FM4-Logo

jetzt live:

Aktueller Musiktitel:

Offene Tür mit EU-Flagge, dahinter die Logos von Signal und WhatsApp

CC0 | Signal | WhatsApp

Erich Moechel

Gipfel EU-USA gegen sichere Verschlüsselung

Auf der Agenda des virtuellen Treffens auf hochrangiger Beamtenebene in zwei Wochen stehen so ziemlich alle datenschutzrelevanten Themen, die in Europa aktuell umstritten sind.

Von Erich Moechel

Nach dem Auftritt Joe Bidens vor dem EU-Ministerrat folgt am 14. April eine zweitägige Videokonferenz auf oberster Beamtenebene im Bereich Justiz und Innere Sicherheit zwischen der EU und den USA. Auf der Agenda stehen vom grenzüberschreitenden Datenzugriff für Strafverfolger bis zum gemeinsamen Vorgehen gegen sichere Verschlüsselung praktisch alle derzeit umstrittenen, datenschutzrelevanten Themen.

So auch der „Kampf gegen Kindesmissbrauch“, der für diese Vorhaben einer Generalüberwachung wieder einmal instrumentalisiert wird. Dazu hatte Ylyva Johansson, EU-Kommissarin für Inneres und Justiz, eine Konsultation in Auftrag gegeben, die am 15. April endet. Sie ist mit Suggestivfragen gespickt, unter den Optionen ist sowohl die Kriminalisierung von Verschlüsselung per se wie auch die Überwachung aller Internetkommunikation.

Dokument der EU Kommission

EU Kommission

Der Punkt zum grenzüberschreitenden Datenzugriff ist eine ziemlich mutige Ansage der Kommission, denn dafür gibt es noch nicht einmal einen EU-weit gültigen Beschluss. Das Vorhaben, ausländischen Strafverfolgern direkten Zugriff auf Daten bei Providern und Telekoms zu Ermittlungszwecken zu ermöglichen, ist im Ministerrat festgefahren. Die gesamte Agenda des Senior Officials Meeting von 14.-15. April.

Transatlantische Front gegen E2E-Verschlüsselung

Dieser EU-Ministerratsbeschluss von Anfang November wird bei der Videokonferenz am 14. März präsentiert

In der transatlantischen Konferenzagenda sind die Punkte „Verantwortung für Online-Plattformen“ und „Herausforderungen bei Verschlüsselung und Strafverfolgung“ im hinteren Drittel versteckt. Die portugiesische Ratspräsidentschaft wird da den hochumstrittenen Ratsbeschluss „Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung“ vom November präsentieren. Für die US-Seite ist dieser Beschluss nichts Neues, weil sie im Rahmen der „Five Eyes“-Spionageallianz unter dem „Titel Ende-zu-Ende-Verschlüsselung und öffentliche Sicherheit“ bereits im Oktober ein fast gleichlautenden Beschluss gefasst hatten.

Und aus dieser Allianz stammt auch das Konzept namens „Exceptional Access“, das ein hochrangiger Techniker des GCHQ namens Ian Levy bereits 2018 vorgestellt hatte. Im Wesentlichen läuft es darauf hinaus, dass Services wie sichere Ende-zu-Ende-Verschlüsselung zwischen zwei oder mehr Teilnehmern nicht mehr möglich sein werden, weil die Provider verpflichtet sind, Nachschlüssel anzulegen. Zudem muss es einen Generalschlüssel geben und irgendeine Form von Vorratsspeicherung der Inhalte, da etwa Chats nicht dauerhaft gespeichert werden.

Dokument der EU Kommission

EU Kommission

Hier wird in der Konsultation der Kommission gefragt, in welcher Art von Kommunikationen wonach gesucht werden soll, hierbei geht es wohlgemerkt um private Chats von Einzelpersonen oder kleineren Gruppen. Bemerkenswerterweise wird in der Konsultation auch in Betracht gezogen, Texte privater Chats automatisch einzulesen und zu analysieren.

Die Suggestivfragen der Kommissarin

Mitte Juli hatte die Kommissarin versucht, mit verpflichtenden Upload-Filtern für die Plattformen den Einsatz von E2E-Verschlüsselung unmöglich zu machen.

