FM4-Logo

jetzt live:

Aktueller Musiktitel:

EU-Fahne mit Vorhängeschloss und Datenstrom

CC0 via Pixabay

Erich Moechel

Neue EU-Regulierung macht sicher verschlüsselte Chats illegal

Im Kommissionsentwurf, der das Ziel verfolgt, Ende-zu-Ende-Verschlüsselung generell zu illegalisieren, wird das Wort „Verschlüsselung“ kaum direkt erwähnt. Serie, Teil 1.

Von Erich Moechel

Die am Mittwoch von EU-Kommissarin Ylva Johansson vorgestellte Verordnung zur Bekämpfung von Kindesmissbrauch im Netz hat in der Fachwelt ungläubiges Staunen ausgelöst. „Das wird das ausgefeilteste System zur Massenüberwachung, das jemals außerhalb Russlands oder Chinas eingerichtet wurde“, schrieb der prominente Kryptograph Matthew Green in einer ersten Reaktion auf Twitter.

Sicher verschlüsselte Chats werden durch die Vorgaben für Durchsuchungsbefehle de facto verboten, dazu müssen alle Plattformen Überwachungsschnittstellen einrichten. Obendrein ist eine Vorratsdatenspeicherung großer Datensätze mit privaten Chats eingeplant.

EU-Regulierung verbietet verschlüsselte Chats

EU-Kommission

Das Dokument hat samt ausführlichen Erläuterungen der Kommission und Erwägungsgründen einen Umfang von 135 Seiten und wurde Dienstagnachmittag durch ein Leak des Magazins Politico bekannt. Daraufhin hatte sich der Text in Windeseile verbreitet, in der IT-Sicherheitsbranche ist diese Verordnung seitdem das Thema Nummer eins. Der offizielle Verordnungstext wurde von der Kommission am Mittwochnachmittag zum Download freigegeben.

E2E wird verboten, aber kaum erwähnt

Aus einem geleakten Gutachten des Kontrollausschusses der EU-Kommission von Ende März geht hervor, dass die Verordnung der Kommission vom Kontrollausschuss der Kommission wegen Verstoßes gegen Unionsrecht monatelang blockiert wurde.

Im gesamten Text wird das Ziel dieses Verordnungsentwurfs, nämlich die Plattformen zu zwingen, sichere Verschlüsselung zu brechen und damit überwachbar zu machen oder erst gar nicht mehr anzubieten, genau dreimal - und da zweimal indirekt - erwähnt. Einmal geschieht dies in einem Nebensatz, da wird einleitend bemerkt, dass die meisten Antworten auf die vorangegangene öffentliche Konsultation nur die Verschlüsselungsfrage betroffen hätten und aus Deutschland gekommen seien. Es wird also insinuiert, hier habe es eine organisierte Kampagne von nicht näher bezeichneten Interessensgruppen gegeben.

Das Prozedere, das dieser Verordnungsentwurf den Plattformen aufzwingen will, ist ziemlich einfach erklärt: Wenn eine „Detection Order“ von Strafverfolgern - oder wem auch immer - vorliegt, dann müssen die Betreiber sämtliche in diesem Durchsuchungsbefehl definierten Datensätze sicherstellen, sie speichern und in Folge durchsuchen. Wie sie das machen sollten, wenn diese Kommunikationen Ende-zu-Ende verschlüsselt sind, wird nicht einmal erwähnt. Hier wird also dieselbe abgefeimte Masche benutzt, die schon in der Coypright-Verordnung zum Einsatz kam. E2E-verschlüsselte Chats - auch in größeren Gruppen - sind seit Jahren der allgemeine Sicherheitsstandard für Chats auf allen großen Plattformen.

EU-Regulierung verbietet verschlüsselte Chats

EU-Kommission

Unter dem Mantel der Technologieneutralitat

Im Oktober 2021 war noch die Volldurchsuchung der beteiligten Endgeräte die bevorzugte Option, die allerdings von führenden internationalen Kryptographen quasi in der Luft zerrissen wurde

Diesen „Detection Orders“ müsse Folge geleistet werden, heißt es da, wie das von den Plattformen angesichts von E2E-Verschlüsselung bewerkstelligt werden soll, wird großzügigerweise den Providern überlassen. Eine solche „Lösung“ gibt es für E2E-Verschlüssung nämlich grundsätzlich nicht, da die Apps oder Browser auf den Endgeräten untereinander einen temporär gültigen sogenannten „Session Key“ aushandeln, mit dem der jeweilige Chat verschlüsselt wird. Dieser Prozess passiert direkt zwischen den Endgeräten der Benutzer, wodurch weder der Plattformbetreiber noch Dritte mitlesen können. So ist Ende-zu-Ende-Verschlüsselung auch technisch definiert.

„Daher überlässt diese Regulierung die Auswahl der eingesetzten Technologien dem Provider“, sie müssten nur im Einklang mit den Anforderungen der Durchsuchungsbefehle stehen. Unter dem Mäntelchen der Technologieneutralität stellen die Verfasser dieser Verordnung die Plattformen vor ein klassisches Dilemma. Erfüllen sie die Anforderungen der Regulierung, muss die Ende-zu-Ende-Verschlüsselung durch einen zusätzlichen Nach-oder Generalschlüssel kompromittiert werden. Das ist das Gegenteil von E2E. Gleich im nächsten Satz wird Ende-zu-Ende-Verschlüsselung als „wichtiges Tool für die Sicherheit und Vertraulichkeit der Kommunikation von Benutzern und auch Kindern“ bezeichnet.

EU-Regulierung verbietet verschlüsselte Chats

EU-Kommission

Hier werden fünf verschiedene Stufen der Regulierung vorgestellt. Von diesen ist nur Option A mit der EU-Charta vollständig kompatibel, dem Grundgesetz der Union. Alle weiteren Optionen sind zunehmend extremistischere Varianten von Option B. Angesichts der bisher vorliegenden Informationen nimmt es nicht Wunder, dass die Kommission mit schlafwandlerischer Sicherheit die extremste Variante, nämlich Option E bevorzugt. Sie beinhaltet auch eine Vorratsdatenspeicherung der Datensätze.

„Sicherheit und Vertraulichkeit“

Im Dezember 2020 hatte die deutsche Ratspräsidentschaft den Frontalangriff auf sichere Verschlüsselung mit einer Resolution namens Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung eröffnet.

Wenn eine solche „Detection Order“ ausgeführt wird, „haben die Provider alle Sicherheitsvorkehrungen, die möglich sind, zu treffen, um sicherzustellen, dass die eingesetzten Technologien von den Plattformen, ihren Angestellten oder Drittparteien nicht für andere Zwecke als für diese in der Verordnung genannten eingesetzt werden“, heißt es in Erwägungsgrund 28. Das sei notwendig „um die Sicherheit und Vertraulichkeit der Kommunikationen der Benutzer“ sicherzustellen. An Bigotterie gepaart mit angeblicher Technologieneutralität ist diese Passage kaum zu überbieten. Die Juristen der Kommission ordnen da an, die durch E2E-verschlüsselte Kommunikation aktuell garantierte Sicherheit und Vertraulichkeit persönlicher Chats aufzuheben, um die Durchsuchungs-Orders Folge erfüllen zu können.

Diese Aushebelung der Sicherheitsmaßen soll dann so gestaltet werden, dass Sicherheit und Vertraulichkeit weiterhin sichergestellt sind. Wer einen solchen Stuss zusammenschreibt, der jedem Techniker die Haare zu Berge stehen lässt, hat sich entweder noch nie mit Sicherheitstechnologie befasst oder stellt sich bewusst ahnungslos. Alle bisherigen Zitate stammen aus der Einleitung bzw. den Erwägungsgründen. Im Verordnungstext wird kein einziges Mal erwähnt, dass diese Verordnung einen seit Jahren üblichen Sicherheitsstandard im Internet infrage stellt. Dieselbe Masche wurde bereits im Text der Copyright-Richtlinie von 2017 angewendet. Im gesamten Text werden Upload-Filter kein einziges Mal erwähnt, die Vorgaben sind aber so gestaltet, dass sie technisch nur durch den Einsatz von Upload-Filtern erfüllt werden können.

EU-Regulierung verbietet verschlüsselte Chats

EU-Kommission

„Sicherheit durch und trotz Verschlüsselung“

Vom Inhalt her entspricht dieser Text genau dem paradoxen Motto „Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung“ der deutschen Ratspräsidentschaft, die den Frontalangriff auf sichere Verschlüsselung 2020 mit einer Resolution im Ministerrat eröffnet hatte. Das Wort „Sicherheit“ wird einfach in zwei verschiedenen Bedeutungen verwendet, im ersten Teil als „Sicherheit durch Vertraulichkeit“ im zweiten Teil des Slogans als „öffentliche Sicherheit“. Dieser Entwurf, der im Innenressort von Kommissarin Ylva Johansson vorangetrieben wurde, benutzt genau dieselben unredlichen Methoden der bewussten Hinwegtäuschung der Öffentlichkeit über den tatsächlichen Sachverhalt.

Das war noch nicht alles an Bigotterie, die dieser Entwurf zu bieten hat, denn es gibt noch eine dritte Erwähnung von Verschlüsselung im Dokument, und zwar am Deckblatt (siehe Screenshot oben). „Verteilung nur auf einer ‚need to know‘-Basis“, das heißt, nur jene Personen, die das Dokument unbedingt kennen müssen, erhalten es auch. Zudem soll der Text „in der Öffentlichkeit nicht offen transportiert“ und sicher verschlüsselt gespeichert bzw. übermittelt werden. Kopien seien zu schreddern oder sicher zu löschen.

Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: