Auf einer gestern in Brüssel stattgefundenen Sitzung der Sonderuntersuchung im Europäischen Parlament zur Massenüberwachung sprach der von der grünen Europafraktion vorgeschlagene Hamburger IT-Experte Christian Horchert – besser bekannt als „fukami“ – über die technischen Möglichkeiten des Datenschutzes. Mit freundlicher Genehmigung von fukami dürfen wir hier die ausführlichere schriftliche Version seiner Rede veröffentlichen.

Sehr geehrte Vize-Vorsitzende Frau In’t Veld!

Sehr geehrte Damen und Herren Abgeordnete des Europäischen Parlaments!

Zuerst einmal möchte ich mich für die Einladung zu dieser Anhörung bedanken und meine Hochachtung dafür aussprechen, dass Sie sich als einziges Parlament in Europa des Themas Überwachung und deren Einfluss auf Bürgerechte mit der gebührenden Intensität annehmen.

Privatsphäre und das Recht auf vertrauliche Kommunikation sind in der digitalen Welt schwerer zu schützen als in der analogen. Technik umfasst mittlerweile praktisch alle Lebensbereiche und braucht besondere Regeln. Der Schutz von Grundrechten in der digitalen Welt ist eng verknüpft mit Fragen der IT-Sicherheit. Da hier keine technische Fachdiskussion stattfindet, versuche ich, meine Punkte in einer für Technik-Laien verständlichen Form darzustellen.

Sicherheit im technischen Sinne herzustellen ist eine sehr komplexe Angelegenheit. Das liegt nicht nur daran, dass technische Zusammenhänge komplex sein können, sondern auch daran, dass es eine Menge verschiedener Akteure gibt, die für Sicherheit zuständig oder davon betroffen sind. Das meint nicht nur Betreiber von Diensten und Hersteller von Produkten, sondern auch Nutzer, die sich an mehr oder weniger deutliche und strenge Regeln halten müssen. In diesem Sinne hat der Nutzer von Technik immer einen Anteil an dem zu lösenden technischen Problem.

Ich werde hier nur auf einige wenige Aspekte näher eingehen können, die ganz direkt mit der Sicherung von Infrastruktur und Kommunikation zu tun haben. Denn selbst ein Thema wie Netzneutralität hat meines Erachtens einen Einfluss auf Sicherheit, der sich nicht sofort erschliesst, ebenso wie Datenschutzbestimmungen, die nicht zuletzt der Minimierung von Schäden dienen und nicht in erster Linie für Datensicherheit im eigentlichen Sinn sorgen. Grundsätzlich ist aber wichtig zu verstehen, dass technische Sicherheit überhaupt nur funktionieren kann, wenn keine Regelwerke geschaffen werden, die Unsicherheiten begünstigen oder herstellen. Denn auf politischer Ebene existiert im Kern nicht zuletzt auch das Problem, dass technische Unsicherheit teilweise ganz bewusst in Kauf genommen wird oder sogar gewollt ist, um z.B. Bedarfsträgern entsprechende Möglichkeiten zum Abhören zu geben.

An allererster Stelle steht momentan das Problem, dass wir nicht so genau wissen, was gezielt kaputt gemacht wurde, also welche Hintertüren Geheimdienste durch Hersteller haben einbauen lassen und welche Vertragspartner der Geheimdienste und ihrer Mitarbeiter diese Lücken oder das Wissen darum ausnutzen oder weitergeben. Und das passiert, seien Sie sich dessen gewiss.

Damit einher geht das unbedingte Recht, technische Unsicherheit offen thematisieren zu dürfen. Nur eine offene Diskussion birgt die Möglichkeiten, Probleme richtig einschätzen zu können und, noch viel wichtiger, damit in der richtigen Weise umzugehen. Einschränkungen wie Vendor-only Disclosure, also ausschließlich den Herstellern das Recht zuzugestehen, über die Unsicherheit ihrer Produkte zu reden, sind keine geeigneten Maßnahmen. Im Moment sehen wir Verfahren vor Gerichten, bei denen Unternehmen gegen genau diese Thematisierung von Unsicherheit in ihren Produkten vorzugehen versuchen. Aus Sicht eines Unternehmens mag das ein PR-Problem sein, aber aus Sicht der Zivilgesellschaft, zum Schutz kritischer Infrastruktur und privater Kommunikation ist es nötig, diese Fehler zu beheben – und das geht nur, wenn sie bekannt sind und verstanden werden. Dazu gehören übrigens auch Meldepflichten von Sicherheitsvorfällen bei Unternehmen und Behörden.

Bestürzend in diesem Zusammenhang ist besonders die Aussage der USA, dass sie Personen oder Gruppen als Kriegsgegner auffassen, die Unsicherheiten in der Infrastruktur zum Thema machen, die auch die USA betreffen – und das betrifft durch die Natur der eingesetzten Technik im Internet eine Menge ganz verschiedenartiger Technologien. Das sorgt in einem viel größeren Maß für Unsicherheit als alles andere, weil die, die das mit guten Absichten thematisieren, die Diskussion eher unterlassen werden und die, die die Probleme ausnutzen, sich ohnehin nicht darum scheren. Denn Unsicherheit verschwindet nicht, wenn man nicht darüber redet – eher im Gegenteil, wie die Vergangenheit schon oft gezeigt hat.

Der Zivilgesellschaft und Privatpersonen ist es vollkommen egal, ob sie von Organisierter Kriminalität, von Geheimdiensten oder Armeen angegriffen wird: Die Verteidigungsstrategien sind letztendlich exakt dieselben. Das heisst im Umkehrschluss, dass jede Angriffsmöglichkeit, die den Geheimdiensten zur Verfügung steht, auch von Kriminellen nutzbar ist. Das ist eine der einfachen Wahrheiten in der IT-Sicherheit.

Deshalb muss es ein explizites Verbot für Geheimdienste und Polizeien geben, gezielte Hintertüren und bewusste Sicherheitslücken in Technik einzubauen. Praktisch jede bewusste Lücke in Soft- und Hardware kann von organisierter Kriminalität, aber auch normalen Sicherheitsforschern gefunden werden und stellt somit immer ein großes Risiko dar. Es ist schon schwierig genug, mit versehentlichen Sicherheitsproblemen umzugehen. Zudem ist die Tragweite solcher Maßnahmen nicht vorauszusehen. Ein Beispiel, wenn auch in einem anderen Kontext, ist Stuxnet als Malware, die nicht nur das Ziel befallen hat, das ursprünglich ins Auge gefasst wurde, sondern auch andere.

Ein weiteres Problem ist die Einführung von vergleichsweise speziellen IT-Straftatbeständen wie z.B. dem sogenannten Hackertools-Verbot. Das ist gefährlicher Unsinn, denn diese Tools sind genau dieselben, die man zum Test von Technik benötigt. Insofern sind Hackertools Werkzeuge, mit denen Sicherheit hergestellt wird, selbst wenn es erst einmal so aussehen mag, als bewrikten sie das Gegenteil. Es erzeugt eher Unsicherheit, wenn man nicht genau weiss, ob man ein Werkzeug entwickeln, verbreiten und nutzen darf und sich damit womöglich strafbar macht, obwohl man keine böse Absicht damit verfolgt.

Sinnvolle Maßnahmen gehen aus meiner Sicht denn auch in ganz andere Richtungen. Hier eine kleine Auswahl an Beispielen:

Es sollten bessere Haftungsregelungen von Soft- und Hardware existieren. IT-Produkte werden hergestellt und verkauft und sind dann mit 2- oder 3-jährigen Haftungsregeln versehen, die teilweise zudem noch künstlich eingeschränkt werden. Das Problem ist aber nicht zuletzt, dass diese Technik wesentlich länger im Feld ist – oft bis zu 10 Jahren. Wenn es sich dabei nicht um offene Technik handelt, also Open Source Software oder offene Hardware, so wird es mit der Zeit immer schwieriger, vorhandene Fehler zu beheben. Die Entwicklung von Angriffs- und Verteidigungstechniken ändert sich zudem permanent, so dass Technik fortlaufend an die immer aktuellen Bedrohungsszenarien angepasst werden muss. Dabei geht es nicht um die Bestrafung von Fehlern in Software, denn Fehler können passieren und werden passieren. Es geht um Sanktionen dafür, dass bekannte Sicherheitsprobleme nicht behoben werden. Ein weiterer Aspekt könnte z.B. so aussehen, dass die entsprechende Technik offen gelegt werden muss und so zuverlässig gewährleistet ist, dass Fehler in Hard- und Software während des gesamten Produktlebensdauer behandelt werden können. Solche Maßnahmen könnten auch Source Escrow umfassen, also die Pflicht, Sourcecode und technische Spezifikationen bei Treuhändern oder staatlichen Stellen zu hinterlegen, um jederzeit, beispielsweise bei Pleite des verantwortlichen Unternehmens, Änderungen an Technik vornehmen zu können.

