Inhalt

• DFN sperrt vorübergehend Xs4All
• Das Gerangel um die Kryptographie
• Internet und Mailboxen im Verfassungschutzbericht 1996
• Anklage gegen Compuserve-Geschäftsführer
• Das Recht auf Kryptographie ist ein Menschenrecht
• Kurzinformation zum NETPOL-Digest

Am Freitag, dem 11. April entschied sich der DFN e.V. (Deutsches Forschungsnetz), den Zugriff auf den Webserver des niederländischen Providers Xs4All zu sperren. Vorausgegangen war der Sperre ein Hinweis des Bundeskriminalamts (BKA) vom 2. April. Das BKA machte den DFN darauf aufmerksam, daß die Zeitschrift RADIKAL Nr. 154 über Zugänge des DFN erreichbar ist. Der erste Verdacht auf eine Sperrung von www.xs4all.nl wurde am Montag, dem 14. April geäußert. Laut einer Stellungnahme des DFN vom 16. April erfolgte die Sperrung nachdem seitens des DFN die Überzeugung gewonnen wurde, daß der Inhalt der RADIKAL deutschem Recht zuwiderläuft, und eine Sperre technisch möglich ist.

Felipe Rodriquez, Geschäftsführer des niederländischen Providers, stellte klar, daß er über die Blockade nicht informiert worden sei. Er reagierte auf das Vorgehen des deutschen Vereins mit einem Schreiben an den DFN und die Bundesstaatsanwaltschaft. Der Brief enthielt eine Liste 42 weiterer Rechner, die nach Ansicht von Xs4All ebenfalls gesperrt werden sollten, weil die fragliche Ausgabe der RADIKAL dort gespiegelt wird.

So unvermittelt wie die Sperre begann, endete sie auch. Am späten Montagnachmittag war www.xs4all.nl wieder über den DFN erreichbar. Eine Meldung der Nachrichtenagentur AP zitierte den DFN-Sprecher Klaus-Eckart Maass mit der Einsicht, »daß eine wirksame Sperrung des rechtswidrigen Inhalts nicht möglich war.« Die Sperrung fiel zeitlich zusammen mit der ersten Lesung des Informations- und Kommunikationsdienste-Gesetzes (IuKDG) im Bundestag. Der DFN hatte sich zur Rechtfertigung seiner Maßnahme auf den aktuellen Entwurf des darin enthaltenen Teledienste-Gesetzes bezogen. Dem Wortlaut des Entwurfs folgend hatte der DFN argumentiert, eine Sperre sei technisch möglich und zumutbar.

Bereits im September letzten Jahres hatte das Electronic Commerce Forum e.V. (ECO), ein Zusammenschluß deutscher Provider, eine Sperrung des Webservers von Xs4All empfohlen, weil die RADIKAL dort erreichbar war. Der Versuch dauerte drei Wochen. Auslöser war die Andeutung eines Anfangsverdachts der Bundesstaatsanwaltschaft, die Provider könnten sich strafbar machen.

Die Auszeit dauert an. Seitdem die Bundesregierung im Juni 95 auf eine kleine Anfrage aus der Fraktion von Bündnis 90/Die Grünen verkündete, »das Erfordernis einer rechtlichen Regelung des Einsatzes von Verschlüsselungsverfahren« werde geprüft, bildet sich das Kabinett seine Meinung zum Thema Kryptographie.

Zur Debatte steht, ob die Nutzung derzeit frei erhältlicher Verschlüsselungssoftware so eingeschränkt werden soll, daß dem Staat zur Aufklärung von Straftaten eine Hintertür erhalten bleibt. Die in Frage kommenden Varianten reichen von zentralen Zertifizierungsstellen, die öffentliche und private Schlüssel generieren und aufbewahren müssen, bis zu einem Verbot aller nicht-genehmigten Verfahren. Die Kritik an diesen Planspielen richtet sich auf drei Punkte. Erstens hebelten sie die zunehmend wichtiger werdende elektronische Privatsphäre aus. Zweitens führten sie zu einer generellen Unsicherheit, die sich negativ auf das Geschäftsgebaren über das Netz auswirke. Und drittens könne auch ein Verbot kryptographischer Verfahren niemanden hindern, sie trotzdem einzusetzen.

