Cryptowars: EU drängt auf Fähigkeiten zur Entschlüsselung
Lorenz-Schlüsselmaschine. Bild: Matt Crypto/CC0
Immer öfter stoßen polizeiliche Ermittler auf kryptierte Datenträger, auch abgehörte Kommunikation kann häufig nicht entschlüsselt werden. Deutschland und Frankreich wollen das ändern
Die Europäische Union ruft dazu auf, verstärkt in Technologien zur Entschlüsselung digitaler Kommunikation zu investieren. In einem vorgestern veröffentlichten Dokument des Ratssekretariates heißt es, dass die zuständigen Stellen der Mitgliedstaaten geeignete Soft- und Hardware beschaffen sollen.
Hierzu müssten die Behörden verstärkt mit dem privaten Sektor zusammenarbeiten. Mehr Anstrengungen sollen auch im Bereich der Forschung erfolgen, um neue Methoden zur Entschlüsselung zu finden. Bis dahin sollen die Mitgliedstaaten auf Kapazitäten der Polizeiagentur Europol zurückgreifen, deren "European Cybercrime Centre" (EC-3) eine "Entschlüsselungsplattform" ("decryption platform") zur forensischen Untersuchung kryptierter Daten anbietet.
Das Ratsdokument listet verschiedene Probleme im Bereich digitaler Ermittlungen auf. So erfordere die Entschlüsselung komplexer Kryptierung teure technische Werkzeuge, etwa um die Geräte mit sogenannten Brute-Force-Attacken mithilfe von Wörterbüchern oder Algorithmen zu knacken. Allerdings beschreibt auch das Ratsdokument die Grenzen dieser Methoden, die nämlich bei langen Passwörtern eine hohe Rechenleistung erfordern. In einigen Mitgliedstaaten greifen die ermittelnden Behörden deshalb auf Dienste privater Firmen zurück, während andere Länder hierzu eigene forensische Institute betreiben.
Einfacher ist dem Dokument zufolge das Brechen schwacher Verschlüsselung oder das Erraten simpler Passwörter mithilfe marktüblicher Software. In manchen Fällen gibt es auch Hinweise auf die Zusammensetzung eines Passwortes, darunter Fragmente, Tastaturlayout oder die Passwortlänge. Besonderes Augenmerk soll auf den Mustern liegen, die Verdächtige für andere Passwörter verwenden. Sind diese bekannt, sollen sich die Behörden der Mitgliedstaaten mit den benötigten gegenseitigen Informationen unterstützen und hierzu die Kommunikationskanäle von Europol und Interpol nutzen.
Deutsche oder französische Lösung?
Die Entschlüsselung digitaler Kommunikation und Datenträger steht seit dem vergangenen Jahr ganz oben auf der Agenda der Kommission und des Rates. Vor einigen Monaten hatte Europol in seinem Terrorismus-Jahresbericht davor gewarnt, dass "der Islamische Staat und andere Terrorgruppen" auf verschlüsselte Kommunikation ausweichen und hierzu Apps wie Telegram benutzen. Auch der Ende September veröffentlichte Europol-Jahresbericht zur Internetkriminalität (IOCTA) widmet sich ausführlich dem "Missbrauch" von Verschlüsselung durch Kriminelle.
Mit der Ausgestaltung von Gegenmaßnahmen befasst sich mittlerweile das "Netzwerk der Justizbehörden und Experten im Bereich Cyberkriminalität" (EJCN), das eng mit Europol und Eurojust, der Agentur für die justizielle Zusammenarbeit, kooperieren will. Zur Debatte steht, bei Europol ein "Kompetenzzentrum" zur Entschlüsselung einzurichten. Zwar würden keine Inhalte abgehörter Kommunikation direkt an Europol ausgeleitet, die Behörden der Mitgliedstaaten könnten die Polizeiagentur aber um Hilfe bei der Entschlüsselung ersuchen.
Das Bundesinnenministerium verfolgt auf EU-Ebene die in Deutschland erfolgreich umgesetzte Linie, vermehrt Trojaner einzusetzen um Kommunikationsinhalte bereits vor der Verschlüsselung einzusehen. Die Kryptierung würde auf diese Weise zwar nicht gebrochen, aber nutzlos gemacht. Diese "deutsche Lösung" steht im Gegensatz zum französischen Vorschlag, der den Einbau von Hintertüren in Verschlüsselungssoftware fordert. Die beiden Regierungen hatten ihre konträre Haltung im vergangenen Sommer in einem Schreiben an die Kommission erläutert. Seitdem wurde das deutsch-französische Papier im Ständigen Ausschuss für die operative Zusammenarbeit im Bereich der inneren Sicherheit (COSI), im Ausschuss der Ständigen Vertreter sowie im Rat für Justiz und Inneres beraten.
Zusammenarbeit mit Geräteherstellern
Lange sah es so aus, als würde sich der deutsche Vorschlag durchsetzen. In den jüngsten Ratsschlussfolgerungen zum Stand der "Strategie der Inneren Sicherheit" ist jedoch erstmals davon die Rede, zur "Rolle der Verschlüsselung in strafrechtlichen Ermittlungen" einen Ansatz zu finden, bei dem auch mit Geräteherstellern zusammengearbeitet würde. Auch die deutsche Haltung wird in dem Papier berücksichtigt. Dort findet sich die Formulierung, der grenzüberschreitende Zugang zu elektronischen Beweismitteln erfordere "angemessene Online-Untersuchungsbefugnisse".
Auf der nächsten Sitzung der Justiz- und Innenminister will die Europäische Union Schlussfolgerungen gegen die "Herausforderungen in Bezug auf den Missbrauch von Diensten mit Ende-zu-Ende-Verschlüsselung" verabschieden. Auch die Bundesregierung vollzieht damit einen Kurswechsel. Bislang galt, Deutschland solle "Verschlüsselungsstandort Nr. 1" bleiben, in dem sich beispielsweise Unternehmen auf eine abhörsichere Kommunikation verlassen können. Mit den deutschen Anstrengungen in den EU-Ratsarbeitsgruppen werden nun das Bundeskriminalamt und Europol zu zentralen Akteuren, um die gesamte Europäische Union zum "Entschlüsselungsstandort Nr. 1" zu machen.