Großbritannien muss sein "Playbook for Dictators" aktualisieren! Das Online Safety Bill wurde gerade verabschiedet - mit der Möglichkeit, die Verschlüsselung jederzeit zu brechen.

Das britische Gesetz zur Online-Sicherheit enthält eine Klausel, die es Politikern ermöglicht, die Verschlüsselung zu untergraben - jetzt oder in Zukunft.

Online Safety Bill: Will the UK break encryption?

Der Gesetzentwurf zur Online-Sicherheit (Online Safety Bill) wurde diese Woche im Parlament verabschiedet und wird höchstwahrscheinlich im Herbst in Kraft treten. Trotz der jüngsten Äußerungen von Politikern, dass der Gesetzentwurf Tech-Unternehmen nicht dazu zwingen wird, verschlüsseltes Material auf Missbrauch zu prüfen, bis eine "praktikable" Technologie dafür zur Verfügung steht, ist die Klausel, die der Regierung die Macht gibt, die Verschlüsselung in der Zukunft zu brechen, immer noch in der endgültigen Fassung des Gesetzes enthalten.


Nach mehrjährigen Debatten wird in den kommenden Wochen das stark kritisierte Gesetz zur Online-Sicherheit (Online Safety Bill) verabschiedet, das massive Auswirkungen auf die Art und Weise hat, wie Menschen in Großbritannien auf Online-Dienste zugreifen.

Während einer der letzten Lesungen im Oberhaus machte die Regierung Sunak einen Rückzieher und bestätigte, dass sie nicht vorhabe, die Verschlüsselung zu brechen und Messaging-Apps nur dann zur Überprüfung auf illegale Inhalte zu verpflichten, wenn dies “technisch machbar” sei.

Diese Erklärung wurde von Verfechtern des Datenschutzes als “Sieg” gefeiert. Es gab eine Minute der Hoffnung, dass Großbritannien das so genannte Playbook for Dictators neu schreiben würde. So twitterte beispielsweise der Sicherheitsexperte Alec Muffett:

“GERADE HIER, GERADE JETZT, IN BEZUG AUF DIE POLITIK, LASSEN SIE UNS EINES ANERKENNEN: Nach Jahren - vor allem nach dem Getöse der letzten 6 Monate - ist es ein GROSSER GEWINN, dass die Regierung die Widerspenstigkeit des client-seitigen Scannens anerkennt.”

Und Meredith Whittaker von Signal twitterte:

“WOW. Ich bin so bewegt, ein bisschen fassungslos und vor allem aufrichtig dankbar für diejenigen, die sich zusammengetan haben, um die gefährliche OSB-Spionageklausel ans Tageslicht zu bringen, und für diejenigen in der britischen Regierung, die die Fakten zusammengetragen und danach gehandelt haben."

"Ich wusste, dass wir kämpfen müssen. Ich wusste nicht, dass wir win❤️🙏“

Allerdings fügt Meredith auch hinzu:

“Natürlich ist das kein totaler Sieg. Wir hätten dies gerne im Gesetzestext selbst gesehen. Aber es ist dennoch ein großer Erfolg, und insofern, als die Leitlinien für die Umsetzung die Kraft haben werden, den Implementierungsrahmen von Ofcom zu formen, ist dies wiederum sehr groß und sehr gut.”

Denn obwohl die Regierung sagte, dass sie Technologieunternehmen nicht dazu zwingen würde, die Verschlüsselung zu brechen, hat es dieser Satz nicht in die geänderte Gesetzgebung geschafft. Schlimmer noch, Regierungsvertreter sagten nur, sie würden sich zurückhalten, bis es “technisch machbar” sei.

Stephen Parkinson, der parlamentarische Staatssekretär für Kunst und Kulturerbe, sagte vor dem Oberhaus: Unternehmen werden nicht verpflichtet sein, verschlüsselte Nachrichten zu scannen, bis es “technisch machbar ist und die Technologie akkreditiert wurde, um Mindeststandards für die Genauigkeit bei der Erkennung von Inhalten zu erfüllen, die ausschließlich dem sexuellen Missbrauch und der Ausbeutung von Kindern dienen”, und er erwähnte auch direkt die umstrittene Klausel 122 des Online Safety Bill:

“Wenn es keine geeignete Technologie gibt, die diese Anforderungen erfüllt, dann kann Ofcom die Klausel 122 nicht nutzen, um deren Einsatz zu verlangen.”

Welche Technologie kann nach CSAM scannen?

Obwohl die britische Regierung zugegeben hat, dass es derzeit keine Technologie zur Suche nach Material über sexuellen Kindesmissbrauch gibt, die nicht gegen das Menschenrecht auf Privatsphäre verstößt, sucht sie immer noch nach einer solchen Technologie. Bei der Diskussion über die Möglichkeiten sprechen Politiker meist über clientseitiges Scannen, das auch von der EU als “heiliger Gral” für die Strafverfolgung betrachtet wird.

