Disclaimer: Ich habe mal versucht mir Gedanken zu machen, was es bedeuten könnte, wenn die Chatkontrolle kommt. Es ist also alles hypothetisch und vielleicht nicht realistisch.
Die Chatkontrolle will jedwede Kommunikation aller EU Bürger überwachen können.
Dazu bleiben nur zwei Möglichkeiten:
– Verschlüsselung aufheben
– Client Side Scanning (also Software auf Ihren Geräten, die sich anschaut, was Sie tun, bevor Sie ein Bild oder Video versenden)
Verschlüsselung abschaffen
Schauen wir uns mal an, was das Aufheben der Verschlüsselung in der letzten Konsequenz bedeutet.
Die erste Frage die sich stellt: Wie will die EU das umsetzen? Gar nicht, denn die EU macht offiziell keine Vorgaben. Alle sind sich aber einig, eine Option, der Chatkontrolle gerecht zu werden ist das Aufbrechen der Verschlüsselung in der Kommunikation.
Software, z. B. Messenger wie WhatsApp oder Threema, müssten ihre Verschlüsselung schwächen oder die Schlüssel bereitstellen oder oder oder. Wer überwacht das? Es bleiben nur die App Stores von Google oder Apple. Beide könnten und würden keine Software mehr anbieten, die nicht in der Lage ist, die Kommunikation transparent zu machen. Damit erreichen sie sicherlich 99% der normalen Benutzer, die nie an etwas Kriminelles gedacht haben.
Anmerkung: Es wird immer wieder behauptet, dann wäre alle Kommunikation ungeschützt. Ich denke nicht, Ihr Nachbar oder jemand anderes würde immer noch nur die verschlüsselte Nachricht sehen, aber die Behörden oder Anbieter von verschlüsselten Kommunikationen könnten es sehen. Das Risiko, dass andere auch Zugriff haben könnten, steigt aber.
Doch was ist mit dem sog. „Sideloading“, d.h. Software woanders herunterzuladen? Auf einem iPhone geht das nicht so einfach, Sie benötigen einen sog. Jailbreak. Diesen führen normale User nicht durch. Bei Android gibt es alternative Stores, z. B. f-droid. Da f-droid sehr bekannt ist, würden die das wohl auch einhalten müssen. Aber auf Android kann jeder Benutzer Applikationen im sog. APK Format erstellen, verteilen, herunterladen und installieren. Wer soll das kontrollieren? Solche Programme könnten problemlos irgendwo im Internet geladen werden, zum Beispiel auf nicht EU-Servern, auf die Sie ggf. mit VPN zugreifen. Und selbst wenn das nicht ginge, spätestens im Darknet (Tor-Netzwerk) wäre das nicht mehr zu kontrollieren. Da die meisten Kinderschänder (Ersteller und Anschauer) mehrheitlich im Darknet aktiv sind, macht die Chatkontrolle also für diesen Fall keinen Sinn. Es träfe nur normale User, aber nicht die Kriminellen, oder wenn, nur eine sehr sehr kleine Gruppe. Wie gesagt, nur wenn CSAM (Child Sexual Abue Material) über diese Kanäle wie Mail oder Messenger verteilt würde, was nicht der Fall ist.
Denken wir weiter. Einige der bekanntesten Mail- und Messenger-Clients sind Open Source. Beispielsweise der von Edward Snowden favorisierte Signal Messenger.
Es spricht überhaupt nichts dagegen, dass Kriminelle diesen Code von Github herunterladen, modifizieren und dann nutzen. Wenn also die EU der Meinung ist, sie müssten diese Messenger um Verschlüsselung kastrieren, spricht nichts dagegen, dass Entwickler oder Kriminelle:
– das Verschlüsselungsmodul der früheren Versionen heruntergeladen haben und mit dem neuen Source Code wieder verbinden und diese Messenger App dann untereinander verteilen (vielleicht sogar auf Github? Oder müsste Github dann auch Software installieren, die alle Repositories auf Verschlüsselungsmodule überprüft? Müssten dann alle Anbieter von Repositories das tun? Wo hört das alles auf?).
