Unter Kritik: Konzepte für staatliche Verschlüsselungskontrolle

Am Freitag fand eine Konferenz über Verschlüsselungspolitik in Berlin statt. Wann kommt endlich die behördliche Verschlüsselungskontrolle?

Verschlüsselungskontrolle
Foto meineresterampe, thx! (CC0 1.0)

Am Freitag (09.09.2016) fand die Konferenz: „Verschlüsselungspolitik in Deutschland – welche Agenda brauchen wir?“ statt. Sie lief im Rahmen des Internet Governance Forum Deutschland (IGF-D) in Berlin. Dort nahm die Vizesprecherin für Digitalpolitik der SPD-Bundestagsfraktion, Saskia Esken, Anstoß an der „Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis)“. Die Behörde möchte die Bundesregierung einrichten mit der Aufgabe, die Verschlüsselung und eigentlich abhörsichere Kommunikationstechnik zu knacken. Auch verschiedene Security-Experten sind skeptisch wegen der fehlenden behördlichen Verschlüsselungskontrolle.

Behördliche Hintertüren machen jede Verschlüsselungskontrolle unmöglich

Die Sozialdemokratin klärte das Publikum im Namen der Volksvertreter auf mit den Worten: „Wir wissen nicht mehr als Sie.“[…]„Der Staat bringt sich als Händler und Horter von Sicherheitslücken in eine schwierige Lage“, stellte sie fest. Sie stehe der geplanten „Zentralen Stelle für Informationstechnik im Sicherheitsbereich“ (Zitis) daher „ziemlich kritisch gegenüber“. Bisher blieben die Aufgaben der Behörde „ominös“ aufgrund rein „blumiger Beschreibungen“.


Klar sei bisher nur, dass die Stelle die Mittel, die sie zum Knacken von Verschlüsselung entwickeln könnte, „selbst nicht einsetzen“, sondern als übergeordneter Dienstleister für die Polizei und Staatsschützer fungieren solle. Es gebe auch einen Bedarf bei Sicherheitsbehörden, verschlüsselte Nachrichten etwa zur Terrorabwehr lesen zu können. Dafür dürfe aber nicht die „Sicherheit der Kommunikation der gesamten Bevölkerung“ unterwandert werden. Völlig offen sei auch, wo sich die anvisierten 400 Mitarbeiter überhaupt finden ließen. Sie persönlich würde sich zudem etwa in puncto E-Mail-Verschlüsselung „wesentlich mehr wünschen“ als das, was derzeit üblich sei.

Konzept von Zitis greift zu kurz

Michael Hange, Ex-Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) äußerte ebenfalls Zweifel: Zitis rein als „Entschlüsselungsbehörde“ aufzuziehen oder zu verstehen, „greift zu kurz“. Dasselbe gelte für die Idee, „es werde dort nur mit Schwachstellen gehandelt“. Für das BSI sei jedenfalls die Devise maßgeblich: „Wir sagen nix“ zu Lücken im System. Einschlägige Informationen würden also nicht an Ermittler oder Spione weitergegeben. Laut Hange gilt es allgemein zu fragen, wie Sicherheitsbehörden an Informationen kommen könnten. Dabei spielten auch Metadaten wie Verbindungs- und Standortangaben eine immer wichtigere Rolle, um etwa Profile erstellen zu können.

Rechtsanwältin Stefanie Kunz warnte, denn genau das – nämlich das Erstellen von Profilen – sei Strafverfolgern und Geheimdiensten aber verfassungsrechtlich untersagt, sofern es mit Vorsatz geschehe.

Wann kommt endlich die Volksverschlüsselung??

In der Einschätzung, dass gerade unter den Voraussetzungen der „Industrie 4.0“ professionellere Infrastrukturen für Verschlüsselung inklusive Trustcenter aufgebaut werden müssten, war sich Michael Hange mit Michael Waidner vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) einig. Der Staat sei hier in der Pflicht zu liefern, bekundete Waidner. Es sei generell sinnvoll, „flächendeckend zu verschlüsseln“, um Massenüberwachung zu erschweren. Das SIT habe daher mit Partnern die „Volksverschlüsselung“ ins Leben gerufen, um das Problem des Schlüsselaustauschs anzugehen.

Für überbewertet hält Waidner allerdings das „Hype-Thema“ Quantenkryptografie, das für diesen Zweck ebenfalls neue Verfahren zur Verfügung stellen könnte. Diese Technik sei durch Implementierungsschwächen genauso angreifbar wie derzeitige Verschlüsselungsverfahren. Andererseits sei Kryptografie generell auch mit Quantencomputern nicht „tot“, sie werde nur „etwas aufwendiger“. So könne mit den „magischen“ Rechnern zwar das RSA-Verfahren schneller gebrochen werden. Viele andere Krypto-Algorithmen blieben aber erhalten. Wann also erfolgt die Verschlüsselungskontrolle für die Behörden?

Tarnkappe.info

Über den Autor

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.