Zu diesem Sachverhalt werden nachfolgend einige Grundlagen der Verschlüsselung und deren Abschwächung erläutert, Schwierigkeiten werden aufgezeigt und einige Reaktionen der Medien dargelegt.
Verschlüsselung – Grundlagen
Wir setzen im Alltag Verschlüsselung an allen möglichen Stellen ein. Beim Internet-Banking, für das Firmen-VPN oder auch bei WhatsApp oder Videokonferenzen. Dabei kommen in vielen Fällen symmetrische Verschlüsselungsverfahren zum Einsatz, bei denen Ver- und Entschlüsselung mit einem einzigen Schlüssel erfolgen. Zeichnet man den verschlüsselten Verkehr auf und gelangt in den Besitz des Schlüssels, kann man nachträglich die Daten entschlüsseln und Gespräche und andere vertrauliche Daten lesen.
Das Ziel einer guten Verschlüsselung ist es, diesen Schlüssel möglichst gut abzusichern. Bei einer zuverlässigen Ende-zu-Ende-Verschlüsselung bedeutet dies, dass nur die beiden Kommunikationspartner den Schlüssel erhalten und somit kein anderer die Daten entschlüsseln und lesen kann.
Das hilft nicht nur bei der Absicherung von Internet-Banking, sondern gestattet auch eine freie(re) Kommunikation zwischen Menschen in autoritären Staaten, ohne Repressalien befürchten zu müssen. Hier kann eine gute Verschlüsselung im Extremfall sogar Leben retten!
Allerdings ergeben sich auf der anderen Seite auch Herausforderungen – gerade was die Aufklärung von Straftaten anbelangt.
Das Dilemma der Sicherheitsbehörden
Kriminelle jeglicher Art, und besonders bei schweren und/oder terroristischen Straftaten, sind sich häufig über die Gefahren bei der Kommunikation im Klaren. Das wird in den Medien immer wieder diskutiert: Mobile Endgeräte, speziell Smartphones, sind meistens vollständig verschlüsselt und die Kommunikation erfolgt durchgehend per Ende-zu-Ende-Verschlüsselung abgesichert. Ein in den letzten Monaten immer wieder genanntes Beispiel: Telegram für die Kommunikation zwischen Rechtsextremen.
Damit haben die ermittelnden Behörden sowohl im Vorfeld als auch im Nachgang das Problem, dass eine genaue Analyse des Tathergangs oder der Vorbereitung sehr stark erschwert wird. Gelingt es nicht, in die Kommunikationskanäle eingebunden zu werden – hier kann man die sehr leidenschaftliche Diskussion um den Staatstrojaner anführen – hat man keine Chance, Details zu ermitteln.
Dadurch ist eine gute Ende-zu-Ende-Verschlüsselung für Sicherheitsbehörden leider eine enorme Herausforderung bei Ermittlungen.
Der Wunsch nach der Abschwächung
Um die Ermittlungen zu vereinfachen, wünschen sich diverse Sicherheitsbehörden eine Abschwächung oder eine „Hintertür“ bei verschlüsselten Diensten. Das Ganze trägt den Titel „Lawful Interception“, also das gesetzeskonforme Abfangen von Kommunikation. Wie wäre das zu realisieren?
Die einfachste Möglichkeit bestünde darin, Verschlüsselung zu verbieten. Hier hat sich in der Politik mittlerweile herumgesprochen, dass ein Abschaffen von Verschlüsselung, es allen möglichen Angreifern viel zu einfach macht. Von Internet-Betrügern bis hin zu staatlich finanzierten Hackergruppen würden sich alle Kriminellen sehr darüber freuen.
Daher besteht der Wunsch nach einer Verschlüsselung mit einem Zugriff nur für die Sicherheitsbehörden, die Zugriff benötigen. Das ist aber leider nicht (so einfach) möglich.
