Apple will US-Behörden keine Hintertür zum Umgehen der Smartphone-Verschlüsselung einrichten. Mehr Datensicherheit bekommen wir jedoch nicht, wenn nur Unternehmen entscheiden, ob sie Hintertüren zulassen. Gebraucht werden offene Verschlüsselungsmechanismen, die im Zweifel auch vom Anwender geändert werden können.
Seit einigen Tagen läuft in den USA ein Showdown zwischen Apple und der US-Regierung. Nach dem Attentat von San Bernadino möchte das FBI mögliche terroristische Bezüge des Attentäters aufklären. Der Speicher seines Handys, ein iPhone 5C, ist aber passwortgeschützt. Brute-Force-Angriffe nützen hier nichts; nach mehreren Fehlversuchen ist das Smartphone für einige Zeit blockiert. Es könnte sogar sein, dass der Attentäter eine Option genutzt hat, die nach zehn Passwort-Fehlversuchen den gesamten Speicher löscht.
Apple hat nach eigenen Angaben zwar mit den Ermittlern zusammengearbeitet. Aber auch nach einem entsprechenden Gerichtsbeschluss weigert sich das Unternehmen, dem FBI eine Funktion einzurichten, mit der sich die Verschlüsselung umgehen und der Speicher direkt auslesen ließe. Apple-Chef Tim Cook empörte sich in einem offenen Brief: „Man hat uns aufgefordert, eine Hintertür für das iPhone zu bauen.“ Die vom FBI gewünschte Software könne „potenziell jedes iPhone entschlüsseln“ und in die falschen Hände geraten – womit er im Prinzip auch die US-Regierung meint. Denn Cook warnt, Regierungsbehörden könnten den einmal offenbarten Trick nutzen, um „Ihre Nachrichten, Gesundheitsdaten und Finanzdaten abzufangen, Ihren Aufenthaltsort festzustellen oder sogar die Kamera und das Mikrofon Ihres iPhones unbemerkt zu aktivieren“.
Wehrt Apple also den Anfängen und will seine Nutzer schützen? Davon ist anscheinend Michael Hayden, der ehemalige Chef der National Security Agency (NSA) überzeugt. Er warf dem FBI-Chef James Comey vor: „Jim möchte eine Hintertür in allen Geräten weltweit, die amerikanischen Ermittlern offenstehen soll.“ Mit der ausführlichen öffentlichen Debatte hat Apple etwas schon erreicht: Apple präsentiert sich entgegen seiner sonst notorischen technischen Geheimniskrämerei als ein Unternehmen, das nur eins will: Die Privatsphäre seiner Kunden sichern.
Es spricht allerdings grundsätzlich einiges gegen die Apple-Show: Natürlich sind Hintertüren eine riesige Gefahr, aber kein Unternehmen darf sich über einen demokratischen Staat stellen. Wenn überhaupt, dann darf nur der Staat, nicht aber irgendein Unternehmen bestimmen, wer auf welche Daten zugreift. Der Staat wird, das ist (siehe ersten Gerichtsbeschluss) absehbar, sich Zugriff auf die gewünschten Daten verschaffen. Und deshalb ist das Amüsement, mit dem auch hierzulande viele die Konfrontation Apple vs. US-Regierung verfolgen, nicht angebracht.
Es ist nicht damit getan, den Schutz der Privatsphäre Unternehmen zu überlassen, nachdem Regierungen gezeigt haben, dass ihnen Privates verdächtig ist. Dann werden die Hintertüren doch kommen. Eine wirkungsvolle Verschlüsselung ist zu wichtig, um sie einfach Managern zu überlassen, die ihre Autorität nicht einmal auf eine demokratische Wahl beziehen können. Wirklichen Schutz vor Schnüffeleien und Industriespionage gibt es nur, wenn der Code einer Verschlüsselungssoftware offengelegt und auch für Anwender im Zweifel veränderbar ist. Dann sind Hintertüren viel schwerer einzubauen. Und Menschen, denen es wirklich auf Sicherheit ankommt, könnten Verschlüsselungsmechanismen durch eigene ersetzen, denen sie mehr vertrauen.
