„Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ – so lautet der Titel eines geheimen Entwurfs einer geplanten Deklaration des EU-Ministerrats vom 6. November 2020 (12143/20). Der Titel täuscht, die Realisierung der Resolution hätte die Aushöhlung der E2E-Verschlüsselung zur Folge.
Was ist End-zu-End-Verschlüsselung?
Die Ende-zu-Ende-Verschlüsselung, auch genannt „end-to-end encryption“, „E2EE“ oder „E2E-Verschlüsselung“, ist die Verschlüsselung übertragener Daten über sämtliche Übertragungsstationen hinweg. Nur die Kommunikationspartner, gemeint sind die jeweiligen Endpunkte der Kommunikation, können die Nachricht entschlüsseln. Theoretisch verhindert die Ende-zu-Ende-Verschlüsselung also das Abhören der Nachricht durch alle anderen. Damit ist sowohl dem Telekommunikationsanbieter, Internetprovider als auch dem Kommunikationsdienstanbieter der „Zugang“ verwehrt.
Unterschieden wird dabei zwischen dem symmetrischen und asymmetrischen Verschlüsselungsverfahren.
Im Falle des symmetrischen Kryptosystems verfügen die Teilnehmer des Kommunikationsvorgangs, also Absender und Empfänger, über denselben Schlüssel.
Im Gegensatz dazu erzeugt im asymmetrischen Verschlüsselungsverfahren jeder Benutzer sein eigenes Schlüsselpaar, das sowohl aus einem geheimen Teil, dem sogenannten privaten Schlüssel, als auch einem nicht geheimen Teil, dem sogenannten öffentlichen Schlüssel, besteht. Durch den öffentlichen Schlüssel ist jeder in der Lage, Daten für den Besitzer des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen bzw. ihn zu authentifizieren. Der private Schlüssel wiederum ermöglicht es seinem Besitzer, mit dem öffentlichen Schlüssel verschlüsselte Daten zu entschlüsseln, digitale Signaturen zu erzeugen bzw. sich zu authentisieren.
Zusammengefasst darf bei Verwendung einer symmetrischen Verschlüsselung der Schlüssel zur Sicherstellung der Ende-zu-Ende-Verschlüsselung nur den End-Kommunikationspartnern bekannt sein. Bei Verwendung einer asymmetrischen Verschlüsselung muss gewährleistet sein, dass der geheime Schlüssel sich nur im Besitz des Empfängers befindet.
Techniken der End-zu-End-Verschlüsselung sind beispielsweise:
- E-Mail Verkehr: OpenPGP, S/MIME E-Mail-Verkehr
- Chat-Verkehr: Signal-Protokoll, OTR, OMEMO Chat-Verkehr
- Audio-/Video-Chats bzw. SIP-Telefonie: ZRTP/SRTP
Wer nutzt End-zu-End-Verschlüsselung?
Die Verschlüsselung hat enorme praktische Bedeutung, so nutzen Apple, Facebook, Google, Threema, Signal und WhatsApp Verschlüsselungsmethoden. Es wird sich also praktisch niemand im Alltag finden, der vom Verschlüsselung-Verfahren keinen zumindest unbewussten Gebrauch macht.
„Exceptional Access“
Aus dem Resolutionstext geht hervor, dass die Überwachungsmethode „Exceptional Access“ präferiert wird. Das Programm „Exceptional Access“ stammt aus der Feder des „National Cyber Security Centre“, einer Abteilung des „Government Communications Headquarters“, einem britischen Militärgeheimdienst.
Nach dieser Methode sollen staatliche Sicherheitsbehörden einen Zugangsschlüssel zu Verschlüsselungstechnologien erhalten. Im Prinzip soll also eine Kopie der Schlüssel bei staatlichen Stellen gespeichert werden. Dies soll dadurch bewerkstelligt werden, dass Plattformbetreiber wie Facebook und alle anderen Betreiber, die eine Ende-zu-Ende-Verschlüsselung nutzen, verpflichtet werden sollen, zusätzlich Generalschlüssel anzulegen und diese zu hinterlegen.
Eine Umsetzung dieser Methode ist jedoch nur schwer realisierbar – dazu gleich mehr.
Gefahren
Die Gefahren liegen auf der Hand. Verschlüsselung funktioniert nur, wenn sie absolut ist. Ein „bisschen Verschlüsselung“ gibt es nicht bzw. kann es nicht geben.
So warnt die Gesellschaft für Informatik (IG) vor unverhältnismäßigen Eingriffen in das informationelle Selbstbestimmungsrecht (Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG) und in die Berufsfreiheit (Art. 12 GG). Der Bundesverband für IT-Sicherheit warnt vor katastrophalen Folgen, sollten die Schlüssel in falsche Hände geraten.
Harte Kritik
So hagelt es Kritik von Seiten der Wirtschaft, Wissenschaft und Politik. Neben Bedenken bezüglich der Verhältnismäßigkeit, liegt ein Hauptproblem in der technischen Umsetzung. Die Implementierung eines Generalschlüssels entspreche ungefähr dem Einsatz des „Bundestrojaners“.
Dieser wird im Verdachtsfall auf das Endgerät eines Verdächtigen aufgebracht. So dann würden Hashwerte von Dateien, beispielweise Bilder, an einen zentralen Server übertragen werden und dort mit einer Liste verbotener Hashwerte verglichen werden.
Allerdings führe diese Methode im Ergebnis dazu, dass alle Nutzer der Dienste unter Generalverdacht gestellt werden würden. Kriminelle wiederrum könnten durch minimale Veränderungen der Dateien die Erkennung umgehen.
Treibende Kräfte
Interessant ist auch ein Blick auf die Interessensgruppen im Hintergrund. So findet sich im Resolutionstext folgende Passage:
„…Potential technical solutions will have to enable authorities to use their investigative powers which are subject to proportionality, necessity and judicial oversight under their domestic legislation, while upholding fundamental rights and preserving the advantages of encryption…”.
Eine ähnliche bzw. bedeutungsgleiche Passage findet sich in einer Resolution vom 11. Oktober 2020 der Innen- und Justizminister der „Five Eyes“-Staaten:
„… Enable law enforcement access to content in a readable and usable format where an authorisation is lawfully issued, is necessary and proportionate, and is subject to strong safeguards and oversight …; „
„Five Eyes“ ist eine Geheimdienstallianz, bestehend aus Australien, Kanada, Neuseeland, dem Vereinigte Königreich und den Vereinigten Staaten.
Ausblick
Ein analoges Vorgehen zur Vorratsdatenspeicherung (Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten), die am 8. April 2014 durch den Europäischen Gerichtshof für ungültig erklärt wurde, ist zu erwarten:
Nach den erfolglosen Resolutionen wird bei passender Gelegenheit die nächste folgen. Der Rat wird auf die vorherigen, ergebnislosen Resolutionen verweisen und auf ein Handeln drängen. Darauf folgt ein Auftrag des Ministerrats an die EU-Kommission, einen Entwurf für eine Verordnung (Art. 288 Abs. 1 AEUV) zu erstellen. Diese durchläuft sodann das übliche Prozedere durch Parlament und Rat. Es bleibt also spannend.