Wie man die Verschlüsselungsdebatte gewinnt - Grundlagen für Politiker

Liebe Politiker,

die kommenden Wahlen im Blick und nach einigen Kommentaren von vielen von Euch sowie allen Seiten des politischen Spektrums, die einen zusammenzucken ließen, dachten wir uns, dass es an der Zeit ist ein wenig über Verschlüsselung zu reden.

Zuallererst möchten wir ein wenig dazu sagen, was Ihr nicht tun solltet:

• Zum Boykott von Unternehmen aufrufen, weil sie die Daten ihrer Kunden sogar vor dem eigenen Unternehmen selbst schützen.
• Dinge sagen wie "Wir werden ein Projekt der Größe des Manhattan Projects dazu entwickeln" (das, wir erinnern uns, zur Entwicklung einer Waffe führte, die Hundertausende das Leben kostete, den Kalten Krieg erzeugt hat und bis heute für globale Instabilität und Unsicherheit sorgt).
• Sagen, dass es keinen Ort geben sollte, zu dem die Regierung keinen Zugang hat, denn dies bedeutet, dass es keinen Ort geben wird, zu dem auch andere Regierungen keinen Zugang haben.
• Ignorieren, dass auch Eure Daten genauso Sicherheit brauchen wie die der Steuerzahlen, die Euch bezahlen.
• Ignorieren, dass auch Eure eigene Regierung Sicherheit besser sicherstellen muss und Euch unter Umständen Informationen vorenthält.
• Unternehmen dazu auffordern "die Schlüssel auszuhändigen", wenn Ihr über Ende-zu-Ende-verschlüsselnde Dienste wie WhatsApp, Signal oder Telegram redet (Spoiler: sie haben auch nicht die Schlüssel, die Ihr sucht)
• Verschlüsselung als ein "Zentrales Problem im Kampf gegen den Terrorismus" darstellen und eine europäische oder weltweise Initiative hierzu fordern.
• Das Root-Zertifikat Eures Landes dazu nutzen, die eigenen Bürger auf unsichere Internetseiten zu führen.

Informationssicherheit ermöglicht Datenschutz - und damit Privatsphäre - und schützt dadurch Menschen. Verschlüsselung rettet Leben, wie Zeid Ra'ad Al Hussein, der UN High Commissioner für Menschenrechte, feststellt: "Es ist weder übertrieben noch ein Produkt der Phantasie, dass, ohne Werkzeuge zur Verschlüsselung, Leben in Gefahr sein können. In den schlimmsten Fällen führt die Fähigkeit einer Regierung, in die Smartphones ihrer Bürger einzubrechen, zur Verfolgung von Personen, die ihre grundlegenden Menschenrechte wahrnehmen." Ohne Informationssicherheit sind unsere Geräte, Dienste und Infrastrukturen einem Risiko ausgesetzt. Um es so zu sagen, dass Ihr es versteht: Steuerzahler, Eure Wirtschaft, Regierungsdienste und -werkzeuge sowie kritische Infrastruktur sind einem Risiko ausgesetzt, wenn Ihr nicht Eure Redensweise, Denkweise und die Wege, wie Ihr Eurer Geld ausgebt, ändert.

Sicherheit ist schwer. Sicherheit ist schwer. Sicherheit ist schwer. Es ist es wert, dies dreimal zu wiederholen. Sagt es bitte noch ein viertes Mal. Unternehmen machen dies permanent falsch, selbst wenn sie behaupten es richtig zu machen. Sicherheit umzusetzen ist schwierig, besondern dann, wenn Ihr versucht unauthorisierte Personen auszusperren. Auf eine wundersame Art und Weise unautorisierte Personen auszusperren, während gleichzeitig nur Offiziellen der Regierung besondere Zugänge bereitgestellt werden, die auch (wirklich immer?) nur auf richterliche Anordnung zugänglich sind, ist ein Ding der Unmöglichkeit. Wenn Ihr uns das nicht glaubt: Lest bitte diesen Bericht, der von führenden Informatikern und Sicherheitsexperten verfasst wurde.

Warum ist es so schwer? Zuallererst, weil es nicht den einen geheimen "Schlüssel" gibt, den Ihr in Euren geheimen Aktenschrank schließen könnt, um Kommunikation nur dann zu entschlüsseln, wenn es nötig ist. Die meisten verschlüsselnden Dienste nutzen Protokolle, die "Forward Secrecy" bieten, womit gemeint ist, dass immer wieder neue Schlüssel für eine Konversation erzeugt werden. Das Brechen eines einzigen Schlüssels reicht nicht, um Zugang zu zukünftiger Kommunikation zu schaffen. Das heißt, es gibt nicht nur einen, sondern eine Vielzahl an Schlüsseln pro Benutzer für jede einzelne Konversation.

Zweitens ist Kryptographie essenziell für Sicherheit. Sie wird natürlich zur Schaffung von Vertraulichkeit benutzt, aber auch zur Schaffung von Integrität und Authentizität - sodass wir uns auch sicher sein können, dass wir mit der Person oder Institution kommunizieren, die unser Gegenüber vorgibt zu sein, und wir uns auch sicher sein können, dass die Kommunikation nicht manipuliert wurde. Wer das braucht, könnt Ihr euch einfach ausmalen: Banken, die unsere Transaktionen schützen, Unternehmen, die sich gegen Betrug schützen, Beamte, die sich um die nationale Sicherheit bemühen, Menschenrechtsadvokaten und Journalisten, die sicher mit ihren Quellen reden müssen... Kryptographie wird nicht nur von Menschen zum Kommunizieren genutzt - ebenso wird es in der Maschine-Maschine-Kommunikation genutzt. Wenn Ihr Eure Software oder Eure Computer, Smartphones usw. aktualisiert, schützen kryptographische Verfahren den Download, um sicherzustellen, dass er vom Hersteller stammt, und nicht ein Stück Malware ist. In dem Moment, in dem Schlüssel mit Regierungen geteilt werden, sind solche Prozesse kompromittiert.

Lasst uns für einen Moment davon ausgehen, dass solch ein wundersamer, magischer Trick existiert, der diese ganzen Probleme umgeht - und Eure Regierung erhält einen magischen Schlüssel, um Zugang zu verschlüsselter Kommunikation zu erlangen, je nachdem wie es die Vorschriften erlauben. Hier kommt das eigentliche Problem: Wenn Eure Regierung diesen hat, werden auch andere Regierungen diesen Schlüssel wollen. Und wer kann entscheiden, welche Regierungen Zugang zu diesem magischen Schlüssel erhalten sollten und welche nicht?

Und warum sollten Benutzer weiter Plattformen nutzen, zu denen Regierungen Zugang haben? Neue Plattformen werden entwickelt werden, die das Teilen von Schlüsseln mit Regierungen verweigern. Es hat Gründe, dass Menschen auf der ganzen Welt Apps wie WhatsApp oder Signal nutzen, und nicht eine von der Regierung befürwortete. Natürlich werden auch wir nervös, wenn wir uns Gedanken machen, was diese Unternehmen mit unseren Daten tun - weshalb gut entworfene Systeme ihre eigenen Unternehmen ebenfalls von unseren sensiblen Daten mit *Ende-zu-Ende*-Verschlüsselung aussperren.

Ihr und Eure Bürger sollten fähig sein, das zu verstehen. Denn wir kennen Euch. Wir haben mit Euch geredet. Und insbesondere wissen wir, wie Ihr euch im Wahlkampf verhaltet, besonders dann, wenn Ihr in der Opposition seit. Wir wissen, dass Ihr Signal nutzt, wir wissen, dass Ihr WhatApp nutzt, wir wissen, dass Ihr Telegram nutzt, denn Ihr habt es uns gesagt. Und wir wissen, dass Ihr diese Dienste nutzt, weil Ihr daran glaubt, dass sie sicher sind. Ihr vertraut darauf, dass Eure eigene Regierung nicht Eure Nachrichten lesen kann, und Ihr vertraut darauf, dass auch andere Regierungen dies nicht können. Wenn Ihr also sagt, dass Terroristen sich nirgends verstecken können sollten, erinnert Euch bitte daran, uns zu sagen, wo Ihr gedenkt Euch zu verstecken, wenn Ihr Euren Wahlkampf organisiert. Und dann verratet uns bitte, wo sich Aktivisten in anderen Ländern verstecken sollen, wenn sie versuchen aus ihrem eigenen zu flüchten.

Und Ihr solltet wissen, dass die Öffentlichkeit mit Euch und uns in diesen Themen übereinstimmt. In einer Umfrage haben zwei Drittel der europäischen Wähler angegeben, dass sie "fähig sein sollten ihre Nachrichten und Telefonanrufe zu verschlüsseln, sodass nur noch Adressaten fähig sind, diese zu [entschlüsseln]". Das ist an sich eine gute Sache und Ihr solltet darüber froh sein. Also bitte schraubt nicht das Niveau herunter, sobald es um Verschlüsselung geht - ihr lasst die Bürger glauben, dass sie weniger sicher sein wollen.

Wenn Ihr aber tatsächlich etwas verbessern und die Sicherheit verbessern wollt, dann haben wir hier ein paar Ideen, die Ihr in Betracht ziehen könntet.

In genau diesem Moment gibt Eure Regierung Geld aus, um Sicherheit zu destabilisieren. Ihr hackt Unternehmen, Infrastruktur und Geräte. Ihr verlangt sogar, dass Daten über unschuldige Tätigkeiten erhoben werden, verpflichtet dazu, diese zu speichern, verlangt von Unternehmen auffälliges Verhalten zu dokumentieren, obwohl genau diese Unternehmen gehackt werden. Eure Regierung findet Sicherheitslücken in Systemen, die wir jeden Tag nutzen, hält diese auf Halde und dann werden genau diese geleakt. Wenn Ihr also nur ein wenig mehr über defensive Sicherheit nachgedacht hättet, dann wäre Eure Regierung nicht so eine Gefahr für die Stabilität und Sicherheit des Internets.

Lasst und außerdem daran erinnern, dass Eure Nachrichtendienste bereits jetzt Zugang zu massenweise Daten haben. Fast jede Aktivität, die wir im modernen Leben ausüben, generiert eine Spur von Daten. Es sollte Eure Aufgabe sein, dass diese Spur minimal ist, sodass die Bürger sich keine Sorgen um Betrug oder andere Kriminalität machen müssen. Aber Eure Regierungsvertreter haben sich darauf konzentriert, dass auch Ihr Zugang zu diesen Daten habt, denn Ihr habt es nicht hinbekommen, dass Unternehmen diese Daten gar nicht erst generieren können, um diese für unternehmerische Zwecke auszunutzen. Datenhalden existieren also, und Unternehmen praktisch überall auf der Welt werden auf Eure freundlichen (und gesetzeskonformen) Anfragen für ihre Daten antworten.

Denkt also bitte einen Moment darüber nach, was Ihr stattdessen tun solltet:

• Setzt euch für starke Verschlüsselung ein: Denkt daran, dass in Zeiten des Internet of Things wir umso mehr ein sicheres Internet brauchen. Wenn Ihr wollt, dass Euer Land hier führend für positive Innovationen steht - und nicht für Sicherheitsdesaster - dann ist das die Seite, auf die Ihr euch schlagen wollt.
• Vergesst die ausgelatschte Sicherheit vs Privatsphäre-Dichotomie. Es muss nicht nationale Sicherheit auf der einen und Informationssicherheit auf der anderen Seite geben. Es gibt einfach nur gute und schlechte Sicherheitsstandards und wir alle wollen gute Sicherheit.
• Setzt euch für das Ausrollen defensiver Sicherheitsstrategien und "Privacy by Design" innerhalb Eurer Regierung, von Unternehmen und durch Einzelpersonen ein. Eure Steuerzahler verdienen Privatsphäre und gute Sicherheitsstandards.
• Seid keine Gefahr für die Sicherheit. Gebt nicht schlechte Ideen an andere Regierungen, die diese für verachtenswerte Zwecke nutzen.

Informationssicherheit ist schwer. Das es richtig gemacht wird, ist in unser aller Interesse. Richtig gemacht, wird es unsere Gesellschaft, Wirtschaft und Infrastruktur sicherer machen. Es kann Privatsphäre schützen. Es kann vielleicht sogar Autonomie verbessern. Schlagt euch auf diese Seite der Debatte. Denn wir brauchen Euch. Die Zukunft braucht Euch.