Crypto Wars: EU-Staaten beschließen Resolution zu Entschlüsselung

Der EU-Rat hat eine von der Bundesregierung ausgearbeitete Entschließung zu Verschlüsselung verabschiedet. Er fordert Beihilfe von IT-Firmen beim Entschlüsseln.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 501 Beiträge

(Bild: wk1003mike/Shutterstock.com)

Von
  • Stefan Krempl

Die Innenminister der EU-Mitgliedsstaaten haben die heftig umstrittenen Schlussfolgerungen zu "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung" des Rats bei ihrer virtuellen Sitzung am Montag ohne weitere Aussprache angenommen. Sie billigten damit trotz massiver Proteste aus Wirtschaft, Wissenschaft und Zivilgesellschaft den finalen Entwurf der deutschen, Ende des Jahres auslaufenden Ratspräsidentschaft.

Kernpunkt der endgültigen Version vom 24. November ist der Gedanke, dass für Sicherheitsbehörden eine Form des außergewöhnlichen Zugriffs auf verschlüsselte Daten im Klartext möglich sein sollte und könnte. Diese Idee haben unter anderem Geheimdienste wie die NSA und das GCHQ über den sogenannten Five-Eyes-Verbund sowie das FBI in den laufenden Crypto Wars propagiert.

Grundlegende Sicherheitsmängel für alle anderen Nutzer eines Dienstes oder einer Technologie sollen laut der seit Jahren geführten Debatte über Vorder- und Hintertüren sowie Universal- oder Nachschlüssel nach offizieller Lesart nicht geschaffen werden. Techniker verweisen eine solche "magische Lösung" aber ins Reich der Märchen, da es "ein bisschen verschlüsselt" nicht gibt.

Der Rat will nun trotzdem auf die Beihilfe von Dienstanbietern wie Apple, Facebook, Google, Threema, Signal oder WhatsApp beim Entschlüsseln elektronischer Kommunikation setzen. "Verschlüsselung ist ein notwendiges Mittel zum Schutz der Grundrechte und der digitalen Sicherheit von Regierungen, Industrie und Gesellschaft", heißt es in der Entschließung. Gleichzeitig müsse die EU aber sicherstellen, dass die "zuständigen Behörden im Bereich Sicherheit und Strafjustiz" – inklusive Geheimdiensten – ihre "gesetzlichen Befugnisse" ausüben und "sowohl online als auch offline unsere Gesellschaften" und Bürger schützen können.

Diese Zwiespältigkeit, die schon im Titel der Resolution angelegt ist, zieht sich durch das ganze Dokument. "Ganz offensichtlich kommen Verschlüsselungstechnologien allen Seiten zugute", meinen die Regierungsvertreter. "Es werden nicht nur elektronische Geräte und Anwendungen zunehmend so programmiert, dass sie gespeicherte Nutzerdaten standardmäßig verschlüsseln". Auch immer mehr Kommunikationskanäle und Datenspeicherdienste würden durch Ende-zu-Ende-Verschlüsselung gesichert.

Die Digitalisierung moderner Gesellschaften bringt laut der Deklaration aber auch "gewisse Schwachstellen und das Potenzial einer Ausbeutung für kriminelle Zwecke mit sich". So könnten Straftäter "leicht zugängliche, herkömmliche Verschlüsselungslösungen, die für rechtmäßige Zwecke konzipiert sind, für ihre Vorgehensweisen nutzen". Gleichzeitig hänge die Strafverfolgung zunehmend vom Zugang zu elektronischen Beweismitteln ab, um Terrorismus, organisierte Kriminalität, sexuellen Missbrauch von Kindern sowie eine Vielzahl anderer Cyberstraftaten wirksam zu bekämpfen.

Unabhängig vom derzeitigen technologischen Umfeld ist es dem Rat zufolge daher unerlässlich, die Befugnisse der zuständigen Behörden "durch rechtmäßigen Zugang zu wahren". Nötig seien gegebenenfalls Gesetze, mit denen diese auf dem Papier schon bestehenden Kompetenzen auch praktisch durchgesetzt werden könnten. Diese müssten "im vollen Einklang mit einem ordnungsgemäßen Verfahren und anderen Garantien sowie den Grundrechten stehen". Die unterschiedlichen Interessen seien sorgfältig abzuwägen.

Die EU zeigt sich laut der Erklärung nun bestrebt, "in einen aktiven Dialog mit der Technologiebranche einzutreten und dabei Forschung und Wissenschaft einzubeziehen". Dabei gelte es, einerseits den Einsatz starker Verschlüsselungstechnologien und die Cybersicherheit zu gewährleisten. Andererseits müssten Sicherheitsbehörden "unter uneingeschränkter Achtung der Grundrechte und der einschlägigen Datenschutzgesetze rechtmäßig und gezielt auf Daten zugreifen können". Dafür seien grundrechtskompatible "technische Lösungen" nötig.

Vage wird in dem Papier festgehalten, dass die Notwendigkeit, einen entsprechenden EU-weiten Regelungsrahmen zu entwickeln, weiter bewertet werden "könnte". Dies soll offenbar nahelegen, dass eine zusätzliche Analyse nicht mehr zwingend für künftige gesetzgeberische Schritte nötig ist. Es sei vor allem wichtig, die Bemühungen aller Länder, Organe und Institutionen der EU zu bündeln. Eine "einheitliche vorgeschriebene technische Lösung für den Zugang zu verschlüsselten Daten" sieht der Rat aber als nicht machbar an.

Die Bundesregierung hatte mit früheren Entwürfen eine Welle der Kritik ausgelöst, zuletzt aber nur noch Nuancen am Text geändert. Das Innenministerium verteidigt den Kurs damit, dass der Einsatz von Staatstrojanern zum Umgehen von Verschlüsselung zu aufwändig und so meist nicht praktikabel sei. Unter anderem die Datenschutzkonferenz von Bund und Ländern hatte die Zugriffsforderungen entschieden zurückgewiesen. Die "Aushöhlung von Verschlüsselungslösungen", wie sie der Ratsbeschluss nahelege, sei kontraproduktiv und könnte durch Kriminelle und Terroristen leicht umgangen werden. Die Gesellschaft für Informatik hatte beklagt: Die Initiative gefährde nicht nur die informationelle Selbstbestimmung, sondern auch den Schutz von Betriebs- und Geschäftsgeheimnissen.

Die EU-Kommission hat sich mit ihrer Anti-Terror-Agenda bereits hinter die Ratserklärung gestellt. Sie will nun vor allem im Kampf gegen die Verbreitung von Missbrauchsdarstellungen Lösungen für den Zugang zu Nachrichten im Klartext ausloten, die IT-Sicherheitsexperten aber bislang als untauglich einschätzen. Hintertüren schließt sie bei dem von ihr für möglich erachteten "Mittelweg" nicht aus. Europol betreibt schon eine Plattform zur Entschlüsselung nach dem Vorbild der deutschen Hackerbehörde Zitis.

(tiw)