In der neuesten Version des nie endenden (und immer kopfkratzenden) KryptokriegeGraeme Biggar, der Generaldirektor der britischen National Crime Agency (NCA), hat den Instagram-Inhaber Meta aufgefordert, die weitere Einführung der Ende-zu-Ende-Verschlüsselung (E2EE) zu überdenken – wobei die Privatsphäre und Sicherheit der Webnutzer im Vordergrund stehen Rahmen noch einmal.
Der Aufruf folgt a gemeinsame Erklärung von europäischen Polizeichefs, darunter denen des Vereinigten Königreichs, veröffentlicht am Sonntag. Darin äußerten sie „Besorgnis“ darüber, wie E2EE von der Technologiebranche eingeführt wird, und forderten Plattformen auf, Sicherheitssysteme so zu gestalten, dass sie weiterhin illegale Aktivitäten erkennen und Meldungen senden können über den Inhalt der Nachricht an die Strafverfolgungsbehörden.
In seinen heutigen Bemerkungen gegenüber der BBC schlug der NCA-Chef Metas aktuellen Plan vor, die Sicherheit rund um die privaten Chats von Instagram-Benutzern durch die Einführung einer sogenannten „Zero Access“-Verschlüsselung zu erhöhen, bei der nur der Absender und der Empfänger der Nachricht auf den Inhalt zugreifen können eine Gefahr für die Sicherheit von Kindern. Der Social-Networking-Riese startete im Dezember auch die seit langem geplante Einführung des Standard-E2EE im Facebook Messenger.
„Geben Sie uns die Informationen weiter“
Im Gespräch mit der Sendung „Today“ von BBC Radio 4 am Montagmorgen sagte Biggar dem Interviewer Nick Robinson: „Unsere Verantwortung als Strafverfolgungsbehörden … besteht darin, die Öffentlichkeit vor organisierter Kriminalität und vor schwerer Kriminalität zu schützen, und dazu benötigen wir Informationen.“
„Was passiert, ist, dass die Technologieunternehmen viele Informationen Ende-zu-Ende-verschlüsselt weitergeben. Wir haben kein Problem mit der Verschlüsselung, ich habe auch die Verantwortung, die Öffentlichkeit vor Cyberkriminalität zu schützen – daher ist eine starke Verschlüsselung eine gute Sache – aber was wir brauchen, ist, dass die Unternehmen uns weiterhin die von uns übermittelten Informationen weitergeben können Wir müssen die Sicherheit der Öffentlichkeit gewährleisten.“
Aufgrund der Möglichkeit, Nachrichteninhalte zu scannen, bei denen E2EE noch nicht eingeführt wurde, senden Plattformen laut Biggar derzeit jedes Jahr Dutzende Millionen Meldungen zum Thema Kindersicherheit an Polizeikräfte auf der ganzen Welt Auf der Grundlage dieser Informationen beschützen wir normalerweise 1.200 Kinder pro Monat und verhaften 800 Personen.“ Das bedeutet, dass diese Berichte versiegen werden, wenn Meta die Nutzung von E2EE auf Instagram ausweitet.
Robinson wies darauf hin, dass WhatsApp, das zu Meta gehört, seit Jahren die Goldstandard-Verschlüsselung als Standard verwendet (E2EE wurde im April 2016 vollständig auf der gesamten Messaging-Plattform implementiert) und fragte sich, ob dies nicht ein Fall war, in dem die Kriminalpolizei versuchte, den Stall zu schließen Tür, nachdem das Pferd durchgebrannt ist?
Darauf bekam er keine eindeutige Antwort – nur noch mehr rätselhafte Zweideutigkeiten.
Biggar: „Es ist ein Trend. Wir versuchen nicht, die Verschlüsselung zu stoppen. Wie gesagt, wir unterstützen Verschlüsselung und Datenschutz vollständig und sogar eine Ende-zu-Ende-Verschlüsselung kann völlig in Ordnung sein. Wir wollen, dass die Branche Wege findet, uns weiterhin mit den Informationen zu versorgen, die wir brauchen.“
Seine Intervention folgt a gemeinsame Erklärung von rund 30 europäischen Polizeichefs, veröffentlicht am Sonntag, in dem die Leiter der Strafverfolgungsbehörden Plattformen auffordern, nicht näher spezifizierte „technische Lösungen“ einzuführen, die ihrer Meinung nach es ihnen ermöglichen können, Benutzern robuste Sicherheit und Privatsphäre zu bieten und gleichzeitig die Fähigkeit aufrechtzuerhalten, illegale Aktivitäten zu erkennen und entschlüsselte Inhalte den Polizeikräften melden.
