Der Wunsch der EU-europäischen Innen- und Justizminister*innen: ein zwangsinstallierter Staatstrojaner auf jedem Smartphone.
Die meiste mediale wie persönliche Aufmerksamkeit richtet sich derzeit auf die Corona-Pandemie samt allen Nebenwirkungen und -effekte. Diesen Umstand missbrauchen viele für eigene Zwecke, so auch bspw. die Bundesregierung die ohne wirklich erkennbaren Grund wichtige und umfangreiche Gesetzgebungsverfahren in unerhört kurzfristiger Gangart im wahrsten Sinne des Wortes durchpeitscht. So z.B. die Reform des Telekommunikationsgesetzes (TKG) mit einer Kommentarfrist von 48 Stunden für 450 Seiten Entwurfstext oder auch das neue IT-Sicherheitsgesetz, für dessen Kommentierung durch Experten und Sachkundige gar nur 24 Stunden eingeräumt werden, so dass selbst als „seriös“ geltende Kreise dieses nicht anders als „ministeriellen Mittelfinger ins Gesicht der Zivilgesellschaft“ titulieren können.
Immerhin: Relativ viel Öffentlichkeit hat die Absicht der EU erzeugt, zukünftig Ende-zu-Ende-verschlüsselte Telekommunikation (TK) (also z.B. WhatsApp, Telegram, PGP-Mails etc.) in ihrer Technik und Programmierung so zu verändern, dass staatlichen Institutionen (Polizeien, Geheimdienste etc.) ein Zugang zu den Nachrichten und ihren Inhalten gewährt werden kann. (Siehe auch den Offenen Brief des freiheitsfoo’s an das Bundesinnenministerium vom 8.12.2020)
Damit hat die EU eine neue Schlacht der so genannten „Cryptowars“ eröffnet, auch wenn dieses Anliegen gar kein neues ist sondern ein – wenn auch medial sehr viel weniger bis gar nicht beachtetes – mehrjähriges Vorspiel hatte und insofern im Grunde gar nicht überraschend ist.
Wie auch immer: Derzeit wird medial allermeist vor dem Einbau von sogenannten „Hintertüren“ oder „Generalschlüsseln“ berichtet und gewarnt. Tatsächlich würden diese die Vertraulichkeit in Ende-zu-Ende-verschlüsselte TK untergraben mit gravierenden Folgen für Demokratie und die Menschen, aber auch für Wirtschaft und Verwaltung. Der Aufschrei der Zivilgesellschaft konnte kaum überraschen.
Nun scheint sich ein neuer Zweig in der zum Vorhaben der EU vermittelten Propaganda abzuzeichnen: Man wolle und werde (unter Vorbehalt!) gar keine Hintertüren oder Zugänge via Generalschlüssel erzwingen und einbauen. Stattdessen werde man „nur“ vor dem Verschlüsseln und Versenden von Nachrichten und Dateien deren Hash-Wert mit den Hash-Werten verbotener Medien abgleichen. Es müsse also gar keine Verschlüsselung geknackt werden, da die Daten in noch unverschlüsselter Form ausspioniert (Neusprech: „detektiert“) werden. Der Abgleich der Hash-Werte erfolge dabei vorzugsweise mit Servern von Dritt-Parteien, an die das verdächtige Material (vulgo: die Daten der Endnutzer.innen) dann geschickt werden.
Diese und andere Szenarien der Verschlüsselungs-„Umgehung“ werden – in recht nüchterndem Bürokratie-Technik-Deutsch verfasst – in einem von der „Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITIS)“ als Anlage zur Kurzinformation „Zum Brechen oder Umgehen von Ende-zu-Ende-Verschlüsselungen“ des Wissenschaftlichen Dienstes des Deutschen Bundestags veröffentlichten Dokument beschrieben. Sie nehmen alle Bezug auf ein Arbeitspapier der EU-Kommission, das vom Magazin Politico geleakt wurde und das technisch wohl am interessantesten ist. Dieses Arbeitspapier scheint die (argumentativ schwache) Basis der Hintertüren der Hintertüren zu bilden. Absicht aller Maßnahmen sei doch „nur“ das Verfolgen von Kinderpornografie-traftaten.
Staatstrojaner für alle
Das alles klingt zunächst recht beruhigend, doch hat diese Beruhigungs-Pille erhebliche Nebenwirkungen, die dem Einbau von Hintertüren oder der Möglichkeit der Verwendung von hinterlegten Generalschlüsslen zur Entschlüsselung in nichts nachstehen:
Tatsächlich handelt es sich bei dem favorisierten Verfahren um Staatstrojaner für alle, um Spionagesoftware, deren erklärter Zweck es ist, Uploadfilter zu erzwingen. Im Endergebnis bekommen Endanwender.innen das Schlechteste aus beiden Welten, der Welt der Staatstrojaner und der Welt der Uploadfilter, vereint im App-Store ihres früheren Vertrauens frei Haus.
