Datenschutz

Vertraulichkeit internetbasierter Kommunikation in Gefahr

Der Rat der Europäischen Union, der die Regierungen der EU-Mitgliedstaaten repräsentiert, hat am 24. November 2020 eine Resolution mit dem Titel „Security through encryption and security despite encryption“[1]PDF veröffentlicht. Darin wird gefordert, dass Sicherheitsbehörden im Rahmen ihrer gesetzlichen Befugnisse Zugriff auch auf Ende-zu-Ende-verschlüsselte Daten erhalten sollen, um sie im Klartext lesen zu können. Wissenschaft und Industrie wurden zur Zusammenarbeit aufgefordert.

Der Rat begründet diese Forderung mit der Bekämpfung von Terrorismus und organisiertem Verbrechen. Dies ist die Lieblings- und Universalausrede der europäischen Regierungen, die seit den Anschlägen vom 11. September 2001 für unzählige Grundrechtseinschränkungen herhalten musste – oft auch für solche, die sich später als verfassungswidrig herausstellten.

Ende-zu-Ende-Verschlüsselung bezeichnet eine Art der Verschlüsselung nach dem Public-Key-Verschlüsselungsverfahren, bei dem eine Nachricht oder andere Daten bereits direkt am Erzeugungsort verschlüsselt und nur unmittelbar beim Empfänger wieder entschlüsselt werden. Damit wird der Inhalt der Nachricht während des Transports auch vor Telekommunikationsanbietern, Internetprovidern und sogar dem Anbieter der genutzten Kommunikationsdienste geheim gehalten. Eine solche Ende-zu-Ende-Verschlüsselung kommt beispielsweise bei der Verschlüsselung von E-Mails mittels PGP/GnuPG oder bei verschiedenen Messengerdiensten wie Threema oder Signal zum Einsatz.[2]Siehe auch unsere Übersicht über sichere Messenger im Piratenwiki.

Eine Zugriffsmöglichkeit für Sicherheitsbehörden wäre bei Ende-zu-Ende-Verschlüsselung nur durch einen Generalschlüssel für diese realisierbar. Ein solcher Generalschlüssel würde aber jede Verschlüsselung angreifbar machen und das System damit ad absurdum führen; vergleichbar ist das mit einem realen Schlüssel, der mindestens EU-weit jede Haustür aufschließen kann. Zudem hat sich bereits im Fall von Sicherheitslücken in Betriebssystemen, die dem „Staatstrojaner“ zum Andocken dienen sollen, gezeigt, dass für Sicherheitsbehörden gedachte Mechanismen fast immer schon vorher auch böswilligen Angreifern zur Verfügung stehen – ein solcher Generalschlüssel wäre insofern schnell auch denen bekannt, die ein privates oder gar wirtschaftliches Interesse daran haben, die Kommunikation von Privatpersonen, Behörden und Firmen mitlesen zu können. Von privater Kommunikation abgesehen trifft dies insbesondere Berufe, in denen geheime Kommunikation unabdingbar ist, etwa Anwälte, Ärzte und Journalisten, die ihre Klienten und Quellen schützen können müssen. Auch für Betriebs- und Geschäftsgeheimnisse bedeutete eine solche Reform das faktische Aus.

Proteste gibt es aus Politik, Wirtschaft und der Zivilgesellschaft. In einer gemeinsamen Erklärung haben die vier Technologieunternehmen Threema, Tutanota, ProtonMail und Tresorit die Resolution scharf kritisiert.[3]Pressemitteilung (PDF) Sie erklären, die Resolution beruhe auf einem eingeschränkten Verständnis der technischen Aspekte von Ende-zu-Ende-Verschlüsselung. Denn Ende-zu-Ende-Verschlüsselung sei absolut, Daten seien entweder verschlüsselt oder nicht. Während der Wunsch, den Strafverfolgungsbehörden mehr Werkzeuge zur Verbrechensbekämpfung an die Hand zu geben, verständlich sei, sei die Aufhebung der Ende-zu-Ende-Verschlüsselung dabei nicht der richtige Weg. Mit ihr reihte sich Europa in die Riege der berüchtigtsten Überwachungsstaaten ein und gäbe seinen einzigartigen Wettbewerbsvorteil bei dem Schutz der Privatsphäre seiner Bürger leichtfertig auf.
Der Chaos Computer Club geht überdies davon aus, dass im Falle des Inkrafttretens vermehrt andere Formen von Kommunikation für kriminelle Zwecke genutzt würden.[4]Netzpolitik.org

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 25. November 2020 eine Stellungnahme[5]Stellungnahme (PDF) veröffentlicht. Sie schreibt:

Eine sichere und vertrauenswürdige Verschlüsselung ist essentielle Voraussetzung für eine widerstandsfähige Digitalisierung in Wirtschaft und Verwaltung. Unternehmen müssen sich vor Wirtschaftsspionage schützen können. Eine Schwächung der Verschlüsselungsverfahren könnte jedoch europäische Unternehmen im globalen Markt benachteiligen.

Die Konferenz fordert die Bundesregierung und die EU-Ratspräsidentschaft auf, stattdessen den Einsatz von Verschlüsselungslösungen sogar zu fördern und dem Bestreben, diese zu schwächen, entschieden entgegenzutreten. Sichere Ende-zu-Ende-Verschlüsselung müsse die Regel werden, um gerade im Zeitalter der Digitalisierung eine sichere, vertrauenswürdige und integere Kommunikation in Verwaltung, Wirtschaft, Zivilgesellschaft und Politik zu gewährleisten.

Auch für die Demokratie stellt diese Resolution eine nicht zu unterschätzende Gefahr dar. Prof. Dr. Hannes Federrath, Präsident der Gesellschaft für Informatik, sieht für die politische Willensbildung und die Gestaltung einer freien Gesellschaft eine verlässliche vertrauliche Kommunikation als notwendig an. „Das Grundrecht auf Verschlüsselung ist wichtig für unsere Demokratie – so wie es das Postgeheimnis in der analogen Welt war“, so Federrath.[6]Netzpolitik.org

Wir PIRATEN Braunschweig fordern den Rat der Europäischen Union auf, sich mit den technischen Hintergründen der Ende-zu-Ende-Verschlüsselung vertraut zu machen und zu verstehen, dass die Umsetzung ihrer Resolution jede Verschlüsselung unbrauchbar machen würde.
Wir fordern den Rat auf, der Empfehlung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden zu folgen und die Verschlüsselungstechnologie in der Europäischen Union zu stärken, anstatt sie zu schwächen. Den Sicherheitsbehörden stehen im Falle einer strafrechtlichen Ermittlung gegen Terrorismus oder organisiertes Verbrechen bereits ausreichende Methoden und Werkzeuge zur Verfügung, die nicht die digitale Sicherheit von Millionen EU-Bürgern gefährden.

Einzelnachweise

Einzelnachweise
1 PDF
2 Siehe auch unsere Übersicht über sichere Messenger im Piratenwiki.
3 Pressemitteilung (PDF)
4, 6 Netzpolitik.org
5 Stellungnahme (PDF)