Aus Dokumenten der belgischen Ratspräsidentschaft geht hervor, dass sichere und die Privatsphäre schützende Dienste besonders im Visier der geplanten Chatkontrolle stehen sollen. Nach dem Motto „Je sicherer, desto mehr Chatkontrolle“ führen Sicherheitsfeatures wie Anonymität oder Ende-zu-Ende-Verschlüsselung dazu, dass eine andere Risikobewertung vorgenommen wird.
Die belgische Ratspräsidentschaft hatte zuletzt einen „Kompromissvorschlag“ bei der Chatkontrolle ins Spiel gebracht, der technisch die Quadratur des Kreises versucht und nichts an der Tatsache einer anlasslosen Massenüberwachung ändert. Dieser Vorschlag hat bei den Verhandlungen im Rat nicht zu einer Einigung geführt, wie Dokumente belegen, die netzpolitik.org veröffentlicht hat.
Die EU-Kommission fordert eine anlasslose und massenhafte Chatkontrolle und hat eine entsprechende Verordnung vorgeschlagen. Das EU-Parlament kritisiert diese Massenüberwachung und fordert, die Chatkontrolle auf unverschlüsselte Inhalte von Verdächtigen zu beschränken. Die EU-Staaten sind gespalten. Manche Länder unterstützen den Vorschlag der Kommission, andere eher die Position des Parlaments. Derzeit sieht es so aus, als müsse sich die Ratspräsidentschaft etwas Neues einfallen lassen, um eine Einigung erzielen zu können.
„Bestätigt all unsere Bedenken“
Laut einer Präsentation aus dem März, die wir veröffentlichen, soll es vier Risikostufen geben, in die Dienste kategorisiert werden sollen. Je nach Kategorisierung ergeben sich verschiedene Maßnahmen, Aufdeckungsanordnungen und Überwachungspflichten. In der Präsentation wird dies als ein Ansatz verkauft, der „gezielter“ sein soll als die vorherigen Versionen der Verordnung. In einem weiteren eingestuften Dokument aus dem Februar 2024, das wir veröffentlichen, werden diese Kategorisierungen in Textform detaillierter erklärt.
Für Elina Eickstädt, Sprecherin des Chaos Computer Clubs, bestätigen die Dokumente „alle unsere Bedenken“ und stellten keine Verbesserung dar. „Ganz im Gegenteil zeigen sie, dass jegliche Technologie, die dem Schutz der Privatsphäre dient, zu schärferen Aufdeckungsanordnungen führt“, so Eichstädt gegenüber netzpolitik.org. „Es ist eine Illusion zu glauben, dass mit Hilfe dieses Umsetzungskatalogs differenziertere oder gezieltere Überwachung erfolgen kann.“
Der Vorschlag der belgischen Ratspräsidentschaft stößt auch auf Widerstand in der Zivilgesellschaft: 48 Organisationen aus ganz Europa rufen in einem offenen Brief dazu auf, diesen „faulen Kompromiss“ abzulehnen.
Die Organisationen und Einzelpersonen kommen in ihrem offenen Brief zu einem ähnlichen Schluss: „Trotz einiger nomineller Änderungen des Rahmens für die Risikokategorisierung erlaubt der neue Vorschlag nach wie vor die Anwendung von Aufdeckungsanordnungen auf breiter Basis und ohne gezielte Ausrichtung.“
Breiter Widerspruch gegen die Chatkontrolle
Die Chatkontrolle, die sich laut der EU-Kommission gegen Darstellungen von Kindesmissbrauch richten soll, hat breiten Widerspruch hervorgerufen. Dabei ist auffällig, dass der Deutsche Kinderschutzbund wie auch Vertreter:innen von Ermittlungsbehörden das anlasslose Durchleuchten privater Dateien und Kommunikation gleichsam als unverhältnismäßig ablehnen. Diese Kritik äußern auch weltweit führende IT-Sicherheitsforscher:innen, zahlreiche Wissenschaftler:innen und der Menschenrechtskommissar der Vereinten Nationen.
Die Chatkontrolle wird auch von europäischen und deutschen Datenschutzbehörden sowie von mehr als 100 internationalen Digital- und Bürgerrechtsorganisationen abgelehnt. Tech-Firmen wie Apple halten es mittlerweile für technisch unmöglich, Daten automatisch zu scannen, ohne dabei die Privatsphäre und die IT-Sicherheit zu gefährden. In deutschen Fußballstadien protestieren Fans gegen diese neue Form der Massenüberwachung. Auch zwei Drittel aller Jugendlichen in Europa lehnen die Chatkontrolle ab.
Bei Jurist:innen fällt das Projekt ebenfalls durch: So warnt der Deutsche Anwaltsverein vor einem „massiven Eingriff in die Freiheitsrechte“, während der Rechtsausschuss des irischen Parlaments kein gutes Haar an der Chatkontrolle lässt.
Rechtlich begründete Kritik am Vorhaben kommt auch vom Juristischen Dienst des EU-Rats, der die Chatkontrolle für rechtswidrig hält. Eine Studie des Wissenschaftlichen Dienstes des EU-Parlaments kritisiert die Pläne ebenfalls scharf – und sogar eine Bewertung der EU-Kommission warnt vor dem Vorhaben des eigenen Hauses.
Update 14:37 Uhr:
Der Abgeordnete der Piraten im Europaparlament, Patrick Breyer, schreibt in einer Pressemitteilung:
Ausgerechnet die bisher datenschutzfreundlich anonym nutzbaren Kommunikationsdienste wie Protonmail sollen per Verpflichtung zur Chatkontrolle zu den extremüberwachtesten Diensten werden. Ausgerechnet die bisher sicher verschlüsselten Messengerdienste wie Signal sollen durch verpflichtendes ‚client-side scanning‘ zu Spionen auf unseren Smartphones werden.
Zuerst waren es „kein Gesetz für IT-Freelance“. Es blieb irgendwie Zufall, wie man warum als was eingestuft wird. Also angestellt bleiben und Nägel kauen.
Dann kam die EU-Urheberrechtsreform, und vom Verhalten der Politik war jeder Deteketions-KI sofort klar, wolang es geht. Es ist noch nicht umgesteuert worden.
Wer Nutzern gewisse Garantien geben will, kann es einfach nicht. No-Deal-Zone. Bleibt nur der Vergleich mit anderswo. USA drehen komplett ab, Abhängige halten dann wohl geforderte Körperteile hin. Dennoch: Strategie irgendwo? Selbst mit totaler Überwachung fällt die EU hinten runter, wenn Kompetenz zum Einschätzen fehlt, und z.B. geschäftsschädigende Beschlagnahmungen die Folge sind. Diese Gesetze stellen sicher, dass es kaum wirksamen Geschäftsmodelle außer Big-Tech gibt. Nischen werden ausgekehrt. Erinnert an die Idee, Großindustrie zu bevorzugen, und jedem Dorf eine angepasste Stahlschmelze hinzustellen. Wer hat das noch mal damals versucht, und was ist daraus geworden?
Dass diese Kategorisierung/ Klassifizierung so ausfällt, war eigentlich klar.
Hat da ernsthaft jemand was anderes erwartet?
Keine Bewertungen bzgl Nutzerzahlen, Art der Nutzer, bereits ereignete ernsthafte Vorfälle, bereits getroffene Maßnahmen der Provider gegen Bedrohungen…
Einfach nur quasi:
„Je stärker der Dienst versucht, Menschen zu schützen und ihre Grundrechte zu wahren, umso höher ist das Risiko, dass er darstellt“
Daran sieht man einmal mehr, in welcher Welt die Chatkontrolle-Befürworter leben, sie es sich möglichst einfach machen wollen und sie niemals das Ziel hatten (bzw haben werden), irgendwen zu schützen.
Dazu dann die Enthüllung, dass diese EU-Spionagezentrale nichts zum Schutz von Kindern tun soll
https://www.patrick-breyer.de/leak-eu-innenminister-wollen-sich-selbst-von-der-chatkontrolle-ausnehmen/
So langsam müsste es auch der letzte kapiert haben (theoretisch).