Die Herausforderung bei der Schwächung
Um eine Verschlüsselung für Sicherheitsbehörden zugänglich zu machen, gibt es nur wenige Möglichkeiten. Diejenigen, die in den meisten Fällen diskutiert werden, sind:
- Eine Verwaltung der Schlüssel durch den Dienstebetreiber. Dadurch ist die Verschlüsselung nicht mehr als „Ende-zu-Ende-Verschlüsselung“ zu bewerten, da neben den Kommunikationspartnern ein Dritter (in diesem Falle der Anbieter) im Besitz des Schlüssels ist. Werden dann alle Daten beim Anbieter oder von Sicherheitsbehörden mitgeschnitten, ist eine Entschlüsselung nach Weitergabe des Schlüssels möglich.
- Die Nutzung eines Generalschlüssels, mit dem die Daten entschlüsselt werden können. Es gibt Verfahren, mit denen dieser Schlüssel zusätzlich zum Entschlüsseln verwendet werden kann.
In beiden Fällen steht und fällt die Sicherheit mit der sicheren Handhabung dieser (neuen) Schlüssel. Gelangt ein Krimineller oder ein „feindlicher“ Geheimdienst in den Besitz dieser Schlüssel, ist die Verschlüsselung als hinfällig zu betrachten. Und die Vergangenheit hat mehrfach eindrücklich gezeigt, wie schnell selbst streng vertrauliche Daten an die Öffentlichkeit gelangen. Von den Daten, die Edward Snowden veröffentlicht hat bis hin zum Hauptschlüssel der High Definition Content Protection (HDCP) zeigt sich immer wieder, das „Security by Obscurity“ kein zuverlässiger Sicherheitsmechanismus ist.
Sollte eine solche Abschwächung in allen Geräten und Diensten verlangt werden, die Verschlüsselung einsetzen, würde das ebenfalls für VPN-Server und Storage-Verschlüsselung gelten müssen und damit unzählige Unternehmen treffen.
Die aktuelle Diskussion
Ungeachtet dieser Herausforderung hat sich auf EU-Ebene wieder der Wunsch gezeigt, genau solch eine Schwächung der Verschlüsselung zu ermöglichen oder sogar einzufordern. Dabei wird in einem aktuellen Entwurf vom 6. November nur sehr unscharf von gemeinsamen Bestrebungen der Behörden, Unternehmen und der Forschung gesprochen. Die oben genannten Schwächen, die unzählige Experten als Gegenargument anbringen, werden dabei außen vorgelassen und auf genau diese Kooperation verschiedener Akteure ausgelagert.
Was ebenfalls gerne verschwiegen oder vergessen wird: Meistens sind – zumindest bei terroristischen Anschlägen – die Täter längst bekannt und es sind vielmehr die jetzt schon zu große Datenmenge sowie der Personalmangel die Ursache, die eine Verhinderung eines Anschlags erschweren. Ob eine Möglichkeit zur Entschlüsselung der Kommunikation und die daraus resultierenden zusätzlichen Daten die Situation verbessern, ist vollkommen ungewiss.
Die Reaktion der einschlägigen Medien auf den Entwurf ist dabei recht unterschiedlich. Manche sehen in dem Entwurf genau das: Einen Entwurf, der noch keine Details enthält und an der Realität scheitern wird. Andere sehen darin schon den Angriff auf die sichere Verschlüsselung für alle EU-Bürger. Auch gibt es bereits Proteste gegen dieses Vorgehen.
Die Wahrheit liegt wahrscheinlich irgendwo zwischen diesen Extremen, eine Vorhersage traue ich mir in diesem Falle nicht zu.
Fazit
Mal wieder wird über den Einbau von Hintertüren in die Verschlüsselung für Sicherheitsbehörden diskutiert. Mal wieder werden dafür diverse schwere Straftaten aufgeführt und mal wieder wird die technische Unmöglichkeit einer sicheren, nur für Befugte zugänglichen Hintertür ignoriert. Wie es mit diesem Thema weitergehen wird, müssen wir leider abwarten.
Meine persönliche Meinung: Eine solche Hintertür schwächt die IT-Sicherheit aller. Ob man das in Kauf nehmen kann, will oder muss, das sollte jeder für sich selbst entscheiden.
