„Verschlüsselungstechnologien sind ein zweischneidiges Schwert.“ Damit eröffnet die Stiftung Wissenschaft und Politik eine aktuelle Publikation zum Thema Verschlüsselung. Es geht um Privatsphäre, Terrorismus und Cyber Security.
Datenschutz oder Sicherheit?
Das Thema Verschlüsselung entwickelt sich leider zunehmend zu einem Dilemma. Viele Menschen sind froh über Verschlüsselung. Sie hält geheim, worüber Dritte keinen Einblick bekommen sollen. Das gilt zum Beispiel für die TLS/SSL-Verschlüsselung beim Online-Banking oder dem sicheren Online-Shopping.
Auch Unternehmen setzten auf Verschlüsselung, um sensible Daten zwischen Unternehmensinternen oder -externen weltweit auszutauschen. Sie schützen sich damit vor Industriespionage.
Verschlüsselung „bietet einen wesentlichen Schutz sowohl vor Cyber-Kriminellen als auch vor fremden Nachrichtendiensten.“ Das Potential von Verschlüsselung bleibt aber auch Kriminellen und Terroristen nicht verborgen. Sie verschleiern ihre Kommunikation vor Strafverfolgungsbehörden und versuchen im Geheimen zu operieren.
Diesen Grund nehmen Regierungen immer wieder zum Anlass, Hintertürchen in Verschlüsselungstechnologie einbauen zu wollen. Bekanntestes Beispiel sind die Bestrebungen der US-amerikanischen Regierung in den 1990er Jahren, private Datenverschlüsselungen zu verhindern. Das wird auch unter dem Begriff Crypto Wars subsumiert.
Letztendlich scheiterte die US-Administration am gesellschaftlichen Widerstand und an technischen Hürden. Insgesamt konnte sich darauf geeinigt werden, dass Verschlüsselung „eine digitalisierte Welt sicherer macht.“
Keine dreißig Jahre später ist das Thema wieder aktuell. Neben autoritären Regimen suchen auch demokratische Rechtsstaaten nach Wegen, etwa dem Ausnutzen von Sicherheitslücken in Software, um Verschlüsselungen zu umgehen. Auch Deutschland folgt diesem Trend und gefährdet damit die Cyber Security der Bundesbürger.
Cyber Security in Deutschland
Deutschlands Position ist unklar. Am 9. November 2016 beschloss die Bundesregierung die „Cyber-Sicherheitsstrategie für Deutschland 2016“. In dem Bericht heißt es, dass die Cyber-Bedrohungslage „von steigender Komplexität und Interdependenz der eingesetzten Technik und sich ständig wandelnden Bedrohungen geprägt“ ist. Das Bundesministerium des Inneren ist weiterhin der Auffassung, dass mit der Digitalisierung moderner Gesellschaften die Verwundbarkeit und das Missbrauchspotential im Cyber-Raum zunehmen.
Die Privatsphäre der Mitbürger ist angreifbar. Deshalb betont die Bundesregierung in ihrer Cyber-Sicherheitsstrategie von 2016 den Nutzen von Verschlüsselung, etwa bei digitalen Behördengängen und im E-Commerce. Es wird aber schon angedeutet, dass Strafverfolgungs- und Sicherheitsbehörden unter strengen gesetzlichen Voraussetzungen befugt sein sollen, „verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen, wenn dies im Einzelfall zur Erfüllung ihres gesetzlichen Auftrages notwendig ist.“
“Cyber Security ist das dominierende Gut für die nationale Sicherheit.“
In diesem Jahr scheint die Bundesregierung jedoch von einer starken Cyber-Sicherheitspolitik abzuweichen. Im Juni 2017 wurde ein neues BKA-Gesetz verkündet, das am 25.5.2018 in Kraft tritt. Von nun an ist das Einschleusen von Überwachungstrojanern auf Endgeräten wie Smartphones legitimiert. Die Trojaner werden in der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) entwickelt. Die staatliche Überwachungssoftware ist in der Lage, Kommunikationen vor Verschlüsselung mitzulesen. Die auf den Endgeräten eingesetzte Verschlüsselungssoftware bleibt damit unberührt.
