Holländische Regierung setzt Verschlüsselungs-Treuhänder unter Druck

Geheimdienste und Strafverfolger wollen Abhörmöglichkeit für verschlüsselte Kommunikation

Die holländischen Strafverfolgungsbehörden wollen Verschlüsselungs-Treuhandorganisationen, in der Fachsprache auch Trusted Third Parties (TTPs) genannt, zur Verwendung von Verschlüsselungssystemen zwingen, die über einen Generalschlüssel den Strafverfolgungsbehörden Zugang zu verschlüsselten Botschaften gewähren ("key escrow"). Diese Behörden möchten gerne Klartext-Zugriff auf verschlüsselte Dateien im Netz haben, wie nun von der niederländischen Datenschutz-Organisation Bits of Freedom enthüllte geheime Dokumente aufzeigen.

TTPs sind unabhängige Organisationen, welche Dienstleistungen anbieten, mit denen Sicherheit und Zuverlässigkeit digitaler Kommunikation verbessert werden können. Das sind, zum Beispiel, Banken, Buchprüfungsfirmen, Telekommunikationsanbieter oder Notare. Diese TTPs verwenden Kryptographie, um gegenüber ihren Kunden die Echtheit der übermittelten Daten und die Vertraulichkeit der Kommunikation zu gewährleisten.

Das holländische Ministerium für Verkehr, Wasserwege und Wirtschaftsfragen hatte 1998 ein nationales TTP-Projekt ins Leben gerufen, um in Zusammenarbeit mit der Wirtschaft diese Treuhandorganisationen zu etablieren. In einem Papier vom März 1999 hatte das Ministerium darauf hingewiesen, dass in diesem System eine Möglichkeit zum "rechtmäßigen Zugriff" für Strafverfolgungsbehörden vorgesehen sein sollte und es hatte darüberhinaus verkündet, dass, wenn es darüber nicht zu einer Einigung käme, man von Seiten der Regierung über eine neue Gesetzgebung eingreifen würde.

In einem geheimen Regierungspapier vom Januar 2001, verfasst von der "Technischen Arbeitsgruppe für rechtmäßige Zugriffsmöglichkeiten", die Teil des nationalen TTP-Programms ist, werden die Bedürfnisse der Geheimdienste und der Strafverfolger und die verschiedenen Formen von TTP-Systemen analysiert. Nach diesem Dokument möchten Polizei und Geheimdienste Zugriff auf den "Klartext" der übermittelten Daten. Sie möchten nicht die Verschlüsselungscodes selbst, solange "es nicht die einzige Möglichkeit ist, auf die verschlüsselte Kommunikation zugreifen zu können." Die Behörden wollen die verschlüsselte Kommunikation in Echtzeit abhören. Der Zugriff darauf soll ohne Zusammenarbeit mit den abgehörten Teilnehmern und ohne deren Wissen möglich sein.

Die Arbeitsgruppe untersuchte daraufhin verschiedene TTP-Systeme und kam zu dem Schluss, dass nur zwei davon den soeben erwähnten Kriterien genügen: Entweder, die Treuhänder verfügen über Kopien der Verschlüsselungscodes oder sie haben die technische Möglichkeit, an den Schlüssel heranzukommen (Key recovery). Das stellt, so die Arbeitsgruppe, ein Problem dar: "Die Frage ist, ob es erwünscht sein kann, dass TTP-Systeme eingeführt werden, die nicht den Anforderungen der Strafverfolgungsbehörden und Geheimdienste entsprechen."

In den Protokollen des Koordinationskommitees für das nationale TTP-Projekt vom März 2001, wird noch deutlicher auf diese Frage eingegangen:

Das Koordinationskommitee hat also erkannt, dass die Treuhänder Schwierigkeiten damit haben, den ermächtigten Behörden Zugriff auf die verschlüsselten Kommunikationsströme zu gewähren und ihnen die entschlüsselten Daten zukommen zu lassen. Von Seiten der Wirtschaft ist bereits darauf hingewiesen worden, dass in den Niederlanden keine gute Treuhänder-Infrastruktur entstehen könne, wenn nur die niederländischen TTPs zur Zusammenarbeit mit den Behörden verpflichtet seien. Die Kunden würden dann auf ausländische Treuhänder zurückgreifen.

Aber die technische Arbeitsgruppe entschloss sich trotzdem dafür, dass die TTPs auf Systeme zurückgreifen müssen, die den Behörden eine Hintertür offen lassen. Man nennt dies "obligatorische Selbstregulierung". Sie hat dennoch darüber hinaus angeregt, eine Studie über die wirtschaftlichen Folgen dieser Lösung in Auftrag zu geben. Falls diese Studie zeigen sollte, dass die Hintertür nicht eingebaut werden könne, ohne dass dies negative Folgen auf die Wirtschaft hat, dann könnte die Arbeitsgruppe ihre Entscheidung zurückziehen. Die am nationalen TTP-Projekt beteiligten Firmen zeigten sich wenig begeistert. "Was soll das alles, wenn die technische Arbeitsgruppe bereits beschlossen hat, dass der behördliche Zugriff eines der Kriterien ist, die TTPs erfüllen müssen, wenn sie zertifiziert werden wollen", fragte, laut dem Protokoll, ein Mitarbeiter der niederländischen Telefongesellschaft KPN. Aber ein Vertreter des Wirtschaftsministeriums versicherte daraufhin, dass es immer noch möglich sei, die Empfehlungen zu ändern. "Falls die Studie zeigt, dass die holländischen Konsumenten wegen all dem auf ausländische Treuhänder zurückgreifen würden, wird die vorgeschlagene Empfehlung außer Kraft gesetzt." Er fügte hinzu, dass es zwischen den am Entscheidungsprozess beteiligten Ministerien schwere Interessenskonflikte gäbe.

Die holländische Regierung versucht schon seit mehreren Jahren, den Gebrauch von Verschlüsselungstechnologien einzuschränken. Vorschläge, kryptographische Verfahren zu verbieten, die Verwendung von Kryptographie einzuschränken oder Gesetze zu erlassen, nach denen Verdächtige dazu gezwungen werden könnten, ihre verschlüsselten Daten selbst zu entschlüsseln, sind nach heftigen Protesten wieder zurückgezogen worden. Die augenblickliche Initiative mutet wie ein weiterer Versuch der Geheimdienste und Strafverfolgungsbehörden an, das Krypto-Problem in den Griff zu bekommen.

Nachdem Bits of Freedom die geheimen Dokumente veröffentlicht hatte, wurde es vom nationalen TTP-Projekt mit einer Klage bedroht. Der Grund: Bits of Freedom habe das Copyright verletzt, indem es die Dokumente und Protokolle veröffentlicht habe. Das TTP-Projekt drohte weiterhin damit, die Website von Bits of Freedom schließen zu lassen. Die Bürgerrechtsorganisation zeigte sich davon wenig beeindruckt und erwiderte, dass sie mit Vergnügen mit dem TTP-Projekt vor Gericht ziehen würde. Danach wurden alle Drohungen zurückgezogen.

Übersetzung aus dem Englischen von Günter Hack