Missing Link: Wie Staaten die Verschlüsselung im Internet per Gesetz aushebeln
Australien hat Provider verpflichtet, Behörden unverschlüsselte Daten zu liefern. Das nimmt sich die EU zum Vorbild – trotz Warnungen und bedenklicher Folgen.
(Bild: Michal Jarmoluk, gemeinfrei)
Macht Verschlüsselung uns nun sicherer? Jein, meinen die Strafverfolger in Europa, jammern über standardmäßige Verschlüsselung und eifern Australiens Anti-Verschlüsselungsgesetz nach. Dass das mehr Sicherheit bringt, ist noch nicht bewiesen. Ein paar unschöne Nebenwirkungen aber kann man schon sehen.
Von Australien lernen?
Australiens Assistance and Access Act ist gerade hoch im Kurs bei denen, die auch für Europa ein Anti-Verschlüsselungsgesetz fordern. Aber welche Erfahrungen gibt es aus Down-Under mit der Verpflichtung für Provider, Strafverfolgern und Geheimdiensten auf Zuruf verschlüsselte Daten im Klartext zu liefern? Die Europäische Union muss „dringend“ antworten auf die weitere Verbreitung von „Verschlüsselungspraktiken“, schrieb Europas oberster Anti-Terror-Beamter, Gilles de Kerchove in einem kürzlich von Netzpolitik geleakten Brief an die Mitgliedsstaaten der Gemeinschaft. Die bessere Verschlüsselung von Endgeräten und von Datenströmen, das wachsende Angebot an maßgeschneiderter Verschlüsselungstechnik, die Integration von Verschlüsselungslösungen quer über große Plattformen und nicht zuletzt der Einbau von Verschlüsselung in Basisprotokolle des Internets drohe den Zugriff auf kriminelle Inhalte zu erschweren, wenn er nicht schon fast unmöglich gemacht werde, so de Kerchoves alarmistische Botschaft.
Den Entwicklern und Unternehmen wirft de Kerchove vor – übrigens im Gleichklang mit Europols zweitem Bericht zu den Entwicklungen – sie würden „unilateral“ ihre Verschlüsselungspraktiken ändern, „ohne sich mit Strafverfolger und Justizbehörden auszutauschen, um deren Bedenken bei einem Roll-Out zu adressieren“. Die meisten Lösungen, Verschlüsselung zu umgehen, seien aufwändig und kostenintensiv und könnten nur „für hochwertige Ziele“ eingesetzt werden. Für de Kerchove ist daher klar: „Der Zeitpunkt für die EU ist gekommen, hier zu handeln“, und zwar gesetzgeberisch.
Dammbrecher Australien
Australien hat es Ende 2018 vorgemacht und der Assistance and Access Act wird gerne zitiert. Drei Stufen der „Hilfe“ beim Zugriff auf verschlüsselte Daten im Speicher oder unterwegs haben Australiens Konservative (mit Unterstützung von Labour) vorgesehen. Bei den Technical Assistance Requests (TARs), versorgen die Provider die australische Polizei sowie die verschiedene Geheimdienste mit entschlüsselten Daten von Zielpersonen.
Wer sich weigert, kann mit einer Technical Assistance Notice verpflichtet werden. Und wenn für die Entschlüsselung besondere Technik – etwa spezielle Software oder die Ausnutzung von Schwachstellen – notwendig ist, kann in letzter Konsequenz eine Technical Capability Notice (TCN) auferlegt werden.
(Bild: Telecommunications (Interception and Access) Act 1979 Annual Report 2018–19)
Zur bereits früher verabschiedeten britischen Variante für eine Verpflichtung zur Hilfestellung bestehen unter anderem Unterschiede bei der Aufsicht. Im Vereinigten Königreich kann eine TCN an Kommunikationsprovider nur unter Zustimmung von Minister und Richter erfolgen. Der Verzicht auf höhere Hürden wurde von Unternehmen und Zivilgesellschaft vor und nach der Verabschiedung des australischen Gesetzes stark kritisiert. Aber er ist bei weitem nicht der einzige Kritikpunkt.
"Das Verfahren stinkt zum Himmel"
Australiens Provider, Softwareanbieter, Rechtsexperten und Zivilgesellschaft wirken fast schon verzweifelt. Bereits zum vierten Mal waren sie dieses Frühjahr aufgefordert, ihre Stellungnahme zu dem Ende 2018 im Hau-Ruck-Verfahren verabschiedeten Gesetz abzugeben.
Was soll das eigentlich bringen, fragte einer der Kommentatoren schon in Runde drei. Das Verfahren stinke zum Himmel, „man könnte sagen Mist“, schrieb er erbost und ist so offiziell auf der Seite des Parliamentary Joint Committee for Intelligence and Security. Denn 98 Prozent der rund 450 Stellungnahmen der ersten beiden Runden seien einfach ignoriert worden.
Für die aktuelle Runde vier verlegten sich die Betroffenen denn auch auf Copy and Paste-Stellungnahmen, etwa der Zusammenschluss australischer Start-ups, die lapidar bemerkten, die Probleme mit dem Gesetz und deren rechtliche Würdigung habe sich von der einen zur anderen Anhörung ja nicht verändert.
Die Liste der Beschwerden ist lang. Neben dem Verzicht auf richterliche Aufsicht und eine unabhängige Fachaufsicht, die die TAN- und TCN-Anträge der Behörden prüft, ist der enorm weite Kreis der Betroffenen ein Kritikpunkt. Selbst die Hersteller elektronischer Geräteteile könnten verpflichtet werden. Zudem ist das Gesetz praktisch als „alltägliches Werkzeug“ konzipiert und nicht als Ultima Ratio in extremen Fällen, mahnten viele Gruppen.
Denn Australiens Polizei und Geheimdienste dürfen den weiten Kreis von „Designated Communication Providern“ schon wegen Straftaten ihrer Kunden oder Nutzer in Anspruch nehmen, die mit drei Jahren Gefängnis geahndet werden. Dazu gehört etwa die Behinderung anderer bei der Ausübung politischer Rechte oder Missbrauch des Notrufs.
Backdoor or not?
Am heißesten umkämpft ist der Einbau von „Hintertüren“. Australiens Innenministerium, der Inlandsgeheimdienst Asio und andere Behörden unterstrichen bei der jüngsten Anhörung des „Independant National Security Legislation Monitor“, eines von der Regierung ernannten Wächters der Effizienz von Sicherheitsgesetzgebung, dass Hintertüren geradezu verboten seien in Australiens Anti-Verschlüsselungsgesetz.
Die Aufforderung an alle Arten von Providern, eine neue technische Maßnahme zu schaffen, die den Zugriff auf verschlüsselten Kommunikation oder Daten erlaubt, erstrecke sich nicht auf den Einbau „systemischer Schwachstellen oder systemischer offener Stellen“, wiederholte unter anderem Mike Burgess, Sicherheitschef bei ASIO. Die Unterstützung der Unternehmen, die Asio in Anspruch genommen haben, „hat keinerlei Hintertüren in Verschlüsselung oder Schwachstellen in Netzwerken oder Geräten“ beinhaltet, sagte Burgess.
Australiens Regierung tritt dem Vorwurf, Hintertüren einzubauen, mit einer eigenen FAQ entgegen, in der sie über "Mythen" spricht, die über das Gesetz verbreitet wurden. Tatsächlich gehören die Klauseln um das Schwachstellen-Verbot zu den großen Schwachstellen des, wie viele sagen, vom Gesetzgeber 'hingehudelten' und kurz nach der Verabschiedung übrigens bereits einmal novellierten Gesetzes. Die Definition, was eine systemische Schwachstelle ist, bedarf der Auslegung.
