Fast 70 Akademiker im Bereich IT-Sicherheit und Datenschutz haben ihre Besorgnis über den Schaden verstärkt, den das britische Online-Sicherheitsgesetz der Online-Sicherheit zufügen könnte, wenn es nicht dahingehend geändert wird, dass es die starke Verschlüsselung nicht untergräbt.
Schreiben in einem offener Brief68 mit dem Vereinigten Königreich verbundene Sicherheits- und Datenschutzforscher haben gewarnt, dass der Gesetzesentwurf ein großes Risiko für wesentliche Sicherheitstechnologien darstellt, die routinemäßig zur Gewährleistung der Sicherheit digitaler Kommunikation eingesetzt werden.
„Als unabhängige Forscher für Informationssicherheit und Kryptographie entwickeln wir Technologien, die die Sicherheit der Menschen im Internet gewährleisten. In diesem Sinne sehen wir die Notwendigkeit, zu betonen, dass die Sicherheit, die diese wesentlichen Technologien bieten, nun durch das Gesetz zur Online-Sicherheit gefährdet ist“, warnen die Wissenschaftler und greifen damit die Bedenken auf, die bereits von Ende-zu-Ende-verschlüsselten Kommunikationsdiensten wie z. B. geäußert wurden WhatsApp, Signal und Element – die erklärt haben, dass sie sich dafür entscheiden würden, Dienste vom Markt zu nehmen oder von den britischen Behörden blockiert zu werden, anstatt das Sicherheitsniveau ihrer Benutzer zu gefährden.
Letzte Woche intervenierte auch Apple öffentlich und warnte, dass der Gesetzentwurf eine „ernsthafte Bedrohung“ für die Ende-zu-Ende-Verschlüsselung darstelle, die es als „kritischen Fähigkeitsschutz“ bezeichnete. Ohne Änderungen zum Schutz des starken E2EE-Gesetzes bestand laut Apple die Gefahr, dass der Gesetzentwurf die britischen Bürger einem größeren Risiko aussetzt – im Gegensatz zum „Sicherheits“-Anspruch im Titel des Gesetzes.
Eine unabhängige rechtliche Analyse des Gesetzesentwurfs warnte letztes Jahr außerdem davor, dass die im Gesetzentwurf enthaltenen Überwachungsbefugnisse die Integrität von E2EE gefährden.
Der Gesetzesvorschlag wurde bereits im Unterhaus geprüft und befindet sich derzeit im Berichtsstadium im Oberhaus – wo Kollegen die Möglichkeit haben, Änderungen vorzuschlagen. Daher hoffen die Sicherheitswissenschaftler, dass ihr Fachwissen die Gesetzgeber in der zweiten Kammer mobilisieren wird, einzugreifen und die Verschlüsselung dort zu verteidigen, wo die Abgeordneten versagt haben.
„Wir verstehen, dass dies ein kritischer Zeitpunkt für das Online-Sicherheitsgesetz ist, da es im House of Lords diskutiert wird, bevor es diesen Sommer an das Unterhaus zurückgegeben wird“, schreiben sie. „Kurz gesagt geht es uns darum, dass Überwachungstechnologien im Sinne der Gewährleistung der Online-Sicherheit eingesetzt werden. Dieses Gesetz untergräbt Datenschutzgarantien und sogar die Sicherheit im Internet.“
Das sagen die Akademiker, die Professuren und andere Positionen an Universitäten im ganzen Land innehaben – darunter eine Reihe forschungsintensiver Institutionen der Russell Group wie das King’s College und das Imperial College in London, Oxford und Cambridge, Edinburgh, Sheffield und Manchester, um nur einige zu nennen Ihr Ziel mit dem Brief ist es, „alarmierende Missverständnisse und Missverständnisse rund um das Online-Sicherheitsgesetz und seine Interaktion mit den Datenschutz- und Sicherheitstechnologien, auf denen unsere täglichen Online-Interaktionen und Kommunikation basieren“, aufzuzeigen.
Ihre Hauptsorge gilt der Forderung des Gesetzentwurfs nach einer „routinemäßigen Überwachung“ der Kommunikation von Menschen, angeblich mit dem Ziel, die Verbreitung von Inhalten zum sexuellen Missbrauch und zur Ausbeutung von Kindern (CSEA) zu bekämpfen – was die Wissenschaftler jedoch als einen Vorschlaghammer bezeichnen, um einen verrückten Ansatz zu knacken wird der Öffentlichkeit und der Gesellschaft im Allgemeinen massiven Schaden zufügen, indem es kritische Sicherheitsprotokolle untergräbt, auf die wir uns alle verlassen.
