Quelle: Recht auf Verschlüsselung und Daten für das FBI (dr-datenschutz.de)
Im frisch unterzeichneten Koalitionsvertrag hat die künftige Regierung ein Recht auf Verschlüsselung versprochen. Gleichzeitig verlangen die Innenminister der Länder derzeit, dass Kommunikationsdienste ihre Verschlüsselung zu Gunsten von Sicherheitsbehörden schwächen. Passend dazu ist kürzlich ein Dokument publik geworden, das aufzeigt, welche Daten Messenger-Dienste an die Strafverfolgungsbehörden in den USA herausgeben.
Ampel-Regierung verspricht ein Recht auf Verschlüsselung
Mit dem, mittlerweile unterzeichneten, Koalitionsvertrag der Ampel-Regierung, soll künftig ein Recht auf Verschlüsselung eingeführt werden. Zu finden ist dieses im Abschnitt „Digitale Innovationen und digitale Infrastruktur“ des Vertrages, der noch einige weitere progressive Versprechen enthält. Dazu gehört etwa auch die Gewährleistung von Anonymität im Netz. Zum Recht auf Verschlüsselung heißt es wörtlich auf S. 16 des Vertrages:
„Wir führen ein Recht auf Verschlüsselung, ein wirksames Schwachstellenmanagement, mit dem Ziel Sicherheitslücken zu schließen, und die Vorgaben „security-by-design/default“ ein. Auch der Staat muss verpflichtend die Möglichkeit echter verschlüsselter Kommunikation anbieten.“
Ein solches Recht auf Verschlüsselung hatte der Chaos Computer Club in seiner Formulierungshilfe Digitales gefordert, welche eindeutig als Inspirationsvorlage für den Koalitionsvertrag gedient hat. Eine Stärkung von Verschlüsselung würde die weltweite IT-Sicherheit erhöhen. Eine Schwächung würde hingegen dazu führen, dass die Sicherheit des Großteils der Bevölkerung ausgehebelt und nur noch Kriminelle Verschlüsselung nutzen würden. Die Datenverschlüsselung wird darüber hinaus als Grundrecht im Rahmen der informationellen Selbstbestimmung betrachtet. Es dürfe niemand gezwungen werden, Passwörter oder Schlüssel herauszugeben.
Schon Anfang 2020 diskutierte eine Expertenrunde im Rahmen einer Anhörung im Bundestag über ein Recht auf Verschlüsselung. Die geladenen Experten wiesen allesamt darauf hin, dass Verschlüsselung dem Schutz wesentlicher Grundrechte dient. So bezeichnete auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber die Verschlüsselung als einen Grundrechtsschutz, der die für den selbstbestimmten Umgang mit persönlichen Daten erforderlichen Freiraum schaffe. Dem scheint sich die neue Bundesregierung nun endlich annehmen zu wollen.
Datenweitergabe an das FBI durch Messenger-Anbieter
Besonders relevant ist das Thema Verschlüsselung gerade bei Messenger-Diensten. Niemand möchte schließlich, dass seine privaten Nachrichten von unbeteiligten Dritten gelesen werden können. Als Folge einer Informationsfreiheitsanfrage in den USA, wurde nun eine Übersicht veröffentlicht, die aufzeigt, welche Daten die US-Strafverfolgungsbehörden, also vorwiegend das FBI, von welchen Messenger-Anbietern erhalten können.
Im Folgenden daher eine Auflistung der erwähnten Messenger und den Abfragemöglichkeiten der Behörden:
- iMessage: Mittels einer Vorladung (sog. Subpoena) können grundlegende Nutzerdaten eingesehen werden, mittels einer anderen gesetzlichen Regelung die Nutzungsdaten der letzten 25 Tage. Wird iCloud genutzt, können unter Umständen sogar Nachrichten eingesehen werden, sofern die Behörden einen Durchsuchungsbeschluss vorlegen.
- WhatsApp: Abhängig von der Rechtsgrundlage (Subpoena, Durchsuchungsbeschluss) können grundlegende Nutzerdaten, Informationen zu geblockten Accounts, Adressbüchern sowie Quelle und Ziel der Nachricht herausgegeben werden. Wird iCloud genutzt, können unter Umständen auch Nachrichten eingesehen werden.
- Signal: Es können nur Datum und Uhrzeit der Registrierung und der letzten Nutzung erlangt werden.
- Threema: Falls der Nutzer diese angeben hat, können die gehashte Telefonnummer und die E-Mail-Adresse herausgegeben werden. Außerdem kann auch das Datum der Registrierung und des letzten Logins erlangt werden. Dazu kommen der öffentliche Verschlüsselungskey und ein Token für Push-Nachrichten.
- Telegram: Im Fall von Terrorismus-Ermittlungen können die IP-Adressen und die Telefonnummer herausgegeben werden.
- Viber: Es können Account-Daten (Telefonnummer), Registrierungsdaten sowie die IP-Adresse zum Zeitpunkt der Registrierung und außerdem ein Nachrichtenverlauf bestehend aus Uhrzeit, Datum, Quell- und Zielnummer herausgegeben werden.
