Crypto Wars: Europol startet mit Entschlüsselungsplattform durch

Nach dreijähriger Aufbauzeit hat bei Europol offiziell eine Stelle zur Entschlüsselung ihre Arbeit aufgenommen. Die Kritik am EU-Krypto-Kurs wächst.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 45 Beiträge

(Bild: VideoFlow/Shutterstock.com)

Von
  • Stefan Krempl

In einer virtuellen Zeremonie haben diese Woche hochrangige Vertreter von Europol, aus dem EU-Parlament, dem Ministerrat und der Kommission eine seit drei Jahren vorangetriebene europäische Entschlüsselungsplattform eingeweiht. Die Einrichtung soll nach offiziellen Angaben die Fähigkeit von Europol erheblich verbessern, bei strafrechtlichen Ermittlungen rechtmäßig erhaltene Informationen zu entschlüsseln.

Europol feiert den Schritt als "einen Meilenstein im Kampf gegen das organisierte Verbrechen und den Terrorismus in Europa". Unter "uneingeschränkter Wahrung der Grundrechte" werde diese Initiative den nationalen Strafverfolgungsbehörden aller Mitgliedstaaten zur Verfügung stehen, "um die Sicherheit von Gesellschaften und Bürgern zu gewährleisten".

Die Ermittler gelobten: Verschlüsselung selbst werde nicht eingeschränkt oder geschwächt. Bleibt also etwa das Knacken oder Umgehen. Auf eine Anfrage zu den vorgesehenen Methoden antwortete Europol am Freitag nicht. Die Bundesregierung verriet im Frühjahr, dass die Mitarbeiter der Stelle unter anderem bereits mit einem Instrument für einen "kontextbasierten Ansatz zur gezielten Entschlüsselung" (Context Based Approach for Targeted Decryption) experimentierten. Es handle sich dabei um einen softwaregestützten Prozess, der hardwareseitig auf der Plattform laufe.

Das Bundeskriminalamt (BKA) wandte sich zwischen 2017 und 2019 in sechs Fällen mit einschlägigen "Entschlüsselungsaufträgen" an die europäische Polizeibehörde. Die Erfolgsquote des in seiner Funktionsweise nicht näher beschriebenen Ansatzes war gemischt. "In zwei Fällen konnten die Zugangsbeschränkungen überwunden werden", hieß es von Regierungsseite. Zu einem Fall hatte sich Europol damals noch nicht geäußert.

Bekannt ist auch, dass Europol schon seit einiger Zeit auf der Suche nach einer Staatstrojaner-Software ist, um etwa verschlüsselte Messenger-Dienste wie WhatsApp, Signal oder Threema sowie Internet-Telefonate abhören zu können. Die Kommission ließ jüngst Lösungen für den Zugang zu Nachrichten im Klartext wie Hash-Abgleichs auch mit Hilfe von Europol ausloten, die IT-Sicherheitsexperten aber bislang als untauglich einschätzen.

Betrieben wird die Plattform vom Europäischen Zentrum für Cyberkriminalität (EC3) von Europol. Es soll "sein internes Fachwissen nutzen", um die nationalen Ermittlungen effektiv zu unterstützen. Das EC3 konzentriert sich auf Cyberkriminalität, die von organisierten Gruppen begangen wird, die hohe Gewinne durch Online-Betrug erzielen, Opfer etwa durch die sexuelle Ausbeutung von Kindern schwer schädigen oder kritische Infrastrukturen und IT-Systeme in der EU beeinträchtigen.

"Die nationalen Polizeikräfte können nun rechtmäßig erlangte Beweise zur Entschlüsselung an Europol senden", begrüßte EU-Innenkommissarin Ylva Johansson den offiziellen Start der Plattform. Diese sei vor allem im Kampf gegen den sexuellen Missbrauch von Kindern wichtig. Die Polizeibehörde entwickelte die Stelle in enger Zusammenarbeit mit der Gemeinsamen Forschungsstelle der Kommission (JCR). Das Geld kommt von der EU.

Der Rat hatte Ende 2017 den Plan der Kommission befürwortet, beim EC3 mit zunächst 86 neuen Mitarbeitern eine Entschlüsselungsinitiative nach Vorbild der deutschen Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis) einzurichten. 2018 bewilligte die EU nach der Anschubfinanzierung erneut fünf Millionen Euro, um die Fähigkeiten Europols zum Auslesen verschlüsselter Inhalte zu verbessern.

Erst am Montag hatten die EU-Länder eine umstrittene Erklärung zu "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung". Sie drängen damit auf eine Form des außergewöhnlichen Zugriffs auf verschlüsselte Daten im Klartext für Sicherheitsbehörden. Diese Idee haben vor allem Geheimdienste wie die NSA und das GCHQ über den sogenannten Five-Eyes-Verbund sowie das FBI in den laufenden Crypto Wars propagiert. Grundlegende Sicherheitsmängel für alle anderen Nutzer eines Dienstes oder einer Technologie sollen nicht geschaffen werden. Techniker halten eine solche "magische Lösung" für ein Märchen, da es "ein bisschen verschlüsselt" nicht gibt.

Die Kritik an dieser Linie verstummt nicht. "Hintertüren, Generalschlüssel und ähnliche Instrumente sind die einzig denkbaren technischen Umsetzungen des geforderten 'rechtmäßigen Zugangs'", moniert etwa die Neue Richtervereinigung. Mit derartigen Maßnahmen würde eine Ende-zu-Ende-Verschlüsselung nicht nur kategorisch für alle entwertet, die auf sie angewiesen seien wie Journalisten, Aktivisten, Anwälte, Whisteblower und Unternehmen. Sie seien ferner "auch ganz und gar untauglich, um die bezweckte Bekämpfung von Kriminalität zu fördern".

Bis heute blieben Innen- und Sicherheitspolitik Belege dafür schuldig, "dass die fehlende Überwachbarkeit verschlüsselter Individualkommunikation der Aufdeckung schwerer Straftaten tatsächlich relevant entgegenstehen würde", meint die Richterallianz. Das Vorhaben laufe nun auf die "Abschaffung oder gar Kriminalisierung wirksamer Ende-zu-Ende-Verschlüsselung" hinaus. Die Kommission müsse sich daher klar gegen die Ratsforderungen positionieren.

"Wird die Ende-zu-Ende-Verschlüsselung aufgeweicht, erhalten die Behörden einen Generalschlüssel zu sämtlichen Messengerdaten der Bevölkerung", befürchtet auch die sächsische Justizministerin Katja Meier. Dies wäre eine große Gefahr für die Privatsphäre der Bürger. Zudem werde es nicht lange dauern, glaubt die Grüne, "bis sich auch Kriminelle diese Schwachstellen zu Nutze machen". Von einfachen Betrügereien bis zur großangelegten Wirtschaftsspionage sei damit "alles denkbar".

"Keine Sicherheit ohne Verschlüsselung", betonten zudem 155 Kryptographen und IT-Sicherheitsexperten aus Staaten wie Frankreich, Österreich, Belgien und Dänemark in einem offenen Brief. Dazu zählt der Co-Autor des Verschlüsselungsstandards AES, Vincent Rijmen von der Universität Leuven. Kryptographie sei öffentliches Wissen und könne nicht einfach abgeschafft werden, heißt es. Eine "Balance" zwischen IT-Sicherheit und einem erleichterten Ermittlungszugriff gebe es nicht. Es müsse geklärt werden, welche Werkzeuge die Strafverfolger tatsächlich benötigten und welche Grundrechtseingriffe damit verknüpft wären.

(bme)