Verschlüsselung – Aber wer bekommt den Schlüssel?

In den USA gibt es derzeit eine neue Diskussion darüber, ob und wie den Ermittlungsbehörden der Zugriff auf verschlüsselte Geräte erlaubt werden soll. Obwohl diese Pläne technische Schutzmaßnahmen – etwa die Verteilung des Schlüssels auf mehrere Parteien – vorsehen, sind sie in technischer wie politischer Hinsicht fragwürdig. Wieder einmal wird Verschlüsselung nur als potentielles Hilfsmittel Krimineller gesehen statt als Mittel zur Demokratisierung sowie zum Schutz wichtiger Infrastrukturen und Geschäftsgeheimnisse.

Die aktuelle Debatte

Seit Monaten wird in den USA ein Thema hitzig, wenn auch größtenteils unter Ausschluss der Öffentlichkeit, diskutiert: sollten Technologie-Unternehmen verpflichtet sein, den Regierungsbehörden Zugriff auf verschlüsselte Daten, die beispielsweise auf Smartphones oder anderen Mobilgeräten hinterlegt sind, zu gewähren? Wenn ja, wie ist dies technisch umzusetzen, ohne auch die Sicherheit gesetzestreuer Nutzer zu kompromittieren?

Eine der vorgeschlagenen technischen Lösungen ist, zwar eine Hintertür einzubauen, den Schlüssel für diese aber zwischen verschiedenen Akteuren aufzuteilen, so dass das Risiko eines Missbrauchs minimiert wird. Die Washington Post bietet einen ausführlichen Überblick über die Debatte.

Technische Probleme und Hürden

Zwar sind die aktuellen Pläne technisch anspruchsvoller als der diskutierte „Key Escrow“ der 1990er-Jahre, bei dem schlichtweg eine Backdoor in sämtliche Software eingebaut und die Schlüssel beim FBI hinterlegt werden sollten. Dennoch weisen auch die heutigen Vorschläge in vieler Hinsicht die selben Schwächen auf wie die von Experten mit Recht bekämpften damaligen Vorstellungen der Ermittler.

Einerseits stellt sich natürlich die Frage nach der Umsetzbarkeit – kann man wirklich alle Firmen zum Einbau derartiger Hintertüren zwingen und wenn ja, wie wird dies technisch umgesetzt? Aber selbst wenn dieses Problem gelöst werden sollte, bleiben mehr Fragen als Antworten.

Das zweifellos größte Problem in diesem Kontext ist die Tatsache, dass jede eingebaute Hintertür auch eine potentielle Schwachstelle für unbefugte Zugriffe Dritter ist. Einmal im Quellcode, muss die Lücke von Kriminellen nur entdeckt und ausgenutzt werden. Dies ist in der Vergangenheit bereits passiert, beispielsweise bei einem Aufsehen erregenden Vorfall im Umfeld der olympischen Spiele in Griechenland im Jahr 2004. Damals wurde eine in Mobilfunk-Switches eingebaute Abhör-Schnittstelle missbraucht, um zahlreiche Regierungs-Angehörige illegal zu belauschen. Sicherheitsmaßnahmen wie die nun diskutierten können dieses Risiko zwar verringern, aber nie ganz ausschließen. Ein Programmierfehler, ein schwacher Verschlüsselungs-Algorithmus an der richtigen Stelle kann reichen, um das ganze Sicherheitskonzept auszuhebeln. Die einzige Schwachstelle, die sicher keinen Zugriff Krimineller (oder auch ausländischer Spione) ermöglicht, ist die, die gar nicht existiert.

Verschlüsselung – nicht primär für Kriminelle

Verschlüsselung ist ein Werkzeug. Sie kann zum Bösen dienen (beispielsweise zur Verschleierung von Anschlagsplänen). Auch und vor allem kann sie aber helfen, böse und kriminelle Akte zu verhindern. Sie rettet die Privatsphäre privater Personen vor dem überschießenden Überwachungswahn der Regierungsbehörden, schützt Dissidenten in autoritären Regimes, hilft bei der Bewahrung wichtiger Geschäftsgeheimnisse und erschwert Internet-Kriminellen ihr destruktives Tun. All das kann sie aber nur tun, wenn sie technisch sicher ist und die Nutzer ihr genug vertrauen, um sie konsequent anzuwenden. Beides würde durch den Einbau von Regierungs-Hintertüren massiv untergraben.

Die Ermittlungsbehörden müssen endlich aufhören, in Verschlüsselung und Sicherheitstools vor allem Hilfsmittel Krimineller zu sehen. Kriminelle benutzen beispielsweise auch Autos, um ihre Taten zu erleichtern. Dennoch käme niemand auf die Idee, diese zu verbieten oder ihre Nutzung massiv einzuschränken, weil alle sich einig sind, dass der Nutzen des individuellen Reisens, sei es privat oder kommerziell, die Risiken einer kriminellen Nutzung überwiegt. Ebenso ist es mit Verschlüsselung. Natürlich kann nicht ausgeschlossen werden, dass diese auch für kriminelle und böse Zwecke genutzt wird. Der Nutzen dieser Technologie überwiegt dieses Risiko jedoch bei Weitem und ist daher höher zu bewerten. Dass die Ermittlungsbehörden einen Kontrollverlust fürchten, ändert daran gar nichts. Zudem dürften die Fälle, in denen tatsächlich allein eine Verschlüsselung die Überführung Krimineller oder die Verhinderung von Straftaten verhindert, in der Praxis wahrscheinlich geringer sein, als derzeit suggeriert wird.

Die „vertrauenswürdige dritte Partei“

Last but not least ist die aktuelle Diskussion wieder einmal typisch für die Denkweise der Ermittlungsbehörden und Regierungen in den letzten Jahren. Die Pläne sehen vor, die Nutzer von Software zu entmündigen. Statt einen Schlüssel zu haben, den nur sie selbst kennen, sollen sie Autonomie abgeben, indem sie diesen Schlüssel einer „trusted third party“ in Form einer Behörde (oder mehrerer Behörden) übergeben. Das ergibt technisch gesehen wenig Sinn (eine solche „vertrauenswürdige dritte Partei“ ist eine Schwachstelle jedes Sicherheitskonzepts, da immer das Risiko besteht, dass diese sich als doch nicht so vertrauenswürdig herausstellt), ist aber typisch für die gesellschaftliche Tendenz der letzten Jahre. Jeder Bürger ist in dieser Denkweise ein potentieller Krimineller, jede Behörde dagegen per se vertrauenswürdig und in der Lage, mit unbegrenzt viel Macht verantwortlich umzugehen. Dass diese Rechnung nicht aufgeht, wissen wir spätestens seit Edward Snowden.

Wir brauchen starke Verschlüsselung

Sei es aus beruflichen Gründen, aus Sorge um unsere Privatsphäre oder aus Solidarität mit Aktivisten in undemokratischen Ländern – im 21. Jahrhundert brauchen wir eine starke Verschlüsselung als notwendiges Werkzeug. Sie ist im digitalen Zeitalter unverzichtbar. Jedem Vorstoß, uns dieses Werkzeug wegzunehmen, sollten wir daher entschlossen entgegen treten, auch wenn er in so scheinbar moderater und vernünftiger Weise daher kommt wie der aktuelle.


Image (adapted) „Schlüssel II“ by Susanne Winter (CC BY-SA 2.0)


Schlagwörter: , , , ,
Annika Kremer

Annika Kremer

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

More Posts - Website - Twitter - Facebook - Google Plus