Chatkontrolle: Technische Auswirkungen

Gestern hat die Präsidentin von Signal und Mitglied des Verwaltungsrats der Signal Stiftung, Meredith Whittaker, bei der Deutschen Presseagentur angekündigt, dass man den EU-Markt verlassen würde, falls die gesetzlichen Regelungen zur Chatkontrolle in Kraft treten würden:

Wenn wir vor die Wahl gestellt würden, entweder die Integrität unserer Verschlüsselung und unsere Datenschutzgarantien zu untergraben oder Europa zu verlassen, würden wir leider die Entscheidung treffen, den Markt zu verlassen, sagt Whittaker.

Worum es bei der Chatkontrolle geht, möchte ich hier nicht erklären. Dazu findet man zum Beispiel bei netzpolitik.org eine umfangreiche und fundierte Berichterstattung in 280 Artikeln. Am 14. Oktober könnte der EU-Rat den Startschuss für die Chatkontrolle geben. Ich weise darauf hin, dass als Hauptgrund für die Chatkontrolle, die Bekämpfung von sexualisierter Gewalt an Kindern genannt wird. Dieser Grund wurde vom Deutschen Kinderschutzbund und weiteren Organisationen, die sich für die Rechte von Kindern einsetzen, widerlegt. Als weiterer Grund wird häufig die Terrorismusbekämpfung genannt.

In diesem Artikel geht es mir nicht um die gesellschaftlichen oder politischen Hintergründe, sondern um mögliche Umsetzungen, aus einer technischen Perspektive. Hierbei geht es um das "Client-Site-Scanning".

Client-Site-Scanning

Um CSS (Client-Site-Scanning) zu erklären, hat Ángel Sanz Montes Ende September bei Pressenza eine gute Erklärung geschrieben. Im Wesentlichen gibt es zur Umsetzung drei Möglichkeiten, von denen zwei relevant sind:

1. Anbieter von Telekommunikations-Anwendungen (in erster Linie Messenger) werden gesetzlich dazu verpflichtet, die Kommunikation an Behörden (oder zwischengeschaltete Organisationen) auszuleiten, bevor die Ende-zu-Ende-Verschlüsselung der Apps einsetzt.
   
   Nehmen wir den Messenger Signal als Beispiel. Wenn ihr dort einen Text oder ein Bild verschickt, würden zwei Kanäle aktiv: 1. Die Verschlüsselung und das Versenden der Inhalte. 2. Das Ausleiten der unverschlüsselten Inhalte an staatliche Organisationen.
   
   
2. Die Ausleitung erfolgt nicht in den Messenger-Apps, sondern auf der Ebene der Betriebssysteme (Apple iOS oder Google Android). Eure Eingaben würden auf der Betriebssystemebene abgefangen, ohne, dass eine App etwas dagegen ausrichten kann. Sozusagen ein Keylogger.
   
   
3. Android und iOS speichern viele (alle) Daten und Aktionen, die ihr auf eurem Smartphone speichert und ausführt, in ihren Clouds. Auch dort kann das Scanning ansetzen. In diesem Fall sprechen wir jedoch nicht vom Client-Site-Scanning, weil es nicht mehr auf dem Client (eurem Smartphone) stattfindet.

Bewertung

Das Cloud-Site-Scanning findet ohnehin schon statt und fällt daher aus dem Betrachtungsrahmen dieses Artikels. Die ersten beiden Punkte sind interessanter. Die Verpflichtung von Messenger-Anbietern, CSS in ihre Apps einzubauen, halte ich für nicht realistisch. Diese Anbieter müssten ihre Anwendungen vom Markt zurückziehen, weil sie ansonsten ihren USP verlieren würden. Genau das sehen wir zurzeit bei den Ankündigungen von Signal und Threema.

Selbstverständlich wird es Anbieter von Messenger-Apps geben, die sich dem Gesetz beugen, und ihre Verschlüsselung aufbrechen, um euch weiterhin melken zu können. Welche Anbieter das sein werden, könnt ihr euch denken.

Doch was ist für die EU der Weg des geringsten Widerstands? Ist es einfacher, die App-Anbieter zu verpflichten, oder die Betriebssysteme zu regulieren? Bei dieser Frage bin ich mir unsicher. Es ist vermutlich einfacher und effizienter, Apple und Google zum Einbau von CSS in iOS und Android zu überreden, als den Kampf mit vielen App-Anbietern aufzunehmen. Oder ist es genau umgekehrt?

Auswege

Der beste Ausweg ist, das Inkrafttreten der Chatkontrolle in der EU auf politischer Ebene zu verhindern. Dafür ist die aktive Ausübung eurer demokratischen Rechte gefragt. Nehmt Kontakt mit den Politiker:innen auf, die ihr auf Gemeinde-, Landes- oder Bundesebene gewählt habt, und macht ihnen klar, was ihr wollt bzw. nicht wollt.

Falls das CSS-Schwert die Apps trifft, könnt ihr vielleicht auf andere Apps ausweichen, die die Chatkontrolle nicht implementieren. Falls der Stein auf die Betriebssysteme fällt, wird es schwierig. Da bleibt nur das Ausweichen auf Custom-ROMs übrig, die CSS rauspatchen, oder der Umstieg auf ein Smartphone-OS, welches nicht auf Android oder iOS setzt.

Da sich die Android-basierten Custom-ROMs zurzeit unter massivem Druck befinden, ist es fraglich, ob man dort eine neue Heimat findet. In diesem Kontext möchte ich an einen Artikel erinnern, den ich Anfang August geschrieben habe. Darin geht es darum, dass E2E-Verschlüsselung eben nicht das Mass aller Dinge ist. Falls die Chatkontrolle gesetzlich verankert wird, kommt ihr wohl nicht darum herum, eure Gedanken vor der Technik zu verschlüsseln.

Um diesen Artikel nicht dystopisch enden zu lassen, hoffe ich darauf, dass sich die europäischen Staaten gegen die Einführung der Chatkontrolle entscheiden. Ab dem 14. Oktober sehen wir weiter und können uns über neue Abwehrstrategien unterhalten.

Titelbild: https://pixabay.com/photos/whisper-woman-man-408482/

Quellen:

https://www.tagesschau.de/wirtschaft/digitales/signal-app-rueckzug-europa-100.html

https://signalfoundation.org/de/

https://netzpolitik.org/?s=Chatkontrolle

https://netzpolitik.org/2022/massenueberwachung-das-sagen-kinderschutz-organisationen-zur-chatkontrolle/

https://www.pressenza.com/de/2025/09/technologie-client-side-scanning-css-scannen-auf-kundenseite-auf-ihren-eigenen-geraeten/

https://www.heise.de/news/F-Droid-Neue-Entwickler-Regeln-koennten-Aus-fuer-alternative-App-Stores-bedeuten-10673640.html

https://gnulinux.ch/zum-wochenende-brain-to-brain