Flüstern ist nicht verboten

Die NSA-Affäre und Edward Snowden begleiten uns schon länger. Den neuesten Baustein beim staatlichen Eingriff in die vertrauliche Kommunikation seiner Bürger und seiner Unternehmen entwickelt laut Zeitungsberichten der Bundesnachrichtendienst (BND). Dort will man die technischen Voraussetzungen dafür schaffen, dass für BND-Mitarbeiter verschlüsselte Verbindungen über das Internet abgehört werden können.

Worum geht es technisch? Wenn Sie z.B. die Internetseite mit Ihrem Konto bei der Bank aufrufen, ist der Datenstrom nach einem SSL genannten Verfahren verschlüsselt. Man sieht das daran, dass in der Browser-Adresszeile ein Schloss erscheint und der Beginn der Adresse von „http“ auf „https“ wechselt. Dieses SSL-Verfahren will der BND sozusagen unterminieren, damit die Vertraulichkeit durchbrochen werden kann.

Ein weiteres System, das ebenfalls in der Praxis große Bedeutung hat, ist die VPN-Verschlüsselung. Mitarbeiter, die beispielsweise das EDV-System ihres Unternehmens von außen während einer Reise ansteuern wollen, benutzen oft dieses Verschlüsselungsverfahren.

Wir greifen diese technischen Fragen auf flassbeck-economics auf, weil sie eine erhebliche ökonomische Dimension haben. Zunächst einmal kann der Staat – rein praktisch – niemanden daran hindern, sich vertraulich mit jemand anderem auszutauschen. Flüstern ist nicht verboten und letztlich auch nicht zu unterbinden. Das Bundesverfassungsgericht in Karlsruhe hat das Nötige dazu gesagt. Wenn nun der Staat erheblichen Aufwand betreibt, um als sicher (?) geltende SSL- oder VPN-Verschlüsselungen über das Internet doch irgendwie mitzuhören, mag er dafür gute oder schlechte Gründe haben. Das Problem ist nur, dass gerade Unternehmen schon aus wirtschaftlichen Gründen (Stichwort Betriebsgeheimnisse und gesetzliche Vorschriften zum Datenschutz) die Sicherheit ihrer IT-Netze und die Vertraulichkeit bestimmter Kommunikation sicherstellen müssen. Wenn der begründete Verdacht entsteht, dass die verwendete Verschlüsselung nicht mehr sicher ist, muss man als Unternehmen bei sensiblen Informationen auf althergebrachte Methoden ausweichen. Dann wird ein Mitarbeiter mit den vertraulichen Daten im Gepäck von A nach B geschickt, und die aufwendigen Bemühungen des BND, alles zu wissen, laufen ins Leere. Für das Unternehmen sind solche Umwege mit hohen Kosten verbunden. Wir bekommen in der Politik dann übrigens die Situation, dass die rechte Hand (Sigmar Gabriel will Bürokratie abbauen) und die linke Hand (der BND macht vertrauliche Netze unsicher) gegeneinander arbeiten.

Der Staat hat seine wirkliche Aufgabe fundamental missverstanden

Um nicht nur Kritik zu üben, sondern einen positiven Gegenentwurf vorzustellen, hier noch ein paar technische Anmerkungen. Ein „gutes“ Verschlüsselungsverfahren, also ein Computerprogramm, das beim Sender eine Botschaft verschlüsselt und beim Empfänger entschlüsselt, hat die paradoxe Eigenschaft, dass es öffentlich sein muss, um Vertrauen zu schaffen. Das klingt merkwürdig, erklärt sich aber wie folgt: Nur wenn der Programmcode öffentlich ist, können die Nutzer (oder Dritte, denen die Nutzer vertrauen) das Verschlüsselungsprogramm auf Schwachstellen und so genannte „Hintertüren“ überprüfen. Wenn ein Unternehmen eine Verschlüsselungssoftware für seine SSL- oder VPN-Verbindungen benutzt, dessen Programmcode öffentlich bekannt ist und in dem (bisher) niemand eine Schwachstelle finden konnte, kann man sich halbwegs darauf verlassen, dass dieses Programm sicher ist. Verwenden Sie hingegen eine VPN-Software eines US-amerikanischen Herstellers (deren Programmcode nicht öffentlich bekannt ist), wollen Sie sich dann angesichts der paranoiden Kontrollvorstellungen in der Politik jenseits des Atlantiks wirklich darauf verlassen, dass es keine „Hintertür“ gibt?

Gute (nicht zu durchbrechende) Verschlüsselungssoftware zu programmieren erfordert erheblichen Sachverstand. Warum sollten Fachleute das tun und zugleich den Programmcode öffentlich machen, so dass jeder ihre Arbeit kostenlos nutzen kann? Das ist die Stelle, an der der Staat ins Spiel kommt. Wir beschäftigen in Deutschland von der Nordsee bis zu den Alpen so viele Professoren an öffentlichen Hochschulen, die die merkwürdigsten Dinge erforschen, dass wir auch einige der weltbesten Experten für Verschlüsselungsfragen an uns binden können und müssen. Ihre Aufgabe ist es dann – staatlich bezahlt – diese Techniken weiterzuentwickeln und existierende Programme auf ihre Sicherheit zu prüfen. Was dabei erforscht wird, ist öffentlich zu machen.

Das ist eine staatliche Aufgabe. Das Ergebnis sind öffentliche Güter, die unsere Unternehmen brauchen, wenn sie nicht aufgrund einer vermeintlichen oder tatsächlichen Unsicherheit der Netze erhebliche Umwege gehen und Produktivitätsnachteile erleiden wollen. (Anzumerken ist, dass es ein Bundesamt für Sicherheit in der Informationstechnik BSI bereits gibt, aber das allein genügt nicht. Es ist übrigens symptomatisch, dass das BSI zwar ein Chiasmus genanntes Verschlüsselungsprogramm anbietet, welches aber nur für bestimmte Zwecke mit „öffentlichem Interesse“ genutzt werden darf, und dessen Algorithmus nicht offengelegt wird.)

Ob sich die Bundesregierung und die Länder mit einem Zwei-Punkte-Programm (erstens den BND zurückpfeifen, zweitens eine Krypto-Lehrstuhl-Initiative im obigen Sinne starten) bei dem großen Verbündeten USA Freunde machen würden? Wahrscheinlich eher nicht. Aber das muss ein souveränes Land aushalten, dessen Politiker übrigens auch ein Interesse daran haben „flüstern“ zu dürfen, ohne sich dazu jedes Mal mit ihrem Gesprächspartner im Wald treffen zu müssen.

Anmelden