Update Kryptopolitik
Der Weg der kleinen Kompromisse wird erfolgreich sein
Nachdem die USA mit ihrer restriktiven Krypto-Exportpolitik nicht nur innen-, sondern auch außenpolitisch auf Granit gestoßen sind, versuchen sie es nun auf die weiche Tour. Eingeläutet wurde die neue Politik mit dem Besuch des US-Kryptobotschafters David Aaron Mitte Oktober in Bonn. Das Motto ist jedoch sattsam bekannt: Stärkung der Strafverfolgung.
Siehe auch das Gespräch mit David Aaron
Ein schwelender Dissens zwischen Deutschland und den USA in der Kryptofrage hatte sich in den letzten Monaten zu einem kleinen Feuer entfacht: Nachdem sich im Sommer die Enquete-Kommission des Deutschen Bundestags „Neue Medien" gegen eine Adaption der US-Kryptopolitik, insbesondere ihres Konzepts der „Key Recovery Agents", als einer Bedrohung von nationaler Souveränität und Sicherheit ausgesprochen hatte, sorgte Mitte September der ehemalige Wirtschaftsminister Günther Rexrodt mit einer Rede für Aufruhr, in der er die US-Politik als „inakzeptabel" bezeichnete.
Transatlantischer Disput
Die Bundesregierung sah die US-Richtlinien für Kryptoprodukte in einer Linie mit der US-Exportpolitik. Demnach durften bestimmte Verschlüsselungsprodukte nur dann ins Ausland exportiert werden, wenn amerikanische Sicherheitsbehörden mit Hilfe der sogenannten „Key Recovery Agents" innerhalb von zwei Stunden auf den Klartext der chiffrierten Daten zugreifen können. Die Entwicklung eines Standards für „Key Recovery"-Produkte durch die Key Recovery Alliance sollte zusammen mit einer restriktiven Exportpolitik für Nicht-Recovery-Produkte die Verschlüsselungssysteme mit Schlüsselhinterlegungsfunktion qua Marktmacht weltweit durchsetzen. Doch die Allianz, der ursprünglich um die 60 internationale Unternehmen angehörten, bröckelte: Siemens verabschiedete sich aus der Allianz, ebenso Bull. Zur Zeit gehören nur noch rund 30 US-Großunternehmen dem Verbund an.
Da das Kräfteverhältnis zwischen liberalen und regulativen Staaten extrem labil ist, hätte die harte Haltung Deutschlands einen Flächenbrand auslösen können. David Aaron mußte daher in die Offensive gehen: Er kündigte an, nichts als die Wahrheit, die ganze „Wahrheit über die US-Kryptopolitik" zu enthüllen. Doch genau diesen Anspruch erfüllte seine Rede, die er vor Ministerialen, Industrievertretern und Journalisten im Deutschen Industrie- und Handelstag (DIHT) hielt, nicht ganz.
Aaron versuchte zu vermitteln, daß künftig die Möglichkeiten polizeilicher Überwachung gefährdet würden, wenn der Klartext nicht entschlüsselt werden könne. Doch die mittlerweile entwickelten intelligenten Auswertungstechniken erlauben auch ohne Kenntnis des Klartextes das Aufspüren kommunikativer Netzwerke. Auch seine Behauptung, der Markt verlange nach Key Recovery, paßt nicht zu den Absatzschwierigkeiten, mit denen diese Produkte kämpfen müssen. Provokant auch Aarons Anspielung auf eine möglicherweise gefährdete deutsch-amerikanische Freundschaft und einen möglichen Handelsdisput. Der Kern seiner Rede bezog sich jedoch auf den Vorwurf der Wirtschaftsspionage durch die Hintertür, der durch das „Key Recovery Agent"-Konzept aufgekommen war. Diesen konnte er durch die jüngsten Kursänderungen in der US-Politik allerdings wirksam entkräften.
Liberalisierungstendenzen
Am 16. September hatte das Weiße Haus ein Update seiner Kryptopolitik vorgestellt, das einige entscheidende Liberalisierungen vorsieht: So können 56-Bit-Produkte nach einer einmaligen Überprüfung von den Exportkontrollen befreit werden. Neu ist, daß die Firmen keine Pläne für die spätere Implementation von Key-Recovery-Funktionen vorlegen müssen. Doch das ist für Experten nicht sehr beeindruckend. Ihrer Ansicht nach können mit 56-Bit-Produkten verschlüsselte Daten schon seit längerem mühelos geknackt werden. Auch die Ankündigung, die halbjährlichen Zwischenberichte zur Entwicklung von Key-Recovery-Produkten nicht mehr zu verlangen, war nicht so interessant wie die, auf die bisherigen Regelungen im Bereich der „Key Recovery Agents" komplett zu verzichten.
Damit hatte Aaron der bisherigen Argumentationsweise der Bundesregierung den Teppich unter den Füßen weggezogen. Gerade die Frage der Agents hatte hierzulande für eine einheitliche Frontlinie gegen Key Recovery gesorgt. Selbst das Bundesinnenministerium hatte grünes Licht gegeben: Eine „Key Recovery Politik" nach US-Vorstellungen sei als Gefährdung der nationalen Sicherheit zu verstehen.
Mit dem Rückzug der Amerikaner läßt sich diese Strategie nicht länger aufrecht erhalten. Alte, längst befriedet geglaubte Gräben drohen wieder aufzubrechen. Bundesinnnenministerium und Sicherheitsbehörden können jetzt wieder - wie auch die USA - mit noch mehr Nachdruck auf das Argument Strafverfolgung setzen. Die US-Politik konzentriert sich nurmehr darauf, im Interesse der Strafverfolgung Zugang zum Klartext verschlüsselter Dokumente zu gelangen. Das Ziel: Die Fahnder wollen bei einer gerichtlich verfügten Beschlagnahme auf möglichst optimale Bedingungen stoßen: Key-Recovery-Systeme. Alles andere erfordert Zeit und Rechenkraft.
In diesem Licht sind auch die anderen Liberalisierungsschritte der US- Regierung zu verstehen. Nachdem seit längerem bereits Banken und Finanzinstitute von Erleichterungen in der Exportpolitik profitieren konnten, sind jetzt Online-Händler, Versicherungen und der Gesundheitsbereich mit Ausnahme von biochemischen und pharmazeutischen Produzenten mit im Boot. In 45 Ländern können sie jetzt US-Verschlüsselungsprodukte mit Schlüsseln jeglicher Länge, mit oder ohne Key-Recovery-Funktionen importieren. Kryptoprodukte mit Key-Recovery-Funktion dürfen ohne Einschränkungen in 42 Länder exportiert werden. Einzige Ausnahme sind Waffenhersteller und –händler.
Umbrüche
Die Entwicklung des E-Commerce wird daher nicht länger durch die restriktive US-Exportpolitik behindert. Die Kehrseite ist. daß sich Lobbyorganisationen der Wirtschaft jetzt nicht mehr mit Nachdruck gegen eine restriktive Kryptopolitik stellen werden. Die Losung „Kein Kommerz ohne Krypto" geht nur noch eingeschränkt auf.
Die neue, langsamere Gangart der Amerikaner könnte zum Erfolg führen. Während die alte US-Politik mit mehreren Interessensgruppen zugleich kollidierte, fokussiert die neue im wesentlich nur noch eine Zielgruppe: den Otto-Normal-User. Damit können Bügerrechtsorganisationen wie die Electronic Frontier Foundation (EFF) oder das Electronic Privacy Information Center (EPIC) nicht mehr auf die Schützenhilfe seitens der Industrie zählen. Nicht zuletzt die neue, aber mächtige Lobby "Americans for Computer Privacy", die von Firmen wie Microsoft, Intel und Sun ins Leben gerufen wurde, hat mit dem Krypto-Update vom 16. September ihre wichtigsten Ziele schon erreicht.
