Wenn Polizeien weitgehend unter sich potenzielle Lösungen diskutieren, wie sie an möglichst viele Daten herankommen, dann kann man das Ergebnis fast schon ahnen. Sie wünschen sich etwa eigene Zugänge für Ermittlungsbehörden in IT-Geräten und -Anwendungen, am besten gleich abgesegnet von Standardisierungsgremien und verkauft als „Security by Design“. Sie wollen die Vorratsdatenspeicherung wieder europaweit einführen. Und sie wollen mehr Daten von Messengern wie Signal, die auf Datensparsamkeit und Verschlüsselung setzen.
Seit letztem Jahr tagt regelmäßig eine Gruppe hochrangiger Expert:innen, die aus Sicht der EU-Kommission nicht Expert:innengruppe genannt werden soll, um dem sogenannten „Going-Dark“-Problem zu begegnen. Vor allem Polizeien und Geheimdiensten bereitet Sorge, dass die zunehmende Verschlüsselung von Geräten und Inhalten im Netz Kriminellen dabei hilft, sich vor Strafverfolgung abzuschirmen. Doch bei der von der EU eingerichteten „High-Level Group“ fällt von Anbeginn eine Schieflage auf: Ihr Ohr schenkt die Brüsseler Institution in erster Linie Ermittlungsbehörden und deren Sicht auf das Thema.
Mehr Zivilgesellschaft wagen
Das soll sich nun ändern. Gestern gab es erstmals ein Treffen der Gruppe, bei dem auch Vertreter:innen der Zivilgesellschaft mit am Tisch saßen. Auf der Agenda des Treffens: Wie soll künftig der Umgang etwa mit beschlagnahmten Geräten aussehen, die womöglich verschlüsselt sind? Und wie sollte der Zugang zu Daten ausgestaltet sein, wenn sie gerade in Echtzeit verschickt werden oder im Rechenzentrum des Anbieters schlummern?
Den Prozess an sich sowie die reichlich verspätete Einladung zu dem Treffen, die mutmaßlich erst öffentlichem Druck geschuldet ist, sehen zivilgesellschaftliche Gruppen argwöhnisch. „Wir verstehen diese ‚Going Dark‘-Initiative als einen Versuch, gefährliche Maßnahmen reinzuwaschen, die die Online-Privatsphäre und -Sicherheit aller gefährden und sie zugleich in der Öffentlichkeit akzeptabel erscheinen lassen würden“, sagt Chloé Berthélémy von EDRi (European Digital Rights), dem Dachverband netzpolitischer Nichtregierungsorganisationen.
Einschlägige Ausrichtung
Trotz aller Skepsis hat EDRi an dem Treffen teilgenommen, neben anderen zivilgesellschaftlichen Gruppen wie IT-Pol Denmark und Statewatch, bestätigt Berthélémy. Die Teilnehmer:innen nutzten die Gelegenheit, um „europäische Strafverfolgungsbehörden zu warnen, dass jede Maßnahme, die in Verschlüsselung eingreift, eine Bedrohung für die Sicherheit und Privatsphäre von Millionen von Menschen, öffentlicher Institutionen und des breiteren digitalen Ökosystems darstellen würde“, wie sie bereits im Vorfeld in einem offenen Brief ankündigten.
Tatsächlich sei das Treffen weitgehend unter jenen Vorzeichen abgelaufen, die schon ein Rat-Arbeitspapier bei der Gründung der Gruppe skizziert hatte, berichtet Jesper Lund von IT-Pol Denmark – also „Security by Design“. Was die EU-Expert:innen darunter verstehen: bereits in IT-Produkte eingebackene Zugänge für Ermittlungsbehörden sowie ein Verständnis von Grundrechten, das sich in erster Linie auf Kriminalitätsopfer bezieht, ohne die Grundrechte der restlichen Bevölkerung und sonstige Kollateralschäden zu berücksichtigen.
Ausgerechnet Belgien als Vorbild
So habe ein Vertreter der EU-Kommission aus der Generaldirektion Migration und Inneres (DG HOME) durchblicken lassen, dass man sich eine Vorratsdatenspeicherung nach dem Vorbild Belgiens vorstellen könnte. In diese Richtung deutet auch ein jüngst veröffentlichtes Hintergrundpapier einer Arbeitsgruppe. Demnach sollen die Erfahrungen aus Belgien in ein mögliches Gesetz einfließen und etwa zu unterschiedlichen Datenkategorien führen, um bei Ermittlungen gezielt auf notwendige Daten zurückgreifen zu können.
Ob der belgische Ansatz, mit dem anlasslos weite Teile des Landes überwacht werden, überhaupt mit EU-Recht vereinbar ist, bleibt allerdings offen – wie in anderen EU-Ländern wurde die Massenüberwachung wiederholt von nationalen und europäischen Gerichten gekippt. Beobachter:innen bezweifeln, dass die inzwischen vierte Neuauflage der Vorratsdatenspeicherung in Belgien mit den engen Grenzen vereinbar ist, die zuletzt der EuGH eingezogen hatte.
Rätselraten um Hintertüren
Noch seltsamer sei die Debatte rund um Hintertüren verlaufen, erzählt Lund, dessen Eindrücke ein:e weitere Teilnehmer:in des Treffens bestätigt. So habe der Vertreter von DG Home im Namen der Expert:innengruppe versichert, keine Hintertüren einführen zu wollen. „Was sie stattdessen in Betracht ziehen, ist allerdings sehr, sehr unklar“, sagt Lund.
So betont etwa ein Arbeitspapier, den Zugang zu verschlüsselten Inhalten erst später behandeln zu wollen. Zugleich fordert ein anderes Papier, die rechtlichen Rahmenbedingungen für OTT-Dienste (Over-The-Top-Dienste, worunter auch verschlüsselte Messenger fallen) an jene für traditionelle Telekommunikationsanbieter anzugleichen – samt einem legalen Zugang für Inhalte und Metadaten.
Die gestiftete Verwirrung habe Methode, meint Lund: „Die Expert:innengruppe gibt sich große Mühe, die Verwendung des Wortes ‚Hintertür‘ zu vermeiden, aber sie beschreibt ein objektives, legales Abfangen von Ende-zu-Ende-verschlüsselter Kommunikation, das nur mit einer Art Verschlüsselungs-Hintertür erreicht werden kann“. Diesen Widerspruch habe auch das Treffen nicht aufgelöst.
„Unterm Strich wurde uns gesagt, bis Juni zu warten“, sagt Lund. „Dann wird die Expert:innengruppe ihren Bericht vorstellen, um Lösungen für ein Problem zu präsentieren, das in den letzten 30 Jahren niemand lösen konnte.“ Sonderlich glaubwürdig klinge das nicht, kritisiert Lund und verweist auf die seit den 1990er-Jahren schwelende Debatte rund um Hintertüren. Diese verläuft nach dem immer gleichen Muster: Polizeien wünschen sich möglichst unbeschränkten Zugang zu Daten, selbst zu verschlüsselten. Bislang konnte sich jedoch stets die Gegenseite durchsetzen, denn Hintertüren jeglicher Art würden gravierend die Privatsphäre und IT-Sicherheit aller Nutzer:innen sowie der Wirtschaft gefährden.
Freiwilliger Zugang statt gesetzlichem Zwang
Zugleich habe laut Lund die Kommission angedeutet, dass sie nicht nur gesetzliche Maßnahmen prüft, sondern alternativ eine freiwillige Kooperation mit der Industrie in Frage kommt. Auch das ist in einem Arbeitspapier dokumentiert. Demnach soll die Arbeitsgruppe ausloten, wie sich rechtskonforme Zugänge für Ermittlungsbehörden in ihre Produkte ausgestalten lassen. Außerdem soll ein anhaltender Dialog mit Standardisierungsgremien sicherstellen, dass „rechtskonforme Zugriffsmöglichkeiten auf Geräte und Anwendungen integriert werden, bevor sie auf den Markt kommen“.
Gesetzlich kriminalisiert könnte hingegen der schlichte Besitz von verschlüsselten Geräten werden, bei denen „nachgewiesen ist, dass sie allein zur Kommunikation zwischen Kriminellen verwendet werden“, heißt es in dem Papier. Das bezieht sich wohl auf Fälle wie den von EncroChat. Der letztlich durch einen spektakulären Hack durch französische Ermittlungsbehörden zu Fall gebrachte Anbieter hatte scheinbar abhörsichere Mobiltelefone auf den Markt gebracht, die offenbar vorrangig von Kriminellen genutzt wurden. Wie sich ein derartiges Verbot umsetzen ließe, bleibt indes völlig offen.
