zurück zum Artikel

Crypto Wars: Grünes Licht für umkämpfte EU-Erklärung zu Entschlüsselung

Stefan Krempl

(Bild: wk1003mike/Shutterstock.com)

Diplomaten haben die von der Bundesregierung ausgearbeitete Entschließung des EU-Rats zur Verschlüsselung gebilligt. IT-Firmen sollen beim Entschlüsseln helfen.

Im EU-Ministerrat ist der Weg frei für die heftig umstrittenen Schlussfolgerungen zu "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung". Der Ausschuss der Ständigen Vertreter der Mitgliedstaaten (Coreper) befürwortete den finalen Entwurf der deutschen Ratspräsidentschaft am Mittwoch. Die Innenminister der EU-Länder müssen das Papier so bei ihrer nächsten Videokonferenz am 14. Dezember nur noch formal abnicken.

Die im Coreper versammelten Diplomaten, die Entscheidungen der Ressortleiter vorbereiten, billigten die Entschließung im schriftlichen Umlaufverfahren ohne Aussprache [1]. Die endgültige Version vom 24. November haben die Bürgerrechtsorganisation Statewatch auf englisch [2] und die Zeit auf deutsch [3] veröffentlicht. Obwohl die Bundesregierung mit früheren Entwürfe eine Welle der Kritik aus Wirtschaft, Wissenschaft und Zivilgesellschaft auslöste [4], änderte sie zuletzt nur noch Nuancen am Text.

Die Autoren der Erklärung werben so nach wie vor für die in den laufenden Crypto Wars unter anderem von Geheimdiensten und dem FBI entwickelte Idee [5], dass für Sicherheitsbehörden eine Form des außergewöhnlichen Zugriffs auf verschlüsselte Daten möglich sein sollte und könnte. Grundlegende Sicherheitsmängel für alle anderen Nutzer eines Dienstes oder einer Technologie sollen damit nicht geschaffen werden.

Techniker haben eine solche "magische Lösung" immer wieder ins Reich der Märchen verdammt, da es "ein bisschen verschlüsselt" nicht gebe. Der Rat setzt trotzdem auf die Beihilfe von Dienstanbietern wie Apple, Facebook, Google, Threema, Signal oder WhatsApp beim Entschlüsseln elektronischer Kommunikation [6].

"Verschlüsselung ist ein notwendiges Mittel zum Schutz der Grundrechte und der digitalen Sicherheit von Regierungen, Industrie und Gesellschaft", heißt es in der Entschließung. Gleichzeitig müsse die EU aber sicherstellen, dass die "zuständigen Behörden im Bereich Sicherheit und Strafjustiz", was Geheimdienste einschließt, ihre "gesetzlichen Befugnisse" ausüben und so "sowohl online als auch offline unsere Gesellschaften" und Bürger schützen können.

Diese Zwiespältigkeit, die schon im Titel angelegt ist, zieht sich durch das ganze Dokument. "Ganz offensichtlich kommen Verschlüsselungstechnologien allen Seiten zugute", schreibt die Bundesregierung. "Es werden nicht nur elektronische Geräte und Anwendungen zunehmend so programmiert, dass sie gespeicherte Nutzerdaten standardmäßig verschlüsseln". Auch immer mehr Kommunikationskanäle und Datenspeicherdienste würden durch Ende-zu-Ende-Verschlüsselung gesichert.

Die Digitalisierung moderner Gesellschaften bringt laut der Deklaration indes auch "gewisse Schwachstellen und das Potenzial einer Ausbeutung für kriminelle Zwecke mit sich". So könnten Straftäter "leicht zugängliche, herkömmliche Verschlüsselungslösungen, die für rechtmäßige Zwecke konzipiert sind, für ihre Vorgehensweisen nutzen". Gleichzeitig hänge die Strafverfolgung zunehmend vom Zugang zu elektronischen Beweismitteln ab, um Terrorismus, organisierte Kriminalität, sexuellen Missbrauch von Kindern sowie eine Vielzahl anderer Cyberstraftaten wirksam zu bekämpfen.

Unabhängig vom derzeitigen technologischen Umfeld ist es den Verfassern zufolge daher unerlässlich, die Befugnisse der zuständigen Behörden "durch rechtmäßigen Zugang zu wahren, damit sie ihre Aufgaben wie gesetzlich vorgeschrieben und zulässig wahrnehmen können". Die Rede ist von Gesetzen, in denen solche "Durchsetzungsbefugnisse vorgesehen sind". Diese müssten "im vollen Einklang mit einem ordnungsgemäßen Verfahren und anderen Garantien sowie den Grundrechten stehen". Die unterschiedlichen Interessen seien sorgfältig abzuwägen.

Die EU zeigt sich laut der Erklärung nun bestrebt, "in einen aktiven Dialog mit der Technologiebranche einzutreten und dabei Forschung und Wissenschaft einzubeziehen". Dabei gelte es, einerseits den Einsatz starker Verschlüsselungstechnologien und die Cybersicherheit zu gewährleisten. Andererseits müssten Sicherheitsbehörden "unter uneingeschränkter Achtung der Grundrechte und der einschlägigen Datenschutzgesetze rechtmäßig und gezielt auf Daten zugreifen können". Dafür seien grundrechtskompatible "technische Lösungen" nötig.

Vage ist in der Endversion im Gegensatz zu Vorläufern nachzulesen, dass die Notwendigkeit, einen entsprechenden EU-weiten Regelungsrahmen zu entwickeln, weiter bewertet werden "könnte". Dies soll offenbar nahelegen, dass eine zusätzliche Analyse nicht mehr zwingend für künftige gesetzgeberische Schritte nötig ist. Es sei vor allem wichtig, die Bemühungen aller Länder, Organe und Institutionen der EU zu bündeln.

Klar ist die Ansage, dass "mögliche Lösungen in transparenter Weise und in Zusammenarbeit mit den nationalen und internationalen Anbietern von Kommunikationsdiensten und anderen einschlägigen Interessenträgern entwickelt werden" sollten. Auch die "technischen und operativen Kompetenzen" und das Know-how der Behörden müssten kontinuierlich verbessert werden. Eine "einheitliche vorgeschriebene technische Lösung für den Zugang zu verschlüsselten Daten" werde es aber nicht geben.

Die Datenschutzkonferenz von Bund und Ländern (DSK) nahm derweil auf ihrer 100. Sitzung am Mittwoch eine Resolution an, in der sie Forderungen nach einem Zugriff der Sicherheitsbehörden und Geheimdienste auf die verschlüsselte Kommunikation in Messenger-Diensten und der privaten Kommunikation entschieden zurückweist [7]. Die "Aushöhlung von Verschlüsselungslösungen", wie sie der geplante Ratsbeschluss nahelege, wäre kontraproduktiv und könnte durch Kriminelle und Terroristen leicht umgangen werden.

Eine sichere und vertrauenswürdige Verschlüsselung sei eine essenzielle Voraussetzung "für eine widerstandsfähige Digitalisierung in Wirtschaft und Verwaltung", unterstreichen die Aufsichtsbehörden. Unternehmen müssten sich vor Wirtschaftsspionage schützen, Bürger auf eine sichere und integre Nutzung digitaler Verwaltungsleistungen vertrauen können. Verschlüsselung sei auch ein zentrales Mittel für die Datenübermittlung in "unsichere Drittländer". Der Europäische Gerichtshofs habe dies mit dem "Schrems II"-Urteil jüngst erneut deutlich gemacht [8].

(bme [9])


URL dieses Artikels:
https://www.heise.de/-4973629

Links in diesem Artikel:
[1] https://data.consilium.europa.eu/doc/document/ST-13245-2020-INIT/de/pdf
[2] https://www.statewatch.org/news/2020/november/eu-council-set-to-adopt-declaration-against-encryption/
[3] https://www.zeit.de/digital/datenschutz/2020-11/verschluesselung.pdf
[4] https://www.heise.de/news/Terrorbekaempfung-und-Verschluesselung-EU-Rat-forciert-umstrittene-Crypto-Linie-4960069.html
[5] https://www.heise.de/hintergrund/Missing-Link-Crypto-Wars-der-endlose-Streit-ueber-sichere-Verschluesselung-4967574.html
[6] https://www.heise.de/news/Crypto-Wars-Deutsche-EU-Ratspraesidentschaft-will-Beihilfe-zur-Entschluesselung-4940927.html
[7] https://www.datenschutzkonferenz-online.de/media/pm/20202711_pm_100_dsk.pdf
[8] https://www.heise.de/news/EuGH-kippt-EU-US-Datenschutzvereinbarung-Privacy-Shield-4845204.html
[9] mailto:bme@heise.de