Warum es keine „Verschlüsselungsverbote“ geben kann

Was ist Verschlüsselung eigentlich?

Generell kann man unter Verschlüsselung ein technisches Verfahren verstehen, um die Lesbarkeit von in Daten enthaltenen Informationen zu erschweren – oder optimalerweise zu verhindern. Damit ist die Verschlüsselung ein Kernelement der IT-Sicherheit, ermöglicht sie doch die Vertraulichkeit von Informationen, indem sich im Regelfall nur befugte Personen Zugriff auf diese verschaffen können. Technisch wird zwischen verschiedenen Arten von Verschlüsselung unterschieden, was manchmal etwas verwirrend sein kann.

Zwei Begriffe, die wir in diesem Zusammenhang häufig hören, sind die Transportverschlüsselung und die Inhaltsverschlüsselung. Bei der Transportverschlüsselung geht es bei Kommunikationsvorgängen um Daten, die über Webverbindungen von einem Datenträger zum nächsten gesendet werden. Problem dabei: Bei der Transportverschlüsselung wird nur der Nachrichtenkanal, also die Kommunikation zwischen dem Nachrichtensender und dem jeweiligen Provider, der die Nachricht weiterleitet, verschlüsselt. Dies bezeichnet man auch als „Punkt-zu-Punkt-Verschlüsselung“ (P2PE) bzw. „Leitungsverschlüsselung“. Diese Transportverschlüsselung bietet somit zwar den Schutz vor einem unbefugten Abhören der Datenleitung, auf den Zwischenstationen jedoch – beispielsweise auf dem Server des Providers – wird die Nachricht wieder entschlüsselt.

Je mehr Zwischenstationen eine Nachricht folglich passiert, umso mehr Zwischenempfänger haben Zugang zur Nachricht. Diesem Risiko kann man nur durch Verwendung einer Inhaltsverschlüsselung vorbeugen. Ein Unterfall der Inhaltsverschlüsselung ist die „Ende-zu-Ende-Verschlüsselung“ (E2EE), die sich in den letzten Jahren mehr und mehr als Kommunikationsstandard durchgesetzt hat. Ihr großer Vorteil: Im Gegensatz zu P2PE sind bei ihr die Daten auch im „ruhenden“ Zustand auf dem Endgerät oder bei den Zwischenstationen einer Nachrichtenübermittlung verschlüsselt. Die Daten selbst werden somit „in ihrem Inhalt” verschlüsselt.

Auch unsere Verfassung schützt verschlüsselte Kommunikation

Was aber hat es nun mit den rechtlichen Fragen der Verschlüsselung auf sich? Wichtigste Erkenntnis ist hier erst einmal: Sowohl in der Europäischen Union als auch im deutschen Grundgesetz als nationaler Verfassung wird ein Recht aller Bürgerinnen und Bürger auf die Verschlüsselung ihrer Daten anerkannt! Das steht zwar nicht unmittelbar im Gesetz, ergibt sich aber aus juristischen Überlegungen zu unserem Fernmeldegeheimnis, zum Computergrundrecht, aus dem Recht auf Achtung unseres Privat- und Familienlebens sowie aus dem in der Europäischen Grundrechtecharta verankerten Anspruch auf den Schutz der personenbezogenen Daten.

Das ergibt auch Sinn: Genauso, wie ich einen analogen Brief in einer Geheimschrift verfassen kann, damit Unbefugte den Inhalt nicht lesen können, kann und darf ich meine digitale Kommunikation verschlüsseln und digitale Daten verschlüsselt auf meinem Smartphone oder PC speichern.

Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung?

Genau so lange, wie es ein Recht auf Verschlüsselung unserer digitalen Kommunikation gibt, existieren auch staatliche Bestrebungen, die technisch zunächst einmal grenzenlose Möglichkeit sicherer und vertraulicher Kommunikation und Datenspeicherung einzuschränken. Die politisch dafür angeführten Gründe können vielfältig sein und mal mehr, mal weniger legitim erscheinen. Und dabei geht es lange nicht nur um autoritäre Regimes wie die Volksrepublik China, in der ein Grundrecht auf Datenschutz unbekannt ist.

Vor allem auch in westlichen Staaten besteht die Sorge, dass durch zunehmend ausgeklügelte und leicht zu bedienende technische Möglichkeiten zur Verschlüsselung den Sicherheits-, Polizei- und Strafverfolgungsbehörden der Zugriff auf für ihre Ermittlungen wichtige Daten entzogen sein könnte. Und diese Bedenken sind durchaus berechtigt.

Deshalb werden Ansätze diskutiert, um die Verwendung von Verschlüsselung einzuschränken. Diese reichen von staatlichen Sonderzugriffsmöglichkeiten auf verschlüsselte Kommunikationskanäle über eine technische Schwächung von Verschlüsselung bis hin zu einem kompletten Verbot verschlüsselter Kommunikation. Deshalb sprechen wir auch von „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“: Einerseits sollen Bürgerinnen und Bürger im Sinne der IT-Sicherheit vertraulich kommunizieren können, andererseits will der Staat gegenläufige Sicherheitsinteressen damit nicht torpedieren, beispielsweise zur Vermeidung terroristischer Anschläge oder zur Aufklärung von Straftaten.

Wege aus dem „Verschlüsselungsdilemma“

Der Weg aus diesem „Verschlüsselungsdilemma“ scheint nicht einfach. Eines jedenfalls steht fest: Europäische Staaten dürfen in den Gesetzen keine anlasslose Massenüberwachung ihrer Bürgerinnen und Bürger festschreiben und deshalb auch nicht verschlüsselte Kommunikation verbieten oder technisch ab Werk umgehen. Auch dürfen Sicherheitsbehörden nicht in unsere digitale Intimsphäre eingreifen. Damit sind zugleich viele der aktuell politisch diskutierten Vorstöße verfassungsrechtlich mehr als nur zweifelhaft, so zum Beispiel die vielzitierte „Chatkontrolle“ auf europäischer Ebene, die Daten lokal auf dem Endgerät scannt, noch bevor sie verschlüsselt werden.

Natürlich ist es dem Staat nicht untersagt, in bestimmten Fällen, so zum Beispiel bei einem konkreten Verdacht auf schwere Kriminalität, in Einzelfällen zu versuchen, auf verschlüsselte Daten zuzugreifen. Wie er dies anstellt, ist dann aber seine Sache – soll heißen: Für diesen Fall müssen sich die Sicherheitsbehörden selbst überlegen, wie sie eine Verschlüsselung „knacken“ können. Je effektiver die gewählte Verschlüsselungsmethode dabei ist, umso schwieriger ist es auch für den Staat, Zugriff auf die übermittelten oder gespeicherten Daten zu erlangen.

Außerdem gilt: Wenn ich meine Daten und meine Kommunikation verschlüssle, signalisiere ich damit, dass mir ihre Vertraulichkeit und Sicherheit besonders wichtig sind und sie deshalb automatisch einen höheren verfassungsrechtlichen Schutz genießen. Man sieht also: Seine Daten zu verschlüsseln, lohnt sich immer.