Edit Policy: Ab Dezember fällt die Internet-Kommunikation unter den Schutz der Vertraulichkeit elektronischer Kommunikation. Nun will die EU-Kommission Hintertüren einbauen.
Die EU-Kommission plant einen Angriff auf das Telekommunikationsgeheimnis. Durch die vor zwei Jahren beschlossene europäische Kommunikationsreform fallen ab Dezember auch Messenger- und Internettelefoniedienste wie Facebook Messenger, Skype oder Zoom unter die EU-Regeln zum Schutz der Vertraulichkeit elektronischer Kommunikation. Der Praxis mancher Diensteanbieter, solche privaten Unterhaltungen zu durchleuchten und auszuwerten, wird damit ein Riegel vorgeschoben. Ausnahmen wären nur noch in wenigen Ausnahmefällen auf Grundlage eines Gesetzes möglich.
Das ist eine wichtige Errungenschaft, die gerade angesichts der Corona-Krise absolut überfällig ist, denn immer mehr unserer Kommunikation findet auf solchen Onlinediensten statt. Doch noch ehe die neuen Regeln in Kraft treten, will die EU-Kommission Hintertüren einbauen, die eine systematische Überwachung privater Unterhaltungen doch wieder ermöglichen und obendrein die Verschlüsselung von Onlinekommunikation unterminieren würden.
Verpflichtende Uploadfilter für Messengerdienste
Anlass ist die Bekämpfung von dokumentiertem Kindesmissbrauch im Internet. In einem ersten Schritt hat die EU-Kommission am vergangenen Donnerstag einen Gesetzesentwurf vorgelegt, der die Vertraulichkeit der Kommunikation auf Messengerdiensten vorübergehend bis 2025 außer Kraft setzen soll, soweit dies zur Aufspürung von dokumentiertem Kindesmissbrauch notwendig ist. Das bedeutet, dass Diensteanbieter die private Kommunikation ihrer Nutzer:innen zu diesem Zweck überwachen dürfen, aber nicht müssen.
In einem zweiten Schritt ist für die erste Hälfte des kommenden Jahres ein Gesetzesentwurf geplant, der bestimmte “relevante” Diensteanbieter verpflichten soll, private Kommunikation mithilfe von Uploadfiltern auf dokumentierten Kindesmissbrauch hin zu durchleuchten. Welche Diensteanbieter genau von dieser Verpflichtung betroffen sein sollen, ist noch unklar.
Aus einem Strategiepapier (PDF), das die EU-Kommission bereits im Juli veröffentlicht hat, geht aber hervor, dass sie insbesondere Facebook im Fokus hat, das mit Messenger, WhatsApp und Instagram-Direktnachrichten gleich eine ganze Reihe von einschlägigen Diensten anbietet. Da Gesetzesentwürfe aber selten auf die Marktführer beschränkt werden, ist es durchaus wahrscheinlich, dass eine solche Verpflichtung auch auf deutlich kleinere, privatsphärefreundliche Messengerdienste wie Signal zukämen.
Ein Angriff auf die Verschlüsselung
Mit der Ende-zu-Ende-Verschlüsselung, die manche Dienste wie etwa Signal oder WhatsApp heute freiwillig vornehmen, wäre eine solche Überwachungspflicht freilich nicht zu vereinbaren. Bereits in der Debatte um Uploadfilter in der EU-Urheberrechtsreform war eine zentrale Kontroverse, dass der Einsatz solcher Filter es erfordert, verdachtsunabhängig alle Inhalte von allen Nutzer:innen eines Dienstes zu durchleuchten. Solche allgemeinen Überwachungspflichten hat der Europäische Gerichtshof deshalb für unvereinbar mit der EU-Grundrechtecharta erklärt – unter anderem mit dem Recht auf Privatsphäre. Darüber hinaus ist es aber auch technisch unmöglich, alle Kommunikationsinhalte zu überwachen, wenn gleichzeitig die Ende-zu-Ende-Verschlüsselung dieser Kommunikation sichergestellt werden soll.
Von dieser technischen Selbstverständlichkeit ist die EU-Kommission allerdings nicht überzeugt. In einem kürzlich geleakten internen Diskussionspapier (PDF) mit dem Namen “Technische Lösungen zur Erkennung von Kindesmissbrauch in Ende-zu-Ende-verschlüsselter Kommunikation” diskutiert die Kommission verschiedene Ansätze, das Unmögliche möglich zu machen und ausschließlich dokumentierten Kindesmissbrauch in ansonsten vertraulichen, verschlüsselten Datenströmen aufzuspüren.
