Der EU-Ministerrat fordert in einer Resolution Hintertüren für verschlüsselnde Messenger wie Whatsapp und Co. Geheimdienste und Strafverfolgungsbehörden sollen die Kommunikation im Internet mitlesen dürfen. Das ist aus mehreren Gründen gefährlicher Unsinn. Ein Kommentar.

Der ORF hat einen nicht-öffentlichen# Entwurf [PDF] des EU-Ministerrates veröffentlicht. Der Ministerrat nutzt die Wiener Anschläge als Gelegenheit, um in einer Entschließung Hintertüren für Behörden für Ende-zu-Ende-verschlüsselnde Messenger zu fordern. Das Papier ist vor dem Hintergrund eines geplanten Gesprächs zwischen Frankreichs Präsident Emmanuel Macron und Österreichs Bundeskanzler Sebastian Kurz entstanden. In ihm soll es auch um die Folgen des Terroranschlags von Wien gehen.

Der Entwurf fordert dazu auf, die Ende-zu-Ende-Verschlüsselung für die Strafverfolgung mit einer Hintertür zu versehen. Das kurze Papier ist zwar rechtlich nicht bindend, könnte aber dennoch die Marschrichtung der EU-Kommission bestimmen, zumal es bereits ein Kompromiss zwischen verschiedenen Parteien# ist.

Politisch bedenklich

Der Entwurf, hinter verschlossenen Türen entstanden, atmet dabei den Geist dessen, was er vorschlägt. Ziel ist es, die private und verschlüsselte Kommunikation von Menschen über Messenger wie Whatsapp, Signal oder Threema zu überwachen. Die Vorschläge ähneln jenen, die kürzlich in einem anderen Papier der Five-Eyes-Staaten veröffentlicht wurden, das ebenfalls die Ende-zu-Ende-Verschlüsselung angreift. Unterschrieben haben das Statement des US Justizministeriums die Five-Eye-Staaten USA, Großbritannien, Kanada, Australien und Neuseeland sowie Indien und Japan.

Totalüberwachung ist nutzlos

Bei genauerer Betrachtung gibt es fast keinen Grund, der für eine Aufweichung der Ende-zu-Ende-Verschlüsselung spricht, dafür aber viele Gründe dagegen. Eine zentrale Stelle im Dokument des EU Ministerrates nennt die Gründe für das Vorhaben: “[…] law enforcement is increasingly dependent on access to electronic evidence to effectively fight terrorism, organised crime, child sexual abuse (particularly its online aspects), as well as a variety of cyber-enabled crimes. For competent authorities, access to electronic evidence is not only essential to conduct successful investigations and thereby bring criminals to justice, but also to protect victims and help ensure security.” Die geplanten Abschaffung der Verschlüsselung richtet sich also nach offizieller Lesart gegen Terrorismus, organisiertes Verbrechen, den Missbrauch von Kindern und “verschiedene Formen von Cyber-Kriminalität”.

Fehlt es an Daten?

In Sachen Kinderpornographie dürfte das Aufbrechen der Verschlüsselung wenig bringen. Bereits bei den Telefonüberwachungen haben nur die wenigsten diesen Straftatbestand zum Ziel. Hier führen bereits klassische, verdeckte Ermittlungsarbeit und neue Herangehensweisen immer wieder zu Erfolgen, wie jüngst in Bergisch Gladbach. Mehr Personal und eine effizientere Auswertung des Materials wären hier vermutlich deutlich effektiver als eine Hintertür. Auch das schnelle Löschen von Inhalten über deren Provider ist ein gangbarer und zu wenig genutzter Weg.

Noch hanebüchener ist der Versuch, die letzten terroristischen Anschläge heranzuziehen. Die Anschläge in Wien oder Berlin zeigen vor allem, dass die Behörden nicht in der Lage sind, die bereits vorhandenen Daten adäquat auszuwerten. Nicht nur in Wien und Berlin, sondern auch bei einigen weiteren Anschlägen waren die Attentäter bekannt. Sie standen zum Teil sogar unter Beobachtung. Dennoch ließen sich die Anschläge nicht verhindern. Was also bitte wollen die Ermittler dann mit tausendfach mehr Daten? Wäre es nicht wesentlich sinnvoller, die Koordination und Kommunikation zwischen den Behörden zu verbessern, die Automatisierung und Digitalisierung in den Behörden voranzubringen und die vorliegenden Erkenntnisse effektiver auszuwerten?

Die Leiter der Strafverfolgungsbehörden verweisen zudem gern auf Skalierungsprobleme. Es gebe eben so viele potenzielle Gefährder, so dass nur ein automatisiertes Sammeln ihrer Kommunikation Hinweise darauf geben kann, welche der Gefährder Maulhelden sind und welche tatsächlich zu Attentätern werden. Oder welche Kriminellen gerade am nächsten großen Ding arbeiten. Das aber greift zu kurz.

Verschlüsselung ohne Hintertür bleibt

Dem liegt unter anderem der Denkfehler zugrunde,  eine Ende-zu-Ende-Verschlüsselung ohne Hintertür durch Verbote LIEẞE SICH tatsächlich abschaffen. Die Strafverfolgungsbehörden und Geheimdienste nehmen offenbar an, dass Terroristen, Kriminelle und Pädophile trotz bekannter Hintertür auch künftig weiterhin brav zu Lösungen wie Whatsapp und Co. greifen werden. Das ist bestenfalls naiv. Ende-zu-Ende-verschlüsselte Messenger, ob die EU sie nun für legal oder illegal erklärt, wird es immer geben. Notfalls programmieren kriminelle Banden sich ihre eigene Software, die Algorithmen sind bekannt. Viel wahrscheinlicher ist, dass sie fertige Software aus Nicht-EU-Ländern herunterladen, die eine funktionierende Verschlüsselung bietet. Überwachungsopfer wären dann eher jene Teile der Bevölkerung, die nicht Willens oder aus anderen Gründen nicht in der Lage sind, auf die Standardsoftware zu verzichten.

Missbrauch vorprogrammiert

Zudem lässt sich so eine Hintertür auch politisch missbrauchen. Das können autokratische Regierungen sein, die politische Gegner, Whistleblower und Journalisten überwachen. Auch neigen Strafverfolgungsbehörden dazu, solche Werkzeuge recht schnell bei Bagatellen einzusetzen. Schon die Formulierung in der Resolution “…as well as a variety of cyber-enabled crimes” ist schwammig genug, um sämtliche Vergehen zu überwachen, bei denen ein Computer im Spiel ist.

Die Selbstbedienungsmentalität bei Überwachungsdaten lässt sich bereits heute bei der Telefonüberwachung beobachten: Wie bei einer offenen Keksdose greifen die Behörden fast selbstverständlich Telefondaten ab, hauptsächlich übrigens wegen Drogendelikten. Weil Menschen generell weniger telefonieren (und mehr Messenger verwenden), geht die Zahl der Abfragen zwar insgesamt zurück. Aber von den Anträgen auf Überwachung wird fast keiner abgelehnt. Warum sollte dies bei Daten zur Internetkommunikation anders laufen?

Die wahren Profiteure von Backdoors

Und natürlich freuen sich nicht zuletzt auch Hacker, Kriminelle und andere Staaten über Hintertüren in der Verschlüsselung. Auch hier zeigt die Erfahrung: So eine Backdoor bleibt selten unentdeckt. Zu komplex sind die Implementierungen, dass nicht doch ein Hacker eine Lücke entdeckt, um sie auszunutzen. Gerät die Hintertür dann in falsche Hände, könnte das etwa dazu führen, dass die Kriminellen die Kommunikation der Strafverfolger mitlesen. Und dass staatliche Hacker aus Ländern wie Russland, dem Iran, China oder Nord-Korea so eine Hintertür als Einladung verstehen, dürfte auch niemanden überraschen. Hier würde dann nicht nur die Demokratie, sondern auch die Wirtschaft dank Wirtschaftsspionage Kollateralschäden erleiden.

Nicht zuletzt gibt es auch Missbrauch solcher Daten in den Behörden selbst. Bekanntlich sitzen auch in der Strafverfolgung vereinzelt Menschen mit flexiblen Einstellungen zur Demokratie oder zum Datenschutz. In der Vergangenheit gab es bekanntliche verschiedenste Fälle, in denen Ermittler aus privaten oder politischen Gründen illegal auf Daten zugriffen. Auch das ist nichts Neues: “Wo ein Trog ist, sammeln sich die Schweine”, formulierte es einst ein Staatsrechtler.

Irrweg

Kein Wunder also, dass es kurz nach Bekanntgabe des Entwurfes Kritik von allen Seiten hagelt. Bleibt zu hoffen, dass die EU-Kommission auch zuhört. Wird der unsinnige Entwurf Gesetz, steigert das einmal mehr die EU-Verdrossenheit bei den informierten und halbinformierten Wählern und stärkt potenziell eher antidemokratische Kräfte.

Zudem waren deutsche Politiker schon mal weiter: Es gebe keine Pläne, Hintertüren in Verschlüsselung einzubauen, hieß es noch vor einiger Zeit. Vielmehr wolle man mit anderen Mitteln arbeiten. Die gibt es natürlich: Strafverfolger könnten weiterhin und verstärkt klassische Überwachung betreiben, aber auch auf Endgeräte von Verdächtigen zugreifen, Passwörter knacken und einiges mehr.

Vor allem müssten die Regierungen europaweit für eine effektivere Abwehr von Terrorismus und organisierter Kriminalität schlicht mehr Geld für strukturelle Änderungen der Behörden locker machen. Stattdessen spielt Brüssel mit dem Feuer und gefährdet Bürgerrechte, um kurzsichtig symbolische Gewinne einzufahren.