In den letzten Wochen und Monaten sind immer wieder Diskussionen um Überwachung, Staatstrojaner und Forderungen nach Backdoors aufgekeimt. Auch einige Gesetzesinitiativen in diesem Bereich wurden heftig kritisiert. Diese Diskussionen werfen ein schlechtes Licht auf Deutschland als Standort für Sicherheitslösungen. Deutschland muss das Land mit den höchsten Standards für Privatsphäre und Datensicherheit bleiben.
Im Vorfeld der Innenministerkonferenz, die am Donnerstag in Leipzig tagte, berichtete das Redaktionsnetzwerk Deutschland (RND), dass Innenminister de Maizière das "Ausspähen von Privat-Autos, Computern und Smart-TVs ermöglichen" möchte. Diese Meldung wurde auf eine Gesetzesinitiative des Justizministeriums bezogen, die am 22. Juni die Befugnisse der Polizei bei der Telekommunikationsüberwachung (TKÜ) und der Online-Durchsuchung erweiterte. TKÜ-Maßnahmen dürfen demnach auch auf "informationstechnische Systeme" des Betroffenen zugreifen. Diese Ergänzung wurde unter dem Begriff Quellen-TKÜ diskutiert. Die Art und Weise wie diese Ergänzung im Parlament erfolgte, wurde nicht nur von Peter Schaar, dem ehemaligen Bundesdatenschutzbeauftragten, scharf kritisiert. Auch der Vorwurf der Totalüberwachung wurde erhoben und es wurden verfassungsrechtliche Bedenken geäußert. Die RND-Meldung wurde auch darauf bezogen, dass Hersteller dazu verpflichtet werden sollen, Hintertüren in ihre Produkte einzufügen, um den Strafverfolgern Zugriff zu gewähren.
Johannes Dimroth, Pressesprecher des Innenministeriums (BMI), hält die Diskussion für ein Missverständnis und korrigiert diese Sichtweise in einem Video bei Twitter. Es gehe weder um den Zugriff auf Computer und Smartphones noch um die Ausweitung der Befugnisse. Es wird auch klar konstatiert, dass das BMI keine Backdoorverpflichtung anstrebt. Es gehe darum die Ermittlungsbehörden in die Lage zu versetzen, einen mit hohen Hürden versehenen richterlichen Beschluss auch technisch umzusetzen. Das scheitere in der Praxis immer wieder an vorhandenen Sicherheitsmaßnahmen von Wohnungen und Fahrzeugen. Innenminister de Maizière dementiert die o.g. Sichtweise auf der Pressekonferenz nach der Innenministerkonferenz. "Einen solchen Vorschlag von mir hat es nie gegeben. ... Die Sicherheitsbehörden müssen das technisch können, was sie rechtlich dürfen". Zunächst ginge es darum zu prüfen, welche Maßnahmen dazu geeignet sind.
G DATA steht seit Jahren für eine „No Backdoor“-Policy – und wir beabsichtigen nicht, das zu ändern. Die Diskussion um Hintertüren für staatliche Organe ist im Übrigen nicht neu. Die Enthüllungen von Edward Snowden und die Dokumente der Vault7-Enthüllungen zeigen, dass staatliche Stellen in einigen Ländern bereits die entsprechenden Möglichkeiten haben, Einzelpersonen gezielt abzuhören und auszuspionieren – und das ohne ernsthafte externe Kontrolle. In diesem Zuge wurden auch einige der verwendeten Werkzeuge publik, die prompt auch von Kriminellen genutzt wurden. So stammte der „Eternalblue“-Exploit, der die Basis für Wannacry bildete, aus dem Arsenal eines US-Geheimdienstes. Das zeigt deutlich, welche Gefahren diese Aktivitäten bergen: die Werkzeuge lassen sich nicht über lange Zeit geheim und unter Verschluss halten. Geraten diese Werkzeuge in falsche Hände, öffnet das auch Kriminellen Tür und Tor zu privatesten Daten. Es ist nur eine Frage der Zeit, bis Kriminelle eine „Staats-Backdoor“ ausfindig machen. Sie werden dann nicht zögern, entsprechende Erkenntnisse für sich nutzbar zu machen.
Den bisherigen Vorstöße aus dem Justiz- und Innenministerium fehlt eine überzeugende Darstellung, wie die gewünschten Maßnahmen umgesetzt werden sollen, ohne die Sicherheit des gesamten Ökosystems von IT-Sicherheit und Privatsphäre zu beeinträchtigen. Dabei reichen Absichtsbekundungen leider nicht aus. Ohne transparente Richtlinien, werden solche Diskussionen auch in Zukunft zu Verunsicherung und Vertrauensverlust führen. Nur dann ist es möglich, das ungünstige Verhältnis von potenziellem Nutzen mit den verbundenen Nebenwirkungen in ein günstiges Verhältnis zu setzen, um sinnvolle Maßnahmen auch schnell umzusetzen.
In diesem Spannungsfeld zwischen "Erhaltung der Wirksamkeit und Handlungsfähigkeit von Sicherheitsbehörden" und "unter welchen Umständen und wie weit man die dazu notwendigen Eingriffe in die Privatsphäre" für zulässig hält, gibt es kontroverse Meinungen (siehe die Kommentare zum o.g. Tweet und nebenstehende Box). Hier ist es allerdings nicht wichtig, welche Position man hier einnimmt. Hier geht es darum, was die Diskussionen über Themen wie Überwachung, Staatstrojaner etc. bewirken. Im Hintergrund schwingt dabei immer die Befürchtung mit, dass die effektiven Sicherheitstechnologien geschwächt werden sollen.
Vor diesem Hintergrund hat die (möglicherweise falsch interpretierte) RND-Meldung nicht nur in Deutschland für Verunsicherung gesorgt. Sie ist ja nicht die Erste dieser Art. Diskussionen über den Zugriff auf verschlüsselte Daten, die Ausweitung der Videoüberwachung und der Einsatz von Gesichtserkennungs-Software werden auch im Ausland wahrgenommen. Prominentestes Beispiel: Edward Snowden sieht eine Welle anti-liberalen Denkens, wenn selbst in Deutschland Firmen verpflichtet werden sollen, heimliche Überwachung zu ermöglichen. Auch Norbert Pohlmann - Vorstand im eco - Verband der deutschen Internetwirtschaft - sieht das Vertrauen in digitale Technologien gefährdet. "Bereits jede Diskussion über neue Überwachungspläne schwächt das Vertrauen der Nutzer in das Internet und schadet der deutschen Internetwirtschaft damit immens".
Bei G DATA erreichen uns zu diesem Thema Anfragen von verunsicherten Kunden und kritischen Journalisten aus Polen, Italien und vielen anderen europäischen Ländern. Es scheint, als ob Deutschland sein Image als das Land mit den höchsten Standards für Privatsphäre und Datensicherheit verliert, mit Konsequenzen für G DATA und die gesamte Sicherheitsindustrie.
Schon seit der Diskussion um den letzten BKA-Trojaner haben wir uns zu einer "No-Backdoor-Garantie" verpflichtet. Schon früh haben wir uns in der TeleTrusT-Initiative "IT-Security Made in Germany" (ITSMIG) engagiert und uns den strengen Kriterien unterworfen. Über 170 Firmen haben sich ITSMIG mittlerweile angeschlossen. Die aktuellen Diskussionen um die Aufweichung von Sicherheitstechnologien, haben negative Auswirkungen auf die gesamte IT-Security-Branche. Aber auch darüber hinaus. Wer möchte ein neues SmartTV kaufen, wenn man befürchten muss, dass das Gerät zum Orwellschen Televisor wird. Auch die Akzeptanz von vernetzten Autos wird leiden, wenn die Reisenden befürchten müssen, dass alle Informationen weitergegeben werden.
Das sei auch nochmal belegt an unserer aktuellen Kampagne "Meine Daten bleiben in Deutschland". Damit sichern wir auch internationalen Kunden zu, dass wir vertrauensvoll mit sensiblen Daten umgehen und dass wir sie gemäß den strengen Datenschutzbestimmungen in Deutschland verarbeiten. Für G DATA ist der Schutz der Privatsphäre genauso wichtig wie der Schutz der Rechner und Netzwerke. Im Kontext der Diskussion um aufgeweichte Sicherheitsmaßnahmen wird dieses vertrauensvoll gemeinte Versprechen von ersten Kunden als Drohung aufgefasst. Dazu besteht kein Anlass.
Wir vertrauen und hoffen darauf, dass die kommende Bundesregierung diese Missverständnisse ausräumt und weiterhin dafür steht, dass in Deutschland die höchsten Sicherheits- und Datenschutzstandards weltweit gelten und einer Schwächung von Sicherheitstandards eine klare Absage erteilt.