Die EU-Kommission hat am Dienstag einen Fahrplan für den Zugang zu Daten für Polizeibehörden vorgestellt. Demnach liegt der Fokus auf sechs Schlüsselbereichen. Er umfasst etwa die weiteren Schritte in Richtung EU-weiter Vorratsdatenspeicherung, mehr Einsatz sogenannter Künstlicher Intelligenz bei Ermittlungen und einen für das Jahr 2026 geplanten Ansatz, um an verschlüsselte Daten zu kommen. Mit diesen Vorhaben drohen Einschränkungen bei Datenschutz, Privatsphäre und Vertraulichkeit der Kommunikation.
Umrissen hatte die Kommission ihre Prioritäten bereits in ihrer „ProtectEU“ genannten Strategie zur inneren Sicherheit im April. Entsprechend betont sie nun auch im aktuellen Fahrplan, dass rund 85 Prozent der strafrechtlichen Ermittlungen auf elektronischen Beweismitteln beruhten. Zwischen den Jahren 2017 und 2022 hätten sich die Datenanfragen an Online-Dienste verdreifacht, und der Bedarf an diesen Daten steige weiter an.
Zugleich gebe es jedoch Probleme dabei, schnell an die Daten zu kommen. In manchen Fällen hätten die Anbieter sie bereits gelöscht, in anderen hapere es bei der grenzüberschreitenden Zusammenarbeit; bisweilen seien Daten verschlüsselt und nicht ohne Weiteres zugänglich. All diese Hürden müssten abgebaut werden, um „effektiv und rechtmäßig“ Ermittlungen im digitalen Raum durchführen zu können, heißt es in der Mitteilung. Federführend sind hierbei Digitalkommissarin Henna Virkkunen und Innenkommissar Magnus Brunner.
Vorratsdatenspeicherung: Mehr als 5.000 Stellungnahmen
Bereits letzte Woche ging die erste Etappe zu Ende. In einer öffentlichen Konsultation holte die Kommission Meinungen zum Dauerbrenner Vorratsdatenspeicherung ein, nun wird sie die über 5.000 Stellungnahmen aus ganz Europa auswerten müssen. Die sollen in eine Folgenabschätzung über diese Form der anlasslosen Massenüberwachung einfließen, ein notwendiger Schritt vor einem möglichen Gesetz. Mit einem erneuten Anlauf für eine EU-weite Regelung wird allgemein gerechnet, nicht zuletzt drängen EU-Innen- und Justizminister:innen im Rat auf einen einheitlichen Rechtsrahmen.
In der Vergangenheit hatten Gerichte, darunter der Europäische Gerichtshof (EuGH), nationale Anläufe sowie eine frühere EU-Richtlinie unter Verweis auf die tiefen Grundrechtseingriffe kassiert. Im Vorjahr hat der EuGH jedoch die Tür ein Stück weit geöffnet und die verdachtslose Speicherung von mindestens IP-Adressen unter bestimmten Bedingungen für zulässig erklärt.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
„Rechtsmäßiger Zugang“ gefährdet alle
Auf dem Arbeitsprogramm der Kommission steht zudem eine Verbesserung des grenzüberschreitenden Datenaustauschs zwischen Ermittlungsbehörden. Dabei will sie offenbar nicht abwarten, bis alle EU-Länder das E-Evidence-Paket umgesetzt haben. Optimierungsbedarf gebe es auch bei der Europäischen Ermittlungsanordnung; die Instrumente sollen im kommenden Jahr überprüft werden.
In Zusammenarbeit mit der EU-Polizeibehörde Europol will die Kommission Ermittlungsbehörden im Bereich der digitalen Forensik besser aufstellen. Dabei sollen auch öffentlich-private Partnerschaften zum Zug kommen. Um mit der zu erwartenden Materialfülle zurechtzukommen, will die Kommission bis zum Jahr 2028 die Entwicklung und den Einsatz von KI-Tools fördern. Mehr einbringen will sich Brüssel auch bei der Standardisierung neuer Technologien, etwa, um gleich von Beginn an Überwachungsschnittstellen nach dem Prinzip des „rechtmäßigen Zugangs durch Design (‚lawful access by design‘)“ einzubauen.
Das Konzept steht im Widerspruch zu Privatsphäre durch Design (‚privacy by design‘), das Daten und Privatsphäre von Menschen nicht nur gegenüber ihrem eigenen Staat schützt, sondern auch gegenüber anderen Staaten und Kriminellen. Denn einmal geschaffene Wege zum Zugriff auf geschützte Inhalte lassen sich nicht nur durch autorisierte Akteure ausnutzen, sondern auch durch andere. Auf diese Weise kann das Konzept „lawful access by design“ sowohl einzelne Nutzer:innen als auch die IT-Sicherheit insgesamt gefährden.
Debatte unter Ausschluss der Öffentlichkeit
Für das Jahr 2026 ist ein weiterer brisanter Fahrplan angekündigt. Darin will die Kommission Ansätze „identifizieren und evaluieren“, um Polizeien womöglich Zugang zu verschlüsselten Daten zu geben. Ob sich dabei auch gefährliche Methoden wie Hintertüren wiederfinden werden, bleibt vorerst offen. Auch eine eigens einberufene Arbeitsgruppe, die sich in den vergangenen Jahren vertieft mit dem sogenannten „Going Dark“-Phänomen beschäftigt hatte und auf deren Vorschlägen das Vorgehen der Kommission beruht, ist solche Details schuldig geblieben.
Die bisherigen Schritte der Kommission sind auf vehemente Kritik seitens Grundrechteorganisationen gestoßen, die sich übergangen sehen und mehr Mitsprache fordern. In einem Brief forderten dutzende Nichtregierungsorganisationen im vergangenen Mai, dass die Debatte über Hintertüren nicht unter Ausschluss der Öffentlichkeit stattfinden dürfe. Unter anderem sei die EU-Arbeitsgruppe „undurchsichtig“ gewesen; es müssten nun mehr Stimmen aus Zivilgesellschaft und Wissenschaft gehört werden.
Bin ja mal gespannt, wie sie verschlüsselte Daten entschlüsseln wollen.
Halten sie dem Verschlüsselungsalgorithmus einen gefaxten richterlichen Entschlüsselungsbefehl vor den Bildschirm, woraufhin moderne Verfahren wie Double Ratchet dann einknicken werden? XD
Denkbar wäre, dass die Anbieter alles mit einem Zweitschlüssel zusätzlich verschlüsseln sollen. Diese unsinnige Idee kam ja schon oft auf.
Oder halt, was sie mit der Chatkontrolle wollen: Vor der Verschlüsselung scannen. Dann als Zusatz vielleicht die Nachricht noch vor der Verschlüsselung im Klartext beim Anbieter aufbewahren.
Zudem ist ja auch geplant, unkooperative Anbieter mit Gefängnisstrafen zu belegen
https://netzpolitik.org/2024/going-dark-eu-arbeitsgruppe-will-zugang-zu-verschluesselten-inhalten/
„Anbieter, die sich nicht daran halten und wie Signal nur kaum Daten speichern oder sich anderweitig unkooperativ zeigen, sollen sanktioniert werden. Das könnten Netz- oder App-Store-Sperren sein, aber auch Gefängnisstrafen, wie die HLG ausdrücklich ausführt.“
Mit der Drohung würden Anbieter garantiert irgendwelche Erkennungsmechanismen usw einbauen… Oder sie sind clever und lassen unter den Prämissen die EU links liegen.
An der Stelle frage ich mich welche Methoden Google, Microsoft &Co nutzen, um verschlüsselte Inhalte zu erkennen…
Es wäre nämlich wahrscheinlich, dass dann Anbieter auch zur Implementierung solcher Erkennungsmechanismen gezwungen werden
Also dann waren alle Kreide holen und 4 + 4 könnte auch 9 die Lösung sein. Verschlüsslung sind komplexe mathematische Berechnungen am Ende gibt es nur EINE Lösung. Würde es eine zweite Lösung geben müsste diese als Bug mit eingebaut werden und jene wäre für Experten früher oder später auffindbar. Verschlüsslung ist Open Source möchten jetzt die EU heimlich Hintertüren einarbeiten? Zudem gibt es ja nicht nur ein Verfahren sondern mehrere und ein Zweitschlüssel würde auch die Nationale Sicherheit massiv beeinflussen. Wir befinden uns im Krieg es geht schon lange nicht mehr um Aufklärung für Straftaten und wenn die meisten Beweismittel Digital vorhanden sind Frage ich mich weshalb die Hausdurchsuchung das gängigste Mittel ist? Im übrigen ist das mit Digitalen Beweismitteln so eine Sache, wer garantiert das diese nicht verändert wurden? Mit Staatlich implementierten Bugs hätten Gerichte so ihre fragen zwecks der Verwertbarkeit. Nur ein sichere Verschlüsslung garantiert die Datenintegrität!
Vor einiger Zeit hatte ich mich auch mit dieser Frage beschäftigt.
Mein Fazit damals war: Man (also ich) sollte eine Verschlüsselungs-App VOR der Kommunikations-App benutzen.
Warum? Im ersten Schritt des worst-case-Szenarios könnte irgendwann irgendwer alle Kommunikations-Apps (in Europa) zwingen, ihre Verschlüsselung zu „öffnen“. Ich finde die Informationsquelle leider nicht mehr, aber das würde (erst mal) nur die Programme betreffen, die eine „Kommunikationsberechtigung“ haben (könnte auch „Internetzugangsberechtigung“ sein, weiß leider das genaue Wort nicht mehr). D.h., alle Apps, vom dem eine behördliche Stelle weiß, dass sie verschlüsselt kommunizieren kann und darf, kann bis zur Aufgabe unter Druck gesetzt bzw. per Gesetz dazu verpflichtet werden, eine od. mehrere Behörden mitlesen zu lassen, in dem die Verschlüsselung löchrig wird.
Ein Programm (App), das diese „Kommunikationsberechtigung“ nicht hat, taucht (erst mal) nicht auf deren Radar auf. Wenn solche Programme „zufällig“ Texte verschlüsseln können, hat man zwar etwas mehr Arbeit (verschlüsselten Text in Kommunikations-App kopieren), aber wahrscheinlich auch keine ungewünschte Mitleser.
Das ganze ist natürlich nutzlos, wenn das Betriebssystem als Ganzes infiltriert wurde und der Klartext schon bei der Verschlüsselungs-App mitgelesen wird.
Daher hatte ich mir damals „Oversec“ angesehen, kam aber eher schlecht als recht damit klar. Eine Alternative werde ich aber definitiv benutzen, sollte DE od. Europa in dieser Sache komplett abdrehen.
Nur um es nochmal klar zu stellen die Algorithmen werden global verwendet, schwächt man diese wie auch immer hat dies Auswirkungen globaler Tragweite. Jede Webseite verwendet TLS und die Inhalte sind verschlüsselt. Verschlüsselung nutzt jeder auch wenn man diese nicht bemerkt. Mir scheint das nicht nur die Politik keine Ahnung hat über was sie da in Gang setzt.
„Mir scheint das nicht nur die Politik keine Ahnung hat über was sie da in Gang setzt.“
Korrekt. Auch die Strafverfolger wie Europol & Co kapieren nicht, was sie da anrichten, sonst würden sie nicht permanent gegen Verschlüsselung schießen.
Ebenso wenig wie alle restlichen selbsternannten „Kinderschützer“ (die sich für Chatkontrolle & Co aussprechen)
Das ist der übliche arrogante Fehlschluss.
Die wissen, was sie tun, und halten die Auswirkungen in Summe für akzeptabel. Das ist übrigens eine durchaus valide Haltung und politisch oder gesetzgeberisch nicht „unmöglich“. Deswegen kann man die auch nicht durch Erklären überzeugen.
Es wird alles zu Scheiße. Geschäftsmodelle für mit Datenschutz und/oder Privatsphäre lohnen sich nicht, außer mit Fangemeinde, also de facto als Influencer. Nur exponiert man so seine Fans, also eigentlich… Nutzer sollen also sogenannte informierte Entscheidungen treffen. Aber der Drops ist quasi schon gelutscht.
So jetzt kannst du noch irgendwie mit Open-Source rumwieseln, quetschen, quietschen. Aber das Gros wird zur Abhörmaschine. Herumlaufende und hängende Wanzen. Die Masse.
Es ist quasi egal, ob ein paar Leute nicht mitmachen. Aber keine Sorge, es wird naturgemäß besonders verdächtig, sich mit Verschlüsselung zu befassen, und entsprechende Protokolle zu nutzen. Wenn die Provider nicht anfangen, die zu sperren, dann wird der behördliche Zugriff für die Zielführung sorgen. Repression etc.p.p. – alles nach Grundgesetz, denn Grundsätze werden nicht mehr als solche aufgefasst, vor allem nicht für eine Zukunft angepasst, und auch nicht neu geschaffen. Schlapphüte in der Vorlesung – Vergangenheit, schon, denn jetzt hat man Zugriff auf Listen und Mitschnitte. KI sei Dank, wird man wissen, wo man hinzuschauen hat.
Niedergang und Parasitentum sind die wesentlichen Treiber dieser Entwicklung. Dahinter stehen – lachend – ausländische Geheimdienste, im Wesentlichen. Also hier tanzt der Russe mit.
***
WENN man die machen lässt.
Die Frage ist ein wenig theoretischer Natur. Denn die meisten Menschen müssen die Software großer Konzerne nutzen. Diese Software wird Hintertüren beinhalten, allein schon, weil die Konzerne selbst an den Daten interessiert sind. Kennst du dich aus, verweigerst du dich, so gilst du als Waldschrat, wirst abgekoppelt, auch von Informationen und kannst etwa Behördengänge nicht mehr machen.
Immerhin, organisierte Verbrecher können sich entziehen, profitieren davon, ganz genau wie Industrie und Konzerne. Es ist also alles in Ordnung. Klappe halten und weiter gehen!
Firewall wie in China…. Alles was verschlüsselt ist oder wie ein VPN aussieht wird dann pauschal zensiert. Denke wenn man das zuende denkt kann das ganze nur darauf hinaus laufen.
Darf Dänemark dann Grönland behalten?
Kriegen wir dann endlich die SMS von Flintenuschi und Jensi?
Man muss bedenken, dass diese Richtung eine Hochproblematische ist, auch was Rogue Players in der EU betrifft. Also Zugriff durch Polizeien und damit Geheimdiensten auf gefühlt alles, besonders gesichert mit einem Richtervorbehalt (aus Ungarn?). Datenaustausch zwischen EU-Geheimdiensten.
Ob „organisierte Kriminalität zersägen“ geliefert wird, oder noch bessere Bestechungsmöglichkeiten und Zugriff auf alles und jeden, auch zur Einschüchterung?
Ist das etwa 360° Druckkunstgeschmiere, EU-weit? Spannend!
EU-weit, auf Zuruf, Zugriff auf verschlüsselte Inhalte?
Bitte sofort absägen, und zukünftige Wiederholung systematisch verhindern.
Hersteller werden es dann nicht mehr als Verschlüsselung ansehen und Auswertung der Inhalte einbauen. Schlimmer noch, dieser Zugriffswahn etabliert bösartige Player auf Kosten aller. Man stelle sich vor, Werbung für einen Messenger machen zu müssen, der dann konform sein soll. Das wird ein Dschungel ohne Ausblick. Schlimmer noch, zwischen Kommerz und Privat ist in weiter Fläche nicht zu unterscheiden. Das ist Selbstmord. In dieser geopolitischen Lage, sollte das Militär einschreiten, und diesen Angriff auf unsere Verfassung verhindern.
Denn wer Vorher-Nachher berücksichtigt, wird es als erfolgreichen Angriff werten müssen, wenn es denn so kommt.
Solches auszurollen ist ultraproblematisch. Es gibt keinen guten Weg, rein positiv gesehen, mit dem Konzept mitgehend. Ich denke Quantencomputer sind hier ein Showstopper.
– Die kommen im Worst Case 2029 in voller Güte.
– Alles mitzuschneiden lohnt sich mit solchen Konzepten wahrscheinlich.
– Kein post-quantum zu haben, ist jetzt also schon schädlich.
– Post-quantum weitflächig auszurollen ist wegen des jungen Alters gefährlich.
– Zuzüglich der für Hacker unglaublich attraktiven Schnittstellen, die damit geschaffen würden.
Ich muss aufs schärfste von diesen Silbertablettkonzepten abraten!
Puh, und ich dachte, ich hätte 2019 geschrieben. Wir wollten doch keine Leaks…
Doppelstrategie wäre hier nützlich: Neben der politischen Gegenwehr Emigriert mit Euren IT Endpunkten nach außerhalb der EU und helft allen in Eurer Umgebung dabei + Verschlüsselung immer und überall.
Halte ich schon so seit Jahren so.