Mythos Ende-zu-Ende-Verschlüsselung

Immer wieder lese ich Sätze wie Ende-zu-Ende-Verschlüsselung ist inzwischen der anerkannte Mindeststandard in der elektronischen Kommunikation. Ich werde versuchen, diesen Mythos zu entzaubern, denn das Schlüsselmanagement und damit die Authentifizierung des Kommunikationspartners ist überwiegend unsicher – oder zumindest außerhalb der Kontrolle des Benutzers.

Anlass über Ende-zu-Ende-Verschlüsselung nachzudenken lieferte u.a. die Datenschutzkonferenz mit ihrer unglücklichen Orientierungshilfe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail, die ich in Emailsicherheit und die Aufsichten beleuchtet habe, Experimente mit WebRTC, aber auch ganz praktisch ein neues Telefon im Freundeskreis – und keiner merkt etwas davon.

In Grundwissen Verschlüsselung versuche ich, einen Überblick über Verschlüsselung und Schlüsselmanagement zu geben. Begriffe die dort erklärt sind, wiederhole ich nicht. Man muss den Artikel aber nicht unbedingt gelesen haben.

Technik

Laut Wikipedia ist eine Ende-zu-Ende-Verschlüsselung:

Unter Ende-zu-Ende-Verschlüsselung (englisch end-to-end encryption (E2EE) versteht man die Verschlüsselung übertragener Daten über alle Übertragungsstationen hinweg. Nur die Kommunikationspartner (die jeweiligen Endpunkte der Kommunikation) können die Nachricht entschlüsseln.
...
Die Ende-zu-Ende-Verschlüsselung verhindert das Abhören der Nachricht durch alle anderen, inklusive der Telekommunikationsanbieter, Internetprovider und sogar den Anbieter der genutzten Kommunikationsdienste.

Ende-zu-Ende-Verschlüsselung, Einleitung und letzter Satz Theorie

Immerhin steht das im Theorieteil. Die Praxis sieht dann anders aus. Tatsächlich stimmt das hinsichtlich der Anbieter nur dann, wenn ich selbst die Schlüssel manage oder zumindest deren Authentizität überprüfen kann und das auch tue. Aber wer macht das schon? Wenn schon Datenschutzbeauftragte die Notwendigkeit von sicherem Schlüsselmanagement nicht verstehen?

Dass sich Ende-zu-Ende-Verschlüsselung bei Email nicht durchgesetzt hat liegt daran, dass jeder Benutzer lernen müsste, mit seinen Schlüsseln umzugehen – und die meisten Benutzer verstehen oder praktizieren es nicht wirklich. Anders sieht es bei geschlossenen Systemen aus, die mit Ende-zu-Ende werben und es dem Benutzer ganz einfach, damit aber nicht unbedingt sicher machen. In diesen geschlossenen Systemen managt der Anbieter die Schlüssel. Und auch wenn er nur die öffentlichen Schlüssel managt kann er unter Umständen diese manipulieren und einen Man-In-The-Middle in die Kommunikation einschleusen.

Dabei ist das Grundübel, dass schon gar nicht klar ist, wie bei Messengern der Kommunikationspartner identifiziert und authentifiziert wird und wie das von anderen Benutzern überprüft werden kann. Die folgenden Erkenntnisse sind nicht wissenschaftlich gesichert sondern eher ad-hoc-Erkenntnisse aus einigen wenigen Experimenten und Recherchen. Gerne nehme ich weitere, auch gegenteilige Erkenntnisse auf. Wer einen allgemeineren Vergleich von Messengern sucht, findet den in der Messenger-Matrix. Genaugenommen hinterfrage ich dort die Zeile End-to-end encryption und stelle die Frage, für was steht der Schlüssel und kann ich den Schlüssel prüfen. Ich bin dabei nicht der einzige, der Unterschied wahrnimmt. Einen entsprechenden Hinweis findet man auch im Entwurf der The Messaging Layer Security (MLS) Architecture: with the precise level depending on the system design. Das klingt sehr diplomatisch.

