WhatsApp-Überwachung Die Bundesregierung plant digitale Sollbruchstellen

Ein Gastbeitrag von Sven Herpig
Ein Gastbeitrag von Sven Herpig
Deutschland treibt auf EU-Ebene die Suche nach technischen Lösungen voran, um Sicherheitsbehörden Einblicke in verschlüsselte Kommunikation zu geben. Das würde die IT-Sicherheit aller Bürger schwächen.
Jahrzehntelanger »Kryptokrieg«: Einige Messenger-Apps setzen auf Ende-zu-Ende-Verschlüsselung

Jahrzehntelanger »Kryptokrieg«: Einige Messenger-Apps setzen auf Ende-zu-Ende-Verschlüsselung

Foto:

DPA

Im Rahmen ihrer EU-Ratspräsidentschaft hätte die Bundesregierung eine Chance gehabt, dringende Themen auf die europäische Agenda zu setzen. Im Bereich der Cybersicherheit zum Beispiel hätte sie versuchen können, Europa international stärker als Gegenpol zu den offensiven Cyberstrategien der USA und Chinas zu positionieren . Stattdessen hat sie beschlossen, die sichere, verschlüsselte Kommunikation anzugreifen – eine der Grundlagen unseres digitalen Lebens und der europäischen Wirtschaft.  

Messenger wie WhatsApp, Signal oder Threema setzen Verschlüsselung ein, damit niemand, auch nicht die App-Betreiber, Zugriff auf die jeweiligen Kommunikationsinhalte haben. Das dient zum Beispiel dem Schutz vor Kriminellen. Nachrichtendienste und Polizei kritisieren jedoch seit Jahren, ihnen würden dadurch wichtige Hinweise entgehen – ohne dies empirisch belegen zu können. Dieses Für und Wider ist prinzipiell seit Jahrzehnten unter dem Stichwort »Kryptokrieg« (engl. Crypto Wars) bekannt, und in Deutschland zum Beispiel im Juni 2019 öffentlichkeitswirksam ausgetragen worden: Vertreter:innen von Zivilgesellschaft, Politik, Industrie und Wissenschaft setzten sich in einem offenen Brief gegen die Pläne der Bundesregierung zur Wehr, Hintertüren in Messengern zu mandatieren. Bisher war dieser Protest erfolgreich, doch nun versucht die Bundesregierung, das Vorhaben auf EU-Ebene voranzutreiben.

Der Entwurf eines geleakten Resolutionsentwurfs der deutschen Ratspräsidentschaft  besagt, dass technische Lösungen gefunden werden müssen, damit Sicherheitsbehörden an verschlüsselte Kommunikationsinhalte, vor allem in Messengern, gelangen können.

Die Autor:innen der Resolution wollen sich nicht in die Karten gucken lassen, wie genau das auf EU-Ebene umgesetzt werden soll. Sie verweisen stattdessen auf einen zukünftigen Dialog mit den Betreibern der digitalen Plattformen und Dienste. Offenbar sollen die Betreiber angehalten werden, eine technische Lösung für ihre Produkte bereitzustellen, entweder »freiwillig« oder durch Regulierung.

Fakt ist: Die Bundesregierung versucht über die EU-Ebene, Hunderte Millionen IT-Systeme in Europa mit digitalen Sollbruchstellen zu versehen und folgt damit den Überwachungsfantasien der angloamerikanischen Partner .

Womöglich spielt die Regierung den Kriminellen in die Hände

Ihre Argumentation lautet, Nachrichtendienste und Polizei könnten für mehr Sicherheit sorgen, wenn es solche Sollbruchstellen in der verschlüsselten Kommunikation gäbe – also gewissermaßen einen Generalschlüssel für die Sicherheitsbehörden. Als Argumente werden dafür die ganz großen Geschütze ins Feld geführt, zum Beispiel der Kampf gegen den internationalen Terrorismus. Beispiele aus der Vergangenheit und die öffentliche Beweislage aber sprechen gegen diese Sichtweise. Die terroristischen Taten des NSU und Anis Amris gehen nicht auf das Konto sicherer, verschlüsselter Kommunikation; alle relevanten Informationen lagen den Ermittlungsbehörden vor.

Eine der größten und akutesten Sicherheitsgefährdungen für Deutschland und Europa ist die kontinuierlich steigende Cyberkriminalität. Das bestätigen die Lagebilder von Bundeskriminalamt  und Bundesamt für Sicherheit in der Informationstechnik  Jahr für Jahr. Schadsoftware legt regelmäßig Firmen, Behörden, Krankenhäuser und andere kritischen Infrastrukturen lahm und bedroht so Gesellschaft und Staat. Könnte man solchen Gefahren durch die Mandatierung von Sollbruchstellen in IT-Systemen entgegenwirken? Nein, im Gegenteil: Womöglich spielt man den Kriminellen sogar noch in die Hände und befördert damit die Gefährdung der europäischen Wirtschaft und Gesellschaft zusätzlich. Denn diese Sollbruchstellen machen IT-Systeme unsicherer qua Design. Gleichzeitig setzt organisierte Kriminalität schon jetzt bei Messengern auf Eigenentwicklungen  und würde solchen Sollbruchstellen ohnehin entkommen. Würde ein Anbieter gezwungen, seinen Dienst unsicherer zu machen, würde sie eben den eigenen verwenden. Übrig blieben unsichere Messenger, welche die europäische Wirtschaft und Gesellschaft dann weiterhin einsetzen müssen, weil sie keine andere Option haben.

Sollbruchstellen können von hiesigen Behördenmitarbeiterinnen und -mitarbeitern missbraucht werden, und Cyberkriminelle können sie entdecken. Neben diesen Herausforderungen, die uns direkt und hierzulande betreffen, hätte eine Schwächung der Verschlüsselung auch gravierende Auswirkungen für Bürgerinnen und Bürger in Staaten, die ihre Bevölkerung überwachen. Wenn es diese Sollbruchstellen in Messengern gibt, dann gibt es sie nicht nur für Deutschland, sondern auch für China, Saudi-Arabien und andere Staaten. Diese Kollateralschäden muss man sich als europäischer Staat bewusst machen.

Ermittler haben schon mehr Daten, als sie verarbeiten können

Es ist ein kapitaler Denkfehler, zu sagen, dass man per Sollbruchstelle die Freiheit ein wenig einschränken müsse, damit es mehr Sicherheit gibt. Denn in Wahrheit gibt es einfach nur weniger Sicherheit für alle.

Die Argumentation, dass aufgrund der Verbreitung von sicherer, verschlüsselter Kommunikation die Arbeit der Ermittlungsbehörden unmöglich gemacht werde, klingt zwar simpel, ist aber bisher unbelegt. Es gibt keine öffentliche Beweislage, wie oft Terroristen nicht erwischt wurden, weil sie sichere, verschlüsselte Kommunikation genutzt haben. Es gibt keine Übersicht oder Evaluierung über die Art und Menge der Daten, auf die Ermittlungsbehörden heute Zugriff haben und wie sich diese Menge in den letzten dreißig Jahren entwickelt hat. Mehr noch: Die Ermittlungsbehörden haben Zugriff auf so viele Daten, dass eigens eine Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) geschaffen wurde, die sich unter anderem mit Big-Data-Analysen beschäftigen muss. Statt also deutlich zu machen, dass Behörden bereits über mehr Daten verfügen, als sie verarbeiten können, sprechen Polizei und Innenministerium immer nur von dem kleinen Anteil an Daten, auf den die Sicherheitsbehörden keinen Zugriff haben. 

Selbst wenn es aber so wäre, dass die Sicherheitsbehörden keinen ausreichenden Datenzugriff hätten, könnten sie immer noch mittels Quellen-Telekommunikationsüberwachung oder Onlinedurchsuchung in die Smartphones von Verdächtigen eindringen oder diese nach Beschlagnahmung forensisch auslesen. Das sind Befugnisse, die nach dem Kabinettsbeschluss im Oktober  aller Voraussicht nach nicht nur Polizeien, sondern auch alle Nachrichtendienste erhalten werden.

Sicherheitspolitiker:innen können heute genug Untersuchungen aus Wissenschaft, Industrie und Zivilgesellschaft zurate ziehen, um konstruierte Szenarien, Einzelfälle oder scheinbar alternativlose Vorschläge der Sicherheitsbehörden kritisch zu hinterfragen. Derzeit muss sich die Bundesregierung den Vorwurf gefallen lassen, sich vor den Karren der eigenen und der angloamerikanischen Sicherheitsbehörden spannen zu lassen. Aus Deutschland als treibender Kraft für Cybersicherheit in Europa wird allem Anschein nach ein Steigbügelhalter für weltweite Überwachung.