Telemedicus Logo
Weiterempfehlen Drucken

Erst Cameron, dann Obama, jetzt auch de Maiziere: Vermehrt fordern Politiker westlicher Staaten in diesen Tagen ein „Verschlüsselungsverbot“. Oder, genauer: Nicht jede Verschlüsselung soll untersagt werden. Eine Verschlüsselung, die aber auch den Staat ausschließt, insbesondere also die Ende-zu-Ende-Verschlüsselung, soll nach Auffassung dieser Politiker zukünftig verboten sein. Keine Verschlüsselung also mehr, wenn der Staat keine „Backdoor” hat und auf die ein oder andere Weise mitlesen kann.

Betrachtet man diese Forderung aus rechtlicher Perspektive, wirkt sie auf den ersten Blick unproblematisch. Es gibt aus verfassungs-, bzw. grundrechtlicher Perspektive kein schrankenloses „Recht auf Verschlüsselung“. Zwar schützt das Telekommunikationsgeheimnis (Art. 10 GG, Art. 8 Abs. 1 EMRK, Art. 7 EU-GrCh) die Fernkommunikation vor staatlicher Einsichtnahme. Aber dieses Grundrecht ist eben nicht schrankenlos gewährleistet. Art. 10 GG sagt:
(1) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.

(2) Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutze der freiheitlichen demokratischen Grundordnung oder des Bestandes oder der Sicherung des Bundes oder eines Landes, so kann das Gesetz bestimmen, daß sie dem Betroffenen nicht mitgeteilt wird und daß an die Stelle des Rechtsweges die Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane tritt.

Ähnliches gilt auch für die Verankerungen des Fernmeldegeheimnisses in Art. 8 EMRK und Art. 7 EU-GrCh: Auch dort ist das Telekommunikationsgeheimnis kein schrankenloses Grundrecht, staatliche Eingriffe sind zulässig. Wenn die rechtlichen Voraussetzungen eingehalten sind, dann darf der Staat also Fernkommunikation mitlesen bzw. mithören.

Verbot technischer Schutzwaffen?


Dass der Staat verhindern will, dass ein einschränkbares Grundrecht auf technischer Ebene zum schrankenlosen Grundrecht wird, ist insofern verfassungsrechtlich unbedenklich. Der Staat darf seine Schranken-Zugriffsmöglichkeit rechtlich absichern. Es handelt sich um eine Präventivmaßnahme, die erst dann zur Anwendung kommt, wenn Eingriffe in das betreffende Grundrecht zulässig sind. Mit derselben Rechtfertigung kann der Staat z.B. Versammlungsteilnehmern untersagen, Schutzwaffen wie Körperpanzerung zu tragen.

Auch aus einer eher rechtsphilosophischen Perspektive ist an dem Vorhaben von Cameron, Obama und de Maiziere nichts auszusetzen. Wer (wie z.B. Edward Snowden) Verschlüsselung als Abwehrmaßnahme gegen staatliche Übergriffe propagiert, mag inhaltlich damit Recht haben. Eine gegen den Staat gerichtete „digitale Selbstverteidigung“ ist verfassungsrechtlich aber auf Ebene des Widerstandsrechts (Art. 20 Abs. 4 GG) einzuordnen. Solche Maßnahmen können gerechtfertigt und zulässig sein; aber nur, wenn demokratische Grundwerte bedroht sind und der Staat selbst diese nicht mehr verteidigt. Einen solchen „Verteidigungsfall der Demokratie“ kann man in der aktuellen Situation sicherlich diskutieren – im Ergebnis muss man ihn aber ablehnen (so auch Brüggemann, in: Telemedicus (Hrsg.), Überwachung und Recht, 165, 183 f. [PDF]).

Die Frage eines „Verschlüsselungsverbotes“ ist damit eine des einfachen Rechts – und hier hat der Staat weitgehende Gestaltungsfreiheit. Er kann weitgehend selbstständig entscheiden, was er für legal oder für illegal erklärt. Ebenso kann er (relativ) frei wählen, welche Methoden der Rechtsdurchsetzung er wählt.

Rechtsdurchsetzung ist ein Problem


Gerade die Rechtsdurchsetzung ist aber das Problem. Eine effektive Durchsetzung eines „Verschlüsselungsverbotes“ wäre technisch nur umsetzbar, entweder indem der Staaat die Kommunikationsnetze flächendeckend überwachen und verschlüsselte Inhalte ausfiltern lässt – oder indem er generell die Nutzung von Verschlüsselungssoftware untersagt, die keine staatliche Backdoor offen lässt, und dieses Verbot flächendeckend durchsetzt. Beide Maßnahmen sind faktisch kaum umsetzbar und potentiell mit hohen Kosten und Grundrechtseingriffen verbunden.

