"Computerkriminalität ist der sichere Gewinner im EU-Crypto War"

Insights

"Computerkriminalität ist der sichere Gewinner im EU-Crypto War"

10. Dezember 2020

Perspektiven und technologische Herausforderungen der EU-Resolution "Security Through Encryption and Security Despite Encryption".

Im November machte der EU-Ministerrat den Weg frei für eine Resolution zur "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung". In einer Videokonferenz bestätigten die Innenminister der EU-Länder das Papier nun formal.

Damit geht eine seit Jahrzehnten andauernde Debatte in die nächste Runde. Seit dem kalten Krieg wird über die staatliche Reglementierung von Kryptografie unter dem Schlagwort "Crypto Wars" diskutiert. Entsprechende Vorstöße werden von Experten stets kritisiert und abgelehnt. Erneut steht eine Forderung der Resolution besonders im Fokus der Kritik: Anbieter von IT-Sicherheitslösungen bzw. Verschlüsselungssoftware sollen Mechanismen in ihre Produkte einbauen, die staatlichen Institutionen Zugriff auf die verschlüsselte Kommunikation erlauben.

Mögliche Folgen und technologische Kernpunkte dieser Entwicklung schildert Dr. Andreas Fiessler, Ingenieur Forschung und Entwicklung bei genua, im Interview.

Herr Fiessler, warum ist die Entscheidung der EU-Innenminister so brisant?

Eine staatliche Reglementierung von Kryptografie ist in vielfacher Hinsicht als sehr kritisch einzuordnen: generell gefährdet sie überall auf der Welt Bürger, Unternehmen und auch die staatlichen Institutionen selbst, da in der Praxis eine wirksame Absicherung bereits ohne eine künstliche Einschränkung eine Herausforderung darstellt. Mit Blick auf den Wirtschaftsstandort Deutschland möchte ich sogar von einem massiven Bedrohungsszenario sprechen.

Wenn eine generalisierte Zugriffsmöglichkeit auf verschlüsselte Kommunikation in der EU geschaffen werden soll, ist das weder eine ethische noch technologische Trivialität. Mit dieser Entscheidung wird eine rote Linie unser IT-Sicherheitspolitik überschritten, die in den vergangenen Jahren zu Recht sakrosankt war.

Jenseits dieser Linie ist unklar, wie sich gesetzestreue Bürger und Unternehmen gegen die allgegenwärtigen Gefahren wirksam schützen können – ganz eindeutig ist hingegen der Vorteil für versierte Verbrecher. Denn diese halten sich nun einmal nicht an Gesetze, sondern werden weiterhin starke Kryptografie für ihre Kommunikation verwenden. Man kann also davon ausgehen, dass wir uns im Falle einer Umsetzung der Resolution noch angreifbarer gegenüber jedem denkbaren Akteur aus der Schattenwelt der Computerkriminalität und Spionage machen. Wenn Sie so wollen, steht also bereits jetzt ein sicherer Gewinner im EU-Crypto War fest: die Computerkriminalität.

Kein wünschenswertes Szenario …

Richtig, und es wird durch einen weiteren Aspekt zusätzlich verschärft: Anbieter von IT-Sicherheitslösungen in Deutschland würden ein wichtiges Vertrauensmerkmal verlieren, verschlüsselte Software explizit nicht mit "Backdoors", also Zugängen für Behördenzugriffe auszustatten. Genau das ist aber ein ganz zentraler Mehrwert. Das Siegel "IT Security Made in Germany" steht beispielsweise für höchste Vertrauenswürdigkeit. Und Vertrauen ist ein Aktivposten, der über Jahre aufgebaut wird und den man nicht leichtfertig aufs Spiel setzen darf.

Diese Perspektive geht in der aktuellen Diskussion leider zuweilen oft unter. Für wünschenswert und hilfreich halte ich eine sachliche, technologisch orientierte Diskussion über alle Aspekte des Problems. Dabei sollte man die verschiedenen Maßnahmen und Zugriffsoptionen objektiv abwägen, anstatt nur einseitig neue Befugnisse zu fordern.

Um welche konkreten Zugriffsoptionen auf verschlüsselte Kommunikation geht es?

Hierzu macht der Entwurf keine konkreten Vorgaben, sondern legt es in die Verantwortung der privaten Unternehmen, entsprechende Schnittstellen bereitzustellen. Es sind verschiedene Varianten vorstellbar, jede mit eigenen Vor- und Nachteilen. Hier möchte ich drei Beispiele nennen: Man-in-the-Middle-Angriffe, Zugriffe direkt am Endgerät und die Schwächung von Kryptografie.

Ein Abhören als Man in the Middle funktioniert, indem sich der Angreifer aktiv in die Kommunikation schaltet und sich gegenüber den Kommunikationspartnern jeweils als die andere Gegenstelle ausgibt. Hierdurch erhält er selbst vollen lesenden und schreibenden Zugriff auf die Kommunikation. Verhindert wird dies z. B. durch Authentisierung mittels Zertifikaten. Per gesetzlicher Vorgabe könnte nun erzwungen werden, einer staatlichen Certificate Authority (CA) zu vertrauen, womit diese für den Endanwender unbemerkt jeglichen Online-Dienst imitieren kann – Kasachstan unternimmt aktuell einen neuen Anlauf für ein solches Verfahren.

In Deutschland greifen Behörden doch ebenfalls auf Daten von Unternehmen und Privatpersonen zu?

Ja, ein Beispiel ist die sog. Online-Durchsuchung, auch bekannt als Bundestrojaner. Das ist die zweite Variante, der direkte Zugriff am Endgerät. Bei einer starken Ende-zu-Ende-Verschlüsselung ist das die praktisch einzige Möglichkeit eines Abgriffs, da die Daten nur dort entschlüsselt vorliegen. Problematisch ist dabei einerseits, dass der Staat dazu selbst Sicherheitslücken entdecken oder auf dem Schwarzmarkt beschaffen muss und diese Lücken nicht geschlossen werden. Andererseits können die betroffenen Endgeräte von jedem, der den Zugriff erlangt, beliebig manipuliert werden.

Und das dritte Beispiel?

Eine weitere Option besteht darin, Kryptografie künstlich abzuschwächen, um sie bei Bedarf leichter brechen zu können. Dies wurde beispielsweise schon mit Exportrestriktionen bei kryptografischen Algorithmen umgesetzt. Das offensichtliche Problem dabei liegt natürlich darin, dass der Aufwand nicht nur für eine eigene staatliche Behörde, sondern für jeden beliebigen Angreifer sinkt. Besonders im Kontext von Industriespionage und Angriffen durch Fremdstaaten muss immer damit gerechnet werden, dass auf der Gegenseite entsprechendes Know-how und Rechenleistung vorhanden ist.