"Jeder Bürger ist verdächtig..."
Prävention statt Repression
Juristen und Kaufleute, Forscher und Entwickler, Informatiker und Datenschützer laufen Sturm gegen die geplante Kryptoregulierung. Gestützt wird das Vorhaben vor allem von Sicherheitsbehörden und Geheimdiensten. Wägt man Argumente für und wider die Kryptoregulierung ab, senkt sich die Waagschale eindeutig zugunsten der Regulierungsgegner. Ein Laisser-Faire des Staates würde die Sicherheitsinteressen der Bürger weit besser schützen, die privatwirtschaftlich organisierte Prävention wäre effektiver als die geplante staatliche Repression. Eine staatliche Regelung würde sich überdies in Sicherheitsfragen schnell als kontraproduktiv erweisen.
Innovations- und Exportfähigkeit deutscher Kryptoprodukte wird beeinträchtigt
Schon im Herbst 1996 forderte der Bundesverband der Deutschen Industrie e.V. (BDI), von Plänen zur Kryptoregulierung abzusehen. Ein derartiges Vorgehen stände in keinem Einklang mit den Wirtschaftsinteressen, da man Datenübertragungen vor Dritten sicher schützen müsse. Hinter der Forderung des BDI stand die berechtigte Angst vor Wirtschaftsspionage. Doch nicht nur der Schutz von Betriebs-, Geschäfts-, und Berufsgeheimnissen steht auf dem Spiel, sondern auch der Schutz von Privatgeheimnissen.
Am 1.12.96 äußerte sich auch der Daimler-Benz Konzern zu den Plänen der Bundesregierung. Er befürchtete vor allem eine Behinderung in Forschung und Weiterentwicklung von Sicherheitstechnologien. Zudem sah er in der Regulierung kein geeignetes Mittel, um kriminelle oder subversive Kommunikaton zu kontrollieren.
Reinhard Rupprecht, Leiter der Abteilung Innere Sicherheit im Bundesinnenministerium und Autor des bislang geheim gehaltenen Kryptopapiers, sieht weder die Innovations- noch die Exportfähigkeit der Kryptoindustrie "tangiert". Die vorgesehenen Einschränkungen gälten nur für die Verwendung im Inland, zudem sei keine Beschränkung für Lehre, Forschung und Produktentwicklung vorgesehen. Auf eine Kleine Anfrage von Bündnis 90/Die Grünen erklärte die Bundesregierung Anfang März, daß ein Verbot bestimmter Kryptographieverfahren nicht vorgesehen sei.
"Geprüft wird allenfalls eine Regelung der Nutzung von Kryptographiesystemen, sodaß Forschungsarbeiten weiterhin durchgeführt werden können". Damit soll das Argument, die Regelung behindere die Innovations- und Exportfähigkeit der deutschen Kryptoindustrie, entkräftet werden. Möglich sei, so der forschungspolitische Sprecher von Bündnis 90/Die Grünen, Manuel Kiper, daß zwar - analog der Drogengesetzgebung - nicht der Besitz von Kryptoverfahren, jedoch die Nutzung eingeschränkt werden soll.
Sichere Signaturen - sichere Konzelation
Mit dem Signaturgesetz (SigG) wird eine Sicherheitsinfrastruktur für digitale Signatursysteme installiert, die auch einen sicheren und unbemerkten Austausch weiterer Kryptoschlüssel ermöglicht. So können zwar Schlüssel im Key-Escrow-Verfahren bei einem "Vertrauenswürdigen Dritten" hinterlegt werden. Doch diese können dann für die Generierung neuer, nicht hinterlegter Schlüssel verwendet werden. Damit werde, so Andreas Pfitzmann, Informatikprofessor an der TU Dresden und kritischer Berater der Bundesregierung in Sachen Signaturgesetz (SigG), "der Nutzen von Key-Escrow-System für die Verbrechensbekämpfung" relativiert.
