Praesidiumsarbeitskreis "Datenschutz und IT-Sicherheit" der Gesellschaft fuer Informatik (GI) Februar 1997 ============================================= ============================================= Anmerkungen zum Problem der Kryptoregulierung Ruediger Dierstein ============================================= ============================================= ** Kryptographie war ueber Jahrhundertehinweg eine ausschliessliche, streng abgeschirmte und wohlgehuetete Domaene ganz bestimmter Gruppen, fast durchweg aus den (ohnehin in sich sehr geschlossenen) Bereichen Politik und Verteidigung (Militaer). ** Der Bedeutung des Werkzeugs Kryptographie in diesen Bereichen angemessen, unterlag - und unterliegt in vielen Staaten noch immer - Kryptographie und alles, was an Forschung und Erfahrung mit ihr zusammenhaengt, der strengen, ja strengsten Geheimhaltung. Preisgabe von wissenschaftlichen Erkenntnissen, Erfahrungen aus der Praxis oder irgendwelchen anderen Einsichten, aus denen Schluesse ueber den Zustand oder die Nutzung kryptographischer Verfahren in einem bestimmten Land oder einer bestimmten Institution gezogen werden koennen, wurden und werden als Landesverrat eingestuft und dementsprechend verfolgt. ** Eine oeffentliche Diskussion ueber Verfahren, Einsatz, Bedrohungen oder andere, mit der Nutzung der Kryptographie zusammenhaengende Probleme war deshalb bis in die 70er Jahre voellig ausgeschlossen. Sie war und ist auch weiterhin immer wieder von Verboten bedroht. Die intensiven Bemuehungen verschiedener Laender, durch eine sogenannte "Kryptoregulierung" eine durch Rechtsverordnungen (Gesetze) vorgeschriebene Beschraenkung kryptographischer Verfahren zu erzwingen, ist eine konsequente Fortfuehrung der eingefahrenen Gedankengaenge. ** Auf einem voellig anderen Blatt steht, dass solche Art von Konsequenz unter VOELLIG neuen Erkenntnissen der Kryptologie und unter voellig veraenderten Einsatzbedingungen kryptographischer Verfahren anachronistisch und mit groesster Wahrscheinlichkeit fuer die Struktur einer sich als demokratisch verstehenden Gesellschaft in hohem Masse bedrohlich ist. Denn die Entwicklung der Informationstechnik in den letzten 10-20 Jahren - ein laengerer Zeitraum ist es tatsaechlich nicht -, in deren Folge heute jedermann (zumindest in den industriell entwickelten Laendern) in staendig wachsendem Masse aktiv an automatisierter Informationsverarbeitung und Kommunikation teilnimmt, hat der Kryptographie eine voellig neue Rolle zugewiesen. ** War sie bisher ueber Jahrhunderte hinweg bestgehuetetes Werkzeug einiger weniger, so ist sie jetzt, im Zeitalter weltweiter Kommunikation ueber Rechnernetze das (bislang) wichtigste Hilfsmittel, mit dem jedermann sicherstellen kann, * dass das, was er anderen mitzuteilen hat, nur von den von ihm bestimmten Partnern zur Kenntnis genommen werden kann und nicht von anderen, insbesondere nicht von unbefugten Dritten (Vertraulichkeit); * dass das, was er anderen mitzuteilen hat oder von anderen empfaengt, nicht unberechtigt und unbemerkt von Dritten verfaelscht werden kann (Integritaet); * dass er sicher sein kann, dass Absender und Empfaenger einer Nachricht auch tatsaechlich diejenigen sind, die sie zu sein vorgeben (Authentizitaet). ** Damit wird Kryptographie zu DEM Werkzeug, mit dessen Hilfe der einzelne in die Lage versetzt wird, sein Grundrecht auf informationelle Selbstbestimmung auch in einer von Computern und Netzen gepraegten Kommunikation wirksam wahrzunehmen. ** Nur dieses Werkzeug gibt ihm die Sicherheit, dass alle Vorgaenge des Alltags und des Berufslebens, die er mit Hilfe der Telekommunikation abwickelt, vom einfachen Einkauf angefangen bis hin zum komplexen Dokumentenaustausch in Geschaeftsvorgaengen aller Art, dass diese Vorgaenge auch ueber Netze mit der gleichen Verlaesslichkeit und Beherrschbarkeit ablaufen, die er in allen Formen klassischer Kommunikation und Kooperation seit alters her gewohnt war. ** Diese Zusammenhaenge einer breiteren Oeffentlichkeit, ja auch nur einem Kreis von Nichtfachleuten klar zu machen, stoesst auf ganz erhebliche Schwierigkeiten: * Die Zusammenhaenge und die grundsaetzliche Bedeutung der Kryptographie fuer kuenftige alltaegliche Ablaeufe werden bislang nur von ganz Wenigen eingesehen, die sich intensiv mit dem Wandel der Kommunikation befasst haben. * Wie kryptographische Verfahren sich auf Verlaesslichkeit und Beherrschbarkeit von Telekommunikation und Telekooperation auswirken, wie damit kuenftig Verhaltensweisen der Benutzer und folglich die Struktur unserer Gesellschaft beeinflusst und veraendert werden, koennen in aller Regel nur die abschaetzen, die Funktionsweise und Wirkung von Kryptosystemen hinreichend genau durchschauen. * Die Funktionsweise kryptographischer Verfahren und damit die Bedeutung von Schluesseln und Schluesselverwaltung einem breiteren Personenkreis, insbesondere Nicht-Mathematikern wirklich einsichtig zumachen, stoesst aber auf fast unueberwindliche Schwierigkeiten. Das liegt nicht an denen, die mehr ueber Kryptographie erfahren moechten. Es liegt in der Sache selbst, in der dem normalen Buerger, auch dem Absolventen eines Gymnasiums, fremden und nur schwer zugaenglichen Art der Mathematik, auf der moderne kryptographische Verfahren aufbauen. ** Es wird sehr schwer fallen, nach nur wenig mehr als zehn Jahren einer ganz anderen, voellig neuartigen Entwicklung in der Telekommunikation, die in Jahrhunderten in manchen Institutionen gewachsenen Vorbehalte gegen eine freie Diskussion kryptologischer Fragen und eine freie Nutzung der Verfahren abzubauen. ** Ein letzter Hinweis, dessen Gewicht jedoch kaum abschaetzbar ist: * Wissen oder Nichtwissen in der Kryptologie ist ein entscheidender Faktor fuer alle Formen der Ausforschung bis hin zur Spionage. Dies gilt nicht nur fuer die klassischen Krypto-Gebiete Politik und Verteidigung, sondern auch fuer alle anderen Lebensbereiche, insbesondere fuer die gesamte Wirtschaft in dem Masse, in dem sie zunehmend auf Telekommunikation und Telekooperation angewiesen sind. Verlaesslichkeit und Beherrschbarkeit der vertraulichen Kommunikation werden damit lebenswichtig fuer die gesamte Gesellschaft. Dies offen und oeffentlich zur Sprache zu bringen, ist aber - wegen des vorherrschenden Zusammenhangs mit den Interessen des Staatsschutzes und der Verteidigung - weiterhin ein Politikum ersten Ranges, moeglicherweise aber ein fuer den Fortgang der Diskussion um eine Kryptoregulierung entscheidendes. Bonn, im Januar 1997 Ruediger Dierstein Sprecher des GI-Praesidiumsarbeitskreis "Datenschutz und IT-Sicherheit"