FM4-Logo

jetzt live:

Aktueller Musiktitel:

EU-Flagge mit Einheitsschlüssel. Darum herum 5 Augen mit den Flaggen von USA, Kanada, UK, Australien und Neuseeland

CC0

Erich Moechel

„Five Eyes“ hinter den Entschlüsselungsplänen des EU-Ministerrats

Ein frisch geleaktes Dokument des Rats dokumentiert die tiefe Involvierung der Spionageallianz in den Prozess. Die vom britischen GCHQ propagierte Methode, Ende-zu-Ende-Verschlüsselung durch Nach- oder Generalschlüssel auszuschalten, wird offenbar auch von Europol favorisiert.

Von Erich Moechel

Die Resolution des EU-Ministerrats gegen sichere Verschlüsselung (E2E) hat inzwischen den Rat der ständigen Vertretungen der Mitgliedstaaten (COREPER) passiert. Am 2. Dezember werden sich noch die Justizminister damit befassen, bevor die Innenminister die umstrittene Resolution am 14. Dezember formell beschließen werden. Wie jede Resolution des Rats ist sie nicht bindend, laut Gilles de Kerchove, dem Anti-Terror-Beauftragten der Union, jedoch „ein wichtiger erster Schritt“.

Gemeint ist ein erster Schritt zu einer EU-weiten Regulation, die Plattformbetreiber de facto verpflichten wird, Ende-zu-Ende-Verschlüsselung mit einem Generalschlüssel auszuhebeln. Dass diese vom britischen Geheimdienst GCHQ vorgeschlagene Methode favorisiert wird, bestätigte de Kerchove ganz nebenbei in einem am Freitag von der Nachrichtenagentur AFP verbreiteten Interview. Ein frisch geleaktes Dokument des Rats dokumentiert die tiefe Involvierung der Spionageallianz „Five Eyes“ in die Entschlüsselungspläne.

Text

EU-Ministerrat

Das betreffende Dokument der deutschen Ratspräsidentschaft trägt den Titel Empfehlungen für die nächsten Schritte zum Thema Verschlüsselung. Warum die hier aufgelistete Spionageallianz „Five Eyes“ und da besonders Großbritannien eine Schlüsselrolle spielen, ist weiter unten nachzulesen.

Fünf Augen für die Sicherheit

Die EU-Mitgliedstaaten „seien entschlossen, in engem Austausch mit den Initiatoren des internationalen Statements ‚Ende-zu-Ende-Verschlüsselung und öffentliche Sicherheit‘ zu bleiben“, wird da versichert. Die aufgelisteten ersten fünf Staaten sind niemand anders als die durch Edward Snowden sattsam bekannte Spionageallianz „Five Eyes“, dazu kommen Japan und Indien. Dieser „enge Austausch“ diene dazu, die verschiedenen Interessen sorgsam auszutarieren, heißt es da. Besonderes Gewicht legt das Papier der deutschen Ratspräsidentschaft dabei auf den permanenten Dialog mit Großbritannien.

Das ist wenig verwunderlich, denn von dort kommt das gesamte Konzept für Nachschlüssel her, das von einem hochrangigen Techniker des GCHQ namens Ian Levy stammt. Für die Strafverfolger nennt sich das „Exceptional Access“, schon das ist hochgradig euphemistisch, weil es bei Ausnahmen definitiv nicht bleiben wird. Wenn sich ein Geheimdienst gar so entschieden für die Interessen der Strafverfolger - die von den Diensten ansonsten belächelt bis milde verachtet werden - in die Bresche wirft, dann geschieht das nicht aus Altruismus. So auch hier, denn das Konzept des eloquenten Dr. Levy setzt einen Generalschlüssel voraus, von dem verschiedene Schlüsselderivate mit unterschiedlichen Aufsperrbefugnissen abgeleitet werden können. Das sind die „Entschlüsselungsschlüssel“, die Gilles de Kerchove weiter unten so nennt. Die technischen Konsequenzen für die Netzwerkarchitektur einer Plattform sind enorm.

Text

EU-Ministerrat

Dieser Ausriss stammt aus der letzten Fassung der Resolution des Ministerrats. Sie ist nur sehr wenig verändert und stammt vom 24. November

„Sicherheit trotz Verschlüsselung“

Diese Empfehlungen des Ministerrats an die eigene Adresse beginnen zwar mit dem Satz „Wir unterstützen starke Verschlüsselung auch weiterhin“, denn die sei die „Basis für das Vertrauen in die Digitalisierung“. Drei Zeilen weiter ist man schon bei „zunehmender Nutzung durch Kriminelle“ und schon in Absatz drei wird damit begonnen, die Begriffe zu verdrehen. Der Stehsatz der deutschen Ratspräsidentschaft - „Das Prinzip Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ - ist bereits das beste Beispiel für diesen manipulativen Zugang.

Im ersten Teil des Satzes ist damit technische Sicherheit der Kommunikation gemeint, im zweiten Teil aber bedeutet dasselbe Wort „Sicherheit“ die „Überwachbarkeit“ der Kommunikation durch die Strafverfolger und nicht nur die. Der Begriff Strafverfolger („Law Enforcement“) wurde in den letzten Revisionen der Resolution nämlich konsequent durch „zuständige Behörden“ ersetzt. In Großbritannien ist der Militärgeheimdienst GCHQ über seine Einheit NTAC („National Technical Assistance Center“) vor allem technisch in die polizeiliche Überwachung involviert.

Anfang Mai hatte de Kerchove mit einem Brandbrief an den Ministerrat für die Initialzündung des Vorhabens gesorgt. Die Resolution ist direkt daraus abgeleitet.

Das ist auch in mehreren anderen Legislaturen, etwa in den Niederlanden, übliche Praxis. Ebenso üblich es ist, dass neben den Überwachungsschnittstellen für Polizeibehörden, etwa in Telekomnetzen, weitere solche Interfaces für die Geheimdienste freigeschaltet werden. Genau dasselbe stellt man sich nun für die Netze von Whatsapp, Signal und andere E2E-verschlüsselte Chats etwa auf Gaming-Websites vor. Den Anbietern wird dabei nicht viel mehr vorgeschrieben, außer dass sie Datenströme unverschlüsselt an der Schnittstelle abliefern müssen. Bei Ende-zu-Ende-Verschlüsselung kann das aber nicht funktionieren, denn diesem Konzept liegt ja zu Grunde, dass der Plattformanbieter nicht mitlesen kann.

Gilles de Kerchove

APA/AFP/Kenzo TRIBOUILLARD

Gilles des Kerchove - hier bei der routinemäßigen Beschwörung neuer Gefahren - ist eine der treibende Kräfte in Europa hinter den Entschlüsselungsplänen des Ministerrats. De Kerchoves Thesenpapier vom Mai fand vollinhaltlich Eingang in die umstrittene Resolution zum Verschlüsselungsproblem. In der Datenbank des Ministerrats sieht man, dass sich der Rat bereits seit 2016 laufend mit dem Brechen von Verschlüsselung beschäftigt.

Mitte Juli hatte Kommissarin Ylva Johansson versucht, mit verpflichtenden Upload-Filtern für die Plattformen den Einsatz von E2E-Verschlüsselung unmöglich zu machen.

Drohende Datenarmut der Dienste

Genau das hatte de Kerchove erst am Freitag erneut betont, dass die Entschlüsselung bei den Anbietern selbst erfolgt. Sollten "die „Entschlüsselungsschlüssel in Umlauf kommen“, schwäche man die Verschlüsselung. Was de Kerchove, der auch die Gaming-Websites als überwachungspflichtig ins Spiel gebracht hatte, geflissentlich verschwieg, ist, wozu dies in jedem EU-Staat unweigerlich führen wird, dessen Gesetze den Geheimdiensten ein Mandat zum Anzapfen der Glasfaserleitungen zum Zwecke der „Gefahrenverhütung“ bzw. der „Nachrichtenaufklärung“ verleihen.

Diese Dienste können und werden diese „Entschlüsselungsschlüssel“ verlangen, denn ihre Staubsaugermethoden an der Glasfaser bringen zunehmend weniger brauchbare Daten in die Pools. Laut Statistiken von Google läuft sichere SSL/TLS-Transportverschlüsselung auf etwa 85 Prozent der weltweiten E-Mailserver, noch höhere Werte gelten für Webserver (https). Für die Überwacher an der Glasfaser fällt dadurch nur noch ein Bruchteil der Metadaten an, denn die neueren Versionen von SSL/TLS lassen eine tiefergehende Überwachung des Datenverkehrs einfach nicht mehr zu.

Ein Axiom des Cloud-Zeitalters

Jede „Lösung“, die den Anbietern von E2E-Chats vorschreibt, an die Strafverfolger auf Verlangen unverschlüsselte Kopien von von „E2E“-Chats auszuhändigen, setzt einen solchen Nach- oder Generalschlüssel voraus. Für Strafverfolger und Geheimdienste ist das die weitaus einfachste „Lösung“, sie brauchen diese Datensätze nur an den entsprechenden Schnittstellen abzuholen. Auch hier gilt freilich ein Axiom des Cloud-Zeitalters: Je einfacher sich ein Set-up am Frontend für die Kunden präsentiert, umso komplexer wird es am Backend für den Provider zu programmieren, abzusichern und auf Dauer zu administrieren. Genauso verhält es sich mit dieser „Lösung“ des GCHQ, fast der gesamte technische Aufwand fällt hier bei den Providern an.

Hier ist der RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

mehr Netzpolitik:

Aktuell: