Aushebelung von Ende-zu-Ende-Verschlüsselung trifft die Falschen und leistet der IT-Sicherheit einen Bärendienst
Der EU-Ministerrat veröffentlichte am 6.11.2020 das überarbeitete Entwurfspapier „Draft Council Declaration on Encryption – Security through encryption and security despite encryption“. Darin berichten die Autor*innen von der Absicht, einen gesetzlichen Rahmen zu schaffen, durch den Anbieter*innen von Messenger-Diensten wie Signal, Threema, Telegram, Skype oder WhatsApp ihre Verschlüsselungsverfahren aufweichen müssten, indem beispielsweise ein behördlicher Generalschlüssel hinterlegt werden soll.
- Durch die Stellungnahme des EU-Ministerrats zieht sich dabei die Wunschvorstellung, man könne eine Balance finden zwischen den Wünschen von Bürger*innen und der Wirtschaft nach sicherer, datenschutzfreundlicher und privater Kommunikation einerseits und den Wünschen der Geheimdienste und der Ermittlungsarbeit von Strafverfolgungsbehörden (siehe Terroranschlag von Wien am 02.11.2020) andererseits. In längst widerlegten Mustern argumentieren die Autor*innen des Papiers, ein effektiver Schutz vor organisierter Kriminalität, Darstellungen von sexualisierter Gewalt gegen Kinder und Terrorismus wäre ohne Zugang zu Kommunikationsinhalten aus verschlüsselten Messengerdiensten nicht möglich.
- Gerade vor dem Hintergrund des Terroranschlags in Wien folgt diese Ansicht einem bekannten Schema: Dem Märchen des „Going Dark“, also dem angeblichen Verschwinden von Terroristen und Straftätern vom Radar der Ermittlungsbehörden aufgrund verschlüsselter Kommunikation. Darum sei nun auch diese Einschränkung der Freiheitsrechte aller Bürger*innen notwendig. Tatsächlich verdichten sich aber auch in Wien die Hinweise, dass der Täter schon lange behördlich bekannt war – ganz ohne Generalschlüssel – die Behörden jedoch mehrfach gravierende Fehler gemacht haben.
- Maßnahmen, die Ende-zu-Ende-Verschlüsselung um einen Generalschlüssel erweitern, führen zwangsläufig zu unsicherer Verschlüsselung, denn das Ende-zu-Ende-Prinzip wird durch die Zugriffsmöglichkeit Dritter unterminiert. Es ist schlicht mathematisch unmöglich, Verschlüsselung zugleich tatsächlich sicher und behördlich abhörbar zu gestalten.
- Kriminelle können ausweichen, Bürger*innen und Wirtschaft nicht! Verschlüsselungsmethoden zu unterbinden ist nicht wirksam, da es stets Möglichkeiten gibt, derartige Verbote zu umgehen. Vielmehr haben Kriminelle ausreichend Anreize und Ressourcen, um auch komplexe und verbotene Verfahren anzuwenden.
Auszug aus einer Stellungnahme des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V. vom 10.11.2020