piwik no script img

taz zahl ich

Verbot von Verschlüsselung in der EUDer Generalschlüssel

Seit digitale Sicherheit demokratisiert wurde, versuchen Behörden die Privatsphäre auszuhebeln. Der Anschlag von Wien bietet Gelegenheit.

Ein junger Mann hat seinen Rollkragenpullover über seinen Kopf gezogen und hat die Arme verschränkt
Rolli statt Hoodie: Private Kommunikation geht die Behörden nichts an Foto: Francesco Carta/getty images
Daniél Kretschmar
Von Daniél Kretschmar

Der Ministerrat der EU weiß eines ganz genau: „Verschlüsselung ist ein notwendiges Mittel, um Grundrechte und die digitale Sicherheit von Regierungen, Wirtschaft und Gesellschaft zu schützen.“ So heißt es zumindest am Beginn einer vom ORF veröffentlichten Beschlussvorlage, die bereits Anfang Dezember ohne weitere Diskussion von dem Gremium verabschiedet werden soll.

Einziger Zweck dieser Vorlage jedoch ist eine grundlegende Schwächung von Verschlüsselung, die einem Verbot der Technologie gleichkommt. Innerhalb weniger Tage nach Terroranschlägen in Frankreich und Österreich nutzen die Regierungen beider Länder die Gelegenheit, einen ganz alten Hasen zu servieren: den „Generalschlüssel“ für verschlüsselte Kommunikation.

Einerseits sei zwar „offensichtlich, dass alle Seiten von high performance Verschlüsselungstechnologie profitieren“, andererseits wären verschlüsselte Anwendungen aber nur allzu leicht für alle verfügbar.

Man meint, eine gewisse Unentschiedenheit in der Bewertung der Technologie zu spüren – eine Unentschiedenheit, die Polizeien und Geheimdienste weltweit seit mehreren Jahrzehnten quält. Sichere Verschlüsselung? Aber gewiss doch, nur soll sie nicht vor staatlich sanktioniertem Zugriff schützen.

Seit Mitte der 1990er Jahre mit der Entwicklung für alle frei verfügbarer Kryptografie wie der Mail-Verschlüsselung PGP digitale Sicherheit demokratisiert wurde, suchen Behörden global Zugriff auf geschützte Kommunikation. Spätestens seit der damals geführten ersten Runde der sogenannten Cryptowars erklären Netzaktivist*innen immer wieder, dass eine Verschlüsselung mit Hintertür eben keine Verschlüsselung ist.

Ablenken vom Versagen der Sicherheitsbehörden

Denn erstens ist die absichtlich eingebaute Sicherheitslücke nicht davor zu schützen, dass sie auch von Kriminellen entdeckt und genutzt wird. Und zweitens gibt es eben keine Garantie, dass selbst demokratisch verfasste Staaten sie immer nur in bester Absicht nutzen würden, von repressiven Regimen mal ganz abgesehen.

Relativ neblig als „competent authorities“ beschriebene Instanzen sollen nach dem Willen des Ministerrats Zugang zu den Inhalten der Kommunikation auf Messengerdiensten wie Whatsapp und Signal erhalten. Begründet wird das mit einer Erleichterung der Ermittlungstätigkeit bei „schwerer und/oder organisierter Kriminalität und Terrorismus“.

Der ORF deutet in seiner Berichterstattung an, dass es sich in diesem Fall um eine Ablenkung vom Versagen der Ermittlungsbehörden handeln könnte. Schließlich hätte der Attentäter von Wien auch ohne Zugang zu seiner verschlüsselten Kommunikation, lediglich bei Auswertung bereits bekannter Informationen, an seiner Tat gehindert werden können.

Es wäre tatsächlich nicht das erste Mal, dass unter dem Eindruck schwerer Verbrechen lange geplante Einschränkungen von Bürger*innenrechten mit Law-and-Order-Rhetorik durchgesetzt und sachliche Fehleranalysen einfach unterlassen würden.

Hier wird obrig­keitsstaatlich der digitale Rammbock ausgepackt

Der Ministerrat ist sich derweil des dialektischen Problems, Kryptografie sowohl zu begrüßen, als auch zu kriminalisieren, durchaus bewusst. So trägt die Beschlussvorlage den schönen Titel „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“. Der rhetorische Kniff die „Sicherheit durch Verschlüsselung“ als Wert zwar anzuerkennen, nur um diesen dann als nachrangig zu den Begehren von Polizei und Geheimdiensten zu behandeln, ist jedoch allzu billig.

Hier wird, anders als behauptet, keine „vorsichtige Balance“ gesucht, hier wird in obrigkeitsstaatlicher Tradition der digitale Rammbock ausgepackt, um bei Bedarf in die Privatsphäre der Bürger*innen einbrechen zu können. Ein Rammbock, der wie beschrieben dazu auch noch von technisch hinreichend fähigen Kriminellen genauso benutzt werden kann.

Jahre bringen Da­ten­schüt­zer*in­nen, Aktivist*innen und auch die Handvoll in der Sache informierte Politiker*innen nun schon damit zu, ein Bewusstsein dafür zu schaffen, wie wichtig und schützenswert private Daten sind.

Seit den Snowden-Enthül­lun­gen über die Massenüberwachung jeglicher digitalen Kommunikation steigt endlich das Angebot an nutze­r*in­nen­freundlichen, mit Verschlüsselung geschützten Anwendungen. Und der EU-Ministerrat will diese ideellen und materiellen Fortschritte nun ohne Diskussion mit einem Federstrich wieder einreißen?

Dabei ist klar, dass die Maßnahme nicht einmal ihren vorgeblichen Zweck, die Bekämpfung von Terror und schwerer Kriminalität, erfüllen wird. Nicht ganz zufällig lautet ein kluges Credo der zivilgesellschaftlichen Cryptowarriors schon lange: „Wird Verschlüsselung ungesetzlich, werden nur noch Gesetzlose Verschlüsselung haben.“

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Überwachung #Europäische Union #Verschlüsselung #Edward Snowden #WhatsApp
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Laptop-Benutzerin blickt auf ein WhatsApp-Symbol, das sich in ihrer Brille spiegelt

Neue Nutzungsbedingungen

Eigentor für WhatsApp

Der Messengerdienst will Daten mit Facebook austauschen. Viele User:innen wechseln offenbar zur Konkurrenz. In der EU schützt sie die DSGVO.
Von Maxie Römhild
Zwei Frauen halten Smartphones in den Händen und schreiben eine Nachricht.

Pläne der EU-Staaten

Angriff auf Verschlüsselung

Die EU plant, die Verschlüsselung von Messenger-Diensten auszuhebeln, wie ein geleaktes Dokument zeigt. Bürgerrechtler:innen protestieren.
Von Svenja Bergt
Edward Snowden mit Bart in einem Interview mit dem NDR

US-Whistleblower in Moskau

Russischer Pass für Snowden

Der Whistleblower und seine Frau wollen vorerst in Russland bleiben. Für Putin wäre das ein Propagandaerfolg, für die USA ein Armutszeugnis.
Von Denis Giessler

10 Ausgaben für 10 Euro

Die Wochenzeitung mit taz-Blick

Unsere wochentaz bietet jeden Samstag Journalismus, der es nicht allen recht macht und Stimmen, die man woanders nicht hört. Jetzt zehn Wochen lang kennenlernen.
Jetzt bestellen

14 Kommentare

 / 
  • 0G
    07324 (Profil gelöscht)

    In einem anderen Kommentar hatte ich schon den Link zum Automation Report geteilt.

    Um das hier in den Kontext zu setzen.

    Es sollen/werden Datenbanken mit Informationen aller Bürger:innen erstellt und da werden dann sogenannte Gefährder:innen Attribute hinterlegt.

    Das wird im Moment sicherlich noch sehr viel manuelle Zwischenschritte geben, aber man kann sicher sein, dass das nur ein Zwischenschritt zur automatischen und permanenten Auswertung aller Kommunikationen ist und somit erhält diese Datenbank eine Dynamik.

    Wer hier wegen Social Scoring nach China schauen mag und sich echauffiert, der braucht nur die eigene Haustüre aufmachen und mal seine "das wird schon alles seine Richtigkeit Brille" abnehmen.

    Dass diese News immer im Netzbereich zu finden sind, ist eben auch erbärmliche Nachrichtenbereitstellung.

    Hauptsache es wird der x-te Corona Artikel gepostet.

    Vielleicht solltet ihr mal versuchen, das Thema Überwachung der normalen Bevölkerung darzustellen.

    Denn es kapiert anscheinend niemand, vielleicht nicht mal ihr (von der TAZ).

