https://www.faz.net/-gpf-7fegr

Bundestag : Wie hältst du’s mit der Verschlüsselung?

  • -Aktualisiert am

Bild: Illustration Johannes Thielen

Politiker tun sich mit verschlüsselten E-Mails schwer - und verzichten meist darauf. Wie viele andere. Wer seinem Abgeordneten eine sichere Mail schreiben will, kann keine Hilfe erwarten.

          Anfang der neunziger Jahre tauchte in Amerika eine Software auf, welche die Sicherheitsfachleute der Behörden in Panik versetzte. Es war ein Programm zum Verschlüsseln und Signieren von Daten, das schnell unter der Abkürzung PGP bekannt wurde. Sie steht für Pretty Good Privacy, zu deutsch: „ziemlich gute Privatsphäre“. Das war ganz schön tiefgestapelt. Tatsächlich erlaubte die Software, E-Mails so sicher zu verschlüsseln, dass selbst Geheimdienste nicht mehr mitlesen konnten.

          Stefan Tomik

          Redakteur in der Politik.

          Entwickelt hatte das Programm der Kryptograph Phil Zimmermann aus Boulder in Colorado. Der Bedienungsanleitung fügte er ein kleines Manifest bei. Ein Zitat Mahatma Gandhis stand darüber, dann spannte Zimmermann einen Bogen von der amerikanischen Verfassung zu einem Gesetzesvorhaben von 1991 zur Bekämpfung der Kriminalität. „Darin ist eine beunruhigende Maßnahme vergraben“, schrieb er. „Die Produzenten von Software für sichere Kommunikation würden dazu verpflichtet, spezielle ‚Hintertüren‘ einzubauen, so dass die Regierung jedermanns verschlüsselte Nachrichten lesen könnte.“ Statt das Programm zu verkaufen, wie ursprünglich geplant, stellte Zimmermann den Code ins Internet und gab ihn für jedermann frei, damit sich das Programm schnell verbreite. „PGP ermächtigt die Menschen, den Schutz ihrer Privatsphäre selbst in die Hand zu nehmen“, schrieb er. Und: „Wenn Privatsphäre gesetzlos wird, werden nur Gesetzlose noch eine Privatsphäre haben.“

          Die geplante Hintertür-Klausel kam nie ins Gesetz, aber Zimmermann geriet ins Visier des FBI. Starke Verschlüsselungssoftware galt als Rüstungsgut wie Maschinengewehre oder Panzer, ihr Export war verboten. War die Veröffentlichung im Internet solch ein verbotener Export? Drei Jahre ermittelte das FBI, Anklage wurde nicht erhoben. Die Software hatte sich längst zu weit verbreitet um sie wieder einzufangen. Der PGP-Code wurde, gedruckt zwischen Buchdeckeln, legal exportiert und von Dutzenden Freiwilligen abgetippt. Das Programm ist beliebt bei Unternehmen, Menschenrechtsorganisationen und Dissidenten. Und bei Kriminellen natürlich.

          „Derzeit stellen wir das nicht bereit“

          Dieses Dilemma ließ sich nie lösen. Es befeuerte auch die Diskussion in Deutschland in den neunziger Jahren. Auf einem Sicherheitskongress im April 1997 sprach Bundesinnenminister Manfred Kanther (CDU) noch von einem „berechtigten Interesse, verbindlich den Gebrauch solcher Verschlüsselungssysteme in Computernetzwerken vorzuschreiben, die das legale Abhören nach entsprechenden richterlichen Verfügungen ermöglichen“. Also eine Hintertür offenzuhalten. Aber auch Kanther konnte sich nicht durchsetzen. Schon kurz darauf begann die Bundesregierung, den Einsatz von GnuPP zu fördern, einem Ableger von PGP.

          Von März 2002 an verteilte das Bundeswirtschaftsministerium - damals unter Führung des SPD-Politikers Werner Müller - CDs mit der freien Software. Ohne Hintertür. E-Mails seien offen wie Postkarten, hieß es in einer beiliegenden Broschüre. „Die Sache ist sogar noch schlimmer: die Computertechnik bietet nicht nur die Möglichkeiten, die vielen Millionen E-Mails täglich zu befördern und zu verteilen, sondern auch, sie zu kontrollieren.“

          Elf Jahre später, inmitten der Empörung über Spähaktionen ausländischer Geheimdienste, ruft nun sogar Bundesinnenminister Hans-Peter Friedrich (CSU) die Bürger zum Verschlüsseln auf. Doch die Sache hat einen Haken: Verschlüsselte E-Mails von Bürgern kann der Minister angeblich gar nicht empfangen. „Derzeit stellen wir das nicht bereit“, heißt es in der Pressestelle des Ministeriums. Wenn Bürger also die Software nutzen wollen, die das Wirtschaftsministerium verteilt hat, können sie den Innenminister nicht erreichen.

