Krypto-Politik der Geheimdienste ist tot, begraben und geschmäht

Zwei unabhängige Berichte in Grossbritannien verdammen „key escrow" und vernichten E-Commerce-Gesetzesentwurf.

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Die seit Jahren geführte Kampagne britischer und amerikanischer Nachrichtendienste, ausländische und inländische Bürger dazu zu zwingen, sogenannte Key-escrow-Systeme zum kryptographischen Schutz der Privatsphäre zu nutzen, wurde in allerschärfster Form als Katastrophe verurteilt, welche den Ruf der britischen Industrie „nachhaltig geschädigt" habe.

Im vergangenen Monat haben zwei Berichte britischer Regierungs- und Parlamentsexperten die Kampagne für Key escrow als Sackgasse bezeichnet, die, wäre sie weiter verfolgt worden, die britische Industrie von Europa und vom Rest der Welt isoliert hätte. Der Regierung wurde geraten, ein geplantes neues Gesetz, das vor allem als Vorwand für die Pläne der Nachrichtendienste gedient habe, um Kryptographie unter Kontrolle zu bringen, fallen zu lassen.

Als „Key escrow" (Schlüssel-Anderkonto) oder „Key recovery" (Schlüssel-Wiederbringung) werden Systeme bezeichnet, bei denen Schlüssel für vertrauliche Codes für eine sogenannte „trusted third party" (vertrauenswürdige Drittpartei) kopiert und bei ihr hinterlegt werden. Die US-Regierung drängt nach wie vor auf die Verwendung solcher Systeme. Sie ermöglichen es elektronischen Lauschbehörden wie NSA und GCHQ Zugriff auf persönliche Verschlüsselungscodes über die Drittpartei zu erhalten und würde sie damit in die Lage versetzen, ihre ausgedehnten Überwachungsoperationen über private und geschäftliche Kommunikation weltweit fortzuführen (siehe dazu STOA-Report).

Die britischen Berichte fallen mit in diesem Jahr getroffenen Entscheidungen der französischen und deutschen Regierung zusammen, Kryptographie nicht mehr einzuschränken, ebenso wie mit Absichten der EU, alle Beschränkungen bezüglich kryptographischer Produkte, die innerhalb der EU verkauft werden, aufzuheben. Zählt man all das zusammen, so ist das Ergebnis dieser Entscheidungen, daß die seit 7 Jahren von der US-Regierung betriebene Kampagne zu verpflichtenden Key-escrow-Systemen nun tot und begraben ist.

Nach Ansicht des britischen Parlamentsausschusses für Handel und Industrie ist das Resultat der Key-escrow-Kampagne, daß „die britische Politik bezüglich elektronischen Geschäftsverkehrs allzulange in der Sackgasse Key escrow gefangen war und dass...der Ruf des Vereinigten Königreichs...für Ecommerce nun schwer beschädigt ist".

Die Vorschläge, sagte der Ausschuss, „hätten einem im Entstehen begriffenen Markt eine teure und ungetestete Technologie aufgezwungen und damit die Aussichten des Vereinigten Königreichs, einen Platz an führender Stelle in der Ecommerce-Revolution einzunehmen, negativ beeinträchtigt, mit schädlichen Auswirkungen auf die Wettbewerbsfähigkeit und Nachteilen für Unternehmen ebenso wie Konsumenten".

Scheinargumente und Trojanische Pferde

Der Ausschuss berichtete, daß drei aufeinanderfolgende Pläne von zwei britischen Regierungen im Grunde nichts anderes gewesen wären, als gesetzgeberische Trojanische Pferde, deren wirkliche Absicht es war, „Kryptographie zu kontrollieren, anstatt die Entwicklung elektronischen Handels zu fördern". Der Bericht war im vergangenen Monat publiziert worden.

Im Februar gab der britische Premierminister Tony Blair gegenüber Internet-Geschäftsleuten zu, daß die Regierung Key escrow aufgeben werde müssen. Nach Ansicht der Parlamentsmitglieder war das, was von dem geplantem Ecommerce-Gesetz noch übrig blieb, von wenig oder keinem Wert.

„Nun, da Key escrow von der Regierung fallen gelassen wurde, ist die Begründung für das Ecommerce-Gesetz zur offenen Frage geworden. Wir empfehlen der Regierung, über die bevorstehende Gesetzgebung zum elektronischen Handel nocheinmal nachzudenken", warnte der Ausschuss. Was von dem Gesetz übrig geblieben ist, sei so schlecht geschrieben und unlogisch, „daß es nicht geeignet ist, als Gesetz festgeschrieben zu werden. Wenn [es] nicht verbessert wird, dann wird das Lizenzierungssystem zu einem schädlichem und peinlichem Fehlgriff. Wir laden die Regierung dazu ein, das Parlament darüber aufzuklären, in welcher Form sie mit Ecommerce-Unternehmen und Nutzern zusammenzuarbeiten gedenkt, um geeignetere Kriterien zu entwickeln".

Der Hauptzweck des sogenannten Ecommerce-Gesetzes scheint nun zu sein, ein neues Gesetz einzuführen, das jeden, dessen Wohnung oder Geschäftsräume von der Polizei oder anderen Sicherheitsbehörden durchsucht werden, dazu verpflichtet, die Schlüssel, die zur Ver- und Entschlüsselung gespeicherter Daten vonnöten sind, zu übergeben. Wer dieser Aufforderung nach Entschlüsselung nicht nachkommt, kann unter dem neuen Gesetz mit einer Gefängnisstrafe belangt werden.

Dieses neue Machtbefugnis war vom britischen National Criminal Intelligence Service (NCIS) mit der Begründung gefordert worden, unkontrollierte Kryptographie sei eine Bedrohung der öffentlichen Sicherheit und der Strafverfolgung. Als die Parlamentarier aber nach Einzelheiten der Probleme fragten, mit denen sich die Polizei konfrontiert sieht, sagte NCIS, daß sie keine Statistiken hätten. Es wäre „schwierig eine Übersicht darüber zu erhalten, in welcher Weise sich Polizeieinheiten mit verschiedenen Formen von Verschlüsselung konfrontiert sehen", sagte der Nachrichtendienst der Polizei.

Der Parlamentsausschuss stellte fest, daß „die Bereitschaft den Strafverfolgungsbehörden zu helfen viel größer" sei, wenn diese beweisen könnten, daß sie sich mit einem echtem Problem konfrontiert sähen. Die Regierung hatte behauptet, daß diese neue Ermächtigung, Entschlüsselung verlangen zu können, notwendig sei, „um die Effektivität der existierenden Abhörbefugnisse weiter zu gewährleisten". Doch nach Ansicht der Parlamentarier ist das ein „fadenscheiniges" Argument. Der Verdacht wurde ausgesprochen, daß das neue Entschlüsselungs-Gesetz bloß dazu dienen sollte, die Geheimdienste ruhig zu stellen, nachdem Key escrow fallen gelassen worden war.

ENFOPOL im Visier

Der Ausschuss untersuchte auch die ILETS- und ENFOPOL-Abhörpläne und drückte seine Besorgnis darüber aus. Der Verband der britischen Internet-Service-Provider (ISPA) hatte den Parlamentarieren mitgeteilt, daß sich „die ISPs den ENFOPOL-Plänen widersetzen" würden. Sie verlangten nach einer „breiten, öffentlichen Diskussion".

Der Ausschuss verlangte von der Regierung, daß sie, „eine zuverlässige Aufklärung über den Status der ENFOPOL-Pläne und ihre potentiellen Auswirkungen auf Internet-Provider im Vereinigten Königreich leisten muss". Nach den Worten des Vorsitzenden des Ausschusses, MP Martin O'Neill, seien die Enfopol-Pläne „keine realistischen Vorschläge". Eine Antwort der Regierung steht noch aus.

Mehr Kritik, von Regierungs-Think-Tank

Als ob diese Kritik nicht schon genug wäre, begrub ein anderes Team von Regierungs- und Wirtschaftsexperten die Key-escrow-Pläne sogar noch tiefer. Dieser zweite Bericht unter der Bezeichnung „Verschlüsselung und Strafverfolgung im Vereinigten Königreich" wurde von der Performance and Information Unit (PIU) verfasst, einer hochangesetzten Organisation, die in direkter Verbindung zum Premierminister steht. (PIU-Bericht als PDF-Datei

PIU kam ebenfalls zu der Schlussfolgerung, daß Key escrow schädigend und undurchführbar ist und daß es die Fähigkeit des Landes, zu einer führenden Nation im elektronischen Handel zu werden, unterminieren würde:

„Key escrow als Bedingung für eine Lizenz [für Anbieter von Krypto-Produkten] würde nichteinmal sicherstellen können, daß die Strafverfolgungsbehörden garantierten Zugang im benötigten und vernünftigem Ausmass zu verschlüsselter Kommunikation erhalten".

