Großbritannien: Passwort oder fünf Jahre Gefängnis

Seit vergangener Woche gilt in Großbritannien Teil Drei des Regulation of Investigatory Powers Act (RIPA). Strafverfolgungsbehörden können damit die Herausgabe von Passwörtern und Krypto-Schlüsseln unter Androhung von bis zu fünfjährigen Haftstrafen erzwingen. Bereits seit dem Jahr 2000 wurde über das Gesetz kontrovers diskutiert, jetzt wurde es schließlich umgesetzt. Aufgrund der zunehmenden Verbreitung von Festplattenverschlüsselung war dies aus Sicht der britischen Regierung notwendig, um Ermittlungen zu vereinfachen und Verdächtige dazu zu zwingen, Schlüssel oder Passwörter für verschlüsselte Daten auf beschlagnahmten Computern herauszugeben.

Gegner des Entwurfs halten dem entgegen, dass eine Offenbarungspflicht für Schlüssel insbesondere große Kreditinstitute aus dem Land vertreiben könnte, da sich damit sämtliche angesammelten Bankverkehrsdaten entschlüsseln ließen. Statt einer Pflicht zur Herausgabe von Schlüsseln schlagen sie eine Pflicht zur Entschlüsselung vor. Auch damit wäre der Zugriff auf verschlüsselte Daten durchsetzbar, ohne die Vertraulichkeit sämtlicher mit Schlüsseln gesicherter Daten zu unterwandern.

Ohnehin bleibt die Wirksamkeit des Gesetzes fraglich: Verdächtige können vorgeben, den Schlüssel verloren oder vergessen zu haben. Dann ist es Aufgabe der Staatsanwaltschaft zu beweisen, dass der Verdächtige doch im Besitz des Schlüssels ist. Zudem weisen etwa Produkte wie TrueCrypt spezielle Funktionen auf, mit der etwa ein Daten-Container bei unterschiedlichen Passphrases unterschiedliche Inhalte offenbart, ohne dass es etwa für Ermittler erkennbar ist, dass es noch einen weiteren, aber versteckten Container gibt.

Siehe dazu auch:

• Britisches Innenministerium will die Herausgabe von Krypto-Schlüsseln erzwingen, Meldung auf heise Security

(dab)