Nach einer Reihe von Expertenanhörungen war es für einige Jahre still um das Thema Kryptoregulierung. Jetzt stellt sich heraus, daß dies eine trügerische Ruhe war. Die Überraschung ist perfekt: Es gibt konkrete Vorstellungen im Bundesinnenministerium zur Einschränkung der Verwendung kryptografischer Verfahren.

Kryptoregulierung bedeutet, daß Verschlüsselung von Daten verboten ist. Ausnahmen sind nur genehmigungsfähig, wenn ein berechtigtes Bedürfnis nachgewiesen und gleichzeitig dem Staat die Möglichkeit gegeben wird, die Leitungen abzuhören.

Das Argument für eine Kryptoregulierung lautet immer wieder, daß eine Verbrechensbekämpfung nur möglich sei, wenn Verschlüsselung verboten ist. Welche Kindesentführung, welche Geiselnahme wäre verhindert worden, wenn schon bisher eine Kryptoregulierung bestanden hätte?

Die Nutzlosigkeit einer Kryptoregulierung zeigt sich am Beispiel der organisierten Kriminalität: Eine Kryptoregulierung wird Kinderpornografie, Waffen-, Drogenschmuggel und Geldwäscherei nicht einschränken. Wer illegale Geschäfte elektronisch abwickelt, der verschlüsselt auch illegal. Wie könnte eine unerlaubte Anwendung der Kryptografie angemessen bestraft werden? Das Strafmaß müßte sich nach dem Wert des Informationsinhalts richten, den man aber nicht kennt.

Es gibt vielfältige Möglichkeiten der unerkennbaren Verschlüsselung: Codierte Nachrichten lassen sich in Dokumenten verstecken. Diese Methode (Steganografie) wird auch mit Erfolg benutzt, um die Urheberschaft von Dokumenten mit Hilfe sogenannter digitaler Wasserzeichen zu erkennen. Scheinbar harmlose Klartextnachrichten können verschlüsselte Information enthalten. Solange nicht bekannt ist, welche Bedeutung eine Nachricht für den Empfänger hat, läßt sich nicht feststellen, ob sie verschlüsselt ist.

Eine weitere Möglichkeit bieten verdeckte Kanäle: Jedes Ereignis, zum Beispiel ein Anruf, enthält allein dadurch, daß es stattfindet, eine Information. Die Kapazität eines verdeckten Kanals kann bis zu fünf Prozent der Übertragungsrate der benutzten Kommunikationsverbindung betragen.

Eine Datenübertragungsstrecke mit einer Übertragungsgeschwindigkeit von 2 Mbit/s ermöglicht beispielsweise einen verdeckten Kanal mit 40 Kbit/s. Ein guter Sprachcodierer benötigt nur 14 Kbit/s. Also läßt sich in diesem verdeckten Kanal ein Ferngespräch führen. Es muß nicht verschlüsselt sein, da niemand in der Lage ist, zu erkennen oder gar nachzuweisen, daß ein verdeckter Kanal vorhanden ist. Es ist also möglich, heimlich über elektronische Wege zu kommunizieren, ohne daß verschlüsselt wird. Das heißt, es ist legal - und die Kryptoregulierung läuft ins Leere.

Die über das Internet organisierten Gesetzesbrüche müssen erkannt und unterbunden werden. Dieses Ziel läßt sich aber keineswegs durch eine Kryptoregulierung erreichen.

Die Verschlüsselung wird nicht nur für kriminelle Verabredungen genutzt, sondern auch für den Datenschutz, einer unabdingbaren Notwendigkeit der modernen Informationsgesellschaft. Alle personenbezogenen Daten sollen für die elektronische Kommunikation verschlüsselt werden, damit unbefugte Personen sie nicht im Klartext lesen können. Dies sieht der Maßnahmenkatalog des Bundesdatenschutzgesetzes ausdrücklich vor.

Diese Maßnahme des Datenschutzes will man jetzt verbieten, wenn die Schlüssel den Behörden nicht zugänglich gemacht werden. Fällt der Datenschutz der Kryptoregulierung zum Opfer? Den gläsernen Menschen gibt es natürlich nicht - nur für den Staat. Genau das ist die Orwellsche Schreckensvision.

Der Bundesinnenminister scheint die Verschlüsselung unterdrücken zu wollen und trifft damit den ganzen Bereich der Datensicherheit und des Datenschutzes. Verschlüsselung ist eine Anwendung kryptografischer Verfahren, die nicht nur für Vertraulichkeit, sondern auch als Schutz gegen Manipulationen, Hacker und Viren sowie für elektronische Unterschriften zum Einsatz kommen.

Soll die Verschlüsselung kontrollierbar sein, muß folglich die Anwendung kryptografischer Algorithmen insgesamt eingeschränkt werden. Jedes kryptografische Verfahren, mit dem eine elektronische Unterschrift, der Nachweis einer Urheberschaft etc. möglich sind, unterstützt auch die Verabredung eines geheimen Schlüssels, der sich für eine nachfolgende Verschlüsselung eignet. Jeder zertifizierte öffentliche Schlüssel eines asymmetrischen Verfahrens läßt sich so für eine Schlüsselabsprache oder Verschlüsselung verwenden.

Wie kann die Bundesregierung einerseits ein "Signaturgesetz für elektronische Unterschriften" einbringen und hierfür die Infrastruktur (Trust-Center, Zertifizierungsinstanzen etc.) aufbauen und andererseits gleichzeitig eine Kryptoregulierung in Betracht ziehen? Entweder man will die Möglichkeiten der Kryptografie für eine moderne Informations- und Kommunikationsgesellschaft nutzen, oder man will es nicht.

