"Going Dark"EU-Arbeitsgruppe will Zugang zu verschlüsselten Inhalten

Mit drastischen Vorschlägen will eine von Polizeibehörden dominierte EU-Arbeitsgruppe zunehmender Verschlüsselung begegnen. Auf der Wunschliste stehen der Zugang zu sicherer Kommunikation, umfassende Vorratsdatenspeicherung und Strafen für unkooperative Anbieter, etwa den datensparsamen Messenger Signal.

Ermittlungsbehörden wollen seit Jahren Zugang zu verschlüsselten Inhalten. (Symbolbild) – Alle Rechte vorbehalten IMAGO / YAY Images

Die EU soll Ermittlungsbehörden neue und weitreichende Möglichkeiten an die Hand geben, um besser gegen Kriminalität vorgehen zu können. Das steht im Abschlussbericht einer Arbeitsgruppe von Fachleuten, die sich seit dem Vorjahr mit der Zunahme von verschlüsselter Kommunikation beschäftigt hatte. Zu den Forderungen zählen ein neuer Anlauf für eine europaweite Vorratsdatenspeicherung, Zugang zu verschlüsselten Messenger-Nachrichten und mehr Kooperation europäischer Ermittlungsbehörden.

Polizeien und Geheimdienste malen seit Jahren gerne das Bild eines „Going Dark“ an die Wand. Damit beschreiben sie ihre Sorge, blind und taub zu werden, wenn Kriminelle moderne Verschlüsselungsverfahren nutzen. Angesichts mangelnder Evidenz einer angeblichen Erblindung des Staates kritisieren zivilgesellschaftliche Organisationen diese Darstellung als einseitig. Sie sei zu eng gefasst, da sie eine breitere gesellschaftliche Perspektive außer Acht lasse sowie den Punkt, dass den Behörden heutzutage trotz aller Verschlüsselung eine Vielzahl an Datenspuren zur Verfügung steht.

Eingerichtet hatte die Gruppe die damalige schwedische EU-Ratspräsidentschaft, unter dem Ko-Vorsitz der EU-Kommission waren vor allem Vertreter:innen des Sicherheitsapparats an den Diskussionen beteiligt. Anders als ursprünglich beauftragt war es letztlich keine Expert:innengruppe (High-Level Expert Group), sondern lediglich eine „High-Level Group“ (HLG) – mutmaßlich, weil für solche Arbeitsgruppen laxere Anforderungen als für echte Expert:innengruppen gelten.

Bindend sind die Vorschläge der Gruppe nicht, dürften aber Anklang bei der EU-Kommission und den Innenministerien vieler EU-Länder finden. Schon die im Sommer veröffentlichten Empfehlungen der HLG hatten ähnliche Vorschläge enthalten. Ein EU-Ratstreffen begrüßte insbesondere die Vorschläge für „einen harmonisierten EU-Rechtsrahmen für die Vorratsdatenspeicherung, die Festlegung von Vorschriften für den Zugang zu Daten aus interpersoneller elektronsicher [sic] Kommunikation sowie rechtlich und technisch fundierte Lösungen für den Zugriff auf verschlüsselte elektronische Kommunikation in Einzelfällen“.

Weitreichende Speicheranforderungen für Diensteanbieter

Für die HLG besteht kein Zweifel: „Digital erstellte, verarbeitete oder gespeicherte Kommunikationsdaten (sowohl Metadaten als auch Inhaltsdaten) sind ein wichtiger Bestandteil moderner kriminalpolizeilicher Ermittlungen“, beschreiben ihre Empfehlungen die Lage. Über 90 Prozent aller Nachrichten würden inzwischen über sogenannte OTTs (Over-The-Top-Anbieter wie WhatsApp oder Signal) verschickt, und Anfragen an Online-Dienste hätten sich zwischen 2017 und 2022 verdreifacht, so das HLG-Papier. Daran würden sich Ermittlungsbehörden oft die Zähne ausbeißen.

Neue Antworten hat die HLG darauf nicht gefunden, stattdessen wiederholt sie eine lange Liste mit Forderungen von Polizei und Geheimdiensten. Zum Beispiel sollen für Online-Dienste künftig Mindestanforderungen für eine standardisierte Datenspeicherung gelten, zumindest für die zur Identifizierung von Nutzer:innen erforderlichen Daten. Metadaten von Nutzer:innen sollen also anlasslos für einen bestimmten Zeitraum gespeichert werden, bis Behörden sie gebrauchen können. Nach Wunsch der Arbeitsgruppe sollen die Regeln für Datenverarbeiter jeglicher Art gelten, womöglich auch für Autohersteller oder KI-Tools wie ChatGPT.

Wer zu wenig speichert, soll bestraft werden

Unterschiedliche Kategorien von Daten, etwa Bestandsdaten, IP-Adressen oder Standortdaten, sollen nach dem Willen der HLG unterschiedlich lang gespeichert werden. Sie sollten dann über neue, EU-weit geltende Regeln zur Vorratsdatenspeicherung mit jeweils spezifischen Auflagen abrufbar sein. Anbieter, die sich nicht daran halten und wie Signal nur kaum Daten speichern oder sich anderweitig unkooperativ zeigen, sollen sanktioniert werden. Das könnten Netz- oder App-Store-Sperren sein, aber auch Gefängnisstrafen, wie die HLG ausdrücklich ausführt. Generell sollen für OTT-Anbieter die selben Regeln gelten wie für traditionelle Telekommunikationsunternehmen, wie es der sogenannte TK-Kodex bereits angelegt hatte.

„Mit diesen Vorschlägen versucht die HLG, den Überwachungszombie Vorratsdatenspeicherung mit voller Wucht wiederzubeleben“, sagt Chloé Berthélémy von der Digital-NGO European Digital Rights (EDRi). Umfangreiche Speicherpflichten für quasi alle IT-Dienste seien das Gegenteil von zielgerichteter Polizeiarbeit und stünden dem höchstrichterlichen Verbot von Massenüberwachung entgegen. „Alle Menschen einem Gefühl ständiger Überwachung auszusetzen kann nicht mit den Anforderungen vereinbar sein, welche der EuGH und der EGMR in der Vergangenheit definiert haben“, sagt Berthélémy.

Dauerbaustelle verschlüsselte Daten

Außerdem müssten die Betreiber Zugang zu verschlüsselten Inhalten gewähren, heißt es im Empfehlungspapier: „Die HLG stimmte auch darin überein, dass Dienstanbieter, die verschlüsselte Dienste anbieten, verpflichtet werden müssen, Mittel und Wege zu finden, um Daten auf rechtmäßige Anfrage von Strafverfolgungs- und Justizbehörden in verständlicher Form bereitzustellen.“

Wie das gelingen soll, bleibt unklar, zumal der Bericht darauf hinweist, dass neue Auflagen oder technische Standards weder direkt noch indirekt zu einer Schwächung von Ende-zu-Ende-Verschlüsselung führen dürfen. In der Vergangenheit hatten Sicherheitsforscher:innen immer wieder betont, dass eins das andere ausschließt.

Auch die HLG-Expert:innen sind sich im Abschlussbericht „einig, dass Ende-zu-Ende-Verschlüsselung als robuste Sicherheitsmaßnahme gilt, die Bürger:innen wirksam vor verschiedenen Formen der Kriminalität schützt“. Die Technik sei effektiv dabei, „unrechtmäßiges Abhören, Datendiebstahl, staatlich geförderter Spionage und andere Formen des unbefugten Zugriffs durch Hacker, Cyberkriminelle oder sogar die Dienstanbieter selbst“ zu verhindern.

Hier sei ein „vorsichtiges Vorgehen“ geboten, denn abrücken von der Forderung nach Zugang zu solchen Inhalten will die Arbeitsgruppe nicht. Entsprechend unscharf sollte laut der HLG eine „Roadmap“ entwickelt werden, um „rechtmäßigen Zugang durch Design (‚lawful access by design‘) in allen relevanten Technologien, in Einklang mit den Bedürfnissen von Ermittlungsbehörden“ sicherzustellen. Einschließen sollte dieser Ansatz nicht nur Transit-Daten, sondern auch digitale Forensik und Vorratsdaten.

Diese Quadratur des Kreises könne jedoch nicht wirklich gelingen, sagt Chloé Berthélémy: „Die Pläne für ‚Lawful access by design‘ lassen sich am besten als ‚Unsicherheit by design‘ übersetzen“.

Mehr Kooperation gefordert

Ferner schlägt die Arbeitsgruppe mehr Kooperation zwischen EU-Polizeien und -Behörden vor, etwa bei der Beschaffung forensischer Werkzeuge und bei der Forschung. Mehr Austausch brauche es zudem bei Informationen über Sicherheitslücken, die es mitunter für die Entschlüsselung beschlagnahmter Geräte oder auch den Einsatz von Spähtools wie Staatstrojanern braucht. Zudem solle eine Infrastruktur aufgebaut werden, die sich für die Echtzeit-Übertragung großer Datenmengen eigne, fordert die HLG.

Außerdem sollten sich der HLG zufolge EU-Mitgliedstaaten weniger im Weg stehen, wenn Kriminelle verfolgt werden. Im Sommer hatte die HLG in ihren Empfehlungen beispielsweise noch gefordert, dass Abhörmaßnahmen sofort und ohne Umweg über grenzüberschreitende Instrumente wie E-Evidence umgesetzt werden sollten, wenn ein Verbrechen in einem bestimmten Land begangen wurde und sich die Verdächtigen im gleichen Land befinden, der Diensteanbieter aber woanders sitzt.

Diese Forderung findet sich im Abschlussbericht nicht mehr so ausdrücklich, allerdings beklagt die HLG offenbar unzureichend schnell funktionierende Instrumente wie die Europäische Ermittlungsanordnung. „Für Experten aus Polizei und Justiz besteht kein Zweifel: Die Durchführung von Abhörmaßnahmen über internationale Instrumente ist keine praktikable Lösung“, heißt es unmissverständlich im Bericht. Hierbei sei eine „technische, juristische und organisatorische Harmonisierung“ der Regeln auf EU-Ebene notwendig. Ins Auge sollten zudem neue bilaterale Verträge vor allem mit den USA gefasst werden, um in Echtzeit auf Kommunikation zugreifen zu können.

Rechtlich weniger angreifbar sollen zudem spektakuläre Hacks von Anbietern wie EncroChat oder Sky ECC werden, die mutmaßlich auf Kriminelle zugeschnitten sind. Kriminalistisch waren diese polizeilichen Hacks zwar durchaus erfolgreich, sehen sich jedoch anhaltenden rechtlichen Auseinandersetzungen bis in die höchsten Instanzen ausgesetzt. Auch hier sollten harmonisierte europäische Regeln dafür sorgen, fordert die HLG, damit derart sichergestellte Beweise rechtssicher vor Gerichten verwendet werden können.

Ob das alles insgesamt zu mehr Sicherheit führt, bezweifelt Chloé Berthélémy von EDRi. „Die EU und ihre Bürger:innen sind zunehmenden Gefahren sowohl durch staatliche Stellen wie auch durch Kriminalität ausgesetzt“, sagt die Expertin. Die Vorschläge der HLG würden noch mehr Sicherheitsrisiken schaffen und seien gleichzeitig ein Angriff auf unsere Freiheitsrechte. „Die Priorität sollte jetzt auf mehr Sicherheit von digitalen Technologien liegen und alles dafür getan werden, nachhaltige, vertrauenswürdige Lösungen zu stärken“, fordert Berthélémy.

13 Ergänzungen

  1. So langsam verstehe ich die Abneigung westlicher Regierungen gegen Russland, China, Nordkorea etc.: Es muss purer Neid sein. Die leben dort ganz ungeniert ihre Allmachtsfantasien mit ihren orwellschen Überwachungsstaaten aus, während unseren Regenten dummerweise diese vermaledeiten freiheitlich-demokratischen Rechtsstaaten mit ihren Grundrechten im Weg stehen.

    Lange hat man versucht, auf den globalen Osten einzuwirken und ihn zu demokratisieren, nach dem Motto: „Warum sollen die es besser haben als wir?!“ Nun, da sich immer mehr abzeichnet, dass dieser Ansatz zum Scheitern verurteilt ist, weil wir zu lange nicht aufhören konnten, um unseres eigenen Wohlstands Willen diese Länder immer reicher zu machen, nimmt man die Angleichung eben in die andere Richtung vor und beseitigt einfach ebenjene freiheitlich-demokratische Grundordnung und Menschenrechte, die hier nur aufhalten. Der Bevölkerung verkauft man das Ganze als „Kampf gegen Terrorismus“ oder „gegen Kindesmissbrauch“, je nach Tageslage, weitet das nach und nach immer mehr auf Zensurheberrechtsverletzungen, Obrigkeitsverhöhnung (Hausdurchsuchung nach Habeck-Meme) und Dissidententum (siehe Klimaproteste) aus; und wo die Faschisten nicht bereits regieren, legt man ihnen alle Werkzeuge für ihr totalitäres Regime schon mal bereit. Deren Marsch durch die Institutionen ist schon in vollem Gange. Niemals vergessen: „‚Wir‘ sind die Guten!“

  2. Wenn unsere Polizei weiterhin absolute Kontrolle und Überwachung als ihr Recht anstrebt, sie in Besitz exklusiver Gewaltmonopolrechte ist, sie in Besitz des Rechts der Vorverurteilung ist, Menschen präventiv in Haft setzen kann, kann es sein dass dies keine Polizei ist, die in einer Demokratie existieren sollte? Da ist doch was gehörig schief gelaufen in den Jahren seit 45. Sollte in den europäischen Polizeien nicht mal gehörig aufgeräumt und entrümpelt werden?

    1. Bärbel Bohley 1991: „Stasi-Strukturen (und die) Methoden, mit denen sie gearbeitet haben … All das wird in die falschen Hände geraten. Man wird sie ein wenig adaptieren, damit sie zu einer freien, westlichen Gesellschaft passen. Man wird Störer nicht unbedingt verhaften – es gibt feinere Möglichkeiten, unschädlich zu machen.

      Aber die geheimen Verbote, das Beobachten, der Argwohn, die Angst, das Isolieren und Ausgrenzen, das Brandmarken und Mundtotmachen wird wiederkommen … Man wird Einrichtungen schaffen, viel effektiver, viel feiner als die Stasi. Auch das ständige Lügen wird wiederkommen, die Desinformation und der Nebel, in dem alles seine Kontur verliert.“

      Dem ist nichts mehr hinzuzufügen…

  3. Kann der verfickte EU-Rechnungshof – Gibt es den eigentlich? – endlich mal diese Sache regulieren, dass die prinzipiellen Punkte, und dazu gehören Konfliktpunkte allgemeiner Natur, also mit Freiheitsrechten, mit Zivilgesellschaft, mit weit verbreiteter Praxis, geklärt und entsprechenden Domänenexperten zugeführt werden müssen?

    Das jämmerliche Herumgewiesel wirkt wie ein Alien-Angreiferalgorithmus. Nie wieder diese Dummheitsgesetzgebung, wo plötzlich millionen von Teenagern Straftäter sind. Hier muss Wissenschaft und Fachdomäne eine Supervision bilden und Klärungssperrbefugnis erzwingen können. Diese Arbeitsgruppe ist zu teuer, je länger man sie laufen lässt, desto teurer. Exorbitant teuer, wenn man sowas (auch noch in so einer Weise!) umsetzen würde.

  4. Die Idee der gefängnisstrafen finde ich persönlich sehr gut, allerdings für die Mitgleider dieser ominösen HLG und die innenminster der Länder die versuchen eine Totalüberwachung der Bürger zu installieren z. B. Frau Faeser. Die Demontage der Demokratie und der Bürgerrechte ist in vollen Gange und gleichzeitig werden sinnvolle Maßnahmen, nämlich verschlüsselung, zur begrenzung von Cyberkriminalität systematisch unterwandert und sollen nach Maßgabe diese (eben nicht Experten) möglichst ganz verhindert werden. Wer sind eigentlich die Feinde der demokratie?

    1. „Die Idee der gefängnisstrafen finde ich persönlich sehr gut, allerdings für die Mitgleider dieser ominösen HLG und die innenminster der Länder die versuchen eine Totalüberwachung der Bürger zu installieren z. B. Frau Faeser.“

      Dem kann ich nur zustimmen.
      Aber dann bitte nicht nur ein paar Jährchen, sondern für den Rest ihres Lebens.
      Dann hätte man endlich mal wirklich was zum Schutz der Bürger getan.

      Denn auch mit den Vorschlägen dieser ominösen Gruppe gilt, wie bei allen Überwachungsvorhaben am Ende des Tages:
      Die Guten werden gläsern,
      Die Schlauen bleiben unsichtbar

    2. Wegen Frau Faeser habe ich bei den letzten Landtagswahlen in Hessen nicht die SPD gewählt, obwohl ich das eigentlich vorhatte.
      Wenn irgendwann mal die Blaunen die Regierung bilden und nach Herzenslust aus den Daten schöpfen, will es (mal wieder) keiner gewusst haben. Schaut doch mal nach USA! So schnell sterben Demokratien.
      Wer Sicherheit über Freiheit stellt, wird beides verlieren.

  5. Hier wird nichts weniger gefordert als die Rundumüberwachung der kompletten Gesellschaft in nie dagewesener Form, die garantiert bis ins unermessliche ausgeweitet werden wird, sobald die Tür erst mal aufgestossen wurde. Gruppen wie Politiker oder andere staatliche Geheimnisträger werden von dem sicherlich ausgenommen und können wie gehabt tun und machen was sie wollen und das natürlich ohne irgendwelche Konsequenzen. In so einer Zukunft will niemand leben!

      1. Grundkurs Extrapolation:
        Kapitel 1: Dammbruch
        Kapitel 2: Die schiefe Ebene
        Kapitel 3: Rinse and Repeat
        Kapitel 4: Ausblick auf Trocknungsmethodiken

  6. Sollte sich das durchsetzen, ist das Entwickeln von Kommunikations-Tools in der EU doch im Grunde unmöglich, ohne sich einem enormen (finanziellen und rechtlichen) Risiko auszusetzen.

    Einerseits sollen nach Willen dieser ominösen Gruppe die Entwickler solcher Kommunikationstools bestraft werden bzw sogar evtl im Knast landen, wenn sie keine Hintertüren einbauen um Leute auzuspionieren und Strafverfolgern alles auf dem Silbertablett zu servieren.
    Absurderweise gelten wohl aber auch gleichzeitig solche Sachen wie Produkthaftungsrichtlinie oder Cyber-Resillience-Act.
    Im Grund können sich dann in der EU Entwickler von Kommunikations-Tools aussuchen, wie sie bestraft werden, aber mit einer Strafe können sie dann wohl so oder so rechnen.

    Ich hoffe wirklich, dass, wenn das kommen sollte, sich möglichst viele Kommunikationsdienstleister (vor allem die Messenger-Apps) aus der EU zurückziehen werden.
    Bei IoT-Geräten wird es wohl das gleiche Dilemma dann auch geben. Ebenso bei vielen anderen digitalen Produkten.

    Solange es entweder keinen großen hörbaren Knall gibt, der der gesamten EU mal so richtig schadet (und zwar so, dass nicht mal die Überwachungsfanatiker in der Politik das ignorieren können), oder diese Leute nicht für ihre Verbrechen (sorry, aber ich kann das nicht anders nennen!) saftige Strafen befürchten müssen, so lange wird sich nichts ändern und der ständige Auf- bzw Ausbau der totalitären Überwachung wird weitergehen.
    Die Politiker sind bis heute mit viel zu viel durchgekommen (egal nach wie vielen Anläufen).

    Durch diese Gruppe wird dann jedenfalls „made by EU“ zum Synonym für „gefährliche Spyware“.

  7. Als sehr sicherheitsbedürftiger, konservativer Bürger der beneidenswerterweise noch dem Staat in fast allem traut, könnte man ja noch zur Not noch den Zugang durch die Polizei akzeptieren – aber wo eine Hintertür ist, findet sich auch ein Zweitschlüssel oder ein Brecheisen dafür.
    Was dann?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.