Claus Schönleber

Vom Sinn einer Kryptographieregulierung

Digitale Version eines Artikels für die Junge Presse Schleswig-Holstein, 3/2001

Immer wenn neue Medien Verbreitung finden, entsteht ein Konflikt zwischen staatlichen und gesellschaftlichen Interessen. Vor allem gilt dies für Kommunikation. Dem staatlichen Überwachungsinteresse steht der Schutz der bürgerlichen Privatsphäre und des industriellen Wirtschaftskapitals gegenüber. In solchen Fällen sind die Kosten der Realisierung beider Ziele gegeneinander abzuwägen.

Die gegenwärtige gesetzliche Lage zur Verschlüsselung in den Ländern Europas ist sehr durchwachsen, obwohl es eine europäische Angleichung geben soll. Deutschland schränkt die Benutzung von Verschlüsselungstechniken zur Zeit nicht ein. Frankreich hingegen hatte lange Zeit sehr scharfe Einschränkungen bezüglich Kryptographie. Seit 1996 sind die Regulierungen jedoch im Zuge der europäischen Angleichung wiederholt liberalisiert worden (Dekret 99-200, 17.03.1999, und Dekret 99-199, 17.3.1999). Zugelassen sind allerdings immer noch nur nur niedrige Schlüssellängen oder Schlüsselhinterlegung be einer Behörde. Österreich verbietet firmeninterne Verschlüsselung, Belgien hat seine restriktive Regelung liberalisiert, sich aber vorbehalten, später Einschränkungen bezüglich krimineller Nutzung wieder einzuarbeiten. Die Tschechische Republik und Dänemark haben keine Einschränkung. Großbritannien hat am 28 Juli 2000 den "Regulation of Investigatory Powers Act 2000" verabschiedet, der die Nutzung von Kryptographie stark einzuschränken droht. Im restlichen Europa sieht es nicht einheitlicher aus1.

Gründe für den Einsatz von Verschlüsselungstechnik können sein:

Verschlüsselung wurde in der menschlichen Zivilisation schon seit langer Zeit angewandt, von staatlichen Stellen oder von kaptialkräftigen Einrichtungen, aber auch im privaten Bereich. So berichtet zum Beispiel Vatsyayana im Kamasutram im 1. Buch, 3. Kapitel, von der Darlegung des Wissens, das zur Erlangung der drei Lebensziele führt. Dazu gehört auch das Schreiben in Geheimschrift. Ein sehr ähnliches Verfahren wandte Cäsar im in den gallischen Kriegen an, wie Sueton berichtet.

Naturgemäß waren auch in der Neuzeit starke Verschlüsselungsverfahren in der Regel Regierungen oder Konzernen vorbehalten. Denn starke Verfahren erfordern "hohe" Rechenleistung, die im privaten Bereich selten jemandem zur Verfügung stand. Nun gibt es aber seit ungefähr zehn bis fünfzehn Jahren auch für normale Bürger Computer, welche die notwendige, hohe Rechenleistung preiswert auf dem Schreibtisch bereitstellen. Daher können plötzlich auch ganz normale Privatpersonen, sogar ohne viel Vorwissen, Nachrichten in einer Qualität verschlüsseln, die als "stark", also auch von Regierungsstellen oder großen Firmen nicht mehr oder nur unter hohem Aufwand, angegriffen werden können.

Vor allem staatliche Stellen geraten dadurch in eine prekäre Lage: Zwar wird der Schutz der Privatsphäre des Bürgers erheblich verbessert, aber die Möglichkeit der Beobachtung "krimineller Elemente" schwindet zusehends. Dem Staat fehlen nicht nur finanzielle Mittel, sondern es ist schlicht technisch nicht mehr möglich, mit simplen Methoden auf die Kommunikationsstrecken abzuhörender Bürger zuzugreifen. Manchmal ist es auch einfach beweisbar unmöglich. Mit dem Verfahren von Vernam ("One-Time-Pad") beispielsweise schützten Guevara und Castro in den 60er Jahren damit erfolgreich ihre konspirative Kommunikation2.

