[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Fwd: FIFF_zu_Krypto]

To: debate@fitug.de
Subject: [Fwd: FIFF_zu_Krypto]
From: Markus Fleck <fleck@informatik.uni-bonn.de>
Date: Thu, 10 Apr 1997 22:25:52 +0200
Comment: This message comes from the debate mailing list.
Organization: University of Bonn, Germany
Sender: owner-debate@fitug.de
To: fiff-l@dia.informatik.uni-stuttgart.de
Subject: FIFF_zu_Krypto
From: fiff@fiff.GUN.de
Date: Thu, 10 Apr 97 19:12:53 EMT

                         P R E S S E E R K L A E R U N G 

                         des Forum InformatikerInnen fuer 
                Frieden und gesellschaftliche Verantwortung (FIfF)
                                Bonn, im April, 1997


     Verschluesselungsgesetze stellen Grundrechte auf den Kopf

Zu den in den letzten Tagen bekannt gewordenen Planungen und
Vorhaben zur gesetzlichen Regelung von Verschluesselungsverfahren
auf internationaler und nationaler Ebene erklaert der Vorstand
des Forum InformatikerInnen fuer Frieden und gesellschaftliche
Verantwortung (FIfF):


Unuebersehbar verdichten sich die Anstrengungen zur Regulierung
der Kryptographie. Nach verschiedenen Anlaeufen wurde von der
OECD Ende Maerz eine Richtlinie zur Kryptierpolitik
verabschiedet[1]. Fast gleichzeitig sind aus den USA[2] und
Grossbritannien[3] Planungen zu neuen nationalen Kryptoregelungen
bekannt geworden. Auch haben sich die Hinweise verdichtet, dass
die Bundesregierung konkrete Vorschlaege erarbeitet hat, um
Kryptierverfahren in der Bundesrepublik zu reglementieren[4].

Dem derzeitigen Planungsstand zufolge erwaegt die Bundesregierung
drei Varianten einer Verschluesselungsregulierung[5]:

1. Eine Key-Escrow-Loesung, bei der Anbieter von
  Verschluesselungsdienstleistungen bei Bedarf den
  Sicherheitsbehoerden die Schluessel von Kunden zur Verfuegung
  stellen muessen.
2. Eine Key-Escrow-Loesung, bei der jedoch ausschliesslich
  staatlich lizensierte Anbieter von
  Verschluesselungsdienstleistungen operieren duerfen.
3. Eine Key-Escrow-Loesung mit gleichzeitigem Verbot aller nicht
  amtlich zugelassenen Verfahren.

Das FIfF sieht darin eine ernsthafte Gefahr fuer die
Weiterentwicklung einer immer staerker auf elektronischen
Datenaustausch angewiesenen Gesellschaft. Staatlichen
Ueberwachungswuenschen wird damit nicht nur der Schutz der
Privatsphaere untergeordnet, sondern zugleich der Schutz all
jener Interaktions- und Transaktionsformen, die auf
elektronischen Netzen abgewickelt werden. Diesen nicht
hinnehmbaren Einschraenkungen stehen aus technischen Gruenden
nicht einmal Gewinne fuer die Ermittler gegenueber.

Die Planungen einer Kryptoregelung verdeutlichen nicht nur die
voellige Missachtung von Buergerrechten unserer Verfassung. Sie
werden zu einem Symbol fuer die gravierenden Defizite bei dem
Verstaendnis von Problemen, Moeglichkeiten und den
Herausforderungen an neue Denkansaetze der politischen
Entscheidungstraeger, die bei der Umsetzung ihrer Plaene einer
Informationsgesellschaft zutage treten.

Fuer das FIfF lassen sich in fuenf Bereichen Argumente fuer die
Schaedlichkeit einer Kryptoregelung anfuehren.


I. Kryptoregelung als letzter Baustein der Ueberwachung

Weshalb muss die Kryptierung gesetzlich geregelt werden? Von
offizieller Seite wird eine Kryptoregelung in der Bundesrepublik
damit begruendet, sie sei das letzte noch fehlende Element zur
Ueberwachung des Fernmeldeverkehrs. Durch die Fernmeldeverkehrs-
Ueberwachungsverordnung (FUeV)[6] sind die Betreiber von
Fernmeldeanlagen dazu verpflichtet, Sicherheitsbehoerden den
ueberwachten Fernmeldeverkehr im Klartext zu uebermitteln. Dies
kann durch die End-zu-End-Verschluesselung einzelner Nutzer
unterlaufen werden. Da bei Telefon und Fax kaum verschluesselt
wird, traefe eine Kryptoregelung vor allem die Nutzer
elektronischer Netze, die darin das Briefgeheimnis nur durch
Verschluesselungsverfahren herstellen koennen.

Damit wird so getan, als sei verschluesselter Datenverkehr von
Verdaechtigen in elektronischen Netze an der Tagesordnung und
diese somit nicht zu ueberwachen. Dies ist unzutreffend.

Die geltenden Gesetze und Verordnungen verpflichten auch Anbieter
elektronischer Netze, eine Ueberwachung durch
Strafverfolgungsbehoerden und Nachrichtendienste zu
gewaehrleisten; derartiges findet bereits statt[7]. Bisher wurde
kein Fall bekannt, bei dem die Aufklaerung einer Straftat durch
Kryptierverfahren verhindert wurde. Dennoch werden vage
Bedrohungsszenarien bemueht, um eine Ausweitung der Ueberwachung
des Fernmeldeverkehrs zu begruenden.

In der Bundesrepublik laesst sich jedoch ernsthaft kein
Rueckstand in der Fernmeldeueberwachung ausmachen. Waehrend 1995
in den USA bei 240 Millionen Buergerinnen und Buerger 1229
Telefonueberwachungen angeordnet wurden, entfielen auf die 80
Millionen Bundesbuergerinnen und -buerger im selben Zeitraum 3667
Anordnungen[8] - pro Kopf also sechsmal soviel
Ueberwachungsmassnahmen hier wie in den USA. 1996 stieg die Zahl
der Anordnungen in der Bundesrepublik nochmals um 175% auf 6428
an[9]. Kein Vergleich der Verbrechenshaeufigkeit zwischen der
Bundesrepublik und den USA kann diese Unterschiede in der
Ueberwachungshaeufigkeit erklaeren. In welcher Weise diese Mittel
zur Verbrechensaufklaerung beigetragen haben, laesst sich nicht
ermitteln, weil hier eine Kontrolle der durchgefuehrten
Massnahmen - im Gegensatz zu den USA - nicht stattfindet.

Obwohl Defizite nicht erkennbar sind, sollen mit Grossem
Lauschangriff und Kryptogesetz weitere Anwendungsfelder der
Ueberwachung erschlossen werden. Dabei werden immer mehr
Grundrechte eingeschraenkt.


II. Grundrechte stehen Kopf

Die Protagonisten eines Kryptogesetzes behaupten, eine solche
Regelung sei nichts Neues, sondern lediglich eine Anpassung der
Fernmeldeueberwachung an die technische Entwicklung. Diese
Aussage ist falsch.

Ein Verbot nicht zugelassener Kryptoverfahren stellt bisherige
Grundrechtsprinzipien auf den Kopf. Die Einschraenkung des
Briefgeheimnisses erlaubt allein die Kontrolle von Sendungen.
Weder sind dadurch bestimmte Schreibformen vorgeschrieben, noch
bestimmte Sprachen oder Ausdrucksformen verboten. Keine Strafnorm
verbietet es, mit Geheimtinte zu schreiben oder andere Verfahren
zu nutzen, um Nachrichten zu verheimlichen. Wer Briefe oeffnet,
hat alle noetigen Entschluesselungsarbeiten selbst zu leisten -
kein Absender muss ihm dabei auch noch durch einen Brief nach
Vorschrift helfen. Ein Kryptoverbot wuerde entgegen aller
bisheriger Rechtssystematik die gesetzeskonforme elektronische
Kommunikation dem Diktat staatlich sanktionierter Syntax
unterwerfen. Dies hat in Deutschland noch keine Diktatur
gefordert.


III. Schliesslich ist es Ihr Geld....

Elektronische Netze transportieren nicht nur Briefe, soviel haben
auch die politisch Verantwortlichen begriffen. Bei der Nutzung
von Verschluesselungsverfahren geht es neben dem Brief- und
Fernmeldegeheimnis auch um andere schutzwuerdige Belange.

