Ein breites Bündnis aus Zivilgesellschaft, Wissenschaft, Politik und Wirtschaft warnt vor den fatalen Konsequenzen der Pläne des Bundesministerium des Innern. Medienberichten zufolge plant das Ministerium, Anbieter von Messenger-Diensten zur gezielten Schwächung ihrer Verschlüsselungssysteme zu verpflichten. Die Digitale Gesellschaft gehört zu den Unterzeichnern des offenen Briefs.
Offener Brief an das Bundesministerium des Innern, für Bau und Heimat
AN:
Bundesministerium des Innern, für Bau und Heimat
IN KOPIE:
Auswärtiges Amt
Bundesministerium der Justiz und für Verbraucherschutz
Bundesministerium für Wirtschaft und Energie
Bundesamt für Sicherheit in der Informationstechnik
11. Juni 2019
Betreff: Geplanter Eingriff in Verschlüsselung von Messenger-Diensten hätte fatale Konsequenzen
Sehr geehrte Damen und Herren,
das Bundesministerium des Innern, für Bau und Heimat plant laut Medienberichten eine Gesetzesänderung, um es deutschen Polizei- und Sicherheitsbehörden künftig leichter zu machen, Zugriff auf die digitale Kommunikation von Verdächtigen zu erhalten. Dafür sollen Anbieter von Messenger-Diensten wie beispielsweise Whatsapp, Threema oder iMessage gesetzlich verpflichtet werden, ihre Verschlüsselungstechnik so umzubauen, dass Behörden bei Verdachtsfällen die gesamte Kommunikation von Nutzer:innen mitschneiden können.
Wir warnen ausdrücklich vor einem solchen Schritt und fordern eine sofortige Abkehr von diesem oder ähnlichen politischen Vorhaben auf deutscher wie europäischer Ebene. Die vorgeschlagene Reform würde das Sicherheitsniveau von Millionen deutscher Internet-Nutzer:innen schlagartig senken, neue Einfallstore für ausländische Nachrichtendienste und Internetkriminelle schaffen sowie das internationale Ansehen Deutschlands als führender Standort für eine sichere und datenschutz-orientierte Digitalwirtschaft massiv beschädigen. Statt bereits seit Jahren überholte Reform-Ideen umzusetzen, sollte das Bundesministerium des Innern, für Bau und Heimat aus unserer Sicht einen neuen sicherheitspolitischen Weg einschlagen und Vorschläge entwickeln, die die Arbeit der Polizei- und Sicherheitsbehörden verbessern, ohne dabei aber die Sicherheit von IT-Systemen und privater Kommunikation in Deutschland insgesamt verschlechtern.
Unsere Kritik im Detail:
Die deutsche Kryptopolitik
Ende Mai wurde bekannt, dass das Bundesministerium des Innern, für Bau und Heimat plant, die bestehende TKG-Regulierung auf verschlüsselte Messenger wie WhatsApp, Signal, Threema, Wire oder Telegram auszuweiten. Konkret bedeutet dies: Die Betreiber dieser Dienste müssen ihre Software so umgestalten, dass die Inhalte der Nachrichten unverschlüsselt an Sicherheitsbehörden weitergegeben werden können. Sollten die Betreiber dies ablehnen, so würden ihre Dienste in Deutschland gesperrt. Wie eine technische Umsetzung der Hintertüren in den Messengern aussehen könnte, beschreiben Vertreter:innen des britischen GCHQ in ihrem “Ghost Proposal”1. Dieser Vorschlag wurde erst vor Kurzem von einer internationalen Allianz aus Wirtschaft, Wissenschaft und Zivilgesellschaft in einem offenen Brief stark kritisiert.2
Der BMI-Vorschlag konterkariert 20 Jahre erfolgreiche Kryptopolitik in Deutschland3. In den Eckpunkten der deutschen Kryptopolitik aus dem Jahre 19994 einigte sich die damalige Bundesregierung auf ein Prinzip, das unter der Maxime “Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung” bekannt wurde. Dieser Grundsatz wurde seitdem mehrfach von Seiten der nachfolgenden Bundesregierungen bestätigt. Noch 2014 wollte Deutschland sogar zum “Verschlüsselungsstandort Nr. 1”5 in der Welt aufsteigen. Ein Bruch mit diesen Bekenntnissen würde der IT-Sicherheit Deutschlands in Verwaltung, Wirtschaft und Gesellschaft nachhaltig schaden.
Auswirkungen auf die IT-Sicherheit
Die geplante Verpflichtung der Messenger-Betreiber würde dazu führen, dass die Betreiber eine Schwachstelle in ihre Software einbauen müssten. Das erfordert einen tiefen Eingriff in die bestehenden komplexen Softwaresysteme der Betreiber. Diese Schwachstelle könnten von Nachrichtendiensten und Kriminellen ausgenutzt werden, um an sensible Informationen von Individuen, Behörden und Firmen zu kommen. Aktuelle Beispiele6 zeigen, dass die Absicherung eines Messengers schon komplex genug ist, ohne dass dort zusätzlich gezielt Schwachstellen eingebaut werden und so die IT-Sicherheit zusätzlich gefährdet wird.
Gleichzeitig würde dieser Schwachstelle-Einbau es Mitarbeiter:innen bei den Betreibern ermöglichen, Kommunikationsinhalte einsehen zu können, was aktuell nicht möglich ist. Hierdurch erhöht sich nicht nur das Missbrauchspotenzial. Eine zentrale Ablage der dazu benötigten kryptographischen Schlüssel7 würde auch ein primäres Ziel für Angreifer:innen darstellen, der im Fall eines erfolgreichen Angriffs zur Offenlegung der Kommunikation aller (!) Nutzer:innen führen könnte (Single-Point-of-Failure).
Hinzu kommt, dass die neue Version des jeweiligen Messengers mit Hintertür als Softwareupdate eingespielt werden müsste. Hier würden dann entweder alle deutschen Nutzer:innen oder ausgewählte deutsche Nutzer:innen dieses mit der Hintertür versehene Update eingespielt bekommen. Dieser Vorgang würde das Vertrauen der Verbraucher:innen in Sicherheitsupdates erschüttern und sich damit nachhaltig negativ auf die IT-Sicherheit in Deutschland auswirken.
Sollten die Messenger-Betreiber die vorgesehene Maßnahme nicht umsetzen, sollen laut Plan des Innenministeriums ihre Dienste in Deutschland gesperrt werden. Das wäre auch die einzige Möglichkeit, wie die zuständigen Behörden mit Messengern umgehen könnten, deren Verschlüsselung ohne einen zentralen Betreiber auskommt und in die daher keine Hintertüren per Regulierung implementiert werden könnten (z. B. Pretty Good Privacy, Off-The-Record). Das würde unweigerlich dazu führen, dass es innerhalb Deutschlands keine sichere Messenger-Kommunikation mehr geben könnte. Eine technische Umsetzung wäre aber, vor allem für quelloffene Messenger wie Signal, faktisch unmöglich zu realisieren. Es würde eine dedizierte und stark in die Freiheitsrechte eingreifende IT-Infrastruktur brauchen, um das Umgehen dieser Sperren auszuschließen (inklusive Blockieren von Virtuellen Privaten Netzwerken [VPNs] und The Onion Router [TOR]), da Kriminelle die ersten wären, die dies versuchen würden.8
Betroffen wären davon allerdings nicht “nur” deutsche Behörden (u. a. Polizei, Feuerwehr, THW), Firmen und Bürger:innen im Allgemeinen, sondern auch Berufsgeheimnisträger:innen (z.B. Rechtsanwälte, Geistliche, Ärzte, Journalisten und Abgeordnete) und andere besonders schützenswerte Personengruppen.
