Bundesminister Altmaier hatte erst im Herbst 2019 mit der Initiative GAIA-X dazu aufgerufen, eine Art europäische Cloud aufzubauen. Eine vernetzte Infrastruktur verschiedener Anbieter, offene Standards, strikte DSGVO-Konformität und vor allem „europäische Werte“ sollen Datensouveränität und selbstbestimmten Schutz der eigenen Daten gewährleisten. Keine vier Monate später kommt heraus, dass der Bundesnachrichtendienst (BND) zusammen mit dem US-amerikanischen Geheimdienst CIA spätestens seit 1970 heimlicher Eigentümer (!) der schweizerischen Firma Crypto AG waren. Crypto AG war seinerzeit Weltmarktführer bei Verschlüsselungsgeräten, und die beiden Geheimdienste haben ihre Stellung wohl dazu genutzt, Geräte so zu manipulieren, dass sie trotz Verschlüsselung Kommunikations- und Datenverkehr mitlesen konnten.
Jetzt ist es müßig, darüber zu spekulieren, ob den Herrschaften bewusst ist, welchen Bärendienst sie der deutschen und europäischen Wirtschaft und insbesondere IT-Unternehmen erwiesen haben. Aktuelle Stellungnahmen aus dem politischen Umfeld lassen eher das Gegenteil vermuten. Und ich verkneife mir auch eine Analogie zu den angeblich so bösen Huawei-Produkten. Wir müssen uns aber fragen, welche Lehren man daraus ziehen kann.
Der Fall hat zwei durchaus interessante Aspekte: Es wurden Hardware-Appliances manipuliert, und die verwendeten Algorithmen waren, dem Konzept „Security through obscurity“ folgend, nicht öffentlich.
Die Nutzung von Hardware zur Verschlüsselung war lange Zeit alternativlos. Das hat sich in Zeiten, wo ganze Netzwerkinfrastrukturen und riesige Datenspeicher mit Standardservern virtualisiert werden, geändert: Hardware-Appliances werden seltener. Ist das ein Vorteil? Ich meine ja. Manipulationen an Software lassen sich nämlich einfacher nachweisen als an Hardware – vorausgesetzt, man kennt die Software.
Und damit sind wir beim Kernpunkt: In solchen sensiblen Bereichen wie Verschlüsselung muss der verwendete Algorithmus und die benutzte Software offengelegt werden. Diese Forderung ist alternativlos und muss ohne Abstriche durchgesetzt werden. Das Vertrauen, dass auf unsere Daten in öffentlichen Clouds nur von uns autorisierte Personen zugreifen können und dass wir über öffentliche Netze unausgespäht kommunizieren können, ist die Grundlage unserer offenen Gesellschaft und jeder Wirtschaftsbeziehung. Dieses Vertrauen kann nur durch vollständige Transparenz hergestellt werden.
Last but not least: Ich habe viel Verständnis für den Wunsch nach öffentlicher Sicherheit und nach wirksamen Werkzeugen beim Kampf gegen Kriminalität und Terrorismus. Aber hierfür starke Verschlüsselungsalgorithmen zu verhindern oder gar zu unterlaufen, ist definitiv der falsche Weg.