Der EU-Ministerrat der europäischen Innenminister hat jüngst eine Resolution verabschiedet, die den Zugriff auf verschlüsselte Daten vorsieht. Der deutsche Bundesverband IT-Sicherheit e.V. (TeleTrusT) und der Fachverband UBIT sehen dies sehr kritisch. [...]

Für den deutschen Bundesverband TeleTrust ist die letzte Woche präsentierten EU-Agenda zur Terrorismusbekämpfung der letzte Schritt in einer Entwicklung, die in den 1990er Jahren begonnen hat, aber in demokratischen Staaten bisher nicht durchsetzbar war, nämlich Kryptotechnologie staatlicherseits zu schwächen. Auch der Fachverband Unternehmensberatung, Buchhaltung und IT (UBIT) der Wirtschaftskammer Österreich (WKÖ) sieht darin eine totale Überwachung auf Kosten von Softwaresicherheit und Datenschutz sowie der Privatsphäre und lehnt den EU-Verschlüsselungszugriff ab.

Der Grund für diese EU-Resolution ist sicherlich der, dass immer mehr Hacker und (Cyber-)Kriminelle Verschlüsselung nutzen. Dabei ist Verschlüsselung mittlerweile zu einem massiven Problem für die Ermittlungsbehörden geworden, da schon Anwender ohne besondere IT-Kenntnisse mit kostenlosen Tools so sicher verschlüsseln können, dass Experten kaum eine Chance haben, die Verschlüsselung zu knacken.

Dennoch sei die Verschlüsselung ein sehr wirksamer IT-Sicherheitsmechanismus, der helfe, die Werte auf unseren IT-Systemen angemessen zu schützen und damit sicher und vertrauenswürdig in die digitale Zukunft zu gehen, betont TeleTrust in einer Presseaussendung. Der stellvertretende TeleTrusT-Vorstandsvorsitzender Rechtsanwalt Karsten U. Bartels LL.M. konkretisiert: „Die Herausforderungen in der Strafverfolgung und der Kriminalprävention dürfen nicht ignoriert werden. Eine Aushöhlung der Verschlüsselung bedeutet aber, die ohnehin träge Digitalisierung in der EU zu gefährden. Denn diese gelingt nur nachhaltig, wenn wir das Vertrauen in IT fördern – und nicht mindern. Lösungen mit Hintertür können nicht als dem ‚Stand der Technik‘ entsprechend betrachtet werden. Das Zurückfallen auf einen schlechteren Technologiestand hat nicht nur massive Auswirkungen auf die IT-Sicherheit, es ist rechtlich auch nicht mit der DSGVO und dem IT-Sicherheitsgesetz vereinbar.“

Ähnlich sieht dies UBIT-Fachverband-Obmann Alfred Harl wenn er sich vor die Softwareunternehmen stellt und warnt: „Die Aufhebung von sicherer Verschlüsselung ermöglicht den Missbrauch von Persönlichkeitsrechten und Betriebsgeheimnissen, da hilft auch der Deckmantel der Terrorismusbekämpfung nicht. Die neue Regelung schafft sichere Software ab.“

Sichere Cloudlösungen anstatt EU-Entschlüsselung

Martin Puaschitz, IT-Sprecher des Fachverbandes UBIT, schlägt in dieselbe Kerbe. Auch er sieht den Vorschlag des EU-Rates nicht nur als ein Sicherheitsrisiko, sondern auch als extrem aufwendig und wenig erfolgversprechend an: „Die Verschlüsselung eines sicheren Systems aufzuheben öffnet vor allem Hintertüren und hebelt eine sichere End-to-End-Verschlüsselung defacto aus. Sinnvoller ist es, in sichere, lokale Cloudlösungen zu investieren und Serviceprovidern für diese Lösungen mit Steuererleichterungen entgegenzukommen,“ sagt Martin Puaschitz.

Auch Bartels warnt: „Wer einen Staat mit Generalschlüsseln als Zugang zu verschlüsselter Kommunikation ausstattet, schadet massiv dem liberalen Rechtsstaat. Er schadet dem Vertrauen in sichere IT, der Wirtschaft und nicht minder den rechtsstaatlichen Erwartungen der Bürgerinnen und Bürger.“

Terrorismusbekämpfung auf Kosten der Persönlichkeitsrechte

Ein Aushöhlen von sicheren Verschlüsselungslösungen wird vor allem Menschen treffen, die sich an Recht und Gesetz halten – also der Löwenanteil der Bevölkerung. Selbst nur noch Kryptoprodukte mit staatlicher Hintertür verkauft werden dürften, würden Straftäter auf weitere oder selbstentwickelte Kommunikationsdienste ohne eine solche Hintertür umsteigen, um weiterhin verdeckt zu agieren.

Der FV UBIT betrachtet sichere Kommunikation ist einen Eckpfeiler unserer Demokratie und dürfe nicht auf Kosten der Persönlichkeitsrechte der Bevölkerung und der Grundrechte wie Freiheit, Bürgerrechte oder justizielle Rechte aufgegeben werden. „Wir sprechen daher ein klares Nein zum EU-Zugriff auf verschlüsselte Daten aus,“ sagt Alfred Harl.

TeleTrust wiederum nennt vier Argumente gegen staatliche Hintertüren in Kryptotechnologie:

Negative Auswirkungen auf das Vertrauen in die Digitalisierung und die Rolle des Rechtsstaates dabei. Schädigung des Rufs der deutschen Krypto-Industrie: Im Gegensatz z.B. zu den USA, wo staatliche Nachrichtendienste Einfluss auf Kryptohersteller nehmen, haben sich in Deutschland die Behörden diesbezüglich bislang zurückgehalten. Krypto „Made in Germany“ hat auch deshalb international einen sehr guten Ruf. Potentieller Missbrauch: Wenn Nachschlüssel in größerer Zahl in die falschen Hände fallen, könnte dies zu einer Katastrophe führen. Es ist klar, dass sowohl kriminelle als auch staatliche Hacker nichts unversucht lassen werden, um an die Nachschlüssel, die in einer Datenbank gespeichert sein müssen, zu gelangen. Mangelhafte Implementierung der Backdoor-Technologie: Immer wieder auftretenden Fehler im Bereich der Implementierung schaffen ein unkalkulierbares Risiko.

Letztlich sind sowohl UBIT als auch TeleTrust überzeugt, dass eine bessere Strafverfolgung und Tatprävention möglich sind, auch ohne die IT-Sicherheit, die Digitalisierung und das Recht derart zu gefährden.