Zum Inhalt

Sicherheit im digitalen Raum

Symbolbild IT-Sicherheit

Sicherheit im digitalen Raum: Wie Sicherheit im digitalen Raum Schutzräume für Straftäter schafft und inwiefern die Backdoor eine sinnvolle Lösung für dieses Problem darstell.

Ziel dieser Arbeit ist die Beantwortung der These „Sicherheit im digitalen Raum schafft Schutzräume“ und eine Bewertung, ob eine Backdoor für Kommunikationsdienste verpflichtend in Deutschland eingeführt werden sollte. Die These wurde mit Hilfe einer Erklärung der dahinter liegenden Technologien beantwortet. Die Ergebnisse der Arbeit waren, dass die These bestätigt wurde und die Nachteile einer Backdoor die Vorteile überwiegen. Auf dieser Grundlage empfiehlt die Arbeit, keine Backdoor in Deutschland einzuführen.

1. Einleitung

Die Arbeit beschäftigt sich mit dem Zitat „Sicherheit im digitalen Raum darf keine Schutzräume für Straftäter zulassen.“, welches vom CDU-Abgeordneten Josef Oster in der Bundestagsdebatte zum Tagesordnungspunkt 5 „Privatsphäre und Sicherheit im digitalen Raum“ am 28.11.2018 geäußert wurde [De18].
Dieses Zitat wurde ausgewählt, da die Debatte über eine zunehmende Verschlüsselung im digitalen Raum und deren Auswirkungen auf die öffentliche Sicherheit aktuell in vereinfachter Form medial sehr stark beleuchtet wird. Diese mediale Berichterstattung ist global und nicht nur auf Fachmedien begrenzt [BBI19][Br19][Ne19].

Im Folgenden befasst sich die Arbeit mit der These „Sicherheit im digitalen Raum schafft Schutzräume“ und einer Bewertung, ob eine verpflichtende Backdoor für Kommunikationsdienste in Deutschland eingeführt werden sollte.

2. Theoretische Grundlagen

Die Öffentliche Sicherheit beschreibt den Schutz vor Schäden, welche den Bestand des Staates oder die Individualrechtsgüter (Leben, Gesundheit, Freiheit, Ehre, Vermögen) bedrohen [Bo75]. Der digitale Raum ist ein virtueller Raum und somit ein nicht physischer Ort. Zu dessen Entstehung und Zugang sind elektronische, bzw. digitale Medien nötig, bspw. ein Smartphone. Ältere / analoge Kommunikationsdienste beschreiben diejenigen Kommunikationsdienste, welche bereits vor der Erfindung des Internets genutzt wurden, deren Nutzung jedoch aufgrund neuerer Standards stark abnimmt.
Beispiele hierfür wären Briefe, Faxgeräte und das Telefon. Schutzräume beschreiben im Allgemeinen einen Bereich, welcher Schutz vor Gefahren bietet. Ein Schutzraum muss nicht immer physisch sein, sondern kann auch im digitalen Raum oder lediglich in der eigenen Mentalität vorhanden sein. Privatsphäre als Begriff lässt sich nicht eindeutig definieren. Sie kann in vier Dimensionen unterschieden werden: informationelle, soziale, psychische und physische Privatsphäre. Meist wird er jedoch als Zustand der Abgeschiedenheit und Intimität aufgefasst [PP14].

