Verschlüsselung ist nicht Teil der Lösung, sondern Teil des Problems

Im Rahmen der globalen Internet-Überwachung, die PRISM und Tempora offensichtlich gemacht haben – und wahrscheinlich gibt es doch auch noch andere Programme in anderen Staaten – ist ein Gutteil des Online-Diskurses der Frage gewidmet, wie man sich selbst mit Verschlüsselung schützen kann.

Nach meinem Dafürhalten ist aber der Einsatz von Verschlüsselung keine Lösung des Problems: weder für persönliche Kommunikation noch als Ansatz für die globale Herausforderung.

Was wir bislang gehört haben, geht es bei den Überwachungsprogrammen um Metadaten. Diese werden durch keine Verschlüsselung verschleiert: Empfänger der Nachrichten sind bei derzeit allen Diensten identifizierbar. Auch die Nachrichtenlänge und Nachrichtenfrequenz sind leicht festzustellen. Hier hilft Verschlüsselung nicht.

Verschlüsselung verführt uns zur Annahme, die Kommunikation sei sicher. Dies muss nicht so sein. Die NSA ist einer der größten Arbeitgeber für Mathematiker weltweit. Aus Zeiten der Verabschiedung des DES (1976) ist bekannt, dass die NSA schon damals der öffentlich bekannten Forschung an Verschlüsselung einige Jahre voraus war – die von ihnen vorgeschlagenen Veränderungen am Algorithmus sicherten ihn gegen Analyseverfahren ab, die zu dem Zeitpunkt in der zivilen Welt noch nicht entdeckt worden waren. Es kann also gut sein, dass wir uns auf Verfahren verlassen, deren Sicherheit nicht mehr gegeben ist.

Und selbst wenn die Verschlüsselung heute noch sicher ist: die NSA speichert sehr, sehr lange. Wer sagt uns denn, dass innerhalb der nächsten dreissig Jahren die entsprechenden Algorithmen – sei es durch hinreichend schnelle Computer, sei es durch Fortschritte in deren Rückrechnung – nicht alle keinen Wert mehr haben? So groß ist die Anzahl der derzeit in den verschiedenen Tools eingesetzten Verfahren nicht.

Ein weiteres Thema ist, dass Verschlüsselung eine komplexe Aufgabe ist, wenn man sie ernst nimmt. Auch wenn wir uns bemühen, die Verfahren so einfach wie möglich zu gestalten und die Programme so benutzerfreundlich wie möglich zu bekommen: eine gewisse Komplexität muss bleiben, wenn die Verfahren ernsthaft genutzt werden sollen. Man denke nur an die Aufgaben, um private Schlüssel einerseits sicher und nur auf Geräten des Benutzers zu halten, andererseits aber auch in Backups zu sichern oder über mehrere Geräte abzugleichen. Von so Themen wie Integration in Webmail ganz zu schweigen – hier stoßen dann Welten zusammen, die nur sehr, sehr schwierig zusammenzuführen sein werden. Durch diese Komplexität wird es aber auch so bleiben, dass Verschlüsselung immer nur einer Minderheit zur Verfügung steht: jenen Menschen, die sich ernsthaft mit diesen Themen auseinandersetzen.

Was die Menschen, die sich stark online bewegen, so sehr stört ist kein technisches Problem; es ist ein politisches. Anstatt sich um technische Lösungen zu kümmern, sollten wir die Energie viel lieber darauf verwenden, uns politische und soziale Lösungen zu überlegen: das ist das Spielfeld, auf dem wir uns derzeit bewegen müssen. Ich sehe gerade keinen anderen Weg, uns der Überwachung der Unterseekabel zu entziehen, als nur möglichst wenig Daten über diese Kabel zu schicken. Das bedeutet: Europa muss sich Gedanken darüber machen, wie es die Abhängigkeiten von den USA als Technologiequelle reduziert. Europa muss sich darüber Gedanken machen, auf welche Weise wir die Internet-Wirtschaft in Europa so stärken können, dass europäischen Benutzern der Zugriff auf europäische Dienste lieber ist, als Unternehmen zu bemühen, die sich dem amerikanischen Recht unterordnen müssen. Denn, machen wir uns doch nichts vor: Europa wird es nicht schaffen, nennenswerten Einfluss auf das Vorgehen der amerikanischen Sicherheitsbehörden zu nehmen. Über keine Verhandlungen, über keine Gesetzgebung werden wir es schaffen, dass FISA-Beschlüsse öffentlich werden, dass die NSA sich gegenüber Ausländern anders verhalten muss oder dass die amerikanischen Unternehmen plötzlich bessere Werkzeuge haben, um sich dem Sicherheitswesen zu widersetzen. Vielleicht ändert sich der Narrativ, den wir hören: das heisst aber noch lange nicht, dass sich fundamental am Vorgehen was ändert.

Die EU muss sich darum bemühen, dass die IT-Industrie in Europa zu einer innovativen, beweglichen und eben auch unabhängigen Branche wird. Erst dann werden wir es schaffen, dass das europäische Recht auch für die europäischen Daten bindend ist.

Ein Gedanke zu „Verschlüsselung ist nicht Teil der Lösung, sondern Teil des Problems“

  1. Obwohl ich im Zuge der Prism-Enthüllungen angefangen habe, meine Kommunikation exzessiv zu verschlüsseln, gebe ich dir recht: Es ist davon auszugehen, dass uns die Geheimdienste technologisch weit voraus sind. Wer auf eine europäische IT mit vergleichbarer Leistungsfähigkeit warten will, wird allerdings viel Geduld brauchen. Ein Leuchtturm ist für mich die Messaging-App threema aus der Schweiz.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *