Crypto Wars

Die Crpto Wars bedrohen unsere Privatsphäre weiter.

Krypto-Kriege: Nicht einen Schritt weiter

Die Krypto-Kriege toben nun schon seit Jahrzehnten. Die hitzige Diskussion hat einen neuen Höhepunkt erreicht nach der Veröffentlichung des EU-Rates Resolution zur Verschlüsselung "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung".

Obwohl in der Resolution nicht explizit erwähnt wird, dass das Ziel die Schwächung von Verschlüsselung ist, sehen Experten sie als Teil einer internationalen Strategie, Verschlüsselung generell für den Endanwender zu untergraben. Dies hat zu zu massiven Protesten der Zivilgesellschaft geführt.

Diskussion um Ende-zu-Ende-Verschlüsselung

Das Problem in dieser Diskussion ist, dass niemand zu einer wirklichen Kommunikation bereit ist. Auf der einen Seite stehen Regierungen und Strafverfolgungsbehörden, die argumentieren, sie bräuchten Hintertüren zur Verschlüsselung, um Verbrechen zu verhindern. Auf der anderen Seite stehen die Technologiefirmen und Sicherheitsexperten, die argumentieren, dass eine Hintertür nur für die "Guten" technisch unmöglich ist.

Jeder hat seinen eigenen Standpunkt und ist nicht bereit, auch nur einen Schritt nachzugeben.

Alice und Bob versuchen daher die Frage zu diskutieren, ob es uns möglich sein soll unsere Online-Kommunikation zu verschlüsseln, indem sie Argumente austauschen.

Austausch von Argumenten

Alice: Die Ende-zu-Ende-Verschlüsselung ist die sicherste Form der Verschlüsselung. Sie schützt uns vor jeglicher Art von neugierigen Blicken, vor staatlicher Spionage bis hin zu böswilligen Angriffen durch Hacker sowie vor skrupellosen Mitarbeitern von Techfirmen.

Bob: Einverstanden, Verschlüsselung schützt die Daten aller Bürger. Aber was ist mit Kriminellen, Terroristen, Kinderschändern? Wir müssen in der Lage sein, die Kommunikation gezielt zu entschlüsseln. Der Dienstanbieter muss einen zweiten Schlüssel haben, mit dem er die Inhalte von mutmaßlichen Kriminellen entschlüsseln kann. Auf diese Weise können wir sicherstellen, dass die Daten gesetzestreuer Bürger gut geschützt sind, während wir auf die Daten von Kriminellen noch zugreifen können, um Verbrechen zu verhindern.

Alice: Hm, das klingt überzeugend. Das heißt, es soll eine Verschlüsselungs-Hintertür für die Guten geben, um nur die kriminellen zu überwachen?

Bob: Ja, wenn Tech-Unternehmen in der Lage wären, Ende-zu-Ende-verschlüsselte Daten mit einem zweiten Schlüssel zu entschlüsseln, könnten sie Daten von mutmaßlichen Kriminellen auf Anfrage der Regierung herausgeben!

Alice: Das hieße, Mitarbeiter der Techfirmen entschlüsseln die angeforderten Daten mit diesem Backdoor-Schlüssel und geben sie an die Behörden weiter. In der Theorie klingt das sehr gut. Leider geht es an der Tatsache vorbei, dass nicht jeder Mitarbeiter vertrauenswürdig ist. Ich denke da nur an die jüngste Bellingcat-Untersuchung über den FSB. Dort heißt es u.a.: "Die Menschen, die diese Daten manuell abrufen, sind oft Angestellte bei Banken, Telefongesellschaften und Polizeidienststellen." Diese Menschen nehmen private Daten von Nutzern und geben sie gegen Geld weiter. Mit anderen Worten: Die Journalisten von Bellingcat waren in der Lage, hochsensible Informationen über russische Geheimdienstmitarbeiter zu bekommen, indem sie einfach Geld für die Daten bezahlten. Das ist das Problem mit Hintertüren. Es ist leicht, sie auszunutzen.

Bob: Dann müssen wir es schwieriger machen! Wenn nur die Regierung solche Daten anfordern darf und alles andere ist illegal? Also das Beispiel gerade ist illegal und solche Mitarbeiter/Unternehmen könnten per Gesetz bestraft werden, wenn sie die Daten der Nutzer nicht adäquat schützen?

Alice: Ja, aber egal wie schwierig es ist, wenn die Möglichkeit da ist, wird Missbrauch passieren. Zwei Gefahren kommen mir spontan in den Sinn, möglicherweise gibt es noch mehr: Erstens könnten die Daten so wertvoll sein, zum Beispiel Geschäftsgeheimnisse, dass andere sehr viel Geld dafür bezahlen. Wären die Gesetze dann in der Lage, jeden Mitarbeiter davon abzuhalten, eine Backdoor zu missbrauchen? Und, zweitens, nehme ich an, dass in dem eben genannten Szenario die Regierungen die "Guten" sind?

Bob: Ja, so sollte es auch sein. Wenn man seiner eigenen Regierung nicht trauen kann, wem sonst kann man trauen?

