Client-Side-Scanning: Was die Experten sagen

Do, 18. November 2021, Ralf Hersel

Am Dienstag habe ich über einen geplanten Gesetzesentwurf der EU geschrieben, zu dessen Durchsetzung Client-Side-Scanning eine technische Möglichkeit wäre. Dabei werden Inhalten abgegriffen und geprüft, bevor sie verschlüsselt werden können. Nun hat sich die Crème de la Crème der Kryptografie-Szene mit dem Thema kritisch auseinandergesetzt. Das Dokument stammt von Ross Anderson, Matt Blaze, Whitfield Diffie, Ronald L. Rivest, Bruce Schneier und vielen anderen Expertinnen.

Das 46-seitige Dokument mit dem Titel "Bugs in our Pockets: The Risks of Client-Side Scanning" ist am 14. Oktober erschienen. Wer möchte, kann den langen englischen Text durchlesen, oder sich mit dieser Zusammenfassung zufriedengeben:

Unsere zunehmende Abhängigkeit von der digitalen Technologie in persönlichen, wirtschaftlichen und staatlichen Angelegenheiten hat es erforderlich gemacht, die Kommunikation und die Geräte von Privatpersonen, Unternehmen und Regierungen zu sichern. Dies hat dazu geführt, dass die Kryptographie in der gesamten Gesellschaft weit verbreitet ist. Trotz ihrer offensichtlichen Vorteile haben Strafverfolgungsbehörden und nationale Sicherheitsbehörden argumentiert, dass die Verbreitung der Kryptografie den Zugang zu Beweisen und Informationen behindert hat.

Einige in der Industrie und in der Regierung befürworten nun eine neue Technologie für den Zugriff auf gezielte Daten: Client-Side-Scanning (CSS). Anstatt die Verschlüsselung zu schwächen oder den Strafverfolgungsbehörden Hintertürschlüssel zur Entschlüsselung der Kommunikation zur Verfügung zu stellen, würde CSS eine geräteinterne Analyse der Daten im Klartext ermöglichen. Wenn gezielte Informationen entdeckt werden, würden ihre Existenz und möglicherweise auch ihre Quelle den Behörden offenbart; andernfalls würden nur wenige oder gar keine Informationen das Client-Gerät verlassen.

Seine Befürworter behaupten, dass CSS eine Lösung für die Debatte über Verschlüsselung und öffentliche Sicherheit ist: Es bietet Privatsphäre - im Sinne einer ungehinderten Ende-zu-Ende-Verschlüsselung - und die Möglichkeit, schwere Verbrechen erfolgreich zu untersuchen. In diesem Bericht argumentieren wir, dass CSS weder eine wirksame Verbrechensbekämpfung garantiert noch die Überwachung verhindert.

Der Effekt ist eher das Gegenteil. CSS schafft von Natur aus ernsthafte Sicherheits- und Datenschutzrisiken für die gesamte Gesellschaft, während die Unterstützung, die es den Strafverfolgungsbehörden bieten kann, bestenfalls problematisch ist. Es gibt zahlreiche Möglichkeiten, wie die clientseitige Überprüfung versagen, umgangen und missbraucht werden kann.

Quelle: https://arxiv.org/abs/2110.07450