  • HW

    Es gibt eine Petition dazu, die dringend mehr Unterschriften braucht!

    www.change.org/p/c...sphäre-zu-bewahren

  • U

    Einige irren sich hier, dass staatl. Stellen keine Möglichkeit hätten, Crypto zu schwächen. Die NSA hat vorgemacht, wie das geht. Das geht bis zur Teilnahme in Gremien, die die Standards für bestimmte Verfahren festlegen, die dann eben doch nicht ganz so sicher sind wie behauptet. Man muss nur die Schwachstellen eines bestimmten Verfahrens kennen oder es gar so designen und das als einen der Standards durchbekommen.

    Darüber hinaus könnten App-Hersteller gezwungen werden, die Inhalte abzugreifen, bevor sie durch die Verschlüsselung gehen.

    Weiterhin gibt es seit langem (und dokumentiert) Backdoors in der Netzwerkhardware der großen US-Hersteller, zb Cisco und Juniper. Diese Firmen sind gesetzlich verpflichtet dazu. Ob die Geräte im Ausland eingesetzt werden und damit dort geltendes Recht gebrochen wird, spielt keine Rolle.

    Der Plan der EU lag seit langem in der Schublade, das Timing im Tumult der US-Wahl nicht zufällig und der Anschlag in Wien ist nur wie schon so oft ein Vorwand, unsere Grundrechte weiter zu beseitigen. Kriminelle betrifft die Maßnahme nicht.

    Der EU-Ministerrat bleibt weiterhin seiner antidemokratischen Tradition treu und bestätigt EU-Gegner. Nicht dass einzelne Staaten das besser handhaben, nur konnte man bisher noch den EuGH anrufen.

  •

    Ja schau mal!



    Das sind dochmal blendende Aussichten.

    Damit werden Kriminelle und Terroristen ganz sicher dingsfest gemacht.

    Und den ganzen Verschlüselungstrojanern wird der Garaus gemacht.



    Weil ... verschlüsseln ist ja dann verboten .

    Aber mal im Ernst: Algorithmen die einen Generalsschlüssel zulassen sind inherit unsicherer als andere Algorithmen.



    Ergo wird die Sicherheit an sich geschwächt.



    Bei pgp / gpg allerdings läßt sich ein Generalsschlüssel sehr, sehr leicht einbauen.

  •

    Orwell haben wir ja auch nur um 26 Jahre überlebt...

    • S
      @Willi Müller alias Jupp Schmitz:

      ...36 Jahre, meinen Sie wohl?

  • 1G
    15797 (Profil gelöscht)

    Man könnte ja auch den Menschen vorschreiben, wieder die Wohnungsschlüssel unter der Türmatte abzulegen, die Autos offen zu lassen und die PIN Codes direkt in Karten einzuprägen, dazu noch das mandatorische Einheitspasswort: 123.



    Und für solche Witze werden werden Milliarden Steuergelder verschwendet?

  • G

    ...was, wenn ich die Daten vor dem Versenden auf einem Endgerät ohne Internetzugang verschlüssle? Bin ich dann ein Terrorist?? Da muss ich mal Mitglied 1337 der Piratenpartei fragen, wenn seine fb-Party zu Ende ist...

    •
      @Grenzgänger:

      Nein dann noch nicht. Erst wenn dich Geheimdienst, Polizei oder ein Einzelner Polizist für einen Terroristen hält - nur dann Bist du ein Terrorist und wirst im Zweifel auch von allen so behandelt.

      FB-Partys kannst du doch einfach mit einem politischen Thema sprengen, dafür stehen sie doch im Netz. Handelt es sich nicht um eine solche, sollte man auch das Bewusstsein haben, diese nicht (halb) öffentlich ins Netz zu stellen.

  • K

    Es dürfte der EU unmöglich sein, in existierende, allgemein verfügbare und bekannte Algorithmen wie AES nachträglich irgendwelche Hintertüren einzubauen. Der beliebte AES-Algorithmus z.B. ist frei verfügbar, jeder Programmierer kann im Prinzip seine eigene Implementierung schreiben bzw. sein eigenes Verschlüsselungsprogramm, weil das Verfahren als solches kein Geheimnis ist (jeder kann einfach googlen wie das funktioniert). Das einzige Geheimnis an der Sache ist der Schlüssel., der nur Sender und Empfänger bekannt ist. Der Algorithmus selbst ist öffentlich.

    Ist aber ein Verfahren (Algorithmus) öffentlich bekannt und seit Jahren vielfach in Software implementiert, wie will man dann einen (geheimen!!) Generalschlüssel einbauen und die Leute zwingen, diese neue Version zu verwenden?

    Man müßte dann ja die vorhandene, normale, bekannte AES-Verschlüsselungstechnologie für illegal erklären und die Benutzung einer ganz bestimmten Black-Box-Verschlüsselungssoftware vorschreiben (z.B. "Ursula-Verschluesselung.exe"). Und so irre kann die EU nicht sein. Damit kommen die niemals durch. Das ist ein weltweiter De-facto-Standard. Da kann man nicht mal eben eine Ausnahme machen.

    Man kann auch einen Algorithmus, also eine mathematisch-technische Verfahrensweise (erst nehme ich 16 Bytes, dann tausche ich jedes mit einem Wert aus einer Tabelle aus, dann vermische ich die Zeilen, dann die Spalten, dann mache ich Exklusiv-ODER mit dem Schlüssel...), gar nicht für illegal erklären. Dann könnte man ja auch gleich den Satz des Pythagoras für illegal erklären.

    Solange AES nicht gebrochen ist, wird es der EU schwerfallen, den Leuten das wegzunehmen. Natürlich könnte man ein Gesetz erlassen, das in der EU befindlichen Webservern vorschreibt, mit Ursula-Verschluesselung.exe zu verschlüsseln statt mit TLS, AES usw, aber das wäre dann das Niveau von China. Wer hostet dann noch seine Cloud hier?

    Und einen Tag später wäre die erste Sicherheitslücke bekannt. Prost Mahlzeit...

    • 1G
      15797 (Profil gelöscht)
      @kditd:

      "Ursula-Verschluesselung.exe" Dateien? Nicht da, wo Admins sind.



      -= find /home/ -type f -name "*.exe" -exec rm -f {} \; =- und weg ist es

    • 0G
      04405 (Profil gelöscht)
      @kditd:

      Sie irren sich in einem wichtigen Punkt: Es wird nicht in der AES Verschlüsselung (oder der Chiffre die benutzt wird) eine Hintertür eingebaut, sondern der genutzte AES Schlüssel wird an die jeweiligen Leute versandt, die mitlesen wollen. Vermutlich wie SPONOR beschreibt so verschlüsselt, dass auch nur diese Leute den Schlüssel dann benutzen können.

      Andererseits haben Sie aber 100% ins Schwarze getroffen: Da die Initiative komplett öffentlich durchs Parlament geht, wird auch jeder der wirklich "geheimes" kommunizieren will das spätestens jetzt wissen. Und dann einfach seinerseits nochmal Botschaften vor dem versenden verschlüsseln oder gleich auf die gute alte PGP Mail Verschlüsselung zurückgreifen. Denn wie sie schon sagen, sichere Verschlüsselung gibt es weiterhin. Weswegen die ganze Begründung auch ins Leere greift, am Ende werden nur "arglose" Signal/WhatsApp/Wasweißich Nutzer komplett nackig durchs Netz gehen.

    • S
      @kditd:

      So wie ich's verstanden habe, soll bei der anvisierten GCHQ-Lösung (ja, wir machen die EU-Sicherheit für die Brexiteers kaputt!) eher so eine Art "Key Escrow" betrieben werden: Die Anbieter werden gezwungen (falls sie legal in der EU Produkte anbieten wollen, Legalität ist Terroristen ja bekanntlich sehr wichtig), Nachrichten nicht nur mit den Schlüsseln der Teilnehmer zu chiffrieren, sondern auch mit einem "Staatsschlüssel" -- und womöglich auch noch direkt an die "competent authorities" mitzusenden.

      Da freuen die sich bestimmt, wenn sie bei Helene Fischer-Abfragen (kein Witz: www.fr.de/hessen/h...-zr-12875917.html) oder beim Verfassen von NSU 2.0-Mails gleich viel "kompetenter" sind.

      Ach übrigens: Der erste Crypto War wurde maßgeblich von einem gewissen Sen. Joe Biden initiiert. Nur falls da jemand Hoffnung auf amerikanische Befreier hegte...

meistkommentiert

1

Debatte um Termin für Bundestagswahl

Vor März wird das nichts

2

Bewertung aus dem Bundesinnenministerium

Auch Hamas-Dreiecke nun verboten

3

SPD nach Ampel-Aus

It’s soziale Sicherheit, stupid

4

Einigung zwischen Union und SPD

Vorgezogene Neuwahlen am 23. Februar

5

Wirbel um Berichterstattung in Amsterdam

Medien zeigen falsches Hetz-Video

6

Energiepläne der Union

Der die Windräder abbauen will