Die Diskussion um ein deutsches Kryptografie-Gesetz für Computer-Kommunikationsnetze sorgt für Unruhe unter den Netznutzern. Sie hat eine Lawine von rechtlichen Fragen losgetreten, auf die die Regierung noch keine Antworten gefunden hat.

Bereits 1992, analog zu einer Initiative in den USA, plante ein Arbeitskreis des Bundesinnenministeriums, den "Besitz und Einsatz nicht zugelassener Verschlüsselungsgeräte unter Strafe" zu stellen. Damals scheiterte der Versuch an Vertretern der deutschen Wirtschaft und Wissenschaft. Nun arbeitet seit 1996 erneut eine "Task Force" des Ministeriums an einer Gesetzesvorlage, die zwar schon Ende letzten Jahres vorliegen sollte, mit der aber erst in etwa einem halben Jahr gerechnet werden kann.

Bisher sind bis auf Ausnahmen Kodierungsverfahren - Private Key, symmetrisch; Public Key, asymmetrisch - beliebiger Bit-Längen zugelassen. Anwendung finden weltweit meistens aber nur Produkte mit 40 Bit, die trotz ihrer 1,099 Billionen Möglichkeiten relativ leicht zu knacken sind. Ein Großunternehmen hätte die Möglichkeit, eine solchen Code in weniger als sieben Sekunden zu entschlüsseln. Eine Geheimdienstbehörde wie die US-amerikanische National Security Agency (NSA) bräuchte gar nur zwei Millisekunden. Doch bereits bei einem Schlüssel mit einer Länge von 56 Bit erhöhen sich die Möglichkeiten auf 72 Billiarden. Für dessen Dechiffrierung müßte ein "normaler Interessent" immerhin einen Parallelcomputer mit 10000 Spezialchips mit einer Durchsatzrate von einer Million Schlüssel pro Sekunde einsetzen, um in 80 Tagen zu einem Ergebnis zu kommen. Bei starker Krypto-Software mit 512 Bit wird eine Decodierung ohne Schlüsselhinterlegung selbst für den Geheimdienstgiganten NSA illusorisch.

Vor diesem Hintergrund hat die US-Regierung, nach mehrmaligem Scheitern von entsprechenden Gesetzesvorlagen, Krypto-Software 1996 endgültig unter das Waffengesetz gestellt. Während Australien, Kanada, Dänemark und Finnland ein Verbot oder eine Einschränkung von Verschlüsselung im Internet ablehnen, und in den Niederlanden eine Variante mit einer "Deckadresse" diskutiert wird, haben Frankreich und Großbritannien ernst gemacht.

In Frankreich müssen Anwender ihre Schüssel bei einer staatlichen Stelle nahe Paris hinterlegen. Erlaubt sind 40-Bit-Codes. Doch viele Unternehmen beispielsweise scheren sich darum nicht - sie verwenden das weitverbreitete Verfahren Pretty good privacy, das mit 2048 Bit arbeitet.

Das härteste Gesetz weltweit hat aber die Briten getroffen. Sie dürfen nur offiziell linzenzierte Krypto-Software verwenden, die die Decodierung durch die amtlichen Dienststellen ermöglicht. Zu einer solchen Lösung tendiert offensichtlich auch der deutsche Bundesinnenminister Manfred Kanther.