HLG: "Daten aufbewahren, dass jeder Nutzer eindeutig identifiziert werden kann"
EU-Experten für Strafverfolgung fordern von WhatsApp, Signal & Co. das Unmögliche: den Einbau von Abhörschnittstellen und die Gewährleistung der IT-Sicherheit.
Ein direkter Zugang zu Nachrichten würde die Verschlüsselungsmechanismen sicherer Messenger ad absurdum führen.
(Bild: Tero Vesalainen/Shutterstock.com)
Die umstrittene Hochrangige Gruppe der EU zum Datenzugang für eine wirksame Strafverfolgung (HLG) hat ihre Empfehlungen vorgelegt. Mit dem 42 Punkte umfassenden Papier fordern die Experten, die vor allem aus dem Bereich Strafverfolgung der EU und der Mitgliedsstaaten stammen, von Kommunikationsdienstleistern mit durchgehender Verschlüsselung wie WhatsApp, Signal, Threema & Co. technisch Unmögliches.
Die Dienstleister sollen die IT-Sicherheit ihrer Dienste gewährleisten, zugleich aber Abhörschnittstellen direkt in ihre Anwendungen einbauen, um Ermittlern den Zugriff auf Daten im Klartext nahezu in Echtzeit zu erlauben. Dafür müsste die Ende-zu-Ende-Verschlüsselung (E2EE) aber gebrochen, umgangen oder – etwa über eine Drittpartei mit Generalschlüssel – ausgehebelt werden. Von IT-Security und Datenschutz für die Nutzer bliebe so nichts übrig.
Zugang soll direkt in Technik integriert sein
Die EU-Kommission richtete die Arbeitsgruppe voriges Jahr auf Drängen der Mitgliedsstaaten ein. Ausgangspunkt waren die laufenden Crypto Wars und die damit verknüpfte Debatte über das "Going Dark"-Szenario, wonach die zunehmende durchgängige Verschlüsselung gerade von Messenger-Diensten Ermittler blind und taub zu machen droht. Wissenschaftler halten das zwar für einen Mythos, doch Polizei und Justiz wollen das von ihnen ausgemachte "böse Problem" der Verschlüsselung gelöst wissen. Vertreter von Strafverfolgungs- und Justizbehörden aus den USA forderten so bei einem Treffen mit Abgesandten der EU-Seite voriges Jahr, mit dem Grundsatz "Lawful Access by Design" den Zugang zu unverschlüsselten Kommunikationsdaten direkt in die Technik zu integrieren.
Die HLG hat diesen Appell aufgegriffen. Ihr als vertraulich eingestufter Katalog, den Netzpolitik.org veröffentlicht hat, enthält die Forderung nach der Implementierung von "Lawful Access by Design" in "allen relevanten Technologien im Einklang mit den von den Strafverfolgungsbehörden geäußerten Ansprüchen". Dabei müssten gleichzeitig "eine hohe Sicherheit und Cybersicherheit gewährleistet und die vollständige Einhaltung der gesetzlichen Verpflichtungen in Bezug auf den rechtmäßigen Zugriff sichergestellt werden". Laut der HLG sollen Polizeipraktiker zwar "zur Definition der Anforderungen beitragen". Es sei jedoch nicht deren Aufgabe, "Unternehmen bestimmte Lösungen aufzuerlegen". Dafür empfehlen Experten die Entwicklung eines Technologie-Fahrplans, die "Fachleute für Technologie, Cybersicherheit, Datenschutz, Standardisierung und Sicherheit zusammenbringt und eine angemessene Koordinierung gewährleistet".
Jeder Nutzer soll mit Vorratsdaten klar identifizierbar sein
Zugleich unterstreicht die HLG, dass mögliche einschlägige neue Verpflichtungen, Rechtsinstrumente beziehungsweise Standards "nicht direkt oder indirekt dazu führen, dass die Anbieter die Sicherheit der Kommunikation schwächen müssen, indem sie E2EE allgemein untergraben". Daher müssten Vorgaben "für den Zugriff auf Klardaten einer sorgfältigen Bewertung auf der Grundlage modernster technologischer Lösungen unterzogen werden". Dabei seien "wiederum die Herausforderungen der Verschlüsselung" zu berücksichtigen.
Hersteller oder Dienstanbieter hätten prinzipiell schon jetzt die Pflicht, einen rechtmäßigen Zugriff durch Technikgestaltung zu ermöglichen. Sie sollten dies aber so tun, "dass dies keine negativen Auswirkungen auf die Sicherheitslage ihrer Hardware- oder Softwarearchitekturen hat". "Unkooperativen" Dienstleistern müssten Sanktionen drohen.
"Sprung in vollüberwachte Gesellschaft"
Dazu kommt etwa der Ruf nach einer "Einführung eines harmonisierten EU-Systems zur Vorratsdatenspeicherung", das "technologieneutral und zukunftssicher" sein soll sowie aktuelle und künftige Datenverarbeiter, inklusive "Over the Top"-Plattformen, die Dienste wie Messaging direkt übers Internet anbieten. Auch dabei sei der Zugriff auf "verständliche Daten" sicherzustellen. Bei Metadaten wie Standort- und Verbindungsinformationen und Teilnehmerdaten sollte es für den Serviceanbieter also eine Möglichkeit geben, diese bei einer Verschlüsselung "jederzeit während der Bereitstellung des Dienstes zu entschlüsseln".
Die HLG drängt ferner zumindest auf eine Auflage für Unternehmen, "Daten so lange aufzubewahren, dass jeder Nutzer eindeutig identifiziert werden kann", etwa über IP-Adresse und Portnummer. Anonymität im Netz wäre so nicht mehr möglich. Hierzulande tobt die Debatte über eine IP-Vorratsdatenspeicherung bereits. Die Innen- und Justizminister der EU sollen die Liste während ihres nächsten Treffens am 13. und 14. Juni besprechen und bis dahin "leicht zu erreichende Ziele" ausmachen, "die sofort weiterverfolgt oder angegangen werden" müssten. Die Spitzenkandidatin der Piratenpartei zur Europawahl, Anja Hirschel, warnt: "Die Going-Dark-Pläne sind ein nie dagewesener, maßloser Sprung direkt in eine vollüberwachte Gesellschaft."
(are)