Teile des Prozesses der Meinungsbildung dringen an die Öffentlichkeit. Letztes Jahr sickerten kurz vor Weihnachten die Bestrebungen der Referenten aus den Innenministerien von Bund und Ländern, kryptographische Methoden an das Gängelband der inneren Sicherheit zu nehmen, nach außen. Der SPIEGEL verkaufte das Ergebnis des Referententreffens als gesetzgeberisches Vorhaben der Bundesregierung und setzte damit die Alarmglocken nicht nur auf dem Netz in Gang. Der Medienexperte der SPD-Bundestagsfraktion Jörg Tauss verurteilte den Ansatz als einen »Frontalangriff auf den Wirtschaftsstandort Deutschland«.

Anläßlich der Eröffnung der CEBIT im März dieses Jahres vertrat Wirtschaftsminister Günter Rexrodt die Ansicht, ein Verbot der Kryptographie würde »wenig bringen, aber viel kosten.« Innenminister Kanther konterte noch am selben Tag, es handele sich dabei nur um Rexrodts persönliche Meinung.

Zum Abschluß der CEBIT veröffentlichten die SPD-Politiker Jörg Tauss und Wolfgang Thierse eine Presseerklärung, in der sie auf weitere nicht-öffentliche Vorgänge verwiesen. Ihren Informationen zufolge formulieren sowohl der Staatssekretärsausschuß für das geheime Nachrichtenwesen als auch Referenten des Innenministeriums an Entwürfen für Gesetze, die der Benutzung kryptographischer Methoden enge Grenzen setzen sollen. Keine Erwähnung in der Erklärung fand die Tatsache, daß Justizminister Schmidt-Jortzig wenige Tage zuvor auf dem Parteitag der schleswig-holsteinischen FDP nicht nur ein Verbot der Kryptographie sondern auch die Hinterlegung der Schlüssel als »zutiefst illiberal« verurteilt hatte.

Begleitet wird die Meinungsbildung der Regierung von Stellungnahmen außerhalb des politischen Apparats. Ablehnend gegenüber einer möglichen Regulierung der Kryptographie äußerten sich unter anderem die Gesellschaft für Mathematik und Datenverarbeitung (GMD), der Zentralverband Elektrotechnik- und Elektronikindustrie e.V. (ZVEI) und zuletzt erneut das Forum InformatikerInnen fuer Frieden und gesellschaftliche Verantwortung (FifF). Eine Reihe von Sicherheitsexperten läßt unter der Überschrift »Hamburger Erklärung für Verschlüsselungsfreiheit« bis zum 30. Mai eine Unterschriftenliste zirkulieren [1]. Mit ihr wird die freie Wahl der Methoden und der Schlüssel sowie die Geheimhaltung der Schlüssel gefordert.

Auch auf internationaler Ebene verläuft die politische Willensbildung in schwankenden Bahnen. Die Organisation für ökonomische Zusammenarbeit und Entwicklung (OECD) verabschiedete am 27. März Richtlinien zur Kryptographie [2]. Die OECD betonte in ihrer Erklärung die Freiheit der Methodenwahl seitens der Benutzer. Die von den Amerikanern befürwortete und von der Regierung auch im eigenen Land angestrebte Sicherstellung eines staatlichen Zugangs zu den Schlüsseln fand keinen Eingang in das Dokument. Das britische Ministerium für Handel und Industrie präsentierte einen Entwurf, mit dem sämtliche kryptographischen Dienstleistungen auf der Insel unter staatliche Aufsicht gebracht würden. Ob der Entwurf tatsächlich Gesetz wird, ist durch die am 1. Mai anstehenden Wahlen in Großbritannien in Frage gestellt.

Weniger um die Meinungsbildung als um die Schaffung von Tatsachen bemühen sich in Deutschland unterdessen der Individual Network e.V. (IN) und die Computerzeitschrift c't. Seitens des IN, eines Vereins, der seinen Mitgliedern einen kostengünstigen Zugang zum Netz ermöglichen will, wird am Aufbau einer Zertifikationshierarchie für die Mitglieder gearbeitet. [3] Zertifikate sollen die Zuordnung eines Schlüssels zu einem bestimmten Benutzer beglaubigen und überprüfbar machen. Im Unterschied zur Zeitschrift c't [4] beschränkt sich der Verein jedoch nicht auf die Beglaubigung von öffentlichen PGP-Schlüsseln, sondern hält die Optionen auf andere Verfahren offen. Beide Vorhaben wollen nur die öffentlichen Schlüssel beglaubigen und ziehen einen Zugriff auf die privaten Schlüssel nicht in Betracht.

[1] ftp://TROLL.HZ.KFA-Juelich.De/pub/KRYPTO/hh.htm
[2] http://www.oecd.org/dsti/iccp/crypto_e.html
[3] http://www.in-ca.individual.net/
[4] http://www.ct.heise.de/pgpCA/

Am 8. April stellte Innenminister Kanther den Verfassungsschutzbericht für 1996 vor. [1] Demnach nutzen sowohl Links- als auch Rechtsradikale zunehmend das Internet für die Bereitstellung und den Austausch von Nachrichten und Propagandamaterial. Die Unterschiede in den jeweiligen Szenen sind graduell. Auf der linken Seite des Spektrums hat die Vernetzung über Mailbox-Systeme an Bedeutung verloren. Nur mehr ein harter Kern von etwa 100 Personen nutzt das SpinnenNetz. Statt dessen stellen vorwiegend Autonome und PDS zunehmend Seiten im World Wide Web (WWW) bereit. Als weitere genutzte Dienste führt der Bericht Usenet, FTP (File Transfer Protocol) und E-Mail an.

Demgegenüber wächst die Akzeptanz des aus elf in- und drei ausländischen Mailboxen bestehenden Thule-Netzes unter den Rechtsradikalen. Der Nutzerkreis besteht aus etwa 150 Personen. Der Bericht schränkt ein, daß die Verbreitung strafrechtlich relevanten Materials über das Thule-Netz zurückgegegangen ist. Seit Juli letzten Jahres existiert im Internet eine eigene Domain des Thule-Netzes. Als weitere Aktivitäten führt der Bericht den Unterhalt verschiedener Seiten im WWW mit rechtsextremistischem Inhalt an.

Kopfschmerzen bereitet den Verfassungsschützern die Verschlüsselungssoftware Pretty Good Privacy (PGP). Während linke Szene-Blätter die Benutzung von Verschlüsselungssoftware propagieren, macht der Einsatz von PGP im Thule-Netz eine Entschlüsselung durch dritte »nahezu unmöglich«. Der Bericht erwähnt in diesem Zusammenhang keine weiteren Möglichkeiten, wie andere Verschlüsselungsmethoden, Steganographie oder die Benutzung von Remailern, welche die Arbeit der Strafverfolgungsbehörden erschweren können.

[1] http://www.bundesregierung.de/.bin/lay/inland/ministerien/bmi/vsber96/index.html

Die Münchener Staatsanwaltschaft hat Anklage gegen den Geschäftsführer von Compuserve Deutschland GmbH (CS) erhoben. Der Vorwurf der Staatsanwaltschaft lautet u.a. auf Verstoß gegen das Jugendschutzgesetz.

Die Anklage ist Teil einer Geschichte, die bereits Ende 1995 ihren Anfang nahm. Auf Grund einer Anzeige wegen der Verbreitung von Kinderpornographie durchsuchte damals die Kriminalpolizei die Geschäftsräume der Firma. Als CS wenig später von der Kriminalpolizei eine Liste von über 200 bedenklichen Nachrichtengruppen erhielt, wurden die Gruppen von CS gesperrt. Daraufhin kam es zu weltweiten Protesten.

