Verschlüsselung bei Messaging-Diensten

Aktu­ell dis­ku­tie­ren und ent­schei­den staat­li­che Gre­mi­en in ver­schie­de­nen Län­dern über die Ver­schlüs­se­lung von Messaging-Diens­ten. Wie ist der aktu­el­le Stand? Ist eine gesetz­li­che Rege­lung über­haupt sinn­voll? Wel­che Messaging-Apps sind aus Anwen­der­sicht sicher?

Auf der poli­ti­schen Büh­ne tut sich was zum The­ma Ver­schlüs­se­lung von Messaging-Diens­ten: Anfang Dezem­ber hat das aus­tra­lisch Par­la­ment eine Geset­zes­vor­la­ge ver­ab­schie­det, die es Geheim­diens­ten und Poli­zei künf­tig ermög­licht, Soft- und Hard­ware­her­stel­ler auf­zu­for­dern, den Fahn­dern Zugang zu ver­schlüs­sel­ten Mit­tei­lun­gen Ver­däch­ti­ger zu ver­schaf­fen.
Einen inhalt­lich dia­me­tra­len Antrag stell­te die FDP im Novem­ber (PDF): sie möch­te Tele­kom­mu­ni­ka­ti­ons- und Tele­me­di­en­an­bie­ter ver­pflich­ten,
ihre Kom­mu­ni­ka­ti­ons­diens­te nach einer Über­gangs­frist für zukünf­ti­ge tech­ni­sche
Sys­te­me als Stan­dard abhör­si­cher (Ende-zu-Ende ver­schlüs­selt) anzu­bie­ten.

Schon an die­sen bei­den Sach­ver­hal­ten lässt sich able­sen, wie weit die Mei­nun­gen zum The­ma aus­ein­an­der gehen. Wohl­ge­merkt: wir spre­chen hier nicht von irgend­wel­chen tota­li­tä­ren Regimes, bei denen Abhö­ren zur täg­li­chen Pra­xis gehört! In bei­den Fäl­len han­delt es sich um Demo­kra­tien west­li­cher Cou­leur.

Gesetzlich verbrieftes Recht auf Verschlüsselung

Ein gesetz­lich ver­brief­tes Recht auf Ver­schlüs­se­lung exis­tiert über­ra­schen­der­wei­se nur in fünf Län­dern der Welt, näm­lich in Bra­si­li­en, Finn­land, Frank­reich, Mala­wi und im Sene­gal.
Selbst in die­sem Län­dern bestehen zum Teil gewis­se Ein­schrän­kun­gen. Sei es, das – wie im Sene­gal – die Ver­schlüs­se­lungs­tie­fe begrenzt ist, der Her­aus­ge­ber eines Ver­schlüs­se­lungs­ver­fah­rens eine staat­li­che Lizenz benö­tigt (Mala­wi) oder sich nach Auf­for­de­rung durch staat­li­che Stel­len zur Ent­schlüs­se­lung bin­nen 72 Stun­den ver­pflich­tet (Frank­reich).

Die rechtliche Situation in Deutschland

Hier­zu­lan­de ist es gemäß Art. 10 des Grund­ge­set­zes grund­sätz­lich unter­sagt, den Kom­mu­ni­ka­ti­ons­in­halt abzu­hö­ren, gleich auf wel­chem Wege die Kom­mu­ni­ka­ti­on statt­fin­det. Bereits die Infor­ma­ti­on, dass eine Kom­mu­ni­ka­ti­on erfolg­te und wie oft und lan­ge die­se statt­fand, unter­liegt die­sem Grund­satz.
Hier­von darf nur bei begrün­de­tem Ver­dacht einer schwe­ren Straf­tat auf rich­ter­li­che Anord­nung abge­wi­chen wer­den. Nur wenn die Ermitt­lun­gen auf ande­re Wei­se aus­sichts­los oder wesent­lich erschwert wären, darf ein Rich­ter eine sol­che Anord­nung ertei­len.

Von Geheimdiensten und den fünf Augen

Abseits die­ses gesetz­li­chen Rah­mens ste­hen natur­ge­mäß Geheim­diens­te wie etwa der BND oder die NSA, für die eige­ne, weit­rei­chen­de­re Rege­lun­gen gel­ten.
Beson­ders her­vor­zu­he­ben sind hier die "5‑Eyes-Län­der" Aus­tra­li­en, Kana­da, Neu­see­land, die USA und das Ver­ei­nig­te König­reich. Die Geheim­diens­te die­ser Län­der arbei­ten beson­ders eng zusam­men und tau­schen dabei auch Daten unter­ein­an­der aus.

Theorie und Praxis

Zurück zu den deut­schen Geset­zen: Was sich in der Theo­rie zunächst mal gut anhört und in der Pra­xis auch über meh­re­re Jahr­zehn­te bewährt hat, lässt sich nicht so ein­fach auf Messaging-Diens­te über­tra­gen.

Abge­se­hen von der rich­ter­li­chen Ver­fü­gung war in der Ver­gan­gen­heit ein phy­si­scher Zugang, bei­spiels­wei­se zu einer Ver­mitt­lungs­stel­le oder zu einem Post­ver­teil­zen­trum erfor­der­lich.

Die­sen phy­si­schen Zugang ersetzt bei einem Messaging-Dienst eine soge­nann­te Back­door. Dabei han­delt es sich um eine zen­tra­le Abhör­schnitt­stel­le, die vom Diens­te-Anbie­ter imple­men­tiert wird. Dies ist etwa bei Sky­pe der Fall.
Über eine sol­che Schnitt­stel­le lässt sich jed­we­de Kom­mu­ni­ka­ti­on inner­halb des Diens­tes abhö­ren. Eine Back­door ist also nicht nur ein Eldo­ra­do für die NSA (oder jeden ande­ren Geheim­dienst), son­dern auch für Hacker!

Der Goldstandard: Ende-zu-Ende-Verschlüsselung

Siche­rer gegen Abhör­maß­nah­men sind Diens­te, die eine soge­nann­te Ende-zu-Ende-Ver­schlüs­se­lung unter­stüt­zen. Hier­bei wer­den die zu ver­schlüs­seln­den Nach­rich­ten bereits auf dem Gerät des Sen­ders ver­schlüs­selt. Der für das Ent­schlüs­seln einer Nach­richt erfor­der­li­che Schlüs­sel ist aus­schließ­lich dem Emp­fän­ger bekannt. Eine Back­door ist somit prak­tisch aus­ge­schlos­sen.

Welche Messenger sind sicher?

Und genau aus die­sem Grund ist auch jede gesetz­li­che Vor­ga­be, die auf eine Ent­schlüs­se­lung durch den Diens­te-Anbie­ter abzielt, völ­lig sinn­los: Wenn ich sicher (das heißt ohne abge­hört wer­den zu kön­nen) kom­mu­ni­zie­ren möch­te (oder Böses im Schil­de füh­re), nut­ze ich als Mes­sen­ger-Dienst ein­fach die Mes­sen­ger-App von Signal, Three­ma, Tele­gram oder Wire. Neben der zuvor beschrie­be­nen Ende-zu-Ende-Ver­schlüs­se­lung bie­ten die­se Diens­te noch wei­te­re Vor­zü­ge: Die Her­stel­ler befin­den sich nicht in einem der 5‑Eyes-Län­der oder es han­delt sich ohne­hin um Open Source. Ein wei­te­rer Aspekt: Auf­grund des Geschäfts­mo­dells sind der jewei­li­ge Her­stel­ler, bezie­hungs­wei­se die betref­fen­de Ent­wick­ler­grup­pe nicht an den Nut­zer­da­ten inter­es­siert, wie das bei­spiels­wei­se bei Whats­App oder dem Face­book Mes­sen­ger der Fall ist.

Fazit

Unge­ach­tet gesetz­li­cher Rege­lun­gen wer­den "die bösen Jungs" immer Mit­tel und Wege fin­den, sicher (d. h. ver­bor­gen vor den Augen von Poli­zei und Staats­schutz) mit­ein­an­der zu kom­mu­ni­zie­ren. Eine gesetz­li­che Rege­lung ist vor die­sem Hin­ter­grund über­flüs­sig.

Auch Nor­mal­nut­zern sei ange­ra­ten, aus Sicher­heits­grün­den eine Messaging-Anwen­dung zu nut­zen, bei der die Nach­rich­ten Ende-zu-Ende-ver­schlüs­selt über­tra­gen wer­den.

Links zum Weiterlesen

Bun­des­zen­tra­le für poli­ti­sche Bil­dung: Brief‑, Post- und Fern­mel­de­ge­heim­nis
Glo­bal Part­ners Digi­tal: World Map of Encryp­ti­on
Mark Wil­liams: Secu­re Messaging Apps Com­pa­ri­son