Jetzt ist es müßig, darüber zu spekulieren, ob den Herrschaften bewusst ist, welchen Bärendienst sie der deutschen und europäischen Wirtschaft und insbesondere IT-Unternehmen erwiesen haben. Aktuelle Stellungnahmen aus dem politischen Umfeld lassen eher das Gegenteil vermuten. Und ich verkneife mir auch eine Analogie zu den angeblich so bösen Huawei-Produkten. Wir müssen uns aber fragen, welche Lehren man daraus ziehen kann.

Der Fall hat zwei durchaus interessante Aspekte: Es wurden Hardware-Appliances manipuliert, und die verwendeten Algorithmen waren, dem Konzept „Security through obscurity“ folgend, nicht öffentlich.

Die Nutzung von Hardware zur Verschlüsselung war lange Zeit alternativlos. Das hat sich in Zeiten, wo ganze Netzwerkinfrastrukturen und riesige Datenspeicher mit Standardservern virtualisiert werden, geändert: Hardware-Appliances werden seltener. Ist das ein Vorteil? Ich meine ja. Manipulationen an Software lassen sich nämlich einfacher nachweisen als an Hardware – vorausgesetzt, man kennt die Software.

Und damit sind wir beim Kernpunkt: In solchen sensiblen Bereichen wie Verschlüsselung muss der verwendete Algorithmus und die benutzte Software offengelegt werden. Diese Forderung ist alternativlos und muss ohne Abstriche durchgesetzt werden. Das Vertrauen, dass auf unsere Daten in öffentlichen Clouds nur von uns autorisierte Personen zugreifen können und dass wir über öffentliche Netze unausgespäht kommunizieren können, ist die Grundlage unserer offenen Gesellschaft und jeder Wirtschaftsbeziehung. Dieses Vertrauen kann nur durch vollständige Transparenz hergestellt werden.

Last but not least: Ich habe viel Verständnis für den Wunsch nach öffentlicher Sicherheit und nach wirksamen Werkzeugen beim Kampf gegen Kriminalität und Terrorismus. Aber hierfür starke Verschlüsselungsalgorithmen zu verhindern oder gar zu unterlaufen, ist definitiv der falsche Weg.