Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Cheat Sheet / iPhones und WhatsApp sind nicht das einzige Problem der Polizei

von Max Biederbeck
Der Streit zwischen FBI und Apple dauerte lange und endete mit der Faust: Das FBI knackte das iPhone einfach selbst. Dann machte ein Zwist zwischen WhatsApp und Ermittlungsbehörden in Brasilien Schlagzeilen — und auch hier kam eine Faust, wenn auch genau die andere: WhatsApp hat gerade für seine Milliarde Nutzer eine Ende-zu-Ende-Verschlüsselung eingeführt und sie so für Behörden unsichtbar gemacht. Wie digitale Strafverfolgung in Zukunft aussehen wird? Unser Cheat Sheet zu einer noch jungen Debatte.

Was ist passiert?
1. Das FBI ließ Apple am Ende einfach links liegen. Die israelische Zeitung Yedioth Ahronoth berichtet, dass die Behörde ein israelisches Unternehmen damit beauftragte, das Smartphone eines der San-Bernadino-Attentäter zu knacken. Jetzt entwickelt sich der einst plakative Streit in den USA zu einer kniffligen Rechtsdiskussion weiter, die fragt: Darf eine Behörde wie das FBI eigene Experten damit beauftragen, Sicherheitslücken im Geheimen auszunutzen, oder müssen die Ermittler eine Firma auf den Fehler hinweisen? In der Theorie entscheidet die US-Regierung über diese Frage, in einem sogenannten „Equities Review“. Wenn nationale Interessen betroffen sind, könnte das FBI dann rechtmäßig gehandelt haben.

(Update, 13. April: Die Washington Post meldet, das FBI habe private Hacker dafür bezahlt, das iPhone zu knacken, das israelische Unternehmen habe nichts mit der Sache zu tun gehabt.)

2. WhatsApp hat eine flächendeckende Ende-zu-Ende-Verschlüsselung für alle Devices und alle seine Messenger-Funktionen eingeführt. Damit stellt die Facebook-Tochter Strafverfolgungsbehörden weltweit vor vollendete Tatsachen. Nicht einmal per Gerichtsentscheid können Ermittler jetzt noch Nachrichten einsehen, selbst Mitarbeiter bei WhatsApp wären nicht in der Lage, Informationen aus ihrem Programm weiterzugeben.

Wie lassen sich die Geschehnisse einordnen?
„Die Zahl an Verbrechen mit internationalem Charakter wächst exponentiell“, sagt Jan-Peter Kleinhans vom ThinkTank Stiftung Neue Verantwortung. Er beschäftigt sich mit dem Verhältnis zwischen Ermittlern, Unternehmen und Usern und hält auf der nächsten re:publica einen Vortrag zum Thema „Law Enforcement in the Cloud Age“.

Für ihn sind die Fälle FBI vs. Apple und WhatsApp Teil einer neuen Debatte. Es geht um nicht weniger als die Strafverfolgung in einem Zeitalter, in der es zwei Welten gibt, eine mit und eine ohne Grenzen. Die Entwicklungen sind komplex.

Zum einen geht es um Datensicherheit, also die Frage nach technischer Sicherheit von Daten auf einzelnen Geräten (siehe Apple vs. FBI, außerdem gibt netzpolitik.org einen guten Überblick darüber, was deutsche Behörden dürfen und was nicht). Zum anderen begegnet einem der Streit beim Thema Datenschutz: Welche Daten dürfen welche Geheimdienste und Behörden eigentlich wann und wie einsehen? Aktuellster Ausläufer dieser Debatte ist die „Going-Dark“-Diskussion, bei der Befürworter und Gegner von verschlüsselter Kommunikation miteinander streiten (siehe WhatsApp-Fall) und die Safe-Habor-Debatte – eine Auseinandersetzung um das ehemals gleichnamige EU-Abkommen (das jetzt Privacy Shield heißt), das Datenschutz nach europäischen Standards auch in den USA sicherstellen soll. Wie Kritiker immer wieder betonen, klappt das nicht besonders gut. Es gibt aber noch ein drittes Problem – die Cloud.

Warum ist es so schwer, in der Cloud zu ermitteln?
Angenommen, eine Gruppe von Bankräubern plant ihre Feldzüge über ein Dokument in der Cloud. Ermittler in Deutschland wollen Zugriff auf diese Daten erhalten, die aber liegen irgendwo auf den Servern eines amerikanischen Providers. Dann müsste die Polizei außerhalb der Staatsgrenzen ermitteln, und das darf sie nicht. Über genau so einen Fall streitet sich gerade Microsoft mit der US-Regierung: Die Behörden wollen Einblick in die Cloud-Daten eines Users, der in einen Drogenfall involviert ist, die Daten liegen aber auf Servern in Irland. „Die einzige bisher existierende Regelung in solchen Fällen ist noch immer das klassische Rechtshilfe-Abkommen“, sagt Kleinhans. Schon bei internationalen Verbrechen vor der Zeit des Internets konnten etwa deutsche Behörden, französische damit um Hilfe bitten. Im jeweiligen Land wurde dann adhoc entschieden, ob man helfen wollte oder nicht. In der Cloud wird im Grunde aber jede Information zum Teil eines solchen internationalen Falls.

„Bei Apple und dem FBI ging es um ein iPhone, allein im ersten Halbjahr 2015 gingen aber 13.000 Anfragen von deutschen Ermittlungsbehörden an die US-Kollegen, die Daten von Unternehmen wie Google, Facebook und Microsoft betreffen“, erklärt Kleinhans. Rechtshilfe verfahren aber sind langwierig, können Monate dauern und schaffen einen riesen Vorsprung für Verbrecher. In den USA ist es außerdem nur ohne weiteres möglich, an Metadaten heranzukommen, also Verbindungsdaten, IP-Adressen und so weiter. Aber schon bei Metadaten bleibt es im Grunde den Unternehmen überlassen, wie sie auf die Anfrage reagieren.

Geht es um tatsächliche Inhalte, etwa dem Cloud-Dokument besagter Bankräuber, bräuchten die deutschen Polizisten sogar „Probable Cause“, also ein herausragendes Verdachtsmoment, um in den USA Gehör zu finden.

Was bleibt?
Polizeibehörden sind frustriert, weil sie mit Regeln arbeiten müssen, die nicht mehr zeitgemäß sind. Unternehmen gehen willkürlich mit den Anfragen von Behörden um, manche beantworten mehr, manche weniger. Und die User selbst wissen überhaupt nicht, was mit ihren Daten passiert, ob und wann sie Teil einer Ermittlung sind und wann nicht. Die US-Behörden sind mit der schieren Anzahl von Rechtshilfeersuchen überfordert. Dort sitzen die meisten Unternehmen, die mit Cloud-Diensten zu tun haben.

Wie geht es weiter?
Die Beispiele Apple, FBI und WhatsApp und die Probleme mit Cloud-Diensten zeigen, dass beim Thema digitale Strafverfolgung immer noch „Wilder Westen“ herrscht, wie Kleinhans es nennt. Das Beispiel mit den Bankräubern, es war noch einfach. Oft werden die Daten von Cloud-Diensten über dutzende Server in dutzenden Ländern verteilt. Wie soll ein Staat unter diesen Bedingungen sein Recht durchsetzen können? „Das Problem ist kaum mit einfachen Mitteln zu beseitigen“, sagt Kleinhans. Als einen Ansatzpunkt sieht er eine zentrale Clearing-Stelle, die als internationaler Anlaufpunkt für alle gelten könnte.

Und in der Tat gehen die Lösungsgedanken, die vor allem in den USA formuliert werden in diese Richtung. Mittlerweile beschäftigt sich sogar der Kongress mit der Problematik. Unabhängige Mitarbeiter könnten entscheiden: Beachtet die Behörde von Staat X die Menschen- und Privatsphäre-Rechte der Nutzer und hat sie bei ihrer Anfrage ein legitimes Interesse an den Daten – etwa weil sie eine Serie von gut geplanten Bankrauben aufklären will.

Ein Cheat Sheet ist mehr als ein Spickzettel. Studenten packen Gleichungen darauf, kritzeln Aufzählungen, listen Infos. Während sie den Zettel für ihre Klausur zusammenschreiben, lernen sie die Materie. Am Ende brauchen sie ihn vielleicht gar nicht mehr. Wir wollen euch so einen Cheat Sheet für aktuelle Debatten zur Hand geben. Diesmal ging es um Verbrechensbekämpfung in der Cloud, beim letzten mal um die App Peeple und die Vermarktung unserer digitalen Identität

GQ Empfiehlt