Die Verschlüsselung ist eine Technik, bei der Daten in eine veränderte Form gebracht werden, um einen unautorisierten Zugriff auf deren Inhalte zu verhindern. Dieses Verfahren ist sowohl bei physischen als auch digitalen Daten anwendbar. Verschlüsselungsverfahren werden in symmetrische, asymmetrische und hybride Methoden aufgeteilt. Der Unterschied liegt dabei in der Anzahl der vorhandenen Schlüssel oder auch „Keys“.
Diese Keys sind ausschlaggebend für die angewendete Verschlüsselung und auch Entschlüsselung. Bei der symmetrischen Verschlüsselung gibt es nur einen Key, der sowohl für die Verschlüsselung als auch die Entschlüsselung der Daten verwendet wird. Folglich muss der Key, den man für die Verschlüsselung verwendet hat, auch beim Empfänger vorhanden sein, damit dieser die Daten damit wieder lesbar machen kann. Bei der asymmetrischen Verschlüsselung gibt es zwei Keys, die zueinander gehören. Einer davon ist der private „Private Key“, den nur der Empfänger besitzt und ausschließlich zum Entschlüsseln von Nachrichten benutzt wird.
Der andere Schlüssel ist der öffentliche „Public Key“, der für alle Sender sichtbar und benutzbar ist. Public Keys werden ausschließlich für die Verschlüsselung von Nachrichten benutzt und es ist mit ihm nicht möglich, eine verschlüsselte Nachricht wieder zu Entschlüsseln oder den Private Key davon herzuleiten.
Die hybride Verschlüsselung setzt auf eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung, um die Vorteile beider Verschlüsselungsarten zu kombinieren. Die Transport Layer Security (TLS) Verschlüsselung, besser bekannt unter dem alten Namen Secure Sockets Layer (SSL), ist eine Transportverschlüsselung und die geläufigste Art der Verschlüsselung im Internet.
Sie dient dazu, Informationen sicher von A nach B zu bringen, ohne dass diese dazwischen mitgelesen werden können. Die Verschlüsselung gilt jedoch nur auf dem Transportweg, auf dem Server liegt die Nachricht wieder im Klartext vor. TLS wird hauptsächlich mit HTTPS im Browser eingesetzt.
Man erkennt HTTPS an dem Schloss-Symbol neben der URL oder an dem https in der URL (z.B. de.wikipedia.org).
HTTP Aufrufe (ohne TLS) werden mittlerweile bei Apps, z.B. bei iOS, standardmäßig geblockt [Ap20], sind im Web aber noch weit verbreitet. So nutzen nur 57% aller Webseiten derzeit https [W320]. Die Ende-zu-Ende-Verschlüsselung (E2EE) erweitert das Konzept einer Transportverschlüsselung und verschlüsselt Daten über alle Übertragungsstationen hinweg. So liegen im Gegensatz zu TLS bei der E2EE auf dem Server keine Daten im Klartext vor. Diese Daten können nur von den jeweiligen Gesprächsteilnehmern gelesen werden. Das Dark Web ist ein nicht indexierter Teil des Internets, das nur mit spezieller Software aufgesucht werden kann und besonderen Wert auf Verschlüsselung und Anonymität legt. Daher eignet es sich besonders für illegale Aktivitäten.

3. Diskussion

3.1 Betrachtung und Einordnung der These

Betrachten wir nun die These „Sicherheit im digitalen Raum schafft Schutzräume“. Sicherheit im digitalen Raum kann hauptsächlich über zwei Arten erreicht werden: TLS oder Ende-zu-Ende Verschlüsselung. Es muss also geprüft werden, ob eine der Technologien dazu führen kann, Schutzräume für Straftäter und Kriminelle zu schaffen.
Schafft TLS Schutzräume? Nein. TLS sorgt nur dafür, dass die Datenübertragung geschützt wird. Die Daten auf dem Server sind davon nicht betroffen. TLS unterbindet zwar, dass Sicherheitsorgane sich in private Netzwerke hacken / Internetknoten abhören [Ze18] und dann den gesamten Datenverkehr mit sensiblen Informationen (z.B. Passwörtern im Klartext) mitlesen können.

Es liegen keine Daten vor, wie oft das Hacken von privaten Netzwerken von Sicherheitsbehörden durchgeführt wurde. Jedoch verhindert TLS auch, dass Angreifer in öffentlichen WLAN-Netzen den gesamten Netzwerkverkehr mitlesen können (z.B. in Hotels, Flughäfen) und dadurch z.B. an Online-Banking Logins kommen. Unter dem Gesichtspunkt, dass Sicherheitsbehörden immer noch die Möglichkeit haben, an die Daten zu gelangen, erscheint es nicht als sinnvoll, auf HTTPS zugunsten einer möglicherweise höheren öffentlichen Sicherheit zu verzichten. Befassen wir uns nun mit der zweiten Technologie, mit der Sicherheit im digitalen Raum geschaffen werden kann: Der Ende-zu-Ende-Verschlüsselung.

Diese Art der Verschlüsselung baut meist auf TLS auf und sorgt dafür, dass nur die beiden Kommunikationspartner die Nachricht lesen können. Sie ist vor allem bei Chatdiensten beliebt, z.B. bei WhatsApp, iMessage und Telegram. Wie sind nun die Auswirkungen der Technologie auf die Sicherheitsbehörden? Sie bereitet den Sicherheitsdiensten großes Kopfzerbrechen. So sorgt sie dafür, dass die Nachrichten selbst auf dem Server nur verschlüsselt abgespeichert werden. Damit wird auch eine Überwachung während der Transportphase verhindert. Deshalb können die Behörden, wenn überhaupt, nur noch über Umwege an den Inhalt kommen. So wurde in den USA mehrfach versucht, über automatische Telefonbackups an Nachrichten zu gelangen. Da hierfür aber die Anmeldedaten oder der Zugriff über die Betreiberfirma benötigt werden, gelang dieser Weg bisher nur, nachdem die Straftaten schon begangen wurden [Br20].

Es lässt sich also festhalten, dass die Ende-zu-Ende-Verschlüsselung die Überwachungsoptionen der Sicherheitsbehörden stark einschränkt. Das schafft Schutzräume, in denen Kriminelle ungestört Pläne schmieden können. Dadurch kann man die These als bewiesen ansehen.
Nun stellt sich natürlich die Frage: Was kann der Staat dagegen unternehmen? Ziel ist es, dass Sicherheitsbehörden weiterhin die Möglichkeit besitzen, auf Kommunikationsdaten zugreifen zu können. Dies kann durch eine sogenannte “Backdoor” erreicht werden, quasi eine Hintertür, um die Verschlüsselung zu umgehen. Die Backdoor könnte an mehreren verschiedenen Stellen implementiert werden: Sie könnte als Man-in-the-Middle-Angriff durchgeführt werden, indem das Public-Zertifikat des Empfängers durch das Zertifikat der Behörden ersetzt wird und diese sich damit dazwischenschalten.

Eine Schnittstelle dafür müsste bei jedem Chatdienst installiert werden. Sie könnte aber auch in dem Betriebssystem des Nutzers eingebaut werden, dadurch wären Anpassungen an den einzelnen Chat-Diensten hinfällig. Die Verschlüsselung würde bei diesem Weg unangetastet bleiben, Behörden würde also die bereits entschlüsselte Nachricht beim Absender/Empfänger abgreifen. Die Vor- und Nachteile der beiden genannten Verfahren werden in der folgenden Arbeit noch genauer erläutert. Es ist dementsprechend festzuhalten, dass es technisch möglich wäre, diesen Zugang einzurichten.

3.2 Vorteile einer Backdoor

Die verpflichtende Einführung einer Backdoor verbessert die Sicherheitslage in Deutschland. Die Einführung einer Backdoor erlaubt es den Sicherheitsbehörden, auch die Kommunikation über Ende-zu-Ende verschlüsselte Messangerdienste zu überwachen. Da die Sicherheitsorgane nun wieder in der Lage sind, potenzielle Straftäter zu überwachen, können sie so bei geplanten Straftaten eingreifen, bevor diese stattfinden.
Durch diese Maßnahme sollte die Zahl an verhinderten / aufgeklärten Verbrechen steigen und Befürworter erhoffen sich eine höhere öffentliche Sicherheit. Denn es entstehen keine Schutzräume mehr, in denen Kriminelle ungestört Verbrechen planen können, ohne Gefahr zu laufen, entdeckt zu werden. Solche Schutzräume entstehen derzeit, wenn Ende-Zu-Ende verschlüsselte Dienste, wie z.B. WhatsApp genutzt werden, auf die die Behörden aktuell keinen Zugriff haben. Da die Backdoor jedoch noch in keinem Land eingeführt wurde, liegen für diese Behauptung keine Daten vor.

3.3 Nachteile einer Backdoor

3.3.1 Keine perfekte Umsetzung möglich

Als erstes muss erwähnt werden, dass es keine perfekte Umsetzung der Backdoor gibt. So haben beide angesprochenen Varianten, einmal im Betriebssystem und einmal direkt in jedem Messangerdienst, ihre Vor- und Nachteile. Der Vorteil bei der Umsetzung im Betriebssystem ist, dass nicht jeder Messangerdienst einzeln kooperieren müsste. So müssten nur die einzelnen Betriebssysteme verändert werden, deren Anzahl viel kleiner ist als die der Messangerdienste.
Jedoch wird ein solcher Schritt bei den Betriebssystemherstellern, die die Backdoor implementieren müssten, auf großen Wiederstand treffen. Sie müssten eine Hintertür in ihr System einbauen, welche zumindest mit Leserechten für das ganze System ausgestattet werden müsste. Denn nur so könnten die Ermittler auf die Daten aller Chatanwendungen, auch auf Systemapps wie Nachrichten/iMessage auf iOS, zugreifen. Damit hätten sie aber auch Zugriff auf die Daten von anderen Apps, z.B. von Passwortmanagern, falls diese Daten nicht gesondert verschlüsselt wurden.

Es wird also ersichtlich, dass durch diese Implementierung der Backdoor wichtige Sicherheitsfunktionen des Betriebssystems ausgehebelt werden, z.B. dass nur jede App auf ihre eigenen Daten zugreifen darf, und dass die Backdoor auch Sicherheitsprobleme in anderen Apps und Stellen des Betriebssystems auslösen könnte, die eigentlich nicht direkt von der gesetzgeberischen Mission abgedeckt werden. Da ein solcher Eingriff in ein Betriebssystem massive Sicherheitsbedenken auslösen würde, kann davon ausgegangen werden, dass Betriebssystemhersteller die Backdoor-Verpflichtung gerichtlich bis in die höchste Instanz nachprüfen lassen würden.
Dieser Schritt würde die Einführung verzögern und damit auch mögliche Sicherheitsgewinne. Das wird zum Beispiel am Unternehmen Apple deutlich, dem Entwickler hinter dem mobilen Betriebssystem iOS und dem Desktopbetriebssystem MacOS. So wurde Apple im Jahr 2016 von der amerikanischen Behörde FBI dazu aufgefordert, eine spezielle Version von iOS mit deaktivierten Sicherheitsfeatures für das iPhone eines getöteten Amokläufers zu entwickeln und zu installieren. Apples Weigerung führte zu einer Klage und einem Gerichtsverfahren, welche das FBI einen Monat später zurückzog [DLN16].