Wer es immer noch nicht kapiert, dem ist nicht mehr zu helfen…
> „Je stärker der Dienst versucht, Menschen zu schützen und ihre Grundrechte zu wahren, umso höher ist das Risiko, dass er darstellt“
Oder noch fieser formuliert: „Je mehr ein Dienst das beschützt, was wir beschützen sollten [lies: Grund-, Bürger- und Menschenrechte], desto stärker ist er unser Feind.“
Als Weckruf würde ich es befürworten, dass das Norwegische Nobelkommittee Eier beweist und der EU den Friedensnobelpreis mit dem Argument aberkennt, dass eine EU, in der so Dinge wie Chatkontrolle und biometrische Überwachung praktiziert werden, ihn eindeutig nicht verdient hat.
Für den Streber, der andere gerne belehrt (lies: Länder wie China und Russland kritisiert) gibt es kaum etwas Schlimmeres als selber vom Klassenlehrer vor versammelter Mannschaft zur Sau gemacht zu werden.
Der Preis ist aber keine Aktie. Er wird für Vergangenes verliehen, wenn auch manchmal etwas Hoffnung für die Zukunft mit einfließt.
Daher ist der Preis „historisch“ zu sehen. Es steht jedem Preisträger frei, danach zum Serienkiller zu mutieren. Dann steht eben das in den Geschichtsbüchern.
Man könnte jetzt ein Treffen machen, wo sich Nobelpreisträger auf die Schultern klopfen können, und wer mordet o.ä., wird nicht mehr eingeladen :(. Kommt sowieso keiner, weil keiner dafür Zeit hat. Dann müsste man sonst den Preis über 20 Jahre lang auszahlen o.ä., dann ist der Impakt aber wiederum erwartbar geringer. Es ist ja auch kein Förderpreis für gute Produkte o.ä., wie gesagt… historisch.
Da sollte man auch mal fragen was passiert wenn russische oder chinesische Geheimdienste die Chatkontroll hintertüre Hacken und damit massiven Schaden anrichten. Irgendwie ist da das Vorgehen der verantwortlichen doch schon wahnsinnig verantwortungslos.
Die Position der Ratspräsidentschaft zeigt ganz deutlich, was sie von Bürgerrechten, Demokratie und Privatheit hält. Die EU driftet immer mehr in den Totalitarismus ab und kann sich kaum mehr Demokratie nennen. Sie hat die ex Stasi bereitsrechts überholt und ist dabei mit China, das sie so gerne kritisiert, gleichzuziehen. Ich bin als Nichtnutzer von Messengern nicht direkt betroffen und bleibe bei der E2E verschlüsselten Email. Einzig die im Klartext übertragenen Metadaten (im wesentlichen die eMailadresse des Empfängers) bleibt sichtbar. Der Betreff enthält nur „Fuck You Spies!“. Die Zertifikate sind gepint und die CA unter meiner alleinigen Kontrolle. Man sieht auch an den QWACs, daß die EU die totale Man-in-the.Middle Überwachung vorsieht.
> Einzig die im Klartext übertragenen Metadaten (im wesentlichen die eMailadresse des Empfängers) bleibt sichtbar.
Der „Betreff“ zählt zu den Metadaten und ist damit stets einsehbar und auswertbar. Das wird immer gerne vergessen.
Den nächsten Satz auch zu lesen hätte geholfen…
FYI Red/black concept Red/black box
Das red/black concept (dt. rot/schwarz-Konzept) beschreibt eine sichere Abschottung in kryptografischen Umgebungen zwischen den unverschlüsselten (Plaintext) heiklen oder klassifizierten Informationen (red signals / rote Signale) von den verschlüsselten Informationen, auch Ciphertext genannt (black signals / schwarze Signale).
Im NSA-Jargon werden Verschlüsselungsgeräte oft „blackers“ genannt, da sie rote (unverschlüsselte) Daten in schwarze (verschlüsselte) Signale konvertieren. Der TEMPEST-Standard schreibt in NSTISSAM Tempest/2-95 eine Mindestabschirmung oder eine physikalische Mindestdistanz zwischen Kabeln oder Hardware für Red- und Black-Signale vor.
https://web.archive.org/web/20070408221244/http://cryptome.org/tempest-2-95.htm
Frag doch mal die Maus >> (NSA :)
TL;DR: Meine kluge Frau meint dazu, ich solle vorweg sagen, dass ich diese Ideen der Kommission einfach für kompletten Schwachsinn halte.
