[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Kryptographieregulierung - ein Appell an die Vernunft

hi,

ich denke, derzeit koennen nicht genug texte gegen die
bonner plaene geschrieben werden.

das folgende will ich an an ein paar ministerien und
parteien schicken. ich habe einfach die befuerchtung,
dass kanthers muskelspiel dazu fuehrt, dass letzten
endes ein fauler kompromiss rauskommt, indem die
wirschaft freiwillig escrowt.

wenn jemand kommentare, ergaenzungen, verbesserungen
(auch rechtschreibe :-) hat, ich bin fuer alles dankbar.
falls interesse am mitunterschreiben besteht, dann mache
ich aus dem "ich" gerne ein "wir".

rolf




     Kryptographieregulierung - ein Appell an die Vernunft
     =====================================================

Nachdem Innenminister Kanther sich offen fuer eine Regulierung
der Kryptographie ausgesprochen hat, ist deutlich geworden, dass
die Bundesregierung diesen Schritt zumindest in Erwaegung zieht.

Die Motivation dieses Artikels ist weniger, diese Regulierung zu
verhindern - ich glaube nach wie vor nicht daran, dass ein solches
Gesetz verabschiedet wird - sondern vielmehr die Befuerchtung, dass
durch die nun folgenden Diskussionen zwischen Befuerwortern und
Gegnern einer Kryptographieregulierung die eigentlich zwingend
notwendige _Foerderung_ kryptographischer Produkte gelaehmt wird.

Das Thema Kryptographieregulierung ist sehr vielschichtig. Die
Argumente sind sowohl technischer, politischer, wirtschaftlicher,
rechtsstaatlicher, ja - wenn man die Forderungen der amerikanischen
Regierung betrachtet - auch aussenpolitischer Natur. Es ist deshalb
bei diesem Thema schwer, einen "roten Faden" in der Diskussion zu
finden. Ich werde im folgenden versuchen, die Argumente zu den
einzelnen Gebieten zusammenzufassen.



Rechtsstaatliche Betrachtung:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Dieses Gebiet ist mit Sicherheit das Umfassendste, auf diesem
prallen die Meinungen am deutlichsten aufeinander, und - um das
in dieser Deutlichkeit zu sagen: hier haben die Befuerworter einer
Regulierung auch die einzigen wirklich nachvollziehbaren Argumente.

Zuerst gilt die Frage zu klaeren, ob eine Kryptoregulierung den
Sicherheitsbehoerden ueberhaupt etwas nuetzen wuerde; und die
eindeutige Antwort ist: ja, sie wuerde. Waere dies nicht der Fall,
muessten wir an dieser Stelle gar nicht weiter diskutieren.

Natuerlich kann man ein Verbot mit Steganographie umgehen - genauso
wie man Telefonabhoeren durch vereinbaren von Codewoertern
wirkungslos machen kann.
Natuerlich kann man eine "illegale" Verschluesselung durch
"Drueberverschluesseln" mit der "legalen" verstecken, und jeder
Verbrecher nimmt die dann zu erwartende Geldstrafe wohl gerne
in Kauf - man kann aber davon ausgehen, dass den Sicherheits-
behoerden durchaus klar ist, dass sie niemals eine Erfolgsgarantie
haben werden; diese haben sie auch heute schon nicht, bei der
"normalen" Telefonueberwachung - dann naemlich nicht, wenn die
Betroffenen eine Ueberwachung befuerchten und Codewoerter
vereinbarten.

Eine Kryptoregulierung wuerde aber garantieren, dass alle
Hersteller kryptographischer Produkte darauf achten werden,
dass diese abhoerbar sind, und das wird letzten Endes der
entscheidende Punkt sein.

Was kann man diesen "Vorteilen" also entgegensetzen?
Zuerst will ich die Frage beantworten - daher die Anfuehrungs-
zeichen - ob der Rechtsstaat ueberhaupt das prinzipielle Recht
haben sollte, die Kommunikation mutmasslicher Verbrecher
abzuhoeren.
Meine Meinung in Kurzform: ja, aber nicht um jeden Preis.
Das heisst also, nur in Einzelfaellen auf richterliche
Anordnung hin.
Auf die Begruendung will ich nicht naeher eingehen, da dieser
Standpunkt - soweit ich es beurteilen kann - Konsens zwischen
Befuerwortern und Gegnern einer Kryptoregulierung darstellt.

