Dem Bundesnachrichtendienst wurden 2016 seine Überwachungspraktiken nachträglich legitimiert, in Großbritannien wurde die Supervorratsdatenspeicherung eingeführt und Unbekannte verkaufen gerade einige mächtige NSA-Werkzeuge im Internet. Aber es gab dieses Jahr in Bezug auf IT-Sicherheit auch gute Nachrichten.

Welche das sind, hat Kurt Opsahl, stellvertretender Direktor der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF), auf dem 33. Chaos Communication Congress (33C3) in Hamburg gezeigt: WhatsApp hat eine standardmäßige Ende-zu-Ende-Verschlüsselung für seine mehr als eine Milliarde Nutzer eingeführt, der Krypto-Messenger Signal ist seit der Wahl von Donald Trump zum US-Präsidenten populärer denn je, und nicht zuletzt dank der Initiative Let's Encrypt ist der Anteil an verschlüsselten Verbindungen zwischen Websites und Nutzern deutlich gestiegen.

Und doch überwiegt auf dem 33C3 nicht die Freude darüber, dass Verschlüsselung endlich massenhafte Verbreitung findet, sondern die Sorge darum, wie Politik und Strafverfolger darauf reagieren.

Apple versus FBI – der Präzedenzfall, der keiner wurde

Opsahl erinnert an den Fall Apple versus FBI aus dem Frühjahr. Die US-Bundespolizei hatte vor zwei Gerichten beantragt, Apple zum Entschlüsseln der iPhones von Verdächtigen zu zwingen. In einem Fall ging es um das Gerät eines mutmaßlichen Drogendealers in Brooklyn, im anderen um das Dienst-iPhone des Attentäters von San Bernadino in Kalifornien.

In New York lotete das FBI die Grenzen des Rechts aus, speziell die des All Writs Act, einem Gesetz von 1789. Es besagt, dass US-Bundesgerichte alle nötigen und gesetzlich zulässigen Maßnahmen anordnen können, um ihre Urteile umzusetzen. Das FBI wollte, dass Apple die Anordnung bekommt, einen Durchsuchungsbefehl umzusetzen. Das Gericht wies das Ansinnen zurück.

Das FBI kaufte sich lieber einen Hack

In Kalifornien wollte das FBI noch weitergehen: Apple sollte auf Basis des uralten Gesetzes gerichtlich dazu verpflichtet werden, eine neue Version seines Betriebssystems iOS zu entwickeln, die Apples eigene Sicherheitsvorkehrungen gegen das Entschlüsseln umgeht. Apple weigerte sich öffentlichkeitswirksam, weil es sich nicht selbst hacken und keinen Präzedenzfall schaffen wollte. Eine riskante Strategie, denn das FBI hatte sich bewusst einen Fall von Terrorismus ausgesucht, um die Bevölkerung emotional auf ihre Seite zu ziehen und den Druck auf Apple zu erhöhen.

Die juristische Auseinandersetzung zog sich jedoch hin und das FBI musste erkennen, dass es allenfalls die Hälfte der US-Bürger auf seiner Seite hatte. Also suchte und fand es einen alternativen Weg: Es kaufte bei einer Firma, die IT-Sicherheitslücken sucht, eine Software, mit der es das Attentäter-iPhone hacken konnte.

Das, so fasst Opsahl in Hamburg zusammen, sind die drei Methoden der Strafverfolger gegen Verschlüsselungstechnik, die 2017 verstärkt auftreten dürften: erstens Gesetze, die Unternehmen zur Kooperation verpflichten; zweitens öffentlicher Druck auf die Hersteller, sich nötigenfalls selbst zu kompromittieren; drittens staatliches Hacken von Geräten.

Von der künftigen US-Regierung erwartet Opsahl in dieser Hinsicht keine Hilfe. Donald Trump hatte während der Auseinandersetzung zwischen Apple und dem FBI einen Boykott des Unternehmens gefordert (dann aber nachweislich weiterhin ein iPhone und ein MacBook benutzt). Der designierte Justizminister Jeff Sessions sagte: "Ich glaube, dieses Problem ist ernster, als Tim Cook versteht". Und der künftige CIA-Direktor Mike Pompeo verlangte sogar: "Rechtliche und bürokratische Hürden zur Überwachung sollten abgebaut werden. (…) Die Nutzung starker Verschlüsselung zu Sicherung der persönliche Kommunikation könnte schon ein Warnsignal sein" – eine "red flag", wie er es ausdrückte.