Gekürzte Langfassung ;-)
Ich weiß nicht so recht, wie ich das einordnen soll. Manchmal muss man Pfeifen einfach vor die Wand rennen lassen. Gegen Unsinn läßt sich nicht argumentieren.
So um 1690 wurde das Brechen des Briefgeheimnis mit einem Staupenschlag bestraft. Wenig später (1742) führte Frankreich die Todesstrafe dafür ein. Ungestörte Kommunikation ist ein Menschenrecht. Okay, das war nun nicht als Vorschlag für die „noch Kommissionspräsidentin“ gedacht.
Doch die Kommission weiß es besser als die Menschen seit 300 Jahren. Sie führt Missbrauchsdarstellungen von Kindern im Internet an, weigert sich aber sinnvolle Maßnahmen zum Kinderschutz zuzulassen. So nimmt man sich wohl jegliche Legitimation.
(… Begründungen, technischen und juristischen Teil gestrichen, zu lang …)
Meinetwegen schreibt MS, Google und Co vor, dass sie private Daten weiter ausschnüffeln müssen. Die leben ja davon und lassen die Sektkorken knallen. Nur redet dann nicht von Werten in Europa, wenn ihr Euro, Macht und Kontrolle meint. Heult nicht rum, wenn ihr vor die Wand rennt. Und das kommt so sicher wie das Amen in der Kirche.
Dumm nur, dass da noch die Kinder sind, von denen die Beweisfotos die Übergriffe belegen. Da tut die Kommission nichts als Nebelkerzen zu werfen und die Betroffenheit der Menschen für unrealistische Überwachungsphantasien und Propaganda zu missbrauchen. Keinem Verbrecher wird das auch nur minimal jucken, was die EU da plant. Euer Verhalten, liebe Kommission und lieber Rat ist nicht nur undemokratisch. Es ist fahrlässig.
Und WhatsApp und Friends? Who cares! Wir haben euch gewarnt.
Was soll ich da noch sagen? Ich weiß nicht so recht, wie ich das einordnen soll?
Sehen wir es so: wenn man einen Eimer, egal was drinnen ist, mit Kacke befüllt, und immer weiter befüllt, läuft er irgendwann über. Erkennt man dann Einzelheiten von was noch im Eimer ist oder drinnen war? Meißtens dürfte man nur wieder Kacke über den Rand fließen sehen.
Dafür gibt es Spezialisten. Die machen das solange, wie es geht, bzw. wie sie an der Macht sind. Zukunft ist nicht eingeplant, aber Kacke sollen wir sein.
> Doch die Kommission weiß es besser als die Menschen seit 300 Jahren. Sie führt Missbrauchsdarstellungen von Kindern im Internet an, weigert sich aber sinnvolle Maßnahmen zum Kinderschutz zuzulassen. So nimmt man sich wohl jegliche Legitimation.
Sie beklagt die Missachtung von Menschenrechten und betreibt es gleichzeitig selber. Und (wie jemand weiter oben erwähnt hat) hat die EU genau wie Kissinger und Obama trotz moralischer Verkommenheit noch immer den Friedensnobelpreis inne. Über „Jahrzehnte des Friedens“ als Totschlagargument kann ich nur hohl lachen angesichts von Polen, Ungarn und Belarus als Mitgliedern, die man einfach nicht achtkantig rauswerfen will.
> Euer Verhalten, liebe Kommission und lieber Rat ist nicht nur undemokratisch.
Das passt doch. Weder die Kommission noch der Rat sind gewählt.
Noch mehr werden Menschen, im genaueren Sinne eigentlich nur Hardcore-Datenschützer, in der sozialen Teilhabe eingeschränkt, wenn bald EU-weit verlangt wird, dass selbst Dienste wie Jabber/XMPP zur Chatkontrolle verpflichtet werden. Oder es fallen Strafzahlungen oder es wird ihnen der Saft abgedreht. Keiner der dortigen User will sich schließlich von Cookies durchleuchten lassen, einer zukünftigen Chatkontrolle unterziehen oder gar unterstützen. Die verzichten lieber freiwillig aufs soziale Leben.
