US-Gesetzesentwurf gegen sichere Verschlüsselung von Chats
Von Erich Moechel
In den USA ist ein Gesetzesentwurf auf dem Weg in den Senat, der in der IT-Branche für Fassungslosigkeit sorgt. Das geplante Gesetz zum „Zugriff von Strafverfolgern auf verschlüsselte Daten“ stellt alle Regeln auf den Kopf, die seit 25 Jahren im WWW gelten. Verschlüsselte Chats und Datensicherung für ein breites Publikum dürften demnach nur noch angeboten werden, wenn der Provider über Nachschlüssel verfügt. Das wäre das Aus für die Ende-zu-Ende-Verschlüsselung (E2E) von Signal, WhatsApp und anderen.
Dasselbe gilt auch für Hersteller von Hardware, die Zugangsmöglichkeiten für Strafverfolger - also Hintertüren - vorsehen müssen. Das zielt in erster Linie auf iPhones ab. Dieser von drei republikanischen Hardlinern unterstützte Gesetzesentwurf ist kein US-Alleingang. Gilles de Kerchhove, der EU-Koordinator gegen Terror, Europol und Konservative im EU-Ministerrat fordern seit Mai dasselbe.
US Senat
Auf den Weg gebracht wurde der Gesetzesvorschlag von Lindsey Graham und zwei weiteren erzkonservativen Senatoren, die ihn unterstützen. Graham führt die republikanische Mehrheit im Senat an und agiert dort als bedingungsloser Unterstützer Donald Trumps.
Anfang Mai hatte de Kerchove in einem Brandbrief an die Mitgliedsstaaten ganz unverblümt europäische Gesetze gegen E2E-Verschlüsselung gefordert
Weltweite Kampagne gegen E2E
Die Ziele von Geheimdiensten und Strafverfolgern sind beiderseits des Atlantiks dieselben. Große Provider wie etwa Facebook sollen dazu gedrängt werden, keine tatsächlich Ende-zu-Ende verschlüsselten Services anbieten. „Ende-zu-Ende“ bedeutet, dass der Verschlüsselungsprozess zwischen den Endgeräten der Benutzer ausgehandelt wird. Weil der Service-Provider dabei keine Rolle spielt, verfügt er auch über keine Schlüssel, die den Strafverfolgern bei Bedarf ausgehändigt werden könnten.
Um ein solches Szenario zu verhindern, fahren Geheimdienste und Strafverfolger seit 2015 abwechselnd eine Kampagne nach der anderen, um Regierungen zu diesbezüglichen Gesetzesänderungen zu bringen. Ausgegangen waren diese Kampagnen in der angelsächsischen Welt. Über Europol, de Kerchove und vor allem die Briten kamen die Forderungen, Angeboten von E2E-Verschlüsselung großer Sozialer Netzwerke oder Chat-Anbietern mit neuen Gesetzen entgegenzutreten in die Europäische Union.
Gesetzesänderung zurück bis 1995
Anfang Dezember 2018 wurde ein erstes solches Gesetz im australischen Parlament verabschiedet, das die Internetfirmen verpflichtet, verschlüsselte Kommunikationen aufzubrechen.
In den USA manifestiert sich das in notwendigen Änderungen von Gesetzen, insbesonders des Communications Assistance Law Enforcement Act" (CALEA). Die Telekoms wurden damit seit 1995 verpflichtet, Überwachungssschnittstellen in den damals neuen digitalen Mobilfunknetzen einzurichten und Daten für Ermittlungen unverschlüsselt an die Behörden zu übermitteln. Letzteres allerdings nur, wenn sie über die dazu nötigen Schlüssel verfügten, denn ein allgemeines Verbot, sichere Verschlüsselung zu benützen, war schon damals nicht durchzusetzen.
