In den letzten Jahren fingen immer mehr Menschen an, Verschlüsselungstechnologien zu nutzen. In Deutschland und vielen anderen Ländern warnen Behörden davor, dass sie technisch nicht mehr in der Lage seien, ihre rechtlichen Pflichten auszuüben. Ein Bericht der Harvard-Universität ging dieser These nach, hält diese Sorge aber für unbegründet.

Das FBI spricht in den USA von „Going Dark“ und auch hierzulande haben wir gehört, dass man die „dunklen Flecken des Internets ausleuchten“ müsse. Diese Metapher wird gerne herangezogen, um die scheinbare Unfähigkeit der Beamten aufzugreifen, auf verschlüsselte Daten zuzugreifen. Polizei oder Geheimdienste hätten in vielen Fällen gerichtlich die Möglichkeit erhalten, beispielsweise Kommunikation zu überwachen, aber wegen Verschlüsselung sei dies nicht immer möglich. Nicht zum ersten Mal wird daher der Ruf von Politikern laut, dass man „technisch tun können müsste, was man auch gesetzlich darf“.

Ein Bericht der Harvard-Universität geht dieser Annahme nach und prüft die Befürchtungen im Hinblick auf zukünftige Entwicklungen in der Technologiebranche. Dabei ging es nicht um die Frage, ob ein staatlicher Zugriff möglich sein sollte, sondern darum, ob die Angst „blind zu werden“ überhaupt berechtigt ist. Das Forschungspapier kommt zu einem eindeutigen Urteil: Auch wenn manche einzelne Kanäle in Zukunft schwieriger zu überwachen sein werden, tun sich gleichzeitig neue Wege der Überwachung auf.

Was ist (Ende-zu-Ende-)Verschlüsselung? Worum geht es überhaupt?

Die Ende-zu-Ende-Verschlüsselung von Kommunikation ist ins Zentrum dieser Diskussion gerückt. Dennoch trifft die Frage auch andere Bereiche wie zum Beispiel die Festplattenverschlüsselung bei Computern oder Handys. Insbesondere geht es um Fälle, wenn Dritte keinen Zugriff herstellen können und dies technisch auch so vorgesehen ist — wenn beispielsweise die Firma, die die ursprüngliche Software entwickelt hat, technisch nicht in der Lage wäre, an die Daten der Nutzer zu gelangen.

Nur schwer zu brechende Verschlüsselung gibt es schon lange und wird beispielsweise bei E-Mails mittels PGP seit über zwanzig Jahren ausgeführt. Dennoch waren diese Techniken für lange Zeit nur für versierte Nutzer bedienbar. In den letzten Jahren — nicht zuletzt dank dem Wissen über die Massenüberwachung — gibt es in vielen Bereichen Vorstöße, die Kommunikation und Daten von vielen Bereichen sicherer zu machen. Programme, die nun standardmäßig eine Verschlüsselungen vornehmen und so dem Massenmarkt die Technologie zur Verfügung stellen, sind vielleicht die wichtigste Neuerung. WhatsApp ist hierfür das prominenteste Beispiel.

Muss der Gesetzgeber einspringen?

Wenn nun ein institutionalisierter Weg gefordert wird, an die verschlüsselten Daten zu gelangen, dann heißt das im Klartext, dass die Verschlüsselung unsicherer gemacht werden muss. Zum Beispiel indem das Nutzerpasswort hinterlegt wird oder ein „Generalschlüssel“ beziehungsweise eine „Hintertür“ im Code vorgesehen ist. Kritiker befürchten, dass solche Schritte die Sicherheit und Privatsphäre aller Nutzer und die Wirtschaft gefährden würde.

Ist dieser Weg wirklich notwendig? Wird sich das Problem stellen, dass sich Menschen gegen jegliche Form der Beweisaufnahme schützen können? Braucht es daher rechtliche Maßnahmen? Das Papier aus dem Berkman Center for Internet & Society, das an der Harvard-Universität angesiedelt ist, begründet anschaulich, warum die Antwort auf all diese Fragen ein klares Nein ist.

Verschlüsselung wird sich nicht universell durchsetzen

Current company business models discourage implementation of end-to-end encryption and other technological impediments to company, and therefore government, access. [Gegenwärtige Geschäftsmodelle bremsen die Einführung von Ende-zu-Ende-Verschlüsselung oder anderer technischer Hürden, die den Zugriff für Firmen — und daher auch Regierungen — beschränkt.]

Die erste Frage muss sein, ob sich eine Ende-zu-Ende-Verschlüsselung überhaupt im breiten Markt durchsetzen wird — die Forscher gehen jedenfalls nicht davon aus. Viele heutige Geschäftsmodelle halten Internet-Firmen davon ab, eine Ende-zu-Ende-Verschlüsselung einzuführen, weil sie auf Inhalte angewiesen sind. In einer Internetwelt, in der für viele Firmen der Einsatz von Werbung das kommerzielle Rückgrat ist, gibt es für solche Firmen wenig Anreize, Inhalte so zu verschlüsseln, dass sie sich selber von Inhalten ausschließen, mit denen sie Werbung besser anbieten könnten.

Cloud-basierte Software, die eine anhaltende Verbindung zwischen Anbieter und Benutzer herstellt, bietet sich besser für Überwachungs- und Kontrollzwecke an als eine, die einmal gekauft und dann eigenständig verwendet wird. Dienste wie Google Docs oder Dropbox können einige Funktionen nur anbieten, wenn sie auch Zugriff auf Daten im Klartext haben.

Damit im Zusammenhang steht die Nutzerfreundlichkeit. Wenn man ein Passwort für einen Cloud-Dienst vergessen hat, kann man nur an verschlüsselte Daten gelangen, wenn ebenjene Verschlüsselung nicht vollumfassend war, beispielsweise weil – wie bei Apples iCloud-Backup – eine Kopie des Schlüssels auf einem Server des Unternehmens lag.

Zusätzlich neigt die Software-Landschaft zu einer Fragmentierung. Um eine umfassende Verschlüsselung über verschiedene Dienste hinweg zu ermöglichen, wäre ein Maß an Kooperation und Absprache nötig, dass sich heute noch nicht erkennen ließe, so die Forscher aus Harvard.

Eine Tür schließt sich, eine anderen öffnet sich

Das „Internet der Dinge“ ist keine Zukunftsvision mehr und trotzdem wird noch ein massives Wachstum für die Zukunft vorhergesagt. Von dem Lautsprecher, über den ich mein Taxi buchen kann, bis hin zur Überwachungskamera, die ihre Bilder in Echtzeit an mein Handy sendet, sind viele alltägliche Dinge bereits heute mit dem Internet verbunden.

Dies könnte in Zukunft auf erschreckende Art eine allumfassende Überwachung ermöglichen. Die Bilder, Videos und Töne, die von diesen Geräten aufgenommen werden, könnten in Echtzeit mitgeschnitten werden. Die Unfähigkeit, einen verschlüsselten Kanal direkt zu überwachen, könnte durch die Überwachung eines anderen ausgeglichen werden.

Bei einigen Samsung-Fernsehern wird heute schon jedes gesprochene Wort mitgeschnitten, an einen Server weitergeleitet und dort analysiert. (Die dazu nötige Rechenleistung im Gerät selbst zu installieren, ist wirtschaftlich schwer umzusetzen.) Solch ein Gerät bietet sich natürlich an, das Gespräch im selben Raum mitzuschneiden — ganz egal wie verschlüsselt das Gespräch selbst ist. Das ist kein neuer Ansatz, bereits 2001 wollte das FBI ein im Auto eingebautes Mikrofon umfunktionieren, um Gespräche mitzuschneiden.

Wenn das Internet der Dinge ein auch nur annähernd so großes Wachstum erfährt wie vorhergesagt, werden sich unzählige neue Kanäle für die Überwachung auftun. Man kann davon ausgehen, dass immer mehr Geräte jeden Aspekt unseres Lebens mitschneiden, auch wenn das nicht ihre primäre Funktion ist.

Manche Datentypen bleiben unverschlüsselt

Es gibt einige Daten, die momentan nicht verschlüsselt werden. Dies ist oft der Fall, damit Systeme ordnungsgemäß funktionieren können — eine Umstellung würde sich als sehr aufwendig erweisen. Ortungsinformationen von Handys und ähnlichen Geräten, Kopfzeilen in E-Mails und andere Metadaten erlauben einen sehr tiefen Einblick und viele Möglichkeiten zur Überwachung. Möglichkeiten, die es vor dem Entstehen dieser Technologien gar nicht gegeben hat.

Verschlüsselung umgehen anstatt sie zu brechen

Die Forscher erwähnen auch, dass Behörden immer mehr dazu übergehen, die Verschlüsselung nicht selbst zu knacken, sondern zu umgehen. Eine Ende-zu-Ende-verschlüsselte Nachricht wird beispielsweise in dem Augenblick entschlüsselt, wenn der Empfänger sie lesen will. Wer also den Bildschirm (beispielsweise mittels eines Trojaners) erfasst, kann zum gleichen Zeitpunkt wie der Empfänger die Nachricht erfassen. Oder wer sich im Nachhinein Zugang zum Gerät verschafft, kann darauf gespeicherte Inhalte im Nachhinein erfassen, wenn sie nur auf dem Weg von einem zum anderen Gerät verschlüsselt wurden.

Diese Vorgehensweise ist die offizielle Politik der deutschen Regierung. Natürlich gibt es wieder andere große Fragen und Probleme, die sich bei dem Einsatz von Trojanern zwangsweise auftun. Dennoch zeigt es, dass Behörden keineswegs „blind“ werden, sollten manche Inhalte verschlüsselt werden.

Falscher Ansatz

Würde eine gesetzliche Hintertür überhaupt helfen? Dazu gibt der Bericht die Antwort, dass jede gesetzliche Regelung auch umgangen werden würde:

Short of a form of government intervention in technology that appears contemplated by no one outside of the most despotic regimes, communication channels resistant to surveillance will always exist. This is especially true given the generative nature of the modern Internet, in which new services and software can be made available without centralized vetting. [Da eine Einmischung der Regierung in die Technologie, die anscheinend von niemandem außer den despotischsten Regimen gewünscht wird, ausbleibt, wird es immer Kommunikationskanäle geben, die sich Überwachung entziehen. Dies ist besonders zutreffend, wenn man die produktive Natur des modernen Internets beachtet, in der neue Dienste und Software ohne eine zentralisierte Überprüfung verfügbar gemacht werden können.]

Im Anschluss an ihren Bericht geben die Forscher aus Harvard noch einen anderen Denkansatz: Ist der Anspruch, jede Information auch den Behörden zugänglich zu machen, wirklich der richtige Weg?

Das Framing von „Sicherheit (Zugriff für Behörden) gegen Datenschutz“ (starke Verschlüsselung) treffe den eigentlichen Punkt nicht. Es sollte eine Debatte über Sicherheit gegen Sicherheit sein, wie erst letztens im NSA-Untersuchungsausschuss festgestellt wurde. Verschlüsselung hilft nicht nur einer oft belächelten Privatsphäre, sie ist ebenso wichtig, um Firmengeheimnisse zu schützen, Kriminelle abzuwehren und (ausländischen) Geheimdiensten keinen Zugang zu gewähren. Viele Systeme der Infrastruktur oder Dissidenten in repressiven Staaten sind ebenfalls auf gute Datensicherheit angewiesen. Man kann ein System nicht nur „manchmal“ anfällig machen. Wenn Geräte auf richterlichen Geheiß umprogrammiert werden können, dann können auch andere diesen Hebel umlegen.

Oft wird auch der generelle Wunsch angeprangert, auf so viele Daten zuzugreifen. Dabei sagen viele, dass der Eindruck der Behörden, blind zu werden, nur daher kommt, dass sie vorher von der Informationsmasse geblendet wurden.

Eine informierte Debatte

Jede Debatte über eine gesetzliche Schwächung von Kryptographie sollte die hier beschriebenen Trends beachten. Zukünftige Kommunikationskanäle werden sich weder dem Zugriff vollkommen verweigern noch totaler Überwachung offenstehen. Die Forscher dazu:

Market forces and commercial interests will likely limit the circumstances in which companies will offer encryption that obscures user data from the companies themselves, and the trajectory of technological development points to a future abundant in unencrypted data, some of which can fill gaps left by the very communication channels law enforcement fears will „go dark“ and beyond reach.

[…]

To paint an overall picture of going dark based upon the fact that a number of widely used applications and products have introduced encryption by default risks obscuring this larger trend. [Einflüsse von Märkten und kommerzielle Interessen werden die Bedingungen beschränken, unter denen Unternehmen Verschlüsselung anbieten werden, welche die Daten auch den Unternehmen selber unzugänglich macht. Die Richtung technologischer Entwicklung deutet zudem auf eine Zukunft voll unverschlüsselter Daten hin. Manche von ihnen werden genau die Lücken füllen, die von Kommunikationskanälen hinterlassen werden, bei denen Behörden vor einem Verlust des Zugriffs warnen.

[…]

Den generellen Eindruck eines Blindwerdens zu vermitteln, weil manche vielbenutzte Dienste eine standardmäßige Verschlüsselung eingeführt haben, birgt die Gefahr, diesen generellen Trend zu verschleiern.]

Erst kürzlich hat die Bundesregierung eine neue Behörde, die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“ (Zitis), ins Leben gerufen. Dies ist der falsche Ansatz. Der Weg zu mehr Sicherheit führt über bessere, stärkere Verschlüsselung. Horrorszenarien, dass sich dadurch die Tür für die Beamten immer weiter schließt und in der Zukunft keinerlei Möglichkeiten mehr hat, auf essentielle Daten zuzugreifen, sind realitätsfern. Dafür liefert das Papier viele Argumente.