Warum man 1995 Verschlüsselungssoftware als Buch abgedruckt hat und andere Kuriositäten staatlicher Überwachung

In der Vorlesung am 8. November gab uns Sven Herpig einen Einblick in seine Arbeit bei der Stiftung Neue Verantwortung und stellte die Geschichte von staatlichem Einfluss auf Verschlüsselung – die sogenannten Crypto-Wars –  und deren heutige Fortsetzung vor. Diese staatlichen Maßnahmen führte zu ungewöhnlichen Ergebnissen und später soll auch der Titel dieses Blogbeitrags klar erklärt werden.

Sven Herpig ist Politikwissenschaftler und promovierte über strategische Implikationen von Cyber-Operationen. Danach war er beim Auswertigen Amt und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) tätig. Bei der Stiftung Neue Verantwortung leitet er das Transatlantic Cyber Forum und beschäftigt sich im speziellen mit staatlichem Hacken (Bundestrojaner), politischer Infrastruktur und wie man demokratische Prozesse schützen kann.

Um nun die im Titel aufgeworfene Frage zu beantworten ist es notwendig die Geschichte von Kryptographie zu verstehen. Diese beginnt bereits in der Antike. So hat Caesar bereits eine recht simple Verschlüsselung verwendet bei der die Buchstaben des Alphabets alle um n Stellen verschoben werden; Die sogenannte Caesar-Verschlüsselung. Verwendet wurde diese hauptsächlich um Befehle und Informationen zwischen Offizieren und Feldherren zu verschlüsseln. Also klar militärischer Nutzen. Dies sollte auch vorerst so bleiben. Vor allem im 2. Weltkrieg gab es einen starken Fokus auf nachrichtendienstliche Operationen und die Versuche die jeweilige Kommunikation des Feindes zu entschlüsseln. Zentrale Technologie dabei ist die von Deutschland verwendete Enigma, diese wurde in Bletchley Park unter Anderem von Alan Turing, aber auch von den USA, Frankreich und Polen analysiert und schließlich auch größtenteils analysiert. So konnten viele Funksprüche entschlüsselt werden. Was nach Auffasung vieler Expert*innen einen entscheidenden Einfluss auf das Kriegsende hatte.

Mit Beginn des Kalten Krieges nähern wir uns langsam der Anfangsfrage. Wir haben also gerade gesehen, dass Kryptographie eine wichtige Rolle für das Militär spielte. Um diese Technologie nicht in die Hände des Feindes fallen zu lassen wurden in den USA strenge Exportvorschriften verabschiedet. Technologien wurden entweder in die Kategorie „munitions“ oder „dual-use“ eingeteilt. Dabei zählte Kryptographie zu den munitions. Dies führte schon in den 1960ern zu Problemen als Finanzorganisationen begannen Kryptographie einzusetzen. Aber viel mehr noch mit Verbreitung des Heimcomputers.

1991 stellte Phil Zimmermann seine Arbeit an PGP, eine Software um Emails zu verschlüsseln, fertig und schickte es per E-Mail an zwei seiner Freunde. Einer von beiden war so begeistert, dass er es direkt ins Usenet hochlädt. Auf Bitten von Zimmermann aber mit einer Notiz „US only“. Das sich daran aber niemand gehalten hat und es noch auf diversen anderen Wegen verbreitet wurde, war es schnell weltweit verfügbar und Phil Zimmermann wurde das Ziel von strafrechtlichen Untersuchungen. Im Rahmen dieser Untersuchungen gab er den Source Code kurzerhand einfach abgedruckt als Buch beim MIT Press Verlag heraus. Dadurch war es durch das First Amendment geschützt und dürfte verbreitet werden. Technisch war das natürlich völlig absurd aber politisch eine öffentlichkeitswirksame Aktion. Später griffen auch andere die Idee auf und druckten Source Code von RSA auf T-Shirts. Die Strafverfolgung von Zimmermann wurde nach einigen Jahren ohne Verurteilung eingestellt.

Ein anderes Kuriosum ist der Netscape Browser. Dieser führte SSL mit einer Schlüssellänge von 128Bit ein. Eine so große Schlüssellänge war aber zu dem Zeitpunkt nicht exportfähig. Also veröffentlichte der Hersteller zwei Versionen des Browsers. Die „U.S. Edition“ und die „International Edition“. Die U.S. Version nutzte regulär 128Bit. Um sich bei der International Edition Aufwand zu sparen wurden einfach immer 88Bit des geheimen Schlüssels unverschlüsselt mitgeschickt und der Schlüssel war nur noch effektiv 40Bit lang und damit konnte der Browser exportiert werden. Ähnliches wurde auch mit Lotus Notes, einem E-Mail Client gemacht.

Mit steigendem Protest von Bürger*innenrechtsorganisationen und Datenschützer*innen sowie steigender Verfügbarkeit von Crypto-Software außerhalb der USA sah auch die US-Regierung ein, diese Regularien nicht mehr aufrecht halten zu können und so verabschiedete Bill Clinton 1996 eine Executive order und übertrug Kryptographie von der munitions Kategorie in die Commerce Control List. Was einige Erleichterungen bedeutete. Doch auch heute gibt es noch verhältnismäßig strenge Regeln. So muss wenn Open-Source Software mit Kryptographie veröffentlicht wird das Bureau of Idustry and Security (BIS) informiert werden.

In der heutigen Zeit wo beinahe jede*r Kryptographie täglich benutzt und einer weiten Verbreitung von entsprechender Software(WhatsApp, Signal, Threema, Android, iOS,…) könnte man meinen, dass man aus dieser Geschichte gelernt habe und nun die Vorteile von Kryptographie für alle erkennt und nicht mehr versucht sie zu schwächen oder zu verbieten. Doch weit gefehlt. Weltweit gibt es zahlreiche Bestrebungen von Seiten einiger Regierungen zB Crypto-Messenger zu verbieten oder Hintertüren zu fordern(Going Dark Debatte). Doch ich will mich nun primär mit der Deutschen Politik beschäftigen und auch Sven Herpig erwähnt wichtige Eckpunkte dieser Politik.

1990 wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus dem BND heraus gegründet und damit aus einer Abteilung eines Nachrichtendienstes eine zivile Behörde die dafür sorgt, dass IT Systeme in Deutschland sicher funktionieren und Kryptoographie sogar unterstützen. So wurde z.B. 2005 GPG4Win, die Portierung von PGP auf Windows vom BSI finanziert.

1999 verabschiedete das Bundesinnenministerium das Eckpunktepapier der deutschen Kryptopolitik, das besagt, dass Kryptographie in Deutschland nicht geschwächt oder verboten werden soll. Dabei soll aber auch die Arbeit der Strafverfolgungsbehörden nicht behindert werden. Dieses wurde 2015 auf Reaktion von Äußerungen des Europol Chefs nochmals bekräftigt.

Die Konsequenz der Bundesregierung aus dieser Politik ist es zwar nicht die Kryptographie anzugreifen aber die Daten durch staatliches Hacking abzugreifen bevor sie verschlüsselt werden oder nachdem sie entschlüsselt wurden. Dies wurde ab 2009 mit dem sog. Bundestrojaner praktisch ermöglicht. Das mag zwar besser klingen als Kryptographie zu schwächen läuft aber dennoch dem Ziel einer sicheren Infrastruktur und somit auch den Zielen des BSI diametral entgegen, da der Einsatz eines Trojaners immer Sicherheitslücken voraussetzt und auch neue Einfallstore öffnet sobald er installiert ist. Die NSA z.B. kauft Sicherheitslücken oder auch sog. Zero-Day-Exploits bei dubiosen Organisationen ein und unterstützt dadurch eine Branche die gegen sichere Infrastruktur arbeiten. Außerdem liegt es in der Natur von Sicherheitslücken, dass diese nur sinnvoll sind, wenn sie geheim bleiben. Was aber dazu führt das die Sicherheitslücken nicht behoben werden. So konnte beispielsweise eine Sicherheitslücke, die die NSA genutzt hat verwendet werden um die Ransomware WannaCry zu verbreiten.

Die Stiftung Neue Verantwortung hat staatliches Hacken als Methode grundsätzlich akzeptiert und versucht durch realpolitische Maßnahmen Schadensbegrenzung vorzunehmen. Das ist durchaus eine Möglichkeit Politik zu betreiben löst aber meiner persönlichen Meinung nach nicht das Probleme der paradoxen Vorgehensweise von Regierungen einerseits starke Kryptographie und sichere IT-Infrastruktur zu fördern und andererseits selbst auf Sicherheitslücken angewiesen zu sein.

Außerdem ist fraglich ob staatliches Hacken überhaupt notwendig ist. Gerade am Fall Anis Amri zeichnet sich nach jüngsten Erkenntnissen ab, dass dieser bereits Polizei bekannt war und auch durch konventionelle Ermittlungsmethoden (im konkreten Fall der Einsatz von V-Personen) schon zu genügend Informationen geführt hat, die ausreichend gewesen wären um den Anschlag zu verhindern. Es muss also bedacht werden welche Möglichkeiten wirklich notwendig sind und ob nicht bestehende Kompetenzen effektiver strukturiert und eingesetzt werden müssen.

 

 

 

Quellen

  • https://netzpolitik.org/2015/bundesinnenministerium-eckpunkte-der-deutschen-kryptopolitik-von-1999-haben-immer-noch-bestand/
  • https://ot4os.imp.fu-berlin.de/cth_speaker/sven-herpig/
  • https://hp.kairaven.de/law/eckwertkrypto.html
  • https://de.wikipedia.org/wiki/Enigma_(Maschine)#Entzifferung
  • https://www.stiftung-nv.de
  • https://en.wikipedia.org/wiki/Crypto_Wars
  • https://en.wikipedia.org/wiki/Export_of_cryptography_from_the_United_States
  • https://philzimmermann.com/text/PGP_10thAnniversary.txt
  • https://epic.org/crypto/export_controls/itar.html
  • https://en.wikipedia.org/wiki/Phil_Zimmermann#Arms_Export_Control_Act_investigation
  • https://static.newamerica.org/attachments/3407-doomed-to-repeat-history-lessons-from-the-crypto-wars-of-the-1990s/Crypto%20Wars_ReDo.7cb491837ac541709797bdf868d37f52.pdf

 

 

 

 

 

 

 

 

back to top