Presseerklärung

10. April 1997

Verschlüsselungsgesetze stellen Grundrechte auf den Kopf

Zu den in den letzten Tagen bekannt gewordenen Planungen und Vorhaben zur gesetzlichen Regelung von Verschlüsselungsverfahren auf internationaler und nationaler Ebene erklärt der Vorstand des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF):

Unübersehbar verdichten sich die Anstrengungen zur Regulierung der Kryptographie. Nach verschiedenen Anläufen wurde von der OECD Ende März eine Richtlinie zur Kryptierpolitik verabschiedet. Fast gleichzeitig sind aus den USA und Großbritannien Planungen zu neuen nationalen Kryptoregelungen bekannt geworden. Auch haben sich die Hinweise verdichtet, daß die Bundesregierung konkrete Vorschläge erarbeitet hat, um Kryptierverfahren in der Bundesrepublik zu reglementieren.

Dem derzeitigen Planungsstand zufolge erwägt die Bundesregierung drei Varianten einer Verschlüsselungsregulierung:

  1. Eine Key-Escrow-Lösung, bei der Anbieter von Verschlüsselungsdienstleistungen bei Bedarf den Sicherheitsbehörden die Schlüssel von Kunden zur Verfügung stellen müssen.
  2. Eine Key-Escrow-Lösung, bei der jedoch ausschließlich staatlich lizensierte Anbieter von Verschlüsselungsdienstleistungen operieren dürfen.
  3. Eine Key-Escrow-Lösung mit gleichzeitigem Verbot aller nicht amtlich zugelassenen Verfahren.

Das FIfF sieht darin eine ernsthafte Gefahr für die Weiterentwicklung einer immer stärker auf elektronischen Datenaustausch angewiesenen Gesellschaft. Staatlichen Überwachungswünschen wird damit nicht nur der Schutz der Privatsphäre untergeordnet, sondern zugleich der Schutz all jener Interaktions- und Transaktionsformen, die auf elektronischen Netzen abgewickelt werden. Diesen nicht hinnehmbaren Einschränkungen stehen aus technischen Gründen nicht einmal Gewinne für die Ermittler gegenüber.

Die Planungen einer Kryptoregelung verdeutlichen nicht nur die völlige Mißachtung von Bürgerrechten unserer Verfassung. Sie werden zu einem Symbol für die gravierenden Defizite bei dem Verständnis von Problemen, Möglichkeiten und den Herausforderungen an neue Denkansätze der politischen Entscheidungsträger, die bei der Umsetzung ihrer Pläne einer Informationsgesellschaft zutage treten.

Für das FIfF lassen sich in fünf Bereichen Argumente für die Schädlichkeit einer Kryptoregelung anführen.

  1. Kryptoregelung als letzter Baustein der Überwachung

    Weshalb muß die Kryptierung gesetzlich geregelt werden? Von offizieller Seite wird eine Kryptoregelung in der Bundesrepublik damit begründet, sie sei das letzte noch fehlende Element zur Überwachung des Fernmeldeverkehrs. Durch die Fernmeldeverkehrs- Überwachungsverordnung (FÜV) sind die Betreiber von Fernmeldeanlagen dazu verpflichtet, Sicherheitsbehörden den überwachten Fernmeldeverkehr im Klartext zu übermitteln. Dies kann durch die End-zu-End-Verschlüsselung einzelner Nutzer unterlaufen werden. Da bei Telefon und Fax kaum verschlüsselt wird, träfe eine Kryptoregelung vor allem die Nutzer elektronischer Netze, die darin das Briefgeheimnis nur durch Verschlüsselungsverfahren herstellen können.

    Damit wird so getan, als sei verschlüsselter Datenverkehr von Verdächtigen in elektronischen Netze an der Tagesordnung und diese somit nicht zu überwachen. Dies ist unzutreffend.

    Die geltenden Gesetze und Verordnungen verpflichten auch Anbieter elektronischer Netze, eine Überwachung durch Strafverfolgungsbehörden und Nachrichtendienste zu gewährleisten; derartiges findet bereits statt[1]. Bisher wurde kein Fall bekannt, bei dem die Aufklärung einer Straftat durch Kryptierverfahren verhindert wurde. Dennoch werden vage Bedrohungsszenarien bemüht, um eine Ausweitung der Überwachung des Fernmeldeverkehrs zu begründen.

