committing page revision 1

author: erdgeist <erdgeist@erdgeist.org> 2019-06-11 20:42:46 +0000
committer: erdgeist <erdgeist@erdgeist.org> 2020-05-23 13:40:21 +0000
commit: 6f5b6030a642405e6068052c19cc5997f075df07 (patch)
tree: 410b149c9d0c649dfe80ec8b1ea33665e4bf72d6 /updates/2019
parent: 218264b20771af8dde5a4aa3ccd0db4f21b4acde (diff)
1 files changed, 309 insertions, 0 deletions
diff --git a/updates/2019/encrypted-messengers.md b/updates/2019/encrypted-messengers.md
new file mode 100644
index 00000000..40f61c10
--- /dev/null
+++ b/updates/2019/encrypted-messengers.md
@@ -0,0 +1,309 @@
+title: CCC gegen Angriff des Innenministeriums auf verschlüsselte Kommunikation
+date: 2019-06-11 20:42:46 
+updated: 2019-06-11 20:42:46 
+author: linus
+tags: update, pressemitteilung, verschlüsselung, bmi
+Gegen die Bestrebungen des Innenministeriums, verschlüsselte Kommunikationsdienste per Gesetz zur Schwächung ihrer Sicherheit zu zwingen, wendet sich breites Bündnis aus Experten für IT-Sicherheit und Innere Sicherheit, Wirtschaftsverbänden, Bürgerrechtlern und Forschern in einem heute veröffentlichten offenen Brief. Der Chaos Computer Club (CCC) gehört zu den Erstunterzeichnern.
+<!-- TEASER_END -->
+AN: Bundesministerium des Innern, für Bau und Heimat
+IN KOPIE: Auswärtiges Amt,
+Bundesministerium der Justiz und für Verbraucherschutz,
+Bundesministerium für Wirtschaft und Energie,
+Bundesamt für Sicherheit in der Informationstechnik
+**Betreff: Geplanter Eingriff in Verschlüsselung von Messenger-Diensten
+hätte fatale Konsequenzen**
+Sehr geehrte Damen und Herren,
+das Bundesministerium des Innern, für Bau und Heimat plant [laut
+Medienberichten](https://www.spiegel.de/plus/horst-seehofer-greift-whatsapp-an-a-00000000-0002-0001-0000-000164076162)
+eine Gesetzesänderung, um es deutschen Polizei- und Sicherheitsbehörden
+künftig leichter zu machen, Zugriff auf die digitale Kommunikation von
+Verdächtigen zu erhalten. Dafür sollen Anbieter von Messenger-Diensten
+wie beispielsweise Whatsapp, Threema oder iMessage gesetzlich
+verpflichtet werden, ihre Verschlüsselungstechnik so umzubauen, dass
+Behörden bei Verdachtsfällen die gesamte Kommunikation von Nutzer:innen
+mitschneiden können.
+Wir warnen ausdrücklich vor einem solchen Schritt und fordern eine
+sofortige Abkehr von diesem oder ähnlichen politischen Vorhaben auf
+deutscher wie europäischer Ebene. Die vorgeschlagene Reform würde das
+Sicherheitsniveau von Millionen deutscher Internet-Nutzer:innen
+schlagartig senken, neue Einfallstore für ausländische
+Nachrichtendienste und Internetkriminelle schaffen sowie das
+internationale Ansehen Deutschlands als führender Standort für eine
+sichere und datenschutz-orientierte Digitalwirtschaft massiv
+beschädigen. Statt bereits seit Jahren überholte Reform-Ideen
+umzusetzen, sollte das Bundesministerium des Innern, für Bau und Heimat
+aus unserer Sicht einen neuen sicherheitspolitischen Weg einschlagen und
+Vorschläge entwickeln, die die Arbeit der Polizei- und
+Sicherheitsbehörden verbessern, ohne dabei aber die Sicherheit von
+IT-Systemen und privater Kommunikation in Deutschland insgesamt
+verschlechtern.
+Unsere Kritik im Detail:
+## Die deutsche Kryptopolitik
+Ende Mai wurde bekannt, dass das Bundesministerium des Innern, für Bau
+und Heimat plant, die bestehende TKG-Regulierung auf verschlüsselte
+Messenger wie WhatsApp, Signal, Threema, Wire oder Telegram auszuweiten.
+Konkret bedeutet dies: Die Betreiber dieser Dienste müssen ihre Software
+so umgestalten, dass die Inhalte der Nachrichten unverschlüsselt an
+Sicherheitsbehörden weitergegeben werden können. Sollten die Betreiber
+dies ablehnen, so würden ihre Dienste in Deutschland gesperrt. Wie eine
+technische Umsetzung der Hintertüren in den Messengern aussehen könnte,
+beschreiben Vertreter:innen des britischen GCHQ in ihrem “Ghost
+Proposal”^[\[1\]](#ftnt1){#ftnt_ref1}^. Dieser Vorschlag wurde erst vor
+Kurzem von einer internationalen Allianz aus Wirtschaft, Wissenschaft
+und Zivilgesellschaft in einem offenen Brief stark
+kritisiert.^[\[2\]](#ftnt2){#ftnt_ref2}^
+Der BMI-Vorschlag konterkariert 20 Jahre erfolgreiche Kryptopolitik in
+Deutschland^[\[3\]](#ftnt3){#ftnt_ref3}^. In den Eckpunkten der
+deutschen Kryptopolitik aus dem Jahre 1999^[\[4\]](#ftnt4){#ftnt_ref4}^
+einigte sich die damalige Bundesregierung auf ein Prinzip, das unter der
+Maxime “Sicherheit durch Verschlüsselung und Sicherheit trotz
+Verschlüsselung” bekannt wurde. Dieser Grundsatz wurde seitdem mehrfach
+von Seiten der nachfolgenden Bundesregierungen bestätigt. Noch 2014
+wollte Deutschland sogar zum “Verschlüsselungsstandort Nr.
+1”^[\[5\]](#ftnt5){#ftnt_ref5}^ in der Welt aufsteigen. Ein Bruch mit
+diesen Bekenntnissen würde der IT-Sicherheit Deutschlands in Verwaltung,
+Wirtschaft und Gesellschaft nachhaltig schaden.
+## Auswirkungen auf die IT-Sicherheit
+Die geplante Verpflichtung der Messenger-Betreiber würde dazu führen,
+dass die Betreiber eine Schwachstelle in ihre Software einbauen müssten.
+Das erfordert einen tiefen Eingriff in die bestehenden komplexen
+Softwaresysteme der Betreiber. Diese Schwachstelle könnten von
+Nachrichtendiensten und Kriminellen ausgenutzt werden, um an sensible
+Informationen von Individuen, Behörden und Firmen zu kommen. Aktuelle
+Beispiele^[\[6\]](#ftnt6){#ftnt_ref6}^ zeigen, dass die Absicherung
+eines Messengers schon komplex genug ist, ohne dass dort zusätzlich
+gezielt Schwachstellen eingebaut werden und so die IT-Sicherheit
+zusätzlich gefährdet wird.
+Gleichzeitig würde dieser Schwachstelle-Einbau es Mitarbeiter:innen bei
+den Betreibern ermöglichen, Kommunikationsinhalte einsehen zu können,
+was aktuell nicht möglich ist. Hierdurch erhöht sich nicht nur das
+Missbrauchspotenzial. Eine zentrale Ablage der dazu benötigten
+kryptographischen Schlüssel^[\[7\]](#ftnt7){#ftnt_ref7}^ würde auch ein
+primäres Ziel für Angreifer:innen darstellen, der im Fall eines
+erfolgreichen Angriffs zur Offenlegung der Kommunikation aller (!)
+Nutzer:innen führen könnte (Single-Point-of-Failure).
+Hinzu kommt, dass die neue Version des jeweiligen Messengers mit
+Hintertür als Softwareupdate eingespielt werden müsste. Hier würden dann
+entweder alle deutschen Nutzer:innen oder ausgewählte deutsche
+Nutzer:innen dieses mit der Hintertür versehene Update eingespielt
+bekommen. Dieser Vorgang würde das Vertrauen der Verbraucher:innen in
+Sicherheitsupdates erschüttern und sich damit nachhaltig negativ auf die
+IT-Sicherheit in Deutschland auswirken.
+Sollten die Messenger-Betreiber die vorgesehene Maßnahme nicht umsetzen,
+sollen laut Plan des Innenministeriums ihre Dienste in Deutschland
+gesperrt werden. Das wäre auch die einzige Möglichkeit, wie die
+zuständigen Behörden mit Messengern umgehen könnten, deren
+Verschlüsselung ohne einen zentralen Betreiber auskommt und in die daher
+keine Hintertüren per Regulierung implementiert werden könnten (z. B.
+Pretty Good Privacy, Off-The-Record). Das würde unweigerlich dazu
+führen, dass es innerhalb Deutschlands keine sichere
+Messenger-Kommunikation mehr geben könnte. Eine technische Umsetzung
+wäre aber, vor allem für quelloffene Messenger wie Signal, faktisch
+unmöglich zu realisieren. Es würde eine dedizierte und stark in die
+Freiheitsrechte eingreifende IT-Infrastruktur brauchen, um das Umgehen
+dieser Sperren auszuschließen (inklusive Blockieren von Virtuellen
+Privaten Netzwerken \[VPNs\] und The Onion Router \[TOR\]), da
+Kriminelle die ersten wären, die dies versuchen
+würden.^[\[8\]](#ftnt8){#ftnt_ref8}^
+Betroffen wären davon allerdings nicht “nur” deutsche Behörden (u. a.
+Polizei, Feuerwehr, THW), Firmen und Bürger:innen im Allgemeinen,
+sondern auch Berufsgeheimnisträger:innen (z. B. Rechtsanwälte,
+Geistliche, Ärzte, Journalisten und Abgeordnete) und andere besonders
+schützenswerte Personengruppen.
+Mittlerweile argumentieren auch vermehrt ehemalige Geheimdienstchefs,
+dass gemessen an den Kosten, der Nutzen von umfassender Verschlüsselung
+(ohne Hintertüren) im Zeitalter von Cyber-Kriminalität, Datenlecks und
+Spionage den Verlust der Überwachungsfähigkeit mehr als aufwiege. Die
+strategischen Interessen wie die Stabilität des IT-Sektors und des
+IT-Ökosystems wiegen hier schwerer als die taktischen Interessen der
+Strafverfolger, so zum Beispiel der ehemalige NSA-Chef Michael Hayden
+und der ehemalige Chef des britischen Inlandsgeheimdienstes
+MI5.^[\[9\]](#ftnt9){#ftnt_ref9}^
+## Empirischer Erkenntnisstand und Alternativen
+Den Eckpunkten der Kryptopolitik folgend hat sich die Bundesregierung im
+Jahr 1999 entschieden, keine Schwächung der Verschlüsselung (inklusive
+Einbau von Hintertüren) vorzunehmen, sondern Schadsoftware
+(“Bundestrojaner”) zur Beschaffung von Daten vor/nach Verschlüsselung
+einzusetzen. Dieser Maßnahme wurde vom Bundesverfassungsgericht aus
+nachvollziehbaren Gründen hohe Hürden gesetzt. Anstatt auf Basis der
+bereits existierenden Überwachungsmaßnahmen eine dringend notwendige
+Bedarfsanalyse und die bereits vor vielen Jahren vom
+Bundesverfassungsgericht geforderte
+Überwachungsgesamtrechnung^[\[10\]](#ftnt10){#ftnt_ref10}^
+durchzuführen, soll nun eine Regulierung implementiert werden, die mehr
+als 20 Jahre wissenschaftliche Erkenntnisse in der
+IT-Sicherheitsforschung ignoriert^[\[11\]](#ftnt11){#ftnt_ref11}^.
+Die oft angeführte These, dass Geheimdienste und
+Strafverfolgungsbehörden aufgrund von Verschlüsselung keinen Zugriff
+mehr auf relevante Daten haben (Going Dark), ist bisher nicht empirisch
+belegt.^[\[12\]](#ftnt12){#ftnt_ref12}^ Im Gegenteil haben die
+technologischen Entwicklungen der letzten Jahrzehnte dazu geführt, dass
+Strafverfolger:innen mehr Daten zur Verfügung stehen als je
+zuvor.^[\[13\]](#ftnt13){#ftnt_ref13}^ Strafverfolgungsbehörden
+dokumentieren bisher kaum, in wie vielen Fällen verschlüsselte
+Kommunikation tatsächlich zu einem Erliegen von Ermittlungen geführt
+hat. Auch liegt keine vollständige Übersicht vor, welche alternativen
+Möglichkeiten zur Erhebung der notwendigen Daten in Deutschland bereits
+legal sind und wo sich noch weiße Flecken
+befinden.^[\[14\]](#ftnt14){#ftnt_ref14}^
+## Internationale Spillover-Effekte
+Sollte dieser Vorschlag umgesetzt werden, hätte dies auch weit über die
+deutschen Grenzen hinaus negative Strahlkraft. Autoritäre Staaten würden
+sich auf diese Regulierung berufen und entsprechende Inhaltsdaten von
+den Messenger-Betreibern anfordern mit dem Verweis darauf, dass dies in
+Deutschland – und damit technisch – möglich sei. Hiervon wäre dann die
+Kommunikation von Menschenrechtsaktivist:innen, Journalist:innen und
+anderen verfolgten Personengruppen massiv betroffen – Personengruppen,
+die die deutsche Außen- und Entwicklungshilfepolitik bisher zu schützen
+versucht hat und jährlich in Milliardenhöhe fördert. Deutschland muss
+sich seiner Verantwortung in der Welt auch in diesem Bereich bewusst
+sein. Mit einer bewussten Schwächung von sicheren Messengern würde
+Deutschland seine außenpolitische Glaubwürdigkeit als Verfechter eines
+freien und offenen Internets auf Spiel
+setzen.^[\[15\]](#ftnt15){#ftnt_ref15}^ Das Netzwerkdurchsetzungsgesetz
+dient hier als mahnendes Beispiel dafür, welche Auswirkung eine deutsche
+Gesetzgebung in der Welt entfalten kann.^[\[16\]](#ftnt16){#ftnt_ref16}^
+## Wirtschaftsstandort Deutschland
+Verwaltung, Wirtschaft und Verbraucher:innen müssen sich darauf
+verlassen können, dass bei der Nutzung digitaler Produkte und
+Dienstleistungen die Voraussetzungen zum Schutz ihrer Daten und zur
+Integrität ihrer Systeme erfüllt sind. Gerade für Unternehmen spielt das
+bei der Wahl ihres Produktionsstandortes eine große Rolle. Sie siedeln
+sich dort an, wo sie ihre Geschäftsgeheimnisse und Kundendaten geschützt
+wissen.
+Sabotage und Wirtschaftsspionage verursachten in den Jahren 2016/2017
+alleine im Industriesektor einen Schaden von 43 Mrd.
+Euro.^[\[17\]](#ftnt17){#ftnt_ref17}^ Es ist davon auszugehen, dass eine
+Schwächung der Verschlüsselung diese Zahlen weiter in die Höhe treibt,
+da eingebaute Hintertüren auch von ausländischen Nachrichtendiensten und
+Kriminellen missbraucht werden können. Wenn Deutschland ein
+innovationsfreundlicher und wettbewerbsfähiger Wirtschaftsstandort sein
+möchte, müssen technische Hintertüren, die Zugriffe für Dritte
+ermöglichen, weiterhin ausgeschlossen bleiben.
+Dazu kommt, dass Deutschland auch ein Standort für
+IT-Sicherheitsunternehmen u. a. mit Fokus auf
+Verschlüsselungstechnologien ist. Die Vertrauenswürdigkeit dieser
+Unternehmen im Speziellen würde durch das geplante Vorhaben massiv
+gefährdet. Damit würde Deutschland als Standort für die
+IT-Sicherheitsindustrie auch als Ganzes geschwächt werden, was den
+industriepolitischen Zielen Deutschlands und Europas direkt
+widerspricht.
+Wir warnen ausdrücklich vor dem geplanten Vorhaben des
+Bundesministeriums des Innern, für Bau und Heimat zur Regulierung von
+Messenger-Diensten und fordern eine sofortige Abkehr von diesem oder
+ähnlichen politischen Vorhaben auf deutscher wie europäischer Ebene.
