13. Juli 2015
IT-Sicherheit
Verschlüsselung schützt das Leben. Nicht nur das von Kriminellen und Terroristen.
- By: Intel Free Press - CC BY-SA 2.0
„Grundsätzlich ist es in Deutschland jeder Person erlaubnisfrei gestattet, in privaten Angelegenheiten verschlüsselt zu kommunizieren. Es besteht keine Rechtsgrundlage, einzelnen Personen die Nutzung verschlüsselter Kommunikationsmethoden – aus welchem Grund auch immer – zu untersagen,“ so lautet die Antwort der Bundesregierung (BT-Drs. 18/5144) vom 11. Juni 2015 auf eine Kleine Anfrage der Fraktion Die Linke (BT-Drs. 18/5013) zu den Anstrengungen von Europol, Interpol und der Europäischen Kommission zum Aushebeln von Verschlüsselungstechniken.
Die Bundesregierung stellt ausführlich klar, wann und auf welcher rechtlichen Grundlage der staatliche Zugriff auf Kommunikation der Bürgerinnen und Bürger – auch auf die verschlüsselte Kommunikation – möglich sei:
„Dem staatlichen Zugriff auf Kommunikationsinhalte sind durch Artikel 10 des Grundgesetzes (GG) und die einschlägigen Fachgesetze enge Grenzen gesetzt. Für den Bereich der Nachrichtendienste des Bundes sind die Befugnisse in den Fachgesetzen Bundesverfassungsschutzgesetz (BVerfSchG), Bundesnachrichtendienstgesetz (BNDG) und des Gesetzes über den militärischen Abschirmdienst (MADG) sowie dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G10) geregelt. Die Befugnisse der Ermittlungsbehörden des Bundes sind im Bundeskriminalamtgesetz (BKAG), Bundespolizeigesetz (BPolG), des Gesetzes über das Zollkriminalamt und die Zollfahndungsämter (ZFdG) sowie der Strafprozessordnung (StPO) abschließend geregelt. Eingriffe in das Post- und Fernmeldegeheimnis unterliegen für den Bereich der Nachrichtendienste des Bundes zudem der Kontrolle durch die G-10-Kommission des Deutschen Bundestages.“ (BT-Drs. 18/5144, S. 3)
Sobald auf Grundlage der oben genannten Gesetze der Zugriff auf Kommunikationsinhalte, beispielsweise auf die E-Mail-Kommunikation, zulässig ist, wird verschlüsselte und unverschlüsselte Kommunikation gleich behandelt. Dies impliziert, dass es den „berechtigten Stellen“ gestattet wird, „rechtmäßig beschaffene, aber nutzerseitig verschlüsselte Kommunikation im Rahmen des technisch Möglichen zu entschlüsseln“ (BT-Drs. 18/5144, S. 3).
Der „berechtigten Stelle“ stehen dabei folgende Optionen zur Auswahl:
- Die Kommunikation selbst (im Rahmen des technisch Möglichen) zu entschlüsseln.
- Im Fall der netzseitigen Verschlüsselung durch den TK-Anbieter ist dieser gemäß § 8 Abs. 3 der Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation, TKÜV, verpflichtet, die Verschlüsselung vor der „Ausleitung“ der Kommunikation an die „berechtigte Stelle“ aufzuheben.
- Falls Ermittlungsbehörden beispielsweise im Rahmen von rechtmäßigen Ermittlungsmaßnahmen (Durchsuchung, Beschlagnahme oder Herausgabeverlangen gemäß § 95 StPO) den Zugriff auf den Schlüssel erlangen, darf dieser zur Entschlüsselung der „rechtmäßig beschaffenen“ Kommunikation verwendet werden (BT-Drs. 18/5144, S. 3-4).
Es besteht allerdings keine Rechtsgrundlage, den Nutzer zur Herausgabe des Schlüssels an die „berechtigte Stelle“ zu zwingen.