Es muss eine verpflichtende, starke Grundverschlüsselung von Kommunikationsdiensten auf Transportebene geben. Für die Verschlüsselung müssen öffentlich bekannte und untersuchbare Algorithmen eingesetzt werden – in der Kommunikation zwischen Menschen mit Hilfe technischer Hilfsmittel genauso wie in der Mensch-zu-Maschine-Kommunikation oder der Maschine-zu-Maschine-Kommunikation. Daneben müssen die eingesetzten Verfahren so gewählt werden, dass eine nachträgliche Entschlüsselung bei Kompromittierung nicht möglich ist. Ausserdem muss der richtige Umgang mit den zur Verschlüsselung nötigen Komponenten wie Zertifikaten und entsprechender Infrastruktur geregelt werden. Insofern muss z.B. auch bei der eIDAS-Verordnung sehr genau darauf geachtet werden, wie mit Sicherheitsproblemen bei den Trust Service Providern zu verfahren ist. Dabei gilt, dass es zu schneller und offener Kommunikation über vorhandene Probleme keine sinnvolle Alternative gibt, damit direkt oder indirekt Betroffene entsprechende Maßnahmen zur Absicherung ergreifen können.

Zu einer privatsphäre-schützenden Technik gehört außerdem das Recht auf anonyme Kommunikation – ganz so, wie es dieses Recht auch in der analogen Welt in der Entsprechung des Privatgespräches gibt. Dabei sollten auch für die digitale Geschäftswelt Kommunikationswege entwickelt werden, die anonyme, zumindest aber pseudonyme, Finanztransaktionen zulassen.

Technische Systeme sollen so konzipiert sein, dass sie entweder fehlertolerant und robust sind oder sich bei Bedarf entsprechend ändern lassen. Es soll nach Möglichkeit keine Technik eingesetzt werden, bei der Fehler nicht auftreten dürfen, denn dies führt oft zu unlösbaren Problemen.

Wenn es um die Steuerung von Flugzeugen, Energienetze oder medizinische Anwendungen geht, muss in Zukunft noch stärker auf Technik gesetzt werden, bei der eine technische Überprüfung überhaupt sinnvoll durchgeführt werden kann. Ein Weg ist, die Forschung in Richtung Software-Verifikation weiter zu verstärken. Dahinter steckt die Idee, Systeme zu entwickeln die mathematisch beweisbar sind und nur genau das tun was sie tun sollen.

Dazu gehört natürlich auch, dass die Zuverlässigkeit von Software generell besser werden muss. Ein ganz grundsätzliches Ziel sollte sein, technische Unsicherheit sehr viel teurer zu machen als technische Sicherheit. Im Moment ist das genau umgekehrt, denn es gibt momentan zu wenig Anreize und Verpflichtungen, sichere Systeme für Endkunden zu entwickeln.

Zusammenfassung

Als Beispiele für Massnahmen zur Verbesserung der technischen Sicherheit zum Schutz von Bürgern sollten:

• gezielte Unsicherheit und Hintertüren für Strafverfolger und Geheimdienste generell verboten werden,
• die Rechte zementiert werden, technische Unsicherheit öffentlich zu thematisieren sowie ohne Einschränkung Werkzeuge entwickeln zu dürfen, mit denen Unsicherheiten gezielt geprüft werden können,
• die Haftungsregeln im Umgang mit Unsicherheit verbessert werden,
• Verpflichtungen zur durchgehenden, starken Verschlüsselung von Kommunikation existieren,
• die Forschungsbestrebungen zur Verbesserung der Zuverlässigkeit technischer Systeme erhöht werden.

Ein Teil dieser Maßnahmen kann direkt legislativ beeinflusst werden, ein anderer Teil durch die Unterstützung von Forschung und Entwicklung an Universitäten und bei Unternehmen.

Vielen Dank für Ihre Aufmerksamkeit!

Christian Horchert

Chaos Computer Club (CCC) e.V., Germany

Digitale Gesellschaft e.V., Germany

Image (adapted) “fukami“ by boellstiftung (CC BY-SA 2.0)

Related Articles

Datenschutz EXPLAIN 28. Mrz 2024

Zero Trust Security – einfach erklärt

Datenschutz EXPLAIN WORK 6. Okt 2023

Was ist Ransomware und wie schützt man sich?

Datenschutz EXPLAIN 4. Apr 2023

Cybercrime, Kleinstunternehmer und Freelancer: So anfällig sind die wirtschaftlich Kleinsten wirklich