„Unternehmen werden nicht in der Lage sein, effektiv auf eine rechtmäßige Autorität zu reagieren“, schlagen die Polizeichefs vor und äußern Bedenken, dass E2EE auf eine Weise eingesetzt wird, die die Fähigkeit der Plattformen untergräbt, illegale Aktivitäten selbst zu erkennen und auch ihre Fähigkeit, Inhaltsmeldungen an die Polizei zu senden.
„Dadurch werden wir einfach nicht in der Lage sein, die Sicherheit der Öffentlichkeit zu gewährleisten“, behaupten sie und fügen hinzu: „Wir fordern daher die Technologiebranche auf, Sicherheit durch Design einzubauen, um sicherzustellen, dass sie weiterhin in der Lage ist, schädliche Inhalte zu identifizieren und zu melden.“ und illegale Aktivitäten, wie z. B. sexuelle Ausbeutung von Kindern, und rechtmäßig und ausnahmsweise im Auftrag einer rechtmäßigen Autorität zu handeln.“
Ein ähnliches Mandat zum „rechtmäßigen Zugriff“ wurde vom Europäischen Rat bereits im Dezember 2020 in einer Resolution verabschiedet.
Clientseitiges Scannen?
In der Erklärung der europäischen Polizeichefs wird nicht erläutert, welche Technologien die Plattformen ihrer Meinung nach einsetzen sollen, um CSAM-Scanning und die Übermittlung entschlüsselter Inhalte an die Strafverfolgungsbehörden zu ermöglichen. Aber höchstwahrscheinlich handelt es sich um irgendeine Form der clientseitigen Scan-Technologie, für die sie Lobbyarbeit betreiben – etwa das System, das Apple bereits 2021 einführen wollte, um Material zum sexuellen Missbrauch von Kindern (Child Sexual Abuse Material, CSAM) auf den eigenen Geräten der Benutzer zu erkennen Ein Datenschutzkonflikt zwang es, den Plan auf Eis zu legen und ihn später stillschweigend fallen zu lassen. (Obwohl Apple CSAM-Scanning für iCloud-Fotos eingeführt hat.)
Unterdessen haben die Gesetzgeber der Europäischen Union immer noch einen umstrittenen CSAM-Gesetzgebungsplan zum Scannen von Nachrichten auf dem Tisch. Datenschutz- und Rechtsexperten – darunter der eigene Datenschutzbeauftragte der Union – warnen davor, dass der Gesetzesentwurf eine existenzielle Bedrohung für die demokratischen Freiheiten darstellt und verheerende Auswirkungen auf die Cybersicherheit hat. Kritiker des Plans argumentieren auch, dass es sich um einen fehlerhaften Ansatz zum Schutz von Kindern handele, was darauf hindeutet, dass er durch die Generierung zahlreicher Fehlalarme wahrscheinlich mehr Schaden als Nutzen anrichtet.
Im vergangenen Oktober wehrten sich Parlamentarier gegen den Kommissionsvorschlag und unterstützten einen grundlegend überarbeiteten Ansatz, der darauf abzielt, den Anwendungsbereich sogenannter CSAM-„Erkennungsanordnungen“ einzuschränken. Allerdings muss sich der Europäische Rat noch auf seinen Standpunkt einigen. Es bleibt also abzuwarten, wo das umstrittene Gesetz landen wird. Diesen Monat zahlreiche zivilgesellschaftliche Gruppen und Datenschutzexperten gewarnt Das vorgeschlagene Gesetz zur „Massenüberwachung“ bleibt eine Bedrohung für E2EE. (Mittlerweile haben sich die EU-Gesetzgeber darauf geeinigt, eine vorübergehende Ausnahmeregelung von den ePrivacy-Regeln des Blocks zu verlängern, die es Plattformen ermöglicht, freiwillige CSAM-Scans durchzuführen – die das geplante Gesetz jedoch ersetzen soll.)
Der Zeitpunkt der gemeinsamen Erklärung europäischer Polizeichefs lässt darauf schließen, dass damit der Druck auf die EU-Gesetzgeber erhöht werden soll, trotz scharfen Widerstands des Parlaments am CSAM-Scanning-Plan festzuhalten. (Daher schreiben sie auch: „Wir fordern unsere demokratischen Regierungen auf, Rahmenbedingungen zu schaffen, die uns die Informationen liefern, die wir brauchen, um die Sicherheit unserer Öffentlichkeit zu gewährleisten.“)
Der EU-Vorschlag schreibt auch keine besonderen Technologien vor, die Plattformen verwenden müssen, um Nachrichteninhalte zu scannen, um CSAM zu erkennen. Kritiker warnen jedoch, dass dadurch wahrscheinlich die Einführung von clientseitigem Scannen erzwungen wird – obwohl die aufkommende Technologie noch unausgereift und unbewiesen und einfach nicht für den Mainstream-Einsatz bereit ist Sie sehen es, was ein weiterer Grund dafür ist, dass sie so laut Alarm schlagen.
Robinson fragte Biggar nicht, ob sich Polizeichefs speziell für clientseitiges Scannen einsetzen, sondern er fragte, ob sie wollen, dass Meta die Verschlüsselung durch eine „Hintertür“ ermöglicht. Auch hier war die Antwort unklar.
„Wir würden es nicht als Hintertür bezeichnen – und wie das genau geschieht, muss die Industrie selbst bestimmen. Sie sind die Experten in diesem Bereich“, entgegnete er, ohne genau zu sagen, was sie wollen, als wäre die Suche nach einer Möglichkeit, starke Verschlüsselung zu umgehen, nur ein Fall von Technikfreaks, die sich mehr anstrengen müssen.
Ein verwirrter Robinson drängte den britischen Polizeichef auf Klarstellung und wies darauf hin, dass die Informationen entweder streng verschlüsselt (und damit vertraulich) seien oder nicht. Aber Biggar entfernte sich noch weiter von diesem Punkt und argumentierte: „Jede Plattform befindet sich in einem Spektrum“, d. h. zwischen Informationssicherheit und Informationssichtbarkeit. „Am absolut absolut sicheren Ende befindet sich fast nichts“, schlug er vor. „Kunden wollen das aus Gründen der Benutzerfreundlichkeit nicht [such as] ihre Fähigkeit, ihre Daten zurückzubekommen, wenn sie ein Telefon verloren haben.
„Was wir sagen, ist, dass es auf beiden Seiten nicht funktioniert, absolut zu sein. Natürlich wollen wir nicht, dass alles völlig offen ist. Aber wir wollen auch nicht, dass alles absolut geschlossen ist. Deshalb möchten wir, dass das Unternehmen einen Weg findet, um sicherzustellen, dass es der Öffentlichkeit Sicherheit und Verschlüsselung bietet und uns dennoch die Informationen liefert, die wir zum Schutz der Öffentlichkeit benötigen.“
Nicht vorhandene Sicherheitstechnik
In den letzten Jahren hat das britische Innenministerium die Idee einer sogenannten „Sicherheitstechnologie“ vorangetrieben, die das Scannen von E2EE-Inhalten zur Erkennung von CSAM ermöglichen würde, ohne die Privatsphäre der Benutzer zu beeinträchtigen. Doch ein „Safety Tech“-Wettbewerb im Jahr 2021, bei dem es darum ging, Konzeptnachweise für eine solche Technologie zu liefern, führte zu so schlechten Ergebnissen, dass der mit der unabhängigen Bewertung der Projekte beauftragte Professor für Cybersicherheit, Awais Rashid von der Universität Bristol, letztes Jahr gewarnt dass keine der für diese Herausforderung entwickelten Technologien ihren Zweck erfüllt und schreibt: „Unsere Bewertung zeigt, dass die in Betracht gezogenen Lösungen die Privatsphäre insgesamt gefährden und über keine eingebauten Schutzmaßnahmen verfügen, um die Umnutzung solcher Technologien zur Überwachung jeglicher persönlicher Kommunikation zu verhindern.“
Wenn es Technologien gibt, die den Strafverfolgungsbehörden den Zugriff auf E2EE-Daten im Gelände ermöglichen, ohne die Privatsphäre der Benutzer zu beeinträchtigen, wie Biggar offenbar behauptet, lautet eine sehr grundlegende Frage: Warum können Polizeikräfte nicht genau erklären, was die Plattformen implementieren sollen? (Zur Erinnerung: Berichte aus dem letzten Jahr deuten darauf hin, dass Regierungsminister privat bestätigt haben, dass es derzeit keine solche datenschutzsichere E2EE-Scantechnologie gibt.)
Tech hat Meta kontaktiert, um eine Antwort auf Biggars Bemerkungen und die umfassendere gemeinsame Erklärung zu erhalten. In einer E-Mail-Erklärung wiederholte ein Unternehmenssprecher seine Verteidigung der Ausweitung des Zugangs zu E2EE, Schreiben: „Die überwältigende Mehrheit der Briten verlässt sich bereits auf Apps, die es nutzen Verschlüsselung um sie vor Hackern, Betrügern und Kriminellen zu schützen. Wir glauben nicht, dass die Leute wollen, dass wir ihre privaten Nachrichten lesen. Deshalb haben wir in den letzten fünf Jahren robuste Sicherheitsmaßnahmen entwickelt, um Missbrauch zu verhindern, zu erkennen und zu bekämpfen und gleichzeitig die Online-Sicherheit aufrechtzuerhalten.
„Wir haben kürzlich eine veröffentlicht aktualisierter Bericht Einstellung aus Diese Maßnahmen umfassen beispielsweise die Einschränkung, dass Personen über 19 Jahren keine Nachrichten an Jugendliche senden dürfen, die ihnen nicht folgen, und den Einsatz von Technologie, um böswilliges Verhalten zu erkennen und dagegen vorzugehen. Als wir rollen aus Ende zu Ende Verschlüsseln
Das Unternehmen hat im Laufe der mehr als zehnjährigen Amtszeit der konservativen Regierungen eine Reihe ähnlicher Aufrufe einer Reihe britischer Innenminister überstanden. Erst im vergangenen September warnte die damalige Innenministerin Suella Braverman Meta, dass neben E2EE nicht näher spezifizierte „Sicherheitsmaßnahmen“ ergriffen werden müssen – und warnte, dass die Regierung die Befugnisse des Online Safety Bill (jetzt Act) nutzen könnte, um das Unternehmen zu sanktionieren, wenn es sich nicht anstrenge.
Auf die Frage von Robinson, ob die Regierung handeln könnte (und sollte), wenn Meta seinen Kurs in Bezug auf E2EE nicht ändert, berief sich Biggar sowohl auf den Online Safety Act als auch auf ein anderes (älteres) Gesetz, den Investigatory Powers Act (IPA), der die Überwachung ermöglicht. sagen: „Die Regierung kann handeln und die Regierung sollte handeln, und sie verfügt gemäß dem Investigatory Powers Act und auch dem Online Safety Act über starke Befugnisse, dies zu tun.“
Die Strafen für Verstöße gegen den Online Safety Act können erheblich sein – wobei Ofcom befugt ist, Geldstrafen von bis zu 10 % des weltweiten Jahresumsatzes zu verhängen.
In einem weiteren besorgniserregenden Schritt für die Sicherheit und Privatsphäre der Menschen ist die Regierung dabei, das IPA mit mehr Befugnissen für Messaging-Plattformen zu stärken, einschließlich der Anforderung, dass Messaging-Dienste Sicherheitsfunktionen mit dem Innenministerium abklären müssen, bevor sie diese freigeben.
Der umstrittene Plan, den Anwendungsbereich von IPA weiter auszuweiten, hat begonnen löste in der gesamten britischen Technologiebranche Besorgnis aus – was darauf hindeutet, dass die Sicherheit und Privatsphäre der Bürger durch die zusätzlichen Maßnahmen gefährdet werden. Im vergangenen Sommer warnte Apple außerdem davor, dass es gezwungen sein könnte, Mainstream-Dienste wie iMessage und FaceTime in Großbritannien einzustellen, wenn die Regierung die Ausweitung der Überwachungsbefugnisse nicht überdenkt.
Es liegt eine gewisse Ironie in der jüngsten von Strafverfolgungsbehörden geführten Lobbykampagne, die darauf abzielt, den Vormarsch von E2EE in den Mainstream-Digitaldiensten zum Scheitern zu bringen, und die auf einem Plädoyer von Polizeichefs gegen binäre Argumente zugunsten der Privatsphäre basiert – angesichts der Tatsache, dass mit ziemlicher Sicherheit noch nie mehr Signalinformationen verfügbar waren für Strafverfolgungs- und Sicherheitsdienste, um diese für ihre Ermittlungen zu nutzen, selbst unter Berücksichtigung des Aufstiegs von E2EE. Die Vorstellung, dass verbesserte Web-Sicherheit plötzlich das Ende der Kinderschutzbemühungen bedeuten wird, ist an sich eine ausgesprochen binäre Behauptung.
Wer jedoch mit den jahrzehntelangen Kryptokriegen vertraut ist, wird nicht überrascht sein, wenn mit doppelten Maßstäben vorgegangen wird, um die Online-Sicherheit zu schwächen, da dieser Propagandakrieg schon immer auf diese Weise geführt wurde.