Studien

Verschlüsselungsgesetze: Welche Regierungen beschränken die Verschlüsselung am stärksten?

Verschlüsselungsgesetze auf der ganzen Welt

Von privaten Gesprächen über WhatsApp bis hin zu vertraulichen Browserverläufen über VPNs spielt die Verschlüsselung eine wesentliche Rolle für unsere Meinungsfreiheit und Privatsphäre.

Doch angesichts der anhaltenden Versuche der Regierung, „Hintertüren“ in Verschlüsselungsdienste/-produkte zu schaffen, sehen sich viele Länder mit strengen Einschränkungen konfrontiert, wenn es um die Verwendung von Apps und Tools geht, die Kryptografie nutzen.

Um herauszufinden, wo die stärksten Einschränkungen bestehen, hat unser Forscherteam die Gesetzgebung von über 200 Ländern analysiert, um Folgendes zu sehen:

  • In welchen Ländern müssen Hersteller/Verkäufer eine Lizenz erwerben, bevor sie kryptografische Produkte/Dienstleistungen herstellen oder verkaufen?
  • In welchen Ländern gelten Import- und/oder Exportbeschränkungen für kryptografische Produkte/Dienstleistungen?
  • In welchen Ländern gibt es keine Ausnahmeregelung für den persönlichen Gebrauch auf Reisen mit verschlüsselten Laptops?
  • Welche Länder verpflichten Anbieter zur Herausgabe von Verschlüsselungsschlüsseln zu Strafverfolgungszwecken (unter Berücksichtigung der Frage, ob hierfür ein Haftbefehl erforderlich ist)?
  • Welche Länder verpflichten Endnutzer zur Herausgabe von Verschlüsselungsschlüsseln zu Strafverfolgungszwecken (unter Berücksichtigung der Frage, ob hierfür ein Haftbefehl erforderlich ist)?

Was haben wir gefunden?

Länder mit den stärksten Einschränkungen bei der Verschlüsselung

In der überwiegenden Mehrheit der Länder gibt es Beschränkungen für Verschlüsselungstechnologien, sei es durch Import-/Exportgesetze oder durch den Zugriff von Strafverfolgungsbehörden auf verschlüsselte Daten. Strengere Einschränkungen gibt es an Orten, an denen man sie erwarten könnte, zum Beispiel in Russland und China, aber auch in vielen anderen Ländern gelten starke Einschränkungen. Und da immer mehr Gesetze und Ermittlungsbefugnisse eingeführt werden, werden die Beschränkungen in den kommenden Monaten und Jahren nur noch zunehmen.

Obwohl beispielsweise Brasilien aufgrund seiner aktuellen Gesetzgebung zu den „freieren“ Ländern zählt, geschieht dies trotz der Versuche, weitere Beschränkungen durchzusetzen. Jüngste Gerichtsbeschlüsse haben versucht, WhatsApp und auch Facebook zu blockieren stand vor einem Rechtsstreit mit dem Land wegen mangelnder Kooperation bei strafrechtlichen Ermittlungen (was sogar zur Verhaftung des Vizepräsidenten von Facebook führte).

Kurz gesagt: Viele Länder gewähren ihren Bürgern zwar das Recht auf freie Meinungsäußerung und auf Privatsphäre, vereiteln dies jedoch, wenn es um Verschlüsselung geht, und nennen als Grund die nationale Sicherheit und schwere Verbrechen.

In welchen Ländern müssen Verschlüsselungsanbieter Daten für Strafverfolgungszwecke entschlüsseln?

Eine der größten Bedenken bei der Verschlüsselung ist der Zugriff, der den Strafverfolgungsbehörden gewährt wird, sei es durch einen Entschlüsselungsschlüssel oder durch die Verpflichtung der Anbieter, die Daten für sie zu entschlüsseln.

Wie die folgende Karte zeigt, haben viele Länder zumindest teilweise Zugriff auf die Verschlüsselungsschlüssel der Anbieter.

Verschlüsselungsanbieter

Eine Handvoll Länder, darunter China und Russland, haben beispiellosen Zugriff auf entschlüsselte Daten. In Russland beispielsweise gewährt das Sistema Operativno-Rozysknykh Meropriyatii (SORM – das System für operativ-ermittelnde Aktivitäten) dem russischen Bundessicherheitsdienst FSB Zugriff auf elektronische Nachrichten und die Schlüssel zu deren Entschlüsselung ohne gerichtliche Genehmigung.

