Zum Hauptinhalt springen
Blogbeitrag

Die fortlaufende Debatte um Ende-zu-Ende-Verschlüsselung

Es existiert ein fortwährender Konflikt zwischen Befürworter:innen und Gegner:innen der Ende-zu-Ende-Verschlüsselung (engl. End-to-End Encryption, E2EE). Beide Seiten haben nachvollziehbare Argumente für und gegen eine zuverlässige Verschlüsselung.

Die Fachgruppe NETSEC hat daher im Juli 2020 mit fünf Vertreter:innen aus Industrie, Wissenschaft und Zivilgesellschaft in einem Workshop die unterschiedlichen Sichtweisen diskutiert. Im Folgenden tragen wir unsere Sicht auf die verschiedenen Perspektiven zusammen und stellen fest, dass eine fortlaufende Debatte notwendig ist.

Der Konflikt. Das Thema Ende-zu-Ende-Verschlüsselung ist umstritten wie eh und je. Zunehmende Cyber-Kriminalität zeigt, dass eine effizientere Verbrechensbekämpfung notwendig ist. Daher gibt es viele Stimmen, die sich gegen Ende-zu-Ende-Verschlüsselung und für mehr Überwachung aussprechen, damit man Kommunikationsinhalte nach verdächtigem Material durchsuchen kann. Gleichzeitig ist eine abhörsichere Kommunikation wünschenswert, um sowohl vor staatlichen als auch vor wirtschaftlichen Abhörmaßnahmen zu schützen. Nicht zuletzt mit steigendem Anteil von Heimarbeit bekommt dieses Argument auch von wirtschaftlicher Seite her Gewicht (Schutz vor Industriespionage). Firmen, Verbraucher:innen, Behörden und auch die EU-Kommission vertrauen auf Verschlüsselung, um ihre Kommunikation abzusichern.

Dieser Interessenkonflikt rückt derzeit (wieder) auf nationaler und europäischer Ebene in den Fokus. In einem bekannt gewordenen Bericht der Europäischen Kommission wurden untaugliche Möglichkeiten zum Umgehen von Verschlüsselung diskutiert. Das deutsche Innenministerium möchte Ende-zu-Ende-Verschlüsselung in Messenger-Diensten umgehen können, die große Koalition will der Bundespolizei Online-Durchsuchungen (Staatstrojaner) erlauben. Gleichzeitig warnen zivilgesellschaftliche OrganisationenWissenschaft und Wirtschaft vor einem Aufweichen von Verschlüsselungsverfahren. Die Gesellschaft für Informatik und andere Organisationen gehen noch einen Schritt weiter und fordern ein Recht auf Verschlüsselung. Und auch die Kanzlerin will Ende-zu-Ende-Verschlüsselung ohne Hintertür. 

Neue Perspektiven. In der Diskussion beobachten wir ein generelles Muster: Während Gegner:innen ihre Argumentationslinie gegen Ende-zu-Ende-Verschlüsselung adaptieren, bleiben die Argumente der Befürworter:innen inhaltlich stabil.

Victoria Baines (Visiting Research Fellow, Oxford University) hat in ihrer Keynote „Reframing the Encryption Debate“ dargestellt, wie nicht mehr nur die Terrorabwehr, sondern auch der Kampf gegen Kinderpornographie als Argument vorgebracht wird, um Verschlüsselung zu schwächen und Überwachung zu fördern. Sie zeigt auch, wie wir auf einer sprachlichen Ebene argumentativ mit starken Problemen konfrontiert werden, um uns das Aushebeln von Ende-zu-Ende-verschlüsselter Verschlüsselung nahezubringen. Sie stellt gleichzeitig klar, dass der Schutz von Kindern im Internet ein sehr wichtiges und schwieriges Thema ist und Ende-zu-Ende-Verschlüsselung auch Täter:innen schützen kann. Das Dilemma besteht darin, dass beide Gruppen moralisch überlegen argumentieren (z.B. Schutz der Freiheit vs. Schutz der Schwachen). Es ist und bleibt ein kontroverses Thema.

