Aktuell gibt es im Netz und in Foren viel Diskussionsbedarf aufgrund des Vorhabens der EU-Regierungen, sichere Verschlüsselungen zu verbieten. Nach dem Terroranschlag in Wien am 02.11.2020, bei dem ein österreichischer Attentäter vier Menschen erschossen und 23 weitere verletzt hat, fordern die EU-Regierungen Kommunikationsanbieter und Onlinedienste auf, Zweitschlüssel für Behörden zu hinterlegen. Die offiziellen Begründungen für den Ausbau der staatlichen Überwachungsmöglichkeiten sind u.a. eine effizientere Strafverfolgung und Terrorismusbekämpfung.
Kritiker dieses Vorhabens entgegnen, dass der Wiener Attentäter den Behörden längst bekannt war und aufgrund seiner Vorstrafen auf dem Radar der Polizei hätte auftauchen müssen. Laut heise.de hatte der Mann bekannterweise Kontakt zu Personen, die von österreichischen Agenten im Auftrag des deutschen Verfassungsschutzes überwacht wurden. Des weiteren habe der Terrorist im Juli versucht, in der Slowakei Munition zu kaufen, worüber Europol und das slowakische Innenministerium die österreichischen Behörden informiert hatten. Eine Benachrichtigung der Staatsanwaltschaft und eine mögliche Inhaftierung des vorbestraften Österreichers seien dennoch ausgeblieben. Hier liegt also deutlich ein Versagen der österreichischen Behörden vor. Der österreichische Innenminister Karl Nehammer (ÖVP) hat laut heise.de bereits die Versäumnisse der dortigen Ermittlungen eingeräumt.
Es stellt sich angesichts dieser offensichtlichen und der Polizei durchaus bekannten Informationen (trotz denen eine weitere Ermittlung ausgeblieben war) wohl kaum die Frage, ob eine abgehörte WhatsApp-Kommunikation einen nennenswerten Unterschied in Bezug auf den Terroranschlag in Wien gemacht hätte.
Kommunikationsdienste-Anbieter sollen Hintertüren für behördliche Zugriffe einbauen
Entgegen der Frage nach der Sinnhaftigkeit dieses Sachverhalts in Bezug auf den Wiener Anschlag, haben sich die Regierungen der EU-Mitgliedsstaaten bereits darauf verständigt, die sichere Verschlüsselung EU-weit zu verbieten. Es gibt dazu bereits einen Entwurf einer geplanten Deklaration des EU-Ministerrats, den der Österreichische Rundfunk (ORF) veröffentlicht hat. Das Dokument trägt den Titel „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“. Die Kernaussage des Entwurfs ist, dass die EU-Regierungen die Dienstebetreiber dazu verpflichten wollen, Hintertüren in ihre Anwendungen einzubauen, die es den Behörden möglich machen, die Verschlüsselung zu umgehen. Dies bedeutet in der Praxis, dass ein Generalschlüssel erzeugt und bei den Behörden hinterlegt wird, sodass sich diese in private Unterhaltungen und andere verschlüsselte Übertragungen einklinken und mitlesen können. Im Rat der EU-Minister besteht Einigkeit zu der geplanten Deklaration.
Warum sind die Behörden auf die Zusammenarbeit mit den Anbietern angewiesen?
Dies ist vor allem so, da die Verschlüsselungen immer sicherer geworden sind. Eine Vielzahl von Anbietern, darunter z.B. auch WhatsApp, Threema und Signal, verschlüsseln die Kommunikation ihrer Nutzer mittlerweile „Ende-zu-Ende“. Dies bedeutet, dass die Kommunikation zwischen den jeweiligen Endgeräten verschlüsselt wird und die Daten für niemanden, außer den Teilnehmern der Kommunikation, einsehbar sind. Die Schlüssel für die Kommunikation liegen auf den Endgeräten der Nutzer, womit die Kommunikation nicht einmal für den Dienstanbieter selbst zu entschlüsseln ist. Selbst im Fall eines behördlichen Durchsuchungsbefehls ist ein Kommunikationsanbieter technisch nicht in der Lage, die Kommunikationsdaten einzusehen bzw. einem Dritten Zugriff darauf zu gewähren. Die Daten sind folglich sicher – selbst vor Einsicht durch den Staat. Dies ist den Regierungen ein Dorn im Auge, weshalb sie mit ihrem Entwurf dafür sorgen wollen, dass die Kommunikationsanbieter Hintertüren für staatliche Zugriffe in ihre Dienste einprogrammieren.
