AktuÂell disÂkuÂtieÂren und entÂscheiÂden staatÂliÂche GreÂmiÂen in verÂschieÂdeÂnen LänÂdern über die VerÂschlüsÂseÂlung von Messaging-DiensÂten. Wie ist der aktuÂelÂle Stand? Ist eine gesetzÂliÂche RegeÂlung überÂhaupt sinnÂvoll? WelÂche Messaging-Apps sind aus AnwenÂderÂsicht sicher?
Auf der poliÂtiÂschen BühÂne tut sich was zum TheÂma VerÂschlüsÂseÂlung von Messaging-DiensÂten: Anfang DezemÂber hat das ausÂtraÂlisch ParÂlaÂment eine GesetÂzesÂvorÂlaÂge verÂabÂschieÂdet, die es GeheimÂdiensÂten und PoliÂzei künfÂtig ermögÂlicht, Soft- und HardÂwareÂherÂstelÂler aufÂzuÂforÂdern, den FahnÂdern Zugang zu verÂschlüsÂselÂten MitÂteiÂlunÂgen VerÂdächÂtiÂger zu verschaffen.
Einen inhaltÂlich diaÂmeÂtraÂlen Antrag stellÂte die FDP im NovemÂber (PDF): sie möchÂte TeleÂkomÂmuÂniÂkaÂtiÂons- und TeleÂmeÂdiÂenÂanÂbieÂter verpflichten,
ihre KomÂmuÂniÂkaÂtiÂonsÂdiensÂte nach einer ÜberÂgangsÂfrist für zukünfÂtiÂge technische
SysÂteÂme als StanÂdard abhörÂsiÂcher (Ende-zu-Ende verÂschlüsÂselt) anzuÂbieÂten.
Schon an dieÂsen beiÂden SachÂverÂhalÂten lässt sich ableÂsen, wie weit die MeiÂnunÂgen zum TheÂma ausÂeinÂanÂder gehen. WohlÂgeÂmerkt: wir spreÂchen hier nicht von irgendÂwelÂchen totaÂliÂtäÂren Regimes, bei denen AbhöÂren zur tägÂliÂchen PraÂxis gehört! In beiÂden FälÂlen hanÂdelt es sich um DemoÂkraÂtien westÂliÂcher Couleur.
GesetzÂlich verÂbriefÂtes Recht auf Verschlüsselung
Ein gesetzÂlich verÂbriefÂtes Recht auf VerÂschlüsÂseÂlung exisÂtiert überÂraÂschenÂderÂweiÂse nur in fünf LänÂdern der Welt, nämÂlich in BraÂsiÂliÂen, FinnÂland, FrankÂreich, MalaÂwi und im Senegal.
Selbst in dieÂsem LänÂdern bestehen zum Teil gewisÂse EinÂschränÂkunÂgen. Sei es, das – wie im SeneÂgal – die VerÂschlüsÂseÂlungsÂtieÂfe begrenzt ist, der HerÂausÂgeÂber eines VerÂschlüsÂseÂlungsÂverÂfahÂrens eine staatÂliÂche Lizenz benöÂtigt (MalaÂwi) oder sich nach AufÂforÂdeÂrung durch staatÂliÂche StelÂlen zur EntÂschlüsÂseÂlung binÂnen 72 StunÂden verÂpflichÂtet (FrankÂreich).
Die rechtÂliÂche SituaÂtiÂon in Deutschland
HierÂzuÂlanÂde ist es gemäß Art. 10 des GrundÂgeÂsetÂzes grundÂsätzÂlich unterÂsagt, den KomÂmuÂniÂkaÂtiÂonsÂinÂhalt abzuÂhöÂren, gleich auf welÂchem Wege die KomÂmuÂniÂkaÂtiÂon stattÂfinÂdet. Bereits die InforÂmaÂtiÂon, dass eine KomÂmuÂniÂkaÂtiÂon erfolgÂte und wie oft und lanÂge dieÂse stattÂfand, unterÂliegt dieÂsem Grundsatz.
HierÂvon darf nur bei begrünÂdeÂtem VerÂdacht einer schweÂren StrafÂtat auf richÂterÂliÂche AnordÂnung abgeÂwiÂchen werÂden. Nur wenn die ErmittÂlunÂgen auf andeÂre WeiÂse ausÂsichtsÂlos oder wesentÂlich erschwert wären, darf ein RichÂter eine solÂche AnordÂnung erteilen.
Von GeheimÂdiensÂten und den fünf Augen
Abseits dieÂses gesetzÂliÂchen RahÂmens steÂhen naturÂgeÂmäß GeheimÂdiensÂte wie etwa der BND oder die NSA, für die eigeÂne, weitÂreiÂchenÂdeÂre RegeÂlunÂgen gelten.
BesonÂders herÂvorÂzuÂheÂben sind hier die "5‑Eyes-LänÂder" AusÂtraÂliÂen, KanaÂda, NeuÂseeÂland, die USA und das VerÂeiÂnigÂte KönigÂreich. Die GeheimÂdiensÂte dieÂser LänÂder arbeiÂten besonÂders eng zusamÂmen und tauÂschen dabei auch Daten unterÂeinÂanÂder aus.
TheoÂrie und Praxis
Zurück zu den deutÂschen GesetÂzen: Was sich in der TheoÂrie zunächst mal gut anhört und in der PraÂxis auch über mehÂreÂre JahrÂzehnÂte bewährt hat, lässt sich nicht so einÂfach auf Messaging-DiensÂte übertragen.
AbgeÂseÂhen von der richÂterÂliÂchen VerÂfüÂgung war in der VerÂganÂgenÂheit ein phyÂsiÂscher Zugang, beiÂspielsÂweiÂse zu einer VerÂmittÂlungsÂstelÂle oder zu einem PostÂverÂteilÂzenÂtrum erforderlich.
DieÂsen phyÂsiÂschen Zugang ersetzt bei einem Messaging-Dienst eine sogeÂnannÂte BackÂdoor. Dabei hanÂdelt es sich um eine zenÂtraÂle AbhörÂschnittÂstelÂle, die vom DiensÂte-AnbieÂter impleÂmenÂtiert wird. Dies ist etwa bei SkyÂpe der Fall.
Über eine solÂche SchnittÂstelÂle lässt sich jedÂweÂde KomÂmuÂniÂkaÂtiÂon innerÂhalb des DiensÂtes abhöÂren. Eine BackÂdoor ist also nicht nur ein EldoÂraÂdo für die NSA (oder jeden andeÂren GeheimÂdienst), sonÂdern auch für Hacker!
Der GoldÂstanÂdard: Ende-zu-Ende-Verschlüsselung
SicheÂrer gegen AbhörÂmaßÂnahÂmen sind DiensÂte, die eine sogeÂnannÂte Ende-zu-Ende-VerÂschlüsÂseÂlung unterÂstütÂzen. HierÂbei werÂden die zu verÂschlüsÂselnÂden NachÂrichÂten bereits auf dem Gerät des SenÂders verÂschlüsÂselt. Der für das EntÂschlüsÂseln einer NachÂricht erforÂderÂliÂche SchlüsÂsel ist ausÂschließÂlich dem EmpÂfänÂger bekannt. Eine BackÂdoor ist somit prakÂtisch ausgeschlossen.
WelÂche MesÂsenÂger sind sicher?
Und genau aus dieÂsem Grund ist auch jede gesetzÂliÂche VorÂgaÂbe, die auf eine EntÂschlüsÂseÂlung durch den DiensÂte-AnbieÂter abzielt, völÂlig sinnÂlos: Wenn ich sicher (das heißt ohne abgeÂhört werÂden zu könÂnen) komÂmuÂniÂzieÂren möchÂte (oder Böses im SchilÂde fühÂre), nutÂze ich als MesÂsenÂger-Dienst einÂfach die MesÂsenÂger-App von Signal, ThreeÂma, TeleÂgram oder Wire. Neben der zuvor beschrieÂbeÂnen Ende-zu-Ende-VerÂschlüsÂseÂlung bieÂten dieÂse DiensÂte noch weiÂteÂre VorÂzüÂge: Die HerÂstelÂler befinÂden sich nicht in einem der 5‑Eyes-LänÂder oder es hanÂdelt sich ohneÂhin um Open Source. Ein weiÂteÂrer Aspekt: AufÂgrund des GeschäftsÂmoÂdells sind der jeweiÂliÂge HerÂstelÂler, bezieÂhungsÂweiÂse die betrefÂfenÂde EntÂwickÂlerÂgrupÂpe nicht an den NutÂzerÂdaÂten interÂesÂsiert, wie das beiÂspielsÂweiÂse bei WhatsÂApp oder dem FaceÂbook MesÂsenÂger der Fall ist.
Fazit
UngeÂachÂtet gesetzÂliÂcher RegeÂlunÂgen werÂden "die bösen Jungs" immer MitÂtel und Wege finÂden, sicher (d. h. verÂborÂgen vor den Augen von PoliÂzei und StaatsÂschutz) mitÂeinÂanÂder zu komÂmuÂniÂzieÂren. Eine gesetzÂliÂche RegeÂlung ist vor dieÂsem HinÂterÂgrund überflüssig.
Auch NorÂmalÂnutÂzern sei angeÂraÂten, aus SicherÂheitsÂgrünÂden eine Messaging-AnwenÂdung zu nutÂzen, bei der die NachÂrichÂten Ende-zu-Ende-verÂschlüsÂselt überÂtraÂgen werden.
Links zum Weiterlesen
BunÂdesÂzenÂtraÂle für poliÂtiÂsche BilÂdung: Brief‑, Post- und Fernmeldegeheimnis
GloÂbal PartÂners DigiÂtal: World Map of Encryption
Mark WilÂliams: SecuÂre Messaging Apps Comparison