Irgendwie reden immer alle über Verschlüsselung, aber kaum einer praktiziert sie. Jüngst veröffentlichte Heise Online beispielsweise eine Umfrage mit dem Ergebnis, dass nur 16 Prozent der Deutschen eine E-Mail-Verschlüsselung nutzen, obwohl sie diese für wichtig halten. Woher kommt diese Diskrepanz?
Nun, jeder von uns hat sicherlich das Bedürfnis nach vertraulicher Kommunikation, und geschützten Räumen, in die man sich zurückziehen und Gedanken und Empfindungen frei äußern kann. Oder vielleicht geht es einfach nur um das simple Ansinnen, vertrauliche Daten des Geschäftsverkehrs ohne die Kenntnisnahme von unbefugten Dritten durch den digitalen Raum zu übermitteln. Aber irgendwie bleibt es beim Thema Verschlüsselung zu oft bei bloßen Interessensbekundungen, oder pauschalen, in eine unbestimmte Zukunft aufgeschobenen Aussagen wie „da müsste ich mich eigentlich mal drum kümmern, stimmt“.
Verschlüsselung ist zu kompliziert für jedermann
Die Suche nach dem „warum“ dürfte hier meist zu einer simplen Antwort führen: Verschlüsselung ist einfach zu kompliziert für jedermann. Zwar gibt es frei erhältliche kryptografische Software – das beste Beispiel ist „GNU Privacy Guard“ (GnuPG), mit der sich Daten ver- und entschlüsseln und elektronische Signaturen zur eindeutigen Identifizierung im Netzverkehr generieren lassen, inklusive passender Plug-Ins für Mozilla Thunderbird oder Microsoft Outlook. Aber dennoch ist es für viele zu anstrengend, zu kompliziert, sich neben den Herausforderungen des Alltags noch in ein neues, weiteres, technisches Thema einzuarbeiten. Und wenn dann auch noch etwas nicht wie gewollt funktioniert, ist es aus mit der Verschlüsselung – obwohl die Umsetzung zumindest der Theorie nach gar nicht so schwierig ist.
Wir leben in einer Click-and-go-Gesellschaft, in der alles mit wenigen und einfachen Handgriffen funktionieren muss, ohne dass man groß darüber nachdenkt. Und damit bleibt zumindest die gängige E-Mail-Verschlüsselung dann doch letztlich wieder nur etwas für Nerds, Sicherheitsfanatiker oder die wirklich Hartgesottenen, die sich tatsächlich so lange mit dem Thema beschäftigen, bis es endlich läuft. Und für den Rest heißt es dann wieder zwangsläufig: Unverschlüsselte Kommunikation funktioniert ja im Ergebnis auch irgendwie – und wen interessieren am Ende schon meine Daten?
Sicherheitsbehörden nehmen Messenger ins Visier
Will man den jüngsten politischen
Bestrebungen des Bundesinnenministeriums (BMI) Glauben schenken, so interessieren sich der Theorie nach
mehr Personen – und auch Institutionen – für die eigenen Daten, als einem lieb
ist. So ist es nicht nur das Sinnbild des Hackers im dunklen Keller, der aus
Neugier oder Schadenfreude Daten abgreift, sondern immer mehr auch der Staat,
der sich die immer größer werdende Zahl digitaler Kommunikationsverbindungen
für Ermittlungszwecke zunutze machen will. Und da werden dann auch schnell
Forderungen laut, standardmäßig Backdoors in Messenger zu integrieren.
