IT-Sicherheit 19.10.2001, 17:31 Uhr

Ein Kryptographieverbot gefährdet Wirtschaft und Gesellschaft

Nach dem Terror in den USA steht die stärkere Überwachung des elektronischen Daten-verkehrs an. Die SPD-Politiker und -IT-Experten Jörg Tauss und Ulrich Kelber erläutern im folgenden Beitrag, warum manche Maßnahme den E-Commerce gefährdet und Cyber-terroristen ihre Arbeit eher erleichtert als erschwert.

Moderne Gesellschaften sind von der Funktionsfähigkeit ihrer Infrastrukturen in hohem Maße abhängig. Den Infrastruktursystemen der Industriegesellschaft – Energie und Versorgung, Telekommunikation und Verkehr – hat sich beim Wandel zu einer Informationsgesellschaft die Informationstechnik hinzugesellt, die durch ihre Kopplung mit der Telekommunikationstechnik – umfassend als Informations- und Kommunikationstechnik bezeichnet – zunehmend das Nervensystem der modernen Gesellschaft darstellt. Die zunehmende Nutzung der neuen Informations- und Kommunikationsmöglichkeiten einerseits und die wachsende Abhängigkeit von der Verfügbarkeit und dem Funktionieren der Informations- und Kommunikationstechnik andererseits verdeutlichen, dass der Weg in die Informationsgesellschaft mit erheblichen Risiken und Bedrohungen behaftet ist. Aus diesem Grund werden diese Infrastrukturen in ihrer Gesamtheit als „kritische Infrastrukturen“ bezeichnet, da ihnen gerade bei kriegerischen oder terroristischen Angriffen eine fundamentale Bedeutung für das Funktionieren der modernen Gesellschaft zukommt.
Das gilt besonders mit Blick auf die Informations- und Kommunikationstechnik, zumal hier bei gezielt herbeigeführten Attacken oder Systemzusammenbrüchen katastrophale Folgen für alle gesellschaftlichen Bereiche ausgehen können. Die IuK-Technik steuert Flugzeuge und Kraftwerke, Gas- und Wasserversorgung, Telekommunikationssysteme, die Energie- und Finanzwirtschaft. Dabei ist sie in vielen Bereichen noch unsicher und die Sicherheitsstandards reichen bei weitem nicht aus. Auf dem Weg in die Informationsgesellschaft muss also davon ausgegangen werden, dass Computerkriminalität (Missbrauch von Daten, Finanzmanipulation usw.), Sabotageversuche an Datenverarbeitungssystemen, Spionage im Bereich der Forschung und der Industrie unter Ausnutzung von IT-Systemen und Netzen, Attacken von Hackern („Einbruch“ in Systeme über internationale Netzwerke und Manipulation derselben), Computer-Viren und andere Software-Manipulationen nur die Spitze eines Eisberges noch weitgehend unbekannter Risiken und Sicherheitslücken darstellen. Die unfassbaren Ereignisse in New York und Washington lassen weitaus gravierende Anschläge auch auf kritische Infrastrukturen denkbar erscheinen. Sie verdeutlichen aber zugleich, dass die Frage des Schutzes der kritischen Infrastrukturen gänzlich neu gestellt werden muss. Diese Aufmerksamkeit muss jetzt – auch staatlicherseits – verstärkt auf die Frage ausgerichtet werden, wo terroristische Aktionen in einer technisierten Gesellschaft ihre fürchterlichen Wirkungen entfalten können.
Deutlich wird aber eine weite Besonderheit beim Schutz kritischer Infrastrukturen – gerade auch im Hinblick auf die IuK-Technik. So stellen technische Instrumente, die den Schutz kritischer Infrastrukturen gewährleisten sollen, auch die Ermittlungsbehörden bei der Verfolgung oder Vereitlung von Straftaten vor erhebliche Probleme. So werden derzeit nicht nur massive neue Eingriffsbefugnisse für die Ermittlungsbehörden gefordert, sondern vermehrt auch eine Einschränkung der notwendigen Selbstschutzinstrumente, beispielsweise von kryptographischen Verfahren. Natürlich ist es zwingend notwendig, zu überprüfen, ob es Hindernisse für eine effiziente Ermittlung und wirksame Verfolgung für die Ermittlungsbehörden gibt. Diese setzt aber eine sorgfältige Überprüfung hinsichtlich der tatsächlichen Notwendigkeit und Effizienz und eine sorgsame Abwägung zwischen der Ausweitung von Eingriffsbefugnissen und der Wahrung von Freiheitsrechten voraus, wobei hier eben auch gegenteilige Wirkungen berücksichtigt werden müssen.
Aus der Perspektive des Schutzes kritischer Infrastrukturen kann man dann auch erkennen, dass die seit Jahren diskutierten Pläne zur stärkeren Überwachung der Kommunika-tion im Internet die Sicherheit in Deutschland massiv gefährden können, statt sie zu erhöhen. Das Öffnen des Internet für staatliche Überwachung schafft Sollbruchstellen – wenn nicht gar Einfallstore – für Cyberterroristen, die so die (kritischen) Infrastrukturen und die Wirtschaft in Deutschland attackieren könnten. Sie käme zudem einer Einladung zur Wirtschaftsspionage gleich. Gleichzeitig können Kriminelle und Terroristen sich mit einfachsten Mitteln vor einer wirkungsvollen Überwachung im Internet schützen. Sichere Netze sind ein wirksamerer Schutz für Deutschland als das massenhafte Speichern von Daten der Internetkommunikation, die letztlich nur zu Datenmüll führen. Derartige Pläne gehen davon aus, Verbrechen dadurch verfolgen zu kön-nen, in dem sie einen riesigen Über-wachungs-apparat installieren und bestimmte Verhaltens-weisen kriminali-sie-ren, die zum Teil dem System- und Selbstschutz dienen, wie beispielsweise die Überprüfung elektro-nischer Netze mit Hacker-Software. Mit dieser Perspektive wird zweierlei übersehen: Zum einen übersehen diese Vorhaben, dass in den USA ähnliche Vorge-hens-weisen des Staates nur sehr wenig Erfolg hatten und so diese grausamen Anschläge auch nicht verhindern konnten. Gleichzeitig ignorieren derartige Vorhaben die Tatsache, dass diese Maßnahmen von denen, die man überwachen will, leicht umgangen werden können – womit sich natürlich sowohl die Frage der Effizienz wie auch der Verhältnismäßigkeit stellt.
Aus eben diesen Gründen müssen sich die konkreten Überwachungsvorhaben, namentlich die vom Bundesministerium für Wirtschaft und Technologie erarbeitete Telekommunikationsüberwachungsverordnung (TKÜV) und die in Federführung des Bundesministeriums der Justiz erarbeitete Cybercrime-Konvention des Europarates, einer besonderen Überprüfung stellen. Mit der erneuten Überarbeitung der TKÜV wurden gerade diese Bedenken, die vor dem Einbau von Unsicherheit in die IuK-Netze warnen, aufgegriffen und eingearbeitet. Gleiches sollte für die nationale Umsetzung der Cybercrime-Konvention in deutsches Recht gelten.
Noch weitaus schwerwiegendere Folgen wird die Forderung nach einer Einschränkung der zwingend notwendigen Selbstschutzinstrumente haben, wie sie beispielsweise kryptographische Verfahren darstellen – wenn sie denn umgesetzt würde. Gegen das von einigen Staaten geforderte Verbot oder die staatliche Regulierung der Verschlüsselung elektronischer Daten (Kryptographie) sprechen vor allem folgende Gründe: Ein Verbot oder eine Regulierung kryptographischer Verfahren wäre nicht nur unverhältnismäßig und würde der weltweiten Demokratisierung des Internet widersprechen, es könnte auch leicht umgangen werden und würde kaum einen effizienten Beitrag zur Verfolgung oder Verhinderung von Straftaten leisten. Gleichzeitig würde eine derartige Einschränkung von Selbstschutzinstrumenten totalitären Staaten neue Möglichkeiten zur Unterdrückung von Demokratiebewegungen eröffnen und die Wirtschaftsspionage gegen deutsche Unternehmen erst ermöglichen.

Kryptographischen Verfahren kommt in der Informationsgesellschaft eine Schlüsselrolle zu: Nicht nur für die Wahrung der kommunikativen Autonomie ist diese Technologie nahezu unverzichtbar, letztlich basieren sowohl die globale Finanz- wie auch Internetwirtschaft auf kryptographischen Verfahren und alle Verheißungen des e-Commerce wären bei einer Einschränkung derartiger Selbstschutzinstrumente Makulatur. Auch die Erwartungen an einer elektronische Demokratie bis hin zu Online-Wahlen können ohne den Einsatz kryptographischer Verfahren nicht eingelöst werden. Es ist gut, dass sich auch bei den Strafverfolgungsbehörden die Erkenntnis durchsetzt, dass die flächendeckende Überwachung von eMails und Internetnutzung keinen Erfolg bringt. Die hieraus resultierenden Probleme jetzt dadurch lösen zu wollen, nur noch Kryptographie mit Systemen zu erlauben, bei der dafür notwendige Entschlüsselungscode bei einer für den Staat zugreifbaren Stelle deponiert wird, wäre aber eine noch größere Gefahr als die reine Überwachung des Internetverkehrs. Man könnte es totalitären Staaten kaum einfacher machen, ihre jeweiligen kritischen Demokratie- oder Menschenrechtsbewegungen flächendeckend zu überwachen. Eine solche Kryptographieregelung würde diesen Staaten nämlich ein hartes Vorgehen gegen alle Personen legitimieren, die Nachrichten verschlüsseln, ohne den digitalen Schlüssel beim Staat zu hinterlegen, weil dann im strafrechtlichen Sinne immer ein “Anfangsverdacht“ bestünde. Das würde beispielsweise das Aus für die demokratische Opposition in China und im Iran bedeuten, die heute über verschlüsselte Nachrichten Kontakt zur Außenwelt halten.

Eine staatliche Regulierung würde zudem der Wirtschaftsspionage gegen deutsche Firmen Tür und Tor öffnen. Müssten die ausländischen Töchter oder Niederlassungen ihre digitalen Schlüssel für den Nachrichtendienst des jeweiligen Sitzlandes hinterlegen, wären Geschäftsgeheimnisse nicht mehr zu schützen. Und schließlich ist bekannt, dass sogar die Nachrichtendienste verbündeter Staaten Wirtschaftsspionage gegen Deutschland betreiben. Das dritte Argument gegen eine staatliche Regulierung von Kryptographie ist die damit entstehende Gefahr für die Sicherheit elektronischer Netze und der davon abhängigen Infrastruktur (z.B. Banken, Stromversorgung). Wenn die digitalen Schlüssel von Personen und Firmen für den Staat zugänglich hinterlegt werden müssen, werden Cyberkriminelle und Cyberterroristen versuchen, sich dieser Schlüssel und damit des Zugangs zu wichtigen Daten zu bemächtigen.

All diese Gefahren würde man in Kauf nehmen, wohl wissend, dass auch eine Kryptoregulierung keinen wirksamen Beitrag zur Bekämpfung von Kriminalität und Terror leisten kann. Denn die Forderung nach einem Verbot oder einer Einschränkung kryprographischer Verfahren berücksichtigt nicht die einfache Tatsache, dass schon ein durchschnittlich versierter Computerbenutzer sich mit Mehrfachverschlüsselung und dem ‚Verstecken‘ von Nachrichten in Bildern oder Musik (Steganographie) leicht und vollständig der staatlichen Überwachung im Internet entziehen kann. Wenn zudem nur die rechtstreuen Bürger und Bürgerinnen im staatlichen Überwachungsnetz hängen bleiben, stellt sich erst recht die Frage der Verhältnismäßigkeit derartig weitreichender Eingriffe in verfassungsrechtlich verbürgte Grundrechte – und eben diese Verhältnismäßigkeit ist nicht gegeben.

Fazit: Die Forderung nach immer neuen Eingriffsbefugnissen und die Forderung nach staatlicher Regulierung von Kryptographie birgt viele Gefahren, aber praktisch nur wenige Chancen. Die Fragen des Datenschutzes und die Fragen der Datensicherheit müssen zusammengedacht werden. Nicht Pauschalverdächtigungen gegen den Datenschutz sind notwendig, denn nur ein wirksamer Datenschutz wird auch zu einer wirksamen Datensicherheit führen. Der Grundschutz solcher Systeme muss insgesamt verbessert werden. Der Schutz von (kritischen) Infrastrukturen darf daher nicht länger ein Nischenthema für wenige Experten bleiben, sondern muss endlich gesellschaftlich debattiert werden. Ziel der terroristischen Angriffe war eine offene und freiheitliche Gesellschaft. Wir sollten aufpassen, dass wir nicht übereilt diese Grundlagen einer freien und offenen Gesellschaft zugunsten einer vermeintlichen inneren und äußeren Sicherheit aufs Spiel setzen – die zudem nur eine trügerische Sicherheit wäre.
.JÖRG TAUSS/ULRICH KELBER

Ein Beitrag von:

  • Jörg Tauss

  • Ulrich Kelber

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

SEW-EURODRIVE GmbH & Co KG-Firmenlogo
SEW-EURODRIVE GmbH & Co KG Softwaretester Applikationssoftware Motion Control (w/m/d) Bruchsal
RUETZ SYSTEM SOLUTIONS GmbH-Firmenlogo
RUETZ SYSTEM SOLUTIONS GmbH Engineering Consultant / Test Design (m/w/d) Systemintegration, Car Infotainment, Fahrerassistenz und Telematik Systeme München
Airbus-Firmenlogo
Airbus Systemingenieur (w/m/d) mit Functional Safety Background Friedrichshafen
BAM - Bundesanstalt für Materialforschung und -prüfung-Firmenlogo
BAM - Bundesanstalt für Materialforschung und -prüfung Promovierte*r wissenschaftliche*r Mitarbeiter*in (m/w/d) Ingenieurwissenschaften / Informatik / technische Softwareentwicklung / Mathematik / Physik / Data Engineering Berlin
Vision | R GmbH-Firmenlogo
Vision | R GmbH SPS Programmierer / Automatisierungstechniker Rüsselsheim, Frankfurt, Mainz
Excellence-Firmenlogo
Excellence Requirements Engineer (m/w/d) Köln, Düsseldorf
Airbus-Firmenlogo
Airbus Satellite Ground Systems Engineer (d/m/w) Immenstaad am Bodensee
Excellence-Firmenlogo
Excellence Embedded Softwareentwickler C/C++ (m/w/d) Köln, Düsseldorf
Excellence-Firmenlogo
Excellence SPS Programmierer (m/w/d) Köln, Düsseldorf
ARRK Engineering GmbH-Firmenlogo
ARRK Engineering GmbH (Senior) Frontend Entwickler (m/w/d) München-Unterschleißheim

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.