Die Befuerworter einer Regulierung argumentieren damit, dass
ohne diese ein Abhoeren in modernen Netzen wie dem Internet
nicht mehr moeglich waere. Diese These ist flasch. Das Abhoeren
wird lediglich schwieriger.

Erinnern wir uns an das Beispiel der Verbrecher, die ueber
Codewoerter kommunizieren. Auch bei diesen wird das Anzapfen
der Telefonleitung wirkungslos bleiben.
Aehnlich sieht es im Internet aus. Zwei oder mehr Personen,
die sich kennen, werden immer vertraulich miteinander
kommunizieren koennen; mit oder ohne Kryptoregulierung.
Anders sieht es aber aus, wenn sich die Personen fremd sind,
oder sie ueber zu wenig Sachverstand verfuegen, ihre Schluessel
miteinander auszutauschen.
In diesem Fall muss die Software dafuer sorgen, dass vor der
eigentlichen Kommunikation die Schluessel (*) getauscht werden -
und genau hier koennen die Sicherheitsbehoerden eingreifen,
und zwar mit dem sogenannten man-in-the-middle-attack.
Dadurch, dass diese Behoerden mit Sicherheit ueber einen
Beglaubigungsschluessel (**) verfuegen, sollte dieser Angriff
kein prinzipielles Problem darstellen.

Kehren wir nun mit diesem Wissen - dass also ein individuelles
Abhoeren unvorsichtiger Personen immer noch moeglich sein wird -
zu der Frage zurueck:
Was kann man diesen Vorteilen also entgegensetzen?

Neben den schwerwiegenden politischen und wirtschaftlichen
Gruenden - auf die ich gesondert eingehen werde - waere eine
Regulierung der Kryptographie verfassungswidrig.
Das Grundgestz schuetzt eindeutig das Fernmeldegeheimnis,
und wie wir gesehen haben, ist ein Abhoeren in Einzelfaellen,
wie es auch das Grundgesetz vorsieht, auch ohne eine Regulierung
immer noch moeglich; eine erzwungene Schluesselhinterlegung
waere demgegenueber voellig unverhaeltnismaessig.

Es bleibt eine weitere Frage:
Kann der Staat seinen Buergern gewisse Sprachen verbieten?
Das halte ich fuer ausgeschlossen.

Diese Fragen koennte letzten Endes aber nur das Verfassungs-
gericht entscheiden; und ich hoffe, dass es dazu nicht kommt.

Die bisherige Betrachtung ging nur von dem Fall der Einzel-
ueberwachung auf richterliche Anordnung hin aus.
Wir haben aber - selbst wenn es dafuer wohl keinen klaren
Beweis gibt - sicherlich einen zweiten "Interessenten" an
Ueberwachungen: Geheimdienste.
Nun gut, viele Leute halten deren Arbeit fuer wichtig fuer
unser Land, und sind davon ueberzeugt, dass diese klar auf
dem Boden unserer Verfassung stehen - aber dieses Thema will
ich hier nicht weiter vertiefen.
Fakt ist, dass die Geheimdienste auch bei einer Kryptographie-
regulierung auf Basis von Key-Escrow (***) verloren haetten, da
dieses - und darauf wird die Wirtschaft bestehen - ihnen wohl
unueberwindbare buerokratische Hindernisse bieten wuerde.

Die Forderung der Geheimdienste nach einem Key-Escrow kann
ich mir nur durch die Hoffnung erklaeren, dass dadurch ein
grossflaechiger Einsatz von Kryptographie erschwert, verzoegert
oder gar verhindert wird.
Ich muss wohl nicht betonen, dass angesichts der unbedingten
Notwendigkeit des Einsatzes kryptographischer Verfahren, dies
eine unverantwortliche Haltung ist.

Damit sind wir beim letzten, aber wichtigen Punkt der rechts-
staatlichen Betrachtung:
Kryptographie verhindert Verbrechen!
Kryptographie verhindert Wirtschaftsspionage, sie erst macht
vertrauenswuerdige Geschaefte ueber offene Netze moeglich,
sie schuetzt auch die Privatsphaere Einzelner vor boesartigen
Schnuefflern. Diese Liste ist schier endlos.
Die Befuerworter eine Kryptoregulierung sollten sich vor Augen
halten, dass sie fuer die Aufklaerung oder Verhinderung des
einen oder anderen Verbrechens eine Vielzahl neuer Verbrechen
"erkaufen".


Politische Betrachtung:
~~~~~~~~~~~~~~~~~~~~~~~

Dieses Gebiet kam bei den bisherigen Stellungnahmen der
betroffenen Persoenlichkeiten aus Politik und Wirtschaft
viel zu kurz.
Ich halte es fuer einen schwerwiegenden politischen Fehler
jeder politischen Partei oder Gruppierung, Gesetze wie eines
zur Kryptographieregulierung zu fordern. Solche Gesetze gehen -
man kann es nicht anders ausdruecken - gegen den Geist der
Zeit.

Mit der Generation, die mit den neuen Medien aufwaechst,
werden diese Massnahmen nicht zu machen sein.
Unter denjenigen, die heute schon intensiv mit den neuen
Medien zu tun haben, gibt es Grundkonsens ueber
- das Recht auf freie Meinungsaeusserung ("free speech")
- das Recht auf Kryptographie
Dieser Konsens geht quer durch alle politische Richtungen.

Getragen werden diese Ueberzeugungen von dem Wissen, dass
es in den offenen, weltumspannenden Medien ueberhaupt keine
Alternative gibt.
Der deutsche Staat kann meine Kommunikation ueber das
Internet nicht vor einem ukrainischen Hacker schuetzen -
das kann ich nur selbst durch den Einsatz von Kryptographie.
Der deutsche Staat kann nicht verhindern, dass auf einem
kanadischen Server Nazipropaganda liegt, oder auf einem
niederlaendischen die Anleitung zur Bahnsabotage.

Das kann man gut oder schlecht finden, aber es ist nun mal ein
unvermeidbarer Fakt. Die neuen Medien bedeuten neue Freiheiten,
die aber mit einer notwendigen Staerkung des Verantwortungs-
gefuehls des Einzelnen einhergehen muss.
Ueberlegungen wie ein Gesetz zur Kryptoregulierung torpedieren
leider diese zwingend notwendige Entwicklung.



Wirtschaftliche Betrachtung:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Dieses Gebiet ist das eindeutigste:
Die Wirtschaft braucht keine Kryptographieregulierung.
Jedwede staatliche Vorgabe ist nichts weiter als ein
buerokratisches Hindernis, das Geld kostet.

Nicht nur dass eine Regulierung Geld kosten wuerde, ein anderer
Aspekt ist noch wesentlich wichtiger, und man kann ihn nicht
oft genug wiederholen:
Kryptographie wird eine der wichtigsten Zukunftstechniken werden,
da auf ihr jeder vertrauliche Nachrichtenverkehr ueber offene
Netze wie das Internet aufbauen _muss_.
Eine Kryptographieregulierung wuerde demnach zwei wichtige
Wirtschaftszweige der Zukunft behindern:
Zum einen diejenigen, die starke kryptographische Verfahren
entwickeln, und zum anderen diejenigen, die diese Verfahren
benoetigen um sicher ueber offene Netze kommunizieren zu
koennen.

Ein Argument, welches man hin und wieder von Befuerwortern
einer Kryptoregulierung hoert, ist dass durch eine
Schluesselhinterlegung die Wirtschaft vor Datenverlust
bei Verlust des Schluessels bewahrt wird.
Das ist schlicht Unsinn.
Die Schluessel, ueber die wir hier reden, dienen einzig
und alleine der Datenuebertragung. Hat der Empfaenger
die Daten erhalten, dann wird er sie auf seinem lokalen
System abspeichern wollen - und selbst wenn diese Daten
aus Sicherheitsgruenden verschluesselt abgespeichert
werden, dann wird der Schluessel hierzu ein voellig anderer
sein als der zur Datenuebertragung.



Technische Betrachtung:
~~~~~~~~~~~~~~~~~~~~~~~

Es bleibt die Frage, wie eine Kryptoregulierung technisch
machbar waere. Hier sehe ich als einzige Moeglichkeit eine
erzwungene Schluesselhinterlegung, also Key-Escrow.

Es liegt auf der Hand, dass egal wie diese realisiert wird,
man ein lohnendes Ziel fuer Wirtschaftskriminelle aller Art
schafft. Wem immer es gelingt, hinterlegte Schluessel zu
stehlen, kann mit diesen wirtschaftliche Schaeden unabsehbaren
Ausmasses anrichten.
Dies ergibt schon das erste Argument, da diese Gefahr ohne
Schluesselhinterlegung schlicht nicht existiert.

Es sollte selbstverstaendlich sein, dass die Hinterlegung
ein Hoechstmass an Sicherheit bieten sollte, was insbesondere
bedeutet, dass der Schluessel nicht nur auf eine, sondern
mehrere Treuhaender verteilt wird, die den Schluessel dann
nur gemeinsam wiederherstellen koennen.
Hier bleibt die Frage, ob dieser buerokratische Aufwand, mehrere
Firmen oder Behoerden aufsuchen zu muessen, ueberhaupt zumutbar
ist.
Besteht nicht vielmehr die grosse Gefahr, dass viele Buerger
oder Organistionen diese Arbeit an Dritte abgeben, deren
Ehrlichkeit sie dann auf Gedeih und Verderb augeliefert sind?
Ich befuerchte allerdings, dass die Mehrheit eher ganz auf
Kryptographie verzichten wird.

Eine weitere wichtige Frage ist die, was mit solchen Schluesseln
geschieht, die offengelegt wurden, da die betroffenen Personen
Kontakt mit der ueberwachten hatte.
Allein dieses Problem, das in meinen Augen rechtsstaatlich gar
nicht zu loesen ist (was ist mit Vertraegen, die waehrend der
Ueberwachungszeit mit diesem Schluessel abgeschlossen wurden?),
sollte ausreichen, eine erzwungene Schluesselhinterlegung
abzulehnen.
 


Schlussbetrachtung:
~~~~~~~~~~~~~~~~~~~

Zusammengefasst kann man zwei Gruende nennen, weshalb eine
Diskussion ueber Kryptoregulierung kontraproduktiv ist:

1. Die Argumente sprechen klar gegen eine Regulierung.
2. Eine Regulierung waere eh nicht auf Dauer machbar.

Daher mein Appell an alle Verantwortlichen:
Vergeudet nicht kostbare Zeit durch eine letzten Endes
sinnlose Diskussion.
Gebt der Wirtschaft die Gewissheit, dass sie nicht mit
staatlichen Regulierungen rechnen muss!
Foerdert den Aufbau vertrauenswuerdiger Zertifizierungs-
stellen fuer oeffentliche Schluessel!
Foerdert den Einsatz von Kryptographie durch verbindliche
Vorschriften, Datenkommunikation ueber offene Netze nur
mit starken kryptographischen Systemen zu fuehren!



(*) Moderne kryptographische Verfahren beruhen auf der
asymmetrischen Verschluesselung. Hierbei hat jeder Teilnehmer
zwei Schluessel: einen privaten und einen oeffentlichen.
Mit dem oeffentlichen Schluessel, der wie der Name schon
sagt veroeffentlicht werden kann und soll, werden die Daten
verschluesselt. Mit dem privaten Schluessel - und nur mit
diesem - koennen dann die Daten wieder entschluesselt
werden.

(**) Mit Beglaubigungsschluesseln wird unterschrieben, dass
ein bestimmter oeffentlicher Schluessel zu einer bestimmten
Person gehoert. Dies ist insbesondere dann enorm wichtig,
wenn mit einem privaten Schluessel rechtsverbindliche Vertraege
unterschrieben werden sollen und/oder die Kommunikations-
teilnehmer ihre oeffentlichen Schluessel nicht persoenlich
austauschen koennen.

(***) "Key-Escrow" nennt man allgemein das Verfahren, wenn
der private Schluessel hinterlegt werden muss.