sigkeit anlassloser Überwachungen und zur effektiven Kontrolle der Nachrichtendienste zu berücksichtigen
(vgl. Anlage 6 und 11).
2.1.2 Der „NSA Skandal“ - aus technologischer Sicht
Die globale Überwachungs- und Spionageaffäre hat offenbart, was viele in der Vergangenheit für nicht möglich hielten: Die flächendeckende elektronische Erhebung, Speicherung und Auswertung der Telekommunikationsdaten und des Internets sind technisch machbar! Die bisher eingesetzten Sicherheitsmechanismen müssen
hinterfragt und überarbeitet werden.
Das Ausnützen der technologischen Entwicklung (z. B. größere Speicherdichten, höhere Prozessorleistungen,
effizientere Suchalgorithmen) und die insgesamt höhere globale Vernetzung macht vieles möglich, was in der
Vergangenheit als utopisch galt. Darauf setzen die Überwachungssysteme, die der Öffentlichkeit im Zuge des
NSA-Skandals bekannt wurden: u. a. PRISM, Boundless Informant, Tempora, XKeyscore und Mail Isolation
Control and Tracking. Schaut man sich diese Verfahren an, stellt man erstens fest, dass praktisch kein IT-System mehr von Überwachung verschont ist. Zweitens ist festzuhalten, dass der Einsatz von sicheren Verschlüsselungsverfahren zwar nicht alles, aber doch vieles verhindert hätte.
Dass Netze nicht immer sicher sind, darauf habe ich bereits im 14. Tätigkeitsbericht (Nr. 30.5) hingewiesen. Ich
habe schon damals vorgeschlagen, das auch von Fachleuten favorisierte „Zwiebelmodell“ zu verwenden, bei
dem durch mehrere übereinanderliegende und einander verstärkende Sicherheitsmechanismen die Datensicherheit insgesamt gestärkt wird - was im Übrigen nach wie vor aktuell ist. Bereits 1992 habe ich den Einsatz von
Verschlüsselung für besonders schützenswerte Daten gefordert (vgl. 14. TB Nr. 30.3). Die Reaktion darauf war
kaum messbar, stattdessen verwies man auf die hohen Kosten und Akzeptanzprobleme bei Anwendern. Die
Kryptokontroverse verschärfte diese Diskussion Ende der 90er Jahre (vgl. 17. TB Nr. 8.10.2 ff.). Leider nahm
der Einsatz von Verschlüsselungsverfahren als sog. Datenschutzbasistechnologie trotz fallender Kosten für Systeme und Verfahren und besserer Bedienbarkeit kaum zu, wie ich in der Folgezeit bei Beratungen und Kontrollen feststellen musste. Ich nahm diese „Verschlüsselungsmüdigkeit“ zum Anlass, in meinen 18. Tätigkeitsbericht erneut auf das Problem hinzuweisen und den Einsatz anzumahnen (Nr. 8.5 ff.). Dabei wurden auch konkrete Verfahren, deren Sicherheit und Bedienbarkeit dargestellt. Die Reaktion auf meine Anregung war aber eher
bescheiden und wiederholte gebetsmühlenartig die hohen Kosten für die Verfahren und die angebliche Benutzerunfreundlichkeit. Meine Forderungen zum Einsatz von Verschlüsselungsverfahren musste ich deshalb stets
von neuem wiederholen, weil die Ergebnisse aus den Beratungs- und Kontrollbesuchen keine Besserung zeigten. Ich zitiere hier aus dem 21. Tätigkeitsbericht für die Jahre 2005 und 2006 (Nr. 4.4.2): „Leider musste ich
bei Beratungen und Kontrollen immer wieder feststellen, dass nur in wenigen Fällen entsprechende [Verschlüsselungs-]Verfahren eingesetzt werden.“ Den Hinweis habe ich im Berichtszeitraum 2007-2008 abermals aufgegriffen (vgl. 22. TB Nr. 8.2).
Wie die heutigen Erfahrungen aus dem NSA-Skandal und die chronologische Abfolge ergeben, hätte der frühzeitige Einsatz von Verschlüsselungsverfahren viele unberechtigte Informationsflüsse erschwert oder abgewehrt. Das BSI bietet beispielsweise ein Verschlüsselungsprogramm für Windows kostenlos an, das sowohl den
E-Mail-Verkehr schützt als auch die Speicherung der Daten in Dateien (Gpg4win). Aber auch auf dem freien
Markt gibt es Programme wie PGP, die bei geeigneter Wahl der Schlüssel hinreichende Sicherheit bieten. Nur
einsetzen müssen es die Nutzer schon.
Eine weitere Folge des NSA-Skandals ist die Verunsicherung vieler Bürgerinnen und Bürger. Sie stellen z. B.
Fragen zur Sicherheit ihrer Daten bei Behörden und Unternehmen, oder zu Schutzmaßnahmen aus technologischer Sicht. Bei Verfahren mit sensiblen personenbezogenen Daten, beispielsweise bei der Einführung der elek tronischen Gesundheitskarte, fordere ich daher nachdrücklich den konsequenten Einsatz von Verschlüsselungsverfahren zur Sicherung der Daten. Ohne angemessene IT-Sicherheit werden das Vertrauen in die Verfahren geschwächt und diese deswegen ungenügend genutzt. Als Konsequenz aus dem NSA-Skandal müssen meine For-
BfDI 25. Tätigkeitsbericht 2013-2014
– 37 –