EU verfolgt Pläne zur Umgehung der sicheren Verschlüsselung | Compliance

Haufe Online Redaktion

EU verfolgt Pläne zur Umgehung der sicheren Verschlüsselung — Bild: Pixabay Was machst Du denn für lange Ohren? Hab mich gerade mit dem EU-Generalschlüssel in den Nachrichtenaustausch eingeklinkt

Nach den jüngsten Terroranschlägen gibt es im EU-Ministerrat Pläne, die sicheren Ende-zu-Ende-Verschlüsselungsverfahren einzuschränken, um Polizei und Geheimdiensten ein Mithören der Kommunikation zu ermöglichen. Gegen diese Pläne regt sich Widerstand auf vielen Ebenen. Neben Rechtsverletzungen werden auch Nachteile für die Digitalisierung befürchtet.

Eine abhörsichere Kommunikation über elektronische Medien ist einerseits eine zentrale Voraussetzung für das Vertrauen in diese Kommunikationsformen.

Andererseits bereitet dieser Umstand seit jeher Strafverfolgern und Sicherheitsbehörden Sorge, denn wenn ihnen die Mittel fehlen, Straftäter, insbesondere Terroristen zu überwachen, kann dies dazu führen, dass z.B. Straftaten unaufgeklärt bleiben oder Anschlagspläne nicht frühzeitig entdeckt werden.

Segen und Fluch der Ende-zu-Ende-Verschlüsselung

Um eine vertrauliche und abhörsichere Kommunikation zu ermöglichen, bieten Kommunikationsdienste wie etwa WhatsApp, Signal, Facebook oder Threema die Option der Ende-zu-Ende-Verschlüsselung. Hierbei werden die Nachrichten direkt auf den Endgeräten, also etwa

auf dem Smartphone etc. des Senders bereits vor der Übertragung verschlüsselt
und erst auf dem Gerät des Empfängers wieder entschlüsselt.

Während der Übertragung und auch bei einer eventuellen Speicherung, etwa auf den Servern des Dienstes, bleibt die Verschlüsselung intakt mit der Folge, dass auch die Dienstanbieter diese Nachrichten nicht mehr entschlüsseln können.

Diese Sicherheit der Ende-zu-Ende-Verschlüsselung ist eine Voraussetzung für die Nutzung derartiger Kommunikationsmöglichkeiten, denn nur wenn der Nachrichtenaustausch nicht abgehört werden kann, lassen sich vertrauliche Informationen hierüber austauschen, ohne dass die Teilnehmer jederzeit befürchten müssen, dass Dritte diese Informationen abgreifen können.

Abhörsichere Kommunikation behördlich zunehmend unerwünscht?

Im Zuge der Kriminalitäts- und Terrorismusbekämpfung ist eine abhörsichere Kommunikation jedoch unerwünscht, denn damit entfällt für die Sicherheitsbehörden ein wichtiges Instrument zur Aufklärung und Verhinderung von Straftaten oder etwa Terroranschlägen, da auch die Kommunikation der Täter nicht mehr abgehört werden kann.

Immer wieder versuchen Sicherheitsbehörden und Politiker daher, durch erweiterte Überwachungsmöglichkeiten, doch noch einen Zugriff auf die verschlüsselte Kommunikation zu bekommen. In Deutschland wird derzeit etwa wieder einmal über einen erweiterten Einsatz des sogenannten Staatstrojaners diskutiert. Hierbei handelt es sich um eine verdeckt eingeschleuste Schadsoftware, durch die die Kommunikation direkt auf den Endgeräten, also noch vor dem Verschlüsseln beim Sender bzw. nach dem Verschlüsseln beim Empfänger mitgehört werden kann.

EU-Entwurf für Einstieg in die Verschlüsselung durch die Hintertür mit Zweitschlüssel

Auf eine andere Option will jetzt anscheinend die Europäische Union setzen. Wie der Österreichische Rundfunk (ORF) berichtet, haben sich die Regierungen der Mitgliedsstaaten auf ein Vorgehen geeinigt, das in der Folge jedoch quasi das komplette Aus für eine effektive Ende-zu-Ende-Verschlüsselung bedeuten könnte.

In einem Entwurf für eine Deklaration des EU-Ministerrats wird demnach

von den Kommunikations-Dienstanbietern die Bereitstellung eines „Generalschlüssels“ verlangt.
Diese Schlüssel sollen bei den Behörden hinterlegt werden,
damit diese sich jederzeit in den Nachrichtenaustausch einklinken
und Unterhaltungen unbemerkt im Klartext mitverfolgen können.

Unter Sicherheitsfachleuten wird ein solches Vorgehen auch als Man-in-the-middle-Angriff bezeichnet.

Offiziell trägt der Resolutionsentwurf den Titel Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung. Nach den bisherigen Plänen soll noch bis Ende November in den zuständigen EU-Institutionen über diese Vorlage abgestimmt werden.

Breiter Widerstand gegen Angriff auf Verschlüsselung

Nach dem Bekanntwerden dieser Pläne gibt es aus unterschiedlichsten Richtungen erhebliche Kritik. Nicht nur Datenschützer und Bürgerrechtler sehen darin einen Frontalangriff auf Datenschutz und Sicherheit im Internet, auch Wissenschaftler, Politiker oder Vertreter aus der Wirtschaft beziehen klar Stellung gegen ein solches Vorgehen. Viele Verbände haben Position bezogen und sich an die Bundesregierung gewandt, um die Demontage der Messenger-Verschlüsselung zu verhindern.

Verbände pochen auf Schutz der informelle Selbstbestimmung und Wahrung von Betriebsgeheimnissen

Die Gesellschaft für Informatik (GI) sieht in den Plänen nicht nur eine Aufweichung der Ende-zu-Ende-Verschlüsselung, sondern damit auch eine Gefahr sowohl für die informationelle Selbstbestimmung der Bürger als auch für den Schutz von Betriebs- und Geschäftsgeheimnissen von Unternehmen. Die Bundesregierung wird in der Pressemitteilung aufgefordert, diesen Vorstoß des Ministerrats abzufangen.

Beim Bundesverband IT-Sicherheit (TeleTrusT) hat man zwar einerseits Verständnis für die Probleme, die sich durch eine sichere Ende-zu-Ende-Verschlüsselung für die Ermittlungsbehörden ergeben, andererseits untergrabe die Einführung solcher Generalschlüssel das Vertrauen in die Technik und gefährde die weitere Digitalisierung der EU. Solche Hintertüren entsprächen nicht dem Stand der Technik und es hätte katastrophale Folgen, sollten die Generalschüssel einmal in die falschen Hände gelangen. Weitere Wirtschaftsverbände wie der Bitkom oder der eco-Verband der Internetwirtschaft sprachen sich ebenfalls eindeutig gegen die Pläne aus.

Deutschlands oberster Datenschützer, der Bundesbeauftragte für den Datenschutz Ulrich Kelber, meldete sich bislang nur mit einem kurzen Beitrag auf Twitter zu Wort. Darin betont er einerseits seine vehemente Ablehnung gegenüber Hintertüren bei Verschlüsselungen, will sich vor einem abschließenden Urteil aber zunächst die Pläne der EU in ihrer Gesamtheit anschauen.

Weitere News zum Thema:

Ausweitung der Abhörmöglichkeiten der Geheimdienste durch Quellen-TKÜ

Wenn IT-Firmen als Spione missbraucht werden

Polizeitrojaner sind verfassungswidrig

Hintergrund:

BVerfG zur staatlichen Online-Durchsuchung (Urteil v. 27.02.2008, 1 BvR 370/07, 1 BvR 595/07, amtlicher Leitsatz):

1. Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

2. Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Die Maßnahme kann schon dann gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für das überragend wichtige Rechtsgut hinweisen.

3. Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.

4. Soweit eine Ermächtigung sich auf eine staatliche Maßnahme beschränkt, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden, ist der Eingriff an Art. 10 Abs. 1 GG zu messen.

5. Verschafft der Staat sich Kenntnis von Inhalten der Internetkommunikation auf dem dafür technisch vorgesehenen Weg, so liegt darin nur dann ein Eingriff in Art. 10 Abs. 1 GG, wenn die staatliche Stelle nicht durch Kommunikationsbeteiligte zur Kenntnisnahme autorisiert ist.

6. Nimmt der Staat im Internet öffentlich zugängliche Kommunikationsinhalte wahr oder beteiligt er sich an öffentlich zugänglichen Kommunikationsvorgängen, greift er grundsätzlich nicht in Grundrechte ein.

Meistgelesene beiträge

Neueste beiträge

EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024
Erster Bericht für den Carbon Border Adjustment Mechanism fällig

16.01.2024

EU will sichere Ende-zu-Ende-Verschlüsselung für behördliche Ermittlungen lockern