Die sogenannte Taurus-Abhöraffäre erschütterte Anfang März die deutsche Öffentlichkeit. Vor gut drei Wochen publizierte Margarita Simonjan, Leiterin des russischen Fernsehsenders Russia Today, vertrauliche Gespräche zwischen deutschen Militärangehörigen. Damit wurden strategisch wichtige Überlegungen der Bundeswehr öffentlich, was die Debatte über Europas Unterstützung für die Ukraine – oder deren Fehlen – weiter anheizte.

Wie konnte das passieren? Der mutmaßliche Schuldige ist das Vertrauen des deutschen Militärs in unsichere Kommunikationssysteme. Offiziellen Quellen zufolge haben mehrere der an dem Gespräch beteiligten Beamten eine nicht ausreichend sichere Software und eine unsichere Leitung benutzt. Die Software ermöglicht Verschlüsselung, erzwingt sie aber nicht. Das genügte, um einen schwerwiegenden Sicherheitsverstoß zu verursachen.

Der Vorfall zeigt eines allzu deutlich: Private Kommunikation funktioniert nur dann, wenn alle mitmachen. Wird auch nur eine Person oder ein Endpunkt kompromittiert, ist oft das ganze Kommunikationsnetz betroffen. Das bedeutet, dass Datenschutz und IT-Sicherheit in den Kern unserer digitalen Infrastruktur eingebettet werden müssen. Wird Datenschutz hingegen nur als optionaler „Zusatz“ gesehen oder haben nur wenige Privilegierte Zugang zu der entsprechenden Infrastruktur, dann versagen die Sicherheitssysteme irgendwann. Und wenn das geschieht, versagen sie für alle.

Verschlüsselung ist ein kollektives Vorhaben

Jahrzehntelang war das Menschenrecht auf private Kommunikation ein umstrittenes Thema. Sicherheits- und Strafverfolgungsbehörden haben sich immer wieder gegen die Idee ausgesprochen, dass digitale Privatsphäre ein Standard für alle sein müsse. Diese ablehnende Haltung wurde in den 1990er Jahren zementiert, als das Internet von einer hypothetischen Idee zur Infrastruktur des täglichen Lebens wurde. Und die Argumente, die damals gegen die Privatsphäre vorgebracht wurden, sind auch heute noch geläufig: Nämlich dass eine weit verbreitete Verschlüsselung und die dadurch ermöglichte Privatsphäre kriminelle Aktivitäten erleichtern würde.

Natürlich waren die gleichen Organisationen, die sich gegen den Schutz der Privatsphäre für uns alle aussprachen, nicht allzu sehr daran interessiert, ihre eigene Kommunikation und eigenen Tätigkeiten offenzulegen. Während sie für Hintertüren und einen schwachen Datenschutz für die breite Masse plädierten, setzten sie sich gleichzeitig dafür ein, dass ihre Gespräche durch Verschlüsselung geschützt blieben. „Privatsphäre für mich, nicht für dich“, lautete ihre Haltung.

Das führte in der Praxis dazu, dass es „für niemanden von uns eine Privatsphäre gibt“. Und sie führte zum jüngsten Sicherheitsvorfall beim deutschen Militär.

In den Diskussionen über digitale Privatsphäre und Sicherheit wird oft übersehen, dass eine Ende-zu-Ende-Verschlüsselung ein kollektives Projekt ist und die Standardvorgabe sein sollte. Denn die Integrität einer verschlüsselten Kommunikation ist nur so stark wie ihr schwächstes Glied. Ein einziger Teilnehmer, der eine unsichere Verbindung nutzt, kann die Privatsphäre des gesamten Netzes gefährden. Deshalb ist die Einführung einer uneingeschränkten Ende-zu-Ende-Verschlüsselung eine der wenigen Strategien, die solche Risiken abfedern kann.

Verschlüsselung darf keine optionale Funktion sein

Die Taurus-Abhöraffäre verdeutlicht den Trugschluss, wonach Verschlüsselung eine optionale Funktion ist und man sich ausschließlich auf geschlossene, organisationsinterne Werkzeuge für sichere Kommunikation verlassen sollte.

Tatsächlich aber erfordert die Realität unserer vernetzten Welt eine ständige Kommunikation mit Personen innerhalb und außerhalb der Grenzen einer einzelnen Organisation – sei es für den Austausch wichtiger Informationen, die Koordinierung mit Verbündeten oder den alltäglichen, aber unverzichtbaren Austausch von Informationen des täglichen Lebens.

Darüber hinaus verändern sich die Netzwerke und Personen, mit denen eine bestimmte Person oder Organisation kommunizieren muss, häufig. Denn die Anforderungen und Schwerpunkte ihrer Arbeit wandeln sich. Genau wie die Welt, in der sie sich bewegen. Was sich indes nicht verändert: Kommunikation muss sicher und privat bleib.

Ironischerweise war es Stewart Baker, der ehemalige General Counsel des US-Geheimdienstes NSA, der dieses Dilemma in den 1990er-Jahren artikulierte – auch wenn er sich damit dagegen aussprach, die Privatsphäre der breiten Masse zu schützen.

Baker wies darauf hin, dass Verschlüsselung, wenn sie nicht standardmäßig eingesetzt wird, auch nicht weit verbreitet ist. Und damit wären selbst diejenigen, die sich um Verschlüsselung in bestimmten Kontexten bemühen – Kriminelle in seinem Beispiel –, der Überwachung ausgesetzt. Denn irgendwo und irgendwann würden sie einen Fehler machen. Oder sie müssten ihren Vater, ihre Freunde oder ihren Buchhalter über eine unverschlüsselte Leitung kontaktieren. Damit wäre ihre „Verschwörung“, wie Bakers es nannte, für die Sicherheitsdienste auffindbar. Denn nur die Standardverschlüsselung „für alle“ könne die Privatsphäre wirklich schützen.

Obwohl Baker damit gegen das Prinzip der Privatsphäre für jedermann argumentierte, unterstreicht seine Analogie unbeabsichtigt den Kern des Problems, mit dem wir derzeit konfrontiert sind: Ohne eine allgegenwärtige standardmäßige Ende-zu-Ende-Verschlüsselung ist jede Organisation – sei es eine Regierungsbehörde oder eine andere – dauerhaft ungeschützt.

Verschlüsselung geht über Technologie hinaus

Das unterstreicht, dass wir uns nicht nur auf die Technologie konzentrieren können, wenn wir die private Kommunikation verstehen wollen. Wir müssen berücksichtigen, wie Menschen miteinander kommunizieren.

Wir alle haben viele Beziehungen zu anderen Menschen um uns herum – von unseren Familien über unsere Freunde bis hin zu unseren Kolleginnen und Kollegen. Und diese Grenzen verschieben sich ständig: Unternehmen arbeiten routinemäßig mit Dritten zusammen, Kolleginnen werden zu Freunden, auch das Verhältnis zur Familie kann sich wandeln. Und regelmäßig teilen wir einer Partnerin oder einem Freund unseren Aufenthaltsort, unsere Vorhaben und andere vertrauliche Informationen mit.

Wenn nur ein Teil dieser Gespräche sicher verschlüsselt ist, bietet der Rest eine Angriffsfläche dafür, abgehört zu werden und unsere Privatsphäre zu verletzen – ganz so wie Baker feststellte. Aus diesem Grund reichen Systeme nicht aus, bei denen die Ende-zu-Ende-Verschlüsselung eine Option nur für einen Teil unserer Kommunikation, nicht aber der Standard für alle ist.

Die jüngste Sicherheitslücke in der deutschen Militärkommunikation ist ein schlagendes Argument dafür, allgemein zugängliche, sichere Kommunikationsplattformen einzusetzen. Und das ist auch der Grund dafür, dass Anbieter wie Signal und andere wirklich private Messaging-Apps anbieten, mit der jede Person, die sie nutzt, mit anderen Personen verschlüsselt kommunizieren kann.

Kommunikationswerkzeuge sind Teil der kritischen Infrastruktur

Diese Kommunikationsplattformen und -standards sind mehr als nur Werkzeuge. Sie müssen vielmehr als kritische Infrastruktur für das digitale Zeitalter verstanden werden. Sie stellen sicher, dass Privatsphäre und Sicherheit keine Privilegien sind, sondern Rechte, die für alle zugänglich sind.

Indem wir die Ende-zu-Ende-Verschlüsselung zum Standard machen und dafür sorgen, dass dieser Standard all jenen zur Verfügung steht, schützen wir nicht nur die Kommunikation zwischen hochrangigen Beamtinnen und Beamten, sondern auch das Menschenrecht auf Privatsphäre jeder einzelnen Person. Es ist ein Recht, das – wenn es für alle Menschen und überall gewahrt werden soll – über die Grenzen von Organisationen, Unternehmen und Nationen hinausgehen muss.

Um den Schutz der Privatsphäre für alle zu gewährleisten, müssen wir uns für Systeme einsetzen, die die Privatsphäre für alle gewährleisten. „Privatsphäre für mich, aber nicht für dich“ ist eine Idee, die sich schon in den 1990er Jahren als fataler Fehler erwiesen hat. Diejenigen von uns, die an das Menschenrecht auf Privatsphäre glauben, müssen sich für Optionen einsetzen, die dieses Recht für die breite Masse gewährleisten. Tun wir das nicht, gerät alles in Gefahr: vom Journalismus über abweichende Meinungen bis hin zur Kommunikation hochrangiger deutscher Militärs.

Meredith Whittaker ist Präsidentin der Signal Foundation. Sie hat den Thinktank AI Now Institute mitgegründet und war Professorin an der New York University. Bis 2018 arbeitete sie bei Google, wo sie die Abteilung Google Open Research gründete. Sie protestierte gegen Googles Militärkooperation im Zusammenhang mit dem Project Maven und war eine der Hauptorganisatorinnen des Google Walkouts, bei denen Mitarbeiter:innen gegen sexuelle Belästigung und Diskriminierung innerhalb des Unternehmens protestierten.