Es wird leider so kommen. Weil der Großteil der Menschen anders gestrickt ist, die eh nichts zu verbergen haben, und lieber so ein Elend in Kauf nehmen, anstatt auf das bequeme Internet zu verzichten. Damit sich etwas ändert, und die Chatkontrolle gestoppt wird, müssen Millionen auf die Straße wie vor der Deutschen Wiedervereinigung oder bei FFF. Aber wer, außer Richard-Stallman-Fans, würde das in Zukunft tun?
XMPP lässt sich zusammen mit OTR (Off-the-Record Messaging) p2p nutzen. Gegen einen Trojaner auf dem Phone mag das unter Umständen nicht helfen. Doch ein per Gesetz überwachender Anbieter kann da nicht mehr mitlesen. Macht der sich dann Strafbar, wenn er die Forderungen der Kommission nicht umsetzen kann?
Mehr noch, OTR ermöglicht „Glaubhafte Abstreitbarkeit“. Das bedeutet: „ich war’s nicht und ihr könnt mir nichts nachweisen!“.
Für andere Dienste lässt sich oftmals analog argumentieren.
Mail2Tor ist ein Tor Hidden Service dort wird es keine Überwachung geben mit Tor IP oder doch?
Protonmail und Co können ja mit ihren Servern nach Guinea-Bissau umziehen. Dann haben die Ruhe vor EU Behörden!
Was ist wenn die Dienste sich weigern und nicht in der EU ansässig sind?
Die Frage hab ich mir auch schon gestellt.
Wahrscheinlich drohen ihnen dann Geldstrafen, die weitaus höher sind als DSGVO-Verstöße es wären oder ein Verbot, den Dienst in der (sicheren) Form weiter in der EU zu betreiben…
Wobei ich sowieso der Ansicht bin, dass die entsprechenden Dienste dann ohnehin am besten beraten wären, sich ganz aus der EU zurückzuziehen.
Ich meine… welche Möglichkeiten gäbe es denn? Ich sehe prinzipiell drei:
1. Sie setzen die Vorgaben um und kompromittieren ihre eigene Sicherheit. Das würde wohl dann für alle Nutzer sämtlicher Länder gelten. Ein Desaster mit Ansage
2. Sie weigern sich gänzlich und es hat die bereits oben genannten Konsequenzen.
3. Sie entwickeln parallel zwei Versionen ihrer Produkte:
– Eine mit Chatkontrolle, abgeschwächter (bzw nicht vorhandener) Sicherheit und Schnittstelle zur EU-Spionagezentrale für die EU.
-Eine sichere ohne Chatkontrolle mit aktuellen Sicherheitsstandards und ohne Schnittstelle zu irgendwelchen Strafverfolgungsbehörden.
Naja z.B. Computerspiele…
dann ohne Chat, wird so auch viel gemacht. Die Leute machen dann, was sie selbst wollen (Lanparty mit Kabeln, Discord /lol, xmpp, Rauchzeichen, Waldfee, you name it). Dumm für MMOs, wenn Kommunikation mit NPCs und Spielern irgendwie intendiert ist, da muss halt mal jemand ein Universalsprachinterface bauen, bei dem nichts schiefgehen kann ;). Als nächstes wird dann „Morsecode“ verboten, etc.p.p.
Ich bin sicher dass hier schon allerlei verrückte Regeln gelten, und Moderation nicht willkommen ist, d.h. dass Big-Tech hier einen Lobbysieg sonder Leichen errungen hat. Hier und überall woanders auch, so scheint es.
Also wer sowas baut, wird hoffentlich irgendwie sinnvolle Schnittstellen haben, z.B. Chat auszulagern an ein anderes lokal laufendes Chatsystem, zur Not eins mit gov-Schittstelle, LAN-Party-Chat für lokale Netzwerke.
