Zum Inhalt springen Zur Navigation springen
Crypto Wars: EU & USA fordern „Lawful Access by Design“

Crypto Wars: EU & USA fordern „Lawful Access by Design“

Nach der Vorlage eines Verordnungsentwurfs zur sog. „Chatkontrolle“ im Mai 2022 durch die EU-Kommission sind die sog. „Crypto Wars“ um einen Konflikt reicher: Bei einem Treffen im März 2023 forderten Vertreter der EU sowie von US-Justiz- und Strafverfolgungsbehörden nun, Zugang zu verschlüsselten Kommunikationsdaten im Klartext direkt in die Technik einzubauen. Dem Prinzip „Privacy by Design“ soll das Prinzip „Lawful Access by Design“ entgegengesetzt werden.

Crypto Wars vs. Sichere Kommunikation

Kryptographie, also Verschlüsselungstechniken, sind eigentlich ein alter Hut. Tatsächlich nutzen Menschen seit etwa 2500 Jahren Verschlüsselungstechniken. Quasi genauso alt dürften Versuche sein, Verschlüsselung zu unterbinden. Mit dem Beginn des Internetzeitalters hat dieser „Konflikt“ eine neue Dynamik erhalten: Von da an ging es nicht mehr darum, dass Regierungen und Geheimdienste Verschlüsselungstechniken „für sich behalten“ wollten, sondern um ein offenes Internet und den Schutz der Privatsphäre des Einzelnen. Dies führte zu den sogenannten „Crypto Wars“ 1.0 der 1990er.

Als massive Schwächen in der Initiative der NSA deutlich wurden, jegliche Kommunikation (Telefon und Computer) mittels eines Chips ver- und entschlüsseln zu wollen, ergab sich ein breiter öffentlicher Konsens: Gesetzgeber, Öffentlichkeit und Forschung teilten die Auffassung, dass Systeme mit Hintertüren zu einer nicht hinnehmbaren Schwächung des Sicherheitsniveaus führen. Die erste Phase der Crypto Wars war beendet.

Die erneute Auseinandersetzung ließ jedoch nicht lange auf sich warten. Die „Crypto-Wars 2.0“ begannen nach dem Anschlag vom 11.September 2001, nach dem die USA zahlreiche massive Abhörinitiativen anstießen, geheimdienstliches Hacking durchführten und Internet-Anbieter mehr oder weniger zur Zusammenarbeit mit den Behörden zwangen. Edward Snowden enthüllte 2013, welches Ausmaß die Massenüberwachung durch die NSA und andere Geheimdienste angenommen hatten. Aber nicht nur die USA schienen nach den Anschlägen panisch „Sicherheitsmaßnahmen“ einzuführen, auch andere Staaten nutzten das allgemeine Klima der Unsicherheit und führten VPN-Sperren ein und verboten verschlüsselte Dienste (so zum Beispiel China).

Auch in Deutschland häuften sich die Forderungen, Strafverfolgungsbehörden mehr Zugriffsmöglichkeiten auf verschlüsselte Chats zu geben, weil diese sonst zu sehr in ihrer Handlungsfähigkeit eingeschränkt wären.

Crypto Wars 3.0: Alter Wein in alten Schläuchen

Nunmehr sind die Crypto Wars um ein Kapitel reicher. Im Grund könnte man diese neue Phase auch als anhaltende Crypto Wars 2.0 bezeichnen, da die Argumentation im Prinzip die Gleiche ist: Zunehmende Verschlüsslung mache Ermittler „blind und taub“ und damit handlungsunfähig („Going dark“). Insbesondere im Namen des Kinderschutzes fordern Politiker und Polizei regelmäßig, vereinfachten Zugang zu verschlüsselter Kommunikation.

Nach der massiven Kritik an den Plänen der EU-Kommission zur Chatkontrolle ( im Zuge derer sogar Politiker forderten, den Vorschlag zurückzuziehen), fühlte man sich zumindest ein klein wenig beruhigt. Bis die Grundrechte-Organisation Statewatch das Protokoll eines Treffens der EU-Kommission mit Vertretern der US-amerikanischen Strafverfolgungsbehörden vom März 2023 in Stockholm leakte. Dem Protokoll ist zu entnehmen, dass beide Seiten, sowohl die USA als auch die EU, es für notwendig halten, die Legitimität der Strafverfolgungsbehörden, Ermittlungen durchzuführen (auch im öffentlichen Diskurs), zu stärken. Dem datenschutzrechtlichen Prinzip des „Privacy by Design“ müsse zugunsten der Handlungsfähigkeit der Strafverfolgungsbehörden mit dem Prinzip des „Lawful Acces by Design“ ausgeglichen werden. Bereits dieser Versuch eines rhetorischen Kniffs sollte Datenschützer hinreichend empören: Die Idee, ein datenschutzrechtliches Prinzip, welches für angemessenen Schutz der Betroffenen sorgen soll, müsse durch Gegenmaßnahmen ausgeglichen werden, ist absurd. Nichts anderes ist damit gemeint, als dass hier erneut gefordert wird, Entwickler bzw. Anbieter verschlüsselter Dienste zum Einbau von „Hintertüren“ in ihre Software zwingen zu können.

Die Teilnehmer des Treffens nahmen zudem Bezug auf eine G7-Erklärung aus dem Jahr 2021. Es gehe um „Aufrechterhaltung eines streng kontrollierten, rechtmäßigen Zugangs zu Daten“. Man strebe „keine neuen Befugnisse“ an, sondern nur den Erhalt ihrer Ermittlungsbefugnisse. Die Tatsachen strafen die Konferenzteilnehmer aber Lügen. Im Rahmen eben des genannten Treffens wurde auch die UN Cybercrime Convention angesprochen. Deren Ziel ist die massive Erleichterung der grenzüberschreitenden Strafverfolgung. Laut der Grundrechts-NGO Epicenter Works sei unter anderem geplant, „die Datenzugriffsmöglichkeiten für Strafverfolgungsbehörden durch weltweite Interoperabilität massiv“ auszuweiten.

Auch eine „neue“ Form der Vorratsdatenspeicherung – also die pauschale Speicherung von Internet- und Telefonverbindungsdaten – steht schon wieder auf dem Plan. Derzeit gibt es keine ausreichenden rechtsstaatlichen Garantien, die die Verfahrens- und Betroffenenrechte gewährleisten, sollte eine Person von einem solchen Ermittlungsverfahren betroffen sein. Statt rechtstaatliche Risiken zu diskutieren, wird mantraartig immer wieder der Erhalt der Handlungsfähigkeit der Strafverfolgungsbehörden im Angesicht des „Going Dark“ beschworen.

Massive Überwachungsmöglichkeiten = Massive Risiken

Es ist beeindruckend, wie nachhaltig sich Politik und Strafverfolgung weigern, Expertenmeinungen (sei es der Wissenschaftliche Dienst des Bundestages, des Europaparlaments, des Bundesverfassungsgerichts oder anderer Sachverständiger) zum Thema ernst zu nehmen. Sollbruchstellen bergen nicht nur ein Risiko für den Einzelnen betreffend den möglichen unbemerkten Zugriff durch Strafverfolgungsbehörden. Hat eine Software „Hintertüren“, können diese nicht nur durch die Justiz genutzt werden, sondern auch durch Kriminelle oder andere Staaten. Man gefährdet die eigenen Bürger, die eigene Wirtschaft und letztlich sich selbst. Sollbruchstellen öffnen die Software und den Zugang zu persönlichen Daten also nicht nur für Missbrauch von einer Seite, sondern gleich von Mehreren.

Eine Schwächung von Verschlüsselung zieht einen Rattenschwanz an Problemen hinter sich her: Wer kontrolliert, welche Stelle wann auf die Daten zugreift und wie? Vorhandene Möglichkeiten werden stets ausgenutzt werden, Sinnhaftigkeit hin oder her. Wie soll der einzelne Nutzer noch Vertrauen in Ende-zu-Ende-Verschlüsselung und seine Anbieter haben, wenn diese gezwungen werden, Kommunikation mit Vertragsschluss quasi auf Stand-by zu verraten? Grundlegende Prinzipien des Datenschutzes werden ad absurdum geführt. Vertrauliche Kommunikation wäre so nicht mehr möglich.

Letztlich geht es um freie Kommunikation

Man sollte meinen, dass der Ausgang der vergangenen Crypto Wars Lehre genug sei und den Verantwortlichen die Risiken ihres eigenen Vorgehens deutlich vor Augen geführt hätte. Stattdessen werden immer wieder alte, bereits widerlegte Behauptungen ins Feld geführt, um eine effektive Verschlüsselung aufzuweichen und das informationelle Selbstbestimmungsrecht der Bürger, den Geheimnisschutz der Wirtschaft und letztlich freie Kommunikation und Demokratie zu unterminieren. Die Bundesregierung sollte sich dringend auf ihre eigenen Aussagen im Rahmen der Charta zur Stärkung der vertrauenswürdigen Kommunikation besinnen bzw. auf ihre Antwort auf eine kleine Anfrage von Abgeordneten der Linken aus dem Jahr 2015:

„Die Entwicklung und durchgängige Verwendung vertrauenswürdiger IT-Technologien ist von entscheidender Bedeutung für Unternehmen, Verwaltung und Bürger in unserer heutigen Informationsgesellschaft. Daher wird die gezielte Schwächung oder Regulierung von Verschlüsselungstechniken durch die Bundesregierung nicht verfolgt.“

Aber wie auch immer die derzeitige Diskussion ausgeht und unabhängig von Gesetzesänderungen und Überwachungsmöglichkeiten, einer Sache können wir uns sicher sein: Nach den Crypto Wars ist vor den Crypto Wars. Denn Daten, dass wissen wir aus den bisherigen Entwicklungen, „kann man nie genug haben“.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • M.E. wird es keine alle Seiten befriedigende Lösungen geben können. Also kann es nur darum gehen, praktikable Kompromisse einzugehen. Das traue ich Demokratien zu. Wie schnell allerdings aus eine Demokratie auch eine Autokratie werden kann, erleben wir immer wieder.

    Anders herum mal das Dilemma im Datenschutz ausgedrückt:
    1. Ich wünsche mir für mich maximalen Schutz meiner persönlichen Daten.
    2. Werde ich oder eine mir nahestehende Person aber an irgendeiner Stelle und in irgendeiner Sache Opfer (ich meine jetzt nicht Opfer eine Datenschutzverletzung), dann hätte ich gerne maximalen Zugriff der Behörden auf personenbezogene Daten Dritter, die als Täter infrage kommen.
    Natürlich nicht auf meine, denn das Recht ist doch auf meiner Seite…!?

    Genauso wenig wie es absolute Freiheit gibt, sie endet an der Freiheit meines Nächsten, genauso wenig kann es absoluten Schutz personenbezogener Daten geben.

    Und jedes Instrument kann zweckbestimmt gebraucht werden; es trägt aber stets das Risiko des Missbrauchs für andere Zwecke und durch andere Personen (Organisationen, Staaten, …) in sich.
    Damit müssen wir leben und ausgewogene Lösungen finden. So wie alle Generation seit Jahrtausenden vor uns. Maximalpositionen helfen nicht weiter. Sie führen in einen Krieg. Nur die Waffen sind verschieden…

    Deswegen helfen mir Fachartikel wenig weiter, die nur einseitig Maximal-Forderungen argumentieren.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.