Bericht: EU erarbeitet Regeln zur Schwächung von Ende-zu-Ende-Verschlüsselung

Der EU-Ministerrat hat offenbar einen Entwurf für eine Resolution vorgelegt, die Anbieter von Messaging-Diensten wie WhatsApp, Signal und Threema verpflichten soll, Strafverfolgern eine Hintertür zur Überwachung von Ende-zu-Ende verschlüsselter Kommunikation zu ermöglichen. Wie der österreichische Fernsehsender ORF berichtet, sollen Behören einen Generalschlüssel erhalten, mit dem sie jegliche verschlüsselte Chats und Nachrichten mitlesen können.

Auslöser für die Initiative ist dem Bericht zufolge der jüngste Terroranschlag in Wien. Die Resolution sei in nur wenigen Tagen erarbeitet worden. Die dem ORF vorliegende beschlussfähige Version soll auf den 6. November datiert sein.

Konkret will der EU-Ministerrat „kompetenten Behörden“ aus den Bereichen Sicherheit und Strafverfolgung einen „rechtmäßigen Zugang auf relevante Daten für legitime, klar definierte Zwecke zum Kampf gegen organisierte Kriminalität und Terrorismus“ ermöglichen. Der Schutz der Privatsphäre sowie die Sicherheit von Kommunikation soll trotzdem gewährleistet sein.

Technische Details enthält die Resolution indes nicht. Der ORF will aber erfahren haben, dass der Ministerrat die Überwachungsmethode „Exceptional Access“ anstrebt. Entwickelt wurde diese Methode vom National Cyber Security Center, das zum britischen Geheimdienst GCHQ gehört. Sie sieht die Bereitstellung von Generalschlüsseln durch die Betreiber von Messaging-Plattformen vor, die im Nachhinein in eine verschlüsselte Kommunikation eingeschleust werden können.

Unklar ist auch, was die Resolution unter „kompetenten“ Sicherheitsbehörden versteht. Der ORF befürchtet, dass somit auch Geheimdienste wie GCHQ und Bundesnachrichtendienst die Möglichkeit erhalten, massenhaft verschlüsselte Kommunikation zu überwachen.

Anbieter von verschlüsselten Kommunikationsdiensten lehnen Hintertüren beziehungsweise jegliche Schwächung von Verschlüsselung ab. Ein Generalschlüssel oder auch nur die für deren Nutzung erforderliche Technik kann auch Cyberkriminellen und Spionen helfen, verschlüsselte Kommunikation zu knacken. Anbieter sind nicht in der Lage, einen Missbrauch von Hintertüren in ihrer Verschlüsselung auszuschließen – gleiches gilt auch für die „kompetenten Behörden“. Das ein solches Szenario nicht nur in der Theorie möglich ist, haben die vom US-Geheimdienst NSA gehorteten und später durchgesickerten Zero-Day-Lücken und zugehörigen Exploits wie Eternal Blue gezeigt: Dadurch wurde unter anderem die massenhafte Verbreitung der Ransomware WannaCry im Jahr 2017 ermöglicht.

Nach dem Terroranschlag in Wien wurde zuletzt Kritik an den dortigen Sicherheitsbehörden laut. So soll der Täter als Unterstützer der Terrororganisation Islamischer Staat bekannt gewesen sein. Dass der Zugriff auf verschlüsselte Kommunikation die Tat hätte verhindern können, bezweifelt der ORF.

eco – Verband der Internetwirtschaft blickt mit Sorge auf die Pläne der EU-Staaten zur Ausweitung der digitalen Überwachung

Der stellvertretende ecoVorstandsvorsitzende Klaus Landefeld sagt „Verschlüsselung ist ein – um nicht zu sagen das wichtigste – Instrument für sichere Kommunikation im Netz. Sie gewährleistet nicht nur Sicherheit und Datenschutz, sondern stärkt auch das Vertrauen der Nutzerinnen und Nutzer in Internetdienste. Ein Generalschlüssel für Messengerdienste würde das Grundprinzip dieses Instruments aushebeln und damit die digitale Kommunikation aller Nutzerinnen und Nutzer unsicherer machen. Dieser tiefe Eingriff, der die IT-Sicherheit konterkariert und die bestehenden komplexen Softwaresysteme der Betreiber von Messenger-Diensten manipuliert, steht in keinem Verhältnis zum noch unbewiesenen Nutzen bei der Kriminalitäts- und Terrorbekämpfung. Da sich die Verbreitung eines derartigen Generalschlüssels auch nicht kontrollieren lässt, ist die zwangsläufige Folge der Schaffung derartiger Einfallstore ein unkontrollierter Zugriff unzähliger Bedarfsträger und Geheimdienste aus dem In- und Ausland auf die Kommunikation der EU-Bürger. Die Bekämpfung des internationalen Terrorismus ist wichtig, darf aber nicht auf Kosten der Sicherheit aller Nutzerinnen und Nutzer gehen. Vielmehr sollten sich die EU-Staaten in Ihrer Terrorabwehrstrategie auf Schwachstellen konzentrieren, die auch vor wenigen Tagen in Wien wieder zutage traten wie beispielsweise die mangelhafte Kommunikation zwischen Behörden und Geheimdiensten der unterschiedlichen Mitgliedstaaten.“