Die Debatte um Verschlüsselung geht bis in
die 90er Jahre zurück und firmiert international unter dem Titel „Crypto Wars“.
Heute eher als „War on Cryptography“ zu lesen, geht es im Kern darum, ob für
den Zugriff durch Sicherheitsbehörden Ende-zu-Ende-Verschlüsselung
technisch oder regulatorisch geschwächt werden sollte oder nicht.
Dieser Policy-Diskurs ist vermutlich einer der Ältesten der deutschen Cybersicherheitspolitik. Diese Entwicklung wird auch international verfolgt. So veröffentlichte die Denkfabrik Carnegie Endowment for International Peace einen Überblick zur deutschen Verschlüsselungspolitik in zwei Teilen (Teil 1 und Teil 2). Das unterstreicht, dass eine verschlüsselungsfördernde Policy in diesem Bereich wichtig ist, denn nur mit sicher implementierter starker Ende-zu-Ende Verschlüsselung können Menschenrechte gewahrt und vertrauliche Unternehmensdaten geschützt werden. Dabei geht es insbesondere darum, Inhalte vertraulich zu halten und Geschäftsgeheimnisse und persönliche Daten zu schützen. Es geht aber auch um die Verifizierung von Absendern, um so Betrugsversuche zu unterbinden – Stichwort „CEO-Fraud“.
Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung
Eines der bis heute prägendsten Policy-Dokumente der deutschen Verschlüsselungspolitik ist der Kabinettsbeschluss der Deutschen Bundesregierung zu den „Eckpunkte[n] der deutschen Kryptopolitik“ vom 2. Juni 1999. Hierin heißt es unter anderem: „Die Bundesregierung wird [...] die Verbreitung sicherer Verschlüsselung in Deutschland aktiv unterstützen“. Gleichzeitig wird jedoch auch die Handlungsfähigkeit der Sicherheitsbehörden adressiert, weshalb es weiter heißt: „Durch die Verbreitung starker Verschlüsselungsverfahren dürfen die gesetzlichen Befugnisse der Strafverfolgungs- und Sicherheitsbehörden zur Telekommunikationsüberwachung nicht ausgehöhlt werden“. Verkürzt wird die Kernidee dieser Eckpunkte oft mit „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ wiedergegeben. Das Vermeiden von Regulierung beim Einsatz von Ende-zu-Ende-Verschlüsselung bei gleichzeitigem Einsatz von Überwachungssoftware durch deutsche Sicherheitsbehörden im Rahmen von Quellen-Telekommunikationsüberwachung und Online-Durchsuchungen wurde so zum Standardvorgehen.
Verschlüsselungs-Standort Nr. 1
Gute fünfzehn Jahre nach den Eckpunkten der deutschen Kryptopolitik griff die Bundesregierung mit der Digitalen Agenda 2014-2017 das Thema Verschlüsselung wieder an prominenter Stelle auf. In dem Policy-Dokument heißt es: „Wir wollen Verschlüsselungs-Standort Nr. 1 auf der Welt werden. Dazu soll die Verschlüsselung von privater Kommunikation in der Breite zum Standard werden. Die Anwendung von Sicherheitstechnologien wie De-Mail bauen wir aus.“ Wahrscheinlich ist Deutschland bis heute nicht Verschlüsselungs-Standort Nr. 1 auf der Welt und De-Mail mit heruntergerechneten Kosten von 1083,- Euro pro versandter Email (Background Digitalisierung berichtete) sicherlich keine Erfolgsgeschichte. Zur Erreichung des Ziels „Verschlüsselungs-Standort Nr. 1 auf der Welt“ wurde im Rahmen des nationalen IT-Gipfels 2015 die Krypto-Charta beschlossen und von verschiedenen Akteuren unterzeichnet. In ihr hieß es unter anderem: „Wir setzen auf anerkannte nationale oder internationale anerkannte Sicherheitsstandards und Vorgaben [...], die dem aktuellen Stand der Technik entsprechen“. Anscheinend wurde die unter Innenminister Thomas de Maizière (CDU) initiierte Charta jedoch am Ende der Amtszeit von Innenminister Horst Seehofer (CSU) beerdigt, zumindest aber soweit herunter priorisiert, dass offensichtlich noch nicht einmal mehr Geld für eine Webseite zu dem Projekt, das der Öffentlichkeit dieses Vorgaben erklären würde, übrig geblieben ist.
