Crypto Wars

Als das EU-US Privacy Shield gekippt wurde, begründeten die Luxemburger Richter des EuGHs dies damit, dass der Schutz der Daten aller Bürger der EU vor amerikanischen Nachrichtendiensten nicht ausreichend gewährleistet ist. Auch wenn es für viele Unternehmen nun bedeutet, dass es ganz neue Bewertungen und Lösungen finden muss wenn es um den Datenschutz geht. Die Stärkung digitaler Grundrechte vor den amerikanischen Geheimdiensten ist richtig und wichtig. Positiv zu sehen ist dabei, dass der Europäische Gerichtshof da Grenzen setzt.

Doch das Ringen um die digitalen Grundrechte bleibt aktueller denn je zuvor. Die Geheimdienste rund um die „Five Eyes“ und vergleichbaren europäischen Organisation forderten nun im Oktober ein Ende der Ende-zu-Ende-Verschlüsselung. Dabei geht es den Behörden darum, stets die Möglichkeiten zu haben an Informationen zu gelangen, auf die sie wegen der Verschlüsselung keinen Zugriff haben. Deswegen sollen, so die Forderung der Geheimdienste, Unternehmen Möglichkeiten anbieten die den Geheimdiensten einen Zugang zu verschlüsselten Daten gestattet. Ja nach Berichtslage sollen Hintertüren, Generalschlüssel oder noch absurdere „knackbare“ Verschlüsselungen eingesetzt werden.

Dies ist auf so vielen Ebenen untragbar, dass ich immer wieder recherchieren muss, ob es sich bei solchen Berichten nicht doch um einen Satireartikel handelt. Die explizite Forderung in Verschlüsselungssystemen eine Schwachstelle einzubauen widerspricht jeder Logik. Außerdem ist das gefährlich. Bleibt doch die Frage, wer diese Lücken schlussendlich ausnutzt. Eine Schwachstelle erkennt schließlich nicht, ob es sich bei dem Nutzer um eine Behörde handelt oder einen tatsächlichen Angriff. Ein Generalschlüssel oder eine Hintertür wäre genauso eine Schwachstelle und macht sichere Verfahren unsicher.

Definitiv keine Satire ist da der Bericht des ORF[1], der besagt,  dass nun innerhalb der EU es auch der Ende-zu-Ende-Verschlüsselung an den Kragen geht. Der EU Ministerrat soll ein Konzeptpapier ausgearbeitet haben, dass es Behörden durch einen man-in-the-middle-Angriff gestattet an verschlüsselte Informationen von Unternehmen zu gelangen (Competent Authorities). Dabei wird zwischen der Kommunikation von zwei Teilnehmern eine (in diesem Fall behördliche) Zwischeninstanz eingeschoben. Diese gibt sich in beide Richtungen als der jeweils andere Teilnehmer aus, empfängt dadurch alle Kommunikationsdaten und kann diese entschlüsseln. Anschließend leitet er diese weiter. So ein Angriff fällt ohne hinreichenden Schutz der Kommunikation nicht auf. Sollte ein Unternehmen sich dabei nicht kooperativ zeigen, könnten entsprechende Apps aus den App-Stores entfernt werden.

Die Forderung nach Aufhebung der Verschlüsselung ist problematisch. Ohne Frage. Absurder wird es nur noch dadurch, dass Kontrollmechanismen wegfallen. Unzwar solche, die normalerweise den Bürgern der EU ihre Rechte vor Geheimdiensten wahren. Der Schutz der digitalen Grundrechte war der Beweggrund des EuGHs, das Datenaustauschabkommen mit den USA zu kippen. Nun schickt sich der EU-Ministerrat an, dass gleiche Verfahren, welches das EuGH in der amerikanischen Praxis hochproblematisch findet, auch innerhalb der EU etablieren zu wollen.

Ob die von europäischen Geheimdiensten erhobenen Daten tatsächlich nicht bei den amerikanischen Nachrichtendiensten landen, bleibt zweifelhaft. Hier widerspricht sich die Rechtsprechung des EuGHs mit dem Vorhaben des EU-Ministerrates fundamental. Schließlich muss es das Ziel der Behörden, der Wirtschaft und aller Interessenverbände sein, Verschlüsselungen zu stärken, Daten zu schützen und (digitale) Grundrechte zu bewahren. Nur dieses Vorgehen schafft Vertrauen in Digitalisierung und Rechtsstaatlichkeit innerhalb der Europäischen Union.

Ihr Alexander Kunze

[1] https://fm4.orf.at/stories/3008930/