From the desk of

Verschlüsselung ist nicht Teil der Lösung, sondern Teil des Problems

Im Rah­men der glo­ba­len Inter­net-Über­wa­chung, die PRISM und Tem­po­ra offen­sicht­lich gemacht haben – und wahr­schein­lich gibt es doch auch noch ande­re Pro­gram­me in ande­ren Staa­ten – ist ein Gut­teil des Online-Dis­kur­ses der Fra­ge gewid­met, wie man sich selbst mit Ver­schlüs­se­lung schüt­zen kann. 

Nach mei­nem Dafür­hal­ten ist aber der Ein­satz von Ver­schlüs­se­lung kei­ne Lösung des Pro­blems: weder für per­sön­li­che Kom­mu­ni­ka­ti­on noch als Ansatz für die glo­ba­le Herausforderung. 

Was wir bis­lang gehört haben, geht es bei den Über­wa­chungs­pro­gram­men um Meta­da­ten. Die­se wer­den durch kei­ne Ver­schlüs­se­lung ver­schlei­ert: Emp­fän­ger der Nach­rich­ten sind bei der­zeit allen Diens­ten iden­ti­fi­zier­bar. Auch die Nach­rich­ten­län­ge und Nach­rich­ten­fre­quenz sind leicht fest­zu­stel­len. Hier hilft Ver­schlüs­se­lung nicht.

Ver­schlüs­se­lung ver­führt uns zur Annah­me, die Kom­mu­ni­ka­ti­on sei sicher. Dies muss nicht so sein. Die NSA ist einer der größ­ten Arbeit­ge­ber für Mathe­ma­ti­ker welt­weit. Aus Zei­ten der Ver­ab­schie­dung des DES (1976) ist bekannt, dass die NSA schon damals der öffent­lich bekann­ten For­schung an Ver­schlüs­se­lung eini­ge Jah­re vor­aus war – die von ihnen vor­ge­schla­ge­nen Ver­än­de­run­gen am Algo­rith­mus sicher­ten ihn gegen Ana­ly­se­ver­fah­ren ab, die zu dem Zeit­punkt in der zivi­len Welt noch nicht ent­deckt wor­den waren. Es kann also gut sein, dass wir uns auf Ver­fah­ren ver­las­sen, deren Sicher­heit nicht mehr gege­ben ist.

Und selbst wenn die Ver­schlüs­se­lung heu­te noch sicher ist: die NSA spei­chert sehr, sehr lan­ge. Wer sagt uns denn, dass inner­halb der nächs­ten dreis­sig Jah­ren die ent­spre­chen­den Algo­rith­men – sei es durch hin­rei­chend schnel­le Com­pu­ter, sei es durch Fort­schrit­te in deren Rück­rech­nung – nicht alle kei­nen Wert mehr haben? So groß ist die Anzahl der der­zeit in den ver­schie­de­nen Tools ein­ge­setz­ten Ver­fah­ren nicht. 

Ein wei­te­res The­ma ist, dass Ver­schlüs­se­lung eine kom­ple­xe Auf­ga­be ist, wenn man sie ernst nimmt. Auch wenn wir uns bemü­hen, die Ver­fah­ren so ein­fach wie mög­lich zu gestal­ten und die Pro­gram­me so benut­zer­freund­lich wie mög­lich zu bekom­men: eine gewis­se Kom­ple­xi­tät muss blei­ben, wenn die Ver­fah­ren ernst­haft genutzt wer­den sol­len. Man den­ke nur an die Auf­ga­ben, um pri­va­te Schlüs­sel einer­seits sicher und nur auf Gerä­ten des Benut­zers zu hal­ten, ande­rer­seits aber auch in Back­ups zu sichern oder über meh­re­re Gerä­te abzu­glei­chen. Von so The­men wie Inte­gra­ti­on in Web­mail ganz zu schwei­gen – hier sto­ßen dann Wel­ten zusam­men, die nur sehr, sehr schwie­rig zusam­men­zu­füh­ren sein wer­den. Durch die­se Kom­ple­xi­tät wird es aber auch so blei­ben, dass Ver­schlüs­se­lung immer nur einer Min­der­heit zur Ver­fü­gung steht: jenen Men­schen, die sich ernst­haft mit die­sen The­men auseinandersetzen. 

Was die Men­schen, die sich stark online bewe­gen, so sehr stört ist kein tech­ni­sches Pro­blem; es ist ein poli­ti­sches. Anstatt sich um tech­ni­sche Lösun­gen zu küm­mern, soll­ten wir die Ener­gie viel lie­ber dar­auf ver­wen­den, uns poli­ti­sche und sozia­le Lösun­gen zu über­le­gen: das ist das Spiel­feld, auf dem wir uns der­zeit bewe­gen müs­sen. Ich sehe gera­de kei­nen ande­ren Weg, uns der Über­wa­chung der Unter­see­ka­bel zu ent­zie­hen, als nur mög­lichst wenig Daten über die­se Kabel zu schi­cken. Das bedeu­tet: Euro­pa muss sich Gedan­ken dar­über machen, wie es die Abhän­gig­kei­ten von den USA als Tech­no­lo­gie­quel­le redu­ziert. Euro­pa muss sich dar­über Gedan­ken machen, auf wel­che Wei­se wir die Inter­net-Wirt­schaft in Euro­pa so stär­ken kön­nen, dass euro­päi­schen Benut­zern der Zugriff auf euro­päi­sche Diens­te lie­ber ist, als Unter­neh­men zu bemü­hen, die sich dem ame­ri­ka­ni­schen Recht unter­ord­nen müs­sen. Denn, machen wir uns doch nichts vor: Euro­pa wird es nicht schaf­fen, nen­nens­wer­ten Ein­fluss auf das Vor­ge­hen der ame­ri­ka­ni­schen Sicher­heits­be­hör­den zu neh­men. Über kei­ne Ver­hand­lun­gen, über kei­ne Gesetz­ge­bung wer­den wir es schaf­fen, dass FISA-Beschlüs­se öffent­lich wer­den, dass die NSA sich gegen­über Aus­län­dern anders ver­hal­ten muss oder dass die ame­ri­ka­ni­schen Unter­neh­men plötz­lich bes­se­re Werk­zeu­ge haben, um sich dem Sicher­heits­we­sen zu wider­set­zen. Viel­leicht ändert sich der Nar­ra­tiv, den wir hören: das heisst aber noch lan­ge nicht, dass sich fun­da­men­tal am Vor­ge­hen was ändert. 

Die EU muss sich dar­um bemü­hen, dass die IT-Indus­trie in Euro­pa zu einer inno­va­ti­ven, beweg­li­chen und eben auch unab­hän­gi­gen Bran­che wird. Erst dann wer­den wir es schaf­fen, dass das euro­päi­sche Recht auch für die euro­päi­schen Daten bin­dend ist.

Beitrag veröffentlicht

in

, ,

von

K. Neuwirth

Schlagwörter:

Kommentare

Eine Antwort zu „Verschlüsselung ist nicht Teil der Lösung, sondern Teil des Problems“

  1. Avatar von Kopfkompass
    Kopfkompass

    Obwohl ich im Zuge der Prism-Enthül­lun­gen ange­fan­gen habe, mei­ne Kom­mu­ni­ka­ti­on exzes­siv zu ver­schlüs­seln, gebe ich dir recht: Es ist davon aus­zu­ge­hen, dass uns die Geheim­diens­te tech­no­lo­gisch weit vor­aus sind. Wer auf eine europäische IT mit ver­gleich­ba­rer Leistungsfähigkeit war­ten will, wird aller­dings viel Geduld brau­chen. Ein Leucht­turm ist für mich die Mes­sa­ging-App three­ma aus der Schweiz.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert