Crypto Wars 3.0: Enisa und Europol gegen Hintertüren bei Verschlüsselung
Die europäischen Sicherheitsbehörden Europol und Enisa sprechen sich in einem gemeinsamen Positionspapier ausdrücklich gegen Hintertüren aus. Gleichzeitig fordern sie eine enge Kooperation zwischen Unternehmen und Sicherheitsforschung.
Europas Polizeiamt Europol und die EU-Agentur für Netz- und Informationssicherheit (Enisa) warnen gemeinsam vor Hintertüren, mit denen Verschlüsselung ausgehebelt werden soll. Das geht aus einer "gemeinsamen Stellungnahme" hervor, die heise online vorliegt. Demnach sollen sich Ermittlungsbehörden darauf konzentrieren, auf bestimmte einzelne Kommunikationen zuzugreifen und nicht ganze Schutzmechanismen zu brechen. Dafür müsse die "am wenigsten intrusive" Maßnahme gewählt werden. Das müsse der Gesetzgeber angemessen kontrollieren.
Einigung zugunsten starker Verschlüsselung
Mit dieser Stellungnahme zeigen die beiden Einrichtungen, dass sie die vergangenen Wochen genutzt haben, um ihre Positionen zu klären und abzugleichen. Immerhin hatte es Anfang März noch einen Schlagabtausch gegeben, der über die Medien erfolgt war: Europol-Direktor Rob Wainwright hatte damals vor einer zunehmend verbreiteten Verschlüsselung gewarnt, während Enisa-Chef Udo Helmbrecht starke Verschlüsselung forderte.
Wainwright und Helmbrecht warnen nun, dass Hintertüren die Angriffsfläche für Cyberattacken vergrößern. Der gesellschaftliche Kollateralschaden eines solchen Vorgehens könne daher weit größer sein als der Nutzen für Strafverfolger – wie c't erst jüngst erklärte. Überdies könnten Kriminelle geschwächte Sicherheitsmechanismen leicht umgehen, Technik ohne Backdoors kaufen oder auf der Basis des bestehenden kryptografischen Wissens eigene entwickeln.
Die Kryptografie liegt vorne
Helmbrecht und Wainwright verweisen außerdem auf die Perfect Forward Secrecy, die eine Entschlüsselung alter Nachrichten auch dann verhindert, wenn der private Kryptoschlüssel bekannt sei. Das Rennen zwischen Kryptografie und Kryptoanalyse könne derzeit die Kryptografie für sich entscheiden. Die Strafverfolgungsbehörden sollten daher alle Beispiele für optimale Vorgehensweisen zur Umgehung von Verschlüsselung sammeln, die bereits in einigen Rechtssystemen genutzt werden.
Die Gesetzgeber sollten gemeinsam mit der Justiz klare Richtlinien für einen "verhältnismäßigen" Umgang mit Untersuchungstools entwickeln. Europol und Enisa spielen damit unter anderem auf die in Deutschland gebräuchliche Staatstrojaner-Software an, verweisen aber auch auf traditionelles Vorgehen wie verdeckte Ermittlungen und die Infiltration krimineller Gruppen. In den Fällen, in denen die Verschlüsselung nicht umgangen werden könne, sollten Entschlüsselungsmöglichkeiten angeboten werden, die die Schutzmechanismen nicht schwächen. Hierfür müsse eine "enge Zusammenarbeit mit Industriepartnern" wie auch mit der Forschungsgemeinde in Sachen Kryptoanalyse gepflegt werden.
Balance zwischen Sicherheit und Grundrechten
Sowohl Helmbrecht wie Wainwright zeigen sich davon "überzeugt, dass eine Lösung, die eine vernünftige und praktikable Balance zwischen den Grundrechten der EU-Bürger und dem Schutz ihrer Sicherheitsbedürfnisse gewährt, gefunden werden kann". Dafür wollen sie auch die Forschungs- und Entwicklungsinstrumente der Europäischen Union nutzen. Die EU-Sicherheitsbehörden könnten überdies zusammenarbeiten, um optimale Vorgehensweisen etablieren. Europol und Enisa treten mit ihrer gemeinsamen Position einer restriktiven Kryptopolitik entgegen, wie sie derzeit Großbritannien, Frankreich und Ungarn verfolgen. (mho)
