video_label

Verschlüsseln statt Ausschnüffeln!

Von Dipl.-Ing. Markus Ihle

 

Die Bundesregierung - vertreten durch ihren Innenminister Horst Seehofer (CSU) - plant wieder einmal einen neuen Lauschangriff. Dieses Mal auf europäischer Ebene und im Gleichtakt mit den anderen Innenministern der EU möchte sie an die bisher sicher verschlüsselten Nachrichten von Internetplattformen wie WhatsApp, Facebook und Co. Der sperrige Titel des Resolutionsentwurfs aus dem Ministerrat: “Security through encryption and security despite encryption” (Dt. “Sicherheit durch Verschlüsselung und [öffentliche] Sicherheit trotz Verschlüsselung”). Also quasi alles soll irgendwie sicherer werden, soweit die Theorie. Nur gibt es dafür keine bekannte oder gar bewährte technische Lösung, die einen dann möglichen Missbrauch durch staatliche Institutionen oder andere Dritte wirksam verhindern könnte. Denn der Bürger hat ein Recht auf Privatsphäre, auch und gerade gegenüber staatlichen Organen. Beispiele für staatliche Überwachungslust finden sich zu Genüge in der europäischen Geschichte, von der “Schwarzen Kammer” Ludwig des XIV. bis zur Staatssicherheit der DDR.

Aber rollen wir das Thema doch schrittweise und mit mehr inhaltlicher Tiefe auf! Eine gegen Mitlesen abgesicherte Internetverbindung ist heute Stand der Technik, wenn IT-Geräte wie Mobiltelefone und PCs Informationen austauschen. Zum Beispiel beim Versenden von Chat-Nachrichten. Man verwendet dabei sogenannte Ende-zu-Ende-Verschlüsselung, um diese geschützt gegen Mitlesen auszutauschen. Die Nachricht wird also auf dem einen Gerät mit einem geheimen Schlüssel verschlüsselt und auf dem anderen zum Lesen mit demselben entschlüsselt. Ähnliche Verfahren werden außerdem oft parallel verwendet, um Veränderungen am Inhalt der Nachricht zu erkennen. Kein anderes Gerät oder Mensch kennt dieses Geheimnis und keiner außer dem legitimen Empfänger kann die Nachricht folglich entschlüsseln, auch nicht der Betreiber der Plattform. Aus der Sicht von Cybersicherheitsexperten ein großer Gewinn an Sicherheit, denn gar zu oft geht irgendwo auf dem weiten Weg des Internets etwas schief, versuchen neugierige Systeme oder Menschen mitzulesen, auszuwerten, gar zu verändern.

Nutzt man also keine Verschlüsselung, dann ist das wie eine Postkarte im Postverkehr, die jeder Beteiligte mühelos mitlesen kann. Verschlüsselt man dagegen, ist das wie ein Brief mit blickdichtem Umschlag. Kaum ein Mensch kommt jetzt auf die Idee, seine Krankengeschichte, intime Vorlieben oder Details zur finanziellen Situation per Postkarte zu versenden. Dafür ist den allermeisten Menschen der Schutz ihrer Privatsphäre viel zu wichtig. Nutzt man das Internet unverschlüsselt, macht man aber genau das - man lädt quasi zum Mitlesen ein!

Dass also der Verzicht auf Verschlüsselung keine gute Idee ist, haben sicher auch Innenminister verstanden. Nicht zuletzt trommelt auch das dem Bundesinnenministerium unterstellte Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Jahren genau dafür! Jetzt versucht man sich im oben zitierten Positionspapier an der Quadratur des Kreises: Es soll irgendwie sicher bleiben, aber ein Mitlesen doch möglich sein. Und in der Diskussion kommen die üblichen Verdächtigen wieder hoch: Sogenannte “Backdoors” (geheime Hintertüren) in die Verschlüsselung, Datenbanken mit Zweit- und Generalschlüsseln usw. Das ist ungefähr so erfolgversprechend wie analog gesprochen die Einführung kleiner, ganz geheimer Schlitze in Briefumschlägen zum Mitlesen für die Nachrichtendienste oder ein zig-tausendfaches Ablegen des Wohnungstür-Zweitschlüssels bei einer öffentlichen Stelle (Verwaltung, Polizei,...) für den Fall einer geheimen Hausdurchsuchung. Selbstverständlich wäre der Schlitz irgendwann doch bekannt, denn wertvolle Geheimnisse bleiben seltenst wirklich Geheimnisse. Oder ein zentral abgelegter Wohnungstür-Schlüssel würde kopiert oder entwendet und missbraucht. Auch ohne eine vorherige richterliche Anordnung. Kurz gesagt: Wunschdenken dominiert bei den europäischen Innenministern.

Werden geheime Schlüssel mit einem zeitgemäßen Verschlüsselungsverfahren genutzt, sind die Nachrichten heutzutage so sicher, dass selbst staatliche Dienste sie nicht entschlüsseln und damit auch nicht ausschnüffeln können. Auch nicht die fachlich wirklich guten! War also das Mitlesen von Postkarten generell - und sogar Briefen bei ein paar wenigen Zielpersonen - für staatliche Akteure in der Vergangenheit noch recht leicht, sehen sie nun zunehmend weniger Inhalt. Das macht sie besorgt, denn so die einfach klingende Rechtfertigung: Je weniger Schnüffelei durch Überwachung, desto weniger Wissen über potentielle Täter und daher weniger öffentliche Sicherheit. Klingt gut, ist aber nicht bewiesen und in Teilen nachweislich falsch.

Zwar ist es korrekt, dass durch Verschlüsselung weniger Nachrichteninhalte direkt mitlesbar sind, das war ja der Zweck derselben, allerdings lässt sich immer noch feststellen, welches Gerät wann mit welchen Nachrichten ausgetauscht hat, also übertragen auf unser Postbeispiel die Absender- und Empfängeradresse sowie der Zeitpunkt des Versendens sowie des Empfangens. Aktivität in Netzwerken kann also problemlos beobachtet werden im Hinblick auf Teilnehmer und Häufigkeit der Kommunikation. Auch kann man versuchen, das Mobiltelefon oder den PC direkt mit einem Trojaner zu versehen und die Informationen direkt bei der Nachrichtenein- und Ausgabe abzugreifen. Stichwort “Staatstrojaner” und Online-Durchsuchung wer hier tiefer eintauchen möchte.

Auch sind bekanntermaßen vor den Anschlägen von Wien, Berlin und Paris immer nachrichtendienstliche oder öffentlich einsehbare Informationen über die Täter vorgelegen. Sie wurden aber nicht ausgewertet, nicht beachtet, nicht weitergeleitet usw. und keine gezielten Schutz- oder Abhörmaßnahmen veranlasst. Ein Mehr an Information, also an Hinweisen, führt also nicht auch zu einem Mehr an Sicherheit.

Wenn also diese Forderungen nach mehr Daten zur Erhöhung der Sicherheit kein stichfestes Argument sind - warum werden sie dann so oft erhoben? Ist es Orwellscher Überwachungswahn oder eine Verschwörung der Regierenden? Nein! Der Grund ist wohl viel simpler, es bedarf auch hier keiner Verschwörungsmythen: Die für die Fahndungs- und Präventionsmisserfolge Verantwortlichen wollen ablenken, beschwichtigen. Immer nach dem Motto “Es lag ja nicht an meiner Umsetzung und Wahrnehmung meiner Verantwortung, ich hatte nur nicht die notwendigen Zugriffsrechte!” Verbunden mit einer Angst, dem Wähler reinen Wein einzuschenken, denn die ehrliche Aussage wäre immer “Es gibt keine 100%ige Sicherheit”! Übrigens nicht bei Kernkraftwerken, nicht bei Internetsicherheit und nicht vor Gewalt Einzelner in einer freien Gesellschaft. Es existieren immer Restrisiken, die gegen andere Risiken - oder Chancen - abgewogen werden müssen. Dazu kommt noch ein fachlich dünnes Verständnis bezüglich Technik, speziell Cybersicherheit. Welche fachlichen Kompetenzen kann man dem Innenministerium hier fairerweise unterstellen? Der Markt für IT- und Cybersicherheits-Experten ist nicht so, dass er eine Tätigkeit im öffentlichen Dienst nahelegen würde. Die Wirtschaft saugt nahezu alle Kompetenz ab. Wo sie dennoch vorhanden ist (BSI), wird sie offenkundig von den Ministerien nicht immer angefragt.

Machen wir es kurz: Der Schutz der Privatsphäre ist ein existentielles Bürgerrecht, das zunehmend durch verschlüsselte Internetkommunikation sichergestellt wird. Eingriffe in ihre Qualität oder Verfügbarkeit ermöglichen ein Ausschnüffeln der Privatsphäre durch Polizei, Nachrichtendienste, Konzerne oder Kriminelle. Ohne eine auch nur ansatzweise belegte Erhöhung der öffentlichen Sicherheit!

expand_less