PIU verlangte nach Zusammenarbeit zwischen Strafverfolgungsbehörden und Industrie-Verbänden um zu gewährleisten, „daß den Bedürfnissen der Strafverfolgungsbehörden seitens des Marktes Rechnung getragen wird". Im besonderen solle es ein neues „Technisches Unterstützungszentrum" geben, um den Behörden dabei zu helfen, „Informationen aus rechtmäßig abgehörter, verschlüsselter Information und aus rechtmäßig beschlagnahmten, verschlüsselten Daten gewinnen zu können". Das vorgeschlagene „Technische Unterstützungszentrum" wäre auch dafür verantwortlich, Zugang zu Entschlüsselungscodes zu erhalten und abgehörte oder beschlagnahmte Daten zu entschlüsseln. Diese Vorschläge wurden vom Parlamentsausschuss ebenfalls unterstützt, der sagte, die Regierung sollte „eine Abteilung zur Unterstützung von Strafverfolgungsbehörden im Umgang mit Computer-Kriminalität einschliesslich Kryptographie" schaffen (sic).

Umstrittener aber ist der Vorschlag von PIU, daß Verdächtige, die, wenn aufgefordert, keine Schlüssel zur Dechiffrierung vorweisen, „den Behörden beweisen müssen", daß die verlangten Schlüssel oder der Klartext nicht in ihrem Besitz ist. Dieser Vorschlag wurde umgehend kritisiert, weil er im Gegensatz zur Satzung der Menschenrechte steht (Charter of Human Rights), welche Gesetze verbietet, die Verdächtige dazu zwingen, ihre Unschuld zu beweisen, anstatt daß der Staat ihre Schuld beweisen muß.

Ein Spion in Brüssel

Doch der PIU-Bericht kam noch stärker unter Beschuss. Experten aus der Industrie und Akademiker kritisierten die in dem Bericht gemachte Behauptung, daß es „bemerkenswert geringe, internationale Koordination auf dem Gebiet der Krypto-Regulierung gegeben hat". Nach Brian Gladman, dem ehemaligen Chef-Kryptographen der britischen Regierung, sei diese Aussage eine in einer Serie von „willkürlichen und schändlichen Lügen in einem Dokument, dessen Vorwort vom Premierminister unterschrieben ist".

„Das hat mich derartig erstaunt, daß ich zunächst gar nicht wusste, wie ich darauf reagieren sollte - man weiss nicht mehr, wohin man sich als Bürger dieses Landes wenden soll, wenn es solche bewusste Unehrlichkeit und Mangel an Ethik direkt im Herzen der Regierung gibt", sagte er.

Gladman und seine Kollegen nannten sieben Organisationen, durch welche die britische Regierung systematisch die Nutzung von Kryptographie durch ausländische Regierungen und durch Unternehmen und Bürger in diesen Ländern unterwandert hat. Diese waren: die OECD; der Wassenaar-Vertrag; eine informelle G5-Organisation, bestehend aus Grossbritannien, Frankreich, Deutschland, Schweden und den Niederlanden; multilaterale Verhandlungen geleitet durch den „US-Krypto-Botschafter" David Aaron; der europäische Industrieverband ETSI; die EU-Arbeitsgruppe leitender Beamter für IT-Sicherheit und die EU-Krypto-Arbeitsgruppe.

Gladmans Besorgnis über die Infiltration der beiden EU-Arbeitsgruppen wurde durch Quellen in Brüssel bestätigt. Man glaubt, daß ein leitender Vertreter des GCHQ (britisches Gegenstück zur NSA), der fünf Jahre bei der EU-Kommission in Brüssel verbrachte, ein „britischer Agent" war, dessen Aufgabe es war, die Entwicklung sicherer Kryptographie in Europa nach Kräften zu behindern.

Die Behauptung der britischen Regierung, daß die internationale Krypto-Politik unkoordiniert gewesen sei, „ist eine glatte Lüge", sagte Herr Gladman, „es gibt keine andere Bezeichnung dafür".