Die Europäische Kommission verhandelt gerade über ein neues Gesetz zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern. Dieses verpflichtet Anbieter von Online-Diensten wie Cloudspeicher oder Messenger präventive Maßnahmen zu treffen, um Missbrauchsdarstellungen von Kindern und Jugendlichen ausfindig zu machen und zu melden.
Viele befürchten, dass, sollte das Gesetz verabschiedet werden, dies das Ende für verschlüsselte und damit anonyme Kommunikation sein könnte. Zudem wird die Verhältnismäßigkeit infrage gestellt, da jeder Nutzer des Internets hierdurch unter Generalverdacht zu stehen scheint. In der Öffentlichkeit und Kreisen von Bürgerrechtlern wird schlicht von „Chatkontrolle“ gesprochen.
Wie könnte diese Kontrolle aussehen? Sollte das Gesetz, wie es derzeit formuliert wird, verabschiedet werden, könnte unter anderem das sogenannte Client-Side-Scanning (CSS) zum Einsatz kommen.
Client-Side-Scanning als vermeintliche Lösung
In gewisser Weise ist das clientseitige Scannen einfach die nächste Stufe einer bewährten Technik zur Moderation von Inhalten, die bereits seit Jahrzehnten eingesetzt wird. Es kann bei Urheberrechtsverletzungen, bei Spam, Malware, Ransomware und vielen weiteren Formen von Online-Sicherheitsbedrohungen angewendet werden.
Viele amerikanische Unternehmen scannen die Inhalte auf ihren Online-Plattformen bereits (Google, Microsoft, Facebook, Adobe u.v.m.). Dies geschieht zumeist, sobald Dateien auf den jeweiligen Servern abgelegt sind. Unter dem Druck der Regierung, gegen die Verbreitung von Material über den sexuellen Missbrauch von Kindern (Child Sexual Abuse Material – CSAM) vorzugehen, wird nach immer neuen Wegen gesucht, verbotene Inhalte zu erkennen und zu melden.
Client-Side-Scanning ist derzeit in aller Munde und soll laut den Befürwortern des neuen Gesetzes zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern auch unter Beibehaltung einer Verschlüsselung und unter Wahrung der Persönlichkeitsrechte möglich sein.
Beim Client-Side-Scanning können Bilder und Texte bereits vor dem Versand oder Upload gescannt werden
Die Idee ist, dass die eigentliche Kryptografie nicht angefasst wird, sondern stattdessen die Kommunikation und Dateien vor der Verschlüsselung oder nach der Entschlüsselung gescannt werden. Bei Anwendung dieser Methode noch von Verschlüsselung zu reden ist gelinde gesagt tollkühn. Wenn man so will, würde es sich in diesem Fall beim Einsatz von E2E-Verschlüsselung lediglich nur noch um eine Transportverschlüsselung/Punkt-zu-Punkt-Verschlüsselung wie z.B. via TLS handeln.
Wie funktioniert Client-Side-Scanning und welche Formen gibt es?
Beim CSS kann man derzeit zwei Methoden zum Scannen von Bildern unterscheiden:
Perceptual Hashing & Maschinelles Lernen
Beim Perceputal Hashing gerneriert ein Algorithmus einen Hash (eine numerische Kennung), der als digitaler Fingerabdruck fungiert und auch dann noch den gleichen Hash erzeugen soll, wenn das Bild geringfügig verändert wird. Hier werden die gescannten Bilder mit Bildern in einer Datenbank abgeglichen, noch bevor diese verschickt oder auf einen Server hochgeladen werden. Diese Methode gilt als vermeintlich datenschutzfreundlich. Apple hat seine Pläne für eine automatische CSAM-Erkennung via Perceputal Hashing beim Upload von Fotos in die iCloud nach massiver Kritik vorerst auf Eis gelegt und die Funktionsweise der geplanten Technologie von seiner Webseite entfernt. Mit der Wayback Machine des Internet Archives kann der Artikel allerdings weiterhin erreicht werden. Hier wird die Funktionsweise aus Sicht von Apple erklärt.
Bei der Methode des maschinellen Lernens, wird das Lernmodell darauf trainiert, Zielinhalte zu erkennen, selbst Bilder, die es noch nie gesehen hat. Beim maschinellen Lernen lernt ein künstliches System aus Beispielen und kann diese nach Beendigung der Lernphase verallgemeinern. Umso länger die Lernphase, desto besser sind in der Regel die Ergebnisse. Diese Methode ist in der Theorie wirksamer, da natürlich nicht jedes Bild von Missbrauch in irgendeiner Datenbank zum Vergleich aufgeführt ist. Die Fehlerquote dürfte aber auch dafür wesentlich höher sein. Offensichtliche Straftaten anhand von Bildern zu erkennen ohne regelmäßige Fehlinterpretationen werden vermutlich auf Jahre hinweg nicht erreichbar sein.
Wenn eine KI offensichtliche Straftaten nur anhand von Bildern identifizieren soll und sämtliche Bilder aller Smartphones ausgelesen werden, sind unzählige Fehlmeldungen vorprogrammiert
Beide Methoden können auf jeden Fall falsch-positive Ergebnisse erzeugen. Jedes geflaggte Bild muss und soll, im Falle, das Gesetz tritt in Kraft, durch einen Menschen überprüft werden. Auf welche Technologien genau das kommende CSS beruhen soll, bleibt bis dato fraglich. So ist es möglich, dass es auf proprietären und geschlossenen Technologien basieren wird, welches eine öffentliche Überprüfung einschränkt und somit für die Betroffenen nicht transparent ist.
Ok, wir haben also Technologien, die uns helfen können, schwerste Straftaten aufzuklären, wo liegt jetzt das Problem diese zu nutzen?
Im Folgenden werden unsere Top 5 größten potenziellen Probleme von staatlich verordnetem Client-Side-Scanning und „Chatkontrolle“ im Allgemeinen vorgestellt:
1. Es ist keine gute Idee, eine extrem leistungsfähige Überwachungstechnologie einzusetzen, die leicht ausgeweitet werden kann
Allen Beschwichtigungen zum Trotz. Nur weil eine Regierung oder sonstige Gesetzgebung heute verspricht, dass es CSS ausschließlich für diesen einen Zweck und in einem hierfür eng gestrickten Rahmen einsetzen wird, sollte man dem Versprechen nicht blind vertrauen. Was ist, wenn die nächste Regierung anders entscheidet und die Scans ausweiten möchte? Auch den Diensteanbietern kann man diesbezüglich nicht trauen, da auch sie sich am Ende des Tages an nationale Rechte halten müssen. Ein oft zitiertes Beispiel ist die chinesische Regierung, die mit so einem Tool beispielsweise herausfinden könnte, welche Bürger das Bild des sogenannten „Tank Man“ auf dem Tian’anmen-Platz aus dem Jahr 1989 auf ihren Smartphones haben.
Ist diese Hintertür einmal da, ist das Kind quasi schon in den Brunnen gefallen.
2. Eine Manipulation des Datenbestands kann verheerende Folgen haben
Man stelle sich vor, ausländische Geheimdienste, Kriminelle oder sonstige (politische oder wirtschaftliche) Kontrahenten übernehmen einen Account oder Konto einer ahnungslosen Person. Dann wären sie in der Lage verbotenes Bildmaterial, Texte oder Dateien auf die Geräte oder Online-Dienste zu laden. Im Anschluss würde das CSS auf die Inhalte reagieren und diese Person über den Anbieter an die Strafverfolgungsbehörden melden. Wenn die Täter clever sind, wird es für die geschädigte Person nahezu unmöglich sein, ihre Unschuld zu beweisen.
Dasselbe kann auch aus dem unmittelbaren familiären Umfeld drohen. Man denke zum Beispiel an eine Frau, die vor einem gewalttätigen oder kontrollierenden Partner fliehen will. Wenn dieser Zugang zu Geräten seiner Partnerin hat, könnte er den Spieß umdrehen und das CSS oder andere Kontrollmechanismen missbrauchen, um diese in Misskredit zu bringen.
Diese Gefahr besteht, da jeder Bürger unter Generalverdacht steht.
3. Sollten täglich Milliarden von Bildern oder Texte gescannt werden, wer überprüft die Meldungen auf falsch-positive?
Die KI oder sonstige mögliche Techniken sind noch weit davon entfernt, Bilder zuverlässig auf Missbrauchsdarstellungen von Kindern zu erkennen. Für Technologien, die Kindesmissbrauch anhand Künstlicher Intelligenz erkennen sollen, gibt einer der Entwickler solcher Technologien laut Statement aus der Europäischen Kommission an, dass die Software mit 99% Genauigkeit arbeitet (Seite 56). Dies gilt allerdings sowohl für bekanntes als auch für unbekanntes Material. Die Fehlerquote bei nur unbekannten Material sollte wohl weitaus höher liegen, wenn die KI jedes Bild als potenzielles Missbrauchsbild untersucht. Microsoft gibt für die Genauigkeit ihres Tools zur Erkennung von Grooming in textbasierter Kommunikation „Artemis“ laut Fragen zur schriftlichen Beantwortung an die Europäischen Kommission eine Genauigkeit von 88% an (Seite 57). In der Realität fügen fehlerhafte Scans bereits Schaden zu, wie Berichte über fehlerhafte Meldungen von Googles CSAM-Scanner zeigen.
Das scheint für die Befürworter allerdings vernachlässigbar zu sein, da die eventuell falsch-positiven Bilder ja dann durch Menschen geprüft werden sollen. Wem fällt hier was auf? Neben der Sache, dass hier sicherlich jährlich Millionen von privaten Bildern für fremde zugänglich gemacht werden, benötigt es enorme Ressourcen für die Strafermittlungsbehörden, die schon heute bei diesem Thema komplett überfordert sind.
Wenn Personen, die vom CSS oder einer sonstigen KI als geflaggte Bilder oder Texte auf ihre Echtheit kontrollieren können, gibt es keine Verschlüsselung mehr.
4. Die Sicherheit der Geräte und Programme zu schwächen, schwächt die Sicherheit der Geräte und Programme
Was oftmals von vielen Entscheidungsträgern nicht verstanden wird, ist, dass wenn man die Sicherheit von Geräten oder Software-Programmen schwächt, diese per se anfälliger gegen Angriffe Dritter sind. Wenn die Ende-zu-Ende-Verschlüsselung eine Hintertür hat (wie z.B. durch CSS), hat sie eine Hintertür, die sowohl bekannt ist, als auch mutwillig eingebaut wurde.
Ein Ende-zu-Ende-verschlüsseltes System ist ein System, bei dem der Server den Inhalt einer Nachricht nicht kennen kann, obwohl die Nachrichten des Clients ihn durchlaufen. Wenn derselbe Server direkten Zugriff hat, um einen Teil der Nachrichten zu entschlüsseln, handelt es sich nicht um eine Ende-zu-Ende-Verschlüsselung.
Es bleibt dabei: Eine Hintertür für die guten Jungs ist immer auch eine potenzielle Hintertür für die bösen Jungs.
5. Letztlich wäre diese Gesetzgebung der nächste Schritt der Salamitaktik in Richtung totaler Überwachung
Ein verpflichtendes Client-Side-Scanning oder sonstige Wege einer sogenannten „Chatkontrolle“ für alle Online-Dienste stellt ausnahmslos alle Menschen, die mit dem Internet verbundene Geräte nutzen, unter Generalverdacht und überwacht sie. Das ist grundrechtswidrig und ein weiterer Schritt in Richtung Überwachungsstaat.
Mit der phasenweisen Einführung neuer „Sicherheits“-Gesetze werden fundamentale Persönlichkeitsrechte immer weiter torpediert. Wer das Briefgeheimnis für ein Grund- und Menschenrecht hält, kann nicht für eine Entschlüsselung jeglicher digitaler Kommunikation sein. Ganz gleich, wie diese umgesetzt wird.
Freiheit stirbt immer zentimeterweise – (Dieses Zitat wird mehreren Personen zugesprochen).
Fazit
Laut § 32 DSGVO (Sicherheit der Verarbeitung) sollen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: 1 a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Dass dies Online nicht mehr ohne weiteres möglich sein wird, sollte das Gesetz, so wie es derzeit geplant ist, verabschiedet werden, wurde in diesem Artikel erläutert.
Straftäter werden jenseits der Mainstream-Onlinedienste auch weiterhin Möglichkeiten finden, miteinander zu kommunizieren und verbotene Inhalte zu teilen. Manche befürchten gar, das Gesetz würde zu einer Sensibilisierung in kriminellen Kreisen führen und die Tätigkeiten noch mehr im Untergrund stattfinden und es sei somit sogar kontraproduktiv.
So wie der Verordnungsentwurf derzeit formuliert ist, kann er jedenfalls nicht bleiben, hier sind sich die meisten IT-Sicherheitsexperten, Bürgerrechtler und Juristen einig.
Weitere Informationen zum Thema können unter folgenden Links gefunden werden:
Die Kampagne „Chatkontrolle STOPPEN!“
Die Kampagne „Stop scanning me“
Positionspapier und Analyse „A safe internet for all – Upholding private and secure communications“ der Vereinigung European Digital Rights (EDRi)
Pressemitteilung zur „Einhaltung der Grundrechte bei Chatkontrolle“ des Bundesbeautragten für den Datenschutz und die Informationsfreiheit
Der Verordnungsentwurf des Europäischen Parlaments und des Rates zur „Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“
—
Pyngu Digital