Verschlüsselungstool für Verbrecher?

Als ich vor ein paar Monaten an einem Security Event teilnahm, hatte ich die Möglichkeit, einen Ermittlungsmitarbeiter der Deutschen Polizei kennenzulernen. Zufälligerweise sass diese Person bei einem Nachtessen mir gegenüber. Meine Neugier war natürlich sehr gross, Informa­tionen zu bekommen, wie in Deutschland im Bereich Internetkriminalität ermittelt wird. Mein Gegenüber beschäftigt sich in seinem Bundesland ausschliesslich mit dem Thema Kinderpornographie. Als er dann von ein paar solchen Fällen erzählte, ohne dabei auf Namen oder andere sensitiven Informationen einzugehen, war ich ziemlich erschüttert. Als Familienvater macht man sich hier wohl speziell viele Gedanken. Das Ausmass dieser Verbrechen scheint unglaublich hoch zu sein. Er meinte, dass sie bei weitem nicht alles bearbeiten können. Die Ermittlungsbehörden kämpfen stark mit Personalknappheit. Teilweise
beobachten und infiltrieren sie potentielle Täter über Jahre.



Das typische Muster eines Täters entsprach denn auch überhaupt nicht meinen damals zugegebenermassen Klischee behafteten Vorstellungen. Auch die gefundene Menge von Kinderpornographie-Bildern war erschütternd. Da werden komplett gefüllte Harddisks mit entsprechenden Bildern konfisziert. Wie krank muss man sein, um so was zu tun, fragte ich mich immer wieder, ohne dabei wirklich eine Antwort zu finden. Bei den geschilderten Fällen waren auch Täter dabei, bei denen es sich um sozial gut integrierte und gebildete Menschen handelte. An einen Fall kann ich mich heute noch gut erinnern. Es handelte sich um einen extrem gut gebildeten und in seinem Fachbereich bekannten Akademiker. Dieser kannte sich auch sehr gut mit Verschlüsselungsmethoden aus, was die Ermittler vor grössere Probleme stellte. Der Täter hatte, um sich vor den hiesigen Behörden zu schützen, eine eigene Verschlüsselungssoftware programmiert. Und tatsächlich gelang es diesen trotz intensiver Analyse nicht, die Daten zu entschlüsseln. Trotzdem schafften es die Behörden, den Täter zu überführen, indem sie den Täter dazu brachten, das Passwort preiszugeben.

Als ich nun neulich auf meinem Notebook die OpenSource-Verschlüsselungssoftware TrueCrypt installierte, wurde ich aufmerksam auf eine Funktion, die unter dem Namen «Plausible Deniability» in den entsprechenden Anleitungen beschrieben wird. Dabei handelt es sich um eine Funktion, die es einem Benutzer erlaubt, innerhalb eines Verschlüsselung-Containers einen weiteren versteckten Bereich zu erstellen. Der äussere Container hat dabei ein unterschiedliches Passwort als der innere. Ein solch versteckter Bereich soll laut Aussagen der Autoren unmöglich zu identifizieren sein, da bei der Erstellung der ganze Bereich mit Zufallsdaten gefüllt wird und dieser sich nicht von effektiv verschlüsselten Daten unterscheiden lässt.




Die Idee der ganzen Funktion ist einfach nachzuvollziehen und wird auch offen kommuniziert. Im äusseren Bereich speichert der Benutzer absichtlich ein paar sensitive Daten ab, um die Aufmerksamkeit darauf zu leiten. Im inneren Bereich werden dann die wirklich sensitiven Daten abgelegt, die eventuell als Beweismittel für eine Straftat verwendet werden könnten. Wird der Anwender erpresst oder anderweitig unter Druck gesetzt, gibt er einfach das Passwort zum äusseren Bereich bekannt. Der Erpresser oder im Fall einer Behörde der Ermittler findet dann nur die paar absichtlich dort abgelegten sensitiven Daten.




Hier stellt sich unweigerlich die Frage, inwieweit eine solche Software rechtlich erlaubt sein darf, denn diese behindert sicherlich auch die Aufdeckung von Straftaten. Ich bin zwar ein Anhänger der Privatsphäre und des Datenschutzes, doch diese offensichtliche Bewerbung solcher Funktionen hinterlässt bei mir doch einen sehr fahlen Beigeschmack. Ich kann mir beim besten Willen nicht vorstellen, was für einen Nutzen diese Funktion haben sollte. Wenn jemand von einem Verbrecher erpresst wird, dann kann dieser einfach Gewalt anwenden, bis er die effektiven Daten bekommt. Was meinen Sie zu diesem Thema? Schreiben Sie mir Ihre Meinung!