Bin mal gespannt wie die Gesetzgenung später die „virtuelle Lanparty“ also VPN für ein Team von Spielern mit Chat untereinander werten wird. Hier sollen natürlich Leute interagieren, die sich kennen, nicht per Knopfdruck für Freunde eines Netzwerkes. Analog zum Analogen wäre das eigentlich eine Lanparty. ABER, als nächstes bauen Dickschiffe Nr.1-5 das gleiche nach, und – gemäß bekanntem Muster – wird das natürlich ins Nirvana reguliert. So wie das Iternet insgesamt.
Alleine der Gedanke das man mit jedem geschriebenen Satz oder Foto permanent Gefahr läuft völlig unschuldig bei den Strafverfolgungsbehörden zu landen, wäre ein Grund gänzlich auf Messenger die durchleuchtet werden zu verzichten. Noch weitaus schlimmer wäre (und würde auch mit Sicherheit umgesetzt werden) eine Art Akte oder Profil, die dann über eine Person erstellen würde, was auch sehr wahrscheinlich angelegt werden würde. Und wenn man dann fälschlicher Weise aufgrund eines Schwellenwertes in den Fokus geraten würde…tja, dann kann das Leben eines Menschen sehr schnell komplett zerstört werden. Und Wiedergutmachung ist ohnehin faktisch unmöglich.
Naja, oder in Theorie, worauf du clickst: https://www.heise.de/news/USA-Polizei-will-Daten-zu-allen-die-oeffentliche-YouTube-Videos-angesehen-haben-9664535.html
besorgniserregend ist doch auch, dass in der modernen zeit die polizei nicht mehr selbst ermitteln will, sondern immer öfters und härter andere (unternehmen, bald wohl auch privatpersonen) zur „mittäterschaft“ heranziehen will, wenn sie selbst an ihren aufgaben scheitert. was kommt dann als nächstes? ein kritikverbot an sicherheitsdiensten? oder die pflicht zum geständnis für verdächtige?
„dass polizei nicht mehr selbst ermitteln will“ ist, so denke ich, nicht korrekt.
Sie will schon, kann aber nicht. Die Technik ist komplex und die Personaldecke ist dünn. Werbeversprechen und die Wunderschnüffelsoftware, gar Präkongnitationsprogramme gehen auch an den Entscheidern nicht vorbei. Denn die werden von Vertretern (neudeutsch „Lobbyisten“ genannt) angepriesen wie „geschnitten Brot“. Digitalisierung und KI löst alle Probleme? Die Welt ist für Manche offenbar wie bei Enterprise nach dem Motto: „Computer, wo ist Pille?“. Das ist Chatkontrolle. Ein feuchter Traum. Es geht um Wirtschaft, Macht und um Konzerne mit eigener Agenda.
Genauer untersucht, einmal die besten Absichten der Kommission vorausgesetzt, belegt die Chatkontrolle, dass die EU gegenüber den Konzernen komplett verloren hat. Sie (die Konzerne) bekommen die Lizenz zum Schnüffeln und wir können gar nichts mehr kontrollieren. Schon rein technisch geht da nichts, schon gar nicht in den USA! Wir sind endgültig raus, dürfen nur noch auf Zuruf zu Dick-Piks U(nter) 18 ermitteln, ohne jede Möglichkeit auch nur einen Missbrauchsfall zu verhindern. Denn der ist schon geschehen, wenn es Jahrzehnte alte Bilder davon gibt. Doch die Opfer sind immer noch zerstört. „Aber denkt denn niemand an die Kinder“ wird zur böse Farce und unerträglich.
Schuld daran sind aber sicher nicht die Polizisten – jedenfalls nicht mehr als du und ich.
> besorgniserregend ist doch auch, dass in der modernen zeit die polizei nicht mehr selbst ermitteln will, sondern immer öfters und härter andere (unternehmen, bald wohl auch privatpersonen) zur „mittäterschaft“ heranziehen will, wenn sie selbst an ihren aufgaben scheitert.
Und vor allem fordern die Polizeigewerkschaften immer im übertragenen Sinne, dass es ihren Mitglieder ermöglicht werden muss, sich alles vom Schreibtisch aus zusammenzuklicken. Was dumm ist falls sie sich gleichzeitig über das Klischee vom „faulen Beamten“ mokieren.