• Was ist Verschlüsseln?
• Warum eine Nachricht verschlüsseln?
• Welche grundsätzliche Problematik besteht?
• Welche Programme gibt es?
• Wie benutze ich PGP?
• Wie sieht die rechtliche Situation aus?
• Links auf weitere Seiten zum Thema ...

Was ist Verschlüsseln?

Ganz allgemein, ist die Verschlüsselung von Nachrichten zwischen zwei Kommunikationspartnern die Veränderung des Inhaltes, so dass nur diese beiden den Inhalt verstehen können. Die Zeichensprache von Kindern ist im Prinzip bereits eine Verschlüsselung. Eine fremde Sprache kann auch nicht entschlüsselbar sein. (Die USA setzten im 2. Weltkrieg Indianer im Funkverkehr ein, die einen sehr seltenen Dialekt sprachen. So konnten nur sehr wenige etwas mit den Funksprüchen anfangen.) Wenn ich einem guten Bekannten einen Brief schreibe, benutze ich bestimmte Wörter und Ausdrücke, die nur wir verstehen. Auch wenn andere die Wörter lesen können, sie verstehen den Sinn nicht, oder anders. Im Grunde ist unser Alltag bestimmt von Verschlüsselungen jeder Art. Wenn ich jemandem eine schriftliche Nachricht zukommen lassen möchte, überlege ich mir natürlich auch, ob ich dies per Postkarte oder per Brief schicke. Bei der Postkarte rechne ich damit, daß viele andere Menschen sie lesen können, beim Brief mit Umschlag will ich das verhindern.
Im Internet wird die Verschlüsselung, hauptsächlich, auf zwei Arten betrieben: Verschlüsselung von Textzeichenketten durch einen Algorithmus zu einer neuen, diesmal nicht zu verstehenden Textzeichenkette [Kryptografie], und die Verschlüsselung von Textzeichen in anderen Dateien, z.B. einem Bild oder einer Sound-Datei [Steganografie].

Warum eine Nachricht verschlüsseln?

