Immer mehr Internet-Dienstleister setzen Verschlüsselung in ihren Produkten wie etwa Facebook Messenger oder Telegram ein. Eine verschlüsselte Nachricht ist nur auf den Endgeräten des Senders und Empfängers im Klartext lesbar. Verschlüsselung ist daher die zentrale Cyber-Sicherheitsmaßnahme gegen den unbefugten Zugriff durch Hacker, Cyber-Kriminelle, aber auch durch gegnerische Geheimdienste.
Umgekehrt argumentieren Strafverfolgungsbehörden weltweit, dass Verschlüsselung die Sicherheit bedrohe. Sollte künftig alle Kommunikationen verschlüsselt stattfinden, stünden Behörden im Dunkeln. Die digitale Kommunikationsüberwachung, zum Beispiel von Terroristen, würde als Datenquelle versiegen. Um dieses »going dark«-Problem zu verhindern, wird gefordert, per Schadsoftware Cyber-Sicherheitsmechanismen auf Smartphones und Computern auszuhebeln, um Kommunikation an den Endpunkten zu überwachen. Die deutschen Innenminister haben jüngst eine gesetzliche Grundlage für dieses Vorgehen gefordert. Diese Herangehensweise aber ist antiquiert und hilft gegen moderne Cyber-Bedrohungen nicht weiter.
30 Jahre alte Forderungen
Die Forderung nach einem staatlichen Zugriff auf verschlüsselte Kommunikation stammt aus einer Zeit vor dem Internet, als Hacker und Cyber-Angriffe noch eine abstrakte Bedrohung waren. Die amerikanische National Security Agency (NSA) warnte bereits 1979 vor einer Bedrohung der nationalen Sicherheit für den Fall, dass Verschlüsselungstechnologie für die Bevölkerung freigegeben werde. 1992 forderten NSA und FBI staatliche Hintertüren in Verschlüsselungstechnologien, um Terroristen verfolgen zu können. IT-Experten argumentieren seitdem, dass Verschlüsselung mit legalen Zugangsmechanismen für Behörden inhärent unsicher sei, da diese auch von Kriminellen ausgenutzt werden könnten. Intelligente Terroristen würden zudem keine Verschlüsselung nutzen, von der sie wüssten, dass Strafverfolgungsbehörden sie brechen können, da es auf dem globalen Markt tausende Alternativen gebe.
Mitte der 1990er setzte sich auch bei den Sicherheitsbehörden langsam eine neue Denkweise durch. Man ging nun davon aus, dass eine globalisierte und digitalisierte Welt mit funktionierender Verschlüsselung sicherer ist als ohne: Online-Banking, der Schutz geistigen Eigentums oder individueller Privatsphäre seien auf gute Verschlüsselung und sichere Software angewiesen. Diese neue Sicherheitsperspektive spiegelt sich in der Argumentation des ehemaligen NSA-Chefs Michael Hayden wider. Er vertrat 2016 im Zuge der Apple-FBI-Debatte die Auffassung, dass westliche Staaten angesichts moderner Cyber-Bedrohungen gut daran täten, Verschlüsselung und Software nicht absichtlich durch Schadsoftware zu schwächen. Zuvor hatte das FBI gefordert, dass der Computerhersteller Apple Sicherheitsmechanismen in seiner iPhone-Software aushebeln solle, damit das FBI das verschlüsselte iPhone des San-Bernardino-Attentäters auslesen könne. Apple weigerte sich und argumentierte, dass das Aushebeln von Sicherheitsfunktionen die globale Cyber-Sicherheit für eine Milliarde Nutzer senken würde, da die entstehenden Sicherheitslücken von Hackern ausgenutzt werden könnten. Das FBI zahlte schließlich circa 900.000 US-Dollar an eine IT-Firma, um das iPhone zu hacken.
Goldenes Zeitalter der Überwachung
Dass Strafverfolgungsbehörden künftig im Dunkeln stehen werden, ist auch ohne das Aushebeln der Verschlüsselung unwahrscheinlich. Behörden haben in den letzten Jahren immer mehr rechtlichen Spielraum sowie neue, teils sehr invasive, Überwachungskapazitäten erhalten. Sie bedienen sich heute der Videoüberwachung Rasterfahndung, Fluggastdatenspeicherung, Kennzeichenüberwachung, DNA- und diverser Täterdatenbanken, biometrischer Personalausweise, intelligenter Algorithmen zur Gesichtserkennung und zum »predictive policing«, dem Vorhersagen von Verbrechen. Hinzu kommen immer reichhaltigere, neue Datenquellen in Form von Suchanfragen und Likes in den sozialen Medien, Bewegungs- und Geo-Daten oder Audio- und Videoüberwachung durch smarte Elektronik wie Fernseher oder Lautsprecher. Ex-NSA-Chef Hayden argumentiert entgegen dem traditionellen Denken von Nachrichtendiensten und Innenministern, dass Behörden heute keinesfalls im Dunklen stünden, sondern dass wir heute im goldenen Zeitalter digitaler Überwachung lebten. Selbst wenn man künftig aufgrund von Verschlüsselung keine Kommunikationsinhalte mehr lesen könne (was er bezweifelt), verrieten all diese anderen Datenquellen und insbesondere Metadaten, die zum Beispiel durch die Vorratsdatenspeicherung erhoben würden, unsere intimsten Details von der politischen Gesinnung bis zu den sexuellen Vorlieben: So viel Licht wie heute war selten. Dieses neue Denken setzt sich aber erst langsam bei Sicherheitsbehörden weltweit durch.
Umdenken in der Sicherheitspolitik
Stattdessen wird weiter ein paradoxes Katz-und-Maus-Spiel gespielt: Hard- und Software-Hersteller geben Milliarden aus, um ihre Produkte vor Hackern sicherer zu machen, und staatliche Behörden weltweit bezahlen ebenfalls Milliarden an Steuergeldern, um jene Sicherheitsfunktionen wieder auszuhebeln. Sichere Software aber ist zentral, um der Bedrohung durch Hacker, Spionage und Cyber-Angriffe begegnen zu können, die einige Geheimdienste für bedrohlicher als den Terrorismus halten. Eine alte IT-Weisheit besagt, dass früher oder später jeder gehackt wird oder von einem Cyber-Angriff betroffen ist. Cyber-Kriminalität verursacht je nach Schätzung Hunderte Milliarden Dollar an Schäden. Dazu kommen gesellschaftliche Schäden durch Wahlmanipulationen, den Diebstahl persönlicher oder politischer Daten zur Manipulation des öffentlichen Diskurses oder gar der Ausfall öffentlicher Infrastruktur. Vor diesem Hintergrund ist ein neues sicherheitspolitisches Denken erforderlich, das die Cyber-Sicherheit aller priorisiert. In einer globalisierten IT-Welt, in der fast die gesamte Weltbevölkerung die gleiche Soft- und Hardware einiger weniger Anbieter nutzt (ca. 90 Prozent aller Computer nutzen Windows), sind alle gleichermaßen verwundbar. Anstatt die Sicherheitsbemühungen von Herstellern zu unterlaufen, sollten westliche Staaten diesen Sicherheitslücken melden und sie zum Updaten ihrer Produkte verpflichten. Sie müssen erkennen, dass Verschlüsselung nicht Bedrohung, sondern Schutz ist. Deutschland könnte mit seinem exzellenten Ruf in der IT-Sicherheit eine Vorreiterrolle bei der staatlichen Förderung von Verschlüsselung und sicherer Software einnehmen – im Interesse der Sicherheit aller, nicht nur der eigenen.
Der Text ist auch bei EurActiv.de erschienen.
