Stellungnahme des Chaos Computer Club e.V. zur Öffentlichen Anhörung am 12. Mai 1997 "Datensicherheit" der Enquete-Kommission "Informationsgesellschaft" des Deutschen Bundestages

I. Einführung / Überblick: Datensicherheit- und schutz in der Informationsgesellschaft

Welche Gefährdungspotentiale sehen Sie unter dem Aspekt der Datensicherheit und des Datenschutzes in dieser Entwicklung liegen?

Als Gefährdungspotential ist vor allem die Entstehung von Datenspuren und Nutzerprofilen durch die Inanspruchnahme von elektronischen Diensten zu nennen, die auch ohne entsprechende (z.B. Vermarktungs-)Absichten entstehen und zu Mißbrauch geradezu einladen. Die zunehmende Bedeutung digitaler Daten für das reale Leben birgt zudem enorme Gefährdungspotentiale durch Störungen sowie Fälschbarkeit und Erpressbarkeit. Datensicherheit bleibt in Perfektion eine Illussion und ist als solche zu behandeln.

Welchen spezifizischen Gefährdungen wird der Bürger, werden Wirtschaft und die Politik ausgesetzt?

Bürger: Manipulation von Verhalten (z.B. Kaufentscheidungen) aufgrund von elektronisch ermittelten Merkmalen (z.B. Nutzerprofilen, angefallen bei der Benutzung elektronischer Zahlungsmittel) durch Wirtschafts- oder sonstige Unternehmungen (Sekten). Einschränkungen individueller Aktivitäten (z.B. politische Meinungsäußerung) durch Ängste vor entsprechender Registrierung / Speicherung und späteren Nachteilen (z.B. Bewerbung um Arbeitsplatz) und Verlust von Handlungsoptionen aufgrund mangelnder Kenntnisse der Werkzeughandhabung (EDV-Bildungsnotstand). Entfremdung vom "Staatsgebilde" durch dominante negative Assoziationen durch übermäßige Befugnisse von staatlichen Stellen (insb. Geheimdienste) zur Erforschung / Speicherung von elektronischen Aktivitäten.

Wirtschaft: Abhängigkeit von Technologie und Infrastruktur, die nur eingeschränkt im eigenen Wirkungsbereich eines Unternehmens steht. Einschränkung technisch möglicher Sicherungsmaßnahmen durch politische Vorgaben (z.B. Kryptoreglementierung, Schaffung unkontrollierbarer Schnittstellen). Fehlorientierung an vermeintlichen Hauptzielgruppe durch fehlerhafte Datenauswertung.

Politik: Verlust aktiver Eingriffsmöglichkeiten und Herbeiführung demokratischer Entscheidung durch Dominanz wirtschaftlichen Treibens und akute Defizite in der Gewährung demokratischer Zustände in den Netzwerken. Gesichtsverlust durch fatale Versuche "Kontrolle" auszuüben (siehe z.B. Generalbundesanwaltschaft vs. "Radikal" im Falle des DFN e.V. gegen den holländischen Provider XS4ALL) anstelle sinnvoller Versuche am Netzgeschehen teilzunehmen. Manipulation der öffentlichen Meinung durch Dominanz von wirtschaftlichen Medienunternehmen in elektronischen Medien.

Allgemein: Verlust der Urteilsfähigkeit aufgrund komplexer technischen Entwicklung und im Resultat damit verbundener fehlender Nachvollziehbarkeit.

Welche neuen Gefährdungen ergeben sich für die äußere und innere Sicherheit?

Äußere Sicherheit: Wirtschafts- und Regierungsspionage, elektronische und informationelle Angriffe auf entscheidende Infrastrukturen ("informationelle Kriegsführung").

Innere Sicherheit: Abhängigkeit von einer Technologie, deren Funktionsweise nur noch eine Minderheit versteht und dadurch Handlungsräume einschränkt; Verlust von (demokratischen) Gestaltungsmöglichkeiten durch wirtschaftliche Dominanz der Infrastrukturbetreiber. Verlust öffentlich rechtlich gewährleisteter Strukturen bei der Verlagerung von Lebensbereichen in elektronische Netze.

Welche Parallelen und welche Konflikte ergeben sich zwischen Datensicherheit und Datenschutz?

Parallel: Versuch eines kontrollierten Informationsflusses, insb. Abschottung gegen unbefugte Dritte.

Konflikte: Informationelles Selbstbestimmungsrecht des Benutzers (Datenschutz) vs. Protokollierungsfunktionen und Anlegung von Datenspuren als Maßnahme zur Nachvollziehbarkeit von Mißbräuchen (Sicherheit).

Für welche Anwendungen und Nutzergruppen ist ein Höchstmaß an Datensicherheit (incl. Datenschutz) unerläßlich im Sinne einer zügigen Diensteanbietung und für welche sind sehr hohe Sicherheitsanfor- derungen weniger wichtig?

Für jeden Nutzer, der aus seiner Sicht eine sichere (integre, private) Kommunikation durchführen will. Klassische Sicherheitsaspekte der Integrität, Vertraulichkeit, Verfügbarkeit, Verbindlichkeit und Authentizität sind zunehmend allgemein gewünschte Merkmale von Kommunikationsprozessen. Sichere Kommunikation ist Vorraussetzung für wirtschaftliche und behördliche Netzteilnahme.

Welche Aspekte der Datensicherheit bedürfen internationaler Konsensbildung und Regelungsvereinbarungen?

Einführung rechtsverbindlicher digitaler Signaturen und Währungen sollten aus Gründen der Zukunftskompatibilität ausschließlich auf internationaler Ebene geregelt werden.

Eine internationale Kennzeichnungspflicht für Produkte, deren Sicherheit aus politischen Gründen eingeschränkt ist (z.B. aufgrund der US-Exportrestriktionen) wäre sinnvoll.

Sonstigte Belange (Standarts) werden ohnehin schon in internationalen Gremien konsensual vereinbart.

II. Technische Möglichkeiten der Datensicherung

Welche technischen Möglichkeiten der Datensicherung und des Datenschutzes stellen sich zur Zeit dar? Wie sicher sind diese Verfahren?

Datensicherung: Bei der meist (z.B. im Internet) zu berücksichtigen unsicheren Infrastruktur und der Aufgabenstellung, hierauf sichere Applikationen zu entwickeln eigentlich nur kryptographische Verfahren (Verschlüsselung, Authen- tisierung, Authorisierung, geheimes Rechnen, elektronische Wahlen...).

Datenschutz: Anonymisierungsinstanzen (z.B. Remailer) gewähren nur bedingt nachvollziehbaren Datenschutz (z.B. Betrieb anonymer Remailer durch den US-Behörden). Viele Client-Programme (z.B. Browser) erlauben bei entsprechender Konfiguration das Auslesen persönlicher Daten ohne, daß dies vom Benutzer nachvollzogen werden kann.

Effektiver Datenschutz ist oft nur bei extremen Fachkenntnissen erlangbar.

III. Kryptographie

Wie können Datensicherheit einerseits und die Interessen staatlicher Sicherheits- und Strafverfolgungs- behörden andererseits miteinander vereinbart werden? (Bitte gehen Sie bei dieser Frage, wenn möglich, auch auf Lösungsstrategien anderer Länder - insbesondere in den Vereinigten Staaten - ein.)

Die Interessen von Sicherheits- und Strafverfolgungsbehörden kann ohnehin schon durch die Verfügbarkeit der Verbindungsdaten (wer mit wem wielange in Kommunikation stand) in übermäßigem Maße Rechnung getragen werden. Der Wunsch nach sicherer (existenzvorraussetzung Industrie) und vertrauensvoller Kommunikation muß Vorrang vor den Bedürfnissen sogenannter Sicherheitsbehörden" haben.

Strafverfolgungsbehörden haben sich im Zweifelsfall (und vor allem mit richterlichem Beschluß) an die Klartextdaten an den Endstellen der Kommunikation zu halten. Ohnehin ist der eingeschränkte Beweischarakter digitaler Daten zu beachten ("Dokumente des Augenscheins" mit freier Beweiswürdigung durch den Richter).

Welche Möglichkeiten existieren oder sind denkbar, um den Missbrauch von kryptographischen Verschlüsselungsverfahren durch die organisierte Kriminalität zu unterbinden?

Keine. Organisierte Kriminalität zeichnet sich ja gerade durch systematisches Übertreten von Gesetzen aus. Einsatz kryptographischer Verfahren ist im Zweifellsfall gar nicht feststellbar / nachweisbar (z.B. bei Steganographie).

Kann die Verbreitung (starker) Verschlüsselungsverfahren mittelfristig überhaupt verhindert werden?

Nein, auch nicht kurz- oder langfristig.

Welche Argumente sprechen für, welche gegen eine Beschränkung kryptographischer Verschlüsselung?

Für: Die Intention der US-amerikanischen Geheimdienste (Wirtschaftsspionage im Interesse amerikanischer Unternehmen), Zugriff auf alle durch Datennetze fließenden Daten zu erhalten hat eine Vielzahl von "Argumenten" hervorgebracht, die einer rationalen Untersuchung allerdings nicht standhalten.

Gegen: Verschlüsselung ist notwendig, um auf breiter Basis Vertrauen in elektronische Kommunikation, Transaktionen und Staatspräsenz (Verwaltung) zu etablieren und insbesondere dem Bürger auch in den elektronischen Welten eine Privatsphäre zu gewährleisten. Für Wirtschaftsunternehmen gewinnt natürlich zunehmend die Abschottung gegenüber Konkurrenten und Wirtschafts- spionage durch Geheimdienste an Bedeutung.

Nach welchen Grundsätzen sollten sich Trust-Center und ihre Dienstleistungen entwickeln?

Vertrauen kann nicht vorgeschrieben werden, sondern jeder muß sich frei entscheiden können, wem er traut. Das gilt nicht nur für den Benutzer, sondern auch für den Betreiber eines Trust-Centers. Der Erstellungsprozeß von Schlüsseln ist unabhängig vom Lagerungsprozeß des öffentlichen Schlüssels zu halten um die absolute Vertraulichkeit des geheimen Schlüssels zu gewähren. Die vier Grundschritte Schlüsselgenerierung, Personenidentifizierung, Zertifizierung und Schlüssellagerung sind personel und funktional getrennt zu halten.

Welche Kosten entstehen für den Nutzer, wenn sichere Datenkommunikation erreicht werden soll?

Bei Trennung der Zertifizierungs- und Lagerungsstrukturen öffentlicher Schlüssel sinken die Betriebskosten auf ein verträgliches Maß. Anderenfalls werden horrende Kosten nur noch von Kartellen und Monopolen getragen werden können. Gewährleistung der Unabhängigkeit sollte daher im staatlichen Interesse sein.

"Bürgertrust-Center" z.B. für öffentliche PGP-Schlüssel sind hingegen schon jetzt frei verfügbar und gewähren ebenso wie die frei verfügbare Software immerhin ein gewisses Grundmaß an Vertraulichkeit ohne vorgeschriebene rechtliche Verbindlichkeit. Die rechtliche Anerkennung kann auf freiwilliger Basis auch jetzt schon erfolgen und ist zunehmend wirtschaftliche Praxis.

IV. Digitale Signaturen

Welche technischen Verfahren der digitalen Signatur sind bisher realisiert?

Es existieren symmetrische und asymmetrische Signaturverfahren in verschiedensten Ausprängungen. Abhängig vom Verwendungzweck wird z.Zt. alles eingesetzt, was Sicherheit verspricht.

Wie sicher sind sie?

Die meisten eingesetzten Verfahren sind von der Theorie her als sicher für die jeweilige Anwendung anzusehen. Für sichere Anwendungen gibt es adäquate Verfahren. Die praktische Sicherheit hängt von der Implementation der Verfahren ab.

Sind Trust-Center als Authentifizierungsstruktur unverzichtbar?

In der Praxis sind Authorisierungs- und nicht Authentifizierungsstrukturen der dominante Anteil der benötigten Stellen.

Authentifizierungsstrukturen (eindeutige Identitätsbestätigung) können schon deswegen nur hierarchisch aufgebaut sein (Zertifikationsbaum), weil an der Spitze die Identitätsbestätigungsinstitution Staat steht (weder zu privatisieren noch Outzusourcen).

Authorisierungsstrukturen sind zentral (hierarchisch, als Baum) gar nicht praktikabel, weil Authorisierung abhängig von der Anwendung geschieht (z.B. Bank vertraut Kunde oder umgekehrt). Zertizierungsinstanzen als Authorisierungsinstanzen bilden insofern nur ein anwendungsbezogenes Vertrauensverhältniß ab und brauchen keine "generell" vertrauenswürdige Instanz darzustellen.

Von der Datei zur Urkunde - digitale Signaturen als Pendant zur rechtsverbindlichen "natürlichen" Unterschrift? Welche sicherheitstechnischen Voraussetzungen müssen noch geschaffen werden? Welche gesetzgeberischen Schritte sind noch zu leisten?

Gesetzgeberische Schritte sind nicht notwendig. Die Anerkennung eines elektronischen Dokumentes als Schriftform ist möglich, unterliegt aber weiterhin der freien Beweiswürdigung durch den Richter.

Die juristische Komplexität dieser Frage ist dargestellt in "Urkundenbeweisrecht und Elektroniktechnologie" von Dr. Jörg W. Britz, Saarbrücken Dezember 1995 / Verlag C.H. Beck ISBN 3-406-41220-3.

http://rw20hr.jura.uni-sb.de/rw20/people/jbritz.Diss/Diss.html