Geheime ListeWie der Sicherheitsapparat die Chatkontrolle prägt

Eine bisher von der EU-Kommission geheim gehaltene Liste, die wir veröffentlichen, zeigt, wie Geheimdienstvertreter:innen und Polizeien verschiedener Länder frühzeitig in die Chatkontrolle-Verordnung eingebunden waren. Eine große Rolle spielte auch die Start-up-ähnliche Organisation Thorn.

Auge schaut aus Handy heraus.
Bei der Chatkontrolle werden anlasslos Inhalte auf den Endgeräten von Menschen überwacht. (Symbolbild) – Public Domain generiert mit Midjourney

Bei der Erarbeitung der Chatkontrolle-Verordnung hat die EU-Kommission nicht nur eng mit der umstrittenen Organisation Thorn zusammengearbeitet, sondern auch mit Vertreter:innen von Europol, der australischen und der spanischen Polizei sowie Vertretern des britischen Geheimdienstes GCHQ.

Die bisher geheim gehaltene Liste der EU-Kommission, die wir veröffentlichen, gibt Auskunft darüber, welche „Expert:innen“ die EU-Kommission bei der Erarbeitung der Chatkontrolle-Verordnung eingeladen hat. Sie wurden im Rahmen des EU Internet Forums für die technische Folgenabschätzung der Chatkontrolle angehört, die im Mai 2022 publiziert wurde.

Laut dieser Liste hat die EU-Kommission im Vorfeld 32 Personen angehört. Davon stammten vier aus dem akademischen Umfeld, neun von Nichtregierungsorganisationen und ebenfalls neun von Regierungsstellen. Zehn weitere Personen stammten aus der Industrie, hier dominieren Microsoft und Google.

Nach Recherchen von netzpolitik.org befürworten die Expert:innen überwiegend eine Ausweitung von anlassloser Massenüberwachung. In Teilen sind sie erklärte Gegner:innen von Ende-zu-Ende-Verschlüsselung. Vertreter:innen der Zivilgesellschaft, die sich für den Schutz digitaler Grundrechte einsetzen, hatte die EU-Kommission offenkundig nicht berücksichtigt.

„Überwachungsbehördlich-industrieller Komplex“

Elina Eickstädt, die beim Chaos Computer Club zur Chatkontrolle arbeitet, kritisiert die Auswahl scharf: “Die nun öffentlich gewordene Liste zeigt, dass die Kommission nur sehr einseitige Expertise zur Chatkontrolle-Verordnung eingeholt hat. Das bestätigt einmal mehr, dass das Ziel mehr die Unterwanderung von Ende-zu-Ende-verschlüsselter Kommunikation und weniger wirklich effektiver Kinderschutz war.“

Der EU-Abgeordnete Patrick Breyer sieht durch die Liste bestätigt, dass die Chatkontrolle letztlich ein „Produkt der Lobby eines internationalen überwachungsbehördlich-industriellen Komplexes“ sei. „Big Sister Johansson“ habe Wissenschaft und Zivilgesellschaft in der EU fast vollständig übergangen, um einen „einzigartigen Zerstörungsangriff auf das digitale Briefgeheimnis und sichere Verschlüsselung“ vorzubereiten.

Britischer Geheimdienst beteiligt

Gleich mit zwei Vertretern saß der britische Geheimdienst GCHQ bei den Beratungen am Tisch. Einerseits direkt über den GCHQ und andererseits über einen Abgesandten des National Cyber Security Centers (NCSC), einer Unterorganisation des Geheimdienstes.

Für den GCHQ hörte die EU-Kommission Crispin Robinson an, er ist technischer Direktor für Kryptoanalyse beim Geheimdienst. Das NCSC vertrat der damalige technische Direktor Ian Levy. Die beiden kennen sich gut: Sie haben unter anderem gemeinsam im Juli 2022 ein Papier veröffentlicht, in dem sie sich für automatische Erkennung von Grooming und Client-Side-Scanning aussprechen, die Technologie hinter der Chatkontrolle. Beide haben in der Vergangenheit wiederholt Vorschläge vorgestellt, wie verschlüsselte Kommunikation geschwächt werden kann. So schlugen sie im Jahr 2019 vor, sogenannte Geister-User in Messenger einzuschleusen.

Von europäischen Regierungsstellen und Behörden waren ein Vertreter von Europol sowie zwei der spanischen Polizei, der Guardia Civil, geladen. Aus der EU-Kommission selbst saßen zwei Vertreter am Tisch: Laurent Beslay hat sich in seiner akademischen Karriere eingehend mit automatisierter Inhalteerkennung sowie mit „Chancen und Risiken digitaler Überwachung“ beschäftigt; inzwischen arbeitet er für die Gemeinsame Forschungsstelle der Kommission. IT-Sicherheitsexpertise hat auch Iwen Coisel eingebracht, der seit rund zwei Jahren im Dienst von Europol steht.

Auffällig ist, dass die EU-Kommission von den neun Regierungsvertreter:innen auch zwei von der australischen Bundespolizei einlud. Hintergrund könnte hier sein, dass Australien seit 2019 ein Gesetz gegen sichere Verschlüsselung anwendet. Australien gehört wie das Vereinigte Königreich, die USA, Neuseeland und Kanada zum Geheimdienstverbund „Five Eyes“.

Einseitige Zivilgesellschaft

Von den gerade einmal neun Vertreter:innen der Zivilgesellschaft stammt mehr als die Hälfte von der umstrittenen Organisation Thorn. Fast jeder fünfte der Expert:innen gehörte der Start-up-ähnlichen Organisation rund um den Hollywood-Schauspieler Ashton Kutcher an. Einer der fünf Vertreter:innen von Thorn war früher obendrein beim FBI tätig, wie sein LinkedIn-Profil verrät. Thorn gibt sich offiziell als gemeinnützige Organisation aus, entwickelt und verkauft aber auch Software zur Erkennung von Dateien, die Darstellungen von sexualisierter Gewalt zeigen.

Die Organisation hat, wie aus Dokumenten und Recherchen hervorgeht, einen sehr guten Zugang zur EU-Innenkommissarin und ist Teil eines millionenschweren Lobbynetzwerkes. In einem Brief, den netzpolitik.org veröffentlicht hat, schrieb sie, dass Thorn und die Kommission „Partner bei der Ausarbeitung dieses starken Vorschlags“ bei der Chatkontrolle-Verordnung gewesen seien.

Die weiteren vier angehörten Vertreter:innen von Nichtregierungsorganisationen sind vom US-amerikanischen National Center for Missing & Exploited Children (NCMEC) und dem Canadian Centre für Child Protection.

Nur wenig Wissenschaft angehört

Nur vier der angehörten Expert:innen gehörten dem Bereich der Wissenschaft an. Einer von ihnen, Hany Farid, ist ein ausgesprochener Befürworter von automatischer Bilderkennung weit über die Bekämpfung von sexualisierter Gewalt gegen Kinder hinaus. Farid hat 2018 für das Counter Extremism Project (CEP) eine Studie erstellt. Das CEP ist eine Organisation mit zahlreichen personellen Verbindungen zu westlichen Sicherheitsbehörden und Geheimdiensten, unter anderem sitzt dort der ehemalige BND-Chef August Hanning im Beirat.

Überschneidungen gibt es auch zu anderen Teilen der Expert:innengruppe: Gemeinsam mit Microsoft hat Farid die Software PhotoDNA entwickelt, die als Industriestandard für die Erkennung von Darstellungen von Kindesmissbrauch gilt. Die Datenbank digitaler Fingerabdrücke wird inzwischen von NCMEC betrieben und von so gut wie allen großen Online-Diensten eingesetzt, um nach Darstellungen von Gewalt gegen Kinder zu suchen.

Zudem ist Farid als Senior Advisor bei der Firma „Truepic“ tätig, die sich auf digitale Forensik von Bildern spezialisiert. Daneben hat er unter anderem für die Defense Advanced Research Projects Agency (DARPA) des US-Militärs ein Projekt zu Medienforensik auf den Weg gebracht.

Zu den weiteren Expert:innen zählte der frühere Facebook-Sicherheitschef Alex Stamos.

An kritischen Stimmen war die EU-Kommission bestenfalls am Rande interessiert. Schon im Jahr 2021 hatten führende Sicherheitsforscherinnen und Kryptografen frühzeitig vor der Chatkontrolle gewarnt. In einem späteren Brief sprachen sich mehr als 450 Wissenschaftler:innen gegen das Projekt aus. Ihr Protest blieb bislang weitgehend ungehört.

So kam die Liste an die Öffentlichkeit

Bei der EU-Kommission hatte das Irish Council for Civil Liberties die Liste der Expert:innen angefragt. Die EU-Kommission hatte deren Existenz zunächst bestritten. Daraufhin hatte sich die Organisation im Dezember 2022 beim EU-Ombudsmann beschwert. Der Ombudsmann entschied nun Ende Oktober, dass die Liste existiert und die EU-Kommission sie hätte herausgeben sollen – was diese bis heute verweigert.

Die Kommission begründete laut Euractiv ihren Schritt mit „Gründen des Datenschutzes und der öffentlichen Sicherheit angesichts der Art der diskutierten Themen“. Unabhängig vom Ombudsmann veröffentlichte der EU-Abgeordnete Patrick Breyer die Liste gestern auf Mastodon. Dem Irish Council for Civil Liberties (ICCL) liegt die Liste noch nicht vor, sie konnte daher offiziell nicht bestätigt werden.

Kris Shrishak vom ICCL hält die Liste auf zweierlei Art für verblüffend: „Einerseits enthält die Liste nur sehr wenige Verschlüsselungsexperten und keine Experten für digitale Rechte, obwohl es sie in der EU in Hülle und Fülle gibt. Auch fehlen Vertreter des europäischen Kinderschutzes. Andererseits enthält sie Mitglieder der australischen Bundespolizei sowie von NCMEC – und von Thorn, die ein persönliches Interesse haben.“

Shrishak hält das ganze Verfahren für undurchsichtig. Er sagt gegenüber netzpolitik.org: „Der gesamte Prozess der Expertenkonsultation und -beteiligung sollte öffentlich sein. Die Art und Weise, wie die Experten ausgewählt werden, sollte öffentlich sein, ebenso wie die Tagesordnung der Sitzungen und die Protokolle. Ein wichtiger Rechtsakt ohne ein transparentes Verfahren, der sich auf eine geheime Expertengruppe stützt, ist nicht akzeptabel.“

Mitarbeit: Zeynep Yirmibesoglu und Leonhard Pitz.

Update 8.11.:
Inzwischen zirkuliert das vollständige Dokument, das wir im Volltext veröffentlichen.


Die Liste der Expert:innen


Last name First name Organization Organization type
Farid Hany University of California, Berkeley Academia
Levine Brian University of Massachusetts Amherst Academia
Preneel Bart Katholieke Universiteit Leuven Academia
Stamos Alex Stanford Internet Observatory Academia
LaMacchia Brian Microsoft Industry
Benaloh Josh Microsoft Industry
Barbosa Norman Microsoft Industry
Davis Sean Microsoft Industry
Harings Johanna Microsoft Industry
Pancini Marco Google Industry
Naruns Natalie Google Industry
Omara Emad Google Industry
Lieber David Google Industry
Hall Stephen MEGA Industry
Cashman Kirstein Emily Thorn NGO
Rust-Smith David Thorn NGO
Starr John Thorn NGO
Boorse Kristin Thorn NGO
Walker Sarah Thorn NGO
DeLaune Michelle NCMEC NGO
Sheehan John NCMEC NGO
Johnston Mark Canadian Centre for Child Protection NGO
Richardson Lloyd Canadian Centre for Child Protection NGO
Boudry Douglas Australian Federal Police Government
Dalins Janis Australian Federal Police/Monash university Government
Coisel Iwen European Commission Government
Beslay Laurent European Commission Government
Carame Soto Jose Luis Spanish Guardia Civil Government
de Dios Gomez Gomez Juan Spanish Guardia Civil Government
Levy Ian NCSC Government
Robinson Crispin GCHQ Government
Steube Jens Europol Government

 

21 Ergänzungen

  1. „Nach Recherchen von netzpolitik.org befürworten die Expert:innen überwiegend eine Ausweitung von anlassloser Massenüberwachung. In Teilen sind sie erklärte Gegner:innen von Ende-zu-Ende-Verschlüsselung. Vertreter:innen der Zivilgesellschaft, die sich für den Schutz digitaler Grundrechte einsetzen, hatte die EU-Kommission offenkundig nicht berücksichtigt.“

    da fehlen einem wirklich die richtigen worte! das soll eine demokratische eu sein?

