Signal-Chefin zur ChatkontrolleDie EU kann diesen Rückschritt bei den Menschenrechten stoppen

Auf der ganzen Welt fahren Regierungen gemeinsam mit KI-Unternehmen einen Angriff auf das Recht auf Privatsphäre. Die Gefahr eines Dammbruchs durch die Chatkontrolle ist nicht hypothetisch, warnte Signal-Chefin Meredith Whittaker in Brüssel. Wir veröffentlichen ihre Rede als Gastkommentar.

Hand hält ein Smartphone, auf dem ein digitales Auge zu sehen ist.
Die Chatkontrolle würde das Ende sicherer und vertraulicher Kommunikation bedeuten. (Symbolbild) – Public Domain generiert mit Midjourney

Wie Sie wissen, befinden wir uns inmitten eines Sturms globaler Angriffe auf das Menschenrecht auf Privatsphäre – mit Regierungen, Sicherheitsdiensten, NGOs, die gleichzeitig KI-Firmen sind und die mit viel Geld und wenig Transparenz daran arbeiten, die wenigen sicheren Häfen zu verdrängen, die wir uns gegen das grausame Überwachungsgeschäftsmodell und die Staaten, die davon profitieren, geschaffen haben.

Ich bin seit fast zwanzig Jahren in der Technologiebranche tätig und habe mich immer wieder mit Fragen des Datenschutzes befasst. Ich habe viele Angriffe von Regierungen auf die Verschlüsselung beobachtet. Aber ich habe noch nie etwas gesehen, das so vorsätzlich irreführend war wie die Kampagne, die ich jetzt sehe.

Das Beispiel Großbritannien alarmiert

Ich komme gerade aus dem Vereinigten Königreich, das an der Spitze der Kampagne gegen Verschlüsselung und das Recht auf Privatsphäre steht. Was ich dort gesehen habe, ist alarmierend. Anti-Intellektualismus und Propaganda bestimmen sowohl die populäre als auch einen Großteil der sogenannten Expertendiskussion. Ein Hauch von Hysterie und Bedrohung liegt über jedem Versuch, eine sinnvolle Diskussion zu führen – einschließlich der Diskussion über bewährte Ansätze zur Unterstützung von Kindern, die sich von der Fixierung auf die Online-Überwachung unterscheiden. Es wird beängstigend und schwierig, die Menschenrechte zu verteidigen, wenn der Eindruck entsteht, dass man damit Dämonen und Monster verteidigt. Unter diesen harten Bedingungen war eine demokratische Beratung über diesen unglaublich schwerwiegenden Verstoß gegen Rechte kaum möglich. Und ich glaube nicht, dass dies ein Zufall war.

Dieser Hauch von Hysterie verdeckt die unangenehme Tatsache, dass die Technologie für das, was sie vorschreiben wollen, in keiner praktikablen Form existiert. Entgegen den Behauptungen der Organisationen, die sie vermarkten, ist es nicht möglich, die Ende-zu-Ende-verschlüsselte Kommunikation aller sicher und privat zu scannen, um verbotene Äußerungen zu kennzeichnen. Das Gegenteil zu behaupten, ist magisches Denken.

Aber selbst unter diesen Bedingungen haben sich viele im Vereinigten Königreich zu Wort gemeldet. Die Menschenrechtsgemeinschaft, die akademische Expertengemeinschaft, Bürgerrechtsorganisationen und viele andere im Vereinigten Königreich haben sich im Vorfeld der Verabschiedung des Gesetzes zu Wort gemeldet.

Amnesty machte deutlich, dass ihre weltweite Arbeit durch jede Maßnahme zur Untergrabung der Ende-zu-Ende-Verschlüsselung gefährdet würde. Da die Kommunikation nicht innerhalb einer bestimmten Gerichtsbarkeit stattfindet, wären auch die verletzlichen Menschen, die unter autoritärer Überwachung leben und mit denen Amnesty kommuniziert, in Gefahr, ihrer Privatsphäre beraubt und bloßgestellt zu werden.

Stonewall, eine Organisation, die sich für LGBTQ einsetzt, äußerte sich ähnlich und verwies auf ihre globale Arbeit und die 64 Länder, in denen eine LGBTQ-Identität kriminalisiert wird. Und viele, die mit der Ukraine vertraut sind äußerten sich ähnlich besorgt. Die dortige Regierung nutzt den Messenger Signal als zentrale Kommunikationsinfrastruktur.

„Künstliche Intelligenz ist vor allem ein Marketinghype“

Werkzeuge ungeeignet für den Zweck

Ein ganzer Chor von Expert:innen sprach auch über den falschen Marketing- und KI-Hype, auf dem die Annahmen des Gesetzentwurfs beruhen. Das unabhängige Forschungszentrum REPHRAIN, das von der britischen Regierung beauftragt wurde, Prototypen von KI-Scannern zu prüfen, die für eine solche Verwendung vorgeschlagen wurden, erklärte auf höchst unorthodoxe Weise, dass diese Werkzeuge für den Zweck nicht geeignet seien, und schloss sich damit einem langjährigen Expertenkonsens an.

Selbst das Billionen-Dollar-Unternehmen Apple Inc., das im Jahr 2021 kurzzeitig ein Client-Side-Scanning für verschlüsselte Daten einsetzte, bevor sich herausstellte, dass sein System schwerwiegende Schwachstellen aufwies, erklärte öffentlich, dass sie erkannt hätten, dass es schlicht nicht möglich sei, ein solches System zu bauen, das sowohl privat als auch sicher sei. Am Ende des Prozesses sah sich sogar die britische Regierung selbst gezwungen einzuräumen, dass es keine Technologie gibt, mit der die Ende-zu-Ende-verschlüsselte Kommunikation sicher und vertraulich gescannt werden kann.

Erschreckend war für mich, dass der Gesetzesentwurf trotz dieser Feststellung der britischen Regierung vorangetrieben wurde. Mehrere Personen, mit denen ich in der Regierung gesprochen habe, winkten einfach ab – die politische Trägheit würde ungeachtet der Gefahren, des Schadens und der Torheit weitergehen, sagten sie und schauten in die Ferne. Man sagte uns, das Innenministerium wolle dieses Gesetz und die damit verbundene Macht, die Verschlüsselung zu untergraben. Selbst nachdem der Vorwand erodierte und die Behauptungen bis zur Unkenntlichkeit überprüft wurden, wurde das Gesetz weiter auf den Weg gebracht. Und auf diesem Weg wurden ernsthafte Risse in den demokratischen Grundlagen des Vereinigten Königreichs sichtbar.

Die EU kann das stoppen

Die EU hat die Chance, diese Flut zu stoppen und sich von der Absurdität abzuwenden, die die Situation im Vereinigten Königreich bestimmt hat. Wenn sie das nicht tut, weiß ich nicht, was wir tun sollen, denn die Zustimmung der EU zu einem so tiefgreifenden Rückschritt bei den Menschenrechten – und einer so bedeutenden Unterstützung der Überwachung im Stil von Big Tech – würde allen anderen die Tür öffnen.

Ich komme nicht aus einem Land, in dem wir unseren Institutionen so unbesorgt vertrauen können wie hier. In den USA sitzen jetzt eine Frau namens Jessica Burgess und ihre Tochter im Gefängnis. Sie wurden zu einer Straftat verurteilt, weil sie im Bundesstaat Nebraska eine kriminalisierte reproduktionsmedizinische Versorgung in Anspruch genommen haben. Facebook-Nachrichten, die von dem Unternehmen zur Verfügung gestellt wurden, waren ein wichtiges Beweismittel für die Verurteilung von Jessica und ihrer Tochter.

Eine Welle von Bücherverboten schwappt weiterhin über viele US-Bundesstaaten, während ein Gesetz in Florida vorschlägt, dass Journalist:innen, die über Lokalpolitik berichtet, sich beim Staat registrieren müssen. Und Senatorin Marsha Blackburn schlug vor kurzem vor, dass eine ähnliche Überprüfung wie in der EU auf LGBTQ+-Inhalte ausgedehnt werden sollte. Die Gefahr einer schiefen Ebene ist für mich nicht hypothetisch.

