Finger tippen auf einer Laptop-Tastatur | Bildquelle: picture alliance / Karl-Josef Hi

Verschlüsselte Kommunikation Ermittler wollen durch die Vordertür

Stand: 11.11.2019 18:39 Uhr

Verschlüsselte Kommunikation wie E-Mails ist für Ermittler ein Problem. Dabei erlauben die Gesetze umfangreichen Zugriff, wie ein aktueller Fall zeigt: Ein Gericht zwingt einen Anbieter, Daten unverschlüsselt herauszugeben.

Von Florian Flade, WDR

Am Rande des Hannoveraner Studentenviertels Linden residiert das Unternehmen Tutanota. Das 2011 gegründete Start-Up bietet verschlüsselte Kommunikation per E-Mail an und wirbt damit, der "weltweit sicherste E-Mail-Service" zu sein. Sechs Millionen Kunden hat die Firma nach eigenen Angaben inzwischen. "Die eingebaute Verschlüsselung garantiert, dass Deine Mailbox nur Dir gehört", steht auf der Webseite. "Niemand sonst kann Deine Daten entschlüsseln oder lesen."

Im Oktober 2018 bekam Tutanota Post aus Itzehoe. Das dortige Amtsgericht forderte den Geschäftsführer Matthias Pfau auf, die E-Mails seines Dienstes der Polizei zur Verfügung zu stellen - und zwar unverschlüsselt und in Echtzeit. Hintergrund war ein sogenannter "Ransomware"-Fall: Das Landeskriminalamt in Schleswig-Holstein ermittelte gegen Hacker, die mehrere Unternehmen aus Itzehoe mit einer Schadsoftware erpresst haben sollen. Dabei verwendeten die mutmaßlichen Cyberkriminellen auch eine E-Mail-Adresse von Tutanota. Genau diese Kommunikation wollten die Ermittler nun überwachen.

"Sowas findet kein Mitarbeiter toll"

Das Unternehmen aber weigerte sich zunächst, die Daten herauszugeben. Geschäftsführer Pfau verwies darauf, dass man nicht in der Lage sei, den Inhalt der verschlüsselten Mails zu lesen. Sie wollten ihr Produkt auch nicht ändern und umbauen müssen. "Ich habe die Forderung für falsch gehalten, als das Schreiben bei uns ankam und ich halte sie bis heute für falsch", so Pfau. 

Das Amtsgericht Itzehoe sah das nach Informationen von WDR, NDR und "Süddeutsche Zeitung" anders. Fünf Monate, nachdem der erste Brief in Hannover eingegangen war, forderten die Richter von Tutanota die gesamten Inhalte der E-Mails herauszugeben, die nicht Ende-zu-Ende verschlüsselt sind. Tutanota sei gesetzlich dazu verpflichtet, den Strafverfolgern Zugang zu den E-Mails ermöglichen. Sie verhängten sogar ein Bußgeld von 1000 Euro gegen die Firma. Die Stimmung bei Tutanota sei danach entsprechend schlecht gewesen, erinnert sich Pfau. "Die Kern-DNA unseres Unternehmens ist Datenschutz. Sowas findet kein Mitarbeiter toll."

Kriminelle nutzen immer öfter Verschlüsselung

Der Staat zwingt ein Unternehmen, die Verschlüsselung seiner E-Mails aufzuheben - ein ungewöhnlicher Fall, der einen seit Jahren bestehenden Konflikt zwischen Strafverfolgern, Datenschützern und Internetwirtschaft verdeutlicht. Verschlüsselte Kommunikation ist ein Problem für die Polizei: Kriminelle nutzen immer öfter besonders geschützte Kommunikationswege, beispielsweise Messengerdienste wie Whatsapp oder Telegram. Oder eben Krypto-Emails wie jene von Tutanota. Für Ermittler ist eine Überwachung so nahezu unmöglich, sie werden "blind und taub". Die US-Bundespolizei FBI nennt das Problem daher auch schlicht: "going dark".

Um verschlüsselte E-Mails oder Chats trotzdem mitlesen zu können, arbeiten deutsche Sicherheitsbehörden daran, die Computer und Handys von Zielpersonen mit einer Überwachungssoftware zu infizieren. Dieses staatliche Spionageprogramm wird oft als "Bundestrojaner" bezeichnet. Eigentlich aber, so heißt es aus Sicherheitskreisen immer wieder, sollte die Polizei jedoch nicht ständig selbst zum Hacker werden. Man wolle keine Hintertüren in Software ausnutzen - es müsse eben auch durch die Vordertür gehen.

Apps von Facebook, Whatsapp und Threema auf einem Display
galerie

Verschlüsselte Messenger sind ein Problem für die Behörden.

Schutz vor Spionage

Daher streiten inzwischen Behörden, Politiker und Datenschützer: Die einen fordern, Kommunikation dürfe nicht so sicher werden, dass Strafverfolger nichts mehr überwachen können. Andere wiederum verlangen, dass mehr Daten verschlüsselt werden. Nur so könnten sich Unternehmen wie Bürger besser vor Kriminellen, vor Spionage durch Geheimdienste oder die Konkurrenz sowie vor dem Datenhunger der großen Tech-Konzerne schützen. In ihrer digitalen Agenda sah auch die Bundesregierung Kryptographie als Wettbewerbsvorteil. Deutschland, so hieß es, müsse "Verschlüsselungsstandort Nummer eins" werden. 

Das 2011 gegründete Start-up Tutanota passt eigentlich perfekt zu diesem Ziel. Wenn zwei Nutzer des E-Mail-Dienstes sich eine Mail schreiben, wird diese automatisch mit der besonders sicheren Ende-Zu-Ende-Verschlüsselung geschützt. Nur Sender und Empfänger können die E-Mail lesen - sie sind die einzigen, die die Schlüssel für die Kommunikation haben. Große Mail-Anbieter wie Google oder GMX bieten einen solchen Schutz nicht. Wenn ein Kunde eine E-Mail von einer Person bekommt, die keinen Tutanota-Account hat, dann ist diese automatische Ende-Zu-Ende-Verschlüsselung zwar technisch nicht möglich, allerdings verschlüsselt das Unternehmen laut eigenen Angaben die Nachricht automatisch mit einer anderen Verschlüsselung, sobald sie auf ihren Servern abgelegt wird.

Neue Funktion für Strafverfolger

Genau um diese Verschlüsselung ging es dem Amtsgericht Itzehoe. In ihrem Schreiben vom Oktober 2018 forderten sie von Tutanota, die gesamten Inhalte der nicht Ende-zu-Ende-verschlüsselten E-Mails des Verdächtigen herauszugeben. Im späteren Urteil wurde nochmal darauf verwiesen, dass die Firma dazu in Deutschland aufgrund des Strafprozessordnung (StPO) § 100a und Telekommunikationsgesetz (TKG) § 110 verpflichtet ist. 

Tutanota muss nun eigens für die Strafverfolger eine neue Funktion programmieren: Wenn für einen Account eine gültige Anordnung eines deutschen Gerichts vorliegt, kann das Unternehmen zusätzlich eine Kopie der nicht Ende-zu-Ende-verschlüsselten E-Mails erstellen, die auch die Ermittler lesen können. Dies geht aber nicht rückwirkend. Und: E-Mails mit Ende-zu-Ende-Verschlüsselung, also Mails, die nur zwischen Tutanota-Kunden verschickt wurden, können Tutanota und die Ermittler weiterhin nicht lesen. "Ich würde mich lieber um erweiterte Datenschutzfunktionen für unsere Kunden kümmern, als um erweiterte Zugriffsrechte für die Behörden", meint Pfau. Selbstverständlich halte man sich jedoch an die gesetzlichen Vorgaben und kooperiere mit den Behörden.

Kritik an Telekommunikationsgesetz

Welche Daten E-Mail-Anbieter weitergeben müssen, regelte zum Zeitpunkt des Itzehoer Gerichtsbeschluss das Telekommunikationsgesetz (TKG). Es stammt aus einer Zeit, in der Smartphones noch nicht weit verbreitet waren. Damals bedeutete Überwachung meistens, dass ein Telefonanbieter der Polizei einen Zugang zur Leitung freischaltet.

"Das Problem ist, dass die Mitwirkungspflichten, die das TKG den Providern auferlegt, relativ unscharf formuliert sind", meint Ulf Buermeyer, Jurist und Mitgründer der Gesellschaft für Freiheitsrechte. "Gerade im Technikbereich finde ich es sehr wichtig, dass die Gesetze präzise formuliert sind und genau beschreiben, was erlaubt ist und was nicht."

Jurist: Keine Chance gegen Aufforderung

Wenige Monate, nachdem das Hannoveraner Unternehmen Tutanota Post vom Itzehoer Amtsgericht bekommen hatte, fällte das Bundesverfassungsgericht einen Beschluss in Sachen TKG. Der Berliner E-Mail-Anbieter Posteo hatte dagegen geklagt, IP-Adressen von Kunden an Strafverfolger herauszugeben. Die Firma, die mit besonderer Datensparsamkeit wirbt, speichert diese Adressen nämlich gar nicht. Die Karlsruher Richter urteilten, dass Posteo diese Daten im Einzelfall herausgeben müsse.

Nach diesem Beschluss entschied Tutanota-Chef Pfau, sich nicht weiter gegen die Forderung vom Amtsgericht zu wehren. Wegen der weitgefassten Gesetzesgrundlage glaubt auch Buermeyer, dass Tutanota juristisch keine Chance gehabt hätte. Deshalb komme es "eher selten dazu, dass sich ein Provider in solchen Fällen wehrt".

Im Juni 2019 allerdings urteilte der europäische Gerichtshof, dass E-Mail-Unternehmen gar nicht als Telekommunikationsdienste zu bewerten seien. Da das deutsche TKG auf EU-Recht aufbaut, wäre es demnach nicht mehr auf E-Mail-Anbieter wie Tutanota anwendbar. Ein deutsches Urteil dazu wird bald erwartet. Der Mail-Anbieter Posteo setzt inzwischen keine Telekommunikationsüberwachungen mehr um, die auf Grundlage des TKG angeordnet wurden, wie das Unternehmen erklärt.

Update: Laut eines Urteils des europäischen Gerichtshofs vom Juni 2019 sind E-Mail-Anbieter nicht mehr als Telekommunikationsanbieter zu sehen und fallen dementsprechend nicht mehr unter das deutsche TKG. Der Artikel wurde an den entsprechenden Stellen korrigiert und präzisiert. Wir bitten den Fehler zu entschuldigen.

Über dieses Thema berichtete NDR Info am 11. November 2019 um 19:08 Uhr.

Darstellung: