Im Sommer 2021 erlaubte die EU – zuerst nur vorübergehend und auf freiwilliger Basis – die Überwachung privater Chats durch deren Anbieter zur Bekämpfung von Kinderpornografie. Nun soll ein neues Gesetz dieses Vorgehen, das auch verschlüsselte Chats betrifft, nicht nur endgültig legalisieren, sondern auch Online-Dienste wie Facebook, Skype und WhatsApp zur Umsetzung der von Kritikern oft als „Chatkontrolle“ bezeichneten Maßnahme verpflichten. Der laut Netzpolitik.org von dem deutschen EU-Politiker und Abgeordneten der Piratenpartei Patrick Breyer geprägte, aber inzwischen in Medien geläufige Begriff weist auf die seit Ende 2020 andauernde, zunehmende Polarisierung der Debatte hin.
Für EU-Kommissarin Ylva Johansson, die als treibende Kraft hinter dem Gesetzesvorhaben, das am 30. März vorgestellt werden soll, gilt, ist die Sache klar. Ihr zufolge geht es in dem Gesetz vor allem um das Bekämpfen und die Prävention von sexuellem Missbrauch von Kindern. So schreibt Johansson in einem von Breyer veröffentlichten Antwortschreiben an mehrere EU-Abgeordnete, die ihr Vorhaben kritisierten: „Wir wollen sicherstellen, dass die Unternehmen ihren Teil dazu beitragen, indem sie verpflichtet werden, sexuellen Kindesmissbrauch im Internet aufzudecken, zu melden und zu entfernen.“
EU plant Zentrum zur Bekämpfung von sexuellen Missbrauch von Kindern im Netz
Das „EU-Zentrum“ – die EU plant ein europäisches Pendant zum US-amerikanischen National Centre for Missing and Exploited Children (NCMEC), die es Nutzern ermöglicht Hinweise auf sexuellen Missbrauch von Kindern einzureichen – würde dabei eine Schlüsselrolle spielen: „Das EU-Zentrum wird eine Schlüsselrolle spielen: Es wird die Arbeit der Online-Plattformen bei der Aufdeckung, Meldung und Beseitigung von sexuellem Kindesmissbrauch im Internet erleichtern und gleichzeitig sicherstellen, dass diese Bemühungen nicht dazu missbraucht werden, andere Inhalte ins Visier zu nehmen.“
Dass andere Inhalte ins Visier genommen werden könnten, wenn die technische Möglichkeit dazu bestünde, ist jedoch – neben schwereben Bedenken im Hinblick auf das Missbrauchspotenzial – einer der Hauptkritikpunkte an der Chatkontrolle. Die Kritiker beziehen sich nämlich insbesondere auf die Technologie, die bei der Durchführung der Chat-Überwachung mutmaßlich zum Einsatz kommen soll, respektive von einigen Unternehmen bereits dazu genutzt wird. Dabei handelt es sich nämlich um das sogenannte Client-Side-Scanning (CSS), bei dem die Endgeräte aller Nutzer anlasslos und automatisiert auf den Besitz illegaler Dateien kontrolliert werden sollen können.
Kritiker sprechen von "Wanzen in unseren Hosentaschen"
In einer Studie mit dem Titel „Wanzen in unseren Hosentaschen: Die Risiken des Client-Side-Scannings“ kritisieren renommierte IT-Sicherheitsforscher den Einsatz von Inhalte-Scannern auf privaten Endgeräten. Die Überwachungstechnologie berge Sicherheits- und Datenschutzrisiken, während der Nutzen für die Strafverfolgung von überschaubarer Bedeutung wäre. Weiter heißt es in der Studie, die Befürworter der Chatkontrolle wollten, dass CSS auf allen Geräten installiert würde und nicht bloß auf solchen von Straftätern: „Aber die allgemeine Einführung [Anm. d. Red.: von Client-Side-Scanning] bedroht die Sicherheit gesetzestreuer Bürger ebenso wie die von Gesetzesbrechern.“
Zwar ermögliche CSS technisch gesehen noch eine Ende-zu-Ende-Verschlüsselung – inwiefern man aber noch von einer verschlüsselten Nachrichten sprechen könne, wenn diese zuvor auf illegale Dateien gescannt wurde, sei strittig. „In Wirklichkeit“, so die Wissenschaftler „handelt es sich bei CSS um Massenabhörung, wenn auch automatisiert und verteilt.“ Da CSS den Behörden Zugang zu privaten Inhalte ermögliche, müsse es juristisch wie Abhören behandelt werden – zugespitzt: Wer Massenabhörungen verbietet, müsse die massenhafte, automatisierte Nutzung von Client-Side-Scanning ebenfalls verbieten. Auch Breyer erhebt schwere Vorwürfe gegen die von der EU angestrebte Verpflichtung von Social-Media-Portalen und Messenger-Diensten dazu, diese Technologie zu nutzen.
Sicherheitslücken könnten auch für Regierungen und Wirtschaft zum Problem werden
Auf seiner Website warnt der Europaabgeordnete davor, dass die Vertraulichkeit privater Kommunikation nachhaltig zerstört werde: „Nutzer von Messenger-Diensten und E-Mail müssen davon ausgehen, dass alle ihre Nachrichten künftig in Echtzeit mitgelesen und ausgewertet werden.“ Neben dem Verlust der Vertraulichkeit und der Aufstellung eines Generalverdachts gegenüber Bürgern öffne CSS aber auch Datenmissbrauch Tür und Tor: So seien bereits Fälle bekannt geworden, in denen Mitarbeiter von US-Behörden abgefangene Nacktbilder in Umlauf gebracht hätten. Darüber hinaus gefährde die Chat-Überwachung aber auch Geschäfts- und Regierungsgeheimnisse, weil Hintertüren bei Sicherheitsverschlüsselungen eingebaut werden müssten. Diese Sicherheitslücken könnten dann wiederum von jedem mit den nötigen technischen Mitteln missbraucht werden.
Das betonte auch Patrick Hennies von der Allianz für Sicherheit in der Wirtschaft gegenüber dem ARD-Format „plusminus“. Hennies, so heißt es im Beitrag, „führt einen Großteil der Cyber-Angriffe auf die deutsche Wirtschaft auf solche Sicherheitslücken zurück.“ Behörden würden die Sicherheitslücken genauso nutzen wie Kriminelle. Allein 2019 hätten deutsche Unternehmen durch Cyberkriminalität rund 100 Milliarden Euro verloren. „Sichere Kommunikation ist für uns elementar, weil natürlich heutzutage der Großteil unserer Geschäftsprozesse, unserer Tätigkeiten tatsächlich in der Kommunikation stattfindet“, erklärt Hennies. Geheimnisse, Wissen und Vorteile versteckten sich heute nicht mehr in Forschungs- oder Produktionsanlagen, sondern in der internen Kommunikation der Unternehmen. Das Gespräch mit Hennies führte plusminus damals im Kontext der Ermordung des niederländischen Journalisten Peter de Vries durch einen marokkanischen Mafioso.
EU-Kommissarin Johansson: Fokus muss auf Schutz der Kinder liegen
Mit dem neuen Gesetzesentwurf der EU-Kommission dürfte die Debatte rund um Client-Side-Scanning und Kinderschutz wieder aufflammen. Und die Gemengelage in dieser Debatte ist diffus. Die Mehrheit der EU-Politik – und sogar vereinzelte US-Schauspielern wie Ashton Kutcher – befürworten das Gesetzt, Organisationen für digitale Bürgerrechte bekämpfen es, werfen der CSS-Industrie unverhältnismäßige Lobby-Arbeit vor. Für diese diffuse Gemengelage sprachen auch die Abstimmungsergebnisse der deutschen Parteien im EU-Parlament über die damals nur vorübergehende Legalisierung der freiwilligen, also von den Unternehmen eigenmächtig verwalteten, Chatkontrolle: Nennenswerter Widerspruch war in Deutschland nur seitens der Linken, der Grünen und – als einzige Gegenstimme innerhalb der europäischen Rechtsfraktionen – der AfD zu vernehmen.
Doch aller Widerspruch kann nicht über die Dringlichkeit eines stärkeren Engagements der EU im Kampf gegen sexuellen Kindesmissbrauch im Netz hinwegtäuschen. Diese Dringlichkeit unterstrich Johansson Anfang des Jahres im Gespräch mit „Welt am Sonntag“: „Während der Pandemie, wo sich mehr Täter isoliert zu Hause aufgehalten haben, ist die Nachfrage nach Material mit Darstellungen sexuellen Kindesmissbrauchs angestiegen, in einigen EU-Mitgliedsländern sogar um bis zu 25 Prozent.“ Im Jahr 2020 hätten Internetanbieter und soziale Netzwerke zudem 22 Millionen Meldungen von sexuellem Kindesmissbrauch eingereicht – nur ein Bruchteil, wie Johansson betont. Ein Bericht der Internet Watch Foundation (IWF) zeigt sogar, dass die Mehrheit der Websites mit Bezug zu sexuellem Missbrauch von Kindern aus Europa stammt. Zwar hält auch Johansson Datenschutz und Verschlüsselung für wichtig, doch der Fokus müsse „in erster Linie auf dem Schutz der Kinder liegen.“ Es ginge darum, das Recht der Kinder auf physische Unversehrtheit, auf Sicherheit im Internet und auf ihre Privatsphäre zu schützen – und so multiplen Traumatisierungen der Überlebenden vorzubeugen.
