Kommentar: Warum die Überwachungspläne der EU auf Smartphones gefährlich sind
Netz-Bürgerrechtler haben sich lange darauf verlassen, dass flächendeckende Überwachung die IT-Sicherheit schwächen würde. Die EU will das jetzt ausnutzen.
(Bild: dotshock/Shutterstock.com)
Die EU steht offenbar kurz davor, Unternehmen dazu zu verpflichten, auf Geräten von Endusern nach Material zu scannen, das auf sexuellen Kindesmissbrauch hindeutet – und Funde automatisch den Behörden zu melden. Eine entsprechende Verordnung könnte bereits Anfang 2022 in Kraft treten. Bürgerrechtler sind alarmiert, denn die Überprüfung geschieht flächendeckend und anlasslos.
Der EU-Abgeordnete Patrick Breyer etwa, der solch ein System "Chatkontrolle 2.0" nennt, sieht das verfassungsrechtlich geschützte Post- und Fernmeldegeheimnis gefährdet sowie die Achtung der Europäischen Grundrechtecharta. Er ruft deshalb zum Widerstand gegen die geplante Verordnung auf.
Ganz so überraschend wie es auf den ersten Blick scheint, kommt die Verordnung allerdings nicht. Netz-Bürgerrechtler und IT-Experten, die jetzt lauthals "Alarm" rufen, müssen sich vielmehr vorwerfen lassen, die Zeichen der Zeit nicht gesehen oder nicht ernst genug genommen zu haben.
Bereits im November 2020 wurde ein Positionspapier des EU-Ministerrats bekannt, laut dem Sicherheitsbehörden innerhalb der EU eine Form des "außergewöhnlichen Zugriffs auf verschlüsselte Daten" ermöglicht werden müsste. Mit dem Positionspapier zielten die EU-Innenminister dabei insbesondere auf Messenger-Dienste wie WhatsApp – da solche Messenger-Dienste zunehmend von Kriminellen benutzt würden, müsse es für die Ermittlungsbehörden möglich sein, diese Daten im Zweifelsfall auch wieder zu entschlüsseln, um sie zu überprüfen.
Staatliche Hintertüren laden nicht nur zum Machtmissbrauch ein
Eine Möglichkeit, das zu tun, bestünde rein theoretisch darin, die Verschlüsselungssoftware mit einer Art staatlichem Generalschlüssel zu versehen. Doch gegen diese oder ähnliche Ideen laufen IT-Sicherheitsexperten seit nunmehr rund 30 Jahren immer wieder Sturm – und zwar völlig zu Recht. Denn staatliche Hintertüren laden nicht nur zu Machtmissbrauch ein, sie würden auch das Vertrauen der User in die digitale Infrastruktur untergraben. Und sie wären vor allem ein hervorragendes Ziel für Cyberkriminelle. Kurz gesagt: Wer staatliche Krypto-Hintertüren einführt, schwächt die Sicherheit der gesamten IT-Infrastruktur und schädigt damit indirekt auch die Wirtschaft.
Das ist ein starkes Argument, und an dieser Stelle war die Diskussion bisher dann auch regelmäßig zu Ende. Bis vor einem Jahr. Denn bereits 2020 deutete sich an, dass die EU auch über andere Strategien nachdenkt – die nicht minder unangenehm sind. Aus Sicht der Kommission wäre dies gewissermaßen eine eierlegende Wollmilchsau, eine europaweite Überwachung verschlüsselter Kommunikation, die gleichzeitig den europäischen Datenschutz im globalen Wettbewerb möglichst nicht schädigen soll.
Ein bereits damals durchgesickertes Diskussionspapier zeigt, wie das gehen könnte: Kommunikationsdienstleister würden verpflichtet, von Inhalten – wie zum Beispiel Bildern – eine Art digitaler Fingerabdruck zu erstellen und diesen dann mit einer Datenbank abzugleichen, in der die Abdrücke strafbarer Inhalte hinterlegt sind. Das müsste natürlich geschehen, bevor die entsprechende Nachricht verschlüsselt wird. Nur wenn die Abfrage ohne Ergebnis bleibt, dürfte die Nachricht zugestellt werden.
Auch harmlose Bilddateien können Alarm auslösen
Natürlich hat auch dieses Verfahren Nachteile für die Privatsphäre und Sicherheit der User: Der digitale Fingerabdruck, auf dem das Verfahren beruht, ist nämlich mathematisch nicht eindeutig. Das bedeutet, dass auch harmlose Bilder Alarm auslösen können, und es bedeutet auch, dass böswillige Dritte ihren Opfern vermeintlich harmlose Dateien unterschieben können, auf denen das menschliche Auge nichts schlimmes entdeckt, der Scan aber Alarm auslöst.
Aber das Verfahren unterläuft das zentrale Argument der IT-Fachleute, staatliche Sicherheit und vertrauliche Kommunikation ließen sich nicht unter einen Hut bringen. Zumindest rein formal. Netzbürgerrechtler und IT-Unternehmen ziehen an dieser Stelle also nicht mehr automatisch an einem Strang. Dass diese unterschiedlichen Interessen keineswegs rein theoretischer Natur sind, zeigte sich bereits im Fall von Apple: Das Unternehmen gab im Sommer zunächst bekannt, solch eine Foto-Analyse direkt auf dem jeweiligen Smartphone durchführen zu wollen und ruderte erst nach massiven Protesten zurück, weil der Schaden am eigenen Image zu groß wurde. Solch ein Effekt ist aber im Fall einer EU-Verordnung kaum zu erwarten.
Netz-Bürgerrechtler können an dieser Stelle weder rein technisch argumentieren, noch auf eine automatische Interessensgleichheit mit betroffenen Unternehmen setzen. Wer gegen die Einführung solch einer Überwachungs-Infrastruktur ist, wird also künftig politisch argumentieren müssen. Der automatisierte Bilderscan ist ein Versuch der Ermittlungsbehörden, Licht in das Dunkel verschlüsselter Kommunikation zu bringen, ohne die komplette Infrastruktur für vertrauliche Kommunikation im Netz komplett zu kippen. Gleichzeitig wird so eine Infrastruktur geschaffen, die sich von autoritären Staaten oder übergriffigen Sicherheitsorganen hervorragend missbrauchen lässt. Wollen wir das wirklich?
(wst)