EU-Ministerrat: Massive Kritik an Backdoor-Plänen für Verschlüsselungen
Der EU-Ministerrat plant, die Anbieter von verschlüsselten Messenger-Diensten wie WhatsApp und Signal zu verpflichten, einen Zugang zu der geschützten Kommunikation einzurichten. Die Meldung sorgte für Aufsehen, es hagelte Kritik von Bürgerrechtlern und aus der Wirtschaft. Das Bundesinnenministerium beschwichtigt.
Von den Plänen des EU-Ministerrats berichtete zuerst der ORF, dem ein internes Dokument der deutschen Ratspräsidentschaft vorliegt. Dabei handelt es sich um den Entwurf einer Resolution, die bereits im Dezember bei der Sitzung der Justiz- und Innenminister beschlossen werden könnte.
Dem ORF-Bericht nach war es der Anschlag von Wien in der letzten Woche, der den ohnehin seit Jahren andauernden Streit um Verschlüsselungen nochmals verschärft. Die Kernaussagen im Dokument sind: Sichere Verschlüsselungsverfahren sind wichtig, um Bürger und die Wirtschaft zu schützen. Doch zugleich müssten Sicherheitsbehörden bei Bedarf auch Zugriff auf Ende-zu-Ende-verschlüsselte Inhalte haben. Wie genau das passieren soll, ist aber noch äußerst vage formuliert. So ist von einem rechtlichen Rahmen die Rede, der EU-weit gelten müsse. Erforderlich seien zudem technische Lösungen und „innovative Ansätze“, die definiert und etabliert werden sollen.
Erst aus weitergehenden Informationen, die dem ORF ebenfalls vorliegen, geht hervor, dass Plattformbetreiber wie WhatsApp oder Signal einen Generalschlüssel erzeugen sollen, um diesen bei Sicherheitsbehörden zu hinterlegen. Das ist eines von mehreren technischen Verfahren, die Geheimdienste wie das britische „National Cyber Security Center“ (NCSC) entwickelt haben. Der Entwurf liefert also den politischen und rechtlichen Rahmen, die technische Umsetzung erfolgt nochmals separat.
Bundesinnenministerium spricht von vertrauensvollem Dialog
Das Bundesinnenministerium bezieht sich auf Anfrage von ComputerBase aber ausschließlich auf den Entwurf der Resolution. So erklärte ein Sprecher heute: „Ziel der Initiative ist es, in einen dauerhaften Dialog mit der Industrie zu treten, um einen allgemeinen Konsens zu erzielen und zusammen mit der Industrie an Lösungsvorschlägen zu arbeiten, welche einen möglichst geringen Eingriff in die Verschlüsselungssysteme darstellt.“ Forderungen nach Schwächungen von Verschlüsselungssystemen beinhalte der Entwurf nicht. Vielmehr soll dieser ein „Schritt zur vertrauensvollen Diskussion und Kooperation von Politik, Wirtschaft und Academia“ sein.
Die Bundesregierung will also nach wie vor Verschlüsselungsverfahren stärken und trotzdem den Sicherheitsbehörden einen Zugang zu entsprechend geschützten Inhalten ermöglichen. „Hierfür gibt es zwar keine einfachen technischen Lösungen aber wie im Entwurf der Resolution konsequent verankert, liegt der Schwerpunkt auf der Notwendigkeit, ein Gleichgewicht zwischen dem Schutz von Firmengeheimnissen und persönlichen Daten und den Bedürfnissen der Sicherheitsbehörden zu erreichen“, so der Sprecher des Innenministeriums.
Absage für Hintertüren aus Wirtschaft und Zivilgesellschaft
Inwieweit eine „vertrauensvolle Diskussion“ angesichts des Vorgehens noch möglich ist, bleibt indes abzuwarten. Die Reaktionen aus Wirtschaft und Zivilgesellschaft sind eindeutig ablehnend. So erklärt der IT-Branchenverband Bitkom, dass Behörden zwar schwerste Kriminalität und Terrorismus konsequent bekämpfen können müssen, Hintertüren wären aber keine Lösung. „Wer Verschlüsselungen aufweicht, schwächt die IT-Sicherheit insgesamt. Backdoors sind nicht dauerhaft kontrollierbar und zugleich eine Einladung an Cyberkriminelle und ausländische Nachrichtendienste“, erklärt Susanne Dehmel als Mitglied der Bitkom-Geschäftsleitung.
Ähnlich äußert sich auch der Chaos Computer Club (CCC) in einer Stellungnahme: „Verschlüsselung kann nicht zwischen Gut und Böse unterscheiden. Entweder ist sie sicher oder sie ist es nicht.“ Verschlüsselung lasse sich nicht so schwächen, dass „die Schwächen nur durch Strafverfolgungsbehörden ausgenutzt werden können“. Ebenso kritisiert der Hacker-Verein das Vorgehen. Wenn im Entwurf des EU-Ministerrats von „gemeinsamen Lösungen“ und einem Konzept der „verantwortungsvollen Verschlüsselung“ gesprochen wird, die mit Firmen und der Wissenschaft entwickelt werden sollen, handele es sich lediglich um „euphemistische Formulierungen“.
Was sich also festhalten lässt: Der EU-Ministerrat tastet sich mit vorsichtigeren Formulierungen voran, im Kern ist es aber nach wie vor der altbekannte Streit um Verschlüsselungen. Fraglich ist zudem, wie weitreichend die Dialogangebote sind, wenn Geheimdienste auf der technischen Ebene bereits konkrete Verfahren wie den Einsatz von Generalschlüsseln favorisieren.
„Competent Authorities“: Auch Geheimdienste sollen einen Zugang erhalten
Von Interesse ist zudem, dass kurzfristig offenkundig auch die Anzahl der Behörden erweitert werden soll, die auf verschlüsselte Inhalte zugreifen können. Wie Heise Online berichtet, bezog sich die Oktober-Version des Dokuments noch auf Strafverfolger („Law Enforcement“). In der neuen Fassung vom 6. November heißt es nun aber „competent authorities“. Gemeint sind damit laut ORF die bekannten Geheimdienste, also etwa der Bundesnachrichtendienst (BND), der französische DGSE oder der britische GCHQ.
Geheimdienste sowie Sicherheitsbehörden in den USA, Europa und weiteren Teilen der Welt fordern seit Jahren, dass Hintertüren in Verschlüsselungsverfahren erforderlich seien. Erst im Oktober erklärte etwa das US-Justizministerium, auch verschlüsselte Inhalte müssten in einem „les- und nutzbaren Format“ abrufbar sein. Ebenso arbeiten Europol und die EU-Kommission an Verfahren, um Verschlüsselungen auszuhebeln.
Als Alternative zu den Hintertüren gelten die – ebenfalls umstrittenen – Staatstrojaner. Den Einsatz hatte die Bundesregierung erst vor drei Wochen ausgeweitet. Künftig sollen alle deutschen Geheimdienste diesen nutzen dürfen.