Frankreich ist dabei, ein Gesetz zur Bekämpfung des Drogenhandels, das “Narcotrafic”-Gesetz, zu ändern, das verschlüsselte Messaging-Apps wie Signal und WhatsApp dazu zwingen wird, die Verschlüsselung zu umgehen, um entschlüsselte Chat-Nachrichten von mutmaßlichen Kriminellen innerhalb von 72 Stunden nach der Anfrage aushändigen zu können. Um dies durchzusetzen, sieht der Text eine “Geldstrafe von 1,5 Millionen Euro für natürliche Personen und eine Geldstrafe von bis zu 2 % des weltweiten Jahresumsatzes für juristische Personen” vor. Die Änderung wurde bereits vom Senat verabschiedet und wird nun zügig in die Nationalversammlung eingebracht.

Frankreich hat in den letzten Jahren zusammen mit anderen Ländern einige Erfolge beim Eindringen in verschlüsselte Chat-Apps erzielt, die von Kriminellen genutzt werden, bspw. bei Encrochat und AN0M. Diese riesigen Mengen an entschlüsselten Daten von Kriminellen haben den Strafverfolgungsbehörden in vielen Ländern geholfen, Kriminelle zu verfolgen und zu verstehen, wie das organisierte Verbrechen arbeitet. Es sieht so aus, als wolle das neue Gesetz dasselbe erreichen, da es den Strafverfolgungsbehörden die Verfolgung von Kriminellen erleichtern würde.

Das Brechen der Verschlüsselung einer App, die von Kriminellen für Kriminelle entwickelt wurde, ist jedoch etwas ganz anderes als das Brechen der Verschlüsselung von Chat-Apps, die von Milliarden von Menschen genutzt werden, wie WhatsApp, Signal und Tuta Mail. Der Kollateralschaden in letzterem Fall wäre entsetzlich.

Ein Angriff auf Sicherheit und Privatsphäre

Die Verschlüsselung ist die Grundlage der sicheren digitalen Kommunikation. Sie ist das, was unsere Daten und uns selbst im heutigen Internet schützt. Leider ist das Internet kein sicherer Ort, sondern ein Ort, an dem böswillige Angreifer und ausländische Spione darauf lauern, an Ihre Daten heranzukommen, um Betrug, Erpressung oder Industriespionage zu begehen.

Indem sie Hintertüren vorschreibt, gefährdet die französische Regierung nicht nur die Sicherheit aller Nutzer - Bürger und Unternehmen gleichermaßen -, sondern dieses geänderte “Narcotrafic”-Gesetz steht höchstwahrscheinlich auch im Widerspruch zu europäischen Datenschutzgesetzen wie der DSGVO, dem deutschen IT-Sicherheitsgesetz und dem TKG. Die DSGVO gibt den Menschen die Kontrolle über personenbezogene Daten zurück, indem sie Unternehmen dazu zwingt, personenbezogene Daten zu schützen, auch mit einer Ende-zu-Ende-Verschlüsselung. Darüber hinaus schreibt das deutsche IT-Sicherheitsgesetz vor, dass kritische Infrastrukturen (einschließlich IT-Systeme) vor Cyberbedrohungen und unbefugtem Zugriff geschützt werden müssen, und das deutsche Telekommunikationsgesetz (TKG) regelt die Sicherheit von Kommunikationsdiensten und -daten. Ein Gesetz wie das französische “Narcotrafic”-Gesetz, das Unternehmen dazu zwingt, technische Maßnahmen zu ergreifen, um Strafverfolgungsbehörden den Zugang zu ermöglichen (z. B. durch Hintertüren), könnte im Konflikt mit den Datenschutzverpflichtungen deutscher IT-Unternehmen stehen. Dies wirft die Frage auf, ob und wie europäische und insbesondere deutsche Unternehmen das französische “Narcotrafic”-Gesetz überhaupt einhalten können.

