Wir freuen uns Ihnen mitzuteilen, dass wir gemeinsam mit Dropbox, Inc. ein neues Kapitel aufschlagen werden. Dropbox erwirbt unsere IP-Technologie, um sie nativ in das Dropbox-Produkt einzubetten und damit Millionen von Geschäftskunden weltweit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge bieten zu können. In unserem Blog erfahren Sie mehr!

Erfahren Sie mehr
Ende-zu-Ende-Verschlüsselung mit Hintertür – die Pläne der EU

Ende-zu-Ende-Verschlüsselung mit Hintertür – die Pläne der EU

Autorenteam: Lisa Figas und Christian Olbrich

Die EU-Kommission, der Rat der Europäischen Union und auch die Spionageallianz Five Eyes schreiben, dass sie den Dialog mit der Technik-Industrie suchen, um gemeinsam herauszufinden, wie man „Sicherheit durch Ende-zu-Ende-Verschlüsselung und Sicherheit trotz Ende-zu-Ende-Verschlüsselung“ technisch realisieren kann. Wir haben uns aus diesem Grund einmal die Mühe gemacht, uns den Stand der Diskussion anzusehen und bewerten die aktuellen Vorschläge zur Abschwächung von Ende-zu-Ende-Verschlüsselung.

Inhalt

Was ist Crypto Wars?

Mit neuer Wucht ist die Diskussion um Hintertüren für Ende-zu-Ende-Verschlüsselung aufgeflammt. Der Anlass sind die Bestrebungen der EU-Kommission, Strafverfolgungsbehörden Zugriff auf verschlüsselte Chat-Nachrichten (nummern-unabhängige Dienste) zu gewähren. Dies wird mit der Bekämpfung von Terrorismus und dem Schutz von Kindern gerechtfertigt.
Unter dem Stichwort Crypto Wars wird eine Reihe von politischen Bestrebungen zusammengefasst, die es seit vielen Jahren auf nationaler und internationaler Ebene gibt. Allen gemein ist, dass für Strafverfolgungsbehörden gesonderte Zugänge eingerichtet werden sollen, die das Untersuchen von verschlüsselten Nachrichten ermöglichen.

Gut zu wissen: Eine gute deutschsprachige Zusammenfassung bieten die Artikel von Erich Moechel, der auf fm4 eine Zusammenfassung der Crypto Wars seit 2014 veröffentlicht hat. Lesen Sie hier Teil 1 und Teil 2. Auch ein Blick in den Hashtag #CryptoWars auf Twitter lohnt sich, wenn man bei aktuellen Entwicklungen auf dem Laufenden bleiben will.

Plant die Europäische Union die Abschaffung von Ende-zu-Ende-Verschlüsselung?

Neuen Schwung hat die Diskussion um die Aushöhlung von Ende-zu-Ende-Verschlüsselung nach dem Terroranschlag in Wien im November 2020 bekommen. Obwohl bereits kurz nach den Morden klar war, dass Behördenversagen einen maßgeblichen Einfluss darauf hatte, dass der Täter an eine Waffe gelangen konnte, haben sich der österreichische Kanzler Kurz und der französische Präsident Macron dazu verabredet, das Thema Chat-Durchsuchungen auf der Agenda der Europäischen Union wieder nach oben zu hieven. Und das mit Erfolg: Bereits am 24. November – 22 Tage nach dem Attentat in Wien veröffentlichte der Rat der Europäischen Union eine Entschließung mit dem Titel „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“.

Vonseiten der EU-Kommission treibt primär die Kommissarin für Inneres, Ilva Johansson, das Thema Online-Durchsuchungen voran. Sie konzentriert sich auf den Schutz von Kindern und möchte, dass die großen Netzbetreiber wie Facebook, Microsoft und Google versendete Nachrichten auf der Suche nach Missbrauchsdarstellungen durchleuchten. Zu diesem Zweck sollen Ende-zu-Ende-verschlüsselte Nachrichten mithilfe eines Generalschlüssels geöffnet und die enthaltenen Informationen mit einer Datenbank abgeglichen werden. Diese Praxis gab es bereits bis Dezember 2020. Dann trat eine Änderung der E-Privacy-Verordnung in Kraft, die einen solchen Abgleich verbietet. Johansson kämpft nun dafür, dass der Datenschutz wieder aufgeweicht wird, um die Durchsuchung rechtlich und technisch zu ermöglichen. Datenschützer kritisieren dieses Vorhaben.

Welche technischen Lösungen werden aktuell diskutiert?