  2. Welche der Crypto-Experten haben bisher an welchen Projekten mitgewirkt?
    Warum sollte man das wissen?
    Weil die Mitwirkung an der Chatkontrolle-Verordnung quasi einen Verrat darstellt und weiteres Vertrauen in deren Arbeit verwirkt ist.

  3. Wurde die Liste überprüft?
    Wie alt ist die Liste?
    Manche Namen arbeiten nicht mehr für die in der Liste angegebene Organisation.

    1. Ja, die Liste wurde überprüft.
      Das genaue Datum haben wir leider nicht herausgefunden bisher.
      Ja, manche Leute arbeiten woanders mittlerweile.

  4. Die Sicherheitsbehörden hassen es, dass es das Internet – ein freies weltweites Kommunikations- und Datennetz – gibt, aber sie es nicht ohne Rücksicht auf Grundrechte beherrschen und kontrollieren dürfen. Manche rufen als Reaktion darauf ganz offen nach „Verschlüsselungsverboten“, andere erinnern sich, dass wir noch immer in einer Demokratie leben, und gehen den Weg über ein moralisch unangreifbares Framing: dass mit dieser EU-Verordnung nur Kinder gerettet werden, und man nichts als Gutes im Sinn hat!
    Erschreckend war für mich, wie erfolgreich die Befürworter lange Zeit damit waren. Eine etwas breitere, öffentliche Aufmerksamkeit bekam das Thema erst reichlich spät, und viele wissen immer noch nicht was die Chatkontrolle wirklich bedeuten würde.

  5. Es ist keineswegs zu hoch gegriffen, wenn man an dieser Stelle konstatiert:

    Die EU-Kommission hat sich in den letzten zwanzig Jahren immer mehr zu einer zu Korruption, zu Vetternwirtschaft neigenden und den Bürgerwillen komplett ignorierenden Instanz entwickelt.

    Angesichts dieser erschreckenden Erkenntnisse ist es höchste Zeit, die Frage nach dem Sinn und der Existenzberechtigung der EU-Kommission zu stellen.

    Will die EU auf demokratischer Basis agieren und ihre einst in ihrer Charta proklamierten Ziele verwirklicht sehen, muss sie dringend und grundlegend in Richtung Transparenz und Vertrauen schaffender Weise reformiert werden.

    Eine Abschaffung der Kommission ist unter den gegebenen Umständen mehr als wünschenswert.

    1. Nunja, der euopaeische Waehler hat in den letzten zwanzig Jahren in der Mehrheit konsequent entsprechende Regierungen gewaehlt.

      Muss man halt aendern.

      Die EU braucht sicher weitere Demokratisierung. Aber auch dafuer muss man aufhoeren, Parteien zu waehlen, die dagegen arbeiten.

      1. „Aber auch dafuer muss man aufhoeren, Parteien zu waehlen, die dagegen arbeiten.“

        Ich bin gar nicht so sicher, dass Demokratie so funktionieren kann. Der Schutz der Demokratie selbst und das Aufrechterhalten entsprechender Prozesse und deren Funktion, erfordert möglicherweise tief verankerte Mechanismen und Prinzipien, die auch solchen babyeierleichten angriffen besser standhalten, wie wir sie jüngst überall auf der Welt gesehen haben.

        In derart übermanipulierten Zeiten ist es allerdings wohl witzlos, über die moderierende Qualität derer zu schwadronieren, denen es „gut genug“ geht und die „zufrieden“ sind. In der Theorie soll sich gar nicht zuviel auf einmal ändern, um Stabilität zu erreichen und zu halten. Allerdings fehlt das Übernehmen von Verantwortung, nebst belastbarer langftristiger Strategien, damit das dann nicht gerade wegen der „Moderierung“ implodiert. Posten zu besetzen ist nicht per se das Übernehmen von Verantwortung, nach Umfragen handeln auch nicht, entrückte Zahlenziele hinkosmetisieren auch nicht, falls es da ein Mißverständnis gegeben haben sollte. Das soll keine Schwarzmalerei bedeuten, sondern den Schutzaspekt herausstellen, bei dem es offenbar viele nicht belastbare, sowie unverantwortliche Strategien gibt, um es positiv formuliert zu haben (Vgl. Chatkontrolle und Bekämpfung von Desinformation. Dort haben die Hauptnutznießer Strategien, aber intrinsisch nicht so viel mit Demokratie am Hut, außer vielleicht bei den Geldflüssen).

        Das Absichern der Demokratie wiederum mit Gewählten vom Schlage unserer und jüngster Zeiten umzusetzen, naja, huhu…

      2. Ist aber nicht so einfach: ich habe eine Partei gewählt die gegen VDS und Ausweitung der Massenüberwachung ist. Bekommen habe ich: KEINE Überwachungsgesamtrechnung (die im Koalitionsvertrag noch versprochen wurde), dafür den Versuch eine Chatkontrolle auf EU-Ebene an der Öffentlichkeit vorbei durchzusetzen und neue Wünsche nach einer deutschen VDS durch die Innenministerin Faeser.

        1. ups, das sollte eine Antowrt auf „Anonymous (8. November 2023 um 11:00 Uhr)“ sein, nicht auf „Jedi Ritter“.

  6. „Britischer Geheimdienst beteiligt“

    Bruder Zufall kehrt vom Donnerbalken wieder, und siehe da: ein Klopapierfetzen an der Ferse unser nützlichen europäischen Projektandererleutemitlaufenden!

    Außereuropäische Dienste warten nur auf solch grundlegendes Versagen. Man stelle sich vor, man hätte Hardware und Software von irgendwo, und erzwingen jetzt das Aufbrechen von Verschlüsselung FÜR UNSERE BÜRGER, zur hellen Freude aller Dienste von irgendwo. Bald wird der Amerikaner eine Warnmeldung erhalten, dass seine Verbindung nicht sicher sei, wegen des europäischen Gesprächspartners. Oder wie läuft das dann? Kommt die Deppenfirewall (Verfassung 1 dort vs Gesetz hier (das gegen Verfassung 2 hier, die aber nicht schnell genug…)).

    Kann man so kacken?

  7. Danke für eure Aufklärung so wichtig! Leider läßt es mich immer mehr an Demokratie , politischer Willensbildung, Transparenz zweifeln…

  8. Der Absatz zur Beteiligung der Zivilgesellschafften ist für mich gerade etwas verwirrend.
    Erst ist die Rede von „[…]mehr als die Hälfte von der umstrittenen Organisation Thorn“.
    Dann folgt „Fast jeder fünfte der Expert:innen gehörte der startupähnlichen Organisation rund um den Hollywood-Schauspieler Ashton Kutcher an.“
    Und dann „Einer der fünf Vertreter:innen von Thorn“
    War die Beteiligung von Thorn Vertretern im zivilgesellschaftlichen Teil jetzt ein fünftel, oder mit 5 von 9 mehr als die Hälfte?

    1. Mehr als die Hälfte der NGO-Expert:innen von Thorn, fast jeder fünfte Experte gesamt von Thorn.

  9. Ist ja vielsagend, dass selbst unter den gerade mal vier Akademikern, mit denen die *Europäische“ Kommission geredet haben soll, nur ein einziger Europäischer ist (dafür aber ein ausgesprochener Kritiker dieser ganzen Vorhaben, falls es ein Trost ist).

    1. Nicht, wenn man auf Patrick Breyer ( MEP ) und auf netzpolitik.org schaut (ich schließe mich dem Dank oben an) ! Wir müssen halt die Partei, die vermutlich oben bei MRT gemeint war (von uns gewählt, GEGEN Überwachung bei uns, jetzt Teil der deutschen Regierung), noch etwas mehr drängen, dass Ylva Johansson jetzt ihren Job verlieren muss, und dass statt dessen jemand an diese Stelle rücken muss, der Überwachung verhindert, in der EU Kommission!

      1. > die Partei, die vermutlich oben bei MRT gemeint war von uns gewählt

        Wieder so ein übergriffiges „wir“. Mein Mitgefühl gilt den Leichtgläubigen, die an Wahlversprechen glauben wollten.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.