[IITR – 14.5.16] Die gegenwärtigen Auseinandersetzungen um den Zugriff staatlicher Sicherheitsbehörden sind erst der Anfang. Eine Lösung wird sich erst durch eine genaue Analyse und Evaluierung aufzeigen.
„Ohne starke Sicherheitsmechanismen hat man online keine Privatsphäre“, sagt die frühere kanadische Datenschutzbeauftragte Ann Cavoukian, die den Gedanken des „Privacy by Design“ populär gemacht hat. Genau darum geht es auch in der Debatte, ob staatliche Sicherheitsbehörden Zugang zu verschlüsselter Kommunikation haben sollen. In seiner Auseinandersetzung mit der US-Bundespolizei betonten Apple-Manager immer wieder, es gehe nur darum, die Privatsphäre des Nutzers zu schützen.
IT-Sicherheitsleute wie der ENISA-Direktor Udo Helmbrecht sind davon überzeugt, dass gesetzlich erzwungen Hintertüren in Kryptoprodukte über kurz oder lang kontraproduktiv wirken: Die Hintertür kann nämlich nicht nur von den autorisierten Behörden, sondern von jedem Kriminellen genutzt werden. Und überhaupt würden auch die Sicherheitsbehörden von einem jederzeit möglichen Zugriff kaum profitieren: „Der DDR hat es auch nicht geholfen, dass sie den Briefverkehr ihrer Bürger komplett überwacht hat.“
Gericht versus Dienst
Ganz überzeugend wirkt dieses Argument aber nicht, jedenfalls nicht in Frankreich, Großbritannien und Ungarn. Dort wird derzeit das Verbot von harter Kryptografie diskutiert. Befeuert wird die Debatte von Diensten wie Whatsapp, die inzwischen eine gute Ende-zu-Ende-Verschlüsselung anbieten.
In Brasilien kam es Anfang Mai deshalb schon zum Eklat: Ein Richter ließ den Dienst drei Tage lang sperren, betroffen waren rund 100 Mio. Nutzer. Damit sollte Whatsapp gezwungen werden, die Chatprotokolle von Verdächtigen an Ermittler auszuhändigen. Nach einem Einspruch wurde der Dienst vorzeitig wieder freigegeben. Ob die richterliche Taktik erfolgreich war, ist unbekannt. Whatsapp kann nach eigenen Aussagen selbst nicht mehr auf den Klartext der Chatnachrichten zugreifen. Die richterliche Maßnahme bezog sich vermutlich auf einen Zeitpunkt bevor die Umstellung auf Ende-zu-Ende-Verschlüsselung erfolgt war.
Für den Zugriff auf die Daten amerikanische Dienste muss auch die deutsche Polizei erst einmal die amerikanischen Kollegen bitten. Wie dies in der Vergangenheit gehandhabt wurde, hat das Bundeskriminalamt aber auf Anfrage noch nicht beantworten können. Der Streit zwischen Apple und FBI um die Entsperrung eines iPhones brachte in den USA im Grunde noch keine grundsätzliche Klärung des Konflikts. Das FBI gelangte an die Daten, nachdem es eine Sicherheitsfirma eingeschaltet hatte, die wohl über eine bis dahin unbekannte Sicherheitslücke das Gerät knacken konnte.
Die richtige Balance finden
Bei der gegenwärtigen Debatte um den staatlichen Zugriff auf abgesicherte Kommunikation geht es um dieselben Fragen wie schon vor gut zwanzig Jahren, als der damalige Bundesinnenminister Manfred Kanther (CDU) davor warnte, dass die Polizei auch Zugriff auf verschlüsselte Internettelefonie haben müsse.
In Deutschland ging der Grundsatzstreit zugunsten des damals FDP-geführten Bundeswirtschaftsministeriums aus: Eine Regulierung gibt es nicht, dafür soll die Kryptowirtschaft am Standort Deutschland gestärkt werden. Deutschland zeigt sich in dieser Tradition auch heute ablehnend gegenüber gesetzlich verordneten Hintertüren. Auch in den Niederlanden sprachen sich der Justiz- und der Wirtschaftsminister Anfang 2016 im Namen des Kabinetts in einem Brief an den Generalstaatsanwalt für eine starke Verschlüsselung und gegen jegliche Regulierung aus.
Die Argumente für und wider, die damals von vielen Stakeholdern formuliert wurden, gelten nach wie vor. Gleichwohl gab es in den damals verabschiedeten „Eckpunkten der deutschen Kryptopolitik“ den umstrittenen Satz „Durch die Verbreitung starker Verschlüsselungsverfahren dürfen die gesetzlichen Befugnisse der Strafverfolgungs- und Sicherheitsbehörden zur Telekommunikationsüberwachung nicht ausgehöhlt werden.“
Mit dem Bundestrojaner haben die Sicherheitsbehörden ein Mittel an die Hand bekommen auch ohne die aktive Mitwirkung der Anbieter von verschlüsselten Geräten oder Diensten an die Kommunikation von Verdächtigen zu kommen. Ob die vor kurzem fertig gestellte Version des Staatstrojaners den strengen Vorgaben des Bundesverfassungsgerichts entspricht, ist noch nicht geklärt. Die Bundesdatenschutzbeauftragte prüft dies derzeit.
Trojaner sind jedoch in der Praxis vergleichsweise aufwändig zu handhaben: Der Angreifer, das sind die Sicherheitsbehörden, müssen wissen, auf welches System sie die Lauschsoftware aufbringen wollen und die Software danach anpassen. Angesichts dessen, dass immer mehr Plattformen von Haus aus nach außen abgesichert werden – Stichwort „Trusted Computing“ -, wird dies in Zukunft immer aufwändiger. Wenn die Hersteller nicht kooperieren, wird es vielleicht sogar unmöglich werden. Hinzu kommen Dienste wie WhatsApp, die im Nachgang der Snowden-Enthüllungen die Schotten nach und nach hochfahren.
Zugriff und Kontrolle
Die Industrie wird es daher in absehbarer Zukunft nicht nur mit vereinzelten Anfragen zu tun bekommen wie heute, sondern mit einer Grundsatzdiskussion: Die Frage ist, ob Over-the-Top-Dienste wie WhatsApp oder auch Gerätehersteller wie Apple dieselben Pflichten erfüllen müssen wie traditionelle Telekommunikationsdienste. Dazu gehört neben der Befolgung von Datenschutz- und Verbraucherschutzregelungen auch die Kooperation bei Überwachungsanfragen der Sicherheitsbehörden.
In Deutschland betreibt die Bundesnetzagentur derzeit ein Verfahren gegen GMail, da Google mit Blick auf diese Pflichten behauptet, es sei gar kein E-Mail-Dienst. Nicht von ungefähr sieht Google in diesem Verfahren ein Musterverfahren, das sich auf zahlreiche andere Anbieter wie Skype und WhatsApp auswirken wird. Das nächste Berufungsverfahren steht an.
Die Lage für die Sicherheitsbehörden dürfte kritisch sein, da viele Nutzer längst nicht mehr die überwachungsfähige SMS nutzen, sondern auf Alternativen wie WhatsApp, Viber oder Telegram umgestiegen sind. Für Telekomunternehmen wie Vodafone oder die Deutsche Telekom ist die Entwicklung höchst ärgerlich, daher ziehen sie mit den Sicherheitsbehörden argumentativ am selben Strang:
Den Verlust, den die Telekom in den letzten Jahren wegen der wachsenden Beliebtheit von Messenger-Diensten bei SMS-Dienste gemacht hat, bezifferte Telekom-Vorstand Tim Höttges auf einer Veranstaltung der Bundesnetzagentur auf 40 Mrd. Euro. Deshalb müsse die Regulierung an die neuen Bedingungen angepasst werden: „Wir fordern nicht mehr Regulierung, wir fordern nur gleiche Spielregeln für alle.“
Ein Grund dafür, dass es für die neuen Internet-Dienste noch immer keine Regulierung gibt, ist übrigens die mangelnde Transparenz. Von Whatsapp ist jetzt zwar bekannt, dass es weltweit über 1 Mrd. Nutzer hat, aber wie viele deutsche Nutzer es gibt und wie viele Nachrichten sie täglich absetzen, darüber lässt das Unternehmen nichts raus. Auch schweigt sich WhatsApp darüber aus, wie intensiv ihr Sprachtelefonie-Angebot genutzt wird.
Zugriff und Kontrolle
Die Lage hat sich in den letzten Jahren zweifellos verändert: Ein leichtes Abschnorcheln von Kommunikation, wie es den Geheimdiensten vor Snowden lange möglich war, gibt es spätestens seit der Ende-zu-Ende-Verschlüsselung von WhatsApp nicht mehr. Cloud-Dienste führen nach und nach auch in Hinblick auf die Safe-Harbor-Debatte das Konzept „Bring your own Key“ ein. Damit ist ein Zugriff auf die Klardaten über die Administration nicht mehr möglich. Gezielte Zugriffe auf verschlüsselte Kommunikation werden weiterhin möglich sein, jedoch wird dieser erheblich aufwändiger werden.
Aus rechtsstaatlicher Perspektive stellt sich die Frage der Verhältnismäßigkeit und der Angemessenheit. Das Telekommunikationsgeheimnis darf zwar gesetzlich eingeschränkt werden, doch Art. 10 Grundgesetz verlangt eine „Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane“. Wie der gegenwärtig noch laufende NSA-Untersuchungsausschuss erneut gezeigt hat, verfügt die für die Kontrolle der Nachrichtendienste zuständige G10-Kommission jedoch nur über schwache Befugnisse. Und auch die Bundesdatenschutzbeauftragte hat in der Vergangenheit nur wenige angekündigte Kontrollen durchgeführt, die eben nicht zur Aufdeckung und Abstellung der jetzt bekannt gewordenen massiven Probleme führten.
Dieses Kontrolldefizit muss erst einmal beseitigt werden, bevor über weitere Befugnisse diskutiert wird. Erst in einem weiteren Schritt kann darüber nachgedacht werden wie ein Zugriff auf die neuen Dienste und Geräte so gestaltet werden kann, dass die Bedürfnisse der Nachrichtendienste weiterhin erfüllt werden kann. Der Vorteil einer Regelung bestünde vielleicht darin, dass die Dienste nicht wie bisher Sicherheitstechniken weitgehend unkontrolliert korrumpieren würden.
Zuvor wäre aber eine offene wissenschaftliche Evaluierung der bisherigen Überwachungstätigkeit notwendig, die es trotz jahrzehntelanger Forderungen bis heute nicht gibt. Die aktuellen technischen Maßnahmen scheinen die rechtstaatliche Balance zwischen Sicherheit und Privatsphäre gerade erst wiederherzustellen, sodass sich auch die Nachrichtendienste für Veränderungen offener zeigen könnten wie bisher.
Autorin:
Christiane Schulzki-Haddouti
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.