"Böses Problem" Verschlüsselung: EU-Staaten wollen Sicherheitslücken ausnutzen
EU-Innenpolitiker und Strafverfolger diskutieren ein Schwachstellenmanagement, mit dem Lücken nicht geschlossen, sondern gezielt offen gehalten werden sollen.
(Bild: Gorodenkoff/Shutterstock.com)
Ein Schwachstellenmanagement auf EU-Ebene könnte helfen, das "böse Problem" der Verschlüsselung zu lösen. Darin waren sich die rund 70 Teilnehmer des zweiten Jahrestreffens des "EU-Innovationszentrums für die innere Sicherheit" Mitte September weitgehend einig. Dies geht aus einem vertraulichen internen Bericht des Ministerrats hervor, den die britische Bürgerrechtsorganisation Statewatch veröffentlicht hat.
Laut dem Papier diskutierten Vertreter von Strafverfolgungsbehörden über die Möglichkeiten eines EU-weiten "Schwachstellenmanagements". Die Teilnehmer sprachen sich demnach dafür aus, Sicherheitslücken in Hard- und Software "vorübergehend" offen zu halten und zu "speichern", damit sie von den zuständigen Behörden ausgenutzt werden könnten. Dafür sei aber ein "strenger Risikobewertungsprozess" nötig.
Ampel um Schließung bemüht
Damit läuft die EU-Debatte über ein Schwachstellenmanagement unter ganz anderen Vorzeichen als in Deutschland. Hierzulande hat das Ampel-Bündnis in seinem Koalitionsvertrag betont, die Ausnutzung von Schwachstellen durch Behörden stehe "in einem hochproblematischen Spannungsverhältnis zur IT-Sicherheit und den Bürgerrechten. Der Staat werde daher keine Sicherheitslücken ankaufen oder offenhalten", sondern sich "immer um die schnellstmögliche Schließung bemühen".
Der EU-Rat drängt schon seit Längerem auf Zugriffsmöglichkeiten auf verschlüsselte Kommunikation im Klartext und eine stärkere Kooperation mit der IT-Industrie. Man sei gegen Ansätze, die Sicherheitssysteme materiell schwächten oder einschränkten, ist dabei oft zu hören. So sollen weitere Debatten über Krypto-Nachschlüssel, Hintertüren oder "Vordereingänge" für Sicherheitsbehörden vermieden werden. Eine "magische" Zugangslösung verweisen Experten aber ins Reich der Märchen, da es "ein bisschen verschlüsselt" nicht gibt.
Metadaten im Visier
Bei dem Runden Tisch des "EU Innovation Hub", der bei Europol angesiedelt ist, nahmen laut dem Bericht unter anderem zwei Vertreter der französischen Gendarmerie teil, die jüngst durch den "Hack" des Encrochat-Messaging-Systems auf sich aufmerksam gemacht hatte. Mit dabei waren etwa auch Markus Keil vom Bayerischen Landeskriminalamt, Boštjan Škrlec, Vizepräsident der EU-Agentur für die justizielle Zusammenarbeit in Strafsachen (Eurojust), Iwen Coisel vom European Cybercrime Centre (EC3) von Europol sowie Forscher und Vertreter der Zivilgesellschaft.
Škrlec warb dem Papier zufolge für ein besseres Zusammenspiel zwischen öffentlichen Stellen und privaten Dienstebetreibern sowie zwischen Strafverfolgungs- und Justizbehörden verschiedener Länder. Dies sei der "einzige Weg, um die grenzüberschreitende kriminelle Ausnutzung verschlüsselter Kommunikationsplattformen zu bekämpfen".
Dabei geht es Strafverfolgern auch um eine engere Zusammenarbeit mit "Over the Top"-Anbietern wie WhatsApp und anderen Messenger-Diensten. So könnten die berechtigten Behörden etwa auf Metadaten wie Verbindungsinformationen zugreifen und sie verarbeiten, "ohne die Verschlüsselung zu schwächen".
(vbr)
