Staatlicher Zugriff auf verschlüsselte Daten

Dr. Gregor Ernst Johannes Hilger

doi:10.5771/9783689004231

Summary

The strength of data encryption is constantly increasing. This presents a growing challenge to state security authorities in their fight against crime and in averting danger in both the digital and analogue spaces. The author uses the perspective of fundamental rights to determine the extent to which cryptographic procedures can be legally regulated. He also addresses the question of whether and to what extent government agencies can keep widely unknown security vulnerabilities ('zero-day' vulnerabilities) secret. Areas of conflict and possible solutions are presented, linking fundamental rights issues with current technical developments.

Search publication

Bibliographic data

Copyright year: 2025
ISBN-Print: 978-3-68900-422-4
ISBN-Online: 978-3-68900-423-1
Publisher: Tectum, Baden-Baden
Series: Wissenschaftliche Beiträge aus dem Tectum Verlag: Rechtswissenschaft
Volume: 259
Language: German
Pages: 216
Product type: Book Titles

1. Vorwort No access
1. I. Bedeutung von Daten und ihre Verschlüsselung No access
2. II. Auswirkungen auf den staatlichen Schutz No access
3. III. Gang der Untersuchung No access
1. 1. 1. a) Kryptographie, Kryptoanalyse und Kryptologie No access
    2. b) Ver- und Entschlüsselung, Klar- und Geheimtext No access
    3. c) Abgrenzung zu steganographischen Verfahren No access
  2. 2. Zielsetzungen der Kryptographie No access
  3. 3. Rechtshistorische Einordnung No access
2. 1. 1. Symmetrische Verschlüsselung No access
  2. 2. Asymmetrische Verschlüsselung („public key“-Verschlüsselung) No access
  3. 3. Kombination aus symmetrischer und asymmetrischer Verschlüsselung (Hybride Verschlüsselung) No access
  4. 4. Hashfunktionen No access
3. 1. 1. Absolute und relative Sicherheit No access
  2. 2. Ausgangsszenarien No access
  3. 1. a) „Brute-Force“-Angriff No access
    2. b) Wörterbuchangriff No access
    3. c) Seitenkanalangriffe No access
    4. d) Weitere Angriffsvarianten No access
  4. 4. Ergebnis No access
4. 1. 1. a) Ausfuhr kryptographischer Produkte No access
    2. b) Nutzung kryptographischer Verfahren No access
    3. c) Mitwirkung Dritter bei der Entschlüsselung No access
  2. 1. a) Ausfuhr kryptographischer Produkte No access
    2. b) Nutzung kryptographischer Verfahren No access
    3. c) Mitwirkung Dritter bei der Entschlüsselung No access
    4. d) Zusammenfassung des rechtlichen Rahmens in anderen EU-Staaten No access
  3. 1. a) Nutzung kryptographischer Verfahren in liberalen Rechtsordnungen No access
    2. b) Nutzung kryptographischer Verfahren in restriktiven Rechtsordnungen No access
  4. 4. Ergebnis No access
1. 1. 1. Nationales Ziel einer Regulierung No access
  2. 1. a) Festlegung maximaler Schlüssellängen No access
    2. b) „Backdoors“ No access
    3. c) Hinterlegung von Schlüsseln No access
    4. d) Mitwirkungspflicht des Verschlüsselungsnutzers No access
2. 1. 1. a) Anwendbarkeit der JI-RL No access
    2. b) Verstoß gegen die JI-RL No access
  2. 1. a) Die Durchsetzungsschwierigkeiten im Ausgangspunkt No access
    2. b) Strafrechtliche Verfolgung als Lösung der Durchsetzungsschwierigkeiten No access
    3. c) Verstoß gegen Art. 3 Abs. 1 GG No access
3. 1. 1. Art. 10 Abs. 1 GG: Fernmeldegeheimnis No access
  2. 2. Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG: Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme No access
  3. 3. Art. 5 Abs. 1 GG: Recht der freien Meinungsäußerung No access
  4. 4. Ergebnis No access
4. 1. 1. Prüfungsmaßstab des Eingriffs No access
  2. 2. Eingriff durch die Festlegung maximaler Schlüssellängen No access
  3. 3. Eingriff durch „backdoors“ No access
  4. 4. Eingriff durch „key escrow“ No access
5. 1. 1. Legitimer Zweck und Geeignetheit einer Regulierung kryptographischer Verfahren No access
  2. 2. Erforderlichkeit einer Regulierung No access
  3. 1. 1. aa) Schwerer Eingriff No access
      2. bb) Milderung des schweren Eingriffs durch sektorspezifische Ausnahmen? No access
    2. b) Anlass bzw. Zweck eines Eingriffs No access
    3. c) Anlass der Regulierung der Verschlüsselung No access
    4. d) Maßnahme gegen den Gefahrverantwortlichen No access
    5. e) Zugriff auf den Kernbereich No access
  4. 4. Ergebnis No access
1. I. Definition einer „Zero-Day“-Schwachstelle No access
2. II. Fragestellung No access
3. 1. 1. Einfachgesetzliche Vorgaben im Umgang mit Sicherheitslücken No access
  2. 1. a) Konkrete staatliche Schutzpflicht No access
    2. 1. aa) Staatliche Schutzpflicht und Geheimhalten einer „Zero-Day“-Schwachstelle – Vergleich mit den „Steuer-CDs“ No access
      2. bb) Zusammenfassung der Ergebnisse No access
  3. 1. a) Nachrichtendienste des Bundes No access
    2. b) Bundeskriminalamt No access
    3. c) Bundesamt für Sicherheit in der Informationstechnik (BSI) No access
    4. d) Ergebnis No access
  4. 4. Kriterien des BSI zur Risikobewertung einer Sicherheitslücke No access
  5. 1. 1. aa) Ziele der NIS-2-Richtlinie und der Schwachstellen-Meldeprozesse No access
      2. bb) Meldepflichten nach der NIS-2-Richtlinie No access
    2. 1. aa) Verarbeitung personenbezogener Daten No access
      2. bb) Risiko und Folge eines Verarbeitungsvorgangs No access
      3. cc) Geplante Verarbeitungsvorgänge und geplante Abhilfemaßnahmen No access
      4. dd) Ergebnis No access
    3. c) Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) No access
    4. d) „Verbindliches Meldeverfahren zum Informationsaustausch über IT-Sicherheitsvorfälle“ vom 05.10.2017 No access
    5. e) Allgemeine Verwaltungsvorschrift über das Meldeverfahren gemäß § 4 Abs. 6 BSIG No access
    6. f) Die Polizeigesetze der Länder und die StPO No access
    7. 1. aa) Aufgaben und Struktur des BSI No access
      2. bb) Konkurrenz zu den IT-Sicherheitsbehörden der Länder No access
      3. cc) Ergebnis No access
  6. 6. Ergebnis No access
4. 1. 1. a) Wahrscheinlichkeit der Aufdeckung der Sicherheitslücke No access
    2. b) Wahrscheinlichkeit der Schließung der Sicherheitslücke No access
    3. c) Wahrscheinlichkeit der Entwicklung eines Patches No access
    4. d) Sektorspezifische Begrenzung der Missbrauchsmöglichkeiten einer Sicherheitslücke No access
    5. e) Anwendungsbereich des betroffenen Produkts No access
    6. f) Nutzen für bestimmte Sicherheitsbehörden No access
    7. g) Schwere der „Zero-Day“-Sicherheitslücke No access
    8. h) Zeitliche Komponente No access
    9. i) Ergebnis No access
  2. 1. 1. aa) Unabhängiges Bundesinstitut zur technischen Bewertung No access
      2. bb) Entfall der Aufsicht durch das BMI No access
      3. cc) Einrichtung eines zentralen Sekretariats No access
      4. dd) Ergebnis No access
    2. b) Neustrukturierung des Meldeverfahrens No access
    3. 1. (1) Präventiver Richtervorbehalt No access
        (2) Nachträgliche gerichtliche Kontrolle No access
      2. bb) Kontrolle innerhalb der Exekutive No access
      3. (1) Frage- und Informationsrechte des Parlaments No access
        (2) Parlamentarisches Kontrollgremium No access
        (3) Berichtspflicht an das Parlament No access
    4. d) Stärkere Transparenz und Information No access
    5. e) Ergebnis No access
1. I. Zusammenfassung und Ausblick No access
2. II. Zusammenfassung in Thesen No access
Literaturverzeichnis No access Pages 207 - 216