"Wertvolle Daten verdienen mehr Schutz, nicht weniger"

Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht
Von
  • Karsten Nohl

Erstaunliches ist kürzlich im Bundestag geschehen: In der vielleicht einzigen offenen Aussprache zu einem hochkomplexen Gesetzesvorhaben waren sich – mit Ausnahme des Chaos Computer Clubs – die Vortragenden im Innenausschuss einig, dass IT-Sicherheits- und Datenschutzstandards in Deutschland massiv gesenkt werden sollten. Dieser im Kontext E-Government und De-Mail lancierte Vorstoß der Regierung steht im starken Kontrast zu allen anderen Regierungs-Initiativen für mehr Cybersicherheit, welche das wachsende Risiko von Datendiebstahl anerkennen.

Konkret plant die Regierung, Schutzvorschriften in einer Vielzahl von Gesetzen abzusenken, darunter den besonderen Schutz für Steuer-, Sozial- und Gerichtsdaten, deren elektronischer Transport bisher eine Ende-zu-Ende-Verschlüsselung voraussetzte. Nun soll De-Mail als Quasi-Standard für elektronische Übermittlung solch kritischer Daten festgeschrieben werden.

Die gesetzliche Absenkung des Schutzbedarfs ist nötig, da die De-Mail ihr ehemals hehres Ziel verfehlt, ein elektronisches Übermittlungsverfahren mit einem zum Postversand äquivalentem Schutzniveau einzuführen. Statt die De-Mail auf dieses Niveau zu heben, wird der gesetzliche Schutz von Steuer-, Sozial- und Justizdaten kurzerhand abgesenkt. Noch beim Elektronischen Gerichts- und Verwaltungspostfach wurde Ende-zu-Ende-Verschlüsselung als nötig erachtet, um den gesetzlichen Verpflichtungen zu Verlässlichkeit und Vertraulichkeit nachzukommen. Jetzt soll das anders werden und die Regierung passt die Gesetze so an, dass die minderen Sicherheitsstandards von De-Mail für die Übermittlung offizieller Dokumente übers Internet genügen sollen. Sie reißt damit Schutzlücken auf, durch die Strafverfolgungsbehörden, die Anbieter der De-Mail sowie Hacker auf den De-Mail Systemen Zugriff auf Nachrichten erhalten.

Dabei gehört Deutschland zu den wenigen Ländern, in denen mit dem neuen Personalausweises (nPA) bereits Zertifikate für eine Ende-zu-Ende-Verschlüsselung vorhanden wären. Die für De-Mail respektive nPA verantwortlichen Ressorts im Bundesministerium des Inneren (BMI) scheinen diese Synergie derzeit aber bewusst nicht zu wollen. In der Wirtschaft, wo bereits heute wertvolle Datenwerte geschützt werden müssen, hat sich der "virtuelle Briefumschlag" Ende-zu-Ende-Verschlüsselung für kritische Kommunikation als De-Facto-Standard etabliert.

Die Forderung nach speziellem Schutz vor Angriffen auf zentrale Server geht dabei nicht etwa auf die Annahme zurück, dass Server unsicherer sind als Endgeräte; das Gegenteil ist fast immer der Fall. Dennoch sind Server stärker gefährdet, da hier die wertvollen Daten vieler Benutzer zusammen genommen weit höhere Angriffsanreize bieten. Die aus dieser Risikoperspektive wertvollsten Server der Republik werden – wenn alles nach den Plänen der Bundesregierung läuft – die De-Mail-Server, welche Zugriff auf die (kurzzeitig) unverschlüsselten Bank-, Steuer-, Justiz-, Arztdaten und viele weitere schutzwürdige Informationen aller Bürger bieten. Der De-Mail-Datenstrom stellt alle bisherigen Datenquellen in den Schatten und kreiert entsprechend nie dagewesene kriminelle Anreize.

Dass auch wesentlich weniger wertvolle Datensammlungen derzeit nicht zu schützen sind, zeigen die eindrucksvollen Hacking-Reports der letzten Monate, in denen Systeme bei Staaten und in der Industrie reihenweise als teils seit Jahren kompromittiert befunden wurden. Der Bundesnachrichtendienst baut jetzt eine eigene Abteilung auf, um solche Angriffe gegen Industrieunternehmen – zum Beispiel derjenigen, die De-Mail betreiben – zu unterbinden. Je stärker der De-Mail-Datenstrom anschwillt, desto aussichtsloser scheint dieser Kampf.

Die Bundesregierung schreitet dennoch mit den Plänen voran, De-Mail gesetzlich als sicher zu deklarieren. Die IT-Industrie lässt durch den Bitkom verkünden: "Der potentielle Markt für De-Mail-Provider wird durch die Forderung nach Ende-zu-Ende-Verschlüsselung [...] erschwert." Diesen Wirtschaftsinteressen steht eine über Jahrzehnte erkämpfte Tradition von Datensparsamkeit und -schutz gegenüber, die nun auf einen Schlag aus allen relevanten Gesetzen gestrichen werden soll. Dabei ist der Aufwand für eine Ende-zu-Ende-Verschlüsselung immer noch minimal im Vergleich mit einem Besuch beim Amts oder dem Aufgeben eines Einschreibens.

Ein solch massiver Umbau gesetzlicher Vorschriften verdient einen parlamentarischen und gesellschaftlichen Diskurs, um die Risiken und Möglichkeiten von De-Mail im Speziellen und E-Government im Allgemeinen abzuwägen. Bisher jedoch wurde Dialog gemieden. Statt dessen wird das Gesetzesvorhaben verschleiert: Die wichtigen Schutz-Absenkungen kamen erst nach der ersten Diskussion hinzu und sind in zwei länglichen Artikelgesetzen versteckt. Zudem wird das BMI an mehreren zentralen Stellen ermächtigt, selbstständig zu entscheiden, was De-Mail bedeutet. Das Gesetz erklärt das Resultat dann automatisch für sicher. Hier schafft sich die parlamentarische Kontrolle über Datensicherheit selbst ab.

Noch kann die Angemessenheit des Gesetzesvorhaben unter der Perspektive eines zunehmend unsicheren Technikumfeldes hinterfragt werden, als nächstes im Justizausschuss am 15. April und im Innenausschuss am 17. April. Viel Zeit bleibt jedoch nicht mehr, den großen Rückschritt beim Schutz kritischer Daten zu verhindern: Die finalen Lesungen des E-Government-Gesetzes sollen am 18. April stattfinden. (ju)