Ein unerwartet an die Öffentlichkeit gelangter Gesetzesentwurf zeigt auf bedrohliche Art und Weise, dass es um die Verschlüsselung privater Daten auf lange Sicht nicht so gut steht, wie man annehmen will. Offenbar gibt es jenseits des Atlantiks ernsthafte Bestrebungen, jeglicher Form der Verschlüsselung den Garaus zu machen, Sicherheitsexperten sehen ein riesiges Missbrauchspotential.
Der noch längst nicht beendete Streit zwischen Apple und der us-amerikanischen Bundesbehörde FBI hat in den letzten Wochen verstärkt das Thema Verschlüsselung in den Fokus gerückt. Das Unternehmen aus Cupertino hatte sich mehr oder weniger erfolgreich gegen das Begehren der Ermittler gewehrt, Unterstützung beim Zugriff auf die Daten eines verschlüsselten iPhones zu leisten. Das FBI behalf sich, so vermutet man, mit einem bisher nicht bekannten Hack des Smartphones.
In Zukunft könnte eine vergleichbare Weigerung weitaus weniger erfolgreich sein. Ein neuer Gesetzesentwurf sieht vor, dass US-Unternehmen in Zukunft nach einer entsprechenden richterlichen Anordnung verpflichtet sind, alle zur Verfügung stehenden Daten in lesbarer Form bereitzustellen. Dieser unscheinbare Zusatz bedeutet letztendlich, dass ein Anbieter zukünftig verpflichtet ist, unter seiner Kontrolle stehende Daten auf richterliche Anweisung zu entschlüsseln bzw. entsprechende Vorkehrungen zu treffen, welche diese Entschlüsselung ermöglichen.
Folgt man dem Gesetzesentwurf, wäre ein bereits heute erzwingbares Übermitteln verschlüsselter Daten und ein darauf folgendes Schulterzucken des jeweiligen Unternehmens nicht mehr möglich. Das Papier sieht vor, dass ein in’s Visier der Ermittler geratenes Unternehmen zukünftig verpflichtet werden kann, jede erforderliche Hilfe bei der Entschlüsselung der Daten zu leisten, sofern die Datenverschlüsselung nicht durch ein vom Anbieter gänzlich unabhängiges Tool erzeugt wurde. Ob der dieser Hilfe zugrundeliegende notwendige Aufwand angemessen ist, spielt lt. den Plänen keine Rolle mehr.
Der Gesetzentwurf stammt u.a. aus der Feder des republikanischen Senators von North-Carolina, Richard Burr. Burr ist nicht nur vehementer Abtreibungsgegner und Unterstützer der Todesstrafe, er plädiert auch für einen Verfassungszusatz zum Verbot gleichgeschlechtlicher Ehen. Er gehört neben einigen anderen Ausschüssen auch dem Geheimdienstausschuss (United States Senate Select Committee on Intelligence ) an und ist als dessen Vorsitzender maßgeblich an entsprechenden Gesetzgebungsverfahren beteiligt.
I gotta say in my nearly 20 years of work in tech policy this is easily the most ludicrous, dangerous, technically illiterate proposal I’ve ever seen. Kevin Bankston
Die Brisanz des Gesetzesentwurfs erschliesst sich erst bei genauem Lesen. So erscheinen gesetzliche Regelungen, die z.B. eine angemessene Aufwandsentschädigung für den Anbieter zusichern, vor dem eigentlichen Kern des Dokuments eher wie Beschwichtigungen, die das Gesetzgebungsverfahren beschleunigen sollen. Besonders perfide ist, dass unpopuläre “Hintertüren” oder “Generalschlüssel” in dem Gesetzesentwurf nicht ausdrücklich erwähnt werden. Stattdessen werden die Anforderungen an ein zur Mitwirkung verpflichtetes Unternehmen einfach derart rigoros festgelegt, dass eine Verschlüsselung ohne “Hintertüren” oder “Generalschlüssel” gar nicht mehr möglich ist.
Gleichzeitig nimmt sich der Staat im Gesetzesentwurf selbst aus der Schusslinie möglicher Kritiker. Da die Pflicht zur Entschlüsselung und Anlieferung lesbarer Daten komplett beim jeweiligen Unternehmen läge, geraten die Ermittlungsbehörden selbst nicht in den Verdacht, einen eigenen “Generalschlüssel” zu verlangen. Genau dies gehörte zu den von Apple geäusserten Bedenken, als das FBI eine speziell angepasste iOS-Version zur Entschlüsselung eines einzelnen iPhones verlangte, denn – zumindest theoretisch – wäre dieses “gecrackte” Betriebssystem auch auf andere iPhones übertragbar.
If you suffer from low blood pressure, here's the Feinstein-Burr key escrow bill: https://t.co/BdeH1UC46u
— matt blaze (@mattblaze) April 8, 2016
It's not hard to see why the White House declined to endorse Feinstein-Burr. They took a complex issue, arrived at the most naive solution.
— Matthew Green (@matthew_d_green) April 8, 2016
Über das durch Apple populäre Beispiel eines Smartphone-Herstellers hinaus erstreckt sich das geplante Gesetz insbesondere auf Anbieter von Kommunikations-Software und Betreiber von Kommunikationsnetzen. Sprich: auch WhatsApp, das seine Anwendung gerade erst um die so lange erwarteten Ende-zu-Ende-Verschlüsselung erweitert hat, wäre von diesem Gesetzesentwurf betroffen und müsste nach entsprechender richterlicher Anordnung ein vollständig entschlüsseltes Paket aller vorliegenden Daten eines Benutzers bereitstellen. De facto wäre auch jeder andere in der USA beheimatete Messenger betroffen – unabhängig davon, ob es sich um eine Closed Source oder Open Source Software handelt.
Dem ganzen die Krone setzt ein Paragraph auf, der auch sogenannte “License Distributors” zu entsprechender Mitwirkung verpflichtet. Somit erstreckt sich das Gesetz nach Ansicht von Sicherheitsexperten auch auf den Google Play Store oder den Apple App Store, in dem sich nur noch von Google und Apple auf ihre Entschlüsselbarkeit überprüfte Apps befinden dürften. Sprich: weigert sich z.B. WhatsApp, eine derartige Entschlüsselungsmöglichkeit einzusetzen, müsste Google als Betreiber des Play Stores dafür einstehen oder die App verbannen.
Ein Sprecher der ebenfalls am Gesetzesentwurf beteiligten demokratischen Senatorin Diane Feinstein beschwichtigte Rückfragen derweil mit den üblichen Floskeln: Der endgültige Gesetzestext stehe noch nicht fest.
Der Nachrichtendienst Reuters berichtet unterdessen unter Berufung auf nicht näher genannte Quellen, dass der Gesetzesentwurf im Weissen Haus keine Unterstützung finde. Einen Kommentar wollte man dort offiziell allerdings nicht abgeben, was allgemein skeptisch aufgenommen wurde. Kritiker vermuten, dass der Regierung eigene, gesetzlich verankerte “Hintertürchen” und “Generalschlüssel” wesentlich lieber sein könnten, damit der jeweilige Anbieter bzw. Hersteller von der Überwachung seiner Kunden gar nichts erfährt. Im Worst Case könnte sich ein Anbieter dann nämlich auf die Seite seines Kunden schlagen und diesen über das Entschlüsselungsbegehren informieren. Ausgerechnet Facebook ließ in einem anderen Zusammenhang schon einmal durchblicken, dass man auch als Anbieter durchaus entsprechende Mittel und Wege besitzt.
WhatsApp & Co. droht in Großbritannien das endgültige Aus
Zudem bergen vom Hersteller (schlecht) implementierte Zugriffsmöglichkeiten natürlich das erhöhte Risiko, dass sich auch regierungsfremde Institutionen oder andere Staaten Zugang zu ursprünglich verschlüsselten Daten verschaffen. Spätestens wenn es um das Thema Industriespionage geht ist nämlich auch die us-amerikanische Regierung an einer möglichst starken Verschlüsselung von digitalen Daten interessiert.
Wer die Pläne der verantwortlichen Senatoren abwegig findet, dem sei ein Blick nach Großbritannien empfohlen. Dort befindet sich die sogenannte “Snooper’s Charter” bereits seit längerem im Gesetzgebungsverfahren und entsetzt die Datenschützer.
via wired.com
