Verschlüsselung statt Ausspähung – Teletrust unterstützt Initiative gegen Mitwirkungspflichten
Der Bundesverband IT-Sicherheit (Teletrust) unterstützt gemeinsam mit anderen Verbänden und Unternehmen eine konzertierte Initiative gegen die geplante Mitwirkungspflicht für Kommunikationsdienste bei staatlicher Überwachung und gegen die gezielte Schwächung von Verschlüsselung. Unterzeichner sind neben Teletrust unter anderem der Bundesverband IT-Mittelstand, Facebook und Google.
Mit Blick auf das anstehende „Gesetz zur Anpassung des Verfassungsschutzrechts“ wenden sich Fachkreise gegen eine Ausweitung staatlicher Überwachung und die Schwächung verschlüsselter Kommunikation von Nutzern digitaler Dienste wie E-Mail, VoiP oder Messenger-Anwendungen. Unter der Federführung von Facebook Deutschland wurde anlässlich der für den 14.05.2021 angesetzten Expertenanhörung im BT-Innenausschuss ein detailliertes Schreiben an Mitglieder des Deutschen Bundestages bzw. die Bundesregierung übersandt.
Dabei geht es insbesondere um vorgesehene Mitwirkungspflichten für Unternehmen bei der Implementierung von Überwachungsmaßnahmen der Nachrichtendienste und Sicherheitsbehörden. Aus Sicht der Unterzeichner sind Folgewirkungen gravierend für die Cybersicherheit in Deutschland. Beispielsweise drohten nicht nur ernste Gefahren für die sichere Kommunikation zwischen Journalistinnen und Journalisten mit ihren Quellen – verschlüsselte Kommunikation sei oftmals auch das einzige Mittel für zivilgesellschaftliche Organisationen, um mit besonders Schutzbedürftigen in Verbindung zu treten.
Zu weitgehend, zu unklar
Bedenken und Kritik richten sich gegen die weite und unklare Fassung der Mitwirkungspflicht, wonach ausdrücklich alle Telekommunikationsdienste – was auch Messenger und E-Mail umfasst – Nachrichtendienste bei der Realisierung von Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) unterstützen sollen. So könnten zukünftig Messenger-Dienste wie beispielsweise Threema, Signal oder Whats App, aber auch E-Mail- oder Videokonferenzdienste je nach Gesetzesauslegung mit Anfragen und dem Verlangen von Sicherheitsbehörden konfrontiert werden, Schadsoftware auf den Endgeräten der Nutzer zu platzieren. Anbieter müssten potentielle Sicherheitslücken vorhalten.
Die Kenntnis darüber könnte fremden Nachrichtendiensten oder Cyberkriminellen nützlich sein, so die Initiative. Damit konterkariere die Anpassung des Verfassungsschutzrechts auch die erst kürzlich verabschiedete Novelle des IT-Sicherheitsgesetzes (ITSIG 2.0) und das Datenschutzrecht allgemein, denn einerseits sollen Anbieter größtmögliche Vertraulichkeit und Datensicherheit gewährleisten, andererseits könnten sie zur Mitwirkung bei der Schwächung IT-Sicherheit zum Zwecke staatlicher Ausspähung verpflichtet werden.
Sichere Verschlüsselung sei darüber hinaus ein bedeutsamer Wirtschaftsfaktor. Für viele IT-Unternehmen sei das Angebot sicherer und verschlüsselter Kommunikation (insbesondere mittels Technologie „Made in Germany“ und „made in the EU“) auch ein wichtiges und wachsendes Geschäftsfeld. Sollten aufstrebende Unternehmen künftig dazu verpflichtet werden können, Behörden Zugang zur Kommunikation ihrer eigenen Geschäftskreise zu gewähren, werde dies zu einem Vertrauensverlust gegenüber einer ganzen Zukunftsbranche führen. Die Vorhaben der Bundesregierung seien damit vor allem auch schädlich für die Innovationskraft der hiesigen Digitalwirtschaft.
Sicherheit und Vertrauen online schützen – Forderungen der Initiative
- Keine weiteren gesetzlichen Maßnahmen, die eine Schwächung oder das Brechen von Verschlüsselung zur Folge hätten.
- Bei der Reform des Bundesverfassungsschutzrechts auf Mitwirkungspflicht für Unternehmen verzichten, die Unternehmen zum verlängerten Arm der Nachrichtendienste machen und die Cybersicherheit erheblich gefährden.
- Keine eilige Anpassung des Verfassungsschutzrechts im parlamentarischen Verfahren, sondern Einbeziehung der Wirtschaft und Zivilgesellschaft.