Das technische Verschlüsseln wurde in der Vergangenheit hauptsächlich auf zwei Ebenen betrieben: auf staatlich-militärischer und auf wirtschaftlicher Ebene. Für diese beiden Bereiche war es wichtig, daß sie Informationen austauschen konnten, die kein Dritter verstehen konnte. Krieg und (Wirtschafts-) Spionage sind wohl die klassischen Beispiele für Verschlüsselungsbedürfnisse. Die Wirtschaft hat nach wie vor das lebenswichtige Bedürfnis zu verschlüsseln. Wirtschaftsspionage und Vertrauensschutz sind wohl die wichtigsten Antriebe für die Wirtschaft, auch weiterhin ihre Daten schützen zu können und zu verschlüsseln. Deswegen mißtrauen sie jegllicher Regulierungdurch welche Behörde auch immer, denn dies bedeutet immer auch ein potentielles Risiko, angegriffen und gehackt zu werden. Für den elektronischen Geldtransfer bedeutet eine Regulierung ein Freigeben von Angriffsfläche.
Heutzutage wird auf der technischen Ebene die Verschlüsselung auch für (Privat-)Menschen wichtig. Nach wie vor will man seine Privatsphäre schützen. Eine elektronisch verschickte Nachricht ist im Prinzip für jeden zugänglich. Da die Nachricht über sehr viele fremde Rechner läuft, kann sie an jeder Station eingesehen werden. Damit ist der elektronische Brief der Willkür von sehr vielen Menschen ausgeliefert. Der Benutzer will nach wie vor eine Nachricht an jemanden vertrautem schicken, und will, daß nur dieser sie versteht. Genauso, wie wenn er einen Brief in einen Briefumschlag legt, versucht er hier mittels eines Kryptografieprogrammes seinen binären Brief in einen binären Briefumschlag zu legen. Dazu dient z.B. ein Programm wie PGP. Es verschlüsselt die Zeichen des Textes, so daß nur der Empfänger diesen entschlüsseln kann. Damit kann er zum einen seine Privatsphäre schützen, und zum anderen sich seine kommunikative Selbstbestimmung erhalten. Er ist nicht gezwungen, sich an ein vorgeschriebenes Kommunikationsschema zu halten, sondern entscheidet selbst, wie er sich mitteilt. Da sich der Mensch im Internet auf technische Gegebenheiten wie eine Tastatur, ein Schreibprogramm, ein E-Mail-Programm etc... stützen muß, bleibt seine Möglichkeit, einem anderen Menschen eine auf dieser kommunikativen Selbstbestimmung basierende Nachricht zu übermitteln begrenzt. Er ist angewiesen auf die im Internet frei verfügbaren Programme, und muß diesen auch uneingeschränkt vertrauen können.
Das Problem des Schutzes der Privatssphäre und der informativen Selbstbestimmung wird von Tag zu Tag aktueller und bedrohlicher: Im Sommer 1997 wurde das Telekommunikationsdienstegesetz (?) vom deutschen Bundestag verabschiedet, das u.a. vorsieht, daß alle Provider/ISPs einer eigens geschaffenen "Regulierungsbehörde" einen (physisch) eigenständigen Zugang verschaffen müssen, durch den die Behörde ohne richterlichen Beschluß, ohne Wissen des ISPs und ohne Kenntnis des Nutzers die persönlichen Daten eines jeden abfragen können. Wie es schon öfter in der deutschen Geschichhte zu beobachten war (über-)reagierte die Regierung panikartig auf etwas, was sie nicht verstand, was Neu war und drohte, ihr den Zugriff auf ihre Bürger zu erschweren: Sie verschärfte die Gesetze und schuf neuen Behörden, deren Befugnisse sich an grundsätzlichen Menschenrechten und am Grundgesetz zu reiben scheinen.
Aber zwei Jahre später betrachtet, stellt sich das Regulierungsunternehmen als eine zukunftsweisende Idee heraus: In Anlehnung an das weltweite "angelsächsische" Satellitenabhörsystem Echelon berieten die EU-Justiz- und -Innenminister Ende 1998 über die sog. ENFOPOL-Papiere, im Februar 1999 wurden sie in der 3. Fassung als Handlunsanweisung an alle Mitgliedsstaaten gesandt. Die Enfopolpapiere beinhalten Direktiven u.a. zur ständigen systematischen und personen- bzw. verdachtsunabhängigen Kontrolle und bei bestimmten Schlüsselwörtern Mitschnitten des gesamten Daten-, Telefon- und sonstigem Verkehrs in den Festnetzen, Speicherung und Weitergabe der Bewegungsdaten von Mobilfunknutzern an staatliche Institutionen, Kontrolle des Satellitentelefonsystems IRIDIUM, etc. Die Liste ließe sich beliebig fortführen, schaut auch die Seiten selber an.
Dies sind alles sehr gute Gr¨nde für eine Verschlüsselung. Besonders, da die Handhabunug entsprechender Programme ziemlich einfach geworden ist.

Welche Programme gibt es?

Das wohl bekannteste Kryptografieprogramm im Internet ist das von Phil Zimmermann entwickelte PGP (Pretty Good Privacy). Von diesem Programm wurden inzwischen sehr viele Plug-Ins entwickelt, so daß es heutzutage mit einem Mailprogramm wie Eudora weniger Mausklicke bedarf, um seine email zu verschlüsseln. Das Prinzip ist folgendes: es gibt zwei Schlüssel, einen öffentlichen [public key] und einen privaten [secret key]. Ich generiere auf meinem Computer mit dem Programm diese Schlüsselpaar. (Über die Funktionsweise des Verschlüssselungsalgoritmus gibt es sehr gute Seite von Ulf Möller!) Den Public Key verteile ich nun via e-mail z.B. in die gesamte Welt (zumindest schicke ich ihn an diejenigen, die mit mir kommunizieren wollen!). Es gibt zu diesem Zweck auch sog. Key-Server, die einfach ein große Sammlung von öffentlichen Schlüsseln sind, die an einem Schlüsselbund zusammenhängen. Der Secret Key ist einmalig, und sollte an einem sicheren Ort aufbewahrt werden. Zuätzlich wird der Sekret Key durch ein sog. Mantra, einem Passwort-Satz geschützt. Nun kann jemand mit meinem öffentlichen Schlüssel eine Mail an mich mit PGP verschlüsseln und mir zuschicken. Durch das gesamte Internet laufen jetzt nur noch undefinierbare Zeichen. Die Mail kommt bei mir an, und ich muß jetzt meinen Secret Key benutzen, um die Mail wieder zu entschlüsseln. Die Entschlüsselung kann (fast) nur mit dem Sekret Key erfolgen. Umgekehrt kann ich eine Mail mit meinem Sekret Key verschlüsseln, und alle anderen können sie mit meinem Public Key entschlüsseln. Damit ist die Mail signiert, und der Absender der Mail eindeutig festzustellen. Jeder weiß, daß sie von mir kommt, und nicht etwa jemand in meinem Namen den Brief verschickt hat.