Im Dezember 2020 gelangte ein EU-Papier mit dem Titel „Technical solutions to detect child sexual abuse in end-to-end encrypted communications“ ans Licht. In diesem Papier werden 10 verschiedene Verfahren diskutiert, die eine Überwachung verschlüsselter Kommunikation durch Strafverfolgungsbehörden ermöglichen sollen.
Das Ziel ist es, die versendeten Nachrichten dahin gehend zu untersuchen, ob illegales Material verschickt wird. Eine Datenbank, in der die Hash-Werte von bekanntem Material gespeichert sind, das Missbrauch von Kindern zeigt, dient dem Abgleich der Informationen. Das Material in der Datenbank stammt aus bisherigen Verfahren und Ermittlungen gegen Pädophile.

Ende-zu-Ende-Verschlüsselung, Hashes und Sicherheit

In dem EU-Papier wird häufig von Ende-zu-Ende-Verschlüsselung gesprochen. Wir möchten das jedoch infrage stellen. Die Autoren scheinen die Ansicht zu vertreten, dass es sich automatisch um Ende-zu-Ende-Verschlüsselung handelt, sobald ein echtes E2EE-Protokoll Teil des Gesamtprotokolls ist. Wir sehen das im Fall der beschriebenen Verfahren anders, da neben den Ende-zu-Ende-verschlüsselten Dateien auch die Meta-Daten der jeweiligen Datei übertragen werden (im Papier als Hashes beschrieben). Die Variante der Prüfung durch künstliche Intelligenz ist hiervon allerdings ausgenommen. Doch dazu später mehr.

„Echte“ Ende-zu-Ende-Verschlüsselung

Die Voraussetzungen für Ende-zu-Ende-Verschlüsselung sind durch die Verwendung eines entsprechenden Protokolls formal erfüllt. Dies genügt jedoch in der Praxis nicht.

Die Definition von kryptografischen Hashes besagt, dass der Hash-Algorithmus als gebrochen und wertlos gilt, sollten zwei unterschiedliche Dateien mit gleichem Hash-Wert gefunden werden. Für die Anwendung in der Praxis bedeutet das, dass es nicht einfach ist, einen zweiten Datensatz mit gleichem Fingerabdruck zu finden. Findet das System einen Hash-Wert, der bereits bekannt ist, ist es praktisch sicher, dass es sich um die gleiche Ursprungsdatei handelt.

Kleines Gedankenspiel: Stellen wir uns ein Protokoll vor, bei dem die Ende-zu-Ende-verschlüsselte Nachricht gemeinsam mit dem Klartext übertragen wird. Die Verschlüsselung an sich erfüllt also immer noch den Ende-zu-Ende-Standard. Das Protokoll insgesamt, mit dem angehängten Klartext, ist das Problem. Würde man ein solches System ernsthaft noch als Ende-zu-Ende-Verschlüsselung bezeichnen? Nein, natürlich nicht. Daraus folgt: Die Meta-Daten dürfen die Sicherheit eines E2EE-Systems nicht untergraben.

4 Ansätze für das Durchleuchten Ende-zu-Ende-verschlüsselter Nachrichten

Das EU-Papier „Technical solutions to detect child sexual abuse in end-to-end encrypted communications“ listet 4 Ansätze auf, die eine nähere Betrachtung verdienen. Nicht berücksichtigen werden wir die offensichtlichen Lösungen wie (a) ganz auf Verschlüsselung zu verzichten, oder (b) die Verschlüsselung nur auf dem Transportweg einzusetzen.

Technical solutions to detect child sexual abuse in end-to-end encrypted communications

Hashes der Daten auf dem Client (1a)

So funktioniert's: Bei der Variante All detection done on-device werden Hashes der Daten auf dem Gerät der Nutzerin oder des Nutzers erstellt und dort mit den Hashes bekannter illegaler Dateien aus der Datenbank überprüft. Das ist möglich, weil die Datenbank eine stark reduzierte Datenmenge enthält, da hier ausschließlich Fingerabdrücke von Daten gespeichert werden – nicht die Daten selbst.

Unsere Bewertung: Der Ansatz ist für die Nutzerinnen und Nutzer der sicherste. Der Grund dafür ist, dass beim Versand legaler Dateien keine Daten (oder Hashes von Daten) an Dritte geschickt werden. In dem Moment, in dem ein illegaler Inhalt erkannt wird, werden die Daten als Beweismittel im Klartext übertragen. Falsch positive Meldungen können, wie oben erläutert, ausgeschlossen werden.

