EU-Pläne zur Untergrabung der Verschlüsselung werden Realität

• Die EU-Innenminister haben die Resolution „Security through encryption and security despite encryption“ angenommen, welche die Sicherheit durch und trotz Verschlüsselung thematisiert.
• Geplant ist, dass Technologie-Anbieter einen „Generalschlüssel“ für Regierungsbehörden erschaffen, um Zugang zu Nutzerdaten zu ermöglichen, was angeblich der Terrorismusbekämpfung diene.
• Kritiker befürchten, dass diese Maßnahme die starke und sichere Ende-zu-Ende-Verschlüsselung untergräbt und Datenschutz sowie IT-Sicherheit gefährdet.
• Wissenschaftliche Dienste des Bundestags und IT-Experten äußern Bedenken zur technischen Umsetzbarkeit und Effektivität von Hintertüren in Verschlüsselungssystemen.
• Diese Entwicklung könnte die Datensouveränität der Nutzer und den Datenschutzstandort Europa gefährden, da starke Verschlüsselung ein wichtiger Bestandteil der DSGVO und des Schutzes personenbezogener Daten ist.

(Un)Sicherheit trotz Verschlüsselung: Regierungsbehörden sollen "Generalschlüssel" für Nutzerdaten erhalten

Wie heute Vormittag bekannt wurde, haben die Innenminister der EU-Mitgliedsstaaten die heftig kritisierte Resolution mit dem Namen „Security through encryption and security despite encryption“ („Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“) angenommen. Bereits Anfang November war bekannt geworden, dass die Regierungen der EU-Mitgliedstaaten drastische Einschränken bezüglich sicherer Ende-zu-Ende-Verschlüsselung innerhalb der Grenzen der europäischen Union planen.

Konkret war die Rede davon, dass Technologie-Anbieter künftig einen „Generalschlüssel“ erzeugen müssen, mit dessen Hilfe Regierungsbehörden der Zugriff zu Nutzerdaten gewährt werden solle – als Hintergrund wurde spekuliert, es ginge um die vermeintlichen Vorteile für die Terrorismusbekämpfung. Unter anderem soll auch die Strafverfolgungsbehörde Europol mehr Rechte erhalten.

Ende November ebnete der Ausschuss der ständigen Vertreter der Mitgliedsstaaten im europäischen Ministerrat schließlich den Weg für die Umsetzung dieser Forderungen. Hier war der finale Entwurf der Resolution der deutschen Ratspräsidentschaft bereits genehmigt worden. Gleichzeitig verteidigte die Bunderegierung den Entwurf aufgrund von massiver Gegenwehr, unter anderem von Datenschützern.

Man führte an, dass sich elektronische Beweismittel immer schwieriger auswerten ließen, da mehr und mehr Kommunikation verschlüsselt stattfinde. Weiterhin antwortete das Bundesinnenministerium auf eine Frage im Bundestag und gab an, Behörden hätten mithilfe des Vorstoßes zwar in bestimmten Fällen Zugriff auf Online-Kommunikation – jedoch sei dieser mit einem großen operativen Aufwand verbunden und berge technische Schwierigkeiten – deswegen könne diese Möglichkeit in der Praxis nur sehr selten überhaupt genutzt werden.

Sichere Verschlüsselung kennt keine Hintertür

Was die praktische Umsetzung der heute angenommenen Resolution betrifft, scheint es allerdings zurzeit mehr Fragen als Antworten zu geben. Anfang Dezember schalteten sich die Wissenschaftlichen Dienste (WD) des Bundestags in die Diskussion ein. Ihr Fazit ist, dass etwa der angedachte Einsatz von Hintertüren in gängigen Online-Messengern nicht oder kaum umsetzbar sei. Ein großer Kritikpunkt der Wissenschaftler ist, der Entwurf der EU-Regierungen gehe nicht genügend auf tatsächliche technische Implementierungen von Messenger-Diensten ein.

Forscher der TU Dresden und der Ruhr-Universität Bochum befassten sich für die Wissenschaftler im Bundestag bereits mit einem ähnlichen Vorstoß der EU-Kommission, der im Sommer dieses Jahres aufkam. Hier standen technische Umsetzungsprobleme beim Thema Hintertüren im Vordergrund. Alle Ansätze der EU bauen darauf, dass Nutzer „mitspielen“ – ein unrealistisches Szenario, wenn man von kriminellen Aktivitäten ausgeht. IT-Sicherheitsexperten hingegen kritisieren, dass es den von EU-Innenkommissarin Ylva Johansson präferierten „Mittelweg“ beim Thema Verschlüsselung so nicht gebe.

Fazit

Die aktuelle Entwicklung und die heute beschlossene „Aufweichung“ starker und sicherer Ende-zu-Ende-Verschlüsselung ist besorgniserregend und gefährdet nicht nur die Datensouveränität des einzelnen Nutzers und erleichtert Cyberkriminellen das Leben – sie untergräbt auch die Rolle der EU als Verfechter des Datenschutzes und der Informationssicherheit. Die Verschlüsselung personenbezogener Daten wird im Artikel 32 der DSGVO explizit erwähnt und der immer häufigere Einsatz lückenloser Kryptierung innerhalb der EU, aber auch in der ganzen Welt, ist eine wichtige Errungenschaft, die keinesfalls unter dem Deckmantel vermeintlicher Straftatbekämpfung geschwächt werden darf.

Wie andere IT-Experten bereits deutlich gemacht haben, geht eine Schwächung der Verschlüsselung immer auch mit einer Schwächung der IT-Sicherheit einher. Diese Tatsache gefährdet private Nutzerdaten genauso wie kritische Firmeninformation. In Zeiten, in denen Cyberkriminelle ohnehin aufgrund von erhöhter Unsicherheit im Rahmen der Pandemie und der vermehrten Arbeit im Homeoffice Hochkonjunktur haben, sind hier die Folgen nicht auszudenken.

Weiterhin leidet der Datenschutzstandort Europa, wenn Behörden sich Zugriff auf private Informationen verschaffen können – zumal der Zusammenhang zwischen starker Verschlüsselung und Problemen bei der Terrorismusbekämpfung stark umstritten ist und bisher nicht wissenschaftlich bestätigt wurde.