Datenschutz

Ver­trau­lich­keit inter­net­ba­sier­ter Kom­mu­ni­ka­ti­on in Gefahr

Der Rat der Euro­päi­schen Uni­on, der die Regie­run­gen der EU-Mit­glied­staa­ten reprä­sen­tiert, hat am 24. Novem­ber 2020 eine Reso­lu­ti­on mit dem Titel „Secu­ri­ty through encryp­ti­on and secu­ri­ty despi­te encryp­ti­on“[1]PDF ver­öf­fent­licht. Dar­in wird gefor­dert, dass Sicher­heits­be­hör­den im Rah­men ihrer gesetz­li­chen Befug­nis­se Zugriff auch auf Ende-zu-Ende-ver­schlüs­sel­te Daten erhal­ten sol­len, um sie im Klar­text lesen zu kön­nen. Wis­sen­schaft und Indu­strie wur­den zur Zusam­men­ar­beit aufgefordert.

Der Rat begrün­det die­se For­de­rung mit der Bekämp­fung von Ter­ro­ris­mus und orga­ni­sier­tem Ver­bre­chen. Dies ist die Lieb­lings- und Uni­ver­salaus­re­de der euro­päi­schen Regie­run­gen, die seit den Anschlä­gen vom 11. Sep­tem­ber 2001 für unzäh­li­ge Grund­rechts­ein­schrän­kun­gen her­hal­ten muss­te – oft auch für sol­che, die sich spä­ter als ver­fas­sungs­wid­rig herausstellten.

Ende-zu-Ende-Ver­schlüs­se­lung bezeich­net eine Art der Ver­schlüs­se­lung nach dem Public-Key-Ver­schlüs­se­lungs­ver­fah­ren, bei dem eine Nach­richt oder ande­re Daten bereits direkt am Erzeu­gungs­ort ver­schlüs­selt und nur unmit­tel­bar beim Emp­fän­ger wie­der ent­schlüs­selt wer­den. Damit wird der Inhalt der Nach­richt wäh­rend des Trans­ports auch vor Tele­kom­mu­ni­ka­ti­ons­an­bie­tern, Inter­net­pro­vi­dern und sogar dem Anbie­ter der genutz­ten Kom­mu­ni­ka­ti­ons­dien­ste geheim gehal­ten. Eine sol­che Ende-zu-Ende-Ver­schlüs­se­lung kommt bei­spiels­wei­se bei der Ver­schlüs­se­lung von E‑Mails mit­tels PGP/GnuPG oder bei ver­schie­de­nen Mes­sen­ger­dien­sten wie Three­ma oder Signal zum Ein­satz.[2]Sie­he auch unse­re Über­sicht über siche­re Mes­sen­ger im Pira­ten­wi­ki.

Eine Zugriffs­mög­lich­keit für Sicher­heits­be­hör­den wäre bei Ende-zu-Ende-Ver­schlüs­se­lung nur durch einen Gene­ral­schlüs­sel für die­se rea­li­sier­bar. Ein sol­cher Gene­ral­schlüs­sel wür­de aber jede Ver­schlüs­se­lung angreif­bar machen und das System damit ad absur­dum füh­ren; ver­gleich­bar ist das mit einem rea­len Schlüs­sel, der min­de­stens EU-weit jede Haus­tür auf­schlie­ßen kann. Zudem hat sich bereits im Fall von Sicher­heits­lücken in Betriebs­sy­ste­men, die dem „Staats­tro­ja­ner“ zum Andocken die­nen sol­len, gezeigt, dass für Sicher­heits­be­hör­den gedach­te Mecha­nis­men fast immer schon vor­her auch bös­wil­li­gen Angrei­fern zur Ver­fü­gung ste­hen – ein sol­cher Gene­ral­schlüs­sel wäre inso­fern schnell auch denen bekannt, die ein pri­va­tes oder gar wirt­schaft­li­ches Inter­es­se dar­an haben, die Kom­mu­ni­ka­ti­on von Pri­vat­per­so­nen, Behör­den und Fir­men mit­le­sen zu kön­nen. Von pri­va­ter Kom­mu­ni­ka­ti­on abge­se­hen trifft dies ins­be­son­de­re Beru­fe, in denen gehei­me Kom­mu­ni­ka­ti­on unab­ding­bar ist, etwa Anwäl­te, Ärz­te und Jour­na­li­sten, die ihre Kli­en­ten und Quel­len schüt­zen kön­nen müs­sen. Auch für Betriebs- und Geschäfts­ge­heim­nis­se bedeu­te­te eine sol­che Reform das fak­ti­sche Aus.