Beispiel WhatsApp: beim Einrichten eines neuen Telefons muss ich die alte Telefonnummer eingeben, erhalte den 6-stelligen Verifizierungscode, und kann danach wieder senden und empfangen. Meine Kommunikationspartner merken davon nichts. Wenn ich WhatsApp Encryption Overview richtig interpretiere, dann bekommt das neue Telefon auch neue Schlüssel, und für alle Kommunikationspartner ändert sich der 60-stellige Verifizierungsschlüssel. Der ändert sich aber auch schon, wenn der Partner auch nur ein neues Gerät hinzufügt, weil der 60-stellige Verifizierungsschlüssel von der Menge der Geräte beider Kommunikationspartner und nicht von der Person selbst abhängt. Daher wird ihn wohl niemand ständig überprüfen. Damit ist es wahrscheinlich, dass WhatsApp jederzeit in die Ende-zu-Ende-Verschlüsselung eingreifen und einen beliebigen neuen Schlüssel unterschieben kann, also auch jederzeit einen Man-in-the-Middle-Angriff realisieren kann, ohne dass der Anwender das bemerken wird.

Bei Signal erscheint – sofern man den Partner überhaupt verifiziert hat in der gleichen Situation die Meldung: Deine gemeinsame Sicherheitsnummer mit ... hat sich geändert, vermutlich weil dein Kontakt Signal erneut installiert oder sein Gerät gewechselt hat. Andere mögliche Ursachen werden nicht erwähnt.

Bei WhatsApp und Signal wird also beim Einrichten die Telefonnummer authentifiziert, mit allen Problemen des Telefonsystems, danach mehr oder weniger unverbindlich die Gerätekonfiguration. Überprüfbare Schlüssel für Benutzer gibt es erkennbar nicht. Wenn geschrieben wird Die Nachrichten sind bei Signal wie bei WhatsApp Ende-zu-Ende verschlüsselt, dann stimmt das – es könnte aber ein anderer Empfänger sein als erwartet.

Bei Telegram ist das anders. Dort wird für jeden geheimen Chat ein eigener Schlüssel auf dem Endgerät generiert, mit der Konsequenz, dass wenn ich Telegram neu installiere der geheime Chat nicht fortgesetzt werden kann – die Nachrichten werden nicht zugestellt oder angezeigt, selbst wenn der Kommunikationspartner – wahrscheinlich anhand der Telefonnummer identifiziert – als online angezeigt wird. Eine Möglichkeit die verschlüsselte Kommunikation ohne eine Backdoor abzugreifen sehe ich nicht. Hier ist also die Vertraulichkeit besser geschützt, aber auf Kosten der Verfügbarkeit. Allerdings kann es beliebig viele geheime Chats zwischen zwei Kommunikationspartnern geben (s.a. Geheime Chats). Wie der Normalanwender damit umgeht, wenn er plötzlich von der gleichen Telefonnummer einen neuen geheimen Chat hereinbekommen würde bleibt unklar.

Vielleicht haben einige schon von Matrix gehört oder gelesen (Überblick in Sicherer als Signal: Das Matrix-Netzwerk kann etwas, dass alle wollen). Tatsächlich bekommt das Protokoll gute Beurteilungen (z.B. Matrix Messenger – Instant Messages auf Basis des Matrix-Protokolls: Sicherheit und Verschlüsselung) aber auch Kritik (z.B. What a malicious matrix homeserver admin can do. Es ist eigentlich klar, dass ein Anbieter immer Metadaten sammeln und zumindest die gespeicherten Daten des Benutzers löschen kann. In meinen Augen ist Matrix daher erste Wahl zumindest für die interne Kommunikation von Organisationen, aber der Betrieb einer eigenen Instanz ist wie ich aus eigener Erfahrung weiß schon mit Aufwand verbunden. Für Privatnutzer ist Matrix zumindest deswegen interessant, weil es Brücken in andere Welten ermöglicht und damit alle Chats an einer Stelle durchgeführt und gespeichert werden. Vertrauensanker für das Schlüsselmanagement ist jedenfalls der eigene Server, ggfs. der Identity Server, sowie die üblichen Vertrauensanker des Internets zur Authentifizierung von Servern oben.