In vielen europäischen, asiatischen und afrikanischen Ländern sowie in den Vereinigten Staaten gibt es Gesetze, die es den Strafverfolgungsbehörden ermöglichen, von Anbietern die Herausgabe von Verschlüsselungsschlüsseln und/oder die Entschlüsselung von Daten zu verlangen.

Im Vereinigten Königreich gewähren eine Reihe von Gesetzen den Strafverfolgungsbehörden das Recht, die Entfernung von Verschlüsselungstechnologien für verschiedene Kommunikationen zu verlangen. Abschnitt 49 des Regulation of Investigatory Powers Act 2000 besagt, dass, wenn sich geschützte Informationen im Besitz von Strafverfolgungsbehörden befinden, diese mit schriftlicher Genehmigung eines Richters eine Offenlegungspflicht für die Bereitstellung von Daten in verständlicher Form vorschreiben können. Die Strafverfolgung muss begründete Gründe dafür haben, dass jemand den Schlüssel zu den geschützten Informationen besitzt, dass die Offenlegung für die nationale Sicherheit, die Aufdeckung/Verhinderung einer Straftat notwendig ist oder dass die Offenlegung im Interesse des wirtschaftlichen Wohlergehens des Vereinigten Königreichs liegt und in einem angemessenen Verhältnis dazu steht was erreicht werden soll, und diese Offenlegung ist ohne die Auferlegung einer Anordnung nicht möglich.

In den Vereinigten Staaten sieht Abschnitt 103(a) des Communications Assistance for Law Enforcement Act von 1994 vor, dass Kommunikationsanbieter Abhörfähigkeiten sicherstellen müssen, wenn sie gerichtliche Anordnungen oder andere rechtmäßige Genehmigungen erhalten. Allerdings „ist ein Telekommunikationsanbieter nicht für die Entschlüsselung jeglicher von einem Abonnenten oder Kunden verschlüsselter Kommunikation verantwortlich oder dafür verantwortlich, dass die Regierung die Möglichkeit zur Entschlüsselung hat, es sei denn, die Verschlüsselung wurde vom Anbieter bereitgestellt und der Anbieter verfügt über die zur Entschlüsselung der Kommunikation erforderlichen Informationen.“ ”

Die meisten Gesetze verfügen über die gleichen Befugnisse wie die der Vereinigten Staaten und verlangen von Anbietern, alle Daten zu entschlüsseln, die sie selbst verschlüsselt haben, nicht jedoch Daten, die von anderen Anbietern oder den Benutzern selbst verschlüsselt wurden.

Eine Reihe anderer Länder erlassen unklare Gesetze, die den Strafverfolgungsbehörden die Möglichkeit geben, die Offenlegung verschlüsselter Informationen zu verlangen – oder Gesetze wurden in einer solchen Weise ausgelegt. In der Europäischen Union bietet beispielsweise die Ratsresolution vom 17. Januar 1995 über die rechtmäßige Überwachung der Telekommunikation einige Leitlinien zu den Gesetzen, die in den EU-Ländern hätten umgesetzt werden sollen.

In der Entschließung heißt es: „Wenn Netzwerkbetreiber/Dienstanbieter die Kodierung, Komprimierung oder Verschlüsselung des Telekommunikationsverkehrs veranlassen, verlangen die Strafverfolgungsbehörden von den Netzwerkbetreibern/Dienstanbietern, abgehörte Kommunikation en clair bereitzustellen.“ En clair bedeutet „im Klartext“ und kann daher als entschlüsselt interpretiert werden.

In welchen Ländern müssen Verschlüsselungsnutzer Daten für Strafverfolgungszwecke entschlüsseln?

Ein ähnliches Bild ergibt sich, wenn wir uns die Befugnisse der Strafverfolgungsbehörden ansehen, von Benutzern verschlüsselter Dienste/Produkte Entschlüsselungsschlüssel oder entschlüsselte Daten anzufordern.

Verschlüsselungsbenutzer

Die Gesetze decken in der Regel die Kommunikation oder den Zugang zu Computern ab und verlangen von den Besitzern eines Schlüssels, diesen auf Anfrage den Strafverfolgungsbehörden auszuhändigen oder sie beim Entschlüsselungsprozess zu unterstützen.

