Von Washington lernen

Nach einem Bericht der „Süddeutschen Zeitung“ und des NDR soll in Deutschland bis 2022 eine staatliche Hackerzentrale entstehen: Zitis, die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“. 400 Spezialisten sollen dort Verfahren entwickeln, mit denen sich beispielsweise die Verschlüsselungen von Messengern wie WhatsApp knacken lassen.

Damit reagiert auch die deutsche Regierung auf ein Problem, das seit einigen Jahren Justiz, Polizei und vor allem Geheimdienste umtreibt. Unter der plakativen Überschrift „Going Dark“ beklagen sie, auf immer größere Teile der Kommunikation im Internet keinen Zugriff mehr zu haben.

Alle Versuche – vor allem der US-Regierung – Druck auf die Entwickler aktueller Verschlüsselungstechniken auszuüben, sind bislang gescheitert. Gegen das Ansinnen, Schutzmechanismen aufzuweichen oder eine staatliche Hintertür in die Programme einzubauen, wehren sich Hard- und Software-Hersteller wie Apple bisher erfolgreich.

Sicherheitsexperten warnen zudem eindringlich davor, dass Hintertüren, Zweitschlüssel oder absichtlich abgeschwächter Code zum bevorzugten Angriffsziel von Kriminellen werden würde und so die gesamte IT-Infrastruktur gefährdet (siehe TR 2/2016).

In Deutschland gab es bislang keinen politischen Konsens, wie mit diesem Problem umzugehen ist. So beklagte beispielsweise BKA-Präsident Holger Münch gegenüber Technology Review: „Durch Anonymisierung können Nachrichten oft nicht mehr ihren Quellen zugeordnet werden. Das geht heute bis hin zu 70 Prozent.“ Andererseits macht sich Bundesinnenminister Thomas de Maizière unter anderem mit einer „Charta zur Stärkung der vertrauenswürdigen Kommunikation“ für eine Förderung der Ende-zu-Ende-Verschlüsselung im Internet stark.

Daran wird sich im Prinzip auch weiterhin nichts ändern. Staatlich verpflichtende Hintertüren für Verschlüsselung werde es auch in Zukunft in Deutschland nicht geben, schreibt die „Süddeutsche“. Wie die Pläne für die neue Behörde zeigen, ist aber in Sachen Überwachung keinesfalls Entwarnung angesagt.

So soll die neue Behörde ausschließlich „als Dienstleister“ fungieren für Bundespolizei, Bundeskriminalamt und Verfassungsschutz – eventuell später auch für entsprechende Landesbehörden. „Um die gebotene Trennung zwischen Polizei und Geheimdienst nicht zu umgehen, soll Zitis nicht selbst abhören“, schreibt die „Süddeutsche“, „sondern nur die notwendigen Techniken entwickeln, auf dem freien Markt kaufen oder von befreundeten Staaten übernehmen“.

Das klingt wie die Methode Großbaustelle: Auftragsvergabe an ein Subunternehmen, das ein Subunternehmen beauftragt und so weiter – bis die Verantwortlichkeit für die Einhaltung gesetzlicher Standards zwischen alle Ritzen gefallen ist.

Misstrauisch macht auch, dass der Bundesnachrichtendienst, der sich im Codeknacken ja bestens auskennen müsste, nicht an Zitis beteiligt ist. Er möchte vermeiden, in Strafverfahren vor Gericht erläutern zu müssen, wie er Codes knackt, schreibt die „Süddeutsche“. Auch die Tatsache, dass die Bundesregierung die neue Behörde nicht per Gesetz, sondern mit einem schlichten „Errichtungserlass“ auf den Weg bringen will, trägt nicht zur Beruhigung bei.

Die Bundesregierung scheint also doch etwas aus der Snowden-Affäre gelernt zu haben: Nicht, wie man Sicherheit und Bürgerrechte im Internet unter einen Hut bringt – sondern wie man Internetkontrolle installiert, ohne politische Kontrolle fürchten zu müssen. WOLFGANG STIELER