Public
Dem Muster des CALEA Act folgte auch der berühmte Ministerratsbeschluss der europäischen Union von 1995, der ebenfalls den Einbau von Überwachungsschnittstellen in Telefonienetzen vorschreibt. Da im Rat damals Einstimmigkeit zum Thema herrschte, konnte der Beschluss als sogenannte Rahmenrichtlinie des Rats am Parlament vorbei verabschiedet werden. Die Richtlinie wurde ohne Diskussion als „fait accompli“ („beschlossene Sache“) im Fischereiausschuss (sic!) des Rats durchgewunken, das EU-Parlament erfuhr davon erst 16 Monate später, als die Richtlinie im Journal der Union veröffentlicht wurde.
Der CALEA Act sorgte seit 1995 für klare Verhältnisse, doch das soll sich nun ändern, die betreffenden Passagen sollen nämlich gestrichen werden. Anstelle von „Verschlüsselung, die der Provider durchführt“ soll es nun heißen „Verschlüsselung, die der Provider bereitstellt bzw ermöglicht“. In Konsequenz müssten Apple, WhatsApp, Signal und alle anderen Anbieter von verschlüsselten Chats quasi Hintertüren für die Strafverfolger in ihre Systeme einbauen, um dem Gesetz Genüge zu tun.
Haftung als Hebel gegen Provider
Anfang März kam EARN IT in den US-Senat, der den Einsatz von Ende-zu-Ende-Verschlüsselung durch Facebook, Apple & Co de facto unter Strafandrohung stellen wird.
Und dann ist da noch der EARN IT Act, der bereits seit März durch die Senatsausschüsse geht. Dieser Entwurf geht in exakt dieselbe Richtung. Verkürzt gesagt: Kommunikationsprovider die E2E-verschlüsselte Services für ein breites Publikum anbieten, sollen dafür haften, wenn sie auf Vorlage eines Durchsuchungsbefehls wegen sogenannter „Kinderpornografie“ das Material nicht unverschlüsselt liefern können. Wie auch in Europa sind IT-Konzerne, die Webspace, Kommunikationsdienste etc. für eine breite Öffentlichkeit anbieten, für die von ihren Benutzern generierten Inhalte grundsätzlich haftungsfrei gestellt. In den USA gilt dieser Grundsatz bereits seit dem „Communications Decency Act“ von 1996 - in Europa durch die E-Commerce-Richtlinie von 2000 - durch den EARN IT Act soll diese Haftungsfreiheit abgeschafft werden.
Public Domain / CC0
Diese Passage, in der die windschiefe Metapher von den „Vordertüren“ strapaziert wird, stammt aus dem Brief de Kerchoves an die Mitgliedsstaaten. Der Brief ist an Politik und Ministerialbürokratien gerichtet und nicht an eine breitere Öffentlichkeit.
Die Hintertür der Vordertür
In den USA werden also zwei neue gesetzliche Hebel bereitgemacht, um die Sicherheit von Kommunikationsdiensten zugunsten ihrer Überwachbarkeit zu untergraben. Dasselbe hätte man auch gern in Europa, wenn es nach dem Willen de Kerchoves und anderer Hardliner geht. Seine Liste der Hindernisse für die Strafverfolger durch Verschlüsselung sieht der Aufzählung der US-Begehrlichkeiten im neuen Gesetzesentwurf so ähnlich, als seien sie voneinander abgeschrieben. Was in allen einschlägigen Gesetzesvorhaben völlig fehlt, ist eine Abschätzung der Folgen, wenn die Sicherheitsarchitektur der Anbieter untergraben wird. Egal ob man die Schnittstellen zur Überwachung nun „Hintertüren“ oder „Vordertüren“ nennt, sie können nur funktionieren, wenn die existierenden Sicherheitsroutinen systematisch gebrochen werden. Damit wird nicht nur die Datensicherheit von „gesetzesmäßig überwachten“ Verdächtigen, sondern aller Benutzer des jeweiligen Webservices kompromittiert.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 28.06.2020