Die zunehmenden Versuche, den Einsatz von Verschlüsselung unter Generalverdacht zu stellen, bereitet auch Berthélémy Sorgen: „Der gefährliche Trend in ganz Europa, Menschen zu inkriminieren, die Verschlüsselung oder andere Tools zur Verbesserung der Privatsphäre wie Signal oder Tor verwenden, ist sehr besorgniserregend.“ So sei beispielsweise im Zusammenhang mit Ermittlungen im SkyECC-Fall die schlichte Tatsache, ein entsprechendes Smartphone zu besitzen, schon als „klares Zeichen von Kriminalität“ gewertet worden. Auch in Frankreich gebe es einschlägige Versuche in diese Richtung, die EDRi genau beobachte, so Berthélémy.
Piraten fordern Auflösung der Gruppe
Was aus all den Empfehlungen werden soll, die die Expert:innengruppe bis zum Sommer ausarbeitet, werde aber eine politische Entscheidung der nächsten EU-Kommission, hieß es auf dem Treffen. Im Juni findet die Wahl zum Europäischen Parlament statt, danach wird die Kommission neu bestellt.
Für Patrick Breyer, der bis dahin für die Piraten im Parlament sitzt, ist aber schon der ganze Prozess verkehrt. „Die Ergebnisse der #EUGoingDark-Gruppe, die bereits Mitte 2024 vorgelegt werden sollen, entstehen undemokratisch, intransparent und politisch willkürlich“, schreibt der Abgeordnete. Darum könnten sie weder als Legislativ- noch als Strategievorschläge verwendet werden. „Da die #EUGoingDark-Gruppe mit ihrer Arbeitsweise kein nutzbares Ergebnis erreichen kann, gehört diese Gruppe aufgelöst“, fordert Breyer.
Die Piratenpartei ? Gibt es die immer noch ?
„Gesetzlich kriminalisiert könnte hingegen der schlichte Besitz von verschlüsselten Geräten werden, bei denen nachgewiesen ist, dass sie allein zur Kommunikation zwischen Kriminellen verwendet werden“
Ähm…what?
Wenn die Person doch bereits als Krimineller gilt, was zählt es dann da, ob es kriminalisiert wird, wenn sie ein verschlüsseltes Gerät hat?
Das fühlt sich für mich eher wie eine Umschreibung an für „Wir kriminalisieren sämtliche Verschlüsselung, wenn sie von Privatpersonen kommt“.
Dass man diesen gefährlichen Irrsinn dann auch noch als „Security-by-design“ verkauft, sagt alles.
Soche Töne würden mich in einer Diktatur nicht wundern. Sehr wohl aber in einer Union aus Staaten die ständig von sich behauptet, demokratisch zu sein und wiederum mit dem Finger auf Diktatoren zeigt.
Und dass sie nach dem Urteil des EGMR immer noch damit weiter machen, sagt auch alles.
Das einzig Gute an dem ganzen ist, dass die Leute dieser Arbeitsgruppe offenbar selbst nicht so wirklich einen Plan haben, wie sie ihr Ziel erreichen sollen.
Abgesehen davon, bin ich ziemlich sicher bzw hoffe stark, dass das – was auch immer die da beschließen mögen – dann wieder von den Gerichten gekippt wird.
Was hätten die in all den Jahren, die sie immer wieder mit solchem Nonsens wie VDS, Chatkontrolle, Going dark usw verschwenden, nicht alles schon für ECHTEN Schutz der Menschen machen können…
Sind wohl zwei Richtungen vermischt. Kriminalisierung von Verschlüsselung bedeutet, dass alle die sie nutzen, im sieb hängenbleiben. Wobei man dann eben wiederum überlegen müsste, ob Unternehmen z.B. verschlüsseln dürfen, und wie man das auseinanderhalten will.
Das wird China, mit Belgien am Arsch dran kleben.
Wer Digitalisierung einfordert, bekommt Überwachung.