Die fortlaufende Debatte um Ende-zu-Ende-Verschlüsselung

Der Konflikt

Das Thema Ende-zu-Ende-Verschlüsselung ist umstritten wie eh und je. Zunehmende Cyber-Kriminalität zeigt, dass eine effizientere Verbrechensbekämpfung notwendig ist. Daher gibt es viele Stimmen, die sich gegen Ende-zu-Ende-Verschlüsselung und für mehr Überwachung aussprechen, damit man Kommunikation nach verdächtigem Material durchsuchen kann. Gleichzeitig ist eine abhörsichere Kommunikation wünschenswert, um vor staatlichen als auch wirtschaftlichen Abhörmaßnahmen zu schützen. Nicht zuletzt durch steigende Heimarbeit bekommt dieses Argument auch von wirtschaftlicher Seite her Gewicht (Schutz vor Industriespionage). Firmen, Verbraucher*innen und Behörden vertrauen auf Verschlüsselung, um ihre Kommunikation abzusichern.

Dieser Interessenkonflikt rückt derzeit (wieder) auf nationaler und europäischer Ebene in den Fokus. Die Europäische Kommission möchte bis Ende des Jahres eine Studie vorlegen, in der Möglichkeiten zum Mitlesen von Ende-zu-Ende-verschlüsselter Kommunikation betrachtet werden. Das deutsche Innenministerium möchte Ende-zu-Ende-Verschlüsselung in Messenger-Diensten umgehen können. Gleichzeitig warnen zivilgesellschaftliche Organisationen, Wissenschaft und zum Teil auch die Industrie vor einem Aufweichen von Verschlüsselungsverfahren und fordern ein Recht auf Verschlüsselung.

In der Diskussion beobachten wir ein generelles Muster: Während Gegner ihre Argumentationslinie gegen Ende-zu-Ende-Verschlüsselung adaptieren, bleiben die Argumente der Befürworter inhaltlich stabil und es wird stattdessen versucht, durch kreative Lösungen das Missbrauchspotential zu reduzieren.

Neue Perspektiven

Victoria Banes hat in ihrer Keynote „Reframing the Encryption Debate“ dargestellt, wie nicht mehr nur die Terrorabwehr, sondern auch der Kampf gegen Kinderpornographie als Argument vorgebracht wird, um Verschlüsselung zu schwächen und Überwachung zu fördern. Sie zeigt auch, wie wir auf einer sprachlichen Ebene argumentativ mit starken Problemen konfrontiert werden, um uns das Aushebeln von Ende-zu-Ende-verschlüsselter Verschlüsselung nahezubringen. Sie stellt gleichzeitig klar, dass der Schutz von Kindern im Internet ein sehr wichtiges und schwieriges Thema ist und Ende-zu-Ende-Verschlüsselung auch Täter schützen kann. Das Dilemma besteht darin, dass beide Gruppen moralisch nachvollziehbar argumentieren (z.B. Schutz der Freiheit vs. Schutz der Schwachen). Es ist und bleibt ein zweiseitiges Thema.

Auf politischer Ebene knüpfte Jan Penfrat mit einer Diskussion zum Thema „Verschlüsselung und die Grenzen staatlicher Macht“ an. Er machte deutlich, wie wichtig die Ende-zu-Ende-Verschlüsselung auch für den Staat an sich ist. Während einige staatliche Stimmen die Möglichkeiten zum Aushebeln von Ende-zu-Ende-Verschlüsselung fordern, ist der Staat auch selbst auf gut funktionierende Verschlüsselung angewiesen. Seiner Meinung nach ist es offensichtlich und anerkannt, dass Hintertüren in Verschlüsselungsverfahren die Sicherheit der IT-Systeme schwächen und wir uns dies in der Diskussion bewusst machen müssen.

Von einem technischen Standpunkt aus richtete Raphael Robert den Blick auf eine Ende-zu-Ende-Verschlüsselung von Gruppenkommunikation. Insbesondere stellte er den Entwurf des IETF-Protokolls für Messaging Layer Security (MLS) vor und berichtete von seiner Arbeit daran, MLS als einen offenen Standard zu etablieren. In seinem Vortrag legt er nahe, über das Konzept Forward Secrecy and Deniability hinaus zu schauen und führt in das Konzept Future Securtity ein. Sein Fazit ist, dass sichere und benutzbare Verschlüsselung, auch in Gruppen, praktisch nutzbar und umsetzbar ist.

Christoph Bösch widmete sich in seinem Vortrag den „Herausforderung von verschlüsselter Kommunikation im Unternehmenseinsatz“. Er verfolgte ein sehr praktisches Problem, das Ende-zu-Ende-Verschlüsselung in Unternehmen schaffen kann: Beim Einsatz von Ende-zu-Ende-Verschlüsselung kann ein Prozess nicht einfach an einen anderen Bearbeitenden weitergegeben werden, sondern muss zwischendrin umverschlüsselt werden. Zudem warnte er davor, dass öffentliche Zertifikate an sich bereits Informationen über Personen und Unternehmen preisgeben können.

Den Abschluss bildete Andreas Bartelt, der mit seinem Beitrag „On the difficulty of achieving end-to-end security with IETF protocols“darstellte, dass trotz aller existierenden Protokolle eine Ende-zu-Ende-Verschlüsselung nur dann einen Nutzen haben kann, wenn sie richtig eingesetzt und umgesetzt wird. Die Konfiguration und viele weitere Hürden stellen daher Herausforderungen und Schwachstellen dar.

Unser Fazit

Die Gesellschaft ist auf starke Verschlüsselung angewiesen, nicht nur um eine freie Kommunikation zu gewährleisten, sondern auch um elektronischen Handel und Zahlungsverkehr überhaupt zu ermöglichen. Jedoch müssen die Seiteneffekte im Blick behalten werden, wenn Verschlüsselungsverfahren weiterentwickelt und flächendeckend zum Einsatz kommen. Um schwerwiegende Verbrechen bekämpfen zu können, ist es notwendig, in begründeten Fällen Zugriff auf Kommunikationsinhalte zu bekommen und Überwachungsmaßnahmen durchführen zu können. Hierbei kann die Lösung jedoch nicht sein, Verschlüsselung grundsätzlich zu schwächen oder Hintertüren einzubauen. Über diese Beobachtung schien ein Konsens unter den Sprecher*innen und Teilnehmenden zu herrschen. Viel mehr ist nach Lösungen zu suchen, mit denen eine gezielte Strafverfolgung durchgeführt werden kann. Die aus diesen Problemen resultierende Debatte, so anstrengend und emotional sie oft erscheinen mag, muss fortlaufend geführt werden, so wie auch die zugrunde liegenden Techniken laufend weiterentwickelt werden.