Wer Kryptogesetze erlaesst, will damit zugleich auch die
Kontrolle ueber die elektronischen Varianten von
Transaktionsformen, fuer die heute noch besondere
Verschwiegenheitsrechte gelten. Deutlich macht dies das
Teledienstegesetz des IuKDG, das explizit auch Telebanking als
Teledienst definiert. Fuer Nutzer von Telebanking, Telearbeit und
Telemedizin werden das Bank-, Betriebsgeheimnis und die
aerztliche Schweigepflicht reduziert auf das Fernmeldegeheimnis.
Das Fernmeldegeheimnis wird damit zum strategischen Grundrecht.
Ein Kryptogesetz hoehlt nicht nur dieses Grundrecht aus, sondern
zugleich eine Vielzahl anderer Schutzrechte. Ein solches Gesetz
waere ein trojanisches Pferd fuer den Rechtsstaat in der
Informationsgesellschaft.


IV. Zusaetzliche Probleme in der Praxis

Nehmen wir an, ein Kryptogesetz wuerde formuliert. Wie waere es
ueberhaupt rechtsfest zu machen und waere es praktikabel? Dabei
ist auch das Gesetz zur digitalen Signatur im IuKDG zu beachten,
das einen Rahmen fuer asymmetrische Kryptierverfahren andeutet.
Dies fuehrt zu charakteristischen Problemen.

1. Eine Offenbarung eines hinterlegten Schluessels an die
Sicherheitsbehoerden bedeutet bei bislang verfuegbaren Systemen,
dass solange eine unbegrenzte Ueberwachung des Schluesselinhabers
moeglich ist, wie er diesen Schluessel unveraendert behaelt. Dies
ist selbst bei Ueberwachungsmassnahmen ein bislang ungekanntes
Mass eines Eingriffs in Buergerrechte, dessen
Unverhaeltnismaessigkeit auch Kryptoexperten und Befuerwortern
eines Gesetzes klar ist: Kein geringerer als Otto Leiberich,
ehemaliger Praesident des Bundesamtes fuer Sicherheit in der
Informationstechnik (BSI), publizierte, wie durch die Einfuehrung
einer Zeitvariable in Kryptoverfahren die technische
Voraussetzung fuer rechtlich vorgeschriebene zeitliche
Begrenzungen der Ueberwachungsmassnahme realisiert werden
muesst[10]. Koennen die Sicherheitsbehoerden aber ein Interesse
an einem rechtskonformen Verfahren haben, das sich nicht mehr
entschluesseln liesse, wenn Nutzer die Aufklaerung schon durch
ein veraendertes Systemdatum des Computers behindern koennen?

2. Der offenbarte private Schluessel eines Verdaechtigen macht
dessen eingehenden Datenverkehr lesbar, nicht aber seine
Nachrichten an Dritte. Anhaltspunkte oder Beweise fuer eine
Verabredung zu einer Straftat mit Dritten lassen sich aufgrund
der Eigenschaften asymmetrischer Kryptierverfahren nur gewinnen,
wenn auch die Schluessel seiner Kommunikationspartner offengelegt
werden, unter Umstaenden auch noch darueberhinaus deren Partner.
Die Folge ist ein tendenziell exponentielles Wachstum der
Verdaechtigen, der Fernmeldeueberwachungen und des
Arbeitsaufwandes der Ermittler. Hier kann weder von einer
Verhaeltnismaessigkeit der Mittel noch von einer effektiven
Ermittlungsarbeit die Rede sein.

3. Mangels kompetenter Institutionen wird die Bundesregierung
kaum umhin kommen, bei der Kontrolle ueber die Kryptierschluessel
auf jene Infrastruktur zurueckzugreifen, die sie derzeit fuer
Einfuehrung und Ausgabe der digitalen Signatur etabliert. Kein
Gesetz wird den Vertrauensverlust aufwiegen koennen, wenn
dieselbe Instanz einerseits private Kryptierschluessel an
staatliche Stellen weitergeben muss und andererseits fuer die
Sicherheit der digitalen Signatur buergt. Geraet naemlich die
digitale Signatur in falsche Haende, liesse sich jedes Dokument
rechtlich verbindlich unterzeichnen. Die Furcht der Buergerinnen
und Buerger waere naheliegend, der Manipulation staatlicher
Schluesselgewaltiger ausgeliefert zu sein. Bei derartigem
Vertrauensverlust koennen sich die Bundesregierung und die auf
die digitale Signatur setzenden Unternehmen die Muehen sparen.

