„Wer Sicherheit für die Sicherheit aufgibt, wird am Ende beides verlieren.“ (frei nach Benjamin Franklin)

Es klingt komisch, aber gerade wird von staatlicher Seite gleich aus mehreren Richtungen unsere digitale Sicherheit angegriffen. Gerechtfertigt wird das – absurderweise – mit Sicherheit

Doch der Reihe nach.

Als Reaktion auf den Terrorangriff in Wien  wird derzeit auf EU-Ebene daran gearbeitet, die Verschlüsselungsinfrastruktur gesetzlich zu unterlaufen. Damit sollen nicht nur die Polizei, sondern auch andere Behörden (wie zum Beispiel Geheimdienste) die Möglichkeit erhalten, in unsere Messenger-Kommunikation einzudringen (WhatsApp, Telegram, Threema, Signal usw.). Die Anbieter sollen ihnen sozusagen einen Schlüssel zur Hintertür geben. Anstatt in die Stärkung der Sicherheit unserer digitalen Infrastruktur zu investieren, passiert das Gegenteil: Die Sicherheit wird aktiv abgebaut.

Das ist ein großes Problem, denn:

  • Es gibt keine Hintertüren nur für „die Guten“. Verschlüsselung ist nur dann sicher, wenn sie ausnahmslos niemand umgehen kann. Wenn es also gar keine Hintertüren gibt. (Stichwort: Ende-zu-Ende-Verschlüsselung.) Hat man ein Mal Lücken geschaffen, mit denen „Befugte“ in die Kommunikation eindringen können, stehen diese Lücken auch „Unbefugten“ zur Verfügung.
  • Solange es keine unabhängigen Ermittlungsstellen gibt, die Verfehlungen der Polizei aufarbeitet und so lange die Arbeit der Geheimdienste so intransparent ist, haben wir keinen Anlass darauf zu vertrauen, dass unsere Geheimnisse dort gut aufgehoben sind.
  • Es gibt viele gute Gründe, vertraulich kommunizieren zu wollen: zum Beispiel für Journalist*innen und Anwält*innen oder eben unsere Klientinnen*, die von jemandem gestalked werden und fürchten müssen, dass ihre Kommunikation mitgelesen wird. „Kann ja nur der Staat“ ist da kein Trost. Denn erstens stimmt das bekanntlich nicht und zweitens ist es – selbst wenn es stimmen würde – nicht möglich, das mit Gewissheit zu sagen. Wer ohnehin schon von einer Bedrohung betroffen ist, braucht aber ebendiese Gewissheit sehr dringend.
  • Kriminelle zeichnen sich dadurch aus, dass sie sich nicht an das Gesetz halten. Das heißt, diese weichen dann einfach auf andere Kommunikationswege aus, die weiterhin verschlüsselt sind. Der Angriff auf die Verschlüsselung trifft nur die „normalen“ Menschen.
  • Der Terroranschlag in Wien hätte tatsächlich verhindert werden können. Doch nicht durch Zugriff auf Messenger, sondern wenn die getätigte Meldung über einen illegalen Waffenkauf nicht von den zuständigen Behörden ignoriert worden wäre. Das ist nur das jüngste Beispiel dafür, dass die Politik häufig in voreiligen Aktionismus verfällt und vorgibtt, durch Überwachung alle Probleme lösen zu können.  Dieses „Sicherheitstheater“ ist gefährlich, weil es Sicherheitspolitik nur vortäuscht. An den Stellen, an denen wirklich dringend etwas geschehen müsste, herrscht seit Jahrzehnten Stillstand.

Mittlerweile hat sich eine breite Front an Gruppen gegen diesen Angriff auf die Verschlüsselung gebildet: Angefangen beim Brangenverband Bitkom und dem Bundesverband IT-Sicherheit e.V. Teletrust, über den ChaosComputerClub, Digitalcourage, dem Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. (FIfF), dem europäischen Dachverband European Digital Rights (EDRi) bis hin zum Deutschen Journalisten-Verband: Alle schlagen Alarm!

Recht auf Verschlüsselung
Statt eines Angriffs auf Verschlüsselung braucht es ein Recht auf Verschlüsselung. Dieses wird schon seit Jahren von verschiedenen Akteur*innen gefordert. Zum Beispiel widmete der im letzten Jahr verstorbene Bundestagsabgeordnete Jimmy Schulz seine letzte Rede im Bundestag diesem Thema.

