Full disclaimer: Ich habe mich als Privatperson an einer Initiative von über 100 Informatikern, Computer-Wissenschaftlern und Cyber-Security Experten angeschlossen, die fordern, dass das Innenministerium Pläne zur Schwächung von Verschlüsselung unverzüglich aufgeben solle. Zeit Online, Süddeutsche und Spiegel Online haben darüber berichtet.
Horst Seehofer hatte vorgeschlagen, dass die Hersteller verschlüsselter Messenger wie WhatsApp, Threema und Co per Gesetz dazu gezwungen werden sollen, die verschlüsselten Kommunikationsinhalte auf richterliche Anordnung herauszugeben. Technisch ist der Vorschlag brandgefährlich, da er fast zwangsläufig mit einer Schwächung der IT-Sicherheit einher gehen würde. Deutschland würde sich zudem einer Koalition autoritärer Regime anschliessen, die ähnliches fordern. Meine Top-Gründe, warum der Vorschlag keine gute Idee ist, habe ich in meiner letzten Podcast Folge dargelegt.
Gute Gesellschaft
Der Vorschlag zur Schwächung von verschlüsselter Kommunikation ist ein sicherheitspolitischer Zombie, eine Forderung, die trotz recht eindeutiger wissenschaftlicher Forschung, immer wieder ausgegraben wird. Vor ein paar Jahren habe ich einen Artikel dazu geschrieben, der die Argumente der Nachrichtendienste aus den 1990ern, mit denen von heute vergleicht. Ergebnis: sie waren damals wie heute wenig stichhaltig. Kurzum: ein System zu entwickeln, was nur bestimmten Akteuren Zugriff zur Kommunikation gibt und alle „bad guys“ fernhalten kann, ist technisch nicht ohne weiteres möglich. Ein solches System wäre unfassbar komplex, würde fast zwingend Sicherheitslücken beinhalten und somit weniger sicher sein, als Systeme ohne staatliche Hintertüren. Es gibt in dieser Frage keinen Kompromiss, keine „magic pony solution“, da die Mathematik der Verschlüsselung absolut ist: entweder ein System ist sicher für alle, oder gleichermaßen unsicher für alle. Aus diesem Grund haben zahlreiche Wissenschaftler über die letzten Jahre immer wieder offene Briefe zu diesen Thema geschrieben, darunter einige der führenden Kryptografie-Experten weltweit. Das sind die Frauen und Männer, die einige der Standards entwickelt haben, die wir heute benutzen. Auf Netzpolitik.org wurde kürzlich ebenfalls ein solcher Brief von amerikanischen und britischen Wissenschaftlern veröffentlicht.
Wissenschaftliche Sicherheitspolitik
Ich habe die Initiative mitgetragen weil es essenziell ist, dass die Sicherheitspolitik endlich den wissenschaftlichen Konsens anerkennt. Für mich verhält sich das analog zu #ScientistsForFuture, die Bewegung in der sich Klimaexperten und Naturwissenschaftler eine Stimme verschaffen und die Politik allgemein auffordern, den wissenschaftlichen Konsens zur drohenden Klimakatastrophe anzuerkennen und entsprechend zu handeln. Sicherheitspolitik ist meilenweit davon entfernt, wissenschaftlich zu sein. Das ist aber essenziell, da sicherheitspolitische Forderungen in der Digitalisierung immer invasiver werden und zunehmend Nebeneffekte haben, die nicht bedacht werden. Dabei geht es nicht mehr nur um Sicherheit vs. Freiheit, sondern um Sicherheit vs. IT-Sicherheit. Es geht dabei auch um das Vertrauen in die Digitalisierung und in den Staat. Letzteres sehe ich durch die Forderung des Innenministeriums besonders bedroht. Vor einigen Jahren wurde den Bürgern noch erklärt, man wolle Verschlüsselung nicht schwächen. Daher brauche man die ZITiS Behörde in München, damit man an der Verschlüsselung vorbei kommen könne, ohne diese zu brechen. Das sollte über das Hacking von Smartphones geschehen. Auch wenn ich kein Fan dieser Maßnahme, bin so muss doch anerkannt werden, dass dies weniger invasiv ist als Verschlüsselung als solche zu brechen bzw. Schwachstellen zu mandatieren. Von der ersten Maßnahme wären weniger Leute betroffen als von einer generellen Schwächung des Sicherheitsniveaus von Messengern. Heute sind wir an einem Punkt angelangt, in dem beides gemacht werden soll: Verschlüsselung schwächen UND staatliches Hacking/Bundestrojanereinsatz. Ich empfinde das als unehrlich und deswegen habe ich diese Initiative mitgetragen.