US-Gesetzesentwurf will Verschlüsselung kriminalisieren

Vor Kurzem wurde ein Gesetzesentwurf der einflussreichen US-Senatoren Richard Burr (Republikaner, North Carolina) und Dianne Feinstein (Demokraten, Kalifornien) geleakt. Der Entwurf würde wirksame Verschlüsselung kriminalisieren. IT-Produkte müssten entweder von vorne herein unsicher sein oder aber Hintertüren eingebaut bekommen. Solche Ideen sind aus vielen verschiedenen Gründen gefährlich und destruktiv.

Ein Gesetzesentwurf gegen effektive Verschlüsselung

Der neunseitige Gesetzesentwurf trägt den Titel Compliance with Court Orders Act of 2016. Die beiden verantwortlichen Senatoren, Richard Burr und Dianne Feinstein, sind nicht nur einflussreiche Netzpolitiker, sondern auch Vorsitzende des Geheimdienst-Ausschusses des US-Senats. Zwar erhielt der Entwurf bislang keine große Unterstützung – das Weiße Haus kündigte an, ihn in seiner aktuellen Form nicht vorantreiben zu wollen. Das könnte sich jedoch, entweder mit der Wahl des nächsten US-Präsidenten im Herbst oder durch andere politische Ereignisse durchaus ändern. Burr und Feinstein sind durchaus in der Lage, einiges politische Gewicht in die Waagschale zu werfen.

Wie der Name des Gesetzesentwurfs schon andeutet, wird darin von allen Menschen verlangt, einer gerichtlichen Anordnung zur Vorlage von Daten nachzukommen – und zwar in „lesbarer Form“. Wenn die Daten nicht lesbar sind, da sie verschlüsselt wurden, müssen sie für das Gericht lesbar gemacht werden. Das würde einerseits gegenüber den Urhebern der verschlüsselten Daten gelten (ähnlich dem britischen Regulation of Investigatory Powers Act, der eine Haftstrafe vorsieht, falls Verdächtige auf Aufforderung der Behörden ihre Daten nicht entschlüsseln). Andererseits soll diese Pflicht laut Gesetzesentwurf aber auch für Telekommunikations-Dienstleister gelten. Auch diese müssten also auf Aufforderung der Behörden hin die Daten ihrer Kunden im Klartext vorlegen. Das ist allerdings bei einer Ende-zu-Ende-Verschlüsselung, wie sie unter anderem beim Smartphone-Messenger WhatsApp seit Kurzem zum Einsatz kommt, technisch zunächst einmal nicht möglich. Eine solche Verschlüsselung wäre also zukünftig illegal.

Mangelnde Sicherheit oder Sicherheit mit Hintertüren

Der Einbau von Hintertüren in verschlüsselte Speicher- und Kommunikationsdienste ist in dem Gesetzesentwurf nicht explizit vorgeschrieben. Um den Vorgaben des Entwurfs gerecht zu werden, muss eine Verschlüsselung jedoch entweder ganz unterbleiben, sie muss von Anfang an unsicher umgesetzt sein (indem beispielsweise nur auf dem Transportweg verschlüsselt wird) oder es müssen Hintertüren eingebaut werden.

Jede dieser „Lösungen“ ist gefährlich und kontraproduktiv. Das fängt bereits beim Schutz gegen IT-Kriminalität an. Es ist keine Neuigkeit, dass Verbrecher versuchen, persönliche Daten mitzulesen – seien es Banking-Daten, persönliche Informationen für spätere Betrugsversuche oder sensible Geschäfts-Informationen wie Kundendaten, Strategiepapiere und Konstruktionspläne. Sobald diese Daten auf elektronischem Wege übermittelt oder gespeichert werden, müssen sie daher vor unbefugten Zugriffen geschützt werden. Eine starke, lückenlos umgesetzte Verschlüsselung ist dabei unverzichtbar. Nicht nur eine Schwächung von Verschlüsselung oder ein kompletter Verzicht auf diese wäre das Ende jedes tragfähigen Sicherheitskonzepts. Auch der Einbau von Hintertüren ist gefährlich, denn diese könnten von Kriminellen entdeckt und ausgenutzt werden. Was das angeht, sind sich IT-Sicherheitsexperten weitgehend einig. Sobald eine Software eine Schwachstelle hat, besteht das Risiko, dass diese auch von Unbefugten ausgenutzt wird.

Unangebrachtes Vertrauen in die Behörden

Hinzu kommt auch das Risiko des Missbrauchs durch die Behörden selbst. Nachdem die NSA, der britische Geheimdienst GCHQ und ihre Verbündeten jahrelang unbemerkt (bis zu den Enthüllungen Edward Snowdens) in beinahe unvorstellbarem Ausmaß Menschen in aller Welt überwacht haben, wäre es mehr als fahrlässig, ihnen einen Generalschlüssel für durch Kryptographie geschützte Kommunikation in die Hand zu geben und vorauszusetzen, dass sie mit diesem verantwortungsbewusst umgehen. Zumal eine Kontrolle dieser Behörden durch Dritte in der aktuellen Struktur so gut wie nicht vorgesehen ist (und die Herrschaften vom Geheimdienst-Ausschuss, wie der aktuelle Gesetzesentwurf zeigt, offensichtlich mehr damit beschäftigt sind, die Befugnisse der Schlapphüte noch weiter auszudehnen, als diesen kritisch auf die Finger zu schauen). Datenschutz ist ein Menschenrecht, das sorgfältig geschützt werden muss. Dafür brauchen wir Verschlüsselung – und gerade jetzt brauchen wir sie zu dringend, um sie durch unangebrachtes Vertrauen in eine vermeintliche „Trusted Third Party“ zu gefährden.

Fragwürdiger Sicherheitsgewinn

Last but not least wäre auch der Sicherheitsgewinn durch ein solches Gesetz eher zweifelhaft. Auch wenn dies von einschlägiger Seite gerne behauptet wird, wurden beispielsweise die Terroranschläge von Paris nicht mit Hilfe verschlüsselter Kommunikation geplant. Kriminelle, das lehrt die Erfahrung, finden Mittel und Wege, solche Gesetze zu umgehen, indem sie entweder auf kleinere, nicht unbedingt legale Dienste oder schlicht auf alternative Kommunikationsmittel ausweichen. Somit ist dieser Gesetzesentwurf völlig unverhältnismäßig – er bringt wenig, verursacht aber große Risiken und Nachteile für Unternehmen ebenso wie für Privatpersonen.

Kein Grund zur Sorglosigkeit

Derzeit hat der Gesetzesentwurf, wie bereits ausgeführt, noch keine große politische Unterstützung. Dagegen kommt von Datenschützern und IT-Experten einstimmige und laute Kritik. Zudem dürfte sich die Umsetzung eines solchen Gesetzes in einer Zeit, in der selbst WhatsApp das Thema Datenschutz und Verschlüsselung für sich entdeckt hat, schwierig gestalten. All das ist aber kein Grund, allzu sorglos zu werden. Solche vermeintlich wilden Ideen haben häufig die Tendenz, wieder aufzutauchen – sei es in leicht abgeschwächter, aber noch immer schädlicher Form, im politisch günstigen Moment oder als Teil irgendeines politischen Kuhhandels. Verschlüsselung ist eine zu wichtige Technologie für die Informationsgesellschaft, um sie in dieser Form vom Gesetzgeber einschränken zu lassen. Hoffen wir, dass das auch die US-Bevölkerung weiß – und unterstützen wir die dortigen Aktivisten nach Kräften, denn erfahrungsgemäß hat alles, was in Amerika passiert, gerade in der IT-Welt, auch Auswirkungen auf Europa.


Image „Vorhängeschloss“ by KRiemer (CC0 Public Domain)


schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.


Artikel per E-Mail verschicken
Schlagwörter: , , , ,

2 comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert