Keine Krypto-Verschwörung

US-Regierung korrigiert ihre Krypto-Politik

Trends & News | News

Der Deutschlandbesuch von Clintons Krypto-Botschafter David Aaron sorgte für Aufregung. Nachdem sich im Sommer nicht nur die Enquete-Kommission `Neue Medien´ des Deutschen Bundestags, sondern Mitte September auch der ehemalige Wirtschaftsminister Günther Rexrodt gegen eine Adaption der US-Krypto-Politik ausgesprochen hatte, mußten die Amerikaner jetzt mit über- zeugenden Argumenten aufwarten.

Die deutsche Bundesregierung hatte die bestehenden US-Richtlinien so interpretiert, daß bestimmte Verschlüsselungsprodukte nur dann ins Ausland exportiert werden dürfen, wenn amerikanische Sicherheitsbehörden mit Hilfe der sogenannten `Key Recovery Agents´ innerhalb von zwei Stunden auf den Klartext der chiffrierten Daten zugreifen können. Hilfestellung dabei sollte die `Key Recovery Alliance´ (www.kra.org) leisten, der zur Zeit noch rund 30 US-Großunternehmen angehören. Die US-Pläne rochen nach einer groß angelegten Krypto-Verschwörung. Für die Europäer, die sich derzeit immer noch mit dem STOA-Bericht des Europäischen Parlaments über das US-amerikanische Abhörsystem Echelon auseinandersetzen, schien dies kein ungewöhnliches Vorgehen zu sein.

David Aaron, hochdekorierter US-Sicherheitsmann und in Fachkreisen als `Krypto-Zar´ bekannt, stritt in seinem Vortrag vor dem Deutschen Industrie- und Handelstag (DIHT) jedoch alle Verdächtigungen und Vorwürfe kategorisch ab. Zudem schlug er überraschend mit seinem vollständigen Rückzug aus dem `Key Recovery Agent´-Konzept dem Bundeswirtschaftsministerium das schärfste Argument gegen eine `Key Recovery´-Vereinbarung aus der Hand. Michael Pfeiffer vom DIHT wertete den Aaron-Besuch prompt als Erfolg, da die USA jedem Land freistellten, eine Key-Recovery-Regelung einzuführen. In der Tat konnte sich Aaron erfolgreich von dem Verdacht der planmäßigen Wirtschaftsspionage abgrenzen.

Den USA geht es jetzt nur mehr darum, im Interesse der Strafverfolgung Zugang zum Klartext verschlüsselter Dokumente zu bekommen. Die Entscheidung darüber, ob dies über eine gesetzliche Regelung erreicht wird, die die Nutzung von Krypto-Systemen einschränkt, oder ob dafür allein eine gerichtlich verfügte Beschlagnahme genügt, bleibt jedem Land überlassen.

Da mit dem Weggang von Manuel Kiper bei den Bündnisgrünen im Bundestag ein IT-politisches Vakuum entstanden ist, kommt es den Amerikanern allein auf die Haltung der SPD an. Aaron führte im Anschluß an seinen DIHT-Besuch noch Gespräche mit dem designierten Innenminister Otto Schily sowie dem designierten parlamentarischen Staatssekretär im Bundeswirtschaftsministerium Sigmar Mosdorf. Otto Schily gilt in den USA seit der Debatte um den Großen Lauschangriff als `Key-Recovery-fähiger´ Mann. Die bis ans Ende der vergangenen Legislaturperiode verschobene Entscheidung über die Krypto-Politik wird daher nun unter völlig neuen Vorzeichen gefällt werden müssen.

Mit der diplomatischen Sprachregelung, alles sei wohl nur ein `großes Mißverständnis´ gewesen, trennten sich die Wege der deutschen und US-amerikanischen Verhandlungspartner. Jetzt sollen bilaterale Arbeitsgruppen eingerichtet werden, um noch vorhandene `Mißverständnisse´ zu klären und eine neue Verhandlungsbasis zu finden. Bereits im November treffen sich die 33 Wassenaar-Mitgliedstaaten, darunter auch die USA und Deutschland, wieder zu Verhandlungen. Wassenaar, ein Nachfolger des COCOM-Abkommens, regelt den Export kontrollpflichtiger Produkte wie Waffen und Krypto-Systeme, nicht jedoch das Verfahren der Exportkontrolle. Dieses wird von den Mitgliedstaaten selbst festgelegt.

Die USA wollen nun einen Passus einführen, nach dem Key-Recovery-Produkte einem einfacheren Verfahren unterworfen sind. Für die deutsche Delegation ist das nicht akzeptabel, da nach ihrer Ansicht dadurch Nicht-Key-Recovery-Produkte benachteiligt werden würden. Fraglich ist derzeit auch, ob das US-Handelsministerium nicht nur über den Export von Produkten, sondern auch über die Offenlegung wichtiger Schnittstellen entscheidet. In diesem Jahr mußte bereits ein deutsches Unternehmen aufgrund einer verweigerten Exporterlaubnis einer Schnittstelle auf die Entwicklung eines Sicherheitsprodukts verzichten.

Den Amerikanern brennt auch die Frage der europäischen Datenschutzpolitik auf den Nägeln. Mit dem Ende der Übergangsfrist der EU-Datenschutzrichtlinie 95/46/EG am 24. Oktober könnte es zu massiven Problemen im transatlantischen Datenverkehr kommen. EU-Mitgliedstaaten müssen bis zu diesem Zeitpunkt den Schutz personenbezogener Daten sicherstellen. Weist ein Nicht-EU-Land kein angemessenes Schutzniveau auf, so `treffen die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das Drittland erfolgt´. Amerikanische Unternehmen könnten damit vom europäischen Markt ausgeschlossen werden, wenn sie keinen adäquaten Datenschutz gewährleisten. Als problematisch gilt zudem, daß die USA noch nicht einmal die OECD-Richtlinien `zum Schutz der Privatsphäre und des grenzüberschreitenden Flusses personenbezogener Daten´ übernommen haben. Dennoch zeigte sich Aaron gegenüber c't optimistisch: Im Gespräch mit dem Bundesdatenschutzbeauftragten Joachim Jakob konnten zahlreiche Übereinstimmungen gefunden werden. Gesetzliche Nachbesserungen sowie eine verstärkte Selbstkontrolle seien in den USA jedoch unvermeidlich. (ad/nl).

[#anfang Seitenanfang]


c't: Sollten Nutzer von Key-Recovery-Produkten wissen, daß sie Produkte mit Key-Recovery-Funktion benutzen?

David Aaron
Aaron: Ja, absolut. Ich denke, es sollte darin nichts Geheimnisvolles liegen. Die meisten Nutzer werden sogar von sich aus Key-Recovery-Systeme benutzen wollen. Denken Sie einfach mal darüber nach: Sie benutzen Ihren PC und speichern alle Texte, Adressen und Telefonbücher in Ihrem PC und plötzlich, aus irgendeinem Grund, verlieren Sie Ihren Schlüssel. Alles ist in Ihrem Computer, und Sie kommen nicht mehr ran. Es gibt hier einen wichtigen Bedarf.

c't: Über welche Qualifikationen müssen Key-Recovery-Agents verfügen?

Aaron: Wir hatten einige Kriterien: Key-Recovery-Agents mußten zuverlässig sein, durften nicht bankrott sein, keine kriminelle Vergangenheit haben. Wir haben diese Kriterien bei uns als Richtlinien, nicht als Gesetz definiert. Jetzt vertreten wir den Standpunkt, daß es die Sache der jeweiligen Regierung ist, wie sie die Kriterien ausgestaltet. Wenn die Regierung das von staatlicher Seite regeln will, ist das gut, wenn sie es privaten Institutionen überlassen will, ist es auch gut. Selbst wenn sie die Entscheidung über gute und schlechte Key-Recovery-Agents dem Markt überlassen wollen, ist das gut. Wir ziehen uns von der Frage zurück, welche Richtlinien man aufstellen sollte. Jedes Land kann das selbst für sich entscheiden.

c't: Sie möchten vor allem auf drei Feldern mit Deutschland kooperieren: Exportkontrolle, kompatible Infrastrukturen und Strafverfolgung. Können Sie darüber einige Details verraten?

Aaron: In Sachen Exportkontrolle müssen wir in Wassenaar zusammenarbeiten. Wenn wir eine bestimmte Art von Exportkontrolle ausüben, müssen andere Länder eine ähnliche exerzieren. Die Exportkontrolle sollte nicht aufgrund von Lücken im Exportrecht anderer Länder unterlaufen werden können, beziehungsweise andere Länder sollten nicht aufgrund der Exportkontrolle Vorteile erzielen können. Wir müssen daher mehr oder weniger dieselbe Exportpolitik verfolgen - auf derselben Ebene mit grundlegend denselben Konzepten. Wir versuchen ja auch dasselbe zu erreichen: Wir wollen verhindern, daß starke Verschlüsselung in die Hände der falschen Regierungen, Organisationen und Individuen gerät. Wenn wir einen gewissen Konsens erreichen, haben wir ein ebenes Spielfeld. Keiner wird vom andern übervorteilt. Sobald sich ein größeres Land gegen diese Exportkontrollen entscheidet, bricht das Ganze zusammen.

Ich bin zuversichtlich, daß wir einige Veränderungen in Wassenaar erreichen, die auf der einen Seite einige Löcher in der aktuellen Regelung stopfen und gleichzeitig einige Liberalisierungen erreichen, über die wir bereits gesprochen haben. Zum Beispiel Kryptographie von einigen Einschränkungen befreien, die nicht nötig sind.

c't: Key-Recovery soll Ihrer Ansicht nach vor allem die Arbeit in der Strafverfolgung erleichtern. Was möchten Sie auf diesem Gebiet erreichen?

Aaron: In Gesprächen mit deutschen Behörden wurde deutlich, daß sie Vereinbarungen darüber erzielen möchten, wie mit entschlüsselten Botschaften im Falle einer Kooperation im Strafverfolgungsbereich zu verfahren ist. Das muß man diskutieren. Ich bin hier eher vorsichtig. Es ist für Regierungen manchmal sehr schwer, in der Strafverfolgung zusammenzuarbeiten. Mit der Krypto-Frage wird ein ganz neuer Bereich erschlossen - von noch größerer Komplexität und Sensibilität. Ich glaube, daß es eher möglich sein wird, beim Austausch von Klartext als beim Austausch von Schlüsseln zu kooperieren. Denn wenn man einer anderen Regierung den Schlüssel übergibt, kann diese alles mögliche damit lesen. Aber wenn man den gesetzlichen Zugang strikt limitiert, könnte man untereinander derartiges Beweismaterial austauschen. Wir hatten bereits eine derartige Kooperation mit der italienischen Regierung in einem Mafia-Fall. Wir tauschten untereinander die Ergebnisse von Telefonüberwachungsmaßnahmen aus - aber nur spezifische Dinge, in denen über das Verbrechen gesprochen wurde.

c't: Was nützt ein Erfolg in Sachen Verschlüsselung, wenn es in der internationalen Zusammenarbeit allein schon aufgrund von personellen Engpässen zu Schwierigkeiten kommt? Für manche Kriminalitätsbereiche gibt es zwischen den USA und Deutschland nur einen einzigen Verbindungsbeamten. Wie sieht es mit einem Rechtshilfeabkommen aus?

Aaron: Wir versuchen seit Jahren, ein gegenseitiges Rechtshilfeabkommen zu erzielen - ohne Erfolg. Wir glauben, es sollte in der Handhabung von Krypto-Schlüsseln und Klartext in Fällen von terroristischen und kriminellen Untersuchungen eine größere Zusammenarbeit zwischen den Regierungen geben. Das ist nicht einfach, da wir nicht einmal ein gegenseitiges Rechtshilfeabkommen mit Deutschland haben, um Angelegenheiten zu regeln, die mit Schlüsseln und Klartext erst einmal nichts zu tun haben. Wir haben keine Illusionen darüber, wie sensibel und schwierig die Sache ist. Aber es ist nicht etwas völlig anderes als einfach Informationen im Rahmen einer Untersuchung auszutauschen. Wenn man als Quelle Informanten hat, ist das eine sehr sensible Angelegenheit. Polizeikräfte tauschen ungern diese Art von Informationen aus - aus offensichtlichen Gründen. Wir verstehen das, aber wenn die Zeit reif ist, möchten wir einen solchen Informationsaustausch pflegen.

c't: Wie beurteilen Sie die Chancen, mit unserer neuen Regierung zu einer Vereinbarung zu kommen?

Aaron: Nun, ich wäre schon dankbar, wenn es keine Mißverständnisse mehr gibt. Ein nächster Punkt wäre der Aufbau kompatibler Infrastukturen - wenn Sie ein deutsches Produkt in Deutschland kaufen, um mit einem amerikanischen Produkt in den USA zu kommunizieren, oder ein deutsches Produkt in den USA nutzen, um mit einem amerikanischen Produkt in Japan zu kommunizieren und so weiter.

c't: Wären das dann auch Produkte mit Key-Recovery-Funktion?

Aaron: Wir haben uns das einmal informell mit einigen Experten aus verschiedenen Ländern angesehen. Der Key-Recovery-Teil fügt einige Elemente hinzu, die man unter Kompatibilitätsgesichtspunkten speziell berücksichtigen müßte. Meiner Ansicht nach sollte die Kompatibilität auch dann gewährleistet werden können, wenn nur eines der Produkte über Key-Recovery verfügt. Für ein derart flexibles und universell einsetzbares Produkt müssen jedoch Standards entwickelt werden. Das müssen wir machen, um miteinander kommunizieren zu können - darauf läuft es hinaus.

c't: Vor drei Jahren wurde die Europäische Datenschutz-Richtlinie vom Europäischen Parlament verabschiedet; am 24. Oktober endet die Übergangsfrist zu ihrer Umsetzung. Jetzt sorgt sie für einige Unstimmigkeiten zwischen Europa und den USA, da unterschiedliche Auffassungen von Datenschutz aufeinanderstoßen. Die Richtlinie sieht unter anderem vor, den Datenfluß in Länder zu untersagen, in denen keine adäquaten Datenschutzbestimmungen existieren. Nach Auffassung der Europäischen Union wären auch die USA davon betroffen. Wo sehen Sie Konfliktpunkte, und was möchten Sie im Gespräch mit den Europäern erreichen?

Aaron: Wir möchten in unseren Konsultationen vor allem zwei Dinge erreichen: Wir möchten den Schutz von persönlichen Daten auf beiden Seiten des Atlantiks verbessern. Gleichzeitig möchten wir verhindern, daß es zu einer Unterbrechung des Datenflusses kommt.

c't: Es gab ein Gerücht, daß im US-Kongreß noch im Winter ein Gesetz eingebracht wird, um das Schlimmste zu verhindern. Meinen Sie, es kommt so weit?

Aaron: Nein, das denke ich nicht. Unser System beruht auf drei Teilen: auf Gesetzen für den Finanzsektor, Vorschriften im medizinischen Bereich sowie einer freiwilligen Selbstkontrolle von Online-Service-Providern. Darüber hinaus gibt es seitens der Staaten und des Bundes die Möglichkeit, Betrug rechtlich zu verfolgen. Wenn eine Firma beispielsweise von sich behauptet, sie habe Datenschutz - in Wirklichkeit hat sie jedoch keinen -, kann sie wegen Betrugs bestraft werden. Es ist etwas komplizierter als nur Selbstregulierung, aber diese bleibt sehr wichtig. Ich habe versucht, der Europäischen Kommission sowie den europäischen Datenschutzbeauftragten zu vermitteln, daß das europäische Modell von staatlichen Datenschutzbeauftragten bei uns in den USA als Verletzung der Privatsphäre geahndet werden würde.

c't: Offensichtlich gibt es hier zwei völlig unterschiedliche Ansätze.

Aaron: Uns in den USA macht es einfach sehr nervös, wenn jemand in der Regierung über unsere Daten entscheidet. Wir bevorzugen daher eher die Selbstkontrolle. Die Bundesregierung initiierte einen Bericht, der die nach unserem Verständnis grundlegenden Elemente von Datenschutz im Geschäftsbereich beschreibt und verschiedene Prinzipien enthält, wie Unternehmen mit persönlichen Informationen umgehen sollten. Diese Prinzipien wurden von einigen Organisationen aufgegriffen, die sich mit Online-Datenschutz befassen. So zum Beispiel das `Federal Business Bureau´, die `Online Privacy Alliance´ oder TrustE. Das funktioniert so, daß sich Firmen bei diesen Organisationen anmelden und sich verpflichten, nach diesen Datenschutzprinzipien zu handeln. Die Organisationen wiederum verbürgen sich für diese Firmen, führen unabhängige Untersuchungen durch und schlichten bei Auseinandersetzungen.

Wir haben mit der Europäischen Kommission darüber gesprochen, ob wir in unseren unterschiedlichen Ansätzen und Zielen Gemeinsamkeiten erkennen können. Wir fanden heraus, daß wir in 95 Prozent aller Fälle dieselben Dinge sagen. Wir machen es auf unterschiedliche Weise, aber wir versuchen dasselbe zu erreichen: Wir versuchen dem Kunden eine Entscheidungsmöglichkeit anzubieten, so daß er sich mit der Verwendung seiner Daten einverstanden erklären kann. Wir müssen den Konsumenten darüber informieren, welche Art von Datenschutz die Firmen betreiben. Es muß eine Vereinbarung darüber geben, ob die Firma die Daten einer anderen Firma weitergeben darf; dafür müssen die Firmen das Einverständnis des einzelnen einholen. Wenn es ein Problem gibt, muß eine unabhängige Untersuchung erfolgen können und eine Schlichtung erreicht werden können. Grundsätzlich sind wir uns einig - in einzelnen Bereichen gibt es jedoch noch Differenzen.

c't: Favorisieren Sie die Idee des `sicheren Hafens´, der es US-Unternehmen, die adäquate Datenschutzbestimmungen erfüllen, in einer Übergangslösung ermöglichen soll, Daten mit europäischen Partnern auszutauschen?

Aaron: Das ist genau das, was wir vorschlagen. Bestimmte Firmen können sich hier einfinden und absichern. Die Europäische Kommission könnte einen bestimmten, definierten Ort für einen adäquaten Datenschutz anerkennen. Das würde sowohl den Firmen einen `sicheren Hafen´ bieten als auch den einzelnen in Europa, die dann sichergehen können, daß mit ihren Daten ordentlich umgegangen wird. Zur Zeit beraten wir noch, tauschen Informationen aus und überlegen uns Lösungsmodelle. Wir hoffen, eine Vereinbarung treffen zu können, bevor es zu Unterbrechungen im Datenfluß kommt.

Anzeige