Unser Blog-Universum

Keine Verschlüsselung ist auch keine Lösung!

Zuletzt aktua­li­siert am 25. Mai 2019 durch Jür­gen Voskuhl

Bun­des­in­nen­mi­nis­ter Horst See­ho­fer will nach SPIE­GEL-Infor­ma­tio­nen, dass Mes­sen­ger wie Whats­App, Three­ma und Tele­gram auf rich­ter­li­che Anord­nung Chats in les­ba­rer Form an Behör­den her­aus­ge­ben. Erfah­ren Sie mehr über die Hin­ter­grün­de und den Sinn und Unsinn die­ser Forderung.

Die Situation

Das The­ma "Ein­sicht­nah­me auf pri­va­te Mes­sen­ger-Nach­rich­ten" ist für uns nicht neu: Bereits im Dezem­ber letz­ten Jah­res haben wir uns mit die­ser The­ma­tik beschäf­tigt. Im dama­li­gen Bei­trag ging es aller­dings um eine Geset­zes­vor­la­ge in Aus­tra­li­en – mit ähn­li­chem Zweck und Inhalt.

Auch in Deutsch­land war das Abhö­ren von Mes­sen­ger-Diens­ten bereits im Rah­men der Innen­mi­nis­ter­kon­fe­renz Mit­te 2017 ein The­ma (vgl. SZ-Bei­trag vom 14.6.2017).

Das Pro­blem der Ermitt­lungs­be­hör­den: Die meis­ten Mes­sen­ger-Diens­te benut­zen heu­te eine Ende-zu-Ende-Ver­schlüs­se­lung. Hier­bei wer­den die Nach­rich­ten auf dem Gerät des Sen­ders ver­schlüs­selt und erst auf dem Gerät des Emp­fän­gers wie­der ent­schlüs­selt. Die Diens­te-Anbie­ter sind also alle­samt über­haupt nicht in der Lage, die Klar­text-Nach­rich­ten der Nut­zer an Ermitt­lungs­be­hör­den her­aus­zu­ge­ben – selbst wenn sie dies wollten!

Was will das Innenministerium erreichen?

Das The­ma wird auf der kom­men­den Innen­mi­nis­ter­kon­fe­renz Mit­te Juni in Kiel erneut behan­delt. Das Innen­mi­nis­te­ri­um (BMI) möch­te nun­mehr die Anbie­ter zur Her­aus­ga­be der Klar­text-Nach­rich­ten zwin­gen, wenn das Abhö­ren rich­ter­lich ange­ord­net wur­de. Mit ande­ren Wor­ten: die Ende-zu-Ende-Ver­schlüs­se­lung soll abge­schal­tet wer­den. Fer­ner sol­len die Her­stel­ler der Mes­sen­ger eine soge­nann­te "Back­door" imple­men­tie­ren. Hier­über könn­ten dann staat­li­che Stel­len Nach­rich­ten mitlesen.
Anbie­tern, die sich nicht an den Plan des Innen­mi­nis­te­ri­ums hal­ten, droht die Sperre.

Hintertür - Backdoor

Quo vadis, Bundesregierung?

Die aktu­el­le For­de­rung des BMI steht dabei in kras­sem Gegen­satz zur "Digi­ta­len Agen­da 2014–2017" der Bun­des­re­gie­rung! Dar­in möch­te man näm­lich "Deutsch­land zum Ver­schlüs­se­lungs­stand­ort Nr. 1 machen". Kon­kret hat die Fokus­grup­pe Ver­schlüs­se­lung in Umset­zung ihrer „Char­ta zur Stär­kung der ver­trau­ens­wür­di­gen Kom­mu­ni­ka­ti­on“ bereits ein erwei­ter­tes Ange­bot zur Ende-zu-Ende-Ver­schlüs­se­lung geschaf­fen. In der Char­ta selbst heißt es: "Wir stär­ken ver­trau­ens­wür­di­ge Kom­mu­ni­ka­ti­on ins­be­son­de­re durch Ende-zu-Ende-Ver­schlüs­se­lung…". Die Char­ta wur­de unter ande­rem vom BSI und auch vom BMI unter­zeich­net. Ja, was denn nun, lie­bes BMI?

Die Rahmenbedingungen

In Deutsch­land ist jed­we­de Tele­kom­mu­ni­ka­ti­ons­über­wa­chung durch Ermitt­lungs­be­hör­den nur bei schwe­ren Straf­ta­ten (Mord, Tot­schlag, Ban­den­dieb­stahl, Raub, sexu­el­ler Miß­brauch, …) erlaubt und bedarf selbst dann einer rich­ter­li­chen Anord­nung. Inner­halb einer Woh­nung ist das Abhö­ren und Auf­zeich­nen noch wei­ter ein­ge­schränkt. Hier bedarf es einer beson­ders schwe­ren Straf­tat.

Seit August 2017 ist die (umstrit­te­ne) Neu­fas­sung des § 100a der Straf­pro­zess­ord­nung (StPO) in Kraft. Eine Quel­len-Tele­kom­mu­ni­ka­ti­ons­über­wa­chung (Quel­len-TKÜ), also das Plat­zie­ren einer Über­wa­chungs­soft­ware auf den End­ge­rä­ten der Ziel­per­son, ist seit­dem grund­sätz­lich mög­lich, bedarf aber wei­ter­hin einer rich­ter­li­chen Anordnung.

StPO - Telekommunikationsüberwachung

Sobald eine sol­che rich­ter­li­che Anord­nung vor­liegt, dür­fen Ermitt­lungs­be­hör­den im Rah­men einer Quel­len-TKÜ den "Staats­tro­ja­ner" (for­ma­le Bezeich­nung: "Remo­te Foren­sic Soft­ware", abge­kürzt RFS, über­setzt etwa "Fern­fo­ren­si­sche Soft­ware") für Smart­phones auf dem End­ge­rät der zu über­wa­chen­den Per­son platzieren.

Der Staats­tro­ja­ner an sich ist bereits ein zwei­schnei­di­ges Schwert.

Der­ar­ti­ge Soft­ware soll aus nahe­lie­gen­den Grün­den aus der Fer­ne und von der Ziel­per­son unbe­merkt instal­liert wer­den kön­nen. Das funk­tio­niert aber nur unter Aus­nut­zung kri­ti­scher Sicher­heits­lü­cken in den End­ge­rä­ten – die im Sin­ne der IT-Sicher­heit eigent­lich unver­züg­lich an den Her­stel­ler gemel­det und von die­sem geschlos­sen wer­den soll­ten. Der hier bestehen­de Inter­es­sen­kon­flikt ist offensichtlich!

Was soll der neue Vorstoß bringen?

Durch die Nut­zung ver­schlüs­sel­ter Kom­mu­ni­ka­ti­on durch Ver­däch­ti­ge ent­ste­hen soge­nann­te „Über­wa­chungs­lü­cken“. Sol­che Über­wa­chungs­lü­cken haben laut Ver­tre­tern der Straf­ver­fol­gungs­be­hör­den unvoll­stän­di­ge Ermitt­lungs­er­geb­nis­se oder eine man­gel­haf­te Beweis­la­ge zur Fol­ge. Zudem wür­den die Ermitt­lun­gen der Kom­mu­ni­ka­ti­ons- und Orga­ni­sa­ti­ons­struk­tu­ren von Tat­ver­däch­ti­gen erschwert.
Eben­die­se Über­wa­chungs­lü­cken möch­te das Bun­des­in­nen­mi­nis­te­ri­um nun schließen.

Wie bereits aus­ge­führt, ist eine Quel­len-TKÜ nach heu­ti­ger Geset­zes­la­ge grund­sätz­lich mög­lich. Fer­ner steht ein Staats­tro­ja­ner für Smart­phones bereits zur Ver­fü­gung. Man hat also grund­sätz­lich die Mög­lich­keit, Nach­rich­ten der Ziel­per­so­nen mit­zu­le­sen, bevor die­se ver­schlüs­selt werden.
Da stellt sich die Fra­ge, wel­chen zusätz­li­chen Nut­zen das Abhö­ren von Mes­sen­ger-Nach­rich­ten für Ermitt­lungs­be­hör­den mit­tels Back­door haben soll?

Ist es viel­leicht gar kein so tri­via­les Unter­fan­gen, den Staats­tro­ja­ner auf dem End­ge­rät der zu über­wa­chen­den Per­son zu plat­zie­ren? Fehlt es an kri­ti­schen Sicher­heits­lü­cken in den End­ge­rä­ten? Oder umge­hen die zu über­wa­chen­den Per­so­nen die Quel­len-TKÜ zu oft (zum Bei­spiel durch Nut­zung meh­re­rer, bezie­hungs­wei­se wech­seln­der  End­ge­rä­te)? Oder geht es dem Bun­des­in­nen­mi­nis­te­ri­um am Ende etwa dar­um, Vor­aus­set­zun­gen für eine noch umfas­sen­de­re Über­wa­chung zu schaffen?
Hier bedarf es in jedem Fall ent­spre­chen­der Aufklärung!

Was sagt die Begehrlichkeit über die Verschlüsselung der Messenger aus?

Eines wird jeden­falls durch die­sen erneu­ten Vor­stoß des Bun­des­in­nen­mi­nis­te­ri­ums klar: die Ende-zu-Ende-Ver­schlüs­se­lung der betrof­fe­nen Mes­sen­ger-Diens­te ist offen­sicht­lich sehr sicher! Denn wenn die Ermitt­lungs­be­hör­den ande­re Zugriffs­mög­lich­kei­ten auf die Kom­mu­ni­ka­ti­ons­in­hal­te hät­ten, wäre die unrea­lis­ti­sche For­de­rung nach einer Back­door gar nicht notwendig.

Die Sicher­heit der Ver­schlüs­se­lung wird auch dadurch unter­stri­chen, dass in der Schweiz die Bun­des­ver­wal­tung Three­ma Work für die Behör­den-Kom­mu­ni­ka­ti­on nutzt – nach ein­ge­hen­der Prü­fung, ver­steht sich.

Wie realistisch ist die Umsetzung?

Nach unse­rer Ein­schät­zung mehr als unwahrscheinlich!

Ent­spre­chen­de Begehr­lich­kei­ten gibt es auch in ande­ren Län­dern, vor allem in Län­dern mit tota­li­tä­ren Regimes wie zum Bei­spiel Chi­na oder dem Iran. Uns ist nichts von spe­zi­el­len Ver­sio­nen des Face­book Mes­sen­gers oder von Whats­App für eben­die­se Staa­ten bekannt.

Russ­land ver­sucht bereits seit Jah­ren, Mes­sen­ger­diens­te zu blo­ckie­ren – bis­her mit wenig Erfolg.

Eini­ge Anbie­ter haben auch bereits auf Seehofer's Vor­stoß reagiert – durch­weg mit abschlä­gi­gem Bescheid.
So ist einem Fir­men­spre­cher von Three­ma zufol­ge "Abso­lu­te Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on in der DNA von Three­ma". Das Unter­neh­men "ist nicht bereit, dabei irgend­wel­che Kom­pro­mis­se ein­zu­ge­hen". Da Three­ma in Deutsch­land kei­ne Infra­struk­tur besitzt, fällt das Unter­neh­men nicht unter deut­sches Recht.

Was würde es wirklich bringen?

Nur Nach­tei­le!

Der Nut­zen einer Hin­ter­tür, bezie­hungs­wei­se das Sper­ren von Diens­ten, die kei­ne Back­door anbie­ten, ist eher zweifelhaft.
Kri­mi­nel­le, die etwas ver­ber­gen wol­len, wer­den sich nach Lösun­gen für das Pro­blem umsehen.

So las­sen sich gesperr­te Mes­sen­ger wei­ter­hin pro­blem­los via VPN-Tun­nel nutzen.

Im Android-Kos­mos könn­te man alter­na­tiv auch das Pro­gramm K‑9 Mail in Ver­bin­dung mit Open­Key­chain nut­zen. Open­Key­chain ist ein Ver­schlüs­se­lungs­werk­zeug, dass Ver­schlüs­se­lung ent­spre­chend dem  OpenPGP-Stan­dard unter­stützt und sich pro­blem­los in K‑9 Mail inte­grie­ren lässt.

Dem­ge­gen­über ste­hen signi­fi­kan­te Nach­tei­le, die sich bei­spiels­wei­se aus einer simul­ta­nen Nut­zung erge­ben: sobald eine Back­door vor­han­den ist, kann die­se nicht nur von Ermitt­lungs­be­hör­den, son­dern poten­zi­ell auch von Kri­mi­nel­len genutzt werden.
Auch eine miss­bräuch­li­che Nut­zung (durch den Anbie­ter selbst oder ande­ren Per­so­nen, die Zugriff dar­auf haben) ist ein erheb­li­cher Risikofaktor.

Weiterführende Literatur

Bun­des­mi­nis­te­ri­um für Wirt­schaft und Ener­gie: Digi­ta­le Agen­da 2014–2017

Wiki­pe­dia: Tele­kom­mu­ni­ka­ti­ons­über­wa­chung

netz​po​li​tik​.org: Staats­tro­ja­ner sind ein Risi­ko für die Inne­re Sicherheit

Zeit online, 20.4.2018: Ein Mes­sen­ger führt die rus­si­schen Behör­den vor

BSI: Ver­schlüs­se­lung: BSI erteilt VS-NfD-Zulas­sung für Gpg4win

/von

Kontakt

Fon +49.69.24742919–0
Fax +49.69.24742919–9
E‑Mail info@​itcv-​software.​com
Face­book

itcv GmbH

Solms­str. 71
D‑60486 Frankfurt

SICHERHEIT

Ihre Daten sind bei uns sicher

Logo SSL-Verschlüsselung

Spam/Phishing-Emails: Vorsicht vor Homo­glyphen und IDN-Domains!PhishingMitarbeiter des Pentagon und weiterer Sicherheitsbehörden halten Trump für...