Dienste, die eine Ende-zu-Ende-Verschlüsselung verwenden, garantieren, dass nur der Absender und der Empfänger den Inhalt der Nachrichten sehen können. Um entscheiden zu können, ob die Nachrichten CSA-Material enthalten, müssten die Daten lokal auf den Geräten der Personen gescannt werden, damit sie noch mit Ende-zu-Ende-Verschlüsselung gesendet werden können. Die gescannten Daten müssten mit einem Datensatz auf einem anderen Server verglichen werden, was die Ende-zu-Ende-Verschlüsselung brechen und die Privatsphäre der Personen verletzen würde.

Da das Scannen und die Wahrung der Privatsphäre im Grunde genommen unmöglich sind, hat Apple seine Pläne zur Entwicklung des clientseitigen Scannens für iCloud mit der Begründung aufgegeben, dass es nicht möglich sei, das Scannen ohne Verletzung der Privatsphäre der Nutzer durchzuführen.

Letztendlich gibt es bis heute keine praktikable Technologie, um verschlüsselte Daten auf missbräuchliches Material zu überprüfen.

Ein Sieg für die Privatsphäre?

Dennoch beanspruchen Datenschutzaktivisten einen Sieg. Zum Beispiel schrieb Wired:

“Großbritannien gesteht Niederlage im umstrittenen Kampf um Verschlüsselung ein: Die britische Regierung hat zugegeben, dass die Technologie, die benötigt wird, um verschlüsselte Nachrichten, die über Signal und WhatsApp verschickt werden, sicher zu scannen, nicht existiert und schwächt damit ihr umstrittenes Gesetz zur Online-Sicherheit ab.”

In Teilen ist dies ein Sieg, denn - zumindest vorerst - wird die so genannte “Spionageklausel” im britischen Online-Sicherheitsgesetz, die Messaging-Apps verpflichtet hätte, die Ende-zu-Ende-Verschlüsselung zu brechen, um nach missbräuchlichem Material suchen zu können, nicht mehr durchgesetzt.

Nach monatelanger Überzeugungsarbeit von Sicherheits- und Datenschutzexperten gab die Regierung schließlich zu, dass die Technologie, mit der verschlüsselte Nachrichten sicher auf Anzeichen von Material über sexuellen Kindesmissbrauch (CSAM) gescannt werden können, ohne die Privatsphäre der Nutzer zu gefährden, nicht existiert - noch nicht.

Andere Datenschutzexperten sind jedoch nicht so optimistisch. Matthew Hodgson, CEO und Mitbegründer des in Großbritannien ansässigen Unternehmens Element, einer dezentralen Messaging-App, sagte: “Das ist keine Veränderung:

Dies ist “keine Veränderung, es ist ein Weiter-so”.

”Es kommt nur darauf an, was tatsächlich im Gesetzentwurf steht. Scanning ist grundsätzlich inkompatibel mit Ende-zu-Ende-verschlüsselten Messaging-Apps. Scanning umgeht die Verschlüsselung, um zu scannen, und setzt Ihre Nachrichten Angreifern aus. Alles, was ‘bis es technisch machbar ist’ bedeutet, ist, dass die Tür zum Scannen in der Zukunft geöffnet wird, anstatt heute zu scannen.”

Eine Sprecherin der Kampagnenorganisation Index on Censorship sagte:

“Das Gesetz zur Online-Sicherheit ist in seiner jetzigen Fassung immer noch eine Bedrohung für die Verschlüsselung und gefährdet damit jeden, von Journalisten, die mit Whistleblowern arbeiten, bis hin zu normalen Bürgern, die sich privat unterhalten. Wir brauchen dringend Änderungen, um unser Recht auf freie Meinungsäußerung im Internet zu schützen.”

Ein weiterer Experte, Martin Albrecht, Professor für Cybersicherheit am King’s College London und Kritiker der Klausel 122 des Online-Sicherheitsgesetzes, sagte, er sehe keine Möglichkeit, dass eine Technologie zum Scannen von Nachrichten “machbar” sein könnte. Wie sollte eine solche Technologie in der Lage sein, nur nach missbräuchlichem Material zu suchen und gleichzeitig die Privatsphäre der Menschen zu schützen?

Albrecht erklärte dem Guardian:

“Ich bin erleichtert, dass die Regierung den wissenschaftlichen Konsens akzeptiert, dass die Technologie nicht existiert, um verschlüsselte Nachrichten zu scannen, ohne die Privatsphäre der Nutzer zu verletzen. Es ist jedoch nicht klar, welchen Test die Regierung anwenden will, um zu entscheiden, ob die Technologie in Zukunft machbar ist”.

Da die Regierung den Wortlaut des Gesetzentwurfs nicht geändert hat, besteht weiterhin die Möglichkeit, Unternehmen zu einem späteren Zeitpunkt zum Scannen zu zwingen. Die Medienaufsichtsbehörde Ofcom hat nach wie vor die Befugnis, jede Technologie für gut genug zu erklären, um nach missbräuchlichen Inhalten zu suchen und gleichzeitig das Recht der Menschen auf Privatsphäre zu respektieren - ob die Technologie dies tatsächlich leisten kann oder nicht, spielt keine Rolle.

Wird das Gesetz zur Online-Sicherheit die Verschlüsselung aufheben?

Wenn man die Aussagen von Politikern über das Gesetz zur Online-Sicherheit genau verfolgt, ist derzeit nicht geplant, die Verschlüsselung zu brechen, aber das könnte nur ein Lippenbekenntnis sein.

Der Minister für Technologie und die digitale Wirtschaft, Paul Scully, MP, sagte:

“Unsere Position in dieser Angelegenheit hat sich nicht geändert und es ist falsch, etwas anderes zu behaupten. Unsere Haltung zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet bleibt fest, und wir haben immer deutlich gemacht, dass der Gesetzentwurf einen maßvollen, evidenzbasierten Ansatz verfolgt, um dies zu erreichen.”

Dies bedeutet: Die britische Regierung will nach wie vor jede Nachricht und jeden Text, den Sie verschicken, überprüfen, egal ob er Ende-zu-Ende-verschlüsselt ist oder nicht.

Wenn das Gesetz zur Online-Sicherheit in seiner jetzigen Form verabschiedet wird, wird Ofcom in der Lage sein, “Unternehmen anzuweisen, entweder Technologien zur Identifizierung und Entfernung illegaler Inhalte mit sexuellem Missbrauch von Kindern zu verwenden oder sich nach besten Kräften um die Entwicklung oder Beschaffung solcher Technologien zu bemühen - von denen wir wissen, dass sie entwickelt werden können”, so Scully.

Letztendlich bleibt uns nur ein Versprechen. Die britische Regierung sagt, dass sie Messaging-Apps nicht zwingen wird, unbewiesene Technologien zu verwenden, um nach Material über sexuellen Kindesmissbrauch (CSAM) zu suchen, aber die Befugnisse, dies zu tun, sind noch im Gesetzentwurf enthalten. Die Regierung kann ihre Meinung jederzeit ändern.

Druck von Technologieunternehmen

Der neue Ton der britischen Regierung ist auf den starken Druck von Technologieunternehmen zurückzuführen. So haben WhatsApp und Signal damit gedroht, das Vereinigte Königreich zu verlassen, wenn das Gesetz über die Online-Sicherheit verabschiedet wird, da sie ihre Ende-zu-Ende-Verschlüsselung nicht abschwächen oder aufgeben würden, um den britischen Rechtsvorschriften zu entsprechen.

Wir bei Tutanota werden das Gesetz zur Online-Sicherheit (Online Safety Bill) nicht akzeptieren.

Wir bei Tutanota haben einen anderen Ansatz gewählt und erklärt, dass wir das Vereinigte Königreich nicht verlassen werden, sondern dass das Vereinigte Königreich den Zugang zu Tutanota sperren muss, genau wie Russland und der Iran.

Wir konzentrieren uns auf die Sicherheit und die Privatsphäre unserer Nutzer, jetzt und in Zukunft. Anstatt darüber nachzudenken, wie man die Verschlüsselung knacken oder umgehen kann, machen wir die Verschlüsselung stärker, indem wir bereits in sichere Post-Quantum-Verschlüsselung investieren.

Als Techexperten verstehen wir die Notwendigkeit einer Ende-zu-Ende-Verschlüsselung, und als Freiheitskämpfer würden wir lieber vor Gericht gegen das Online Safety Bill kämpfen, als an unserer eingebauten Verschlüsselung herumzubasteln, die die Daten von Millionen von Nutzern auf der ganzen Welt schützt. Wir haben weder China noch dem Iran nachgegeben, die bereits den Zugang zu Tutanota blockieren, und wir werden dies auch nicht für Großbritannien tun.

Unsere Leidenschaft ist es, für Ihr Recht auf Privatsphäre zu kämpfen.


Zusammenfassung des UK Online Safety Bills

Was ist das Gesetz zur Online-Sicherheit 8Online Safety Bill)?

Das Gesetz zur Online-Sicherheit zielt darauf ab, das Vereinigte Königreich zum sichersten Online-Raum zu machen. Das Gesetz zwingt Plattformen dazu, illegale Inhalte, wie z. B. Material über sexuellen Missbrauch von Kindern, sowie Inhalte, die gemäß ihren eigenen Bestimmungen verboten sind, zu entfernen.

Der Gesetzentwurf enthält eine Reihe neuer Gesetze zum Schutz von Kindern und Erwachsenen im Internet. Unternehmen der sozialen Medien sollen mehr Verantwortung für die auf ihren Websites veröffentlichten Inhalte übernehmen und illegale Inhalte schneller entfernen.

Der erste Entwurf des Gesetzes zur Online-Sicherheit wurde im Mai 2021 veröffentlicht, und es ist sehr wahrscheinlich, dass das Gesetz in seiner jetzigen Form im Herbst 2023 verabschiedet wird.