Ein umstrittener legislative Vorschlag der Europäischen Union, die privaten Nachrichten der Bürger zu durchsuchen, um Material zur sexuellen Ausbeutung von Kindern (CSAM) zu erkennen, ist eine Gefahr für die Zukunft der Websicherheit, warnte Meredith Whittaker am Montag in einem öffentlichen Blog-Beitrag. Sie ist die Präsidentin der gemeinnützigen Stiftung hinter der Ende-zu-Ende-verschlüsselten (E2EE) Messaging-App Signal.

“Es gibt keine Möglichkeit, solche Vorschläge im Kontext von Ende-zu-Ende-verschlüsselten Kommunikationen umzusetzen, ohne die Verschlüsselung grundlegend zu untergraben und eine gefährliche Schwachstelle in der Kerninfrastruktur zu schaffen, die weit über Europa hinaus globale Auswirkungen haben würde”, schrieb sie.

Der Europäische Kommission präsentierte den ursprünglichen Vorschlag zur Massenscannung privater Messaging-Apps zur Bekämpfung der Verbreitung von CSAM online im Mai 2022. Seitdem haben sich die Mitglieder des Europäischen Parlaments zusammengeschlossen, um den Ansatz abzulehnen. Sie schlugen auch einen alternativen Weg im letzten Herbst vor, der E2EE-Apps von der Durchsuchung ausgeschlossen hätte. Der Europäische Rat, das gesetzgebende Organ, das aus Vertretern der Regierungen der Mitgliedstaaten besteht, drängt jedoch weiterhin darauf, dass stark verschlüsselte Plattformen in den Geltungsbereich des Scangesetzes fallen.

Der jüngste Vorschlag des Rates, der im Mai unter der belgischen Präsidentschaft vorgelegt wurde, enthält die Anforderung, dass “Anbieter von zwischenmenschlichen Kommunikationsdiensten” (auch Messaging-Apps) sogenannte “Technologien zur Upload-Moderation” installieren und betreiben, laut einem von Netzpolitik veröffentlichten Text.

Artikel 10a, der den Upload-Moderationsplan enthält, besagt, dass von diesen Technologien erwartet wird, “die Verbreitung bekannter Kindesmissbrauchsmaterialien oder neuer Kindesmissbrauchsmaterialien vor der Übertragung zu erkennen.” Im letzten Monat berichtete Euractiv, dass der überarbeitete Vorschlag erfordern würde, dass Benutzer von E2EE-Messaging-Apps der Durchsuchung zur Erkennung von CSAM zustimmen. Benutzer, die nicht zustimmen, würden daran gehindert, Funktionen zu verwenden, die den Versand visueller Inhalte oder URLs beinhalten. Whittakers Erklärung kritisiert den Plan des Rates als einen Versuch, “rhetorische Spiele” zu verwenden, um die clientseitige Durchsuchung, die umstrittene Technologie, die Sicherheits- und Datenschutzexperten zufolge nicht mit der starken Verschlüsselung vereinbar ist, neu zu benennen.

“Das obligatorische Massenscannen privater Kommunikation untergräbt die Verschlüsselung grundlegend. Punkt,” betonte sie. “Ob dies durch Manipulation beispielsweise der Zufallszahlen­erzeugung eines Verschlüsselungsalgorithmus, durch Implementierung eines Schlüsselhinterlegungssystems oder durch Zwangskommunikation zur Durchführung durch ein Überwachungssystem vor der Verschlüsselung geschieht.”

Auch Pirate Party MEP Patrick Breyer, der den umstrittenen Nachrichtenscanning-Plan der Kommission von Anfang an abgelehnt hat, kritisierte den überarbeiteten Vorschlag des Rates in einer Erklärung letzten Monat und warnte: “Der belgische Vorschlag bedeutet, dass der Kern des extremen und beispiellosen ursprünglichen Chatkontrollvorschlags der EU-Kommission unverändert umgesetzt würde. Messenger-Dienste ausschließlich für Textnachrichten zu verwenden, ist im 21. Jahrhundert keine Option.” Der Datenschutzbeauftragte der EU äußerte ebenfalls Bedenken. Letztes Jahr warnte er, dass der Plan eine direkte Bedrohung für demokratische Werte in einer freien und offenen Gesellschaft darstellt.

Der Druck auf Regierungen, E2EE-Apps zum Scannen privater Nachrichten zu zwingen, kommt wahrscheinlich von Strafverfolgungsbehörden. Im April veröffentlichten europäische Polizeichefs eine gemeinsame Erklärung, in der sie forderten, dass Plattformen Sicherheitssysteme so konzipieren, dass sie illegale Aktivitäten immer noch identifizieren und Berichte über den Inhalt von Nachrichten an Strafverfolgungsbehörden senden können. Ihr Aufruf nach “technischen Lösungen”, um “rechtmäßigen Zugriff” auf verschlüsselte Daten zu gewährleisten, gab nicht an, wie Plattformen diese Fingerfertigkeit erreichen sollten. Es scheint also kein Zufall zu sein, dass der Rat nur wenige Wochen später seinen Vorschlag zur “Upload-Moderation” vorlegte.

Der Entwurf enthält einige Aussagen, die versuchen, eine sprichwörtliche Feigenblatt über das riesige Sicherheits- und Datenschutzloch zu legen, das die “Upload-Moderation” impliziert - darunter eine Linie, die besagt, dass “ohne Beeinträchtigung von Artikel 10a diese Verordnung die Ende-zu-Ende-Verschlüsselung nicht verbieten oder unmöglich machen soll”; sowie die Behauptung, dass Diensteanbieter nicht verpflichtet sein werden, E2EE-Daten zu entschlüsseln oder den Zugriff darauf zu gewähren; eine Klausel besagt, dass sie keine Cybersicherheitsrisiken “einführen dürfen, für die es nicht möglich ist, effektive Maßnahmen zur Risikominderung zu ergreifen”; und eine weitere Linie, die besagt, dass Diensteanbieter nicht “den Inhalt der Kommunikation ableiten dürfen”.

“Das sind alles schöne Gedanken, und sie machen den Vorschlag zu einem selbst widersprechenden Paradoxon,” sagte Whittaker gegenüber TechCrunch, als wir sie um ihre Stellungnahme zu diesen Bestimmungen baten. “Denn das, was vorgeschlagen wird - das obligatorische Scannen von Ende-zu-Ende-verschlüsselten Kommunikationen - würde die Verschlüsselung untergraben und eine erhebliche Schwachstelle schaffen.”

Die Kommission und die belgische Ratspräsidentschaft wurden um eine Stellungnahme zu ihren Bedenken gebeten, hatten jedoch bis zum Redaktionsschluss keine Stellungnahme abgegeben. Die Gesetzgebung der EU ist in der Regel eine Dreierangelegenheit - daher bleibt abzuwarten, wo die Union letztendlich bei der Scannung von CSAM landen wird. Sobald der Rat seine Position festgelegt hat, beginnen die sogenannten Trilog-Verhandlungen mit dem Parlament und der Kommission, um einen endgültigen Kompromiss zu finden. Es ist jedoch auch zu beachten, dass sich die Zusammensetzung des Parlaments seit der Zustimmung der MEPs zu ihrem Verhandlungsmandat im letzten Jahr nach den jüngsten EU-Wahlen geändert hat.