Keiner der diskutierten technischen Ansätze hält, was er verspricht. Der Spiegel hat die verschiedenen Ansätze analysiert und kommt zu dem wenig überraschenden Schluss, dass keiner von ihnen echte Ende-zu-Ende-Verschlüsselung darstellt. Die in dem Papier als am vielversprechendsten bewerteten Vorschläge basieren auf einer Vorfilterung der Nachrichten auf den Endgeräten der Nutzer:innen unter Zuhilfenahme eines externen Servers, bevor diese Nachrichten verschlüsselt und verschickt werden. Das ist dann aber keine Ende-zu-Ende-Verschlüsselung mehr, denn diese setzt voraus, dass auch der Diensteanbieter selbst die Kommunikationsinhalte zu keinem Zeitpunkt durchleuchten und auswerten kann, weder während der Übertragung, noch davor oder danach.
Besorgniserregend ist an dem Diskussionspapier auch, dass es die Ende-zu-Ende-Verschlüsselung als eine Art Privatsphären-Extremposition darstellt, der ein vollständiges Verbot von Verschlüsselungstechnologie als anderes Extrem gegenübergestellt wird. Die Unterminierung von Verschlüsselung durch Hintertüren wird dann als eine Art Mittelweg dargestellt, der Privatsphäre und Verbrechensbekämpfung in Einklang bringe. Komplett außen vor gelassen wird dabei, dass ein Verbot von Ende-zu-Ende-Verschlüsselung, worauf die Verpflichtung zum Einsatz einer der vorgeschlagenen technischen Lösungen de facto hinauslaufen würde, nicht nur die Privatsphäre verletzen, sondern auch ein riesiges Sicherheitsproblem darstellen würde, das von den Onlinediensten selbst, kriminellen Hacker:innen oder von Geheimdiensten ausgenutzt werden könnte.
Vor diesem Hintergrund ist es nicht verwunderlich, dass von den Expert:innen, die die technologischen Lösungen erarbeitet haben, die wenigsten aus der Wissenschaft kommen. Die Mehrzahl von ihnen kommt hingegen aus Unternehmen wie Google und Microsoft, Kinderschutzorganisationen, Polizeibehörden und dem britischen Geheimdienst GCHQ. Datenschutzbehörden wurden offenbar nicht angehört.
Die neuen Crypto Wars
Die “Crypto Wars”, also Bestrebungen insbesondere der US-Regierung, den privaten Einsatz von Verschlüsselung zu beschränken, um die staatlichen Überwachungsmöglichkeiten zu stärken, haben auch die technisch weniger versierte Öffentlichkeit gelehrt, dass Hintertüren in Verschlüsselung nie auf bestimmte Ziele oder Akteur:innen beschränkt werden können. Selbst wenn man also die Überwachung privater Kommunikation für bestimmte Zwecke gutheißen würde, ist ein Angriff auf die Verschlüsselung immer auch ein Angriff auf die Informationssicherheit von uns allen. So ehrenwert die Bekämpfung von Kindesmissbrauch auch ist – wenn es technisch möglich ist, eine bestimme Art von Inhalten in einer privaten Unterhaltung aufzuspüren, dann kann auch jeder beliebige andere Inhalt erkannt werden – und zwar nicht nur von denjenigen, die der Gesetzgeber im Sinn hatte.
Es wäre deshalb absolut falsch, zu meinen, dass der Zweck der Bekämpfung von Kindesmissbrauch hier die Mittel heiligt. Es gibt keine Hintertüren in Verschlüsselung, die ausschließlich den “Guten” nützen. Ist die Verschlüsselung einmal geschwächt, kann diese Schwachstelle auch von Dritten missbraucht werden. Außerdem weckt die einmal bereitstehende Infrastruktur zur Durchleuchtung privater Kommunikation stets Begehrlichkeiten, sie auch auf andere Zwecke wie das Aufspüren von Urheberrechtsverletzungen oder die Überwachung regierungskritischer Gruppen auszudehnen.
Auch ist das Aufbrechen von Verschlüsselung nicht alternativlos, um eine effektive Strafverfolgung sicherzustellen. Die digitale Grundrechteorganisation EDRi hat in einem Positionspapier (PDF) verschiedene solche Alternativen analysiert. Bei der Vorstellung des Gesetzesentwurfs zur Bekämpfung von Kindesmissbrauch im Europaparlament am vergangenen Donnerstag beteuerte EU-Innenkommissarin Ylva Johansson, sie dulde keinen Widerspruch zwischen der Bekämpfung schwerer Verbrechen und den Grundrechten. Wenn die Kommission einen solchen Widerspruch vermeiden will, wäre sie gut beraten, sich auf grundrechtsschonende Strafverfolgungsmethoden zu beschränken, anstatt die Crypto Wars wieder aufleben zu lassen.
Die Texte der Kolumne “Edit Policy” stehen unter der Lizenz CC BY 4.0., hier übernommen von heise-online.
Letzte Kommentare