Tatsächlich verwendet Matrix das gleiche bzw. ein sehr ähnliches Verschlüsselungsverfahren wie WhatsApp oder Signal. Der wesentliche Unterschied ist das Schlüsselmanagement bzw. wofür diese stehen. Details in A look at Matrix.org´s OLM | MEGOLM encryption protocol.

Bei Facetime und vermutlich jedem anderen WebRTC-basierten Telefon- oder Videokonferenzanbieter: Zwar wird die Konferenz Ende-zu-Ende-verschlüsselt, aber die IP-Adressen der beteiligten Geräte und deren Schlüssel bzw. in diesem Fall Fingerprints der Zertifikate werden über den Signalisierungsserver von Apple ausgetauscht, und natürlich kann Apple oder ein anderer Signalisierungsserver da einen Man-in-the-Middle einschleusen. Jedenfalls solange die Verwendung von RFC 8827 WebRTC Security Architecture: 7. Web-Based Peer Authentication nicht Standard ist, und auch die Autoren des Standards stellen fest, dass der Standard selten umgesetzt wird. Ob dieser Standard verwendet wird kann man nur bei Open-Source-Software überprüfen, und zumindest Facetime hat das entsprechende Versprechen nicht eingelöst. WebRTC behandelt außerdem nur den Fall einer Konferenz zwischen zwei Teilnehmern, sobald mehr als zwei Teilnehmer beteiligt sind wird üblicherweise ein Server des Dienstanbieters als zentrale Instanz integriert. Idealerweise kennt der dann den Schlüssel der Konferenz nicht, aber die Verwendung von RFC 9420: The Messaging Layer Security (MLS) Protocol scheint noch nicht State-of-The-Art zu sein wie die Untersuchung des Bundeskartellamts auf Seite 49 zeigt.

In den beschriebenen problematischen Fällen wird – entgegen den Empfehlungen des BSIs in CON.1 – die Integrität und Authentizität der Schlüssel nicht (oder zu selten) vom Benutzer und damit Ende-zu-Ende geprüft.

Tatsächlich gibt es Ansätze wie CONIKS und Key Transparency um die Zuverlässigkeit der Anbieter als Schlüsselmanager zu überprüfen – nur durchgesetzt haben die sich nicht.

Recht bisher...

Juristen werden einwenden: ist doch klar, das Telekommunikationsgeheimnis gilt nicht unbeschränkt, natürlich gibt es auch Telekommunikationsüberwachung. Das Einschleusen eines Man-in-the-Middle zum Mitlesen kann man durchaus als geeignet im Sinne von § 170 TKG ansehen, auch das Anfordern von Auskünften aller Art kann auf Basis von § 170 TKG stattfinden. Interessanterweise bestätigt das ausgerechnet Telegram in Reagiert ihr auf Datenanfragen, allerdings mit den Hinweis, Nur wenn unterschiedliche Rechtssysteme von mehreren Ländern auf der ganzen Welt eine Entscheidung über ein besonders ernstes und global anerkanntes Thema treffen, kann Telegram Daten herausgeben und die Kontrolle darüber abtreten.

Juristen tun sich allerdings schwer damit, die Technik zu verstehen. Urteile zu Ende-zu-Ende-Verschlüsselung sind selten oder verneinen die Erforderlichkeit dieser, und das gerne angeführte Urteil des Europäischen Gerichtshofs für Menschenrechte vom 13.02.2024 ist genaugenommen doppelt unergiebig. Zum einen bezieht es sich auf Telegram und damit nicht auf den typischen Problemfall bei dem Überwachung ohne Backdoor möglich ist, zum anderen sah das russische Gesetz eine anlasslose Überwachung sämtlicher Kommunikation vor, was nicht repräsentativ für die Telekommunikationsüberwachung zumindest westeuropäischer Staaten ist. Das einzige Muster bisheriger Rechtsprechung das ich kenne ist, Telekommunikationsüberwachung – unter gesetzlichen Voraussetzungen und mit Anordnung eines Richters – ist verhältnismäßig, anlasslose Vorratsdatenspeicherung nicht. Auch das Urteil der Europäischen Gerichtshofs für Menschenrechte spricht sich im wesentlichen gegen Massenüberwachung aus, die Ausführungen zur Schwächung der Kryptographie oder Backdoor bleiben eher dünn – sind halt Juristen und keine Informatiker.

Und weil wir damit schon fast bei den Themen Vorratsdatenspeicherung und Chatkontrolle sind: nur wenige Tage nach der Einigung auf Quick-Freeze ging Faesers neuer Anlauf zur Vorratsdatenspeicherung der IP-Adressen durch die Presse (u.a. Vorratsdatenspeicherung: Koalitionsdrama geht trotz Quick-Freeze-Einigung weiter), allerdings ohne dass ich den Berichten entnehmen konnte, wie die vom EuGH genannten Voraussetzungen erfüllt werden sollen:

...
er nationalen Rechtsvorschriften nicht entgegensteht, die
...
  • zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit für einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen;
...
Diese Rechtsvorschriften müssen durch klare und präzise Regeln sicherstellen, dass bei der Speicherung der fraglichen Daten die für sie geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen.
EuGH Urteil vom 20.09.2022 C-793/19 und C-794/19

Auf die Formulierung dieser Voraussetzungen im TKG bin ich gespannt, und noch mehr ob die Einhaltung überprüfbar ist. Dass Aufwand und Nutzen in keinem sinnvollen Verhältnis stehen kann man in Vorratsdatenspeicherung – Unverhältnismäßig geringer Nutzen nachlesen. Aktuelle Informationen zu Chatkontrolle und Vorratsdatenspeicherung finden sich auf netzpolitik.org.

Recht in Zukunft? (Basis Referentenentwurf)

Im Koalitionsvertrag hieß es:

Wir führen ein Recht auf Verschlüsselung ... ein. ... Auch der Staat muss verpflichtend die Möglichkeit echter verschlüsselter Kommunikation anbieten.
Koalitionsvertrag Seite 13

Wenn man bei echter Verschlüsselung auch Authentifizierung erwartet, dann hat der Staat das schon bei Email nicht hinbekommen – siehe Emailsicherheit und die Aufsichten: Tests öffentlicher Einrichtungen.

Seit kurzem gibt es einen Entwurf eines ersten Gesetzes zur Änderung des Telekommunikation-Telemedien-Datenschutz-Gesetzes. Im Entwurf findet sich:

In § 2 Absatz 2 werden folgende Nummern 7 und 8 angefügt:

7.
sichere Ende-zu-Ende-Verschlüsselung eine Verschlüsselungstechnologie, durch die ein Telekommunikationsinhalt beim absendenden Endnutzer verschlüsselt und erst beim empfangenden Endnutzer wieder entschlüsselt wird, so dass er über den gesamten Übertragungsweg unlesbar ist, nicht eingesehen werden kann und auch der Anbieter des Telekommunikationsdienstes oder Dritte nicht an den Schlüssel gelangen können.
Referentenentwurf Seite 3 Artikel 1 Nr. 2

In § 3 wird folgender Absatz 5 angefügt:

(5)
Anbieter von nummernunabhängigen interpersonellen Telekommunikationsdiensten im Sinne von § 3 Nummer 40 des Telekommunikationsgesetzes führen eine sichere Ende-zu-Ende-Verschlüsselung durch oder gewährleisten, dass Endnutzer ihre Telekommunikationsinhalte mit einer Ende-zu-Ende-Verschlüsselung versehen können. Endnutzer sind über die Durchführung der sicheren Ende-zu-Ende-Verschlüsselung durch den Anbieter des Telekommunikationsdienstes oder darüber, wie eine Ende-zu-Ende-Verschlüsselung möglich ist, zu informieren. Für den Fall, dass eine sichere Ende-zu-Ende-Verschlüsselung technisch nicht möglich ist, informiert der Anbieter des Telekommunikationsdienstes über die technischen Gründe, die einer sicheren Ende-zu-Ende-Verschlüsselung entgegenstehen.
Referentenentwurf Seite 3 Artikel 1 Nr. 3

Der Begriff sichere Ende-zu-Ende-Verschlüsselung irritiert, es bleibt unklar, ob damit etwas anderes gemeint ist als mit Ende-zu-Ende-Verschlüsselung. Auch die Einleitung verwendet diesen Begriff:

... Bei nummernunabhängigen interpersonellen Telekommunikationsdiensten ist die sichere Ende-zu-Ende-Verschlüsselung inzwischen Branchenstandard. Geeignete Verschlüsselungstechnologien sind vorhanden, werden aber nicht durchgängig von Anbietern dieser Dienste bereitgestellt.

Mit der Ergänzung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) sollen nummernunabhängige interpersonelle Telekommunikationsdienste dazu verpflichtet werden, ihre Telekommunikationsdienste als Standard mit einer Ende-zu-Ende-Verschlüsselung anzubieten.

Referentenentwurf Seite 1 Problem und Ziel

Dass das Wort sichere eher als Pleonasmus aufzufassen ist, ergibt sich dann aus der Begründung:

Ende-zu-Ende-Verschlüsselung wird bereits von vielen betroffenen Diensteanbietern standardmäßig bereitgehalten, so dass mit einem Recht auf sichere Ende-zu-Ende-Verschlüsselung kein nennenswerter Erfüllungsaufwand einhergehen dürfte. Demgegenüber legt die Wirtschaft großen Wert auf die Gewährleistung einer sicheren Ende-zu-Ende-Verschlüsselung und sieht dies als einen Grundpfeiler des Wirtschaftsstandorts Deutschland an.

Referentenentwurf Seite 2 E.2 Erfüllungsaufwand für die Wirtschaft

Daraus und auch aus den Erläuterungen zum Erfüllungsaufwand auf Seite 9 schließe ich, dass sich nicht wirklich etwas ändern wird. Und Veränderung wohl auch nicht gewollt ist. Email ist auch ein nummernunabhängiger interpersoneller Telekommunikationsdienst und hat grob geschätzt immer noch ein mehr als doppelt so hohes Volumen wie Messengerdienste, insbesondere auch im Bereich der Kommunikation zwischen Unternehmen und deren Endkunden. Dass sich Ende-zu-Ende-Verschlüsselung hier durchsetzen wird wage ich zu bezweifeln.

Vorgaben, welche Maßnahmen zur Sicherheit erforderlich sind, oder dass mit Endnutzer keine Sicherheitsbehörde gemeint ist, habe ich nicht entdeckt, und dass die Bundesnetzagentur vor 2029 Sicherheitsmaßnahmen definiert erscheint mir unwahrscheinlich. Wie sagt Linus Neumann so schön bei DE-Mail in Bullshit made in Germany: DE-Mail: jemand anderes unterschreibt für Sie und für jedes technische Problem gibt es eine juristische Lösung. Wahrscheinlich vertrauen dann noch mehr Benutzer auf das Marketing bei Ende-zu-Ende-Verschlüsselung, denn im Gesetz steht ja sicher. Sowieso findet die Auswahl des Messengers in der Regel nicht unter Sicherheitsaspekten statt, sondern richtet sich meist danach, wo die Kommunikationspartner unterwegs sind.

Dem Loblied von D-64 kann ich mich nicht anschließen:

Ein solches Recht wäre ein wichtiger Schritt, um den flächendeckenden Einsatz zu verschlüsselten Diensten weiter zu stärken. Derzeit hängt es noch zu oft von der technischen Kompetenz der Nutzenden ab, ob sie – aus technischer wie rechtlicher Perspektive – sicher und überwachungsfrei kommunzieren.
Europa und das Kommunikationsgeheimnis: Es bleibt kompliziert : Weniger Verschlüsselung! Mehr Verschlüsselung!

Tatsächlich bräuchte es mehr digitale Grundausbildung um die Kompetenz der Nutzenden zu verbessern. Weder Technik noch Recht alleine wird helfen, solange die Nutzer nicht verstehen worauf es wirklich ankommt.

Alternativen für das Recht auf Ende-zu-Ende-Verschlüsselung

Keine. Ein Recht auf Verschlüsselung bedarf einer gesetzlichen Regelung.