Bundesinnenminister Kanther eröffnete am 28 April 1997 den 5. IT-Sicherheitskongress in Bonn. Auf seiner Eröffnungsrede forderte der Minister, den Einsatz von Verschlüsselungsverfahren in der Bundesrepublik Deutschland zu reglementieren. Nach Kanthers Vorstellungen dürfen in Deutschland nur noch Verschlüsselungsverfahren zum Einsatz kommen, die es den Bundesbehörden erlauben, verschlüsselte Informationen nach Belieben zu decodieren.

Derzeit ist der Einsatz und der Export von Verschlüsselungsverfahren in Deutschland nicht eingeschränkt, was der deutschen Industrie einen entscheidenden Wettbewerbsvorteil gegenüber den USA, Frankreich und anderen Ländern mit Kryptobeschränkungen gibt. Verfahren zur Verschlüsselung von Daten und zur digitalen Unterschrift machen von sogenannter »starker Kryptographie« gebrauch. Sie gelten als der Schlüssel zum digitalen Handeln, da nur durch solche Verfahren Geld und Geschäftsgeheimnisse sicher und unverfälscht über das Rechnernetze transportiert werden können.

Kanther selbst sagt in seiner Rede:

Mehr und mehr werden persönliche Daten, wichtige Geschäftskommunikation, Geschäftsabschlüsse und Geldtransaktionen mit Computern verarbeitet und über die modernenKommunikationsnetze geleitet. Wo das ohne hinreichenden Schutz geschieht, ist das oftmals geradezu eine Einladung an Kriminelle. Das Erschleichen einer Kreditkartennummer durch Hacking und der anschließende Mißbrauch, der Scheckkartenbetrug oder das Abzweigen von Geldbeträgen von einem Konto zum anderen lassen sich anonym unter Ausnutzung der elektronischen Kommunikationsmittel vollziehen. Die Täter verstecken sich in der Anonymität der Netze, verwischen ihre elektronische Spur, einen Tator gibt es nicht mehr. Strafverfolgungsbehörden und Polizei sind vor völlig neue Herausforderungen gestellt.

Kanther erwähnt dabei nicht, daß gerade kryptographisch starke Verfahren zur Signatur und zur Verschlüsselung von Informationen derartige Verbrechen schon im Ansatz verhindern können. Digital signierte Dokumente können nicht gefälscht werden und sicher verschlüsselte Texte können nicht abgehört werden. Der Einsatz von Kryptographie in Datennetzen erschwert also nicht die Verfolgung von Verbrechern, sondern er macht das Verbrechen selbst unmöglich. Der schleswig-holsteinische Datenschutzbeauftragte, Dr. Bäumler, formuliert dies in seinen Thesen zur Kryptographie unter anderem so:

[ Es ist ] geradezu ein Gebot, die Bürger vor organisierten Verbrechern zu schützen bzw. genauer: ihnen zu erlauben, sich selbst wirksam zu schützen. Denn nur so können sie finanzielle Transaktionen über Netze abwickeln, ohne Opfer von Computerkriminalität zu werden.

Kanther fordert in seiner Rede, den Risiken, die sich aus der Technik ergeben auch mit den Mitteln der Technik zu begegnen und führt dabei unter anderem auch elektronische Wegfahrsperren als Mittel zur Verhinderung von Kraftfahrzeugdiebstählen an. Dieser Vergleich mutet seltsam unpassend an, handelt es sich dabei doch genau wie der Einsatz von kryptographischen Mitteln um ein klassisches Mittel zu Verbrechensprävention, nicht um ein staatliches Instrument zur Strafverfolgung. Eine Umsetzung von Kanthers Vorschlägen würde den Anwender von Datennetzen seiner legitimen Verteidigungsmöglichkeiten gegen Computerkriminelle berauben.

Kanther führt weiter aus, wie er sich die Kontrolle des Staates vorstellt:

Dies kann dadurch geschehen, daß die verwendeten Schlüssel sicher hinterlegt werden. Durch eine Kombination von organisatorischen, personellen, technischen und juristischen Maßnahmen kann jedem Verdacht einer Mißbrauchsmöglichkeit begegnet werden.

Kanther sagt dies eine Woche, nachdem der Spiegel berichtet, daß auch eine Kombination von organisatorischen, personellen, technischen und juristischen Maßnahmen nicht ausgereicht hat, illegale Datenströme zwischen dem Pullacher Verfassungsschutz und Angehörigen der CSU zu verhindern.

Eine Hinterlegung von privaten Schlüsseln erlaubt es jedem der diese Schlüssel kennt, die Persona des Schlüsselinhabers im Netz zu übernehmen, seine Kommunikation mitzulesen, in seinem Namen Nachrichten zu versenden, Verträge abzuschließen oder Verbrechen zu begehen. Jemandem seine digitalen privaten Schlüssel zu übergeben bedeutet, sich dieser Person oder Institution persönlich und wirtschaftlich vollkommen auszuliefern. Die Hinterlegung der privaten Schlüssel bei einer Schlüsselzentrale entspricht der Erteilung einer unumschränkten Unterschriften- und Kontovollmacht auf das bloße Versprechen hin, daß die Schlüsselzentrale von dieser Vollmacht nur zum größeren Nutzen der Allgemeinheit Gebrauch machen wird.

Niemand, der klar bei Verstand ist, kann einer solchen Verpflichtung nachkommen. Die von Kanther geforderte Schlüsselhinterlegung würde jede Form von digitalem Kommerz in Deutschland schon im Ansatz abwürgen und den ohnehin schon gefährdeten Standort Deutschland im internationalen Wettbewerb noch weiter zurückwerfen.

Kanther fordert dies auch, obwohl die Möglichkeiten der Strafverfolger durch die Reform der Telekommunikationsgesetze und den großen Lauschangriff schon stark ausgeweitet worden sind. Nicht nur daß: Kanthers Ministerium bleibt konsequent den Beweis nach Wirksamkeit dieser Maßnahmen schuldig. Obwohl diese Gesetze eine Einschränkung des Fernmeldegeheimnisses und des Rechtes auf Unverletzlichekeit der Wohnung darstellen, existieren noch immer keine veröffentlichten Daten darüber, ob der Erfolg dieser Maßnahmen diese Einschnitte in wesentliche Grundrechte rechtfertigt.

Auch in einem unbefangenen Beobachter muß dabei doch der Verdacht aufkommen, daß es mit der Wirksamkeit dieser Maßnahmen nicht so weit her sein kann. Wieviel wirkungsloser wird dann ein Verbot nicht genehmigter Kryptographie sein, wenn die Sachverständigen schon im Vorfeld bescheinigen, daß ein solches Verbot für die Strafverfolgung praktisch wirkungs- und wertlos sein wird?

Und Stimmen, die ein solches Verbot nicht genehmigter, harter Kryptographie ablehnen, gibt es zuhauf: Datenschützer, Verfassungsrechtler, Wissenschaft und Industrie lehnen eine solche Regelung geschlossen ab. »Wohlwollende« Unterstützung für seinen Vorschlag findet Kanther vorwiegend im Ausland, etwa bei unseren amerikanischen »Freunden«, für die eine nicht mehr abhörbare Kommunikation deutscher Wirtschaftsunternehmen ein schwerer Rückschlag auf dem Gebiet der Industriespionage wäre.

Wie praktisch wäre es dagegen, müßte man sich die Schlüssel deutscher Firmen nicht mehr einzeln in jedem Werk besorgen, sondern könnte gezielt das System der zentralen deutschen Schlüsselverwaltung anzapfen - die womöglich sogar mit von amerikanischen Firmen gelieferter Hardware und Systemsoftware betrieben würde. Für die Wettbewerbsfähigkeit der deutschen Wirtschaft ist es essentiell, sich selbst vor Wirtschaftsspionage und vor der Verfälschung der eigenen Kommunikation schützen zu können. Funktionieren kann dies nur, wenn es der Industrie möglich ist, Verfahren ohne Sollbruchstelle und Hintertüren einzusetzen.

In den letzten Jahren ist es im Innenministerium Mode geworden, unter dem Verweis auf die sogenannte organisierte Kriminalität ein Grundrecht nach dem anderen schrittweise durch den Gesetzgeber einschränken zu lassen. Vielleicht sollte jetzt erst einmal der Beweis angetreten werden, daß die bisher gemachten Zugeständnisse der Bürger an ihren Staat Früchte tragen und die von uns allen ermöglichten Maßnahmen auch tatsächlich wirksam sind. Vielleicht sollten wir alle uns auch einmal fragen, ob wir uns nicht selbst auf eigene Verantwortung vor den schwarzen Schafen in unserer Gemeinschaft schützen können.

Ganz sicher sollten wir uns jedoch klarmachen, daß eine Reglementierung kryptographischer Verfahren ein Irrweg ist. Ein Irrweg, der fordert, daß Bürger und Firmen ihre digitale Seele bei einem Staat hinterlegen, der für ihre Sicherheit nicht garantieren kann.

Und ganz dringend sollten wir alle uns klarmachen, daß dieses Thema uns alle und ohne Ausnahme angeht: Eine Renterin trägt ihr Geld zu Fuß zu einer Sparkasse tragen - die Sparkasse wird dieses Geld digital transferieren. Ein Arbeiter mag mit handfesten Gerätschaften an einem Fließband schaffen - das Nervensystem seiner Firma und die Kronjuwelen der Entwicklung werden jedoch mit Sicherheit in einem Rechnersystem vorliegen. Die Beamtin im Einwohnermeldeamt oder im Finanzamt mag noch immer mit Schreibmaschine und Stempel arbeiten - aber die Melderegister und Steuerbescheide liegen in Rechnern vor. Der Hausarzt mag mit dem Fahrrad in die Praxis kommen und seine Patienten alle mit dem Vornamen kennen - für die Kassenrechnung muß er Krankengeschichten und Leistungen in Computersystemen vorhalten. Und man mag mit seiner Bäckerin am Samstagmorgen über dem Brötchenkauf gerne ein nettes Schwätzchen halten - aber die Umsatzdaten des Supermarktes laufen über ein digitales Kassensystem bis in die Konzernzentrale.

Wir alle sind, ob wir es wollen oder nicht und ob wir es wissen oder nicht, Anwender von Informationstechnologie und Datennetzen. Netze und Informationen, die nur dann sicher sein können, wenn ihre Betreiber nicht durch einen übereifrigen Staat daran gehindert werden. Es muß unser aller Interesse sein, dies unserem Staat klar zu machen.

Denn:

• Das Recht auf Kryptographie ist das Recht auf Privatsphäre.
• Das Recht auf Kryptographie ist das Recht auf wirtschaftliches Überleben.
• Das Recht auf Kryptographie ist das Recht auf digitale Selbstverteidigung.

• Das Recht auf Kryptographie ist ein Menschenrecht.

Der NETPOL-Digest ist ein regelmäßig, mindestens monatlich erscheinender Informationsdienst zu politischen, juristischen, kulturellen und ökonomischen Aspekten der Neuen Medien und des Internets. Er veröffentlicht Meldungen, Hintergrundberichte und Kommentare.

Beiträge sind an netpol@fitug.de zu richten; die Autoren willigen in die Veröffentlichung, Weitergabe und Archivierung ihrer Beiträge im NETPOL-Digest ein. Alle Rechte, insbesondere das des Nachdrucks, bleiben bei den Autoren. Nachdruck ist nur mit Einverständnis der Autoren gestattet.

Der NETPOL-Digest wird in der Newsgroup de.soc.netzwesen, unter http://www.fitug.de/netpol/ und über die Majordomo-Mailingliste netpol@fitug.de veröffentlicht. Um den Digest zu abonnieren, genügt eine Mail an majordomo@fitug.de mit SUBSCRIBE NETPOL im Body.

Moderator des Digests ist Thomas Roessler roessler@sobolev.rhein.de.