Verschlüsselung ist kein Sicherheitsrisiko
Der Nationale IT-Gipfel 2015 hat unter anderem die Charta zur Stärkung der vertrauenswürdigen Kommunikation hervorgebracht. Dort heißt es: „Wir stärken vertrauenswürdige Kommunikation insbesondere durch Ende-zu-Ende-Verschlüsselung“, gefolgt von einer Reihe sogenannter Bekenntnisse. Gleichzeitig finden wieder die üblichen Diskussionen statt: Verschlüsselung erschwere die Aufdeckung von Straftaten und gebe Attentätern digitale Deckung. Nicht nur die US-Bundespolizei FBI hat für verschlüsselte Verbindungen spezielle Hintertüren für staatliche Ermittlungen gefordert. Entsprechende Forderungen gibt es auch in der EU und in Deutschland. Aus gutem Grund mahnt z.B. TeleTrusT (der Bundesverband für IT-Sicherheit e.V). ein besonnenes Vorgehen in der Debatte um ein Verschlüsselungsverbot an.
Jedes Instrument kann missbraucht werden
Niemand wird bestreiten, dass Verschlüsselung auch von Kriminellen und Terroristen genutzt werden kann, um ihre Kommunikation abzusichern. Der Verschlüsselung geht es nicht anders als jeder anderen Schutzmaßnahme – sie kann missbraucht werden. Das ist aber auch z.B. mit Antivirensoftware möglich. So ist bekannt, dass Internet-Kriminelle ihre Schadsoftware mit Antivirensoftware testen und dadurch letztlich optimieren können. Niemand würde deshalb fordern, auf Antimalware zu verzichten oder dort Hintertüren für Ermittler einzubauen.
Das Argument, Verschlüsselung helfe Kriminellen und Attentätern, übersieht einen wichtigen Punkt. Dieser Punkt wird deutlich, wenn man sich fragt, was denn aus der Sicherheit ohne Ende-zu-Ende-Verschlüsselung würde.
Eine Hintertür? Prima, denkt sich der Hacker
Es liegt auf der Hand, dass nichtcodierte Kommunikation den Kriminellen mehr helfen würde als verschlüsselte Kommunikation. Denn dann könnte jeder Kontakt abgehört werden – ein Paradies für Verbrecher. Daher stehen verschiedene Stellen auch auf dem Standpunkt: Verschlüsselung ja, aber mit Hintertür. Die Internet-Nutzer und Unternehmen dürften ja verschlüsseln, solange Ermittlungsbehörden an den Schlüssel kämen.
Diese Vorstellung verkennt allerdings die Tatsache, dass jede Hintertür eine Schwachstelle ist. Und Schwachstellen können von kriminellen Dritten ausgenutzt werden. Man kann davon ausgehen, dass legalisierte Lauschangriffe nicht die einzigen bleiben, sondern muss bedenken, dass kriminelle Lauschangriffe den gleichen Weg nutzen werden.
Wozu einen Schutz, der gar keiner ist?
Die Diskussion übersieht zum einen, dass nur eine echte Ende-zu-Ende-Verschlüsselung wirklich schützen kann. Und sie verkennt zum anderen die Folgen, die eine Verschlüsselung mit eingebauter Hintertür für die gesamte Kommunikation hat: Wenn klar ist, dass staatliche Stellen im Ernstfall Zugriff auf die Daten haben, verlieren Unternehmen und Anwender die letzte Motivation, sich um mehr Datensicherheit zu bemühen.
Der Antrieb dazu ist ohnehin gering genug. Schon heute halten laut BITKOM vier von fünf Internet-Nutzern (80 %) in Deutschland ihre persönlichen Daten im Internet für unsicher. Hintertüren bei der Verschlüsselung dürften auch dieses Restvertrauen zunichtemachen. Es wird Unternehmen nicht beizubringen sein, dass sie nun endlich ihre E-Mails und Cloud-Daten verschlüsseln sollen, wenn letztlich klar ist, dass die Verschlüsselung eben nicht Ende-zu-Ende-Schutz bietet.
Je mehr eine Wirtschaft – wie die deutsche – von Forschung und Entwicklung, Know-how und Innovationen des Mittelstands lebt, desto empfindlicher ist sie für Datenverluste. Volkswirtschaftlich betrachtet ist der Schaden, den eine saubere End-to-End-Encryption verhindern könnte, enorm: Der BITKOM hat 2015 allein für Deutschland Verluste von 51 Mrd. Euro errechnet. Betroffen von Wirtschaftsspionage, Sabotage oder Datendiebstahl war in einem Zeitraum von zwei Jahren etwa jedes zweite Unternehmen (51 %). Es ist also kein Wunder, dass 60 % der deutschen Unternehmen ihre Sicherheitsmaßnahmen für ungenügend halten. Dem Studienbericht „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter“ vom September 2015 zufolge verschlüsseln zwar 80 % ihre Netzwerkverbindungen, aber nur 45 % auch gespeicherte Daten und nur 40 % ihren E-Mail-Verkehr. (red)
Fazit: Verschlüsselung nicht verbieten oder unterlaufen, sondern stärken
Verschlüsselung muss einfacher und benutzerfreundlicher werden, um der Internet-Kriminalität und der Datenspionage besser zu begegnen. Straftäter werden ihre Kommunikation sowieso verschlüsseln wollen. Wenn legale Verschlüsselungssoftware mittels Hintertür unsicher gemacht wird, werden Kriminelle zweifellos zu anderen Verfahren greifen. Die Hintertür öffnet dann nur den Zugang zu an sich legaler Kommunikation – für Ermittler und Datendiebe gleichermaßen.
Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.
Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de