          Auch die meisten Abgeordneten des Deutschen Bundestags sind so nicht erreichbar, mit PGP ist nur eine kleine Minderheit vertraut. Als Standard bietet der Bundestag eine andere Verschlüsselungstechnik an, von der etliche Abgeordnete nicht wissen, wie man sie bedient. Das zeigt eine Umfrage dieser Zeitung, an der sich 126 Politiker aller Fraktionen beteiligten. Zwar gibt die Hälfte der Abgeordneten an, schon einmal eine verschlüsselte Mail gesendet zu haben. 71 Prozent setzen diese Technik in ihrer täglichen Arbeit aber nie ein.

          Das wäre auch nicht nötig, so lange die Abgeordneten untereinander, mit Ministerien, dem Bundesverfassungsgericht oder obersten Behörden wie der Bundesbank kommunizieren. Diese E-Mails erreichen das Internet gar nicht, sie verbleiben im „Netz des Bundes“, für dessen Integrität das Bundesamt für Sicherheit in der Informationstechnik zuständig ist. Die Sicherheitsgarantie der Behörde endet allerdings, wenn Abgeordnete mit Bürgern mailen oder eine andere als ihre offizielle Bundestags-Adresse verwenden. In der Umfrage gaben 54 Prozent an, für Mails im Zusammenhang mit ihrem Mandat auch externe Postfächer zu verwenden. 12 Prozent nutzen amerikanische Anbieter wie etwa Google-Mail.

          Wenn eine E-Mail verschickt wird, können viele mitlesen: Der Administrator des Firmennetzes, der Internetanbieter, der Mailanbieter, der Administrator des Zielnetzwerks oder ein Geheimdienst, der die Glasfaserleitung anzapft oder Zugriff auf die Daten des Mailanbieters hat. Verschlüsselung hilft dagegen, muss aber erst eingerichtet werden. Der Aufwand bemisst sich nach dem verwendeten System.

          Bei PGP muss der Empfänger der E-Mail einen öffentlichen Schlüssel bereitstellen, mit dem der Sender seine Nachricht codiert. Nur der Empfänger kann sie - mit einem geheimen privaten Schlüssel - decodieren. Das Verfahren erfordert Einarbeitung, ist aber vergleichsweise einfach. Die Schlüssel sind nicht geheim, sie lassen sich automatisiert an E-Mails hängen oder auf der Internetseite veröffentlichen. Und das Verfahren ist kostenlos.

          „Wer zahlt das schon?“

          Der Bundestag setzt seit 2006 auf eine andere Technik: „S/Mime“ (Secure/Multipurpose Internet Mail Extensions). Dabei muss eine vertrauenswürdige dritte Stelle, in diesem Fall die Deutsche Telekom, die Echtheit des E-Mail-Absenders garantieren. Der Einsatz von S/Mime ist komplizierter - und teuer. Bürger, die ihren Abgeordneten verschlüsselt mailen wollen, müssen sich erst ein eigenes Zertifikat beschaffen und installieren. Fast alle Anbieter verlangen Geld dafür, ein Zertifikat kostet zwischen zwanzig und fünfzig Euro im Jahr. „Wer zahlt das schon, wenn explizit ein kostenfreies E-Mail-Konto angelegt wurde?“, fragt der CDU-Abgeordnete Axel Knoerig. Es gibt zwar kostenlose Zertifikate, aber sie werden nicht von jedem E-Mail-Programm unterstützt, mitunter erhalten die Empfänger der Mail dann eine Warnmeldung. Viele dieser Firmen sitzen im Ausland, und nicht immer ist klar, ob man ihnen vertrauen kann.

          Sodann muss sich der Anwender auch noch das Zertifikat des Abgeordneten beschaffen, dem er schreiben möchte, und es ebenfalls installieren. Zu finden sind die Zertifikate, etwas versteckt, im Adressbuch auf der Internetseite des Bundestages. Es gibt nur eine rudimentäre Anleitung, die mehr Fragen aufwirft, als sie beantwortet, und viele Nutzer scheitern: „Nach etlichen Rückmeldungen von Bürgerinnen und Bürgern, die mit verschlüsselten E-Mails von meinem Bundestags-Account erhebliche Probleme hatten bzw. E-Mails nicht lesen konnten, habe ich (...) auf die Verschlüsselung wieder verzichtet“, sagt die Abgeordnete Caren Ley (Linkspartei).

          Es gibt im Bundestag ein paar Verschlüsselungspioniere. Jimmy Schulz (FDP) ist einer von ihnen. Als in den Neunzigern die Kryptodebatte geführt wurde, studierte er an der Hochschule für Politik in München. Seine Diplomarbeit schrieb er 1999 über „Kryptographie im Internet“. Schulz verschlüsselt alle E-Mails, die er mit seinen Mitarbeitern austauscht und lässt sie sich auf seinen Laptop weiterleiten, auf dem das Betriebssystem Linux läuft. Es gilt als besonders sicher. Auch der netzpolitische Sprecher der Grünen, Konstantin von Notz, verschlüsselt seine E-Mails regelmäßig. Vor Jahren hat er sich in der IuK-Kommission, einem Selbstverwaltungsgremium des Bundestages, für das PGP-Verfahren eingesetzt. Die Frage, welche Programme in den Bundestagsbüros laufen, sei „eigentlich ein ewiges Thema“, so Notz. Erreicht haben die Grünen, dass eine Verschlüsselungssoftware auf PGP-Basis seit 2011 zwar nicht zur Standardausstattung gehört, aber immerhin angefordert werden kann. Zuständig ist die technische Abteilung der Bundestagsverwaltung, die die Hoheit über mehr als fünftausend Computer in den Büros des Bundestages hat.

          Eine Kryptoparty im Bundestag

          Es gibt im Bundestag auch dezidierte Verschlüsselungsskeptiker, vor allem in der Unionsfraktion. Dort sehen sechzig Prozent keine Notwendigkeit, ihre E-Mails zu schützen. Mit dieser Meinung müsse er sich „nicht verstecken“, sagt Reinhold Sendker (CDU). Sein Fraktionskollege Peter Bleser versendet „vertrauliche Dinge grundsätzlich nicht per Mail. Das wäre aus meiner Sicht naiv.“ Die FDP-Abgeordnete Nicole Bracht-Brendt schreibt: „Da ich mit meiner Tätigkeit fest auf dem Boden des Grundgesetzes stehe, muss ich keine größeren Vorsichtsmaßnahmen ergreifen als andere Bürger auch.“ Sarah Wagenknecht (Linkspartei) vermutet, „dass die Geheimdienste die üblichen Verschlüsselungsprogramme ohnehin knacken können und auch nicht davor zurückschrecken, dies zu tun, wenn sie wollen“. Ihre Parteifreundin Dorothee Menzner geht „als eine der vom Verfassungsschutz beobachteten Abgeordneten der Linksfraktion“ davon aus, dass ihre E-Mails „ohnehin überwacht werden“.

          Bei vielen Abgeordneten stiftet das Thema Verschlüsselung vor allem Verwirrung. Der CDU-Abgeordnete Enak Ferlemann schreibt, er verschlüssele seine E-Mails „nach den Vorschriften des Bundesdatenschutzgesetzes“, das solche Vorschriften allerdings nicht enthält. Sein Parteikollege Johann Wadephul wusste schon mit der Frage nichts anzufangen: Ob und wie sein E-Mail-Postfach verschlüsselt sei „entzieht sich meiner Kenntnis“. Die Erste Parlamentarische Geschäftsführerin der Linksfraktion, Dagmar Enkelmann, schreibt: „Ich gehe davon aus, dass alle von meinem Bundestags-Account verschickten E-Mails geschützt sind.“

          Anfang September soll es die erste „Kryptoparty“ im Bundestag geben. Kryptopartys sind für gewöhnlich Veranstaltungen, bei denen eingeweihte Hacker ihren unkundigen Mitbürgern erklären, wie man richtig verschlüsselt. Wegen der Datenaffäre sind solche Treffen zurzeit sehr beliebt. Im Bundestag will Jimmy Schulz die Sache selbst in die Hand nehmen. In den vergangenen Wochen hätten sich so viele Abgeordnete wie seit langem nicht mehr bei ihm gemeldet und gefragt, wie sie ihre Mails verschlüsseln können.

          Weitere Themen

          Neues Referendum bei No-Deal-Brexit Video-Seite öffnen

          Schottland droht : Neues Referendum bei No-Deal-Brexit

          Schottland hat für den Fall eines No-Deal-Brexits ein Unabhängigkeitsreferendum angekündigt. „Wir sollten dies dann 2020 ins Auge fassen“, sagte Sturgeon am Mittwoch bei einem Besuch in Berlin.

          Topmeldungen

          Emmanuel Macron am Dienstag bei einer Veranstaltung im Elysée-Palast

          Frankreich : Der Präsident entdeckt das einfache Volk

          Emmanuel Macron will in der zweiten Hälfte seiner Amtszeit stärker auf die Ängste ärmerer Franzosen vor Migranten eingehen – und stößt damit auf Widerstand.

          Die EU und Großbritannien : Warten auf Boris

          Einen Monat vor dem europäischen Gipfeltreffen, das Klarheit über den britischen EU-Austritt schaffen soll, wächst die Anspannung. Die EU hofft weiter auf konkrete Vorschläge aus Großbritannien. Doch die Zeit wird knapp.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.