Damit soll nicht gesagt werden, dass die EU ihren Institutionen völlig vertrauen sollte. Überall, wo diese Gesetze durchgesetzt werden, gibt es viele interessierte Technologieunternehmen (von denen sich einige als Nichtregierungsorganisationen ausgeben) und Regierungsstellen, die es kaum erwarten können, ihre Gewinne und/oder ihre Macht auszuweiten. Jüngsten Enthüllungsberichten zufolge plädiert EUROPOL gegenüber der EU-Kommission bereits für eine Ausweitung des Scannens, da es „andere Kriminalitätsbereiche gibt, die von einer Aufdeckung profitieren würden“. Den Sitzungsprotokollen zufolge reagierten die Kommissar:innen nicht mit Entsetzen, sondern mit strategischer Vorsicht und wiesen EUROPOL darauf hin, dass es „angesichts der vielen sensiblen Aspekte des Vorschlags realistisch sein muss, was zu erwarten ist.“

Behauptungen ohne Beweise

Wenn institutionelle Vorsicht im Zusammenhang mit der Regierung gerechtfertigt ist, dann ist Misstrauen gegenüber den Unternehmen, die mit dem Hype um KI als Mittel zum Schutz von Kindern hausieren gehen, geradezu erforderlich. Es ist zutiefst ironisch, dass dieselbe Regierung, die mit dem KI-Gesetz und dem Digital Markets Act (DMA) auf eine sinnvolle Regulierung der KI drängt, auch auf einen unbegründeten KI-Hype hereinfällt, wenn es um Kinder geht. Und ja, KI-Hype ist die treffendste Beschreibung des Marketings und der unbegründeten Behauptungen, die über das clientseitige Scannen für verschlüsselte Kommunikation aufgestellt werden.

Erst letzte Woche veranstalteten das KI-Unternehmen und die Nichtregierungsorganisation Thorn ein Webinar, um EU-Politiker:innen KI-Technologien zur Untergrabung von Verschlüsselung schmackhaft zu machen, wobei eine ganze Sitzung den CEOs von KI-Unternehmen gewidmet war, um „Lösungen zur Erkennung in Ende-zu-Ende-verschlüsselten Umgebungen“ zu diskutieren. Da dies als eine Intervention zum Schutz von Kindern dargestellt wurde, wird es nicht mit der Skepsis behandelt, die den meisten anderen Lobbyaktivitäten im Bereich Technik sonst entgegengebracht wird. DragonFlAI, eines der Unternehmen, die eingeladen wurden, ihre Technologie in dem Webinar zu vermarkten, steht in Verbindung mit dem Biometrie-Riesen Yoti.

DragonFlAI behauptete – ohne Beweise zu liefern – dass ihre Technologie es ermöglicht, „Nacktheit und Alter zusammen in e2ee zu erkennen“. Aber auch hier gilt: Es gibt keine Technologie, die das kann. Die Technologie, die entwickelt wurde – einschließlich der Produkte von DragonFlAI – wurde als nicht praktikabel, fehlerbehaftet und letztlich als unsicher und die Privatsphäre verletzend kritisiert. 

Die Unternehmen, die mit diesen Diensten hausieren gehen, verkaufen technische Lösungen für soziale Probleme (und bieten den Sicherheitsdiensten dabei eine verdeckte Hintertür zu verschlüsselter Kommunikation). Sie setzen Millionen von Dollar ein, um den politischen Prozess in einem alarmierenden Ausmaß zu beeinflussen, und im Falle der EU sind einige Regierungsmitglieder laut jüngsten Berichten bereitwillige Teilnehmer, die mit diesen Unternehmen und ihren Netzwerken auf höchst widersprüchliche Weise zusammenarbeiten.

Man kann es noch so oft sagen – KI hat kein Bewusstsein, sie ist nicht übermenschlich, und KI-gestütztes Scannen kann nicht gleichzeitig den Datenschutz und die Sicherheit gewährleisten und die gesamte private Kommunikation überwachen. Es ist die Aufgabe der Regulierungsbehörden, dies zu verstehen.

