Vermeintliche Sicherheit – Warum Verschlüsselungs-Backdoors mehr schaden als nutzen

Autor: Fabio Marti
Veröffentlicht am 8. Februar 2019

Aktuell sind Verschlüsselungs-Backdoors ein großes Thema: So hat Australien gerade ein Gesetz verabschiedet, dem zufolge Tech-Unternehmen den Strafverfolgungsbehörden und Geheimdiensten auf Anfrage Zugriff auf verschlüsselte Inhalte von Nutzern gewähren müssen. Indien hat bereits ähnliche Regelungen auf den Weg gebracht und auch hierzulande stehen im Zuge der „Going Dark“-Debatte immer wieder ähnliche Forderungen im Raum. Ein Szenario, das verheerende Folgen haben kann. Deshalb – und weil wir in letzter Zeit vermehrt nach unserem Standpunkt in dieser Diskussion gefragt werden – möchten wir an dieser Stelle noch einmal ausdrücklich auf die Gefahren von Verschlüsselungs-Backdoors aufmerksam machen:

Inhalt:

  1. Warum überhaupt eine Verschlüsselungs-Backdoor?
  2. Das teuer erkaufte Gefühl von Sicherheit
  3. Wirtschaftliche Gefahren für Unternehmen
  4. Lieber gute Polizeiarbeit als eine Welt ohne Verbrechen

Warum überhaupt eine Verschlüsselungs-Backdoor?

Die Diskussion im Rahmen des „Going Dark“-Problems wird nicht erst seit Kurzem, sondern bereits seit Jahrzehnten geführt – oft mit einem sehr vertrauten Argument: dem Erhalt der allgemeinen Sicherheit. So warnen Strafverfolgungsbehörden und Nachrichtendienste immer wieder davor, dass die zunehmende Nutzung von Verschlüsselungstechnologien auch neue Räume für Kriminelle und Terroristen schaffen würde, in die Regierungsbehörden nicht vordringen könnten. Deshalb fordern sie den Zugang über entsprechende Backdoors oder gar einen Staatstrojaner (der im Übrigen bereits eingesetzt wird), um entsprechend gegensteuern zu können.

Das Argument ist durchaus nachvollziehbar und gerade nach schockierenden Ereignissen wie den Terroranschlägen vom 11. September steigt die Bereitschaft, Privatsphäre zugunsten einer besseren Sicherheit aufzugeben. Nur darf man dabei nicht die gewaltigen Risiken außer Acht lassen, die dann an anderer Stelle entstehen – und wie groß die Tragweite solcher Entwicklungen sein kann.

Das teuer erkaufte Gefühl von Sicherheit

Denn letztendlich hieße das, wegen des schadhaften Verhaltens einiger weniger gleich alle Bürger unter Generalverdacht zu stellen und ihnen ein Stück Privatsphäre zu entziehen. Ist das moralisch vertretbar? Und wenn ja, wo genau wird die Grenze gezogen? Eine Frage, die sich immer wieder stellen wird, bis wir vielleicht irgendwann bei der Dystopie des komplett transparenten Bürgers angelangt sind.

Doch da die Antworten auf diese Frage immer subjektiv ausfallen werden, hier eine nüchterne Betrachtung: Eine Verschlüsselungs-Backdoor ist immer auch eine  Sicherheitslücke, die in den falschen Händen ebenso für Cyberkriminalität verwendet werden kann. Damit bringt sie zwar mutmaßliche Ermittlungserfolge, bedroht dafür aber die Innere Sicherheit. Darüber hinaus ist sehr umstritten, inwieweit der Zugang durch eine Backdoor tatsächlich dabei helfen würde, Verbrechen und Terror-Anschläge zu verhindern. Eine ausführlichere Darstellung der Debatte finden Sie auf der Website der Bundeszentrale für politische Bildung.

Wirtschaftliche Gefahren für Unternehmen

Fernab der Frage nach den gesamtgesellschaftlichen Auswirkungen stellt sich gerade für Unternehmen ein sehr konkretes Problem: Ist eine Verschlüsselung nicht einwandfrei sichergestellt, können sensible Unternehmensdaten in die falschen Hände gelangen und dort erheblichen wirtschaftlichen Schaden anrichten. Um also Mitarbeiter, Kunden und natürlich das bestehende Geschäftsmodell bestmöglich zu schützen, sollten Organisationen um Dienste, bei denen die Gefahr einer Backdoor besteht, einen weiten Bogen machen.

Natürlich kann man hier einwenden, dass ja nur vertrauenswürdige staatliche Instanzen einen Schlüssel zur Backdoor und damit entsprechende Einblicke erhalten, und das voraussichtlich ausschließlich bei berechtigtem Verdacht. Doch wer garantiert, dass Daten oder gar der Backdoor-Schlüssel selbst dort sicher sind? Die Snowden-Affäre und ähnliche Enthüllungen haben nur allzu deutlich gemacht, dass sogar penibel geschützte Staatsgeheimnisse nach außen dringen können und werden.

Hinzu kommt, dass bei nicht-europäischen Anbietern der Backdoor-Zugang und damit die Geheimnisse ganzer Unternehmen in den Händen einer fremden Regierung lägen. Wie wirkt sich so etwas in Zeiten von Handelskriegen auf die internationale Wettbewerbsfähigkeit aus?

Lieber gute Polizeiarbeit als eine Welt ohne Verbrechen

Verschlüsselungs-Backdoors sind also eher keine gute Idee. Stattdessen können Behörden die Gelder, die für entsprechende Zugriffe ausgegeben würden (und bereits werden), durchaus sinnvoller nutzen: mit der Investition in gute Ermittlungsarbeit zum Beispiel. So zeigen ja Erfolge wie der Silk-Road-Prozess, dass sich kriminelle Netzwerke in geschützten Räumen wie dem Darknet durchaus mit anderen Mitteln unterwandern lassen. Mal abgesehen davon, dass den Behörden an vielen Stellen bereits umfassende Meta-Daten zur Verfügung stehen und damit tiefe Einblicke in das Verhalten der verdächtigten Personen ermöglichen.

Interessant ist zudem ein Gedanke, den unter anderem Moxie Marlinspike – Mitautor der Signal-Protokoll-Verschlüsselung – öffentlich vertritt: Seiner Ansicht nach sollte Strafverfolgung schwer sein. Denn der sogenannte „Chilling Effect“ aufgrund von Überwachung ist wissenschaftlich bereits ausgiebig dokumentiert. Demnach verhalten sich Menschen „konformer“, wenn sie wissen, dass sie beobachtet werden. Ein Umstand, den sich autoritäre Staatssysteme ganz bewusst zu Nutzen machen – beispielsweise China, das erst letztes Jahr mit seinem Social-Scoring-System für Schlagzeilen sorgte. In einer solchen Welt, in der Grenzüberschreitungen stets registriert und geahndet werden können, wird sich der gesellschaftliche Fortschritt jedoch schwertun, da Reform-forderndes Verhalten von vornherein unterdrückt wird. Verschlüsselungs-Backdoors, die ja suggerieren, dass immer jemand mitlesen kann, werden voraussichtlich einen ähnlichen Effekt haben.

Wir sprechen uns daher ganz entschlossen gegen Hintertüren bei der Verschlüsselung aus. Denn Sie reduzieren die Sicherheit für alle – Individuen wie Unternehmen – und nehmen den Menschen ihre Rückzugsorte, an denen sie ohne Angst vor negativen Folgen ihre Meinung vertreten können.