Während in Paris und anderswo mutige Bürger für westliche Werte wie Meinung- und Pressefreiheit auf die Straße gehen, planen unsere Staats- und Regierungschef schon den nächsten Überwachungsstreich, und dieser hat es in sich. James Cameron hat sich im letzten Jahr bereits als Verfechter eines staatlich-kontrollierten Internets ausgesprochen und unter anderem umstrittene Notstandsgesetze sowie eine krude Form der opt-in Internetzensur eingeführt. Großbritannien hat von den westlichen Demokratien mittlerweile das am stärksten überwachte und kontrollierte Internet. So ist es wenig verwunderlich, dass Cameron nun das nächste Element eines freiheitlichen Internets im Visier hat: die Verschlüsselung. Er forderte: „We will command all the software creators we can reach to introduce back-doors into their tools for us“ und holte sich dazu Unterstützung vom Big Brother Obama. Auch der deutsche Innenminister bläst nun in dieses Horn: “Die deutschen Sicherheitsbehörden müssen befugt und in der Lage sein, verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen, wenn dies für ihre Arbeit zum Schutz der Bevölkerung notwendig ist”. Diese Argumentation ist paradox, unlogisch und extrem gefährlich, sowohl für westliche Demokratien als auch für das Internet als solches.Warum sollte man eigentlich Verschlüsselung verbieten wollen? Wie so oft liegt die Ursache in einer übertriebenen Angst vor Terror und der Instrumentalisierung dessen:
”Die Ereignisse in Paris verdeutlichen einmal mehr, dass wir gemeinsam handeln müssen. Das Handeln krimineller und terroristischer Bestrebungen findet auch in der virtuellen Welt statt. Verschlüsselte Internetkommunikation macht an Landesgrenzen aber nicht halt. Deshalb sind der Schutz des Internets, die Gewährleistung bestmöglicher Cybersicherheit, und die Bekämpfung von Cyberkriminalität, Cyberspionage und Cyberterrorismus Herausforderungen, die nur mit guter internationaler Zusammenarbeit bewältigt werden können.“ (de Maizière)
Hier kann man ein Paradox live in Farbe beobachten. Der Angriff auf Meinung- und Pressefreiheit dient als Legitimation für einen Angriff auf ein wesentliches Element der Meinungs- und Pressefreiheit. Wenn das noch nicht genug wäre… Ein Angriff auf die Cybersicherheit wird mit dem Schutz des Internets (also Cybersicherheit) legitimiert. Die Grundlagen von all dem ist Verschlüsselung.
Was ist Verschlüsselung?
Mit Hilfe von Verschlüsselung wird ein klar-lesbarer Text unleserlich gemacht, z.B. „Das Internet ist toll“. → Dahadefas Ihidefintehedefernehedefet ihidefist tohodefoll. Das funktioniert ähnlich wie Geheimsprache, z.B. „Hühnersprache: nach jedem Vokal (Selbstlaut) wird ein „h“ eingefügt. Anschließend wird der Vokal wiederholt und die Silbe „-def-“ gesetzt. Zum Schluss wird der Vokal noch einmal wiederholt.“ Das ist ein einfaches Ersetzungsverfahren: ein Buchstabe wird mit anderen Buchstaben, nach bestimmten Regeln ersetzt. Der Schlüssel regelt, welche Vokale wie ersetzt werden ( h+Vokal+def). Die Idee ist, nur wer den Schlüssel hat, kann die Nachricht entschlüsseln. Damit wird garantiert, dass Dritte den Inhalt einer Kommunikation, einer Datenübertragung (z.B. Online Banking) oder eines Datenträgers (Festplatte) nicht lesen oder fälschen können. Verschlüsselung in der IT ist natürlich weitaus komplexer und bedient sich komplizierter mathematischer Verfahren die oft zufallsbasiert sind (also komplexer als einfache Ersetzungsverfahren). Zufallsbasierte Verfahren sind deswegen sicherer, da keine statistischen Muster (in Korrelation zum Klartext) gefunden werden können, die Hinweise auf die Wirkungsweise des Schlüssels geben. Die oben gezeigte Ersetzungsregel der Hühnersprache ist für Kryptoanalytiker relativ schnell zu durchschauen da es Regelmäßigkeiten gibt (denn jeder Vokal wird fest mit einem Substitut ersetzt). D.h. der Schlüssel kann gebrochen werden. Bei komplexen, zufallsbasierten Schlüsseln ist dies weitaus schwieriger.
Warum ist das wichtig?
Der ehemalige Innenminister Friedrich ist durch viele merkwürdige Sätze („Supergrundrecht“) bekannt geworden, hat im Zuge der NSA-Affäre aber etwas wichtiges gesagt: “ „Es müssen sich noch mehr Menschen Gedanken darüber machen, wie die Sicherheit der eigenen Kommunikation hergestellt werden kann.“ Mit anderen Worten, Verschlüsselung diene dem Schutz der eigenen Kommunikation und Daten vor Akteuren wie der NSA. Anders gedreht: Verschlüsselung ist bisher der einzig wirksame Schutz gegenüber staatlicher Willkür (wie z.B. kaum demokratisch kontrollierte Massenüberwachung) im Internet. Diverse Gutachter im parlamentarischen Kontrollgremium, Edward Snowden, und auch die US-Regierung selbst wiesen darauf hin, dass der einzig-wirksame technische Schutz gegen Überwachung der massive Einsatz von Verschlüsselung ist. Wenn notorische Gegner die gleiche Position vertreten, ist da normalerweise etwas dran!
In der offline-Welt beinhaltet das Grundgesetz eine Reihe von Grundrechten die sich als Abwehrrecht der Bürger gegen einen ausufernden Staaten verstehen. „Wie die geschichtliche Erfahrung zeigt, sind sie keineswegs selbstverständlich gewährleistet, und sie beeinflussen den Alltag des Einzelnen und das Zusammenleben aller in Staat und Gesellschaft. Grundrechte schützen den Freiheitsraum des Einzelnen vor Übergriffen der öffentlichen Gewalt, es sind Abwehrrechte des Bürgers gegen den Staat“ (BPB). Besonders Artikel 2 ist für uns relevant, denn er beinhaltet: Allgemeines Persönlichkeitsrecht, Recht auf Privatsphäre, Recht auf informationelle Selbstbestimmung (Datenschutz), Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Recht auf sexuelle Selbstbestimmung, Selbstbelastungsverbot (Niemand darf gezwungen werden, sich selbst anzuklagen, sich selbst aktiv zu belasten). Verschlüsselung ist daher ein Grundpfeiler für die Wirksamkeit der hier gezeigten Grundrechte im Internet.
Was wird gefordert?
Cameron und Co fordern nun, dass die Hersteller von Verschlüsselungstechnologie (u.A. Microsoft, Apple und viele mehr) staatlich dazu gezwungen werden, Hintertüren einzubauen. Bedienen wir uns dieser Metapher : eine verschlüsselte Festplatte ist wie eine abgeschlossene Truhe. Nur wir haben den Schlüssel, nur wir können sie aufschliessen. Was Cameron nun fordert ist, dass die Hersteller dieser Schatztruhen ein weiteres, verborgenes Schloss in die Truhe einbauen, zu dem nur der Staat den Schlüssel haben soll. So weit die Theorie.
Warum ist das problematisch?
In der Praxis sieht dies anders aus: je mehr Zugänge ein technisches System hat, desto unsicherer wird es, denn es steigt die Gefahr, dass nicht nur Staaten diese Hintertür entdecken sondern auch Dritte, wie z.B. Kriminelle oder andere Geheimdienste. Das liegt daran, das bestimmte Arten der Verschlüsselung faktisch deterministisch-binär sind: entweder sie ist sicher oder eben nicht. Wenn sie sicher ist, kann nur der Schlüsselinhaber den Container öffnen. Dafür gibt es ein paar berühmte Beispiele. Wenn sie unsicher ist, kann prinzipiell jeder mit den technischen Vorraussetzungen den Container über den Weg der Hintertür öffnen. Die Unbrechbarkeitt ist mathematisch begründet, was der Alternativlos Podcast schön erklärt. Es gib dazwischen keine Grauzone, es gibt keine halbsichere Verschlüsselung! Genau das fordern aber Cameron und Co: sie fordern eine Schwächung der Verschlüsselung, damit die ‚good guys‘ wie sie sagen, Zugang bekommen können. Cory Doctorow erwidert: „there’s no back door that only lets good guys go through it“. Wie schon erwähnt, sobald es eine absichtliche Schwachstelle gibt, ist es nur eine Frage der Zeit bis diese von anderen gefunden wird. Wenn NSA, GCHQ und BND Zugriff erhalten, dann folgen automatisch der russische FSB und Nachrichtendienste anderer Staaten. Ferner muss man sich darüber im klaren sein, dass es einen lebhaften Schwarzmarkt gibt, auf dem diese Hintertüren bzw. die Schlüssel dazu (um mit der Metapher zu sprechen), verkauft werden. D.h. nicht nur staatliche Akteure spielen dieses Spiel, sondern auch kriminelle Hacker und die organisierte Kriminalität.
Ist das eine sinnvolle Forderung?
Natürlich nicht. Diese Idee ist nicht nur technisch wahnsinnig, sie ist auch faktisch nicht umsetzbar. Cameron müsste Hersteller außerhalb seiner Jurisdiktion zwingen, der britischen Regierung Zugang zu ihrer Technologie zu gewähren um einen britischen Master-Schlüssel einzubauen. Microsoft weigert sich wie kein zweiter auch nur irgendwem Zugang zum proprietären Code von Windows zu geben. Eine ähnliche Initiative ist in der Vergangenheit bereits gescheitert. Die großen Hersteller weigern sich schon, China oder Russland Zugang zu ihrer Software zu geben, warum sollten sie es den Briten oder Deutschen geben? Ferner, wenn der Präzedenzfall geschaffen werden würde, dass die Briten z.B. Microsoft dazu bewegen, ihnen Zugang zugeben, was schützt Microsoft vor Anfragen aus China, Bahrain, Russland und anderen „nicht-Demokratien“? Dies würde Begehrlichkeiten wecken die nicht im Interesse der Softwarehersteller sein können.
Ferner kann man die Verbreitung und Nutzung von Software nicht kontrollieren. Cameron müsste, damit der Vorschlag funktioniert, seinen Bürgern die Nutzung bestimmter, staatlich-verunsicherter, Software aufzwingen, andernfalls wäre der Vorschlag sinnlos. So etwas ist kaum durchsetzbar. Er könnte die Nutzung nicht staatlich zertifizierter Software verbieten, was auf dem Papier nett klingt, in Zeiten des Internets aber sinnlos ist. Software ist überall verfügbar: wenn ich die verunsicherte-Variante nicht nutzen will, lade ich einfach eine andere herunter, bzw. den Softwarecode davon. Das ist auch der Grund, warum Exportkontrollen für digitale Waffen für Cyberangriffe so schwierig bzw. sinnlos sind.
Was er auch nicht bedenkt ist, dass die sicherste Software in der Regel Open Source ist. D.h. der Code ist von einer breiten Entwicklercommunity einsehbar, damit Schwachstellen und Hintertüren vom mächtigen Blick der Masse aufgespürt werden. Die zentrale Idee ist, dass Transparenz für Sicherheit wichtig ist, da Missbrauch leichter aufgespürt werden kann, wie im richtigen Leben. Wie wollen Cameron und Co der OpenSource Software (wie z.B. Mozilla Firefox) den Einbau von Hintertüren aufzwingen, die bei stetiger Evaluierung des SourceCodes verborgen bleibt?
Was ist die Konsequenz davon?
Die offensichtlichste Konsequenz ist, dass das Internet als solches unsicherer wird! Wie gesagt: sobald eine Schwachstelle eingebaut wird, steigt dass Risiko, dass andere Akteure Zugang zu sensitiven Daten oder Kommunikationen erhalten. Verschlüsselung ist ein zentrales Element des Internets. Viele Websites und Dienstleister verwenden eine Hand voll kommerzieller und freier Verschlüsselungsverfahren. Ohne wirkungsvolle Verschlüsselung (also Verschlüsselung ohne staatliche Hintertüren) gäbe es:
- kein sicheres Online-Banking bzw. weltweite Finanztransaktionen. Die Gefahr des Missbrauchs und Diebstahl digitalen Geldes würde rapide ansteigen! Die Börse und die Banken würden in ihrer Funktionsweise massiv beeinträchtigt werden. Das hätte massive wirtschaftliche Folgen!
- keine sichere Kommunikation. Firmen mit weltweiten Standorten könnten z.B. nicht mehr sicher intern kommunizieren. Die Gefahr von Wirtschaftsspionage würde massiv ansteigen und die ökonomischen Folgekosten würden steigen.
- keine vertrauliche Kommunikation, z.B. zwischen Anwälten, Doktoren, Therapeuten, Seelsorgern und Klienten. Die Arbeit von Whisteblowern würde zudem massiv erschwert, genau wie die Arbeit investigativer Journalisten. So etwas wie Wikileaks wäre ohne sichere Verschlüsselung nicht mehr möglich. Verschlüsselung ist ein zentrales Element der Funktionsweise der Presse als vierte Instanz im Staat!
- keine nennenswerte IT-Industrie, deren Förderung in Europa aber massiv gefordert wird.
- einen dramatischen Anstieg an „intelligence breaches“, egal ob bei Firmen wie Sony oder bei Regierungen. Regierungen benötigen Verschlüsselung ihrer Kommunikation, z.B. als Schutz vor fremden Geheimdiensten.
Wenn es dazu kommen sollte, dass nicht mehr nur autoritäre Staaten gegen IT-Sicherheit und Verschlüsselung vorgehen, sondern auch die westliche Demokratien, dann gefährdet dies die Funktionsweise des Internets wie wir sie kennen. Es ist außerdem anzunehmen, dass diejenigen, die diese Maßnahme treffen soll (Terroristen wie man sagt), vermutlich technisch down-graden werden, d.h. noch weniger digital kommunizieren werden. Wir könnten ein revival der Briefpost bzw. der face-to-face Kommunikation erleben.
Man kann nicht gleichzeitig eine bessere Cybersecurity einfordern und das Prinzip, auf dem diese Cybersecurity basiert torpedieren wollen!
Ich danke Jens Kubieziel für technische Beratung in Crypto-Fragen!
2 Gedanken zu „Versicherheitlichung absurd: staatliche Kontrolle von Verschlüsselung?“
Kommentare sind geschlossen.