Strafrechtliche Randbedingungen

zurück Inhalt weiter

Strafbare Täuschung bei Authentisierung

In der traditionellen Kommunikation ist die arglistige Täuschung mit Strafe bedroht. Wäre sie risikolos, so könnte sie ein sehr einträglicher Erwerbszweig werden (vielleicht ist sie es ohnehin), vor allem aber wären Handelsgeschäfte viel komplizierter, weil die Partner jeden Vorgang vorher wesentlich genauer überprüfen müssten.

Die digitalen Techniken waren zunächst ungewohnt und daher vom Strafrecht nicht immer abgedeckt. Das Datenschutzrecht bietet mittlerweile einen akzeptablen Schutz gegen Täuschungsversuche bei digitaler Kommunikation, vorausgesetzt, die arglistige Täuschung ist nachweisbar.

Dieses Problem ist juristisch analog zu dem des Nachweises des erfolgreichen Brechens einer Chiffre. Um etwa ein Gericht zu überzeugen, dass die Polizei eine kompromittierende Nachricht richtig entschlüsselt hat, muss nachgewiesen werden, dass mit den eingesetzten Techniken einem zufälligen "Buchstabensalat" keine sinnvolle Mitteilung zu entlocken wäre. Mit ähnlichen Techniken lässt sich nachweisen, dass ein Verdächtiger Eingriffe versucht hat, die durch harmloses "Herumprobieren" nicht zu erklären sind.

Reglementierung der Chiffrierung

Die Obrigkeiten vieler Staaten beunruhigt der Gedanke, dass ihre "Untertanen" in großem Umfang chiffriert kommunizieren könnten. Dadurch würden nämlich die Eingriffsmöglichkeiten, die die meisten Staaten in die Privatsphäre ihrer Bürger haben, (Postüberwachung, Telefonabhören, "Lauschangriff") entscheidend eingeschränkt. Zwar ist das mit Funk- oder Richtmikrofonen abgehörte persönliche Gespräch schwer zu verschlüsseln, bei Briefen (Papier oder digital), Telefaxen und Telefongesprächen ist die Chiffrierung jedoch technisch eine Kleinigkeit, ebenso beim Datenaustausch zwischen Rechenanlagen.

Daher tendieren manche Staaten dazu, die Verwendung kryptografischer Techniken zu reglementieren, sie im Extremfall selbst unter Strafe zu stellen, unabhängig davon, ob damit eine Straftat begangen wurde. Nach dem Motto "ein guter Staatsbürger hat nichts zu verbergen" wird vorgeschlagen, jeden verwendeten Schlüssel bei einer Behörde zu hinterlegen.

Hier ist eine interessante Analogie zu beobachten: Im Prinzip können sich Kriminelle vor dem Zugriff der Polizei dadurch schützen, dass sie sich in einen gepanzerten Raum zurückziehen. Hier vertraut die Obrigkeit aber darauf, dass sie stark genug ist, um im Notfall jedes Schloss und jede Panzerung aufzubrechen.

In ähnlicher Weise scheinen Behörden und Geheimdienste wie BSI und NSA darauf zu vertrauen, dass es ihnen gelingt, in der Kryptografie die Nase immer weit genug vorn zu haben, um die Chiffren von verdächtigen Personen und Organisationen zu brechen. Dazu haben sie unter anderen drei Möglichkeiten:

Allerdings scheint bei manchen Verfahren, insbesondere RSA, die Möglichkeit, durch lange Schlüssel die Sicherheit zu steigern, derzeit nicht durch Rechenleistung und Forschungsvorsprung kompensierbar zu sein. Daher greift der Staat hier wieder zum Mittel der Reglementierung; so verbietet die Regierung der USA den Export von RSA-Krypto-Software mit einer Schlüssellänge von mehr als 40 Bits. Das entspricht Dezimalzahlen mit etwa 12 Stellen, die sich mit jedem PC in kürzester Zeit faktorisieren lassen. Für die USA selbst sind 128 Bits zugelassen, entsprechend gut 38 Dezimalstellen; auch solche Zahlen sind einem ernsthaften Angriff nicht gewachsen. Experten empfehlen, nicht weniger als 512 Bits, möglichst aber 1024 zu verwenden. Eine Liste wichtiger Fragen zu dieser Thematik (mit möglichen Antworten) findet sich im PGP-FAQ (Teile verfügbar auch hier und hier).

Natürlich beschäftigen sich auch viele private oder universitäre Stellen mit dieser Thematik. Interessant ist die Online-Zeitschrift Telepolis, zum Beispiel Der lange Marsch. Beispiele finden sich hier", hier, ... weiter