Da sind wir wieder soweit: Trotz aller Beteuerungen aus dem Innenministerium, man wolle Verschlüsselung stärken, wird einmal mehr der Versuch unternommen, genau das Gegenteil zu tun. Der Grund laut Bundesinnenminister De Maizière: “Terroristen sind manchmal technologisch weiter als die Sicherheitsbehörden”.
Ein Scherz? Nein, das ist durchaus ernst gemeint. Terroristen bedienen sich zur Kommunikation offenbar moderner Messenger-Dienste und diese sind zunehmend so verschlüsselt, dass den Sicherheitsbehörden Zugriffe auf die Inhalte unmöglich sind. Die Betreiber der Dienste sehen sich angesichts der genutzten Ende-zu-Ende-Verschlüsselung außerstande, Behörden den Zugriff auf die übertragenen Daten zu ermöglichen. Ein Glück, möchte man sagen, denn der Sinn starker Ende-zu-Ende-Verschlüsselung liegt ja genau darin, dass Kommunikation und Daten von Benutzern so geschützt wird, dass selbst Betreiber der Dienste auf die Daten nicht zugreifen können.
Die Innenminister von Deutschland und Frankreich allerdings wollen das ändern: Kurznachrichtendienste sollen die Sicherheitsbehörden zukünftig bei ihren Ermittlungen unterstützen. Sie sollen zukünftig gezwungen werden können, Nachrichten gegegebenfalls auch zu entschlüsseln. Ohne die Verschlüsselung zu schwächen, wird das nicht gehen.
Würde die Verschlüsselung aber zum Beispiel durch den Einbau von Hintertüren oder die Hinterlegung von Nachschlüsseln so geschwächt, dass Behörden der Zugriff auf Daten möglich würde, hätte das ungewollte Konsequenzen:
1. Technisch ja erklärtermaßen bewanderte Terroristen nutzen andere Wege, um gesichert zu kommunizieren. Die Schwächung der Verschlüsselung würde also ihr eigentliches Ziel verfehlen, nämlich die Verfolgung von Terroristen und die Abwehr von Terrorakten durch Ausspähen von Kommunikation.
2. Der Rest der Bevölkerung kann leichter abgehört werden – nicht nur von Sicherheitsbehörden, sondern insbesondere auch von den Betreibern der Dienste und allen, die – berechtigt oder
unberechtigt – Zugriff auf deren Systeme haben.
Bei allen Verfahren, die Verschlüsselung schwächen, stellt sich nämlich die Frage, wie denn verhindert werden soll, dass Unberechtigte die Schwächung für ihre Zwecke nutzen. Ein Nachschlüssel müsste zum Beispiel bei Behörden nicht nur eines Landes hinterlegt sein, sondern bei Behörden aller potenziell beteiligten Länder.
Schon in Bezug auf Terrorabwehr wäre das problematisch – was ist zum Beispiel mit den Ländern, die in Verdacht stehen, Terroristen zu unterstützen? Die Liste dieser Länder ist ziemlich lang – und von Land zu Land durchaus nicht einheitlich.
Diese und weitere Fragen sind unlösbar und das weiß man auch schon seit mindestens zwanzig Jahren. In den Neunziger Jahren wurde der Versuch, starke Verschlüsselung zu verbieten und nur schwache Verschlüsselung zuzulassen, aus diesem Grund letztlich aufgegeben.
Warum dieser Unsinn auch nach Jahrzehnten immer wieder auch nur diskutiert wird, ist deshalb vollkommen unverständlich. Vielleicht liegt es ja an mangelndem Verständnis der technischen Hintergründe. Es ist deshalb eine gute Nachricht, dass unsere Sicherheitsbehörden verstärkt Mitarbeiter mit Kompetenzen im Bereich Cybersecurity anwerben. Der Bedarf ist offensichtlich.
Zum Autor: Oliver Dehning ist CEO des deutschen Cloud-Security-Providers Hornetsecurity. Dieser Artikel wurde zuerst im Firmenblog veröffentlicht und erscheint auf silicon.de mit freundlicher Genehmigung des Unternehmens als Beitrag zur aktuellen Diskussion.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.