Innenminister Kanther will das Codieren von
Informationen einschränken
Tempo 80 für Gangster
Immer mehr Kriminelle nutzen die Verschlüsselung für ihre Kommunikation.
Doch das Internet sträubt sich gegen jede Regulierung.
Von STEPHAN LORZ
Hohn und Spott hatten die Datensurfer im weltumspannenden Internet für
den Bundesinnenminister übrig, als dieser unlängst eine Beschränkung der
Verschlüsselungstechnik forderte, was in der Öffentlichkeit als "Krypto-Verbot"
die Runde machte. "Es besteht die Gefahr", sagte Manfred Kanther,
"daß der Strafverfolgung durch den Einsatz der Verschlüsselung künftig
ein erheblicher Teil des bisherigen Sachbeweises verlorengeht." Also
müßten die Nutzer elektronischer Kommunikation künftig Nachschlüssel bei
einer vertrauenswürdigen Stelle hinterlegen. Aus der CSU und Teilen der
SPD wurde Zustimmung signalisiert, Bundesforschungsminister Jürgen Rüttgers
und die FDP-Minister kündigten koalitionsinternen Widerstand an.
Vor allem die Internet-Fachleute im Bundestag halten den Vorstoß
Kanthers für weit überzogen und undurchführbar. Die Forderung, digitale
Schlüssel zu hinterlegen, sei genauso, als ob man die Bürger zwänge, nur
noch Postkarten zu schreiben und die Zweitschlüssel für die Wohnung bei
der Polizei abzugeben, findet etwa der SPD-Politiker Siegmar Mosdorf,
Vorsitzender der Enquetekommission Informationsgesellschaft. Und sein Kollege
Jörg Tauss warf Kanther vor, mit dem Denken von gestern die Probleme von
heute bekämpfen zu wollen. Man dürfe doch nicht weite Teile der Bevölkerung
kriminalisieren, bloß weil sie ihren elektronischen Briefverkehr vor unberechtigten
Mitlesern verbergen wollten. "Auch ich verwende Verschlüsselungsprogramme",
bekennt er.
Trotzdem stellt sich natürlich die Frage, wie der Staat künftig seine
Eingriffsrechte wahrnehmen soll, wenn immer größere Teile der Kommunikation
über das Internet laufen und Krypto-Programme immer sicherer werden.
"Schon längst werden die heißen Geschäfte der Waffenschieber und Rauschgifthändler
nicht mehr über das Telefon, sondern verschlüsselt über das Internet abgewickelt",
heißt es aus dem bayerischen Landeskriminalamt. Doch welcher Kriminelle nutzt schon staatlich zugelassene Verschlüsselungsverfahren,
wenn er davon ausgehen muß, daß Polizei und Verfassungsschutz einen Nachschlüssel
haben? Er wird sich dann eines der zahlreichen illegalen Krypto-Programme
bedienen oder andere Verfahren wie die Steganographie verwenden, die es
ermöglicht, Informationen in unverfänglichen Bilddateien zu verstecken.
Schließlich ist Kryptologie keine Geheimwissenschaft mehr, sondern wird
an jeder Universität gelehrt. Die Pläne Kanthers ähnelten dem Versuch,
Bankräuber durch eine Geschwindigkeitsbegrenzung zu behindern, amüsiert
sich der Zentralverband der Elektrotechnischen Industrie.
Für die deutsche Wirtschaft kann sich eine Krypto-Beschränkung sogar
zum Sicherheitsrisiko auswachsen. Denn die Aufbewahrungsstellen für die
Nachschlüssel werden das Angriffsziel Nummer eins für Wirtschaftsspione.
Und welche ausländische Firma wird noch mit einem deutschen Unternehmen
in Kontakt treten, wenn sie davon ausgehen muß, daß auch ihre Geschäftsgeheimnisse
deutschen Behörden offenstehen? Wie kann überhaupt der internationale Datenverkehr
geregelt werden? Müssen die Auslandstöchter deutscher Firmen ihre Nachschlüssel
in der Bundesrepublik aufbewahren lassen? Der Bundesbeauftragte für den Datenschutz Jacob hat Innenminister Kanther deshalb aufgefordert, endlich
ein Modell seiner Krypto-Beschränkung vorzulegen, anhand dessen man
alle Vor- und Nachteile abwägen und die Debatte auf eine sachlichere
Ebene führen könne.
