FM4-Logo

jetzt live:

Aktueller Musiktitel:

Chatüberwachung

stopscanningme.eu

Erich Moechel

Verordnung zur „Chat-Kontrolle“ im EU-Parlament gestartet

Zeitgleich mit der EU-Verordnung sind auch die britische „Online Safety Bill“ und ein US-Gesetz zur Sicherheit von Kindern im Netz auf dem Weg durch die Parlamente. Ein Vergleich zeigt erstaunliche inhaltliche wie methodische Parallelen.

Von Erich Moechel

Am Mittwoch wurde mit der Arbeit an der Verordnung zur anlasslosen Durchsuchung der Smartphones und PCs von Benutzern Sozialer Netzwerke im Ausschusses für Bürgerliche Freiheiten (LIBE) des EU-Parlaments begonnen. In diesem ersten Meeting wurde der Zeitplan für diese als „Chat-Kontrolle“ bekannte Verordnung gegen Kindesmissbrauch im Netz festgelegt.

Im britischen Unterhaus steht ab Montag mit der „Online Safety Bill“ ein sehr ähnliches Gesetz erneut auf der Agenda. Auch dieser Gesetzesvorschlag zeigt, dass es in diesen verwandten Gesetzesvorhaben primär darum geht, sichere Verschlüsselung zu illegalisieren. Auch in den USA ist ein solches Gesetz zum „Schutz der Kinder“ auf dem Weg durch den Kongress.

Vorschlag zur Regulation

EU Commission

In seinem Blog hat der EU-Abgeordnete Patrick Breyer (Piraten, Grüne Fraktion) die Auswirkungen dieser Regulierung aufgelistet. Und die haben es in sich, wie man in Folge sehen wird. Der Vorschlag für eine Verordnung des Europäischen Parlaments und des Rats zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern, umfasst inzwischen mehr als 150 Seiten.

Die britische „Online Safety Bill“

Nach der Präsentation des Vorschlags durch EU-Kommissarin Ylva Johansson Ende Oktober im EU-Parlament gab es - bei wenig Lob - von allen Seiten heftige Kritik.

Die britische Variante ein- und desselben Vorhabens, das praktisch alle westlichen Legislaturen umfasst, hat bereits zwei Lesungen im Unterhaus hinter sich und präsentiert sich nun leicht modifiziert. Ursprünglich war darin sogar eine Blanko-Ermächtigung für die Regulationsbehörde OFCOM vorgesehen, Durchsuchungsbefehle an Plattformen wie WhatsApp, Signal etc. auszustellen, die nicht „Kinderpornographie“ betrafen. Vielmehr sollte auch die Verbreitung legaler aber nicht näher definierter „schädlicher Inhalte“ durch die Plattformen unter Strafandrohung gestellt werden. Wenn nämlich diese Dienste die von der OFCOM angeforderten Kommunikationen nicht zur Verfügung stellen, oder das aus technischen Gründen gar nicht können.

Wenn ein Provider die geforderten Inhalte der Kommunikation nicht oder nur verschlüsselt liefern könne, stellt das laut Artikel 93 (4) der „Online Safety Bill“ eine Straftat dar. Damit wird deutlich, worauf nicht nur das britische Gesetz abzielt. Unter einer solchen Strafandrohung kann es sich keine Plattform mehr erlauben, Ende-zu-Ende-Verschlüsselung anzubieten, die ja dazu dient, private Kommunikation nicht nur vor Überwachung durch Dritte, sondern auch vor dem Plattformbetreiber und seinen Angestellten abzusichern. Exakt wie im Entwurf der EU-Verordnung ist diese Kernaussage zweimal irgendwo im Gesetzestext versteckt, der Begriff „Verschlüsselung“ wird überhaupt nur in diesen Passagen erwähnt. Es sind also nicht nur die Inhalte zum Verwechseln ähnlich, auch die Methoden gleichen einander. Diese Vorgangsweise ist nämlich abgestimmt.

UK bill

UK House Of Commons

Mit mehr als 230 Seiten ist der britische Entwurf zur Online Safety Bill noch ausufernder als die EU-Regelung ausgefallen. Auch dieser Text ist noch nicht endgültig, vielmehr handelt es sich um die bereits abgeänderte Version, für die nun neue Änderungsanträge entgegengenommen werden müssen. Wie die europäische liegt auch diese Regulierung nicht Monate, sondern Jahre hinter dem ursprünglichen Zeitplan.

Das US Gesetz zum Kinderschutz im Netz

Nach dem Start 2020 steckte der EARN IT Act fest, das Gesetz fand nämlich keine Mehrheit im Senat. Etwa zeitgleich mit der EU-Chatkontrolle, Anfang 2022 wurde es wieder auf die Agenda im Senat gesetzt.

Im Text der US-Ausgabe, dem Gesetz „zum Schutz der Sicherheit von Kindern im Netz“, sucht man den Begriff „Verschlüsselung“ überhaupt vergebens. Der mit gerade einmal dreißig Seiten vergleichsweise schlanke Gesetzestext enthält eine Liste „Best Practices“ genannter, verpflichtender Maßnahmen für Plattformen, um „Kindesmissbrauch zu identifizieren, zu kategorisieren und zu melden“. Soweit klingt das alles sehr nach normaler Kooperation mit den Behörden in Strafsachen. Der gesamte Entwurfstext bezieht sich allerdings nicht auf Anfragen von Strafverfolgern. Vielmehr sollten die Provider diese „Best Practices“ routinemäßig und präventiv auf alle Nutzer:innen eines Dienstes anwenden. Auch hier sind also die Inhalte wie die Methoden hüben wie drüben des Atlantiks zum Verwechseln ähnlich.

Dieses US-Gesetz ist eine reine Neuauflage des sogenannten „EARN IT Act“ von 2020, das kurz danach im Senat stecken blieb, weil es keine Mehrheit fand. Viele der Passagen sind im Vergleich mit dem heutigen Text vollkommen identisch, geändert wurde aber das martialische Wording des ursprünglichen Gesetzesvorschlags. Eine bedeutende Veränderung, die erst bei genauer Lektüre auffällt, gibt es allerdings doch. Im zweiten Drittel des Gesetzestexts wurde ein Berufungs- und Entschlagungsrecht für die Plattformen eingefügt und zwar für den Fall, dass die Plattformbetreiber „keinen Zugriff auf die betreffenden Datensätze“ haben. Das muss bei E2E-verschlüsselten Chats klarer Weise so sein, die nächste Passage darunter unterstreicht diese Aussage noch.

US bill

US Kongress

Die beiden hier zitierten Passagen finden sich in Section 7 des US-Gesetzesentwurfs der Zugriffsrechte für „unabhängige Forscher“ regelt. Diesen „Forschern“ werden gleich fünf von 30 Seiten gewidmet, denn sie spielen eine wichtige Rolle, die mit der Rolle des „Eu-Centre gegen Kindesmissbrauch“ vergleichbar ist. (Siehe unten)

Ausnahmen für E2E-Chats in den USA

In der europäischen Regulierung erhalten statt unabhängigen Forschern die Mitarbeiter eines neu zu schaffenden EU-Centre Zugriff auf die abgefangenen Rohdatensätze.

Da heißt es, dass sich Plattformbetreiber ebenfalls auf das Entschlagungsrecht berufen können, „wenn durch den Zugang zu den Datensätzen signifikante Lücken in der Sicherheit dieses Plattform-Dienstes“ hervorgerufen würden. Auch das bezieht sich direkt auf E2E-Verschlüsselung, deren hohe Sicherheit ja darin besteht, dass der Aufbau einer verschlüsselten Verbindung direkt zwischen die beteiligten Browsern oder Apps auf den Endgeräten ausgehandelt wird. Da die Plattform selbst daran nicht beteiligt ist, kann von dort aus auch nicht auf die Kommunikation zugegriffen werden.

Das wäre nur möglich, wenn der Serviceprovider in jeden Schlüsselaustausch von Endgeräten zum Aufbau der E2E-Kommunikation automatisch eindringt und den Vorgang manipuliert, indem er den den beteiligten Browsern oder Apps seinen Generalschüssel verdeckt unterjubelt. Alleine durch die Existenz eines solchen Generalschlüssels würde die Sicherheit der gesamten Plattform kompromittiert. Und genau darauf laufen alle drei Gesetzesvorhaben hinaus. Sobald der Plattformbetreiber nämlich über einen solchen Generalschlüssel verfügt, ist er nicht nur zur Entschlüsselung einzelner Kommunikationen für Strafverfolgungszwecke gezwungen. In Großbritannien werden alle Kommunikationen in Sozialen Netzwerken dann dem Militärgeheimdienst GCHQ unverschlüsselt offenstehen, in den USA der NSA.

Zwei einfache Erklärungen zum Schluss

Was in Europa „EU-Centre gegen Kindesmissbrauch“ heißt, nennt sich in den USA „Independent Research“, die beide keine polizeilichen, sondern zivile Instanzen sind. Bei diesen Zivilpersonen sollen nämlich die Rohdatensätze landen, die von den KI-Algorithmen als verdächtig eingestuft werden und erst „bereinigt“ werden müssen. Gerade solch hochkomplexe KI-Anwendungen produzieren in der Praxis nämlich neben echten weitaus mehr falsche Treffer, die aussortiert werden müssen: Familienfotos vom Urlaub am Strand, Szenen von Jugendsportveranstaltungen, Ferienlagern usw.

Warum gerade im US-Gesetz Ausnahmen für E2E-verschlüsselte Dienste in den Text gekommen sind ist leicht erklärt. Diese pauschale Illegalisierung von Services mit der sichersten Kommunikationsform im Netz war einer Mehrheit im Senat 2020 offenbar zu weit gegangen, deshalb hatte es der EARN IT Act gar nicht erst auf die Tagesordnung geschafft.

Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: