Charta zur Stärkung der vertrauenswürdigen Kommunikation

Im Rahmen des nationalen IT-Gipfels haben heute Vertreter der Regierung und der deutschen IT-Wirtschaft die „Charta zur Stärkung der vertrauenswürdigen Kommunikation“ unterschrieben, mit der sie sich klar für die Förderung der „Ende-zu-Ende-Verschlüsselung (im Sinne einer Verschlüsselung übertragener Daten über alle Übertragungsstationen hinweg)“ aussprechen. Neben Bundesinnenminister de Maizière sowie den Präsidenten des BSI, des Lobbyvereins „Deutschland sicher im Netz“, des Fraunhofer SIT und der Gesellschaft für Informatik sind die Chefs der folgenden fünf IT-Unternehmen beteiligt: die Bundesdruckerei (vor allem mit ihrer Tochter D-Trust), 1&1 Mail&Media als Anbieter von web.de und gmx.de, der Sicherheitsanbieter genua, die im Bereich E-Government und E-Justiz umtriebige Governikus KG und schließlich die Telekom.

Die Charta greift den Anspruch der Digitalen Agenda auf, Deutschland zum „Verschlüsselungs-Standort Nr. 1 auf der Welt“ zu machen, und nennt acht Bekenntnisse, die helfen sollen, dieses Ziel zu erreichen: das Bekenntnnis zur Bedeutung des Themas, zur Schaffung des notwendigen Bewusstseins, zur Einfachheit, zur Technologieneutralität  / Aktualität / Standardkonformität, zu Transparenz und Vertrauenswürdigkeit, zur Innovation, zu Security made in Germany/Europe sowie zur Offenheit.

Golem weist in seinem Beitrag zutreffend darauf hin, dass dieses deutliche Engagement de Maizières in einem gewissen Widerspruch stehe zu seinem bisherigen Bemühen, starke Verschlüsselung zugunsten seiner so genannten Sicherheitsbehörden zu schwächen. Das sind auch diejenigen, die zusammen mit dem BSI eine Ende-zu-Ende-Verschlüsselung der De-Mail verhindert haben, mit dem Argument, eine solche sei nicht nutzerfreundlich zu implementieren. (Was nicht stimmt.) Denn sie verhindert eine flächendeckende Überwachung der elektronischen Kommunikation – bzw. zwingt die so genannten Sicherheitsbehörden, auf den „Bundestrojaner“ und andere Hacking-Methoden auszuweichen, genannt „Quellen-TKÜ“.

So begrüßenswert der Schritt und das klare Bekenntnis zu einer Förderung der Ende-zu-Ende-Verschlüsselung damit auch sind: die Charta lässt bei genauem Lesen doch Wünsche offen. So heißt es etwa:

Bekenntnis zur Einfachheit:
Wir befördern intensiv die Nutzerfreundlichkeit der angebotenen Lösungen und Produkte (z.B. als einfacher Opt-In-Mechanismus, d.h. als im System bereits umgesetzte, aber durch den Nutzer zu aktivierende Option und einfache und kostengünstige Beziehbarkeit von Schlüsselmaterial).

Es wäre schöner, wenn Verschlüsselung nicht Opt-In, sondern gewissermaßen Opt-Out wäre, eine Standardeinstellung wie der Sicherheitsgurt im Auto. Bei Apples iMessage etwa ist das so.

Und:

Bekenntnis zur Transparenz und Vertrauenswürdigkeit: Wir befördern die Vertrauenswürdigkeit und Transparenz der angebotenen Lösungen intensiv durch Zertifizierungen und/oder Herstellererklärungen und legen verwendete kryptographische Mechanismen der relevanten Produkte / Systeme offen.

Anders als der CCC etwa in seiner Stellungnahme zum IT-Sicherheitsgesetz zu Recht forderte, bekennen sich die Unterzeichner (darunter das BSI als Anbieter von im Wesentlichen: Zertifikaten) nicht für eine wirklich Transparenz und Vertrauen schaffende Offenlegung. Das Publikum soll sich auf „Zertifizierungen und/oder Herstellererklärungen“ verlassen und darauf, dass die „kryptographische Mechanismen der relevanten Produkte / Systeme“ korrekt implementiert sind. Denn nur diese „Mechanismen“ sollen offengelegt werden, ihr Zusammenspiel mit den anderen Komponenten „der relevanten Produkte / Systeme“ nicht.

Und schließlich:

Bekenntnis zu Security made in Germany/ Europe:
Wir werden alle wesentlichen Sicherheitsfunktionen in Deutschland oder im europäischen Verbund bereitstellen und betreiben. Wir verpflichten uns, vertrauliche Informationen von oder über unsere Kunden in keiner Weise zugänglich zu machen, sofern dem nicht Offenlegungspflichten nach deutschem bzw. europäischem Recht entgegenstehen.

Hierzu nur Folgendes: Der BND ist deutsch und wie der GCHQ europäisch. Dass sie sich an die deutschen bzw. europäischen Gesetze halten, ist wohl nur ein frommer Wunsch.