von Julia Reda
Edit Policy: Ab Dezember fĂ€llt die Internet-Kommunikation unter den Schutz der Vertraulichkeit elektronischer Kommunikation. Nun will die EU-Kommission HintertĂŒren einbauen.

Die EU-Kommission plant einen Angriff auf das Telekommunikationsgeheimnis. Durch die vor zwei Jahren beschlossene europÀische Kommunikationsreform fallen ab Dezember auch Messenger- und Internettelefoniedienste wie Facebook Messenger, Skype oder Zoom unter die EU-Regeln zum Schutz der Vertraulichkeit elektronischer Kommunikation. Der Praxis mancher Diensteanbieter, solche privaten Unterhaltungen zu durchleuchten und auszuwerten, wird damit ein Riegel vorgeschoben. Ausnahmen wÀren nur noch in wenigen AusnahmefÀllen auf Grundlage eines Gesetzes möglich.

Das ist eine wichtige Errungenschaft, die gerade angesichts der Corona-Krise absolut ĂŒberfĂ€llig ist, denn immer mehr unserer Kommunikation findet auf solchen Onlinediensten statt. Doch noch ehe die neuen Regeln in Kraft treten, will die EU-Kommission HintertĂŒren einbauen, die eine systematische Überwachung privater Unterhaltungen doch wieder ermöglichen und obendrein die VerschlĂŒsselung von Onlinekommunikation unterminieren wĂŒrden.

Verpflichtende Uploadfilter fĂŒr Messengerdienste

Anlass ist die BekĂ€mpfung von dokumentiertem Kindesmissbrauch im Internet. In einem ersten Schritt hat die EU-Kommission am vergangenen Donnerstag einen Gesetzesentwurf vorgelegt, der die Vertraulichkeit der Kommunikation auf Messengerdiensten vorĂŒbergehend bis 2025 außer Kraft setzen soll, soweit dies zur AufspĂŒrung von dokumentiertem Kindesmissbrauch notwendig ist. Das bedeutet, dass Diensteanbieter die private Kommunikation ihrer Nutzer:innen zu diesem Zweck ĂŒberwachen dĂŒrfen, aber nicht mĂŒssen.

In einem zweiten Schritt ist fĂŒr die erste HĂ€lfte des kommenden Jahres ein Gesetzesentwurf geplant, der bestimmte “relevante” Diensteanbieter verpflichten soll, private Kommunikation mithilfe von Uploadfiltern auf dokumentierten Kindesmissbrauch hin zu durchleuchten. Welche Diensteanbieter genau von dieser Verpflichtung betroffen sein sollen, ist noch unklar.

Aus einem Strategiepapier (PDF), das die EU-Kommission bereits im Juli veröffentlicht hat, geht aber hervor, dass sie insbesondere Facebook im Fokus hat, das mit Messenger, WhatsApp und Instagram-Direktnachrichten gleich eine ganze Reihe von einschlĂ€gigen Diensten anbietet. Da GesetzesentwĂŒrfe aber selten auf die MarktfĂŒhrer beschrĂ€nkt werden, ist es durchaus wahrscheinlich, dass eine solche Verpflichtung auch auf deutlich kleinere, privatsphĂ€refreundliche Messengerdienste wie Signal zukĂ€men.

Ein Angriff auf die VerschlĂŒsselung

Mit der Ende-zu-Ende-VerschlĂŒsselung, die manche Dienste wie etwa Signal oder WhatsApp heute freiwillig vornehmen, wĂ€re eine solche Überwachungspflicht freilich nicht zu vereinbaren. Bereits in der Debatte um Uploadfilter in der EU-Urheberrechtsreform war eine zentrale Kontroverse, dass der Einsatz solcher Filter es erfordert, verdachtsunabhĂ€ngig alle Inhalte von allen Nutzer:innen eines Dienstes zu durchleuchten. Solche allgemeinen Überwachungspflichten hat der EuropĂ€ische Gerichtshof deshalb fĂŒr unvereinbar mit der EU-Grundrechtecharta erklĂ€rt – unter anderem mit dem Recht auf PrivatsphĂ€re. DarĂŒber hinaus ist es aber auch technisch unmöglich, alle Kommunikationsinhalte zu ĂŒberwachen, wenn gleichzeitig die Ende-zu-Ende-VerschlĂŒsselung dieser Kommunikation sichergestellt werden soll.

Von dieser technischen SelbstverstĂ€ndlichkeit ist die EU-Kommission allerdings nicht ĂŒberzeugt. In einem kĂŒrzlich geleakten internen Diskussionspapier (PDF) mit dem Namen “Technische Lösungen zur Erkennung von Kindesmissbrauch in Ende-zu-Ende-verschlĂŒsselter Kommunikation” diskutiert die Kommission verschiedene AnsĂ€tze, das Unmögliche möglich zu machen und ausschließlich dokumentierten Kindesmissbrauch in ansonsten vertraulichen, verschlĂŒsselten Datenströmen aufzuspĂŒren.

Keiner der diskutierten technischen AnsĂ€tze hĂ€lt, was er verspricht. Der Spiegel hat die verschiedenen AnsĂ€tze analysiert und kommt zu dem wenig ĂŒberraschenden Schluss, dass keiner von ihnen echte Ende-zu-Ende-VerschlĂŒsselung darstellt. Die in dem Papier als am vielversprechendsten bewerteten VorschlĂ€ge basieren auf einer Vorfilterung der Nachrichten auf den EndgerĂ€ten der Nutzer:innen unter Zuhilfenahme eines externen Servers, bevor diese Nachrichten verschlĂŒsselt und verschickt werden. Das ist dann aber keine Ende-zu-Ende-VerschlĂŒsselung mehr, denn diese setzt voraus, dass auch der Diensteanbieter selbst die Kommunikationsinhalte zu keinem Zeitpunkt durchleuchten und auswerten kann, weder wĂ€hrend der Übertragung, noch davor oder danach.

Besorgniserregend ist an dem Diskussionspapier auch, dass es die Ende-zu-Ende-VerschlĂŒsselung als eine Art PrivatsphĂ€ren-Extremposition darstellt, der ein vollstĂ€ndiges Verbot von VerschlĂŒsselungstechnologie als anderes Extrem gegenĂŒbergestellt wird. Die Unterminierung von VerschlĂŒsselung durch HintertĂŒren wird dann als eine Art Mittelweg dargestellt, der PrivatsphĂ€re und VerbrechensbekĂ€mpfung in Einklang bringe. Komplett außen vor gelassen wird dabei, dass ein Verbot von Ende-zu-Ende-VerschlĂŒsselung, worauf die Verpflichtung zum Einsatz einer der vorgeschlagenen technischen Lösungen de facto hinauslaufen wĂŒrde, nicht nur die PrivatsphĂ€re verletzen, sondern auch ein riesiges Sicherheitsproblem darstellen wĂŒrde, das von den Onlinediensten selbst, kriminellen Hacker:innen oder von Geheimdiensten ausgenutzt werden könnte.

Vor diesem Hintergrund ist es nicht verwunderlich, dass von den Expert:innen, die die technologischen Lösungen erarbeitet haben, die wenigsten aus der Wissenschaft kommen. Die Mehrzahl von ihnen kommt hingegen aus Unternehmen wie Google und Microsoft, Kinderschutzorganisationen, Polizeibehörden und dem britischen Geheimdienst GCHQ. Datenschutzbehörden wurden offenbar nicht angehört.

Die neuen Crypto Wars

Die “Crypto Wars”, also Bestrebungen insbesondere der US-Regierung, den privaten Einsatz von VerschlĂŒsselung zu beschrĂ€nken, um die staatlichen Überwachungsmöglichkeiten zu stĂ€rken, haben auch die technisch weniger versierte Öffentlichkeit gelehrt, dass HintertĂŒren in VerschlĂŒsselung nie auf bestimmte Ziele oder Akteur:innen beschrĂ€nkt werden können. Selbst wenn man also die Überwachung privater Kommunikation fĂŒr bestimmte Zwecke gutheißen wĂŒrde, ist ein Angriff auf die VerschlĂŒsselung immer auch ein Angriff auf die Informationssicherheit von uns allen. So ehrenwert die BekĂ€mpfung von Kindesmissbrauch auch ist – wenn es technisch möglich ist, eine bestimme Art von Inhalten in einer privaten Unterhaltung aufzuspĂŒren, dann kann auch jeder beliebige andere Inhalt erkannt werden – und zwar nicht nur von denjenigen, die der Gesetzgeber im Sinn hatte.

Es wĂ€re deshalb absolut falsch, zu meinen, dass der Zweck der BekĂ€mpfung von Kindesmissbrauch hier die Mittel heiligt. Es gibt keine HintertĂŒren in VerschlĂŒsselung, die ausschließlich den “Guten” nĂŒtzen. Ist die VerschlĂŒsselung einmal geschwĂ€cht, kann diese Schwachstelle auch von Dritten missbraucht werden. Außerdem weckt die einmal bereitstehende Infrastruktur zur Durchleuchtung privater Kommunikation stets Begehrlichkeiten, sie auch auf andere Zwecke wie das AufspĂŒren von Urheberrechtsverletzungen oder die Überwachung regierungskritischer Gruppen auszudehnen.

Auch ist das Aufbrechen von VerschlĂŒsselung nicht alternativlos, um eine effektive Strafverfolgung sicherzustellen. Die digitale Grundrechteorganisation EDRi hat in einem Positionspapier (PDF) verschiedene solche Alternativen analysiert. Bei der Vorstellung des Gesetzesentwurfs zur BekĂ€mpfung von Kindesmissbrauch im Europaparlament am vergangenen Donnerstag beteuerte EU-Innenkommissarin Ylva Johansson, sie dulde keinen Widerspruch zwischen der BekĂ€mpfung schwerer Verbrechen und den Grundrechten. Wenn die Kommission einen solchen Widerspruch vermeiden will, wĂ€re sie gut beraten, sich auf grundrechtsschonende Strafverfolgungsmethoden zu beschrĂ€nken, anstatt die Crypto Wars wieder aufleben zu lassen.

Die Texte der Kolumne “Edit Policy” stehen unter der Lizenz CC BY 4.0., hier ĂŒbernommen von heise-online.