Staatstrojaner sind grundrechtlich mehr als heikel, ihre technische Sinnhaftigkeit höchst fraglich und ihre soziale oder auch nur ordnungspolitische Wirksamkeit niemals nachgewiesen worden. Eine diffuse Panik der Staatsmacht vor einem vorgeblichen „Going Dark“ hat hier zu keinerlei Zuwachs argumentativer Stärke geführt – aber zu höchst bedenklichen Kontroll- und Überwachugsbefugnissen der Dienste und Polizeien. Soweit das Bundesverfassungsgericht den Einsatz von Staatstrojanern nicht komplett verworfen hat, war der Einsatz immer an enge Vorgaben gebunden. Staatstrojaner dürfen nur dort eingesetzt werden, wo sehr gewichtige Rechtsgüter in sehr konkreter Gefahr schweben. Staatstrojaner richten sich nur gegen die unmittelbaren Urheber der Gefahr und ihr Einsatz ist sofort zu beenden, wenn die Gefahr vorbei ist.
Nach dem Szenario oben soll eine entsprechende Software aber möglicherweise zwangsweise in alle Ende-zu-Ende-verschlüsselnden Messenger und Dienste eingebaut werden und ständig abhorchen, was da kommuniziert wird. Alle Nutzer.innen von z.B. Signal wären betroffen, von WhatsApp oder anderen entsprechenden Diensten. Alle wären verdächtig, alle würden entsprechend ausgeforscht und dies ständig, sobald sie ihre Messenger benutzen. Alle stehen unter Generalverdacht.
Uploadfilter
Dass dazu die Inhalte an Server im Internet übertragen werden sollen, vergrößert nicht nur die Angriffsfläche für interessierte Viertparteien immens. In den Arbeitspapieren von EU-Kommission und Innenministerium ist von Hash-Werten die Rede, die auf Servern mit solchen inkriminiertem Materials verglichen werden sollen. Aber auch die serverseituge Untersuchung unverschlüsselten Materials wird erwogen. Letzteres insbesondere, um die vetraulichen Daten der Endnutzer zum kostenlosen Datenmaterial für Künstliche-Intelligenz-Training zu missbrauchen. Dass es eine solche Überlegung überhaupt bis in die Arbeitspapiere der Ministerien geschafft hat, macht fassungslos.
Aber auch die Verwendung von Hashwerten kommt mit zusätzlichen Nachteilen daher. So sind Übereinstimmungen von Hashwerten durch kleinste Änderungen im Ausgangsmaterial umgehbar. Kriminelle, die ihr Handwerk verstehen, können solche Filter mit wenig Aufwand austricksen. So zeigt sich, dass die favorisierten Verfahren der EU-Kommission und des Innenministeriums zur Umgehung von Ende-zu-Ende-Verschlüsselung viele der Nachteile von Uploadfiltern teilen. Und das ist kein Wunder, denn es handelt sich von der Funktionsweise her um lupenreine, zwangsimplementierte Uploadfilter – mit all den Nachteilen, die schon bei den Gesetzesvorhaben zur Urheberrechtsreform 2018, bei der jüngst diskutierten TERREG-Verordnung und all den anderen Uploadfilter-Vorhaben ruchbar wurden. Von Falschtreffern über wettbewerbsverzerrende Effekte bis hin zu Chilling-Effekten, dass etwa Eltern sich nicht mehr trauen Bilder ihrer badenden Kinder an die Großeltern zu schicken, oder generell in Diskussionen Wörter zu vermeiden, die beim Filter „anschlagen“ könnten. Uploadfilter sind schlecht für eine demokratische Gesellschaft.
All diese Details sind endlos ausführbar und belegbar. Manches lässt sich vielleicht partiell in der ein oder anderen Richtung fixen, aber ein Grundproblem aller dieser Ansätze kann nicht hintergangen werden: Die Vertraulichkeit der Kommunikation ist dahin, wenn die Daten der Menschen auf für diese nicht nachvollziehbare Weise zu Servern zur Kontrolle geschickt werden. Das betrifft sämtliche Umgehungs-Varianten, die im Arbeitspapier vorgelegt wurden. Es scheint, dass hier ein weiterer Mittelfinger ins Gesicht der Zivilgesellschaft gestreckt wird. Das ist nicht weniger schlimm als Hintertüren. Das ist nur anders schlimm.
Morgen, am Montag, den 14.12.2020 wollen die EU-Justiz- und Innenminister*innen in einer EU-Rats-Sitzung die geleakte Resolution verabschieden, die einen jederzeitigen Zugang für Behörden zu verschlüsselter Kommunikation fordert. Es wäre mehr als naiv anzunehmen, dass sich die dort versammelten Verantwortungträger eines Besseres besinnen werden und diese Resolution nicht annehmen.
Die Cryptowars 2.0 werden fortgeführt.
