Kryptoregulierung in Deutschland – eine „never ending story“?
Bereits im März 2021 stellte sich Dr. Stefan Grosse, Leiter des Referates „Grundsatz Cyberfähigkeiten der Sicherheitsbehörden“ des damals noch Bundesministerium des Innern, für Bau und Heimat genannten Ministeriums den Fragen der Mitglieder von ISOC.de. Er stellte das Spannungsverhältnis zwischen dem legitimen Interesse nach wirksamem Schutz vertraulicher Kommunikation einerseits und dem nachvollziehbaren Ermittlungsinteresse des Staates und seiner Sicherheitsbehörden heraus, der keine Räume dulden will, in denen er generell keinen Zugriff für Ermittlungen bekommen kann. Die Bundesregierung wolle keine Hintertüren in Whatsapp & Co. und auch weiterhin Ende-zu-Ende-Verschlüsselung fördern. Ermittler sollen „möglichst gering“ in die Systeme eingreifen können – was aber eben häufig nur mit Hilfe der jeweiligen Betreiber gelingen könnte. Das Ziel wäre „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“. Grosse zeigte sich zuversichtlich, dass es der Bundesregierung gelingen könnte, hier einen gangbaren Weg zu finden.
In der Diskussion zeigten sich die Teilnehmer der Veranstaltung demgegenüber jedoch eher skeptisch. Gerade hinsichtlich möglicher Pläne auch auf Ebene der EU, insbesondere die „eingebaute“ Ende-zu-Ende-Verschlüsselung von Systemen zu schwächen, wurde deutliche Ablehnung signalisiert. Bei allem nachvollziehbaren Interesse, den Ermittlungsbehörden ihre Arbeit zu erleichtern, setzt sich ISOC.de für eine Stärkung des Einsatzes sicherer, verschlüsselter Kommunikation im Internet ein.
Dennoch hat der Bundestag am 10. Juni 2021 das Gesetz zur Anpassung des Verfassungsschutzrechts verabschiedet. Es erlaubt künftig allen Nachrichtendiensten den Einsatz der reinen und der erweiterten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). Dabei wird „nur“ die Kommunikation erfasst, bevor diese verschlüsselt wird oder nachdem diese entschlüsselt wurde bzw. die Entschlüsselung ermöglicht. Zudem kann mit Maßnahmen der (verdeckten) Online-Durchsuchung versucht werden, an Inhalte verschlüsselter Speicherung heranzukommen, die ansonsten kaum zu brechen wäre.
Auch die neue Bundesregierung hat sich im Koalitionsvertrag nicht generell gegen Pläne zu einer Ausweitung solcher Instrumente gestellt. Zwar soll das Bundespolizeigesetz ohne die Befugnis zur Quellen‐TKÜ novelliert werden, der Einsatz solcher Instrumente aber nur so lange unterbleiben, wie „der Schutz des Kernbereichs privater Lebensgestaltung nicht sichergestellt ist […]”. Angekündigt wird weiter: „Die Sicherheitsgesetze wollen wir auf ihre tatsächlichen und rechtlichen Auswirkungen sowie auf ihre Effektivität hin evaluieren. Deshalb erstellen wir eine Überwachungsgesamtrechnung und bis spätestens Ende 2023 eine unabhängige wissenschaftliche Evaluation der Sicherheitsgesetze und ihrer Auswirkungen auf Freiheit und Demokratie im Lichte technischer Entwicklungen.” In diesem Rahmen soll auch die (gerade erst erweiterte) „Befugnis des Verfassungsschutzes zum Einsatz von Überwachungssoftware“ überprüft werden.
Da das Bundesverfassungsgericht eine erste Verfassungsbeschwerde gegen den behördlichen Umgang mit IT-Sicherheitslücken bei Online-Durchsuchungen und Quellen-TKÜ in Hessen abgewiesen hat (BVerfG, Beschl. v. 20.01.2022, Az. 1 BvR 1552/19), bleibt es somit eine politische Frage, wie die neue Bundesregierung das Spannungsverhältnis zwischen Sicherheit und Schutz zukünftig auflösen wird. ISOC.de wird daher auch in Zukunft diesen politischen Prozess begleiten und sich im konstruktiven Dialog mit den zuständigen Behörden für ein offenes, aber eben auch sicheres Internet einsetzen.
Jan Mönikes