Die Frage, ob nun die Bundesregierungen außerhalb des deutschen Rechtsraumes Aktivitäten anstrebt, die zu Umgehung, Aushebeln oder Unbrauchbarmachen von Verschlüsselungstechniken führen könnten, wurde – jedenfalls im Hinblick auf die konkreten Initiativen der Europäischen Kommission, von Interpol und Europol – verneint. Einerseits wird von der Bundesregierung kein Handlungsbedarf an internationalen Initiativen hinsichtlich des Aushebelns, Umgehens oder Unbrauchbarmachens von Verschlüsselungstechniken gesehen (vgl. BT-Drs. 18/5144, S. 4). Andererseits werden zwar die Initiativen der Europäischen Kommission (d. h. „Die Europäische Sicherheitsagenda“, die IT-Unternehmen mit Strafverfolgungsbehörden und Vertretern der Zivilgesellschaft in einem „Forum“ zusammenbringen möchte) oder Europol (d. h. die „Internet Referral Unit“ zum Austausch mit den Unternehmen Google, Facebook, YouTube oder Microsoft) von der Bundesregierung in ihren Zielsetzungen unterstützt und/oder begrüßt, jedoch würden zu den offiziellen Zielen dieser Initiativen keine Aktivitäten gehören, welche auf Maßnahmen zur Umgehung, zum Aushebeln oder Unbrauchbarmachen von Verschlüsselungstechniken abzielen (vgl. BT-Drs. 18/5144, S. 5).
Verschlüsselung – Problem für die Innere Sicherheit?
Ähnlich wie der Direktor des Europol, Rob Wainwright, stellt die Bundesregierung fest, „dass die zunehmende Nutzung von Verschlüsselungstechnologien in Kriminalitätsbereichen und die daraus resultierenden Probleme bei der Identifizierung von Straftätern eine Herausforderung für die Innere Sicherheit darstellen“ (BT-Drs. 18/5144, S. 5). Auf welchem Weg – ob nun durch eine statistische Erhebung, Data Mining oder den Erhebungszeitraum betreffend – die Bundesregierung zu der Erkenntnis gelang, Kriminelle würden zunehmend Verschlüsselungstechniken nutzen, um ihre Identität zu verbergen, wird in der Unterlage leider nicht erörtert. Die Vermutung liegt nahe, dass mit Zunahme der Nutzung elektronischer Kommunikation im Allgemeinen auch die Nutzung dieser durch Terroristen und Kriminelle zugenommen hat. Obwohl auch das noch zu beweisen wäre.
Wie der US-amerikanische Sicherheitsguru Bruce Schneier bemerkte, schützt Verschlüsselung nicht nur die Identität, sie kann auch Leben (nicht nur das eigene) retten:
„If we only use encryption when we’re working with important data, then encryption signals that data’s importance. If only dissidents use encryption in a country, that country’s authorities have an easy way of identifying them. But if everyone uses it all of the time, encryption ceases to be a signal. No one can distinguish simple chatting from deeply private conversation. The government can’t tell the dissidents from the rest of the population. Every time you use encryption, you’re protecting someone who needs to use it to stay alive.“ („Why We Encrypt“, in: Schneier on security, www.bruceschneier.com, 23.06.2015).
Wenn alle Verschlüsselung benutzen, wird es nicht mehr automatisch verdächtigt sein, dass man seine Kommunikation verschlüsselt. Es mag stimmen, dass Terroristen und Kriminelle Verschlüsselung benutzen, um ihre Identität zu verbergen. Doch daraus darf nicht automatisch geschlussfolgert werden, dass jeder, der Verschlüsselungstechniken benutzt, kriminell oder Terrorist ist. Im Grundkurs über mathematische Logik lernt man, dass die Implikation aus Ereignis A „es regnet“ das Ereignis B „die Straße ist nass“ ist, d. h. „wenn es regnet, sind die Straßen nass“. Ebenfalls bekannt ist, dass Implikation nicht umkehrbar ist, d. h., aus dem Ereignis B, „die Straßen sind nass“, folgt nicht zwingend die Schlussfolgerung, dass es geregnet haben muss. Nein – ein Sprühwagen ist gerade durchgefahren!
Und genau so kann es sich mit der Nutzung von Verschlüsselungs- und Anonymisierungstechniken verhalten. Denn die gleiche Verschlüsselung „protects our data from criminals […] malicious attackers, and […] accidents“, schreibt Schneier (ebd.).