Verschlüsseln oder nicht verschlüsseln – das ist hier nicht die Frage

von Raimund Genes, Chief Technology Officer

„ISIS hat eigenes verschlüsselte WhatsApp“ – so oder so ähnlich lauteten vor einigen Wochen viele Schlagzeilen. Und man kann fast die Uhr danach stellen, dass nach Ereignissen wie jenen in Paris Politiker Verschlüsselung als „Teufelszeug“ brandmarken — soll heißen, sie abschaffen oder mit „Hintertüren“ versehen möchten. Um die Tragweite solcher populistischen Aussagen einschätzen zu können, ist es wichtig zu verstehen, was Verschlüsselung ist und wie sie funktioniert.

Vereinfacht gesagt kann man Verschlüsselung als eine Reihe von mathematischen Operationen verstehen, die auf einen Klartext und einen Schlüssel angewendet werden. Heraus kommt dann das verschlüsselte Ergebnis. Die mathematischen Operationen (der Algorithmus) sind bekannt und offengelegt – das gehört seit Jahren zum guten Ton. Außerdem können damit Dritte/Experten die kryptographische Stärke des Algorithmus unabhängig prüfen. Glücklicherweise (sic!) wurden in den vergangenen Jahren in durchaus einigen – auch bekannten – Algorithmen Schwächen entdeckt. Letztendlich führte dies zur Empfehlung, diese nicht mehr zu nutzen sowie zur Entwicklung resistenterer Nachfolger. Damit ergibt sich die Sicherheit ausschließlich aus dem verwendeten Schlüssel (und dessen Geheimhaltung). Besser gesagt: So sollte es sein…

Verschlüsselung abschaffen?

Man muss sich vor Augen führen, dass Verschlüsselung ein integraler Bestandteil der heutigen Kommunikation ist. Obwohl durchaus noch Verbesserungspotential besteht, geschieht der Großteil aller modernen Käufe, Anmeldungen und Transaktionen verschlüsselt. Mit der Forderung nach einem Verschlüsselungsverbot erweisen diese Politiker unser aller Sicherheit einen Bärendienst! Sichere Kommunikation im Internet ist ohne Verschlüsselung schlichtweg nicht möglich. Auf Verschlüsselung zu verzichten –bzw. verzichten zu müssen – gefährdet die Privatsphäre eines jeden von uns. Salopp formuliert könnte man sagen, dass unsere Privatsphäre auf dem Altar der Terrorbekämpfung geopfert wird.

Eingebaute Hintertüren

Wenn der Widerstand gegen die Abschaffung der Verschlüsselung zu groß wird, holen viele auch gern die Alternativlösung aus dem Archiv: Hintertüren. Die Idee besteht darin, dass Verschlüsselungsalgorithmen eine „Hintertür“ haben – d.h. man kann damit verschlüsselte Daten ohne Kenntnisse des Originalschlüssels (also mit einem Nachschlüssel) entschlüsseln. Dieser Nachschlüssel ist natürlich nur von einer vertrauenswürdigen Instanz aufzubewahren…

Leider zeigt die Erfahrung, dass Hintertüren eher früher als später auch von unberechtigten Instanzen genutzt werden – weil die vertrauenswürdige Instanz kompromittiert wurde oder weil es im Algorithmus schlichtweg Fehler gibt: Also eine Hintertür, die sogar ohne Nachschlüssel funktioniert! Das beste Bespiel hierfür haben die US-Amerikaner Ende der 90er Jahre mit ihrem „Clipper/Capstone-Chip“ geliefert. Dieser wurde von der NSA zu einer Zeit entwickelt, als DES noch als exportbeschränkte Waffe galt. Die Chips sollten in alle Telefon- und Kommunikationsgeräte eingebaut werden und die Kommunikation der US-Bürger sichern – inklusive möglicher Entschlüsselung für staatliche Stellen natürlich. Dumm nur, dass der verwendete Algorithmus sehr schnell gebrochen wurde und jede damit geschützte Kommunikation im Grunde genommen instantan zu knacken war. Man sollte also meinen, dass man aus Schaden klug wird…

Es gibt also kein echtes Argument für Hintertüren. Oder mit den Worten von Philip Zimmermann, dem Erfinder von PGP: „If secure encryption is outlawed, only outlaws will have secure encryption.“ Denn wer es wirklich ernst meint mit dem Schutz der Privatsphäre, muss eine starke Verschlüsselung unterstützen. Hintertüren, die nur den Bösen schaden, gibt es nur im Reich der Phantasie – ebenso wie Behauptungen, Terroristen und Cyberverbrecher seien ohne sie nicht zu identifizieren und zu fangen. Da stellt sich die Frage, wer solche Politiker berät. Ein Schelm, wer Übles dabei denkt…

Die Nachteile für die Nutzer? Kurz gesagt: Null Privatsphäre. Stellen Sie sich einfach vor, dass Briefe verboten wären und Sie sämtliche Kommunikation nur noch auf Postkarten führen dürften …bedruckt mit gut maschinenlesbarer OCR-Schrift natürlich. Nach der Vorstellung einiger wäre sogar die Verwendung von Verschlüsselung schon strafbar. Aber ab wann gilt etwas eigentlich als verschlüsselt? Ist beispielsweise die Verwendung des Freimaurer-Chiffre in der Schule schon strafbar oder noch Spiel?

Vorteile für die Strafverfolgung?

Aber welche Vorteile versprechen sich die Gegner von Verschlüsselung eigentlich? Sicher, Verschlüsselung erschwert Ermittlungsbehörden ihre Aufgabe. Doch es gibt andere Möglichkeiten, Übeltäter online zu identifizieren. Sicherheitshersteller, die wie Trend Micro mit Ermittlungsbehörden bei der Aufdeckung von Straftaten zusammenarbeiten, beweisen das Tag für Tag. Schließlich nutzen nicht nur Terroristen, sondern verwendet auch ein beträchtlicher Teil moderner Schadsoftware Verschlüsselung, um sich selbst und die zugrundeliegende Infrastruktur inklusive der Hintermänner unsichtbar zu machen. Und doch gelingt immer wieder die Enttarnung, werden Cyberkriminelle festgenommen. Das ist in der Tat harte Arbeit und bedarf spezieller Kenntnisse, die wir kontinuierlich an Polizeibehörden weitergeben.

Offenbar haben manche Behörden und Geheimdienste den „gläsernen Bürger“ vor Augen, ähnlich dem „gläsernen Konsumenten“, von dem viele Unternehmen dank Big Data gerade träumen. Doch totale Sichtbarkeit bedeutet Unfreiheit und Schutzlosigkeit. Wer wird uns dann vor den möglichen Schäden durch Datenlecks bewahren? Werden wir anfangen, vorsorglich unser Verhalten zu ändern, von der Norm abweichende persönliche Meinungen nicht mehr zu äußern und durch Grundrechte geschützte, aber dem eigenen Ruf oder Fortkommen potenziell schädliche Aktionen zu unterlassen? Und wie sieht es mit Deutschland als Volkswirtschaft aus, die nicht von Rohstoffen, sondern vom geistigen Eigentum ihrer Unternehmen lebt? Sollen diese ihre Firmengeheimnisse nicht vor privater oder staatlich unterstützter Wirtschaftsspionage schützen können?

Vorteile für Cyberkriminelle!

Aber richtig freuen würden sich darüber die Cyberkriminellen. Eine Welt, in der alle Opfer ungesichert und im Klartext kommunizieren müssen, entspricht dem sprichwörtlichen Scharaffenland. Egal welche Daten man wo abgreift – alles ist direkt verwend- und weiterverkaufbar!

Terroristen, Spione und Kriminelle haben bereits in der Vergangenheit verschlüsselt kommuniziert. Und würden es auch bei einem Verbot tun! Für viel wäre die „Straftat Verschlüsselung“ nicht mal ein müdes Lächeln wert. Während also alle Opfer brav im Klartext kommunizieren, können sie diese Daten bequem abgreifen und selbst gesichert kommunizieren. Und dass Cyberkriminelle die offiziellen/erlaubten Algorithmen mit Hintertür verwenden, kann man beruhigt in das Reich der Mythen verweisen. Immerhin gibt es jetzt schon viele bekannte, veröffentlichte und nachgewiesenermaßen sichere Algorithmen.

Selbst wenn jede Regierung und jeder Kommunikations-Provider weltweit schlagartig damit anfangen würde, sämtliche verschlüsselte Kommunikation zu unterbinden, käme die Mathematik den Cyberkriminellen zur Hilfe. Mit sogenannten „Spreu-und-Weizen-Algorithmen“ sind diese in der Lage, verschlüsselt über „offene“ Strecken zu kommunizieren. Im übertragenden Sinne versteckt man die Nadeln (verschlüsselte, wichtige Daten) im Heuhaufen (Klartext).

Fazit

Es gibt also überhaupt keinen Grund, vor einer massiven Minderung unserer Sicherheit zu sprechen, sollten mehr kommerzielle Produkte und Dienste mit starker Verschlüsselung auf den Markt kommen. Vor diesem Hintergrund mutet es geradezu befremdlich an, dass kommerzielle Anbieter, die das Thema Datenschutz ernst nehmen, im Fadenkreuz der Kritik stehen. Die vorherrschende Meinung in den USA lässt sich gut anhand einer Forderung der Präsidentschaftskandidatin Hillary Clinton aufzeigen: Clinton forderte ein neues „Manhattan-Projekt“ (Entwicklung der amerikanischen Atombomben) zum Brechen von Verschlüsselungsalgorithmen.

In diesem Zusammenhang bin ich froh, dass zumindest einige europäische und deutsche Politiker die Realität erkannt haben. Herausheben möchte ich den Bundesinnenminister Thomas de Maizière, der Hintertüren nicht für notwendig hält, da es genug andere Möglichkeiten für Strafverfolgungsbehörden gebe. Mir persönlich drängt sich der Verdacht auf, dass manche Politiker und deren Berater von Allmachtsphantasien heimgesucht werden – eine verständliche, aber für die Freiheit gefährliche Reaktion auf die Ohnmacht, die jeder nicht vereitelte Terroranschlag offenzulegen scheint. Aber das ist nicht wahr, wir sind nicht völlig ohnmächtig – nur eben auch nicht allmächtig. Dass es totale Sicherheit und Freiheit gleichzeitig gibt, ist nur eine Phantasie. Wir müssen jedoch mit der Realität leben.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*