Datenschutz

Editorial: Messenger überwachen - wofür?

Seehofer will die Ende-zu-Ende-Sicher­heit moderner Messenger aushe­beln. Geht das über­haupt?
Von

Messenger-Überwachung kaum durchsetzbar Messenger-Überwachung kaum durchsetzbar
Foto: picture Alliance / dpa
Der Streit hat das Zeug zum Poli­tikum für die kommenden Jahre: Die staat­liche Über­wachung der über Messenger wie WhatsApp, Threema oder Tele­gram ausge­tauschten Nach­richten. Bundes­innen­minister Horst Seehofer prescht dies­bezüg­lich schon mal vor, auch, weil das Thema gut zur Agenda der CSU passt: "Mehr Sicher­heit". Die Netz­gemeinde ist hingegen über­wiegend "not amused".

Seit einigen Jahren verwenden alle großen Messenger die als sicher geltende Ende-zu-Ende-Verschlüs­selung: Zwischen zwei Teil­nehmern wird dazu jeweils ein geheimer, nur den beiden Teil­nehmer-Apps bekannter Schlüssel gene­riert. Die Nach­richten werden zwar beim Weg von Alice zu Bob (oder von Erich zu Gisela, oder wem auch immer) in der Regel über die Server des Messenger-Anbie­ters geleitet. Aber selbst, wenn dort der böse Charlie sitzt und alles mitschneidet, kann er ohne die Schlüssel, die ohne ihn verein­bart worden sind, den Inhalt der Nach­richten nicht entschlüs­seln. Charlie kann zwar heraus­finden, dass Alice und Bob mitein­ander kommu­niziert haben, aber nicht über was.

Nun ist in Deutsch­land das Fern­melde­geheimnis durch Artikel 10 Grund­gesetz geschützt. Ande­rerseits lässt Artikel 10 es zu, das Grund­recht durch ein Gesetz zu beschränken. Von dem Recht, die Tele­kommu­nika­tion im Einzel­fall doch zu über­wachen, hat der Staat in der Vergan­genheit intensiv Gebrauch gemacht: Auf rich­terliche Anord­nung hin haben die Fest­netz- und Mobil­funk­betreiber alle Anrufe und SMS eines Nutzers aufzu­zeichnen und an die Ermitt­lungs­behörden zu über­geben. Im Jahr 2017 wurden dabei im Rahmen von 5629 Er­mittlungs­ver­fahren insge­samt 18 650 Telefon- und Inter­net­an­schlüsse über­wacht. Fast die Hälfte aller Über­wachungen betraf Drogen­delikte, danach folgten die Aufklä­rung von Mord und Totschlag, sowie die Verhin­derung von Landes­verrat.

Die bei Handy­tele­fonie und SMS übliche Über­wachung wünscht sich Seehofer nun auch für Messenger: Auf rich­terliche Anord­nung hin sollen alle Nach­richten, die ein Nutzer sendet oder empfängt, im Klar­text an die Behörden heraus­gegeben werden. Nach­richten, die bereits vor der Anord­nung über­mittelt wurden, können jedoch nach­träg­lich nicht geknackt werden. Sie lassen sich aber mögli­cher­weise auf einem Smart­phone auslesen, wenn dieses beschlag­nahmt oder im Rahmen der Quellen-Tele­kommu­nika­tions­über­wachung der Bundestro­janer verdeckt aufge­spielt wird.

Messenger-Über­wachung kaum durch­setzbar

Messenger-Überwachung kaum durchsetzbar Messenger-Überwachung kaum durchsetzbar
Foto: picture Alliance / dpa
Schon die Geset­zeslage lässt eine Auswei­tung der etablierten Tele­kommu­nika­tions-Über­wachung auf Messenger wahr­schein­lich nicht zu, da die dahin­terste­hende Tech­nologie eine andere ist als bei Telefon und SMS: Fest­netz­gespräche werden bis heute zumeist nicht verschlüs­selt und können daher beim Anbieter ohne großen Aufwand digital mitge­schnitten werden. Mobil­funk­gespräche und SMS werden zwar verschlüs­selt, aber nur durch einen Sitzungs­schlüssel, der zwischen Endgerät und Mobil­funk­netz verein­bart wird. Im Mobil­funk-Kern­netz liegen die Gesprächs- und Nach­rich­tenin­halte daher eben­falls im Klar­text vor und können dort mitge­schnitten werden.

