ENFOPOL und Kryptografie

Europolizisten wollen Daten in "Klarform"

Die europäischen Überwachungspläne wären ohne Zugriff auf verschlüsselte Kommunikation nicht komplett. Und manche Forderungen klingen bekannt, denkt man zum Beispiel an die TKÜV. Das Schweigen der Bundesregierung zur Kryptofrage hat daher wohl Methode, und so manches Problem könnte sich "auf höherer Ebene" (wie der von Satellitenumlaufbahnen z.B.) lösen.

Neben den Ambitionen, satellitengestützte Mobilkommunikation überwachen zu können, holt das ENFOPOL-Papier auch auf den Kommunikationsverkehr via Internet aus. Ungleich der TKÜV, die Telekommunikations- und Internetdienste noch naiv über einen Kamm geschoren hatte, differenziert dieses Papier seine Anforderungen immerhin bereits nach Satellitendiensten und Internetdiensten. Formulierungstechnisch gesehen ist dies ein Fortschritt, in der Stoßrichtung ändert sich allerdings nichts.

Unter Internetdiensten werden "Einwähldienste, über HFC-Kabel angeschlossene Dienste, über Satellit gelieferte Dienste" sowie "direkt angeschlossene Dienste wie "LAN's, die über einen Router angeschlossen sind" verstanden. Um sich durch diese Definitionen in Zukunft nichts zu verbauen, heißt es jedoch prophylaktisch, daß das Memorandum auf die angeführten Beispiele "nicht beschränkt" sei.

"Lücken schließen", lautet die altbekannte Devise der "gesetzlich ermächtigten Behörden" - Strafverfolgungsbehörden, Inlands- und Auslandsaufklärer sowie militärische Abschirmdienste.

Völlig sinnlos blieben die Anstrengungen der Behörden und Dienste jedoch dann, wenn die Kommunikation verschlüsselt übertragen wird. Eine Anforderung zielt dabei direkt auf die Anbieter:

Die "Klarform" bezieht sich dabei nicht nur auf "Informationen über Anrufdetails", sondern auch auf "Daten über den Gesprächsinhalt". Bekannt ist eine derartige Regelung bereits aus den bestehenden deutschen Überwachungsverordnungen. Neu ist jedoch, daß hier selbstredend auch für das Internet keine Ausnahme gemacht wird:

Umgekehrt müssen Überwachungsanordnung sowie Überwachungsdaten nach außen geschützt werden. Die Standorte, an denen die Überwachungsmaßnahmen vorgenommen werden, sollen "Sperrbereich mit kontrolliertem Zugang" sein. Soweit, so ebenfalls aus nationalen Verordnungen bereits lange bekannt.

Ziel: End-Otto

Was jedoch unter Punkt "C. Anforderungen an Diensteanbieter in Bezug auf Kryptographie" schließlich gefordert wird, hatten nicht einmal die mit "Holzhammermethoden" agierenden Autoren der TKÜV gewagt: Die Forderung selbst mutet etwas kryptisch an: "Vollständige Details über das Ziel einschließlich der Dienstnummer". Unklar ist dabei, wer eigentlich das "Ziel" und was eine "Dienstnummer" ist. Vermutlich handelt es sich bei dem Ziel um die abgehörte Person und bei der "Dienstnummer" um den entsprechenden Telekommunikationsanschluß. Die Absicht: Schnellstmöglichen Zugriff auf die "entschlüsselte Nachricht":

Mit dieser OECD-Richtlinien-konformen Formulierung wird keinem EU-Staat vorgeschrieben, welche Kryptopolitik er fahren will. Hauptsache, die Behörden gelangen an den Klartext. Diese Vorstellung geht ebenfalls völlig konform mit den Äußerungen von Clintons Kryptobotschafter David Aaron bei seinem letzten Besuch in Bonn Mitte Oktober. Er hatte damals einen bemerkenswert liberalen Satz geäußert, der auf der Folie der ENFOPOL-Papiere allzu verständlich ist: "Jedes Land kann das selbst für sich entscheiden."

Während sich das Bundeswirtschaftsministerium seit dem Aaron-Besuch öffentlich nicht mehr zu dem Thema geäußert hat, häufen sich in Bonn die Gerüchte, daß die deutsche Wassenaar-Delegation bei den Dezemberverhandlungen darauf dringen will, die bislang kontrollierten Kryptoprodukte aus den künftigen Kontrollregularien auszunehmen. Im Hinblick auf die jüngsten Liberalisierungen in den USA könnte sie sich damit in bestimmten Bereichen wahrscheinlich sogar durchsetzen. Sicher ist: Die Liberalisierungen werden sich nicht auf starke Verschlüsselungsprodukte für den Otto-Endnutzer beziehen. Allein das wäre aber aus datenschutz- und bürgerrechtlicher Sicht ein Erfolg.

Die scheinbare Wahlfreiheit zwischen Klartext oder Entschlüsselung ist damit nichts anderes als eine taktische Kompromißformel auf dem Weg zur europaweiten Kryptoregulierung. Bleiben die Exportkontrollen für starke Krypto gegenüber dem End-Otto bestehen, greift das internationale Räderwerk von Verordnungen, Gesetzen und Exportkontrollen Zahn auf Zahn ineinander: Wird keine nationale Kryptoregulierung via Gesetz eingeführt, bleiben immer noch die Steuerungsmöglichkeiten über das Wassenaar-Abkommen. Dieses erhält durch die ENFOPOL-Pläne ein starkes Gewicht.

Eine öffentliche Debatte ist für die Taktiker und Strategen in den EU- und US-Ministerien "unerwünscht". Nachdem die Lobbyisten aus Industrie und Wirtschaft bereits weitgehend befriedigt wurden, bleibt das Kryptoschlachtfeld nurmehr Datenschützern und End-Ottos überlassen. Falls sich die Diskussion wider Erwarten doch noch in eine für die "gesetzlich ermächtigten Behörden unangenehme Richtung entwickeln könnte, könnten noch zu einer beliebten ministerialen Finte greifen und "Ziel" und "Dienstnummer" ganz nach Bedarf definieren. Alle Befürchtungen, es handele sich dabei um einen Einschnitt in die informationelle Selbstbestimmung der Bürger, würden die Beamten dann als "Mißverständnis" abbügeln.

Die Autoren des ENFOPOL-Papiers haben auch in einer anderen wichtigen Sache von den gescheiterten TKÜV-Autoren gelernt: Kein Wort zu den Kosten. Würden Industrie und Wirtschaft die Kosten für die zu installierenden Überwachungseinrichtungen vor Ort aufgebürdet, hätten die "gesetzliche ermächtigten Behörden" von vornherein keine Chancen. Doch hier schweigt sich das ansonsten beredte Papier aus. Der Ausgang der Kryptodebatte bleibt somit noch auf längere Zeit ungewiß.