[gG:] Der Zweck heiligt nicht das Mittel

Aus einem Arti­kel von Julia Reda bei hei​se​.de:

„So ehren­wert die Bekämp­fung von Kin­des­miss­brauch auch ist – wenn es tech­nisch mög­lich ist, eine bestim­me Art von Inhal­ten in einer pri­va­ten Unter­hal­tung auf­zu­spü­ren, dann kann auch jeder belie­bi­ge ande­re Inhalt erkannt wer­den – und zwar nicht nur von den­je­ni­gen, die der Gesetz­ge­ber im Sinn hat­te. Es wäre des­halb abso­lut falsch, zu mei­nen, dass der Zweck der Bekämp­fung von Kin­des­miss­brauch hier die Mit­tel hei­ligt.“

„In einem ers­ten Schritt hat die EU-Kom­mis­si­on am ver­gan­ge­nen Don­ners­tag einen Geset­zes­ent­wurf vor­ge­legt, der die Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on auf Mes­sen­ger­diens­ten vor­über­ge­hend bis 2025 außer Kraft set­zen soll, soweit dies zur Auf­spü­rung von doku­men­tier­tem Kin­des­miss­brauch not­wen­dig ist. Das bedeu­tet, dass Diens­te­an­bie­ter die pri­va­te Kom­mu­ni­ka­ti­on ihrer Nutzer:innen zu die­sem Zweck über­wa­chen dür­fen, aber nicht müs­sen.

In einem zwei­ten Schritt ist für die ers­te Hälf­te des kom­men­den Jah­res ein Geset­zes­ent­wurf geplant, der bestimm­te „rele­van­te“ Diens­te­an­bie­ter ver­pflich­ten soll, pri­va­te Kom­mu­ni­ka­ti­on mit­hil­fe von Upload­fil­tern auf doku­men­tier­ten Kin­des­miss­brauch hin zu durch­leuch­ten. Wel­che Diens­te­an­bie­ter genau von die­ser Ver­pflich­tung betrof­fen sein sol­len, ist noch unklar.

Aus einem Stra­te­gie­pa­pier (PDF), das die EU-Kom­mis­si­on bereits im Juli ver­öf­fent­licht hat, geht aber her­vor, dass sie ins­be­son­de­re Face­book im Fokus hat, das mit Mes­sen­ger, Whats­App und Insta­gram-Direkt­nach­rich­ten gleich eine gan­ze Rei­he von ein­schlä­gi­gen Diens­ten anbie­tet. Da Geset­zes­ent­wür­fe aber sel­ten auf die Markt­füh­rer beschränkt wer­den, ist es durch­aus wahr­schein­lich, dass eine sol­che Ver­pflich­tung auch auf deut­lich klei­ne­re, pri­vat­sphä­re­freund­li­che Mes­sen­ger­diens­te wie Signal zukä­men.“

Voll­stän­di­ger Arti­kel:

https://​www​.hei​se​.de/​m​e​i​n​u​n​g​/​E​d​i​t​-​P​o​l​i​c​y​-​D​i​e​-​n​e​u​e​n​-​C​r​y​p​t​o​-​W​a​r​s​-​4​8​9​2​6​5​1​.​h​tml (vom 14. Sep­tem­ber 2020)

Edit Poli­cy: Die neu­en Cryp­to-Wars

Ab Dezem­ber fällt die Inter­net-Kom­mu­ni­ka­ti­on unter den Schutz der Ver­trau­lich­keit elek­tro­ni­scher Kom­mu­ni­ka­ti­on. Nun will die EU-Kom­mis­si­on Hin­ter­tü­ren ein­bau­en.

09:57 Uhr

Von

  • Julia Reda

Anzei­ge

Die EU-Kom­mis­si­on plant einen Angriff auf das Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis. Durch die vor zwei Jah­ren beschlos­se­ne euro­päi­sche Kom­mu­ni­ka­ti­ons­re­form fal­len ab Dezem­ber auch Mes­sen­ger- und Inter­net­te­le­fo­nie­diens­te wie Face­book Mes­sen­ger, Sky­pe oder Zoom unter die EU-Regeln zum Schutz der Ver­trau­lich­keit elek­tro­ni­scher Kom­mu­ni­ka­ti­on. Der Pra­xis man­cher Diens­te­an­bie­ter, sol­che pri­va­ten Unter­hal­tun­gen zu durch­leuch­ten und aus­zu­wer­ten, wird damit ein Rie­gel vor­ge­scho­ben. Aus­nah­men wären nur noch in weni­gen Aus­nah­me­fäl­len auf Grund­la­ge eines Geset­zes mög­lich.

Das ist eine wich­ti­ge Errun­gen­schaft, die gera­de ange­sichts der Coro­na-Kri­se abso­lut über­fäl­lig ist, denn immer mehr unse­rer Kom­mu­ni­ka­ti­on fin­det auf sol­chen Online­diens­ten statt. Doch noch ehe die neu­en Regeln in Kraft tre­ten, will die EU-Kom­mis­si­on Hin­ter­tü­ren ein­bau­en, die eine sys­te­ma­ti­sche Über­wa­chung pri­va­ter Unter­hal­tun­gen doch wie­der ermög­li­chen und oben­drein die Ver­schlüs­se­lung von Online­kom­mu­ni­ka­ti­on unter­mi­nie­ren wür­den.

Ver­pflich­ten­de Upload­fil­ter für Mes­sen­ger­diens­te

Anlass ist die Bekämp­fung von doku­men­tier­tem Kin­des­miss­brauch im Inter­net. In einem ers­ten Schritt hat die EU-Kom­mis­si­on am ver­gan­ge­nen Don­ners­tag einen Geset­zes­ent­wurf vor­ge­legt, der die Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on auf Mes­sen­ger­diens­ten vor­über­ge­hend bis 2025 außer Kraft set­zen soll, soweit dies zur Auf­spü­rung von doku­men­tier­tem Kin­des­miss­brauch not­wen­dig ist. Das bedeu­tet, dass Diens­te­an­bie­ter die pri­va­te Kom­mu­ni­ka­ti­on ihrer Nutzer:innen zu die­sem Zweck über­wa­chen dür­fen, aber nicht müs­sen.

In einem zwei­ten Schritt ist für die ers­te Hälf­te des kom­men­den Jah­res ein Geset­zes­ent­wurf geplant, der bestimm­te „rele­van­te“ Diens­te­an­bie­ter ver­pflich­ten soll, pri­va­te Kom­mu­ni­ka­ti­on mit­hil­fe von Upload­fil­tern auf doku­men­tier­ten Kin­des­miss­brauch hin zu durch­leuch­ten. Wel­che Diens­te­an­bie­ter genau von die­ser Ver­pflich­tung betrof­fen sein sol­len, ist noch unklar.

Aus einem Stra­te­gie­pa­pier (PDF), das die EU-Kom­mis­si­on bereits im Juli ver­öf­fent­licht hat, geht aber her­vor, dass sie ins­be­son­de­re Face­book im Fokus hat, das mit Mes­sen­ger, Whats­App und Insta­gram-Direkt­nach­rich­ten gleich eine gan­ze Rei­he von ein­schlä­gi­gen Diens­ten anbie­tet. Da Geset­zes­ent­wür­fe aber sel­ten auf die Markt­füh­rer beschränkt wer­den, ist es durch­aus wahr­schein­lich, dass eine sol­che Ver­pflich­tung auch auf deut­lich klei­ne­re, pri­vat­sphä­re­freund­li­che Mes­sen­ger­diens­te wie Signal zukä­men.

Ein Angriff auf die Ver­schlüs­se­lung

Mit der Ende-zu-Ende-Ver­schlüs­se­lung, die man­che Diens­te wie etwa Signal oder Whats­App heu­te frei­wil­lig vor­neh­men, wäre eine sol­che Über­wa­chungs­pflicht frei­lich nicht zu ver­ein­ba­ren. Bereits in der Debat­te um Upload­fil­ter in der EU-Urhe­ber­rechts­re­form war eine zen­tra­le Kon­tro­ver­se, dass der Ein­satz sol­cher Fil­ter es erfor­dert, ver­dachts­un­ab­hän­gig alle Inhal­te von allen Nutzer:innen eines Diens­tes zu durch­leuch­ten. Sol­che all­ge­mei­nen Über­wa­chungs­pflich­ten hat der Euro­päi­sche Gerichts­hof des­halb für unver­ein­bar mit der EU-Grund­rech­te­char­ta erklärt – unter ande­rem mit dem Recht auf Pri­vat­sphä­re. Dar­über hin­aus ist es aber auch tech­nisch unmög­lich, alle Kom­mu­ni­ka­ti­ons­in­hal­te zu über­wa­chen, wenn gleich­zei­tig die Ende-zu-Ende-Ver­schlüs­se­lung die­ser Kom­mu­ni­ka­ti­on sicher­ge­stellt wer­den soll.

