Nach dem Terroranschlag von Wien plant der EU-Ministerrat ein Gesetzgebungsverfahren bei der EU-Kommission anzustoßen. Dessen Ziel ist es, Messenger-Dienste zu verpflichten, staatlichen Einrichtungen Zugriff auf die Kommunikation der Nutzer zu gewähren. Hierfür soll eine Hintertür in das System der Ende-zu-Ende Verschlüsselung eingebaut werden. Dies ist nicht der erste Vorstoß der EU-Staaten zur Ausweitung der digitalen Überwachung.
Der Inhalt im Überblick
Schwächung der Verschlüsselung
In aller Regelmäßigkeit wird nach terroristischen Akten darüber diskutiert, ob und inwiefern staatliche Sicherheitsbehörden Zugriff auf die digitale Kommunikation potenzieller Täter erhalten sollen. So hat auch nach dem jüngsten Anschlag in Wien die Diskussion neue Fahrt aufgenommen:
Wie der österreichische Rundfunk berichtet plant der EU-Ministerrat bereits fünf Tage nach den Anschlägen eine Änderung der bestehenden Gesetzeslage. So sollen die Messenger-Plattformbetreiber verpflichtet werden, einen Generalschlüssel zur Entschlüsselung von Ende-zu-Ende verschlüsselten Chats und Nachrichten in ihre Dienste zu implementieren. Durch diesen soll es den europäischen Sicherheitsbehörden ermöglicht werden im Rahmen eines sogenannten Man-in-the-Middle-Angriffs auf die Kommunikation von Messenger-Nutzern zuzugreifen. Dies geht aus einem internen Dokument der deutschen Ratspräsidentschaft an die Delegationen der Mitgliedstaaten im Rat hervor. Danach wäre die Europäische Kommission verpflichtet einen Entwurf für eine entsprechende Verordnung vorzulegen.
Kein neuer Plan
Dabei ist die Idee der Implementierung einer „Hintertür“ zur Umgehung der Ende-zu-Ende-Verschlüsselung fast genauso alt wie der flächendeckende Einsatz der Verschlüsselung selbst. Nach umfangreicher Kritik bezüglich der Datensicherheit bei WhatsApp hat der meist verbreitete Messenger im Jahr 2014 die Ende-zu-Ende-Verschlüsselung eingeführt.
Etwa ein Jahr nach der Einführung des neuen Sicherheitsfeatures wagte Großbritannien den ersten Vorstoß, dieses zumindest für Sicherheitsbehörden wieder auszuhebeln. Theresa May präsentierte damals als Innenministerin einen entsprechenden Gesetzesentwurf. Begleitet wurde das Vorhaben durch umfangreiche Kampagnen von Europol und dem FBI beziehungsweise den Sicherheitsdiensten der „Five-Eyes“-Spionageallianz (Großbritannien, USA, Australien, Neuseeland und Kanada) samt den dafür zuständigen Ministern. Erst im Oktober dieses Jahres forderten die „Five-Eyes“ Internetkonzerne erneut auf, ihre Dienste mit „Hintertüren“ für die Sicherheitsbehörden auszustatten.
In Europa wurde das Thema in jüngster Vergangenheit insbesondere durch Frankreich vorangetrieben. Gemeinsam mit dem Österreichischen Bundeskanzler Sebastian Kurz möchte Frankreichs Präsident Emmanuel Macron eine entsprechende Verordnung als „weiteren Schritt gegen den Terrorismus“ verstanden wissen.
Der richtige Weg?
Dabei ist die Bekämpfung des Terrorismus natürlich sowohl ein legitimes als auch ein notwendiges Ziel. Ob der geplante Angriff auf die Ende-zu-Ende Verschlüsselung hierbei der richtige Weg ist, bleibt allerdings mehr als fraglich. Das liegt primär an den folgenden zwei Punkten:
-
- Durch die geplante Implementierung wird der grundsätzliche Gedanke der Ende-zu-Ende-Verschlüsselung ausgehebelt:
Die Idee ist gerade, dass der Zugriff auf die verschlüsselten Daten niemandem außer den Empfängern möglich ist. Das führt dazu, dass selbst Messenger-Dienste keinen Zugriff auf die Kommunikation ihrer Nutzer haben. Werden diese nun verpflichtet „Generalschlüssel“ anzulegen und für die Sicherheitsbehörden zu hinterlegen, führt das neben der Zugriffsmöglichkeit durch den Staat zwingend auch zur Zugriffsmöglichkeit durch die jeweiligen Messenger-Dienste. Darüber hinaus entsteht durch ein solches Vorgehen eine nicht unerhebliche IT-Sicherheitslücke, welche es auch unbefugten Privaten vereinfacht Zugriff auf die Kommunikation zu erhalten.
-
- Der Heuhaufen, indem die Sicherheitsbehörden die Nadel suchen, wird unnötig vergrößert:
Im Fall des Terroranschlags von Wien spielte die Verschlüsselung keine entscheidende Rolle. Grund dafür, dass der Anschlag nicht vereitelt werden konnte war nach aktuellem Kenntnisstand nicht die mangelnde Zugriffsmöglichkeit der Sicherheitsbehörden auf die Kommunikation des Attentäters, sondern vielmehr das Versagen des österreichischen Sicherheitsapparats. So hatte der Mann nicht nur Kontakt zu Personen, welche von österreichischen Agenten im Auftrag des deutschen Verfassungsschutzes überwacht wurden, sondern er versuchte auch in der Slowakei Munition zu kaufen. Diese Information wurde durch das slowakische Innenministerium via Europol auch an die österreichischen Kollegen weitergegeben. Notwendige Maßnahmen wurde daraufhin allerdings nicht ergriffen.
Es drängt sich entsprechend der Verdacht auf, dass das Problem bei der Terrorismusbekämpfung weniger die Zugriffsmöglichkeit der Sicherheitsbehörden auf die Kommunikation in Messenger-Diensten ist, sondern vielmehr die unzureichende Verarbeitung bekannter Informationen. Zumindest im Falle des Wiener Anschlags gab es hinreichende Anhaltspunkte für die Erforderlichkeit von Maßnahmen gegen den späteren Täter. Eine Beschränkung der datenschutzrechtlich absolut sinnvollen Ende-zu-Ende-Verschlüsselung war keine davon.
Solch ein Gesetz hebelt zwar die Verschlüsselung des Transportes einer Klartextnachricht aus, jedoch nicht den Versand einer bereits verschlüsselten Nachrichten. Damit ist solch ein Gesetz – die Zielgruppe betreffend – wirkungslos, denn mit dem Wissen, dass die Transportverschlüsselung nicht sicher ist wird ein Terrorist halt nur noch verschlüsselte Nachrichten versenden.
Dem könnte man natürlich entgegenhalten, dass man Verschlüsselung grundsätzlich verbietet – wie bereits mehrfach angedacht wurde. Mit dem Wissen, dass sich Terrorristen möglicherweise nicht an solch ein Gesetz halten, stellt sich immer wieder die Frage, wie der Gesetzgeber die eigentlich Zielgruppe definiert….
Guter Kommentar, sehe ich genauso.