everythingpossible - stock.adobe
Verschlüsselung einschränken: Angriff auf den Datenschutz
Neben Problemen hinsichtlich der DSGVO könnten durch die faktische Aufhebung der Ende-zu-Ende-Verschlüsselung auch Cyberkriminelle leichter Zugang zu sensiblen Daten erhalten.
In der jüngeren Vergangenheit standen auf politischer Ebene immer wieder die Themen „Verschlüsselungsverbot“ sowie „Hintertür“ in Bezug auf die Verschlüsselung von Daten im Raum. Es geht um die Idee einer gesetzlichen EU-Vorgabe, die Ermittlern Zugriff auf Daten erleichtern soll und die Ende-zu-Ende-Verschlüsselung praktisch aushebeln würde. Und dies in Zeiten, in denen laut einer YouGov-Umfrage 54 Prozent der Deutschen angeben, Datenschutz sei ihnen „sehr wichtig“. Der angedachte EU-Gesetzesvorschlag wäre gerade vor dem Hintergrund des Datenschutzes und der IT-Sicherheit in Europa fatal, der Nutzen für die Strafverfolgung fragwürdig. Dieser Vorstoß muss deswegen unbedingt verhindert werden.
Im November 2020 Jahres wurden Pläne der EU-Mitgliedstaaten bekannt, die darauf abzielten, ein weitreichendes Verbot sicherer Verschlüsselungstechnologien innerhalb der Grenzen der Europäischen Union einzuführen. Der österreichische TV-Sender ORF berichtete zuerst, denn dieser konnte den Entwurf einer geplanten Deklaration des EU-Ministerrats einsehen. Im Herbst 2020 spekulierten Medien über einen Zusammenhang mit dem damaligen Terroranschlag in Wien. Konkret sollte das Verbot laut Einschätzung des ORF beinhalten, dass zum Beispiel Messenger-Dienste wie WhatsApp und Co., bei denen Ende-zu-Ende-Verschlüsselung (E2EE) zum Einsatz kommt, in Zukunft einen Generalschlüssel für verschlüsselte Chats bereitstellen müssen. Dieser Schlüssel könne dann bei Behörden eingelagert werden, die durch diese Hintertür Zugang zu privaten Daten hätten – alles unter dem Deckmantel der Terrorbekämpfung. Zurecht liefen Datenschützer Sturm und kritisierten den Vorstoß als massiven Rückschritt in Sachen Datenschutz und Datensouveränität der Nutzer.
Wenig später verabschiedeten die EU-Innenminister eine gemeinsame Erklärung zur Terrorismusabwehr, nachdem sie in einer gemeinsame Videokonferenz getagt hatten. Die Innenminister, unter ihnen Horst Seehofer, gaben in ihrem Papier an, stärker gegen digitalen Hass, Desinformation und Propaganda vorgehen zu wollen. Eine Radikalisierung von Menschen im Internet solle so verhindert werden. Hierzu sei es nötig, dass Ermittler und Behörden leichteren Zugang zu Daten erhalten. Seehofer sprach sich dafür aus, dass hier seiner Meinung nach auch verschlüsselte Informationen für die Strafverfolgung verfügbar sein sollten. Die Erklärung traf bei Datenschützern auf scharfe Kritik. Der FDP-Europaabgeordnete Moritz Körner kritisierte die Vernachlässigung der Bürgerrechte deutlich.
Entwarnung seitens der EU-Kommission?
Anfang 2021 dann schien es Entwarnung zu geben. Die EU-Innenkommissarin Ylva Johansson gab in einem Schreiben an drei Abgeordnete an, es sei keine Lösung geplant, die die Verschlüsselung prinzipiell für alle Bürger schwächen würde oder diese verbietet. Konkret gebe es laut Johansson hierzu keine Pläne. Auch die Schaffung von Hintertüren, durch die verschlüsselte Informationen ausgelesen werden könnten, seien nicht geplant. Diese Aussagen sind erfreulich, denn die EU-Kommission hatte noch im Dezember in ihren Anti-Terror-Plan einen ähnlichen Tenor wie die europäischen Innenminister an den Tag gelegt. In dem Strategiepapier hieß es, die Kommission wolle gemeinsam mit EU-Staaten an rechtlichen, operativen und technischen Lösungen für den legalen Zugang zu verschlüsselten Informationen arbeiten. Auch hier war die Kritik auf Seite der Datenschützer groß, die sich in ihren Befürchtungen in Bezug auf „technischen Hintertüren“ bestätigt sahen. Die Klarstellung von Johansson könnte also auch eine Reaktion auf den massiven Gegenwind sein. Es bleibt abzuwarten, ob der Vorstoß in dieser Form wirklich vom Tisch ist oder ob er in nächster Zeit doch wieder vorgebracht wird, sobald die mediale Aufmerksamkeit nachlässt. So mahnten Experten beim diesjährigen RIPE-Treffen (Réseaux IP Européens) – einer Tagung von IP-Adressverwaltern – Netzwerkadmins sollten sich stärker in die Diskussion rum um das Verschlüsselungsverbot einschalten, da das Thema auf politischer Seite weiterhin zur Diskussion steht und es hier neue Bestrebungen geben wird.
Das Märchen von der sicheren Hintertür
Experten sind sich einig bei der Tatsache, dass die genannte „Hintertür“ sich nicht mit den Grundsätzen des Datenschutzes und der Datensouveränität der EU-Bürger vereinbaren lässt. Im Dezember 2020 warnte der Österreichische Fachverband „Unternehmensberatung, Buchhaltung und Informationstechnologie“ (UBIT) in einer Pressemitteilung, dass Hintertüren bei der Verschlüsselung nicht nur datenschutzrechtlich bedenklich sind, sondern auch die Wirtschaft schwächen würden. Ein Sprecher des Verbandes betonte, dass diese Technologie für die betroffenen IT-Unternehmen nur sehr aufwendig umzusetzen sei. Außerdem macht sie sinnvolle Sicherheitsmaßnahmen wie die Ende-zu-Ende-Verschlüsselung zunichte. Stattdessen sprach er sich dafür aus, sichere und lokale Lösungen im Bereich Cloud zu fördern und steuerliche Anreize für die Nutzung solcher datenschutzkonformen und vertrauenswürdigen Anbieter zu schaffen.
Cyberkriminellen Tür und Tor öffnen
Neben dem Thema Datenschutz muss man ganz klar erkennen, dass auch die IT-Sicherheit innerhalb der EU massiv unter einer solchen gesetzlichen Regelung leiden würde. Neben Problemen hinsichtlich der DSGVO-Compliance können durch die faktische Aufhebung der Ende-zu-Ende-Verschlüsselung auch cyberkriminelle Gruppierungen wesentlich leichter Zugang zu sensiblen Daten von Unternehmen und Privatpersonen erhalten und diese angreifen. Das ohnehin hohe Bedrohungslevel in Sachen IT-Security würde die Lage hier noch weiter verschärfen und wäre ein großer Rückschritt für die Sicherheit innerhalb der EU und darüber hinaus. Schon jetzt profitieren Kriminelle von der aktuellen Pandemie und der allgemeinen Unsicherheit von Betrieben und Nutzern. Vor allem die Tatsache, dass viele Unternehmen von heute auf morgen auf Remote Work umstellen mussten, um den Geschäftsbetrieb möglichst einfach aufrechtzuerhalten, spielte ihnen in die Karten.
„Die lückenlose Ende-zu-Ende-Verschlüsselung muss weiterhin ein Grundpfeiler der Datensicherheit bleiben, denn nur sie garantiert maximale Sicherheit und Datensouveränität für alle Nutzer.“
Arved Graf von Stackelberg, Dracoon
Auch wäre die gesetzliche Vorgabe, Hintertüren in Technologien einzubauen, faktisch gleichzusetzen mit dem problematischen US-amerikanischen CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Der besagt, dass Ermittler bei Bedarf auf Daten von US-Tech-Konzernen zugreifen können, selbst wenn die Informationen außerhalb des Landes gespeichert sind. Und genau das sehen Betriebe und Privatnutzer hierzulande zurecht kritisch und vertrauen deswegen immer mehr europäischen Diensten, die dem CLOUD-Act nicht unterliegen. Mit dem angedachten Vorstoß gäbe es für Unternehmen und Nutzer keine Möglichkeit, ihre Daten wirklich sicher zu wissen. Denn klar ist, dass Behörden unter dem Deckmantel der Terrorbekämpfung jederzeit Zugriff haben können und Cyberkriminelle die Aufhebung der sicheren Verschlüsselung als Chance für Angriffe sehen. Es stellt sich bei so einem Szenario auch die Frage, wie die Forderung auf Zugriff auf Seiten der Ermittler gerechtfertigt werden müsste, also welche Voraussetzungen gegeben sein müssten.
Auch Strafverfolgungsbehörden wägen Nutzen und Risiken ab
Auch die betroffenen Behörden scheinen dem Vorstoß teilweise skeptisch gegenüberzustehen oder zumindest auf die Risiken hinzuweisen. Der Bayerische Landesverband der Deutschen Polizeigewerkschaft (DPolG) wies Ende 2020 in einer Mitteilung darauf hin, dass es nach Ansicht der Gewerkschaft zwar sinnvoll wäre, „wenn die Polizei im Bedarfsfall auf unverschlüsselte Kommunikation zugreifen könnte“. Gerade ein besserer Zugriff auf Verbindungsdaten (nicht aber Inhaltsdaten) sei eine Forderung der Gewerkschaft. Gleichzeitig würde aber ein umfassendes, EU-weites Verschlüsselungsverbot dazu führen, dass „Daten im Rahmen von unverschlüsselter Kommunikation von Straftätern ausspioniert und für ihre Zwecke eingesetzt werden könnten“. Weiterhin sei zu befürchten, dass „ein Verdrängungseffekt der inkriminierten Kommunikation auf ‚exotische‘ Plattformen stattfindet und so den Ermittlungsbehörden zusätzliche Schwierigkeiten bereitet“ und schließlich, dass „das Vertrauen der unbescholtenen Bürger auf eine unbeschwerte Kommunikation stark beeinträchtigt wird“.
Fazit
Zweifellos sind die Bekämpfung von Radikalisierung und Propaganda im Netz sowie die Prävention von Terrorismus wichtige Ziele von Strafverfolgern. Behörden sollten hierbei so gut wie möglich unterstützt werden, um Straftaten aufzuklären und zu verhindern. Dass diese Ziele aber auf massive Weise den Datenschutz und die IT-Sicherheit aller Unternehmen und die Persönlichkeitsrechte von Privatnutzern innerhalb der EU gefährden, ist nicht zu verantworten. Die Grundrechte der Bürger würden hier stark eingeschränkt werden und die vermeintliche Prävention würde im Cyberbereich zu mehr Kriminalität führen. Der Ansatz wäre auch nicht mit den Grundsätzen der DSGVO zu vereinbaren. Denn die Einführung der Verordnung war ein Meilenstein in Sachen Datenschutz und gab Nutzern die Kontrolle über ihre personenbezogenen Daten. Dass nun Kriminalitätsbekämpfung auf Kosten dieser hart erkämpfen Werte erfolgen soll, ist untragbar. Die lückenlose Ende-zu-Ende-Verschlüsselung muss weiterhin ein Grundpfeiler der Datensicherheit bleiben, denn nur sie garantiert maximale Sicherheit und Datensouveränität für alle Nutzer.
Über den Autor:
Arved Graf von Stackelberg ist Geschäftsführer von Dracoon.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.