WhatsApp,
Signal und alle anderen Chat- und Messengerprogramme sollen
verpflichtet werden, Dateien auf den Smartphones ihrer User zu
durchsuchen.
Von
Erich Moechel
In
Russland ist sichere verschlüsselte Kommunikation mittlerweile
das einzige Mittel, um Zensur und Repression zu umgehen. In den USA und
der EU aber sind Gesetzesentwürfe auf dem Weg, die direkt
gegen Ende-zu-Ende-Verschlüsselung von Messengerdiensten wie
WhatsApp oder ?ignal gerichtet sind.In den USA hat der „EARN
IT Act“, der mit sicherer Verschlüsselung
inkompatibel ist, bereits den Rechtsausschuss des Senats passiert. Die
mehrfach verschobene EU-Verordnung kommt am 30. März. Ein
Schreiben von Kommissarin Ylva Johansson an das EU-Parlament nennt dazu
erste Eckpunkte der geplanten Regelung.Das Schreiben von Kommissarin
Johansson an die Mitglieder des EU-Parlaments wurde vom Abgeordneten
Patrick Breyer veröffentlicht. MEP Breyer
(Piraten/Grüne) hat dieses Überwachungsvorhaben unter
dem Titel „Chat Control“ einer breiten
Internationalen Öffentlichkeit bekannt gemacht.
„Client
Side Scanning“Anfang Februar war die internationale
Kampagne gegen E2E auch in Europa neugestartet worden. In
Großbritannien und den USA ist der
Gesetzgebungsprozeß bereits weiter
fortgeschritten„Es soll sichergestellt werden, dass die
Firmen ihren Beitrag leisten, indem sie verpflichtet werden,
Kindesmissbrauch zu entdecken, zu melden und zu entfernen“,
heißt es in dem Schreiben der Kommissarin an das Parlament.
Eine „Schlüsselrolle“ komme dabei dem
geplanten „EU-Zentrum zur Bekämpfung von
Kindesmissbrauch“ zu, das es „den Plattformen
ermöglichen soll, Kindesmissbrauch zu entdecken, zu melden und
zu entfernen und gleichzeitig sicherzustellen, dass diese
Maßnahmen nicht missbraucht werden, um andere Inhalte
abzugreifen“, schrieb Johansson an das Parlament. Das deutet
sehr darauf hin, dass die Inhalte auf dem Smartphone gescannt werden
sollen, noch bevor der Aufbau einer E2E-verschlüsselten
Verb?ndung gescannt wird. Diesen Ansatz des „Client Side
Scanning“ hatten ein Dutzend der weltweit bekanntesten
akademischen Kryptographen im vergangenen Herbst in der Luft zerrissen
(siehe nächsten Link).Wie dieses Zentrum es
ermöglichen soll, Bilder oder Videos von Kindesmissbrauch zu
entdecken, wird zwar nicht näher erläutert. Die seit
2009 gebräuchliche Methode dabei ist der Einsatz von
Software-Tools wie PhotoDNA von Microsoft zum Erstellen und Einlesen
digitaler Signaturen von Fotos und Videos. PhotoDNA setzt auf der
Datenbank der Internet Watch Foundation (IWF) und weiteren Datenbanken
von Polizeibehörden auf, dabei werden die Signaturen
sämtlicher bekannt gewordener pädokrimineller Bilder
und Videos automatisch mit der Signatur einer gerade hochgeladenen
Datei abgeglichen. Stimmen die Signaturen überein, sollten die
betreffenden Dateien an dieses neue Zentrum überspielt werden,
um Ermittlungen einzuleiten. Bei verschlüsselten Chats wird
allerdings nichts hochgeladen, sondern eine direkte Verbindung zwischen
zwei Endgeräten aufgebaut.
Datenbanken,
falsche TrefferClient Side Scanning werde Smartphones angreifbar machen
und in Richtung Polizeistaat führen,
bilanzierten führende Kryptographen im Oktober
2021 über die geplante Regelung.Da dieses Zentrum
gegen Kindesmissbrauch allerdings auch den Missbrauch dieses
Instruments durch die Plattformen selbst verhindern soll, muss es
seitens der EU-Behörden Kontrollmaßnahmen geben.
Wenn nämlich nur nach genau definierten Inhalten gesucht
werden darf, dann müssen diese Inhalte definiert werden. Etwa,
indem seitens der EU eine eigene Datenbank mit digitalen Signaturen von
Kindesmissbrauchsbildern und -videos zur Verfügung gestellt
wird. WhatsApp oder Facebook Messenger sowie alle anderen Plattformen,
die unter die Verordnung fallen, müssen mit diesem EU-Zentrum
natürlich direkt vernetzt sein.Damit kann nur bekanntes Bild-
und Videomaterial identifiziert werden. Zusätzlich
müssen KI-Programme zum Einsatz kommen, die mit heuristischen
Algorithmen arbeiten. Hier werden keine Hashes von Bildern und Videos
verarbeitet und abgeglichen, die Bilder werden vielmehr nach
verschiedenen Kriterien bewertet. Etwa nach dem Anteil bestimmter
Farbtöne, die jenen nackter Haut entsprechen, signifikante
Größenunterschiede von Personen und vieles mehr. Aus
all diesen Daten errechnet die KI dann eine Wahrscheinlichkeit, dass
die betreffende Datei Darstellungen von Kindesmissbrauch
enthält. Diese Methode produziert allerdings einen hohen
Anteil falscher Treffer, der die Zahl der echten Treffer weitaus
übersteigt.
„Best
Practices“ als Drohung
Erstmals kam
der EARN IT Act Anfang 2020 in den US-Senat, wo er zusammen mit einem
zweiten, ähnlichen Entwurf jedoch keine Mehrheit fand.Im EARN
IT Act der USA wird Verschlüsselung im Text überhaupt
nicht erwähnt. Grundlage des Entwurfs ist eine Liste
sogenannter „Best Practices“ für
Plattformen, um „Kindesmissbrauch zu identifizieren, zu
kategorisieren und zu melden“, samt allen daraus
resultierenden Konsequenzen. Gemeint sind die Speicherung der
inkriminierten Daten, die Identifikation des Urhebers und eine
Meldepflicht an die Behörden. Soweit klingt das alles sehr
nach normaler Kooperation mit den Behörden in Strafsachen. Der
gesamte Entwurfstext bezieht sich allerdings nicht auf Anfragen von
Strafverfolgern nach bestimmten Benutzer:innen oder Inhalten. Vielmehr
sollten die Provider die künftigen „Best
Practices“ routinemäßig und
präventiv auf alle Nutzer:innen eines Dienstes
anwenden.Überwachen und beurteilen soll das eine neue
Kommission unter dem US-Justizminister, die drakonische Strafen gegen
Plattform-Provider verhängen kann, sollten diese
„Best Practices“ nicht eingehalten werden. Sollte
das Vorhaben tatsächlich Gesetz werden, könnte
Ende-zu-Ende-Verschlüsselung von US-Plattformen nicht mehr so
einfach angeboten werden, ohne zu riskieren, dass dies als
„abusive and rampant neglect“ eingestuft wird.
Diesen Entwurf vom Frühjahr 2020 hat Kommissarin Ylva
Johansson dann im Sommer desselben Jahres vergeblich zu kopieren
versucht. Seit 2021 wird auf Client Scanning gesetzt.