- Line: Hier können Registrierungsinformationen (Profilbild, Anzeigename, E-Mail-Adresse, Telefonnummer, etc.) und Angaben zur Nutzung abgefragt werden. Mit Hilfe eines Durchsuchungsbeschlusses können auch Nachrichteninhalte (außer Bilder, Videos etc.) erlangt werden, wenn der Nutzer keine Ende-zu-Ende-Verschlüsselung aktiviert hat.
- WeChat: Von nicht-chinesischen Accounts werden Name, Telefonnummer, E-Mail-Adresse und IP-Adresse herausgegeben.
- Wickr: Hier können Uhrzeit und Datum der Registrierung, die Art der Endgeräte, auf denen die App genutzt wird, das Datum der letzten Nutzung, die Gesamtzahl der Nachrichten, die Anzahl der mit dem Account verbundenen externen IDs, das Avatarbild und in begrenzter Anzahl Informationen zur Änderung von Einstellungen abgefragt werden.
Das mit „Lawful Access“ betitelte Dokument vom 07.01.2021 liefert dabei zwar keine wirklichen Neuigkeiten, stellt aber übersichtlich dar, welche Unterschiede hinsichtlich der Datenherausgabe an Strafverfolgungsbehörden zwischen WhatsApp, Signal und Konsorten bestehen. Es zeigt darüber hinaus, an welche Daten die Behörden in den USA trotz der mittlerweile weit verbreiteten Ende-zu-Ende-Verschlüsselung kommen können.
Innenminister wollen Verschlüsselung bei Messengern umgehen
Interessant ist in diesem Zusammenhang ebenfalls, dass erst kürzlich die Innenminister auf ihrer Herbstkonferenz Beschlüsse gefasst haben, in welchen sie erneut Möglichkeiten fordern, Verschlüsselungen bei Messenger-Diensten zu umgehen. Ziel ist dabei eine effektivere Bekämpfung von Kriminalität im Netz. Sie fordern, dass Anbieter „internetbasierter Kommunikationsdienste“ die Kommunikationsinhalte den Sicherheitsbehörden unverschlüsselt zur Verfügung stellen müssten. Dabei stehen neben E-Mail-Providern vor allem Messenger-Dienste, wie WhatsApp, im Fokus. Bei diesen ist derzeit oftmals eine Ende-zu-Ende-Verschlüsselung im Einsatz, die verhindert, dass auf den Nachrichteninhalt im Klartext zugegriffen werden kann. Selbst die Anbieter können auf diese in der Regel nicht zugreifen. Sie müssten daher Hintertüren für den staatlichen Zugriff einbauen oder die Verschlüsselung anderweitig schwächen.
In diesem Zusammenhang sagte etwa der baden-württembergische Innenminister Thomas Strobl (CDU) über Messenger-Dienste:
„Diese Kanäle dürfen sich aber nicht zu rechtsfreien Räumen entwickeln.“
In einer Zeit, in der Kriminelle zunehmend verschlüsselt kommunizieren, soll es nach Ansicht der Minister erforderlich sein, dass Sicherheitsbehörden entsprechend gewappnet werden, um dem entgegenzuwirken. Es bestünde ansonsten die Gefahr eines „Blindfluges der Sicherheitsbehörden“. Im krassen Widerspruch zu diesen geäußerten Befürchtungen steht das Handeln der Sicherheitsbehörden in Fällen der jüngsten Zeit, etwa beim Anbieter EncroChat oder der Operation Trojan Shield.
Des Weiteren muss man sich vor Augen halten, dass durch das geforderte Hinterlegen einer Zugriffsmöglichkeit für Sicherheitsbehörden auch der Anbieter selbst eine Zugriffsmöglichkeit auf die Kommunikationsinhalte erhält. Abgesehen davon bietet dieses Vorgehen auch unbefugten Privatpersonen eine Möglichkeit, Zugriff auf die Kommunikation zu erhalten und stellt damit eine nicht unerhebliche IT-Sicherheitslücke dar.
Verschlüsselung vs. Sicherheitsbehörden
Das Verhältnis von Anbietern von Internetkommunikation und Sicherheitsbehörden ist immer wieder Thema des öffentlichen Diskurses und politischer Bestrebungen. Über Pläne des EU-Ministerrats, welche den Vorstellungen der Innenminister sehr nahekommen, haben wir bereits in der Vergangenheit berichtet. Auch mit der Ausnahme-Verordnung der EU, wonach die eigentlich von der ePrivacy-Richtlinie verbotene Scan-Praxis auf kindesmissbräuchliche Inhalte wieder erlaubt wird, haben wir uns bereits auseinandergesetzt. Nach Recherchen von WDR und BR, ist auch das BKA schon seit längerer Zeit in der Lage, trotz Verschlüsselung oftmals auf WhatsApp-Kommunikation zuzugreifen. Die Verschlüsselung kann durch die Ermittler mit Hilfe der WhatsApp Browser-Version einfach umgangen werden.
Am Ende wird womöglich genau das die Herausforderung der neuen Regierung bei der konkreten Ausgestaltung ihres Rechts auf Verschlüsselung sein. Sie wird sich die Frage stellen müssen, inwieweit das Recht schrankenlos gewährt werden kann und wie Interessen von Sicherheitsbehörden dabei gewichtet werden sollten. Es bleibt daher abzuwarten wie genau das Recht auf Verschlüsselung in Gesetzesform gegossen wird und welchen Einschränkungen es womöglich unterliegen wird.