Verschlüsselung bei Messaging-Diensten
Aktuell diskutieren und entscheiden staatliche Gremien in verschiedenen Ländern über die Verschlüsselung von Messaging-Diensten. Wie ist der aktuelle Stand? Ist eine gesetzliche Regelung überhaupt sinnvoll? Welche Messaging-Apps sind aus Anwendersicht sicher?
Auf der politischen Bühne tut sich was zum Thema Verschlüsselung von Messaging-Diensten: Anfang Dezember hat das australisch Parlament eine Gesetzesvorlage verabschiedet, die es Geheimdiensten und Polizei künftig ermöglicht, Soft- und Hardwarehersteller aufzufordern, den Fahndern Zugang zu verschlüsselten Mitteilungen Verdächtiger zu verschaffen.
Einen inhaltlich diametralen Antrag stellte die FDP im November (PDF): sie möchte Telekommunikations- und Telemedienanbieter verpflichten,
ihre Kommunikationsdienste nach einer Übergangsfrist für zukünftige technische
Systeme als Standard abhörsicher (Ende-zu-Ende verschlüsselt) anzubieten.
Schon an diesen beiden Sachverhalten lässt sich ablesen, wie weit die Meinungen zum Thema auseinander gehen. Wohlgemerkt: wir sprechen hier nicht von irgendwelchen totalitären Regimes, bei denen Abhören zur täglichen Praxis gehört! In beiden Fällen handelt es sich um Demokratien westlicher Couleur.
Gesetzlich verbrieftes Recht auf Verschlüsselung
Ein gesetzlich verbrieftes Recht auf Verschlüsselung existiert überraschenderweise nur in fünf Ländern der Welt, nämlich in Brasilien, Finnland, Frankreich, Malawi und im Senegal.
Selbst in diesem Ländern bestehen zum Teil gewisse Einschränkungen. Sei es, das – wie im Senegal – die Verschlüsselungstiefe begrenzt ist, der Herausgeber eines Verschlüsselungsverfahrens eine staatliche Lizenz benötigt (Malawi) oder sich nach Aufforderung durch staatliche Stellen zur Entschlüsselung binnen 72 Stunden verpflichtet (Frankreich).
Die rechtliche Situation in Deutschland
Hierzulande ist es gemäß Art. 10 des Grundgesetzes grundsätzlich untersagt, den Kommunikationsinhalt abzuhören, gleich auf welchem Wege die Kommunikation stattfindet. Bereits die Information, dass eine Kommunikation erfolgte und wie oft und lange diese stattfand, unterliegt diesem Grundsatz.
Hiervon darf nur bei begründetem Verdacht einer schweren Straftat auf richterliche Anordnung abgewichen werden. Nur wenn die Ermittlungen auf andere Weise aussichtslos oder wesentlich erschwert wären, darf ein Richter eine solche Anordnung erteilen.
Von Geheimdiensten und den fünf Augen
Abseits dieses gesetzlichen Rahmens stehen naturgemäß Geheimdienste wie etwa der BND oder die NSA, für die eigene, weitreichendere Regelungen gelten.
Besonders hervorzuheben sind hier die "5‑Eyes-Länder" Australien, Kanada, Neuseeland, die USA und das Vereinigte Königreich. Die Geheimdienste dieser Länder arbeiten besonders eng zusammen und tauschen dabei auch Daten untereinander aus.
Theorie und Praxis
Zurück zu den deutschen Gesetzen: Was sich in der Theorie zunächst mal gut anhört und in der Praxis auch über mehrere Jahrzehnte bewährt hat, lässt sich nicht so einfach auf Messaging-Dienste übertragen.
Abgesehen von der richterlichen Verfügung war in der Vergangenheit ein physischer Zugang, beispielsweise zu einer Vermittlungsstelle oder zu einem Postverteilzentrum erforderlich.
Diesen physischen Zugang ersetzt bei einem Messaging-Dienst eine sogenannte Backdoor. Dabei handelt es sich um eine zentrale Abhörschnittstelle, die vom Dienste-Anbieter implementiert wird. Dies ist etwa bei Skype der Fall.
Über eine solche Schnittstelle lässt sich jedwede Kommunikation innerhalb des Dienstes abhören. Eine Backdoor ist also nicht nur ein Eldorado für die NSA (oder jeden anderen Geheimdienst), sondern auch für Hacker!
Der Goldstandard: Ende-zu-Ende-Verschlüsselung
Sicherer gegen Abhörmaßnahmen sind Dienste, die eine sogenannte Ende-zu-Ende-Verschlüsselung unterstützen. Hierbei werden die zu verschlüsselnden Nachrichten bereits auf dem Gerät des Senders verschlüsselt. Der für das Entschlüsseln einer Nachricht erforderliche Schlüssel ist ausschließlich dem Empfänger bekannt. Eine Backdoor ist somit praktisch ausgeschlossen.
Welche Messenger sind sicher?
Und genau aus diesem Grund ist auch jede gesetzliche Vorgabe, die auf eine Entschlüsselung durch den Dienste-Anbieter abzielt, völlig sinnlos: Wenn ich sicher (das heißt ohne abgehört werden zu können) kommunizieren möchte (oder Böses im Schilde führe), nutze ich als Messenger-Dienst einfach die Messenger-App von Signal, Threema, Telegram oder Wire. Neben der zuvor beschriebenen Ende-zu-Ende-Verschlüsselung bieten diese Dienste noch weitere Vorzüge: Die Hersteller befinden sich nicht in einem der 5‑Eyes-Länder oder es handelt sich ohnehin um Open Source. Ein weiterer Aspekt: Aufgrund des Geschäftsmodells sind der jeweilige Hersteller, beziehungsweise die betreffende Entwicklergruppe nicht an den Nutzerdaten interessiert, wie das beispielsweise bei WhatsApp oder dem Facebook Messenger der Fall ist.
Fazit
Ungeachtet gesetzlicher Regelungen werden "die bösen Jungs" immer Mittel und Wege finden, sicher (d. h. verborgen vor den Augen von Polizei und Staatsschutz) miteinander zu kommunizieren. Eine gesetzliche Regelung ist vor diesem Hintergrund überflüssig.
Auch Normalnutzern sei angeraten, aus Sicherheitsgründen eine Messaging-Anwendung zu nutzen, bei der die Nachrichten Ende-zu-Ende-verschlüsselt übertragen werden.
Links zum Weiterlesen
Bundeszentrale für politische Bildung: Brief‑, Post- und Fernmeldegeheimnis
Global Partners Digital: World Map of Encryption
Mark Williams: Secure Messaging Apps Comparison