Crypto Wars: Planungen für "Entschlüsselungsbehörde" unter Beschuss
SPD-Digitalpolitikerin Saskia Esken findet kritische Worte zur "Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis)", die auf dem Wunschzettel der Bundesregierung steht. Auch verschiedene Security-Experten sind skeptisch.
Der Widerstand gegen Konzepte für staatliche Verschlüsselungskontrolle formiert sich.
"Der Staat bringt sich als Händler und Horter von Sicherheitslücken in eine schwierige Lage", konstatierte Saskia Esken, Vizesprecherin für Digitalpolitik der SPD-Bundestagsfraktion, am gestrigen Freitag auf der Konferenz "Verschlüsselungspolitik in Deutschland – welche Agenda brauchen wir?" im Rahmen des Internet Governance Forum Deutschland (IGF-D) in Berlin. Sie stehe der geplanten "Zentralen Stelle für Informationstechnik im Sicherheitsbereich" (Zitis) daher "ziemlich kritisch gegenüber". Bisher blieben die Aufgaben der Behörde "ominös" aufgrund rein "blumiger Beschreibungen".
"Wir wissen nicht mehr als Sie", ließ die Sozialdemokratin das Publikum im Namen der Volksvertreter wissen. Klar sei bisher nur, dass die Stelle die Mittel, die sie zum Knacken von Verschlüsselung entwickeln könnte, "selbst nicht einsetzen", sondern als übergeordneter Dienstleister für die Polizei und Staatsschützer fungieren solle. Es gebe auch einen Bedarf bei Sicherheitsbehörden, verschlüsselte Nachrichten etwa zur Terrorabwehr lesen zu können. Dafür dürfe aber nicht die "Sicherheit der Kommunikation der gesamten Bevölkerung" unterwandert werden. Völlig offen sei auch, wo sich die anvisierten 400 Mitarbeiter überhaupt finden ließen. Sie persönlich würde sich zudem etwa in puncto E-Mail-Verschlüsselung "wesentlich mehr wünschen" als das, was derzeit üblich sei.
Zitis soll mehr sein
Zitis rein als "Entschlüsselungsbehörde" aufzuziehen oder zu verstehen, "greift zu kurz", gab Michael Hange, Ex-Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), zu bedenken. Dasselbe gelte für die Idee, "es werde dort nur mit Schwachstellen gehandelt". Für das BSI sei jedenfalls die Devise maßgeblich: "Wir sagen nix" zu Lücken im System. Einschlägige Informationen würden also nicht an Ermittler oder Spione weitergegeben. Laut Hange gilt es allgemein zu fragen, wie Sicherheitsbehörden an Informationen kommen könnten. Dabei spielten auch Metadaten wie Verbindungs- und Standortangaben eine immer wichtigere Rolle, um etwa Profile erstellen zu können.
Genau das – nämlich das Erstellen von Profilen – sei Strafverfolgern und Geheimdiensten aber verfassungsrechtlich untersagt, sofern es mit Vorsatz geschehe: Diese Warnung kam von Rechtsanwältin Stefanie Kunz.
Flächendeckende Verschlüsselung gegen Massenüberwachung
(Bild: Stefan Krempl/IGF-D)
Einig war sich Hange mit Michael Waidner vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in der Einschätzung, dass gerade unter den Voraussetzungen der "Industrie 4.0" professionellere Infrastrukturen für Verschlüsselung inklusive Trustcenter aufgebaut werden müssten. Der Staat sei hier in der Pflicht zu liefern, bekundete Waidner. Es sei generell sinnvoll, "flächendeckend zu verschlüsseln", um Massenüberwachung zu erschweren. Das SIT habe daher mit Partnern die "Volksverschlüsselung" ins Leben gerufen, um das Problem des Schlüsselaustauschs anzugehen.
Das "Hype-Thema" Quantenkryptografie, das für diesen Zweck ebenfalls neue Verfahren zur Verfügung stellen könnte, hält Waidner für überbewertet. Diese Technik sei durch Implementierungsschwächen genauso angreifbar wie derzeitige Verschlüsselungsverfahren. Andererseits sei Kryptografie generell auch mit Quantencomputern nicht "tot", sie werde nur "etwas aufwendiger". So könne mit den "magischen" Rechnern zwar das RSA-Verfahren schneller gebrochen werden. Viele andere Krypto-Algorithmen blieben aber erhalten. (psz)
