Verschlüsselung im Internet. Privatsspäre im Netz ist ein heikles Thema, wer Anspruch auf sie erhebt, macht sich verdächtig.
Dass Kryptographie eine Schlüsseltechnologie für die Entwicklung des Internet war und weiterhin ist, wird kaum bestritten. Zahlreiche Anwendungsbereiche konnten erst mit dem Einsatz von Verschlüsselungstechnologien entwickelt werden. So kann der hochgelobte E-Commerce sein Potenzial nur durch den Einsatz sicherer Verfahren entfalten, denn sowohl im B2B (Business to Business) als auch im B2C (Business to Customers) Bereich müssen Informationen übertragen werden, die man ungern mit zu vielen anderen teilt. Gleiches gilt für die Übertragung medizinischer Daten. Rechtsgeschäfte im Internet werden durch den Einsatz von Verschlüsselungstechnologien, hier als
digitale Signaturen, zur eindeutigen Identifikation ermöglicht. Und natürlich geht es auch darum, Individuen zu schützen, die ihre Kommunikation privat halten wollen.
Die Einsatzmöglichkeiten von Verschlüsselungstechnologien sind sehr vielfältig, und in vielen Bereichen funktionieren sie mehr oder weniger unbemerkt. Mittlerweile gehört es zur Standardausstattung eines Webshop, die Kreditkarteninformationen automatisch zu verschlüsseln. Für die Kunden geschieht das ohne zusätzlichen Aufwand und ungefragt. In anderen Bereichen ist der Einsatz nicht so selbstverständlich: Private emails werden fast immer unverschlüsselt verschickt, auch wenn im Internet kostenlose Programme verfügbar sind, mit denen emails sehr sicher verschlüsselt werden können.
Woher kommt dieser Unterschied in der Nutzung und Integration von Verschlüsselungsprodukten in den unterschiedlichen Anwendungsmöglichkeiten? Um darauf einzugehen, muss man sich die Debatten um die Regulierung von Verschlüsselung anschauen. Diese Diskussion wurde in den neunziger Jahren des letzten Jahrhunderts kontrovers und konfrontativ geführt. Die Meinungen, wie mit dem ‘Problem’ Verschlüsselung umgegangen werden soll, waren und sind weiterhin sehr gegensätzlich.
Anfang der neunziger Jahre wurde die Diskussion zwar nicht eröffnet, erlebte jedoch durch die Verfügbarkeit von Pretty Good Privacy (
PGP) einen starken Aufschwung. Phil Zimmermann hatte das Verschlüsselungsprogramm geschrieben und verbreitete den Quellcode, um ihn auch international zu diskutieren. Damit hatte er gegen Exportbeschränkungen verstoßen, denn der Export von Kryptographie wurde von der
United States Munition List beschränkt. Kryptographie war über Jahrhunderte eine Domäne der Diplomatie, der Geheimdienste und des Militärs. Durch die Ausbreitung der Computernetze, die universitäre Forschung seit den 70er Jahren und offen sichtbar durch PGP wurde diese Vorherrschaft in Frage gestellt.
Die Positionen waren damit schnell abgeklärt: Auf der einen Seite waren die Sicherheitsbehörden und alle ihnen nahestehenden Organisationen. Sie fürchteten – so ihr generelles Argument – den Anstieg der (internationalen) Kriminalität, da Abhörmaßnahmen etc. beim Einsatz von Verschlüsselungstechnologien nicht mehr greifen würde. Auf der anderen Seiten standen zunächst Bürgerrechtler, wie etwa die American Civil Liberties Union (
ACLU), die internetbezogene Electronic Frontier Foundation (
EFF) oder in Deutschland der Förderverein Informationstechnik und Gesellschaft (
FITUG). Sie sahen durch die Beschränkungen den Schutz der Privatsphäre in Gefahr. Bürger, so dass Argument, müssten sich gerade im transparenten Internet mit den stärksten verfügbaren Verfahren schützen können. Später, nachdem vor allem das World Wide Web wirtschaftlich interessant wurde, standen sowohl die Produzenten von Verschlüsselungstechnologien als auch die Firmen, die Verschlüsselungsprodukte nutzen wollten, mehrheitlich auf der Seite der Regulierungsgegner.
Lawrence Lessig, Rechtsprofessor an der
Stanford University, schreibt in seinem 1999 erschienen Buch ”
Code and other Laws of Cyberspace“, dass vier Regulierungsmechanismen auf die Struktur und die Nutzung des Internet einwirken. Diese vier Mechanismen sind Recht, soziale Norm, Markt sowie Architektur/Code. Dabei, so führt Lessig weiter aus, sind die Mechanismen verschiedenen Akteuren zugeordnet. Recht ist primär das Medium von Politik und Gerichten, soziale Normen eher das der Gesellschaft, Markt ein Medium der Wirtschaft, und Architektur/Code liegt in den Händen der Programmierer, vor allem aber der Hard- und Softwareunternehmen.
Dabei ist zu beachten, dass alle Mechanismen gleichzeitig wirken, allerdings mit unterschiedlicher Stärke. Im Internet, so Lessigs Argument, gibt es eine Verschiebung, die mehr und mehr Gestaltungsmöglichkeiten auf das Regulierungsmedium Architektur/Code legt.
An der Debatte um Kryptographie sind vor allem zwei Aspekte bemerkenswert. Zum einen sind die Versuche und die Instrumente der Regulierung von staatlicher Seite interessant, das ‘Problem’ in den Griff zu kriegen; und zum anderen die Koalitionsbildung aus Bürgerrechtlern und freier Wirtschaft.
Schaut man sich die Ergebnisse der Politik der staatlichen Akteure in den USA und der Bundesrepublik Deutschland an, so sind sie sehr ähnlich: Ende der neunziger Jahre wurden die Exportbeschränkungen stark erleichtert. Dies geschah trotz starker Bedenken der Sicherheitsbehörden und vehementer Fürsprache für Exportbeschränkungen sowie die Einführung von Nutzungsbeschränkungen. Parallel zur Lockerung der Exportbeschränkungen wurden jedoch sowohl rechtlich wie technisch die Möglichkeiten ausgedehnt, Kommunikationsvorgänge abzuhören und gegebenenfalls zu entschlüsseln.
In der Terminologie Lessigs gab es also eine Verschiebung in den Mechanismen der Regulierung von staatlicher Seite. Wurde zunächst in den USA und der Bundesrepublik Deutschland versucht, über rechtliche Regeln Beschränkungen durchzusetzen, so wurde beim Ausbau der Abhörmöglichkeiten verstärkt auf Code/Architektur gesetzt. Gleiches gilt auch für die Versuche, über eine technische Standardisierung – als Beispiel sei hier der
Clipper-Chip genannt – eine Infrastruktur auszubauen, die beschränkte kryptographische Funktionen zum Standard gemacht hätte.
Markant daran ist, dass die Diskussionen zur Beschränkung der Krytpographie recht offen geführt, die Möglichkeiten des Abhörens sowie deren Ausbau hinter verschlossenen Türen geplant und vollzogen wurden. Hinweise auf
Echelon oder die polizeiliche Zusammenarbeit auf europäischer Ebene unter dem Stichwort
Enfopol, die erst durch die Arbeit engagierter Journalisten aufgedeckt wurden, sollen hier genügen.
Mit welchem Erfolg der Ausbau der Abhörmöglichkeiten betrieben wird, ist kaum zu bestimmen. Auch das Ausmaß der Bedrohung, die durch die Nutzung von Verschlüsselungstechnologien entstehen, wird kaum verdeutlicht. Viel mehr als ein Hinweis, dass Kryptographie für kriminelle Zwecke missbraucht wird oder werden kann, findet sich kaum, Beweise werden selten geliefert.
Aber auch wenn dem so ist, dann stellt sich die Frage, ob denn ein Ausbau von Maßnahmen gerechtfertigt ist. Denn mit jedem Ausbau gehen auch fundamentale Grundrechte verloren, das Recht auf Privatsphäre, der Schutz der Kommunikation. Und weiterhin bleibt die Frage, wie gut die Maßnahmen greifen. Kriminelle, so das starke Argument der Gegner einer Regulierung, würden auf neue Kommunikationsformen ausweichen, wenn die alten unsicher würden. Damit wären die Überwachungsmaßnahmen ein Hase-und-Igel-Spiel.
Wie dem auch sei: Der Einsatz von Krytpographie wird unser Verständnis von Privatsphäre verändern. Ob es sich dabei um eine Stärkung der Privatsphäre oder um eine Privatisierung gegen den Schutz vor Mißbrauch von vielen Seiten handelt, ist bislang noch unklar. Es deutet sich aber an, dass es sich eher um einen Schwund der Privatsphäre handeln wird, gegen den man sich nur mit großem Sachverstand wehren kann.
Bemerkenswert, und damit komme ich zum zweiten Aspekt, waren bei diesen Diskussionen auch die zumindest inhaltlichen Allianzen zwischen Wirtschaft und Bürgerrechten. Leicht vereinfacht waren beide Gruppen gegen eine staatliche Intervention.
Von wirtschaftlicher Seite war das Argument, dass sich der E-Commerce nur entfalten könne, wenn Verschlüsselung frei verfügbar sei. Und da E-Commerce global gedacht werden muss, kann dies nur funktionieren, wenn die Technologien global arbeiten. Dies wurde durch Exportbeschränkungen verhindert. Zudem, so ein zweites Argument, würden die nationalen Industrien durch die Verfügbarkeit vieler Verschlüsselungsprodukte ins Hintertreffen geraten. Und für die Bürgerrechtler stand der effektive Schutz der Privatsphäre im Mittelpunkt.
Man könnte zunächst frohlocken, denn immerhin hat es diese Allianz geschafft, Nutzungsbeschränkungen zu verhindern und die Voraussetzungen für eine globale Sicherheit zu schaffen. Gleichzeitig sieht die Situation ja doch so aus, dass zwar wie schon erwähnt Webshops etc. mit einer sicheren Technologie ausgestattet sind, Tools für die Verschlüsselung von privaten emails und Daten aber immer noch nicht zur Standardausstattung von Rechnern gehören. Das scheint zumindest nur auf einen Teilerfolg der Bürgerrechtler hinzudeuten: Man darf zwar, aber wenige tun es, und unterstützt wird man dabei auch nicht.
Damit will ich nicht sagen, dass die Kampagnen und Aufklärungsarbeit der Bürgerrechtler, Initiativen und Open-Source Gemeinde nicht auch zur verstärkten Nutzung von Verschlüsselung im privaten Bereich geführt haben. Fraglich bleibt aber, ob sich solche Initiativen gegen die Marktmacht durchsetzen können.
Schaut man sich den PC-Markt, die genutzte Software sowie die Preisstrukturen an, so wundert’s, dass sich vergleichsweise teure, gegenüber kostenlosen Betriebssystemen und email-clients, und ebenso anfällige Monokulturen wie ein Windows-PC und Outlook durchsetzen. Ohne hier eine große Microsoftschelte betreiben zu wollen, so gibt es sicherlich viele Nutzer, denen die Bedienung von Eudora oder Pegasus näher käme. Dennoch bleiben die meisten Nutzer bei den vorinstallierten Programmen.
“Code is law”, schreibt Lessig. Doch der Code wird hauptsächlich von großen Softwarekonzernen geschrieben, und die Marktstrukturen und Komplexität verhindern die Möglichkeiten der freien Auswahl. Der Widerstand gegen staatliche Intervention war und ist sicherlich gerechtfertigt. Doch stellt sich die Frage, ob das ausreicht. Denn somit ist die Gestaltung, zumindest für den Großteil der Nutzer, den Konzernen überlassen. Und warum ich Microsoft, Apple oder Qualcomm etc. eher trauen soll als meinen gewählten Vertretern, leuchtet mir nicht direkt ein.
Für die aktive Gestaltung der Kryptographiepolitik braucht man einen starken Partner. Und das kann paradoxerweise nur – ganz im Sinne der
Enquete-Kommission “Zukunft der Medien in Wirtschaft und Gesellschaft” – der Staat im Sinne einer Kontroll- und Aufklärungsinstanz sein, der aktiv für den Schutz seiner Bürger und Bürgerinnen verantwortlich ist.