Entschlüsselung der Verschlüsselungsdebatte

Heute habe ich in einer Anhörung mit dem Titel “Entschlüsselung der Verschlüsselungsdebatte: Perspektiven von Industrie und Strafverfolgung” des Unterausschusses Energie und Handel des US-Repräsentantenhauses zum Thema Aufsicht und Ermittlungen ausgesagt. Obwohl es sich hier um ein kompliziertes und differenziertes Thema handelt, gibt es einige wichtige Punkte, die meiner Meinung nach einen sehr guten Diskussionsrahmen bieten. Auf diese Punkte bin ich bereits kürzlich auf der RSA-Konferenz in meiner Keynote sowie letzten Monat bei einem Panel auf dem South by Southwest Interactive-Festival in Austin und nun heute erneut in meiner Aussage eingegangen.

Die aktuelle Debatte über den Zugriff der Strafverfolgung auf verschlüsselte Kommunikation ist eine der entscheidenden Fragen für unsere Sicherheitscommunity.  Es muss abgewogen werden zwischen dem, was einerseits für die Strafverfolgung zur Aufklärung teilweise abscheulicher Verbrechen notwendig ist, und dem, was uns andererseits Sicherheit, Privatsphäre und Datenschutz und wirtschaftliche Wettbewerbsfähigkeit wert sind.

Obwohl die Strafverfolgung bereits heute Zugriff auf eine Fülle von aufschlussreichen Überwachungsdaten hat, und zwar auf mehr Daten, als sie effizient verwalten oder in vollem Umfang nutzen kann, haben die aktuellen Ereignisse bei politischen Entscheidungsträgern erneut den Ruf nach Mechanismen für einen “Ausnahmezugriff” laut werden lassen. Kurz gesagt: Es werden “Hintertüren” gefordert, die zugunsten der Strafverfolgung in jede Verschlüsselung eingebaut werden und ihr die Verfolgung von Kriminellen erleichtern sollen. Diese Forderung klingt zwar simpel, ist jedoch nicht nur unmöglich machbar, sondern hätte auch die unbeabsichtigte Folge, dass die Sicherheit der Internetinfrastruktur, auf die wir alle angewiesen sind, von Grund auf geschwächt würde, was gleichzeitig Auswirkungen auf die nationale und öffentliche Sicherheit hätte.

Bei jedem Verschlüsselungssystem besteht die größte Herausforderung in der Umsetzung und Erhaltung einer effektiven und funktionierenden Sicherheit.  In beiden Bereichen steigt die Komplexität und das Ausfallrisiko wird ganz wesentlich erhöht. Laufend werden Fehler in der Implementierung von Algorithmen, bei Schlüsselaustauschmechanismen, gemeinsam genutzten Speichern und dem Hinterlegungsort von Schlüsseln entdeckt. Selbst bei einer jederzeit verfügbaren guten Verschlüsselung ist der Schutz von Informationen unglaublich schwierig. Unweigerlich existieren Fehler in anderen beweglichen Komponenten, wie z. B. Hardware, Protokollimplementierungen, Betriebssystemen, Authentifizierungsmechanismen und anderen Komponenten der Rechnerplattform, die Informationen selbst dann gefährden können, wenn diese ordnungsgemäß verschlüsselt sind.

Eine gute Verschlüsselung ist der Grundbaustein für gute Cybersicherheit. Ohne eine gute Verschlüsselung wären alle für die Verteidigung essentieller Netzwerke und Systeme der Vereinigten Staaten Verantwortlichen massiv im Nachteil. Ein Ausnahmezugriff erhöht die Komplexität und bringt neue Sicherheitslücken mit sich, die wir möglicherweise noch gar nicht vollständig verstehen. Ein solcher Zugriff bedeutet ein absichtliches Unterlaufen der Integrität der Internetinfrastruktur, die wir alle versuchen, sicher zu machen, und sorgt für zusätzliche Risiken anstatt Risiken zu verringern. Das Einbauen einer “Hintertür” für Strafverfolgungsbehörden in jede Verschlüsselung bedeutet, dass auch einem wesentlich breiteren Spektrum an Personen mit schlechten Absichten die Möglichkeit geliefert wird, uns Schaden zuzufügen.

Wir können kein Vorgehen gutheißen, das die anspruchsvollen und häufig vergeblichen Bemühungen unserer Experten für Cybersicherheit untergräbt, und dann erwarten, dass unsere Wirtschaft und unsere Gesellschaft sicher sind. Die negativen Auswirkungen eines solchen Vorgehens würden neben Technologieunternehmen auch alle anderen Branchen betreffen, einschließlich unserer kritischen Infrastruktur, der Energie- und Versorgungsbranche, der Automobilindustrie, Produktionsunternehmen, dem Gesundheitswesen, dem juristischen Sektor, Banken und der Finanzdienstleistungsbranche.

Ich hoffe, dass Sie mich unterstützen und Ihrer Meinung zu diesem wichtigen Thema Gehör verschaffen.  Eine Schwächung der Verschlüsselung würde unser ganzes Land katastrophal schwächen.

Wenn Sie die Anhörung “Entschlüsselung der Verschlüsselungsdebatte: Perspektiven von Industrie und Strafverfolgung” nicht verfolgen konnten, können Sie sich die Anhörung hier ansehen (Meine Aussage beginnt in dem Webcast nach ca. 3 Stunden Laufzeit):

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments