Dieser Artikel stammt von Netzpolitik.org.
Eine von der EU-Kommission eingesetzte Expert:innengruppe (HLG) zum Thema „Going Dark“ hat ihre Empfehlungen abgegeben. Behörden fürchten ein Szenario, in dem Kommunikation in großen Teilen verschlüsselt stattfindet und sie deswegen nicht mehr ermitteln könnten. Polizeien und Geheimdienste nennen dieses Phänomen gerne „Going Dark“. Studien bezweifeln allerdings die negativen Auswirkungen, unter anderem weil die Polizei durch digitale Technologien eine Fülle neuer Daten zur Verfügung steht, die sie früher gar nicht hatte.
Über eine Informationsfreiheitsanfrage sind mehrere Dokumente der Arbeitsgruppe bekannt geworden, aus denen Empfehlungen des Gremiums abgeleitet werden können. In einem weiteren, auf den 22. Mai datierten eingestuften Bericht (PDF), den wir im Volltext veröffentlichen, sind die 42 Empfehlungen des Gremiums verschriftlicht.
In diesem Dokument schreibt die von Sicherheitsbehörden dominierte EU-Expertengruppe, dass sie dem Grundsatz „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ gefolgt sei. Ein Grundsatz, den auch die deutsche Bundesregierung im Hinblick auf Ende-zu-Ende-Verschlüsselung formuliert hat – und der widerspiegelt, dass eine Schwächung von Verschlüsselungstechnologien im Dienste der Ermittlungsbehörden die Sicherheit aller Nutzer:innen gefährdet.
Hintertüren gefordert
Selbstverständlich kann die Expertengruppe diesen Widerspruch nicht auflösen. Sie fordert neben besserer internationaler Zusammenarbeit von Behörden einerseits unzählige weitere Speicher- und Überwachungspflichten im IT-Bereich und empfiehlt andererseits, dass Technologien so entwickelt werden, dass sie das Auslesen von unverschlüsselten Inhalten erlauben sollten – ohne die IT-Sicherheit zu gefährden. Gemeint sind Hintertüren oder Techniken, die wie das Client-Side-Scanning ein Auslesen vor dem Verschlüsselungsvorgang erlauben.
Hierbei spricht sich das Gremium dafür aus, eine Forschungsgruppe „zur Bewertung der technischen Machbarkeit von eingebauten rechtmäßigen Zugangsverpflichtungen auch für den Zugriff auf verschlüsselte Daten“ einzusetzen. Zudem empfiehlt sie, dass sich Strafverfolgungsbehörden mehr an Normierungsgremien beteiligen sollen. Das Ziel: Protokolle und technische Architektur sollten so gestaltet werden, dass die Anliegen von Strafverfolgungsbehörden in einem frühen Stadium der Entwicklung künftiger technologischer Standards berücksichtigt werden können.
Gegen Privacy-by-Design
Für die Industrie soll es nach dem Wunsch der Expertengruppe mehr Verpflichtungen zur Zusammenarbeit mit Strafverfolgungsbehörden geben. Besonders im Fokus der Expertengruppe stehen sogenannte Over-The-Top-Dienste (OTT). Gemeint sind hierbei Messenger.
Hier fordert die HLG, dass diese auf Anfrage „alle Geschäftsdaten“ ihrer Nutzer:innen herausgeben müssen. Überhaupt sollten solche Dienste mehr Daten speichern müssen, wenn es nach dem Willen des Gremiums geht, möglichst mehr Daten als für den Betrieb eines Services nötig sind. Diese Forderung richtet sich vor allem gegen Anbieter von verschlüsselten Messengern, die besonders datensparsam agieren.
Das Gremium kritisiert auch kommerzielle Initiativen für einen Schutz der Privatsphäre. Explizit genannt wird dabei Apples Private Relay, eine VPN-ähnliche Infrastruktur, bei der die IP-Adresse der Nutzer:innen standardmäßig verschleiert wird. Das Feature ist in autoritären Ländern wie China, Belarus oder Turkmenistan nicht verfügbar, aber auch europäischen Sicherheitsbehörden offenbar ein Dorn im Auge.
Die Zügel sollen aber nicht nur gegenüber der klassischen Digitalindustrie angezogen werden, sondern auch für Dienste, die das Gremium als „kriminell“ beschreibt, etwa den Dienst Encrochat. Hierbei fordert die Gruppe mehr Möglichkeiten von Strafverfolgung gegen solche Dienste an sich. Generell solle die EU für Dienste und Anbieter, die sich gegenüber Sicherheitsbehörden als „unkooperativ“ zeigen, mehr Sanktionen ermöglichen.
Ausweitung der Vorratsdatenspeicherung
Die Gruppe kritisiert auch, dass die Vorratsdatenspeicherung erschwert sei und fordert hier längere Speicherfristen. Auch im Bezug auf Metadaten solle die EU weitere Pflichten einführen. Insbesondere Messenger sollen mit einer Vorratsdatenspeicherung belegt werden, geht beispielsweise aus Empfehlung 27 des Gremiums hervor. In den Mitgliedstaaten fordert die Gruppe zudem eine „Harmonisierung“ bei den Verkehrs- und Geodaten, die gespeichert werden.
Die „Forensikabteilungen“ der Mitgliedstaaten sollen enger zusammenarbeiten, damit sie Wissen und Software besser teilen können. Ein großes Hindernis für die Ermittler stellten hierbei die Kosten kommerzieller „forensischer Instrumente“ dar. Gemeint sind mit diesen Instrumenten etwa Staatstrojaner und andere Spähsoftware, welche die Behörden bei Unternehmen wie der NSO Group teuer kaufen. Die Mitgliedsstaaten sollten solche kommerziellen Anbieter in Zukunft im Hinblick auf Vertrauenswürdigkeit zertifizieren und die forensischen Instrumente über Ländergrenzen hinweg austauschen, fordert das Gremium.
Einseitiges Gremium von Anfang an in der Kritik
Seit vergangenem Jahr hat die Gruppe hochrangiger Expert:innen getagt, um dem sogenannten „Going-Dark“-Problem zu begegnen. Bei der von der EU eingerichteten „High-Level Group“ fiel von Beginn an eine Schieflage auf: Ihr Ohr schenkte die EU-Kommission in erster Linie Ermittlungsbehörden und deren Sicht auf das Thema.
Diese Schieflage hatten Datenschützer:innen kritisiert und wurden daraufhin in den Prozess eingebunden, allerdings erst spät und nur inoffiziell. Auf die Empfehlungen des Gremiums haben sie offenbar kaum Einfluss gehabt. Zwar nennt das Dokument immer wieder die Einhaltung des Datenschutzes und der Privatsphäre als Prinzip, fordert aber gleichwohl eine massive Ausweitung verschiedener Überwachungstechniken und letztlich das Ende von echter Ende-zu-Ende-Verschlüsselung.
Der scheidende EU-Piraten-Abgeordnete Patrick Breyer nennt die Empfehlungen des Gremiums die „geheime Wunschliste der EU-Regierungen“ und warnt davor, dass diese Vorschläge nach der Europawahl umgesetzt würden. „Dieser extreme Überwachungsplan darf schon deshalb nicht Wirklichkeit werden, weil er von einer völlig einseitig besetzten, ohne echte Transparenz und demokratische Legitimation arbeitenden Geheimgruppe von Überwachungsfanatikern ausgekocht worden ist“, so Breyer. Wer das Recht auf sichere Verschlüsselung angreife, attackiert nicht nur die Privatsphäre, sondern auch den Wirtschaftsstandort Europa.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Markus Reuter