Auch hier gibt es in einigen Ländern keine spezifischen Gesetze, es gelten jedoch unklare Gesetze. In anderen Fällen verlassen sich Länder bei der Herausgabe der Daten möglicherweise stärker auf Dienstanbieter, z. B. in den Vereinigten Staaten, wo kein Gesetz den Strafverfolgungsbehörden ausdrücklich die Befugnis einräumt, von Benutzern die Herausgabe entschlüsselter Daten/Schlüssel zu verlangen.

Letztlich ist der Zugang zu den Daten von Verschlüsselungsanbietern durch eine „Hintertür“ der einfachste Weg, auf verschlüsselte Daten zuzugreifen, weshalb eine besorgniserregende Anzahl von Ländern versucht, solche Maßnahmen umzusetzen. Das beinhaltet:

  • Indiens anhaltender Kampf mit WhatsApp
  • Brasiliens jüngste Gerichtsbeschlüsse, WhatsApp und Current zu blockieren Fake-News-Rechnung die versucht, die Ende-zu-Ende-Verschlüsselung zu knacken
  • Gesetzentwurf der Vereinigten Staaten für Hintertürzugriff auf verschlüsselte Daten (im Juni 2020 dem Kongress vorgelegt).

Welche Länder benötigen Lizenzen für die Produktion oder Herstellung von Verschlüsselungsdiensten/-produkten?

In vielen Ländern Afrikas, des Nahen Ostens und Asiens gelten weitreichende Lizenzanforderungen. Dies bedeutet, dass die meisten Verkäufer oder Hersteller von Kryptografieprodukten vor dem Vertrieb eine Lizenz erwerben müssen. Auch in Frankreich gibt es eine solche Anforderung, wonach jede Person, die Kryptografiedienste anbieten möchte, dies dem Premierminister erklären muss.

Lizenzanforderungen für Kryptografie weltweit

Einige Länder, z.B. In der Türkei, Äthiopien, Tunesien und Mali gelten einige Lizenzanforderungen, aber nicht alle Anbieter von Kryptografiediensten müssen eine Lizenz erwerben. In Tunesien beispielsweise benötigt jedes Unternehmen, das Kryptographieprodukte für den eigenen persönlichen Gebrauch (oder vorübergehenden Gebrauch) importiert, keine Lizenz.

Eine Reihe von Ländern haben außerdem Gesetze erlassen, die es den zuständigen Ministerien ermöglichen, Lizenzanforderungen für Kryptografiedienste zu schaffen, scheinen aber bisher noch nichts umgesetzt zu haben. Dazu gehören die Bahamas und Barbados.

In welchen Ländern gelten Import-/Exportbeschränkungen für Kryptografiedienste/-produkte?

In einer weitaus größeren Anzahl von Ländern gelten bestimmte Beschränkungen für den Import und/oder Export von Kryptografieprodukten (oder Produkten, die Kryptografie enthalten, aber nicht ausschließlich für Verschlüsselungszwecke dienen). In den meisten Fällen erfordert dies, dass ein Unternehmen sein Unternehmen und sein Produkt bei der zuständigen Behörde in dem Land registriert, in das es importiert oder aus dem es exportiert. Dazu können auch einige technische Spezifikationen gehören.

Import- und Exportbeschränkungen für Kryptographie weltweit

Nicht wenige Länder mit umfangreichen Anforderungen an Kryptografielizenzen sehen zudem strenge Beschränkungen für den Import und Export dieser Produkte vor.

Beispielsweise sind für Länder innerhalb der Eurasischen Wirtschaftsunion (EAWU) – Armenien, Weißrussland, Kasachstan, Kirgisistan und Russland – eine Import-/Exportlizenz, eine Genehmigung und eine Registrierung der Meldung erforderlich, und es werden auch verschiedene Dinge analysiert, einschließlich einer Liste von kryptografische Algorithmen, die maximale Schlüssellänge, eine Liste der implementierenden Protokolle, wie die Verschlüsselung eingesetzt wird, welche Art von Daten verschlüsselt werden und wie die Daten verschlüsselt werden.

Die überwiegende Mehrheit der Länder mit Zollgesetzen beschränkt den Export von Kryptographieprodukten und/oder beschränkt den Import aus bestimmten Ländern. Viele davon sind Teil des Wassenaar-Abkommens (eine vollständige Liste finden Sie im Abschnitt zur Methodik) und/oder unterliegen dem EU-Recht. Diejenigen, die sich angemeldet haben Wassenaar-Abkommen :

  • Wir haben uns darauf geeinigt, nationale Exportkontrollen für bestimmte Artikel, z. B. Kryptografiedienste, beizubehalten
  • Wir haben vereinbart, über Transfers und Verweigerungen bestimmter kontrollierter Güter an Bestimmungsorte außerhalb der Vereinbarung zu berichten
  • Informationen über sensible Güter und Technologien mit doppeltem Verwendungszweck austauschen

Auch hier gibt es in einer Reihe von Ländern Gesetze, die es ihnen ermöglichen, Import-/Exportanforderungen für Kryptographieprodukte zu schaffen, aber sie scheinen bisher noch nichts in Kraft gesetzt zu haben.

In welchen Ländern gibt es keine „Ausnahmeregelung für den persönlichen Gebrauch“ für Reisende mit verschlüsselten Laptops?

Einige Länder verhängen nicht nur Import-/Exportbeschränkungen für Unternehmen, die Verschlüsselungsdienste anbieten, sondern haben auch klare Beschränkungen für diejenigen, die mit verschlüsselten Laptops reisen. Im Gegensatz dazu bieten einige der Länder, die Teil des Wassenaar-Abkommens sind, Reisenden eine „Befreiung für den persönlichen Gebrauch“ an.

Wohin kann man mit einem verschlüsselten Laptop reisen?

Bitte beachten Sie: Während in den oben genannten Ländern klare Einschränkungen/Ausnahmen gelten, können Reisen in andere Länder eingeschränkt sein oder auch nicht. Es ist immer am besten, sich vorab bei dem Land zu erkundigen, in das Sie reisen, unabhängig davon, ob es Teil einer Vereinbarung ist oder nicht.

Methodik

Um die in jeder Kategorie geltenden Gesetze zu ermitteln, haben wir verschiedene Gesetze in jedem Land analysiert. Dazu gehören Strafprozessordnungen, Gesetze zur Cyberkriminalität, Kommunikations-/Telekommunikationsgesetze, Abhör-/Überwachungsgesetze und alle anderen relevanten Erlasse, Gesetze, Gesetze oder Beschlüsse.

Wir haben uns ausschließlich auf gesetzgeberische Befugnisse/Anordnungen und solche konzentriert, die sich hauptsächlich auf Kommunikationsanbieter, Internetdienstanbieter oder auf Computern gespeicherte bzw. über Computer abgerufene Daten auswirken.

Möglicherweise verfügt ein Land nicht über eine solche Gesetzgebung oder scheint über Schutzmaßnahmen zu verfügen, doch in der Praxis kann das Bild anders aussehen. Um jedoch zu vermeiden, dass unsere Ergebnisse subjektiv sind, haben wir nur das verwendet, was in jedem Land „gesetzlich“ zulässig ist. Wie bereits erwähnt, haben wir uns auch mit Rechtsvorschriften befasst, die so ausgelegt werden können, dass sie auch die Verschlüsselung abdecken, auch wenn diese nicht ausdrücklich erwähnt wird. In diesen Fällen haben wir nach mehrdeutigen Formulierungen gesucht, wie z. B. Anforderungen, Daten „verständlich“ zu machen, oder wir haben Beispiele von Telekommunikationsanbietern, z. B. Vodafone, gefunden, die das Gesetz so interpretieren, dass sie glauben, dass die Strafverfolgungsbehörden die Entschlüsselung von Daten innerhalb des Landes verlangen könnten.

Wo nichts gefunden wurde, haben wir das Land aus den Ergebnissen weggelassen. Das Fehlen von Rechtsvorschriften könnte darauf hindeuten, dass es keine Beschränkungen/Strafverfolgungsbefugnisse gibt. Der Genauigkeit halber haben wir diese Länder jedoch nicht aufgeführt.

Quellen

Eine vollständige Liste der Quellen finden Sie in unserer Tabelle: https://docs.google.com/spreadsheets/d/1dcPIqWYJ5fe0HY6pCbWixTi6B9U9yX7FLURBbko5d1g/edit?usp=sharing

^