Europäische Initiative fordert Recht auf Verschlüsselung

Auf Initiative der Gesellschaft für Informatik e.V. (GI) veröffentlicht das Council of European Professional Informatics Societies (CEPIS) zusammen mit zahlreichen Wissenschafts- und Wirtschaftsverbänden einen offenen Brief an den europäischen Gesetzgeber mit der Forderung nach einem uneingeschränkten Recht auf starke und wirksame Verschlüsselung für alle europäischen Bürger*innen, Unternehmen und Institutionen.

Aktueller Anlass sind Pläne von EU-Innenkommissarin Ylva Johansson zur anlasslosen Kontrolle sämtlicher Kommunikationsinhalte wie Chats und E-Mails. Diese Pläne sehen vor, entweder die Ende-zu-Ende-Verschlüsselung von Kommunikation aufzubrechen oder Nachrichten bereits auf den Endgeräten (Smartphones) durch massenhaftes „Client Side Scanning“ (CSS) zu filtern. Aus Sicht der Unterzeichnenden sowie zahlreicher weiterer Expert*innen stellt CSS ein massives Risiko für die europäische Cybersicherheit dar und untergräbt sämtliche Bemühungen um eine digitalisierte Wirtschaft und Verwaltung.

Prof. Dr. Kai Rannenberg, Mitglied des Präsidiums der Gesellschaft für Informatik: „Vertrauliche Kommunikation und sichere Technik dafür sind Grundrechte, weil sie ein Grundpfeiler unserer Gesellschaft sind. Sie sind essentielle Bestandteile einer intakten Demokratie und grundlegende Voraussetzungen für eine funktionierende Wirtschaft sowie die öffentliche Verwaltung. Ohne Vertrauen in die digitalen Infrastrukturen sind sowohl der demokratische Meinungsaustausch als auch der Innovationsstandort Europa in einer zunehmend digital vernetzten Welt in Gefahr. Der europäische digitale Binnenmarkt, die europäische Zivilgesellschaft und die öffentliche Verwaltung brauchen vertrauensvolle digitale Kommunikation und ein Anrecht auf wirkungsvolle Verschlüsselung.“

In dem an die EU-Kommissare Margrethe Vestager und Thierry Breton, die Berichterstatterin für den Digital Service Act (DSA) im Europäischen Parlament Christel Schaldemose und die Ratspräsidentschaft gerichteten Brief weisen die Unterzeichner*innen darauf hin, dass die avisierten Maßnahmen vertrauliche Kommunikation verhindern. Die Unterzeichnenden fordern deshalb, dass es keine vorsätzliche Schwächung der Sicherheit der digitalen Kommunikation geben darf, welche den Standort Europa für sichere und datenschutzorientierte Digitalwirtschaft massiv schädigen würden. Im Gegenteil: Eine wirksame Verschlüsselung von Kommunikation (etwa Internet und Telefon) sollte zum verpflichtenden Standard für alle Anbieter*innen und Nutzer*innen werden.

Zum offenen Brief: https://cepis.org/right-to-secure-communication/

Deutsche Übersetzung des Briefs

Ein Recht auf sichere Kommunikation und wirksame Verschlüsselung für Europa

Die Vertraulichkeit und Sicherheit digitaler Kommunikation sind essentiell für unsere Gesellschaft. Nicht nur lebt der demokratische Diskurs von einem freien Meinungsaustausch, sondern auch unsere Wirtschaft benötigt sichere Kommunikation. Schließlich setzt auch die Digitalisierung unserer staatlichen Verwaltung ein hohes Vertrauen in IT-Infrastrukturen voraus. Die Informationsfreiheit ist ein hohes Gut und in Artikel 11 der EU-Grundrechtecharta verbrieft.

Mit ihren Plänen zur anlasslosen Kontrolle aller Kommunikationsinhalte droht EU-Innenkommissarin Ylva Johansson, diese wichtigen demokratischen und wirtschaftlichen Ziele zu konterkarieren: Die EU-Kommission hat sich bislang technisch nicht festgelegt. Jedoch bedeutet die zur leichteren Aufklärung von Kriminalität geplante anlasslose Kontrolle aller Kommunikationsinhalte (z.B. Chats und Emails) entweder die Entschlüsselung aller verschlüsselten Nachrichten durch die Dienstanbieter oder die Umgehung von Ende-zu-Ende-Verschlüsselung durch automatisiertes und massenhaftes "Client Side Scanning" (CSS) auf den Endgeräten der Nutzer*innen, z.B. auf allen Smartphones. Ein solches CSS gefährdet die Sicherheit und damit die Akzeptanz der Digitalisierung und somit die Zukunftsfähigkeit der gesamten Europäischen Union.[1] 

Als Expert*innen, Wissenschaftler*innen und Professionals aus dem Bereich der Informations- und Kommunikationstechnologien sehen wir, welche hochproblematischen Nebenwirkungen verdachtsunabhängige Eingriffe in unsere Kommunikationssysteme und insbesondere die Einführung von CSS haben. Sie senken das IT-Sicherheitsniveau von Millionen Internetnutzer*innen und schaffen Einfallstore für Cyber-Kriminelle. So entstehen allein der deutschen Wirtschaft jährlich 220 Milliarden Euro Schaden durch Cyber-Kriminalität [2]. Durch die bewusste Schwächung der Internet-Kommunikation wird das Ansehen Europas als führender Standort für eine sichere und datenschutzorientierte Digitalwirtschaft massiv geschädigt.

Wirksame Verschlüsselung von Kommunikation und gespeicherten Daten muss zudem verpflichtender Standard für Behörden, Berufsgeheimnisträger*innen und für alle Kommunikationsunternehmen werden, um die Angriffsfläche zentraler Infrastrukturen zu verringern. Aktuelle Kommunikationssysteme beweisen, dass eine effiziente und nutzerfreundliche Ende-zu-Ende-Verschlüsselung möglich ist und einfach integriert werden kann. So empfiehlt auch die EU-Kommission ihren eigenen Mitarbeitenden die Nutzung Ende-zu-Ende-verschlüsselter Kommunikation [3].

Die Bekämpfung von schwerster Kriminalität ist eine wichtige staatliche Aufgabe, die in Einzelfällen auch Eingriffe in die Kommunikationsfreiheit legitimiert. Sie rechtfertigt jedoch nicht, dass die gesamte Digitalisierung von Staat, Wirtschaft und Zivilgesellschaft Europas durch anlasslose und massenhafte Überwachung von z.B. Chat-Inhalten unterminiert wird. Im Einzelfall notwendige Eingriffe dürfen nur gezielt und anlassbezogen erfolgen.

Deshalb fordern wir vom europäischen Gesetzgeber ein uneingeschränktes Recht auf starke und wirksame Verschlüsselung für alle EU-Bürger*innen, -Unternehmen und -Institutionen. Darüber hinaus müssen Anbieter von Kommunikationsdiensten dazu verpflichtet werden, EU-Bürger*innen eine sichere IKT-Infrastruktur bereitzustellen.  Wir fordern zudem, alle Aktivitäten zur Schwächung und Umgehung von Verschlüsselung einzustellen, da diese enormen Schaden für die Sicherheit aller EU-Bürger*innen sowie unserer Wirtschaft bedeuten.

[1] Hal Abelson, Ross Anderson, Steven M. Bellovin, Josh Benaloh, Matt Blaze, Jon Callas, Whitfield Diffie, Susan Landau, Peter G. Neumann, Ronald L. Rivest, Jeffrey I. Schiller, Bruce Schneier, Vanessa Teague, Carmela Troncoso (2021) “Bugs in our Pockets: The Risks of Client-Side Scanning” https://arxiv.org/pdf/2110.07450.pdf

[2] BITKOM (2021) "Angriffsziel deutsche Wirtschaft: mehr als 220 Milliarden Euro Schaden pro Jahr" https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-220-Milliarden-Euro-Schaden-pro-Jahr

[3] https://joinup.ec.europa.eu/node/702550