Die andere Möglichkeit, einen Brief nicht öffentlich einsehbar zu machen, ist die Steganografie. Hier wird eine Datei in einer anderen versteckt. Ich kann eine Textdatei z.B. in einem Bild so verstecken, daß dies mit bloßem Auge nicht zu erkennen ist. Diese Bilder können einfach verschickt werden, jemand muß wissen, daß hinter dem Bild sich eine zweite Datei versteckt. Weiß er dieses, so kann er mit einem Passwort diese wieder herausholen. Sehr einfach zum Steganografieren ist z.B. das Programm Steganos for Windows95, mit dem auch innerhalb weniger Denkanstrengungen das gewollte Ergebnis erreicht. In der c't vom August 1997 ist ein guter Artikel über Steganografie zu lesen.

• PGP International Homepage
• Steganos for Windows95
• Windows95.com Kryproseite
• Tools zum Schützen und Kryptografieren von EPIC
• Software zusammengestellt von der Uni Siegen

Aber neben Emailverschlüsselung sollte man auch an seinen anderen Verkehr denken (Nie ohne!), z.B. das Einloggen auf fremde Rechner über telnet oder auch das Surfen im Netz. Um einen sicheren Datenaustausch im HTTP-Protokoll zu haben wurde es zu einem HTTPS-Protokoll weiterentwickelt. Der Browser und der Server kommunizieren über einen Secure-Socket-Layer (SSL) miteinander. Gerade für den Nutzer ist des Sichten von geschützen Seiten mit nur einem unwesentlichen Mehraufwand verbunden. Zum Einloggen auf anderen Rechenern gibt es z.B. das Secure-Shell-Programm (SSH). Die Benutzung dessen ist zwar etwas aufwendiger, aber auch im vertretbaren Rahmen gehalten.

Welche grundsätzliche Problematik besteht?

Die Diskussion um die Verschlüsselung von E-Mails berührt letzen Endes die Diskussion über das Verhältnis von Individuum und Staat. Es ist in den letzten Monaten (seit dem Frühjahr 1997) erneut die Diskussion über die Reglementierung des Internets und speziell der Kryptografie durch den Staat aufgekommen. Bundesinnenminister Kanther bevorzugt z.B. das key escrow System. Dabei muß für jede Verschlüsselung ein Generalschlüssel bei einer staatlichen Behörde abgegeben werden. Für den Fall, wo diese Stelle Einblick in die Daten haben möchte, kann sie dies tun. Die genaue Form dieses Systems ist nicht zu Ende gedacht bzw. diskutiert. Das Problem besteht in der Frage: warum sollte der Staat sich in die Freiheit des Einzelnen derart einmischen? Die Einmischung schon nur aus technischen Gründen abzulehnen, greift meiner Meinung nach zu kurz. Sicherlich ist es lächerlich, wenn der Staat meint, er würde durch so eine Reglementierung etwas bewirken. Dies wird auch von den allerwenigsten ernsthaft behauptet ("Man könnte sich kaputtlachen, wenn man nicht wüßte, daß es tatsächlich so gemeint ist" (Burkhard Hirsch, Bundestagsvizepräsident, Leserbrief zum Kryptografieverbot, SPIEGEL 14/97). ) Ein Verbot für den Normalbenutzer wird einen 'Verbrecher' nicht davon abhalten, dies trotzdem zu tun (im Zweifelsfall per Steganografie), für die 'mündigen BürgerInnen ' bedeutet dies aber zweifelsohne einen großen Einschnitt in ihre persönlichen Freiheiten. Aber schaut man sich das Internet an, fällt einem sofort auf, daß es nicht im nationalen Raum funktioniert, sondern eben 'global' ist. Das macht schon jede Überlegung über eine Reglementierung des Internet durch nationale Behörden bedenklich. Nimmt man nun aber an, es würde eine technisch funktionierende, 'globale' Behörde geben. Ich würde nach wie vor gegen eine Reglementierung sein. Denn sie verlagert die Verantwortung eines einzelnen Menschen im Internet auf eine zentrale Behörde. Dies ist der Natur des Internets als ein dezentrales Netz von selbstständigen Menschen an Computern genuin gegenläufig (und der Natur des Menschen hoffentlich auch!). Im Internet herrscht ein sozusagen organischer, selbstreinigender Geist (zumindest sollten wir ihn fördern). Das Zusammenwirken von Individuen trägt zur Stärke des Netzes bei. Durch eine zentrale Behörde würde dieses schnell hinterfragt werden, und würde anderen zentralen Regelstellen die Tür öffnen. Das zweite Problem ist die Einschränkung meiner kommunikativen Selbstbestimmung. Ich werde vom Staat gezwungen, auf die Freiheit der Wahl meiner Sprachform zu verzichten. Der Staat zwingt mich, auf seine Weise zu sprechen. Werde ich bald auch auf seine Weise denken müssen?

Wie sieht die rechtliche Situation aus?
(vrgl. Seite von Ulf Möller Kryptografie: rechtliche Situation, politische Diskussion, die einen sehr guten Überblick bietet)

Mit Bekanntwerden des Echelon-Systems und den Verhandlungen über ENFOPOL wird die Benutzung von Verschlüsselungstechnologie unabdingbar. (Der untenstehende Text ist 1997 entstanden. Ich werde bald versuchen, ihn up-to-date zu bringen.)

Die Situation in Deutschland
In Deutschland ist die Kryptografie im Moment nicht verboten. Wie oben bereits erwähnt spricht sich hier die Mehrheit der Politiker, Unternehmer und Datenschützer dafür aus, diese auch nicht einzuschränken oder zu reglementieren.
Die Bundesregierung hat eine 'Task Force Kryptopolitik' aus Wirtschftas- und Inneministerium zur Klärung des Standpunktes dazu eingerichtet. Mit dem letzten Monat verabschiedeten Informations- und Teledienstegesetz hat die Regierungsmehrheit aber noch keine eindeutige Stellungnahme bezogen. Während das Wirtschaftsministerium eher gegen eine Reglementierung ist, stimmt das von Inneministerium unter Kanther dieser eher zu (vrgl. Kanthers Rede über die Kryptografie). Am 7. Juli 1997 wurde ein Vorschlag zu einer Signaturverordnung gemacht.
Auf Länderebene sprechen sich die Wirtschaftsminister gegen eine Reglementierung aus, die Justizminister stimmen einer behördlichen Regelung eher zu. Die Meinungen der Inenminister sind unterschiedlich, Bayern will eine Generalschlüssel für die Bundesbehörden und Berlin (Schönbohm!) fordert ein generelles Verschlüsselungsverbot.
Die CDU hat noch keine Einugung darüber gefunden, tendiert aber zu einer Regulierungsbehörde mit Generalschlüssel. Die SPD ist ebenfalls unentschieden, geht aber eher von einem Schutz der Benutzer durch eine Nicht-Reglemenierung aus. Die Bündnisgrünen sind 'einstimmig gegen ein Verbot von Kryptografie', und wollen auch jegliche Restriktion dessen verhindern. Auch die FDP ist gegen eine Reglementierung, vor allem aus wirtschaftlichen Gründen.

Die Situation in anderen EU-Staaten
In Frankreich war das Kryptografieren bis 1996 grundsätzlich für Privatpersonen verboten, seitdem ist es mit staatlicher Erlaubnis und unter staatlicher Kontrolle erlaubt. Die Niederländer mußten 1994 ein Gesetz zur Regelung von Kryptografie nach starken Protesten wieder zurückziehen. In Dänemark wird eine Reglementierung auch abgelehnt.
Die EU-Kommision bereitet einen Vorschlag zur europaweiten Kryptografieregleung vor, die den einzelnen Regierungen den Zugriff auf die Daten gewährleisten soll.

In den USA unterliegt die Kryptografie strengen Exportbeschränkungen. Sie gilt als Militärgut, ist aber in den Staaten selbst frei zu benutzen. Es gibt in den Staaten eine starke Civil Rights Bewegung, die sich auch im Internet für ihre Rechte einsetzt (vrgl. auch Urteil des Supreme Court gegen ein Clinton Gesetz zur Regulierung des Internets).