Seite 2: Backdoor or not?

Inhaltsverzeichnis

Am heißesten umkämpft ist der Einbau von „Hintertüren“. Australiens Innenministerium, der Inlandsgeheimdienst Asio und andere Behörden unterstrichen bei der jüngsten Anhörung des „Independant National Security Legislation Monitor“, eines von der Regierung ernannten Wächters der Effizienz von Sicherheitsgesetzgebung, dass Hintertüren geradezu verboten seien in Australiens Anti-Verschlüsselungsgesetz.

Die Aufforderung an alle Arten von Providern, eine neue technische Maßnahme zu schaffen, die den Zugriff auf verschlüsselten Kommunikation oder Daten erlaubt, erstrecke sich nicht auf den Einbau „systemischer Schwachstellen oder systemischer offener Stellen“, wiederholte unter anderem Mike Burgess, Sicherheitschef bei ASIO. Die Unterstützung der Unternehmen, die Asio in Anspruch genommen haben, „hat keinerlei Hintertüren in Verschlüsselung oder Schwachstellen in Netzwerken oder Geräten“ beinhaltet, sagte Burgess.

Australiens Regierung tritt dem Vorwurf, Hintertüren einzubauen, mit einer eigenen FAQ entgegen, in der sie über "Mythen" spricht, die über das Gesetz verbreitet wurden. Tatsächlich gehören die Klauseln um das Schwachstellen-Verbot zu den großen Schwachstellen des, wie viele sagen, vom Gesetzgeber 'hingehudelten' und kurz nach der Verabschiedung übrigens bereits einmal novellierten Gesetzes. Die Definition, was eine systemische Schwachstelle ist, bedarf der Auslegung.

Streit über Definition einer Schwachstelle

Der Erklärungsversuch, dass eine Schwachstelle „systemisch“ sei, wenn sie eine ganze Klasse technologischer Geräte/Dienste betreffe – so steht es im Gesetz – sei kaum hilfreich, mahnten unter anderem Vertreter von Internet Australia, des australischen Chapters der Internet Society bei der Anhörung.

Es sei auch ganz schön, dass der Inlandsgeheimdienst zusichere, man wolle keine Hintertüren einbauen und das Internet kaputt machen, so die Internet Australia-Vertreter. „Viele große Schwachstellen im Netz sind Zufallsprodukte, die vielleicht aus dem Zusammenspiel von 15 einzelnen Bugs entstanden und erst Jahre später entdeckt wurden, nachdem sie sich weltweit durchs Netz verbreitet hatten“, sagte der Chef von Internet Australia, Paul Brooks. Die Erfahrung lehre, dass es dann Jahre brauche, um die Bugs zu fixen, „wenn sie jemals komplett gefixt werden.“

Selbst wenn Geheimdienst und Polizei also auf „Hintertüren“ verzichten und dabei in ihrer Definition so konservativ sind, wie sich das die Sicherheitsexperten im IT-Bereich vorstellen, werden aus ihren „Sonderzugängen“ schneller dauerhafte Schwachstellen und Hintertüren, als sie sich das vorstellen können. Auch bei der National Security Agency (NSA) in den USA hat das Prinzip „Nur für unsere Augen“ nicht geklappt. Von Freak bis Doublepulsar – die Schwachstellen, die das Netz durch verloren gegangene Einbruchswerkzeuge der NSA geerbt hat, sind zahlreich.

Daran werden auch die vom noch amtierenden „Independant National Security Legislation Monitor“ James Renwick geplanten Klärungen wenig ändern. Renwick will die Definition der „Schwachstellen“ und anderer Begriffe schärfen und auch klarere Differenzierungen zwischen TANs und TCNs vornehmen, wenn das überhaupt möglich ist.

Notwendig, angemessen, sachdienlich?

Offiziell haben im ersten Jahr nach Verabschiedung des Gesetzes TCNs und TANs, also Verpflichtungen zum Aufschlüsseln dort, wo der Provider das ohnehin schon kann, gar keine große Rolle gespielt. Das legen die ersten Zahlen nahe, die im regulären Jahresbericht (PDF-Datei) des Innenministeriums zu Überwachungsanordnungen notiert sind. Gerade mal sieben TARs führt der Bericht auf, also freiwillige Preisgaben von Daten durch die Provider gegenüber der australischen Bundespolizei und der Polizei New South Wales. Die in sieben Monaten erteilten sieben Anordnungen betreffen Cybercrime, organisierte Kriminalität, Diebstahl und mittels Telekommunikation begangene Verbrechen.

„Bedeutet das, dass man das Gesetz eigentlich doch gar nicht braucht?“, fragt Riana Pfefferkorn, Expertin im Bereich Verschlüsselungspolitik an der Stanford Universität und eine der aktiven nicht australischen Teilnehmer an den verschiedenen Anhörungsrunden. „Bedeutet es, dass man die gewünschten Informationen doch anderweitig beschaffen kann?“, fragt sie, „oder erzählen die Zahlen nur einen Teil der Geschichte?“

Tatsächlich kann die Polizei nur TARs beantragen. Sobald es ans Eingemachte geht, also verpflichtende TANs und TCNs, sind nur noch ASIO und zur Telekommunikationsüberwachung ermächtigte Dienste, die die Polizei dann in Anspruch nehmen muss, kompetent. Die wiederum decken über ihre Aktivitäten den Mantel der Geheimhaltung. Wenigstens eine Übersicht zur zahlenmäßigen Entwicklung regt Renwick hier an. Mehr Zugriffe könnten es übrigens auch noch werden, wenn die für interne Ermittlungen und Korruption in Polizei und Verwaltungen zuständige Behörden auch Zugriff erhalten, wie Renwick es empfehlen will – sie waren bislang ausgeschlossen.

ASIOs Sicherheitschef Burgess jedenfalls betonte, dass seine Behörde bereits zehn Tage nach Inkrafttreten in Anspruch genommen habe und will damit dokumentieren, wie sehr man auf Access und Assistance angewiesen sei.