Von Hintertüren, Vordertüren und Schnittstellen
Im Rahmen der Konferenz der Innenminister:innen 2019 wurde dann die künftige Strategie im Umgang mit Verschlüsselung bekannt: die Innenminister:innen diskutierten nun doch über rechtmäßigen Zugang – wahlweise wird von „Hintertüren“, „Vordertüren“ oder „Schnittstellen“ gesprochen – zu Inhalten von Ende-zu-Ende verschlüsselten Messengern wie WhatsApp. Dieses Vorhaben brachte den Innenminister:innen breite Kritik aus Wirtschaft, Wissenschaft, Gesellschaft, Opposition und sogar einer Regierungspartei selbst ein. In einem offenen Brief wandten sich die Unterzeichner:innen, zu denen auch die aktuelle SPD-Parteivorsitzende Saskia Esken gehörte, an das zuständige Bundesinnenministerium und erläuterten die Problematik des Vorhabens. Innenpolitisch wurde es daraufhin etwas ruhiger um das Thema.
„Lawful Access“ wird auch auf EU-Ebene diskutiert
Ende 2020 brachte die Bundesregierung im Rahmen ihrer EU-Ratspräsidentschaft einen Entschluss zu „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ ein und durch. Hierin wird gefordert „die Befugnisse der zuständigen Behörden im Bereich Sicherheit und Strafjustiz durch rechtmäßigen Zugang zu wahren“. Entsprechende „technische und operative Lösungen“ sollen „in enger Abstimmung mit den Diensteanbietern, anderen einschlägigen Interessenträgern und allen einschlägigen zuständigen Behörden“ entwickelt werden. Rechtlich eingefasst werden soll dies im Rahmen des Nachfolgers der Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie). Dort heißt es im Entwurf von Kommission und Rat in Recital 54: „The use of end-to-end encryption should be reconciled with the Member State’ powers to ensure the protection of their essential security interests and public security, and to permit the investigation, detection and prosecution of criminal offences in compliance with Union law. Solutions for lawful access to information in end-to-end encrypted communications should maintain the effectiveness of encryption in protecting privacy and security of communications, while providing an effective response to crime“. Das Europäische Parlament hält bisher jedoch noch dagegen und schlägt im Rahmen der Trilog-Verhandlungen eine Änderung an dem Recital vor.
Rechtmäßiger Zugang zu Inhalten aus verschlüsselter Kommunikation
In der Cybersicherheitsstrategie 2021 für Deutschland hat die zu dem Zeitpunkt der Verabschiedung bereits scheidende Bundesregierung dieses Vorgehen auf EU-Ebene bekräftigt. Hier heißt es unter anderem als Kriterium für erreichte Ziele: „Technische und operative Lösungen für den rechtmäßigen Zugang zu Inhalten aus verschlüsselter Kommunikation sind in enger Abstimmung mit allen betroffenen Unternehmen, Interessenträgern und zuständigen Behörden auf europäischer Ebene entwickelt.“
Wie die Umsetzung konkret aussehen soll, hat der Branchenverband der deutschen Informations- und Telekommunikationsbranche (Bitkom) in einem fragwürdigen Positionspapier 2020 beschrieben: „Der Blick muss also in Richtung des standardisierten Schnittstellenmanagements gehen. [...] Der Staat ist aufgerufen, sich neben den bereits eingebundenen Netzbetreibern und Systemlieferanten noch aktiver in den Standardisierungsgremien einzubringen, um benötigte sichere Schnittstellen-Definitionen mitzugestalten.“
Im Klartext bedeutet dies, dass Deutschland über Bande – die EU-Ebene – aus Ende-zu-Ende-Verschlüsselung eine Ende-zu-Abhörschnittstelle-zu-Ende-Verschlüsselung machen möchte.
Sichere Abhörschnittstellen nur für die Guten sind unmöglich
Zu den zahlreichen Nachteilen, die sich aus diesem Vorhaben ergeben, gehört die unnötige Gefährdung der IT- und Cybersicherheit der entsprechenden Lösungen und Dienstleistungen durch gesteigerte Komplexität und Organisationsanforderungen, als auch der vereinfachte Zugriff auf Daten von Menschenrechtsaktivist:innen, Journalist:innen, Rechtsanwält:innen und Oppositionellen durch autoritäre Staaten. Denn es ist ein Trugschluss, dass bei Verschlüsselung mit eingebauten Abhörschnittstellen nur die „guten, demokratischen Staaten“ mit starken Rechtssystem Zugriff auf entsprechende Daten erlangen. Und selbst in diesen Staaten missbrauchen Sicherheitsbehörden ihren Zugriff, wie zum Beispiel unlängst der rechtswidrige Zugriff der Mainzer-Polizei auf Daten der Luca-App zeigt.
