Die britische Regierung scheint einen direkten Konflikt mit der Technologiebranche wegen einer umstrittenen, kryptowährungsgefährdenden Bestimmung im Online-Sicherheitsgesetz vermieden zu haben.
Mainstream-Technologiegiganten und kleinere verschlüsselte Messaging-Dienste sind sich seit vielen Monaten einig, dass der Gesetzentwurf eine direkte Bedrohung für die Sicherheit und Privatsphäre von Millionen von Webnutzern darstellt, indem er verschlüsselte Messaging-Apps gesetzlich dazu verpflichtet, Funktionen zum Scannen von Inhalten zu integrieren Eingang einer Anordnung der Internet-Regulierungsbehörde Ofcom.
Sicherheits- und Datenschutzforscher sowie Rechtsexperten haben sich ebenfalls mit regelmäßigen Warnungen eingeschaltet, dass die weitreichenden Überwachungsbefugnisse des Gesetzentwurfs – paradoxerweise – die Gefahr bergen, der Websicherheit großen Schaden zuzufügen. Dennoch schien die Regierung gegenüber Bedenken hinsichtlich der Auswirkungen auf die Verschlüsselung taub zu sein.
Der Gesetzentwurf zielt auf eine Reihe von Online-Schäden und Sicherheitsproblemen ab, unter anderem indem er Plattformen verpflichtet, gegen Material zum sexuellen Missbrauch von Kindern vorzugehen (CSAM). Aber hier hat die Regierung ausdrücklich versucht, die Entwicklung von CSAM-Scan-Tools zu fördern, die auf Ende-zu-Ende-verschlüsselten (E2EE) Messaging-Plattformen angewendet werden könnten, ohne die Privatsphäre der Benutzer zu beeinträchtigen – und ignoriert dabei die Warnungen von Experten, dass es keine Möglichkeit gibt, E2EE zu umgehen, ohne die Privatsphäre der Menschen zu zerstören Privatsphäre und Sicherheit.
Stark verschlüsselte Messaging-Apps wie Signal warfen den Ministern magisches Denken vor. Sogar Apple hat sich im Sommer in den öffentlichen Streit gestürzt und warnend gewarnt, dass der Gesetzentwurf ein Risiko für die Sicherheit von Webnutzern darstelle. WhatsApp und andere haben außerdem gewarnt, dass sie Dienste im Vereinigten Königreich schließen könnten, wenn der Gesetzentwurf nicht überarbeitet würde, um die Bedrohung der Verschlüsselung zu beseitigen.
In den letzten Monaten hat die Regierung versucht, Bedenken zu dämpfen, indem sie angedeutet hat, dass Ofcom diese Befugnisse nicht gegen stark verschlüsselte Plattformen einsetzen würde, die den Goldstandard (Zero Knowledge) E2EE anwenden, wie Signal, WhatsApp und iMessage. Aber die Technologiebranche schlug zurück – unter anderem fragte Meredith Whittaker, Präsidentin der Signal Foundation, warum die Minister den geforderten Grenzwert nicht klar in den Gesetzestext aufnehmen würden, um einen starken rechtlichen Schutz für E2EE zu gewährleisten?
Der Kompromiss, auf den sich die Regierung offenbar geeinigt hat, sieht nun bestenfalls wie eine Fummelei aus, da es immer noch keine klare Aussage gibt, dass E2EE außerhalb der Reichweite der Scanbefugnisse des Gesetzentwurfs liegt.
In einer Ministererklärung heute im House of Lords, wo der Gesetzentwurf in dritter Lesung stattfand, sagte Lord Parkinson von Whitley Bay, dass Ofcom nicht verpflichtet werden könne, Scans anzuordnen, es sei denn, es gebe „geeignete Technologie“.
„Bei der Entscheidung, ob eine Mitteilung erlassen werden soll [to scan for CSAM] Ofcom wird mit dem Dienst zusammenarbeiten, um vernünftige, technisch machbare Lösungen zu finden, um das Risiko der sexuellen Ausbeutung und des sexuellen Missbrauchs von Kindern anzugehen, einschließlich der Heranziehung von Beweisen aus dem Bericht einer qualifizierten Person. Wenn es keine geeignete Technologie gibt, die diese Anforderungen erfüllt, kann Ofcom ihren Einsatz nicht verlangen“, sagte er. „Deshalb gehört zu den Befugnissen der Ofcom auch die Möglichkeit, von Unternehmen zu verlangen, dass sie ihr Bestes geben, um eine neue Lösung zu entwickeln oder zu beschaffen.“
„Es ist richtig, dass Ofcom von Technologieunternehmen verlangen kann, dass sie ihre beträchtlichen Ressourcen und ihr Fachwissen nutzen, um den bestmöglichen Schutz für Kinder in verschlüsselten Umgebungen zu entwickeln.“ Das ist seit langem unsere politische Position. „Unser Standpunkt zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet ist nach wie vor fest und wir haben immer deutlich gemacht, dass der Gesetzentwurf dabei einen maßvollen, evidenzbasierten Ansatz verfolgt“, fügte er hinzu.
Die Linie der Regierung wurde heute in einem Bericht der Regierung hervorgehoben FT vor der dritten Lesung des Gesetzesentwurfs – in der es heißt, dass der Minister erklären würde: „Eine Benachrichtigung kann nur dann herausgegeben werden, wenn dies technisch machbar ist und wenn die Technologie nachweislich Mindeststandards an Genauigkeit bei der Erkennung von ausschließlich Inhalten zum sexuellen Missbrauch und zur Ausbeutung von Kindern erfüllt.“
Die Zeitung berichtete außerdem, dass „Beamte gegenüber Technologieunternehmen nun privat eingeräumt haben, dass es derzeit keine Technologie gibt, die in der Lage ist, Ende-zu-Ende-verschlüsselte Nachrichten zu scannen, die nicht auch die Privatsphäre der Benutzer gefährden würde“, und zitierte „mehrere Personen, die über die Überlegungen der Regierung informiert wurden“. .
Wenn die Quellen der Financial Times tatsächlich einen genauen Überblick über die Ansichten der Minister haben, ist es der leiseste aller Abstiege. Aber so weit wird die Regierung wahrscheinlich nicht gehen, wenn man bedenkt, wie tief sie dieses Loch gegraben hat.
Wie wir bereits berichtet haben, wurde sogar der Leiter der Forschungsgruppe ausgewählt, um eine technische Bewertung der „Sicherheitstechnologie“-Projekte durchzuführen, die im Jahr 2021 im Rahmen eines Innenministerium-Wettbewerbs zur Entwicklung leistungsfähiger Technologien öffentliche Mittel erhielten CSAM auf E2EE-Diensten zu erkennen, ohne den Datenschutz zu beeinträchtigen, hat vor der Torheit dieser Bemühungen gewarnt.
„Das Problem ist, dass die diskutierte Technologie nicht als Lösung geeignet ist“, sagte Awais Rashid, Professor für Cybersicherheit an der Universität Bristol und Direktor des Refrain Mitte, gewarnt in a Pressemitteilung der Universität im Juli. „Unsere Bewertung zeigt, dass die in Betracht gezogenen Lösungen die Privatsphäre insgesamt gefährden und über keine eingebauten Schutzmaßnahmen verfügen, um die Umnutzung solcher Technologien zur Überwachung jeglicher persönlicher Kommunikation zu verhindern.
Dass die technische Machbarkeit in einer ministeriellen Lesung zu diesem späten Zeitpunkt der Verabschiedung des Gesetzentwurfs als hartes Ende für die Befugnisse der Ofcom bezeichnet wird, scheint der Notausstieg zu sein, den die Regierung beschlossen (und informiert) hat, um aus einem Schlamassel herauszukommen, das sie weitgehend selbst verursacht hat – ein Schlamassel, das für zunehmend aufmerksamkeitsstarke Schlagzeilen über Mainstream-Messaging-Apps sorgt, die sich darauf vorbereiten, das Vereinigte Königreich zu verlassen –, ohne dass E2EE zu explizit aus dem Geltungsbereich des Gesetzesentwurfs herausgenommen wird und eine Gegenreaktion von Aktivisten für Kindersicherheit riskiert wird, die ihre eigenen Anstrengungen unternommen haben, um Druck auszuüben dass die Befugnisse des Gesetzentwurfs noch weiter gehen.
Angesichts der Tatsache, dass es sich dabei um eine Fiktion handelt, und angesichts der Tatsache, dass Ofcom in der Vollmacht weiterhin die Anordnung des Scannens auf E2EE-Plattformen vorsieht, sobald ein Entwickler behauptet, er habe einen praktikablen Workaround für Technikfreaks gefunden – ganz zu schweigen davon, wer weiß, was sonst noch darin lauern könnte Der endgültige Text sowie eine Reihe von Änderungsanträgen wurden heute auch von Lord Parkinson diskutiert – Datenschutzaktivisten sind zu Recht weiterhin besorgt.
In einer frühen Antwort auf den FT-Bericht, die auf X (Twitter) gepostet wurde, nannte Whittaker von Signal die Erklärung der Regierung einen „wichtigen Moment“ – und „einen Sieg, nicht eine Niederlage“ – und hielt ihre Bemerkungen zurück, indem sie sagte, es sei „nicht der endgültige Sieg“. “.
Die Open Rights Group, eine Interessenvertretung für digitale Rechte, die sich ebenfalls gegen die Bedrohung der Verschlüsselung durch den Gesetzentwurf eingesetzt hat, bezeichnete die Zugeständnisse der Regierung als „erfreuliche Neuigkeiten“ und argumentierte, es wäre „besser, wenn diese Befugnisse vollständig aus dem Gesetzentwurf gestrichen worden wären“. „Wir kämpfen weiterhin für die Abschaffung der Spionageklausel“, hieß es hinzugefügt in Bemerkungen, die auf X gepostet wurden.
Die Regierung hat unterdessen alle Andeutungen zurückgewiesen, die Äußerungen des Ministers signalisierten einen Kurswechsel.
In einer an Tech per E-Mail gesendeten Erklärung sagte ein Sprecher des Ministeriums für Wissenschaft, Innovation und Technologie:
Unsere Position in dieser Angelegenheit hat sich nicht geändert und es ist falsch, etwas anderes zu behaupten. Unser Standpunkt zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet ist nach wie vor fest und wir haben immer deutlich gemacht, dass der Gesetzentwurf dabei einen maßvollen, evidenzbasierten Ansatz verfolgt.
Wie schon immer wird es Ofcom als letztes Mittel, von Fall zu Fall und nur dann, wenn strenge Datenschutzbestimmungen erfüllt sind, ermöglichen, Unternehmen anzuweisen, entweder Technologie zu nutzen oder sich nach besten Kräften um die Entwicklung oder Beschaffung von Technologie zu bemühen Identifizieren und entfernen Sie illegale Inhalte zum sexuellen Missbrauch von Kindern – wir wissen, dass dies weiterentwickelt werden kann.
Am Montag kamen Technologieunternehmen wie TikTok, Meta, Microsoft und andere zusammen, um über die Bedrohungen zu diskutieren, die von der Ausbeutung unserer Kinder durch Sexualstraftäter ausgehen. Wir waren uns alle einig, weiterhin gemeinsam an der Bekämpfung dieser abscheulichen Verbrechen zu arbeiten, wo auch immer sie stattfinden.
Lord Parkinson drückte auch seine Dankbarkeit für das aus, was er als „konstruktives Engagement“ von Technologieunternehmen im Laufe des Sommers bezeichnete, als die Regierung an verschiedenen Änderungsanträgen zu einem Gesetzentwurf arbeitete, der über Jahre hinweg – und unter mehreren Ministern – bereits zahlreiche große und kleine Änderungen erfahren hatte des Staates – seit der erste Entwurf des Gesetzentwurfs bereits im Mai 2021 veröffentlicht wurde.