Die EU-Kommission will die Chatkontrolle trotz Kritik von Expertinnen und Experten und vielen offenen technischen Fragen möglichst schnell umsetzen. IMAGO/Wavebreak Media Ltd

Nationale Polizeibehörden von EU-Mitgliedsstaaten können es kaum erwarten, dass sie endlich Zugriff auf verschlüsselte Kommunikation von Messengern wie Whatsapp, Facebook Messenger oder Threema bekommen. Zumindest geht das aus teilweise geschwärzten Dokumenten der Expertengruppe "Going Dark" hervor. Deren Mission: das Verschlüsselungs-"Problem" lösen. Der EU-Abgeordneten Patrick Breyer (Piratenpartei) aus Deutschland hat die Unterlagen aufgrund einer Informationsfreiheitsanfrage bekommen und veröffentlicht. Daraus geht hervor, dass manche Behörden am liebsten in Echtzeit Chats mitlesen möchten.

Besonders weit geht die belgische Bundespolizei. Deren technische Unterstützungseinheit hat eine Präsentation erstellt, in der sie einen Zugriff auf die Kommunikation in Echtzeit fordert. Das funktioniert, laut den belgischen Vorstellungen, so: Over-the-Top-(OTT-)Plattformen, die etwa Messaging direkt über das Internet anbieten, werden behördlich "angezapft".

Dazu sollen die Big-Tech-Konzerne direkt mithelfen, wie Heise berichtet. Die Argumentation: Sie hätten ihre europäischen Firmensitze in der EU und müssten deshalb Daten liefern. Die Behörde nennt das den "Yahoo-Ansatz", weil dieser offenbar bei dem US-Anbieter und seinen Mail- und Messagings-Services gut funktioniert.

Zugriff durch die Vordertür

Methoden wie ein staatlicher Trojaner seien bei dieser Methode gar nicht nötig. Eine Behörde stellt eine europaweit einheitliche Anfrage an den Dienstleister selbst. Dieser müsse dann in einer vorgegebenen Form auf und in einem verständlichen Format die angefragten Daten der Nutzerinnen und Nutzer schicken. Das sei "unsichtbar, diskret und geheim für das Ziel", preist die belgische Polizei die Vorteile ihrer Methode an.

Vereinfacht gesagt, fordern die Ermittler einen ähnlichen Zugriff auf Daten, wie es jetzt schon bei Telekommunikationsdienstleistern und Serviceprovidern der Fall ist. Das Problem für die Behörden: Bei Over-the-Top-Plattformen kann auch ein Internetprovider nicht mitlesen, er registriert nur den Transport von Datenpaketen, aber keine Inhalte. Und noch einen Vorteil habe der Ansatz der belgischen Polizei: Man müsse nicht auf "Hacking-Tools" zurückgreifen. Wenn man die Diensteanbieter einfach per Gesetz zur Messengerüberwachung verpflichtete, sei ein technisches Wettrüsten zwischen Behörden, die Schwachstellen ausnutzen wollen, um mitzulesen, und den Plattformen ausgeschlossen.

"Wir lieben Verschlüsselung", erklärt die belgische Polizei in der veröffentlichten Powerpoint-Präsentation. "Sogar, wenn es sich um Ende-zu-Ende-Verschlüsselung handelt." Aber eine solche Verschlüsselung ändere nichts daran, dass der Betreiber verpflichtet sei, die Daten im Klartext herauszurücken. Die vorgeschlagene Methode der belgischen Polizei spare sogar noch Geld: Man müsse nicht in die Entwicklung von Staatstrojanern oder ähnlichen Tools investieren, wenn die OTT-Plattformen nur gesetzlich dazu gezwungen sind, die Behörden mitlesen zu lassen.

Mittel wie Trojaner seien unsicher, teuer und manchmal ineffektiv, schreibt die Polizei. Außerdem sei das Wort "Hacking-Tools" kein schönes Wort, schließlich handle es sich bei Strafverfolgungsbehörden nicht um "Hacker". Die belgische Polizei schlägt daher den Begriff "Legal Interception Tools" vor.

Aufhebung der Verschlüsselung wäre die Folge

Vereinfacht gesagt, plädiert die belgische Polizei für eine Art gesetzlich vorgeschriebene Spionage-Schnittstelle. Eine Frage bleibt in dem Konzept aber offen: Die Betreiber von Ende-zu-Ende verschlüsselten Messengerdiensten haben selbst keinen Zugriff auf die verschlüsselte Kommunikation ihrer User. Schließlich werden Nachrichten auf der Senderseite verschlüsselt und erst beim Empfänger wieder entschlüsselt. Somit bräuchten Behörden erst recht wieder eine Art "Universalschlüssel", um die Kommunikation mitlesen zu können, was effektiv eine Aufhebung der Ende-zu-Ende-Verschlüsselung ist.

Wie man diese lästige Verschlüsselung aufhebt, darüber macht sich das Technische Komitee Cyber der EU-Telekommunikationsnormungsbehörde ETSI Gedanken. In dem Datenkonvolut ist auch eine Präsentation dieser Behörde enthalten. Darin enthalten ist eine Folie über eine "vertrauenswürdige authentifizierte Stelle", diese könnte über einen solchen "Universalschlüssel" verfügen.

So stellt sich die Technische Komitee Cyber die Aufhebung der Ende-zu-Ende-Verschlüsselung vor. Eine "vertrauenswürdige authentifizierte Stelle" soll mit einem Generalschlüssel Kommunikation mitlesen können. Screenshot "Documents of the HLG on access to data for effective law enforcement and of its sub-groups“

Experten warnen jedoch genau vor einem solchen Generalschlüssel. Denn eine solche Sollbruchstelle kommt einer vollständigen Aufhebung der Verschlüsselung gleich. Die Access-Keys könnten genauso gut von digital weit Fortgeschrittenen Autokratien wie Russland oder China erbeutet werden, warnte jüngst der ehemalige estnische Staatspräsident Toomas Hendrik Ilves im Gespräch mit dem STANDARD. Wer die Verschlüsselung aufhebe, der gebe Putin den Schlüssel zum Königreich, so der Ex-Politiker.

In dem Bericht heißt es darüber hinaus, dass die EU-Kommission auf eine verstärkte Zusammenarbeit zwischen kommerziellen Unternehmen und Strafverfolgungsbehörden drängt, sodass Produktdokumentationen und Quellcodes freiwillig weitergegeben werden. In Brüssel wünscht man sich "Gesetze zur Bekämpfung der Verwendung von Verschlüsselungsgeräten, die nachweislich ausschließlich für die Kommunikation zwischen Kriminellen verwendet werden". Welche "Verschlüsselungsgeräte" das sein sollen, bleibt offen. Technologieanbieter sollen außerdem verpflichtet werden, auf Anfrage der Justizbehörden den Zugriff auf die Nutzerdaten von lokalen Geräten zu ermöglichen.

Nutzer sollen Chatkontrolle "freiwillig" zustimmen

Auch wenn die Europawahlen diese Woche stattfinden, macht die belgische Ratspräsidentschaft noch Druck und pocht auf eine Einigung zur Chatkontrolle. Ein Kompromissvorschlag sieht so aus: Dienste sollen Bilder, Videos und URLs nach illegalen Inhalten per Client-Side-Scanning durchsuchen – denn vornehmlich ist immer von Schutz vor der Darstellungen von Kindesmissbrauch die Rede. Audio und Text sollen nicht mehr automatisch gescannt werden, wie Netzpolitik.org berichtet. Zudem sollen Nutzer der Chatkontrolle "freiwllig" zustimmen, sonst können die keine Bilder und Videos mehr hochladen.

Doch die EU-Mitgliedsstaaten sind sich auch bei dieser abgespeckten Variante nicht einig, allen voran zögert Deutschland. Aber auch Polen und Luxemburg haben Bedenken angemeldet. Österreich sieht ebenso die "grundrechtlichen Bedenken als nicht ausgeräumt an“. Bislang scheiterte die Chatkontrolle an der Sperrminorität von mindestens vier Staaten mit mindestens 35 Prozent der EU-Bevölkerung.

Frankreich jedoch, bislang ebenfalls vehementer Gegner der Messenger-Überwachung, schwankt dem Bericht zufolge und steht dem neuen Vorschlag "deutlich positiver gegenüber". Damit könnte der Weg für die Chatkontrolle frei sein. Am 13. Juni findet ein Treffen der Justiz- und Innenminister der EU-Staaten statt. Der belgische Vorsitz will dort einen Fortschrittsbericht der Verhandlungen präsentieren. Wer möchte, kann den 200-seitigen Gesetzesentwurf hier nachlesen. (pez, 5.6.2024)