Die deutsche Krypto-Kontroverse

Die uralte Kunst der geheimen Schrift, die Kryptographie, erlangte im Zweiten Weltkrieg erstmals entscheidende Bedeutung. Heute wird sie zu einem Fundament der Informationsgesellschaft: Mit mathematischen Verfahren wird einerseits die Identifikation eines Verfassers sowie die Unversehrtheit seiner Nachricht sichergestellt - eine Voraussetzung für die Verankerung der virtuellen Welt im Realen, denn nur zu leicht lassen sich digitale Daten manipulieren. Andererseits ermöglicht Kryptographie, Informationen vor Unbefugten zu schützen. Eine E-mail ist nicht vertraulicher als eine Postkarte, und unverschlüsselte Telefonate können auch von Laien mitgehört werden.

So bedeutend Verschlüsselung für den elektronischen Rechtsverkehr ist, so groß ist auch die Sorge vieler Behörden, der Staat könne von den Kommunikationskanälen der Zukunft ausgeschlossen werden. Politik, Verwaltung und Industrie im In- und Ausland streiten daher über Regulierung oder Freigabe von Kryptographie-Produkten. Hierzulande geht die Kontroverse bereits in die dritte Runde.

Gesetz gescheitert

Eine Gesetzesinitiative mit dem Ziel, Verschlüssung zu reglementieren, ist Anfang 1997 gescheitert. Als Wortführer einer Koalition aus Innen-, Verteidigungs-, Post- und Finanzministerium war Bundesinnenminister Manfred Kanther (CDU) mit der Idee eines Krypto-Gesetzes auf massive Kritik aus Opposition, Industrie und seitens der FDP-geführten Wirtschafts- und Justizministerien gestoßen.

Alle Anwender von Kryptographie zur Hinterlegung ihrer elektronischen Schlüssel zu verpflichten, nur um die Überwachung einiger Krimineller auch in Zukunft zu gewährleisten, verstoße gegen den Verfassungsgrundsatz der Verhältnismäßigkeit. "Es wird ja auch von niemandem verlangt, seine Haustürschlüssel bei der Polizei abzugeben, um im Notfall oder bei einer Hausdurchsuchung den Beamten das Eindringen zu erleichtern", karikierten Kritiker die Bemühungen. Darüber hinaus "würde ein Krypto-Gesetz auch mit dem Fernmeldegeheimnis nach Art. 10 GG kollidieren", meint Jörg-Menno Harms, Vorsitzender des Fachverbandes Informationstechnik im VDMA und ZVEI. In Anbetracht des wachsenden Widerstandes hat das Innenministerium daraufhin einen "Plan B" vorgestellt: Staatliche Stellen sollten die Sicherheit von Krypto-Produkten zertifizieren, wenn die Hersteller im Gegenzug die nachträgliche Decodierbarkeit der Daten sicherstellten.

Privater Krypto-TÜV

Die Industrie wollte sich indes auf diesen Handel nicht einlassen und hat einen privatwirtschaftlichen "Krypto-TÜV" realisiert: Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Daimler-Benz-Tochter Debis und TÜViT, ein Unternehmen des Rheinisch-Westfälischen TÜV's, haben sich kürzlich darauf geeinigt, ihre Sicherheitszertifikate für Verschlüsselungstechnologien gegenseitig anzuerkennen. Die Absprachen sind auch für weitere Unternehmen offen, die Krypto-Zertifikate anbieten wollen.

Mit diesem privaten Krypto-TÜV wird den Plänen des Innenministeriums eine deutliche Absage erteilt. Dr. Heinrich Kersten, bisher Leiter der BSI-Abteilung "Wissenschaftliche Grundlagen und Zertifizierung" und seit Anfang Oktober verantwortlich für den neuen Projektbereich bei Debis, freut sich bereits über reges Interesse seitens der Anbieter von Sicherheitstechnik: "Die Hersteller sehen es sehr positiv, von nun an auf gleicher Ebene - von Firma zu Firma - verhandeln zu können und nicht mehr mit einer Behörde zusammenarbeiten zu müssen."

Deutscher Clipper-Chip?

Nachdem sowohl ein Krypto-Gesetz als auch ein staatlich regulierter Krypto- TÜV gescheitert sind, befürchten Vertreter aus Opposition und Industrie nun einen erneuten Vorstoß der Hardliner um Manfred Kanther. SPD-Medienexperte Jörg Tauss warnt vor dem möglichen Versuch, einen deutscher Krypto-Baustein nach Vorbild des amerikanischen "Clipper"-Chips einzuführen. Er könne den Sicherheitsdiensten ein Schlüsselloch bieten, durch das sie auch in Zukunft Zugriff auf vertrauliche Datenkommunikation hätten: "Alle staatlichen Stellen sollen künftig ausschließlich die Ministeriumshardware für ihre behördliche Kommunikation einsetzen", so Tauss. Damit entstünde ein "marktmäßiger Druck" auf Industrie und Anwender, sich ebenfalls dieser Technologie zu bedienen, wollen sie weiterhin mit dem Staat kommunizieren.

Die Folgen: "Wenn der Staat mit seiner Nachfragemacht in diese Richtung lenkt, wird Deutschland international seinen Vorsprung in Sachen Datensicherheitstechnik verlieren." Derart reglementiert, könnte der amtliche Datenaustausch schon bald hinter dem sonst üblichen Sicherheitsniveau zurückbleiben - eine Einladung für feindliche Spione, während private und gewerbliche Nutzer, ob aus ehrlichen oder kriminellen Motiven, auch weiterhin mit im Internet frei erhältlichen Programmen sicher kommunizieren.

Codename "Pluto"

Schon Mitte letzten Jahres waren Pläne des Innenministeriums durchgesickert, einen leistungsfähigen Verschlüsselungschip zu bauen. Begründung: nur so könnten Staatsgeheimnisse auch in Zukunft geschützt werden. Mittlerweile ist klar: Siemens entwickelt im Auftrag des BSI einen Hochleistungschip mit Codenamen "Pluto", der Mitte 1999 fertig sein soll. Nach Auskunft des Herstellers ist er in der Lage, sogar im ATM-Verfahren, also mit einer Datenübertragungsrate von 2 Megabit aufwärts, eine 160 Bit Verschlüsselung zu verarbeiten. Zum Vergleich: die deutschen Banken geben sich für ihr Internet-Banking mit 128 Bit zufrieden.

Dementis...

Sowohl seitens des Innenministeriums als auch von Siemens wird dementiert, daß dieser Chip mit einer Hintertür versehen werden soll. "Damit würden wir uns doch nur selbst ein Bein stellen", heißt es aus Ministeriumskreisen, und Stefan Schneiders von Siemens betont: "Pluto wird nicht für den Massenmarkt entwickelt". Es habe auch keine Anfragen an Siemens gegeben, ob eine Hintertür oder ähnliches in den Chip integriert werden könne.

...und bestätigte Bedenken

Alexander Bojanowsky, Geschäftsführer des Bundesverbandes Informationstechnologien (BVIT), befürchtet jedoch, daß dem Staat mit Pluto ein Generalschlüssel in die Hände fällt: "Durch den Regierungsumzug entsteht ein digitales Netz zwischen Bonn und Berlin, in dem der staatliche Krypto- Chip Standard wird. Unternehmen, die mit Behörden vertrauliche Informationen austauschen wollen, werden wohl um den Einsatz von Pluto nicht herumkommen - und damit würde der Staat zum Herrn der Schlüssel."

Auch Peter Bohn von der Utimaco Safeware AG teilt diese Bedenken. Darüber hinaus könnte ein ähnlich leistungsfähiger Chip wie Pluto sehr wohl für den Massenmarkt interessant werden. Wenn in Zukunft Video-on-demand über offene Netze wie das Internet realisiert wird, wäre Breitband-Verschlüsselung via ATM eine spannende Alternative zu den digitalen TV-Träumen von Kirch und Bertelsmann. Die Kosten von rund 100 DM pro Chip liegen jedenfalls deutlich unter denen der heutigen Pay-TV Decoder.

Die USA bestehen auf Reglementierung

Angesichts der bevorstehenden Bundestagswahl haben die Ministerien in Sachen Verschlüsselung zwar einen Burgfrieden geschlossen, und sowohl die EU- Kommission als auch die OECD sind gegen Krypto-Regulierungen. Doch die Debatte ist damit keineswegs vom Tisch.

Die Hardliner im Innenministerium und in Behörden wie Verfassungsschutz und BND erhalten Unterstützung aus den USA. Bill Clinton hat eigens einen Sonderbeauftragten für Kryptopolitik entsandt: David Aaron soll den europäischen Regierungen die US-amerikanischen Sicherheitsvorstellungen schmackhaft machen. Demnach sollen Verschlüsselungsprogramme eine Funktion besitzen, die es den Geheimdiensten ermöglicht, codierte Daten innerhalb von maximal zwei Stunden zu entschlüsseln. Amerikanische Produkte dürfen bereits heute nur exportiert werden, wenn sie diese Funktion besitzen.

Alternativ fordern Hardliner im In- und Ausland, die geheimen Schlüssel für den Staat zugänglich zu hinterlegen. Zur Zeit befindet sich eine Infrastruktur im Aufbau, die genau das leisten könnte: um elektronische Unterschriften verwalten zu können, werden weltweit sogenannte Trustcenter eingerichtet. Vor allem in Deutschland, das bei der Einführung der digitalen Signaturen eine Vorreiterrolle spielt. Diese Zentren könnten gesetzlich verpflichtet werden, die geheimen Schlüssel ihrer Kunden dem Staat zugänglich zu machen. Bislang wird eine Verknüpfung von Kryptoregulierung und digitalen Unterschriften von offizieller Seite zwar vehement abgelehnt; entsprechende Vorschläge aus Geheimdienstkreisen sind jedoch schon gemacht worden.

Telefonmärkte im Visier

Experten sehen die deutsche Krypto-Kontroverse vor allem im Zusammenhang mit den sich öffnenden Telefonmärkten: "Nicht vereinzelt verschlüsselte E-mails machen den Strafverfolgungsbehörden Angst, sondern der breite Einsatz von Kryptographie bei Telefonaten." Mit dem Auftreten neuer Anbieter sinke die Kontrollmöglichkeit des Staates. Direktbanken knnten darüber hinaus "auf die Idee kommen, ihren Kunden kostenlose Hardware zur Verfügung zu stellen und so einen Markt für Telefonverschlüsselung öffnen, der sich bei sinkenden Anschaffungskosten schnell ausbreiten knnte."

Seit 1990 haben Telefonüberwachungen um rund ein Drittel zugenommen. Dieses Instrument staatlicher Überwachung würde stumpf, wenn Kryptographie zum Alltag gehörte. Jörg-Menno Harms prophezeit: "Der Staat wird sich von der Idee verabschieden müssen, wie bisher auf die Kommunikation seiner Bürger zugreifen zu können".

Ob sich diese liberale Prophezeiung erfüllt oder ob der Lauschangriff erst den Auftakt für eine immer lückenlosere Überwachung bildet, wird die nächste Legislaturperiode zeigen. Der FDP-Ehrenvorsitzende Otto Graf Lambsdorff warnt: "Die Diskussion über künftige Kryptopolitik muß jetzt geführt werden - und nicht erst angesichts vollendeter Tatsachen, wie im Falle des Lauschangriffes."