USA: Der nächste Versuch, Ende-zu-Ende-Verschlüsselung zu verbieten ist der LAED Act
Zusammenfassung: Der republikanische Senator Lindsey Graham hat mit dem LAED Act ein Gesetz auf den Weg gebracht, das Ende-zu-Ende-Verschlüsselung verbieten soll. Erfahren Sie hier mehr über den Inhalt und die Auswirkungen des Gesetzes.
Was ist der LAED Act?
Die Abkürzung LAED steht für Lawful Access to Encrypted Data. Auf Deutsch: Gesetz über den rechtmäßigen Zugang zu verschlüsselten Daten. Im Wesentlichen geht es darum, für US-Provider und -Plattformen eine Entschlüsselungsverpflichtung einzuführen. Damit soll die Arbeit für Strafverfolgungsbehörden erleichtert werden. Das offizielle Ziel lautet: Den Einsatz von sicherer Verschlüsselung zu beenden, damit „illegales Verhalten“ nicht mehr verschleiert werden kann.
Geltungsbereich des LAED Act
Das Gesetz soll sich nach seiner Verabschiedung sowohl auf Data at Rest (ruhende Daten, zum Beispiel in einem Cloud-Speicher) als auch auf Data in Transit (Datentransfer, zum Beispiel die Kommunikation zwischen Endgerät und Server, die beim Aufruf einer Webseite stattfindet) beziehen. Somit müsste beispielsweise Apple dem FBI nicht nur dabei helfen, in ein iPhone einzudringen und die Daten auszulesen, sondern auch die gesamte Kommunikation zugänglich machen, die über dieses iPhone läuft.
Strafverfolgungsbehörden dürfen den LAED Act sowohl bei Fällen aus dem Strafrecht als auch bei Fällen aus dem Bereich der Nationalen Sicherheit zur Grundlage ihrer Anfragen an Technologiefirmen machen.
Eigentlich soll der LAED Act für Unternehmen gelten, die mehr als 1 Million Nutzer und Nutzerinnen haben. Eingeschlossen sind Anbieter von Betriebssystemen, Messenger-Apps, Videokonferenz-Software, E-Mail-Diensten und Cloud-Speichern. Ebenso fallen alle Geräte mit mindestens 1 GB Arbeitsspeicher in den Geltungsbereich des LAED Act. Doch auch kleinere Unternehmen können dazu gezwungen werden, eine „Direktive für Unterstützungsfähigkeiten“ umzusetzen. Diese Direktive kann vom Generalstaatsanwalt angeordnet werden. In diesem Zusammenhang kann auch ein Zeitplan für die Umsetzung verlangt werden.
Staatlich verordnete Hintertüren
Was bisher vielleicht nach dem Abbau bürokratischer Hürden für die Strafverfolgung klang, kann man auch aus einer anderen Perspektive betrachten. Die Electronic Frontier Foundation beispielsweise warnt: Dieses Gesetz fordert den Einbau von Hintertüren.
Die Annahme der Gesetzgeber ist, dass solche Hintertüren – man kann sie auch als Schwachstellen bezeichnen – ausschließlich von autorisierten Stellen benutzt werden. Tatsächlich kann man aufgrund von verschiedenen Vorfällen in der Vergangenheit davon ausgehen, dass das Sammeln von Schwachstellen und das Einrichten von Hintertüren dazu führen wird, dass das Internet für alle unsicherer wird. Es ist nur eine Frage der Zeit, bis Personen mit kriminellen Absichten an diese Hintertüren gelangen.
Wer eine Straftat plant, hat immer die Möglichkeit auf andere Netzwerke auszuweichen oder selbst für sichere Kommunikation zu sorgen. Doch normale Bürger und Bürgerinnen, denen in der Regel das technische Knowhow fehlt, haben diese Möglichkeit nicht. Sie wären die Opfer dieser Überwachungssysteme.
Auswirkungen des LAED Act
Abgesehen von den dramatischen Auswirkungen, die der LAED Act für die Sicherheit aller hätte, würde dieses Gesetz auch insbesondere der US-amerikanischen Wirtschaft schaden. Noch niemals seit der Erfindung des Internets war das dezentrale Arbeiten so wichtig und so weit verbreitet wie jetzt in der Corona-Pandemie. Sichere Zusammenarbeit im Team – ermöglicht durch Ende-zu-Ende-Verschlüsselung – ist entscheidend für die Abwicklung von Geschäften. Indem die Regierung den Unternehmen und Organisationen diese Arbeitsgrundlage nimmt, gefährdet sie massiv den Wirtschaftsstandort.
Diese Gefahr beschränkt sich natürlich nicht nur auf diejenigen, die direkt in den Vereinigten Staaten sitzen. Der LAED Act gefährdet alle Nutzer und Nutzerinnen von Diensten und Geräten, die durch US-amerikanische Unternehmen angeboten werden. Bekanntermaßen sind das fast alle großen Plattformen und Betriebssysteme.
Da sich der LAED Act auch auf Data in Transit bezieht, machen sich viele Kritiker des Gesetzes Sorgen um HTTPS, das System das fast alle Webseiten mit TLS-Verschlüsselung schützt. Auch hier müsste – sollte der LAED Act in Kraft treten – eine Hintertür eingebaut werden. Strafverfolgungsbehörden (und sehr wahrscheinlich auch Hacker) würden dann Zugriff auf alle Metadaten bekommen, die zwischen dem Gerät, das eine Webseite aufruft und dem Server, der die Webseite ausliefert, ausgetauscht werden.
