Darknet: onion
1 | 2 | 3 Pfeil rechts

Going Dark? Dilemma zwischen sicherer, privater Kommunikation und den Sicherheitsinteressen von Staaten


10.11.2017
In einer digitalisierten Welt verwenden immer mehr Kommunikationsdienste wie WhatsApp nicht abhörbare Verschlüsselung. Aus diesem Grund warnen Nachrichtendienste und Strafverfolgungsbehörden mit jedem neuen Terroranschlag vor dem "Going dark"-Problem. "Going dark" meint im Geheimdienstjargon das Versiegen eines Informationskanals. Das umfasst ein hypothetisches Zukunftsszenario, in dem alle oder ein Großteil digitaler Kommunikation verschlüsselt, und somit nicht mehr nachvollziehbar für staatliche Behörden, stattfindet. Das legitime Sicherheitsinteresse des Staates und der Schutz der Bürger, etwa vor Terroranschlägen, seien dadurch gefährdet. "Verschlüsselung birgt die Gefahr eines dunklen Pfades", so der ehemalige FBI-Direktor James Comey.[1] Aus diesem Grund tauchen weltweit immer mehr Forderungen auf, staatliche Zugriffe auf verschlüsselte Kommunikationsinhalte zu gewährleisten, etwa durch eine mandatierte Schwächung von Verschlüsselung, den Einbau von Hintertüren oder dem Einsatz von Spionagesoftware. Im Kontext ansteigender Cyberbedrohungen argumentieren neben Datenschützern und Computerwissenschaftlern allerdings auch zunehmend Geheimdienste gegen eine absichtliche Schwächung von Software und Verschlüsselung.

Daten zum Einsatz von Verschlüsselung



Weltweit gibt es rund 865 verschiedene Verschlüsselungsprodukte aus 55 Ländern, davon 112 aus Deutschland.[2] Dazu kommen diverse Open-Source-Projekte, die von jedem frei weiterentwickelt und vermarktet werden können. Kommunikationsverschlüsselung wird zunehmend bei Messenger-Diensten wie WhatsApp, Threema, Signal und iMessage eingesetzt. Andere Dienste wie Google Allo, Facebook Messenger oder Telegram bieten die Verschlüsselung optional an. 69 Prozent der Deutschen nutzen solche Messenger. Davon verwenden 63 Prozent WhatsApp, das zu Facebook gehört, gefolgt von Skype (16 Prozent), Facebook Messenger (15 Prozent) und Apples iMessage (9 Prozent).[3]

Unverschlüsselte SMS sind weltweit auf dem Rückzug. 2015 wurden in Deutschland etwa 667 Millionen WhatsApp-Texte, aber nur noch 40 Millionen SMS verschickt.[4] Klassische Telefonate finden in der Regel noch unverschlüsselt statt. Ein Großteil der jährlich rund 625 Milliarden deutschen E-Mails ist zudem im Klartext abfangbar, da nur circa 16 Prozent der Deutschen PGP-Verschlüsselung nutzen.[5] Bei diesem Verfahren besitzt jeder Nutzer zwei Codeschlüssel. Seit der Erfindung von Web-Verschlüsselung für Browser (HTTPS) 1996 nutzt gegenwärtig die Hälfte aller Websites Verschlüsselung.[6] Die gesamte Internetkommunikation kann mit VPN-Software (Virtual Private Network) verschlüsselt werden, die von circa 16 Prozent der Deutschen genutzt wird.[7]

Neben sicherer Kommunikation spielt Verschlüsselung von Datenträgern eine zunehmende Rolle. Seit 2014 sind zum Beispiel alle iPhones ab Werk verschlüsselt. Dabei wird der Schlüssel aus dem Nutzer-Pin und einem einzigartigen Gerätecode generiert und auf einem speziellen Chip (secure enclave) auf den Endgeräten gespeichert. Dieser Diebstahlschutz führt dazu, dass Apple selbst nicht in der Lage ist, Geräte der Kunden zu entschlüsseln. Etwa 17 Prozent der Deutschen verwenden iPhones und 80 Prozent Android-Smartphones.[8] Googles Android bietet Verschlüsselung lediglich optional bei neueren Versionen an. Android-Smartphones sind in der Regel einfacher von Strafverfolgungsbehörden auszulesen. Daten zur Anzahl verschlüsselter PCs liegen leider nicht vor, aber alle modernen Betriebssysteme bieten Verschlüsselung optional an.

Geschichte des "Going dark"-Problems



Bereits 1979 warnte der damalige Direktor der US-amerikanischen National Security Agency (NSA) Bobby Inman, dass eine öffentliche Nutzung von Verschlüsselungstechnologie die Auslandsüberwachung erschweren würde.[9] Er forderte daher ein Verbot ziviler Nutzung dieser Technologie, die damals noch ähnlichen Exportrestriktionen unterlag wie zum Beispiel Rüstungstechnologie.

1993 erneuerten FBI und NSA ihre Warnungen vor dem "Going dark"-Problem: Kriminelle und Terroristen würden bald digital über das Internet kommunizieren, und analoge Telefonüberwachung werde wirkungslos. Deshalb forderten sie, dass neue digitale Kommunikationsgeräte einen sogenannten Clipper Chip per Werk enthalten sollten, der von der NSA entwickelte wurde. Dieser Chip ermöglichte zwar verschlüsselte Kommunikation, hatte aber eine Hintertür: Eine Kopie des Schlüssels sollte bei staatlichen Stellen gespeichert werden (key escrow). Wenn also eine laufende Ermittlung die Kommunikationsüberwachung von Kriminellen erforderlich gemacht hätte, wäre es möglich gewesen, eine Schlüsselkopie per Richterbescheid abzurufen, um die Kommunikation zu entschlüsseln. Der Clipper Chip versprach einen Kompromiss zwischen sicherer Kommunikation und einem legalen, staatlichen Zugang.[10]

Es gab allerdings einen Haken: Die Technik war unsicherer als die Alternativen, die es bereits auf dem Markt gab, und konnte schnell geknackt werden. Computerwissenschaftler argumentieren seitdem, dass Systeme mit legalen staatlichen Hintertüren inhärent unsicher sind. Hintertüren müssen aufwendig getarnt sein. Zudem muss die Authentizität der Kommunikationsteilnehmer gewährleistet sein, damit sich Hacker nicht als Behörden ausgeben. Genau das ist aber zu befürchten, weil die Sicherstellung exklusiver Regierungshintertüren technisch unmöglich ist. Jede Lücke kann von jedem ausgenutzt werden.[11] Kurzum: Je mehr Zugangsmöglichkeiten existieren, desto komplexer und somit unsicherer wird die Verschlüsselungstechnologie. Wenn Verschlüsselung heutzutage durchbrochen wird, liegt das häufig an Fehlern in der Software-Implementierung und nicht an den Verschlüsselungsalgorithmen selbst.

Dazu kommt, dass die externe Speicherung von Schlüsseln das Diebstahl- oder Missbrauchsrisiko erhöht, was insbesondere in Zeiten allumfassender krimineller Cybervorfälle ein immenses Problem ist. 2015 stahlen Hacker etwa eine sensible Datenbank aller Mitarbeiter der US-Regierung, inklusive Fingerabdrücke und Sicherheitsklassifikation.[12] Unter dem Codenamen "Vault 7" veröffentlichte Wikileaks im März 2017 streng geheime Dokumente über staatliche Cyber-Angriffstools der CIA. Eine zentrale Schlüsseldatenbank wäre außerdem ein hochrangiges Ziel für alle Hacker weltweit, sowohl staatliche als auch nicht staatliche. Gegen die Schlüsselhinterlegung spricht auch der Trend zu Einmalpasswörtern, Zwei-Faktor-Authentifizierung und Gerätepins, bei denen es rein technisch keinerlei Schlüsselkopie geben kann und IT-Hersteller selbst nicht die Kommunikationsinhalte ihrer Kunden auslesen können.[13]

Kryptografie erzeugt also ein Dilemma: Entweder fördert man eine starke Verschlüsselung, die Schutz vor Hackern bietet, aber auch die Nutzung durch Terroristen ermöglicht; oder man nutzt schwächere Verschlüsselungstechnologien, um Terroristen überwachen zu können, mit der Folge eines geringeren Sicherheitsniveaus gegen Hacker und Cyberangriffe. Aus diesem Grund setzte sich in den 1990er Jahren der von liberalen und konservativen Gruppen getragene Konsens durch, dass die Vorteile von guter Verschlüsselung die Nachteile im digitalen Zeitalter aufwiegen würden. Mit einem weltumspannenden, grenzüberschreitenden Internet war ein Verbot von Verschlüsselung ohnehin nicht mehr realisierbar – Verschlüsselungssoftware ist frei verfügbar. Staaten können kaum kontrollieren, welche Software auf den Geräten ihrer Bürger installiert ist. Deswegen wurden weltweit Exportverbote und die Reglementierung von Verschlüsselung weitgehend aufgehoben.


Fußnoten

1.
James Comey, Going Dark: Are Technology, Privacy, and Public Safety on a Collision Course?, 6.10.2014, http://www.brookings.edu/events/going-dark-are-technology-privacy-and-public-safety-on-a-collision-course«.
2.
Vgl. Bruce Schneier/Kathleen Seidel/Saranya Vijayakumar, A Worldwide Survey of Encryption Products, Berkmann-Klein Center Research Publication, 11.2.2016.
3.
Vgl. Andreas Weck, WhatsApp, Telegram und Co, 2.7.2016, http://t3n.de/news/messenger-nutzung-deutschland-whatsapp-threema-723684«.
4.
Vgl. Statista, Anzahl der verschickten SMS- und WhatsApp-Nachrichten in Deutschland von 1999 bis 2014 und Prognose für 2015 (in Millionen pro Tag), 2017.
5.
Vgl. Daniel Berger, Umfrage: Nur 16 Prozent der Deutschen verschlüsseln ihre E-Mails, 22.5.2017, http://www.heise.de/newsticker/meldung/Umfrage-Nur-16-Prozent-der-Deutschen-verschluesseln-ihre-E-Mails-3720597.html«.
6.
Vgl. Klint Finley, Half the Web Is Now Encrypted, 30.1.17, http://www.wired.com/2017/01/half-web-now-encrypted-makes-everyone-safer«.
7.
Vgl. Kathryn Nave, How VPN Use Varies by Country, 1.7.2016, http://www.wired.co.uk/gallery/vpn-use-varies-by-country«.
8.
Vgl. Stefan Beiersmann, Marktanteil von iOS steigt – außer in Deutschland, 9.12,2016, http://www.zdnet.de/88284256«.
9.
Vgl. Thomas Rid, Maschinendämmerung. Eine kurze Geschichte der Kybernetik, Berlin 2016, S. 303–310.
10.
Vgl. Steven Levy, Battle of the Clipper Chip, 12.6.1994, http://www.nytimes.com/1994/06/12/magazine/battle-of-the-clipper-chip.html«.
11.
Siehe Priscilla Guo, Who is Our Enemy?, 27.4.2016, http://harvardpolitics.com/covers/going-dark-who-is-our-enemy«.
12.
Vgl. Ellen Nakashima, Hacks of OPM Databases Compromised 22.1 Million People, Federal Authorities Say, 9.6.2015, http://www.washingtonpost.com/news/federal-eye/wp/2015/07/09/hack-of-security-clearance-system-affected-21-5-million-people-federal-authorities-say«.
13.
Vgl. Harold Abelson et al., Mandating Insecurity by Requiring Government Access to All Data and Communications, Computer Science and Artificial Intelligence Laboratory Technical Report, 6.7.2015, S. 18.