– den aktuellen Code nehmen und um proprietäre oder andere Verschlüsselungstechniken erweitern und diesen dann verteilen.
Beides bedeutet in der Konsequenz, dass die EU auch Open Source verbieten müsste. Und selbst dann bekämen Sie das Problem nicht in den Griff. Hinweis: Das Problem, das sie glauben, mit der Chatkontrolle in den Griff zu bekommen.
Jeder Datenschutzfreund und jeder Kriminelle würde sich zu helfen wissen. Übrig blieben die Menschen, die mit der Thematik so gar nichts zu tun haben oder so dumm sind, dass Sicherheitsbehörden sie sowieso finden. Beispielsweise gab es die Kinderpornoplattform „Welcome to Video“, die im Darknet aktiv war. Der Administrator hat auf dieser Plattform kleine Bilder der Videos gezeigt (sog. Thumbnails). Diese Bilder lagen auf einem normalen Webserver im Internet. Die Behörden konnten kaum glauben, dass sie die IP-Adressen der Thumbnails sehen konnten und diese IP-Adresse sie direkt zum Betreiber führte.
Mit Chatkontrolle hätte man die damals größte und schlimmste Kinderpornografieplattform nicht gefunden.
Das nächste Problem, dass die Chatkontrolle mit Aufbrechen der Verschlüsselung nicht löst: Wer hält mich davon ab, meine Daten zu Hause zu verschlüsseln? Die Chatkontrolle so wohl nicht. Sie können problemlos Ihre Daten zu Hause verschlüsseln. Dazu gibt es viele, einfach zu nutzende Werkzeuge. Sie können mit Ihrer Community, der Kriminellen oder dem Verein oder was auch immer, eine einfache Verschlüsselung festlegen und eine Datei erstellen. Diese stellen Sie auf eine Webseite, Ihre Kollegen laden die Datei herunter und entschlüsseln sie. Das kann natürlich auch in Communities im Darknet geschehen. Oder über einen oben veränderten Messenger. Wie auch immer: Wenn die Kommission ernst macht mit der Umsetzung und die Verschlüsselung aufheben will, dann muss sie Verschlüsselung komplett verbieten und nur noch offizielle Behörden wie das Finanzamt dürfen sie nutzen. Verschlüsselungs-Tools sind oftmals Open Source und jeder kann sich den Source ansehen, anpassen, erweitern etc. Beispielsweise können Sie mit ZIP, PGP oder VeraCrypt Daten verschlüsseln. Das müsste verboten werden.
Was ich damit sagen will: Es gibt Mittel und Wege, um die Chatkontrolle ohne Verschlüsselung relativ einfach zu umgehen. Sie zielt auf Kommunikation ab, die selten zur Verteilung von CSAM verwendet wird und trifft nur normale Benutzer und nicht die, die man treffen will. Und die man trifft sind meist so inkompetent, dass man diese auch so findet.
Beispielsweise haben Benutzer von „Welcome to Video“ mit Bitcoin bezahlt, in der irrigen Annahme, Bitcoin sei anonym. Sie haben bei einem offiziellen Bitcoin Anbieter Bitcoin gekauft, mit der privaten Kreditkarte bezahlt und das Geld sofort aus dem eigenen Wallet (Portmonee) an das Wallet von „Welcome to Video“ überwiesen. So konnten die Polizisten diese Nutzer sehr schnell finden und festnehmen. Diese Nutzer finden die Behörden also sowieso.
Wie ich eben gezeigt habe, ist das Aufbrechen der Verschlüsselung für die Kommunikation nicht ausreichend und in der Konsequenz müsste jede Form der Verschlüsselung verboten werden. Das können weder Google noch Apple wirklich gut finden. Denn sie würden Kunden und Geld verlieren. Wenn Ihr Handy nicht mehr verschlüsselt ist, würden Sie sich vielleicht Gedanken machen. Jeder könnte sehr einfach und schnell auf ALLE Ihrer Daten zugreifen. Denken Sie an die Bilder in der iCloud, die nicht mehr verschlüsselt wären. Was machen Firmen, die alle Ihre Daten in langen Projekten und mit viel Aufwand und Geld in die Cloud übertragen haben, dort verschlüsseln und jetzt feststellen müssen, das war eine Fehlinvestition? Wer stellt fest ob die Daten, die verschlüsselt in die Cloud geladen werden CSAM sind?
Die Auswirkungen wären also dramatisch. Doch nur dann könnte es vielleicht, unter bestimmten Umständen, bei bestimmen Mondphasen und Nutzerverhalten eventuell, vielleicht, ein ganz kleines bisschen etwas bringen. Also gar nicht!
Client Side Scanning einführen
Bleibt das sog. Client Side Scanning. D.h. bevor Sie ein Foto oder Video an jemanden senden, wird das auf CSAM überprüft. Ein Uploadfilter der anderen Art. Das bedeutet auf Ihrem Rechner, Handy oder Tablet läuft eine Software, die diese Aufgabe übernimmt. Frage: Muss das jeder Anbieter von Kommunikationssoftware selber einbauen oder landet das im Betriebssystem? Antwort: Ziemlich sicher im Betriebssystem, Apple wollte das schon einbauen, haben also den Code schon fertig.
Doch nur Bilder und Videos zu scannen, kurz bevor sie verschlüsselt (mit der Verschlüsselung des Kommunikationsanbieters) verschickt werden, reicht nicht. Wie oben geschrieben, können Sie selber Daten verschlüsseln und versenden. Also nehmen Sie die Fotos von Ihrem Kind am Strand, wie Gott es schuf, verschlüsseln die Bilder, und senden Sie an die Familie. Das könnte das von der EU erdachte Client Side Scanning nicht verhindern.
Also: Client Side Scanning muss jede Aktivität überwachen. Alles, was Sie am Rechner, Handy, Tablet oder jedem anderem digitalen Endgerät tun, muss überwacht werden. Es müsste kontrollieren, welche Software Sie installiert haben, welche dazu in der Lage ist, Dateien zu verschlüsseln und dann überprüfen, ob Sie diese Software jetzt starten, dann überprüfen, ob damit ein Bild verschlüsselt werden kann und dann das Bild hashen und diesen Hashwert mit einer Liste vergleichen. De facto heisst das, jede Aktivität am Rechner, Handy oder Tablet müsste überwacht werden und jede App, die verschlüsseln könnte (also auch Excel), müsste angehalten, der Scan gestartet und erst danach die Applikation wirklich gestartet werden. Ein massiver Eingriff in die Privatsphäre.
Linux ist Open Source. Niemand kann Sie davon abhalten, eine Linux-Version ohne diese Funktion zu verwenden. Im Zweifelsfall kompilieren Sie es selber. Ok, das kann nicht jeder. Wie oben schon beschrieben, fänden viele datenschutzorientierte und kriminelle Nutzer sehr schnell eine Lösung. Ein Grossteil des Android Betriebssystems ist Linux-basiert und damit Open Source. Das sog. Android Open Source Project (AOSP). GrapheneOS, LineageOS und andere basieren genau darauf. Das müsste auch verboten werden, denn die Software für das Client Side Scanning müsste installiert sein.
In beiden Fällen müsste die EU oder wäre die Quintessenz der Bestrebungen von Ylva Kutcher, Sorry, Johansson, die Abschaffung von Open Source.
Diese Entscheidungen träfen nur die Menschen, die nicht im Traum daran denken, etwas Illegales oder Unmoralisches zu tun. Kriminelle hätten nur kleine bis gar keine Hürden, weiter ihren Machenschaften nachzugehen.
Das zeigt, wie lächerlich nutzlos und wenig hilfreich die Chatkontrolle für den von der EU anvisierten Zweck ist.
Wir würden total überwacht ohne das auch nur ein Kind mehr gerettet würde.
Die Anpassung an Terrorismusüberwachung, Steuerüberwachung, … wäre nicht weit. Ein Dammbruch. Den kann niemand wirklich wollen.
QED
(SCNR)