US-Anbieter von Messenger-Apps müssten ihre sicheren Chatprogramme nach derzeitigem Stand vermutlich aus den Verkaufsplattformen von Apple und Google entfernen, da sie mit eingebauter Hintertür nicht mehr den Sicherheitsanforderungen genügen würden. Und auch die
Festplattenverschlüsselung von Geräten müsste so umgebaut werden, dass Behörden jederzeit zugreifen können.
LAED Act vs. EARN IT Act
Zumindest hier in Europa hat der EARN IT Act bisher deutlich mehr Aufmerksamkeit erhalten als der LAED Act. Dabei hat Zweiterer noch fatalere Auswirkungen für die private Kommunikation im Internet.
Auch der EARN IT Act befasst sich mit dem Verbot von Ende-zu-Ende-Verschlüsselung. Allerdings bietet er in seiner aktuellen Fassung zumindest für diejenigen Unternehmen einen Ausweg, die keine Hintertüren einbauen können oder wollen. Doch auch dieses Gesetz ist ein Schlag ins Gesicht der Bürgerrechte. Wir berichten zu diesem Thema hier.
Der LAED Act hingegen versucht gar nicht erst, um den heißen Brei herumzureden oder – wie beim EARN IT Act – eine emotionale Begründung für die weitreichenden Befugnisse der Strafverfolgungsbehörden zu liefern. Nein, dieser Gesetzesentwurf verlangt ganz klar die Abschaffung von Ende-zu-Ende-Verschlüsselung und den Einbau von Hintertüren.
LAED Act vs. DS-GVO
Die gegensätzlichen Ansätze beim Schutz personenbezogener Daten und privater Kommunikation in den USA und der Europäischen Union waren zuletzt wieder durch das sogenannte „Schrems 2-Urteil“ in der Presse. Nach einem komplizierten Rechtsstreit an dem der österreichische Datenschutzaktivist Max Schrems und Facebook beteiligt waren, kippte der EuGH das Privacy-Shield-Abkommen, welches für 4 Jahre den Datenverkehr zwischen der Europäischen Union und den Vereinigten Staaten geregelt hat.
Der Grund für dieses Urteil: Während in Europa der Datenschutz und die Souveränität der Bürger und Bürgerinnen über ihre Daten im Mittelpunkt stehen, gibt es in den USA für Privatpersonen nicht einmal theoretisch die rechtlichen Strukturen, um Datenschutzverletzungen vor Gericht zu bringen.
Bei Inkrafttreten des LAED Acts würde die Rechtspraxis in den beiden Regionen also noch weiter auseinandergehen. Firmen, die den Datenschutzbestimmungen der Europäischen Datenschutz-Grundverordnung unterliegen, könnten dann keinen Datenaustausch mehr mit US-Firmen durchführen. Gleiches gilt für die Nutzung von US-Diensten durch Privatpersonen.
In welchem Stadium des Gesetzgebungsverfahrens befinden wir uns?
Stand: November 2020
Der Gesetzentwurf wurde am 23. Juni 2020 durch Senator Lindsey Graham eingebracht und an den Justizausschuss des Senats weitergeleitet. Uns liegen keine Informationen darüber vor, wann mit einer Verabschiedung durch den Senat und das Repräsentantenhaus zu rechnen ist. Den aktuellen Status des Gesetzgebungsverfahrens kann man hier verfolgen: S. 4051: Lawful Access to Encrypted Data Act.
Gesetzgebungsverfahren und Praxis der Rechtsauslegung sind in den USA anders als in Deutschland. US-Gerichte orientieren sich am sogenannten common law, dem Gewohnheitsrecht. Sie können mit ihrer Rechtsprechung die Gesetzgebung beeinflussen. Das führt dazu, dass der LAED Act bereits Wirkung zeigen könnte, obwohl das Gesetz noch nicht verabschiedet wurde. Hinzu kommt, dass Senator Lindsey Graham in der Wahl vom November 2020 sein Mandat verteidigen konnte und somit das Gesetzesvorhaben sicherlich weiter vorantreiben wird.
Fazit
Während die Implementierung einer Hintertür einfach ist, ist es unmöglich, ihre Nutzung nur für „die Guten“ zu erlauben. Als Zivilgesellschaft müssen wir darauf achten, dass wir unsere Standards nicht am Verhalten Krimineller bemessen. Das Ziel muss es sein, dass die Bevölkerung ohne Angst vor Repressalien miteinander in Austausch treten kann.
Wir möchten allen, die jetzt aktiv werden, die Petition von Fight For The Future empfehlen, bei der bereits mehr als 500.000 Menschen mitgezeichnet haben: Don‘t Let Congress Kill Encryption. Bitte nutzen Sie auch die Sozialen Netzwerke und das persönliche Gespräch, um darauf aufmerksam zu machen, welche enorme Bedeutung Ende-zu-Ende-Verschlüsselung für unsere Freiheit hat.
Amerikanische Bürger und Bürgerinnen haben die Möglichkeit, sich direkt an ihren Vertreter oder ihre Vertreterin im Kongress zu wenden.