Was halten die Banken von einer Kryptoregulierung? Wie stellen sich die großen Dienstleistungsanbieter - zum Beispiel die Lufthansa oder die Datev - dazu, wenn alle Schlüssel, die zur Geschäftsabwicklung über das Internet oder Corporate Networks erforderlich sind, hinterlegt werden müssen? Wie soll sich das Internet für kommerzielle Anwendungen oder Applikationen mit personenbezogenen Daten nutzen lassen, wenn der Einsatz kryptografischer Verfahren derart beschränkt wird? Was sagt der Bundesforschungsminister dazu, der die Telearbeit zu einem seiner Lieblingskinder erkoren hat?

All dies ist mit einer Kryptoregulierung undenkbar. Sie entpuppt sich als Fortschrittskiller, den wir uns in Deutschland überhaupt nicht erlauben können. Einschneidende Folgen für jeden Bürger sind eine Seite der Kryptoregulierung. Eine andere sind die Folgen für die Industrie.

Seit Jahren ist es der amerikanischen Industrie ein Dorn im Auge, daß sie Produkte mit guten kryptografischen Algorithmen nicht weltweit vermarkten kann. Für den Export wurden nur Versionen zugelassen, die so unsicher sind, daß sie belächelt werden.

In dieser Situation hat sich in Deutschland eine eigene High-Tech-Branche gebildet, die unabhängig ist und für die Sicherheit europäischer und deutscher Behörden sowie Industriefirmen sorgt. Dazu gehören Sicherheitsmodule in Electronic-Cash-Systemen, Verschlüsselungsgeräte für alle LANs und WANs, Paketfilter und Firewalls. Doch nun will unsere Bundesregierung die Kryptoregulierung einführen.

Die Verfahren, die für deren Realisierung in Frage kommen, stammen aus Großbritannien und den USA. Dort existieren schon seit einigen Jahren Erfahrungen mit der "Key-Escrow"-Technik, bei der sich die Behörden in jede vertrauliche Kommunikation einklinken können.

Gleichzeitig gibt es verschiedene Vorstöße, solche Verfahren in den internationalen Normungsgremien zu standardisieren. Dafür müßte die bestehende Regelung, daß Kryptoverfahren nicht standardisiert werden dürfen, fallen. Großbritannien, das erst vor wenigen Jahren für das Verbot der Standardisierung von Kryptoalgorithmen gestimmt hat, beantragt heute deren Freigabe, und schlägt gleichzeitig eine Methode für Key-Recovery vor.

Wenn die Politiker anderer Länder an ihre Industrie denken, woran denken dann unsere? Was wird aus dem in Deutschland verfügbaren Know-how? Patent- und Marktsituation lassen deutschen Mittelstandsfirmen keine Chance. Ausschließlich ausländische Sicherheitsprodukte würden nach Einführung der Kryptoregulierung in Deutschland eingesetzt - und dies hätte keine technischen, sondern rein politische Ursachen.

Die vorgesehenen Regulierungen werden den Mittelstand treffen. Die großen Firmen, die Sicherheitsprodukte in Deutschland entwickeln, werden es überleben. Zuerst verteilt ein Bundesminister Geld für die Entwicklung neuer Sicherheitstechnologien und Existenzgründungen, dann entzieht ein anderer Bundesminister den entstandenen Firmen wieder die Existenzgrundlage.

Im nächsten Schritt trifft es die gesamte deutsche Industrie. Sollen sich die hiesigen Firmen künftig mit ausländischen Sicherheitsprodukten, mit denen Key-Recovery möglich ist, vor Wirtschaftsspionage schützen? Wie soll auf dieser Basis eine vertrauliche firmeninterne, aber grenzüberschreitende Kommunikation möglich sein?

Von Information War noch nie was gehört?

Warum haben nur einige Herren aus dem Bundesinnenministerium oder dem Außenministerium Einfluß auf die Diskussion um die Kryptoregulierung? Warum haben die Experten aus dem Wirtschaftsministerium, das für die Sicherheit der Industrie und Wirtschaft zuständig und verantwortlich ist, nicht mehr Gewicht? Es stellt sich die Frage, ob die Verantwortlichen im Bundesinnenministerium die Berichte über Wirtschaftsspionage und die Vorbereitungen anderer Länder für den "Information War" kennen.

Die Wirtschaft kann es sich nicht gefallen lassen, daß ihr die Möglichkeit genommen werden soll, international zu arbeiten, ohne zu wissen, wer alles mithören und manipulieren kann.

Nicht nur das. Wie will sich die Bundesregierung in Zukunft selbst schützen? Welche Produkte will sie einsetzen? Wo werden die Schlüssel hinterlegt sein, um Staatsgeheimnisse zu decodieren?

Der Verzicht auf eine eigene Technologie, die kryptografische Auslieferung beendet staatliche Souveränität. Unser Bundeskanzler ist stolz auf die Wiedervereinigung, weil erst sie die volle Souveränität der Bundesrepublik wiederhergestellt hat. Soll die Unabhängigkeit so schnell wieder aufgegeben werden.

Angeklickt

Nachdem es um dieses Thema lange still war, beabsichtigt die Bundesregierung derzeit, die Verwendung kryptografischer Verfahren zu verbieten, falls kein digitaler Schlüssel hinterlegt wurde. Der Autor begründet, warum solche Regulierungen nicht nur völlig nutzlos sind, sondern auch wesentliche Elemente des Datenschutzes wirkungslos machen. Die Bundesregierung, so seine Argumentation, gefährde darüber hinaus vitale Interessen deutscher Unternehmen, die im Ausland tätig sind. Sie untergrabe letztlich sogar nationale Sicherheitsinteressen.

*Professor Christoph Ruhland hat den Lehrstuhl für Nachrichtenübermittlung am der Universität Siegen inne und ist Geschäftsführer der Kryptokom GmbH, Aachen.