Bei näherer Betrachtung hat eine einheitliche nationale Schlüsselinfrastruktur
nämlich auch eine Reihe von Vorteilen, die in der emotional geführten Debatte
bislang untergehen. Denn der Wirtschaft fehlt es im Internet noch an der
nötigen Rechtssicherheit. Der Datenschutz ist nicht gewährleistet, und
elektronische Verträge sind juristisch nicht wasserdicht. Das jetzt im
Bundestag beratene Signaturgesetz, das unter anderem die "digitale Unterschrift"
regelt, ist zwar ein erster Schritt, solange aber das Internet noch weitgehend
als rechtsfreier Raum gilt, werden sich auch Teleshopping, Telebanking
und Telearbeit in großem Stil nicht durchsetzen.
Mittels standardisierter und national verbreiteter kryptographischer
Verfahren wäre diese Lücke aber zu schließen. Es entstünde eine Sicherheitsinfrastruktur,
welche die Verfahren in der elektronischen Geschäftswelt vereinfacht und
standardisiert, weil die Schlüsselverwaltung ein Treuhänder übernimmt,
auf den alle Beteiligten zurückgreifen könnten. Hier könnte auch das berechtigte
Interesse des Staates eingebettet werden, der nach einem zu verabredenden
Verfahren den Zugriff auf die Codes erhält. Es entstünde eine Symbiose
aus dem Wunsch der Wirtschaft nach Datenschutz und Rechtssicherheit und
dem Eingriffsbegehren des Staates.
Auch in den USA wird derzeit an einer Krypto-Regelung gearbeitet.
Sie sieht ebenfalls die Hinterlegung von Nachschlüsseln bei einer unabhängigen
Stelle vor. Michael Nelson, Internet-Berater von US-Präsident Clinton,
macht dafür auch rein praktische Gründe geltend: "Immer wieder geht
ein Code verloren oder wird durch untreue Angestellte gelöscht. Ohne einen
Nachschlüssel wären die bis dahin verschlüsselten Dokumente unwiederbringlich
verloren."
Im Grunde genommen weiß auch Minister Kanther, daß es letztlich unmöglich
ist, kriminelle Kommunikation innerhalb des Netzes lückenlos zu kontrollieren.
Schon immer haben sich Verbrecher der Geheimschrift bedient oder Stimmzerhacker
beim Telefonieren benutzt. Es bleibt ihm also nicht anderes übrig, als
Polizei und Verfassungsschutz wieder auf die traditionellen Abhörmethoden
einzuschwören wie Wanzen, Richtmikrofone und Mikrokameras. Irgendwann muß
schließlich jeder verschlüsselte Text wieder in Klartext übersetzt werden.
STICHWORT: VERSCHLÜSSELUNG
Will man elektronische Post vor Mitlesern schützen, kann man den Text mit
Verschlüsselungsprogrammen in ein sinnloses Zeichengewirr verwandeln. Nur
mit dem passenden Code kann der Empfänger die Botschaft dann wieder lesbar
machen. Moderne Verfahren arbeiten mit dem sogenannten Public-Key-Verfahren.
Dabei wird ein Schlüsselpaar hergestellt, wovon die eine Zeichenkombination
öffentlich bekanntgegeben werden kann, die andere als "geheimer Schlüssel"
behalten wird. Ein mit dem öffentlichen Schlüssel codierter Text ist dann
nur mit dem geheimen Schlüssel "aufzuschließen". Eine "mathematische
Einbahnstraße" macht es fast unmöglich, aus dem öffentlichen den geheimen
Schlüssel zu errechnen. Deshalb kann der öffentliche Schlüssel auch aus
der Hand gegeben oder publiziert werden. Eines der bekanntesten Verschlüsselungsprogramme
ist Pretty Good Privacy (PGP), eine Software, die kostenlos über das Internet
bezogen werden kann.
Lz
Interview mit dem Bundesdatenschutzbeauftragten Joachim Jacob
Standort D in Gefahr
RHEINISCHER MERKUR: Bundesinnenminister Manfred Kanther fordert eine Beschränkung
der Verschlüsselungsverfahren. Kann der Bundesdatenschutzbeauftragte zulassen,
daß die Bürger ihre E-Mail bei der Übermittlung über das Internet nicht
richtig zukleben dürfen? JOACHIM JACOB: Wir haben immer gefordert, daß Verschlüsselungsverfahren
anzuwenden sind, um die Nachrichtenübermittlung möglichst sicher zu machen.
Es darf jetzt nicht passieren, daß der Staat dem Bürger leicht knackbare
Codes vorschreibt, die dann nicht nur von den Strafverfolgungsbehörden,
sondern auch von Geheimdiensten, der Mafia oder anderen übelwollenden Subjekten
geknackt werden können, oder daß er ihnen rundweg verbietet, Krypto-Verfahren
anzuwenden. Niemand hat dann mehr Vertrauen in die deutschen Kommunikationswege.
Mit der Folge, daß die Geschäfte künftig im Ausland abgeschlossen werden,
wo andere Regeln gelten. Damit würde die Attraktivität des Standortes Deutschland
großen Schaden nehmen.
Allerdings sehe ich auch das Dilemma, in dem der Staat steckt: Er muß
seine berechtigten Eingriffsbefugnisse wahrnehmen. Die neuen Verschlüsselungstechniken
machen ihm dies aber nahezu unmöglich. Ob dieses Dilemma mit einem wie
immer gearteten Kryptoverbot zu lösen ist, wage ich zu bezweifeln. Was
ich jetzt fordere, ist die Vorlage von Modellen, anhand derer man die Vor-
und Nachteile einer Regulierung prüfen kann.
? Ist ein Krypto-Verbot aber überhaupt durchzusetzen? Verschlüsselungsprogramme
sind schließlich überall zu haben; und wer einen Brief in Geheimschrift
verfaßt, der wird ja vom Staat auch nicht bestraft.
In der Tat gibt es eine ganze Reihe von Verschlüsselungssystemen, die
bereits von vielen genutzt werden. Die Frage ist aber: Wenn ich bemerke,
daß ein Text verschlüsselt ist, was mache ich dann mit dem Absender? Soll
ich dem mutmaßlichen Rauschgiftschmuggler 5000 Mark Strafe aufbrummen?
Dann weiß er, daß ich ihn im Visier habe, und er ist entsprechend vorsichtig.
Und was mache ich mit dem Normalbürger, der aus Angst, daß seine Daten
oder seine Kreditkarte unberechtigterweise verwendet werden, seine E-Mails
codiert? Ist das eine Ordnungswidrigkeit oder eine Straftat? Macht er sich
schon verdächtig? Sollen wir ihn verfolgen? Wohl kaum. Trotzdem aber darf
der Staat diesen Bereich nicht aufgeben. Wir müssen wenigstens versuchen,
das eine zu tun, ohne das andere zu lassen.
? Wie stellen Sie sich das vor?
Die Wirtschaft verlangt nach Rechtssicherheit im Internet. Die Unternehmen
müssen davon ausgehen können, daß niemand die Daten manipuliert hat oder
mitliest, wenn sie Patentinformationen, Verträge oder Zahlungsbelege elektronisch
austauschen. Diese Sicherheit kann mit harten kryptographischen Verfahren
garantiert werden. Notwendig dazu ist aber eine nationale, besser: europäische
Infrastruktur der Schlüsselverwaltung. Sie kreiert Standards, die dann
in Programme eingebettet werden, so daß die Verschlüsselung im Hintergrund
erfolgt, ohne daß es der Anwender merkt. Darüber hinaus muß es Stellen
geben, welche die Schlüsselpaare erzeugen, mit denen codiert und decodiert
wird. Der geheime Schlüssel wird dann dem Absender zugespielt, der öffentliche
in einer Art Telefonbuch anderen zugänglich gemacht. Das geschieht im sogenannten
Trust-Center.
Um die Sicherheit nun zu erhöhen und damit das Trust-Center nicht
bevorzugtes Ziel eines Hackerangriffs wird, könnte der geheime Schlüssel
zum Beispiel in vier Teile zerlegt und an vier Stellen hinterlegt werden,
etwa zwei Behörden und zwei private Institutionen. In diese Infrastruktur
könnte das Sicherheitsinteresse des Staates eingebettet werden: Die Strafverfolgungsbehörden
sollen dann nach einem Gerichtsbeschluß in den Besitz des Gesamtschlüssels
gelangen dürfen. Weil es aber vier Stellen sind, die zusammenspielen müssen,
sind die Hürden dafür besonders hoch, was in der Wirtschaft Vertrauen zu
dieser Regelung schafft. Zugegeben, auch das ist keine hundertprozentige
Lösung, denn kriminelle Elemente können ja immer noch eigene Schlüsselsysteme
verwenden. Aber damit müssen wir leben. Auch beim Telefongespräch können
schließlich verbrecherische Verabredungen durch eine Art Geheimsprache
getroffen werden.
? Werden sich Unternehmen und Bürger auf eine solche Regelung einlassen?
Das weiß ich nicht. Wir müssen die Vor- und Nachteile abwägen und
endlich eine zielführende Diskussion über den Einsatz von Verschlüsselungsverfahren
beginnen. Es reicht nicht, Verbote zu fordern. Ich verlange konkrete Modelle,
die einen Ausgleich schaffen zwischen den legitimen Eingriffswünschen des
Staates auf der einen und dem Bedürfnis der Wirtschaft nach Rechtssicherheit
auf der anderen Seite. Wenn wir dann zum Entschluß gelangen, daß die Nachteile
- vor allem, was die Wirkungen auf den internationalen Wettbewerb anbelangt
- überwiegen, sollten wir es seinlassen.