FM4-Logo

jetzt live:

Aktueller Musiktitel:

Holztüre mit Schloss, nur angelehnt

Pixabay / CC0

Erich Moechel

Neue EU-Richtlinie mit Maßnahmen gegen Verschlüsselung

Laut Binnenmarktkommissar Thierry Breton werden die Probleme für Strafverfolger durch sichere Verschlüsselung ab Herbst im Rahmen der neuen Richtlinie für digitale Services angegangen.

Von Erich Moechel

Der für digitale Dienste zuständige EU-Binnenmarktkommissar Thierry Breton hat nun bestätigt, dass auch die EU Maßnahmen setzen wird, um Anbieter verschlüsselter Messengerdienste in die Pflicht zu nehmen. Maßnahmen gegen den Missbrauch solcher Chat-Services für illegale Aktivititäten würden in die erste Stufe der neuen Richtlinie für digitale Dienste ab dem Herbst einfließen, antwortete Breton auf eine schriftliche Anfrage aus dem EU-Parlament.

Ende Juli hatte Kommissarin Ylva Johansson (Inneres) angekündigt, dass Chat-Anbieter ihre Plattformen routinemäßig nach pädokriminellen Inhalten durchsuchen müssten. Das gelte auch für verschlüsselte Kommunikation, so Johansson, denn die Verbreitung solcher Videos habe in den letzten Jahren so explosiv zugenommen, dass Handlungsbedarf bestehe. Ein Faktencheck bei Microsoft zeigt allerdings, dass in erster Linie ein Software-Update für den gewaltigen Zuwachs ausschlaggebend war.

Ylva Johansson

Anders Henrikson / Wikimedia Commons / CC BY 2.0

Die EU-Kommissarin für Innere Angelegenheiten, die schwedische Sozialdemokratin Ylva Johansson. CC BY 2.0

Was Kommissarin Johansson verschwiegen hatte

Ende Juli hatte EU-Kommissarin Ylva Johansson neue Verpflichtungen für Plattformen wie WhatsApp, Apple etc. zur Durchsuchung samt empfindlichen Strafen bei Verstößen angekündigt.

Auf den ersten Blick scheinen die Zahlen von Microsoft die Aussagen der Kommissarin auch zu bestätigen. Tatsächlich waren die in den USA gemeldeten, einschlägigen Videos zwischen 2015 und 2017 von 300.000 auf über 3,5 Millionen förmlich explodiert. Microsoft stellt seit 2009 sein Software-Tool PhotoDNA zur freien Verfügung. Die Software zum Erstellen und Einlesen digitaler Signaturen von Fotos setzt auf der Datenbank der Internet Watch Foundation (IWF) und weiteren Datenbanken auf, in der die Signaturen sämtlicher bekannt gewordener pädokrimineller Bilder laufend bei den Polizeibehörden gesammelt werden. Was Johansson dabei verschwiegen hatte, sind die näheren Umstände, und die sind softwaretechnischer Natur.

Im genannten Zeitraum nach 2015, als die Meldungen förmlich explodierten, hatte Microsoft gerade mit dem Roll-Out seiner weiterentwickelten Software an andere Konzerne begonnen. Diese neue Version von PhotoDNA beherrscht auch das „Watermarking“ von Videos und wird von vielen großen Publikusmwebsites längst genutzt, um Videos von Pädokriminellen anhand des digitalen Wasserzeichens schon beim Upload als solche zu identifizieren und zu blocken. Seit 2018 steht PhotoDNA zur Einmeldung solcher Videos über die Website für private Nutzer frei zur Verfügung. Die Schlussfolgerungen daraus findet man weiter unten.

Neue EU-Richtlinie mit Maßnahmen gegen Verschlüsselung

Microsoft

2018 hatte Microsoft anläßlich der Freigabe des nun auch videotauglichen PhotoDNA-Portals für die breite Öffentlichkeit die Genese dieses Services ziemlich ausführlich beschrieben

US-Gegenstück weitgehend entschärft

Anfang März kam EARN IT in den US-Senat, diese inzwischen revidierte Erstfassung hatte den Einsatz von Ende-zu-Ende-Verschlüsselung durch Facebook, Apple & Co de facto unter Strafandrohung gestellt.