Die Stiftung Wissenschaft und Politik kommt zu dem Schluss, dass das Hacken von Smartphones nicht nur hohe Kosten verursacht und die Standards der allgemeinen Cyber Security schwächt, sondern ganz nebenbei auch die Privatsphäre verletzt. Diese ist insbesondere durch Artikel 10 des Grundgesetzes geschützt sowie durch das Recht auf die Vertraulichkeit von Informationssystemen.
Kein exklusiver Zugang für Strafverfolgungsbehörden
Die IT-Branche ist sich einig, dass ohne das gleichzeitige herabsetzen der Produktsicherheit insgesamt, technisch kein exklusiver Zugang für Strafverfolgungsbehörden möglich ist. Verschlüsselte Kommunikation bleibt eine sichere Technologie, und ist kaum zu knacken. Deswegen geht die Bundesregierung dazu über, gezielt Schad- oder Überwachungssoftware zu platzieren und die Gerätesicherheit von Smartphone und Co. auszuschalten. Softwareschwachstellen werden allerdings auch von Cyber-Kriminellen und gegnerischen Geheimdiensten ausgenutzt.
Wie hoch ist der Preis für mehr Sicherheit?
Alles mündet in ein Dilemma. Eine Senkung der Cyber Security von IT-Produkten kann unter Umständen dazu beitragen, Terrorverdächtige besser zu überwachen. Im selben Zuge werden aber Hacking und Datendiebstahl Tür und Tor geöffnet. Diese verursachen enorme Schäden, die in etwa 500 Milliarden US-Dollar betragen.
Die Stiftung Wissenschaft und Politik argumentiert, dass die Terroristen in der Regel keine staatlich überwachten Dienste nutzen. In Leitfäden des „IS“ werden Wegwerf-Handys oder Smartphones mit multiplen SIM-Karten genauso empfohlen, wie das Benutzen nichtpermanenter Betriebssysteme wie Tails.
“Die Kosten einer Schwächung von Software sind also hoch, während der Nutzen wohl eher gering ist.“Überwachungstrojaner der Bundesregierung sind hierdurch wesentlich ineffektiver. Außerdem ergibt sich das Problem, dass Kriminelle zu noch schwieriger überwachbaren Technologien greifen, die Smartphones der Bundesbürger aber „bewusst unsicher gehalten werden.“ Das Deutsche Institut für Internationale Politik und Sicherheit stuft dieses Verhalten als fahrlässig ein. Das ist insofern interessant, da Cyber Security Vorfälle in der letzten Zeit zunehmen. Erst vor Kurzem sorgte WannaCryptor aka WannaCry für Aufsehen.
Zunehmend entwickelt sich das Smartphone zur Grundlage der mobilen Büro- und Datenkommunikation. Viele lenkt es durch den Alltag. Die vielfältigen Einsatzmöglichkeiten (Online-Banking, Smart Home, Zwei-Faktor-Authentifizierung) machen die Endgeräte für Hacker und Geheimdienste interessant. Eine Trojaner-Software untergräbt aber die Sicherheit aller Anwendungen.
Lösungsvorschläge der Stiftung Wissenschaft und Politik
Die Stiftung Wissenschaft und Politik ist der Meinung, dass Deutschland ein Signal setzen muss. Autoritäre Staaten schwächen Software und Verschlüsselung. Von diesen Praktiken muss sich die Bundesregierung deutlich distanzieren. Dazu sollten Allianzen mit anderen demokratischen EU-Staaten gebildet werden. Staatstrojaner schaden der Cyber Security der Bundesbürger. Deshalb „sollten neue Ermittlungstechnologien und -strategien erforscht werden.“
Ganzer Bericht der Stiftung Wissenschaft und Politik zum Thema "Verschlüsselung in Gefahr"