Referentenentwurf Seite 1 C. Alternativen

Wieso eigentlich? Wie kann es dann sein, dass die meisten Anbieter schon Verschlüsselung unterstützen oder zumindest bewerben? Und man wegen dem Ziel keinen Erfüllungsaufwand zu verursachen – zumindest meine Interpretation – am eigentlichen Problem vorbeizielt? Natürlich sehe ich Alternativen von denen ich nur einige aufzählen möchte. Alternativlos ist eine gesetzliche Regelung nur, wenn man das Recht auf Verschlüsselung und damit das Telekommunikationsgeheimnis einschränken will. Für die positive Durchsetzung käme auch die Allgemeinverfügung nach §167 TKG in Betracht, allerdings vermisse ich bei der Bundesnetzagentur Tempo bei der Definition von Schutzmaßnahmen und Sicherheitsanforderungen in TKG §§165ff insbesondere bei Email. Sinnvoll ist natürlich auch eine Begriffsdefinition um den Nutzer aka Verbraucher vor übertriebenem Marketing zu schützen.

Die offensichtliche Alternative ist, den Entwurf in den Papierkorb zu übermitteln. Aber tatsächlich ließe er sich leicht verbessern, indem man zwischen unsicherer und sicherer Ende-zu-Ende-Verschlüsselung unterscheidet, und bei letzterer einfordert, dass die Nutzer sich gegenseitig identifizieren und authentifizieren können. Eine mögliche Blaupause dafür liefert die bereits zitierte The Messaging Layer Security (MLS) Architecture mit der Einführung des Authentication Service. Man könnte Anbieter verpflichten aufzuzählen, welche Authentication Services sie unterstützen und mit welchen anderen Diensten sie interoperabel sind. Details würde ich allerdings ungern der genannten Allgemeinverfügung überlassen – das dauert dann wieder viele Jahre.

Die gleiche Unterscheidung könnte man auch bei Transportverschlüsselung vorsehen, und als sicher definieren, wenn Verschlüsselung und Authentifizierung der Dienste sichergestellt sind, jedenfalls dann wenn auch der Telekommunikationspartner das unterstützt. Bei Email z.B. durch SMTP-DANE, MTA-STS, SPF, DKIM und DMARC oder die weitgehend äquivalenten BSI TR-03108 und TR-03182 (siehe Sichere Kommunikation bei Email). Dass die bei öffentlichen Telekommunikationsanbietern noch nicht selbstverständlich oder verpflichtend sind ist einfach nur traurig.

Eine weitere Möglichkeit wäre es, den Bürgern X.509 Zertifikate für S/MIME zur Verfügung zu stellen, wie ich schon in Datenschutz im Koalitionsvertrag geschrieben habe. Das wäre dann vermutlich der letzte Sargnagel für De-Mail aber würde uns erlauben, verschlüsselt und authentifiziert zu kommunizieren, und wäre wahrscheinlich deutlich preiswerter als das Bürger- und Organisationspostfach (eBO). Dass der Staat das sicherer hinbekommt als offene Standards – ich glaube nicht daran. Ich rechne allerdings mit dem Gegenargument, dass man damit das nachweisbar der De-Mail aufgeben müsste.

Erfüllungsaufwand für die Wirtschaft entsteht nur, wenn man eine sichere Ende-zu-Ende-Verschlüsselung vorschreibt. Schreibt man die nicht vor, brauchen die Anbieter nur den Informationspflichten nachkommen, und der Aufwand dafür wird im Referentenentwurf als gering eingeschätzt.

Zusammenfassung

Zum Referentenentwurf: Chance verpasst. Tatsächlich hätte der Referentenentwurf zwischen sicherer und unsicherer Ende-zu-Ende-Verschlüsselung unterscheiden können. Stattdessen muss ich den Referentenentwurf irgendwo zwischen Placebo und Opium fürs Volk einordnen.

Zum anfangs zitierten Satz Ende-zu-Ende-Verschlüsselung ist inzwischen der anerkannte Mindeststandard in der elektronischen Kommunikation.: Von einem Standard kann keine Rede sein, und das Mindestniveau ist erkennbar niedrig. Es wird Zeit, dass mehr Benutzer und Juristen Verschlüsselung und Authentifizierung begreifen.

Veröffentlicht am 24.04.2024.

© 2024 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.