Mittlerweile argumentieren auch vermehrt ehemalige Geheimdienstchefs, dass gemessen an den Kosten, der Nutzen von umfassender Verschlüsselung (ohne Hintertüren) im Zeitalter von Cyber-Kriminalität, Datenlecks und Spionage den Verlust der Überwachungsfähigkeit mehr als aufwiege. Die strategischen Interessen wie die Stabilität des IT-Sektors und des IT-Ökosystems wiegen hier schwerer als die taktischen Interessen der Strafverfolger, so zum Beispiel der ehemalige NSA-Chef Michael Hayden und der ehemalige Chef des britischen Inlandsgeheimdienstes MI5.9
Empirischer Erkenntnisstand und Alternativen
Den Eckpunkten der Kryptopolitik folgend hat sich die Bundesregierung im Jahr 1999 entschieden, keine Schwächung der Verschlüsselung (inklusive Einbau von Hintertüren) vorzunehmen, sondern Schadsoftware (“Bundestrojaner”) zur Beschaffung von Daten vor/nach Verschlüsselung einzusetzen. Dieser Maßnahme wurde vom Bundesverfassungsgericht aus nachvollziehbaren Gründen hohe Hürden gesetzt. Anstatt auf Basis der bereits existierenden Überwachungsmaßnahmen eine dringend notwendige Bedarfsanalyse und die bereits vor vielen Jahren vom Bundesverfassungsgericht geforderte Überwachungsgesamtrechnung10 durchzuführen, soll nun eine Regulierung implementiert werden, die mehr als 20 Jahre wissenschaftliche Erkenntnisse in der IT-Sicherheitsforschung ignoriert11.
Die oft angeführte These, dass Geheimdienste und Strafverfolgungsbehörden aufgrund von Verschlüsselung keinen Zugriff mehr auf relevante Daten haben (Going Dark), ist bisher nicht empirisch belegt.12 Im Gegenteil haben die technologischen Entwicklungen der letzten Jahrzehnte dazu geführt, dass Strafverfolger:innen mehr Daten zur Verfügung stehen als je zuvor.13 Strafverfolgungsbehörden dokumentieren bisher kaum, in wie vielen Fällen verschlüsselte Kommunikation tatsächlich zu einem Erliegen von Ermittlungen geführt hat. Auch liegt keine vollständige Übersicht vor, welche alternativen Möglichkeiten zur Erhebung der notwendigen Daten in Deutschland bereits legal sind und wo sich noch weiße Flecken befinden.14
Internationale Spillover-Effekte
Sollte dieser Vorschlag umgesetzt werden, hätte dies auch weit über die deutschen Grenzen hinaus negative Strahlkraft. Autoritäre Staaten würden sich auf diese Regulierung berufen und entsprechende Inhaltsdaten von den Messenger-Betreibern anfordern mit dem Verweis darauf, dass dies in Deutschland – und damit technisch – möglich sei. Hiervon wäre dann die Kommunikation von Menschenrechtsaktivist:innen, Journalist:innen und anderen verfolgten Personengruppen massiv betroffen – Personengruppen, die die deutsche Außen- und Entwicklungshilfepolitik bisher zu schützen versucht hat und jährlich in Milliardenhöhe fördert. Deutschland muss sich seiner Verantwortung in der Welt auch in diesem Bereich bewusst sein. Mit einer bewussten Schwächung von sicheren Messengern würde Deutschland seine außenpolitische Glaubwürdigkeit als Verfechter eines freien und offenen Internets auf Spiel setzen.15 Das Netzwerkdurchsetzungsgesetz dient hier als mahnendes Beispiel dafür, welche Auswirkung eine deutsche Gesetzgebung in der Welt entfalten kann.16
Wirtschaftsstandort Deutschland
Verwaltung, Wirtschaft und Verbraucher:innen müssen sich darauf verlassen können, dass bei der Nutzung digitaler Produkte und Dienstleistungen die Voraussetzungen zum Schutz ihrer Daten und zur Integrität ihrer Systeme erfüllt sind. Gerade für Unternehmen spielt das bei der Wahl ihres Produktionsstandortes eine große Rolle. Sie siedeln sich dort an, wo sie ihre Geschäftsgeheimnisse und Kundendaten geschützt wissen.
Sabotage und Wirtschaftsspionage verursachten in den Jahren 2016/2017 alleine im Industriesektor einen Schaden von 43 Mrd. Euro.17 Es ist davon auszugehen, dass eine Schwächung der Verschlüsselung diese Zahlen weiter in die Höhe treibt, da eingebaute Hintertüren auch von ausländischen Nachrichtendiensten und Kriminellen missbraucht werden können. Wenn Deutschland ein innovationsfreundlicher und wettbewerbsfähiger Wirtschaftsstandort sein möchte, müssen technische Hintertüren, die Zugriffe für Dritte ermöglichen, weiterhin ausgeschlossen bleiben.
