Ein weiterer Terroranschlag, ein weiteres Überwachungsgesetz. Werden Politiker jemals lernen, dass ein Abschwächen der Verschlüsselung mehr Schaden als Nutzen bringen würde?
Nach dem Terroranschlag von Wien fordert das EU Council einen Generalschlüssel für verschlüsselte Chat-Kommunikation.
Der Hintertür-Vorschlag
Ein internes Dokument der deutschen Ratspräsidentschaft an die Delegationen der Mitgliedsstaaten vom 6. November macht in EU-Kreisen die Runde, wie der österreichische Fernsehsender ORF berichtet. Ziel ist es, Dienste wie WhatsApp, Signal und viele andere, die eine Ende-zu-Ende-Verschlüsselung für ihre Nutzer implementiert haben, dazu zu zwingen, Behörden den Zugang zu verschlüsselten Chat-Nachrichten mit Hilfe eines Generalschlüssels zu ermöglichen. Es ist klar, dass der Terroranschlag in Wien vom EU-Ministerrat genutzt wird, um ein Gesetz gegen sichere Verschlüsselung für EU-Bürger durchzusetzen.
In Brüssel werden Terroranschläge regelmäßig dazu benutzt, seit langem geplante Überwachungsmaßnahmen durchzusetzen. So wurde beispielsweise in der EU nach den Terroranschlägen von Madrid (2004) und London (2005) die Verordnung zur Vorratsdatenspeicherung verabschiedet. Die allgemeine Vorratsdatenspeicherung wurde später in der EU vom Europäischen Gerichtshof für illegal erklärt, klares Signal, “dass Sicherheitsbedenken keine übermäßigen Verletzungen der Privatsphäre rechtfertigen”.
Dennoch will der EU-Rat nun erneut auf ein strenges Überwachungsgesetz drängen. Diesmal wollen sie einen “außergewöhnlichen Zugang” zu verschlüsselter Kommunikation mit Hilfe eines allgemeinen Schlüssels, der von den betreffenden Diensten bereitgestellt werden soll. Die Einzelheiten der vorgeschlagenen Methode wurden im August von Politico veröffentlicht.
EU-Vorschlag unter der Lupe
Der “Draft Council Resolution on Encryption - Security through encryption and security despite encryption” betont die Tatsache, dass “die Europäische Union die Entwicklung, Umsetzung und Verwendung starker Verschlüsselung voll und ganz unterstützt. Die Verschlüsselung ist ein notwendiges Mittel zum Schutz der Grundrechte und der digitalen Sicherheit von Regierungen, Industrie und Gesellschaft”.
Dies liest sich jedoch im Weiteren als ein Lippenbekenntnis:
“Der Schutz der Privatsphäre und der Sicherheit der Kommunikation durch Verschlüsselung und die gleichzeitige Aufrechterhaltung der Möglichkeit für die zuständigen Behörden im Bereich der Sicherheit und der Strafjustiz, rechtmäßig auf relevante Daten für legitime, klar definierte Zwecke bei der Bekämpfung schwerer und/oder organisierter Verbrechen und des Terrorismus, auch in der digitalen Welt, zuzugreifen, sind äußerst wichtig. Alle getroffenen Maßnahmen müssen diese Interessen sorgfältig gegeneinander abwägen”.
Während der EU-Rat diesen Abschnitt mit “Ein besseres Gleichgewicht schaffen” überschreibt, meinen sie eigentlich einen allgemeinen Schlüssel zu haben, um die Verschlüsselung zu knacken, falls die Behörden Zugriff auf die Daten benötigen.
Als Verfechter des Datenschutzes sind die damit verbundenen Risiken offensichtlich, aber dazu später mehr. Der Hauptgrund, warum die Behörden angeben, warum sie einen solchen Generalschlüssel wollen, ist, dass er ihnen geholfen hätte, Terroranschläge zu verhindern. Schauen wir uns also den jüngsten Terroranschlag in Wien an. Hätten die österreichischen Behörden Zugang zu dem verschlüsselten Chat des Terroristen gehabt, hätten sie den Anschlag dann verhindern können?
Terroranschlag von Wien
Anfang dieses Jahres hatten die deutschen Behörden die österreichischen Kollegen gebeten, ein Treffen zwischen zwei mutmaßlichen Islamisten und dem künftigen Angreifer im Juli in Wien zu überwachen. Bei der folgenden Risikoabschätzung des künftigen Angreifers, der nach einer früheren Verurteilung wegen Terrorismus auf Bewährung war, wurden Fehler gemacht.
Obwohl auch die slowakischen Behörden den österreichischen Behörden mitteilten, dass der Terrorist versucht habe, Munition in der Slowakei zu kaufen, führten diese Informationen nicht zu einer ständigen Überwachung des zukünftigen Angreifers. Die österreichischen Behörden hätten aufgrund seiner strafrechtlichen Vergangenheit für den Versuch des Waffenerwerbs sogar einen Haftbefehl ausstellen können.
Es wird immer deutlicher, dass offenbar Ermittlungsfehler den Anschlag überhaupt erst möglich gemacht hatten und nicht das Fehlen der digitalen Überwachungsbefugnisse.
Der österreichische Innenminister selbst räumte ein: “Offensichtliche und nicht hinnehmbare Ermittlungsfehler wurden begangen”. Dennoch fordern die Politiker erneut eine Überwachung aller Bürger - statt die Ausbildung ihrer Beamten zu verbessern und sie entsprechend zu befähigen, dass sie mit den bereits vorliegenden Daten potenzielle Gefahren besser einschätzen können.