Kommentare
Arend Vogtländer
Sehr geehrter Herr Ganten,
im Grunde stimme ich Ihrer Sichtweise zu, dass es eine Staatliche Ebene sein sollte, die die Regelungen zur Privatsphäre ihrer Bürger erstellt und dann dafür sorgt, dass sie auch stringent eingehalten werden.
Allerdings habe ich im Rahmen dessen, wie weit sich gerade die „Dienste“ an staatliche Kontrolle gebunden sehen, an diesem Vorgehen schwere Zweifel. Ein Staat, der seit Jahren nicht in der Lage ist, die Verstrickungen seiner „Ermittlungsbehörden“ im Rahmen rechtsterroristischer Vorgänge aufzuklären, und der in diesem Vorgang regelmäßig vorgeführt bekommt, wie leicht sich diese Behörden der Aufklärung entziehen können, erscheint mir nicht in der Lage dieses schwierige Thema in ausreichender Qualität zu bearbeiten.
Nimmt man noch hinzu, wie unfähig und/oder unwillig sich unser Staat anstellt, wenn es darum geht, die Privatsphäre seiner Bürger gegenüber „Diensten“ anderer Länder zu schützen, so möchte man eigentlich nur sagen: „lasst die Finger davon, wenn Ihr es nicht versteht“ und die Sache doch lieber einem Unternehmen oder noch besser einer Community überlassen. Eine Enquete Kommission wäre vielleicht ein gangbarer Zwischenweg, wenngleich ich mit den Ergebnissen, bzw. damit, wie die Ergebnisse dann von den staatlichen Institutionen berücksichtigt werden, gleichermaßen unzufrieden bin.
Gerade im Punkt Verschlüsselung sehe ich auch kaum eine Kompromissmöglichkeit: Ist etwas sicher verschlüsselt, gibt es keine Hintertür, gibt es eine Hintertür, ist es nicht sicher verschlüsselt.
Hier gilt es eher darüber zu entscheiden, ob der Zugriff auf verschlüsselte Daten tatsächlich der angeführte Heilsbringer ist, was ich stark in Zweifel ziehen möchte, mit dem Argument wurde uns auch die Überwachung öffentlicher Bereiche verkauft, die noch nicht einmal den präventiven Nutzen gebracht hat, der versprochen wurde. Es ist die zudem stark auf die Verhältnismäßigkeit zu achten. Als Vergleich könnte man auch alle Menschen dazu zwingen, nackt herumzulaufen, um Anfangsstadien von Hautkrebs früher zu bemerken.
Was uns tatsächlich im Staat fehlt, ist ein Kompetenzzentrum, dass von „Diensten“ und (vorwiegend innen-)ministerialen Begehrtheiten unabhängig ist, sich um Belange der digitalen Welt, ihrer Bewohner und der darin stattfindenden Kommunikation kümmert, diese auch tatsächlich versteht und das „Kompetenz“ in seinem Namen auch tatsächlich verdient.
viele Grüße,
Arend Vogtländer
Peter Ganten
Hallo Herr Vogtländer,
danke für Ihren Kommentar, ich stimme Ihnen in vielen Dingen zu. Zum Glück gibt es ja wirklich als sicher geltende Verschlüsselungsverfahren. Am Ende läuft es deswegen glaube ich darauf hinaus, dass es Sicherheit vor Fremdzugriff nur dann gibt, wenn das Verschlüsselungsverfahren offen ist und vom Benutzer geändert werden kann. So lange ich mich auf die Erklärung des Anbieters verlassen muss oder dieser Zugriff auf die Daten hat, wird es immer – zum Teil eben auch berechtigte – Begehrlichkeiten geben.
Viele Grüße, Peter Ganten