26.08.2016

Verschlüsselungsverbote sind unsinnig

Ein Gastbeitrag von Oliver Dehning, Hornetsecurity GmbH

Da sind wir wieder soweit: Trotz aller Beteuerungen aus dem Innenministerium, man wolle Verschlüsselung stärken, wird einmal mehr der Versuch unternommen, genau das Gegenteil zu tun. Der Grund laut Bundesinnenminister De Maizière: „Terroristen sind manchmal technologisch weiter als die Sicherheitsbehörden“.

Ein Scherz? Nein, das ist durchaus ernst gemeint. Terroristen bedienen sich zur Kommunikation offenbar moderner Messenger-Dienste und diese sind zunehmend so verschlüsselt, dass den Sicherheitsbehörden Zugriffe auf die Inhalte unmöglich sind. Die Betreiber der Dienste sehen sich angesichts der genutzten Ende-zu-Ende-Verschlüsselung außerstande, Behörden den Zugriff auf die übertragenen Daten zu ermöglichen. Ein Glück, möchte man sagen, denn der Sinn starker Ende-zu-Ende-Verschlüsselung liegt ja genau darin, dass Kommunikation und Daten von Benutzern so geschützt wird, dass selbst Betreiber der Dienste auf die Daten nicht zugreifen können.

 
Die Innenminister von Deutschland und Frankreich allerdings wollen das ändern: Kurznachrichtendienste sollen die Sicherheitsbehörden zukünftig bei ihren Ermittlungen unterstützen. Sie sollen zukünftig gezwungen werden können, Nachrichten ggf. auch zu entschlüsseln. Ohne die Verschlüsselung zu schwächen, wird das nicht gehen.
Würde die Verschlüsselung aber z.B. durch den Einbau von Hintertüren oder die Hinterlegung von Nachschlüsseln so geschwächt, dass Behörden der Zugriff auf Daten mögliche würde, hätte das ungewollte Konsequenzen:

  1. Technisch ja erklärtermaßen bewanderte Terroristen nutzen andere Wege um gesichert zu kommunizieren. Die Schwächung der Verschlüsselung würde also ihr eigentliches Ziel verfehlen, nämlich die Verfolgung von Terroristen und die Abwehr von Terrorakten durch Ausspähen von Kommunikation.
  2. Der Rest der Bevölkerung kann leichter abgehört werden – nicht nur von Sicherheitsbehörden, sondern insbesondere auch von den Betreibern der Dienste und allen, die – berechtigt oder unberechtigt – Zugriff auf deren Systeme haben.

 
Bei allen Verfahren, die Verschlüsselung schwächen, stellt sich nämlich die Frage, wie denn verhindert werden soll, dass Unberechtigte die Schwächung für ihre Zwecke nutzen. Ein Nachschlüssel müsste z.B. bei Behörden nicht nur eines Landes hinterlegt sein, sondern bei Behörden aller potentiell beteiligten Länder. Schon in Bezug auf Terrorabwehr wäre das problematisch – was ist z.B. mit den Ländern, die in Verdacht stehen, Terroristen zu unterstützen? Die Liste dieser Länder ist ziemlich lang – und von Land zu Land durchaus nicht einheitlich.
Diese und weitere Fragen sind unlösbar und das weiß man auch schon seit mindestens zwanzig Jahren. In den Neunziger Jahren wurde der Versuch, starke Verschlüsselung zu verbieten und nur schwache Verschlüsselung zuzulassen aus diesem Grund letztlich aufgegeben.

 
Warum dieser Unsinn auch nach Jahrzehnten immer wieder auch nur diskutiert wird, ist deshalb vollkommen unverständlich. Vielleicht liegt es ja an mangelndem Verständnis der technischen Hintergründe. Es ist deshalb eine gute Nachricht, dass unsere Sicherheitsbehörden verstärkt Mitarbeiter mit Kompetenzen im Bereich Cybersecurity anwerben. Der Bedarf ist offensichtlich