Das Vorhaben für verschlüsselte Kommunikation mit dem Staat kann man nur unterstützen. Die Erkenntnis, dass Verschlüsselung der Sicherheit der Unternehmen und Bürger:innen mehr hilft als dass sie schadet, ist aber keine Selbstverständlichkeit: Oft wurde in der Vergangenheit versucht, die IT-Sicherheit zugunsten einer „analogen“ Sicherheit zu schwächen. Während die National Security Agency (NSA) in den Anfangsjahren der zivilen Verschlüsselung nichts unversucht ließ, die Verbreitung dieser Technik zu verhindern, hat Deutschland ein entspannteres Verhältnis zur Verschlüsselung. Auch wenn wir nicht Austragungsort der sogenannten „Crypto Wars“ waren, so ist die Beziehung der deutschen Politik zur Verschlüsselung dennoch nicht unbelastet.
Auf der einen Seite hatte die Bundesregierung immer ambitionierte Ziele. In den Eckpunkten der deutschen Kryptopolitik von 1999 wollte die Bundesregierung „die Verbreitung sicherer Verschlüsselung in Deutschland aktiv unterstützen“. 2014 hieß es in der Digitalen Agenda 2014 – 2017 schon, dass Deutschland weltweit Verschlüsselungs-Standort Nummer eins werden soll.
Auf der anderen Seite war man jedoch nie richtig bemüht, diese Ziele umzusetzen. Die deutsche Sicherheitspolitik argumentiert noch immer nach dem „Going Dark“-Narrativ der Geheimdienste, denen Verschlüsselung grundsätzlich ein Dorn im Auge ist. Dieses Misstrauen gegenüber der Verschlüsselung wurde 2021 schließlich auch in Gesetzesform gegossen. § 2 Abs. 1a Nr. 4 des Artikel-10-Gesetzes verpflichtet seither Anbieter von Telekommunikationsdiensten, bei der technischen Umsetzung einer Quellentelekommunikationsüberwachung mitzuwirken, also zu einer Ende-zu-Verfassungsschutz-zu-Ende-Verschlüsselung.
Mehr Daten, mehr Ermittlungsansätze
Das Internet der Dinge (IoT) liefert immer mehr Daten über seine Nutzer:innen, darunter Standortdaten und andere wichtige Ermittlungsansätze für Sicherheitsbehörden. Eine wirklich große Verbreitung haben Verschlüsselungstechniken bisher trotz ihrer technischen Ausgereiftheit auch noch nicht erreicht. Es verwundert daher, dass der Staat weiter vor seiner eigenen Blindheit warnt.
Angesichts der noch nie dagewesenen aktuellen Bedrohung durch Cyberangriffe, plädieren wir für ein neues Verhältnis des Staates zur Verschlüsselung: Er muss sie ohne Einschränkungen fördern, auch wenn der sicherheitsbehördliche Instrumentenkasten dadurch kleiner wird. Das Recht auf informationelle Selbstbestimmung, das Fernmeldegeheimnis und das sogenannte „IT-Grundrecht“ enthalten nämlich schon heute das oft geforderte „Recht auf Verschlüsselung“.
Eine wirkliche Schutzlücke gibt es gar nicht: Verschlüsselung zu verbieten, würde den Wesensgehalt dieser Grundrechte berühren und wäre daher nicht möglich; Verschlüsselung einzuschränken, greift in diese Rechte ein und muss daher mit anderen Interessen von Verfassungsrang gerechtfertigt werden. Diese Grundrechte verteidigen die Verschlüsselung nicht nur, sie fordern auch auf, mehr zu tun, als Eingriffe nur zu unterlassen.
Bürger:innen befähigen
Der Staat hat eine Schutzpflicht, seinen Bürger:innen bei der wirksamen Ausübung ihres Rechts auf informationelle Selbstbestimmung zu helfen. Angesichts der Gefahren im Netz ist das heute nur noch mit Verschlüsselung möglich. Schon 2008 hat das Bundesverfassungsgericht festgestellt, dass IT-Systeme mittlerweile derart komplex sind, dass ein technischer Selbstschutz den oder die durchschnittliche Nutzer:in überfordern kann. Der Staat wäre daher gut beraten, nicht ängstlich in die zunehmend verschlüsselte Zukunft zu blicken, sondern die Verwendung von Verschlüsselungstechniken durch Bürger:innen und Unternehmen aktiv zu fördern.
Diese Schutzpflicht nimmt der Staat nicht immer wirklich ernst. Trotz der relativen Sicherheit einer Transportverschlüsselung: Eine wirklich sichere Kommunikation bietet nur die Ende-zu-Ende-Verschlüsselung. Chatdienste wie Whatsapp, Signal, Threema oder Apples iMessage nutzen inzwischen ganz selbstverständlich Ende-zu-Ende-Verschlüsselung und machen es vor.
Will man jedoch mit dem Staat selbst verschlüsselt kommunizieren und will dies auf Basis einer Ende-zu-Ende-Verschlüsselung tun, dann muss man den Staat hierfür sogar vor die Gerichte zerren. Und dort verliert man auch noch in der Regel. Will oder muss man dem Staat wichtige Informationen übermitteln, ist man vor Gericht erst mal gezwungen darzulegen, warum Verschlüsselung überhaupt nötig ist.
Ende-zu-Ende-Verschlüsselung muss Standard werden
Bei der Meldung von Kriegswaffenbeständen und der Übermittlung besonders sensibler Kommunikation zwischen Rechtsanwälten, ihren Mandanten und der Justiz mittels des besonderen elektronischen Anwaltspostfachs (beA) haben die Gerichte bereits entschieden, dass man keinen Anspruch auf eine Ende-zu-Ende verschlüsselte Kommunikation hat. Auch die sonst so strengen deutschen Datenschutzbehörden halten zum Beispiel den Versand sensibler Gesundheitsdaten mittels Transportverschlüsselung für ausreichend.
Sieht man in die Datenschutzgrundverordnung (DSGVO), verwundert das auf den ersten Blick auch nicht. Die zentrale Norm der Datensicherheit, Art. 32 DSGVO, enthält keinen Anspruch auf Verwendung eines bestimmten technischen Verfahrens zur Sicherung von Daten, sondern nur einen auf ein ausreichendes Schutzniveau. Die Rechtsprechung hält die Transportverschlüsselung regelmäßig für ausreichend und berücksichtigt auch nur Risiken, die aus der Datenverarbeitung selbst herrühren.
Ein höheres Risiko und damit die Pflicht zur Ende-zu-Ende-Verschlüsselung zu begründen, ist daher bislang noch niemandem vor Gericht gelungen. Auf den zweiten Blick jedoch lässt der risikobasierte Ansatz des Art. 32 DSGVO bei der aktuellen Bedrohungslage durch Cyberkriminelle nur ein Auslegungsergebnis der Norm zu: Die Ende-zu-Ende-Verschlüsselung als Standard.
Ende-zu-Ende-Verschlüsselung schützt geistiges Eigentum
In einer Zeit, in der es keine Frage mehr ist, ob man gehackt wird, sondern nur noch wann, lassen sich die Ziele der Datensicherheit der DSGVO, Integrität der Daten und der Schutz vor unbefugter Kenntnisnahme, nur noch mit höherwertiger Verschlüsselung erreichen.
Während man für personenbezogene Daten noch den Hebel des Art. 32 DSGVO hat, stehen Unternehmen mit dem Schutz ihrer Geschäftsgeheimnisse vor Wirtschaftsspionage deutlich schlechter da. Doch auch für sie gilt, dass nur eine starke Ende-zu-Ende-Verschlüsselung geistiges Eigentum wirksam schützt und vertrauliche und authentische Kommunikation ermöglicht.
Auch wenn er an denselben Schwächen wie Art. 32 DSGVO leidet, ist der Art. 16 Satz 3 des Bayerischen Digitalgesetzes ein erster Meilenstein für die Unternehmen. Hierdurch werden in Bayern Behörden zum Angebot von verschlüsselter Kommunikation auch mit Unternehmen verpflichtet.
Wahlfreiheit statt Zwang
Dennoch gilt leider: Ihrer Vorbildfunktion bei verschlüsselten Kommunikation wird die öffentliche Verwaltung aktuell noch nicht gerecht. Seit den 1970er Jahren bekommt der Staat immer mehr Aufgaben und er soll mehr und mehr zum Wohle seiner Bürger:innen leisten.
Für diese staatliche Leistungsverwaltung ist er auf immer mehr – oft sensible – Daten seiner Bürger:innen angewiesen. Neben der Nutzerfreundlichkeit ist gerade die Cybersicherheit ein entscheidender Faktor für die Akzeptanz und das Gelingen von Verwaltungsdigitalisierung. Hier tut der Staat einfach noch zu wenig. Auch wenn es aktuell unwahrscheinlich klingt: Eine Verpflichtung zur Ende-zu-Ende-Verschlüsselung ist auch der falsche Weg!
Wir finden, die Bürger:innen sollten wählen dürfen, ob sie die Ende-zu-Ende-Verschlüsselung mit dem Staat nutzen wollen oder nicht. In digitalen Kontexten hat es sich bislang bewährt, die Bürger:innen nicht zu ihrem Glück zu zwingen. Auch hier lohnt ein Blick ins E-Government: Das Freiwilligkeitsprinzip elektronischer Verwaltungskommunikation sichert langfristige Zustimmung.
Europäische Regulierung wirft Fragen auf
Wie ernst es dem deutschen Staat mit der Ende-zu-Ende-Verschlüsselung ist, wird sich auch schon bald zeigen: Andeutungen, dass eine Transportverschlüsselung nicht mehr ausreichend sein wird, finden sich an mehreren Stellen der erst kürzlich verabschiedeten NIS-2-Richtlinie. Will Deutschland die Umsetzungsfrist nicht überziehen, wissen wir also spätestens am 17. Oktober 2024, wie es um die Zukunft der Verschlüsselung in Deutschland bestellt ist.
Bei der Kommunikation mit dem Staat gilt das Argument der Sicherheitsbehörden, Kriminelle hätten mit einer wirksamen Verschlüsselung einen „sicheren“ Kommunikationskanal, jedenfalls nicht. Im Übrigen liegen die Ermittlungshindernisse auch heute noch eher in der „analogen“ Welt.
Eine verbesserte Behördenzusammenarbeit und ein effektiver Austausch bereits vorhandener Informationen sind in der Abwägung wertvoller als die Schwächung von Verschlüsselung, die auch dem Schutz kritischer Infrastrukturen dient. Die Sicherheitsbehörden sind schließlich bis heute die Belege schuldig geblieben, ob Verschlüsselung wirklich dazu führt, dass sie im Dunklen tappen.
Verschlüsselung – je stärker desto besser – muss daher Vorrang haben, denn nur so gelingt die wirksame Ausübung des Rechts auf informationelle Selbstbestimmung.
Dirk Heckmann ist Professor und Inhaber des Lehrstuhls für Recht und Sicherheit der Digitalisierung an der Technischen Universität München, Nicolas Ziegler ist Wissenschaftlicher Mitarbeiter an diesem Lehrstuhl. (Autorenbildquelle: Kilian Blees/privat)
