Der EU-Ministerrat bereitet mit einer neuen Resolution den nächsten Versuch vor, sichere Ende-zu-Ende-Verschlüsselung, beispielsweise in Messengern, für Normalbürger unerreichbar zu machen. Das Papier ist Teil einer internationalen Strategie, die insbesondere von den Geheimdiensten der Vereinigten Staaten und Großbritanniens vorangetrieben wird. Ziel des Vorgehens ist es, Verschlüsselung für Endanwender zu schwächen.

Anbieter sollen nach dem Willen des EU-Ministerrats Mechanismen in ihre Produkte einbauen, die auf Anordnung durch MITM-Angriffe und Fremdschlüssel die Verschlüsselung unwirksam machen. Im nächsten Schritt sollen die marktbeherrschenden App-Store-Anbieter wie Apple und Google zur Kooperation gedrängt werden, um unkooperative Messenger auszuschließen.

Damit würde für technisch weniger versierte Bürger und Unternehmen der Zugang zu sicherer Ende-zu-Ende-Verschlüsselung faktisch unmöglich. Kriminelle und Terroristen hätten mit geringem Mehraufwand jedoch weiterhin keine Probleme, verschlüsselt zu kommunizieren.

Dieser weltweite Angriff auf die allgemeine IT-Sicherheit wird in euphemistische Formulierungen verpackt. Man wolle mit Firmen und der Akademia „gemeinsame Lösungen finden, die allen Anforderungen gerecht würden“. Nachdem frühere Anläufe wie etwa generelle Hintertür-Schlüssel am Widerstand von Zivilgesellschaft und Wirtschaft gescheitert sind, firmiert der neue Anlauf nun als „verantwortungsvolle Verschlüsselung“ („responsible encryption“).

Jede sich bietende Gelegenheit wird genutzt

Der Aufreger der Woche ist den Innenpolitikern und Geheimdiensten dabei relativ egal: Als Begründungen für die Notwendigkeit der Maßnahmen werden – je nach innenpolitischer Wetterlage des Tages – politischer Extremismus, Terrorismus oder Darstellungen von Kindesmissbrauch verwendet. Bei jeder sich bietenden Gelegenheit werden aus den konziliant klingenden Formulierungen konkrete Forderungen, Verordnungen und Gesetze angeschoben. Deswegen ist es jedes Mal aufs Neue wichtig, dass Wirtschaft und Zivilgesellschaft klar Position beziehen und Widerstand leisten.

Der „Verschlüsselungsstandort Nr. 1“ wird zum BER

Es ist noch keine sechs Jahre her, dass die Bundesregierung Deutschland als „Verschlüsselungsstandort Nr. 1“ ausrief. Nicht einmal ein Jahr später wurden die Staatstrojaner-Befugnisse für Strafverfolgungsbehörden erheblich ausgeweitet, und erst vor drei Wochen beschloss die Bundesregierung die Befugnis zum Staatstrojaner-Einsatz für sämtliche deutschen Geheimdienste.

Weshalb die jüngst drastisch ausgeweiteten Trojaner-Befugnisse nun schon wieder nicht mehr genügen sollen, begründen die Verschlüsselungsfeinde wie immer nicht. Auch die vom Bundesverfassungsgericht angemahnte (BVerfG, 1 BvR 256/08) Überwachungsgesamtrechnung, die die Gesamtheit der Abschnorchel-Befugnisse der Behörden betrachtet, wird wieder einmal ignoriert.

Verschlüsselung ist Sicherheitsanker der Digitalisierung

Als WhatsApp 2016 Ende-zu-Ende-Verschlüsselung ausrollte, wurde diese Reaktion auf die Enthüllungen Edward Snowdens zu Recht international gefeiert und mancherorts mit Erleichterung aufgenommen. Gerade das Feld der Ende-zu-Ende- verschlüsselten Messenger ist essentiell für die weitere Innovation in der Online-Kommunikation und -Wirtschaft. Die Vertrauenswürdigkeit und Sicherheit der digitalen Kommunikation liegt auch der EU-Kommission am Herzen, die ihre Mitarbeiter Anfang des Jahres eindringlich zur Nutzung verschlüsselter Messenger drängte.

Diese Sicherheit nun zu unterminieren, ist eine klare Gefährdung der europäischen Wettbewerbsfähigkeit, Innovationskraft und Sicherheit: In einer digitalisierten Welt brauchen Unternehmen Schutz vor Wirtschaftsspionage und Bürgerinnen Schutz vor allumfassender Überwachung durch Konzerne, Regierungen und Kriminelle. Dieser noch lückenhafte Schutz muss jetzt massiv ausgebaut werden, wenn wir unsere liberale Gesellschaft und wirtschaftliche „Vorreiterstellungen“ erhalten wollen.

Gerade kleinere Unternehmen sind darauf angewiesen, den am Markt befindlichen Schutzmitteln vertrauen zu können. Dazu gehören insbesondere die in Deutschland so häufig beschworenen „hidden champions“. Aber auch die Großen der Branche sollten nicht als Handlanger von Regierungen instrumentalisiert und zur Schwächung ihrer Verschlüsselungsmaßnahmen gezwungen werden.

Wenn Verschlüsselung kriminalisiert wird, verschlüsseln nur noch Kriminelle

Verschlüsselung kann nicht zwischen Gut und Böse unterscheiden. Entweder ist sie sicher oder sie ist es nicht. Man kann Verschlüsselung nicht so schwächen, dass die Schwächen nur durch Strafverfolgungsbehörden ausgenutzt werden können. Wohl aber können versierte Nutzer auf kaputte Kryptographie verzichten. Im Ergebnis hätten nur noch Kriminelle wahren Schutz: If privacy is outlawed, only outlaws will have privacy.

International koordinierter Angriff: „Wer will nochmal, wer hat noch nicht?“

Die Vorstöße des EU-Ministerrats reihen sich ein in eine ganze Serie von weltweiten Angriffen auf Verschlüsselung. So waren zuletzt im Iran und China sichere Varianten des DNS- bzw. TLS- Protokolls blockiert worden.

Indien, Japan und die angelsächsische Geheimdienst-Koalition „Five Eyes“ blasen seit Jahren ins gleiche Anti-Krypto-Horn und haben in letzter Zeit wieder begonnen, entschiedener gegen Ende-zu-Ende-Verschlüsselung vorzugehen. Die EU-Kommission plant seit einigen Monaten einen ähnlichen Angriff, der mit dem Kampf gegen dokumentierten Kindesmissbrauch begründet wird.

Es geht um die digitale Zukunft von Wirtschaft & Zivilgesellschaft

„Das Vorhaben des EU-Ministerrats geht in die völlig falsche Richtung. Sichere Ende-zu-Ende-Verschlüsselung muss die Regel werden, um den Schutz von Wirtschaft, Zivilgesellschaft und Politik im 21. Jahrhundert zu gewährleisten. Stattdessen würde uns dieser Schuss ins eigene Knie zurück in die Steinzeit katapultieren“, sagte Dirk Engling, Sprecher des Chaos Computer Clubs.

Der Chaos Computer Club hat sich so oft in Stellungnahmen und Pressemitteilungen gegen derartige Angriffe auf Verschlüsselung positioniert und technische Argumente erklärt, dass es uns spontan nicht gelungen ist, eine vollständige Übersicht anzufertigen. Wir verweisen daher nur auf eine Auswahl der vergangenen Jahre:

URL: https://www.ccc.de/de/updates/2020/cryptowars-2020