Pro­te­ste gibt es aus Poli­tik, Wirt­schaft und der Zivil­ge­sell­schaft. In einer gemein­sa­men Erklä­rung haben die vier Tech­no­lo­gie­un­ter­neh­men Three­ma, Tuta­no­ta, Pro­ton­Mail und Tre­sorit die Reso­lu­ti­on scharf kri­ti­siert.[3]Pres­se­mit­tei­lung (PDF) Sie erklä­ren, die Reso­lu­ti­on beru­he auf einem ein­ge­schränk­ten Ver­ständ­nis der tech­ni­schen Aspek­te von Ende-zu-Ende-Ver­schlüs­se­lung. Denn Ende-zu-Ende-Ver­schlüs­se­lung sei abso­lut, Daten sei­en ent­we­der ver­schlüs­selt oder nicht. Wäh­rend der Wunsch, den Straf­ver­fol­gungs­be­hör­den mehr Werk­zeu­ge zur Ver­bre­chens­be­kämp­fung an die Hand zu geben, ver­ständ­lich sei, sei die Auf­he­bung der Ende-zu-Ende-Ver­schlüs­se­lung dabei nicht der rich­ti­ge Weg. Mit ihr reih­te sich Euro­pa in die Rie­ge der berüch­tigt­sten Über­wa­chungs­staa­ten ein und gäbe sei­nen ein­zig­ar­ti­gen Wett­be­werbs­vor­teil bei dem Schutz der Pri­vat­sphä­re sei­ner Bür­ger leicht­fer­tig auf.
Der Cha­os Com­pu­ter Club geht über­dies davon aus, dass im Fal­le des Inkraft­tre­tens ver­mehrt ande­re For­men von Kom­mu­ni­ka­ti­on für kri­mi­nel­le Zwecke genutzt wür­den.[4]Netzpolitik.org

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der hat am 25. Novem­ber 2020 eine Stel­lung­nah­me[5]Stel­lung­nah­me (PDF) ver­öf­fent­licht. Sie schreibt:

Eine siche­re und ver­trau­ens­wür­di­ge Ver­schlüs­se­lung ist essen­ti­el­le Vor­aus­set­zung für eine wider­stands­fä­hi­ge Digi­ta­li­sie­rung in Wirt­schaft und Ver­wal­tung. Unter­neh­men müs­sen sich vor Wirt­schafts­spio­na­ge schüt­zen kön­nen. Eine Schwä­chung der Ver­schlüs­se­lungs­ver­fah­ren könn­te jedoch euro­päi­sche Unter­neh­men im glo­ba­len Markt benachteiligen.

Die Kon­fe­renz for­dert die Bun­des­re­gie­rung und die EU-Rats­prä­si­dent­schaft auf, statt­des­sen den Ein­satz von Ver­schlüs­se­lungs­lö­sun­gen sogar zu för­dern und dem Bestre­ben, die­se zu schwä­chen, ent­schie­den ent­ge­gen­zu­tre­ten. Siche­re Ende-zu-Ende-Ver­schlüs­se­lung müs­se die Regel wer­den, um gera­de im Zeit­al­ter der Digi­ta­li­sie­rung eine siche­re, ver­trau­ens­wür­di­ge und inte­ge­re Kom­mu­ni­ka­ti­on in Ver­wal­tung, Wirt­schaft, Zivil­ge­sell­schaft und Poli­tik zu gewährleisten.

Auch für die Demo­kra­tie stellt die­se Reso­lu­ti­on eine nicht zu unter­schät­zen­de Gefahr dar. Prof. Dr. Han­nes Feder­rath, Prä­si­dent der Gesell­schaft für Infor­ma­tik, sieht für die poli­ti­sche Wil­lens­bil­dung und die Gestal­tung einer frei­en Gesell­schaft eine ver­läss­li­che ver­trau­li­che Kom­mu­ni­ka­ti­on als not­wen­dig an. „Das Grund­recht auf Ver­schlüs­se­lung ist wich­tig für unse­re Demo­kra­tie – so wie es das Post­ge­heim­nis in der ana­lo­gen Welt war“, so Feder­rath.[6]Netzpolitik.org

Wir PIRATEN Braun­schweig for­dern den Rat der Euro­päi­schen Uni­on auf, sich mit den tech­ni­schen Hin­ter­grün­den der Ende-zu-Ende-Ver­schlüs­se­lung ver­traut zu machen und zu ver­ste­hen, dass die Umset­zung ihrer Reso­lu­ti­on jede Ver­schlüs­se­lung unbrauch­bar machen würde.
Wir for­dern den Rat auf, der Emp­feh­lung der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den zu fol­gen und die Ver­schlüs­se­lungs­tech­no­lo­gie in der Euro­päi­schen Uni­on zu stär­ken, anstatt sie zu schwä­chen. Den Sicher­heits­be­hör­den ste­hen im Fal­le einer straf­recht­li­chen Ermitt­lung gegen Ter­ro­ris­mus oder orga­ni­sier­tes Ver­bre­chen bereits aus­rei­chen­de Metho­den und Werk­zeu­ge zur Ver­fü­gung, die nicht die digi­ta­le Sicher­heit von Mil­lio­nen EU-Bür­gern gefährden.

Ein­zel­nach­wei­se

Ein­zel­nach­wei­se
1 PDF
2 Sie­he auch unse­re Über­sicht über siche­re Mes­sen­ger im Pira­ten­wi­ki.
3 Pres­se­mit­tei­lung (PDF)
4, 6 Netzpolitik.org
5 Stel­lung­nah­me (PDF)