingesetzt werden und damit dort geltendes Recht gebrochen wird, spielt keine Rolle.

    Der Plan der EU lag seit langem in der Schublade, das Timing im Tumult der US-Wahl nicht zufällig und der Anschlag in Wien ist nur wie schon so oft ein Vorwand, unsere Grundrechte weiter zu beseitigen. Kriminelle betrifft die Maßnahme nicht.

    Der EU-Ministerrat bleibt weiterhin seiner antidemokratischen Tradition treu und bestätigt EU-Gegner. Nicht dass einzelne Staaten das besser handhaben, nur konnte man bisher noch den EuGH anrufen.

  • Bolzkopf

    Ja schau mal!

    Das sind dochmal blendende Aussichten.

    Damit werden Kriminelle und Terroristen ganz sicher dingsfest gemacht.

    Und den ganzen Verschlüselungstrojanern wird der Garaus gemacht.

    Weil ... verschlüsseln ist ja dann verboten .

    Aber mal im Ernst: Algorithmen die einen Generalsschlüssel zulassen sind inherit unsicherer als andere Algorithmen.

    Ergo wird die Sicherheit an sich geschwächt.

    Bei pgp / gpg allerdings läßt sich ein Generalsschlüssel sehr, sehr leicht einbauen.

  • Willi Müller alias Jupp Schmitz

    Orwell haben wir ja auch nur um 26 Jahre überlebt...

    • Saile

      @Willi Müller alias Jupp Schmitz ...36 Jahre, meinen Sie wohl?

  • 15797 (Profil gelöscht)

    Gast

    Man könnte ja auch den Menschen vorschreiben, wieder die Wohnungsschlüssel unter der Türmatte abzulegen, die Autos offen zu lassen und die PIN Codes direkt in Karten einzuprägen, dazu noch das mandatorische Einheitspasswort: 123.

    Und für solche Witze werden werden Milliarden Steuergelder verschwendet?

  • Grenzgänger

    ...was, wenn ich die Daten vor dem Versenden auf einem Endgerät ohne Internetzugang verschlüssle? Bin ich dann ein Terrorist?? Da muss ich mal Mitglied 1337 der Piratenpartei fragen, wenn seine fb-Party zu Ende ist...

    • BlackHeroe

      @Grenzgänger Nein dann noch nicht. Erst wenn dich Geheimdienst, Polizei oder ein Einzelner Polizist für einen Terroristen hält - nur dann Bist du ein Terrorist und wirst im Zweifel auch von allen so behandelt.

      FB-Partys kannst du doch einfach mit einem politischen Thema sprengen, dafür stehen sie doch im Netz. Handelt es sich nicht um eine solche, sollte man auch das Bewusstsein haben, diese nicht (halb) öffentlich ins Netz zu stellen.

  • kditd

    Es dürfte der EU unmöglich sein, in existierende, allgemein verfügbare und bekannte Algorithmen wie AES nachträglich irgendwelche Hintertüren einzubauen. Der beliebte AES-Algorithmus z.B. ist frei verfügbar, jeder Programmierer kann im Prinzip seine eigene Implementierung schreiben bzw. sein eigenes Verschlüsselungsprogramm, weil das Verfahren als solches kein Geheimnis ist (jeder kann einfach googlen wie das funktioniert). Das einzige Geheimnis an der Sache ist der Schlüssel., der nur Sender und Empfänger bekannt ist. Der Algorithmus selbst ist öffentlich.

    Ist aber ein Verfahren (Algorithmus) öffentlich bekannt und seit Jahren vielfach in Software implementiert, wie will man dann einen (geheimen!!) Generalschlüssel einbauen und die Leute zwingen, diese neue Version zu verwenden?

    Man müßte dann ja die vorhandene, normale, bekannte AES-Verschlüsselungstechnologie für illegal erklären und die Benutzung einer ganz bestimmten Black-Box-Verschlüsselungssoftware vorschreiben (z.B. "Ursula-Verschluesselung.exe"). Und so irre kann die EU nicht sein. Damit kommen die niemals durch. Das ist ein weltweiter De-facto-Standard. Da kann man nicht mal eben eine Ausnahme machen.

    Man kann auch einen Algorithmus, also eine mathematisch-technische Verfahrensweise (erst nehme ich 16 Bytes, dann tausche ich jedes mit einem Wert aus einer Tabelle aus, dann vermische ich die Zeilen, dann die Spalten, dann mache ich Exklusiv-ODER mit dem Schlüssel...), gar nicht für illegal erklären. Dann könnte man ja auch gleich den Satz des Pythagoras für illegal erklären.

    Solange AES nicht gebrochen ist, wird es der EU schwerfallen, den Leuten das wegzunehmen. Natürlich könnte man ein Gesetz erlassen, das in der EU befindlichen Webservern vorschreibt, mit Ursula-Verschluesselung.exe zu verschlüsseln statt mit TLS, AES usw, aber das wäre dann das Niveau von China. Wer hostet dann noch seine Cloud hier?

    Und einen Tag später wäre die erste Sicherheitslücke bekannt. Prost Mahlzeit...

    • 15797 (Profil gelöscht)

      Gast

      @kditd "Ursula-Verschluesselung.exe" Dateien? Nicht da, wo Admins sind.

      -= find /home/ -type f -name "*.exe" -exec rm -f {} \; =- und weg ist es

    • 04405 (Profil gelöscht)

      Gast

      @kditd Sie irren sich in einem wichtigen Punkt: Es wird nicht in der AES Verschlüsselung (oder der Chiffre die benutzt wird) eine Hintertür eingebaut, sondern der genutzte AES Schlüssel wird an die jeweiligen Leute versandt, die mitlesen wollen. Vermutlich wie SPONOR beschreibt so verschlüsselt, dass auch nur diese Leute den Schlüssel dann benutzen können.

      Andererseits haben Sie aber 100% ins Schwarze getroffen: Da die Initiative komplett öffentlich durchs Parlament geht, wird auch jeder der wirklich "geheimes" kommunizieren will das spätestens jetzt wissen. Und dann einfach seinerseits nochmal Botschaften vor dem versenden verschlüsseln oder gleich auf die gute alte PGP Mail Verschlüsselung zurückgreifen. Denn wie sie schon sagen, sichere Verschlüsselung gibt es weiterhin. Weswegen die ganze Begründung auch ins Leere greift, am Ende werden nur "arglose" Signal/WhatsApp/Wasweißich Nutzer komplett nackig durchs Netz gehen.

    • sponor

      @kditd So wie ich's verstanden habe, soll bei der anvisierten GCHQ-Lösung (ja, wir machen die EU-Sicherheit für die Brexiteers kaputt!) eher so eine Art "Key Escrow" betrieben werden: Die Anbieter werden gezwungen (falls sie legal in der EU Produkte anbieten wollen, Legalität ist Terroristen ja bekanntlich sehr wichtig), Nachrichten nicht nur mit den Schlüsseln der Teilnehmer zu chiffrieren, sondern auch mit einem "Staatsschlüssel" -- und womöglich auch noch direkt an die "competent authorities" mitzusenden.

      Da freuen die sich bestimmt, wenn sie bei Helene Fischer-Abfragen (kein Witz: www.fr.de/hessen/h...-zr-12875917.html) oder beim Verfassen von NSU 2.0-Mails gleich viel "kompetenter" sind.

      Ach übrigens: Der erste Crypto War wurde maßgeblich von einem gewissen Sen. Joe Biden initiiert. Nur falls da jemand Hoffnung auf amerikanische Befreier hegte...