Spionageallianz mit neuem Vorstoß gegen Verschlüsselung

Im US-Senat liegt ein Gesetzesentwurf, der den Einsatz von Ende-zu-Ende-Verschlüsselung durch Facebook, Apple & Co de facto unter Strafandrohung stellt. Nicht wirklich überraschend fährt der Entwurf unter der falschen Flagge „Kinderpornografie“.

Von Erich Moechel

Die globale Kampagne der „Five Eyes“-Spionageallianz gegen Verschlüsselung ist wieder aufgetaucht. In den USA wurde ein Gesetzesentwurf geleakt, der Publikumsprovider wie Facebook dazu zwingen soll, die Verschlüsselung privater Kommunikationen routinemäßig aufzubrechen. Damit soll eine neue Kommission unter dem US-Justizminister ermächtigt werden, drakonische Strafen gegen Provider zu verhängen, wenn sie sichere Ende-zu-Ende-Verschlüsselung anbieten.

Nicht ganz überraschend fährt auch diese Initiative unter der falschen Flagge der Bekämpfung von „Kinderpornografie“. Anfang Oktober hatten die Innenminister Großbritanniens, Australiens und der USA Mark Zuckerberg ultimativ aufgefordert, die Ende-zu Ende-Verschlüsselung im Facebook-Imperium nicht weiter voranzutreiben. Im Dezember 2018 war Australien bereits mit einem einschlägigen Gesetz vorgeprescht, alle drei Staaten sind Teil der Spionageallianz.

Die nicht erwähnte Verschlüsselung

Im Gesetzesentwurf wird der Begriff „Verschlüsselung“ [encryption] kein einziges Mal erwähnt und das hat gute Gründe. Bis jetzt hatte noch jeder Vorstoß, sichere Verschlüsselung direkt oder indirekt unter Strafandrohung zu stellen, massive Reaktionen seitens der Industrie sowie der Bürgerrechtsorganisationen zur Folge gehabt. Allerdings ist auch hier die Stoßrichtung des Gesetzes recht schnell erkennbar und wie in solchen Fällen üblich, braucht auch diese Vorgangsweise kein ordentliches Gericht. Entscheidungsträger ist eine Kommission, die unter dem Justizminister angesiedelt ist,

Neue Maßnahmen, die es schon länger gibt

Diese Kommission entscheidet, ob ein Internetunternehmen gegen die Auflagen und Sorgfaltspflichten verstößt. Die Grundlage dafür ist eine noch zu erstellende Liste sogenannter „best practices“ für Provider. Dazu sollten primär Maßnahmen definiert werden, um „Kindesmissbrauch zu identifizieren, kategorisieren und zu melden“, sowie alle daraus resultierenden Konsequenzen. Gemeint sind Speicherung der inkriminierten Daten, Identifikation des Urhebers und eine Meldepflicht an die Behörden. Soweit klingt das alles sehr nach normaler Kooperation mit den Behörden in Strafsachen, genau das ist es aber nicht. All dieser nun verlangten Maßnahmen werrden seit Jahren praktiziert.

Wie derzeit schon gefiltert wird

Der gesamte Entwurfstext bezieht sich nämlich nicht auf die gesetzlich gedeckten Anfragen von Strafverfolgern nach bestimmten Benutzern oder Inhalten. Vielmehr sollen die Provider die künftigen „Best Practices“ präventiv anwenden, das heißt, aktiv danach zu suchen. Allerdings machen das von Facebook über Google bis zu Microsoft ohnehin schon alle großen Internetkonzerne, die samt und sonders längst über leistungsfähige Upload-Filter verfügen.

Und das funktioniert bei diesen Services, gerade erst haben die US-Anbieter ihre Zahlen von 2019 eingemeldet. Die sind allerdings strikt cum grano salis abzuwägen. Aus einem einzigen Foto oder Video werden da gleich ein paar hundert Uploads, wenn es an eine Gruppe im Messenger-Chat geht. Die 3,5 Millionen Bilder und Videos, die Google gemeldet hat, sollten also Vervielfältigungen von weitaus weniger Inhalten sein. Und: Es wird strikt gefiltert, das heißt es wird im Zweifelsfall gesperrt.

Sorgfaltspflichten, Rhetorik militant

Ausgenommen sind nur Datensätze, die Ende-zu-Ende verschlüsselt sind. Auf diese Datensätze haben Facebook und Co zwar technisch gesehen Zugriff, doch analysieren lassen sich solchermaßen verschlüsselte Datensätze natürlich nicht. Damit können Anbieter wie etwa Apple diesen geplanten neuen „Sorgfaltspflichten“ nicht genügen. In Konsequenz wird ihre Freistellung von der Verantwortung für die Datensätze ihrer Benutzer aufgehoben. Der Entwurf enthält zwar keine Details über die Strafandrohung in einem solchen Fall, der militanten Rhetorik des Gesetzestexts nach sollten es aber exorbitante Strafen sein.

Der bereits in Kraft befindliche „Assistance and Access Act“ in Australien sieht nicht nur hohe Strafen beі „Nichtkooperation“ durch die Provider vor, sogar die Konsultation von Technikern ist strafbar, wenn sie zur Umgehung dieser Maßnahmen dient. Auch der Konsulent, der sichere Ende-zu-Ende-Verschlüsselung in einem Netzwerk implementiert, kann strafrechtlich verfolgt werden. In der australischen IT-Branche herrschte nach der Verbschiedung des Gesetzes Aufruhr. Dort hatte man sofort verstanden, welche Konsequenzen dieses Gesetz auf die Branche haben würde. Damit wurde schlicht das Anbieten von öffentlichen Kommunikationsservices mit Ende-zu-Ende-Verschlüsselung de facto unter Strafandrohung gestellt.

Wie es nun weitergeht

Der vorliegende Gesetzesentwurf wurde noch im abgelaufenen Jahr erstellt, wann er in den Kongress kommen wird, ist derzeit noch unklar. Der demokratische Senator Richard Blumenthal hat jedenfalls schon seine Unterstützung deponiert. Warum der Spionageallianz „Five Eyes“ diese Kampagne, bei der sich alles ja um Zugriffsmöglichkeiten für Polizeibehörden dreht, ein solches Anliegen ist, erklärt sich eigentlich von selbst.