Dazu kommt, dass Deutschland auch ein Standort für IT-Sicherheitsunternehmen u. a. mit Fokus auf Verschlüsselungstechnologien ist. Die Vertrauenswürdigkeit dieser Unternehmen im Speziellen würde durch das geplante Vorhaben massiv gefährdet. Damit würde Deutschland als Standort für die IT-Sicherheitsindustrie auch als Ganzes geschwächt werden, was den industriepolitischen Zielen Deutschlands und Europas direkt widerspricht.
Wir warnen ausdrücklich vor dem geplanten Vorhaben des Bundesministeriums des Innern, für Bau und Heimat zur Regulierung von Messenger-Diensten und fordern eine sofortige Abkehr von diesem oder ähnlichen politischen Vorhaben auf deutscher wie europäischer Ebene. Darüber hinaus wäre eine offizielle Einschätzung folgender Stellen erforderlich:
- des Bundesministeriums für Wirtschaft und Energie (Fokus: möglicher Schaden für die deutsche Industrie sowie die Digitalwirtschaft)
- des Auswärtigen Amts (Fokus: Spillover-Effekte, v. a. in autoritären Staaten, Ansehensverluste Deutschlands als etablierter Rechtsstaat)
- des Bundesministeriums der Justiz und für Verbraucherschutz (Fokus: Vertrauensverlust von Verbraucher:innen)
- und des Bundesamts für Sicherheit in der Informationstechnik (Fokus: Gefährdung der IT-Sicherheit in Deutschland für Staat, Wirtschaft und Gesellschaft)
Mit freundlichen Grüßen
UNTERZEICHNENDE (Stand: 13.06.2019 – 17:00 Uhr)
Industrie, Organisationen und Verbände
- #cnetz e. V.
- riess applications gmbh
- Algoright
- bitkomplex UG
- Bits of Freedom
- Blockchain Bundesverband e. V.
- Bundesverband Deutsche Startups e. V.
- Bundesarbeitsgemeinschaft Digitales & Medien von Bündnis’90 / DIE GRÜNEN
- Bundesverband IT-Sicherheit e. V. (TeleTrusT)
- Bundesverband mittelständische Wirtschaft (BVMV) Unternehmerverband Deutschlands e. V.
- Chaos Computer Club e. V. (CCC)
- Chaos Computer Club Darmstadt e.V.
- Chaos Computer Club Hansestadt Hamburg e. V.
- Chaos Siegen e. V.
- Chaos Computer Club Schweiz (CCC-CH)
- Center for Internet and Human Rights (CIHR)
- CIPHRON GmbH
- D3 – Defesa dos Direitos Digitais
- D64 – Zentrum für digitalen Fortschritt e. V.
- Dataskydd.net
- Deutsche Vereinigung für Datenschutz (DVD) e. V.
- dieDatenschützer Rhein Main
- Digitalcourage e. V.
- Digitale Gesellschaft e.V. (DigiGes)
- Digitale Gesellschaft [Schweiz]
- digitevo GmbH
- eco Verband der Internetwirtschaft e. V.
- Electronic Frontier Finland (Effi)
- epicenter.works – for digital rights
- ESR Pollmeier GmbH
- ETES GmbH
- European Digital Rights (EDRi)
- eyeo GmbH
- flipdot e. V.
- Förderverein Freie Netze Bodensee e.V.
- Föreningen för Digitala Fri- och Rättigheter (DFRI)
- Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. (FIfF)
- Freifunk Dreiländereck e. V.
- Frënn vun der Ënn A.S.B.L.
- Friedrich-Naumann-Stiftung für die Freiheit
- G DATA Software AG
- Gesellschaft für Informatik e. V. (GI)
- GnuPG e. V.
- Hannover IT e. V
- Hermes Center for Transparency and Digital Human Rights
- HK2 Rechtsanwälte
- Homo Digitalis
- Human Rights Watch
- Inhalt.com e. V.
- Initiative Digitale Freiheit
- Internet Society, German Chapter (ISOC.DE) e. V.
- IT-Political Association of Denmark
- kmb2 Abrechnungszentrum GmbH
- Kopano GmbH
- La Quadrature du Net
- Least Authority TFA GmbH
- LOAD e.V.
- LUKi e. V.