4. Ein nationales Kryptogesetz ist kaum tauglich, angemessen auf
die Probleme des fuer elektronische Netze typischen
internationalen Datenverkehrs zu reagieren. Um an die
Kryptoschluessel einer "Mafiaorganisation" zu kommen, muessten in
der Regel die Behoerden mehrerer Laender mobilisiert werden.
Wollen uns die Protagonisten eines Kryptogesetzes nun allen
Ernstes weismachen, dass eine internationale Kooperation bei der
Herausgabe hinterlegter Schluessel besser funktionieren wird als
die bislang absolut mangelhafte Kooperation bei der Verfolgung
von Straftaten, bei denen elektronische Netze genutzt werden?

5. Im Vergleich dazu ist es fast schon nebensaechlich, wie ein
Kryptogesetz der Softwarebranche das Leben schwer macht. Um eine
Kryptogesetz-konforme Zuordnung von persoenlichem
Kryptoschluessel und Nutzer zu gewaehrleisten, muessten
beispielsweise die Hersteller von Internet-Browsern, die heute
oft Verfahren zur verschluesselten Uebermittlung sensitiver Daten
beinhalten, in Deutschland auf die Distribution ihrer Software
per Internet verzichten und stattdessen nur noch Softwarepakete
persoenlich gegen Vorlage des Personalausweises verkaufen. Ein
solcher Aufwand lohnt sich nur fuer wenige, was die legale
Nutzung sicherer Verfahren nicht gerade verstaerken wuerde. Wenn
darueberhinaus unterschiedliche und damit technisch inkompatible
nationale Regelungen entstehen, bleibt der vielbeschworene
globale Electronic Commerce eine Illusion.


V. Ein Kryptogesetz macht die Strafverfolger auch nicht schlauer

Mittlerweile macht sich niemand mehr etwas vor: Ein Kryptogesetz
ist leicht zu umgehen. Ein legales Kryptierverfahren laesst sich
mehrmals auf eine Botschaft anwenden, eine mit einem illegalen
Kryptierverfahren verschluesselte Botschaft laesst sich mit einem
legalen Verfahren "verpacken". Ein Kryptogesetz ist sogar so zu
umgehen, dass niemand dies nachweisen kann: Die Steganographie
und andere Verfahren zur Nutzung verdeckter Kanaele verstecken
Botschaften z.B. in Klartext-Dateien und verschleiern schon die
Existenz einer verschluesselten Botschaft.

Von der Umgehung des Gesetzes erhoffen sich Experten der Inneren
Sicherheit sogar schon Vorteile, liessen sich doch aus dem
Nutzerkreis illegaler Kryptoverfahren ermittlungstechnisch
wertvolle Rueckschluesse auf die Organisationsstruktur des
verdaechtigten Personenkreises gewinnen.

Bei steganographischen Verfahren ist dieser Personenkreis niemals
zu ermitteln. Was ist aber gewonnen, wenn denn eine Gruppe von
Personen gefunden waere, die dasselbe nicht zugelassene
Kryptoverfahren nutzen? Ihre Kommunikation ist nicht zu
entschluesseln, also muss auf andere Weise ermittelt werden. So,
wie sich heute schon Beamte durch meterhohe Papierstapel mit den
Protokollen von Telefonueberwachungen quaelen, werden sie in
Zukunft Personenkreise aufwendig ausforschen muessen, die sich
nichts haben zuschulden kommen lassen, als nicht zugelassene
Kryptierverfahren zu nutzen und zufaellig mit Personen zu
kommunizieren, die unter irgendeinem Verdacht stehen. Dieser
Aufwand laesst sich nicht einmal mit arbeitsmarktpolitischen
Gruenden rechtfertigen. Die Nutzer nicht zugelassener
Kryptierverfahren automatisch zu Verdaechtigen zu stempeln, waere
also schon unter ermittlungstaktischen Aspekten nichts als Unfug.

Aus technischer und praktischer Sicht stellt sich ein
Kryptogesetz als unsinnig und undurchfuehrbar dar. Juristen
vertreten dagegen den Standpunkt, unerheblich von der
Durchsetzung sei dem Recht in jedem Fall Folge zu leisten. Eine
solche dogmatische Auffassung ist jedoch mit einem demokratischen
Rechtsstaat nur schwer vereinbar.