Die einzige Protokoll-spezifische Schwachstelle ist die Listenverwaltung der verbotenen Inhalte. In diesem Punkt müssten die Nutzerinnen und Nutzer dem Anbieter des Netzwerks und den Betreibern der Datenbank dahin gehend vertrauen, dass wirklich nur nach illegalen Inhalten gesucht wird. Technisch gesehen würde so ein Protokoll die Möglichkeit dafür schaffen, nach allen möglichen Inhalten zu suchen.

Fazit: Bei dieser Variante können wir noch von einer echten Ende-zu-Ende-Verschlüsselung sprechen. Denn es findet vor dem Übertragen der Nachricht nur eine Prüfung statt, ob die Daten für eine Ende-zu-Ende-verschlüsselte Übertragung zulässig sind. Die Autoren machen hier allerdings auf das Problem aufmerksam, dass diese Lösung leicht von Kriminellen umgangen werden kann. Die Sicherheit wird deshalb als niedrig eingestuft.

Hashes der Daten auf einem oder mehreren Servern (1b, 1c, 3a)

So funktioniert's: Bei diesen Lösungsvorschlägen wird ebenfalls vor oder während des Versandes der verschlüsselten Datei ein Hash-Abgleich mit der Datenbank gemacht. Dieser findet jedoch nicht auf dem Gerät der Nutzerin oder des Nutzers statt, sondern auf einem oder mehreren externen Servern.

Unsere Bewertung: Die Ansätze 1b, 1c und 3a haben alle gemeinsam, dass ein Hash-Wert der Daten an den Betreiber des genutzten Übertragungsnetzwerkes (bspw. Chat-App) übertragen wird. Dieser nimmt dann den Abgleich mit der Datenbank bekannter illegaler Inhalte vor. Das Problem ist, dass man mit den Hashes auch die Identität der Nachrichten prüfen kann, welche legale Inhalte enthalten.

Ein Beispiel: Wenn ich ein Formular mit einem einzelnen Eingabefeld habe, es ausfülle, und einen Hash dafür berechne, dann kann der Betreiber der Übermittlungsplattform dasselbe Formular mit allen möglichen Eingabewerten erzeugen und ebenfalls aus jeder erzeugten Datei einen Fingerabdruck berechnen. Um nun herauszufinden, was in meinem verschlüsselten Dokument steht, muss lediglich überprüft werden, welche Fingerabdrücke übereinstimmen.

Somit sind nicht mehr alle Dokumente effizient geschützt, und es ist für den die Nutzerinnen und Nutzer nicht mehr so einfach möglich herauszufinden, welche Dateien sicher übermittelt wurden und welche Dateien trotz Verschlüsselung komplett unsicher sind.

Fazit: Bei diesen Vorschlägen kann man unserer Meinung nicht mehr von Ende-zu-Ende-Verschlüsselung sprechen, denn das Senden der Hashes stellt einen integralen Bestandteil des Protokolls dar, und wie bereits erwähnt kann durch das Senden der Hashes teilweise auf den kompletten Inhalt der verschlüsselten Datei geschlossen werden.

Hashes der Daten auf einem oder mehreren, vertrauten unabhängigen Servern (2a, 2b, 2c)

So funktioniert's: Diese Varianten nutzen das gleiche System wie in Variante 2 (Hashes der Daten auf einem oder mehreren Servern) genannt. Der Abgleich der Hashes findet jedoch nicht beim Betreiber statt, sondern bei einer weiteren, unabhängigen Stelle.

Unsere Bewertung: Die Idee ist hier, die Prüfung der Hashes nicht dem Betreiber der Plattform selbst zu überlassen, sondern diesen Vorgang anderen Anbietern zu übertragen. Auch der Ansatz, eine Reihe an Servern jeweils nur einen Teil des Hashes überprüfen zu lassen, wird diskutiert. Das Grundproblem bleibt jedoch das gleiche, es verlagert sich nur. Bei dieser Variante muss zwar nicht mehr dem Betreiber der Plattform vertraut werden, dafür jedoch anderen Parteien. Der Ansatz, den Hash zu teilen, macht den Vorgang sicherer. Trotzdem muss einer oder mehreren externen Quellen vertraut werden.

Fazit: Wie auch bei der vorherigen Variante ist es theoretisch physikalisch möglich, dass dritte Parteien (neben Sender und Empfänger) Rückschlüsse auf den Inhalt der übermittelten Daten ziehen können. Somit erfüllt auch dieser Ansatz nicht die Sicherheitsgarantien von echter Ende-zu-Ende-Verschlüsselung.

Feststellung illegaler Inhalte mithilfe von KI auf dem Client (1d)

So funktioniert's: Ein künstlicher Intelligenz-Algorithmus bewertet die Daten, bevor sie verschlüsselt werden, auf dem Client als legal oder illegal.