- Michael Wiesner GmbH
- Mozilla
- neXenio GmbH
- Nextcloud GmbH
- No-Spy e. V.
- Open Knowledge Foundation (OKF) Deutschland e. V.
- ownCloud GmbH
- p≡p foundation
- Präsidiumsarbeitskreis für Datenschutz und IT-Sicherheit [Gesellschaft für Informatik e. V.]
- Praemandatum
- Privacy International (PI)
- Reporter ohne Grenzen e. V. (ROG)
- Schwarzes Glück
- Secomba GmbH
- Selbstbestimmt.Digital e. V.
- Stiftung Datenschutz
- Stiftung Erneuerbare Freiheit
- Stiftung Neue Verantwortung e. V. (SNV)
- The Law Technologist
- Think Tank iRights.Lab
- TRUSTpact GmbH
- UN-Hack-Bar e.V.
- Uniki GmbH
- Wikimedia Deutschland e. V.
- Wire
- Zwiebelfreunde e. V.
Vertreter:innen aus der deutschen und europäischen Wirtschaft, Wissenschaft und Zivilgesellschaft
- Prof. Dr. Florian Adamsky, Hochschule für Angewandte Wissenschaften Hof*
- Leon Andrae, Informatiker in Ausbildung
- Björn Assmann, Informatiker
- Manuel Atug, Arbeitsgruppe KRITIS und defensivecon.org*
- Dr. Asli Telli Aydemir, Association of Alternative Informatics*
- Zahra Rahmani Azad, Universität Köln*
- Prof. Dr. Andrej Bachmann, Hochschule Hof – University of Applied Sciences*
- Kai Baumgartner, Privatperson
- André Behrschmidt, Behrschmidt IT*
- Thorsten Benner, Global Public Policy Institute*
- Peter Berlich, Dozent IT Security
- Michael Binzen, Informatiker
- Privatdozent Dr.-Ing. Roland Bless, Karlsruher Institut für Technologie (KIT)*
- Tamas Blummer, IT Unternehmer im Ruhestand
- Michael Borggräfe, Leibniz-Universität Hannover*
- Prof. Dr. Achim Brucker, University of Exeter*
- Danny Bruder, Künstler
- Dr. Ulf Buermeyer, Gesellschaft für Freiheitsrechte*
- Prof. Dr. Christina B. Class, Ernst-Abbe-Hochschule Jena*
- Frédéric Dubois, Internet Policy Review (HIIG)*
- Daniel Duda, rehm Datenschutz GmbH*
- Thomas Dullien, optimyze.cloud AG*
- Lukas Engelhardt, Informatiker in Ausbildung
- Jörn Erbguth, Legal Tech, Blockchain, Smart Contract and Data Protection Consultant
- Dennis Felsch, Ruhr-Universität Bochum
- MdB a. D. Dr. Ute Finckh-Krämer, Mathematikerin
- Dr. Michael Friedewald, Fraunhofer ISI und Forum Privatheit*
- Peter Ganten, Open Source Business Alliance e.V. und Univention GmbH*
- Kai Gärtner, Informatiker
- Prof. Dr. Peter Gerwinski, Hochschule Bochum*
- Matthias Glaser, GLASER -isb cad- Programmiersysteme GmbH*
- Prof. Dr. Max von Grafenstein LL.M., Universität der Künste Berlin und Alexander von Humboldt Institut für Internet und Gesellschaft*
- Prof. Dr.-Ing. Ulrich Greveler, Hochschule Rhein-Waal*
- Raphael Das Gupta, HSR Hochschule für Technik Rapperswil*
- Patrick Hähnel, Offensive Security und CSIRT KRITIS*
- Sascha Hanse, Software Architekt
- Marit Hansen, Informatikerin und Landesbeauftragte für Datenschutz Schleswig-Holstein*
- Ernst Härtl, Digital4TRESS*
- Marc Hauer, TU Kaiserslautern*
- PD Dr. Jessica Heesen, Internationales Zentrum für Ethik in den Wissenschaften und Forum Privatheit*
- Dr. Marc Herbstritt, Albert-Ludwigs-Universität Freiburg*
- Prof. Dr. Dominik Herrmann, Universität Bamberg*
- Marcel Hesselbach, Kommunikationsinformatiker
- Prof. Dr. Jürgen Heym, Hochschule für Angewandte Wissenschaften Hof*
- Prof. Dr. Jeanette Hofmann, Alexander von Humboldt Institut für Internet und Gesellschaft*
- Prof. Dr. Thorsten Holz, Ruhr-Universität Bochum*
- Mirko Hohmann, Mercator Kolleg für Internationale Aufgaben*
- Prof. Dr.-Ing. Tibor Jager, Universität Paderborn*
- Prof. Dr. Martin Johns, Technische Universität Braunschweig*
- Viktoria Jost, Privatperson
- Niklas Kahlstadt, Informatiker in Ausbildung
- Sven Philipp Kalweit, Kalweit ITS GmbH*
- Dr. Nils Kammenhuber, Unternehmer
- Prof. Dr. Wolfgang Kleinwächter, Global Commission on Stability in Cyberspace*
- Sebastian Kliem, Wirtschaftsinformatiker und Politikwissenschaftler
- Ronja Kniep, Wissenschaftszentrum Berlin für Sozialforschung*
- Frank Knischewski, DTS Systeme und Hannover IT*
- Enrico Koltermann, Privatperson
- Michael Körfer, IT-Security Consultant
- Michael Kranawetter, Microsoft Deutschland GmbH*
- Normen Kraner, BADENmgzn.eu*
- Alexandra Krause, Physikerin
- Marek Kreul, Forensik und Incident Response Spezialist
- Caroline Krohn, VINDLER GmbH*
- Jens Kühn, Privatperson
- Prof. Dr. Herbert Kuchen, Universität Münster*
- Henning Christian Lahmann, Völkerrechtler
- Paula Landes, Digital Media Women e.V. / Rhein-Main*
- Prof. Dr. Tanja Lange, Eindhoven University of Technology*
- Daniel Lengies, Michael Wessel Informationstechnologie GmbH*
- Torsten Lengies-Nalasek, Informatiker
- Bundesministerin a. D. Sabine Leutheusser-Schnarrenberger, Friedrich-Naumann-Stiftung für die Freiheit*
- Prof. Dr. Klaus-Peter Löhr, Freie Universität Berlin*
- Daniel Lücking, Journalist
- Niels Mache, Struktur AG und Nextcloud GmbH*
- Konstantin Macher, Queen’s University Belfast*
- Klaus Marwede, Datenschutzbeauftragter*
- Prof. Dr.-Ing. Peter Merz, Hochschule Hannover*
- Natanael Mignon, Informatiker
- Staatssekretär Digitalisierung Stefan Muhle, Niedersächsisches Ministerium für Wirtschaft, Arbeit, Verkehr und Digitalisierung*
- Dr. Bettina Müller LL.M. – Privatgelehrte
- Prof. Dr. Claudia Müller-Birn, Freie Universität Berlin*
- Dr. Michael Münch, Informatiker und m-cubed.de*
- Dr. Michael Naehrig, Microsoft*
- Maxi Nebel, Universität Kassel*
- Dr. Peter Neuhaus, Informatiker
- Prof. Dr. Karl-Heinz-Niemann, Hochschule Hannover*
- Dr.-Ing. Stefan Nürnberger, CISPA Helmholtz Center for Information Security und Universität des Saarlandes*
- Amadeus Peters, Alexander von Humboldt Institut für Internet und Gesellschaft*
- Dr. Jörg Pohle, Alexander von Humboldt Institut für Internet und Gesellschaft*
- Dr. Julia Pohle, Wissenschaftszentrum Berlin für Sozialforschung*
- Dirk Pohlscheidt, MIT-Troisdorf und MEDIATA GmbH*
- Prof. Dr. Lutz Prechelt, Freie Universität Berlin*
- Claas Reiner, Privatperson
- Ralf Reinhardt, Technische Hochschule Nürnberg und Technische Hochschule Deggendorf*
- Thomas Reinhold, cyber-peace.org*
- Marcus Richter, Journalist
- Tim Richter, Internet Governance Forum Deutschland und Deutsche Gesellschaft für die Vereinten Nationen e.V. (DGVN)*
- Ulf Riechen, Berater Informationssicherheit für KRITIS-Unternehmen und Informationssicherheitsbeauftragter*
- Prof. Dr. Konrad Rieck, Technische Universität Braunschweig*
- Raymond Roemke, Bildjournalist
- Anne Roth, Referentin für Netzpolitik
- Prof. Dr.-Ing. Volker Roth, Freie Universität Berlin*
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit a.D. Peter Schaar, Europäische Akademie für Informationsfreiheit und Datenschutz (EAID)*
- Tim Philipp Schäfers, Internetwache.org*
- Robert Scheck, Informatiker
- Alexander Scheel, ArkonIT Consulting*
- Prof. Dr. Jörg Scheidt, Hochschule für Angewandte Wissenschaften Hof*
- Dr. Florian Scheuer, Informatiker
- Prof. Dr. Björn Scheuermann, Alexander von Humboldt Institut für Internet und Gesellschaft und Humboldt-Universität zu Berlin*
- Jan Hendrik Scheufen, Monax*
- Prof. Dr. Sebastian Schinzel, Fachhochschule Münster*
- Dr. Annette Schaper, Leibniz-Institut Hessische Stiftung Friedens- und Konfliktforschung (HSFK)*
- Dr. Thomas Schmaltz, Ingenieur und Innovationsforscher
- Kai Schmidt, IT-Consultant und PenTester
- Stephan Schmidt, Rechtsanwalt
- Christian Schmitz, ownCloud Foundation / Up2University.eu*
- Detlef Schmitz, Oberarzt
- Prof. Dr. Johannes Schöning, Universität Bremen*
- Phillipp Schoppmann, Humboldt-Universität Berlin*
- Alfred Schröder, Open Source Business Alliance e.V. und GONICUS GmbH*
- Dr. Matthias Schulze, Stiftung Wissenschaft und Politik (SWP)*
- Stefan Schumacher, Informatiker
- Daniel Schwerd, Informatiker und IT-Unternehmer
- Sergio Siccha, Mathematiker und Informatiker
- Matthias Spielkamp, AlgorithmWatch*
- Isabel Skierka, Politikwissenschaftlerin
- Gero Sprafke, MBSR-Trainer
- Stephan Springer, IT-Beratung Springer*
- MdA Dirk Stettner, Mitglied des Abgeordnetenhauses von Berlin*
- Peter Birko Stich, Informatiker und Sachverständiger IT-Security / IT-Forensic
- Michael Stresau, Universitätsmedizin Main*
- Jan A. Strunk, Rechtsanwalt und Externer Datenschutzbeauftragter
- Prof. Dr.-Ing. Robert Tolksdorf, Informatiker
- Sven Uckermann, PenTester und IT-Security Experte
- Steffen Unger, Hochschule für Angewandte Wissenschaften Hof*
- Wolfram Volke, Heimrich & Hanot GmbH*
- Dr. Ben Wagner, Vienna University of Economics and Business*
- Kai Wagner, Jolocom GmbH*
- Sebastian Walk, Verfahrensmechaniker
- Sebastian Wiesendahl, Informatiker
- Benedikt Wildenhain, Hochschule Bochum*
- Martin Wolf, IT-Consultant und Autor
- Prof. Dr. Andreas Zeller, CISPA Helmholtz Center for Information Security und Universität des Saarlandes*
- Philip Zimmermann, Pretty Good Privacy (PGP) und Delft University*
- Peter Zoche, Freiburger Institut für angewandte Sozialwissenschaft e. V.*
- Christoph Zurheide, Deutsche Post DHL Group*
*ZUGEHÖRIGKEITEN DIENEN AUSSCHLIEßLICH DER BESSEREN ZUORDNUNG
Abgeordnete des Deutschen Bundestags
- MdB Dr. Danyal Bayaz, Bündnis 90/Die Grünen
- MdB Anke Domscheit-Berg, DIE LINKE.
- MdB Saskia Esken, SPD
- MdB Manuel Höferlin, FDP
- MdB Andrej Hunko, DIE LINKE.
- MdB Dieter Janecek, Bündnis 90/Die Grünen
- MdB Dr. Konstantin von Notz, Bündnis 90/Die Grünen
- MdB Konstantin Kuhle, FDP
- MdB Tabea Rößner, Bündnis 90/Die Grünen
- MdB Jimmy Schulz, FDP
- MdB Dr. Petra Sitte, DIE LINKE.