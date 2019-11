Wer seine Daten im Netz absolut sicher verschlüsseln will, muss es selbst tun. Denn Service-Provider kommen zunehmend unter Druck, Behörden den Zugang herauszugeben, berichtete Klaus Landefeld, Vorstand Infrastruktur und Netze des eco Verband der Internetwirtschaft beim 14. Internet Governance Forum (IGF) in Berlin. Auf Einladung der Internet Society diskutierten Teilnehmer aus vielen Staaten über außerordentliche Zugangsrechte der Strafverfolger zu Endgeräten und Daten in der Cloud.

Seit 2013 beobachtet man beim größten deutschen Internetknoten DeCIX die stetige Zunahme verschlüsselter Datenverkehre. Aktuell sind zwei Drittel des http-Datenverkehrs am DeCIX verschlüsselt, berichtete Landefeld. Der http-Verkehr macht insgesamt über 80 Prozent des Gesamtverkehrs aus.

Durch diesen Trend rücken die Anbieter von Diensten und die Hersteller von Geräten ins Visier von Strafverfolgern und Sicherheitsbehörden. In der Debatte gehe es angesichts dieses Trends nicht um das Brechen der Verschlüsselung. Vielmehr suchen die Behörden Möglichkeiten, Verschlüsselung zu umgehen, berichtete Landefeld. Wollen sich die Behörden nicht mit Supercomputern, viel Zeit und noch mehr kryptographischer Expertise ausstatten, müssen sie auf die Kommunikation zugreifen, bevor sie verschlüsselt oder nachdem sie wieder entschlüsselt wird.

Seiteneingänge und Hintertüren

"Solange die Kommunikation durch einen sicheren (verschlüsselten) Tunnel läuft, sind Sie sicher. Aber irgendwo muss die Kommunikation in den Tunnel rein, und irgendwo muss sie wieder raus, und das ist, wo man Sie kriegt", erklärte Peter Koch, Vorsitzender der deutschen Internet Society. Eine weitere beliebte Art, Verschlüsselung zu umgehen, ist, sich als ein berechtigter Empfänger auszugeben. "Es ist kein Angriff auf die Mathe hinter der Verschlüsselung, sondern die Suche nach alternativen Zugängen zu den verschlüsselten Kanälen", betont Koch.

Eine Übersicht über weltweite Verschlüsselungsgesetzgebung. Unter https://www.gp-digital.org/world-map-of-encryption/ als interaktive Karte. (Bild: Global Partners Digital )

Wenn der Zugriff am Endgerät realisiert werden soll, steht man vor der Gretchenfrage, ob Hersteller gezwungen werden sollen, ihre Betriebssysteme mit Hintertüren für den außerordentlichen Zugang der Behörden auszustatten. Dieses Szenario wurde im Fall FBI gegen Apple durchgespielt.

Das Problem mit dieser Art außerordentlichem Zugang besteht laut Olaf Kolkman, CTO der Internet Society, in der Unsicherheit, die solche Zugriffspunkte bedeuten. "Wir kennen einfach keine technische Lösung, wie wir der deutschen Regierung, rechtsstaatliche abgesichert, eine solche Zugriffsmöglichkeit einrichten, und zugleich verhindern sollen, dass andere Regierungen, denen wir nicht trauen, nicht mit reinkommen durch diese Tür", erklärt Kolkmann.

Herr der eigenen Schlüssel

In vielen Ländern läuft derzeit zudem die Debatte, wie der Behördenzugriff zu gespeicherten Daten organisiert werden soll, sagt Landefeld. Sollten die Nutzer sich also bei Verschlüsselung und Speicherung von Daten in der Cloud auf Provider verlassen? "Da kommen wir als Unternehmen in die Bredouille, denn wir können jederzeit von den Behörden gezwungen werden, diese Daten frei zu geben oder zu entschlüsseln."

"Nur wenn sich der Nutzer selbst um seine Verschlüsselung kümmert, ist er sicher. Die Stärke der Verschlüsselung liegt in den Schlüsseln, behalten Sie sie als Nutzer bei sich und geben Sie sie niemand anderem!", lautet Landefelds Rat. Genau das ist für den normalen Nutzer allerdings bislang zu aufwändig.

Australier als Versuchskaninchen

Vertreter mehrerer Regierungen berichteten von den jeweils in ihren Ländern laufenden Debatten. Das Dilemma, dass die Behörden gerne selbst sichere Kommunikationskanäle hätten, ihre Strafverfolger aber über zunehmende Schwierigkeiten bei Ermittlungen jammern, ist auch in der Schweiz ein heißes Thema. Die von den US-Behörden bislang übermittelten Erkenntnisse im Bereich Kinderpornographie würden durch den vermehrten Einsatz von https künftig ausbleiben. Das sei zumindest die Befürchtung der eigenen Behörden, sagte ein Schweizer Diplomat in Berlin.

Strafverfolger aus 60 Ländern unterstützten bei einem Interpoltreffen in der vergangenen Woche laut Reuters einen von amerikanischen, britischen und australischen Strafverfolgungsbehörden eingeführten Beschluss, der Verschlüsselung aus diesem Grund grundsätzlich verurteilt. Australien und Großbritannien sind die ersten Länder, die nationale Gesetze über den außerordentlichen Zugriff auf verschlüsselte Kommunikation eingeführt haben.

Die Umsetzung des australischen Gesetzes, das Provider bei hohen Strafen zur Aufschlüsselung von Daten ihrer Kunden zwingen soll, wird beispielsweise von den israelischen Behörden sehr genau verfolgt. Im dortigen Justizministerium sieht man den australischen Weg als Lackmustest in Bezug auf die Wirksamkeit einer Anti-Verschlüsselungsregelung.

Zum Internet Governance Forum in Berlin:

(jk)