Deutscher Bundestag – 18. Wahlperiode
– 403 –
Drucksache 18/12850
Ein Informationsabfluss ist nicht nur bei dem Einsatz von Mobiltelefonen zu befürchten. Jegliche Informationen, die über eine Luftschnittstelle ausgetauscht werden, können durch ausländische Nachrichtendienste aufgeklärt werden. Dies gilt sowohl für
Datenverkehre bei Smartphones oder Tablet-PC, aber auch für Bluetooth-Verbindungen oder für Telefonie über schnurlose Telefone.“1635
II.
Empfehlungen von Sachverständigen zur Stärkung der Datensicherheit und des
Schutzes von IT-Infrastrukturen
Im Rahmen der Beweisaufnahme beschloss der Untersuchungsausschuss Sachverständige zu der Frage zu
hören, welche Abwehrmöglichkeiten sie gegen die Ausspähung von Daten empfehlen könnten und welche
Änderungen von Vorschriften und anderer staatlichen Rahmenbedingungen ratsam seien, um IT-Infrastrukturen sicherer zu gestalten. Die Sachverständigen formulierten daraufhin zum Teil in schriftlichen Gutachten
und zum Teil in der dazu durchgeführten öffentlichen Anhörung verschiedene Empfehlungen zu den aufgeworfenen Fragen, von denen hier die wesentlichen dargestellt werden.
1.
Technische Möglichkeiten
a)
Ende-zu-Ende-Verschlüsselung
Einhellig empfohlen wurde der Rückgriff auf die Möglichkeit der Ende-zu-Ende-Verschlüsselung, um sensible Daten zu schützen. Der Sachverständige Prof. Dr. Michael Waidner hat dazu ausgeführt:
„Erfreulicherweise kennt die IT-Sicherheit für das beschriebene Abhörproblem auch
schon seit langem die Lösung. In der Fachwelt herrscht Einigkeit darüber, dass Endezu-Ende-Verschlüsselung das geeignete Instrument ist, das Internet gegen Abhören zu
schützen. Ende-zu-Ende-Verschlüsselung bedeutet, dass Nachrichten vom Sender verschlüsselt werden, dann verschlüsselt durch das Netz laufen und erst beim endgültigen
Empfänger wieder entschlüsselt werden. Die Ende-zu-Ende-Verschlüsselung ist allen
anderen bekannten Ansätzen deutlich überlegen, selbstverständlich auch dem sogenannten Schengen-Routing oder einer Verschlüsselung nur auf den Verbindungen zwischen Servern.
Die flächendeckende Einführung von Ende-zu-Ende-Verschlüsselung setzt aber eine
Investition in Vertrauensinfrastrukturen, sogenannte Public-Key-Infrastrukturen, voraus. Solche PKIs sind erforderlich, um die korrekte Zuordnung eines Schlüssels zu
einer Person oder Organisation oder auch zu einem Objekt zu gewährleisten. Dadurch
kann man zum Beispiel Man-in-the-Middle-Angriffe durch betrügerisch untergescho-
1635)
Bedrohungsanalyse Berlin-Mitte, MAT A BPol-4/1, Bl. 61 (67 f.) (VS-NfD - insoweit offen).