Die routinemäßige Überwachung privater Kommunikation sei „kategorisch unvereinbar mit der Aufrechterhaltung heutiger (und international anerkannter) Online-Kommunikationsprotokolle, die Datenschutzgarantien ähnlich wie bei persönlichen Gesprächen bieten“, behaupten sie und warnen vor „Versuchen, diesen Widerspruch durch den Einsatz zusätzlicher Technologien zu umgehen“. – entweder clientseitiges Scannen oder sogenannte „niemand außer uns“-Krypto-Hintertüren – als „auf technologischer und wahrscheinlich gesellschaftlicher Ebene zum Scheitern verurteilt“.
„Technologie ist kein Zauberstab“, betonen sie, bevor sie prägnant zusammenfassen, warum die beiden möglichen Wege zum Zugriff auf geschützte private Nachrichten nicht mit der Wahrung des Rechts der Menschen auf Privatsphäre und Sicherheit ihrer Informationen vereinbar sind.
„Es gibt keine technologische Lösung für den Widerspruch, der darin liegt, sowohl Informationen gegenüber Dritten vertraulich zu behandeln als auch dieselben Informationen mit Dritten zu teilen“, warnen die Experten und fügen hinzu: „Die Geschichte der kryptografischen Hintertüren „niemand außer uns“ ist eine Geschichte von Ausfälle, vom Clipper-Chip bis zum DualEC. Allen vorgeschlagenen technologischen Lösungen ist gemeinsam, dass sie einem Dritten nach bestimmten, von diesem Dritten festgelegten Kriterien Zugriff auf private Sprache, Nachrichten und Bilder gewähren.“
Was das clientseitige Scannen betrifft, weisen sie darauf hin, dass die routinemäßige Anwendung einer solchen Technologie auf Nachrichten mobiler Benutzer in einer demokratischen Gesellschaft unverhältnismäßig ist – was einer standardmäßigen Überwachung gleichkommt – d “, wie es in dem Brief heißt.
Auch ist die clientseitige Scantechnologie nicht robust genug für die Anforderungen des Gesetzentwurfs in ihrer Expertenanalyse.
„Diese Idee eines ‚Polizisten in der Tasche‘ hat das unmittelbare technologische Problem, dass er sowohl in der Lage sein muss, die anvisierten Inhalte genau zu erkennen und offenzulegen, als auch nicht anvisierte Inhalte zu erkennen und offenzulegen, selbst wenn eine genaue Vereinbarung darüber getroffen wird, was passieren soll.“ ins Visier genommen werden“, schreiben sie und warnen, dass selbst clientseitige Scantechnologie, die zur Erkennung bekannter CSEA entwickelt wurde, Genauigkeitsprobleme aufweist.
Sie heben auch hervor aktuelle Forschung dass solche Algorithmen umfunktioniert werden können, um versteckte Sekundärfunktionen (z. B. Gesichtserkennung) hinzuzufügen, und zur verdeckten Überwachung missbraucht werden können.
Die Wissenschaftler befürchten auch, dass der Gesetzentwurf dazu genutzt werden wird, Plattformen dazu zu bringen, routinemäßig noch aufdringlichere KI-Modelle auszuführen, die die Nachrichten von Personen nach bisher ungesehenen, aber verbotenen CSEA-Inhalten durchsuchen. Eine solche Technologie gebe es nicht in einer „ausreichend zuverlässigen“ Form, warnen sie. Das heißt, wenn der Gesetzentwurf eine solche Implementierung vorschreibt, wird das wahrscheinlich zu Massen von Falschmeldungen führen, die großen Schaden anrichten, da unschuldige Benutzer von Nachrichten-Apps riskieren, dass ihre privaten Nachrichten weithin gesehen werden, ohne dass dies der Fall ist Ursache und könnte sogar damit rechnen, fälschlicherweise beschuldigt zu werden, CSEA gesehen zu haben.
„Dieser Mangel an Zuverlässigkeit kann schwerwiegende Folgen haben, da ein falsch positiver Treffer möglicherweise dazu führt, dass private, intime oder sensible Nachrichten oder Bilder an Dritte weitergegeben werden, etwa an Prüfer von Privatunternehmen, Strafverfolgungsbehörden und jeden, der Zugriff auf die Überwachungsinfrastruktur hat.“ Dies kann an sich schon eine Ausbeutung und ein Missbrauch derjenigen sein, deren Botschaften offengelegt werden“, warnen die Experten.
Sie stellen außerdem fest, dass solche „weitreichenden“ KI-Modelle für das clientseitige Scannen ein höheres Maß an Flexibilität erfordern würden, was es auch einfacher machen würde, sie umzuwidmen – „um ihren Anwendungsbereich durch Kompromisse oder Richtlinienänderungen zu erweitern“ – und dies zu erhöhen Der Umfang der eingebetteten CSEA-Scantechnologien wird auf die Erkennung anderer Arten von Inhalten ausgeweitet, und britische Bürger werden standardmäßig einem immer höheren Maß an staatlich vorgeschriebener Überwachung ausgesetzt.
Wir haben das Ministerium für Wissenschaft, Innovation und Technologie kontaktiert und um eine Antwort der Regierung auf den offenen Brief gebeten.