Verschwinden im Netz, für Fahnder unsichtbar werden. Das ist der große Alptraum für Strafverfolger und Nachrichtendienste weltweit. Going dark nennen sie es. Vor allem Vertreter von FBI und NSA haben wiederholt gefordert, dass Unternehmen Hintertüren in ihre Soft- und Hardware einbauen, damit eigentlich verschlüsselte Kommunikation doch noch ausgewertet werden kann.

Aber ist der Staat wirklich machtlos, wenn Menschen ihre Nachrichten verschlüsseln oder das Anonymisierungsnetzwerk Tor verwenden? Nein, ein Bericht der Harvard-Universität gibt Entwarnung, jedenfalls für die Behörden. Mehrere Experten aus den Bereichen Internetsicherheit, Recht, Wissenschaft und Bürgerrecht haben zusammen mit Mitarbeitern von US-Nachrichtendiensten diskutiert und ein differenzierteres Bild vermittelt bekommen.

Snowden als Auslöser

Zum einen geht es in dem Bericht um die Verschlüsselungsinitiativen, mit denen mehrere US-Unternehmen auf die Snowden-Enthüllungen reagierten. Apple etwa verschlüsselt seit der Einführung von iOS 8 einen Großteil der Nutzerdaten auf dem iPhone standardmäßig und Google hat im September 2014 versprochen, dass die Android-Version Lollipop automatisch den Hauptspeicher verschlüsselt. Allerdings konnte Google sein Versprechen nicht einhalten und gibt Performance-Probleme bei einigen Android-Geräten als Grund an. Nutzer können die Verschlüsselung aber manuell aktivieren.

Apple und Google haben durch die Verschlüsselung keinen Zugriff mehr auf jene Daten, die Nutzer auf ihren Geräten gespeichert haben. Und das stört die Behörden, weil sie die Firmen nicht länger mit einem Gerichtsbeschluss zu einer Herausgabe der Daten zwingen können. Allerdings, so die Experten, gilt das nicht für alle Apple-Dienste. Die Daten, die als Backup auf iCloud landen, sind zwar verschlüsselt, in diesem Fall aber besitzt Apple einen Zweitschlüssel – den sie unter Umständen an die Behörden herausrücken müssen.

Verschlüsselung muss richtig implementiert sein

Zum anderen ist auch die zunehmende Ende-zu-Ende-Verschlüsselung von Chats und E-Mails  für die Behörden von Nachteil. Gemeint sind Dienste wie Threema oder Programme wie PGP, bei denen einzig der Empfänger einer Nachricht den Schlüssel zum Lesen hat.

Doch auch diese Art der Verschlüsselung ist nicht perfekt, sagen die Experten. Sie könne fehlerhaft implementiert werden, schütze keine Metadaten und sei angreifbar an den Endpunkten. Allerdings sei das Vorgehen unter den US-Behörden nicht einheitlich: "Zum Beispiel könnte das FBI weniger Ressourcen zur Verfügung haben als die NSA, um die Verschlüsselung zu umgehen", heißt es in dem Harvard-Bericht.

Außerdem weisen die Experten auf drei weitere Punkte hin, die den Strafverfolgern und Geheimdiensten ihre Arbeit erleichtern: die Geschäftsmodelle der Internetfirmen, die Fragmentierung der Plattformen und das Internet der Dinge.

Verschlüsselung behindert Werbung

Das Geschäftsmodell vieler Internetfirmen basiert auf Werbung. Und je präziser die Werbung die passenden Menschen erreicht, desto attraktiver sind die Firmen für Werbekunden. Facebook beispielsweise wirbt damit, die Werbung durch Daten wie Ort, Demografie, Interessen und das Verhalten der Nutzer passgenau anzeigen zu können. Auch Google argumentiert ähnlich. Ende-zu-Ende-Verschlüsselung steht da nur im Weg, sagen die Experten, da viele Unternehmen die Kommunikation ihrer Nutzer analysieren. 

Software wird außerdem vermehrt als Dienst in der Cloud angeboten und nicht auf Rechnern installiert. Etwa die verschiedenen Office-Programme von Google, der Cloudspeicher Dropbox oder das Postfach von Webmail-Anbietern. Um die Dienste und ihre Features bereitstellen zu können, müssen die Firmen auf unverschlüsselte Daten zugreifen. Wenn Google beispielsweise eine Volltextsuche für Dokumente in der Cloud anbietet, benötigt die Firma Zugriff auf den Klartext. Eine Ende-zu-Ende-Verschlüsselung ist daher auch hier für die Firmen unpraktisch, schreiben die Forscher. 

Die Fragmentierung macht es Behörden leichter

Auch Fragmentierung, also das Vorhandensein vieler verschiedener Geräte und Versionen, behindert angeblich die Verschlüsselung. Als Beispiel geben die Experten Android an. So kann Google zwar das Betriebssystem mit vorinstallierten Apps ausliefern, die Kommunikation verschlüsseln, aber Handy-Hersteller und Netzanbieter können sie entfernen und das Smartphone mit eigenen Apps ausliefern, die keine Verschlüsselung bieten. Schließlich haben auch die Firmen ein kommerzielles Interesse daran, die unverschlüsselten Daten der Nutzer auszuwerten.

Veraltete Versionen des Betriebssystems sind ebenfalls ein Problem. Android-Sicherheitslücken wie Stagefright betreffen noch immer Millionen Geräte, da viele Hersteller keine oder nur unregelmäßig Updates liefern. Auch bislang unveröffentlichte Schwachstellen, sogenannte Zero-Days, können deshalb unter Umständen lange unentdeckt bleiben. Und nicht zuletzt bieten die zahlreichen Apps in Googles Play Store zwar jede Menge Auswahl für die Nutzer. Eine umfassende Verschlüsselung aber nutzen sie nicht – und das ist gut für die Geheimdienste.

Alles verbunden, alles abgehört

Als letzten Punkt gehen die Experten auf das Internet der Dinge ein. Ihre These: Vernetzte Sensoren werden in Zukunft in vielen alltäglichen Gegenständen zu finden sein, vom Toaster bis zur Zahnbürste. Ein verschlüsseltes Gespräch über das Smartphone bringt wenig, wenn das Mikrofon eines Fernsehers die eine Seite des Gesprächs aufzeichnet und unverschlüsselt an den Hersteller sendet, die Webcam über das Internet aus angreifbar ist oder das vernetzte Auto fleißig Standortdaten sendet.

Diese Szenarien sind zugegeben theoretisch. Bis alle Haushaltsgegenstände vernetzt sind, wird es noch eine Weile dauern. Auch liefern die Autoren des Berichts keine Erklärung dafür, weshalb Geheimdienste genau Interesse daran haben sollten, etwa die Google-Dokumente in der Cloud zu überwachen. Vielmehr geht es um die angstschürende Rhetorik der Behörden, mit der regelmäßig  gegen sichere Kommunikation mobil gemacht wird.

Eine Rhetorik, die nach Ansicht der Experten irreführend ist. Geheimdienste haben weiterhin verschiedene Möglichkeiten, Verdächtige zu überwachen, trotz Verschlüsselung. Und trotz Vorstößen von Unternehmen wie Apple oder Google ist es unrealistisch, dass künftig sämtliche Softwarehersteller, Cloud- und Webdienste komplett auf die Erhebung von Nutzerdaten verzichten werden.

Die Experten fordern daher die richtige Balance zwischen Privatsphäre und Sicherheit. Und raten den Strafverfolgern und Geheimdiensten, sicherlich auch etwas ironisch: "Keine Panik", so schnell taucht in der vernetzten Gesellschaft niemand unter.