(New York) - Human Rights Watch hat heute ein interaktives Online-Spiel veröffentlicht, das den Menschen zeigen soll, wie wichtig eine effektive Datenverschlüsselung im digitalen Zeitalter für die Sicherheit aller ist. Das Spiel „Everyday Encryption“ zeigt, wie die Verschlüsselung von Daten Menschen im Alltag schützt.

Technologieunternehmen und Nichtregierungsorganisationen verlassen sich auf die Datenverschlüsselung, um sensible Daten zu schützen. Gleichzeitig befürchten Regierungen, dass die Verschlüsselung ihre Überwachungsmöglichkeiten einschränkt, um Verbrechen zu untersuchen und gegen mögliche Terrorgefahren vorzugehen. Am 6. Dezember 2018 hat das australische Parlament ein Gesetz (Assistance and Access Bill) verabschiedet, um den Zugriff auf verschlüsselte Daten zu ermöglichen. Experten für Cybersicherheit haben davor gewarnt, dass dies die Sicherheitsvorkehrungen, die zahlreiche Menschen täglich in Australien und weltweit nutzen, einschränke.  

„Die Datenverschlüsselung hilft, unsere Online-Transaktionen, persönlichen Daten, privaten Fotos und vertrauliche Kommunikation vor neugierigen Blicken zu schützen“, so Cynthia Wong, Internetexpertin bei Human Rights Watch. „Aber die Funktionsweise dieser technischen Abwehrmechanismen ist manchmal undurchsichtig. Wir hoffen, dass die Leute, die das Spiel spielen, mehr darüber erfahren, wie wichtig die Datenverschlüsselung für ihre eigene Sicherheit ist.“

A choose-your-own-adventure style game where the player is asked to guide a character in making choices about how she communicates or manages her data.

Das Spiel ist unter „Everyday Encryption“ verfügbar. Entwickelt wurde es im sog. Choose-your-own-adventure Stil. Der Spieler wird aufgefordert, eine Figur entscheiden zu lassen, wie sie ihre Daten kommuniziert oder verwaltet. Das Spiel dauert etwa 15 Minuten und führt die Nutzer zu weiteren Informationsquellen über digitale Sicherheit und zur politischen Debatte über Datenverschlüsselung.

Eine effektive Datenverschlüsselung bedeutet, dass Daten nur von denen gelesen werden können, die den „Schlüssel“ zur Dechiffrierung haben. Finanzinstitute, Online-Datenspeicherdienste, Telefon- und Laptophersteller und andere Unternehmen verschlüsseln routinemäßig Daten, um beispielsweise personenbezogene Daten vor Cyberkriminalität und Identitätsdiebstahl zu schützen. Websites unterstützen zunehmend Verschlüsselungen wie Hyper Text Transfer Protocol Secure (HTTPS), so dass die Surfgewohnheiten der Nutzer nicht von Regierungsbehörden oder anderen nachvollzogen werden können. Zudem verwenden Apps wie WhatsApp, Signal und iMessage eine End-to-End-Verschlüsselung für Chatnachrichten, bei der die App-Anbieter keine Verschlüsselungscodes speichern und keine von Benutzern gesendeten Nachrichten lesen können.

Das interaktive Spiel wurde von Rebecca Ricks, Mitarbeiterin von Human Rights Watch und Stipendiatin des Ford-Mozilla Open Web-Programms, entwickelt. Es zeigt, wie Datenverschlüsselung Menschen in ihrem täglichen Leben schützt - zum Beispiel beim Surfen im Internet über die WLAN-Verbindung eines Cafés - und was passieren kann, wenn die in Geräte oder Software eingebaute Verschlüsselung absichtlich abgeschwächt wird. Das Spiel demonstriert zudem, wie Verschlüsselung dabei hilft, Menschen zu schützen, die oft unverhältnismäßig stark kontrolliert oder ausspioniert werden, wie etwa Aktivisten, farbige Minderheiten oder Opfer häuslicher Gewalt, die Schutz vor ihrem Peiniger suchen.

Beamte in mehreren Ländern haben damit begonnen, Unternehmen wie Apple, WhatsApp und Telegram aufzufordern, gewollte und geplante Sicherheitsschwächen, sogenannte „Backdoors“, in ihre Dienste zu integrieren, damit Sicherheitsbehörden an verschlüsselte Daten gelangen können. Solch ein Ansatz würde jedoch die Verschlüsselung insgesamt und somit die Sicherheit für alle schwächen.

Im September 2018 warnten Strafverfolgungsbeamte der Five Eyes Intelligence Alliance, zu der Australien, Kanada, Neuseeland, Großbritannien und die USA gehören, dass sie „technologische, zwangsvollstreckende, gesetzgeberische oder andere Maßnahmen ergreifen werden", wenn die Firmen nicht freiwillig Zugang zu verschlüsselten Daten erlauben würden.

Das neue australische Gesetz erlaubt es den Sicherheitsbehörden, von Technikunternehmen vage formulierte Maßnahmen einzufordern, um sich Zugang zu verschlüsselten Daten zu verschaffen – ohne angemessene gerichtliche Prüfung und Schutzmaßnahmen. Das Gesetz basiert auf dem britischen Investigatory Powers Act, wonach Unternehmen ebenfalls verpflichtet werden können, absichtlich Sicherheitsschwachstellen in die Verschlüsselung einzubauen.

In den USA fordern die Strafverfolgungsbehörden weiterhin Anti-Verschlüsselungsgesetze, obwohl sie dafür kritisiert wurden, sie hätten das Problem der Verschlüsselung bei Untersuchungen überbewertet. Das FBI hatte zuvor versucht, Apple zu zwingen, die in iPhones integrierten Sicherheitsmechanismen zu umgehen, um die Verschlüsselung zum Schutz der Benutzerdaten zu unterbinden. Die Behörden untersuchten die Täter des Anschlags 2015 in San Bernardino, Kalifornien, zogen aber schließlich den Gerichtsbeschluss zurück, weil sie über einen Drittanbieter ohne die Hilfe von Apple auf die Telefondaten zugreifen konnten.

Im April erlaubte es ein Gerichtsurteil der russischen Aufsichtsbehörde für Massenmedien, Telekommunikation und Datenschutz Roskomnadzor, den Nachrichtendienst Telegram zu blockieren, weil dieser dem staatlichen Sicherheitsdienst keine Verschlüsselungscodes im Rahmen der 2016 verabschiedeten Anti-Terror-Gesetzgebung zur Verfügung stellte. Roskomnadzor blockierte daraufhin Millionen von Internet-Protokoll-Adressen, um den Zugang zu Telegram innerhalb des Landes zu unterbinden und den Zugang zu unabhängigen Websites und Diensten weitgehend zu blockieren. Im Mai sperrte auch Iran Telegram. China hat ebenfalls ein Cybersicherheitsgesetz verabschiedet, das bei einer großzügigen Auslegung Unternehmen verpflichten könnte, Backdoors zu installieren oder auf die Verwendung von End-to-End-Verschlüsselung zu verzichten. Im April 2017 veröffentlichte die chinesische Regierung den Entwurf eines Verschlüsselungsgesetzes, das im Falle seiner Verabschiedung die Anforderungen an die Back Doors verschärfen und die Verwendung von Verschlüsselung auf vorab genehmigte inländische Produkte beschränken könnte.

Die Bemühungen der Regierungen, die Verschlüsselung zu schwächen, gefährden Menschen und untergraben ihre Rechte. Wo Softwarehersteller keine Verschlüsselungscodes aufbewahren, ist die fast bei allen Cybersicherheitsexperten verbreitete Ansicht, dass es unmöglich ist, eine Back Door für eine Regierung zu bauen, die nicht alle Benutzer dem Risiko aussetzen würde, dass auch andere Personen diese Schwachstelle aufdecken und für böswillige Zwecke nutzen.  

Repressive Regierungen könnten Back Doors ausnutzen, um „Unruhestifter“ zu identifizieren und ins Gefängnis zu werfen. Cyberkriminelle wiederum könnten sie nutzen, um Daten für Identitätsdiebstahl und Kreditkartenbetrug zu missbrauchen. Selbst ehemalige Geheimdienstmitarbeiter von Five Eyes und Europol haben davor gewarnt, dass die Untergrabung der Verschlüsselung zu einem bestimmten Zweck schwerwiegende und weitreichende Folgen haben kann, die die Cybersicherheit insgesamt schwächen.

Bei der Debatte über Back Doors geht es nicht um Privatsphäre versus Sicherheit, sondern um unzureichende Sicherheit versus grundlegende Sicherheit für alle“, so Wong. „Australien und andere Länder verabschieden Gesetze, die Verschlüsselung in der Technologie aushöhlen, die wir jeden Tag benutzen. Die Öffentlichkeit hat deshalb das Recht, zu wissen, wie sehr dies unsere Sicherheit gefährdet, online und offline."