Das Recht auf Kryptographie ist das Recht auf digitale Selbstverteidigung

für die Mailingliste debate@fitug.de

Bundesinnenminister Kanther eröffnete am 28 April 1997 den 5. IT-Sicherheitskongress in Bonn. Auf seiner Eröffnungsrede forderte der Minister, den Einsatz von Verschlüsselungsverfahren in der Bundesrepublik Deutschland zu reglementieren. Nach Kanthers Vorstellungen dürfen in Deutschland nur noch Verschlüsselungsverfahren zum Einsatz kommen, die es den Bundesbehörden erlauben, verschlüsselte Informationen nach Belieben zu decodieren.

Derzeit ist der Einsatz und der Export von Verschlüsselungsverfahren in Deutschland nicht eingeschränkt, was der deutschen Industrie einen entscheidenden Wettbewerbsvorteil gegenüber den USA, Frankreich und anderen Ländern mit Kryptobeschränkungen gibt. Verfahren zur Verschlüsselung von Daten und zur digitalen Unterschrift machen von sogenannter “starker Kryptographie” gebrauch. Sie gelten als der Schlüssel zum digitalen Handeln, da nur durch solche Verfahren Geld und Geschäftsgeheimnisse sicher und unverfälscht über das Rechnernetze transportiert werden können.

Kanther selbst sagt in seiner Rede:

Mehr und mehr werden persönliche Daten, wichtige Geschäftskommunikation, Geschäftsabschlüsse und Geldtransaktionen mit Computern verarbeitet und über die modernenKommunikationsnetze geleitet. Wo das ohne hinreichenden Schutz geschieht, ist das oftmals geradezu eine Einladung an Kriminelle. Das Erschleichen einer Kreditkartennummer durch Hacking und der anschließende Mißbrauch, der Scheckkartenbetrug oder das Abzweigen von Geldbeträgen von einem Konto zum anderen lassen sich anonym unter Ausnutzung der elektronischen Kommunikationsmittel vollziehen. Die Täter verstecken sich in der Anonymität der Netze, verwischen ihre elektronische Spur, einen Tator gibt es nicht mehr. Strafverfolgungsbehörden und Polizei sind vor völlig neue Herausforderungen gestellt.

Kanther erwähnt dabei nicht, daß gerade kryptographisch starke Verfahren zur Signatur und zur Verschlüsselung von Informationen derartige Verbrechen schon im Ansatz verhindern können. Digital signierte Dokumente können nicht gefälscht werden und sicher verschlüsselte Texte können nicht abgehört werden. Der Einsatz von Kryptographie in Datennetzen erschwert also nicht die Verfolgung von Verbrechern, sondern er macht das Verbrechen selbst unmöglich. Der schleswig-holsteinische Datenschutzbeauftragte, Dr. Bäumler, formuliert dies in seinen Thesen zur Kryptographie unter anderem so:

[ Es ist ] geradezu ein Gebot, die Bürger vor organisierten Verbrechern zu schützen bzw. genauer: ihnen zu erlauben, sich selbst wirksam zu schützen. Denn nur so können sie finanzielle Transaktionen über Netze abwickeln, ohne Opfer von Computerkriminalität zu werden.

Kanther fordert in seiner Rede, den Risiken, die sich aus der Technik ergeben auch mit den Mitteln der Technik zu begegnen und führt dabei unter anderem auch elektronische Wegfahrsperren als Mittel zur Verhinderung von Kraftfahrzeugdiebstählen an. Dieser Vergleich mutet seltsam unpassend an, handelt es sich dabei doch genau wie der Einsatz von kryptographischen Mitteln um ein klassisches Mittel zu Verbrechensprävention, nicht um ein staatliches Instrument zur Strafverfolgung. Eine Umsetzung von Kanthers Vorschlägen würde den Anwender von Datennetzen seiner legitimen Verteidigungsmöglichkeiten gegen Computerkriminelle berauben.

Kanther führt weiter aus, wie er sich die Kontrolle des Staates vorstellt:

Dies kann dadurch geschehen, daß die verwendeten Schlüssel sicher hinterlegt werden. Durch eine Kombination von organisatorischen, personellen, technischen und juristischen Maßnahmen kann jedem Verdacht einer Mißbrauchsmöglichkeit begegnet werden.

Kanther sagt dies eine Woche, nachdem der Spiegel berichtet, daß auch eine Kombination von organisatorischen, personellen, technischen und juristischen Maßnahmen nicht ausgereicht hat, illegale Datenströme zwischen dem Pullacher Verfassungsschutz und Angehörigen der CSU zu verhindern.

Eine Hinterlegung von privaten Schlüsseln erlaubt es jedem der diese Schlüssel kennt, die Persona des Schlüsselinhabers im Netz zu übernehmen, seine Kommunikation mitzulesen, in seinem Namen Nachrichten zu versenden, Verträge abzuschließen oder Verbrechen zu begehen. Jemandem seine digitalen privaten Schlüssel zu übergeben bedeutet, sich dieser Person oder Institution persönlich und wirtschaftlich vollkommen auszuliefern. Die Hinterlegung der privaten Schlüssel bei einer Schlüsselzentrale entspricht der Erteilung einer unumschränkten Unterschriften- und Kontovollmacht auf das bloße Versprechen hin, daß die Schlüsselzentrale von dieser Vollmacht nur zum größeren Nutzen der Allgemeinheit Gebrauch machen wird.

Niemand, der klar bei Verstand ist, kann einer solchen Verpflichtung nachkommen. Die von Kanther geforderte Schlüsselhinterlegung würde jede Form von digitalem Kommerz in Deutschland schon im Ansatz abwürgen und den ohnehin schon gefährdeten Standort Deutschland im internationalen Wettbewerb noch weiter zurückwerfen.

Kanther fordert dies auch, obwohl die Möglichkeiten der Strafverfolger durch die Reform der Telekommunikationsgesetze und den großen Lauschangriff schon stark ausgeweitet worden sind. Nicht nur das: Kanthers Ministerium bleibt konsequent den Beweis nach Wirksamkeit dieser Maßnahmen schuldig. Obwohl diese Gesetze eine Einschränkung des Fernmeldegeheimnisses und des Rechtes auf Unverletzlichekeit der Wohnung darstellen, existieren noch immer keine veröffentlichten Daten darüber, ob der Erfolg dieser Maßnahmen diese Einschnitte in wesentliche Grundrechte rechtfertigt.

Auch in einem unbefangenen Beobachter muß dabei doch der Verdacht aufkommen, daß es mit der Wirksamkeit dieser Maßnahmen nicht so weit her sein kann. Wieviel wirkungsloser wird dann ein Verbot nicht genehmigter Kryptographie sein, wenn die Sachverständigen schon im Vorfeld bescheinigen, daß ein solches Verbot für die Strafverfolgung praktisch wirkungs- und wertlos sein wird?

Und Stimmen, die ein solches Verbot nicht genehmigter, harter Kryptographie ablehnen, gibt es zuhauf: Datenschützer, Verfassungsrechtler, Wissenschaft und Industrie lehnen eine solche Regelung geschlossen ab. “Wohlwollende” Unterstützung für seinen Vorschlag findet Kanther vorwiegend im Ausland, etwa bei unseren amerikanischen “Freunden”, für die eine nicht mehr abhörbare Kommunikation deutscher Wirtschaftsunternehmen ein schwerer Rückschlag auf dem Gebiet der Industriespionage wäre.

Wie praktisch wäre es dagegen, müßte man sich die Schlüssel deutscher Firmen nicht mehr einzeln in jedem Werk besorgen, sondern könnte gezielt das System der zentralen deutschen Schlüsselverwaltung anzapfen - die womöglich sogar mit von amerikanischen Firmen gelieferter Hardware und Systemsoftware betrieben würde. Für die Wettbewerbsfähigkeit der deutschen Wirtschaft ist es essentiell, sich selbst vor Wirtschaftsspionage und vor der Verfälschung der eigenen Kommunikation schützen zu können. Funktionieren kann dies nur, wenn es der Industrie möglich ist, Verfahren ohne Sollbruchstelle und Hintertüren einzusetzen.

In den letzten Jahren ist es im Innenministerium Mode geworden, unter dem Verweis auf die sogenannte organisierte Kriminalität ein Grundrecht nach dem anderen schrittweise durch den Gesetzgeber einschränken zu lassen. Vielleicht sollte jetzt erst einmal der Beweis angetreten werden, daß die bisher gemachten Zugeständnisse der Bürger an ihren Staat Früchte tragen und die von uns allen ermöglichten Maßnahmen auch tatsächlich wirksam sind. Vielleicht sollten wir alle uns auch einmal fragen, ob wir uns nicht selbst auf eigene Verantwortung vor den schwarzen Schafen in unserer Gemeinschaft schützen können.

Ganz sicher sollten wir uns jedoch klarmachen, daß eine Reglementierung kryptographischer Verfahren ein Irrweg ist. Ein Irrweg, der fordert, daß Bürger und Firmen ihre digitale Seele bei einem Staat hinterlegen, der für ihre Sicherheit nicht garantieren kann.

Und ganz dringend sollten wir alle uns klarmachen, daß dieses Thema uns alle und ohne Ausnahme angeht: Eine Renterin trägt ihr Geld zu Fuß zu einer Sparkasse tragen - die Sparkasse wird dieses Geld digital transferieren. Ein Arbeiter mag mit handfesten Gerätschaften an einem Fließband schaffen - das Nervensystem seiner Firma und die Kronjuwelen der Entwicklung werden jedoch mit Sicherheit in einem Rechnersystem vorliegen. Die Beamtin im Einwohnermeldeamt oder im Finanzamt mag noch immer mit Schreibmaschine und Stempel arbeiten - aber die Melderegister und Steuerbescheide liegen in Rechnern vor. Der Hausarzt mag mit dem Fahrrad in die Praxis kommen und seine Patienten alle mit dem Vornamen kennen - für die Kassenrechnung muß er Krankengeschichten und Leistungen in Computersystemen vorhalten. Und man mag mit seiner Bäckerin am Samstagmorgen über dem Brötchenkauf gerne ein nettes Schwätzchen halten - aber die Umsatzdaten des Supermarktes laufen über ein digitales Kassensystem bis in die Konzernzentrale.

Wir alle sind, ob wir es wollen oder nicht und ob wir es wissen oder nicht, Anwender von Informationstechnologie und Datennetzen. Netze und Informationen, die nur dann sicher sein können, wenn ihre Betreiber nicht durch einen übereifrigen Staat daran gehindert werden. Es muß unser aller Interesse sein, dies unserem Staat klar zu machen.

DENN:

Das Recht auf Kryptographie ist das Recht auf Privatsphäre.

Das Recht auf Kryptographie ist das Recht auf wirtschaftliches Überleben.

Das Recht auf Kryptographie ist das Recht auf digitale Selbstverteidigung.

Das Recht auf Kryptographie ist ein Menschenrecht.