Die EU-Mitgliedstaaten wollen mehr Kompetenzen, um in verschlüsselte Messenger-Chats schauen zu können. Das besagt ein Ratsbeschluss-Entwurf, der EURACTIV Deutschland vorliegt.
Noch ist es nur eine politische Willensbekundung, die im Dezember endgültig beschlossen werden soll. Doch zivilgesellschaftliche Organisationen fürchten den Anfang vom Ende der Nutzer-zu-Nutzer-Verschlüsselung, die in den „Crypto Wars“ der 1990er-Jahre erkämpft wurde.
Nutzer-zu-Nutzer-Verschsellung („End-to-End“ oder „E2E“) bedeutet im Kern, dass nur SenderIn oder EmpfängerIn eine Nachricht lesen können. Schickt Person A eine Nachricht an Person B, ist sie stets verschlüsselt; würde jemand diesen Nachricht abfangen, wäre sie unleserlich. Um sie zu entziffern, braucht es einen Code, einen Schlüssel, den nur A und B haben – auf ihren jeweiligen Endgeräten.
Das ist auch einer der Gründe, wieso Staatstrojaner bei Behörden so beliebt sind: Damit käme man direkt auf die Endgeräte und könnte die dechiffrierten Nachrichten mitlesen. Die deutsche Polizei hat dieses Werkzeug, in Österreich kassierten es die Gerichte nach kurzer Zeit im Dezember 2019.
„Bessere Balance“ zwischen Privatsphäre und Verbrechensbekämpfung
Daher nun der Wunsch der Staaten, die Verschlüsselung zu umgehen. Die EU stehe „weiter hinter starker Verschlüsselung“, denn das sei „Anker des Vertrauens in die Digitalisierung“, so der Entwurf.
Allerdings stelle dies Strafverfolgungsbehörden vor neue Herausforderungen. Diese seien „vermehrt auf elektronische Beweise angewiesen, um effektiv gegen Terrorismus, organisiertes Verbrechen, Kindesmissbrauch und andere Cyber-Verbrechen vorzugehen.“
Verschlüsselung sei dabei ein Hindernis, schreiben die Staaten. Sie „mache die Analyse der Kommunikationsinhalte sehr fordernd bis praktisch unmöglich, obwohl Zugriff auf diese Daten rechtens wäre.“ Daher müssten „zuständige Behörden“ die Möglichkeit haben, auf verschlüsselte Daten zuzugreifen, um etwa Terrorismus zu bekämpfen.
Über technische Lösungen müsse man noch reden – und zwar mit den Firmen hinter den Messenger-Diensten, also Facebook, Twitter oder Signal.
Bei alledem seien die Grundrechte der BürgerInnen zu schützen, wird im Entwurf derweil wiederholt betont: Nur legaler Zugriff solle gewährleistet werden.
Kein Weg vorbei an Plattformen
Thomas Lohninger überzeugt das nicht. Er ist Leiter der Leiter der netzpolitischen NGO epicenter.works, und kämpft in Österreich für den Datenschutz.
„Es ist nicht möglich, Verschlüsselung nur für böse Absichten auszuhebeln. Das ist kein rechtliches Problem, sondern eine technologische Realität,“ so Lohninger im Gespräch mit EURACTIV Deutschland.
Zwar ist noch unklar, wie genau die Staaten technisch vorgehen wollen, allerdings gibt es nur wenige Optionen.
Da sie mit Firmen Plattformen kooperieren wollen, läuft es wohl auf eine Hintertür heraus, einen „Drittschlüssel“ neben jenen, die SenderIn und EmpfängerIn haben. Diesen Drittschlüssel müssten Firmen bauen und dann Sicherheitsbehörden zur Verfügung stellen.
Bislang konnten sich Plattformen gegen solche Aufforderungen, die eigenen Produkte unsicherer zu machen, erfolgreich wehren. Doch der Ratsbeschlussentwurf lässt vermuten, dass die Staaten jetzt rechtliche Großkaliber auffahren und Plattformen zur Kooperation zwingen wollen, so Lohninger.
Er fürchtet, dass ein solcher Schlüssel eben nicht nur für rechtsstaatlich einwandfreie und zwingend notwendige Überwachung zum Einsatz kommen könnte.
Wer bekommt den Schlüssel?
„Sobald ein solcher Schlüssel existiert, schafft das Begehrlichkeiten“, so der Experte. Da wären einerseits Drittstaaten mit weniger starken Rechtssystemen, wie Saudi Arabien oder China, die den Schlüssel in die Finger bekommen könnten. Aber auch in EU-Staaten gebe es Akteure, bei denen Lohninger den Schlüssel lieber nicht sehen will: Geheim- und Nachrichtendienste.
In früheren Entwürfen zu Überwachungsgesetzen sei immer die Rede von „Strafverfolgungsbehörden“ gewesen – also der Polizei, die überwachen darf. Nun wurden daraus „zuständige Behörden“. Das schließe auch Nachrichtendienste ein, wie den deutschen BND. Die unterliegen zwar theoretisch ebenfalls rechtsstaatlichen Grenzen, allerdings agieren sie oft intransparent.
Beispielsweise stellte das Bundesverfassungsgerichte im Mai fest, dass der BND jahrelang verfassungswidrig Menschen im Ausland überwacht habe.
In jedem Fall geht der Entwurf nun durch die Ratsarbeitsgruppen; Staaten können weiterhin Einwände aussprechen.