Wenn man aus der Geschichte keine Lehren zieht
Leider ist dieses Vorhaben ziemlich kurzsichtig, wie uns die Vergangenheit eigentlich hätte lehren müssen. Die Regierung befürchtet nicht an wichtige Informationen heranzukommen – das Risiko eines Missbrauchs der Zugriffmöglichkeit ist hier erstmal zweitrangig. Dennoch gilt: Absichtlich eine Hintertür in eine Software einzuprogrammieren, bedeutet nichts anderes als künstlich eine Schwachstelle zu erzeugen. Dabei gilt natürlich: Wer immer eine Tür offen stehen lässt, sollte sicherstellen, dass nicht andere Eindringlinge sie ebenfalls betreten. Dass eine totale Absicherung gegen Missbrauch nicht möglich ist, hätte uns die Geschichte längst lehren müssen:
- Juniper-Skandal (2015): Der Netzausrüster Juniper hat gegenüber dem US-Kongress eingeräumt, dass eine auf Verlangen des US-Geheimdienstes NSA eingebaute Hintertür in Juniper-Software (Betriebssystem Screen OS) von den Geheimdiensten eines anderen Staates übernommen wurde (höchstwahrscheinlich China). Im Betriebssystem war folglich eine Überwachungsmöglichkeit für die NSA integriert, bis zu dem Zeitpunkt, wo dieser Zugang gestohlen und die NSA an ihrer eigenen Hintertür ausgesperrt wurde. Der integrierte Schadcode war z.B. in der Lage VPN-Verkehr zu entschlüsseln und komplett lesbar zu gestalten und im Nachhinein alle Spuren verschwinden zu lassen. Diese technische Möglichkeit war in jedem Fall nichts, was die NSA in den Händen von Unbefugten sehen wollte.
- WannaCry (2017): Bei WannaCry handelt es sich um eine weltweite Ransomware-Attacke, die sich eine Schwachstelle in Windows zunutze machte und so unter anderem Computer des nationalen Gesundheitssystems infizierte. Ganze Krankenhäuser waren in chaotischen Zuständen, mussten z.T. geräumt und Patienten verlegt werden, da sie vorort nicht mehr behandelt werden konnten. Interessant: Die Lücke, die sich der Erpressungstrojaner zunutze gemacht hatte, war von der NSA bereits lange bekannt gewesen („EternalBlue„) und wurde von dieser als Hintertür verwendet (und bewusst bestehen gelassen), um sich beliebig Zugang zu Windows Systemen zu verschaffen.
Dies sind nur zwei historische Beispiele, um zu verdeutlichen, wie schnell ein Missbrauch einer herstellerseitig eingebauten Hintertür in der Praxis erfolgen kann – und welches Schadpotenzial in Kauf genommen wird. Kritiker warnen aus diesem Grund immer wieder vor solch einem Szenario. Im Heise-Artikel zum Juniper-Skandal heißt es: „Ist einmal eine Hintertür eingebaut – etwa um Geheimdiensten wie der NSA Einblick in Kommunikation zu geben – können andere Akteure solch einen Zugang entdecken und ebenfalls nutzen.“ In diesem Zusammenhang sei auch der Cloud Act (2018) der amerikanischen Regierung noch einmal erwähnt. Es handelt sich hierbei um ein US-amerikanisches Gesetz, das amerikanische Internet-Firmen und IT-Dienstleister dazu verpflichtet, US-Behörden Zugriff auf gespeicherte Daten zu gewähren, sogar dann wenn die Speicherung nicht in den USA erfolgt. Durch den Cloud-Act wurde die staatliche Sicherheit und die Verfügungsgewalt der Behörden über das Recht des Einzelnen gestellt. Auch in Deutschland und in der EU gab es Diskussionen zu ähnlichen Themen (siehe unseren Blogartikel zum EuGH-Urteil zur Vorratsdatenspeicherung).
Staatliche Zugriffsmöglichkeiten: Eine Frage der Verhältnismäßigkeit
Natürlich ist die persönliche Freiheit des Einzelnen und sein Recht auf Privatsphäre, im Sinne einer Interessensabwägung, nicht unantastbar. Insbesondere bei der Verfolgung von Straftaten mit Relevanz für die Allgemeinheit können behördliche Eingriffe in die Privatsphäre durchaus legitim sein. Aber auch hier gilt der Grundsatz der Verhältnismäßigkeit. Vielleicht kann eine offengelegte Kommunikation in Einzelfällen bei der Strafverfolgung und -verhinderung hilfreich sein. Im Zweifelfall können, durch einprogrammierte Hintertüren, aber auch gefährliche Straftaten begangen werden.
Es gilt in dieser Thematik alle Seiten zu betrachten, für und wider zu erwägen und eine bedachte und weitsichtige Entscheidung zu treffen – keine voreilige. Das Wohl aller EU-Bürger sollte hier im Vordergrund stehen, nicht das Interesse einzelner Regierungen.
Quellen
Quelle 1: Artikel „EU-Regierungen planen Verbot sicherer Verschlüsselung“, abgerufen am 12.11.2020 unter https://www.heise.de/hintergrund/EU-Regierungen-planen-Verbot-sicherer-Verschluesselung-4951415.html?wt_mc=nl.red.ho.ho-nl-daily.2020-11-09.link.link
Quelle 2: #heiseshow zum Thema „Neuer Angriff auf Verschlüsselung, über Backdoors und andere Irrwege“, abgerufen am 12.11.2020
Quelle 3: Artikel „Juniper-Skandal: China übernahm angeblich Hintertür in Netzhardware“, abgerufen am 12.11.2020 unter https://www.heise.de/news/Juniper-Skandal-China-uebernahm-angeblich-Hintertuer-4942914.html