Die EARN IT-Bill liest sich mittlerweile ѕchon deutlich anders als in der Erstversion. Obwohl der Entwurf als „Bipartisan Bill“ eingereicht wurde - die gehen in der Regel schnell durch den Kongress - stieß die Bill auf heftigen Widerstand und zwar in beiden Lagern des US-Senats. Senator Ron Wyden (D) und andere hatten den Entwurf dann soweit entschärft, dass E2E-Verschlüsselung alleine nicht mehr unter „grob fahrlässiges Verhalten gegenüber interaktiven Technologien“ fällt.

Die jüngste Version des Entwurfs lässt die Möglichkeit, gegen E2E-Angebote zivil- oder strafrechtlich vorzugehen, allerdings weiterhin auf Ebene der Bundesstaaten offen. Indem da Bundestaaten gestattet werde, eigene Gesetze zur Regulation des Internets zu erlassen, werde das Gesetz in seiner derzeitigen Form zu „massiver Verunsicherung in Bezug auf sichere Verschlüsselung“ führen. Genau das ist aber das Ziel dieser Kampagne, die seit 2016 mit wenigen Unterbrechungen vor allem in den Staaten der angelsächsischen „Five Eyes“ läuft.

Neue EU-Richtlinie mit Maßnahmen gegen Verschlüsselung

EU Kommission

Hier sind die Forderungen de Kerchoves und Europols direkt in den Text der Kommissionagenda eingeflossen. Man fragt sich schon, ob den Autoren dieses Texts der ganze Widersinn bewusst war, den sie in diesen Satz gepackt haben: „bis Ende 2020 sollen mögliche technische Lösungen zur Entdeckung sexuellen Missbrauchs von Kindern in Ende-zu-Ende-Verschlüsselung“ identifiziert werden. Wenn es für Strafverfolger, also für Dritte „technische Lösungen“ gibt, Bilder und Videos in verschlüsselten Datenströmen zu identifizieren, dann handelt sich nicht um Ende-zu-Ende-Verschlüsselung. Dann stehen nämlich Dritte zwischen den beiden Enden in der Mitte.

Haftungsfreiheit und Verschlüsselung

Im Mai hatte der EU-Ministerrrat das Gesetzesvorhaben blitzartig auf den Weg gebracht. Treibende Kräfte dahinter waren Europol und Gilles de Kerchove, der Anti-Terrorkoordinator.

Auf der Kommissionsagenda für 2020 sind als Auftakt zur Richtlinie „klare Regeln bezüglich der Verantwortung von Anbietern digitaler Services, Risiken für ihre Benutzer zu begegnen und deren Recht zu schützen“ vorgesehen. Mit dieser Verantwortung direkt verknüpft ist dann die Haftungsfreistellung für Serviceanbieter, die derzeit in der E-Commerce-Richtlinie von 2000 geregelt ist. Letztere und mehrere andere Richtlinien und Verordnungen werden durch die neue Richtlinie für digitale Dienste zusammengefasst und novelliert.

Denselben gesetzlichen Hebel, nämlich die Haftungsfreiheit gegen Durchsuchungsauflagen für die Provider nützt auch der „EARN IT“ Act („Eliminating Abusive and Rampant Neglect of Interactive Technologies“). Wie das Akronym schon sagt, müssen sich die Anbieter ihre Haftungsfreiheit erst verdienen, etwa indem sie ihre Plattformen für die Strafverfolger gezielt nach ganz bestimmten Inhalten abscannen. Plattformen, denen das technisch nicht möglich ist, weil sie sichere E2E-Verschlüsselung einsetzen, riskieren, diesen Status zu verlieren und haften dann für alle Inhalte auf ihrer Plattform.

Hinter dem Licht

Kommissarin Ylva Johanѕson hat die Öffentlichkeit also hinters Licht geführt. Seit 2015 wird nämlich vor deshalb immer mehr Videomaterial von Pädokriminellen identifizіert, weil das Standardtool PhotoDNA seit 2015 auch Videos einlesen, markieren und automatisch wiedererkennen kann. Seitdem wird es von immer mehr Plattformbetreibern eingesetzt, um diese Videos schon beim Upload aus dem Verkehr zu ziehen. Google und Facebook verwenden jeweils lange schon eigene Systeme, über die verwendete Technik halten sich die Konzerne wie üblich strikt bedeckt. Rechnet man noch den allgemeinen klaren Trend von Bildern hin zum Video dazu hat man eine hinreichende Erklärung für diese Zuwächse.

Calea Amendment

Public

Als sich bereits abzeichnete, dass der EARN IT Act das Ziel, verschlüsselte Services aus dem Netz zu verdrängen, nicht erreichen würde brachte Senator Lindsey Graham einen weiteren Gesetzesvorschlag ein , der sich nachgerade extremistisch liest. In dieser Passage wird das Anbieten von Ende-zu-Ende Verschlüsselung de facto kriminalisiert, weil der Anbieter Kommunikationen, die von Strafverfolgern verlangt werden, nicht im Klartext liefern kann. Dieser Bill, die neben Graham zwei weitere erzkonservative Senatoren unterstützen, räumen Beobachter nur wenig Chancen ein. Graham führt die republikanische Mehrheit im Senat an und agiert dort als bedingungsloser Unterstützer Donald Trumps.

Geblockt werden dadurch aber nur die temporären Marketingkanäle zur Akquisition neuer Kunden, das eigentliche Geschäft spielt sich nämlich nicht auf den großen öffentlich zugänglichen Plattformen wie Facebook Messenger oder WhatsApp ab, sondern in beliebigen Cloudspaces, die mit Bitcoins angemietet werden. Ab da ist Schluss mit gratis, denn dahinter sitzen die Geschäftemacher sowie die eigentlichen Haupttäter in diesem dreckigsten aller Geschäfte. Es sind die Produzenten dieser Videos und die werden bis jetzt in den seltensten Fällen über das Netz erwischt, obwohl sie als Produzenten in den Videos unweigerlich Spuren hinterlassen, die forensische Untersuchungen zu Tage bringen.

Abriss der Kampagne seit 2009

2009 wurde in den USA eine Meldepflicht von pädokriminellen Inhalten für Provider eingeführt und Microsoft brachte die erste Version von PhotoDNA für Bilder heraus. Damit war es für Publikumsprovider erstmals möglich, Bilder missbrauchter Kinder automatisiert auf ihren Plattformen zu identifizieren. Gut ein Jahr später kamen dann die ersten Medienberichte über einen sprunghaften Anstieg des Delikts „Kinderpornographie im Internet“ heraus. Die Informationen kamen klarerweise von den Strafverfolgern, die kurz danach mit ihren Forderungen wieder in die Medien kamen: Ausweitung der Vorratsdatenspeicherung, die Installation sogenannter Blackboxes zum Brechen von Verschlüsselung bei den Zugangsprovidern, mehr Staatstrojaner usw.

Die Enthüllungen Edward Snowdens ab 2013 - die einen globalen Überwachungsappart ungeheuren Ausmaßes offenlegten - sorgte nur für ein temporäre Zäsur. 2016 war die Kampagne dann wieder zurück und sie hatte als erstes Ziel, den Vormarsch der nach Snowden Zug um Zug eingeführten Transportverschlüsselung (TLS alias https) zu verhindern, weil das den Kampf gegen den Terrorismus unmöglich mache. Das Vorhaben misslang und die Welle islamistischer Anschläge in Westeuropa flaute obendrein ab. Ende 2018 kam die Kampagne mit einem Paukenschlag gegen die E2E-Verschlüsselung von WhatsApp zurück, gefahren wurde sie allerdings diesmal nicht von Strafverfolgern, sondern vom britischen Militärgeheimdienst GCHQ und seinem Gegenstück, dem Australian Signals Defence Directorate.

Mit dem „Assistance and Access Act“ hatte Australien wenig später einen globalen Präzendenzfall geschaffen, das erste Gesetz der westlichen Welt, das Angebote von E2E-Verschlüsselung unter mögliche Strafandrohung stellt. Die Forderungen de Kerchoves und Europols nach genau denselben Maßnahmen gingen dann im Eiltempo im Mai 2020 durch den Ministerrat, im Juli kündigte Kommissarin Johansson bereits eine diesbezügliche Richtlinie an. Mit Thierry Breton hat nun der mächtigste EU-Kommissar das Vorhaben bestätigt.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

mehr Netzpolitik:

Aktuell: