Wir wollen verhindern, daß starke Verschlüsselung in die Hände der falschen Regierungen, Organisationen und Individuen gerät

Ein Interview mit David Aaron, dem Krypto-Experten der amerikanischen Regierung

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Mit dem Rückzug vom "Key Recovery"-Konzept hat sich die transatlantischen Kryptopolitik merklich entspannt (siehe auch: Update Kryptopolitik). Christiane Schulzki-Haddouti sprach mit Clintons Krypto-Botschafter David Aaron anläßlich seines zweitägigen Deutschlandbesuchs Mitte Oktober.

Sollten Nutzer von Key-Recovery-Produkten wissen, daß sie Produkte mit Key-Recovery-Funktion benutzen?

David Aaron: Ja, absolut. Ich denke, es sollte darin nichts Geheimnisvolles liegen. Die meisten Nutzer werden sogar von sich aus Key-Recovery-Systeme benutzen wollen. Denken Sie einfach mal darüber nach: Sie benutzen Ihren PC und speichern alle Texte, Adressen und Telefonbücher in Ihrem PC und plötzlich, aus irgendeinem Grund, verlieren Sie Ihren Schlüssel. Alles ist in Ihrem Computer - und Sie kommen nicht mehr ran. Es gibt hier einen wichtigen Bedarf. Übrigens halten wir die "Key Recovery Alliance" nicht für diese breite Verschwörung, über die einige deutsche Journalisten geschrieben haben. Es ist nur der Versuch einiger verantwortungsbewußter Leute, die neue Standards entwickeln möchten.

Wie beurteilen Sie dann den Rückzug von Siemens aus der Key Recovery Alliance?

David Aaron: Nun, ich denke, das liegt daran, daß Siemens-Nixdorf seine PC-Fertigung verkaufen wollte. Jetzt, nachdem die Verhandlungen abgebrochen wurden, kommen sie vielleicht wieder zurück.

Über welche Qualifikationen müssen Key-Recovery-Agents verfügen?

David Aaron: Wir hatten einige Kriterien: Key-Recovery-Agenten mußten zuverlässig sein, durften nicht bankrott sein, keine kriminelle Vergangenheit haben. Wir haben diese Kriterien bei uns als Richtlinien, nicht als Gesetz definiert. Jetzt vertreten wir den Standpunkt, daß es die Sache der jeweiligen Regierung ist, wie sie die Kriterien ausgestaltet. Wenn die Regierung das von staatlicher Seite regeln will, ist das gut, wenn sie es privaten Institutionen überlassen will, ist es auch gut. Selbst wenn sie die Entscheidung über gute und schlechte Key-Recovery-Agents dem Markt überlassen wollen, ist das gut. Wir ziehen uns von der Frage zurück, welche Richtlinien man aufstellen sollte. Jedes Land kann das selbst für sich entscheiden.

Die Rolle der „Key Recovery Agents" spielte für die deutsche Bundesregierung eine entscheidende Rolle. Bundeswirtschaftsminister Günther Rexrodt hatte Mitte September die US-Pläne für Key Recovery noch abgelehnt. Mit diesem Schritt haben Sie für Entspannung gesorgt.

David Aaron: Nun, das hoffen wir. Wir hatten nie die Absicht, diese Agents auf irgendeine Weise zu kontrollieren, oder über ein spezielles Recht zu verfügen, um gegen den Willen der jeweiligen Regierungen an Information zu gelangen. Einige Sprachregelungen in den vorangegangenen Regeln waren für unseren internen Gebrauch der Key Recovery Agents gedacht. Aber von außen betrachtet, vermittelte dies einen falschen Eindruck. Wir haben daher beschlossen, darauf einfach zu verzichten.

Sie möchten vor allem auf drei Feldern mit Deutschland kooperieren: Exportkontrolle, kompatible Infrastukturen und Strafverfolgung. Können Sie darüber einige Details verraten?

David Aaron: In Sachen Exportkontrolle müssen wir in Wassenaar zusammenarbeiten. Wenn wir eine bestimmte Art von Exportkontrolle ausüben, müssen andere Länder eine ähnliche exerzieren. Die Exportkontrolle sollte nicht aufgrund von Lücken im Exportrecht anderer Länder unterlaufen werden können. beziehungsweise andere Länder sollten nicht aufgrund der Exportkontrolle Vorteile erzielen können. Wir müssen daher mehr oder weniger dieselbe Exportpolitik verfolgen - auf derselben Ebene mit grundlegend denselben Konzepten. Wir versuchen ja auch dasselbe zu erreichen: Wir wollen verhindern, daß starke Verschlüsselung in die Hände der falschen Regierungen, Organisationen und Individuen gerät. Wenn wir einen gewissen Konsens erreichen, haben wir ein ebenes Spielfeld. Keiner wird vom andern übervorteilt. Sobald sich ein größeres Land gegen diese Exportkontrollen entscheidet, bricht das Ganze zusammen.

Ich bin zuversichtlich, daß wir einige Veränderungen in Wassenaar erreichen, die auf der einen Seite einige Löcher in der aktuellen Regelung stopfen und gleichzeitig einige Liberalisierungen erreichen, über die wir bereits gesprochen haben. Zum Beispiel Krypto von einigen Einschränkungen befreien, die nicht nötig sind.

Key-Recovery soll Ihrer Ansicht nach vor allem die Arbeit in der Strafverfolgung erleichtern. Was möchten Sie auf diesem Gebiet erreichen?

David Aaron: In Gesprächen mit deutschen Behörden wurde deutlich, daß sie Vereinbarungen darüber erzielen möchten, wie mit entschlüsselten Botschaften im Falle einer Kooperation im Strafverfolgungsbereich zu verfahren ist. Das muß man diskutieren. Ich bin hier eher vorsichtig. Es ist für Regierungen manchmal sehr schwer, in der Strafverfolgung zusammenzuarbeiten. Mit der Kryptofrage wird ein ganz neuer Bereich erschlossen - von noch größerer Komplexität und Sensitivität.

Ich glaube, daß es eher möglich sein wird, beim Austausch von Klartext als beim Austausch von Schlüsseln zu kooperieren. Denn wenn man einer anderen Regierung den Schlüssel übergibt, kann diese alles mögliche damit lesen. Aber wenn man den gesetzlichen Zugang strikt limitiert, könnte man untereinander derartiges Beweismaterial austauschen. Wir hatten bereits eine derartige Kooperation mit der italienischen Regierung in einem Mafia-Fall. Wir tauschten untereinander die Ergebnisse von Telefonüberwachungsmaßnahmen aus - aber nur spezifische Dinge, in denen über das Verbrechen gesprochen wurde. Hoffentlich können wir diese Art von Zusammenarbeit auch noch zu einer Zeit durchführen, in der Telefongespräche nur noch verschlüsselt übertragen werden - und wir sie dann noch entschlüsseln können.

Was nützt ein Erfolg in Sachen Verschlüsselung, wenn es in der internationalen Zusammenarbeit allein schon aufgrund von personellen Engpässen zu Schwierigkeiten kommt? Für manche Kriminalitätsbereiche gibt es zwischen den USA und Deutschland nur einen einzigen Verbindungsbeamten. Wie sieht es mit einem Rechtshilfeabkommen aus?

David Aaron: Wir versuchen seit Jahren ein gegenseitiges Rechtshilfeabkommen zu erzielen - ohne Erfolg. Wir glauben, es sollte in der Handhabung von Kryptoschlüsseln und Klartext in Fällen von terroristischen und kriminellen Untersuchungen eine größere Zusammenarbeit zwischen den Regierungen geben. Das ist nicht einfach, da wir nicht einmal ein gegenseitiges Rechtshilfeabkommen mit Deutschland haben, um Angelegenheiten zu regeln, die mit Schlüsseln und Klartext erst einmal nichts zu tun haben. Wir haben keine Illusionen darüber, wie sensibel und schwierig die Sache ist. Aber es ist nicht etwas völlig anderes als einfach Informationen im Rahmen einer Untersuchung auszutauschen.

Wenn man als Quelle Informanten hat, ist das eine sehr sensible Angelegenheit. Polizeikräfte tauschen ungern diese Art von Informationen aus - aus offensichtlichen Gründen. Wir verstehen das, aber wenn die Zeit reif ist, möchten wir einen solchen Informationsaustausch pflegen.

Wie beurteilen Sie die Chancen, mit unserer neuen Regierung zu einer Vereinbarung zu kommen?

David Aaron: Nun, ich wäre schon dankbar, wenn es keine Mißverständnisse mehr gibt. Ein nächster Punkt wäre der Aufbau kompatibler Infrastukturen. Wenn Sie ein deutsches Produkt in Deutschland kaufen, um mit einem amerikanischen Produkt in den USA zu kommunizieren, oder ein deutsches Produkt in den USA nutzen, um mit einem amerikanischen Produkt in Japan zu kommunizieren und so weiter.

Wären das dann auch Produkte mit Key-Recovery-Funktion?

David Aaron: Wir haben uns das einmal informell mit einigen Experten aus verschiedenen Ländern angesehen. Der Key-Recovery-Teil fügt einige Elemente hinzu, die man unter Kompatibilitätsgesichtspunkten speziell berücksichtigen müßte. Meiner Ansicht nach sollte die Kompatibilität auch dann gewährleistet werden können, wenn nur eines der Produkte über Key-Recovery verfügt. Für ein derart flexibles und universell einsetzbares Produkt müssen jedoch Standards entwickelt werden. Das müssen wir machen, um miteinander kommunizieren zu können. Darauf läuft es hinaus.

Was halten Sie von der Entscheidung Kanadas, auf eine Regulierung von Kryptoprodukten zu verzichten?

David Aaron: Ich halte das für einen guten, wichtigen Schritt. Zum einen kündigten sie an, Wassenaar zu unterstützen, zum anderen berücksichtigt ihr System, so liberal wie es ist, auch die Belange öffentlicher Sicherheit.