Entschlüsselungszwang: fatale Folgen für den Mittelstand
Das Brennthema Entschlüsselung durchdringt wiederum den öffentlichen Diskurs als Folge des Vorschlags von Bundesminister Horst Seehofer. Laut Seehofers Plan müssten Verschlüsselungsanbieter künftig die Nachrichten ihrer Nutzer auf richterliche Anordnung hin in lesbarer Form an Sicherheitsbehörden weiterleiten. Da das Konzept der Ende-zu-Ende-Verschlüsselung von einer gewissen Unklarheit umgeben ist, wollen wir hier erneut diesem auf den Grund gehen und die verheerenden Konsequenzen aufdecken, die ein Verbot für die deutsche Wirtschaft und insbesondere für den Mittelstand mit sich ziehen könnte.
Wir verschließen die Tür nach dem Heimkommen, um unser Zuhause vor fremden Eindringlingen zu schützen. Wir flüstern unseren Bekannten Geheimnisse zu. Und wir schützen geistige Schöpfungen durch Urheberrecht. Die Beispiele sind zwar von verschiedenster Herkunft, sie haben jedoch eines gemeinsam: Sie deuten auf bereits verankerte Sicherheitspraktiken in unserer analogen Welt hin. Durch sie lässt sich Privatheit erst bilden, aufrechterhalten und wahren. Aber wie gut sind wir für den Schutz der Privatsphäre im Cyberraum vorbereitet?
Da mehr und mehr Aspekte unseres Lebens ins Digitale verlagert werden, müssen wir uns für den Schutz der Privatsphäre online auf mehreren Ebenen einsetzen – institutionell, gesellschaftlich und individuell. Denn es steht viel auf dem Spiel: unsere sensiblen Daten, finanziellen Informationen, Mandantendaten, Geschäftsgeheimnisse, Forschungsergebnisse und Patientenakten. Die DSGVO schafft dafür den rechtlichen Rahmen. Damit dies auch sicherheitstechnisch zum Tragen kommt, heißt das Zauberwort Ende-zu-Ende-Verschlüsselung. Die Fachwelt ist sich einig darin: Ende-zu-Ende-Verschlüsselung sollte im Fundament der IT-Sicherheit etabliert werden. Nur so kann sich das Recht auf Privatsphäre auch im Virtuellen durchsetzen.
Vor diesem Hintergrund ist es umso merkwürdiger, dass Bundesminister Horst Seehofer laut einem Bericht des Spiegels jüngst wiederum mit dem Thema der Entschlüsselung von sich reden machte – und damit den Verschlüsselungsunternehmen wie WhatsApp, Threema oder Signal einheizte. Denn sein Beschlussvorschlag zur verbindlichen Entschlüsselung auf richterliche Anordnung, um Sicherheitsbehörden Zugang zu verschlüsselten Nachrichten zu verschaffen, steht im krassen Gegensatz zu datenschutzrechtlichen Überlegungen, zu Deutschlands bisheriger Kryptopolitik und der Entwicklung in Richtung einer auf Sicherheit aufgebaute digitale Zukunft. Demnach widerspricht es radikal den Kernzielen der Digitalen Agenda, Deutschland zu einem „Verschlüsselungsstandort Nr. 1” zu machen. Kein Wunder, dass sein Plan einen Kritiktsunami sowohl in der Experten-, Aktivisten– und Politiklandschaft als auch bei Verschlüsselungsdienstleistern auslöste.
Zwei sich ausschließende Konzepte: Ende-zu-Ende-Verschlüsselung und Hintertüren
Greifen wir einmal auf die Formel der Ende-zu-Ende-Verschlüsselung zurück: Die Technologie bedeutet im Kern eine sichere Informationsübertragung zwischen zwei Kommunikationspartnern, wobei die Informationen vom Sender verschlüsselt übermittelt werden und erst wieder beim Empfänger entschlüsselt werden. In den Zwischenstationen des Datentransfers kann niemand auf die Inhalte zugreifen, nicht einmal die Serviceanbieter.
Der Vorgang lässt sich mit einer Analogie als eine „vor sehenden Augen“ abgesperrte, geheime Übertragung beschreiben, die innerhalb eines Panzertunnels passiert, wobei nur Sender und Empfänger den Schlüssel zu den Schlössern an beiden Enden des Tunnels besitzen. Jede Lücke an dieser an sich unknackbaren Übertragungsstrecke – sei es nur ein Wachposten für einen „guten” Zweck – macht das ganze System verwundbar und damit anfällig für böswillige Angriffe. Genau das ist der Fall beim Einbau einer Hintertür in die Verschlüsselungstechnologie: Durch den staatlichen Zugriff auf verschlüsselte Kommunikation würde eine Schwachstelle entstehen, die die Garantie der Verschlüsselungslösungen für eine lückenlose Sicherheit null und nichtig macht. Erfahren Sie mehr darüber, warum das Konzept der Privatsphäre mit der Technologie der Hintertür inkompatibel ist.
Die Sicherheit von jedem steht auf dem Spiel
Ein stets herangezogenes Argument gegen Hintertüren lautet: Es gibt keine Hintertür nur für die „Guten“. Hacker werden sich nicht scheuen, sich jede mögliche Schwachstelle zunutze zu machen. Und auch die Begründung der „Kriminalitätsbekämpfung“ steht auf wackeligen Beinen, denn das Umgehen von Entschlüsselungsgesetzen ist ein Kinderspiel für Terroristen. Sie würden Ausweichmöglichkeiten finden und bedenkenlos auf neue Lösungen und Kanäle für ihre geheime, interne Kommunikation umsteigen.
