Erstellt am: 21. 4. 2016 - 13:29 Uhr
Verschlüsselung verbieten?
US-Präsident Barack Obama will nicht, dass jeder Mensch dank seines Smartphones "ein Schweizer Bankkonto in seiner Tasche trägt". Großbritanniens Premierminister David Cameron findet, dass Menschen nicht die Möglichkeit haben sollten, ohne staatliche Abhörmöglichkeit zu kommunizieren. Und die französische Regierung will seit den Terroranschlägen von Paris ein Verbot von Verschlüsselungssoftware einführen – am liebsten europaweit.
Dirk Ingo Franke
Die 3 Ziele der Verschlüsselung
Warum verschlüsseln wir überhaupt? Verschlüsselung hat drei wichtige Aufgaben:
- Privatheit der Kommunikation.
- Authentizität, also Gewissheit, dass die Information wirklich von der Person stammt, mit der wir kommunizieren wollen.
- Integrität, also die Sicherheit, dass der Inhalt einer Information nicht von einem Angreifer manipuliert wurde.
"Sichere Kommunikation wäre durch Verschlüsselungsverbote völlig unmöglich", sagt der IT-Dienstleister und Kryptographie-Experte Maclemon. "Solche Vorstöße zeigen sehr deutlich, wie wenig Politikerinnen und Politiker Ahnung davon haben, wie das Internet funktioniert und wo Kryptographie überall eingesetzt wird."
HTTPS: verschlüsselte Websites
Das kleine Symbol eines Vorhängeschlosses zeigt im Webbrowser an, dass es gerade eingesetzt wird: das Hypertext Transfer Protocol Secure oder HTTPS. Im World Wide Web ist es das wichtigste Kommunikationsprotokoll, um Daten abhörsicher zu übertragen und die Integrität von Inhalten sicherzustellen. Eine Netbanking-Website ohne HTTPS wäre gefährlich, Wikipedia ohne HTTPS sinnlos und ein verschlüsselter E-Mail-Service wie Protonmail unmöglich. "Eigentlich sollten alle Websites HTTPS verwenden", sagt Maclemon. "Leider tun es noch nicht alle."
Die vor kurzem eingeführte End-to-End-Verschlüsselung von WhatsApp fand viel Zuspruch. "Rein mathematisch ist die Verschlüsselung von WhatsApp gut", sagt auch Maclemon. "Allerdings darf man in diesem Fall nicht nur die reine Veschlüsselung betrachten, sondern man muss z.B. auch die Backups berücksichtigen, die das Smartphone anlegt." Auf der iCloud oder den Backupservern von Google liegen die Chatprotokolle nämlich unverschlüsselt vor - Unternehmen und Behörden haben also Zugriff darauf.
Cloud-Backups zu deaktivieren kann also sinnvoll sein, ebenso wie sich die gesamte Funktionsweise einer App anzusehen, nicht nur deren Verschlüsselungsmethode. Überhaupt muss man die Methode und Anwendung, mit der verschlüsselt wird, immer von der Art der Kommunikation abhängig machen. Alternativen zu WhatsApp sind Signal, Telegram und Threema. Im Web sollte man auf keinen Fall auf HTTPS verzichten, und im E-Mail-Verkehr sollte man die Verschlüsselungssoftware Pretty Good Privacy (PGP) immer einsetzen.
Verschlüsselte E-Mails und ihre Schwachstellen
E-Mail ist eine Technologie, die aus den frühen 1960er-Jahren stammt - und sie hat sich seit den 1980er-Jahren nicht mehr verändert. Damals wurde kaum Wert auf Privatheit der Kommunikation gelegt. Zwar wurde die Sicherheit von E-Mail in den 1990er-Jahren mit der Einführung von PGP verbessert – eine perfekte Lösung ist das aber keineswegs. Zwar sei die Verschlüsselung von PGP selbst sehr gut, sagt Maclemon – doch E-Mail transportiert neben dem eigentlichen Inhalt der Nachricht sehr viele Metadaten mit, die nicht verschlüsselbar sind. Dazu gehören unter anderem die Betreffzeile, die Absenderadresse, die Empfängeradressen sowie Informationen über die verwendete E-Mail-Software. Die Verwendung von PGP sei dennoch sinnvoll, so Maclemon, denn zumindest sei dann der Inhalt der E-Mail unterwegs von Providern, Behörden und Kriminellen nicht lesbar und die Authentizität des Absenders sei gewährleistet.
Integrität von Software
Wenn man ein Smartphone einschaltet, überprüft das Gerät, ob die Betriebssystemsoftware manipuliert wurde oder in Ordnung ist. Auf die gleiche Weise kann man auch heruntergeladene Software auf ihre Integrität überprüfen. Auch auf Blockchain-Technologie basierende Peer-to-Peer-Kryptowährungen wie Bitcoin oder Ethereum überprüfen laufend und weltweit die Integrität der im Netzwerk gesicherten Informationen: Welcher Bitcoin im Netzwerk zu welcher Adresse gehört oder welche Inhalte und Vertragsbedingungen die Smart Contracts in der Ehtereum-Blockchain haben, wird rund um die Uhr aufgrund mathematischer Algorithmen geprüft und bestätigt. Bei Websites wie Wikipedia oder dem Netbanking ist die Überprüfung der Integrität wichtig, damit man sicher sein kann, dass die Information (also z.B. der Artikel, den ich lesen will, oder die Überweisung, die ich tätige) nicht unterwegs von einem Angreifer manipuliert wird.
Wie "Hintertüren" realisierbar wären
Um Regierungen den Zugang zu verschlüsselter Information zu gewährleisten, gäbe es zwei Möglichkeiten, sagt Maclemon. Möglichkeit eins nennt sich Key Escrow - die Hinterlegung aller Schlüssel bei der Behörde. Im Fall der in den USA durchs FBI ungeliebten Verschlüsselung von iPhones würde Key Escrow bedeuten: Apple wäre per Gesetz gezwungen, jeden iPhone-Schlüssel jedes Kunden an die Regierungsbehörde zu senden. Diese würde natürlich versprechen, supergut auf die Schlüssel aufzupassen und sie ganz bestimmt nicht zu missbrauchen oder stehlen zu lassen. WhatsApp legt übrigens mit jeder gesendeten Nachricht einen neuen Schlüssel an. Die Datenmenge, auf die Regierungsbehörden aufpassen müssten, wäre nicht gerade klein.
Möglichkeit zwei: Die Regierung gibt das Verschlüsselungsverfahren, das eingesetzt werden darf, vor - und in dieses Verfahren wird eine gewollte Schwachstelle eingebaut. Ein gewollter Fehler im mathematischen Verfahren, den natürlich – ganz ehrlich – nur die Regierung kennt, und den sie auch ganz bestimmt nicht weitergibt.
Die Leaks, Datendiebstähle und Überwachungs-Skandale der letzten Jahre haben gezeigt, dass sowohl die an Behörden übermittelten Schlüssel, als auch bewusst eingebaute Schwachstellen nicht geheimzuhalten wären. Gesetzlich verordnete "Hintertüren" würden das Internet unsicherer und angreifbarer machen - für alle.
CCC und Kryptoparty
In Wien hat sich im Frühjahr rund um den Hackerspace Metalab ein österreichischer Ableger des legendären Hamburger Chaos Computer Club (CCC) formiert. Der 1981 in Hamburg entstandene Verein tritt für ein neues Menschenrecht auf weltweite, ungehinderte Kommunikation ein und beschäftigt sich mit den Auswirkungen von Technologien auf die Gesellschaft.
Maclemon ist nicht nur einer der Gründer des CCC Wien, sondern auch involviert in der weltweiten Cryptoparty-Bewegung. Diese will Menschen auf einfache Art erklären, wie sie ihre eigene Kommunikation im Internet schützen können und wie sie Verschlüsselung einsetzen können, ohne mit den dahinterliegenden technischen und mathematischen Prinzipien vertraut zu sein. "In Wien findet das jeweils am letzten Montag des Monats statt", so Maclemon. "Wir treffen uns und haben immer ein Hauptthema, über das wir sprechen – zum Beispiel E-Mail-Verschlüsselung oder Handy-Messenger. Welche sind gut, welche soll ich eher nicht verwenden, und wie setze ich sie ein?"
"Die Forderung, Verschlüsselung zu verbieten, ist wie die Forderung, die Schwerkraft zu verbieten."
Trotz aller Rufe nach Verschlüsselungsverboten seitens der Regierungspolitiker ist Maclemon optimistisch. Kryptographie ist Mathematik und lässt sich nicht gesetzlich abschaffen.