Der Spiegel


13.10.98


KRYPTOGRAPHIE

"Kultur der Aufklärung"

Von Stefan Krempl

Interview mit Otto Ulrich, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) für Technikfolgen-Abschätzung zuständig, über den Wandel in der Kryptopolitik.

(Bild von)
Otto Ulrich

Das BSI ist dem Innenministerium zugeordnet und galt lange Zeit als Vollstrecker der harten Kryptolinie Manfred Kanthers. Nach der politischen Wende ist aus dem mit rund 300 Mitarbeitern relativ kleinen Bundesamt nun viel über Kryptographie als Bürgerrecht und eine neue demokratische Diskussion der Sicherheitstechnologien zu hören. Otto Ulrich erläutert im Gespräch mit Stefan Krempl die neue Linie im Rahmen der internationalen Entwicklungen.


SPIEGEL ONLINE: Strafverfolgungsbehörden nutzen Abhörmethoden im Telefonnetz für kriminalistische Untersuchungen, Sicherheitsdienste belauschen aus- und inländische Kommunikation in hohem Maße, wie der dem Europäischen Parlament vorliegende STOA-Report zum Abhörsystem ECHELON bestätigt. Ist die Kryptographie ein Mittel, die verlorengegangene Balance zwischen den Interessen des Staates und denen von Privatunternehmen und Individuen wieder ins Gleichgewicht zu bringen?

Ulrich: Man darf das Kind nicht mit dem Bad ausschütten. Die Telefonüberwachung ist klaren gesetzlichen Regelungen unterworfen. Richtig ist allerdings, daß die Telefonüberwachung in Deutschland acht- bis zehnmal höher ist als etwa in den USA. Daraus folgt, daß der Schutz des Fernmeldegeheimnisses wieder gestärkt werden muß. Für die Internetkommunikation gilt, daß die Kryptographie ein typisches Mittel des Selbstschutzes ist. Privatunternehmen, Individuen und öffentliche Einrichtungen sollten diesen Schutz vor Angriffen von Dritten unbedingt nutzen.

Doch meistens wird in diesem Zusammenhang nur das Bild des staatlichen "Big Brother" gezeichnet. Die Vertraulichkeit der Kommunikation über das Internet wird aber auch von privatwirtschaftlicher Seite gefährdet. Es ist schon erstaunlich, wie schnell Surfer bereit sind, sensible Daten von sich selber offen Preiszugeben. Es hat sich leider noch nicht zur Genüge herumgesprochen, daß die automatisch anfallenden Datenspuren in Verbindung mit den von den Nutzern selbst gelieferten Informationen durch Data-Mining systematisch gesammelt und ausgewertet werden, um sie als hochsensible elektronische Persönlichkeitspakete an irgendwelche Adressenhändler und Data-Warehouses weiterzuverkaufen.

SPIEGEL ONLINE: Im Rahmen der jüngsten ECHELON-Debatte im Europäischen Parlament tauchte die Frage auf, inwieweit Sicherheitsbehörden in Deutschland und Frankreich eng mit dem FBI und der NSA zusammenarbeiten. Es wurde sogar befürchtet, daß die ISDN-Leitungen des Parlaments abgehört werden. Ist das alles nur Paranoia?

Ulrich: Grundsätzlich ist es längst kein Geheimnis mehr, daß ISDN-Leitungen nicht abhörsicher sind. Der STOA-Bericht zeigt aber auch, daß die bundesdeutschen Dienste nicht am ECHELON-System beteiligt sind, obwohl solche Abhörsysteme auf deutschem Boden stehen und den Fernmeldeverkehr abhören.

SPIEGEL ONLINE: CNN hat Ende Juli berichtet, daß die National Security Agency jeden Softwarehersteller in den USA bedrängt, Hintertüren zu verschlüsselten Informationen einzubauen. Gleichzeitig kämpfen die Vereinigten Staaten dafür, daß Kryptoprodukte weiterhin im Wassenaar-Abkommen mit Exportbeschränkungen versehen werden. Sind der Wirtschaftsspionage weiterhin Tür und Tor geöffnet?

Ulrich: Schon seit längerem wird beim lautlosen elektronischen Angriff von einer neuen Dimension der Wirtschaftsspionage gesprochen - was zu erheblichen nationalen Wettbewerbsnachteilen führen kann. Zumal dann, wenn sich Unternehmen weiterhin nur zögerlich mit Gegenmaßnahmen im Bereich IT-Sicherheit vor solchen Angriffen schützen.

Interessant ist nun, daß neuerdings in deutschen Wirtschaftskreisen die "Key Recovery Initiative" der USA, mit der offenbar versucht wird, die Verschlüsselungstechnik weltweit unter die Kontrolle eines einzigen Staates zu bringen, immer offener abgelehnt wird. Auch in Kreisen der Fachwissenschaft wird deutlich gemacht, daß es im Zuge der internationalen Standardisierung der technischen Komponenten - etwa im Bereich E-Commerce - keine verdeckte Vorherrschaft für irgendjemand geben darf.

Was wir jetzt noch dringend brauchen, ist eine "Kultur der Aufklärung", sonst können wir dem wachsenden Mißtrauen gegenüber den Unsicherheiten bei der Nutzung der Informationstechniken nicht begegnen. Dazu gehört als erster Schritt schon allein zur Standortsicherung eine breite Sensibilisierung gegenüber den Möglichkeiten, die diese Techniken im Bereich der Spionage bieten. Bis zu kleinen und mittleren Unternehmen sind diese Sicherheitsrisiken oft noch nicht vorgedrungen.

Ganz allgemein müssen wir nun einen breiten gesellschaftlichen Dialog über die permanent wachsende Verletzlichkeit unserer Gesellschaft beginnen. So wie viele der heutigen Generation gelernt haben, die Dimension 'Umweltschutz' in ihr Verhalten aufzunehmen - Stichwort: Gelbe Tonne -, so müssen wir heute lernen, ein kritisch-konstruktives Bewußtsein im Umgang mit nichtfehlerfreier, also angreifbarer Software zu entwickeln. Ich hoffe, daß wir nicht erst "Tschernobyls der Informationsgesellschaft" brauchen, um hier einen entscheidenden Schritt weiterzukommen. Unter anderem bedeutet das zu lernen, daß das Prinzip der Datenvermeidung der beste Weg ist, sich nicht angreifbar zu machen.

SPIEGEL ONLINE: Für die Anerkennung von Kryptographie als Bürgerrecht hat sich mit der Global Internet Liberty Campaign eine Lobby gebildet, die sich aus Bürgerrechtsorganisationen und Industrievertretern zusammensetzt. Sind solche Allianzen nötig angesichts der starken Stellung von Sicherheitsbehörden?

Ulrich: Auch in Deutschland sind neue Allianzen zwischen Unternehmern, Daten- und Verbraucherschützern sowie Bürgerrechtlern im Kommen. Die Global Player verhalten sich dabei zwar durchaus ambivalent: Sie strecken ihre Finger und Fühler einerseits in Richtung USA aus, andererseits wollen sie hier am Aufbau von Trustcentern verdienen. Insgesamt wird sich in nächster Zeit aber einiges bewegen. Gerade im Zusammenhang der Feierlichkeiten zum 50. Jahrestag der Einführung des Grundgesetzes im Mai sehe ich die Chance, über die Zukunft einer gelebten Demokratie nachzudenken - und ein wichtiger Punkt wird dabei sein, daß wir uns das effektive Zusammenwirken von Kryptographie und Schutz der Privatsphäre deutlich machen.

SPIEGEL ONLINE: Die Europäische Kommission will mit dem Entwurf zu einer Direktive für ein gemeinsames Rahmenwerk für elektronische Signaturen vor allem den E-Commerce fördern. Martin Bangemann wettert gleichzeitig immer wieder gegen die Key Recovery Initiative der USA. Wie schätzen sie die Haltung der EU in der Kryptofrage ein?

Ulrich: Datenschutz- und Privacy-Aspekte werden bisher nicht ausreichend diskutiert. Es ist nicht erkennbar, wie aus einem Technikoptimismus, wie ihn Bangemann präsentiert, wie aus der Überstülpung von Electronic Commerce im globalen Rahmen auch die Sicherheit des Bürgers geschützt werden kann. Die Techniker und Programmierer haben andere Sorgen; die lernen gerade erst, digitale Signaturen in ihre Produkte einzubauen, um überhaupt die Basis zu einem rechtsverbindlichen Geschäftsverkehr zu legen. Die sich daran anschließende Debatte um Bürgerrechte sehe ich überhaupt nicht.

Dabei könnte es sich mittelfristig als ein Eigentor erweisen, wenn man den globalen elektronischen Handel ohne eingebauten Datenschutz fördert. Das haben wir ja an den Diskussionen in Deutschland während der vergangenen Jahre gesehen. Ich denke aber, daß mit der weiteren Sozialdemokratisierung Europas nach der Bundestagswahl die Frage nach dem Schutz der Privatsphäre insgesamt an Gewicht gewinnt. Letztlich fehlt uns aber noch eine Reflektion der Kryptographie im Kontext der Demokratieverträglichkeit. Diese Debatte kann allerdings von Politikern allein nicht geführt werden.

SPIEGEL ONLINE: Ist die Kryptographie nach herrschendem politischen Verständnis demokratieverträglich? Welche Lösungen gibt es im ewigen Streit zwischen Geheimdiensten und Polizeibehörden sowie den Forderungen der Wirtschaft und den Privacy-Ansprüchen der individuellen Nutzer?

Ulrich: Ich hoffe, daß die von der Enquete-Kommission zur Zukunft der Medien einvernehmlich verabschiedete Position hier einen Maßstab vorgibt, mit dem die seit Jahren verklemmte "Kryptokontroverse" in anderem Licht gesehen werden kann. Im Abschlußbericht ist davon die Rede, "daß alle Maßnahmen und Hemmnisse, die einer breiten Nutzung von Verschlüsselungsverfahren entgegenwirken, vermieden und abgebaut werden müssen ... Dabei wird anerkannt, daß durch die neuen Verschlüsselungsmethoden auch neuartige Gefährdungsformen entstehen und die Ermittlungsarbeiten der Sicherheitsbehörden erschwert werden können." Die Kommission fordert die zuständigen Behörden deshalb auf, ihren spezifischen Sicherheitsbedarf, der nicht durch bestehende Gesetze abgedeckt werden kann, zu klären. Trotz aller Vagheit ist die Botschaft klar: Die Verkrampfung der Diskussion der vergangenen 10 Jahre wird gelockert, die Debatte unter einem neuen Blickwinkel geführt.

Von der Bürgerrechtsseite aus müßten wir uns gleichzeitig Demokratietheorien mal genauer ansehen und dazu auch die verschiedenen, alternativen Modelle bei der Schlüsselhinterlegung. Das ist aber eine sozialwissenschaftliche Aufgabe, keine von Informatikern und Technikern.

SPIEGEL ONLINE: Behindern die hohen Sicherheitsanforderungen des Signaturgesetzes (SigG) bzw. die Umsetzungen im Maßnahmenkatalog des BSI nicht auch selbst die Anwendung von Kryptoprodukten? Bisher wurde oft der Vorwurf der Überregulierung laut.

Ulrich: Von Überregulierung kann keine Rede sein. Ich glaube, daß die Firmen, die momentan Trustcenter im Sinne des SigG aufbauen, froh sind, einen Orientierungsrahmen in Form des vom BSI erarbeiteten technischen Maßnahmenkatalogs vorzufinden. Mehr als eine Orientierungshilfe soll es ja nicht sein, man muß sich ja nicht daran halten. Außerdem sollte man immer darauf achten, wer sich über "hohe Sicherheitsanforderungen" beklagt. Rechtsverbindlichkeit im elektronischen Geschäftsverkehr ist ohne angemessene Sicherheitsstandards nicht zu haben.

SPIEGEL ONLINE: Wie kann man eine sichere Infrastruktur und die alltägliche Anwendung von Kryptographie richtig zum Laufen bringen, wenn sich Nutzer erst einen Chipreader kaufen und die eigene Computerausstattung hochrüsten müssen?

Ulrich: Das ist eine klassische Situation: Wir haben eine neue Technologie und wir haben die rechtliche Regelung im SigG umgesetzt. Und jetzt passen wir Technik und Recht an, was aber nicht orientiert an Wahlkampfterminen und nicht auf Anhieb geht. Das ist verbunden mit Simulationsstudien, Laborerfahrungen usw., der Ingenieur oder Informatiker hat schließlich eigene Anforderungen zu erfüllen. Aber dieses Zusammendenken birgt die Möglichkeit, daß das Recht endlich einmal die Chance hätte, Technik zu gestalten - bisher rannte das Recht der Technikentwicklung ja immer hinterher. Das wäre eine ganz neue Qualität. Wer Sicherheitstechniken entwickelt, wird dann immer weniger um die Entwicklung eines umfassenden Sicherheitsverständnisses herumkommen, eines "mehrseitigen" Sicherheitsbegriffs, der über die reine Technik hinaus die Interessen und Bürgerrechte des Nutzers beachtet.

SPIEGEL ONLINE: Jetzt gibt es natürlich die Pragmatiker in den USA, die sagen: "Wir haben doch Pretty Good Privacy und Trustcenter der Industrie, wozu noch Gesetze?"

Ulrich: PGP spaltet die "Informationsgesellschaft" in eine technikfreundliche Minderheit, die das Know-how hat, sich damit selbst zu schützen, und eine Masse von Nutzern ohne dieses Wissen. Aber eine elektronische Dienstleistungsgesellschaft für jedermann kommt nicht daran vorbei, Datenschutz verpflichtend schon beim Aufbau der neuen Sicherheitsstrukturen vorzuschreiben. Die Erwartung, daß dies "von sich aus", allein über die Technologie der digitalen Signatur passiert, ist naiv. Ein nachträgliches "Draufsatteln" von datenschutzfreundlichen Technologien dagegen ein schwieriger und teurer Umweg. Die besten Marktchancen im Sinne eines unabhängigen Datenschutz-Audits werden in Zukunft wohl Trustcenter haben, die sich schon jetzt um diese Strukturen kümmern.

SPIEGEL ONLINE: Bisher ist es vielen Nutzern zu umständlich, jede Mail zu verschlüsseln und all die Schlüssel anderer Parteien zu verwalten.

Ulrich: Das wird nur noch die Frage eines Knopfdrucks sein. Die oberflächliche Funktionalität ist relativ gut gelöst, das geht alles ganz schnell. Die sich gerade im Aufbau befindlichen Trustcenter werden durch das "Key-Management" den einzelnen Nutzern viel Arbeit ersparen. Ob das, was dann im Hintergrund abläuft, der normale Nutzer wirklich wissen will, ist eine andere Frage. Ins Auto wollen sich die meisten ja auch einfach nur reinsetzen und fahren. Da setzt dann wieder der Vertrauensaspekt an, Vertrauen in die Black Box und die Technologie muß natürlich da sein, genauso wie beim Arbeiten am Computer generell.


SPIEGEL ONLINE 42/1998 - Vervielfältigung nur mit Genehmigung des SPIEGEL-Verlags