Unsere Bewertung: KI ist anfällig für „false positives“. Damit ist gemeint, dass ein Inhalt als illegal erkannt wird, obwohl er das nicht ist. Dementsprechend gleicht die Nutzung eines solchen Systems dem Spielen von Russisch Roulette. Man kann nie wissen, welche Daten falsch erkannt, und infolgedessen im Klartext an den Dienstanbieter übertragen werden.

Fazit: Dieser Ansatz genügt den Sicherheitsanforderungen an schützenswerten Daten nicht.

Für die „aktive Debatte mit der Technik-Industrie“ stehen wir gern bereit

Wir haben die Krypto-Experten, die sich mit Ende-zu-Ende-Verschlüsselung auskennen und wir haben das Vertrauen von hunderttausenden Anwenderinnen und Anwendern. Gern kommen wir mit der EU-Kommission ins Gespräch, um mit unserem Know-how dazu beizutragen, die Europäische Union zu einer Cyber-Sicherheits-Zone zu machen. Für „die aktive Debatte“, die EU-Innenkommissarin Ilva Johansson mit der Technik-Industrie führen möchte, wie sie immer wieder betont, stehen wir gern zur Verfügung.

Was spricht gegen die Aufweichung von Ende-zu-Ende-Verschlüsselung

Die „Lösungen“, die derzeit auf EU-Ebene diskutiert werden, stellen einen tiefgreifenden Eingriff in die Verschlüsselungsprotokolle von Ende-zu-Ende-Verschlüsselung dar. Technisch umsetzbar sind die Vorschläge alle, daran besteht kein Zweifel. Doch die Bedeutung solch schwerwiegender Änderungen kann nicht hoch genug eingeschätzt werden.

Erst der kleine Finger, dann die ganze Hand

Eine Aufweichung von Ende-zu-Ende-Verschlüsselung für die Strafverfolgung bestimmter krimineller Handlungen (Missbrauchsdarstellungen von Kindern) macht den Weg frei für eine Ausweitung der Befugnisse in Richtung anderer Straftaten. Der Schutz von Kindern wird als Hebel genutzt, um die Hemmungen für Massenüberwachung aus dem Weg zu räumen. Das muss unbedingt verhindert werden.

Der Werkzeugkasten für Autokraten muss möglichst klein bleiben

Wie schnell Demokratien ins Wanken geraten, konnte in den letzten Jahren weltweit, aber auch innerhalb der Europäischen Union beobachtet werden. Auch wenn aktuell niemand die totale Überwachung aller EU-Bürger anstrebt, so ist die Durchsuchung der Inhalte privater Nachrichten ein mächtiges Werkzeug, mit dem in Zukunft großer Schaden angerichtet werden kann. Die Geschichte lehrt uns, dass es klüger ist, ein solches Werkzeug gar nicht erst zu erschaffen.

Kriminelle weichen auf andere Netzwerke aus

Wer kriminelle Energie besitzt und seine Nachrichten vor den Strafverfolgungsbehörden verbergen will, der kann mit geringem Aufwand eigene, Ende-zu-Ende-verschlüsselte Kommunikationswege aufbauen. Diese Netzwerke blieben dann ebenso vor den Augen der Behörden verborgen wie die verschlüsselten Nachrichten, die derzeit versendet werden. Hier kann nichts gewonnen werden. Normale Bürgerinnen und Bürger, die weder Straftaten begehen, noch technisches Know-how besitzen, sind dann aber gezwungen, über unsichere Netzwerke zu kommunizieren.

Cybersicherheit muss oberste Priorität haben

Bereits seit vielen Jahren erleben wir immer neue Cyber-Bedrohungen. Von ausgespähten persönlichen Informationen bis zum erzwungenen Abschalten ganzer Konzerne gibt es zahlreiche Bedrohungen, mit denen wir uns konfrontiert sehen. Von staatlicher Seite zusätzliche Hintertüren zu schaffen, scheint in dieser Situation ein riskantes Unterfangen zu sein. Wir fordern: kein Spiel mit dem Feuer.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

graphics

Unser neues Kapitel mit Dropbox: Das bedeutet es für Boxcryptor Nutzer

Bereits letzte Woche haben wir verkündet, dass wir wichtige Technologie-Assets an Dropbox verkauft haben. Was unsere Kund*innen nun wissen müssen, erklären wir hier im Detail.

graphics

Ein Brief von unseren Gründern: Wir schließen uns Dropbox an

Wir freuen uns, Ihnen mitteilen zu können, dass wir zusammen mit Dropbox, Inc. ein neues Kapitel aufschlagen werden.

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.