Verschlüsselung: Polizei will in Echtzeit an Datenströme von WhatsApp & Co.

Seit fast einem Jahr arbeitet die sogenannte Hochrangige Expertengruppe der EU zum Datenzugang für eine wirksame Strafverfolgung (HLEG) im Rahmen der Crypto Wars hinter verschlossenen Türen an Lösungen für das von Innenpolitikern und Ermittlern ausgemachte "böse Problem" der Verschlüsselung ("Going Dark"). Auf eine Informationsfreiheitsanfrage des EU-Abgeordneten Patrick Breyer (Piratenpartei) hin, hat die EU-Kommission nun – teils geschwärzt – einige Präsentationen herausgegeben, die etwas Licht in das Dunkel der Besprechungen bringen. Der Fokus von Praktikern und Standardisierungsgremien liegt demnach vor allem darauf, auch bei durchgängig verschlüsselten Diensten wie WhatsApp, Signal und Threema einen Zugriff auf Meta- und Kommunikationsdaten möglichst in Echtzeit zu bekommen.

Besonders weitgehende Forderungen in diese Richtung stellt die National Technical Support Unit (NTSU) der belgischen Bundespolizei auf. "Der Schwerpunkt liegt auf Echtzeitdaten – verwaltet durch die OTT", betont diese unter Verweis auf "Over the Top"-Plattformen, die Nutzern Dienste wie Messaging direkt übers Internet anbieten. Am weitesten komme man dabei über einen Direktkontakt etwa zu den Big-Tech-Konzernen, die in der Regel einen Sitz in der EU hätten und damit liefern müssten. Die technische Unterstützungseinheit spricht hier von einem "Yahoo-Ansatz", weil diese Methode bei dem US-Anbieter etwa für E-Mail und Suche offenbar besonders gut funktioniert.

Die NTSU propagiert dabei ein Verfahren über den "Vordereingang", das keine Hintertüren in verschlüsselten Produkten erfordere. Eine Strafverfolgungsbehörde stelle dabei – gegebenenfalls unterfüttert von einer Richtergenehmigung – eine standardisierte Anfrage direkt an die datenverarbeitende Stelle des OTT-Dienstleisters. Dieser müsse in genauso standardisierter Form auf sichere Weise und in "verständlichem" Format (nahezu) in Echtzeit eine Antwort mit den begehrten Daten schicken. Das sei "unsichtbar, diskret und geheim für das Ziel" der Ermittlungen und technologisch neutral. "Wir lieben Verschlüsselung", erklärt die NTSU. "Sogar, wenn es sich um Ende-zu-Ende-Verschlüsselung handelt" (E2E). Solche Schutzmechanismen änderten aber nichts daran, dass der Betreiber oder ein von ihm beauftragter Drittanbieter verpflichtet sei, die Daten im Klartext herauszurücken.

Comeback nicht vertrauenswürdiger Trustcenter?

Für zurückliegende Kommunikation gelte dies nicht, sondern nur für künftige ab dem Zeitpunkt der Anordnung, stellt die Polizeieinheit klar. Einen Wettlauf rund um Abhörtechnologien wolle man vermeiden. Den alternativen Einsatz von Staatstrojanern und anderer Formen "staatlichen Hackings", über die etwa per Quellen-TKÜ Daten vor oder nach einer Entschlüsselung auf dem Gerät des Endnutzers abgerufen werden könnten, lehnt die NTSU als ungewiss, teuer und teils ineffektiv ab. Zudem würde dadurch die Zusammenarbeit bei Schwachstellen torpediert. Betreiber von Diensten mit E2E unterstreichen immer wieder, dass sie selbst gar keinen Zugriff auf die unverschlüsselte Kommunikation haben. Das interessiert die Belgier aber nicht.

Über eine Lösung dafür macht sich das Technische Komitee Cyber der EU-Telekommunikationsnormungsbehörde ETSI Gedanken. In einem Schaubild stellt sie dabei auf eine "vertrauenswürdige authentifizierte Stelle" (Trusted authenticated party) ab, die einen Zugangsschlüssel erhalten und verwalten soll. Der Einbezug derartiger Drittparteien gilt IT-Sicherheitsexperten aber seit Jahren als indiskutable Sollbruchstelle. Das ETSI-Team zeigt zudem Interesse an einem Standardisierungsauftrag für "Lawful Access by Design". Auch die EU-Kommission bringt eine intensivere Standardisierung ins Spiel. Ferner drängt sie darauf, "die Zusammenarbeit zwischen kommerziellen Unternehmen und Strafverfolgungsbehörden zu verstärken und zu kodifizieren, sodass technische Produktdokumentationen und Quellcodes freiwillig weitergegeben werden."

Die Brüsseler Regierungsinstitution empfiehlt zudem "Gesetze zur Bekämpfung der Verwendung von Verschlüsselungsgeräten, die nachweislich ausschließlich für die Kommunikation zwischen Kriminellen verwendet werden". Technologieanbieter sollen verpflichtet werden, "den Zugriff auf die auf den Geräten der Nutzer gespeicherten Daten auf Anfrage der Justizbehörden zu ermöglichen". In weiteren Präsentationen geht es etwa um die Vorratsdatenspeicherung und potenzielle Kooperationen mit Microsoft-Datenzentren in den Niederlanden.

(olb)