Es hatte dieses Mal einen anderen Weg gefunden, an die gewünschten Daten zu gelangen. Jedoch bleibt festzuhalten, dass dies ein Streitthema bleiben wird, solange dazu keine gerichtliche Entscheidung in höchster Instanz gefallen ist. Auch im Jahr 2020 ist das noch der Fall [Br20].
Es muss auch angemerkt werden, dass Firmen, die aktuell keinen hohen Marktanteil in Deutschland besitzen, auf einen Verkauf in Deutschland verzichten könnten, um einer Backdoor Implementierung zu entgehen. Dies würde das Angebot für einen deutschen Konsumenten verringern, was als negativ angesehen werden kann. Gleichzeitig würde das den Unternehmen in anderen Regionen einen Wettbewerbsvorteil gegenüber Mitbewerbern verschaffen, indem sie z.B. besonders den Verzicht auf eine Backdoor betonen. Das gilt natürlich auch für deutsche Unternehmen, die durch ein solches Gesetz auf dem internationalen Markt benachteiligt werden würden.

Das eine solche Benachteiligung keine Hypothese ist, wird besonders an der aktuellen Situation mit dem chinesischen Technikkonzern Huawei deutlich, der im Western wegen Angst vor möglichen Hintertüren Boykottforderungen ausgesetzt ist. Diese Forderungen gelten insbesondere für den lukrativen Aufbau der 5G Infrastruktur [Le19].
Man kann also festhalten, dass beide möglichen Ergebnisse, einen Verzicht auf den deutschen Markt und einen Wettbewerbsnachteil für deutsche Firmen, nicht im Interesse der Politik sein können. Sollte dieses Gesetz jedoch auf europäischer Ebene eingeführt werden, so ist das Argument mit dem Verzicht auf Verkauf in den betroffenen Märkten hinfällig, da der Europäische Wirtschaftsraum als sehr wichtige Wirtschaftszone für die meisten Firmen zu attraktiv sein wird, als dass er boykottiert werden kann. Eine andere Möglichkeit für die Umsetzung der Backdoor ist die Implementierung auf der Anwendungsebene. Bei dieser Variante müsste die Backdoor in jedem Messangerdienst implementiert werden.
Das hat den Vorteil, dass keine Änderungen am Betriebssystem durchgeführt werden müssen. Wie vorhin schon erwähnt, würden solche Änderungen auf massiven Wiederstand der Hersteller treffen, da die sicherheitstechnischen Auswirkungen nicht absehbar wären. Es hat jedoch den Nachteil, dass jeder Messangerdienst dies implementieren muss. Weigert sich ein Dienst, so würde wieder ein Schlupfloch für Straftäter entstehen. Aus diesem Grund ist die praktische Umsetzbarkeit dieser Variante zweifelhaft. Zwar könnte man einen Dienst, der sich weigert, eine Backdoor zu implementieren, in Deutschland verbieten. Das würde jedoch beispielsweise auf dem mobilen Betriebssystem Android wenig nutzen, da man dort jederzeit Apps aus APK-Dateien installieren kann.
Ein Straftäter müsste die gewünschte App also nur irgendwo im Internet finden und könnte sie dann auf seinem Smartphone installieren, obwohl die App in Deutschland verboten ist. Es wäre also sehr einfach für Straftäter, dieses Verbot zu umgehen und dadurch in einen Schutzraum zu verweilen. Dieses Problem wird verschärft durch die riesige Anzahl an Messangerdiensten / Anwendungen mit Chatkomponente. Denn zur Koordination von Verbrechen muss auch nicht zwangsläufig ein vollständiger Messangerdienst genutzt wurden. So wurde in der Vergangenheit beispielsweise die Chatfunktion der PS4, ein Dienst für Kommunikation auf einer Spielekonsole, zur Koordination von Verbrechen genutzt.
Der belgische Innenminister Jan Jambon behauptete 2015 gar: “PlayStation 4 is even more difficult to keep track of than WhatsApp” [Th15].

Hier wird die Problematik des Internets für die Strafverfolgungsbehörden deutlich: Eigentlich jeder kann sich für wenig Geld einen Server und eine Datenbank mieten und mit Hilfe von Internet-Tutorials und geringen Programmierfähigkeiten einen Chatservice programmieren und anbieten. Ob diese dann immer Gesetzeskonform sind, ist fraglich. Für die Sicherheitsbehörden ist es damit eigentlich unmöglich, sehr kleine Chatdienste zu entdecken und zu überwachen. Kriminelle könnten das selbst mit einer verpflichtenden Backdoor ausnutzen. Doch selbst wenn der unwahrscheinliche Fall eintreten würde und alle Anwendungen mit Chatfunktion eine Backdoor integriert hätten, so bleibt Kriminellen dennoch ein Rückzugsort: Das Dark Web.
Dieses zu regulieren, erscheint nach heutigem Stand der Technik als unmöglich. Es wird also ersichtlich, dass es für Behörden und den Gesetzgeber sehr schwierig sein würde, eine umfassende Backdoor Regelung auch durchzusetzen. Und es muss festgehalten werden, dass manche Kommunikation nach derzeitigem Stand der Technik einfach nicht überwacht werden kann.

3.3.2 Backdoor schafft Präzedenzfall

Eine verpflichtende Einführung einer Backdoor schafft einen Präzedenzfall für autokratische Staaten. So würde ein solches Gesetz es autokratischen Ländern deutlich erleichtern, ähnliche Forderungen zu stellen. Diese könnten zur Legitimation des Abhörwunsches auf Deutschland verweisen und behaupten, sie täten das aus den gleichen Absichten. Jedoch ist eine Backdoor ein mächtiges Werkzeug, welche in den falschen Händen großen Schaden anrichten kann. So könnte sie in nicht demokratischen Ländern dazu benutzt werden, Regimekritiker zu entdecken und zu verhaften.
Dieses Vorgehen erscheint nicht unwahrscheinlich, wenn man sich der Lage von Regimekritikern z.B. in Russland oder der Türkei bewusst wird. So wurde laut dem türkischen Innenminister 20.500 Menschen alleine in der Türkei in den vergangenen Jahren der Prozess gemacht aufgrund von Äußerungen in Social-Media-Diensten [Du19].

Es muss davon ausgegangen werden, dass in privaten, vermeintlich sicheren Konversationen kritische Meinungen noch deutlich öfter geäußert werden als in öffentlichen Social-Media-Diensten. Durch eine Backdoor wäre auch ein Zugriff auf diese Nachrichten möglich. Dadurch wird deutlich, wie massiv die Auswirkungen einer Backdoor auf die Meinungsfreiheit von Bürger solcher Länder wären. Es kann nicht im Interesse Deutschlands sein, als Ausrede für die Unterdrückung kritischer Stimmen in autokratischen Ländern zu dienen.

3.3.3 Backdoor kann missbraucht werden

Eine Backdoor ist eine große Sicherheitslücke und kann nicht geheim gehalten werden. Wie schon erwähnt wurde, ist eine Backdoor ein mächtiges Werkzeug, welches in den falschen Händen großen Schaden anrichten könnte. Deshalb ist es von enormer Bedeutung, eine ungewollte Fremdnutzung zu verhindern. Jedoch kann das nie zu 100% ausgeschlossen werden. Sobald die Backdoor implementiert wurde, ist diese Sicherheitslücke vorhanden und wartet nur darauf, von anderen Akteuren gefunden zu werden. Je mehr Mitarbeiter in den Sicherheitsbehörden damit arbeiten, desto wahrscheinlicher ist es, dass Informationen über die Funktionsweise einer Backdoor ins Internet gelangen. Dies kann unabsichtlich passieren, z.B. ein Endgerät wurde an einem öffentlichen Ort vergessen oder auch bewusst, z.B. über einen Whistleblower oder Spion.

Fakt ist, dass eine solche Backdoor ein sehr lukratives Angriffsziel wäre, welches für viele Zielgruppen interessant wäre. So könnte damit zum Beispiel Industriespionage betrieben werden oder private Details von Prominenten und Politikern gesammelt werden. Damit wäre eine solche Lücke auch für ausländische Geheimdienste sehr interessant, die teilweise über enorme Ressourcen verfügen können. Es bleibt also festzuhalten, dass der Schutz einer Backdoor oberste Priorität haben müsste und dieser Schutz sehr wahrscheinlich Angriffen ausgesetzt sein wird.
Wirft man einen Blick in die nähere Vergangenheit, so wird deutlich, dass der Schutz / die Geheimhaltung von Schwachstellen oft nicht funktioniert hat. So wurden im Zuge des NSA-Skandals mehrere Schwachstellen / Tools der NSA von einer Gruppierung namens „Shadow Brokers“ veröffentlicht, die seit Veröffentlichung millionenfach von Kriminellen ausgenutzt wurden [Ne18].

