Client-Side-Scanning

Di, 16. November 2021, Ralf Hersel

Im Rahmen der Massnahmen gegen Kindesmissbrauch im Internet, stellen sich die EU-Innenministerinnen hinter einen geplanten Gesetzentwurf, der möglicherweise Verpflichtungen für Internetdiensteanbieter enthalten, solchen Missbrauch aufzudecken, zu melden und zu beseitigen.

Befürwortet wird ein Gesetzespaket zur Bekämpfung von sexuellem Kindesmissbrauch, das die EU-Kommission bald vorstellen will. Ein Teil des geplanten Paketes behandelt die Verbreitung von Darstellungen von Kindesmissbrauch im Internet. Besonderes Augenmerk soll das Gesetz auf private und verschlüsselte Kommunikation legen, etwa über Messenger-Apps. Wie kann das technisch funktionieren?

Eine technische Umsetzung einer solchen Vorgabe nennt sich Client-Side-Scanning (CSS). Für CSS ist eine Ende-zu-Ende-Verschlüsselung kein Problem, da das Durchsuchen der Inhalte, vor der Verschlüsselung auf der Client-Seite passiert. Dass ein solches Umgehen ein enormes Sicherheitsrisiko darstellt, muss hier nicht mehr erklärt werden. Es öffnet Tore für Kriminelle und staatliche Cracker. Hier zeigt sich erneut, dass Ende-zu-Ende-Verschlüsselung immer viel zu kurz gedacht wurde und immer noch wird. E2E beginnt im Kopf und endet auch dort; aber das ist ein anderes Thema.

Um CSS zu implementieren, sind gesetzliche Zwangsmassnahmen für Smartphone- und Betriebssystemhersteller notwendig. Nur sie haben die Möglichkeit, Inhalte vor der Verschlüsselung zu untergraben - entweder Hardware-seitig, oder auf Betriebssystem-Ebene.

Die Lösung des Problems ist so klar und einfach, wie auch kaum erreichbar: freie Hardware, freie Firmware, freie Smartphone-Betriebssysteme und freie Software. Die letzten beiden Komponenten sind verfügbar, erstere sind in weiter Ferne. Alle vier Punkte sind im Massenmarkt so gut wie nicht vorhanden, und erhalten keine Aufmerksamkeit, weil sie auf dem Altar der Bequemlichkeit schon lange geopfert wurden.

Um es klar zu sagen: kriminelle Aktivitäten, sei es Missbrauch in jeglicher Form, Terrorismus, organisierte Kriminalität, usw. sind verachtungswürdig und müssen bekämpft werden. Wenn dafür jedoch die Zivilgesellschaft unter Generalverdacht gestellt wird, ist das nicht verhältnismässig und hält dem Urteil keines Verfassungsgerichts stand. Der Zweck heiligt eben nicht die Mittel. Hinzu kommt, dass mit solchen Massnahmen, eine rechtskonforme Wirtschaftstätigkeit und demokratische Handlungen im Internet verunmöglicht werden, da niemand mehr die Integrität von Willensakten garantieren kann. Die Möglichkeit von Manipulation vor einer Verschlüsselung, macht vertrauenswürdige Handlungen unmöglich.

Quelle: https://slovenian-presidency.consilium.europa.eu/media/x3rjwq2a/csa-conference-joint-statement.pdf