Bedenklich, daß ausgerechnet in dieser kritischen Phase der Kryptodebatte Barry Steinhardt, Präsident sowohl der EFF als auch der American Civil Liberties Union (ACLU), sein Amt bei der EFF niedergelegt hat. Angeblich habe ihn das ständige Pendeln zwischen Ost- und Westküste belastet. Doch dies scheint nicht der einzige Grund gewesen zu sein: Das EFF agierte unter der Ägide von Steinhardt mehr oder weniger als digitaler Arm der ACLU. Deren linksliberale Prägung scheint jedoch zunehmend auf Widerstand im techno-libertär besetzten Board der EFF gestossen zu sein. Da auch das EFF, ähnlich wie EPIC und das deutsche FifF, politisches Lobbying über eine One-Man-Show betreibt, wird Steinhardts Rücktritt die Lobbyarbeit insgesamt schwächen.
Immerhin versucht die Global Internet Liberty Campaign (GILC ), mit einer Anti-Wassenaar-Kampagne derzeit eine europaweite Koordinierungsstelle aufzubauen. Schon im Februar erregte GILC mit dem Cryptography and Liberty"-Bericht Aufsehen. Auch mit dem parallel zur OECD-Konferenz in Ottawa abgehaltenen Meeting zeigte GILC auf breiter Front Präsenz.
Bröckelndes Bollwerk Deutschland
Deutschland spielt in den Augen der USA das „Bollwerk in Europa", so Marc Rotenberg, Sprecher von EPIC. Allein Frankreich und Großbritannien befinden sich seiner Ansicht nach zur Zeit auf US-Kurs. Durch die EU-Ratspräsidentschaft im nächsten Jahr gewinnt Deutschland noch mehr an Gewicht. Kippen die Deutschen, so werden auch andere bislang liberale Länder folgen.
Die Hoffnungen der Amerikaner ruhen auf Innenminister Otto Schily sowie dem parlamentarischen Staatssekretär im Bundeswirtschaftsministerium, Sigmar Mosdorf. Mit ihnen führte Aaron während seines Besuchs kurze Gespräche - bei den Bündnisgrünen findet sich seit Kipers Abgang kein kompetenter Gesprächspartner mehr. Der Zeitpunkt war geschickt gewählt: Die Entscheidung über eine Kryptoregulierung war schließlich per Kabinettsbeschluß nur bis zum Ende der Legislaturperiode verschoben worden, die liberalen Ministerien hatten zuletzt eine Regulierung blockiert. Jetzt werden die Karten neu gemischt - unter dem Vorzeichen internationaler Zusammenarbeit in der Strafverfolgung. Schily, der in der Debatte um den Großen Lauschangriff Kanther mit seinen Vorstellungen sogar vor sich hertrieb, wird hier sicherlich neue Marken setzen wollen.
Die Konstellationen hierzulande geben keinen Grund zu übertriebenem Optimismus: Im Koalitionsvertrag kaum ein Wort zur künftigen IT-Politik, keine Aussage zur Kryptopolitik. Während in der vorangegangenen Legislaturperiode in der Bundestagsfraktion vor allem die Abgeordnetenbüros von Tauss (SPD) und Kiper (Bündnisgrüne) für politische Bewegung sorgten, reduziert sich nach Kipers Abschied alles auf das Büro Tauss. Ob die drei neuen grünen Abgeordneten im Forschungsausschuß - Antje Hermenau, Matthias Berninger und Hans-Josef Fell - sich der IT-Politik annehmen werden, ist noch nicht entschieden. Klar ist, daß Tauss mit seinen neuen Freunden und Freundinnen nicht mehr wie in Oppositionszeiten schnell und flexibel auf Veränderungen reagieren kann, sondern mit den nunmehr eigenen Ministerien das Vorgehen absprechen muß. Und hier wird der Ressortzuschnitt der Ministerien (link Stollmann) sowie die Konstellation der Staatssekretäre eine wichtige Rolle spielen.
Vor allem der FDP-Oppositionsarbeit kommt daher nun eine wichtige Rolle zu: Setzten vor allem die liberal geführten Ministerien gegen Kanthers Kryptopläne, müssen jetzt, da die Beamten in den Ministerien zur parteilichen Neutralität verpflichtet sind, die Abgeordneten ran. Zu neuen Hoffnungsträgern könnten Guido Westerwelle und Sabine Leutheusser-Schnarrenberger werden.
