In Deutschland ist derzeit noch nicht abzusehen, ob und wie staatliche Organe den Datenaustausch über das Internet kontrollieren dürfen. Im Koalitionsvertrag von SPD und Bündnis 90/Grünen steht dazu nichts. Nach Mitteilung des Bundeswirtschaftsministeriums (BMWi, http://www.bmwi.de) ist aber eine entsprechende Verordnung in Arbeit.
Entgegen der Empfehlung einer Enquete-Kommission des Deutschen Bundestages, auf eine Überregulierung zu verzichten, versuchte die Regierung Kohl, die klassische Telefonüberwachung auf das Internet zu übertragen. Der Entwurf löste damals bei vielen Experten Entsetzen aus. Harald A. Summa, Geschäftsführer des "Eco Electronic Commerce Forums", bezeichnete das Papier als "eine Katastrophe für die deutsche Internet-Wirtschaft". Jetzt gibt Summa Entwarnung, weil sich "die Sache in Luft aufgelöst hat". Zu Unrecht, wie der Bundestagsabgeordnete Jörg Tauss meint. "Ich gehe davon aus", so der Medienexperte der SPD, "daß die Regulierungsbehörde munter an diesem Entwurf weiterarbeitet."
Daraus macht das Bundeswirtschaftsministerium auch kein Hehl. Dessen Sprecher Frank Krüger bestätigt, daß "die Internet-Richtlinie auf Basis der TKÜV derzeit erarbeitet wird". Der Entwurf werde möglicherweise bereits in den nächsten Wochen fertig sein. Bis dahin würden Gespräche mit den betroffenen Ministerien und der Wirtschaft geführt.
Kryptographiesoftware aus dem Internet
Die Junge Union lehnt eine Telekommunikations-Überwachungsver-ordnung auf Grundlage des Telekom-munikationsgesetzes von 1996 ab. Ihr medienpolitischer Sprecher Patrick Warnking plädiert ebenso wie der Bundesbeauftragte für den Datenschutz, Joachim Jacob, für den Einsatz von Kryptographie, um persönliche Daten zu schützen. Verschlüsselungssoftware, wie das Programm "Pretty Good Privacy" (PGP), kann sich jedermann aus dem Internet herunterladen. Im Dezem-ber 1998 beschlossen zudem die 33 Vertragsstaaten des sogenannten "Wassenaar Arrangements" (http://www. wassenaar.org) eine Neuregelung der Exportkontrolle für Verschlüsselungstechniken (Kryptographieprodukte). Künftig unterliegen alle Produkte, gleich ob Hard- oder Software, nur noch ab einer Schlüssellänge von 56 Bit der Exportkontrolle. Verfahren wie digitale Signatur und Authentifizierung können ohne staatliche Direktiven exportiert werden.
Frei von Kontrolle blieben auch Public-Domain-Programme. Für den Massenmarkt bestimmte Software, "die bestimmten Anforderungen genügt", so die Wassenaar-Unterzeichner, soll ab einer Schlüssellänge von 64 Bit der Exportkontrolle unterliegen. Genau hier aber liegt das Problem: Denn einerseits sind Verschlüsselungsprogramme wie "Pretty Good Privacy" (http://www.nai.com/defaultpgp.asp ) - da Public-Domain - von der Kontrolle ausgenommen, andererseits müßte das Programm kontrolliert werden, weil es mit einem 64-Bit-Schlüssel arbeitet.
Eine klare Regelung haben Länder wie die USA, Rußland, Frankreich oder Australien getroffen. Sie nahmen Kryptographiesoftware von der Public-Domain-Befreiung aus. In diesen Ländern ist es illegal, Verschlüsselungssoftware gratis zum Download anzubieten. Hierzulande aber kann sich jedermann die PGP-Software aus dem Internet auf seinen PC laden. Aber wie lange noch?
