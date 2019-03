Die Konzepte zur Nutzung von Cloud-Diensten, digitaler Geschäftsabwicklung wie Online-Shopping und gesetzlichen Anforderungen zum Schutz der Beteiligten (z.B. DSGVO) basieren komplett auf dem wirksamen Funktionieren von Verschlüsselungstechnologie. Mit dem Einsatz von Quantencomputern wird dieses Paradigma eingerissen und die Fundamente der digitalen Welt erschüttert. Was sollten wir nun tun?

Die gute Nachricht ist, dass sich immer mehr Verbraucher für den Schutz ihrer Daten interessieren und einsetzen. Dadurch müssen Geschäftsmodelle sich den europäischen Anforderungen an Datenschutz anpassen. Selbst in den USA fangen Unternehmen an der einen oder anderen Stelle an, sich an europäischen Werten zu orientieren. Konzerne wie Apple positionieren sich über das Thema Privatheit und den Schutz der eigenen Daten.

Die schlechte Nachricht ist, dass es beim Thema Privatheit und Datenschutz so viele Facetten gibt, dass das Finden einer einheitlichen Linie schwierig ist und Verbraucher ohne eine Orientierungshilfe verloren sind. Und was nützen uns europäische Gesetze, wenn Verbraucher amerikanische, russische oder chinesische Apps und Webseiten nutzen, für die andere Gesetze gelten; oder wenn sich die Unternehmen nicht an irgendwelche Gesetze halten?

Verschlüsselung: Technologie-Basis für Schutz

Grundlage dieser Diskussionen und Entwicklungen ist, dass wir heute davon ausgehen Daten durch Technologie schützen zu können: Durch Verschlüsselung.

Verschlüsselung ermöglicht zum einen, dass sich zwei Kommunikationspartner in sicherer Form über ein unsicheres Kommunikationsmedium (das Internet) unterhalten können. Das ist die Idee von Kommunikation via iMessage, verschlüsselter Email, Whatsapp oder Skype.

Zum anderen ermöglicht Verschlüsselung die Verarbeitung meiner vertraulichen Daten durch einen Dienstleister, ohne dass dieser Anbieter meine Daten lesen kann. Das ist der Ansatz von Cloud-Speicherdiensten wie AWS, Azure, Dropbox oder Onedrive.

Wie funktioniert Verschlüsselung?

Ein wenig Verschlüsselung-Technik: Die heute üblichen asymmetrische Verschlüsselungs-Verfahren arbeiten mit öffentlichen (Public-Key-Systeme) und privaten Schlüsseln. Die Sicherheit dieser Schlüssel z.B. beim RSA-Verfahren wird durch die Multiplikation von großen Primzahlen erzeugt.

Schon 1994 hat Peter Shor ein Verfahren für Quantencomputer vorgestellt, mit dem die Zerlegung (Faktorisierung) der Schlüssel in Primzahlen in einem Bruchteil der Zeit erledigt werden kann, die es bei heutigen Rechnern bedarf. Damit sind alle Verschlüsselungsverfahren auf Basis von Primzahl Zerlegung als nicht mehr sicher einzustufen.

Ein etwas besseres Ranking haben symmetrische Verfahren wie AES (Advanced Encryption Standard) und SHA (Secure Hash Algorithm). Bei diesen ist die Zeitersparnis durch die brutale Angriffsgewalt von Quantenrechnern deutlich geringer als bei asymmetrischen Verfahren. Aber auch für diese Verschlüsselungsverfahren wird die benötigte Zeit zum Knacken der Schlüssel durch Quantencomputer deutlich reduziert.

Es ist davon auszugehen, dass staatliche Stellen bereits heute Zugriff auf schlüsselbrechende Technologie haben. Auch der deutsche Staat will den Anschluss nicht verpassen. Verschlüsselung galt als die Antwort auf die durch die Snowden Affäre aufgedeckten staatlichen Übergriffe auf unsere Privatheit. Quantencomputer machen die meisten dieser Schutzmechanismen jedoch wieder zunichte.

Trügerische Sicherheit auf Zeit

Interessant wird es, wenn man sich anschaut, dass WhatsApp die Nachrichten zwar seit einiger Zeit Ende-zu-Ende verschlüsselt, aber als Verfahren auf RSA vertraut. Apple setzt für seine iMessage Nachrichten zwar auf AES als Verschlüsselungsverfahren. Aber mit Einsatz von 128bit AES ist klar, dass die Quanten-Technologie in naher Zukunft einen erfolgreichen Angriff auf diese Inhalte ermöglichen wird.

Die Brisanz der drohenden Entschlüsselung verstehen wir, wenn wir uns bewusst machen, dass eine heute wirksame Technologie, die "erst morgen" geknackt wird, uns letztlich keinen Schutz bietet. Denn es bedeutet, dass Daten, die heute in verschlüsselter Form in die falschen Hände gelangen, morgen mit Hilfe von Quantencomputern entschlüsselt werden können. So werden meine Krankenakte oder meine Bankdaten, die heute in vermeintlich sicherer Form von einem Rechenzentrum in ein anderes übertragen und dabei über einen Internetknotenpunkt mitgeschnitten werden, in fünf Jahren mühelos entschlüsselt und gelesen werden können.

Warum die gesetzlichen Vorschriften nicht zum Ziel führen

Die DSGVO basiert damit auf einem völlig falschen Sicherheitsverständnis. Sie zwingt Anbieter zur Verschlüsselung und wiegt damit alle in Sicherheit. Die DSGVO nennt in Art. 32 Abs. 1 Verschlüsselung als Maßnahme, um das vom Gesetz geforderte angemessenes Schutzniveau umzusetzen.

Noch bedenklicher wird es bei Berufsgeheimnisträgern wie Anwälten, Notaren, Wirtschaftsprüfern und Steuerberatern. Von diesen verlangt der Ende 2017 neugefasste § 203 des Strafgesetzbuches, Informationen durch Verschlüsselung zu schützen. Bei Verstößen drohen nicht nur Bußgelder, sondern sogar Gefängnisstrafen.

Ebenso ergeht es Ärzten und Apothekern: sie unterliegen dem E-Health-Gesetz, welches explizit Verschlüsselung als Technologie einfordert. Auch die Betreiber kritischer Infrastrukturen werden mit dem IT-Sicherheitsgesetz zum Einsatz von Verschlüsselungstechnologie gezwungen.

Wir unterliegen damit aktuell der Illusion, dass sich Sicherheit mit Verschlüsselungs-Technologie erzeugen lässt.

Was wir brauchen, ist eine neue juristische Betrachtung von Daten

Wenn wir diese Prämisse aufgeben, könnten wir zu ganz anderen Ergebnissen kommen: Weniger Technologie-gläubig könnten wir Vertrauen zum Maßstab von Sicherheit machen. Oder wir könnten den einfachen Besitz von nicht rechtmäßig erfassten Daten zur Straftat erklären - ähnlich wie wir es beim dinglichen Eigentum juristisch vor vielen Jahren gemacht haben.

Juristen machen es sich mit Daten seit vielen Jahren sehr einfach: Sie behandeln sie wie Dinge. Dabei lassen sich Autos und Häuser nicht verlustfrei kopieren, Daten aber wohl. Eine Novelle des Datenbegriffs hierzu ist zum Schutz unserer Datensouveränität dringend erforderlich.

Denn unterm Strich geht es immer darum, was jemand mit Daten macht. Es geht heute nicht mehr darum, ob es meine oder Deine Daten sind, sondern darum, ob diese Daten mich betreffen - oder eine Beziehung zwischen mir oder einem anderen Subjekt oder Objekt herstellen. Dieser Gedanke ist ein ganz anderer als der Ansatz, ob die Daten sich in meinem oder Deinem Besitz befinden.

Leider hält uns die vermeintliche Sicherheit durch Datenschutz-Gesetze und Verschlüsselungs-Technologie von dieser viel wichtigeren Diskussion ab.