Eine millionenfache Ausnutzung wäre bei einer Backdoor wohl nicht möglich, da die Schnittstelle, abhängig von der Implementierung, wohl vorher abgeschalten werden könnte. Aber es kann nicht ausgeschlossen werden, dass sich Kriminelle oder Geheimdienste unbemerkt den Zugang zur Backdoor beschaffen und diese in kleinem Rahmen für hochrangige Ziele ausnutzen.

3.3.4 Massenhafte Überwachung stellt jeden unter Generalverdacht

Eine massenhafte Überwachung der Kommunikation mit Hilfe einer Backdoor wiederspricht dem Recht auf Privatsphäre und stellt jeden Nutzer unter Generalverdacht. So würde mit Hilfe der Backdoor die Kommunikation aller Bürger überwacht werden, ohne dass ein Fehlverhalten der Person vorliegt. Diese Art der Überwachung würde nicht im gleichen Maße stattfinden wie bei analogen / älteren Kommunikationsdiensten. Bei diesen muss laut dem „Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses“ (Artikel 10-Gesetz) tatsächliche Anhaltspunkte für bestimmte Straftaten vorliegen, damit das Brief-/Post-/Fernmeldegeheimnis verletzt werden darf.
Auch muss für jeden Fall ein begründeter Antrag gestellt werden, in dem auch Umfang und Dauer der Überwachung genannt werden müssen. Eine zeitlich unbegrenzte Überwachung kann also nicht stattfinden. Dieser Antrag wird geprüft und es findet eine Kontrolle über die G10-Komission bzw. entsprechende Stellen der Bundesländer statt. Die Überwachungsmaßnahme muss auch dem Betroffenen nach ihrer Einstellung mittgeteilt werden, sofern keine Gefährdung mehr vorliegt [Ge01].

Viele dieser Punkte wären jedoch bei einer massenhaften Überwachung mit Hilfe einer Backdoor nicht umsetzbar. So würden beispielsweise Bürger überwacht werden, gegen die keinerlei Anhaltspunkte für Straftaten vorliegen. Die Überwachung wäre nicht im Umfang und der Dauer begrenzt, da sie nicht auf eine Zielperson beschränkt wird. Auch wäre es bei der Anzahl an überwachten Personen / Nachrichten schwierig für zuständige Stellen, eine Kontrollfunktion auf Einzelfallbasis wahrzunehmen.
Dadurch wird ersichtlich, dass eine massenhafte Überwachung durch die Backdoor keine ideale Lösung darstellen würde. Jedoch muss auch festgehalten werden, dass eine Backdoor auch verantwortungsbewusst von den Behörden eingesetzt werden könnte. So könnte die Nutzung auf Basis des „Artikel-10 Gesetztes“ umgesetzt werden, mit ähnlichen Rechten und Pflichten. Es muss aber erwähnt werden, dass die Versuchung für die Behörden, die Backdoor missbräuchlich einzusetzen, ungemein höher ist als bei den analogen Kommunikationsdiensten, die vom Artikel-10 Gesetz abgedeckt werden. Denn die Überwachung analoger Kommunikationsdienste ist kompliziert, personalintensiv und skaliert schlecht. So muss z.B. bei der Briefüberwachung der Brief abgefangen, gelesen und wieder versiegelt werden. Da auch Drittunternehmen wie die Deutsche Post an der Überwachung beteiligt sind, werden diese genau prüfen, ob eine Postüberwachung für diese Person auch wirklich genehmigt wurde. Das alles ist aufwendig und skaliert dementsprechend schlecht. Bei der Backdoor jedoch ist die Lücke bereits vorhanden. Diese Lücke ist auch nicht auf eine bestimmte, abzuhörende, Person beschränkt. Sie ist quasi universal einsetzbar.
Das bedeutet, dass mit minimalem Aufwand viel mehr Personen überwacht werden könnten.
Dadurch steigt die Versuchung für Behörden, diese Lücke über ihre Kompetenzen hinaus zu benutzen, um eine vermeintliche höhere öffentliche Sicherheit zu gewährleisten. Das dieses Problem nicht nur theoretischer Natur ist, zeigen Enthüllungen im Zuge des NSA-Skandals. So wurde der amerikanische Telekommunikationsanbieter Verizon gerichtlich dazu gezwungen, die Metadaten aller Telefonanrufe innerhalb der USA oder mit einem Teilnehmer in den USA zwischen dem 25.04.13 und dem 19.07.13 an die Sicherheitsbehörden zu liefern. Laut EFF eine Praxis, die vermutlich seit Jahren und für alle Telekommunikationsprovider in den USA gelten dürfte [CR13].

