Kompromiß für weiche Krypto-Regulierung

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Nach monatelangen massiven Protesten aus Wirtschafts- und Informatikkreisen und den öffentlichen Distanzierungen der Kabinettskollegen Rüttgers, Schmitd-Jortzig und Rexrodt ist Bundesinnenminister Manfred Kanther auf eine Kompromißformel eingeschwenkt. Zwar hatte er für sein Quasi-Krypto-Verbot noch Rückenstützung durch ein anonym veröffentlichtes CDU-Thesenpapier aus den Kreisen des Bundeskanzleramts bekommen, doch schon nach der Verabschiedung des Multimediagesetzes im Bundestag ließ das Innenministerium die Katze aus dem Sack: Eine staatlich verordnete Schlüsselhinterlegung wird es vorerst nicht geben, dafür setzt man auf freiwilliges Hinterlegen. Im Bedarfsfall müssen jedoch Schlüssel an Sicherheitsbehörden ausgehändigt werden. Eine entsprechende Vereinbarung der Bonner Ressorts wurde erarbeitet, jedoch nach Aussage eines Sprechers des Innenministeriums noch nicht unterschrieben.

In den nächsten zwei Jahren können freiwillig Kryptoverfahren dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Prüfung vorgelegt werden. Diese erhalten dann von der Behörde eine Art Qualitätszertifikat. Das werbeträchtige Zertifikat wird jedoch nur dann erteilt, wenn die Schlüssel oder die zur Schlüsselerzeugung notwendigen Verfahren bei einer "vertrauenswürdigen dritten Instanz" hinterlegt werden.. Damit steht dem Kunden offen, ob er zertifizierte oder andere Verschlüsselungsverfahren nutzen will. Sicher ist, daß die vom BSI zertifizierten Verfahren von den Sicherheitsbehörden problemlos geknackt werden können. Aber auch die davon nicht betroffenen Krypto-Verfahren bleiben dem staatlichen Zugriff nicht verschlossen. Anbieter müssen auf richterliche Anordnung die Nachschlüssel sowohl an in- als auch ausländische Strafverfolgungs- und Sicherheitsbehörden herausgeben.

Wie einem der Zeitschrift CHIP vorliegenden internen Entwurf zum "Konzept zum kurzfristigen Aufbau einer Sicherheitsinfrastruktur" des Innenministeriums hervorgeht, soll das Verfahren zur Schlüsselübermittlung sogar weitgehend automatisiert werden. Diese "weiche Lösung" (zum Unterschied von der zuvor verfolgten Linie, siehe Kanthers Kurs aufs Kryptoverbot) soll key escrow den Herstellern von Krypto-Verfahren schmackhaft machen. Ob jedoch das BSI-Zertifikat auch kritische Kunden überzeugen wird?