EU-Verordnung gegen verschlüsselte Chats kommt Ende März
Von Erich Moechel
In Russland ist sichere verschlüsselte Kommunikation mittlerweile das einzige Mittel, um Zensur und Repression zu umgehen. In den USA und der EU aber sind Gesetzesentwürfe auf dem Weg, die direkt gegen Ende-zu-Ende-Verschlüsselung von Messengerdiensten wie WhatsApp oder Ѕignal gerichtet sind.
In den USA hat der „EARN IT Act“, der mit sicherer Verschlüsselung inkompatibel ist, bereits den Rechtsausschuss des Senats passiert. Die mehrfach verschobene EU-Verordnung kommt am 30. März. Ein Schreiben von Kommissarin Ylva Johansson an das EU-Parlament nennt dazu erste Eckpunkte der geplanten Regelung.
EU Kommission
Das Schreiben von Kommissarin Johansson an die Mitglieder des EU-Parlaments wurde vom Abgeordneten Patrick Breyer veröffentlicht. MEP Breyer (Piraten/Grüne) hat dieses Überwachungsvorhaben unter dem Titel „Chat Control“ einer breiten Internationalen Öffentlichkeit bekannt gemacht. Der Dachverband EDRi und 34 weitere Bürgerrechtsorganisationen warnen in einem offenen Brief an die EU-Kommission vor einem gefährlichen Präzedenzfall von Massenüberwachung privater Kommunikation
„Client Side Scanning“
Anfang Februar war die internationale Kampagne gegen E2E auch in Europa neugestartet worden. In Großbritannien und den USA ist der Gesetzgebungsprozeß bereits weiter fortgeschritten
„Es soll sichergestellt werden, dass die Firmen ihren Beitrag leisten, indem sie verpflichtet werden, Kindesmissbrauch zu entdecken, zu melden und zu entfernen“, heißt es in dem Schreiben der Kommissarin an das Parlament. Eine „Schlüsselrolle“ komme dabei dem geplanten „EU-Zentrum zur Bekämpfung von Kindesmissbrauch“ zu, das es „den Plattformen ermöglichen soll, Kindesmissbrauch zu entdecken, zu melden und zu entfernen und gleichzeitig sicherzustellen, dass diese Maßnahmen nicht missbraucht werden, um andere Inhalte abzugreifen“, schrieb Johansson an das Parlament. Das deutet sehr darauf hin, dass die Inhalte auf dem Smartphone gescannt werden sollen, noch bevor der Aufbau einer E2E-verschlüsselten Verbіndung gescannt wird. Diesen Ansatz des „Client Side Scanning“ hatten ein Dutzend der weltweit bekanntesten akademischen Kryptographen im vergangenen Herbst in der Luft zerrissen (siehe nächsten Link).
Wie dieses Zentrum es ermöglichen soll, Bilder oder Videos von Kindesmissbrauch zu entdecken, wird zwar nicht näher erläutert. Die seit 2009 gebräuchliche Methode dabei ist der Einsatz von Software-Tools wie PhotoDNA von Microsoft zum Erstellen und Einlesen digitaler Signaturen von Fotos und Videos. PhotoDNA setzt auf der Datenbank der Internet Watch Foundation (IWF) und weiteren Datenbanken von Polizeibehörden auf, dabei werden die Signaturen sämtlicher bekannt gewordener pädokrimineller Bilder und Videos automatisch mit der Signatur einer gerade hochgeladenen Datei abgeglichen. Stimmen die Signaturen überein, sollten die betreffenden Dateien an dieses neue Zentrum überspielt werden, um Ermittlungen einzuleiten. Bei verschlüsselten Chats wird allerdings nichts hochgeladen, sondern eine direkte Verbindung zwischen zwei Endgeräten aufgebaut.
EU Kommission
Hier versichert Kommissarin Ylva Johansson, dass „die Kommission keine Lösungen wählen werde, die Verschlüsselung verbieten oder generell schwächen“ würden. Das entspricht voll und ganz dem Sachverhalt, denn E2E-Verschlüsselung soll ja nicht verboten oder generell geschwächt, sondern einfach ausgehebelt werden, bevor sie einsetzt.
Datenbanken, falsche Treffer
Client Side Scanning werde Smartphones angreifbar machen und in Richtung Polizeistaat führen, bilanzierten führende Kryptographen im Oktober 2021 über die geplante Regelung.
Da dieses Zentrum gegen Kindesmissbrauch allerdings auch den Missbrauch dieses Instruments durch die Plattformen selbst verhindern soll, muss es seitens der EU-Behörden Kontrollmaßnahmen geben. Wenn nämlich nur nach genau definierten Inhalten gesucht werden darf, dann müssen diese Inhalte definiert werden. Etwa, indem seitens der EU eine eigene Datenbank mit digitalen Signaturen von Kindesmissbrauchsbildern und -videos zur Verfügung gestellt wird. WhatsApp oder Facebook Messenger sowie alle anderen Plattformen, die unter die Verordnung fallen, müssen mit diesem EU-Zentrum natürlich direkt vernetzt sein.
Damit kann nur bekanntes Bild- und Videomaterial identifiziert werden. Zusätzlich müssen KI-Programme zum Einsatz kommen, die mit heuristischen Algorithmen arbeiten. Hier werden keine Hashes von Bildern und Videos verarbeitet und abgeglichen, die Bilder werden vielmehr nach verschiedenen Kriterien bewertet. Etwa nach dem Anteil bestimmter Farbtöne, die jenen nackter Haut entsprechen, signifikante Größenunterschiede von Personen und vieles mehr. Aus all diesen Daten errechnet die KI dann eine Wahrscheinlichkeit, dass die betreffende Datei Darstellungen von Kindesmissbrauch enthält. Diese Methode produziert allerdings einen hohen Anteil falscher Treffer, der die Zahl der echten Treffer weitaus übersteigt.
US Senat
Das Akronym EARN IT steht für Eliminating Abusive and Rampant Neglect of Interactive Technologies Act. Dieser Titel sagt eigentlich bereits alles über den Ansatz aus. Die Electronic Frontier Foundation hat diese Neuauflage des 2020 gescheiterten Gesetzesentwurfs heftig kritisiert.
„Best Practices“ als Drohung
Erstmals kam der EARN IT Act Anfang 2020 in den US-Senat, wo er zusammen mit einem zweiten, ähnlichen Entwurf jedoch keine Mehrheit fand.
Im EARN IT Act der USA wird Verschlüsselung im Text überhaupt nicht erwähnt. Grundlage des Entwurfs ist eine Liste sogenannter „Best Practices“ für Plattformen, um „Kindesmissbrauch zu identifizieren, zu kategorisieren und zu melden“, samt allen daraus resultierenden Konsequenzen. Gemeint sind die Speicherung der inkriminierten Daten, die Identifikation des Urhebers und eine Meldepflicht an die Behörden. Soweit klingt das alles sehr nach normaler Kooperation mit den Behörden in Strafsachen. Der gesamte Entwurfstext bezieht sich allerdings nicht auf Anfragen von Strafverfolgern nach bestimmten Benutzer:innen oder Inhalten. Vielmehr sollten die Provider die künftigen „Best Practices“ routinemäßig und präventiv auf alle Nutzer:innen eines Dienstes anwenden.
Überwachen und beurteilen soll das eine neue Kommission unter dem US-Justizminister, die drakonische Strafen gegen Plattform-Provider verhängen kann, sollten diese „Best Practices“ nicht eingehalten werden. Sollte das Vorhaben tatsächlich Gesetz werden, könnte Ende-zu-Ende-Verschlüsselung von US-Plattformen nicht mehr so einfach angeboten werden, ohne zu riskieren, dass dies als „abusive and rampant neglect“ eingestuft wird. Diesen Entwurf vom Frühjahr 2020 hat Kommissarin Ylva Johansson dann im Sommer desselben Jahres vergeblich zu kopieren versucht. Seit 2021 wird auf Client Scanning gesetzt.
Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 16.03.2022
