Auch staatliche Stellen sind nicht gegen Mißbrauch gefeit

Über staatliche Web-Zugriffe sollten Datenschützer wachen

06.06.1997

CW: Herr Simitis, die Bundesregierung diskutiert ein Verschlüsselungsverbot von Texten in Computer-Kommunikationsnetzen wie dem Internet oder zumindest die Einschränkung der Kryptografie-Anwendung. Wäre ein solches Krypto-Gesetz rechtlich überhaupt durchsetzbar?

Simitis: Zuerst gilt es, sich darüber klar zu werden, was man mit einem Krypto-Gesetz will. Es geht darum, dem Staat den Zugang zu Textinhalten zu ermöglichen. Die entscheidende Frage ist, unter welchen Bedingungen und mit welchen Konsequenzen das geschehen soll. Davon hängt die richtige gesetzliche Reaktion ab.

CW: Wie stehen Sie dazu?

Simitis: Es gibt Situationen, in denen entschlüsselt werden sollte. Ich bin aber auch der Meinung, daß eine Entschlüsselung unter den gegenwärtigen gesetzlichen Voraussetzungen nicht hinnehmbar ist. Wir brauchen ein entsprechendes Regelwerk, eine genaue Beschreibung der in Frage kommenen Situationen, unabhängige Schlüssel-Instanzen und ein Entschlüsselungsverfahren, das ständig kontrolliert wird und transparent gestaltet ist.

CW: Es gibt Ängste, weil es immer wieder vorgekommen ist, daß Regierungsstellen sogenannten befreundeten Diensten gewisse Rechte zugestanden haben.

Simitis: In der Tat besteht diese Gefahr - auch vor dem Hintergrund der gegenwärtigen Vorschriften. Die beispielsweise für den Bundesnachrichtendienst geltenden Regeln besagen, daß bestimmte Informationen an sogenannte befreundete Dienste weitergegeben werden dürfen. Wenn nun diese Weitergabe über einen Schlüssel aus dem Internet erfolgt, so ist das durchaus gesetzeskonform - außer wenn ausdrücklich bestimmt ist, daß ausschließlich der Schlüsselinhaber darüber verfügen darf. Deswegen sage ich, daß wir weit, weit mehr Präzision und Regelung verlangen müssen, als in den heutigen Zugangsvoraussetzungen enthalten ist.

CW: Die Mitarbeiter einer Schlüssel-Stelle, gleichgültig ob Behörde oder private Organisation, wären in jedem Fall einem erheblichen Druck seitens der Geheimdienste, der Industrie, Krimineller, oder wem immer auch ausgesetzt.

Simitis: Deshalb bin ich strikt gegen eine staatliche Dienststelle für diese Aufgabe. Sie ist immer Teil einer öffentlichen Verwaltung. Ich bin auch strikt gegen eine Stelle, die in die Privatwirtschaft integriert ist. Wir hätten aber die Möglichkeit, eine Art Treuhandsystem aufzubauen, etwa wie die Gewerbeaufsichtsämter - nur völlig unabhängig. Man könnte allerdings auch, und das ist mein Vorschlag, die Schlüssel bei einem Datenschutzbeauftragten hinterlegen.

CW: Eine Idee, die bislang wenig Beachtung gefunden hat...

Simitis: Ich glaube, wenn es keine echte Alternative gibt, ist der Datenschutzbeauftragte die richtige Institution. Er ist unabhängig, kennt die Problematik, verfügt über genügend Sachverstand und hat bewiesen, daß er Druck standhalten kann.

CW: Hat das Vertrauen in die Sicherheit der Informationstechnologie-Ära einen Knacks bekommen?

Simitis: Das weiß ich nicht. Es hat sich aber einmal mehr gezeigt, daß man sich nicht darauf verlassen kann, was man erreicht hat. Es gilt, sich immer wieder neuen Fragen zu stellen. Solange man keine Antworten hat, kann man auch kein Vertrauen wecken.

CW: Bundesinnenminister Kanther spricht vom Internet als einem rechtsfreien Raum.

Simitis: Es gibt keinen rechtsfreien Raum im Internet. Das Internet bewegt sich innerhalb der bestehenden rechtlichen Grenzen und ist an die Prinzipien gebunden, die auch sonst zu gelten haben. Das Problem ist: Die Kryptografie kann nur ihre Aufgabe erfüllen, wenn sie die Texte tatsächlich nur denjenigen zugänglich macht, für die sie bestimmt sind. Niemand kann bestreiten, daß es Situationen gibt, in denen der Staat einen Zugriff haben muß - aber nur unter genau definierten Vorbedingungen.

CW: Sie meinen, wenn das Medium von kriminellen und verfassungsfeindlichen Organisationen mißbraucht wird...

Simitis: In der Tat. Wenn das Internet also kein rechtsfreier Raum ist, folgt daraus, daß auch dort Situationen gegeben sein können, die es notwendig machen, dem Staat - ähnlich wie beim Brief oder Telefon - den Zugang zu erlauben. Der Staat kann seinen legitimen, verfassungsrechtlich abgedeckten Informationsanspruch nicht deswegen aufgeben, weil das Medium gewechselt hat. Der Unterschied ist nur, daß, bei Anwendung einer erfolgreichen Kryptografie, der Staat einen Schlüssel benötigt, um die Texte decodieren zu können.

Man kann nun, so Überlegungen in Frankreich, Lizenzen für die Verfahren erteilen, erfährt damit, wie die Verschlüsselungssysteme arbeiten. Man kann aber auch wie in den USA, die Schlüsselteile bei verschiedenen Behörden hinterlegen, und unter bestimmten Voraussetzungen zusammenfügen.

CW: Sie sprechen vom sogenannten Clipper-Chip, der in den USA verworfen wurde, beziehungsweise von Key Recovery. Wäre der Clipper in Deutschland möglich?