”Deutsche Gesetze wie das IT-Sicherheitsgesetz und das TKG zwingen uns, Daten zu schützen und schreiben vor, dass die Sicherheit von IT-Systemen nicht für den Zugriff von Strafverfolgungsbehörden geschwächt werden darf. Wir bei Tuta werden uns an kein Gesetz halten, das eine Hintertür vorschreibt, und deutsches Recht verbietet uns dies sogar.”

Auch der Europäische Datenschutzbeauftragte stellt in Zusammenhand mit Verschlüsselung klar:

“Die Verschlüsselung, d. h. die Codierung von Nachrichten in einer Weise, die nur die vorgesehenen Empfänger verstehen können, ist eines der wichtigsten Instrumente zur Gewährleistung der Sicherheit unserer Informationen. Sie wird als notwendig für die digitale Wirtschaft und für den Schutz von Grundrechten wie der Privatsphäre und der freien Meinungsäußerung anerkannt."

"Die Strafverfolgungsbehörden benötigen zwar die Mittel zur Bekämpfung der Kriminalität im Internet, aber jede neue Maßnahme müsste zunächst die Prüfung der Notwendigkeit und Verhältnismäßigkeit auf der Grundlage fundierter Beweise bestehen. Die Verschlüsselung erschwert zwar massenhafte Sammeln von Daten und die Massenüberwachung, sie ist jedoch kein einschränkender Faktor bei gezielteren und spezifischeren Maßnahmen. Beschränkungen der Verschlüsselung bergen erhebliche Risiken für die Wirtschaft und die Gesellschaft im Allgemeinen”.

Abschaffung der Sicherheit für alle

Die Schwächung der Verschlüsselung betrifft nicht nur Kriminelle, sondern jeden Einzelnen, jedes Unternehmen, jeden Journalisten, jeden Aktivisten und jede staatliche Einrichtung, die auf sichere Kommunikation angewiesen ist. Hintertüren, die für die Strafverfolgung geschaffen wurden, werden unweigerlich zu potenziellen Angriffspunkten für böswillige Akteure, darunter Cyberkriminelle und ausländische Geheimdienste aus Ländern wie Russland und China. Sobald die Verschlüsselung kompromittiert ist, kann sie nicht mehr selektiv nur diejenigen schützen, die vom Staat als “legitim” eingestuft werden - sie wird für alle grundlegend schwächer. Angesichts der Bedrohungen, mit denen wir derzeit konfrontiert sind, insbesondere hier in Europa, wäre eine Untergrabung der Verschlüsselung ein gefährlicher Schritt, der uns alle in Gefahr bringt.

Dies wurde bereits vor mehr als zehn Jahren durch einen Comic veranschaulicht, als das FBI von Apple verlangte, die Ende-zu-Ende-Verschlüsselung des iPhones zu untergraben.

Der Comic zeigt, wie Apple-CEO Tim Cook das iPhone entsperrt, während das FBI, Hacker, repressive Regime und andere Schlange stehen, um an die entschlüsselten Daten zu gelangen.

Pro-Verschlüsselung gewinnt an Zugkraft

Jüngere Nachrichten zeigen, dass die Unterstützung für die Ende-zu-Ende-Verschlüsselung zunimmt, auch seitens der Regierungsbehörden. Vor allem die US-Behörde für Cybersicherheit und Infrastruktursicherheit CISA hat nach dem Salt-Typhoon-Hack, einem Angriff der Chinesen, der es ihnen ermöglichte (und immer noch ermöglicht), über amerikanische Telekommunikationsanbieter geführte Telefongespräche abzuhören, eine Empfehlung zur Verwendung von Ende-zu-Ende-Verschlüsselung ausgesprochen. Im Februar dieses Jahres haben die schwedischen Streitkräfte dasselbe getan und empfohlen, verschlüsselte Apps für Anrufe und Nachrichten anstelle herkömmlicher Telefongespräche zu verwenden. Beide erwähnen die quantensichere verschlüsselte Chat-App Signal als Mittel zum Schutz der gesamten Kommunikation, nicht nur hochsensibler Nachrichten. Doch nun ist genau diese Verschlüsselung, die Apps wie Signal und E-Mail-Anbieter wie Tuta bieten, durch das französische Gesetz “Narcotrafic” bedroht.

Was ist das “Narcotrafic”-Gesetz?

Die Organisation La Quadrature du Net hat eine ausführliche Erklärung darüber zusammengestellt, was die Änderung des “Narcotrafic”-Gesetzes beinhaltet. Sie zeigt, dass die Risiken für die Sicherheit und die Privatsphäre aller Bürger die Vorteile für die Strafverfolgung bei weitem überwiegen.

• Das so genannte “Narcotrafic”-Gesetz greift den Schutz von verschlüsselten Diensten (wie Signal oder WhatsApp) an, indem es die Installation von Hintertüren für Polizei und Geheimdienste vorschreibt.

• Durch die Änderung der rechtlichen Regelung für organisierte Kriminalität, die auch in anderen Fällen anwendbar ist, gilt dieses Gesetz nicht nur für den Drogenhandel. Es kann sogar zur Überwachung von Aktivisten eingesetzt werden.

• Die Fallakte (eine Bestimmung des Gesetzes) macht die Dokumente einer Akte, die die Modalitäten des Einsatzes von Überwachungstechniken während einer Untersuchung detailliert beschreibt, geheim. Dies untergräbt das Recht auf Selbstverteidigung und verhindert, dass die Bevölkerung das Ausmaß der Überwachungskapazität der Kriminalpolizei kennt.

• Der Text sieht vor, dass die Polizei Mikrofone und Kameras von fest und mobil angeschlossenen Geräten (Computer, Telefone usw.) aus der Ferne aktivieren kann, um Personen auszuspionieren.

• Er erweitert die Genehmigung für den Einsatz von “Black Boxes”, einer Technik zur Analyse der Daten unserer gesamten Kommunikation und des Austauschs im Internet zum Zweck der “Bekämpfung von Verbrechen und organisierter Kriminalität”.

• Die Polizei kann ihre Politik der Zensur von Inhalten im Internet verschärfen, indem sie sie auf Veröffentlichungen im Zusammenhang mit dem Konsum und Verkauf von Drogen ausweitet. Die Gefahr einer Einschränkung der Meinungsfreiheit wird dadurch noch größer.

Lasst uns für Verschlüsselung kämpfen!

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 hat sich die Europäische Union an die Spitze gestellt, wenn es um die Verteidigung des Rechts der Bürger auf Privatsphäre und Sicherheit geht. Wenn wir Frankreich erlauben, solch extreme Überwachungsmaßnahmen umzusetzen, wie sie im Rahmen des “Narcotrafic”-Gesetzes vorgeschlagen werden, würden wir einen gefährlichen Präzedenzfall schaffen, der die Werte untergraben würde, für die die EU steht. Wir dürfen nicht zulassen, dass eine von Angst getriebene Politik die Sicherheit und Freiheit aller europäischen Bürger aushöhlt.

Wir von Tuta fordern die französische Nationalversammlung nachdrücklich auf, diese Änderung abzulehnen und die Grundrechte auf Privatsphäre, Sicherheit und freie Meinungsäußerung zu wahren. Bitte denken Sie daran: Eine Hintertür nur für die Guten ist nicht möglich.

Verbreiten Sie die Nachricht und engagieren Sie sich! So geht’s.

La Quadrature du Net hat großartige Ressourcen zusammengestellt, die Sie nutzen können, um Ihren Abgeordneten zu kontaktieren.

Rufen Sie Ihren Abgeordneten jetzt an und sagen Sie ihm, dass er mit “Nein” gegen die Änderung des “Narcotrafic”-Gesetzes stimmen soll!