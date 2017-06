Es ist nichtmal eine Woche her, dass die Innenministerkonferenz beschlossen hat, dass neben dem jahrzehntelangen Überwachen von Telefonaten und SMS nun bitte auch Messenger wie WhatsApp oder Threema abgehört, beziehungsweise mitgelesen werden sollen. Während Telefonate und SMS, genauso wie unverschlüsselte E-Mails mehr oder weniger frei durch den Äther schwirren, haben die meisten Messenger ein wichtiges Feature: die End-to-End-Verschlüsselung. Und genau hier stellen sich WhatsApp und Co. jetzt quer.

Die End-to-End-Verschlüsselung sorgt dafür, dass nur ihr und der Empfänger einer Nachricht diese auch lesen können. Jeder, der sich dazwischen einklinkt, bekommt dann nur einen Haufen Datenmüll zu lesen, da der entsprechende Schlüssel fehlt. Und genau den wollen die deutschen Sicherheitsbehörden nun haben, denn auch wenn das Verfahren, ein Schlüsselpaar zweier Messenger-Nutzer zu knacken, nicht unmöglich ist, so ist es doch sehr, sehr kompliziert, teuer und vor allem langwierig.

Unter dem Einwand der Terrorismusabwehr und im Rahmen von teils zeitkritischer Strafverfolgung will die deutsche Regierung sich nun bei Verdächtigen einklinken, um mögliche Anschlagpläne oder sonstige Verdachtsmomente aus dem Chatverlauf zu wühlen. Aber wie das auch bei einem romantischen Date so ist: Es gehören immer zwei dazu, sonst muss man seinen Döner bei Kerzenlicht halt alleine essen. Und genau so fühlt sich jetzt vermutlich Bundesinnenminister Thomas de Maizière, denn sowohl WhatsApp, als auch Threema hatten in ihren Stellungnahmen nur eins zu sagen: Fuck you! Nicht mit uns!

Martin Blatter, vom Schweizer Unternehmen Threema formulierte das auf welt.de so:

Threema untersteht Schweizer Gesetzgebung und ist nicht zu einer solchen Kooperation verpflichtet. […] Eine solche Kooperation würde unseren Grundwerten widersprechen.

Bei Facebook, pardon WhatsApp war man etwas weniger direkt, wenn auch ähnlich unmissverständlich:

Alle Kommunikation, die über WhatsApp stattfindet, ist Ende zu Ende verschlüsselt. Dies stellt sicher, dass nur Personen, mit denen ein User kommuniziert, tatsächlich lesen können, was gesendet wurde. […] Somit kann WhatsApp diese Inhalte nicht mit Dritten, auch nicht mit Sicherheitsbehörden, teilen.

Beide Unternehmen haben natürlich vollkommen Recht und es ist schön, dass nach der NSA-Affäre vor ein paar Jahren zumindest ein paar IT-Firmen die digitalen Eier haben, nicht nachzugeben, wenn der Staat was will. Auch Apple hatte sich bei einer FBI-Ermittlung letztes Jahr geweigert, das iPhone eines Verdächtigen zu entsperren und der Grund ist natürlich klar: Erlaube ich egal wem den Zugriff auf meine Nutzerdaten, die eigentlich geschützt sind, ist im Grunde der gesamte Schutz nichts mehr wert und der Imageverlust anti-proportional gewaltig.

Statement von Thomas de Mazière

Und auch der Einbau einer Hintertür, einem Generalschlüssel oder wie auch immer man eine “kontrollierte Sicherheitslücke” nennen will, ist allein technisch schon unglaublicher Blödsinn. Denn diese Lücke ist dann bei einem Messenger oder Programm vorhanden und wartet im Grunde nur darauf, von nicht autorisierten Stellen geknackt zu werden, sprich Black Hat-Hackern. Im Grunde ist es so, als ob man die Hälfte aller Türschlösser der Welt so baut, dass ein Generalschlüssel sie öffnet und dann darauf hofft, dass niemand herausfindet, wie man den Generalschlüssel nachbaut.

Für den Fall hat sich die Innenministerkonferenz aber einen Staatstrojaner ausgedacht (mal wieder), der natürlich ohne das Wissen des potenziell Verdächtigen auf dessen Smartphone oder Computer installiert wird. Der Trojaner hat dann natürlich Zugriff auf sämtliche Daten, bevor diese verschlüsselt worden sind und somit bedarf es auch nicht mehr der Hilfe der App-Entwickler. Diese Lösung zieht dann, wenn WhatsApp, Threema und andere App-Entwickler nicht mitziehen, bringt wiederum andere Probleme mit sich.

Staatstrojaner to the rescue!

Zum einen fließen dann Gelder aus der Staatskasse und Daten an Hersteller von Tools, Frameworks und Geräten, die das Knacken oder Infizieren erst möglich machen, sprich: an private Dienstleister. Ein anderes Problem ist, dass das Verfassungsrecht vorsieht, dass der Quellcode der Software veröffentlicht werden muss. Die Hersteller sehen dann natürlich, welche Lücken die Tools nutzen und patchen ihre Systeme also sofort. Damit sind die Lücken nicht mehr infizierbar sind und das Ganze geht wieder von vorne los. Oder man macht es wie die Geheimdienste und verschweigt einfach mal jahrelang Lücken, um diese weiter nutzen zu können, setzt unbescholtene Bürger aber gleichzeitig wiederum Black Hats aus.

Das Problem ist auch hier (mal wieder), dass die geforderten Maßnahmen der Innenministerkonferenz wieder so dermaßen schwammig formuliert wurden, dass sie weniger nach gezielter Terrorabwehr klingen, die ich persönlich sogar begrüße. Wenn aber jeder Behörde bereits für potenzielle Kleinstvergehen eine gesetzliche Grundlage mit an die Hand gegeben wird, jeden und alles zu hacken, sinkt auch vermutlich die Hemmschwelle das auch ständig zu tun. Womit wir im Grunde wieder bei der gleichen Situation wären, die damals zur von Edward Snowden aufgedeckten NSA-Affäre geführt hat.

Ein konkreter Gesetzesentwurf, der klarer formuliert, wer, wann unter welchen Umständen überwacht werden darf, macht da meiner Ansicht nach deutlich mehr Sinn und würde vermutlich auch nicht auf dermaßen viel Gegenwind stoßen. Unter anderem auch durch die Bundesdatenschutzbeauftragte Andrea Voßhoff, die Datenschutzbeauftragte des Landes Brandenburg, Dagmar Hartge und einen Sack voll anderer Experten.

Was haltet ihr von der gesamten Situation? “Ich habe nichts zu verbergen!” (Wirklich nicht? Auch nicht Bankdaten und die Unten-Ohne-Fotos an den Partner?) Oder sollen alle Daten nur den Besitzer was angehen, im Zweifel auch den kriminellen Besitzer? Oder gibts einen Kompromiss? Let’s discuss!

Bild: middlefingeremoji.com