Keine 100prozentige Sicherheit der Systeme
Hinterlegungstellen für die Schlüssel werden zu den ersten Angriffszielen von Hackern und Geheimdiensten, so Pfitzmann. Die Konzentration von Schlüsseln an einem Ort sei ein zusätzliches Sicherheitsrisiko. Im Vergleich zu Betriebssystemen seien Kryptosysteme "sehr simpel". Zudem sei vor allem bei aus dem Ausland importierten Betriebssystemen, wie Windows 95, kein wirkungsvoller Schutz des Users möglich. Kein System ist 100-prozentig sicher, so der Dresdner Informatikprofessor. Trojanische Pferde, also Computerprogramme, die innerhalb von Computersystemen versteckt werden, werden unbemerkt eingesetzt und könnten so die Firewall durchbrechen. Hardwarebasierte, starke Kryptographie sei daher eine Mindestanforderung für sichere Verschlüsselung. Dennoch sei das Risiko technisch nicht beherrschbar. "Der Nutzer selbst erfährt es am letzten, ob in sein System eingedrungen wurde". Vorraussetzung für eine sichere Schlüsselgenerierung und -hinterlegung ist daher auch eine sichere Systemumgebung.
Steganographie
Der Einwand, der Einsatz von Steganographie, mit der Informationen in harmlosen Dateien versteckt werden können, würde den Sinn und Zweck einer Kryptoregelung unterlaufen, gilt für die Verfechter des Verbots nur wenig: Steganographie, so Rupprecht, werde "nicht die Regel werden" und zu keinem "flächendeckenden Einsatz" kommen. Doch Kriminelle, die ihre Daten vor staatlichem Zugriff schützen möchten, werden jedes Mittel nutzen. Genügen heute kryptographische Verfahren, so werden künftig steganographische Verfahren verwendet werden, so die Bonner Gesellschaft für Informatik e.V. (GI). Bei der Steganographie werden Informationen oder Nachrichten verborgen. Zu den klassischen Verfahren gehören unsichtbare Tinte, doppelte Böden oder Microdots - die Nachricht im i-Punkt.
Vertrauliche Daten können mit diesem Verfahren in nicht vertraulichen Daten versteckt werden. Besonders eignen sich Grafiken, Video- oder Fernsehbilder. Selbst wenn ein Dritter diese Daten abhört, wird er diese Daten nicht bemerken. Versteckte Daten können übrigens zusätzlich wiederum verschlüsselt werden. Die Mär vom Igel und dem Hasen trifft den Wettlauf von Kriminellen und Kriminalisten am besten. Doch der eigentliche Verlierer ist nicht der Kriminelle, der nun ein aufwendigeres Versteckspiel spielen muß, auch nicht der Kriminalist, der immer raffiniertere Abhörtechniken entwicklen muß, sondern der Bürger.
Kommunikationsstrukturen
"Umgehungsmöglichkeiten gibt es immer und überall", so Rupprecht, "und dennoch macht es Sinn". Die juristische Position ist denkbar simpel: Das Gesetz ist zu befolgen. Wer es nicht befolgt, macht sich strafbar. Wer beispielsweise ein künftig verbotenes PGP einsetzt, macht sich nicht nur strafbar. Wer künftig illegale Verschlüsselungstechniken einsetzt, gerät automatisch in den Verdacht, einer kriminellen Vereinigung anzugehören. Zum einen erhoffen sich Kriminalisten aus dem Abhören wertvolle Beweise für Strafprozesse zu gewinnen. Zum anderen erhoffen sie sich auf diese Weise Kommunikationsstrukturen von Kriminellen leichter orten zu können. "Die Sanktionen sollen Kriminelle und nicht den Computerfreak treffen", so Rupprecht. Wie die Sanktionen dann aussehen, ob Geldbuße oder Freiheitsstrafe, das sei eine politische Entscheidung.
Datenschutz
Aus der Sicht der Datenschützer gehören kryptographische Verschlüsselungsverfahren zu den wichtigsten Sicherheitstechniken und sind für die Umsetzung von Datenschutzgesetzen äußerst wichtig. Der Berliner Datenschutzbeauftragte Hansjürgen Garstka bezweifelt in seinem Jahresbericht 1996, daß die Sicherheitsziele einer entsprechenden Kryptoregulierung erreicht werden können. Nicht nur steganographische Techniken, sondern auch Überschlüsselungsverfahren werden den eigentlichen Zweck unterlaufen. Überschlüsselt werden Daten dann, wenn sie vor "der Nutzung eines zugelassenen Verfahrens mit einem nicht zugelassenen Verfahren verschlüsselt werden". Damit würde auch das von Rupprecht angeführte Ziel, Kommunikationsstrukturen von Kriminellen ausmachen zu können, nicht erreicht werden.
