Alltägliche Dienste wie Messenger sind heute so gut geschützt wie früher nur brisante Dokumente. Das hilft sowohl Privatpersonen als auch Unternehmen. Das hilft allerdings ebenso Kriminellen und Terroristen. Wie ist mit diesem Zwiespalt umzugehen? Das ist eine laufende Debatte, die wir hier erklären möchten.
Dieselbe Verschlüsselung, die US-Behörden für Dokumente der Stufen «geheim» und «streng geheim» einsetzen, findet sich heute auf Computern und Smartphones. Mit einem Klick ist sie aktiviert, manchmal ist sie sogar Standard. Messenger-Dienste wie «Signal» oder «Threema», die für jeden verfügbar sind, bieten einen Schutz, der gleichzeitig gut genug ist für Whistleblower Edward Snowden. Kurz gesagt: Wir alle können unsere Kommunikation in einem Mass schützen, wie es früher nur für Behörden oder grösseren Unternehmen möglich war.
Das Gute daran: Es sorgt für Sicherheit – ganz automatisch und alltäglich. Es sind keine speziellen Kenntnisse notwendig. Und das ist gut so: Schliesslich ist Datenschutz wichtiger denn je. Verschlüsselte Kommunikation und Daten sind eine Abwehrmassnahme gegen Cyberangriffe. Die brauchen deshalb andere Einfallstore.
Das Schlechte daran: Es hilft auch Kriminellen und Terroristen. Denn selbst wenn Behörden einen Anbieter wie Signal zur Herausgabe von Informationen bringen, ist das Ergebnis nahezu wertlos. Da die Unterhaltungen Ende-zu-Ende-verschlüsselt sind, kann auch Signal selbst sie nicht auslesen. Oder Behörden stellen ein Smartphone bei einem Verdächtigen sicher, können es aber nicht durchsuchen, da es sowohl gesperrt als auch verschlüsselt ist. US-Senator Tom Cotton stellte deshalb beispielsweise fest, dass Technologie-Unternehmen und ihre Angebote zu einem «gesetzlosen Spielplatz für kriminelle Aktivitäten» geworden seien.
Entsprechend kommt immer wieder die Forderung auf, «Hintertüren» für solche Zwecke in die Dienste und Verschlüsselungen einzubauen. Die Idee: Zur Strafverfolgung können entsprechend berechtigte Einrichtungen einen Zugang zu den ansonsten gesicherten Informationen fordern. Hersteller und Anbieter müssten also einen Weg finden, die Verschlüsselung auf Anfrage zu umgehen.
Datenschützer, IT-Experten und sogar Geheimdienste sind allerdings vielfach strikt dagegen. Ein wesentliches Argument: Es ist abzusehen, dass eine solche Hintertür über kurz oder lang ebenso von Kriminellen oder fremden Geheimdiensten ausgenutzt würde. Die Verschlüsselung selbst wäre damit hinfällig und wirkungslos.
«Die Installation von Hintertüren in verschlüsselten Apps ist so, als würde man den Strafverfolgungsbehörden einen Schlüssel zum Haus eines jeden Bürgers geben», schrieben mehrere Software-Anbieter in einem Appell an EU-Politiker. Beim Thema Verschlüsselung sei kein Kompromiss möglich: «Daten sind entweder verschlüsselt oder nicht.»
Und der Schweizer Softwarehersteller totemo ag erklärte in einer Pressemitteilung:
«Ein staatlicher Ausnahme-Zugang würde die Verschlüsselung und den Schutz der Privatsphäre grundsätzlich schwächen, da Angreifer – etwa Hacker, Geheimdienste oder autoritäre Staaten – jetzt nur noch an einer zentralen Stelle ansetzen müssten, um an die Schlüssel zu gelangen.»
Zugleich würden Terroristen und Kriminelle schlicht auf andere Werkzeuge ausweichen. «Open Source»-Projekte haben zudem in vielen Fällen keinen offiziellen Hauptsitz und können daher nicht wie Unternehmen und Konzerne zur Kooperation gezwungen werden.
Mit anderen Worten: Solche Hintertüren würden vor allem die Datensicherheit für Bürger, Unternehmen und andere Organisationen schwächen. «Sie schaffen damit eine Welt, in der Kriminelle eine höhere Sicherheit haben als rechtschaffende Bürger», erklärte Riana Pfefferkorn, Expertin für Überwachung und Cybersecurity am Stanford Center für Internet and Society.
Und genau das Problem sehen beispielsweise Geheimdienste: Werden Verschlüsselungen geschwächt, betrifft das auch ihre eigene Kommunikation. Der frühere General Counsel des FBI, Jim Baker, schreibt in einem Essay:
«Es ist an der Zeit, dass Regierungsbehörden – einschliesslich der Strafverfolgungsbehörden – Verschlüsselung akzeptieren, denn sie ist einer der wenigen Mechanismen, mit denen sich die USA und ihre Verbündeten effektiver vor existenziellen Bedrohungen der Cybersicherheit, insbesondere aus China, schützen können.»
Ähnliche Töne hört man aus Europa. Der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber sieht eine «Kultur der grundsätzlichen Verschlüsselung» als wichtiges Ziel an. Er befürwortet die Festschreibung eines «Rechts auf Verschlüsselung».
Hinzu kommt, dass die Sicherheit der Dienste und Geräte bereits heute nicht so unüberwindbar ist, wie es manchmal diskutiert wird. Eine Untersuchung der John Hopkins University fand beispielsweise heraus, dass viele Daten auf einem iPhone nach dem Einschalten und ersten Entsperren dauerhaft entschlüsselt vorliegen. Das Sperren des Geräts erschwert demnach zwar den direkten Zugriff, reaktiviert aber nicht immer und überall die Verschlüsselung.
Darüber hinaus erklärt der Report, dass Apple keine klaren Aussagen dazu mache, in welcher Form «iCloud»-Backups abgesichert sind. Einer der Autoren der Studie, Matthew Green, erklärte gegenüber dem Magazin Wired: «Warum brauchen wir also eine Hintertür für die Strafverfolgung, wenn der Schutz, den diese Geräte tatsächlich bieten, so schlecht ist?»
Zudem gibt es bereits Fälle, in denen auch solche Kriminellen gefasst wurden, die auf «sichere» Anwendungen und Geräte gesetzt haben. Oftmals kommt hier Schadsoftware zum Einsatz, die zum Beispiel Tastatureingaben oder den Datenverkehr direkt auf dem Gerät abfängt. Dieses Vorgehen führt allerdings in eine weitere Debatte, weil hier oftmals nicht öffentlich gemachte Sicherheitslücken ausgenutzt werden – was wiederum andere Angriffe ermöglicht.
Das Für und Wider allgemein verfügbarer, sicherer Verschlüsselung ist letztlich kein Thema, das sich mit ein paar kurzen Sätzen erläutern lässt. Wie so oft ist die Wirklichkeit kompliziert. Strafverfolgungsbehörden haben natürlich gute Gründe, warum sie Zugriff auf Kommunikation und Daten brauchen. Zugleich scheint ein Kompromiss oder eine Balance nicht möglich, glaubt man zahlreichen Fachleuten. Demnach ist eine Verschlüsselung entweder sicher oder sie ist es nicht.