Error: Regierungen planen Angriff auf Verschlüsselung

Was ist geplant?

Onlinedienste sollen Behörden Zweitschlüssel aushändigen. So steht es in dem Entwurf für einen Beschluss des Rats der EU vom 6. November 2020 (PDF auf orf.at)

Es geht im Kern darum, dass WhatsApp, Threema, Telegram, Skype, Signal und Co. mitgelesen werden sollen. Diese Dienste bieten aus guten Gründen Ende-zu-Ende-Verschlüsselung (E2EE) an. Denn Verschlüsselung ist das Fundament des Internets. Ohne vertrauliche Kommunikation geht nichts: kein Online-Banking, keine Online-Behördengänge, keine Verträge, kein Journalismus. (In diesem längeren Text erklären wir Hintergründe zur Bedeutung von Verschlüsselung.)

Bekannt geworden sind die Pläne durch Texte von statewatch.org vom 29. Oktober 2020 und deutschsprachig von Erich Moechel für den ORF vom 8. November 2020.

Allianz mit langem Atem

Die Regierungen der EU-Länder, ganz vorn mit dabei die deutsche Bundesregierung, heizen die europäischen Crypto Wars (siehe Wikipedia) an. Was jetzt notwendig ist, ist ein langfristiger und breiter Schulterschluss gegen diese Pläne. Wir benötigen dringend eine Allianz aus allen, die auf vertrauliche, also verlässlich verschlüsselte Kommunikation angewiesen sind. Dazu gehören: die Bevölkerung, Journalist.innen, IT-Dienstleister, Banken, von Industriespionage bedrohte Unternehmen, Sozialdienste, Behörden und Aktivist.innen.

Das Abwehren der Pläne der Regierungen wird langfristig nicht reichen. Wir brauchen ein gesetzlich garantiertes Recht auf Verschlüsselung. Außerdem müssen Regierungen endlich verstehen, dass sinnvolle Sicherheitspolitik auf konkrete Gefahren zielt und nicht erhebliche Kollateralschäden für die komplette Gesellschaft billigend in Kauf nimmt.

Das Argument für den geplanten Angriff auf Verschlüsselung ist unter anderem die Bekämpfung des islamistischen Terrorismus. Es gibt aber bessere Alternativen: mehr gut ausgebildetes Ermittlungspersonal und Förderung von sozialer Arbeit gegen Radikalisierung.

In Deutschland ist zuletzt im Prozess um den Terroristen von Halle (Saale) die gefährliche Inkompetenz von Ermittlungsbehörden offenkundig geworden, siehe taz.de:

„Die Journalistin, Autorin und Trainerin Karolin Schwarz holte nach, was den Ermittlungsbehörden bisher nicht gelang: Das Online-Umfeld des Täters auszuleuchten.“

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung bemerkt in seiner lesenswerten Stellungnahme richtig: „Kriminelle können [dem Verschlüsselungs-Verbot] ausweichen, Bürger*innen und Wirtschaft nicht.“

In Deutschland sind Union und SPD am Zug

Im Rat der Europäischen Union hat die Bundesregierung eine gewichtige Stimme. Die Pläne entstanden unter Federführung der deutschen Ratspräsidentschaft.
Darum ist es besonders wichtig, dass in Deutschland Kritik an den Plänen laut wird. Diese Kritik muss in Richtung Bundesregierung gehen, also an die CDU/CSU und die SPD, und an das Innen- und Justizministerium.
Es ist möglich, dass die Regierungen jede Kritik ignorieren werden und ihren Beschluss wie geplant fassen (Zeitplan siehe unten). Der Streit um Verschlüsselung ist allerdings eine Ausdauerveranstaltung. Darum heißt es: dran bleiben.

Stellungnahmen zu den Plänen der EU-Regierungen

• Bitkom: Bitkom kritisiert geplante Hintertüren in Kommunikationsdiensten
• Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.: Aushebelung von Ende-zu-Ende-Verschlüsselung trifft die Falschen und leistet der IT-Sicherheit einen Bärendienst
• Italian Pirate Party: The end of cryptography in Europe
• Bundesverband IT-Sicherheit e.V.: TeleTrusT kritisiert geplante EU-weite Aushebelung der Ende-zu-Ende-Verschlüsselung
• Chaos Computer Club: Nächste Schlacht in den CryptoWars: EU-Ministerrat plant Anschlag auf Verschlüsselung
• Piraten Thüringen: Ein Anschlag auf unsere digitale Kommunikation
• Gesellschaft für Informatik: Recht auf Verschlüsselung statt Generalschlüssel für Chat-Kommunikation
• Deutsche Journalisten-Verband: Digitale Kommunikation tabu
• Anke Domscheit-Berg, Die LINKE: EU-Ministerrat mangelt es an Kenntnis zu Mechanismen der digitalen Gesellschaft
• European Digital Rights (EDRi) und Digitalcourage: Letter to representatives of the German Presidency (PDF)
• Offener Brief von 58 Abgeordneten des EU-Parlaments: Encrypted communication has come under attack from both the European Commission as well as most recently the Council. | Tweet der Abgeordneten Claudia Gamon
• Der letztes Jahr verstorbene Politiker Jimmy Schulz forderte in seiner letzten Bundetagsrede ein Recht auf Verschlüsselung und dazu der Antrag der Fraktion
• Klaus Landefeld vom Verband der Internetanbieter (ECO) formuliert scharfen Protest, zudem richtet sich der Verband gegen zu kurzen Fristen und mangelnde Abstimmung
• Die beiden journalistischen Vereinigungen Netzwerk Recherche und Reporter ohne Grenzen fordern in ihrem offenen Brief: Verschlüsselung von Messenger-Diensten nicht aushebeln!
• Die Piratenpartei Dresden und deren befreundetes Umfeld hat dazu eine Stellungnahme und Kampage erarbeitet.
• Der Cyber Security Cluster Bonn e.V., dem unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) angehört, spricht sich gegen die in dem Resolutionsentwurf geforderten Möglichkeiten zur Schwächung von starker Verschlüsselung in Kommunikationsdiensten aus.
• Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 25.11.2020: Für den Schutz vertraulicher Kommunikation durch eine sichere Ende-zu-Ende-Verschlüsselung – Vorschlägedes Rates der Europäischen Union stoppen / PDF

Die Diskussion kann beispielsweise über die Schlagworte #E2EE #E2E #e2eeVerbot #encryption #CryptoWars und #Verschlüsselung verfolgt werden.

Wer weitere Positionen findet, gern E-Mail an: mail@digitalcourage.de (letztes Update 1.12.2020, 11:40)

Wie geht es mit den Plänen weiter?

Der Beschluss der Regierungen der EU-Länder ist zunächst nicht direkt bindend. Aber er ist der Auftakt zu einer möglichen Gesetzgebung: Erich Moechel berichtet für den ORF:

„Am 19. November soll sie dann in der Ratsarbeitsgruppe zur Kooperation im nationalen Sicherheitsbereich (COSI) verabschiedet werden, am 25. ist die Vorlage im Rat der ständigen Vertreter der EU-Mitgliedsstaaten (COREPER) geplant. Dort hat der Ratsbeschluss bereits den Status eines I-Items, damit kann er ohne weitere Diskussion passieren.
In einer für Anfang Dezember geplanten virtuellen Sitzung des Rats der Innen- und Justizminister soll der Beschluss dann abgefeiert werden.“

Danach werden die Regierungen die EU-Kommission beauftragen, einen Entwurf für eine entsprechende Verordnung zu erstellen. Hier wird es darauf ankommen, den Entwurf im Blick zu haben, um mögliche Verfahrenstricks zu verhindern. Möglich wäre, dass versucht wird, den Entwurf ohne echte Debatte durch das EU-Parlament zu schleusen. Einem Tweet des Journalisten Samuel Stolton zufolge hat das deutsche Innenministerium mit einem Statement auf die bisherige Kritik reagiert. Aus Berlin heißt es relativierend, dass mit dem geplanten Beschluss zunächst mit Politik, Wirtschaft und Wissenschaft ein Prozess der Lösungsfindung eingeschlagen wird. Wiederholt wird das Argument, dass eine Balance gefunden werden soll zwischen Sicherheit und Datenschutz. Exakt diese Argumentation wird vom Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung kritisiert:

Die „Balance“, die von den Autorinnen eingefordert wird, ist jedoch ein Trugbild: Maßnahmen, die Ende-zu-Ende-Verschlüsselung um einen Generalschlüssel erweitern, führen zwangsläufig zu unsicherer Verschlüsselung, denn das Ende-zu-Ende-Prinzip wird durch die Zugriffsmöglichkeit Dritter unterminiert. Es ist schlicht mathematisch unmöglich, Verschlüsselung zugleich tatsächlich sicher und behördlich abhörbar zu gestalten, denn es gibt aus Sicht der Kryptographie keine „guten“ oder „schlechten“ Angreiferinnen.