Von die­ser tech­ni­schen Selbst­ver­ständ­lich­keit ist die EU-Kom­mis­si­on aller­dings nicht über­zeugt. In einem kürz­lich gele­ak­ten inter­nen Dis­kus­si­ons­pa­pier (PDF) mit dem Namen „Tech­ni­sche Lösun­gen zur Erken­nung von Kin­des­miss­brauch in Ende-zu-Ende-ver­schlüs­sel­ter Kom­mu­ni­ka­ti­on“ dis­ku­tiert die Kom­mis­si­on ver­schie­de­ne Ansät­ze, das Unmög­li­che mög­lich zu machen und aus­schließ­lich doku­men­tier­ten Kin­des­miss­brauch in ansons­ten ver­trau­li­chen, ver­schlüs­sel­ten Daten­strö­men auf­zu­spü­ren.

Kei­ner der dis­ku­tier­ten tech­ni­schen Ansät­ze hält, was er ver­spricht. Der Spie­gel hat die ver­schie­de­nen Ansät­ze ana­ly­siert und kommt zu dem wenig über­ra­schen­den Schluss, dass kei­ner von ihnen ech­te Ende-zu-Ende-Ver­schlüs­se­lung dar­stellt. Die in dem Papier als am viel­ver­spre­chends­ten bewer­te­ten Vor­schlä­ge basie­ren auf einer Vor­fil­te­rung der Nach­rich­ten auf den End­ge­rä­ten der Nutzer:innen unter Zuhil­fe­nah­me eines exter­nen Ser­vers, bevor die­se Nach­rich­ten ver­schlüs­selt und ver­schickt wer­den. Das ist dann aber kei­ne Ende-zu-Ende-Ver­schlüs­se­lung mehr, denn die­se setzt vor­aus, dass auch der Diens­te­an­bie­ter selbst die Kom­mu­ni­ka­ti­ons­in­hal­te zu kei­nem Zeit­punkt durch­leuch­ten und aus­wer­ten kann, weder wäh­rend der Über­tra­gung, noch davor oder danach.

Besorg­nis­er­re­gend ist an dem Dis­kus­si­ons­pa­pier auch, dass es die Ende-zu-Ende-Ver­schlüs­se­lung als eine Art Pri­vat­sphä­ren-Extrem­po­si­ti­on dar­stellt, der ein voll­stän­di­ges Ver­bot von Ver­schlüs­se­lungs­tech­no­lo­gie als ande­res Extrem gegen­über­ge­stellt wird. Die Unter­mi­nie­rung von Ver­schlüs­se­lung durch Hin­ter­tü­ren wird dann als eine Art Mit­tel­weg dar­ge­stellt, der Pri­vat­sphä­re und Ver­bre­chens­be­kämp­fung in Ein­klang brin­ge. Kom­plett außen vor gelas­sen wird dabei, dass ein Ver­bot von Ende-zu-Ende-Ver­schlüs­se­lung, wor­auf die Ver­pflich­tung zum Ein­satz einer der vor­ge­schla­ge­nen tech­ni­schen Lösun­gen de fac­to hin­aus­lau­fen wür­de, nicht nur die Pri­vat­sphä­re ver­let­zen, son­dern auch ein rie­si­ges Sicher­heits­pro­blem dar­stel­len wür­de, das von den Online­diens­ten selbst, kri­mi­nel­len Hacker:innen oder von Geheim­diens­ten aus­ge­nutzt wer­den könn­te.

Vor die­sem Hin­ter­grund ist es nicht ver­wun­der­lich, dass von den Expert:innen, die die tech­no­lo­gi­schen Lösun­gen erar­bei­tet haben, die wenigs­ten aus der Wis­sen­schaft kom­men. Die Mehr­zahl von ihnen kommt hin­ge­gen aus Unter­neh­men wie Goog­le und Micro­soft, Kin­der­schutz­or­ga­ni­sa­tio­nen, Poli­zei­be­hör­den und dem bri­ti­schen Geheim­dienst GCHQ. Daten­schutz­be­hör­den wur­den offen­bar nicht ange­hört.

Die neu­en Cryp­to Wars

Die „Cryp­to Wars“, also Bestre­bun­gen ins­be­son­de­re der US-Regie­rung, den pri­va­ten Ein­satz von Ver­schlüs­se­lung zu beschrän­ken, um die staat­li­chen Über­wa­chungs­mög­lich­kei­ten zu stär­ken, haben auch die tech­nisch weni­ger ver­sier­te Öffent­lich­keit gelehrt, dass Hin­ter­tü­ren in Ver­schlüs­se­lung nie auf bestimm­te Zie­le oder Akteur:innen beschränkt wer­den kön­nen. Selbst wenn man also die Über­wa­chung pri­va­ter Kom­mu­ni­ka­ti­on für bestimm­te Zwe­cke gut­hei­ßen wür­de, ist ein Angriff auf die Ver­schlüs­se­lung immer auch ein Angriff auf die Infor­ma­ti­ons­si­cher­heit von uns allen. So ehren­wert die Bekämp­fung von Kin­des­miss­brauch auch ist – wenn es tech­nisch mög­lich ist, eine bestim­me Art von Inhal­ten in einer pri­va­ten Unter­hal­tung auf­zu­spü­ren, dann kann auch jeder belie­bi­ge ande­re Inhalt erkannt wer­den – und zwar nicht nur von den­je­ni­gen, die der Gesetz­ge­ber im Sinn hat­te.

Es wäre des­halb abso­lut falsch, zu mei­nen, dass der Zweck der Bekämp­fung von Kin­des­miss­brauch hier die Mit­tel hei­ligt. Es gibt kei­ne Hin­ter­tü­ren in Ver­schlüs­se­lung, die aus­schließ­lich den „Guten“ nüt­zen. Ist die Ver­schlüs­se­lung ein­mal geschwächt, kann die­se Schwach­stel­le auch von Drit­ten miss­braucht wer­den. Außer­dem weckt die ein­mal bereit­ste­hen­de Infra­struk­tur zur Durch­leuch­tung pri­va­ter Kom­mu­ni­ka­ti­on stets Begehr­lich­kei­ten, sie auch auf ande­re Zwe­cke wie das Auf­spü­ren von Urhe­ber­rechts­ver­let­zun­gen oder die Über­wa­chung regie­rungs­kri­ti­scher Grup­pen aus­zu­deh­nen.

Auch ist das Auf­bre­chen von Ver­schlüs­se­lung nicht alter­na­tiv­los, um eine effek­ti­ve Straf­ver­fol­gung sicher­zu­stel­len. Die digi­ta­le Grund­rech­te­or­ga­ni­sa­ti­on EDRi hat in einem Posi­ti­ons­pa­pier (PDF) ver­schie­de­ne sol­che Alter­na­ti­ven ana­ly­siert. Bei der Vor­stel­lung des Geset­zes­ent­wurfs zur Bekämp­fung von Kin­des­miss­brauch im Euro­pa­par­la­ment am ver­gan­ge­nen Don­ners­tag beteu­er­te EU-Innen­kom­mis­sa­rin Ylva Johans­son, sie dul­de kei­nen Wider­spruch zwi­schen der Bekämp­fung schwe­rer Ver­bre­chen und den Grund­rech­ten. Wenn die Kom­mis­si­on einen sol­chen Wider­spruch ver­mei­den will, wäre sie gut bera­ten, sich auf grund­rechts­scho­nen­de Straf­ver­fol­gungs­me­tho­den zu beschrän­ken, anstatt die Cryp­to Wars wie­der auf­le­ben zu las­sen.

Die Tex­te der Kolum­ne „Edit Poli­cy“ ste­hen unter der Lizenz CC BY 4.0.

(bme)

Read More