Es klingt wie der Plot eines platten B-Movies: Eine Software oder ein Betriebssystem weist kritische Sicherheitslücken auf und der Hersteller tut nichts dagegen Nicht, weil er nicht will, sondern weil der Gesetzgeber es ihm verbietet. Genau das könnte aber bald Realität werden und zwar nicht in einem autoritären Land jenseits der See, sondern Mitten in Europa.
Die Bemühungen der Regierungen, die Sicherheitsarchitektur von Software zu untergraben, erreichen einen besorgniserregenden Höhepunkt. In Großbritannien wird derzeit nicht nur versucht, die Ende-zu-Ende-Verschlüsselung einzuschränken, sondern es besteht auch die Möglichkeit, dass Unternehmen zukünftig Sicherheitsupdates von der Regierung genehmigen lassen müssen. Die Gründe für diese Maßnahmen sind ebenso unglaublich wie verstörend.
Gesetzlich unsicher?
Die britische Regierung hat einen Gesetzesentwurf eingebracht, der Unternehmen dazu zwingen würde, die Nutzung von Ende-zu-Ende-Verschlüsselung zu unterbinden. Unternehmen wie Meta und Apple haben bereits angekündigt, sich aus Großbritannien zurückziehen zu wollen, anstatt die Sicherheitsarchitektur ihrer Systeme zu schwächen.
Nun wird die Situation noch absurder, wie ein IT-Sicherheitsdienstleister betont. Unternehmen könnten dazu verpflichtet werden, Sicherheitsupdates zur Behebung von Schwachstellen zur Genehmigung vorzulegen. Es besteht die Möglichkeit, dass diese Genehmigung verweigert wird, da die Regierung die Schwachstelle für eigene Zwecke nutzen möchte.
Abgesehen von der ethisch höchst fragwürdigen Komponente dieser Idee gibt es auch grundlegende Defizite. Sicherheitsforscher melden häufig Schwachstellen an Unternehmen, um eine Prämie zu erhalten. Allerdings ist es genauso wahrscheinlich, dass kriminelle Hacker solche Schwachstellen entdecken, ohne sie zu melden. Wenn eine solche Praxis zur Realität wird, wird dies zwangsläufig zu unsichererer und unzuverlässigerer Software führen.
Es ist beunruhigend zu sehen, wie die Bemühungen der Regierungen, vermeintlich für Sicherheit zu sorgen, letztendlich das Gegenteil bewirken könnten. Die Sicherheit der Systeme und die Privatsphäre der Nutzer müssen weiterhin Vorrang haben, um das Vertrauen in die digitale Welt aufrechterhalten zu können.