Missing Link: Wie Staaten die Verschlüsselung im Internet per Gesetz aushebeln

Inhaltsverzeichnis

Macht Verschlüsselung uns nun sicherer? Jein, meinen die Strafverfolger in Europa, jammern über standardmäßige Verschlüsselung und eifern Australiens Anti-Verschlüsselungsgesetz nach. Dass das mehr Sicherheit bringt, ist noch nicht bewiesen. Ein paar unschöne Nebenwirkungen aber kann man schon sehen.

Von Australien lernen?

"Missing Link"

Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.

• Mehr zum Feuilleton "Missing Link"

Australiens Assistance and Access Act ist gerade hoch im Kurs bei denen, die auch für Europa ein Anti-Verschlüsselungsgesetz fordern. Aber welche Erfahrungen gibt es aus Down-Under mit der Verpflichtung für Provider, Strafverfolgern und Geheimdiensten auf Zuruf verschlüsselte Daten im Klartext zu liefern? Die Europäische Union muss „dringend“ antworten auf die weitere Verbreitung von „Verschlüsselungspraktiken“, schrieb Europas oberster Anti-Terror-Beamter, Gilles de Kerchove in einem kürzlich von Netzpolitik geleakten Brief an die Mitgliedsstaaten der Gemeinschaft. Die bessere Verschlüsselung von Endgeräten und von Datenströmen, das wachsende Angebot an maßgeschneiderter Verschlüsselungstechnik, die Integration von Verschlüsselungslösungen quer über große Plattformen und nicht zuletzt der Einbau von Verschlüsselung in Basisprotokolle des Internets drohe den Zugriff auf kriminelle Inhalte zu erschweren, wenn er nicht schon fast unmöglich gemacht werde, so de Kerchoves alarmistische Botschaft.

Den Entwicklern und Unternehmen wirft de Kerchove vor – übrigens im Gleichklang mit Europols zweitem Bericht zu den Entwicklungen – sie würden „unilateral“ ihre Verschlüsselungspraktiken ändern, „ohne sich mit Strafverfolger und Justizbehörden auszutauschen, um deren Bedenken bei einem Roll-Out zu adressieren“. Die meisten Lösungen, Verschlüsselung zu umgehen, seien aufwändig und kostenintensiv und könnten nur „für hochwertige Ziele“ eingesetzt werden. Für de Kerchove ist daher klar: „Der Zeitpunkt für die EU ist gekommen, hier zu handeln“, und zwar gesetzgeberisch.

Dammbrecher Australien

Australien hat es Ende 2018 vorgemacht und der Assistance and Access Act wird gerne zitiert. Drei Stufen der „Hilfe“ beim Zugriff auf verschlüsselte Daten im Speicher oder unterwegs haben Australiens Konservative (mit Unterstützung von Labour) vorgesehen. Bei den Technical Assistance Requests (TARs), versorgen die Provider die australische Polizei sowie die verschiedene Geheimdienste mit entschlüsselten Daten von Zielpersonen.

Wer sich weigert, kann mit einer Technical Assistance Notice verpflichtet werden. Und wenn für die Entschlüsselung besondere Technik – etwa spezielle Software oder die Ausnutzung von Schwachstellen – notwendig ist, kann in letzter Konsequenz eine Technical Capability Notice (TCN) auferlegt werden.

Zur bereits früher verabschiedeten britischen Variante für eine Verpflichtung zur Hilfestellung bestehen unter anderem Unterschiede bei der Aufsicht. Im Vereinigten Königreich kann eine TCN an Kommunikationsprovider nur unter Zustimmung von Minister und Richter erfolgen. Der Verzicht auf höhere Hürden wurde von Unternehmen und Zivilgesellschaft vor und nach der Verabschiedung des australischen Gesetzes stark kritisiert. Aber er ist bei weitem nicht der einzige Kritikpunkt.

"Das Verfahren stinkt zum Himmel"

Australiens Provider, Softwareanbieter, Rechtsexperten und Zivilgesellschaft wirken fast schon verzweifelt. Bereits zum vierten Mal waren sie dieses Frühjahr aufgefordert, ihre Stellungnahme zu dem Ende 2018 im Hau-Ruck-Verfahren verabschiedeten Gesetz abzugeben.

Was soll das eigentlich bringen, fragte einer der Kommentatoren schon in Runde drei. Das Verfahren stinke zum Himmel, „man könnte sagen Mist“, schrieb er erbost und ist so offiziell auf der Seite des Parliamentary Joint Committee for Intelligence and Security. Denn 98 Prozent der rund 450 Stellungnahmen der ersten beiden Runden seien einfach ignoriert worden.

Für die aktuelle Runde vier verlegten sich die Betroffenen denn auch auf Copy and Paste-Stellungnahmen, etwa der Zusammenschluss australischer Start-ups, die lapidar bemerkten, die Probleme mit dem Gesetz und deren rechtliche Würdigung habe sich von der einen zur anderen Anhörung ja nicht verändert.

Die Liste der Beschwerden ist lang. Neben dem Verzicht auf richterliche Aufsicht und eine unabhängige Fachaufsicht, die die TAN- und TCN-Anträge der Behörden prüft, ist der enorm weite Kreis der Betroffenen ein Kritikpunkt. Selbst die Hersteller elektronischer Geräteteile könnten verpflichtet werden. Zudem ist das Gesetz praktisch als „alltägliches Werkzeug“ konzipiert und nicht als Ultima Ratio in extremen Fällen, mahnten viele Gruppen.

Denn Australiens Polizei und Geheimdienste dürfen den weiten Kreis von „Designated Communication Providern“ schon wegen Straftaten ihrer Kunden oder Nutzer in Anspruch nehmen, die mit drei Jahren Gefängnis geahndet werden. Dazu gehört etwa die Behinderung anderer bei der Ausübung politischer Rechte oder Missbrauch des Notrufs.