+Darüber hinaus wäre eine offizielle Einschätzung folgender Stellen
+erforderlich:
+-   des Bundesministeriums für Wirtschaft und Energie (Fokus: möglicher
+    Schaden für die deutsche Industrie sowie die Digitalwirtschaft)
+-   des Auswärtigen Amts (Fokus: Spillover-Effekte, v. a. in autoritären
+    Staaten, Ansehensverluste Deutschlands als etablierter Rechtsstaat)
+-   des Bundesministeriums der Justiz und für Verbraucherschutz (Fokus:
+    Vertrauensverlust von Verbraucher:innen)
+-   und des Bundesamts für Sicherheit in der Informationstechnik (Fokus:
+    Gefährdung der IT-Sicherheit in Deutschland für Staat, Wirtschaft
+    und Gesellschaft)
+Mit freundlichen Grüßen
+[**Die
+Unterzeichner**](https://docs.google.com/document/d/17F-OxKJtR8DM9O8jiEfUhxDGguBnJoZ2-lvp9614CyM/mobilebasic)
+------------------------------------------------------------------------
+## Links und Fußnoten
+-   [\[1\]](#ftnt_ref1){#ftnt1} [Ian Levy, Crispin Robinson: Principles
+    for a More Informed Exceptional Access
+    Debate](https://www.lawfareblog.com/principles-more-informed-exceptional-access-debate)
+-   [\[2\]](#ftnt_ref2){#ftnt2} [Coalition Letter: Open Letter to
+    GCHQ](https://newamericadotorg.s3.amazonaws.com/documents/Coalition_Letter_to_GCHQ_on_Ghost_Proposal_-_May_22_2019.pdf)
+-   [\[3\]](#ftnt_ref3){#ftnt3} [Sven Herpig, Stefan Heumann: Encryption
+    Debate in
+    Germany](https://carnegieendowment.org/2019/05/30/encryption-debate-in-germany-pub-79215)
+-   [\[4\]](#ftnt_ref4){#ftnt4} [Die Raven Homepage: Eckpunkte der
+    deutschen
+    Kryptopolitik](https://hp.kairaven.de/law/eckwertkrypto.html)
+-   [\[5\]](#ftnt_ref5){#ftnt5} [Die Bundesregierung: Digitale Agenda
+    2014 -
+    2017](https://www.bmwi.de/Redaktion/DE/Publikationen/Digitale-Welt/digitale-agenda.pdf?__blob%253DpublicationFile%2526v%253D3)
+-   [\[6\]](#ftnt_ref6){#ftnt6} [Jürgen Schmidt: Kritische
+    Sicherheitslücke gefährdet Milliarden
+    WhatsApp-Nutzer](https://www.heise.de/security/meldung/Kritische-Sicherheitsluecke-gefaehrdet-Milliarden-WhatsApp-Nutzer-4186365.html)
+    und [Marius Mestermann: Ernster iPhone-Bug: Apple schaltet
+    FaceTime-Gruppenanrufe
+    ab](https://www.spiegel.de/politik/deutschland/nachrichten-am-morgen-die-news-in-echtzeit-a-1249669.html)
+-   [\[7\]](#ftnt_ref7){#ftnt7} Es handelt sich hierbei um eine mögliche
+    Implementierung dieser Hintertüren. Es gibt auch andere
+    Implementierungsmöglichkeiten, die technisch jedoch nicht weniger
+    problematisch sind.
+-   [\[8\]](#ftnt_ref8){#ftnt8} [Matthias Schulze: Überwachung von
+    WhatsApp und Co. Going
+    dark?](http://percepticon.de/2019/06/04-going-dark/)
+-   [\[9\]](#ftnt_ref9){#ftnt9} [Michael Hayden: The Pros and Cons of
+    Encryption](https://www.youtube.com/watch?v%253D6HNnVcp6NYA)
+    and [The Guardian: Ex-MI5 Chef warns against crackdown on encrypted
+    messaging
+    apps](https://www.theguardian.com/technology/2017/aug/11/ex-mi5-chief-warns-against-crackdown-encrypted-messaging-apps)
+-   [\[10\]](#ftnt_ref10){#ftnt10} [Constanze Kurz:
+    Überwachungsgesamtrechnung: Vorratsdatenspeicherung ist der Tropfen,
+    der das Fass zum Überlaufen
+    bringt](https://netzpolitik.org/2015/ueberwachungsgesamtrechnung-vorratsdatenspeicherung-ist-der-tropfen-der-das-fass-zum-ueberlaufen-bringt/)
+-   [\[11\]](#ftnt_ref11){#ftnt11} [Danielle Kehl, Andi Wilson, Kevin
+    Bankston: DOOMED TO REPEAT HISTORY? Lessons from the Crypto Wars of
+    the
+    1990s](https://static.newamerica.org/attachments/3407-doomed-to-repeat-history-lessons-from-the-crypto-wars-of-the-1990s/Crypto%252520Wars_ReDo.7cb491837ac541709797bdf868d37f52.pdf)
+-   [\[12\]](#ftnt_ref12){#ftnt12} [Matthias Schulze, Going Dark?
+    Dilemma zwischen sicherer, privater Kommunikation und den
+    Sicherheitsinteressen von
+    Staaten.](http://www.bpb.de/apuz/259141/going-dark?p%253Dall)
+-   [\[13\]](#ftnt_ref13){#ftnt13} [Peter  Swire, The FBI Doesn’t Need
+    More Access: We’re Already in the Golden Age of
+    Surveillance](https://www.justsecurity.org/17496/fbi-access-golden-age-surveillance/)
+    und [Matthias Schulze: Clipper Meets Apple vs. FBI—A Comparison of
+    the Cryptography Discourses from 1993 and
+    2016](https://www.cogitatiopress.com/mediaandcommunication/article/view/805)
+-   [\[14\]](#ftnt_ref14){#ftnt14} [Sven Herpig: A Framework for
+    Government Hacking in Criminal
+    Investigations](https://www.stiftung-nv.de/sites/default/files/framework_for_government_hacking_in_criminal_investigations.pdf)
+-   [\[15\]](#ftnt_ref15){#ftnt15} [Matthias Schulze: Verschlüsselung in
+    Gefahr](https://www.swp-berlin.org/publikation/verschluesselung-in-gefahr/)
+    und [Cathleen Berger: Is Germany (involuntarily) setting a global
+    digital
+    agenda?](https://medium.com/@_cberger_/is-germany-involuntarily-setting-a-global-digital-agenda-21c7eb735e26)
+-   [\[16\]](#ftnt_ref16){#ftnt16} [Reporter ohne Grenzen: Russland
+    kopiert Gesetz gegen
+    Hassbotschaften](https://www.reporter-ohne-grenzen.de/russland/alle-meldungen/meldung/russland-kopiert-gesetz-gegen-hassbotschaften/)
author	erdgeist <erdgeist@erdgeist.org>	2019-06-11 20:42:46 +0000
committer	erdgeist <erdgeist@erdgeist.org>	2020-05-23 13:40:21 +0000
commit	6f5b6030a642405e6068052c19cc5997f075df07 (patch)
tree	410b149c9d0c649dfe80ec8b1ea33665e4bf72d6 /updates/2019
parent	218264b20771af8dde5a4aa3ccd0db4f21b4acde (diff)

diff --git a/updates/2019/encrypted-messengers.md b/updates/2019/encrypted-messengers.md new file mode 100644 index 00000000..40f61c10 --- /dev/null +++ b/updates/2019/encrypted-messengers.md
@@ -0,0 +1,309 @@
	1	title: CCC gegen Angriff des Innenministeriums auf verschlüsselte Kommunikation
	2	date: 2019-06-11 20:42:46
	3	updated: 2019-06-11 20:42:46
	4	author: linus
	5	tags: update, pressemitteilung, verschlüsselung, bmi
	6
	7	Gegen die Bestrebungen des Innenministeriums, verschlüsselte Kommunikationsdienste per Gesetz zur Schwächung ihrer Sicherheit zu zwingen, wendet sich breites Bündnis aus Experten für IT-Sicherheit und Innere Sicherheit, Wirtschaftsverbänden, Bürgerrechtlern und Forschern in einem heute veröffentlichten offenen Brief. Der Chaos Computer Club (CCC) gehört zu den Erstunterzeichnern.
	8
	9	<!-- TEASER_END -->
	10
	11	AN: Bundesministerium des Innern, für Bau und Heimat
	12
	13	IN KOPIE: Auswärtiges Amt,
	14
	15	Bundesministerium der Justiz und für Verbraucherschutz,
	16
	17	Bundesministerium für Wirtschaft und Energie,
	18
	19	Bundesamt für Sicherheit in der Informationstechnik
	20
	21	**Betreff: Geplanter Eingriff in Verschlüsselung von Messenger-Diensten
	22	hätte fatale Konsequenzen**
	23
	24	Sehr geehrte Damen und Herren,
	25
	26	das Bundesministerium des Innern, für Bau und Heimat plant [laut
	27	Medienberichten](https://www.spiegel.de/plus/horst-seehofer-greift-whatsapp-an-a-00000000-0002-0001-0000-000164076162)
	28	eine Gesetzesänderung, um es deutschen Polizei- und Sicherheitsbehörden
	29	künftig leichter zu machen, Zugriff auf die digitale Kommunikation von
	30	Verdächtigen zu erhalten. Dafür sollen Anbieter von Messenger-Diensten
	31	wie beispielsweise Whatsapp, Threema oder iMessage gesetzlich
	32	verpflichtet werden, ihre Verschlüsselungstechnik so umzubauen, dass
	33	Behörden bei Verdachtsfällen die gesamte Kommunikation von Nutzer:innen
	34	mitschneiden können.
	35
	36	Wir warnen ausdrücklich vor einem solchen Schritt und fordern eine
	37	sofortige Abkehr von diesem oder ähnlichen politischen Vorhaben auf
	38	deutscher wie europäischer Ebene. Die vorgeschlagene Reform würde das
	39	Sicherheitsniveau von Millionen deutscher Internet-Nutzer:innen
	40	schlagartig senken, neue Einfallstore für ausländische
	41	Nachrichtendienste und Internetkriminelle schaffen sowie das
	42	internationale Ansehen Deutschlands als führender Standort für eine
	43	sichere und datenschutz-orientierte Digitalwirtschaft massiv
	44	beschädigen. Statt bereits seit Jahren überholte Reform-Ideen
	45	umzusetzen, sollte das Bundesministerium des Innern, für Bau und Heimat
	46	aus unserer Sicht einen neuen sicherheitspolitischen Weg einschlagen und
	47	Vorschläge entwickeln, die die Arbeit der Polizei- und
	48	Sicherheitsbehörden verbessern, ohne dabei aber die Sicherheit von
	49	IT-Systemen und privater Kommunikation in Deutschland insgesamt
	50	verschlechtern.
	51
	52	Unsere Kritik im Detail:
	53
	54	## Die deutsche Kryptopolitik
	55
	56	Ende Mai wurde bekannt, dass das Bundesministerium des Innern, für Bau
	57	und Heimat plant, die bestehende TKG-Regulierung auf verschlüsselte
	58	Messenger wie WhatsApp, Signal, Threema, Wire oder Telegram auszuweiten.
	59	Konkret bedeutet dies: Die Betreiber dieser Dienste müssen ihre Software
	60	so umgestalten, dass die Inhalte der Nachrichten unverschlüsselt an
	61	Sicherheitsbehörden weitergegeben werden können. Sollten die Betreiber
	62	dies ablehnen, so würden ihre Dienste in Deutschland gesperrt. Wie eine
	63	technische Umsetzung der Hintertüren in den Messengern aussehen könnte,
	64	beschreiben Vertreter:innen des britischen GCHQ in ihrem “Ghost
	65	Proposal”^[\[1\]](#ftnt1){#ftnt_ref1}^. Dieser Vorschlag wurde erst vor
	66	Kurzem von einer internationalen Allianz aus Wirtschaft, Wissenschaft
	67	und Zivilgesellschaft in einem offenen Brief stark
	68	kritisiert.^[\[2\]](#ftnt2){#ftnt_ref2}^
	69
	70	Der BMI-Vorschlag konterkariert 20 Jahre erfolgreiche Kryptopolitik in
	71	Deutschland^[\[3\]](#ftnt3){#ftnt_ref3}^. In den Eckpunkten der
	72	deutschen Kryptopolitik aus dem Jahre 1999^[\[4\]](#ftnt4){#ftnt_ref4}^
	73	einigte sich die damalige Bundesregierung auf ein Prinzip, das unter der
	74	Maxime “Sicherheit durch Verschlüsselung und Sicherheit trotz
	75	Verschlüsselung” bekannt wurde. Dieser Grundsatz wurde seitdem mehrfach
	76	von Seiten der nachfolgenden Bundesregierungen bestätigt. Noch 2014
	77	wollte Deutschland sogar zum “Verschlüsselungsstandort Nr.
	78	1”^[\[5\]](#ftnt5){#ftnt_ref5}^ in der Welt aufsteigen. Ein Bruch mit
	79	diesen Bekenntnissen würde der IT-Sicherheit Deutschlands in Verwaltung,
	80	Wirtschaft und Gesellschaft nachhaltig schaden.
	81
	82	## Auswirkungen auf die IT-Sicherheit
	83
	84	Die geplante Verpflichtung der Messenger-Betreiber würde dazu führen,
	85	dass die Betreiber eine Schwachstelle in ihre Software einbauen müssten.
