Die Bundesregierung treibt immer wieder national als auch EU-weit die Kuh durchs Dorf, dass die Verschlüsselung nicht dazu führen darf, dass Staatsbehörden nicht mehr überwachen können. Und natürlich führt sie dazu Terrorismus und Kinderpornografie an. Was auch sonst. Gequälte Kinder und Angst vor Bomben geht immer.
Ich will hier, soweit mir das möglich ist, nicht politisch argumentieren. Auch wenn ich gerne wüsste, warum die Unternehmen hier so still waren. Oder die Grünen. Schauen wir uns einfach an, was das bedeutet.
Reden wir kurz über Verschlüsselung:
Symmetrisch: Sie und Ihr Kommunikationspartner verwenden denselben Schlüssel. Sie legen einen Brief in eine Box, verschließen diese und der Empfänger kann die Box nur mit dem Schlüssel öffnen, mit dem Sie sie verschlossen haben. Problem: Wie kommt der Partner an den identischen Schlüssel oder eine Kopie?
Asymmetrisch: Jeder von Ihnen beiden hat zwei Schlüssel. Den einen können Sie allen Menschen geben. Der öffentliche Schlüssel. Dieser erlaubt es anderen die Box mit dem Brief zu verschließen, aber nicht zu öffnen. Wie beim Briefkasten, der Schlitz ist offen, jeder kann etwas hineinwerfen. Doch den Brief können nur Sie, mit Ihrem privaten Briefkastenschlüssel öffnen. D.h. Ihr privater Briefkastenschlüssel ist heilig, muss gut geschützt und darf nicht kopiert werden. Wer diesen hat kann Ihren Briefkasten leeren und Ihre Arztergebnisse und Steuerbescheide einsehen.
Die Regierung hat nicht spezifiziert, welche Art von Verschlüsselung sie meint. Daher müssen wir von allen ausgehen. Sie hat ausserdem vor allem die Messenger im Auge. Diese verwenden das asymmetrische Verfahren. D.h. die Regierung will Ihren privaten Schlüssel. Zu aller Ihrer Kommunikation, mit wem auch immer. Oder sie will einen Generalschlüssel von den Schlossanbietern, also Threema, WhatsApp, usw.
Die Firmen dieser Software sitzen nicht in der EU. Da wird es schwierig als Deutschland oder EU irgendwelche Gesetze durchzusetzen. Es käme einem Softwareverbot gleich. Das Deutschland, das davon lebt, alle seine Produkte in die ganze Welt zu verkaufen. Aber lassen wir das.
Fassen wir das ganze weiter. Eine Hintertür in die Verschlüsselung, alle Verschlüsselung, bedeutet keine sichere Webkommunikation (https) mehr.
Online-Banking? Würde ich nicht mehr machen, wenn es per Gesetz Lücken in der Verschlüsselung gäbe.
Ihre Steuererklärung mit Elster direkt an das Finanzamt? Würde ich auch nicht mehr machen. Viel zu unsicher.
Online-Shopping? Niemals. Also wieder in die Städte, die ja gerettet werden müssen, aber so?
Wir leben in einer Pandemie, während ich das schreibe. Die ganze Welt diskutiert Homeoffice und Homeschooling. Wer Homeoffice macht, hat vielleicht schon gesehen, dass man auf ein Symbol klicken oder eine Applikation starten muss. Das ist ein sog. privates virtuelles Netzwerk (VPN). Das verschlüsselt die Verbindung von Ihnen zu Hause in die Firma und stellt sicher, dass sie darüber nur in die Firma gelangen. Sozusagen ein Tunnel von Ihnen zum Firma. Diese Verbindung wäre, wenn es nach der Regierung und der EU geht, nicht mehr sicher. Ich kann mir nicht vorstellen, dass Firmen, gerade Finanzinstitute oder andere kritische Branchen, und das kann wegen Wirtschaftsspionage jede sein, dann noch Homeoffice anbieten. Zumindest nicht für viele Mitarbeiter.
Ein Vorteil hätte es: Ransomware wäre dann auch illegal. Denn diese verschlüsselt Ihre Daten und erpresst Geld. Gut, die Hacker, die nicht in der EU sitzen, wird das kaum kümmern. Auch andere Hacker würde das kaum kümmern. Im Gegenteil, im Wissen, dass in jeder Software auf jeden Fall (!!!!) Lücken sind, wäre ein grosser Motivator diese zu suchen.
Heute suchen die Hacker und Staaten Lücken und wissen nicht ob sie welche finden und ob die gefundenen nutzbar sind. Und sie finden immer wieder welche. Der Hack auf den Bundestag? Vergessen. Das SolardWinds-Drama? Uninteressant. Hacker finden Lücken in Software, die gar keine eingebaut haben sollte. Wenn also per Gesetz Lücken in der Sicherheit sein sollen, dann wissen die Hacker, das sie etwas finden werden. Weil es staatlich garantiert ist.
Ausserdem stellt sich dann die Frage: Was ist ein Bug und was ist eine eingebaute Sicherheitslücke? Kann der normale Anwender das unterscheiden?
Und wer haftet dafür, wenn meine Bankdaten wegen einer staatlich verordneten Sicherheitslücke verloren gehen und mein Konto leer geräumt wird? Meine Bank? Ich? Der Staat? Wird mir das über die Steuer dann wieder gut geschrieben?
Das Ansinnen der Politiker zeigt auf dramatische Weise, wie wenig sie von IT, Sicherheit, Datenschutz usw. verstehen und wie völlig egal ihnen das ist. Es wird über Angst regiert. Völlig egal, ob das praktikabel oder sinnvoll ist oder auch nur ansatzweise den gewünschten Nutzen bringt.