Verschlüsselung ist nicht Teil der Lösung, sondern Teil des Problems

Im Rah­men der glo­ba­len Internet-Überwachung, die PRISM und Tem­pora offen­sicht­lich gemacht haben – und wahr­schein­lich gibt es doch auch noch andere Pro­gramme in ande­ren Staa­ten – ist ein Gut­teil des Online-Diskurses der Frage gewid­met, wie man sich selbst mit Ver­schlüs­se­lung schüt­zen kann.

Nach mei­nem Dafür­hal­ten ist aber der Ein­satz von Ver­schlüs­se­lung keine Lösung des Pro­blems: weder für per­sön­li­che Kom­mu­ni­ka­tion noch als Ansatz für die glo­bale Herausforderung.

Was wir bis­lang gehört haben, geht es bei den Über­wa­chungs­pro­gram­men um Meta­da­ten. Diese wer­den durch keine Ver­schlüs­se­lung ver­schlei­ert: Emp­fän­ger der Nach­rich­ten sind bei der­zeit allen Diens­ten iden­ti­fi­zier­bar. Auch die Nach­rich­ten­länge und Nach­rich­ten­fre­quenz sind leicht fest­zu­stel­len. Hier hilft Ver­schlüs­se­lung nicht.

Ver­schlüs­se­lung ver­führt uns zur Annahme, die Kom­mu­ni­ka­tion sei sicher. Dies muss nicht so sein. Die NSA ist einer der größ­ten Arbeit­ge­ber für Mathe­ma­ti­ker welt­weit. Aus Zei­ten der Ver­ab­schie­dung des DES (1976) ist bekannt, dass die NSA schon damals der öffent­lich bekann­ten For­schung an Ver­schlüs­se­lung einige Jahre vor­aus war – die von ihnen vor­ge­schla­ge­nen Ver­än­de­run­gen am Algo­rith­mus sicher­ten ihn gegen Ana­ly­se­ver­fah­ren ab, die zu dem Zeit­punkt in der zivi­len Welt noch nicht ent­deckt wor­den waren. Es kann also gut sein, dass wir uns auf Ver­fah­ren ver­las­sen, deren Sicher­heit nicht mehr gege­ben ist.

Und selbst wenn die Ver­schlüs­se­lung heute noch sicher ist: die NSA spei­chert sehr, sehr lange. Wer sagt uns denn, dass inner­halb der nächs­ten dreis­sig Jah­ren die ent­spre­chen­den Algo­rith­men – sei es durch hin­rei­chend schnelle Com­pu­ter, sei es durch Fort­schritte in deren Rück­rech­nung – nicht alle kei­nen Wert mehr haben? So groß ist die Anzahl der der­zeit in den ver­schie­de­nen Tools ein­ge­setz­ten Ver­fah­ren nicht.

Ein wei­te­res Thema ist, dass Ver­schlüs­se­lung eine kom­plexe Auf­gabe ist, wenn man sie ernst nimmt. Auch wenn wir uns bemü­hen, die Ver­fah­ren so ein­fach wie mög­lich zu gestal­ten und die Pro­gramme so benut­zer­freund­lich wie mög­lich zu bekom­men: eine gewisse Kom­ple­xi­tät muss blei­ben, wenn die Ver­fah­ren ernst­haft genutzt wer­den sol­len. Man denke nur an die Auf­ga­ben, um pri­vate Schlüs­sel einer­seits sicher und nur auf Gerä­ten des Benut­zers zu hal­ten, ande­rer­seits aber auch in Back­ups zu sichern oder über meh­rere Geräte abzu­glei­chen. Von so The­men wie Inte­gra­tion in Web­mail ganz zu schwei­gen – hier sto­ßen dann Wel­ten zusam­men, die nur sehr, sehr schwie­rig zusam­men­zu­füh­ren sein wer­den. Durch diese Kom­ple­xi­tät wird es aber auch so blei­ben, dass Ver­schlüs­se­lung immer nur einer Min­der­heit zur Ver­fü­gung steht: jenen Men­schen, die sich ernst­haft mit die­sen The­men auseinandersetzen.

Was die Men­schen, die sich stark online bewe­gen, so sehr stört ist kein tech­ni­sches Pro­blem; es ist ein poli­ti­sches. Anstatt sich um tech­ni­sche Lösun­gen zu küm­mern, soll­ten wir die Ener­gie viel lie­ber dar­auf ver­wen­den, uns poli­ti­sche und soziale Lösun­gen zu über­le­gen: das ist das Spiel­feld, auf dem wir uns der­zeit bewe­gen müs­sen. Ich sehe gerade kei­nen ande­ren Weg, uns der Über­wa­chung der Unter­see­ka­bel zu ent­zie­hen, als nur mög­lichst wenig Daten über diese Kabel zu schi­cken. Das bedeu­tet: Europa muss sich Gedan­ken dar­über machen, wie es die Abhän­gig­kei­ten von den USA als Tech­no­lo­gie­quelle redu­ziert. Europa muss sich dar­über Gedan­ken machen, auf wel­che Weise wir die Internet-Wirtschaft in Europa so stär­ken kön­nen, dass euro­päi­schen Benut­zern der Zugriff auf euro­päi­sche Dienste lie­ber ist, als Unter­neh­men zu bemü­hen, die sich dem ame­ri­ka­ni­schen Recht unter­ord­nen müs­sen. Denn, machen wir uns doch nichts vor: Europa wird es nicht schaf­fen, nen­nens­wer­ten Ein­fluss auf das Vor­ge­hen der ame­ri­ka­ni­schen Sicher­heits­be­hör­den zu neh­men. Über keine Ver­hand­lun­gen, über keine Gesetz­ge­bung wer­den wir es schaf­fen, dass FISA-Beschlüsse öffent­lich wer­den, dass die NSA sich gegen­über Aus­län­dern anders ver­hal­ten muss oder dass die ame­ri­ka­ni­schen Unter­neh­men plötz­lich bes­sere Werk­zeuge haben, um sich dem Sicher­heits­we­sen zu wider­set­zen. Viel­leicht ändert sich der Nar­ra­tiv, den wir hören: das heisst aber noch lange nicht, dass sich fun­da­men­tal am Vor­ge­hen was ändert.

Die EU muss sich darum bemü­hen, dass die IT-Industrie in Europa zu einer inno­va­ti­ven, beweg­li­chen und eben auch unab­hän­gi­gen Bran­che wird. Erst dann wer­den wir es schaf­fen, dass das euro­päi­sche Recht auch für die euro­päi­schen Daten bin­dend ist.

One thought on “Verschlüsselung ist nicht Teil der Lösung, sondern Teil des Problems”

  1. Obwohl ich im Zuge der Prism-Enthüllungen ange­fan­gen habe, meine Kom­mu­ni­ka­tion exzes­siv zu ver­schlüs­seln, gebe ich dir recht: Es ist davon aus­zu­ge­hen, dass uns die Geheim­dienste tech­no­lo­gisch weit vor­aus sind. Wer auf eine euro­päi­sche IT mit ver­gleich­ba­rer Leis­tungs­fä­hig­keit war­ten will, wird aller­dings viel Geduld brau­chen. Ein Leucht­turm ist für mich die Messaging-App threema aus der Schweiz.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>