Die Deutsche Telekom und das Fraunhofer Institut wollen Verschlüsselung massentauglich machen, scheitern dabei aber an grundlegenden Problemen mit der Nutzerfreiheit und der technischen Prüfbarkeit. Eine Bewertung im Hinblick auf Privatsphäre und Freiheitsaspekte.

Das Thema Volksverschlüsselung wird dieser Tage viel diskutiert. Es handelt sich dabei um Software, die von der Telekom und dem Fraunhofer Institut für Sichere Informationstechnologie gemeinsam entwickelt wurde. Ziel ist es, Verschlüsselung für alle Bürger benutzbar zu machen und technische Hürden abzubauen. Allerdings wird die Software weder diesem Anspruch noch dem Namen gerecht, da die zentralisierte Infrastruktur problematisch ist und keine Anonymität ermöglicht wird. Aber es gibt auch noch grundlegendere Probleme im Bezug auf Freiheit und Nutzerrechte.

Dies ist ein Gastbeitrag von Florian Snow, der als Softwareentwickler arbeitet und sich seit vielen Jahren ehrenamtlich für Freie Software engagiert. Für die Free Software Foundation Europe (FSFE) organisiert er eine Gruppe in Franken und ist als Übersetzer, Blog-Hacker und im PR-Team aktiv.

Gerade bei Verschlüsselung spielt Freie Software eine besonders wichtige Rolle. Zum einen müssen die Verschlüsselungsverfahren öffentlich bekannt und kontrollierbar sein. Dies ist leicht nachzuvollziehen, da es sich dabei um mathematische Verfahren handelt, und je mehr Menschen versuchen, diese zu brechen und daran scheitern, desto sicherer ist das Verfahren. Diesem Anspruch genügt die Volksverschlüsselung gerade so, denn die eingesetzen Verfahren werden zumindest genannt.

Die vier Freiheiten Freier Software

Mindestens genauso wichtig ist aber die konkrete Umsetzung in Programmcode, denn auch hier müssen möglichst viele Menschen prüfen können, ob alles richtig gemacht wurde. Und genau an diesem Punkt scheitert die Volksverschlüsselung. Immer wieder wird im Zusammenhang mit dieser Software der Begriff „Open Source“ verwendet. Dieser Begriff hat im Vergleich zum Begriff „Freie Software“ eine eher technische Ausrichtung, bezeichnet aber konkret die gleiche Software. Wichtiges Merkmal Freier Software sind die vier Freiheiten:

die Software zu jedem Zweck verwenden zu dürfen,

die Software untersuchen und verändern zu dürfen,

die Software unverändert weitergeben zu dürfen,

die Software verändert weitergeben zu dürfen.

Für Punkt zwei und vier benötigt man den Quellcode, den die Telekom und Fraunhofer aber zurückhalten. Der Quellcode enthält die Anweisungen an den Computer, den Menschen lesen können. Ohne diesen Quellcode hat man nur ein Ansammlung von Einsen und Nullen, die auch Programmierer in der Regel nicht lesen können. Allein der Quellcode genügt aber auch nicht, denn um eine größere Anwendung technisch prüfen zu können, muss man Veränderungen am Quellcode vornehmen können und diese Änderungen auch ausführen dürfen, um zu sehen, was eigentlich genau passiert.

Es muss also jedem klar sein, dass diese Software nicht die Freiheit der Nutzer respektiert und dass auch niemand prüfen kann, ob die Software das tut, was sie soll. Die beiden Unternehmen versprechen, den Quellcode später zu veröffentlichen, aber selbst dann wollen sie keine Änderungen zulassen. Was bringt uns dann also diese unfreie Verschlüsselungssoftware, wenn wir sie nicht sinnvoll prüfen und verbessern dürfen?

Problematische Nutzungsbedingungen

An dieser Stelle fangen die Probleme aber erst an. Selbst die Nutzung der Software ist eingeschränkt. In der Lizenz findet sich folgender Abschnitt:

Fraunhofer räumt dem LIZENZNEHMER unentgeltlich ein zeitlich und räumlich unbegrenztes, nicht – ausschließliches, nicht übertragbares, nicht unterlizenzierbares Recht ein, die SOFTWARE für private Zwecke kostenlos […] zu gebrauchen.

Man muss also bei jedem Verschlüsselungsvorgang entscheiden, ob die Kommunikation einem privatem Zweck dient oder nicht. Wie sieht es aber aus, wenn ich mit meinem Anwalt kommuniziere? Mails an meinen Anwalt sind vermutlich privat im Sinne der Lizenz, die Antworten des Anwalts wohl kaum, denn er schreibt sie im Rahmen seiner Erwerbstätigkeit. Was ist, wenn ich eine Frage an meine Krankenkasse, meinen Arzt oder meinen Arbeitgeber habe? In all diesen Fällen ist die Software nicht sinnvoll einsetzbar.

Es kommt aber noch schlimmer, denn zusätzlich räumt man Fraunhofer und der Telekom das Recht ein, ausspioniert zu werden. Hier der entsprechende Abschnitt aus der Lizenz:

Mit dieser SOFTWARE werden personenbezogene Daten des LIZENZNEHMERS im Sinne des § 3 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) zum Zwecke der Verarbeitung erhoben.

„Open Source“ als Marketinginstrument

Darüber hinaus zeigen die beiden Partner Telekom und Fraunhofer ein erstaunliches Maß an Inkompetenz in Bezug auf Freie Software und Lizenzen. So wird der Begriff „Open Source“ als Marketinginstrument missbraucht, anstatt ihn entsprechend der Definition der Open Source Initiative zu gebrauchen. Und trotz der Tatsache, dass Teile der Volksverschlüsselung Code enthalten, der unter der GNU General Public License, einer Lizenz für Freie Software steht, die verlangt, dass das Gesamtwerk ebenfalls unter dieser Lizenz steht, überlegen Telekom und Fraunhofer noch, welche Lizenz sie verwenden möchten. Zumindest die Teile unter der GNU GPL müssten für Nutzer der Software verfügbar gemacht werden, aber Anfragen zu diesem Thema wurden bisher nicht beantwortet. Kann man Unternehmen trauen, die so lax mit Lizenzen umgehen und Freie Software mit Füßen treten?

Zusammenfassend muss man also festhalten, dass die Volksverschlüsselung für unfreie Bürger, die ausspioniert werden möchten, geschrieben wurde. Menschen, die wirklich privat kommunizieren möchten, sollten stattdessen besser Freie Software ohne Spionagefunktion zur Verschlüsselung einsetzen, wie beispielsweise das gut etablierte GnuPG. Die Energie, die die Telekom und Fraunhofer auf die Entwicklung einer neuen Insellösung verwenden, sollten besser dafür aufgewendet werden, eine verbreitete, technisch sinnvolle Lösung wie GnuPG benutzerfreundlicher zu gestalten. Die Entwickler arbeiten bereits daran, und viele E-Mail-Anbieter bieten inzwischen gute Ansätze für Verschlüsselung mit diesem Programm. Einstiegshilfen können hier auch Cryptoparties und lokale Treffen der FSFE sein.