Nicht zuletzt aufgrund dieser Umbrüche spielen Interessensverbände ein größere Rolle als zuvor. Unklar ist, wie die klassischen Verbände BDI, BVB, BVIT oder ZVEI sich verhalten werden. Michael Pfeiffer vom DIHT wertete jedenfalls den Aaron-Besuch als Erfolg, da die USA jedem Land freistellten, eine Key-Recovery-Regelung einzuführen. Der Verein Teletrust, in dem eine ganze Reihe von mittelständischen Firmen vertreten ist, will weiterhin auf strikten Kurs gehen: Gegen jede Spielart von Key Recovery.
Die alternativen Lobbyorganisationen FITUG, FifF und CCC basteln immer noch an einer gemeinsamen Presseerklärung. Ihnen fehlt es ungleich den etablierten Verbänden noch an finanziellen Mitteln, um eine stabile Lobbyarbeit betreiben zu können. Die Hauptlast tragen ehrenamtliche Mitarbeiter - in der Regel bezahlen sie Dienstreisen sogar aus der eigenen Tasche.
Wassenaar
Die nächste Reise steht jedoch schon in wenigen Tagen an. Bereits im November treffen sich die 33 Wassenaar-Mitgliedstaaten, darunter auch die USA und Deutschland, wieder in Wien zu Verhandlungen. Das Wassenaar-Abkommen, ein Nachfolger des COCOM-Abkommens, wurde im Juli 1996 unterschrieben. In regelmäßigen Abständen unterrichten sich die Unterzeichnersaaten über abgelehnte Exportanträge, um zu verhindern, daß eine Ausfuhr über ein anderes Land genehmigt wird. Auf der Liste des Abkommens werden neben Rüstungsgütern auch Kryptoprodukte als Dual-Use-Produkte geführt, die eine Exportgenehmigung benötigen. Eine Ausnahme gibt es: Software, die „öffentlich frei verfügbar" und für „den Massenmarkt bestimmt" ist. Für die USA dient die Exportkontrolle dazu,auf dem unpolitischen Weg die Verschlüsselungsprodukte mit der Hintertür auf den Weltmarkt zu bringen.
Jetzt stehen Nachverhandlungen an. In Deutschland geht man davon aus, daß die USA einen Passus einführen wollen, nach dem Key-Recovery-Produkte einem einfacheren Verfahren unterworfen sind. Fraglich ist derzeit auch, ob das US-Handelsministerium nicht nur über den Export bestimmter Produkte, sondern auch über die Offenlegung wichtiger Schnittstellen entscheidet. In diesem Jahr mußte bereits ein deutsches Computerunternehmen aufgrund einer verweigerten Exporterlaubnis für eine Schnittstelle auf die Entwicklung eines Sicherheitsprodukts verzichten. Doch noch ist alles Spekulation, die letzte Verhandlungsrunde im Oktober war ohne Ergebnisse auseinander gegangen.
Der Weg der kleinen Schritte
Klar jedoch ist, daß die Interessen der Strafverfolgungsbehörden Schritt für Schritt durchgesetzt werden. Zwar scheiterte der erste Ansturm am erbitterten Widerstand der Industrie, doch der jetzt eingeschlagene Weg der kleinen Kompromisse wird vermutlich zum Ziel führen.
Erst jetzt wurde der Entwurf einer Ratsentschließung der Europäischen Union vom 3. September 1998 bekannt, die der europäischen Strafverfolgung umfassende Überwachungsbefugnisse einräumen will. Sie sieht vor, Überwachungsmaßnahmen auf „neue bestehende Technologien insbesondere Satellitenkommunikation, Internet, Kryptographie, Prepaid Cards und dergleichen sowie auf neue zukunftige Technologien" auszudehnen. Damit bräuchte eine Regulierung nicht in allein 15 Mitgliedsländern durchgefochten werden, sondern käme von oben zum Beschluß.
Zwar soll es während der deutschen EU-Präsidentschaft im nächsten Jahr nicht soweit kommen, doch immerhin steht schon ein Pilotprojekt für Trusted Third Parties in den Startlöchern - „aus rein technischen Motiven".