Wie heute Vormittag bekannt wurde, haben die Innenminister der EU-Mitgliedsstaaten die heftig kritisierte Resolution mit dem Namen „Security through encryption and security despite encryption“ („Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“) angenommen. Bereits Anfang November war bekannt geworden, dass die Regierungen der EU-Mitgliedstaaten drastische Einschränken bezüglich sicherer Ende-zu-Ende-Verschlüsselung innerhalb der Grenzen der europäischen Union planen. Konkret war die Rede davon, dass Technologie-Anbieter künftig einen „Generalschlüssel“ erzeugen müssen, mit dessen Hilfe Regierungsbehörden der Zugriff zu Nutzerdaten gewährt werden solle – als Hintergrund wurde spekuliert, es ginge um die vermeintlichen Vorteile für die Terrorismusbekämpfung. Unter anderem soll auch die Strafverfolgungsbehörde Europol mehr Rechte erhalten.
Ende November ebnete der Ausschuss der ständigen Vertreter der Mitgliedsstaaten im europäischen Ministerrat schließlich den Weg für die Umsetzung dieser Forderungen. Hier war der finale Entwurf der Resolution der deutschen Ratspräsidentschaft bereits genehmigt worden. Gleichzeitig verteidigte die Bunderegierung den Entwurf aufgrund von massiver Gegenwehr, unter anderem von Datenschützern. Man führte an, dass sich elektronische Beweismittel immer schwieriger auswerten ließen, da mehr und mehr Kommunikation verschlüsselt stattfinde. Weiterhin antwortete das Bundesinnenministerium auf eine Frage im Bundestag und gab an, Behörden hätten mithilfe des Vorstoßes zwar in bestimmten Fällen Zugriff auf Online-Kommunikation – jedoch sei dieser mit einem großen operativen Aufwand verbunden und berge technische Schwierigkeiten – deswegen könne diese Möglichkeit in der Praxis nur sehr selten überhaupt genutzt werden.
Was die praktische Umsetzung der heute angenommenen Resolution betrifft, scheint es allerdings zurzeit mehr Fragen als Antworten zu geben. Anfang Dezember schalteten sich die Wissenschaftlichen Dienste (WD) des Bundestags in die Diskussion ein. Ihr Fazit ist, dass etwa der angedachte Einsatz von Hintertüren in gängigen Online-Messengern nicht oder kaum umsetzbar sei. Ein großer Kritikpunkt der Wissenschaftler ist, der Entwurf der EU-Regierungen gehe nicht genügend auf tatsächliche technische Implementierungen von Messenger-Diensten ein. Forscher der TU Dresden und der Ruhr-Universität Bochum befassten sich für die Wissenschaftler im Bundestag bereits mit einem ähnlichen Vorstoß der EU-Kommission, der im Sommer dieses Jahres aufkam. Hier standen technische Umsetzungsprobleme beim Thema Hintertüren im Vordergrund. Alle Ansätze der EU bauen darauf, dass Nutzer „mitspielen“ – ein unrealistisches Szenario, wenn man von kriminellen Aktivitäten ausgeht. IT-Sicherheitsexperten hingegen kritisieren, dass es den von EU-Innenkommissarin Ylva Johansson präferierten „Mittelweg“ beim Thema Verschlüsselung so nicht gebe.
Die aktuelle Entwicklung und die heute beschlossene „Aufweichung“ starker und sicherer Ende-zu-Ende-Verschlüsselung ist besorgniserregend und gefährdet nicht nur die Datensouveränität des einzelnen Nutzers und erleichtert Cyberkriminellen das Leben – sie untergräbt auch die Rolle der EU als Verfechter des Datenschutzes und der Informationssicherheit. Die Verschlüsselung personenbezogener Daten wird im Artikel 32 der DSGVO explizit erwähnt und der immer häufigere Einsatz lückenloser Kryptierung innerhalb der EU, aber auch in der ganzen Welt, ist eine wichtige Errungenschaft, die keinesfalls unter dem Deckmantel vermeintlicher Straftatbekämpfung geschwächt werden darf. Wie andere IT-Experten bereits deutlich gemacht haben, geht eine Schwächung der Verschlüsselung immer auch mit einer Schwächung der IT-Sicherheit einher. Diese Tatsache gefährdet private Nutzeraten genauso wie kritische Firmeninformation. In Zeiten, in denen Cyberkriminelle ohnehin aufgrund von erhöhter Unsicherheit im Rahmen der Pandemie und der vermehrten Arbeit im Homeoffice Hochkonjunktur haben, sind hier die Folgen nicht auszudenken. Weiterhin leidet der Datenschutzstandort Europa, wenn Behörden sich Zugriff auf private Informationen verschaffen können – zumal der Zusammenhang zwischen starker Verschlüsselung und Problemen bei der Terrorismusbekämpfung stark umstritten ist und bisher nicht wissenschaftlich bestätigt wurde.
Über den Autor Marc Schieder, CIO DRACOON GmbH
In seiner Position als Chief Information (Security) Officer verantwortet Marc Schieder den vollständigen Produktlebenszyklus, von der Innovation über die Konzeption und Entwicklung, bis hin zum Betrieb und einer langfristigen Sicherstellung der Qualität. Hierbei steht er als zentrales Organ in engem Austausch mit dem Vertrieb, der Anwendungsentwicklung, der Technik und dem Marketing und sichert so den Wettbewerbsvorsprung von DRACOON. Marc Schieder absolvierte einen dualen Studiengang in den Bereichen Informatik und Kommunikationsdesign und verfügt über mehr als 15 Jahre internationale Berufserfahrung als selbstständiger Unternehmer, Geschäftsführer und Vorstandsvorsitzender in den Bereichen individuelle Softwareentwicklung, Software-as-a-Service, Cloud Computing und Telekommunikation.