Streit über Definition einer Schwachstelle
Der Erklärungsversuch, dass eine Schwachstelle „systemisch“ sei, wenn sie eine ganze Klasse technologischer Geräte/Dienste betreffe – so steht es im Gesetz – sei kaum hilfreich, mahnten unter anderem Vertreter von Internet Australia, des australischen Chapters der Internet Society bei der Anhörung.
Es sei auch ganz schön, dass der Inlandsgeheimdienst zusichere, man wolle keine Hintertüren einbauen und das Internet kaputt machen, so die Internet Australia-Vertreter. „Viele große Schwachstellen im Netz sind Zufallsprodukte, die vielleicht aus dem Zusammenspiel von 15 einzelnen Bugs entstanden und erst Jahre später entdeckt wurden, nachdem sie sich weltweit durchs Netz verbreitet hatten“, sagte der Chef von Internet Australia, Paul Brooks. Die Erfahrung lehre, dass es dann Jahre brauche, um die Bugs zu fixen, „wenn sie jemals komplett gefixt werden.“
Selbst wenn Geheimdienst und Polizei also auf „Hintertüren“ verzichten und dabei in ihrer Definition so konservativ sind, wie sich das die Sicherheitsexperten im IT-Bereich vorstellen, werden aus ihren „Sonderzugängen“ schneller dauerhafte Schwachstellen und Hintertüren, als sie sich das vorstellen können. Auch bei der National Security Agency (NSA) in den USA hat das Prinzip „Nur für unsere Augen“ nicht geklappt. Von Freak bis Doublepulsar – die Schwachstellen, die das Netz durch verloren gegangene Einbruchswerkzeuge der NSA geerbt hat, sind zahlreich.
Daran werden auch die vom noch amtierenden „Independant National Security Legislation Monitor“ James Renwick geplanten Klärungen wenig ändern. Renwick will die Definition der „Schwachstellen“ und anderer Begriffe schärfen und auch klarere Differenzierungen zwischen TANs und TCNs vornehmen, wenn das überhaupt möglich ist.
Notwendig, angemessen, sachdienlich?
Offiziell haben im ersten Jahr nach Verabschiedung des Gesetzes TCNs und TANs, also Verpflichtungen zum Aufschlüsseln dort, wo der Provider das ohnehin schon kann, gar keine große Rolle gespielt. Das legen die ersten Zahlen nahe, die im regulären Jahresbericht (PDF-Datei) des Innenministeriums zu Überwachungsanordnungen notiert sind. Gerade mal sieben TARs führt der Bericht auf, also freiwillige Preisgaben von Daten durch die Provider gegenüber der australischen Bundespolizei und der Polizei New South Wales. Die in sieben Monaten erteilten sieben Anordnungen betreffen Cybercrime, organisierte Kriminalität, Diebstahl und mittels Telekommunikation begangene Verbrechen.
„Bedeutet das, dass man das Gesetz eigentlich doch gar nicht braucht?“, fragt Riana Pfefferkorn, Expertin im Bereich Verschlüsselungspolitik an der Stanford Universität und eine der aktiven nicht australischen Teilnehmer an den verschiedenen Anhörungsrunden. „Bedeutet es, dass man die gewünschten Informationen doch anderweitig beschaffen kann?“, fragt sie, „oder erzählen die Zahlen nur einen Teil der Geschichte?“
Tatsächlich kann die Polizei nur TARs beantragen. Sobald es ans Eingemachte geht, also verpflichtende TANs und TCNs, sind nur noch ASIO und zur Telekommunikationsüberwachung ermächtigte Dienste, die die Polizei dann in Anspruch nehmen muss, kompetent. Die wiederum decken über ihre Aktivitäten den Mantel der Geheimhaltung. Wenigstens eine Übersicht zur zahlenmäßigen Entwicklung regt Renwick hier an. Mehr Zugriffe könnten es übrigens auch noch werden, wenn die für interne Ermittlungen und Korruption in Polizei und Verwaltungen zuständige Behörden auch Zugriff erhalten, wie Renwick es empfehlen will – sie waren bislang ausgeschlossen.
ASIOs Sicherheitschef Burgess jedenfalls betonte, dass seine Behörde bereits zehn Tage nach Inkrafttreten in Anspruch genommen habe und will damit dokumentieren, wie sehr man auf Access und Assistance angewiesen sei.
Ökonomische und andere Anekdoten
Von Beginn an war Australiens IT-Branche Sturm gelaufen gegen das kurzfristig anberaumte und nach Ansicht vieler fast Handstreich-artig vor Weihnachten 2018 verabschiedete Gesetz. Verbände und einzelne Unternehmen hatten gewarnt, dass die Aussicht auf Hintertür-Verpflichtungen australische Software für den Export unattraktiv machen, lokale Cloud-Provider es schwer haben und große multinationale Unternehmen dem Druck weichen und Standorte von Down-Under in noch Anti-Encryption-freie Regionen verlegen.
40 Prozent der im Auftrag von mehreren Verbänden befragten Unternehmen der Branche gaben an, dass das Gesetz für sie Umsatzeinbußen oder den Verlust geschäftlicher Projekte bedeutet habe. 51 Prozent gaben an, dass sie das Gesetz als „sehr schlecht“ beurteilten und 61 Prozent berichteten, dass sie alle Hände voll mit den Nachfragen besorgter Kunden zu tun hätten.
(Bild: InnovationAus: Industry Pulse, Encryption Survey, Dezember 2019)
Vertreter australischer Pioniere im Geschäft mit Sicherheit und Software, Senetas und Atlassian, sind verbittert. „Diese Gesetzgebung wird unsere Firma aus dem Land vertreiben“, sagte im vergangenen Jahr Francis Galbally, Vorstandsvorsitzender von Senetas, und der im Widerstand gegen das Gesetz rührige Mitbegründer und CEO von Atlassian, Scott Farquhar verwies auf die negativen Effekte für den IT-Jobmarkt in Australien, das sich doch gerade so gut etabliert habe als Standort für Start-ups im IT-Bereich, übrigens auch mit öffentlicher Förderung.
In der jüngsten Anhörung im März wiederholte Rupert Taylor-Price, CEO des Cloud-Anbieters Vault, wegen klassischer Geschäfts- und Vertraulichkeitsgrundsätze könne man keine detaillierten Zahlen liefern. „Wir können aber nachweisen, dass der Export von Vaults Technologie erheblich und empfindlich durch die Wahrnehmung des Assistance and Access Act gelitten hat.“ Überzeugungskraft und Logik hätten es schwer gegen die Schlagzeilen in der Berichterstattung, sagte Price.
Anekdotisch nannten Vertreter des Innenministeriums solche Aussagen, da konkrete Zahlen fehlten – ein Vorwurf, dem sie sich übrigens selbst stellen müssen, wie Pfefferkorn unterstreicht. Wenn Unternehmen, deren Kunden und den Medien eine wenig aussagekräftige Zahl sieben vor die Füße geworfen wird, gründeten sie den Nutzen ihres Gesetzes allein auf anekdotenhafte Berichte zu vereitelten Straftaten. Auch die fehlen für den das Anti-Verschlüsselungsgesetz allerdings bislang noch.
(Un)erwünschte Nebenwirkungen
Die jüngste Stellungnahme von Vault illustrierte dabei noch einen anderen Effekt. Der durch die Gesetzgebung behinderte Cloud-Anbieter meint, wer A sagt, müsse auch B sagen. Da es für die multinationale Konkurrenz leichter sei, sich den Bestimmungen durch Verlagerung in andere Geschäftssitze zu entziehen, sie zugleich aber nicht daran gehindert würden, weiter ihre Dienste in Australien anzubieten, muss der Gesetzgeber auch den nächsten Schritt gehen.
Vaults dritte Empfehlung im März lautete: Die Regierung sollte rasch eine Gesetzgebung auf den Weg bringen, die Data Souveränitäts-Bestimmungen festlegt. Mindestens sollte die Regierung vertrauliche Regierungsdaten, Gesundheitsdaten und Finanzdaten schützen.
Ermächtigung zum Ändern und Löschen von Dateien
Auf einen anderen erschreckenden Nebeneffekt der erweiterten Zugriffsbestimmungen für Polizei und Dienste machten Pfefferkorn und andere Kommentatoren in ihrer Eingabe im vergangenen Jahr aufmerksam: die Ausnutzung der neuen Zugriffsmöglichkeiten gegenüber einer unbotmäßigen Berichterstattung.
Der Assistance and Access Act beinhaltet im weniger beachteten dritten Abschnitt erhebliche Verschärfungen der Ermächtigungen bei der Beweissicherung. Gegen Journalisten, die über die Gesetzesentwicklung des Anti-Encryption-Gesetzes oder über die Tötung von Zivilisten durch australische Verbände in Afghanistan berichtet hatten, erlaubten ihnen die neuen Bestimmungen unter anderem auch das Hinzufügen, Kopieren, Löschen oder Abändern von vorgefundenen Dateien auf den Computern des Nachrichtensenders ABC.
(Bild: Hannah Ritchie, Joe Hasell, Cameron Appel and Max Roser (2013) - "Terrorism". Published online at OurWorldInData.org)
Maßgabe ist dabei lediglich, dass diese Eingriffe den Beamten erlauben, an die Daten zu kommen, die sie haben wollen. Wer hätte gedacht, sagt Pfefferkorn empört, dass das Gesetz am Ende nicht gegen Terroristen und Kinderschänder eingesetzt wird, sondern um gegen eine kritische Berichterstattung vorzugehen und dazu die Wäscheschublade einer Investigativreporterin zu durchforsten.
Vorbild für die EU-Gesetzgebung gegen Verschlüsselung?
Pfefferkorn sieht die Neuauflage der Verschlüsselungsdebatte mit einiger Sorge. Parallel zur Entwicklung in Australien haben in der USA einzelne Politiker mit dem Earn IT-Vorschlag Furore gemacht, der die Willfährigkeit von Tech-Unternehmen durch den Verlust von Haftungsprivilegien erzwingen will. „Es ist eher unwahrscheinlich, dass das in der laufenden Legislaturperiode noch duchgeboxt wird“, meint sie.
Aber auch andere Länder ziehen nach, etwa Indien, das Messenger-Apps eine „Nachverfolgbarkeit für Ende-zu-Ende-Verschlüsselung“ auferlegen will, berichtet die Internet Society (ISOC). Der britische Geheimdienst möchte gerne per Ghost-Account unbemerkt mithören. Kasachstan will ISPs auf ein eigenes Rootzertifikat festlegen und Trumps Generalstaatsanwalt William Barr trumpft immer mal wieder mit Schnellschüssen auf, dass er Zugriff auf Verschlüsselung gesetzlich erzwingen will. Übrigens soll der Verfassungsschutz künftig WhatsApp- und Telegram-Chats anzapfen dürfen. Diese Entwicklungen haben die ISOC dazu veranlasst, eine globale Kampagne für starke Verschlüsselung zu organisieren. Auch in Europa soll sie demnächst starten.
Die Grundsatzaussage dieser Kampagne ist prägnant: Verschlüsselung ist der Sicherheitsgurt der digitalen Gesellschaft. Man kann ihn ansägen, aber das ist der Sicherheit abträglich, nicht nur der von Kriminellen, sondern der von allen. Australien hat angesichts der Schwächen seines Aufschlags für den Umgang mit Verschlüsselung ein Negativ-Beispiel geliefert, in der Sache und im Verfahren. Als Vorbild taugt der Access and Assistance Act einfach nicht – und man wird schlechte Gesetze nur schwer wieder los. Eine komplette Neufassung des Gesetzes sei wohl eher nicht realistisch, meint Rendwick, der bis Ende des Monats Vorschläge machen wird, um die ärgsten Schnitzer auszubessern.
(tiw)