Konflikt zwischen Europa und den USA
In der Tat gehen die Meinungen über das Ergebnis des Wassenaar-Abkommens stark auseinander. Während die USA noch vor Abschluß der Gespräche Siegesmeldungen verbreiteten und ihre Kryptopolitik bekräftigt sahen, sprachen manche Kritiker wie Ingo Ruhmann vom "Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung" von einer Militarisierung der Informationsgesellschaft. Stimmen aus dem BMWi wiederum geben Entwarnung. Einige, so heißt es dort unter vorgehaltener Hand, hätten wohl die Texte nicht richtig gelesen. "Für die Amerikaner wäre das ein Fortschritt, für uns ein Rückschritt", kritisiert Jörg Tauss eine Exportkontrolle für Kryptoprodukte mit 64-Bit-Schlüssel. Allerdings sei in Deutschland noch keine Vorentscheidung gefallen: "Es handelt sich um eine Empfehlung, die in nationales beziehungsweise EU-Recht umgesetzt werden müßte."
Die Haltung des Bundeswirtschaftsministeriums ist eindeutig: Auf Basis des Wassenaar-Abkommens, so BMWi-Sprecher Krüger, müsse eine EU-Verordnung erarbeitet werden, die anschließend von den EU-Staaten in nationales Gesetz umzusetzen sei. Bei Wassenaar handle es sich zwar um "kein Abkommen, das unterzeichnet wurde, aber um ein Arrangement, das eigentlich verbindlich ist".
Amerikaner wollen abhören
Die Verbindlichkeit stellen Politiker wie Tauss oder Siegmar Mosdorf allerdings in Frage. Letzterer ist nicht nur Vorsitzender der Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft" im Deutschen Bundestag, sondern auch Staatssekretär im BMWi und kein Befürworter der amerikanischen Kryptopolitik.
Für David Aaron, den amerikanischen Sondergesandten für Kryptographie, war dies ein Grund, Mosdorf zum Abendessen zu empfangen, um ihn über "die Wahrheit der amerikanischen Verschlüsselungspolitik" aufzuklären. Die amerikanischen Hardliner mit Vizepräsident Al Gore an der Spitze versuchen, Druck auszuüben. Ihr Ziel: Die Unterzeichnerstaaten des Wassenaar-Abkommens sollen ihre Entscheidung revidieren, Public-Domain-Software von der Exportkontrolle zu befreien.
Der Grund dafür liegt auf der Hand: Wenn Firmen oder Privatleute dazu übergehen, Nachrichten nicht mehr unverschlüsselt via Telefon und Fax zu übertragen, sondern verschlüsselte E-Mails austauschen, sinkt die Effizienz des amerikanischen Abhörsystems "Echelon". Dieses Spionagenetz, das Kanada, Großbritannien, Neuseeland und Australien mit tragen, existiert seit nunmehr 50 Jahren. Es wird vom US-Geheimdienst National Security Agency (NSA, http://www.nsa.gov) betrieben.
Nach einem im Frühjahr 1998 vorgestellten Bericht der EU-Kommission durchforstet Echelon jede Minute mehrere Millionen Telefonate, E-Mails, Faxe und Telexe nach Stichwörtern und fängt "interessante" Mitteilungen ab. Ziele sind Organisationen, Unternehmen, Regierungen und Privatpersonen. Laut EU zapft Echelon auch die 25 Intelsat-Kommunikationssatelliten an, über die rund 90 Prozent aller Telefonate laufen.
Die Bundesregierung unter Kanzler Gerhard Schröder prüft derzeit, ob und welcher Sicherheitsbedarf durch die breite Nutzung der Informations- und Verschlüsselungstechniken entsteht und welche Maßnahmen erforderlich sind. In Wien, wo im vergangenen November eine Konferenz zur Verabschiedung einer sogenannten "General Software Note" stattfand, widersetzte sich die Schröder-Regierung erfolgreich dem Ansinnen der USA, den Zugriff von Polizeibehörden auf verschlüsselte Daten im Wassenaar-Abkommen zu verankern.
Unter Federführung des BMWi ist jetzt ein Aktionsprogramm geplant, das unter anderem der "Förderung des Einsatzes kryptographischer Verfahren zum Schutz der Vertraulichkeit der elektronischen Kommunikation von Bürgern und Unternehmen" angemessen Rechnung tragen soll. Obwohl die Bundesregierung festgelegt hat, daß die Kompetenz in Sachen Kryptopolitik bei Bundeswirtschaftsminister Müller liegt, ist noch offen, welche Position der Nachfolger von Manfred Kanther im Bundesinnenministerium vertritt. Otto Schily gibt sich zum einen in Internet-Fragen bedeckt, andererseits bespricht er sich mit dem amerikanischen Kryptoexperten Aaron.
US-Regierung favorisiert Key-Recovery-Verfahren
Als Handelsreisender in Sachen Verschlüsselungspolitik hatte Aaron im letzten Jahr ausreichend Gelegenheit, mit führenden Wirtschaftsvertretern aus aller Welt zusammenzutreffen. Die wiesen ihn meist eindringlich auf die Bedeutung von Verschlüsselungsverfahren für die Zukunft ihrer Unternehmen und die Sicherung des elektronischen Handels hin. Die US-Regierung, so Aaron, bekenne sich zwar zu den Interessen der Unternehmen, gleichwohl berge starke Verschlüsselung auch ernste Gefahren für die öffentliche Sicherheit: "Kryptographie verhindert nicht nur die gerichtlich autorisierte Überwachung, sondern auch gesetzmäßige Durchsuchungen und die Beschlagnahme von Computern mitsamt ihrer Dateien."
Dem müsse man mit aller Entschiedenheit entgegenwirken, zumal das amerikanische Verteidigungsministerium und die Drogenbekämpfungsbehörden Beweise dafür hätten, daß Kriminelle verstärkt Verschlüsselungsverfahren einsetzen. Die Antwort liege in Kryptosystemen, die "vertrauenswürdige Sicherheitsdienste mit Technologien verbinden, welche bei verschlüsselten Daten und Mitteilungen die Wiederherstellung des Klartextes im Rahmen einer gerichtlichen Verfügung zulassen". Dazu gehöre, "die Entwicklung von Key-Recovery-Produkten zu fördern, indem wir unsere Bestimmungen für solche Produkte lockern".
Das aber steht in krassem Widerspruch zu den Vorstellungen von Bundeswirtschaftsminister Müller, der das Thema Key Recovery zunächst einmal vom Tisch bürstete. Eine Entscheidung, die David Aaron schmerzt, denn um "Mißverständnisse zu beseitigen", wird der Kryptoexperte nicht müde, die amerikanische Key-Recovery-Politik zu erläu-tern. Niemals habe man verlangt, daß Schlüssel bei einem Dritten oder gar bei der US-Regierung hinterlegt werden müßten. Außerdem habe man erst vor kurzer Zeit die staatliche Überprüfung der Key-Recovery-Agenten abgeschafft. "Es interessiert uns überhaupt nicht, bei wem Sie die Schlüssel hinterlegen."
Große Worte, die aber wenig überzeugen. Denn die amerikanische Regierung hält hartnäckig daran fest, daß der Staat prinzipiell und in jedem einzelnen Fall elektronisch übermittelte Nachrichten in letzter Distanz überprüfen können muß. Dies zeigt unter anderem die Tatsache, daß das amerikanische Wirtschaftsministerium einen Beratungsausschuß ins Leben gerufen hat, der einen Standard für die Key Recovery ausarbeitet. Das "Technical Advisory Committee" veröffent- lichte Ende Januar einen Bericht zu Key Recovery, der unter http://csrc.ncsl.nist.gov/tacd fipsfkmi/finalrpt.pdf abgerufen werden kann.
In den nächsten Monaten wird sich zeigen, inwieweit die Schröder-Regierung ihre Autonomie in der Kryptopolitik bewahren kann oder dem Druck der USA nachgibt. Auf dem Schreibtisch von Bundesjustizministerin Herta Däubler-Gmelin stapeln sich seit einigen Wochen Unterlagen zum Thema Verschlüsselung. Darunter befindet sich auch ein Gutachten, das auf die Verfassungswidrigkeit einer staatlichen Regulierung von Kryptographieprodukten hinweist. Begründung: Da der Staat offen erklärt, den Bürger in der Informationsgesellschaft vor manchen Dingen nicht mehr so schützen zu können, wie man es in der Vergangenheit gewohnt war, könne er ihm nicht gleichzeitig das Recht nehmen, sich selbst zu schützen. (re)