Derzeit lebt die Debatte um Kryptografie wieder auf, die Chiffriermethode der Steganographie macht dies jedoch obsolet
In digitalen Fotos können geheime Botschaften versteckt werden
Vor Jahresfrist verschwand sie still und leise aus der öffentlichen Diskussion: die Kryptodebatte. Nun ist sie wieder da. Konservative US-Senatoren und auch Bayerns Innenminister Günther Beckstein fordern ein Gesetz gegen allzu gute Verschlüsselungsprogramme.
Zum Ärger der Nachrichtendienste verschlüsseln immer mehr Menschen ihre elektronische Korrespondenz. E-Mails sind schließlich keine Briefe, sondern Postkarten, und an den Knotenpunkten des Internet stehen in allen industrialisierten Ländern gewaltige Datenstaubsauger, die das Netz der Netze nach relevanten Inhalten durchforsten.
Nicht immer soll es dabei nur um politische Ziele gehen. Auch Industriespionage gehört nach dem Ende des Kalten Krieges in vielen Ländern zum Geschäft der Staatsorgane. Gegen neugierige Blicke helfen Programme wie PGP (Pretty Good Privacy). Diese verwandeln Bilanzen und Liebesschwüre in ein Datenkauderwelsch, an dem sich sogar Computer mit Spezialhardware zum Codebrechen die Zähne ausbeißen.
Wer zukünftig solche Kryptoprogramme in Umlauf bringt oder einfach nur nutzt, soll Vater Staat einen Nachschlüssel überlassen. Das fordert Beckstein seit 1996. Jeder, der Verschlüsselungssoftware in den Handel bringt oder auch nur veröffentlicht, braucht dann eine Genehmigung. Und die gibt es nur, wenn zuvor ein Hintertürchen eingebaut wurde. Erlaubt wäre nur, was auch beim Staat hinterlegt wurde. Wer die oft schon vor Jahren publizierten Algorithmen abtippt und sich so seine eigene Software schreibt, beginge dann "zumindest eine Ordnungswidrigkeit", erläutert Becksteins Pressereferentin Ulrike Frowein.
In den letzten zwei Jahren der Clinton-Administration hatten US-Emissäre bundesdeutsche Politiker immer wieder zu einem Kryptogesetz gedrängt, um starke Verschlüsselungstechnik zu verbieten. Zwei Methoden bieten sich da an: die Begrenzung der Schlüssellänge und die Schlüsselhinterlegung.
Soll die Verschlüsselung als Schutz vor unberechtigtem Mitlesen überhaupt sinnvoll sein, darf der Staat sichere Verwürfelungsmethoden nicht generell verbieten. Doch jede verwürfelte Botschaft lässt sich zumindest theoretisch dechiffrieren. Dazu muss der Angreifer nur alle möglichen Schlüssel durchprobieren. Je kürzer der Schlüssel, desto weniger Arbeit muss sich der Angreifer machen. Er probiert einfach alle möglichen Kombinationen durch und liest irgendwann Klartext. Computer von Geheimdiensten, die auf das Brechen von verschlüsselten Botschaften optimiert wurden, brechen heute Codes, die noch vor 20 Jahren als absolut sicher galten.
In Produkten von Microsoft und in Lotus Notes werden Codes verwendet, die schützenswerte Nachrichten anhand eines ausreichend langen Schlüssels verwürfeln. Dieser besteht jedoch aus zwei Teilen. Eine Hälfte wird zufällig gewählt, die andere Hälfte beim Geheimdienst hinterlegt. Zumindest der eigene Dienst und seine Partner sparen so teure Rechenzeit.
Eine andere Möglichkeit ist das Key Recovery. Dabei wird ein sicheres Verschlüsselungsverfahren verwendet. An einem verschwiegenen Ort befindet sich jedoch ein Nachschlüssel. Die USA wollten den auf Key Recovery beruhenden Escrowed Encryption Standard (EES) weltweit zum Schutz von Telefonleitungen und E-Mails durchsetzen. Wegen der sehr großen Anzahl von zu verwaltenden Schlüsseln ist das Verfahren höchst umstritten.
Im Zuge einer großen Kryptoliberalisierung in den USA ließ man im Mai 2000 von dem Vorhaben ab, EES in den USA zwingend vorzuschreiben. Nach den Terroranschlägen in New York war es der republikanische Senator Judd Gregg, der die Diskussion um ein Kryptoverbot neu entfachte. Und es folgten Taten. Die Sicherheitsbehörden installierten inzwischen bei allen Internet-Anbietern Monitorprogramme, um E-Mails und das Verhalten im Internet zurückverfolgen zu können.
"Auch in Deutschland wird die Überwachung verstärkt", glaubt Andreas Lamm, Manager bei Europas größtem Anbieter für Sicherheitslösungen, Articon Integralis, "denn noch in diesem Jahr tritt die neue Telekommunikations-Überwachungsverordnung in Kraft". Alle Provider müssen Schnittstellen zu den Sicherheitsbehörden schaffen und Verbindungsdaten online verfügbar halten.
Von einer neuen Kryptodebatte hält Andreas Lamm nichts. Denn "ohne Vertrauen gibt es keinen Markt", der sich gerade zaghaft entwickelnde E-Commerce-Sektor könnte schnell in Verruf geraten, wenn der Staat jeden Einkauf und jede Überweisung mitverfolgen würde. In seltener Einmut streitet der Informations- und Telekommunikationsverband Bitkom und der Chaos Computer Club gegen die neue Gesetzteslage. "Von einem Verbot wären viele Hersteller direkt betroffen", sagt Stefan Grosse, Referent für IT-Sicherheit der Bitkom, dem Bundesverband der Informations- und Kommunikationsindustrie.
Durch ein Verbot von wirkungsvoller Verschlüsselung, so Grosse, "werden keine Straftaten verhindert", denn warum sollten sich ausgerechnet Kriminelle und Terroristen an Gesetze halten. Die entsprechenden Programme gibt es ohnehin längst, und die zu Grunde liegenden mathematischen Verfahren sind in Tausenden von Fachartikeln veröffentlicht. Bei einem Verbot könne sich die Industrie nicht mehr wirkungsvoll gegen Wirtschaftsspionage schützen. Der Bitkom wehrt sich daher vehement gegen mögliche Beschneidungen der deutschen Kryptofreiheit.
Das Bonner Bundesamt für Sicherheit in der Informationstechnik rät nach wie vor allen Industrieunternehmen zum Verschlüsseln. Zu frisch ist die Erinnerung an Milliardenschäden durch ein unverschlüsseltes Fax beim Verkauf des Hochgeschwindigkeitszuges an Korea oder an die VW-Lopez-Affäre, die auf eine abgehörte Videokonferenz zurückgeht. Als nachgeordnete Behörde des Innenministeriums möchte man aber zur neu entfachten Kryptodebatte "keine Meinung" äußern.
Doch die aktuelle Diskussion scheint längst vom technischen Fortschritt in Gestalt der Steganographie überollt zu werden. Bei dieser Methode werden Texte in Bildern gespeichert, ohne dass Veränderungen sichtbar werden. Ein von drei deutschen Schülern entwickeltes steganographisches Kryptoprogramm wurde inzwischen von der Frankfurter Firma Steganos weltweit 1,5 Millionen Mal vermarktet. Mitarbeiter der kleinen Firma können sich an den Besuch eines CIA-Mitarbeiters auf der Cebit in Hannover erinnern, der um einen Generalschlüssel für die Codierungssoftware bat. "Doch den gibt es eben nicht", behauptet Steganos-Mitgründer Gabriel Yoran. Wer das Passwort vergisst, besitzt einfach nur noch Datensalat, gut versteckt in einem mehr oder weniger ansprechenden Bild.
Gruß Kostolmoney