Auf politischer Ebene knüpfte Jan Penfrat (Senior Policy Advisor, European Digital Rights, EDRi) mit einer Diskussion zum Thema „Verschlüsselung und die Grenzen staatlicher Macht“ an. Er machte deutlich, wie wichtig die Ende-zu-Ende-Verschlüsselung auch für den Staat ist. Während einige staatliche Stimmen die Möglichkeiten zum Aushebeln von Ende-zu-Ende-Verschlüsselung fordern, ist der Staat auch selbst auf gut funktionierende Verschlüsselung angewiesen. So erklärt er, es sei offensichtlich und anerkannt, dass Hintertüren in Verschlüsselungsverfahren die Sicherheit der IT-Systeme schwächen und wir uns dies in der Diskussion bewusst machen müssen.

Von einem technischen Standpunkt aus richtete Raphael Robert (Head of Security, Wire) den Blick auf eine Ende-zu-Ende-Verschlüsselung von Gruppenkommunikation. Insbesondere stellte er den Entwurf des IETF-Protokolls für Messaging Layer Security (MLS) vor und berichtete von seiner Arbeit, MLS als einen offenen Standard zu etablieren. Er legt nahe, über das Konzept Forward Secrecy and Deniability hinaus zu schauen und führt in das Konzept Future Security ein. Sein Fazit ist, dass sichere und benutzbare Verschlüsselung, auch in Gruppen, praktisch nutzbar und umsetzbar ist.

Christoph Bösch (Senior Principal Innovations, Bundesdruckerei) widmete sich in seinem Vortrag der „Herausforderung von verschlüsselter Kommunikation im Unternehmenseinsatz“. Er verfolgte ein sehr praktisches Problem, das Ende-zu-Ende-Verschlüsselung in Unternehmen schaffen kann: Beim Einsatz von Ende-zu-Ende-Verschlüsselung kann ein Prozess nicht einfach an einen anderen Bearbeitenden weitergegeben werden, sondern muss zwischendrin umverschlüsselt werden. Zudem warnte er davor, dass auch öffentliche Zertifikate Informationen über Personen und Unternehmen preisgeben können. 

Den Abschluss bildete Andreas Bartelt (Governance Product Security, Bosch), der mit seinem Beitrag „On the difficulty of achieving end-to-end security with IETF protocols“ darstellte, dass trotz aller existierenden Protokolle eine Ende-zu-Ende-Verschlüsselung nur dann einen Nutzen haben kann, wenn sie richtig eingesetzt und umgesetzt wird. Die Konfiguration und viele weitere Hürden stellen daher Herausforderungen und Schwachstellen dar.

Unser Fazit. Die Gesellschaft ist auf starke Verschlüsselung angewiesen, nicht nur um eine freie Kommunikation zu gewährleisten, sondern auch um elektronischen Handel und Zahlungsverkehr überhaupt zu ermöglichen. Jedoch müssen die Seiteneffekte im Blick behalten werden, wenn Verschlüsselungsverfahren weiterentwickelt und flächendeckend zum Einsatz kommen. Um schwerwiegende Verbrechen bekämpfen zu können, ist es notwendig, in begründeten Fällen Zugriff auf Kommunikationsinhalte zu bekommen und Überwachungsmaßnahmen vornehmen zu können. Hierbei kann die Lösung jedoch nicht sein, Verschlüsselung grundsätzlich zu schwächen oder Hintertüren einzubauen. Über diese Beobachtung schien ein Konsens unter den Sprecher:innen und Teilnehmenden zu herrschen. Vielmehr ist nach geeigneteren Lösungen zu suchen, die vorbeugend wirksam werden oder mit denen eine Strafverfolgung gezielter stattfinden kann. Die aus diesen Problemen resultierende Debatte, so anstrengend und emotional sie oft erscheinen mag, muss fortlaufend geführt werden, so wie auch die zugrundeliegenden Techniken laufend weiterentwickelt werden. 

Diesen Beitrag hat das Leitungsgremium der Fachgruppe Sicherheit in Mobil- und Festnetzen (NETSEC) zusammengestellt. Vielen Dank!