Ein Entschlüsselungszwang könnte dennoch die Sicherheit im Internet langfristig infizieren. Der Fall von FREAK drängt sich hier als Warnzeichen aus der Geschichte auf. FREAK ist ein Relikt aus dem Krypto-Krieg der 90er Jahre, als die NSA die Abschwächung der Verschlüsselung per Gesetz verordnete, um eine Ausfuhrkontrolle für verschlüsselte Produkte ins Ausland zu schaffen. Nach 15 Jahren tobte FREAK erneut im Jahr 2015 und kompromittierte Millionen von Webseiten, darunter das Portal des FBI, der NSA und von IBM.
Es handelt sich hier auch um eine Vertrauensfrage. Im Ringen der Sicherheitsbehörden um mehr Datenquellen schwingt auch das historisch überlastete Stichwort Spionageaktivitäten mit. Eine ausgeweitete staatliche Kontrolle würde das seit den Snowden-Enthüllungen erschütterte Vertrauen von Nutzern weiter unterminieren. Auch Tresorits Umfrage in Zusammenarbeit mit YouGov bestätigt diesen dramatischen Vertrauensverlust in Online-Dienstleister: 85% der Deutschen empfinden, dass ihre vertraulichen Daten bei Tech-Giganten und auf sozialen Netzwerken wegen Hackern in Gefahr sind. Dass ein zunehmendes Bedürfnis nach verschlüsselten Sicherheitslösungen bei den Befragten besteht, geht aus den Zahlen deutlich hervor: 66% sind sich einig, dass Ende-zu-Ende-Verschlüsselung eine wichtige Rolle spielen könnte, um ihre digitale Privatsphäre zu schützen. Ein Verschlüsselungsverbot könnte jedoch dieses Restvertrauen unumstößlich zerstören.
Angriffsfläche: KMU
Für Unternehmen ist die ende-zu-ende-verschlüsselte Sicherheit geschäftskritisch. Denn diese ist die einzige Lösung – er Königsweg schlechthin – durch die sie die Datenschutz- und Compliance-Auflagen erfüllen sowie die vertraulichen Daten ihrer Kunden vor unbefugtem Zugriff bestmöglich schützen können. Daten als Ware auf dem Online-Schwarzmarkt sind verlockend. Es vergeht kaum eine Woche ohne alarmierende Schlagzeilen über Hackerskandale. In der Tat wurden laut dem Lagebericht 2018 des Bundesamts für Sicherheit in der Informationstechnik (BSI) 70 Prozent der deutschen Unternehmen und Institutionen in den Jahren 2016 und 2017 Opfer von Cyberangriffen. Und dabei sind KMUs die sensibelsten und die am häufigsten betroffenen Angriffsziele – nur werden sie seltener ins Rampenlicht der Medien gestellt. Die Fakten erzählen aber von einer anderen Realität: Die meisten Angriffe richten sich nicht mehr gegen Großkonzerne, sondern gegen kleine und mittlere Unternehmen.
Die Folgen sind gravierend: Neben finanziellen Kosten können die Imageschäden existenzbedrohend sein. Laut Hiscox Cyber Readiness Report 2019 verursachten Cybervorfälle europaweit die größten Schäden von durchschnittlich über 900 000 US-Dollar in Deutschland. Für KMUs betrug dies 2017 etwa 55 000 US-Dollar im Durchschnitt.
Positiv zu bewerten ist, dass sich die KMUs indes der Gefahr der Cyberkriminalität bewusst sind – so die IT-Sicherheitsstudie 2019 des eco Verbands – : 90 Prozent der Befragten empfinden die Bedrohungslage als wachsend und zählen Datenschutz (89%) und die Verschlüsselung von Daten (82%) zu den Top-Sicherheitsthemen. Nur an der Vorbereitung hapert es immer noch, denn ein Viertel der KMUs setzen gar keine Verschlüsselungslösungen in keinem Anwendungsfall ein, geschweige denn Ende-zu-Ende-Verschlüsselung. Obwohl technische und finanzielle Bedenken die Unternehmen einerseits von der Nutzung einer sicheren, verschlüsselten Lösung weiterhin abhalten, stehen ihr Fortbestehen, ihre Wettbewerbsfähigkeit und ihre Reputation auf der anderen Seite. Und Ende-zu-Ende-Verschlüsselung ist das Zünglein an der Waage zugunsten präventiver Sicherheit.
Falls Sie daran interessiert ist, wie Tresorits ende-zu-ende-verschlüsselte Cloudspeicher- und Datentauschlösung Ihnen beim Schutz Ihrer vertraulichen Kundendaten helfen kann, lesen Sie hier weiter.
Garantierte Sicherheit ist „türlos“ und „ende-zu-ende-verschlüsselt“
In der digitalen Ära, in der Daten der neue Rohstoff sind und als monetäre Währung gelten, muss man bei ihrem Schutz kompromisslos vorgehen. Eine lückenlose Sicherheit ist nur durch Ende-zu-Ende-Verschlüsselung möglich. Und das schließt jedwede Hintertür aus. Sonst würden die derart eröffneten Schwachstellen die gesamte Grundlage der IT-Sicherheit, das Recht auf Online-Privatsphäre und somit die gesamte Wirtschaft gefährden. Aber äußerst hart würde es die kleinen, meist wehrlosen Akteure der Wirtschaft treffen.