EU-Polizei will Kommunikation direkt auf Endgeräten durchsuchen und ausleiten

Schier täglich erhöhen EU-Polizei- und Justizbehörden den Druck in den laufenden Crypto Wars und der damit verknüpften Diskussion über das umstrittene "Going Dark"-Szenario, wonach die zunehmende durchgängige Verschlüsselung gerade von Chat-Diensten wie WhatsApp, iMessage, Facebook Messenger oder Signal Ermittler blind und taub zu machen droht. So ruft nun der "EU Innovation Hub für innere Sicherheit" nach einer erweiterten Debatte über den Einsatz oder die Einführung von Verfahren zum Umgehen von Verschlüsselung. Den Fokus legt die Gruppe dabei vor allem auf Client-Side-Scanning (CSS), also das Durchsuchen und Ausleiten privater Kommunikation direkt auf Endgeräten der Anwender wie Smartphones. Solche Techniken verdienten eine "eingehende Prüfung".

Der Appell ist Teil des ersten Berichts des Innovationszentrums zu Verschlüsselung, den Europol am Montag veröffentlicht hat. Neben dem EU-Polizeiamt sind in dem Hub unter anderem Eurojust, die vor allem für IT-Systeme der Grenzkontrolle zuständige EU-Lisa, der EU-Koordinator für Terrorismusbekämpfung, die Gemeinsame Forschungsstelle der EU-Kommission und deren Generaldirektorat für Inneres vertreten.

"In den vergangenen Jahren hat sich die Debatte zwischen der Privatsphäre des Einzelnen und der kollektiven Sicherheit und Integrität einer Person zu einer konstruktiveren Diskussion entwickelt", heißt es in dem Report. Es gelte aber noch "Herausforderungen" auf diesem Gebiet zu meistern. Der Schlüssel zum Erfolg liege "in der Förderung von Dialog, Zusammenarbeit und Innovation, um sicherzustellen, dass sowohl die individuellen Rechte als auch die Notwendigkeit rechtmäßiger Überwachung respektiert werden". Ein bisschen Verschlüsselung ist technischen Experten zufolge aber genauso wenig möglich wie ein bisschen schwanger zu sein.

Gesetzgeber und Gerichte reagieren bereits

"In den meisten EU-Mitgliedstaaten gibt es allgemeine gesetzliche Bestimmungen zum Zugriff auf verschlüsselte Informationen", erklären Europol & Co. Einige hätten sogar kürzlich Änderungen an bestehenden nationalen Gesetzen in Bereichen vorgenommen, "die für die Umgehung der Verschlüsselung relevant sind". Diese Novellen böten potenziell zusätzliche Möglichkeiten, auch verschlüsselte Daten zu erfassen und zu verwenden. Erweiterte Suchfunktionen und Mittel für einen gezielten rechtmäßigen Zugriff könnten bei der Erfassung verschlüsselter Daten von Vorteil sein.

Das kürzlich verabschiedete EU-Dossier zu elektronischen Beweismitteln (E-Evidence) loben die Experten für innere Sicherheit als "Schritt in die richtige Richtung für den Zugriff auf digitale Informationen bei grenzüberschreitenden strafrechtlichen Ermittlungen" mit Blick etwa auf die Cloud. Obwohl die entsprechende Verordnung keine Verpflichtung für Dienstanbieter vorsehe, Daten im Klartext zu liefern, könnte sich die erwartete schnellere Übermittlung angeforderter Informationen angesichts der Unterschiede bei den Datenaufbewahrungsfristen in den EU-Ländern, "die in einigen Fällen problematisch kurz sind", als vorteilhaft erweisen. Auch die Rechtsprechung etwa des Europäischen Gerichtshofs rund um unterwanderte verschlüsselte Kommunikationsdienste wie Encrochat scheine die Strafverfolger zu begünstigen.

CSS spielt etwa im Streit über die geplante Chatkontrolle eine wichtige Rolle. Zahlreiche zivilgesellschaftliche Organisationen, Cybersicherheitsexperten und IT-Firmen machten dagegen erst vorige Woche in einer von der Global Encryption Coalition lancierten Petition angesichts des jüngsten "Kompromissvorschlags" der belgischen EU-Ratspräsidentschaft zur Chatkontrolle mobil. Die von Fachleuten geäußerten Sicherheits- und Rechtsbedenken hinsichtlich Client-Side-Scanning bestünden weiter. Das Problem der Online-Verbreitung von Material mit sexuellem Kindesmissbrauch lasse sich dadurch nicht lösen. Vielmehr würden "erhebliche Sicherheitsrisiken für alle Bürger, Unternehmen und Regierungen geschaffen".

Neue Mobilfunknetze sollen überwacht werden können

Auch "Home Routing" in 4G- und 5G-Netzen, also das Zentralisieren von Kommunikationsdiensten durch Netzbetreiber, schafft dem Bericht zufolge Probleme. Denn damit könnten Personen innerhalb nationaler Grenzen, die eine ausländische SIM-Karte verwenden, nicht mehr einfach abgehört werden. Dies sei nur noch möglich, wenn der ausländische Dienstanbieter mit dem inländischen kooperiere. Aus technischer Sicht sei daher "weitere Forschung erforderlich", um auch hier eine Lösung zu finden, mit der auch die Anforderungen an den Datenzugang für Ermittler gewahrt würden. In der Zwischenzeit sollte verlangt werden, "dass datenschutzfördernde Technologien beim Home Routing deaktiviert werden". Die Strafverfolgungsbehörden benötigen ferner einen Rechtsrahmen für den Einsatz von Abhörtechnologien zur Benutzeridentifizierung in Form sogenannter SUPI-Catcher in den Mobilfunknetzen der nächsten Generation (5 und 6G).

In den vergangenen Tagen war bereits bekannt geworden, dass die umstrittene Hochrangige Gruppe der EU zum Datenzugang für eine wirksame Strafverfolgung verlangt, mit dem Grundsatz "Lawful Access by Design" den Zugang zu unverschlüsselten Kommunikationsdaten direkt in die Technik zu integrieren. Zuvor machte sich vor allem die belgische Polizei für einen Zugriff in Echtzeit auf Datenströme im Klartext von WhatsApp & Co. stark. Schon im April mahnten die europäischen Polizeichefs inklusive Europol Regierungen und die Digitalbranche, dringend Maßnahmen gegen Ende-zu-Ende-Verschlüsselung zu ergreifen.

(are)