Messenger-Inhalte werden hingegen, wie bereits geschrieben, Ende zu Ende verschlüs­selt: Im Kern­netz liegen die Nach­richten daher nur in codierter Form vor. Um an den Klar­text zu kommen, muss man nicht nur die Nach­richt kopieren, sondern auch den zwischen Absender und Empfänger indi­viduell verein­barten Schlüssel entweder beim Absender oder Empfänger entwenden. Alter­nativ könnte man auch das Messenger-Proto­koll so abän­dern, dass es zusätz­liche Nach­schlüssel für die Abhör­schnitt­stelle gene­riert. Es dürfte aber ebenso wenig möglich sein, Messenger-Anbieter gesetz­lich zur Unter­stüt­zung beim Schlüssel-Dieb­stahl zu zwingen, wie es möglich sein dürfte, sie zu verpflichten, ein aktuell sicheres System mit absicht­lichen Schwach­stellen zu versehen, um die genannten Nach­schlüssel zu gene­rieren. Es ist einfach ein funda­mentaler Unter­schied, ob für die staat­liche Über­wachung eh beim Tk-Anbieter vorhan­dene Daten mitge­schnitten werden, oder ob gezielt zusätz­liche Daten erzeugt und/oder über­tragen werden, um die Über­wachung über­haupt erst zu ermög­lichen.

Die Messenger-Anbieter werden jeden­falls nicht ohne Wider­stand klein beigeben und die Ende-zu-Ende-Sicher­heit wieder aushe­beln lassen. Nur, weil Deutsch­land und mögli­cher­weise einige weitere Länder eine Über­wachungs-Schnitt­stelle fordern, werden WhatsApp oder Threema diese nicht einrichten. Die nächste Eska­lati­onsstufe wäre dann, dass der Innen­minister den Vertrieb der nicht über­wach­baren Messenger-Apps in Deutsch­land verbietet. Ein solches Verbot würde aber weder gegen bereits instal­lierte Messenger-Apps helfen, noch gegen den Bezug eben­dieser aus dem Ausland. Auch bestünde jeder­zeit die Möglich­keit, eine weitere Verschlüs­selungs­schicht einzu­führen, indem über WhatsApp und Threema verschlüs­selte Dateien versendet werden. Zudem dürften die Nutzer wahr­schein­lich schneller auf jeweils neue Messenger-Apps auswei­chen, als das Innen­minis­terium diese jeweils wieder verbieten kann.

Vor allem aber: Einen privaten, mit SSL verschlüs­selten Internet-Server aufzu­setzen, dauert nur wenige Minuten und ist dank zahl­reicher Anlei­tungen auch mit IT-Einstei­gerkennt­nissen bereits machbar. Anonyme Cloud-Server, bei denen nicht erkennbar ist, welcher Nutzer zu welcher IP-Adresse gehört, können bei diversen Anbie­tern für unter zehn Euro im Monat gemietet werden. TOR und das Dark Web bieten so gute zusätz­liche Möglich­keiten zur Verschleie­rung der eigenen Akti­vitäten, dass selbst Drogen-Groß­händler jahre­lang uner­kannt operieren können. Daher stellt sich die Frage, was Seehofer mit der WhatsApp-Über­wachung errei­chen will. Die kleinen Drogen­dealer fangen, damit die großen unge­hindert operieren können? Seiner Wähler­schaft ein Gefühl der Sicher­heit geben, frei­lich auf Kosten des weiter schwin­denden Daten­schutzes und einem zuneh­mendem Gefühl der Unsi­cher­heit in der Mehr­heit der Bevöl­kerung? Oder einfach nur Wahl­kampf machen?

Weitere Edito­rials