Die britische Außenministerin Amber Rudd hat kürzlich einige sehr problematische Äußerungen zum Thema Verschlüsselung getätigt. Rudd sieht Verschlüsselung, wie viele andere konservative Politikerinnen und Politiker, als Werkzeug von Terroristen und anderen Kriminellen an, das den Ermittlungsbehörden die Arbeit erschwert und somit die Sicherheit der Bevölkerung gefährdet. Die Ministerin ist außerdem der Ansicht, dass die meisten Nutzerinnen und Nutzer Verschlüsselung nicht für besonders wichtig halten. Daher, so ihr Tenor, dürfe diese ruhig zugunsten der Ermittlungsbehörden geschwächt werden.
Fördert Verschlüsselung den Terrorismus?
In einer Kolumne in der englischen Zeitung „The Telegraph“ stellt Amber Rudd einige kontroverse Thesen zum Thema Verschlüsselung auf. Die Terror-Angriffe der vergangenen Monate hätten gezeigt, so die Ministerin, dass „Terroristen Internet-Plattformen nutzen, um ihre verabscheuungswürdige Ideologie zu verbreiten und um ihre Gewaltakte anzuregen und zu planen“.
Schon hier vermischt die Ministerin einige verschiedene Sachverhalte – und stellt Zusammenhänge auf, die sich kaum mit Fakten belegen lassen. Es ist zweifellos richtig, dass sich im Internet – je nachdem, wo man schaut oder wonach man sucht – auch Terror-Propaganda findet. Das ist allerdings kein Problem, das durch Verschlüsselung verschärft wird, denn Propaganda, die vor Zugriffen durch Verschlüsselung geschützt ist, würde ihren Zweck massiv verfehlen.
Mehr Sinn ergibt die Behauptung, Terroristinnen und Terroristen würden das Internet und speziell verschlüsselte Kommunikationsdienste nutzen, um Anschläge zu planen. Allerdings hat die Untersuchung vergangener Terrorismus-Fälle gezeigt, dass dies durchaus seltener der Fall ist, als Rudd impliziert. Häufig greifen Terroristinnen und Terroristen vielmehr auf herkömmliche SMS und Telefongespräche, geführt von billigen Wegwerf-Handys mit Prepaid-SIM-Karten, oder ähnliche Kommunikationswege zurück. Und selbst, wenn verschlüsselte Internet-Kommunikationsdienste zur Anschlagsplanung verwendet werden, gibt es keinen Grund, anzunehmen, dass beim Wegfall dieser Dienste oder einer Schwächung der Verschlüsselung Terrorgruppen nicht ohne weiteres in der Lage wären, auf alternative Kommunikationsmittel auszuweichen.
Ministerin Rudd allerdings scheint überzeugt, dass die Existenz verschlüsselter Dienste, die durch die Ermittlungsbehörden nicht mitgelesen werden können, maßgeblich zur Gefährdung der inneren Sicherheit beiträgt. Zwar enthält Rudds Kolumne ein Lippenbekenntnis zur Verschlüsselung als Schutz vor Online-Bedrohungen. Gleichzeitig bezeichnet sie aber speziell mit einer Ende-zu-Ende-Verschlüsselung geschützte Dienste als „besondere Herausforderung“, da diese weder vom Provider noch von den Behörden mitgelesen werden können. Das macht deutlich, dass Rudd trotz ihrer vorherigen positiven Aussagen Verschlüsselung primär als Problem, als unkaontrollierbares Werkzeug, das die Kriminalitätsbekämpfung erschwert, ansieht.
Verschlüsselung schwächen – ja, nein, vielleicht?
Es folgt eine etwas abenteuerliche Argumentation der Ministerin. Sie schreibt: „Ich weiß, dass manche [Menschen] argumentieren werden, dass es unmöglich ist, beides zu haben – dass es, wenn ein System Ende-zu-Ende-verschlüsselt ist, unmöglich ist, jemals auf die Kommunikation zuzugreifen. Das mag in der Theorie wahr sein. Aber die Realität ist anders. Echte Menschen bevorzugen oft einfache Bedienbarkeit und viele Features gegenüber einer perfekten, unangreifbaren Sicherheit. Also geht es hierbei nicht darum, die Firmen zu bitten, die Verschlüsselung kaputt zu machen oder sogenannte Hintertüren (Back Doors) zu schaffen. Wer benutzt WhatsApp, weil es Ende-zu-Ende-verschlüsselt ist, und nicht, weil es eine unglaublich benutzerfreundliche, günstige Methode ist, mit Freunden und Familie in Kontakt zu bleiben? Unternehmen wägen ständig zwischen Sicherheit und Benutzerfreundlichkeit ab, und hier, so glauben unsere Experten, liegen Gelegenheiten.
Also gibt es Möglichkeiten. Aber diese verlangen erwachsene Gespräche zwischen den Technologie-Unternehmen und der Regierung – und diese Gespräche müssen vertraulich sein. Der wichtigste Punkt ist, dass es nicht darum geht, die Sicherheit großflächig zu kompromittieren. Es geht darum, zusammenzuarbeiten, so dass wir einen Weg finden können, wie unsere Sicherheitsbehörden, unter sehr spezifischen Bedingungen, mehr Informationen darüber bekommen, was Kriminelle und Terroristen online tun.“
Ganz klar wird nicht, was genau die Ministerin bezweckt. Technisch gesehen ist es nicht möglich, einen Zugriff auf eine (sauber implementierte und kryptographisch verlässliche) Ende-zu-Ende-Verschlüsselung zu bekommen, ohne eine Hintertür einzubauen. Womöglich meint Rudd, dass diese Lücke entsprechend selektiv eingebaut würde, so dass sie die Sicherheit nicht in großem Rahmen gefährdet. Das allerdings ist ein gefährlicher Trugschluss – früher oder später finden Informationen über dergleichen Sicherheitslücken meist ihren Weg auch in kriminelle Kreise, sei es durch Leaks, kriminelle Insider oder schlichtweg die Sicherheitsforschung der kriminellen Angreifer, die häufig über beachtliches technisches Know-How verfügen. Dieses Risiko machen die jüngsten, durch von der NSA absichtlich verschwiegene Windows-Sicherheitslücken ermöglichten Ransomware-Attacken eindrucksvoll deutlich.
Irgend etwas zwischen dumm und unmoralisch ist das Argument, die meisten Nutzerinnen und Nutzer seien ohnehin nicht an starker Verschlüsselung interessiert (nur am Rande sei erwähnt, dass hier wieder einmal der klischeebeladene, bequeme Scheingegensatz von Sicherheit und Benutzerfreundlichkeit als sich gegenseitig ausschließenden Qualitäten bedient wird, obwohl die Entwicklungen der letzten Jahre gezeigt haben, dass dies keineswegs der Fall sein muss.)
Es mag stimmen, dass viele Menschen sich über dieses Thema zu wenig Gedanken machen, wobei das Bewusstsein für IT-Sicherheit und Datenschutz seit den Snowden-Leaks deutlich zunimmt. Jedoch verdienen auch diese Nutzerinnen und Nutzer, dass ihre Privatsphäre respektiert und geschützt wird. Datenschutz darf kein Privileg einiger technisch versierter Nerds sein. Vielmehr liegt es in der Verantwortung der Diensteanbieter und Software-Entwickler, den Menschen, die ihrer Technologie vertrauen, einen angemessenen Sicherheitsstandard zu bieten.
Diesen nur vorzugaukeln, während man heimlich Hintertüren einbaut, wäre schlichtweg ein Verrat an der Nutzergemeinde. Hier, und keineswegs beim von Amber Rudd angeführten „Kampf gegen den Terror“, liegt die Verantwortung derjenigen, die unsere digitale Welt mit Hilfe ihrer Entscheidungen und technischen Fähigkeiten mit gestalten.
Übrigens ist mit an Sicherheit grenzender Wahrscheinlichkeit davon auszugehen, dass Terroristinnen und Terroristen im von Rudd beschriebenen Szenario zu der Minderheit gehören würden, denen die Sicherheit ihrer Kommunikationsmittel über alles geht. Sollten sie für die Anschlagsplanung auf verschlüsselte digitale Kommunikationsmittel zurückgreifen – was, wie bereits beschrieben, eher die Ausnahme als die Regel ist – wären sie zweifellos in der Lage, einen Dienst mit einer nicht kompromittierten Verschlüsselung auszuwählen.
Spätestens im Open-Source-Bereich, wo Hintertüren früher oder später auffallen würden, würden sie fündig – und wenn nicht, würde sich schlichtweg ein Schwarzmarkt für dergleichen Kommunikationsmittel entwickeln, wie es ihn bereits für Schadsoftware und allerhand andere illegale Waren und Dienstleistungen gibt. Somit wäre am Ende die Sicherheit der unbescholtenen Nutzerinnen und Nutzer geschwächt, ohne dass es die Kriminalitätsbekämpfung tatsächlich nennenswert voran bringt. Von Verhältnismäßigkeit kann bei einem solchen Szenario keine Rede sein.
Ergänzend sei angemerkt, dass die angeführten „streng begrenzten Einzelfälle“, in denen ein Zugriff auf verschlüsselte Kommunikation ermöglicht werden soll, erfahrungsgemäß die Tendenz haben, im Laufe der Zeit schrittweise immer weiter ausgeweitet zu werden. Invasive Sicherheitsmaßnahmen, die für Not- und Ausnahmefälle eingeführt werden, werden häufig schon nach wenigen Jahren auch für eher alltägliche Kriminalität und ohne ernst zu nehmende Kontrolle der Rechtmäßigkeit eingesetzt.
Ignorant und gefährlich
Angesichts der Faktenlage kann Amber Rudds Kolumne nur als technisch eher unbedarfter, dadurch aber keineswegs ungefährlicher Versuch, die Verschlüsselung (und damit eines der wichtigsten Werkzeuge gegen IT-Kriminalität, Überwachung und Zensur) zu schwächen, eingestuft werden. Aufgrund der vertraulichen Natur der Gespräche der britischen Regierung mit führenden Technologie-Unternehmen ist unbekannt, ob Rudds Ideen bei den Fachleuten auf Gegenliebe gestoßen sind. Es ist zu hoffen, dass sie die Abfuhr erhalten haben, die sie verdienen.
Image „Vorhängeschloss“ by brenkee (CC0 Public Domain)
Related Articles
Artikel per E-Mail verschicken
Schlagwörter: Amber Rudd, Ausnahmeregelung, Cyberkriminalität, Datenschutz, digital, Ende zu Ende Verschlüsselung, Gesetze, Großbritannien, Innenministerin, IT, IT-Sicherheit, kommunikation, parlament, Schutz, Terror, Terrorismus, Verantwortung, Verschlüsselung