Es wurden also die Metadaten aller Telefonanrufe von Amerikanern gesammelt und diese damit unter Generalverdacht gestellt, um die öffentliche Sicherheit zu erhöhen. Dieses Verfahren wurde in „ACLU vs. Clapper“ am 7. Mai 2015 vom 2. Berufsgericht der Vereinigten Staaten als nicht rechtmäßig verurteilt, „the telephone metadata program exceeded the authority granted by FISA“ [Un15].
Das Überwachungsprogramm wurde nur aufgrund von Medienenthüllungen entdeckt. Dieses Beispiel verdeutlicht, dass starke Kontrollmechanismen implementiert werden müssten, um eine missbräuchliche Nutzung solcher Überwachungsprogramme zu verhindern / aufzudecken.

3.3.5 Eine Abhörmöglichkeit verhindert nicht automatisch Straftaten

Doch selbst wenn ein Kommunikationsdienst abgehört werden kann, verhindert dies nicht automatisch Straftaten. So wurde der Attentäter vom Berliner Weihnachtsmarkt, Anis Amri, schon 9 Monate vor der Tat vom Landeskriminalamt NRW überwacht und dabei beobachtet, wie er mit mindestens 2 IS-Terroristen aus Libyen über den Messangerdienst Telegram kommuniziert hat. In diesem Chat war in Code-Wörtern sogar von einem geplanten Selbstmordanschlag die Rede [Fl17].

Trotzdem wurde der Anschlag von den Behörden nicht verhindert. Das lag unter anderem auch daran, dass die Interpretation von überwachten Nachrichten für Behörden ein großes Problem darstellt. Es reicht nicht aus, einfach nur Kommunikationsdienste zu überwachen und Daten zu aggregieren. Es müssen auch die richtigen Schlüsse aus diesen gesammelten Daten gezogen werden. So wäre es bei einer vollständigen Überwachung von Messangerdiensten unmöglich, diese manuell von Menschen filtern zu lassen. Das liegt daran, dass bei einer Komplettüberwachung enorme Datenmengen anfallen würden. Alleine bei WhatsApp wurden im Mai 2018 pro Tag weltweit 65 Mrd. Nachrichten versendet [Br18].

Zwar wären viele dieser Nachrichten für deutsche Sicherheitsbehörden irrelevant, da sie Deutschland nicht betreffen. Diese Nachrichten können aber trotzdem nicht von Beginn an ignoriert werden. Denn im Gegensatz zu SMS-Nachrichten, bei denen man sich nur auf Nachrichten fokussieren könnte, die von oder durch ein deutsches Mobilfunknetz gesendet wurden, kann man bei Chatdiensten, die über das Internet funktionieren, seinen Standort sehr leicht verschleiern. Dies gelingt z.B. mit Hilfe eines VPN-Dienstes. Würde man also nur Nachrichten von deutschen IP-Adressen beachten, so würde man ein gefährliches Schlupfloch für Kriminelle und Straftäter schaffen. Dieses Schlupfloch könnte sogar von absoluten Laien ausgenutzt werden. Auch eine Begrenzung auf deutsche Telefonnummern, also das mindestens ein Gesprächspartner eine deutsche Nummer besitzen muss, würde nicht funktionieren. So müssten Straftäter nur SIM-Karten im EU-Ausland kaufen / bestellen und wären vor einer Überwachung geschützt. Sie hätten nur geringe Nachteile zu einer deutschen SIM und könnten in Deutschland normal damit agieren.

