Kryptologie und die neuen Medien

Inhalt

I. Einführung

II. Einige Grundbegriffe der Kryptologie

III. Warum Kryptographie im Internet?

IV. Die rechtliche Situation

V. Staatliche Kontrolle - Pro und Kontra

VI. Kryptologie in der Schule?

VII. Literatur

IV. Die rechtliche Situation

Nach wie vor ist die Nutzung von Kryptographie und insbesondere von Verfahren zur Verschlüsselung von Daten im Internet heftig umstritten. Daß sie in Anwendungen wie Online-Shops oder Internet-Banking notwendig und wichtig ist, dürfte jedem klar sein. Auch bei der Anbindung beispielsweise von Krankenhäusern und anderen medizinischen Einrichtungen an das Internet, um den schnellen Austausch von Patientendaten zu ermöglichen, wird niemand bestreiten, daß es nötig ist, die übertragenen Daten gegen unbefugtes Mitlesen oder gegen Verfälschen zu schützen. Hier können unter Umständen Leben davon abhängen, daß diese Daten korrekt übertragen werden.

Nun wird das Internet jedoch nicht nur zur Firmenkommunikation, für den Warenverkauf oder für andere geschäftliche Zwecke genutzt. Im Gegenteil: Ein Großteil der über das Internet ausgetauschten Daten und der abgewickelten Kommunikation ist privater Natur. Und genau dieser Bereich ist in Bezug auf die Anwendung kryptographischer Verfahren zur Datenverschlüsselung heiß umstritten. Von staatlicher Seite gibt es Bestrebungen, die Verwendung von Kryptographie in der privaten Kommunikation einzuschränken. Und wenn sie nicht verboten werden kann, so soll ihre Anwendung doch wenigstens überwachbar sein. Auf der anderen Seite stehen die, die sich gegen jegliche Art von Überwachung wehren, sei es, weil sie Eingriffe in ihre Privatsphäre fürchten, staatliche Überwachung generell ablehnen oder aber den Datenschutz verletzt sehen, wenn Behörden und andere Institutionen Einblick in private Kommunikation nehmen.

Um dieses Pro und Kontra zu verstehen und an der Diskussion darüber teilnehmen zu können, ist es auf jeden Fall erforderlich, sich ein wenig mit der aktuellen rechtlichen Situation zu beschäftigen.

In Deutschland ist die Situation im Augenblick die, daß es keine gesetzliche Regelung gibt, die den Einsatz kryptographischer Verfahren betrifft. Das bedeutet, daß die Verwendung von Kryptographie nicht verboten ist. Es steht derzeit jedem frei, Daten und Informationen mit einem Verfahren bzw. Programm seiner Wahl, beispielsweise PGP, zu verschlüsseln.

Nichtsdestotrotz existieren jedoch Bemühungen, auch in Deutschland die Verwendung kryptographischer Verfahren einzuschränken, so wie das beispielsweise in Frankreich und in Rußland bereits der Fall ist. Worum geht es genau?

Die Bestrebungen gehen unter anderem dahin, die Herstellung und den Vertrieb von Systemen, die die Datenverschlüsselung ermöglichen, genehmigungspflichtig werden zu lassen. Die Genehmigung sollte dabei daran gebunden sein, daß die Systeme es erlauben würden, die verschlüsselten Daten mit vertretbarem Aufwand zu rekonstruieren. Die Verwendung von nichtgenehmigten Verfahren soll verboten werden.
Sollte diese Regelung Realität werden, würde das bedeuten, daß man Daten zwar verschlüsseln kann, dafür aber ausschließlich Verfahren einsetzen darf, die es gegebenfalls erlauben, daß beispielsweise staatliche Behörden ohne Schwierigkeiten auf diese Daten Zugriff nehmen. Von wirksamem Datenschutz kann dann natürlich keine Rede mehr sein.

Auch Innenminister Manfred Kanther hat Pläne, die in diese Richtung zielen. In einer Rede, die er anläßlich der Eröffnung des 5. IT-Sicherheitskongresses am 28. April 1997 in Bonn hielt und die unter der Überschrift "Mit Sicherheit in die Informationsgesellschaft" stand, unterstützte er die Forderung der Sicherheitsbehörden von Bund und Ländern, daß ausschließlich solche kryptographischen Systeme verwendet werden dürften, bei denen legales Abhören möglich sei. Er verlangte ein entsprechendes Gesetz darüber und begründete diese Forderung damit, daß ansonsten alle Befugnisse und Bemühungen von Strafverfolgungs- und Sicherheitsbehörden nutzlos wären, insbesondere dann, wenn vielleicht sogar das klassische Telefongespräch verschlüsselt würde. Das Abhören trotz Verschlüsselung soll nach den Vorstellungen Kanthers dadurch gewährleistet werden, daß die verwendeten Schlüssel sicher hinterlegt werden. "Durch eine Kombination von organisatorischen, personellen, technischen und juristischen Maßnahmen" solle jede Möglichkeit des Mißbrauchs ausgeschlossen werden.

Doch diese Bestrebungen stoßen nicht uneingeschränkt auf Zustimmung. Ganz im Gegenteil: Es mehren sich die Stimmen, die eine derartige Form der Nutzungsbeschränkung für kryptographische Verfahren in der rechnergestützten Kommunikation ablehnen. Und diese Stimmen kommen zu großen Teilen auch aus den Bereichen der Politik und der Wirtschaft.

Dies führte dazu, daß Kanthers Initiative vom April vorigen Jahres erst einmal scheiterte. Doch damit ist die Diskussion um die Thematik Krypto-Regulierung natürlich keineswegs beendet. Wie die Computerzeitung c't in ihrer Ausgabe 14/97 vom November des vergangenen Jahres berichtet, wird die Diskussion um die Krypto-Regulierung in der Bundesregierung weiter fortgesetzt, insbesondere auch in Gesprächen mit Vertretern von Verfassungsschutz, Bundeskriminalamt, Zollkriminalamt und dem Bundesamt für Sicherheit in der Informationstechnik. Nach wie vor geht es um die Forderung nach einem "gesetzlich festgeschriebenen Genehmigungsvorbehalt für Kryptoprodukte zur 'Wahrung der inneren und äußeren Sicherheit'". Der Unterschied in der Diskussion besteht nur mittlerweile darin, daß sie offenbar mehr und mehr nichtöffentlich stattfindet.

Der Hauptansatzpunkt der Krypto-Regulierungsbemühungen liegt also augenblicklich darin, eine vollkommene Nutzung der derzeit zur Verfügung stehenden kryptographischen Methoden zu verhindern. Es geht darum, den staatlichen Strafverfolgungs- und Überwachungsbehörden Möglichkeiten an die Hand zu geben, auch zu verschlüsselten Daten Zugang zu erlangen. Das soll dadurch erreicht werden, daß per Gesetz die Verwendung von kryptographischen Verfahren nur dann erlaubt wird, wenn diese genehmigt wurden. Dafür sollen aber nur Verfahren in Frage kommen, für die entweder der Schlüssel freiwillig bei den entsprechenden Behörden hinterlegt wird (diese Praxis wird mit dem Begriff "Key escrow" bzw. "Key recovery" bezeichnet), oder die bereits in die Software eingebaute 'Sollbruchstellen' besitzen, die es den Behörden erlauben, mit geringem Aufwand auch ohne Kenntnis des Schlüssels Zugriff auf die Daten zu nehmen.

Auch wenn derzeit Kryptographie in Deutschland (noch) uneingeschränkt genutzt werden kann, gehen, wie man sieht, die Planungen der Bundesregierung doch eindeutig in Richtung Beschränkung ihrer Nutzung. Die derzeit gültigen gesetzlichen Regelungen sagen nämlich, wie bereits festgestellt, nichts über kryptographische Verfahren aus und können daher zu diesem Zweck auch nicht verwendet werden.

Die Fernmeldeverkehrsüberwachungsverordnung (FÜV) verpflichtet zwar alle Betreiber von Fernmeldeanlagen, verschlüsselte Daten abhörenden Behörden im Klartext zur Verfügung zu stellen. Doch es ist bereits festgestellt worden, daß Verschlüsselungsverfahren nicht als Fernmeldeanlagen betrachtet werden können. Mit ihrer Hilfe werden nämlich keine Nachrichten übertragen. Diese Verfahren werden lediglich als Mittel zur Verfremdung von Daten vor ihrer Übermittlung benutzt. Das bedeutet, daß sie nicht unter den Begriff der Fernmeldetechnik fallen, Betreiber von Fernmeldeanlagen folglich also nicht verpflichtet sind, Schlüsselduplikate aufzubewahren, solange die Teilnehmer die Möglichkeit haben, das Verschlüsseln unabhängig vom Übertragungsdienst zwischen den Endgeräten vorzunehmen. Aus diesem Grunde arbeitet die Bundesregierung auch an entsprechenden Gesetzen, die genau das ermöglichen sollen.

In diesem Zusammenhang muß man sich auch vor Augen halten, daß in Deutschland, unabhängig von der aktuellen Diskussion um die Kryptoregelung, bereits einige Gesetze existieren, die die verstärkte Überwachung begünstigen. Beispielsweise schreibt die Fernmeldeverkehrsüberwachungsverordnung (FÜV), die im Mai 1995 erlassen wurde, die technischen Details zur Überwachung einer Telekommunikation vor. Auf einen Punkt, den verschlüsselten Datenverkehr, wurde weiter oben schon eingegangen. Darüberhinaus wird jedoch vorgeschrieben, daß im Falle einer Überwachung neben den abgehörten Daten auch die weiterführende Daten wie die Nummern der ein- und abgehenden Verbindungen oder aber die genutzten Dienste, zum Beispiel Newsgroups, zu übermitteln sind.

Das 1996 in Kraft getretene Telekommunikationsgesetz (TKG) geht noch einen Schritt weiter. Hier wird der Betrieb von Telekommunikationsanlagen und -netzen davon abhängig gemacht, daß die Anbieter auf eigene Kosten Einrichtungen zur Überwachung installieren. Außerdem müssen sie den Behörden gegebenenfalls Zugriff auf die Kundendaten gewähren.

Anfang diesen Jahres trat dann das Begleitgesetz zum Telekommunikationsgesetz (TKBeglG) in Kraft. Zwar verschärft es die Vorschriften gegen den Bruch des Fernmeldegeheimnisses, aber der Bruch dieses Fernmeldegeheimnisses durch nicht zu einem Telekommunikationsanbieter gehörende Personen ist nach wie vor straffrei. Außerdem wird die Überwachung auf all jene erweitert, die geschäftsmäßig Telekommunikationsdienste anbieten. Das betrifft vor allem interne Firmennetze.

Letztendlich bedeutet das, daß ein Provider (ein Telekommunikationsanbieter, der den Zugang zum Internet ermöglicht) nach dem sogenannten G10-Gesetz (Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Gesetz zu Artikel 10 Grundgesetz) (G 10) vom 13. August 1968) dazu verpflichtet ist, an einer Überwachung mitzuwirken. Das betrifft aber auch Betreiber interner Firmennetze, da diese nach dem Verständnis der Gesetze geschäftsmäßig Telekommunikationsdienste erbringen. Die Überwachungstechnik, die dafür notwendig ist, müssen die Betreiber nach der FÜV auf eigene Kosten installieren und natürlich auch betriebsbereit halten.

Soweit zur Rechtslage in Deutschland. Zum Abschluß dieses Abschnitts seien hier noch die bestehenden Regelungen, die Nutzung kryptographischer Verfahren betreffend, in einigen anderen Ländern erwähnt:

USA

In den USA besitzt kryptographische Software denselben Status wie Munition. Damit unterliegt sie sehr strengen Exportbeschränkungen. Das betrifft sogar Software, die Schnittstellen für Verschlüsselungssoftware enthält. Außerdem gibt es ebenfalls Bestrebungen, Verschlüsselungsverfahren einzuführen, die es staatlichen Stellen erlauben, Zugriff auf verschlüsselte Daten zu nehmen. Ein Beispiel dafür ist der sogenannte Clipper-Chip. Es wird versucht, die Hersteller durch Exportverbote bzw. -erleichterungen dazu zu drängen, diese Verfahren zu implementieren.

Frankreich

In Frankreich war jedwede elektronische Verschlüsselung von 1990 bis 1996 per Gesetz praktisch verboten. Mittlerweile wurde das Gesetz dahingehend geändert, daß Verschlüsselung nun unter der Bedingung zulässig ist, daß es Behörden möglich ist, die Nachrichten bei Bedarf zu entschlüsseln. Zur Authentifikation dürfen kryptographische Verfahren verwendet werden, sofern das vorher angemeldet wurde.

Niederlande

In den Niederlanden wurde 1994 ebenfalls ein Gesetzentwurf eingebracht, der Verschlüsselung nur dann erlauben sollte, wenn die Schlüssel vorher registriert worden wären. Aufgrund massiver, öffentlicher Kritik wurde dieser Entwurf jedoch wieder zurückgezogen.

Dänemark

In Dänemark hat der dänische Technologierat A Danish Crypto Policy festgestellt, daß ein vollständiges oder teilweises Verbot von Verschlüsselungstechniken gegen Artikel 8 und 10 der Europäischen Menschenrechtskonvention verstoßen würde. Darüberhinaus wird darin formuliert, daß Behörden keinen Zugriff auf Schlüssel haben sollten. Es wird empfohlen, ein Verschlüsselungssystem mit größtmöglicher Glaubwürdigkeit einzuführen.

Rußland

In Rußland sind sowohl die Herstellung als auch die Nutzung jeder Art von Verschlüsselungsvorrichtung ohne den Besitz einer entsprechenden Lizenz verboten.