Rückkehr der Crypto Wars

David Cameron hat es zu seinem Wahlkampfthema gemacht: Er möchte im Falle seiner Wahl sicherstellen, dass Behörden und Geheimdienste in der Lage sind, sämtliche Kommunikation zu entschlüsseln. Wie dies exakt umgesetzt werden soll, ließ er indes offen. Auf diesen Zug sind jedoch in kurzer Folge Barack Obama, Thomas de Maizière und inzwischen auch der EU-Rat und Gilles de Kerchove (Anti-Terror-Koordinator der EU) aufgesprungen, so dass man sich langsam echt Sorgen machen muss, ob die gewonnen geglaubten Crypto Wars nun vor einer Renaissance stehen.

Besonders interessant ist dabei natürlich die Frage, wie so eine Einschränkung von effektiver Kryptographie funktionieren könnte. Im Wesentlichen stehen dazu nämlich zwei Möglichkeiten im Raum: einerseits die Nutzung von Backdoors in Software, Systemen oder Kryptoalgorithmen und andererseits das sogenannte Key Escrow.

Backdoors

Backdoors in Systemen sind alternative Zugriffsmöglichkeiten, die zudem üblicherweise versteckt eingerichtet werden. Bei Kryptosystemen würde jedoch die Implementierung von Hintertüren den Einbau einer fundamentalen Schwäche bedeuten, die eines der wichtigsten Prinzipien – Kerckhoffs Prinzip – verletzt. Dieses Loch in der Verschlüsselung könnte jedoch nicht nur von Ermittlungsbehörden unter Richtervorbehalt sondern potentiell von jedem genutzt werden: Kriminelle, ausländische Geheimdienste, Konkurrenten…

Key Escrow

Dass Backdoors also keine richtig gute Idee sind, wurde schon vor einigen Jahren festgestellt. Die oft favorisierte Alternative dazu firmiert unter der Bezeichnung Key Escrow (treuhändische Verwaltung von Schlüsseln durch eine staatliche Behörde). In einem System, in dem Key Escrow vorgeschrieben ist, muss jeder Nutzer von Verschlüsselungssystemen einen Entschlüsselungsschlüssel bei staatlichen Behörden hinterlegen, damit diese jederzeit Zugriff auf die geschützten Daten erhalten können.

Natürlich stellt sich auch hier die Frage, wie Schlüssel so bereitgestellt werden können, dass sie nicht (z.B. von einem Mitarbeiter der dort Zugriff hat) missbraucht werden können und dass ihr Diebstahl ausgeschlossen ist. Wie kann man sich sicher sein, dass ein Geheimdienst, der bereits heute gesetzliche Regelungen mit Füßen tritt, bei Zugriffen auf Schlüsselmaterial stets den rechtstaatlichen Weg wählt?

Folgen für den Einzelnen

Ein System, in dem der Einsatz von effektiver Verschlüsselung untersagt ist, hätte enorme Auswirkungen auf das Verhalten des Einzelnen und unser demokratisches System als gesamtes – durch Schaffung eines Panoptikums (s. auch Panoptismus). Über diese subtile Art der Kontrolle und der Manipulation habe ich bereits einmal etwas geschrieben.

Ein weiterer interessanter Punkt ist, dass für die effektive Durchsetzung eines Kryptoverbots die Unschuldsvermutung ins Gegenteil verkehrt werden müsste: Wird eine Person verhaftet, weil sie beispielsweise sichere Verschlüsselung ohne Hintertüren verwendet hat, so könnte sie einfach behaupten, den genutzten Schlüssel verloren zu haben und daher leider keinen Zugriff auf die Inhalte liefern zu können. Möchte also ein Staat diese Ausrede, die jeder jederzeit nutzen könnte, effektiv unterbinden, so müsste möglicherweise eine Person den Verlust beweisen und bis zum Gegenteil in Haft bleiben. Interessanterweise gibt es im Vereinigten Königreich bereits ein Gesetz zur verpflichtenden Herausgabe von Passwörtern (inklusive Beugehaft bei fehlender Kooperation).