So lässt sich also festhalten, dass eine Vorabfilterung nicht umsetzbar ist, ohne erneut große Schutzräume zu schaffen. Es müssten daher alle Nachrichten in Betracht gezogen werden, die über Messangerdienste verschickt werden. Dies führt wieder zur aktuellen Problemstellung zurück, dem Interpretieren der Nachrichten. Da die Anzahl der verschickten Nachrichten (wie vorher erwähnt 65 Mrd. alleine bei WhatsApp) zu groß ist für eine menschliche Bearbeitung, müssten die Nachrichten zuerst mit Hilfe von Algorithmen analysiert und gefiltert werden. Erst dann könnten relevante Nachrichten einem Menschen zur Prüfung vorgelegt werden.
Diese Aufteilung hätte den Vorteil, dass ein Algorithmus viel besser mit den verschiedenen Sprachen umgehen könnte, in denen die Nachrichten verfasst wurden. Jedoch hat die Bearbeitung mit Hilfe eines Algorithmus auch einen gravierenden Nachteil: Algorithmen sind aktuell noch sehr schlecht darin, Nachrichten richtig zu interpretieren. So müsste ein Algorithmus entscheiden, ob eine Nachricht unwichtig ist oder eine potenzielle Gefahr darstellt. Um diese Entscheidung fundiert treffen zu können, müsste bei jeder Nachricht auch der Kontext und die bisherige Konversation betrachtet werden.
Ob dies jedoch aktuell in dem benötigten Umfang umgesetzt werden kann, ist aufgrund der benötigten Rechenkapazität und Komplexität der Algorithmen fraglich. Deshalb wären Sicherheitsbehörden aktuell wohl nur in der Lage, die Nachrichten nach bestimmten Schlüsselworten zu durchsuchen. Diese Methode funktioniert jedoch reaktiv. Sie sucht also nur nach denjenigen Schlüsselwörtern, die Sicherheitsbehörden bereits bekannt sind. Dadurch besteht die Gefahr, Nachrichten zu übersehen, wenn Kriminelle ihre Codewörter oft verändern. Gleichzeitig besteht die Gefahr, dass je nach den benutzten Schlüsselwörtern auch viele ungefährliche Nachrichten im Ergebnis landen.
Das erhöht wiederum die Wahrscheinlichkeit, gefährliche Nachrichten zu übersehen und daraus resultierende Straftaten geschehen zu lassen. Es bleibt also festzuhalten, dass selbst mit einer vollständigen Überwachung Schutzräume bestehen bleiben würden bzw. das aktuelle System relativ leicht ausgetrickst werden könnte. Daher ist es fraglich, ob diese Überwachung aktuell einen großen Zugewinn an Sicherheit bringen würde. Das kann sich jedoch in Zukunft mit der Nutzung neuerer und besserer Technologien ändern.

4 Zusammenfassung

4.1 Fazit

Zusammenfassend muss gesagt werden, dass sowohl Vor- als auch Nachteile für eine Implementierung der Backdoor vorhanden sind. Jedoch ist es fraglich, wie groß der Zugewinn an öffentlicher Sicherheit durch die erneute Ermöglichung der Kommunikationsüberwachung wirklich wäre. Auf der anderen Seite schafft die Einführung der Backdoor einen Präzedenzfall, der zur Unterdrückung kritischer Stimmen in anderen Staaten führen könnte. Es kann nicht ausgeschlossen werden, dass die Backdoor Kriminellen in die Hände fällt, die diese Schwachstelle ausnutzen.
Und die Privatsphäre jedes Einzelnen kann eingeschränkt werden. Im Endeffekt muss daher immer eine Abwägung getroffen werden zwischen der Privatsphäre eines Individuums und der öffentlichen Sicherheit für die Allgemeinheit. Die Gesellschaft muss entscheiden, was sie bereit ist aufzugeben, um höhere Sicherheit zu schaffen. Diese Entscheidung kann nur mit Hilfe der Wahlurne getroffen werden.
Im Falle der Backdoor jedoch überwiegen die Gefahren und Nachteile die vermeintlichen Vorteile. Daher kann diese Arbeit keine Empfehlung dafür aussprechen, ein Gesetz zur verpflichtenden Implementierung der Backdoor auf den Weg zu bringen.

 4.2 Kritischer Rückblick auf die wissenschaftliche Arbeit

Es mussten viele Annahmen getroffen werden, da ein solches Gesetz bisher noch in keinem Land einführt wurde. Dies könnte problematisch sein, da die Annahmen vor allem auf dem aktuellen Stand der Technik bzw. Vorkommnissen in der Vergangenheit basieren. Daher ist es möglich, dass viele der Nachteile z.B. durch neue, bessere Technologien behoben werden, wodurch das Fazit der Arbeit nicht mehr zutreffen muss. Auch hat sich die Arbeit hauptsächlich mit Internetquellen auseinandergesetzt, da wegen der Aktualität des Themas noch wenig Fachliteratur zum Thema Backdoor vorhanden war.

4.3 Ausblick

In einer weiteren Arbeit könnte insbesondere der Konflikt zwischen Privatsphäre und öffentlicher Sicherheit genauer beleuchtet werden, der Demokratien in Zukunft noch öfter beschäftigen wird. So könnte eine Studie durchgeführt werden, ob und wie viel Privatsphäre Bürger bereit sind zu opfern, um eine höhere öffentliche Sicherheit gewährleisten zu können.

Quellen

  •  [Bo75] Bongen, W.: Schranken der Freizügigkeit aus Gründen der öffentlichen Ordnung und Sicherheit im Recht der Europäischen Wirtschaftsgemeinschaft. In: Tübinger Schriften zum internationalen und europäischen Recht, Duncker & Humblot, Berlin, 1975
  • [PP14]  Porsch, T.; Pieschl, S.: Neue Medien und deren Schatten: Mediennutzung, Medienwirkung und Medienkompetenz, Hogrefe Verlag, 2014

 

 

Nach oben

<