Für eine flächendeckende Internetfilterung müsste für viel Geld die entsprechende Infrastruktur errichtet werden – und diese könnte als „Zensur-Infrastruktur“ dann schnell zweckentfremdet werden. Beispiele wie die Türkei, wo Präsident Erdogan solche Filtertechnik als Teil innenpolitischer Auseinandersetzungen einsetzt, zeigen wie naheliegend diese Befürchtungen sind.

Und auch die Kontrolle über Software auf den Endgeräten setzt einen nahezu totalitären Anspruch des Staates voraus. Hinzu kommt, dass Verschlüsselung ja nicht nur terroristischen Zwecken dient, sondern eine unverzichtbare und technisch übliche Maßnahme der IT-Sicherheitstechnik ist. Fast jede Fernkommunikation mit sensiblen Daten wird durch Verschlüsselung abgesichert: Jede Mobilfunkverbindung, jeder Aufruf einer Webseite beim Onlinebanking, (fast) jede Anmeldung auf passwortgeschützten Seiten. Wenn der Staat verlangt, dass in solche Verschlüsselungsverbindungen zwingend staatliche „Hintertüren“ einzubauen sind, schwächt er die IT-Sicherheit insgesamt – auf Kosten der Bürger. Wie Cory Doctorow schon zum Vorschlag von Cameron treffend zusammengefasst hat:

This, then, is what David Cameron is proposing:

• All Britons' communications must be easy for criminals, voyeurs and foreign spies to intercept
• Any firms within reach of the UK government must be banned from producing secure software
• All major code repositories, such as Github and Sourceforge, must be blocked
• Search engines must not answer queries about web-pages that carry secure software
• Virtually all academic security work in the UK must cease -- security research must only take place in proprietary research environments where there is no onus to publish one's findings, such as industry R&D and the security services
• All packets in and out of the country, and within the country, must be subject to Chinese-style deep-packet inspection and any packets that appear to originate from secure software must be dropped
• Existing walled gardens (like Ios and games consoles) must be ordered to ban their users from installing secure software
• Anyone visiting the country from abroad must have their smartphones held at the border until they leave
• Proprietary operating system vendors (Microsoft and Apple) must be ordered to redesign their operating systems as walled gardens that only allow users to run software from an app store, which will not sell or give secure software to Britons
• Free/open source operating systems -- that power the energy, banking, ecommerce, and infrastructure sectors -- must be banned outright.

Es spricht insofern vieles für die Annahme, dass die zwingende Einführung von „Backdoors“ für die Bürger real eher einen Verlust statt einen Gewinn an Sicherheit bedeuten würde. Die Maßnahme wäre dann (je nach Abwägungsmaßstab) aus verfassungsrechtlicher Sicht entweder bereits ungeeignet oder zumindest unverhältnismäßig. Es käme insofern aber vor allem auch auf die Einzelheiten an. Und über abstrakte politische Ankündigungen hinaus haben Obama, Cameron und de Maiziere sich bisher noch nicht konkretisiert.

Cory Doctorow zur Umsetzbarkeit eines Verschlüsselungsverbots.
Zeit Online zu „Cryptowars”.
Sebastian Brüggemann hat im Telemedicus-Tagungsband zu „Digitaler Selbstverteidigung” geschrieben (ab S. 165).
Anzeige:

Kommentare

* max 27.01.2015 12:08
Sie schreiben, dass Backdoors Verfassungsrechtlich bedenklich ist. Ich halte das für eine Untertreibung, denn das Bundesverfassungsgericht hat in einem Urteil ein Grundrecht geschaffen, dass nicht im Grundgesetz steht. "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274

Somit kann der Staat überhaupt nicht flächendeckend Backdoors in Software einbauen lassen, denn das würde die Intergität von informationstechnischer Systeme verletzen. Die Anwendung von Backdoors im Einzelfall mag vielleicht anders gesehen werden, auch wenn ich hier sehr große Probleme sehe wirklich gerichtsfeste Beweise zu erzeugen und im Gegenzug nachhaltig zu beweisen, dass bestimmte Aktionen von einem Rechner kamen und das überhaupt die Zielperson diesen Rechner bedient hat. Ein Bildbeweis einer Verkehrsüberwachungskamera ist schließlich auch nicht verwertbar wenn der Fahrer nicht zu erkennen ist.
* SAS 27.01.2015 16:52
@Max: Das sog. IT-Grundrecht ist abgeleitet aus dem allgemeinen Persönlichkeitsrecht und somit ebenfalls nicht schrankenlos gewährleistet. Auch in die Integrität informationstechnischer Systeme darf der Staat eingreifen, wenn er sich dabei auf legitime Zwecke berufen kann und das Verhältnismäßigkeitsgebot einhält.

Ob die Überlegungen zum "Verschlüsselungsverbot" auf Backdoors in Software hinauslaufen oder eher auf andere Maßnahmen (z.B. das Verbot bestimmter Software), wird man erst noch sehen. Auf den ersten Blick scheint es mir eher um das Telekommunikationsgeheimnis zu gehen, weniger um das IT-Grundrecht.
* Don Diego 27.01.2015 21:24
"Betrachtet man diese Forderung aus rechtlicher Perspektive, wirkt sie auf den ersten Blick unproblematisch. "

Das ist doch vollkommener Schwachsinn!
Natürlich ist problematisch!
Siehe Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG
Das ständig wiederholte Totschlag-Argument Gefahrenabwehr ist hierbei absolut nicht zulässig, denn damit könnte man letztlich ALLES rechtfertigen (Folter, Mord, Terror, Diktatur etc.).
* X.S. 13.08.2016 23:34
"Ähnliches gilt auch für die Verankerungen des Fernmeldegeheimnisses in Art. 8 EMRK und Art. 7 EU-GrCh: Auch dort ist das Telekommunikationsgeheimnis kein schrankenloses Grundrecht, staatliche Eingriffe sind zulässig. Wenn die rechtlichen Voraussetzungen eingehalten sind, dann darf der Staat also Fernkommunikation mitlesen bzw. mithören."

Hier sehe ich jedoch eine Disanalogie:
Ein Verbot von Ende-zu Ende-Verschlüsselung käme in etwa einem Verbot gleich, sich in Briefen und Postkarten einer (privaten) Geheimschrift zu bedienen, sofern man dem Staat nicht zuerst offenbart hat, wie diese zu dechiffrieren ist. Würde ich mich mit Ihnen also auf eine Geheimschrift einigen und Ihnen einen Brief in dieser Schrift schicken, so würde dies demnach bereits genügen, damit ich mich strafbar machen würde.

Dies ist aber etwas grundsätzlich anderes, als wenn der Staat bei begründetem Verdacht einzelne Briefe mitliest. Nicht das Recht des Staates, unter besonderen Bedingungen die vertrauliche Kommunikation der Bürger zu verfolgen, sondern das Recht der Bürger, die Vertraulichkeit ihrer Kommunikation aktiv zu schützen, wäre hier betroffen.

Nichts anderes wäre es aber - zumindest grundsätzlich betrachtet -, wenn bei der digitalen Kommunikation keine Verschlüsselung mehr durchgeführt werden dürfte, sofern der Staat keinen Schlüssel hat. Der Staat würde nicht in die Vertraulichkeit der Kommunikation eindringen, sondern eine (im eigentlichen Sinne) vertrauliche Kommunikation einfach verbieten.

Abgesehen von diesen grundsätzlichen Überlegungen sprechen aber natürlich auch pragmatische Gründe gegen ein solches Verbot, wie Sie ja auch ausführen. Die ganze staatliche Überwachung der Telekommunikation scheint ohnehin hochgradig ineffektiv zu sein, so dass (materielle und immaterielle) Kosten und Nutzen in keinem Verhältnis stehen. So argumentiert jedenfalls auch der bekannte Sicherheitsexperte Bruce Schnneier:

"We have no evidence that any of this surveillance makes us safer. NSA Director General Keith Alexander responded to these stories in June by claiming that he disrupted 54 terrorist plots. In October, he revised that number downward to 13, and then to 'one or two.' At this point, the only 'plot' prevented was that of a San Diego man sending $8,500 to support a Somali militant group. We have been repeatedly told that these surveillance programs would have been able to stop 9/11, yet the NSA didn't detect the Boston bombings—even though one of the two terrorists was on the watch list and the other had a sloppy social media trail. Bulk collection of data and metadata is an ineffective counterterrorism tool."
https://www.schneier.com/essays/archives/2014/01/how_the_nsa_threaten.html

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.