VI. Fazit

Nach Auffassung des FIfF traegt ein Kryptogesetz zur Forcierung
der nicht gerade zaghaften Ueberwachung des Fernmeldeverkehrs in
der Bundesrepublik bei. Es stellt grundrechtliche Prinzipien auf
den Kopf. Es bedroht in wesentlichem Umfang die grundgesetzlich
geschuetzten Persoenlichkeitsrechte in elektronisch gestuetzten
Transaktions- und Interaktionsformen. Es fuehrt in der Praxis zu
gravierenden zusaetzlichen Rechtsproblemen und fuehrt keineswegs
zu einer Erleichterung der Arbeit der Strafverfolger. Die
Probleme, die eine solche Regelung zwangslaeufig hervorrufen
wird, lassen sich auch nicht mit Rechtsdogmatismus loesen. Dem
schwerwiegenden Schaden fuer Buergerrechte, Demokratie, aber auch
fuer wirtschaftliche Interessen steht ein aeusserst magerer
Nutzen gegenueber. Jede rationale Bewertung muesste vor diesem
Hintergrund zu dem Schluss kommen, auf eine Kryptoregelung zu
verzichten.

Dass die Bundesregierung trotz jahrelanger Beratung mit
ausgewiesenen Experten dennoch nicht von einer Kryptoregelung
Abstand genommen hat, ist entweder ein Indiz fuer mangelnde
Kenntnis oder die mutwillige Missachtung der Konsequenzen.

Die einander in hohem Masse aehnlichen Regelungen der OECD,
Grossbritanniens, der USA und mit ihnen die bundesdeutschen
Plaene lassen sich mit den Visionen einer globalen demokratischen
Informationsgesellschaft nicht in Einklang bringen.


VII. Forderungen

Statt einer Einschraenkung von Kryptierverfahren ist es nach
Auffassung des FIfF notwendig:

1. Die Verbreitung und Nutzung von Kryptiersystemen zu erhoehen,
2. Die Nutzung von Kryptiersystemen nicht durch Einschraenkung
  oder Verbot zu behindern,
3. Die freie Wahl von Kryptosystemen zu ermoeglichen,
4. Die Entwicklung sicherer Kryptosysteme zu unterstuetzen,
5. Den Schutz elektronischer Transaktions- und
  Interaktionsverfahren zu verstaerken und
6. Den Nutzen staatlicher Ueberwachung von Kommunikation einer
  regelmaessigen, unabhaengigen und umfassenden Bewertung zu
  unterziehen.


                 --------------------------
1 Cryptography Policy Guidelines; Recommendation of the Council,
http://www.oecd.org/dsti/iccp/crypto_e.html
2 http://www.cdt.org/crypto/admin_397_draft.html
3 Minister for Science and Technology: Licensing of Trusted Third
Parties for the Provision of Encryption Services;
http://www.cl.cam.ac.uk/users/rja14/dti.html
4 Presserklaerung des forschungspolitischen Sprechers von
Buendnis 90/Die Gruenen, Dr. Manuel Kiper:
http://www.gruenebt.de/aktuell/pm/indizes/in970236.htm
5 am konkretesten: C. Schulzki-Haddouti: Kanthers Kurs auf das
Kryptoverbot; in: http://www.heise.de/tp/te/1146/fhome.htm
6 vgl. die Stellungnahme des FIfF zur FUeV unter
http://hyperg.uni-paderborn.de/0x83ea6001_0x0036ce9
7 Erste Faelle einer Ueberwachung von Internet-Accounts wurden
bekannt in: 30.000 Telephonate mitgehoert; in: Sueddeutsche
Zeitung, 2.12.96, S. 15
8 USA: Newsweek 20.5.96, Bundesrepublik: Bt-Drs 13/3618
9 Bt-Drs. 13/7341
10 Otto Leiberich: Verschluesselung und Kriminalitaet II, in:
BSI-Forum der KES 1/95



* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Forum InformatikerInnen fuer Frieden und         FFFF I  fff  FFFF
gesellschaftliche Verantwortung (FIfF) e.V.      F    I  f    F
Reuterstr. 44, D-53113 Bonn                      FFFF I  fff  FFFF
E-mail: fiff@fiff.gun.de                         F    I  f    F
Tel.:xx49-228-219548  Fax: -214924               F    I  f    F

CL/GRUPPEN/FIFF   und
http://hyperg.uni-paderborn.de/~FIFF
forum computer professionals for peace and social responsibility
* * * * * * * * * * * * * PGP-Key on request  * * * * * * * * *
Prev by Date: Re: Tagesspiegel-Interview bzgl. Austro-net
Next by Date: Re: Tagesspiegel-Interview bzgl. Austro-net
Prev by thread: Re: Tagesspiegel-Interview bzgl. Austro-net
Next by thread: fwd: [Netzforum: Internet-Regeln]
Index(es):
- Date
- Thread