EU-Recht bricht Recht auf Verschlüsselung
Unter Innenminister Seehofer wurde aus dem ursprünglichen Ansatz „sichere Implementierung starker Ende-zu-Ende-Verschlüsselung bei gleichzeitigem Einsatz von Überwachungssoftware“ der neue Ansatz „Einsatz von Überwachungssoftware und rechtmäßiger Zugang zu Kommunikation mit technischen Schnittstellen in Abstimmung mit den Betreibern“. Darüber hinaus verfügen Sicherheitsbehörden über vielfältige weitere Möglichkeiten an Daten zu kommen, wie die Studie der Friedrich-Naumann-Stiftung für die Freiheit zum Überwachungsbarometer für Deutschland belegt. Statt sich dem Gegenwind auf nationaler Ebene zu stellen, hat die Bundesregierung das Thema ganz geschickt auf die EU-Ebene verschoben und tief in einer neuen Richtlinie vergraben, die eigentlich zu mehr Netz- und Informationssicherheit führen soll. Und die Wirtschaft? Die spielt in Teilen offensichtlich erstmal brav mit.
Was bedeutet das aber für die aktuelle Bundesregierung und ihr im Koalitionsvertrag festgelegtes Bestreben nach einem „Recht auf Verschlüsselung“? Damit ihr Vorhaben des Rechts auf Verschlüsselung nicht erneut zu einer ebenso hohlen Phrase wie „Verschlüsselungs-Standort Nr. 1“ verkommt, muss die Bundesregierung jetzt dringend handeln, vor allem auf EU-Ebene. Denn es kann keine starke Ende-zu-Ende-Verschlüsselung und damit auch kein Recht auf Verschlüsselung geben, wenn die Produkte und Dienstleistungen gleichzeitig mit Abhörschnittstellen versehen werden müssen. Das wäre allerdings vermutlich das Ergebnis, wenn die EU-Richtlinie zur Netz- und Informationssicherheit in der Version von Rat und Kommission verabschiedet werden würde, denn die Richtlinie muss in nationales Recht umgesetzt werden.
Um das im Koalitionsvertrag verankerte Recht auf Verschlüsselung sinnvoll umsetzen zu können sollte die Innenministerin:
- Eine Stellungnahme des Bundesamtes für Sicherheit in der Informationstechnik anfordern, in der das Bundesamt gebeten wird, auf Basis wissenschaftlich-technischer Erkenntnisse (vgl. BSIG § 1) die Auswirkungen von Schnittstellen für den rechtmäßigen Zugang zu den Inhalten Ende-zu-Ende verschlüsselter Kommunikation auf die Cyber- und IT-Sicherheit für Staat, Wirtschaft und Gesellschaft zu beurteilen.
- Sich dafür einsetzen, dass die Sätze 2 und 3 aus Recital 54 des aktuellen Entwurfs der 2. EU-Richtlinie zur Netz- und Informationssicherheit ersatzlos gestrichen werden, oder zumindest der Änderungsvorschlag des Europäischen Parlaments im Rahmen der Trilog-Verhandlungen übernommen wird.
- Sich dafür einsetzen, dass sicher-implementierte, starke Ende-zu-Ende-Verschlüsselung nicht mit der anstehenden EU e-Privacy-Richtlinie unterminiert wird. Warum die dort vermutlich geforderten Maßnahmen eine problematische Schwächung von Ende-zu-Ende Verschlüsselung darstellen, hat die Global Encryption Coalition in einem Report analysiert.
- Die Notwendigkeit für die sichere Implementierung starker Verschlüsselung ohne rechtmäßigen Zugang durch Abhörschnittstellen für Sicherheitsbehörden bei Ende-zu-Ende verschlüsselter Kommunikation in nationaler Gesetzgebung, zum Beispiel in dem Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien, durch einen entsprechenden Entwurf an das Parlament verankern.
Sven Herpig ist Leiter für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung. In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Sven Herpig erschienen: Aktive Cyberabwehr statt Hackback?