Prävention statt Repression
Der Schleswig-Holsteiner Landesbeauftragte für den Datenschutz Helmut Bäumler, hält die Verschlüsselung gar für das beste Mittel gegen die organisierte Kriminalität. Gesetzestreue Bürger würden durch die Regulierung daran gehindert, sich wirksam zu schützen. "Gerissene und clevere Kriminelle" hingegen könnten "kaum daran gehindert werden, sich der Kryptographie zu bedienen". Der Selbstschutz der Bürger hat sich auch in anderen Bereichen, wie dem Autodiebstahl, als sehr wirkungsvoll herausgestellt. Eine Durchsetzung des Gesetzes kostet dem Bürger hingegen nur Geld. Eine Datenpolizei müßte dann erst noch aufgebaut werden.
Kryptoregulierung verfassungswidrig
Juristen und Datenschützer kritisieren das geplante Regulierungsvorhaben als "verfassungsrechtlich nicht haltbar". Mit einer staatlichen Beschränkung kryptographischer Verfahren würden die Grundrechte der wirtschaftlichen Entfaltungsfreiheit (Art. 12,1 und Art. 2,1 GG), der Vertraulichkeit der Kommunikation (Art. 10 GG) und des informationellen Selbstbestimmungsrechts (Art 2,1 und Art. 1,1 GG) verletzt werden. Da das Vorhaben zur Durchsetzung seiner Ziele nicht geeignet sei, sei es auch nicht verhältnismäßig. Allerdings ist die Verhältnismäßigkeit eine verfassungsrechtlich notwendige Voraussetzung.
Rupprecht hält dem entgegen, daß eine Eingriffsmöglichkeit weder Vertieft noch erweitert wird. Man wolle schließlich nur im Verdachtsfall das Verschüsselte lesen können. Kritiker von provet (Projektgruppe verfassungsverträgliche Technikgestaltung e.V.), wie die Juristen Johann Bizer, Joachim Rieß und Alexander Roßnagel halten dem entgegen, daß ein unverhältnismäßig wirtschaftlicher Aufwand betrieben werden müsse. Hersteller und Anbieter von Sicherheitstechnologien müßten die technisch-organisatorischen Voraussetzungen einer Schlüsselverwaltung entwickeln und vorhalten. Unterstützt wird die Stellungnahme von provet auch von Heinz Dieter Böcker und Rüdiger Grimm, GMD Darmstadt, Herbert Burkert, Universität St. Gallen, Paul Mertes, Deutsche Telekom AG und Andreas Pfitzmann, TU Dresden.
kontraproduktiver Regulierungswahn
Die geplante Reglementierung von Verschlüsselung und vor allem die Pflichthinterlegung von Schlüsseln wird sich im Kampf gegen das organisierte Verbrechen als sinnlos erweisen. Steganographische Techniken werden von der Regelung nicht berührt, überschlüsselte Nachrichten werden ebenfalls den Fahndern nicht auffallen. Zudem wird die Einrichtung und Unterhaltung entsprechender Verfahren und Institutionen Wirtschaft und Steuerzahler teuer kommen. Mit der Reglementierung von Verschlüsselungsverfahren und der zwangsweisen Schlüsselhinterlegung stehen Unternehmen und Privatleuten nur halbsichere Verfahren zur Verfügung. Für die organsierte Kriminalität würden sich dadurch erst recht neue Betätigungsbereiche eröffnen. Der Regulierungswahn der sicherheitsbeflissenen Behörden wird sich dann als kontraproduktiv herausstellen.
Weitere aktuelle Artikel in Telepolis zur Kryptothematik:
Kanthers Kurs auf das Kryptoverbot..., Christiane Schulzki-Haddouti informiert über Regierungsvarianten zur Kryptoregulierung.
Email Interview mit Jörg Tauss, SPD-Bundestagsabgeordneter und Vizevorsitzender der Enquete-Kommission "Zukunft der Medien".
Weitere Quellen zur Kryptodebatte:
Krypto-Aktion der c't.
Seit fast zwei Jahren werden Sinn und Unsinn von Kryptoregulierungen in Online-Kreisen diskutiert.
Die offizielle PGP-Homepage
Sagen Sie den Parteien Ihre Meinung, über die Gästebücher von:
FDP
Virtueller Ortsverein der SPD
CDU/CSU