	86	Das erfordert einen tiefen Eingriff in die bestehenden komplexen
	87	Softwaresysteme der Betreiber. Diese Schwachstelle könnten von
	88	Nachrichtendiensten und Kriminellen ausgenutzt werden, um an sensible
	89	Informationen von Individuen, Behörden und Firmen zu kommen. Aktuelle
	90	Beispiele^[\[6\]](#ftnt6){#ftnt_ref6}^ zeigen, dass die Absicherung
	91	eines Messengers schon komplex genug ist, ohne dass dort zusätzlich
	92	gezielt Schwachstellen eingebaut werden und so die IT-Sicherheit
	93	zusätzlich gefährdet wird.
	94
	95	Gleichzeitig würde dieser Schwachstelle-Einbau es Mitarbeiter:innen bei
	96	den Betreibern ermöglichen, Kommunikationsinhalte einsehen zu können,
	97	was aktuell nicht möglich ist. Hierdurch erhöht sich nicht nur das
	98	Missbrauchspotenzial. Eine zentrale Ablage der dazu benötigten
	99	kryptographischen Schlüssel^[\[7\]](#ftnt7){#ftnt_ref7}^ würde auch ein
	100	primäres Ziel für Angreifer:innen darstellen, der im Fall eines
	101	erfolgreichen Angriffs zur Offenlegung der Kommunikation aller (!)
	102	Nutzer:innen führen könnte (Single-Point-of-Failure).
	103
	104	Hinzu kommt, dass die neue Version des jeweiligen Messengers mit
	105	Hintertür als Softwareupdate eingespielt werden müsste. Hier würden dann
	106	entweder alle deutschen Nutzer:innen oder ausgewählte deutsche
	107	Nutzer:innen dieses mit der Hintertür versehene Update eingespielt
	108	bekommen. Dieser Vorgang würde das Vertrauen der Verbraucher:innen in
	109	Sicherheitsupdates erschüttern und sich damit nachhaltig negativ auf die
	110	IT-Sicherheit in Deutschland auswirken.
	111
	112	Sollten die Messenger-Betreiber die vorgesehene Maßnahme nicht umsetzen,
	113	sollen laut Plan des Innenministeriums ihre Dienste in Deutschland
	114	gesperrt werden. Das wäre auch die einzige Möglichkeit, wie die
	115	zuständigen Behörden mit Messengern umgehen könnten, deren
	116	Verschlüsselung ohne einen zentralen Betreiber auskommt und in die daher
	117	keine Hintertüren per Regulierung implementiert werden könnten (z. B.
	118	Pretty Good Privacy, Off-The-Record). Das würde unweigerlich dazu
	119	führen, dass es innerhalb Deutschlands keine sichere
	120	Messenger-Kommunikation mehr geben könnte. Eine technische Umsetzung
	121	wäre aber, vor allem für quelloffene Messenger wie Signal, faktisch
	122	unmöglich zu realisieren. Es würde eine dedizierte und stark in die
	123	Freiheitsrechte eingreifende IT-Infrastruktur brauchen, um das Umgehen
	124	dieser Sperren auszuschließen (inklusive Blockieren von Virtuellen
	125	Privaten Netzwerken \[VPNs\] und The Onion Router \[TOR\]), da
	126	Kriminelle die ersten wären, die dies versuchen
	127	würden.^[\[8\]](#ftnt8){#ftnt_ref8}^
	128
	129	Betroffen wären davon allerdings nicht “nur” deutsche Behörden (u. a.
	130	Polizei, Feuerwehr, THW), Firmen und Bürger:innen im Allgemeinen,
	131	sondern auch Berufsgeheimnisträger:innen (z. B. Rechtsanwälte,
	132	Geistliche, Ärzte, Journalisten und Abgeordnete) und andere besonders
	133	schützenswerte Personengruppen.
	134
	135	Mittlerweile argumentieren auch vermehrt ehemalige Geheimdienstchefs,
	136	dass gemessen an den Kosten, der Nutzen von umfassender Verschlüsselung
	137	(ohne Hintertüren) im Zeitalter von Cyber-Kriminalität, Datenlecks und
	138	Spionage den Verlust der Überwachungsfähigkeit mehr als aufwiege. Die
	139	strategischen Interessen wie die Stabilität des IT-Sektors und des
	140	IT-Ökosystems wiegen hier schwerer als die taktischen Interessen der
	141	Strafverfolger, so zum Beispiel der ehemalige NSA-Chef Michael Hayden
	142	und der ehemalige Chef des britischen Inlandsgeheimdienstes
	143	MI5.^[\[9\]](#ftnt9){#ftnt_ref9}^
	144
	145	## Empirischer Erkenntnisstand und Alternativen
	146
	147	Den Eckpunkten der Kryptopolitik folgend hat sich die Bundesregierung im
	148	Jahr 1999 entschieden, keine Schwächung der Verschlüsselung (inklusive
	149	Einbau von Hintertüren) vorzunehmen, sondern Schadsoftware
	150	(“Bundestrojaner”) zur Beschaffung von Daten vor/nach Verschlüsselung
	151	einzusetzen. Dieser Maßnahme wurde vom Bundesverfassungsgericht aus
	152	nachvollziehbaren Gründen hohe Hürden gesetzt. Anstatt auf Basis der
	153	bereits existierenden Überwachungsmaßnahmen eine dringend notwendige
	154	Bedarfsanalyse und die bereits vor vielen Jahren vom
	155	Bundesverfassungsgericht geforderte
	156	Überwachungsgesamtrechnung^[\[10\]](#ftnt10){#ftnt_ref10}^
	157	durchzuführen, soll nun eine Regulierung implementiert werden, die mehr
	158	als 20 Jahre wissenschaftliche Erkenntnisse in der
	159	IT-Sicherheitsforschung ignoriert^[\[11\]](#ftnt11){#ftnt_ref11}^.
	160
	161	Die oft angeführte These, dass Geheimdienste und
	162	Strafverfolgungsbehörden aufgrund von Verschlüsselung keinen Zugriff
	163	mehr auf relevante Daten haben (Going Dark), ist bisher nicht empirisch
	164	belegt.^[\[12\]](#ftnt12){#ftnt_ref12}^ Im Gegenteil haben die
	165	technologischen Entwicklungen der letzten Jahrzehnte dazu geführt, dass
	166	Strafverfolger:innen mehr Daten zur Verfügung stehen als je
	167	zuvor.^[\[13\]](#ftnt13){#ftnt_ref13}^ Strafverfolgungsbehörden
	168	dokumentieren bisher kaum, in wie vielen Fällen verschlüsselte
	169	Kommunikation tatsächlich zu einem Erliegen von Ermittlungen geführt
	170	hat. Auch liegt keine vollständige Übersicht vor, welche alternativen
	171	Möglichkeiten zur Erhebung der notwendigen Daten in Deutschland bereits
	172	legal sind und wo sich noch weiße Flecken
	173	befinden.^[\[14\]](#ftnt14){#ftnt_ref14}^
	174
	175	## Internationale Spillover-Effekte
	176
	177	Sollte dieser Vorschlag umgesetzt werden, hätte dies auch weit über die
	178	deutschen Grenzen hinaus negative Strahlkraft. Autoritäre Staaten würden
	179	sich auf diese Regulierung berufen und entsprechende Inhaltsdaten von
	180	den Messenger-Betreibern anfordern mit dem Verweis darauf, dass dies in
	181	Deutschland – und damit technisch – möglich sei. Hiervon wäre dann die
	182	Kommunikation von Menschenrechtsaktivist:innen, Journalist:innen und
	183	anderen verfolgten Personengruppen massiv betroffen – Personengruppen,
	184	die die deutsche Außen- und Entwicklungshilfepolitik bisher zu schützen
	185	versucht hat und jährlich in Milliardenhöhe fördert. Deutschland muss
	186	sich seiner Verantwortung in der Welt auch in diesem Bereich bewusst
	187	sein. Mit einer bewussten Schwächung von sicheren Messengern würde
	188	Deutschland seine außenpolitische Glaubwürdigkeit als Verfechter eines
	189	freien und offenen Internets auf Spiel
	190	setzen.^[\[15\]](#ftnt15){#ftnt_ref15}^ Das Netzwerkdurchsetzungsgesetz
	191	dient hier als mahnendes Beispiel dafür, welche Auswirkung eine deutsche
	192	Gesetzgebung in der Welt entfalten kann.^[\[16\]](#ftnt16){#ftnt_ref16}^
	193
	194	## Wirtschaftsstandort Deutschland
	195
	196	Verwaltung, Wirtschaft und Verbraucher:innen müssen sich darauf
	197	verlassen können, dass bei der Nutzung digitaler Produkte und
	198	Dienstleistungen die Voraussetzungen zum Schutz ihrer Daten und zur
	199	Integrität ihrer Systeme erfüllt sind. Gerade für Unternehmen spielt das
	200	bei der Wahl ihres Produktionsstandortes eine große Rolle. Sie siedeln
	201	sich dort an, wo sie ihre Geschäftsgeheimnisse und Kundendaten geschützt
	202	wissen.
	203
	204	Sabotage und Wirtschaftsspionage verursachten in den Jahren 2016/2017
	205	alleine im Industriesektor einen Schaden von 43 Mrd.
	206	Euro.^[\[17\]](#ftnt17){#ftnt_ref17}^ Es ist davon auszugehen, dass eine
	207	Schwächung der Verschlüsselung diese Zahlen weiter in die Höhe treibt,
	208	da eingebaute Hintertüren auch von ausländischen Nachrichtendiensten und
	209	Kriminellen missbraucht werden können. Wenn Deutschland ein
	210	innovationsfreundlicher und wettbewerbsfähiger Wirtschaftsstandort sein
	211	möchte, müssen technische Hintertüren, die Zugriffe für Dritte
	212	ermöglichen, weiterhin ausgeschlossen bleiben.
	213
	214	Dazu kommt, dass Deutschland auch ein Standort für
	215	IT-Sicherheitsunternehmen u. a. mit Fokus auf
	216	Verschlüsselungstechnologien ist. Die Vertrauenswürdigkeit dieser
	217	Unternehmen im Speziellen würde durch das geplante Vorhaben massiv
	218	gefährdet. Damit würde Deutschland als Standort für die
	219	IT-Sicherheitsindustrie auch als Ganzes geschwächt werden, was den
	220	industriepolitischen Zielen Deutschlands und Europas direkt
	221	widerspricht.
	222
	223	Wir warnen ausdrücklich vor dem geplanten Vorhaben des
	224	Bundesministeriums des Innern, für Bau und Heimat zur Regulierung von
	225	Messenger-Diensten und fordern eine sofortige Abkehr von diesem oder
	226	ähnlichen politischen Vorhaben auf deutscher wie europäischer Ebene.
	227	Darüber hinaus wäre eine offizielle Einschätzung folgender Stellen
	228	erforderlich:
	229
	230	- des Bundesministeriums für Wirtschaft und Energie (Fokus: möglicher
	231	Schaden für die deutsche Industrie sowie die Digitalwirtschaft)
	232	- des Auswärtigen Amts (Fokus: Spillover-Effekte, v. a. in autoritären
	233	Staaten, Ansehensverluste Deutschlands als etablierter Rechtsstaat)
	234	- des Bundesministeriums der Justiz und für Verbraucherschutz (Fokus:
	235	Vertrauensverlust von Verbraucher:innen)
	236	- und des Bundesamts für Sicherheit in der Informationstechnik (Fokus:
	237	Gefährdung der IT-Sicherheit in Deutschland für Staat, Wirtschaft
	238	und Gesellschaft)
	239
	240	Mit freundlichen Grüßen
	241
	242	[**Die
	243	Unterzeichner**](https://docs.google.com/document/d/17F-OxKJtR8DM9O8jiEfUhxDGguBnJoZ2-lvp9614CyM/mobilebasic)
	244
	245	------------------------------------------------------------------------
	246
	247	## Links und Fußnoten
	248
	249	- [\[1\]](#ftnt_ref1){#ftnt1} [Ian Levy, Crispin Robinson: Principles
	250	for a More Informed Exceptional Access
	251	Debate](https://www.lawfareblog.com/principles-more-informed-exceptional-access-debate)
	252	- [\[2\]](#ftnt_ref2){#ftnt2} [Coalition Letter: Open Letter to
	253	GCHQ](https://newamericadotorg.s3.amazonaws.com/documents/Coalition_Letter_to_GCHQ_on_Ghost_Proposal_-_May_22_2019.pdf)
	254	- [\[3\]](#ftnt_ref3){#ftnt3} [Sven Herpig, Stefan Heumann: Encryption
	255	Debate in
	256	Germany](https://carnegieendowment.org/2019/05/30/encryption-debate-in-germany-pub-79215)
	257	- [\[4\]](#ftnt_ref4){#ftnt4} [Die Raven Homepage: Eckpunkte der
	258	deutschen
	259	Kryptopolitik](https://hp.kairaven.de/law/eckwertkrypto.html)
	260	- [\[5\]](#ftnt_ref5){#ftnt5} [Die Bundesregierung: Digitale Agenda
	261	2014 -
	262	2017](https://www.bmwi.de/Redaktion/DE/Publikationen/Digitale-Welt/digitale-agenda.pdf?__blob%253DpublicationFile%2526v%253D3)
	263	- [\[6\]](#ftnt_ref6){#ftnt6} [Jürgen Schmidt: Kritische
	264	Sicherheitslücke gefährdet Milliarden
	265	WhatsApp-Nutzer](https://www.heise.de/security/meldung/Kritische-Sicherheitsluecke-gefaehrdet-Milliarden-WhatsApp-Nutzer-4186365.html)
	266	und [Marius Mestermann: Ernster iPhone-Bug: Apple schaltet
	267	FaceTime-Gruppenanrufe
	268	ab](https://www.spiegel.de/politik/deutschland/nachrichten-am-morgen-die-news-in-echtzeit-a-1249669.html)
	269	- [\[7\]](#ftnt_ref7){#ftnt7} Es handelt sich hierbei um eine mögliche
	270	Implementierung dieser Hintertüren. Es gibt auch andere
	271	Implementierungsmöglichkeiten, die technisch jedoch nicht weniger
	272	problematisch sind.
	273	- [\[8\]](#ftnt_ref8){#ftnt8} [Matthias Schulze: Überwachung von
	274	WhatsApp und Co. Going
	275	dark?](http://percepticon.de/2019/06/04-going-dark/)
	276	- [\[9\]](#ftnt_ref9){#ftnt9} [Michael Hayden: The Pros and Cons of
	277	Encryption](https://www.youtube.com/watch?v%253D6HNnVcp6NYA)
	278	and [The Guardian: Ex-MI5 Chef warns against crackdown on encrypted
	279	messaging
	280	apps](https://www.theguardian.com/technology/2017/aug/11/ex-mi5-chief-warns-against-crackdown-encrypted-messaging-apps)
	281	- [\[10\]](#ftnt_ref10){#ftnt10} [Constanze Kurz:
	282	Überwachungsgesamtrechnung: Vorratsdatenspeicherung ist der Tropfen,
	283	der das Fass zum Überlaufen
	284	bringt](https://netzpolitik.org/2015/ueberwachungsgesamtrechnung-vorratsdatenspeicherung-ist-der-tropfen-der-das-fass-zum-ueberlaufen-bringt/)
	285	- [\[11\]](#ftnt_ref11){#ftnt11} [Danielle Kehl, Andi Wilson, Kevin
	286	Bankston: DOOMED TO REPEAT HISTORY? Lessons from the Crypto Wars of
	287	the
	288	1990s](https://static.newamerica.org/attachments/3407-doomed-to-repeat-history-lessons-from-the-crypto-wars-of-the-1990s/Crypto%252520Wars_ReDo.7cb491837ac541709797bdf868d37f52.pdf)
	289	- [\[12\]](#ftnt_ref12){#ftnt12} [Matthias Schulze, Going Dark?
	290	Dilemma zwischen sicherer, privater Kommunikation und den
	291	Sicherheitsinteressen von
	292	Staaten.](http://www.bpb.de/apuz/259141/going-dark?p%253Dall)
	293	- [\[13\]](#ftnt_ref13){#ftnt13} [Peter Swire, The FBI Doesn’t Need
	294	More Access: We’re Already in the Golden Age of
	295	Surveillance](https://www.justsecurity.org/17496/fbi-access-golden-age-surveillance/)
	296	und [Matthias Schulze: Clipper Meets Apple vs. FBI—A Comparison of
	297	the Cryptography Discourses from 1993 and
	298	2016](https://www.cogitatiopress.com/mediaandcommunication/article/view/805)
	299	- [\[14\]](#ftnt_ref14){#ftnt14} [Sven Herpig: A Framework for
	300	Government Hacking in Criminal
	301	Investigations](https://www.stiftung-nv.de/sites/default/files/framework_for_government_hacking_in_criminal_investigations.pdf)
	302	- [\[15\]](#ftnt_ref15){#ftnt15} [Matthias Schulze: Verschlüsselung in
	303	Gefahr](https://www.swp-berlin.org/publikation/verschluesselung-in-gefahr/)
	304	und [Cathleen Berger: Is Germany (involuntarily) setting a global
	305	digital
	306	agenda?](https://medium.com/@_cberger_/is-germany-involuntarily-setting-a-global-digital-agenda-21c7eb735e26)
	307	- [\[16\]](#ftnt_ref16){#ftnt16} [Reporter ohne Grenzen: Russland
	308	kopiert Gesetz gegen
	309	Hassbotschaften](https://www.reporter-ohne-grenzen.de/russland/alle-meldungen/meldung/russland-kopiert-gesetz-gegen-hassbotschaften/)