Folgen für Unternehmen

Staatliche Wirtschaftsspionage ist Realität und findet statt – nicht nur durch China und Russland, sondern auch durch die USA und die westeuropäischen Länder. Hat man eine ausländische Niederlassung des eigenen Unternehmens in einem Land, das effektive Verschlüsselung verbietet, so muss man im Zweifel davon ausgehen, dass die gesamte Kommunikation dort staatlich überwacht und die relevanten Informationen an die lokale Konkurrenz weitergeleitet werden. Welches Unternehmen würde sich darauf einlassen? Offenslichtlich ist also mit einer Abwanderung von ausländischen Zweigstellen und dem damit einhergehenden Verlust von Arbeitsplätzen und Wettbewerb zu rechnen.

Folgen für Terroristen und Verbrecher

Der grundlegende Fehler in der Anti-Terror-Argumentation für ein Kryptoverbot besteht aus zwei Punkten: Erstens sind Terroristen und Schwerkriminelle nicht dumm und werden immer wieder Mittel und Wege finden, sich der Überwachung zu entziehen und zweitens werden gerade sie sich nicht davon abhalten lassen, weiterhin starke Verschlüsselung einzusetzen. Wenn ein schweres Verbrechen geplant wird, wird sich wohl kaum ein Beteiligter von den verhältnismäßig geringen Strafen von der Verwendung von starker Kryptographie abschrecken lassen; immerhin müsste er vermutlich allein für die Verabredung einer schweren Straftat für längere Zeit in ein Gefängnis. Hier wird also mal wieder das Prinzip „Verbrechen gehören verboten!“ angewendet. Tatsächlich wären also nur Kleinkriminelle und unbescholtene Bürger sowie Unternehmen von einem Kryptographie-Verbot betroffen, die ja ausdrücklich nicht Ziel dieser Maßnahme sein sollen.

Technische Folgen

Damit verschlüsselte Nachrichten verboten und ihre Verbreitung sanktioniert werden können, müssen sie erste einmal als solche identifiziert werden. Das mag bei einer PGP- oder S/MIME-verschlüsselten E-Mail relativ einfach möglich sein und wird auch bei der Nutzung von Krypto-Messengern (z.B. TextSecure, Threema) sehr schnell deutlich. Möchte jemand jedoch wirklich geheim kommunizieren, so kann er jederzeit auf Steganographie ausweichen.

Steganographie ist die Kunst, nicht nur den Kommunikationsinhalt (wie bei der Verschlüsselung), sondern den gesamten Kommunikationsvorgang zu verbergen. Wenn das Übermitteln von verschlüsselten geheimen Botschaften unter Strafe steht, dann wird möglicherweise ein harmloses Urlaubsbild verschickt, das zusätzliche verborgene Informationen übermittelt. Das interessante an moderner Steganographie ist, dass sie häufig nicht zuverlässig entdeckt werden kann – selbst wenn man eine Vermutung hat, dass beispielsweise in einem Bild ein geheimer Text eingebettet ist, kann man dies niemals mit 100% Sicherheit sagen und nachweisen. Wer sollte jemanden bestrafen, nur weil er ein Urlaubsbild ins Internet gestellt oder per E-Mail verschickt hat?

Fazit

Der Austausch geheimer Nachrichten lässt sich also niemals verhindert und kann lediglich so aufwändig werden, dass nur noch Schwerkriminelle und Terroristen auf diese Techniken zurückgreifen und sich damit der Überwachung erneut entziehen. Alle anderen sind Kollateralschaden einer unsinnigen und ineffektiven Gesetzgebung geworden und kommunizieren fortan mit der sogenannten Schere im Kopf: „Kann ich diese private Nachricht versenden oder muss ich Konsequenzen fürchten?“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.