Und genau das ist das Verhängnisvolle an der aktuellen Debatte: Es geht tatsächlich einmal um verschlüsselte Kommunikationsverbindungen, die tatsächlich fast jeder nutzt. Eben auch, weil es einfach ist – quasi Sicherheit und Privacy „on the go“: Keine Generierung und Verwaltung von Schlüsselpaaren, kein „Web of Trust“ auf irgendwelchen Public-Key-Servern, sondern installieren, anmelden, und fertig. Instant-Verschlüsselung also wirklich für jedermann – Threema, Signal, Telegram oder mittlerweile auch WhatsApp regeln das schon für mich. Und dass diese Art von Verschlüsselung effektiver denn je ist, wird eben daran deutlich, dass Sicherheitsbehörden zunehmend die Befürchtung haben, die Kontrolle über die Kommunikation im digitalen Raum zu verlieren, der sich fast jeder, der einen Handyvertrag hat, bedient. Die Schaffung von Hintertüren für Messenger würde folglich nichts Anderes bedeuten, als jenes sichere Kommunikationsmedium, das sich gerade in der Breite der Bevölkerung etabliert hat, in erheblichen Teilen zu entwerten.
Gleichwohl darf die Verschlüsselung von Kommunikationsverbindungen nicht dazu führen, dass in Einzelfällen auch öffentliche, dem staatlichen Informationsinteresse dienende Zwecke des Gemeinwohls gefährdet werden. Wie bei so vielen Dingen ist auch hier das richtige Augenmaß gefragt, das die Suche nach Alternativen bedeutet. Und dabei geht es um dreierlei Dinge: Hinreichend eng gefasste gesetzliche Ermächtigungsgrundlagen, missbrauchssichere technische Verfahren, und eine transparente Kontrolle von staatlichen Überwachungsmaßnahmen.
Debatte wird zu oft emotional geführt
Und natürlich, allem voran geschaltet, die wichtigste Frage: Brauchen wir ein bestimmtes Ermittlungsinstrument oder diese konkrete Eingriffsmaßnahme überhaupt? Insider denken hier vielleicht an die Vorratsdatenspeicherung – einst totgeglaubt, ersteht sie immer wieder auf, obwohl ihre Effektivität nie zweifelsfrei nachgewiesen werden konnte. Zu oft wird die Debatte um Freiheit und Sicherheit rein emotional geführt – scheinbar zwingende staatliche Notwendigkeiten stehen unverrückbaren Bürgerrechtspositionen gegenüber.
Dabei sagt gerade auch die Verfassung, dass beide Interessen in einem angemessenen Ausgleich zu bringen sind. Denn es gibt keine Sicherheit ohne zu schützende Freiheit, genauso, wie es keine Freiheit ohne ein Mindestmaß an Sicherheit geben kann. Für das Thema Messengerverschlüsselung bedeutet dies: Es kann nicht darum gehen, durch Backdoors mittelbar letztlich die gesamte gesicherte Kommunikation eines jeden zu entwerten, denn wenn ich weiß, dass es technisch jederzeit für Dritte – egal ob Privater oder Staat – möglich ist, mitzulesen und mitzuhören, dann fehlen mir eben jener Freiraum und jene Sicherheit, die laut Umfragen so wichtig sind und deshalb gerade den Mehrwert einer verschlüsselten Kommunikation ausmachen.
Das Einbringen von Backdoors ist deshalb auch nicht aller Weisheit Schluss, sondern steht vielmehr sinnbildlich für den Anfang eines Diskurses, der zumindest zum gegenwärtigen Zeitpunkt gedanklich noch nicht zu Ende geführt wurde. Und wenn man mal ehrlich ist: Eigentlich geht es hier doch auch nicht wirklich um politische Fragen, sondern um die Entwicklung alternativer technisch-organisatorischer Verfahren, die es erlauben, Bürgerrechte und öffentliche Interessen jenseits von Backdoors in ebenjenen verfassungsrechtlich angemessenen Ausgleich zu bringen, der Maßstab und Voraussetzung eines jeden staatlichen Handelns ist. Zu oft wird dies in der Überwachungsgesetzgebung leider übersehen, und zu oft werden hier vornehmlich politische Diskussionen über Sachfragen geführt, die genau genommen eines gänzlich anderen Sachverstands bedürften.
Dr. Dennis-Kenji Kipker ist Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin und berät verschiedene öffentliche und private Einrichtungen in Datenschutz- und IT-Sicherheitsfragen. Ab dem Wintersemester 2019/2020 unterrichtet er „Data Protection & Ethics“ am Hasso-Plattner-Institut (HPI) in Potsdam.