Ausnahmezugriff: ein „ausnehmend“ schlechter Gedanke

Alle Menschen – Bürger, Einwohner, Besucher – haben grundlegende Bedürfnisse und unabdingbare Rechte. Damit dies nicht nur in der Theorie so ist, müssen wir vor unseren Gegnern sicher sein und frei kommunizieren können.

Daher haben wir der Regierung ein Mandat erteilt, mit unseren Steuermitteln die notwendigen Rahmenbedingungen für unsere Sicherheit zu schaffen. Diese wichtige Aufgabe wird von den Strafverfolgungsbehörden, den Geheimdiensten, dem Militär und anderen Regierungsstellen wahrgenommen.

Auch Unternehmen sind Teil dieser Gemeinschaft. Einige stellen uns Verbrauchern die notwendigen Kommunikationsservices zur Verfügung. Als Corporate Citizens (Unternehmensbürger) haben sie ähnliche Bedürfnisse und Rechte wie wir. Aus diesem Grund haben sie ein Interesse daran, die Regierung in ihrer wichtigen Funktion zu unterstützen.

In manchen Fällen stehen die jeweiligen Interessen in diesem Umfeld jedoch im Konflikt zueinander.

Diese sich teils überschneidenden und teils in Konflikt stehenden Bedürfnisse lassen sich mit einem Venn-Diagramm veranschaulichen. Die erste Gruppe umfasst die Verbraucher, die sicher sein und sicher kommunizieren möchten.  Die zweite Gruppe umfasst die Regierung, deren Aufgabe darin besteht, uns zu schützen. Die dritte Gruppe umfasst Unternehmen, die Waren oder Services anbieten möchten und in der Regel die Ziele der Regierung unterstützen. Außerhalb dieser Gruppen stehen Gegner, deren Motive, Ziele und Aktivitäten den Zielen aller Gruppen entgegenstehen.

Dieses Gruppenmodell veranschaulicht eine Debatte, die vom Kongress über die Vorstandsetagen bis zu den Wohnzimmern überall ähnlich geführt wird: Sollten Unternehmen gesetzlich dazu verpflichtet werden, der US-Regierung Ausnahmezugriff oder „Zugriff durch die Hintertür“ auf bestimmte Kommunikation zu ermöglichen, um ihre Ziele zu erreichen?

Diese Frage erscheint auf den ersten Blick einfach, aber bei näherer Betrachtung werden zahlreiche komplexe Details deutlich.

Die Strafverfolgungsbehörden versuchen, bei ihren Ermittlungen möglichst viele Informationen zu erfassen. Das ist zwar grundsätzlich lobenswert, aber der Preis ist hoch. Warum? Die Kommunikation unserer Gegner kann erfasst und gespeichert werden. Bestimmte Formen dieser Kommunikation sind jedoch verschlüsselt. In Regierungskreisen ist man der Ansicht, diese Kommunikation müsse schnell abgerufen und analysiert werden können, wenn eine Gefahr für das Allgemeinwohl besteht.

Den Verbrauchern geht es in erster Linie um Datenschutz und Sicherheit, wenn auch mit einigen Einschränkungen.  So sind beispielsweise die meisten US-Bürger gegen eine Ausweitung des Ausnahmezugriffs auf ausländische Regierungen. Dabei ist jedoch unklar, wie im Ausland tätige Unternehmen die Durchführung solcher Maßnahmen rechtlich verhindern könnten.

Unternehmen befinden sich dabei häufig im Zwiespalt zwischen Verbrauchernachfrage und Regierungszielen. Im Fall des Ausnahmezugriffs oder Zugriffs durch die Hintertür werden sie aufgefordert, aufgrund der politischen Vorschläge ihre Geschäftsabläufe zu verändern.

Technologieanbieter wie RSA bringen insbesondere die folgenden vier Vorbehalte dagegen vor:

  1. Wir leben in einem Goldenen Zeitalter der Überwachung. Die Strafverfolgungsbehörden haben bereits Zugriff auf eine gewaltige Menge von Daten über Einzelpersonen. Welchen konkreten Mehrwert bietet ein Zugriff auf diese weitere geringe Datenmenge? In vielen Fällen dürfte der Nutzen schon bald verschwindend gering sein und der ganze Zusatzaufwand kaum Ergebnisse liefern.
  2. Der Ausnahmezugriff auf Daten verursacht erhebliche Risiken, da die Sicherheit grundlegend geschwächt wird, zusätzliche Points-of-Failure entstehen und Systeme deutlich komplexer werden.
  3. Bereits jetzt ist es schwer genug, sichere Systeme zu entwickeln. Wir haben noch immer keine endgültige Lösung und genau aus diesem Grund verfolgt eine ganze Branche mit Unternehmen wie RSA dieses Ziel. Durch den Ausnahmezugriff wird eine bereits schwierige Situation noch viel schlimmer.
  4. Die Verfahrensweisen für diesen Prozess sind ein wahrer Albtraum. Wie soll entschieden werden, in welchen Fällen Ausnahmezugriff erteilt wird und in welchen nicht? Mit welchen gegenseitigen Kontrollmechanismen kann ein Missbrauch verhindert werden? Wie soll in Fällen mit internationalen Gerichtsbarkeiten vorgegangen werden?

Unsere Gegner wie Kriminelle, Terroristen usw. beobachten diese Debatte zwar mit Interesse. Dennoch sind sie wahrscheinlich weniger daran beteiligt, als man in der Politik und in den Strafverfolgungsbehörden denkt. Sie haben jederzeit Zugang zu zahlreichen Verschlüsselungstools (ungefähr genauso, wie sich jeder Dieb ein Paar Handschuhe oder eine Sturmhaube beschaffen kann, um keine Fingerabdrücke am Tatort zu hinterlassen und auf den Aufnahmen einer Überwachungskamera unerkannt zu bleiben). Anspruchsvolle Bedrohungsakteure, darunter auch die Feinde der USA, sind eher am Ergebnis ihrer Handlung interessiert. Wenn Ausnahmezugriff auf Systeme erforderlich ist, glauben diese Bedrohungsakteure, sie könnten von schwächeren Systemen profitieren und diese ausnutzen.

Wir stehen also am Scheideweg einer der folgenschwersten Entscheidungen des Internetzeitalters. Dabei geht es nicht allein um die Frage nach Sicherheit oder Datenschutz, sondern die Debatte ist sehr viel breiter, facettenreicher und nuancierter – und es gibt zahlreiche Möglichkeiten. Wir bei RSA glauben, dass der Ausnahmezugriff durch die Regierung den Grundprinzipien der Entwicklung sicherer Systeme entgegensteht und daher ein „ausnehmend“ schlechter Gedanke ist.

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments