NGO-Brief gegen Angriff auf Verschlüsselung

Brüssel, den 10. November 2020

Sehr geehrte Vertreterinnen und Vertreter der deutschen Ratspräsidentschaft, wir schreiben Ihnen, um Ihnen im Namen von European Digital Rights (EDRi) ein schriftliches Feedback zum LIMITE-Dokument 12143/1/20 zu geben. [1]

Erstens unterstützen wir die Aussagen im Entwurf des Dokuments, die die Notwendigkeit einer sicheren Verschlüsselung als Grundlage nicht nur zur Gewährleistung des Rechts auf Privatsphäre, sondern auch zur Gewährleistung der Sicherheit von Regierungen, Unternehmen und Bürgern gleichermaßen bekräftigen. Angesichts der Bedeutung der Verschlüsselung für den Schutz der Infrastruktur erinnern wir an die Notwendigkeit, den Einsatz dieser Technologie standardmäßig zu fördern: [2] Softwarefirmen sollten verpflichtet werden, sie wo immer möglich anzuwenden, wie dies in der Allgemeinen Datenschutzverordnung (GDPR) nachdrücklich empfohlen wird. Die Verwendung von frei verfügbaren, offenen Verschlüsselungsprotokollen sollte der universelle Standard sein. Regierungen dürfen in keiner Weise die Entwicklung, Produktion oder Verwendung hochwertiger Verschlüsselung untergraben.

Zweitens ist die Verschlüsselung die Grundlage der Sicherheit, mit der die Mehrheit der sozialen, geschäftlichen und staatlichen Transaktionen und Beziehungen abgewickelt wird. [3] Dank der weit verbreiteten Verschlüsselungsprotokolle können Unternehmen Verträge aushandeln, Bürger digitale Steuererklärungen einreichen und die Geheimdienste Staatsgeheimnisse verschlüsseln. Die Verschlüsselung bringt Vertrauen von dort, wo es existiert, dorthin, wo es gebraucht wird. Handlungen, die das Vertrauen in die Integrität und Vertraulichkeit elektronischer Informationen - einschließlich der Kommunikation - untergraben, untergraben die Grundlagen der modernen digitalen Gesellschaft. Wie die Abgeordneten Gamon, Körner und in't Veld in ihrem diese Woche verschickten Brief auch auf die Artikel-29-Datenschutzgruppe verweisen, „ist Verschlüsselung eine Notwendigkeit in der modernen digitalen Welt. Solche Technologien tragen auf unersetzliche Weise zu unserer Privatsphäre und zum sicheren Funktionieren unserer Gesellschaften bei.“[4] Der Resolutionsentwurf des Rates weist darauf hin, dass digitale Schwachstellen das Potenzial für die Ausbeutung zu kriminellen Zwecken schaffen. In der Tat wird jeder Versuch, Sicherheitsmängel in technischen Systemen anzuordnen, Kriminelle und böswillige staatliche Akteure in die Lage versetzen. Wir müssen die Sicherheit unserer Gesellschaften aufrechterhalten und stärken und kritische Infrastrukturen und private Kommunikation gleichermaßen schützen.

Drittens verstehen wir voll und ganz, dass die Strafverfolgungsbehörden bei strafrechtlichen Ermittlungen auf legale Weise auf Informationen zugreifen müssen. Dieser Prozess muss auf einem Gerichtsbeschluss beruhen, der den Zugang genehmigt, und er muss, wie im Dokument vorgeschlagen, die Grundsätze der Legalität, Transparenz, Notwendigkeit und Verhältnismäßigkeit respektieren. Wenn die Verschlüsselung von Ende zu Ende erfolgt und daher das traditionelle Abhören der Kommunikation unmöglich gemacht wird, muss der Zugang der Strafverfolgungsbehörden an den Endpunkten der Kommunikation erfolgen. Gerichte können Zugang zu Informationen gewähren, die sowohl auf Servern als auch auf Endgeräten gespeichert sind, und tun dies auch. Gerichte können auch Anordnungen erteilen, die die Behörden ermächtigen, Telekommunikationssysteme, die ausschließlich für kriminelle Zwecke verwendet werden, abzuschalten, und tun dies auch.[5]

Viertens können wir nicht akzeptieren, dass den Strafverfolgungs- und Nachrichtendiensten das Recht eingeräumt wird, Nachrichten, die von Verbrauchergeräten gesendet werden sollen, zu überprüfen, bevor sie durch eine Ende-zu-Ende-Verschlüsselung geschützt werden. Ein solches Programm käme einer unrechtmäßigen Massenüberwachung gleich.[6] Schließlich möchten wir die Notwendigkeit betonen, Forschende im Bereich der digitalen Sicherheit, Menschenrechtsaktivist.innen und NGOs in die in Absatz 5 des Dokuments beschriebenen Konsultationen einzubeziehen. Immer mehr Journalisten, Aktivisten.innen (Umweltgruppen, Gewerkschaften und Menschenrechtsverteidiger.innen im Allgemeinen) setzen Verschlüsselungstechnologien ein, um sich vor autoritären Regierungen zu schützen. Diese Gruppen sind Schlüsselakteure in dieser Debatte; sie sollten bei der Erörterung und Umsetzung von Maßnahmen im Zusammenhang mit der Einführung und Nutzung von Verschlüsselungstechnologien und der Arbeit gegen die Kriminalität als wesentlich betrachtet und ebenso aufmerksam angehört werden wie Unternehmen und Regierungen der Mitgliedstaaten.

Daher:

• fordern wir die EU und ihre Mitgliedstaaten nachdrücklich auf, Pläne zur Schwächung von Informationssicherheitsmaßnahmen wie der Ende-zu-Ende-Verschlüsselung aufzugeben.
• fordern wir die EU und ihre Mitgliedstaaten nachdrücklich auf, Unternehmen nicht zu verpflichten, ein Screening vor der Verschlüsselung oder andere Sicherheitslücken in ihre Systeme einzubauen.
• befürworten wir nachdrücklich einen gezielten Ansatz hinsichtlich des Zugangs zu privaten Informationen. Gezielte Entschlüsselung oder Manipulation von Geräten, die auf spezifische Fälle ausgerichtet sind, sollten nur dann eingesetzt werden, wenn weniger invasive Mittel nicht zur Verfügung stehen, und dürfen nur in Ausnahmefällen eingesetzt werden, um ein legitimes Ziel zu erreichen, und das auf Grundlage der Gesetze und in klar begrenztem Umfang.[7]
• fordern wir bei künftigen Debatten über Verschlüsselung die Einbeziehung von Menschenrechtsorganisationen, Expert.innen für digitale Rechte und anderen Gruppen der Zivilgesellschaft.
• rufen wir die Europäische Union auf, in die Entwicklung besserer Werkzeuge für die digitale Forensik zu investieren, damit die Ermittler das Material, zu dem sie rechtmäßigen Zugang haben, gerichtsfest nutzen können.

Mit freundlichen Grüßen,
Diego Naranjo
Leiter der Abteilung Politik
Europäische digitale Rechte (EDRi)
diego.naranjo@edri.org

[1] https://files.orf.at/vietnam2/files/fm4/202045/783284_fh_st12143-re01en20_783284.pdf
[2] Siehe unseren früheren Beitrag: https://edri.org/wp-content/uploads/2020/10/20201006-EDRi-commentsto-German-Presidency-on-encryption.pdf
[3] Siehe EDRis Positionspapier zur Verschlüsselung: https://www.edri.org/files/20160125-edri-cryptoposition-paper.pdf
[4] https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51026
[5] https://twitter.com/accessnow/status/1325765671742025728?s=20
[6] Tatsächlich wurde während des "Kryptokrieges" in den 1990er Jahren vorgeschlagen, dass Regierungen, anstatt auf dem Zugang zu kryptographischen Schlüsseln zu bestehen, stattdessen darauf bestehen könnten, dass jeder eine von ihnen kontrollierte, cloudbasierte Rechtschreibprüfung verwendet. Dieser Vorschlag war in Wirklichkeit eine Parodie, die die Leute damals für urkomisch hielten. Europa sollte es vermeiden, auf ähnliche Vorschläge hereinzufallen. Siehe T. Berson, "Her Majesty's Orthography's Service", IHW 1996, unter http://www.anagram.com/berson/abshmos.html.
[7] Amnesty International USA, "Encryption as a matter of human rights", S. 40, verfügbar unter https://www.amnestyusa.org/files/encryption_-a_matter_of_human_rights-_pol_40-3682-2016.pdf

Unterschriften

• Access Now
• Article 19
• Digitalcourage*
• European Digital Rights (EDRi)
• Electronic Frontier Finland
• Electronic Frontier Foundation (EFF)
• epicenter.works
• FITUG e.V.
• Foundation for Information Policy Research (fipr)
• Homo Digitalis
• IT-Pol*
• Open Media*
• Statewatch*
• Xnet*

(* = nach dem Absenden des Originalschreibens hinzugefügt)