Alice: Das ist es, was hier zur Debatte steht. Demokratien wurden aufgebaut, um eine große Bedrohung im Auge zu behalten: dass die Regierung böse werden könnte. Das ist der Grund, warum wir die Gewaltenteilung haben, die Garantie einer freien Presse und verfassungsmäßige Rechte wie die Meinungsfreiheit und das Recht auf Privatsphäre. Aus diesem Grund lehnen sogar Deutsche Richter Verschlüsselungs-Hintertüren ab.

Bob: Aber das Recht auf Privatsphäre ist nicht gleich das Recht auf Verschlüsselung!

Alice: Andererseits, was ist Verschlüsselung? Es ist wie eine geheime Sprache, die niemand, der das Gespräch abhört, verstehen kann. Wenn wir Verschlüsselung online verbieten, könnten Kriminelle dann nicht immer noch ihre eigene Geheimsprache erfinden?

Bob: Ja, das ist richtig. Aber zumindest die Strafverfolgungsbehörden könnten dann nach den Daten fragen und sehen, was sie damit machen können.

Alice: Ist das nicht jetzt schon bei verschlüsselten Daten der Fall?

Alice und Bob könnten diese Unterhaltung ewig fortsetzen, da sie sich im Kreis drehen. Das Problem - und das ist, was Politiker gerne komplett aus der Diskussion heraushalten - ist, dass Verschlüsselung gar nicht verboten werden kann.


Krypto-Kriege - Fazit

In der obigen Diskussion wurde versucht, das Für und Wider der Rücknahme von Verschlüsselung zu argumentieren. Allerdings muss jedes Pro abgelehnt werden, wenn man sich vor Augen hält, dass die Verschlüsselung als solche - die Technologie, Daten Ende-zu-Ende zu verschlüsseln - nicht verhindert werden kann. Daher wird jeder Versuch von Regierungen, die Verschlüsselung in bestimmten Diensten zu schwächen, niemals das erreichen, was man eigentlich erreichen will erreichen: Kriminelle davon abzuhalten, Verschlüsselung zu nutzen.

Die unbequeme Wahrheit ist, dass eine Schwächung der Verschlüsselung sie nur für gesetzestreue Bürger schwächen wird, nicht für Kriminelle. Anstatt nach Verschlüsselungs-Hintertüren zu fragen und allgemeine Massenüberwachung zu ermöglichen, sollten sich Politiker und Strafverfolgungsbehörden auf andere Ermittlungstechniken konzentrieren.

Es ist wie das berühmte Zitat von Phil Zimmermann: "Wenn die Privatsphäre geächtet wird, haben nur noch Gesetzeslose Privatsphäre."

1. Verschlüsselung kann nicht geächtet werden

Selbst wenn die Verschlüsselung in bestimmten Online-Diensten geschwächt wird, können Kriminelle immer noch ihre eigene Geheimsprache erfinden oder eigene verschlüsselte Apps entwickeln, die nicht über die Standard-Play-Stores in Umlauf gebracht werden. Kriminelle könnten auch die in Thunderbird eingebaute E-Mail-Verschlüsselung nutzen.

2. Hintertüren nur für die Guten sind unmöglich

In der Diskussion der Krypto-Kriege hören wir oft die Forderung, Hintertüren nur für die "Guten" zu implementieren. Eine solche Hintertür nur für die "Guten" ist jedoch gänzlich unmöglich. Neben dem Risiko von bestechlichen Mitarbeitern ist es unmöglich zu definieren, wer der "Gute" ist. Angenommen, wir hätten einen Generalschlüssel für die "Guten": Wie würden wir sicherstellen, dass die "Guten" niemals böse werden? Wie würden wir sicherstellen, dass die "Guten" niemals ihre Macht missbrauchen? Wie würden wir sicherstellen, dass ein solcher Generalschlüssel niemals in die falschen Hände gerät? Zur Veranschaulichung sind hier einige berühmte Backdoor-Fails.

Es gibt weltweit viele Beispiele, die belegen, dass die Regierung nicht mit den Guten gleichgesetzt werden kann. Wenn europäische Diensteanbieter gezwungen wären, Backdoors für Regierungszugriffe zu implementieren, wie könnte Europa sicherstellen, dass die Daten von politischen Gegnern, von Aktivisten, von Journalisten in Ländern, die sich nicht an die Rechtsstaatlichkeit halten, wie Ungarn, Russland, China, usw., geschützt werden?

Zach Weinersmith hat einen großartigen Comic gemacht, der zeigt, was es bedeuten würde, wenn die Regierung einen Universalschlüssel zu unserer Online-Kommunikation hätte - auch in demokratischen Ländern:

Comic über Verschlüsselungs-Hintertüren und was das für Ihre Privatsphäre bedeutet

Verschlüsseln oder nicht verschlüsseln

Wir müssen akzeptieren, dass Verschlüsselung binär ist: Sie ist entweder "an" oder "aus". Es gibt kein Dazwischen.

Die eigentliche Frage der Krypto-Kriege ist, ob wir ein digitales Geheimnis für 450 Millionen Europäer erlauben oder verbieten wollen.

Um zu einer Antwort auf diese Frage zu kommen, müssen wir Folgendes diskutieren:

  • Wie viel Überwachung kann eine Demokratie ertragen?

  • In welcher Art von Gesellschaft wollen wir leben?

Die Frage, wie wir einen Generalschlüssel für die "Guten" entwickeln könnten, ist eine Schein-Diskussion, die von diesen wahren Fragen ablenken soll.