Cybersicherheit im Jahr des Schweins. Dunkle und helle Seite der Macht

Ob anlässlich der Beinaheverhaftung von Phil Zimmermann, Erfinder von Pretty Good Privacy (PGP), in den 1990er-Jahren oder Enthüllungen von Edward Snowden zu den Abhör- und Überwachungspraktiken der NSA neueren Datums: ein Déjà-vu-Effekt setzt ein.

„Twenty years ago …“ – mit diesen Worten beginnt die Studie „Keys under Doormats“[1], mit der im Jahr 2015 namhafte Kryptologen und IT-Sicherheitsexperten angesichts der Pläne der Regierungen, Hintertüren (Backdoors) in Software und Hardware einzubauen, auf die Gefahren und Risiken für die Sicherheit aufmerksam machten. Unter den Autoren sind Namen, die legendäre Verschlüsselungsalgorithmen in Erinnerung bringen: Bruce Schneier, Ross Anderson, Whitfield Diffie, Ronald Rivest. Die Worte beziehen sich auf die frühere Studie fast derselben Autoren, „The risks of key recovery, key escrow, and trusted third-party encryption“[2], in der schon einmal im Jahr 1997 und in aller Ausführlichkeit auf die Gefahren der Aufweichung der Verschlüsselung hingewiesen wurde.

Es wird debattiert, seit nicht weniger als dreißig Jahren, wie die Teilnehmer der Diskussion „Mehr Sicherheit durch weniger Kryptographie?“ bei German Chapter der Internet Society e. V. (ISOC.de) am 24.11.2019 in Berlin[3] nachrechneten. Argumente und Gegenargumente werden ausgetauscht, Experten angehört und Lösungen vorgeschlagen. Ob im Virtuellen Ortsverein (VOV), der bereits in den Neunzigern die Möglichkeiten des Internets für die politische Arbeit erproben wollte, in der Enquetekommission des Bundestages, die im Jahr 1998 in ihrem Schlussbericht festhielt, dass Straftaten in Computernetzen „nur vermieden werden [können], wenn die Vertraulichkeit der Kommunikation mittels sicherer Verschlüsselung gewährleistet ist“,[4] oder im Innenausschuss des Bundestages, wo im April 2019 Sachverständige aus Wirtschaft, Wissenschaft und Organisationen der Zivilgesellschaft zum Thema IT-Sicherheit angehört wurden[5].

Passwörter sind sicher. Aber …

Die Kryptodebatte entflammte in Deutschland abermals mit einer neuen Kraft, nachdem Pläne der Bundesregierung, Hintertüren bzw. nun auch Vordertüren (Frontdoor) in die Software und/oder in netzfähige Gerätschaften einzubauen, bekannt wurden. Hinzu kamen: der neue Entwurf des IT-Sicherheitsgesetzes (ITSiG 2.0) und die Novellierung des Netzdurchsetzungsgesetzes (NetzDG). Mit den neuen Gesetzen sollten die Behörden, das Militär, Polizei oder Geheimdienste mehr und neue Befugnisse und Kompetenzen eingeräumt, den Unternehmen weitere bzw. erweiterte Pflichten auferlegt und damit aber auch weitere Rechte übertragen werden. Wobei die Freiheiten und demokratischen Rechte der Bürger immer weiter ausgehöhlt werden, klagen die Kritiker.

„Unser Gesetz schafft keine neuen Befugnisse. Wir sorgen lediglich für ein rechtsstaatlich klares Verfahren und dafür, dass Auskunftsverlangen durch Richter genehmigt werden muss“, warb die Bundesjustizministerin Christiane Lambrecht für das neue Gesetz, das u. a. den sozialen Netzwerken die Meldepflicht über „Morddrohungen und Volksverhetzungen“ direkt an das BKA (Bundeskriminalamt) auferlegen möchte. „Passwörter müssen auch künftig verschlüsselt gespeichert werden, und das ist gut so“, versuchte die Ministerin, mit einer Twitter-Botschaft die Netzgemeinde zu beruhigen. Und erntete für diese – nicht nur fachlich – bedenkliche Aussage einen Shitstorm. Es stünde in dem Gesetzesentwurf aber nicht so, wurde sie in einem Twitter-Kommentar berichtigt.

Dass verschiedene, auch kritische Fachmeinungen u. a. in den sozialen Medien geäußert werden dürfen, ist wichtig – aber nicht immer erwünscht. Die, wenn auch „(begrenzte) öffentliche Debattenkultur und Gesprächsbereitschaft der Verantwortlichen“ lobte in seinem schriftlichen Statement zur Anhörung IT-Sicherheit im Innenausschuss des Bundestages der Sachverständige Dr. Sven Herpig von der Stiftung Neue Verantwortung und bewertete sie „im internationalen Vergleich als positiv“[6]. Wie er allerdings später in der Sitzung des Innenausschusses bemerken musste, würde das Wissen um und die Beteiligungsmöglichkeiten der Zivilgesellschaft bei dem Thema IT-Sicherheit inzwischen massiv davon abhängen, ob Gesetzesentwürfe ins Internet geleaked werden.[7] Ein Wink in Richtung einer weiteren Gesetzesinitiative der Bundesregierung, des IT-Sicherheitsgesetzes (ITSiG 2.0), dessen Referentenfassung einige Tage vor der Anhörung online durchgesickert war.

Das Gesetz, das nicht kam

Ginge es nach dem Innenministerium, hätte die Öffentlichkeit frühestens im Sommer 2019 die Inhalte des Gesetzesentwurfes – vom „Heimatminister“ „Internet-Sicherheitsgesetz“ genannt – erfahren dürfen, bevor der Bundestag diesen, ebenfalls noch im Sommer, beschließen wollte. Das Durchsickern der Referentenfassung brachte nicht nur die Organisationen der Zivilgesellschaft und Medien, sondern auch Politiker der Opposition auf den Plan. Der Termin für den Beschluss im Bundestag wurde nun von Ende des Jahres 2019 auf das erste Halbjahr 2020 verschoben. Vorerst, jedenfalls.

Das IT-Sicherheitsgesetz enthält zwar Regelungen dazu, was privatwirtschaftliche Unternehmen zu tun und welche Pflichten sie gegenüber dem Staat haben – aber sagt nur sehr wenig darüber aus, was der Staat und seine Behörden für den Bürger und die Unternehmen tun müssen oder auch nur selbst tun sollten, meinen Kritiker. Und das den Behörden, darunter der Polizei, dem BKA oder dem Verfassungsschutz, mit jeder Novellierung erweiterte und teilweise neue Kompetenzen, zusätzliche Gelder und Handlungsmöglichkeiten einräumen möchte, mit denen, so die Befürchtung, nur die staatliche Kontrolle ausgebaut und die Anonymität sowie bürgerliche Freiheiten weiter ausgehebelt würden. Die Behörden, riet deswegen Klaus Landefeld vom eco-Verband der Internetwirtschaft e. V. bei ISOC.de, täten besser daran, die bereits bestehenden Möglichkeiten und Befugnisse wirklich zu nutzen, statt immer wieder nach neuen zu rufen.

Sicherheit. Ein Widerspruch

Nicht nur in der Fachszene werden die neuen Gesetzesinitiativen der Bundesregierung kritisch beäugt. Auch in der Opposition nimmt das Unbehagen zu: „Man versteht es sehr gut, uns zu verwirren“, fasste der FDP-Abgeordnete Manuel Höferlin bei ISOC.de die Reaktionen der Regierung auf die Anfragen seiner Partei zu Cybersicherheit und Verschlüsselung zusammen. Die Fraktion der FDP setze sich mit ihrem Antrag „Digitalisierung ernst nehmen – IT-Sicherheit stärken“ (BT Drs. 19/7698) [8] gegen gesetzliche Beschränkungen oder Verbote kryptografischer Sicherungssysteme und für Ende-zu-Ende-Verschlüsselung ein. Von „Deutschland soll Verschlüsselungsweltmeister werden“ bis hin zu „die Daten werden nur für einen Bruchteil der Sekunde umgeschlüsselt“, wenn es um staatliche Eingriffe in vertrauliche Kommunikation geht, würden die „teilweise absurden“ Antworten der Bundesregierung auf ihre Initiative lauten.

Die Fraktion der FDP forderte in ihrem Antrag die Bundesregierung auf, „sich gegen gesetzliche Beschränkungen oder Verbote kryptografischer Sicherungssysteme auszusprechen; den Einsatz von sogenannten Backdoors zu verurteilen und eine staatliche Beteiligung an digitalen Grau- und Schwarzmärkten für Sicherheitslücken abzulehnen“[9]. Noch dezidierter war die Forderung der Fraktion DIE LINKE im Antrag „Umsetzung effektiver Maßnahmen für digitale Sicherheit statt Backdoors“[10] (19/7705): „[…] den Einsatz von Staatstrojanern zu unterbinden und Sicherheitslücken wie Backdoors oder Zero-Day-Exploits weder zu nutzen noch anzuschaffen“[11]. Man forderte, „sogenannte Hackbacks durch staatliche Institutionen auszuschließen und zu ächten“.

Sowohl die Fraktion DIE LINKE als auch die Sachverständige im Innenausschuss bemängelten das Fehlen einer erkennbaren Sicherheitsstrategie: Ein „schlüssiges Konzept einer einheitlichen Strategie für mehr digitale Sicherheit“[12] wurde gefordert, und der Sachverständige Sven Herpig bezeichnete Deutschland in Sachen IT-Sicherheit derzeit als schlicht „strategieunfähig“. „Die getroffenen Regelungen, Ausgestaltungen und Maßnahmen des Sicherheitsmanagements unterlaufen einander teilweise selbst“, stellte die Fraktion DIE LINKE fest, „[s]olange der Widerspruch, zwischen der scheinbaren Notwendigkeit des Besitzes von Sicherheitslücken einerseits und dem Willen, IT-Systeme durch die Schließung von Sicherheitslücken zu härten andererseits, nicht aufgelöst ist, werden die eigenen Anstrengungen stets konterkariert.“

Im Zeichen des Schweins: Politik contra Hacktivisten

„Am glücklichsten […] wird dieses Jahr derjenige sein, der sich für soziale Einrichtungen oder die Gemeinschaft einsetzt[13]“, wurde für das Jahr des Schweins im chinesischen Horoskop prognostiziert. Im Jahr des Schweins würde es aber noch viel mehr um den Zusammenhalt in der Gemeinschaft, um Teamgeist und fröhliches Zusammensein gehen. Eine, wie es scheint, günstige Zeit, für den Aufstieg neuer bürgerlicher Initiativen und Aktivitäten – aber auch das Wiederbeleben der früher legendären, doch in den letzten zwanzig Jahren langsam in Bedeutungslosigkeit abdriftenden Organisationen, wie der Chaos Computer Club (CCC), Gesellschaft für Informatik oder Internet Society (ISOC). Diese erfahren nun eine Renaissance, einen Schub an neuen Mitgliedern und „Nerds“, die sich für die Arbeit, für den Einsatz für mehr Verschlüsselung, das Recht auf Anonymität und Freiheit des Internets aber auch für populäre Themen, wie „Green IT“ – und gegen Überwachung und Kontrolle –, engagieren wollen.

Der traditionelle alljährliche Chaos Communication Congress im Dezember 2019 beherbergte 17.000 Hacker, die nach Angaben des CCC – unter Beachtung strenger, teils selbst auferlegter Klimavorgaben – elf Tonnen CO₂ produzierten[14], die Verspätungsstatistik der Deutschen Bahn nochmals nachrechneten und korrigierten, über Sinnhaftigkeit freiwilliger Selbstverpflichtungen zur KI-Ethik diskutierten – und auch sonst recht viel Spaß hatten. Wer sich auf dem Congressgelände aufhält, der ist gut beraten, nicht nur sein Bluetooth und WLAN abzuschalten, sondern am besten gleich alle internetfähigen Geräte zu Hause zu lassen, um nicht versehentlich selbst vom Hacker zum Gehackten zu werden.

Auch Politiker buhlen wieder um die Aufmerksamkeit und Anerkennung der Fachszene. Nachdem die Bundesregierung mit dem sogenannten Hackerparagrafen im Strafgesetzbuch auch die Aktivitäten der Hacktivisten zu kriminalisieren versuchte, herrschte lange Zeit „Funkstille“ zwischen den Politikern und den Netzaktivisten. Die neue SPD-Vorsitzende, Saskia Esken, war zu Gast beim diesjährigen CCC-Kongress und der Bundesdatenschutzbeauftragte, Ulrich Kelber (auch SPD), ebenfalls. Sein Vortrag stieß auf positive Resonanz.[15] „Da macht eine Diskussion Sinn, der Mann ist Informatiker“, soll einer der Teilnehmer den Journalisten gesagt haben.[16] Es sei schön auf der hellen Seite der Macht, warb Kelber für neue Mitarbeiter auf dem Kongress, offenbar annehmend, dass sich seine Zuhörer der dunklen Seite zugewandt fühlen.

Ob die Sterne für das kommende Jahr der Ratte Gutes oder Schlechtes verheißen: So richtig scheint man einander doch noch nicht über den Weg zu trauen.

Aleksandra Sowa, Natalia Marszalek

[1] https://www.schneier.com/academic/paperfiles/paper-keys-under-doormats-CSAIL.pdf (letzter Zugriff 7.7.2015).
[2] H. Abelson, R. N. Anderson, S. M. Bellovin, J. Benaloh, M. Blaze, W. Diffie, J. Gilmore, P. G. Neumann, R. L. Rivest, J. I. Schiller, and others, „The risksof key recovery, key escrow, and trusted third-party encryption“, 1997. http://academiccommons.columbia.edu/catalog/ac:127127 (letzter Zugriff 27.11.2019).
[3] https://www.isoc.de/2019-11/ (letzter Zugriff 4.12.2019).
[4] BT Drs. 13/1104. 1998. Schlussbericht der Enquete-Kommission Zukunft der Medien in Wirtschaft und Gesellschaft ‒ Deutschlands Weg in die Informationsgesellschaft*) zum Thema Deutschlands Weg in die Informationsgesellschaft, http://dip21.bundestag.de/dip21/btd/13/110/1311004.pdf, S. 16 (172) (letzter Zugriff 1.1.2020).
[5] https://www.bundestag.de/dokumente/textarchiv/2019/kw15-pa-inneres-630106 (letzter Zugriff 1.1.2020).
[6] Stellungnahme – Dr. Sven Herpig, Stiftung Neue Verantwortung – „IT-Sicherheit“ – BT-Drucksachen 19/19/7698, 19/7705, 19/1328 – Ausschussdrucksache 19(4)255 A, https://www.bundestag.de/resource/blob/633906/fb324d240672537e93d53c50171a2388/A-Drs–19-4-255-A-data.pdf, S. 7.
[7] Permalink zur Videoaufnahme: https://dbtg.tv/cvid/7340552 (letzter Zugriff: 26.4.2019).
[8] BT Drs. 19/7698 – Antrag: Digitalisierung ernst nehmen – IT- stärken – 13.02. Sicherheit 2019, http://dip21.bundestag.de/dip21/btd/19/076/1907698.pdf (letzter Zugriff 1.1.2020).
[9] BT Drs. 19/5764.
[10] BT drs. 19/7705 – Antrag: Umsetzung effektiver Maßnahmen für digitale Sicherheit statt Backdoors – 13.02.2019, http://dip21.bundestag.de/dip21/btd/19/077/1907705.pdf (letzter Zugriff 1.1.2020).
[11] BT Drs. 19/7705.
[12] BT Drs. 19/7705.
[13] https://www.schicksal.com/Astrologie/Chinesisches-Horoskop/Jahr-des-Schweins (letzter Zugriff 1.1.2020).
[14] https://www.heise.de/newsticker/meldung/36C3-Hackerkongress-produziert-mehr-als-11-Tonnen-CO2-4625063.html (letzter Zugriff 1.1.2020).
[15] https://www.heise.de/newsticker/meldung/36C3-Nicht-Daten-sind-der-Rohstoff-des-21-Jahrhunderts-sondern-Vertrauen-4624834.html (letzter Zugriff 1.1.2020).
[16] Welchering, P. 2019. „Wie enttäuschte Hacker die neue SPD-Chefin empfangen“, in ZDFheute, 29.12.2019, https://amp.zdf.de/nachrichten/heute/digital-dialog-politiker-auf-dem-hacker-kongress-100.html (letzter Zugriff 1.1.2020).