„Wir würden lieber gehen“

Da sich der Rauch lichtet und der finanzielle Einfluss derjenigen, die die Verschlüsselung aus Profit- und Machtgründen untergraben wollen, immer deutlicher wird, bin ich vorsichtig optimistisch, dass die EU der Ort sein kann, an dem diese Angriffswelle aufhört. Denn wenn diese Welle der Gesetzgebung über das Vereinigte Königreich hinaus greift, ist es nicht klar, ob Signal überleben könnte. Genauso wie sich unser Engagement, ein Werkzeug für sinnvolle private Kommunikation bereitzustellen, nicht je nach Region ändert, ändert sich auch unsere Position zu dieser Gesetzgebung nicht. Wir sind ein gemeinnütziges Unternehmen, was bedeutet, dass wir uns ganz auf unsere Prinzipien und unsere Mission konzentrieren können, ohne dass uns Aktionäre oder Risikokapitalgeber:innen zu Kompromissen zwingen.

Wie im Vereinigten Königreich, wie im Iran, wie überall: Wir werden weiterhin alles in unserer Macht Stehende tun, um sicherzustellen, dass die Menschen in der Europäischen Union Zugang zu Signal und zur privaten Kommunikation haben. Aber wir werden die Datenschutz- und Sicherheitsverpflichtungen, die wir den Menschen in der EU und überall sonst auf der Welt gegenüber eingegangen sind, nicht untergraben oder gefährden. Wir werden niemals eine Hintertür einbauen oder auf andere Weise die Verschlüsselung untergraben, die die Sicherheit der Menschen gewährleistet, die Signal nutzen. Wir würden lieber gehen als das zu tun.

Der vorliegende Text ist der Vortrag, den Meredith Whittaker am 23. September auf einer Presseveranstaltung zu Verschlüsselung und Überwachung in Brüssel gehalten hat. Wir haben den Text leicht gekürzt. Eingeladen hatte EDRi, ein Zusammenschluss von Bürgerrechtsorganisationen, die sich dem Datenschutz und den digitalen Freiheitsrechten verschrieben haben.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Das eigentlich schlimme daran (an den Vorhaben, insbesondere an der „Chatkontrolle“) ist die mutmaßliche Lüge in der Sache. Das Argument „Kindesmissbrauch“ wird ohnehin schon seit Jahren für alles Mögliche vorgeschoben, aber hier so perfide, dass das wirklich niemand mehr glaubt. Und Europol(1) sagt jetzt schon, dass es alles an anfallenden Daten sammeln und verarbeiten will, weit schon bevor das Gesetzt überhaupt beschlossen wurde. Hier soll einer noch glauben, dass das alles nur für das Wohl der Kinder dienen soll, wenn jetzt schon erhebliche Begehrlichkeiten vorliegen und man knallhart faktisch grenzenlosen Zugriff auf alle Daten (für mit Sicherheit alles Mögliche an „Verbrechen“) fordert?

    (1) https://netzpolitik.org/2023/interne-dokumente-europol-will-chatkontrolle-daten-unbegrenzt-sammeln/

    1. Es spricht auch Bände wenn man wie das EU-Innenkommissariat bei den vorgebrachten Bedenken gegen die Chatkontrolle von „Sensibilitäten“ spricht.

      1. Den Neusprech haben wir bei den „Volksparteien“ schon seit einiger Zeit. Wenn es auch Gesichtswahrungssprech sein mag, so finde ich dennoch erschreckend, wie viel die Formulierungen wie „der Bürger muss es nur verstehen“, „wir müssen unsere Punkte nur besser erklären“, u.ä., parallel zum „Starker-Mann-Starkreden-Problem“ in Politik und Presse.

        Das hat man die meiner Meinung nach zu lange machen lassen.

  2. Ich fänd gut wenn sich die Signal-Chefin mal der Frage widmet warum wir Linux-User seit fast einem Jahr kein Trayicon mehr haben. Darüber hinaus reden wir bei Signal-Desktop mittlerweile von 654 offenen Issues. Diese Software ist der letzte Dreck. Bei all den QS-Problemen die die haben: wer glaubt denn ernsthaft dass diese Bude eigentlich in der Lage ist sichere Krypto zu implementieren?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.