Die Konsultation der Kommissarin enthält so ziemlich alle Punkte, die auf dem Beamtengipfel im Zusammenhang mit dem Vorgehen gegen Verschlüsselung zur Sprache kommen werden. Wie aus dem Screenshot (oben) abzulesen ist, hält sich die Konsultation nicht lang mit Nebensächlichkeiten wie Grundrechten der Bürger auf, sondern kommt schon bei Frage Nummer fünf zur Sache, wozu diese Kommunikation zum Schutz vor Kindesmissbrauch vor allem dienen soll. „Einige der Werkzeuge, die Provider benutzen, um auf freiwilliger Basis sexuellen Missbrauch in ihren Services zu entdecken, zu melden und zu löschen, funktionieren in verschlüsselten Umgebungen nicht. Wenn es eine gesetzliche Verpflichtung dazu gäbe, Missbrauch... zu entdecken, zu melden und zu löschen, sollte diese Verpflichtung auch für verschlüsselte Kommunikationen gelten?“

Fakt ist, dass es derzeit eine solche Verpflichtung für Provider weder in den USA noch im EU-Raum gibt. Fakt ist weiters, dass der Europäische Gerichtshof - von der Vorratsdatenspeicherung angefangen - noch jede solche anlasslose Massenüberwachungsmaßnahme als grundrechtswidrig verworfen hat. Noch deutlicher wird die Konsultation bei Frage Nummer sechs: "Wenn ja, welche Form sollte diese gesetzliche Verpflichtung haben? Die einzige ja/nein Antwortmöglichkeit ist: „Wichtige Anbieter von verschlüsselten Online-Services sollten verpflichtet werden, technische Kapazitäten vorzuhalten, um Kindesmissbrauch proaktiv zu entdecken, melden und zu löschen“.

Dokument der EU Kommission

EU Kommission

Bei Frage neun dürfte es auch den Fragestellern der Kommission gedämmert haben, dass ein derart totalitäres Überwachungsregime zwangsläufig mit signfikanten Fehlerraten einhergehen muss. Da stellt sich klarerweise auch die Haftungsfrage für die Industrie.

Private Chats, Heuristik, Meldepflicht

Die portugiesische Ratspräsidentschaft war eigentlich angetreten, um die E-Privacy-Verordnung wieder näher an die DSGVO heranzubringen. Die Mitgliedstaaten aber reklamierten Upload-Filter, ein E2E-Verbot und Vorratsdatenspeicherung hinein.

Im geplanten Überwachungsregime gibt es nämlich auch eine Meldepflicht und damit beginnen die Probleme, zumal hier keine Menschen, sondern Algorithmen überwachen. Wie dem Screenshot zu entnehmen ist, wird da von der Kommission gefragt, ob nur nach bekannten Kindesmissbrauchsbildern in privaten (!) Chats gesucht werden soll, oder auch nach neuen, noch unbekannten Bildern. Bekannte Bilder bedeutet, dass nur ein digitales Wasserzeichen des Bіldes oder Videos erstellt werden und mit den Wasserzeichen in einer Datenbank abgeglichen werden muss. Auch hier gibt es zwar Fehlerraten von einigen Prozent.

Wenn jedoch heuristische Methoden etwa in Form von „künstlicher Intelligenz“ eingesetzt werden, um anhand von Hauttönen, Farbverteilung und Körpergrößen den Wahrscheinlichkeitsgrad auszurechnen, dass es sich um Bilder von Kindesmissbrauch handelt, steigen vor allem die falschen Treffer in lichte Höhen. Belastbare Zahlen zu diesem Delikt gibt es bis jetzt zwar nicht, zehn bis 15 Prozent falsche Treffer gelten bei ähnlich gelagerten KI-Projekten schon als ziemlich guter Wert. Die Folge ist, dass solche „Treffer“ der Algorithmen von Menschen überprüft werden müssen.

Wer von falschen Treffern getroffen wird

Alleine bei WhatsApp fielen durch eine solche Regelung weltweit täglich Millionen Bilder an, dieentweder beim Betreiber bzw. bei der Meldestelle von Menschen überprüft werden müssten. Das heißt, sie wären damit beschäftigt, vor allem Urlaubsfotos von Familien mit Kindern durchzusehen, die via WhatsApp privat an Großeltern und andere Verwandte übermittelt werden. Dazu kämen noch die Teenager, die einander laszive Selfies schicken, wie das beim Sexting unter jungen Leuten nun einmal üblich ist. Das sind die weitaus größten Benutzergruppen dieser Chat-Anwendung, die von falschen Treffern betroffen sein werden, wenn ihr Kommunikationsgeheimnis durch Algorithmen aufgehoben wird.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: