Welche Vor- und Nachteile hat es, wenn Verschlüsselungsprogramme mit staatlichen Hintertüren ausgestattet sind? Und bringt so ein Hintertür-Zwang überhaupt etwas?


Zu Teil 1 des Artikels

Es bringt nichts, Hintertüren vorzuschreiben, weil sich jeder halbwegs versierte Computer-Nutzer hintertürfreie Software aus dem Internet besorgen kann. Diese Aussage ist immer wieder zu hören. Ich halte sie allerdings für falsch. Und zwar einfach deshalb, weil die meisten Nutzer (auch die meisten Kriminellen) von dieser Möglichkeit schlichtweg keinen Gebrauch machen – aus Bequemlichkeit oder Unkenntnis. Nehmen wir einmal an, der Gesetzgeber in Deutschland schreibe Hintertüren vor. Dann dürfte folgendes passieren:

  • PCs, die es im Handel zu kaufen gibt, enthalten keine hintertürfreie Verschlüsselungsfunktionen mehr. Zwar kann man diese nachrüsten, für die meisten Nutzer (auch für die meisten Kriminellen) ist das aber zu kompliziert.
  • Apps mit hintertürfreier Verschlüsselungsfunktion verschwinden aus den deutschen App-Stores. Zwar kann man auch diese nachrüsten, doch die wenigsten tun das.
  • Unternehmen und Behördern statten ihre Dienst-PCs nicht mehr mit hintertürfreier Verschlüsselungssoftware aus. Diese könnte ein Nutzer zwar nachrüsten, doch das eigenmächtige Installieren ist in den meisten Unternehmen und Behördern verboten.
  • Für die Polizei ist nicht nur die Kommunikation zwischen Kriminellen untereinander interessant. Auch die Mitteilungen eines Kriminellen an den Steuerberater, Autorhändler oder das Reisebüro können von Interesse sein. Steuerberater, Autohändler und Reisebüros werden aber keine große Lust haben, illegale Software zu verwenden.

Aus diesen Gründen gehe ich davon aus, dass ein Hintertür-Zwang durchaus die Wirkung hätte, die sich die Befürworter davon versprechen. Die im ersten Teil des Artikels erwähnte Seite When Encryption Baffles the Police: A Collection of Cases zeigt, dass die Polizei in vielen Fällen eine Hintertür gut gebrauchen könnte.

Warum wehren sich so viele gegen staatliche Hintertüren?

Es gibt aber auch gewichtige Gründe gegen einen Hintertür-Zwang:

  • Die Gefahr, dass eine staatliche Hintertür missbraucht wird, ist enorm groß. Eine Datenbank mit “Nachschlüsseln”, die nur auf richterlichen Beschluss genutzt werden darf, würde Geheimdienste und Hacker magisch anziehen.
  • Wenn es in Deutschland einen Hintertür-Zwang gibt, muss man einen solchen auch anderen Staaten zubilligen. Auch solchen, die es mit richterlichen Genehmigungen nicht ganz so genau nehmen.
  • Für die deutsche Industrie, insbesondere für die Hersteller von Verschlüsselungstechnik, würde ein Hintertür-Zwang einen enormen Vertrauensverlust bedeuten. Ein ähnliches Problem hätten beispielsweise Rechtsanwälte und Ärzte, die Verschlüsselung verwenden.
  • Insgesamt ist die Privatsphäre eines Menschen ein hohes Gut, das es zu schützen gilt. Ein Hintertür-Zwang tut das sicherlich nicht.

Aus diesen Gründen bin ich gegen einen Hintertür-Zwang und gegen eine sonstige Form der Krypto-Regulierung. Nahezu alle Kryptologen, Bürgerrechtler und Industrievertreter teilen diese Meinung. Ich hoffe daher, dass die aktuelle Diskussion ähnlich enden wird wie die des Jahres 1997.

Zum Weiterlesen: Wie die NSA die Verschlüsselungstechnik bekämpfte

Kommentare (13)

  1. #1 Heino
    30. Januar 2015

    Man kann doch ganz einfach den hintertürfreien Betrieb unter Strafe stellen. Dann kann jeder verschlüsseln, wie er will und diejenigen, die was Verbotenes getan haben, naja, da wird geguckt, ob die verschlüsseln und wenn ja, dann hat man sie gefangen.

    Ganz einfach.

  2. #2 Michel
    30. Januar 2015

    Zu diesem Thema habe ich schon vieles gelesen. Meist lautet die Devise “Hintertür-Zwang ist nur böse, böse, böse”. Herr Schmeh, ich finde es gut, dass Sie das Thema etwas ausgewogener diskutieren. Sie kommen ja trotzdem zum gleichen Schluss wie fast alle anderen Authoren, und das zurecht.

  3. #3 le D
    30. Januar 2015

    “Ein ähnliches Problem hätten beispielsweise Rechtsanwälte und Ärzte, die Verschlüsselung verwenden.”

    Kurzes Statement von einem Anwalt im IT-Bereich: das Verbieten einer Software zur abhörsicheren Kommunikation mit Mandanten muss sich auch am Schutzzweck des § 203 StGB messen lassen. Es ist das gute Recht eines Beschuldigten, alles zu verschlüsseln, was er verschlüsseln will. Und dieses Recht färbt auf die Kommunikation mit seinem Anwalt ab. Da einen Keil rein zu schieben ist ein dickeres Brett, als es auf den ersten Blick aussieht, denn es gilt auch in Deutschland der althergebrachte Grundsatz: nemo tenetur se ipsum accusare. Und das findet sich nicht nur im Grundgesetz, sondern auch in der EMRK (Art. 6), dem UNO-Pakt II (14 Zieff. 3 lit. g) und einigen weiteren Rechtsquellen mehr (wobei die Grenzen durchaus nicht eindeutig sind). Selbst wenn der Deutsche oder Europäische Gesetzgeber wollen würde, machen ihm die internationalen Verträge diesen Punkt sehr schwer.

    Ich sehe abseits der theoretischen Fragen in einem Verbot in der Praxis keinerlei Sinn (und vermag die befürworten Argumente teilweise nicht nachvollziehen: wenn es ach so schwer ist, Software zu installieren (und das deswegen keiner macht), dann macht ein Verbot keinen Sinn, weil es ja jetzt schon keiner macht). Das Argument ist in meinen Augen also nicht logisch (aber ich ja nur Jurist).

    Es kann allerlei interessant sein – auch die DNA von jedermann. Trotzdem erscheint es mir nicht sinnvoll, eine Datenbank mit der DNA aller Bürger zu erstellen… Oder die Verbindungsdaten aller Bürger – Stichwort: Vorratsdatenspeicherung.

    • #4 Klaus Schmeh
      5. Februar 2015

      Danke für diesen fachmännischen Kommentar.

      >wenn es ach so schwer ist, Software zu installieren, dann macht
      >ein Verbot keinen Sinn, weil es ja jetzt schon keiner macht
      Es gibt eben erhebliche Unterschiede. Ein Beispiel: Eine Kurznachrichten-App (z. B. Threema oder MyEnigma) gibt es bei iTunes. Jeder Laie kann sie in drei Minuten installieren. Aber woher bekommt man ggf. eine hintertürfreie Version? In einem ausländischen iTunes-Store? Irgendwo im Internet? Wie installiert man so etwas überhaupt? Funktioniert danach noch alles? Was sagt mein Arbeitgeber dazu, wenn ich auf diese Weise auf meinem Dienst-Handy herumpfusche? Am Ende wird man sicherlich immer einen Weg finden, aber vielen ist das zu kompliziert.

  4. #5 Dr. Webbaer
    30. Januar 2015

    Die Privatheit [1] meint den eigentümlichen Bereich und muss oder darf vielleicht auch nicht durch vorgeschaltete staatliche Instanzen per se verunmöglicht werden, wenn die Persistierung oder Übertragung von Nachricht, zeitgenössische Mittel der IT betreffend, gemeint ist.


    Das war übrigens auch mal lange Zeit Konsens im Politischen, Linke und Konservative (“Rechte”) mitnehmend, aus liberaler Sicht: sowieso.

    MFG
    Dr. W

    [1] es geht genau um diese

  5. #6 Gerald Fix
    1. Februar 2015

    Schöner Artikel.

    Die Gefahr, dass eine staatliche Hintertür missbraucht wird, ist enorm groß. Eine Datenbank mit “Nachschlüsseln”, die nur auf richterlichen Beschluss genutzt werden darf, würde Geheimdienste und Hacker magisch anziehen.

    Geheimdienste und Hacker, so so 🙂 Es ist interessant zu sehen, welchen Stellenwert eine Organisation genießt, die eigentlich der Gesellschaft verpflichtet sein sollte. Aber ich vermute, dass das auch für viele der Hauptgrund dafür ist, die Hintertür abzulehnen: Man traut dem Staat nicht. Und, ich finde, man tut das mit einigem Recht.

    • #7 Klaus Schmeh
      5. Februar 2015

      Es geht hier noch nicht einmal in erster Linie um den deutschen Geheimdienst. Es gibt sicherlich genug ausländische Dienste, die gerne zugreifen würden.

  6. #9 Ulf Lorenz
    2. Februar 2015

    Bei den Praemissen gibt es zwei Schwachstellen:

    Sie sagen einerseits, dass Kriminelle heutzutage zu doof oder faul sind, sich Extrasoftware zu installieren, deswegen wuerde ein Verschluesselungsverbot wirken. Andererseits sagen Sie, die Polizei hat Probleme, Verschluesselungen zu knacken, also verschluesseln die Kriminellen offenbar doch, was ihrer These widerspricht.

    Es ist mir klar, dass es unterschiedliche Kriminelle gibt etc., aber in Anbetracht illegaler Primzahlen und Schwarzmaerkten fuer Kreditkartendaten und Exploits bezweifle ich sehr stark, dass die Barriere fuer den Download vernuenftiger Verschluesselung auch nur annaehernd hoch genug steigen wuerde.

    Ein weiteres Problem: Wenn ich mir die gesammelten Faelle so anschaue, dann lese ich daraus nicht, dass die Polizei an der Verschluesselung scheitert, sondern dass die fetten Jahre mit einfacher Beschlagnahmung grosser Datenmengen einfach vorbei sind. Oder um es etwas zuzuspitzen: Wenn ein Verbrecher nicht hinter Gitter kommt, nur weil dessen Laptop verschluesselt ist, dann sind wahrscheinlich entweder die Ermittlungen oder der Zugriff massiv schiefgelaufen.

    • #10 Klaus Schmeh
      5. Februar 2015

      Ich würde es so sagen: Die Zahl der Kriminellen, die Kryptogafie nutzen, steigt. Allerdings dürfte klar sein: Je einfacher es ist, Kryptografie zu nutzen, desto mehr tun es. Eine vorinstallierte Hintertür ist eben eine zusätzliche Hürde, die man zwar überspringen kann, die aber von vielen (aus Bequemlichkeit, Sorglosigkeit oder Unwissen) nicht übersprungen wird.

  7. #11 Dr. Webbaer
    3. Februar 2015

    Wenn ein Verbrecher nicht hinter Gitter kommt, nur weil dessen Laptop verschluesselt ist, dann sind wahrscheinlich entweder die Ermittlungen oder der Zugriff massiv schiefgelaufen.

    Was genau unterscheidet hier die ‘Ermittlungen’ vom ‘Zugriff’? [1]

    Was sind ‘illegale Primzahlen’?

    Hmm, ansonsten, auch wenn das OS verschlüsselt ist, bleiben zig Angriffspunkte, nämlich bei den Anwendungen und bei der sog. Vorratsdatenhaltung.

    In einigen Fällen reicht die Beweislage nicht aus („zur Verurteilung“), wenn das „Tatgerät“ sicher verschlüsselt ist, korrekt, aber in anderen Fällen schon.
    Täter sollten ihr Gerät möglichst gut sichern und über das web anonymisiert zugreifen, was aber insgesamt, auch aus Gründen der Bequemlichkeit und des Unwissens, oft nicht konsequent durchgehalten wird. Wichtig wäre es auch offline zu bleiben, wenn keine Taten stattfinden, und sich „Tatgeräten“ bedarfsweise schnell zu entledigen, was aber Kosten verursacht und aus verschiedenen anderen Gründen nicht „täter-ergonomisch“ ist.

    Sportfreund Bin Laden hat demzufolge den Datenträger Papier verducht, auch Boten, aber gerade auch Boten und Papier sind unsicher.

    Besondere Probleme oder „Pannen“ sieht Ihr Kommentatorenfreund nicht, die Ermittlungsarbeit betreffend, diese könnte ganz im Gegenteil generell deutlich leichter geworden sein.

    Es lassen sich ja zunehmend große potentielle Tätergruppen polizeilich oder per „Dienste“ verwalten. Es könnte sogar der Eindruck entstehen, dass die Gefährder- oder Tätergruppen gar nicht zahlenmäßig stark anwachsen.

    MFG
    Dr. W

    [1] Der ‘Zugriff’ meint üblicherweise den polizeilichen Zugriff auf mutmaßliche Täter mit dem Ziel der Inhaftnahme und Beweissicherung.

  8. #12 bruno
    7. August 2015

    …hat der hr. dr. keine sufu: https://de.wikipedia.org/wiki/Illegale_Primzahl

  9. #13 Aleksandar Kropp
    Hamburg
    8. Januar 2019

    Gepriesen sei das Rauhe Haus,

    Tja ok, die meisten die eh zu Faul sind werden Bitlooker in Windows verwenden was es ihnen erlaubt ihre Systeme von Gefühl her sicher zu machen.

    Hacker bleiben bei TrueCrypt und dass macht (vorausgetzt die Passwörter sind komplex genug) auch da große Probleme. Soll heißen Access Denaid!

    Wer eh schon in Darknet unterwegs ist, ode auf sonstigen Deepwebs, wer sich auskennt der wird eh auf TrueCrypt oder VeraCrypt setzen. Und da kann man ja (wenn richtig gemacht) auch den Behörden das Password nennen, sie in das (lehre System) lassen weil dann trotzdem noch alle wichtigen und möglicherweise relevanten Daten auf einn hidden volume abgelegt sind. So, und wer von dessen existenz nichts weiß wird sich da auch schwer tun). Wenn die Bullen bei mir wieder ne Hausdurchsuchung machen dann würde ich denen nichts von richtigen Hidden Volume mittteilen und selbst wenn die Wissen das es existiert können die trotzdem nicht daran.

    Ok, und selbst wenn Rechner weg sind, jeder Hacker der sich eine Opsec Strategie überlegt hat (ja ich beziehe mich auf die Talks von 35c3) der wird die Backups physikalisch ausgelaert haben.

    Also in dem Sinne,
    Gott Strafe das LKA Hamburg!