"Die Chatkontrolle ist ein Sicherheitsrisiko für ganz Europa"

Whatsapp und Signal sind verschlüsselte Messenger. Die Europäische Union will deshalb noch vor dem Versenden von Nachrichten mitlesen.

Eine Gruppe hochrangiger Cybersicherheitsforscher aus Österreich warnt vor den Konsequenzen, sollten die Pläne zur Chatkontrolle umgesetzt werden. Zum einen werden die Bürgerinnen und Bürger Europas von sicherer Kommunikation abgeschnitten und einer anlasslosen Massenüberwachung unterzogen. Zum anderen ist die Technologie dahinter alles andere als sicher, und das könnten Kriminelle oder staatliche Akteure für sich ausnutzen.

Die Gefahr für die Menschen in der Union ist jedenfalls enorm, warnen die Vertreter der Informatik Austria, eines Zusammenschlusses der Informatik-Fakultäten an den österreichischen Universitäten. DER STANDARD hat mit Matteo Maffei (TU Wien), Daniel Gruss (TU Graz), René Mayrhofer (Johannes-Kepler-Universität Linz) und Krzysztof Pietrzak (Institute of Science and Technology Austria) gesprochen.

Grundsätzlich sieht der aktuelle Vorschlag sogenanntes Client-Side-Scanning vor. Will man eine Nachricht über einen Messenger wie Whatsapp verschicken, wird diese vor dem Senden auf illegale Inhalte gescannt. Damit können Polizeibehörden nach Darstellungen sexuellen Missbrauchs an Kindern fahnden, ohne die Verschlüsselung aufzubrechen. So zumindest stellt sich das die belgische Ratspräsidentschaft vor, die den Beschluss unbedingt noch in dieser Woche durch den Rat der Europäischen Union drücken will.

Und weil der Begriff Client-Side-Scanning mittlerweile einen schlechten Leumund hat, spricht man in Brüssel lieber von "Uploadmoderation". Die Kritik an dem Vorhaben ist enorm: Forschende, Datenschutzorganisationen und sogar Kinderschutzzentren sprachen sich gegen die Pläne aus. Erst am Dienstag dieser Woche haben Abgeordnete aus Österreich, Deutschland, Luxemburg und den Niederlanden in einem offenen Brief vor den Folgen der Massenüberwachung gewarnt.

Was kommt in die Datenbank?

Aus technischer Sicht ist Client-Side-Scanning jedenfalls eine Katastrophe für die Cybersicherheit der Europäerinnen und Europäer, warnt die Expertenrunde. Das erste Problem: Die Bilder oder Videos auf den Endgeräten müssen mit ähnlichen Bildern abgeglichen werden, um zu erkennen, ob es sich tatsächlich um Darstellungen von Kindesmissbrauch handelt.

Eine EU-Behörde müsste also eine riesige Datenbank mit derartigem Material anlegen. Da diese Datenbank aufgrund ihres Inhalts logischerweise nicht einsehbar ist, gibt es auch keine Kontrolle darüber, was tatsächlich darin landet. Im Fall von Missbrauchsmaterial mag das unstrittig sein, aber es ist eben nicht garantiert, dass nicht auch völlig andere Inhalte plötzlich als unerwünscht gelten, so René Mayrhofer.

"Wer garantiert, dass nicht etwa der chinesische 'Tank Man' plötzlich darin landet?", spielt der Experte auf jenes ikonische Foto vom Tian'anmen-Platz an, das in China konsequent zensiert wird. Dieses zeigt einen bisher nicht öffentlich identifizierten Mann, der sich während des Massakers vor einen Konvoi von Panzern stellte. Eine Art Dammbruch wäre die Folge, wenn die Datenbank wächst und unkontrolliert mit Material gefüttert werden kann.

Ungenaue Zahlen

Und da läuft Client-Side-Scanning gleich in das nächste Problem: Denn ein wirklich genaues Scanning-Modul gibt es nicht. Das wird zur Folge haben, dass die Software an sich harmloses Material als illegalen Inhalt erkennt, etwa weil man Fotos von den eigenen im Garten spielenden Kindern an die Oma weiterschickt. Eine technische Methode, diese falsch positiven Meldungen zu erkennen, gibt es aber nicht, so Mayrhofer.

Mehr noch: Die angebliche Kinderschutzorganisation Thorn verkauft über ein Subunternehmen eine Software, die 99 Prozent aller Abbildungen von sexuellem Missbrauch erkennen können soll. Die Zahl stammt aus dem Marketingmaterial der von US-Schauspieler Ashton Kutcher mitgegründeten Organisation. Belege für die vermeintlich hohe Trefferquote gibt es nicht.

Vermeintlich deshalb, weil selbst 99 Prozent viel zu wenig sind, meint der Sicherheitsexperte. "Bei den Milliarden von Bildern und Nachrichten, die täglich verschickt werden, produziert dieses System so viele Falschmeldungen, dass die Strafverfolgungsbehörden nicht mehr nachkommen können." Selbst wenn ein Bild zwei Mal verifiziert wird, um die Fehlerquote zu drücken, würde das die Zahl der Falschmeldungen nur unwesentlich verringern.

Fehleranfällig

Ein Argument, das sich neben einfacher Prozentrechnung auch mit Zahlen des deutschen Bundeskriminalamts untermauern lässt. In den USA werden CSAM-Verdachtsfälle an das National Center for Missing and Exploited Children (NCMEC) gemeldet. Dort melden die großen Anbieter wie Facebook, Instagram oder Tiktok verdächtiges Material. Aber auch User selbst können Inhalte als Verdachtsfälle markieren. Die Organisation leitet die Verdachtsfälle an die Behörden in den jeweiligen Ursprungsländern weiter. Im Jahr 2022 gingen deshalb 136.437 derartiger Hinweise beim deutschen Bundeskriminalamt ein. Davon stellten sich 89.844 als strafrechtlich relevant heraus, wie Netzpolitik.org berichtet.

Im Vorjahr ist die Zahl der Meldungen auf 180.287 gestiegen. Das führte aber nicht zu mehr tatsächlichen Fällen von Kindesmissbrauch. Deren Zahl sank sogar leicht auf 89.336. Was sich hingegen verdoppelte, war die Zahl der falschen Meldungen. 40 Prozent der Verdächtigen waren übrigens Minderjährige, die einvernehmliches Sexting mit Gleichaltrigen betrieben haben. Das ist in Österreich bei Personen über 14 Jahren legal, solange keine Dritten auf das Material Zugriff haben.

Die EU-Kommission nennt aber nur die Zahl der Meldungen, also bloße Verdachtsmomente, und spricht von 30 Millionen Fällen, auch wenn der Großteil davon strafrechtlich nicht relevant ist, weil es sich eben um straffreies Sexting oder falsch-positive Meldungen handelt.

Scan-Modul wird angreifbar sein

Neben den Falschmeldungen kommt noch ein Phänomen dazu, das Softwareentwicklern bekannt sein dürfte. Mayerhofer: "Der größte Feind eines sicheren Systems ist Komplexität. Ein komplexes Modul wie eine Scan-Software kann man einfach nicht sicher bauen."

Was das in der Praxis bedeutet, erklärt Daniel Gruss von der TU Graz: "Diese Software wird Sicherheitslücken haben. Sobald Client-Side-Scanning da ist, werden Bugs drinnen sein, die man ausnutzen kann." Mehr noch: Studierende von sogenannten CTF-Teams (Capture The Flag), die sich in Hacking-Bewerben engagieren, wären wohl binnen kürzester Zeit in der Lage, diese Programmierfehler auszunutzen und in das vermeintlich sichere System einzudringen und es zu manipulieren. "Und wenn wir es knacken können, dann können es andere auch, da müssen wir uns nichts vormachen." Diese "anderen" könnten etwa Akteure im Auftrag von autoritären Staaten sein. Jedenfalls wäre eine solche Software sofort das primäre Angriffsziel russischer Hacker, um nur ein Beispiel zu nennen, so die Argumentation der Experten.

Kriminelle können sichere Messenger selbst bauen

Damit enden die Probleme aber immer noch nicht. Denn es kommt noch die Tatsache hinzu, dass dezentrale Messenger mit verschlüsselten Nachrichten keine technischen Wunderwerke sind. Ein Chatprogramm auf Basis des sicheren MLS-Protokolls zu programmieren sei an den heimischen Unis ein Abschlussprojekt einer Bachelorarbeit. Das ist zweifelsohne Fachwissen, aber nichts, worauf nicht die organisierte Kriminalität auch Zugriff hätte.

Damit wäre es Kriminellen ein Leichtes, ihre eigenen Kommunikationskanäle zu erschaffen und sich dem Zugriff der Strafverfolger vollständig zu entziehen. Ein Phänomen, das in einer hauptsächlich aus Polizeibehörden bestehenden Expertengruppe in Brüssel gern als "Going Dark" beschrieben wird.

Technisch ist Client-Side-Scanning also eine höchst wackelige Angelegenheit, um eine vorsichtige Formulierung zu bemühen. Die Implikationen für die Grundrechte in Europa wären bei einer Umsetzung aber enorm, warnt Matteo Maffei, Professor für Sicherheit und Privatsphäre an der Technischen Universität Wien. "Für die Gesellschaft wäre es dasselbe, wie wenn jeder Brief systematisch gelesen, geprüft, wieder verschlossen und erst dann zugestellt würde." Das Problem sei die Existenz von CSAM-Material an sich und nicht dessen Übermittlung. Mit diesem vorgeschobenen Argument die Verschlüsselung de facto aufzubrechen sei ein unkalkulierbares Risiko. "Wir müssen die Sicherheit der Bürger verbessern, nicht gefährden."

"Bürger werden von sicherer Kommunikation abgeschnitten"

Sollte die Chatkontrolle tatsächlich umgesetzt werden, wäre das für Europa einer massiver Schaden, sind sich die IT-Experten einig. Signal würde sich aus Europa zurückziehen, damit stünde den Bürgerinnen und Bürgern eines der aktuell besten Tools für verschlüsselte Kommunikation nicht mehr zur Verfügung. "Europa wäre mit einem Schlag von einem der besten Messenger abgeschnitten", warnt Mayrhofer.

Whatsapp, das gemeinhin ebenfalls als "sicherer" Messenger gilt, würde die Scan-Software wohl implementieren, um den europäischen Markt nicht zu verlieren, so die Einschätzung. Threema gehört ebenfalls zu den verschlüsselten Messengern. Auch das Mutterunternehmen aus der Schweiz hat in einem Blogpost angekündigt, dass es keine Variante von Threema geben wird, die ihre Nutzerinnen oder Nutzer abhört. Auch dieser Messenger würde damit wohl den Menschen in der EU nicht mehr zur Verfügung stehen.

"Was wir wirklich brauchen, ist Forschung, wie die Systemsicherheit verbessert wird, und keine Verschlechterung. Sichere Kommunikation ist eines der wenigen Themen in der IT-Sicherheit, das relativ gut verstanden ist. Macht das nicht kaputt", so der Appell der Wissenschafter. (Peter Zellinger, 19.6.2024)

Messenger-Überwachung