Chatkontrolle: Verschlüsselte Messenger-Dienste sollen prioritär gescannt werden
Die belgische Ratsspitze will durchgängig verschlüsselten und anonymen Online-Services ein hohes Risiko zuschreiben, was Aufdeckungsanordnungen zur Folge hätte.
Von der Chatkontrolle [1] sollen vor allem durchgängig verschlüsselte Messenger-Dienste wie WhatsApp, Signal und Threema betroffen sein. Dies geht aus jetzt geleakten Dokumenten der belgischen Ratspräsidentschaft hervor. Der aktuelle Vorsitz der EU-Staaten will demnach die als sicher und datenschutzfreundlich geltenden Dienste als hochriskant einstufen. Gegen sie sollen dann Aufdeckungsanordnungen mit einer Dauer von bis zu 24 Monaten verhängt werden können. Während dieser Zeit müssten die Betreiber die Kommunikationsdaten Strafverfolgern zugänglich machen. Kürzere Durchsuchungsbefehle oder andere weniger einschneidende Maßnahmen sollen verhängt werden können, wenn die Verschlüsselung nicht standardmäßig, sondern per Opt-in aktiviert wird. Denn dann sei es möglich, dass "bestimmte Erkennungstechnologien für die Kommunikation zwischen Nutzern" noch funktionierten.
Als Kriterien für die Einstufung eines Kommunikationsdienstes in die Kategorie "hohes Risiko" für die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs nennt die Ratsspitze in einem Verordnungsentwurf vom Februar [2] und einer Präsentation von Anfang März [3], die das Portal Netzpoltik.org veröffentlicht hat, dass ein Dienst "verschlüsseltes Messaging" oder "anonyme Profile oder Zugriffe ohne Benutzerkonto" ermöglicht. Selbst interaktive Funktionen wie Direktnachrichten, Posts oder Nutzerkommentare könnten einen Service als hochriskant erscheinen lassen. Das Risikokategorisierungssystem soll prinzipiell auf einer Reihe von Parametern basieren, auf die per Scoring unterschiedliche Bewertungsmethoden angewendet werden wie binäre Fragen und hierarchische Kriterien wie die Risikoeinstufung.
Geht es nach dem EU-Parlament, sollen die für das Durchsuchen von Nachrichten eingesetzten Techniken nicht auf "Ende-zu-Ende-verschlüsselte Kommunikation" angewendet werden. Client-Side-Scanning (CSS) – das Durchsuchen und Ausleiten privater Kommunikation direkt auf Endgeräten [4] der Nutzer – wollen die Abgeordneten bei durchgehend verschlüsselten Services ebenfalls für unzulässig erklären. Der Ministerrat feilt seit Langem an Kompromissformulierungen, die eine weitergehende Überwachung ermöglichen. Nach dem jüngsten, vom französischen Portal Contexte geleakten Entwurf zur Chatkontrolle [5] (PDF) der Belgier soll die Verordnung Anbieter nicht verpflichten, "Daten zu entschlüsseln oder Zugang zu Ende-zu-Ende-verschlüsselten Daten zu schaffen". Die Bereitstellung durchgängig verschlüsselter Dienste sei nicht zu verhindern.
Streichkonzert bei Klauseln zum Schutz von Verschlüsselung
Gestrichen hat die Ratsspitze aber einen früheren Zusatz, wonach die von Anbietern oder Nutzern getroffenen Sicherheitsmaßnahmen wie Verschlüsselung nicht verboten, unmöglich gemacht, geschwächt, umgangen oder auf andere Weise untergraben werden dürften. Es fehlt nun auch die Vorgabe, dass die Verordnung "keine Verpflichtung zur Entschlüsselung von Daten begründet". Dagegen betonen die Belgier, dass Konten der Mitarbeiter von Sicherheitsbehörden wie Geheimdiensten, Polizei und Militär von der geplanten Chatkontrolle auszunehmen [6] seien. Außen vor bleiben sollen vertrauliche Informationen wie Berufsgeheimnisse. Auch lehnt die Präsidentschaft es ab, dass das geplante EU-Kinderschutzzentrum die Mitgliedsstaaten bei der Prävention sexuellen Kindesmissbrauchs unterstützt und bewährte Beispiele für Präventionsinitiativen anführt.
Ausgerechnet anonym nutzbare Kommunikationsdienste wie Protonmail sollten extrem überwacht werden, moniert der EU-Abgeordnete Patrick Breyer (Piratenpartei). Signal & Co. würden durch verpflichtendes CSS "zu Spionen auf unseren Smartphones". Er warnt: "Die EU-Regierungen wollen gegen Vertraulichkeit und Sicherheit unserer digitalen Kommunikation insgesamt in den Krieg ziehen." Auch Elina Eickstädt, Sprecherin des Chaos Computer Clubs (CCC), sieht angesichts der neuen Papiere "alle unsere Bedenken" bestätigt. Rund 50 zivilgesellschaftliche Organisationen aus ganz Europa appellieren derweil an die EU-Länder [7], keinem halbgaren Kompromiss zuzustimmen. Die grundlegenden Mängel der bisherigen Entwürfe wie "Massenüberwachung und schwerwiegende Bedrohungen der Verschlüsselung" würden durch die jüngsten Texte der Ratspräsidentschaft nicht behoben. (anw [8])
URL dieses Artikels:
https://www.heise.de/-9688673
Links in diesem Artikel:
[1] https://www.heise.de/news/Ueberwachung-EU-Staaten-wollen-die-Chatkontrolle-doch-noch-spruchreif-machen-9662549.html
[2] https://netzpolitik.org/wp-upload/2024/04/2024-02-26_LEWP_CSAR_Council_Presidency_Classification_WK-3036.pdf
[3] https://cdn.netzpolitik.org/wp-upload/2024/04/2024-03-01_LEWP_CSAR_Council_Presidency_Refined-approach_WK-3413.pdf
[4] https://www.heise.de/news/Security-Experten-warnen-vor-Massenueberwachungstechnologie-6219941.html
[5] https://www.patrick-breyer.de/wp-content/uploads/2024/04/2024-04-11-conseil-csam-compromis-9-avril.pdf
[6] https://www.heise.de/news/EU-Chatkontrolle-mit-Ausnahmen-nur-fuer-Behoerden-und-Firmen-9224008.html
[7] https://edri.org/our-work/open-letter-mass-surveillance-and-undermining-encryption-still-on-table-in-eu-council
[8] mailto:anw@heise.de
Copyright © 2024 Heise Medien