 

Ein weiterer fataler Fehlgriff: staatliches Hacking

Der Angriff des EU-Rats auf unsere IT-Sicherheit ist nur das jüngste Beispiel dieser absurden Idee, man könne Sicherheit schaffen, indem man sie abschafft. Mit dem Staatstrojaner betreibt die Bundesregierung schon seit Längerem ein weiteres Projekt dieser Art. Hier geht es darum, dass der Staat die Geräte von verdächtigen Menschen „hacken“ können will. Aber genau wie beim Thema Verschlüsselung gibt es eben keine Sicherheitslücken, die nur den „Guten“ dienen. Ob Geheimdienste per se zu „den Guten“ gehören, muss an anderer Stelle diskutiert werden.

Um den Staatstrojaner auf ein Gerät einzuschleusen, muss man Sicherheitslücken in den Geräten nutzen. Das bedeutet: Wenn der Staat von einer Sicherheitslücke erfährt, setzt er alles daran, dass sie nicht beseitigt wird. Denn er will sie ja selbst ausnutzen. Sie bleibt dann aber auch für alle anderen offen und kann eben auch von Stalker*innen genutzt werden, um völlig unbescholtene Bürger*innen anzugreifen. 

Es ist sogar noch schlimmer: Denn für das Wissen über solche Sicherheitslücken ist ein regelrechter illegaler Markt entstanden. Hier geht nun auch die Bundesregierung einkaufen. Sie bezahlt viel Geld für diese sogenannten „Zero-Day-Exploits“. So nennt man Informationen über Sicherheitslücken, die außer einem selbst noch niemand sonst kennt.

Mit fatalen Folgen. Denn die Sicherheit unserer IT-Infrastruktur ist darauf angewiesen, dass eine Sicherheitslücke, wenn sie entdeckt wurde, gemeldet wird. Solange es aber einen Markt gibt, auf dem man sie stattdessen gewinnbringend verkaufen kann, wird es immer weniger „ehrliche Finder*innen“ geben, die das Richtige tun und sofort Meldung erstatten.

Obwohl zum Staatstrojaner mehrere Verfassungsbeschwerden in Karlsruhe liegen, die auf Verhandlung warten, sollen nun diese Befugnisse sogar weiter ausgebaut und zum Beispiel auf die Geheimdienste ausgeweitet werden .

Video: Warum sind Staatstrojaner gefährlich?

https://vimeo.com/253789914
Erklärvideo von Digitalcourage e.V.: Warum sind Staatstrojaner gefährlich?

 

Auf der Strecke bleiben mal wieder…unsere Klientinnen*, die von Stalking betroffen sind

Für unsere Klientinnen* werden weder Staatstrojaner noch staatliche Eingriffe in unsere Kommunikation mehr Sicherheit bringen. Denn mangelnde Information ist bei der Terrorbekämpfung gar nicht das Problem. Meist waren die notwendigen Fakten bekannt, doch es wurde einfach nicht korrekt ermittelt. Die Delikte, für die solche Überwachungsmittel in der Regel eingesetzt werden, sind Kleinkriminalität, wie Drogendelikte.

Unsere Klientinnen* kommen mit ihren Problemen meist deshalb nicht weiter, weil sie in Polizei und Justiz auf mangelndes Wissen zum Thema digitale Gewalt stoßen. Es gibt kaum Möglichkeiten zur forensischen Analyse ihrer Geräte, oder staatliche Unterstützung beim Melden illegaler Inhalte. Wenn jemand ein Bild einer Klientin* veröffentlicht, steht zu hoffen, dass es ein Selfie war. Denn dann hat die Klientin* das Urheberrecht an dem Bild und steht rechtlich viel besser da, als wenn sie „nur“ ihr Recht am eigenen Bild (immerhin ein Grundrecht) durchsetzen will. Weder Staatstrojaner noch der aktuelle EU-Angriff auf die Verschlüsselung macht unsere Betroffene von Stalking sicherer. Unsicherer werden sie dadurch jedoch sehr wohl. Denn der Angriff auf die IT-Sicherheit wirkt sich natürlich auch auf ihre Geräte aus.

Wenn Verschlüsselung nicht mehr sicher ist, wissen wir nicht, was wir unseren Klientinnen* empfehlen sollen. Es gibt ohnehin schon viel zu wenig sichere Technik für die Endanwenderin. Diese darf nicht noch weiter eingeschränkt werden.

Wir beraten Sie zum Thema Digitale Sicherheit bei Verdacht auf (Cyber)Stalking gerne persönlich. Unser Beratungsangebot finden sie hier.

____

Bild: Trojan horse by starfive, CC by nc sa 2.0

Autorin: Leena Simon