Keine Verschlüsselung ist auch keine Lösung!
Zuletzt aktualisiert am 25. Mai 2019 durch Jürgen Voskuhl
Bundesinnenminister Horst Seehofer will nach SPIEGEL-Informationen, dass Messenger wie WhatsApp, Threema und Telegram auf richterliche Anordnung Chats in lesbarer Form an Behörden herausgeben. Erfahren Sie mehr über die Hintergründe und den Sinn und Unsinn dieser Forderung.
Die Situation
Das Thema "Einsichtnahme auf private Messenger-Nachrichten" ist für uns nicht neu: Bereits im Dezember letzten Jahres haben wir uns mit dieser Thematik beschäftigt. Im damaligen Beitrag ging es allerdings um eine Gesetzesvorlage in Australien – mit ähnlichem Zweck und Inhalt.
Auch in Deutschland war das Abhören von Messenger-Diensten bereits im Rahmen der Innenministerkonferenz Mitte 2017 ein Thema (vgl. SZ-Beitrag vom 14.6.2017).
Das Problem der Ermittlungsbehörden: Die meisten Messenger-Dienste benutzen heute eine Ende-zu-Ende-Verschlüsselung. Hierbei werden die Nachrichten auf dem Gerät des Senders verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. Die Dienste-Anbieter sind also allesamt überhaupt nicht in der Lage, die Klartext-Nachrichten der Nutzer an Ermittlungsbehörden herauszugeben – selbst wenn sie dies wollten!
Was will das Innenministerium erreichen?
Das Thema wird auf der kommenden Innenministerkonferenz Mitte Juni in Kiel erneut behandelt. Das Innenministerium (BMI) möchte nunmehr die Anbieter zur Herausgabe der Klartext-Nachrichten zwingen, wenn das Abhören richterlich angeordnet wurde. Mit anderen Worten: die Ende-zu-Ende-Verschlüsselung soll abgeschaltet werden. Ferner sollen die Hersteller der Messenger eine sogenannte "Backdoor" implementieren. Hierüber könnten dann staatliche Stellen Nachrichten mitlesen.
Anbietern, die sich nicht an den Plan des Innenministeriums halten, droht die Sperre.
Quo vadis, Bundesregierung?
Die aktuelle Forderung des BMI steht dabei in krassem Gegensatz zur "Digitalen Agenda 2014–2017" der Bundesregierung! Darin möchte man nämlich "Deutschland zum Verschlüsselungsstandort Nr. 1 machen". Konkret hat die Fokusgruppe Verschlüsselung in Umsetzung ihrer „Charta zur Stärkung der vertrauenswürdigen Kommunikation“ bereits ein erweitertes Angebot zur Ende-zu-Ende-Verschlüsselung geschaffen. In der Charta selbst heißt es: "Wir stärken vertrauenswürdige Kommunikation insbesondere durch Ende-zu-Ende-Verschlüsselung…". Die Charta wurde unter anderem vom BSI und auch vom BMI unterzeichnet. Ja, was denn nun, liebes BMI?
Die Rahmenbedingungen
In Deutschland ist jedwede Telekommunikationsüberwachung durch Ermittlungsbehörden nur bei schweren Straftaten (Mord, Totschlag, Bandendiebstahl, Raub, sexueller Mißbrauch, …) erlaubt und bedarf selbst dann einer richterlichen Anordnung. Innerhalb einer Wohnung ist das Abhören und Aufzeichnen noch weiter eingeschränkt. Hier bedarf es einer besonders schweren Straftat.
Seit August 2017 ist die (umstrittene) Neufassung des § 100a der Strafprozessordnung (StPO) in Kraft. Eine Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), also das Platzieren einer Überwachungssoftware auf den Endgeräten der Zielperson, ist seitdem grundsätzlich möglich, bedarf aber weiterhin einer richterlichen Anordnung.
Sobald eine solche richterliche Anordnung vorliegt, dürfen Ermittlungsbehörden im Rahmen einer Quellen-TKÜ den "Staatstrojaner" (formale Bezeichnung: "Remote Forensic Software", abgekürzt RFS, übersetzt etwa "Fernforensische Software") für Smartphones auf dem Endgerät der zu überwachenden Person platzieren.
Der Staatstrojaner an sich ist bereits ein zweischneidiges Schwert.
Derartige Software soll aus naheliegenden Gründen aus der Ferne und von der Zielperson unbemerkt installiert werden können. Das funktioniert aber nur unter Ausnutzung kritischer Sicherheitslücken in den Endgeräten – die im Sinne der IT-Sicherheit eigentlich unverzüglich an den Hersteller gemeldet und von diesem geschlossen werden sollten. Der hier bestehende Interessenkonflikt ist offensichtlich!
Was soll der neue Vorstoß bringen?
Durch die Nutzung verschlüsselter Kommunikation durch Verdächtige entstehen sogenannte „Überwachungslücken“. Solche Überwachungslücken haben laut Vertretern der Strafverfolgungsbehörden unvollständige Ermittlungsergebnisse oder eine mangelhafte Beweislage zur Folge. Zudem würden die Ermittlungen der Kommunikations- und Organisationsstrukturen von Tatverdächtigen erschwert.
Ebendiese Überwachungslücken möchte das Bundesinnenministerium nun schließen.
Wie bereits ausgeführt, ist eine Quellen-TKÜ nach heutiger Gesetzeslage grundsätzlich möglich. Ferner steht ein Staatstrojaner für Smartphones bereits zur Verfügung. Man hat also grundsätzlich die Möglichkeit, Nachrichten der Zielpersonen mitzulesen, bevor diese verschlüsselt werden.
Da stellt sich die Frage, welchen zusätzlichen Nutzen das Abhören von Messenger-Nachrichten für Ermittlungsbehörden mittels Backdoor haben soll?
Ist es vielleicht gar kein so triviales Unterfangen, den Staatstrojaner auf dem Endgerät der zu überwachenden Person zu platzieren? Fehlt es an kritischen Sicherheitslücken in den Endgeräten? Oder umgehen die zu überwachenden Personen die Quellen-TKÜ zu oft (zum Beispiel durch Nutzung mehrerer, beziehungsweise wechselnder Endgeräte)? Oder geht es dem Bundesinnenministerium am Ende etwa darum, Voraussetzungen für eine noch umfassendere Überwachung zu schaffen?
Hier bedarf es in jedem Fall entsprechender Aufklärung!
Was sagt die Begehrlichkeit über die Verschlüsselung der Messenger aus?
Eines wird jedenfalls durch diesen erneuten Vorstoß des Bundesinnenministeriums klar: die Ende-zu-Ende-Verschlüsselung der betroffenen Messenger-Dienste ist offensichtlich sehr sicher! Denn wenn die Ermittlungsbehörden andere Zugriffsmöglichkeiten auf die Kommunikationsinhalte hätten, wäre die unrealistische Forderung nach einer Backdoor gar nicht notwendig.
Die Sicherheit der Verschlüsselung wird auch dadurch unterstrichen, dass in der Schweiz die Bundesverwaltung Threema Work für die Behörden-Kommunikation nutzt – nach eingehender Prüfung, versteht sich.
Wie realistisch ist die Umsetzung?
Nach unserer Einschätzung mehr als unwahrscheinlich!
Entsprechende Begehrlichkeiten gibt es auch in anderen Ländern, vor allem in Ländern mit totalitären Regimes wie zum Beispiel China oder dem Iran. Uns ist nichts von speziellen Versionen des Facebook Messengers oder von WhatsApp für ebendiese Staaten bekannt.
Russland versucht bereits seit Jahren, Messengerdienste zu blockieren – bisher mit wenig Erfolg.
Einige Anbieter haben auch bereits auf Seehofer's Vorstoß reagiert – durchweg mit abschlägigem Bescheid.
So ist einem Firmensprecher von Threema zufolge "Absolute Vertraulichkeit der Kommunikation in der DNA von Threema". Das Unternehmen "ist nicht bereit, dabei irgendwelche Kompromisse einzugehen". Da Threema in Deutschland keine Infrastruktur besitzt, fällt das Unternehmen nicht unter deutsches Recht.
Was würde es wirklich bringen?
Nur Nachteile!
Der Nutzen einer Hintertür, beziehungsweise das Sperren von Diensten, die keine Backdoor anbieten, ist eher zweifelhaft.
Kriminelle, die etwas verbergen wollen, werden sich nach Lösungen für das Problem umsehen.
So lassen sich gesperrte Messenger weiterhin problemlos via VPN-Tunnel nutzen.
Im Android-Kosmos könnte man alternativ auch das Programm K‑9 Mail in Verbindung mit OpenKeychain nutzen. OpenKeychain ist ein Verschlüsselungswerkzeug, dass Verschlüsselung entsprechend dem OpenPGP-Standard unterstützt und sich problemlos in K‑9 Mail integrieren lässt.
Demgegenüber stehen signifikante Nachteile, die sich beispielsweise aus einer simultanen Nutzung ergeben: sobald eine Backdoor vorhanden ist, kann diese nicht nur von Ermittlungsbehörden, sondern potenziell auch von Kriminellen genutzt werden.
Auch eine missbräuchliche Nutzung (durch den Anbieter selbst oder anderen Personen, die Zugriff darauf haben) ist ein erheblicher Risikofaktor.
Weiterführende Literatur
Bundesministerium für Wirtschaft und Energie: Digitale Agenda 2014–2017
Wikipedia: Telekommunikationsüberwachung
netzpolitik.org: Staatstrojaner sind ein Risiko für die Innere Sicherheit
Zeit online, 20.4.2018: Ein Messenger führt die russischen Behörden vor
BSI: Verschlüsselung: BSI erteilt VS-NfD-Zulassung für Gpg4win