Neustart der internationalen Kampagne gegen Verschlüsselung

In Großbritannien und den USA ist die Kampagne mit unterschiedlichem Erfolg bereits angelaufen. In Brüssel wartet man auf den schon mehrfach angekündigten Entwurf der Kommission zu „Chat Control“.

Von Erich Moechel

Die Allianz aus westlichen Geheimdiensten und Polizeibehörden ist dabei, ihre internationale Kampagne gegen Ende-zu-Ende-Verschlüsselung (E2E) wieder hochzufahren. In Großbritannien ist gerade eine teure PR-Kampagne der Regierung zu Ende gegangen, die E2E im Zusammenhang mit Pädokriminellen dämonisierte.

In den USA wird versucht, den steckengebliebenen „EARN IT“-Gesetzesentwurf von 2020 wieder auf das Tapet zu bringen. Internet-Plattformen wird darin de facto der Verlust der Haftungsfreiheit angedroht, wenn sie E2E-Verschlüsselung einsetzen. Und in Brüssel wartet man auf die mehrfach angekündigte und noch öfter verschobene Verordnung gegen E2E-verschlüsselte Chats von Kommissarin Ylva Johansson.

Data-Mining hatte Vorrang

Interessanterweise hat sich Europol zum Thema Verschlüsselung aktuell noch nicht geäußert, obwohl die europäische Polizeibehörde bei Kampagnen gegen Verschlüsselung seit 2014 stets an vorderster Front zu finden war. Hier hatten wohl die laufenden Trilog-Verhandlungen zur neuen Regelung der Befugnisse von Europol Priorität. Da wurde am Montag blitzartig entschieden, dass Europol auch weiterhin unspezifizierte Datensätze im Petabyte-Bereich mittels Data-Mining nach unbekannten Kriterien auswerten darf. Diese Entscheidung wurde maßgeblich von der französischen Ratspräsidentschaft vorangetrieben. Die Löschanordnung des Europäischen Datenschutzbeauftragten vom Dezember für diese Datensätze, die Europol ja zu ganz anderen Zwecken vor allem aus den Mitgliedsstaaten erhalten hatte, wurde damit konterkariert.

Die Kampagne in Großbritannien, in der recht hanebüchen Stimmung gegen E2E-Verschlüsselung gemacht wurde, ging jedenfalls nach hinten los. Angesichts der aktuellen Turbulenzen rund um Premierminister Boris Johnson wurde sie als Ablenkungsmanöver abgetan - und als solches wurde sie wohl auch benutzt -, vor allem die hohen Kosten wurden kritisiert. Im EU-Raum wurde diese Kampagne kaum wahrgenommen, denn länderübergreifend wird wenigstens derzeit offenbar nicht koordiniert. Seit 2014 kehrt ein und dieselbe Kampagne gegen sichere Verschlüsselung etwa im Zweijahresrhyhtmus wieder, analog zur Nachrichtenkonjunktur wird sie abwechselnd an Terrorismus oder an Kindesmissbrauch aufgehängt.

Netzwerkinformationssicherheit mit Hintertüren

Die in der novellierten Richtlinie zur Netzwerkinformationssicherheit (NIS 2.0) von Anfang an verankerten Entschlüsselungspläne für E2E-Kommunikation haben, wie man im Screenshot oben sieht, bis jetzt im Text überlebt. „Der Einsatz von Ende-zu-Ende Verschlüsselung sollte mit den Aufgaben der Mitgliedsstaaten in Einklang gebracht werden, ihre essentiellen Sicherheitsinteressen und die öffentliche Sicherheit zu schützen“, heißt es da im Erwägungsgrund 55, „sowie Straftaten zu entdecken, zu untersuchen und zu verfolgen“. Diese Passage ist als juristischer Andockpunkt für die immer wieder angekündigte Verordnung gegen Kindesmissbrauch vorgesehen, wie immer die auch aussehen wird.

Wie ebenfalls zu sehen ist, unterscheidet sich die Version des EU-Parlaments von den anderen beiden. Die genannte Passage ist dort nämlich mit dem Zusatz versehen, dass mit dem In-Einklang-Bringen von E2E mit staatlichen Sicherheitsinteressen keine Kompromittierung von E2E-Verschlüsselung gemeint sein dürfe. Dies sei eine kritische Technologie zum Schutz der Daten und der Privatsphäre. Wie viele Straftaten nämlich durch E2E-Verschlüsselung verhindert wurden, seit es Online-Banking gibt, wird im Zusammenhang mit Strafverfolgung niemals nachgefragt.

Wie der EARN IT Act konstruiert ist

Der EARN IT Act entzieht sich solchen Diskussionen allein schon dadurch, dass Verschlüsselung im Text überhaupt nicht erwähnt wird. Grundlage des Entwurfs ist eine zu erstellende Liste sogenannter „Best Practices“ für Plattformen, um „Kindesmissbrauch zu identifizieren, zu kategorisieren und zu melden“, samt allen daraus resultierenden Konsequenzen. Gemeint sind die Speicherung der inkriminierten Daten, die Identifikation des Urhebers und eine Meldepflicht an die Behörden. Soweit klingt das alles sehr nach normaler Kooperation mit den Behörden in Strafsachen, genau das ist es aber nicht. Der gesamte Entwurfstext bezieht sich nämlich nicht auf Anfragen von Strafverfolgern nach bestimmten Benutzern oder Inhalten. Vielmehr sollten die Provider die künftigen „Best Practices“ präventiv auf alle Nutzer:innen des Dienstes anwenden.

Überwachen und beurteilen soll all dies eine neue Kommission unter dem US-Justizminister, die drakonische Strafen gegen Plattform-Provider verhängen kann, sollten diese „Best Practices“ nicht eingehalten werden. Sollte das Vorhaben tatsächlich Gesetz werden, könnte Ende-zu-Ende-Verschlüsselung von US-Plattformen nicht mehr angeboten werden. Diesen Entwurf vom Frühjahr 2020 hat Kommissarin Ylva Johansson dann im Sommer desselben Jahres zu kopieren versucht. Mit einer Filterpflicht für Plattformen im EU-Raum sollte dasselbe Resultat erzielt werden, nämlich E2E-Verschlüsselung von allen Plattformen zu verdrängen. Es ist gut möglich, dass dieser erste Ansatz nun wieder aufgegriffen wird.

Die Kampagne startete im Jahr 2014 gleichzeitig in Europa und in den USA. Die Direktoren des britischen Militärgeheimdienstes GCHQ und des FBI, sekundiert vom Anti-Terror-Koordinator der EU, Gilles de Kerchove, verlangten „Goldene Schlüssel“, also Generalschlüssel für iPhones und Androids auf Ebene des Betriebssystems. In dieser zweiteiligen Zusammenfassung sind alle wichtigen Phasen dieser Kampagne seit 2014 ausführlich dokumentiert.