Die erste, verständliche Reaktion ist ein Verschlüsselungsverbot im liberaleren Falle die Einschränkung der Schlüssellänge. Der vermeintliche Nutzeffekt würde jedoch mit einem hohen Preis bezahlt werden müssen.

Dazu muß man verstehen, wozu Verschlüsselung benutzt wird; im legalen Falle und im Falle einer Straftat.

Legales Verschlüsseln soll Kommunikation vor neugierigen Blicken schützen. Der Bürger will nicht, daß andere etwas über ihn erfahren oder daß Firmen seine Privatkommunikation zu Zwecken der Verbraucherprofilanalyse mißbrauchen, Firmen wollen Ihre Arbeitsdaten vor dem Zugriff der Konkurrenz abschirmen.

Ein Verbot bewirkt, daß alle Kommunikation ungeschützt übertragen wird. Der Bürger reagiert, je nach Bildung und Ausbildung, zwischen uninteressiert und höchst alarmiert. Wie auch immer, die Kommunikationsdaten liegen auf dem Präsentierteller, und es finden sich immer Abnehmer. Kollegen oder neugierige Systemverwalter in der Firma, Werbefirmen, überhaupt Menschen, die privat oder beruflich neugierig sind und die Gelegenheit haben, an die Kommunikationsstrecke heranzukommen. Beispielsweise funktioniert Mobbing auch auf diese Weise; man "schaut" mal in den Terminkalender oder in Dokumente des mißliebigen Kollegen. Für Laien geeignete Software gibt es genügend3. Für den Bürger ist das fatal; er kann sich nicht mehr sicher sein, ob seine private Kommunikation privat bleibt. Für Firmen ist das eine Katastrophe. Im Gegensatz zu Firmen, die wegen ihrer Lage in einem liberalen Staat verschlüsseln dürfen und sich so gegen Industriespionage wehren können, sind Firmen, die einem Verschlüsselungsverbot unterliegen, Freiwild. Der Volkswirtschaft sind wohl schon mehrstellige Millionenbeträge durch Industriespionage entgangen4. Indirekt sind dadurch in manchen Fällen auch ganz direkt Arbeitsplätze betroffen.

Andrerseits scheint die Idee der Einschränkung der Schlüssellänge auf den ersten Blick eine Lösung zu sein. Genaueres Hinsehen zeigt aber, daß eine eingeschränkte Schlüssellänge, die dem eigenen Staat ein Mitlesen gestattet, auch anderen, ungewollten Lesern den Klartext offenlegen wird. Schon besser ist die Idee, im eigenen Land eine recht hohe Schlüssellänge zuzulassen, aber beim Export der Software die Schlüssellänge zu reduzieren, so daß man die Kommunikation der eigenen Bürger und Firmen noch eben gerade mitlesen kann, andere Staaten aber nur die minder gute Version benutzen können. Dazu gehört aber ein eigener, signifikanter Vorsprung in der benutzten Technik um sagen wir zehn Jahre und ein Quasimonopol auf starke Verschlüsselungssoftware (zum Beispiel durch Softwarepatentschutz oder einfach durch mehr und bessere Wissenschaftler). Auch diese Situation können nur die wenigsten Länder vorweisen.

Die dritte Möglichkeit, die Hinterlegung der benutzten, starken Schlüssel bei einer staatlichen Stelle ist ebenfalls ungünstig. Eine solche Stelle wäre eine zentrale Datenbank aller im Inland benutzten Schlüssel. Sie müßte baulich, personell und technisch so gut abgesichert sein, daß ein interessierter Angreifer (und hier wären zum Beispiel alle nur denkbaren ausländischen Stellen verständlicherweise interessiert) keine Möglichkeit hat, sich Zugang zum Schlüsselbestand zu verschaffen. Die Erfahrung zeigt, daß man eventuell die baulichen und technischen Voraussetzungen schaffen könnte. Aber Nachlässigkeit, mangelnde Kompetenz und Bestechlichkeit wären - als traditionelle Angriffspunkte ein sehr erfolgversprechender Ansatz.

Ein Verbot soll Aktionen verhindern, die aus irgendeinem Grunde zum Beispiel als Straftat gelten. Diebstahl ist Schaden am Eigentum eines Anderen. Das Verbot und die damit zusammenhängende Strafe sollen abschrecken. Verschlüsseln ist aber per se kein Primärdelikt. Es wird niemandem direkt durch Verschlüsselung geschadet. Allerdings kann man Verschlüsselung als Begleitdelikt ansehen. Zur Verschleierung der Planung und Durchführung einer anderen Straftat ist Verschlüsselung natürlich gut geeignet. Hier setzt der Wunsch des Staates an, an der Kommunikation teilzuhaben, um Kenntnis über die eigentliche Straftat zu erhalten. Gegen ein Verschlüsselungsverbot würde aber nur dann verstoßen, wenn sowieso geplant ist, eine Straftat zu begehen. Die zusätzlich zu erwartende Strafe stellt dabei sicherlich keinen hinreichenden Abschreckungseffekt dar. Betroffen wären alleine gesetzestreue Bürger, die dadurch Schaden erleiden. Die organisierte Kriminalität würde es aber erwartungsgemäß auch wohl gegen diese Bürger einsetzen.

Wie steht es mit der Nachweisbarkeit5? Verschlüsselung ist das Manipulieren von Zeichenketten (Nachrichten) durch komplizierte mathematische Verfahren. So bearbeitete Zeichenketten erzeugen für den, der den benutzten Schlüssel nicht kennt, den Eindruck von Zufälligkeit. Eine Datei mit einem anscheinend zufälligen Inhalt kann, muß aber nicht eine verschlüsselte Datei sein, es könnte sich tatsächlich oder vorgeblich um eine Testdatei oder eine Meßwertdatei handeln. Verschlüsselung ist also schon prinzipiell technisch nicht nachweisbar. Natürlich kann ein begründeter Verdacht existieren, aber das würde allenfalls die Qualität eines zusätzlichen Indizes, nicht aber die eines alleinstehenden Beweises haben.

Durch Verfahrenkapselung ist der Nachweis außerdem zu erschweren, indem man eine Nachricht zusätzlich zum legalen Verfahren mit einem oder mehreren anderen, zusätzlichen Verfahren verschlüsselt. Dazu gehören auch steganographische Verfahren6.

Der Nutzen, kriminelle Elemente besser ausforschen zu können, steht dem zu zahlenden Preis gegenüber, dem Bürger einen Teil seiner Privatsphäre zu nehmen und Firmen die Chance, ihren Wissensvorsprung vor der Konkurrenz zu sichern.

Bedeutsam sind Bestrebungen, den Kampf gegen organisierte Kriminalität mit Mitteln zu führen, die in ihrer offensichtlichen Auslegung den bisherigen rechtsstaatlichen Mitteln anscheinend nicht mehr völlig entsprechen. Hier ist es notwendig, weitere Untersuchungen anzustellen, inwieweit weltweite Abhörsysteme (zum Beispiel Echelon7) oder andere Einrichtungen (zum Beispiel Enfopol8) geeignet sind, ihr vorgebliches Ziel zu erreichen.

Vor diesem Hintergrund erscheinen völlig neue Argumente für Verschlüsselung9, zuerst vorgebracht von Dr. Helmut Bäumler, als Ansatz ganz anderer Art:

Dem ist eigentlich nichts hinzuzufügen.


 Fußnoten:

  1. Weitere und detailliertere Informationen auf "Crypto Law Survey", http://cwis.kub.nl/~FRW/PEOPLE/koops/lawsurvy.htm.
  2. http://dhushara.tripod.com/book//quantcos/aq/qcrypt.htm
  3. z.B. http://www.netbus.org/
  4. http://www.ozemail.com.au/~netsafe/90-95.html
  5. http://www.schoenleber.org/hhcry/_start.html
  6. http://www.thur.de/ulf/stegano/
  7. http://www.echelon.wiretapped.net/
  8. http://www.heise.de/tp/deutsch/special/enfo/default.html
  9. http://www.rewi.hu-berlin.de/Datenschutz/DSB/SH/material/themen/pgp/thesen.htm
  10. http://www.nsa.gov/programs/ncs21/vision.html

Copyright, Copyleft

Dieser Artikel unterliegt der GPL.