Der ORF kommentiert dies ironisch: “Das nämlich sind die „competent authorities“: GCHQ, DGSE, BND usw., deren Staubsaugermethoden an den Glasfasern wegen zunehmender Transportverschlüsselung immer weniger verarbeitbare Daten einbringen. Um diese drohende Datenarmut abzuwenden, wurden jetzt Generalschlüssel verlangt - und wie es aussieht, wird das im Rat auch bewilligt. Dann kann das BVT, das es nicht einmal schafft, einen Terroristen auszuschalten, der von zwei anderen Diensten zweimal auf dem Silbertablett serviert wird, künftig auch in Chatverläufen wochenlang nicht ermitteln.” Wenn es nicht so traurig wäre, würde es uns zum Schmunzeln bringen.
Fazit
Das Fazit lautet: Die Behörden und Geheimdienste verfügen bereits über eine Menge Daten über potenzielle Bedrohungen. Eine gründliche Auswertung der Daten erfordert Zeit und qualifizierte Mitarbeiter, um die gefährlichsten potenziellen Bedrohungen einzugrenzen. Es gibt keinen Beweis dafür, dass die Erhebung weiterer Daten in die Datenbanken in irgendeiner Weise dazu beitragen wird, potenzielle Angreifer zu finden.
Gefahr der Überwachung
Leider überwiegen die Gefahren einer solchen allgemeinen Überwachung bei Weitem gegenüber möglichen Vorteilen. Die Verschlüsselung in ein “besseres” Gleichgewicht mit den Anforderungen der Behörden zu bringen, wie es der EU-Rat formuliert, entspricht also nicht der Wahrheit.
Das Problem ist - wie immer bei der Verschlüsselung - wer kontrolliert den Schlüssel? Sobald es einen allgemeinen Entschlüsselungsschlüssel für verschlüsselte Chat-Nachrichten gibt, werden die Behörden ihn verwenden wollen. Böswillige Angreifer werden an ihn herankommen wollen. Staatliche Behörden werden Zugang zu ihm erhalten wollen, um ihn nicht nur gegen Kriminelle, sondern auch zur Wirtschaftsspionage, zur Überwachung der Opposition in autokratischen Ländern usw. zu verwenden.
Die wichtigsten Fragen sind:
- Wer entscheidet, wann der Schlüssel verwendet werden kann? (= Wer hat Zugang zu den Schlüsseln? Werden es nur die ‘Guten’ sein?)
- Für wessen Chat-Verläufe? (= Wer wird das Ziel einer solchen Überwachung sein? Werden es nur potentielle Kriminelle sein oder werden es auch unschuldige Bürger, Aktivisten, Oppositionelle sein?)
- Bei welchen Straftaten? (= Wer definiert, für welche Verbrechen der Schlüssel verwendet werden kann? Wer macht die Gesetze zur Definition der Verbrechen, auch in nicht-demokratischen Ländern?)
Angesichts der Tatsache, dass wir bereits Regierungen in der EU haben, die autokratische Tendenzen zeigen, wie Polen und Ungarn, Länder, die Abtreibung illegal machen, die LGBT-Gemeinde und andere Minderheiten diskriminieren, sollten wir uns des Schadens bewusst sein, der entstehen könnte, wenn wir den Behörden dieser europäischen Mitgliedsstaaten einen allgemeinen Entschlüsselungsschlüssel geben.
Ein allgemeiner Schlüssel für alle WhatsApp- und Signal-Botschaften wäre auch eine hochkarätige Zielscheibe für Kriminelle und (kriminelle) staatliche Stellen. Es wäre nur eine Frage der Zeit, bis ein solcher Schlüssel in böswillige Hände gelangen würde. Ironischerweise hat die EU selbst ihren Mitarbeitern kürzlich empfohlen, Signal für sichere Chats mit Außenstehenden der Institution zu verwenden.
Verstärkte Überwachung
Der Terroranschlag von Wien ist nur einer in einer langen Reihe von Anschlägen in Europa, die zeigen, dass zur Bekämpfung des Terrorismus keine verstärkte Überwachung notwendig ist. Im Gegenteil, eine von Journalisten durchgeführte Analyse kam zu dem Schluss, dass alle islamischen Terroristen seit 2014 den Behörden bereits vor den Anschlägen bekannt waren.
Auch das Telefonüberwachungsprogramm der NSA in den USA wurde vor Kurzem nicht nur für illegal erklärt, es erwies sich auch als teuer und unwirksam. Es hat nicht einen einzigen Terroranschlag verhindert.
Wenn Politiker darum bitten, die Verschlüsselung zu knacken - und sei es auch nur für die “Guten” - bieten sie uns nicht die Wahl zwischen mehr oder weniger Sicherheit. Sie zwingen uns keine Sicherheit zu wählen.
Aufruf an die EU-Politiker, die Überwachung abzulehnen
Dieser Vorschlag des EU-Rates darf niemals Gesetz werden. Denn:
- Er verletzt in schwerwiegender Weise das Recht auf Privatsphäre und Redefreiheit eines jeden EU-Bürgers.
- Er stellt eine Bedrohung für die Sicherheit und Integrität der Daten jedes EU-Bürgers dar.
- Er wirkt der DSGVO entgegen, die die Daten der EU-Bürger schützen soll.
Wir rufen die EU-Politiker auf, sich über Online-Sicherheit zu informieren, sich über die Bedeutung der Verschlüsselung und die Gefahren zu informieren, die durch die Schwächung der Verschlüsselung für den Einzelnen entstehen, sowie über die Gefahren für eine offene und demokratische Gesellschaft.
Als eine freie und offene Gesellschaft teilen wir die Werte der Redefreiheit und der Privatsphäre in Europa. Nun müssen wir stark bleiben, um diese Werte zu schützen.
Wenn uns diese Freiheiten weggenommen werden, haben die Terroristen bereits gewonnen.