    In der Bundesrepublik läßt sich jedoch ernsthaft kein Rückstand in der Fernmeldeüberwachung ausmachen. Während 1995 in den USA bei 240 Millionen Bürgerinnen und Bürger 1229 Telefonüberwachungen angeordnet wurden, entfielen auf die 80 Millionen Bundesbürgerinnen und -bürger im selben Zeitraum 3667 Anordnungen[2] - pro Kopf also sechsmal soviel Überwachungsmaßnahmen hier wie in den USA. 1996 stieg die Zahl der Anordnungen in der Bundesrepublik nochmals um 175% auf 6428 an[3]. Kein Vergleich der Verbrechenshäufigkeit zwischen der Bundesrepublik und den USA kann diese Unterschiede in der Überwachungshäufigkeit erklären. In welcher Weise diese Mittel zur Verbrechensaufklärung beigetragen haben, läßt sich nicht ermitteln, weil hier eine Kontrolle der durchgeführten Maßnahmen - im Gegensatz zu den USA - nicht stattfindet.

    Obwohl Defizite nicht erkennbar sind, sollen mit Großem Lauschangriff und Kryptogesetz weitere Anwendungsfelder der Überwachung erschlossen werden. Dabei werden immer mehr Grundrechte eingeschränkt.

  2. Grundrechte stehen Kopf

    Die Protagonisten eines Kryptogesetzes behaupten, eine solche Regelung sei nichts neues, sondern lediglich eine Anpassung der Fernmeldeüberwachung an die technische Entwicklung. Diese Aussage ist falsch.

    Ein Verbot nicht zugelassener Kryptoverfahren stellt bisherige Grundrechtsprinzipien auf den Kopf. Die Einschränkung des Briefgeheimnisses erlaubt allein die Kontrolle von Sendungen. Weder sind dadurch bestimmte Schreibformen vorgeschrieben, noch bestimmte Sprachen oder Ausdrucksformen verboten. Keine Strafnorm verbietet es, mit Geheimtinte zu schreiben oder andere Verfahren zu nutzen, um Nachrichten zu verheimlichen. Wer Briefe öffnet, hat alle nötigen Entschlüsselungsarbeiten selbst zu leisten - kein Absender muß ihm dabei auch noch durch einen Brief nach Vorschrift helfen. Ein Kryptoverbot würde entgegen aller bisheriger Rechtssystematik die gesetzeskonforme elektronische Kommunikation dem Diktat staatlich sanktionierter Syntax unterwerfen. Dies hat in Deutschland noch keine Diktatur gefordert.

  3. Schließlich ist es Ihr Geld....

    Elektronische Netze transportieren nicht nur Briefe, soviel haben auch die politisch Verantwortlichen begriffen. Bei der Nutzung von Verschlüsselungsverfahren geht es neben dem Brief- und Fernmeldegeheimnis auch um andere schutzwürdige Belange.

    Wer Kryptogesetze erläßt, will damit zugleich auch die Kontrolle über die elektronischen Varianten von Transaktionsformen, für die heute noch besondere Verschwiegenheitsrechte gelten. Deutlich macht dies das Teledienstegesetz des IuKDG, das explizit auch Telebanking als Teledienst definiert. Für Nutzer von Telebanking, Telearbeit und Telemedizin werden das Bank-, Betriebsgeheimnis und die ärztliche Schweigepflicht reduziert auf das Fernmeldegeheimnis. Das Fernmeldegeheimnis wird damit zum strategischen Grundrecht. Ein Kryptogesetz höhlt nicht nur dieses Grundrecht aus, sondern zugleich eine Vielzahl anderer Schutzrechte. Ein solches Gesetz wäre ein trojanisches Pferd für den Rechtsstaat in der Informationsgesellschaft.

  4. Zusätzliche Probleme in der Praxis

    Nehmen wir an, ein Kryptogesetz würde formuliert. Wie wäre es überhaupt rechtsfest zu machen und wäre es praktikabel? Dabei ist auch das Gesetz zur digitalen Signatur im IuKDG zu beachten, das einen Rahmen für asymmetrische Kryptierverfahren andeutet. Dies führt zu charakteristischen Problemen.

    1. Eine Offenbarung eines hinterlegten Schlüssels an die Sicherheitsbehörden bedeutet bei bislang verfügbaren Systemen, daß solange eine unbegrenzte Überwachung des Schlüsselinhabers möglich ist, wie er diesen Schlüssel unverändert behält. Dies ist selbst bei Überwachungsmaßnahmen ein bislang ungekanntes Maß eines Eingriffs in Bürgerrechte, dessen Unverhältnismäßigkeit auch Kryptoexperten und Befürwortern eines Gesetzes klar ist: Kein geringerer als Otto Leiberich, ehemaliger Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), publizierte, wie durch die Einführung einer Zeitvariable in Kryptoverfahren die technische Voraussetzung für rechtlich vorgeschriebene zeitliche Begrenzungen der Überwachungsmaßnahme realisiert werden müßte[4]. Können die Sicherheitsbehörden aber ein Interesse an einem rechtskonformen Verfahren haben, das sich nicht mehr entschlüsseln ließe, wenn Nutzer die Aufklärung schon durch ein verändertes Systemdatum des Computers behindern können?

    2. Der offenbarte private Schlüssel eines Verdächtigen macht dessen eingehenden Datenverkehr lesbar, nicht aber seine Nachrichten an Dritte. Anhaltspunkte oder Beweise für eine Verabredung zu einer Straftat mit Dritten lassen sich aufgrund der Eigenschaften asymmetrischer Kryptierverfahren nur gewinnen, wenn auch die Schlüssel seiner Kommunikationspartner offengelegt werden, unter Umständen auch noch darüberhinaus deren Partner. Die Folge ist ein tendenziell exponentielles Wachstum der Verdächtigen, der Fernmeldeüberwachungen und des Arbeitsaufwandes der Ermittler. Hier kann weder von einer Verhältnismäßigkeit der Mittel noch von einer effektiven Ermittlungsarbeit die Rede sein.

    3. Mangels kompetenter Institutionen wird die Bundesregierung kaum umhin kommen, bei der Kontrolle über die Kryptierschlüssel auf jene Infrastruktur zurückzugreifen, die sie derzeit für Einführung und Ausgabe der digitalen Signatur etabliert. Kein Gesetz wird den Vertrauensverlust aufwiegen können, wenn dieselbe Instanz einerseits private Kryptierschlüssel an staatliche Stellen weitergeben muß und andererseits für die Sicherheit der digitalen Signatur bürgt. Gerät nämlich die digitale Signatur in falsche Hände, ließe sich jedes Dokument rechtlich verbindlich unterzeichnen. Die Furcht der Bürgerinnen und Bürger wäre naheliegend, der Manipulation staatlicher Schlüsselgewaltiger ausgeliefert zu sein. Bei derartigem Vertrauensverlust können sich die Bundesregierung und die auf die digitale Signatur setzenden Unternehmen die Mühen sparen.

    4. Ein nationales Kryptogesetz ist kaum tauglich, angemessen auf die Probleme des für elektronische Netze typischen internationalen Datenverkehrs zu reagieren. Um an die Kryptoschlüssel einer "Mafiaorganisation" zu kommen, müßten in der Regel die Behörden mehrerer Länder mobilisiert werden. Wollen uns die Protagonisten eines Kryptogesetzes nun allen Ernstes weismachen, daß eine internationale Kooperation bei der Herausgabe hinterlegter Schlüssel besser funktionieren wird als die bislang absolut mangelhafte Kooperation bei der Verfolgung von Straftaten, bei denen elektronische Netze genutzt werden?

    5. Im Vergleich dazu ist es fast schon nebensächlich, wie ein Kryptogesetz der Softwarebranche das Leben schwer macht. Um eine Kryptogesetz-konforme Zuordnung von persönlichem Kryptoschlüssel und Nutzer zu gewährleisten, müßten beispielsweise die Hersteller von Internet-Browsern, die heute oft Verfahren zur verschlüsselten Übermittlung sensitiver Daten beinhalten, in Deutschland auf die Distribution ihrer Software per Internet verzichten und stattdessen nur noch Softwarepakete persönlich gegen Vorlage des Personalausweises verkaufen. Ein solcher Aufwand lohnt sich nur für wenige, was die legale Nutzung sicherer Verfahren nicht gerade verstärken würde. Wenn darüberhinaus unterschiedliche und damit technisch inkompatible nationale Regelungen entstehen, bleibt der vielbeschworene globale Electronic Commerce eine Illusion.

  5. Ein Kryptogesetz macht die Strafverfolger auch nicht schlauer

    Mittlerweile macht sich niemand mehr etwas vor: Ein Kryptogesetz ist leicht zu umgehen. Ein legales Kryptierverfahren läßt sich mehrmals auf eine Botschaft anwenden, eine mit einem illegalen Kryptierverfahren verschlüsselte Botschaft läßt sich mit einem legalen Verfahren "verpacken". Ein Kryptogesetz ist sogar so zu umgehen, daß niemand dies nachweisen kann: Die Steganographie und andere Verfahren zur Nutzung verdeckter Kanäle verstecken Botschaften z.B. in Klartext-Dateien und verschleiern schon die Existenz einer verschlüsselten Botschaft.

    Von der Umgehung des Gesetzes erhoffen sich Experten der Inneren Sicherheit sogar schon Vorteile, ließen sich doch aus dem Nutzerkreis illegaler Kryptoverfahren ermittlungstechnisch wertvolle Rückschlüsse auf die Organisationsstruktur des verdächtigten Personenkreises gewinnen.

    Bei steganographischen Verfahren ist dieser Personenkreis niemals zu ermitteln. Was ist aber gewonnen, wenn denn eine Gruppe von Personen gefunden wäre, die dasselbe nicht zugelassene Kryptoverfahren nutzen? Ihre Kommunikation ist nicht zu entschlüsseln, also muß auf andere Weise ermittelt werden. So, wie sich heute schon Beamte durch meterhohe Papierstapel mit den Protokollen von Telefonüberwachungen quälen, werden sie in Zukunft Personenkreise aufwendig ausforschen müssen, die sich nichts haben zuschulden kommen lassen, als nicht zugelassene Kryptierverfahren zu nutzen und zufällig mit Personen zu kommunizieren, die unter irgendeinem Verdacht stehen. Dieser Aufwand läßt sich nicht einmal mit arbeitsmarktpolitischen Gründen rechtfertigen. Die Nutzer nicht zugelassener Kryptierverfahren automatisch zu Verdächtigen zu stempeln, wäre also schon unter ermittlungstaktischen Aspekten nichts als Unfug.

    Aus technischer und praktischer Sicht stellt sich ein Kryptogesetz als unsinnig und undurchführbar dar. Juristen vertreten dagegen den Standpunkt, unerheblich von der Durchsetzung sei dem Recht in jedem Fall Folge zu leisten. Eine solche dogmatische Auffassung ist jedoch mit einem demokratischen Rechtsstaat nur schwer vereinbar.

  6. Fazit

    Nach Auffassung des FIfF trägt ein Kryptogesetz zur Forcierung der nicht gerade zaghaften Überwachung des Fernmeldeverkehrs in der Bundesrepublik bei. Es stellt grundrechtliche Prinzipien auf den Kopf. Es bedroht in wesentlichem Umfang die grundgesetzlich geschützten Persönlichkeitsrechte in elektronisch gestützten Transaktions- und Interaktionsformen. Es führt in der Praxis zu gravierenden zusätzlichen Rechtsproblemen und führt keineswegs zu einer Erleichterung der Arbeit der Strafverfolger. Die Probleme, die eine solche Regelung zwangsläufig hervorrufen wird, lassen sich auch nicht mit Rechtsdogmatismus lösen. Dem schwerwiegenden Schaden für Bürgerrechte, Demokratie, aber auch für wirtschaftliche Interessen steht ein äußerst magerer Nutzen gegenüber. Jede rationale Bewertung müßte vor diesem Hintergrund zu dem Schluß kommen, auf eine Kryptoregelung zu verzichten.

    Daß die Bundesregierung trotz jahrelanger Beratung mit ausgewiesenen Experten dennoch nicht von einer Kryptoregelung Abstand genommen hat, ist entweder ein Indiz für mangelnde Kenntnis oder die mutwillige Mißachtung der Konsequenzen.

    Die einander in hohem Maße ähnlichen Regelungen der OECD, Großbritanniens, der USA und mit ihnen die bundesdeutschen Pläne lassen sich mit den Visionen einer globalen demokratischen Informationsgesellschaft nicht in Einklang bringen.

  7. Forderungen

    Statt einer Einschränkung von Kryptierverfahren ist es nach Auffassung des FIfF notwendig:

    1. Die Verbreitung und Nutzung von Kryptiersystemen zu erhöhen,
    2. Die Nutzung von Kryptiersystemen nicht durch Einschränkung oder Verbot zu behindern,
    3. Die freie Wahl von Kryptosystemen zu ermöglichen,
    4. Die Entwicklung sicherer Kryptosysteme zu unterstützen,
    5. Den Schutz elektronischer Transaktions- und Interaktionsverfahren zu verstärken und
    6. Den Nutzen staatlicher Überwachung von Kommunikation einer regelmäßigen, unabhängigen und umfassenden Bewertung zu unterziehen.

  1. Erste Fälle einer Überwachung von Internet-Accounts wurden bekannt in: 30.000 Telephonate mitgehört; in: Süddeutsche Zeitung, 2.12.96, S. 15
  2. USA: Newsweek 20.5.96, Bundesrepublik: Bt-Drs 13/3618
  3. Bt-Drs. 13/7341
  4. Otto Leiberich: Verschlüsselung und Kriminalität II, in: BSI-Forum der KES 1/95
zur ckzurück © 1996-2017 Lutz Donnerhacke @ IKS GmbH Jena Sunday | 19.Nov.2017