Simitis: Nein. Ich hielte ihn für verfassungswidrig. Ich spreche vom modifizierten Clipper-Chip. Die Konsequenz wäre bei einer Lizenz oder Hinterlegung gleich: Der Staat hat einen Generalschlüssel. Das bedeutet, daß zum ersten Mal der Staat zu allen verschlüsselten Informationen im Internet Zugang erhielte.

Wenn eine Behörde heute abhört oder einen Brief kontrolliert, ist die Genehmigung dazu nur auf eine bestimmte Situation zugeschnitten. Wer aber einen solchen Generalschlüssel für das Internet besitzt, hat jederzeit zu allen Informationen Zugang. Und genau das darf nicht sein - das ist eindeutig verfassungswidrig. Ich halte es für ein unverzichtbares Merkmal eines demokratischen Staates, auf Informationen, wenn die Gesetzeslage es nicht erlaubt, zu verzichten - selbst wenn man technisch über sie verfügen könnte.

CW: Potentielle Täter weichen schon heute ins Ausland aus. Greift ein nationales Krypto-Gesetz überhaupt?

Simitis: Ein Generalschlüssel kann tatsächlich nur dann funktionieren, wenn überall mit denselben Kryptosystemen operiert wird - im Inland wie im Ausland. Die nächste Frage ist also, wie garantiert man, daß immer nur ein bestimmtes System benutzt wird? Dieses Problem kann eine Norm nicht lösen, die nur einem Staat Zugang gewährt.

CW: Es wurde bereits Druck auf die Internet-Zugangsdienste ausgeübt, Inhalte von Texten zu kontrollieren und gegebenenfalls zu stoppen. Stellt sich die Frage nach der rechtlichen Grundlage und Verbindichkeit einer solchen Forderung?

Simitis: Unter dem Stichwort Aufspürbarkeit sucht nicht zuletzt die EU-Kommission nach Methoden, die es ermöglichen, Spuren aufzugreifen, um diejenigen, die sich rechtswidrig verhalten, aufzuspüren.

Wer sich ins Internet begibt, hinterläßt - ob er will oder nicht - Spuren. Hält man diese fest, kann man davon jederzeit auf bestimmte Nutzer zurückgreifen. Das ist jedoch genauso unzulässig wie der Generalschlüssel. Der Grund: Dieses Verfahren läuft darauf hinaus, präventiv das Verhalten aller Internet-Nutzer aufzuzeichnen, um diese Informationen später für bestimmte Zwecke nutzen zu können. Diese präventive Speicherung der Verhaltensweisen darf nicht sein.

CW: Bedenklich muß stimmen, daß der Europarat eine Einschränkung der Kryptografie im Internet empfohlen hat, während die EU-Kommission dabei ist, ein allgemeingültiges Regelwerk aufzustellen.

Simitis: Das ist nicht weiter verwunderlich. Die EU-Kommission ist immer darauf bedacht, gemeinsame Regeln für alle Mitglieder zu schaffen. Wenn es dabei manchmal zu Widersprüchen zum Europarat kommt, dessen Mitglieder über die EU hinausreichen, so ist das verständlich. Das Bedenkliche ist nur, daß natürlich die meisten Staaten dazu neigen, das Regelwerk vorzuziehen, das ihren Erwartungen entgegenkommt.

CW: Vorgeschlagen wurden auch sogenannte Clearing-Stellen, in denen Netzbetreiber und Provider die Netze von rechtlich zweifelhaften Inhalten freihalten sollen.

Simitis: Es hat sich gezeigt, daß eine solche Selbstkontrolle nicht funktioniert. Sie scheitert an den unterschiedlichen Interessen. Weil aber das Internet kein rechtsfreier Raum ist, brauchen wir verbindliche Regeln. Der traditionelle Weg ist ein internationales Abkommen zwischen allen beteiligten Staaten; ein komplizierter Prozeß, der sicherlich sehr lange dauern würde. Denkbar ist aber auch, daß man technische Vorkehrungen entwickelt, die es ermöglichen, von vornherein zu filtern und bestimmte Sendungen unzugänglich zu machen.

CW: Die Anwendung von Filtertechniken, die Inhalte auf ihre Sinnbedeutung überprüfen, birgt aber auch die Gefahr einer Fehlinterpretation.

Simitis: Ein Filter ist immer ein Mittel der Zensur. Dieser Konsequenz muß man sich deutlich bewußt sein.

CW: Selbst ein Krypto-Gesetz mit Schlüsselhinterlegung garantiert den Behörden aufgrund der Struktur und technischen Möglichkeiten des Internets nicht den völligen Zugriff auf Informationen. Allein die Steganographie* kann Mitteilungen so verschleiern, daß nur der wissende Empfänger sie lesen kann.

Simitis: Wenn die Steganographie greift, entsteht ein neues Problem - und man muß wieder reagieren. Das ist die Konsequenz einer Technologie, die wie sie in ihrer Schnelligkeit bislang unbekannt war.

Spiros Simitis

Spiros Simitis, 62 Jahre, ist ein international renommierter Rechtswissenschaftler und lehrt als Professor an der Universität Frankfurt/Main. Er gilt hierzulande als führender Experte für Rechtsinformatik und Datenschutzrecht. Von 1975 bis 1991 war er hessischer Datenschutzbeauftragter, von 1982-86 Vorsitzender der Datenschutz-Kommission des Europarates.

*Bei der Steganographie werden Nachrichten nicht eigentlich verschlüsselt, sondern in unverdächtig aussehenden Texten oder Bildern eher versteckt, so daß Fahnder nicht erkennen, daß es sich hier um einen geheime Nachricht handelt (Anmerkung der Redaktion).