Britische Regierung strebt Befugnis zur Blockade von Sicherheitsupdates an
WhatsApp & Co. sollen das Innenministerium über geplante Änderungen an ihren Diensten informieren, die sich negativ auf Ermittlungsbefugnisse auswirken könnten.
Die britische Regierung plant eine umfangreiche Reform des umstrittenen Überwachungsgesetzes Investigatory Powers Act (IPA), die massive Auswirkungen auf die globale IT-Sicherheit haben könnten. Betreiber wie WhatsApp, Signal, Threema, Google und Apple sollen laut einem jüngst veröffentlichten Konsultationspapier das Innenministerium vorab über geplante Änderungen an ihren Diensten informieren, die sich negativ auf Ermittlungsbefugnisse auswirken könnten. Das Ressort soll dann befugt sein, ein Veto auszusprechen.
"Dadurch soll eine frühzeitige Zusammenarbeit zwischen Betreibern und der Regierung erleichtert werden", um im Bedarfsfall rechtzeitig Gegenmaßnahmen ergreifen zu können, heißt es in der Vorlage. Es gelte, "die Kontinuität des rechtmäßigen Zugangs zu Daten vor dem Hintergrund sich verändernder Technologie gewährleisten" zu können und in der klassischen Telefonie bestehende Abhörmöglichkeiten aufrechtzuerhalten.
Ausmaß schwer abzuschätzen
Die Regierung lege mit dem Vorschlag zwar nicht konkret dar, welche technischen Änderungen eine Meldung erfordern würden, schreibt Ioannis Kouvakas, Vize-Justiziar der britischen Bürgerrechtsorganisation Privacy International, aktuell im Magazin Just Security. Eingeschlossen wären aber wohl Modifikationen in der Architektur von Software, die mit den derzeitigen Überwachungsbefugnissen der britischen Behörden kollidieren würden. Der Rechtsexperte erläutert: "Dies hat zur Folge, dass ein Betreiber eines Messaging-Dienstes, der eine erweiterte Sicherheitsfunktion einführen möchte, dies nun zunächst dem Innenministerium mitteilen muss."
Kouvakas schlägt Alarm: "Gerätehersteller müssten wahrscheinlich auch die Regierung benachrichtigen, bevor sie wichtige Sicherheitsupdates zur Verfügung stellen, die bekannte Schwachstellen beheben und die Sicherheit der Geräte gewährleisten." Dementsprechend könnte der Innenminister dann nach Erhalt einer solchen Vorankündigung die Betreiber auffordern, etwa davon abzusehen, Sicherheitslücken zu schließen. Der Regierung liege insbesondere daran, den Zugriff auf elektronische Kommunikation zu Überwachungszwecken aufrechtzuerhalten.
Schon jetzt weitreichende Befugnisse
Schon der aktuelle IPA und zugehörige Verordnungen könnten es der Exekutive des Vereinigten Königreichs laut Kouvakas ermöglichen, "von Unternehmen zu verlangen, ihre Dienste in einer Weise zu ändern, die sich auf alle Benutzer auswirken kann". So finde sich darin etwa ein Hinweis zur technischen Leistungsfähigkeit, der die "Entfernung des elektronischen Schutzes durch einen relevanten Betreiber" vorschreibt. Dieser könnte dazu verwendet werden, einen Dienst wie WhatsApp oder Signal zu zwingen, die Ende-zu-Ende-Verschlüsselung der von ihm weltweit bereitgestellten Dienste zu entfernen oder zu untergraben. Die Regierung müsste dafür nur darlegen, dass eine solche Maßnahme verhältnis- und zweckmäßig sei.
Die britische Initiative unter dem Aufhänger, Terrorismus und Kriminalität zu verhindern, fällt in eine Zeit intensiver globaler Debatten über die Bedeutung der Cybersicherheit sowie ständiger Anläufe von Regierungen weltweit, Sicherheitsmaßnahmen wie starke und durchgängige Verschlüsselung mit den "Crypto Wars" auszuhebeln. In Großbritannien liegt dazu auch das nicht minder umkämpfte Online Safety Bill auf dem Tisch. In der EU tobt der Streit über die in die gleiche Richtung weisende Chatkontrolle.
Gegen EU-Menschenrechtskonvention
Vor diesem Hintergrund sieht Kouvakas das Hauptproblem der skizzierten IPA-Reform darin, dass Großbritannien damit gegen internationale Menschenrechtsnormen verstoßen könnte. Insbesondere dürften die vorgesehenen Maßnahmen die in Artikel 8 der Europäischen Menschenrechtskonvention verankerte Notwendigkeits- und Verhältnismäßigkeitsprüfung nicht bestehen, die das Recht auf Achtung des Privatlebens garantiert. Zuvor kritisierte auch Apple im Rahmen einer Konsultation den Plan scharf und drohte gegebenenfalls einen Rückzug vom britischen Markt an. Der iPhone-Hersteller versicherte, dass man die eigenen Sicherheitsfunktionen nie für ein einzelnes Land schwächen werde, da dies alle Nutzer global beträfe.
(mki)