UK: Gesetz über elektronische Kommunikation sorgt für Kopfweh

Entschlüsselungsverfügung: Der Ersatz für "key escrow".

Nach drei Jahren erfolgloser Versuche Key escrow einzuführen, hat die britische Regierung nun ein Gesetz über elektronische Kommunikation verfaßt, um die Benutzer von Verschlüsselungssoftware zu zwingen, auf Anforderung der Polizei Passwörter, private Schlüssel oder die Daten in Klarform zu übergeben. Teil 3 des vorgeschlagenen Gesetzes gibt der Polizei das Machtmittel, die Verhängung zweijähriger Gefängnisstrafen für all die anzustrengen, die auf Verlangen weder die Schlüssel noch die entschlüsselten Dateien vorweisen können.

Nutzer von Verschlüsselungsprogrammen ebenso wie Internetdienstleister werden davon betroffen sein. Ein anderes neues Vergehen zielt hauptsächlich auf die Service Provider. Als "tipping off" bezeichnet, kann dieses Vergehen mit Gefängnis dafür bestraft werden, jemandem mitzuteilen, daß gegen ihn eine Entschlüsselungsverfügung verhängt wurde. Damit soll verhindert werden, daß ein Provider, der eine Entschlüsselungsverfügung erhält, dem betroffenen User mitteilt, daß dessen Botschaften nicht mehr privat oder sicher sind.

Ironischerweise sind diese neuen Pläne zum Stillstand gekommen, weil die oppositionelle Partei der Konservativen - die ursprünglich für Key escrow gewesen war - nun sagt, das Gesetz sei "unverdauliches Hundefutter".

Die Konservativen sagen, daß sie es verhindern werden, daß das umstrittene Gesetz im Schnellgang vor das Parlament kommt. Alan Duncan, Mitglied des Parlaments (MP) und Sprecher der Konservativen zur Informationstechnologie, sagte vergangene Woche, daß seine Partei das Gesetz in der vorliegenden Form nicht akzeptieren werde.

Es sei "zu lang und zu schwer für seine Absichten", sagte er. "Was die Industrie braucht, ist ein schnelles, kurzes Gesetz". Mit seinen 30 (anstelle von 3) Seiten an dichtem, komplexem Text, solle das Gesetz "kürzer, einfacher und leichter" werden. Er kritisierte die Regierung dafür, das Gesetz nun in letzter Minute vors Parlament bringen zu wollen, nachdem Jahre damit verschwendet worden seien, sich in Sackgassen zu verlieren.

Nach Ansicht der Konservativen schafft der IT-Markt bereits in geeigneter Form all das, was nötig ist, um den Handel anzutreiben. Die Wirtschaft würde keine komplizierten neuen Regeln oder weitreichende ministerielle Vollmachten brauchen, sondern bloß die Anerkennung der Strukturen, die bereits geschaffen wurden.

Nach den parlamentarischen Regeln im Vereinigten Königreich muß die Regierung die Zustimmung der Opposition einholen, wenn sie ein Gesetz von einer Parlamentsperiode in die nächste hinüberziehen will. Die gegenwärtige Sitzungsperiode endet in wenigen Tagen. Wenn das Gesetz nun nicht eingeführt wird, dann könnte es eine weitere Verzögerung von mindestens sechs bis neun Monaten erfahren.

Das würde heissen, daß sich britische Pläne zur Gesetzgebung über elektronischen Handel im vierten Jahr hintereinander verzögern, und zwar deshalb, weil die Regierung versucht, den Zugang der Polizei und der Geheimdienste zu privater verschlüsselter Kommunikation zum Teil dieses Gesetzes zu machen.

Es war 1996 ursprünglich entworfen worden, um, auf Linie mit US-Politik, Key escrow in Großbritannien verpflichtend einzuführen. Zertifizierungsstellen oder "vertrauenswürdigen Drittparteien" sollten Anforderungen auferlegt werden, Lizenzen zu beantragen und Vertraulichkeit der Schlüssel zu gewährleisten. 1997 schlug die Regierung vor, daß es verpflichtend für Anbieter von Verschlüsselungsdiensten sein solle, private Sicherheitsschlüssel zu kopieren und in einem zentralen "Schlüssel-Repositorium" der Regierung zu hinterlegen. New Labour wurde auf der Basis einer deutlichen Aussage gewählt, dieses Schema abzuschaffen. Den Wählern wurde gesagt:

Doch kurz darauf schrieben Labour ein weiteres Beratungspapier, in dem die wichtigsten Positionen bezüglich Key escrow beibehalten wurden. Sie stießen auf heftigen Widerstand, vor allem seitens der IT-Industrie. Vor vier Monaten schließlich kündigte Premierminister Tony Blair an, daß Key Escrow endgültig begraben worden sei. Er teilte führenden Vertretern der IT-Industrie bei einem Frühstück in Downing Street mit, daß er von der Industrie erwarte, daß sie innerhalb von drei Wochen eine Lösung für die Probleme der Strafverfolgungsbehörden mit Kryptografie anbieten kann. (siehe Krypto-Politik der Geheimdienste ist begraben)

Blairs Vorschläge vom Monat März stießen auf allerheftigste Kritik von allen möglichen Seiten. Der Parlamentsausschuss für Handel und Industrie schrieb zwei Monate später, daß "die Grundlage für ein Gesetz über elektronischen Handel zu einer offenen Frage" geworden sei. Die Vorschläge seien "nicht geeignet, als Gesetz festgeschrieben zu werden". Der Regierung wurde gesagt, sie solle Maßnahmen fallenlassen, "die von früherer Kryptopolitik übrig geblieben sind und darauf abzielen, elektronischen Handel zu kontrollieren, anstatt zu stimulieren".

Dieser Ratschlag wurde ignoriert. Stattdessen erlegt das neue Gesetz "die Beweislast dem Empfänger einer Entschlüsselungsverordnung auf, den Behörden zu beweisen, daß der verlangte Schlüssel oder Klartext nicht in seinem Besitz ist und nach bestem Wissen und Gewissen anzugeben, wo sie sein könten". Mit anderen Worten, jeder, der Informationen besitzt, welche sie nicht entschlüsseln können, muß beweisen können, den Schlüssel nicht zu haben.

Das Ansinnen, daß Nutzer von Verschlüsselung ihre Unschuld beweisen müssen, ist von Rechtsexperten als "logisch absurd" bezeichnet worden und steht im Widerspruch zum Schutz der Menschenrechte. Nach Peter Sommer, dem Berater des zuständigen Parlamentsausschusses, "ist es im englischen Gesetz nur in höchst außergewöhnlichen Umständen der Fall, daß jemand seine Unschuld beweisen muß".

Das vorgeschlagene Gesetz ignoriert die rechtlichen Verwerfungen, die es schafft.

Das vorgeschlagene Gesetz ignoriert die rechtlichen Verwerfungen, die es schafft. So braucht zum Beispiel jemand, der einer anderen Person nach dem neuen Gesetz eine Falle stellen will, dieser nur eine verschlüsselte Datei zuzusenden, den Anschein gebend, sie sei mit einem Code dieser Person verschlüsselt worden. Das Gesetz ignoriert auch den Umstand, daß, wenn jemand eine Email mit dem öffentlichen Schlüssel des Adressaten verschlüsselt, dieser die Botschaft, die er selbst geschrieben hat, nicht mehr entschlüsseln kann.

Kritiker von beiden Seiten haben wiederholt darauf hingewiesen, daß Angelegenheiten der Strafverfolgungsbehörden nicht in ein Gesetz über elektronischen Handel gehören. Nach Peter Sommer hatte der Parlamentsausschuss vor allem auch damit ein Problem, daß die Regierung keine Beweise dafür anbieten konnte, daß Verschlüsselung bisher tatsächlich ein Hindernis für die Strafverfolgung darstellen würde. "Niemand hat irgendwelche Daten darüber, in welchem Ausmaß Verschlüsselung tatsächlich ein Problem für Strafverfolgungsbehörden ist", sagte er. Es macht keinen Sinn, diese Anliegen in ein Gesetz über elektronischen Handel einzubringen. Das Allparteienkomitee und die Opposition sagen, daß Verfügungen über Entschlüsselung in ein Gesetz über das Abhören von Kommunikation kommen sollten. Entschlüsselung "sollte innerhalb des Gesetzes über Abhören behandelt werden", sagte der konservative Abgeordnete Alan Duncan.

Übersetzung: Armin Medosch

http://www.heise.de/tp/artikel/5/5075/1.html