VerschlüsselungSichere Kommunikationsanbieter warnen vor Hintertüren

Vier europäische Software-Unternehmen warnen vor dem jüngsten Vorstoß der EU-Länder, verschlüsselte Kommunikation brechen zu wollen. Hintertüren würden die Datensicherheit in Europa bedrohen, heißt es in einem gemeinsamen Schreiben am Europäischen Datenschutztag.

Die mögliche Forderung nach einem Generalschlüssel lässt sichere Kommunikation am seidenen Faden hängen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Nick

Am heutigen Europäischen Datenschutztag rufen vier Anbieter sicherer Kommunikation die EU dazu auf, ihre „verschlüsselungsfeindliche Rhetorik“ zu überdenken. Hintertüren in Verschlüsselung würden die Datensicherheit von Millionen von Europäern bedrohen und das Vertrauen in die Ende-zu-Ende-Verschlüsselung untergraben, schreiben die Unternehmen ProtonMail, Threema, Tresorit und Tutanota in einer gemeinsamen Erklärung.

Zuletzt hatte der EU-Ministerrat im Dezember einen „rechtmäßigen Zugang zu Daten“ von verschlüsselten Nachrichteninhalten gefordert. Zwar finden sich in der Resolution mit dem Titel „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ keine konkreten Vorschläge, die EU-Länder wünschen sich von den Diensteanbietern jedoch „technische und operative Lösungen“, um auf sichere Kommunikation zugreifen zu können.

Ohne Hintertüren können Anbieter auf Ende-zu-Ende-verschlüsselte Inhalte allerdings nicht zugreifen, da dies technisch nicht möglich ist. „Die Installation von Hintertüren in verschlüsselten Apps ist so, als würde man den Strafverfolgungsbehörden einen Schlüssel zum Haus eines jeden Bürgers geben“, erklären die vier betroffenen Diensteanbieter.

Debatte ohne Ende

Die im Dezember angenommene Resolution des europäischen Rates schließt an eine jahrzehntelange Debatte an. Schon im sogenannten ersten „Crypto War“ der 1990er-Jahre wurde nach Möglichkeiten gesucht, Verschlüsselung zu gewährleisten und trotzdem Zugänge für Strafverfolgungsbehörden zu ermöglichen. Doch was damals, wie netzpoltik.org jüngst schrieb, „vergleichsweise sachlich“ erwogen wurde, scheint heute wieder vergessen.

Im Oktober 2020 gab der europäische Rat „Schlussfolgerungen zur außerordentlichen Tagung des europäischen Rates heraus. Gegenstand waren COVID-19, der Binnenmarkt und die Industriepolitik, sowie Digitalisierung. In dieser Entschließung kam die Debatte um Verschlüsselung erneut auf den Tisch. Betont wurde die notwendige Verbesserung der Fähigkeit sich gegen Cyber-Bedrohungen zu schützen „insbesondere durch Quantenverschlüsselung, und den Zugang zu Daten für Gerichts- und Strafverfolgungszwecke sicherzustellen“.

Gleichzeitig wurde angeführt, dass „die europäischen Werte sowie ein hohes Maß an Datensicherheit, Datenschutz und Privatsphäre“ gewährleisten werden müssten. In der neuesten Resolution wird der Ministerrat deutlich konkreter und erwähnt die Ende-zu-Ende Verschlüsselung explizit als „wichtiges Instrument“ zum Schutz personenbezogener Daten. Im nächsten Satz wird sie hingegen zu einer große Herausforderung im Kampf gegen Cyber-Kriminalität. „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ würdigt also die Sicherheit der Nutzenden, betont aber insbesondere die Dringlichkeit für Instrumente für Justizbehörden.

Sicheres Verfahren

Ende-zu-Ende-Verschlüsselung ist ein Verfahren, das weit verbreitet Anwendung in alltäglicher Kommunikationstechnologie findet. Seit Jahren schon nutzen Messenger wie Signal, WhatsApp oder iMessage diese Technik. Ende-zu-Ende bedeutet Kommunikationsübertragung ohne Unterbrechung. Übertragene Inhalte können nur an den Endpunkten, also von den jeweiligen Kommunikationspartner:innen, entschlüsselt und ausgelesen werden.

Der Wunsch der Justizbehörden, etwa nach dem Anschlag in Wien, auf Kommunikation potenzieller Täter:innen zugreifen zu können, ist einigermaßen nachvollziehbar. Dennoch ist die viel betonte Balance ein Ding der Unmöglichkeit. Einmal eingerichtet, würden Hintertüren Verschlüsselung allgemein untergraben und zudem zu Missbrauch einladen.

Verschlüsselungstechnik ist nichts, über das argumentiert werden kann, sie beruht auf Mathematik und die ist eindeutig. Wie die Kommunikationsanbieter ProtonMail, Threema, Tresorit und Tutanota in ihrem Gegenstatement auf den Punkt bringen: „Der aktuelle Entwurf der Resolution des EU-Ministerrates beruht auf einem eingeschränkten Verständnis der technischen Aspekte von Ende-zu-Ende-Verschlüsselung. Denn Ende-zu-Ende-Verschlüsselung ist absolut, Daten sind entweder verschlüsselt oder nicht.“

Kommissarin versteckt sich hinter Worten

Obwohl bisher noch nichts entschieden ist, raten Datenschützer:innen und Expert:innen dazu aufmerksam zu bleiben. Es ist zwar noch kein Gesetz im Entwurf, die Annahme der Entschließung bereitet jedoch einen Weg für einen Entwurf der Kommission. Die zuständige EU-Innenkommissarin Ylva Johansson äußerte sich zuletzt ambivalent.

Zwar teilte sie in einem Schreiben EU-Abgeordneten Anfang Januar mit, dass es keine Pläne gebe, Verschlüsselung zu verbieten. Allerdings fügte die Kommissarin hinzu, „weiterhin gemeinsam mit den Mitgliedstaaten mögliche rechtliche, operative und technische Lösungen für den rechtmäßigen Zugang zu solchen Daten [zu] prüfen.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

3 Ergänzungen

  1. Hier muss man aufpassen und jedes gesagte (oder geschriebene) Wort mit der Goldwaage messen: Will man „gesetzlichen Zugang“ _erzwingen_ ist das ja noch kein direktes Verbot. Man macht das einfach so wie bei den Upload-Filtern, wo man am Ende der Meinung war die Platformen hätten „freie Wahl der Mittel“. Hier könnte man ähnlich verfahren: „Ihr müsst uns nur Zugang zu den E2E-Inhalten verschaffen – mit freier Wahl der Mittel. E2E-Verschlüsselung muss natürlich nicht ausgehebelt werden, ihr könnt eure Apps schließlich so umprogrammieren, dass die Daten vor der Verschlüsselung zu uns kommen ;-)“ (Also wie bei der Unterscheidung zwischen Quellen-TKÜ und Online-Durchsuchung)

  2. Derzeit scheint die Richtung wieder kleiner Unternehmen auszuschließen, der potentiell angerichtete Schaden ist aber nicht korrigiert worden (Urheberrecht z.B.), sofern ich das richtig verfolgt und beurteilt habe.

    Wir gehen also in Richtung Sowjetunion, und das Prinzip, in jedes Dorf einen Hochofen zu stellen, aber den Binnenmarkt mit Handwerk und Handel und kleinerem zu vernachlässigen, wird nicht fallengelassen. Warum soll in der IT nicht funktionieren, was in der echten Wirtschaft auch so gut funktioniert hat, egal wo?

  3. Schäuble hat im Interview gerade wieder eindrucksvoll für Freiheit eingestanden, lieber eine weniger kapable Warn App als komplettüberwachung. Lediglich das indirekte Eindampfen der demokratiespezifischen Partizipationsfähigkeit des Internets in dann noch folgenden Halbsätzen kritisiere ich.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.