Betreff: Cybersicherheitsstrategie 2021
19. Juni 2021Update: Inzwischen ist ein offener Brief an die Bundesregierung publiziert worden, den u.a. der Chaos Computer Club, Digitalcourage e.V., Digitale Gesellschaft e.V., eco Verband der Internetwirtschaft, Reporter ohne Grenzen sowie Wikimedia Deutschland unterzeichnet haben (Bericht in der Süddeutschen Zeitung).
Die Gesellschaft für Informatik (GI) hat in dieser Woche eine Stellungnahme zum Entwurf für die »Cybersicherheitsstrategie 2021« (Stand: 10.06.2021) des Bundesministeriums des Inneren, für Bau und Heimat veröffentlicht. Diese soll noch vor der Bundestagswahl verabschiedet werden. In ihrer Stellungnahme kritisiert die GI neben der überaus kurz bemessenen Frist zur Kommentierung vor allen Dingen Kapitel 8.3.9 des Strategiepapiers, das mit dem Titel »Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung gewährleisten« überschrieben ist:
»Mit Verweis auf die aktuelle Forschung im Bereich IT-Sicherheit lehnen wir die Formulierung ›Sicherheit trotz Verschlüsselung‹ als irreführend ab. Wie im selben Dokument unter 8.1.9 bemerkt, stellt Verschlüsselung die ›Voraussetzung eines souveränen und selbstbestimmten Handelns‹ dar und sollte daher auch nicht zu Gunsten anderer rechtmäßiger Ziele untergraben werden.
Eine absichtliche oder gar gesetzlich vorgeschriebene Schwächung von Sicherheitstechnologien zugunsten einer staatlichen Eingriffsmöglichkeit ist erstens nicht kontrollierbar, d.h. es darf davon ausgegangen werden, dass derartige ›Hintertüren‹ auch zu nicht legitimen Zwecken (Industriespionage, Ausspähen von Berufsgeheimnisträgern) von Privatpersonen und ggf. sogar Regierungen ausgenutzt werden können.
Zweitens führt insbesondere die Schwächung von kryptographischen Verfahren, die Grundlage der Verschlüsselung sind, zu einem Verlust an Integrität, Zurechenbarkeit und Unabstreitbarkeit, was zu einem gravierenden Verlust an Vertrauen in die digitale Kommunikation generell führen wird und nicht vereinbar ist mit dem Ziel, bis 2022 staatliche Verwaltungsleistungen im Kontext des Onlinezugangsgesetzes (OZG) den Bürgerinnen und Bürgern sicher und zuverlässig anzubieten.
Drittens ist es ungeachtet einer etwaigen staatlich angeordneten Schwächung von Verschlüsselung technisch heute unkompliziert und sehr unauffällig möglich, zusätzlich starke Verschlüsselung einzusetzen oder gar auf sogenannte steganographische Verfahren auszuweichen, welche nicht nur den Inhalt einer geheimen Nachricht, sondern sogar deren Existenz verschleiern […]. Eine staatliche Regulierung von Verschlüsselung würde Anreize zur Weiterentwicklung solcher Schutztechniken bis hin zu deren Integration in Messenger-Apps und vergleichbare Kommunikationsmittel setzen.«