Internet Society CEO Andrew Sullivan in Berlin
Andrew Sullivan, Präsident und CEO der Internet Society (ISOC), war vom 31. März bis zum 3. April in Berlin. Außer Besuchen in den Internet-Ministerien (Außen–, Innen–, Justiz–, Wirtschaft–) gemeinsam mit Vorstandsmitgliedern der ISOC.DE, standen u.a. zwei Diskussionsrunden auf dem Programm. Zu diesen Veranstaltungen hatten das Weizenbaum Institut und der Verband der Internet Wirtschaft (eco) gemeinsam mit ISOC.DE eingeladen hatten.
Hauptsächlich ging es bei dem Besuch um die Vorbereitung des Internet Governance Forums (IGF) im Herbst 2019 in Berlin. In den zwei Runden wurden denn auch über IGF-Themen diskutiert. Die erste Runde (im Weizenbaum Institut) beschäftigte sich damit, wie und zu welchen Themen das IGF arbeiten sollte. Die zweite Runde (eco und ISOC.DE) widmete sich konkret dem Zusammenhang von Kryptografie und Internet, ein Thema, das auch auf dem IGF wieder diskutiert werden wird.
Die Arbeit des IGF
Das IGF war das Thema der ersten Diskussionsrunde, in der Andrew Sullivan dazu aufforderte, das IGF effektiver, konkreter und fokussierter zu machen. Es sei nicht die Aufgabe des IGF politische Ziele vorzugeben oder gar das Internet zu regulieren. So etwas sei global ohnehin nicht möglich. Das Internet ist ein Netz voneinander unabhängiger Netze, die ihre eigenen Regeln und Werte haben. Diese verbinden sich miteinander auf Basis bi– oder multilateraler Absprachen. Die technische Basis dafür bilden die Internet Protokolle. Der Anreiz, sich an dem Netz zu beteiligen, sei hoch. Die Technologie ist unglaublich preiswert, sie skaliert, sie ist Basis für viele Anwendungen. Je mehr Netze sich verbinden, um so größer ist der Nutzen für alle. Deshalb müsse man bei regulativen Eingriffe Sorge tragen, dass diese Infrastruktur durch Maßnahmen — z.B. durch Filtern, Schwächung der Kryptografie, Blockieren von Verbindungen oder Manipulation des Namenssystems — keinen Schaden nehme.
Das sei dann auch die eigentliche Aufgabe der IGF: Politik und Gesellschaft Hinweise zu geben, wie diese Infrastruktur erhalten und verbessert werden kann und wie sich Eingriffe in die Infrastruktur auswirken. Andrew Sullivan schlug vor, das IGF entlang von vier Regeln neu aufzustellen:
- Dem IGF ein einfacheres Format geben.
- Mehr greifbare Ergebnisse liefern. (Machen und zeigen begründet den Erfolg des Internet.)
- Weniger Doppelarbeit.
- Fokussierung auf das Internet selbst. (Das IGF ist für die Infrastruktur zuständig. Sich auch um die Anwendungen zu kümmern, wäre eine Überforderung.)
Kryptographie für ein besseres Internet
Ein Thema, das Sicherheitsbehörden seit Jahrhunderten nervös macht, ist die Verschlüsselung von Nachrichten. Irgendwann mussten die Sicherheitsbehörden dann erfahren, dass man nur ein wenig kluge Mathematik braucht und einen Algorithmus, der diese Mathematik auf einem Computer umsetzt. Damit lassen sich Dokumente und Nachrichten so verschlüsseln, dass sie ohne einen passenden Schlüssel praktisch nicht wieder zu entschlüsseln sind. Um dennoch das Heft in der Hand zu behalten wurden verschiedene Ansätze verfolgt:
- Kryptographie verbieten (oder nur zu ausgewählten Zwecken erlauben)
- Exportbeschränkungen für Kryptotechnologie anordnen
- verlangen, das Schlüssel oder Nachschlüssel bei Behörden zu hinterlegt werden
- Ausspähen an der Quelle (aka Bundestrojaner)
- …
Allen Verfahren ist gemeinsam: wenn sie eingesetzt werden, schwächen sie die Sicherheit der Infrastruktur. Andrew Sullivan drückt es so aus: “Man muss sich entscheiden, was man haben will: sicheres Banking oder schwache Kryptografie.” Mathematik zu verbieten sei Unsinn. Die Hinterlegung von Schlüsseln sei ein hohes Sicherheitsrisiko, da die Erfahrung zeige, dass gerade große Organisationen nicht in der Lage seien, solche Informationen sicher zu verwahren, wenn sie gleichzeitig hie und da genutzt werden sollen. Das Ausspähen an der Quelle betreffe zwar nicht die gesamte Infrastruktur, sondern nur betroffene Endpunkte. Allerdings schwäche auch dies die Sicherheit des — und das Vertrauen in das — Internet. Man müsse klar darin sein, dass eine sichere, aber gleichzeitig überwachbare Kryptografie technisch unmöglich sind.