Ungarns Vorstoß zur Chat-Kontrolle scheiterte am Widerstand des niederländischen Geheimdienstes!

Zum x-ten Mal kann sich der EU-Rat nicht auf die Chat-Kontrolle einigen - ein großer Sieg für die Privatsphäre.

Ungarn kann nicht loslassen: Warum auch dieser Versuch, sich im EU-Council auf Chatkontrolle zu einigen, scheitern muss.

Ein weiterer Monat, ein weiterer Versuch: Obwohl Ungarn die jüngste EU-Ratsabstimmung über die Verordnung über sexuellen Kindesmissbrauch (CSA) im Juni 2024 absagen musste, weil es keine Mehrheit unter den Mitgliedsstaaten gab, versuchte es dies diesen Mittwoch erneut - ohne Erfolg. Ausschlaggebend war die klare Stellungnahme des niederländischen Geheimdienstes zur enormen Bedrohung für die Sicherheit aller, sollte die Ende-zu-Ende-Verschlüsselung aufgeweicht werden. Verschlüsselung ist für die digitale Resilienz in Europa von größter Bedeutung.


Warum “Chat Control” die Verschlüsselung bedroht

Das Kernstück der CSA-Verordnung ist die Implementierung der “Upload-Moderation” oder des clientseitigen Scannens. Upload-Moderation ist in Wirklichkeit nur ein Euphemismus der EU-Politiker, um den ständigen öffentlichen Widerstand gegen dieses gefährliche Gesetz zu stoppen. Das clientseitige Scannen - wenn es gesetzlich vorgeschrieben ist - würde die Technologieunternehmen auffordern, die Kommunikation auf dem Client auf illegale Inhalte zu überprüfen, bevor die Verschlüsselung stattfindet, und verdächtige Inhalte an die Behörden weiterzuleiten. Der ungarische Ratsvorsitz behauptet, dass dies mit der Ende-zu-Ende-Verschlüsselung koexistieren kann, aber das ist grundlegend unwahr.

Die Ende-zu-Ende-Verschlüsselung stellt sicher, dass nur der Absender und der Empfänger eine Nachricht lesen können. Beim clientseitigen Scannen werden die Nachrichten jedoch vor der Verschlüsselung gescannt, wodurch der eigentliche Zweck der Verschlüsselung zunichte gemacht wird. Dadurch wird die Verschlüsselung geschwächt, was für unsere digitale Sicherheit in Europa äußerst gefährlich wäre. Zum jetzigen Zeitpunkt gibt es keine technischen Lösungen, die die Sicherheit der Ende-zu-Ende-Verschlüsselung bewahren und gleichzeitig die Anforderungen des CSA-Vorschlags zur Erkennung von Inhalten erfüllen können.

Warum dies mehr denn je von Bedeutung ist

Der aktuelle CSA-Vorschlag birgt daher alarmierende neue Risiken für die digitale Sicherheit und die Privatsphäre. Indem der Vorschlag das Scannen verschlüsselter Nachrichten vorschreibt, öffnet er die Nutzer für eine Vielzahl neuer Schwachstellen.

  • Böswillige Angreifer stehlen Ihre Daten, bevor sie verschlüsselt sind: Das clientseitige Scannen eröffnet Hackern die Möglichkeit, Schwachstellen im System auszunutzen und Zugang zu privaten, sensiblen Daten zu erhalten, bevor diese verschlüsselt sind.
  • Verteilte Denial-of-Service-Angriffe (DDoS): Je komplexer die Systeme werden, desto mehr Fehlerquellen gibt es. Durch die Implementierung des clientseitigen Scannens könnten Dienstanbieter anfällig für DDoS-Angriffe werden, wodurch die Verfügbarkeit unterbrochen wird.
  • Manipulation des CSAM-Systems: Die zur Erkennung illegaler Inhalte eingesetzten Systeme könnten manipuliert werden, was zu falschen Anschuldigungen oder zur kriminellen Ausnutzung fehlerhafter Erkennungsmechanismen führen kann.
  • Reverse Engineering: Scanning-Software könnte von Hackern oder staatlichen Akteuren zurückentwickelt werden, um Sicherheitsvorkehrungen zu umgehen und so möglicherweise ganze Systeme dem Zugriff Unbefugter auszusetzen.
  • Nationalstaatliche Ausbeutung: Wir haben bereits gesehen, wie raffinierte Akteure, z. B. chinesische staatliche Hacker, bei ihren Angriffen auf Microsoft Hintertüren in Systemen ausnutzen, die für die rechtmäßige Überwachung konzipiert sind. Eine Schwächung der Verschlüsselung oder die Einführung von Scanning-Mechanismen wird böswilligen Akteuren neue Möglichkeiten bieten, die nationale Sicherheit zu gefährden.

Diese Risiken werden noch größer, wenn das clientseitige Scannen für E-Mail- und Chat-Dienste gesetzlich vorgeschrieben wird. Tatsächlich verringert die vorgeschlagene EU-CSA-Verordnung die Online-Sicherheit aller, anstatt sie zu erhöhen.

China hackte AT&T über rechtmäßige Abhörmaßnahmen

Ein kürzlich erfolgter Cyberangriff, der mit chinesischen staatlichen Akteuren in Verbindung gebracht wird, deckte Schwachstellen in US-Breitbandnetzen auf, insbesondere in solchen, die für rechtmäßige Abhörmaßnahmen genutzt werden, wie das Wall Street Journal berichtete. Bei diesem Hack hatten chinesische Angreifer monatelang Zugang zur Netzinfrastruktur von Verizon Communications, AT&T und Lumen Technologies. Die Angreifer missbrauchten dieselben Zugangspunkte, die von diesen Unternehmen genutzt wurden, um legalen Anfragen amerikanischer Behörden nachzukommen.

Wenn Systeme, die die öffentliche Sicherheit gewährleisten sollen, wie in diesem Fall verletzt werden können, wäre die Einführung ähnlicher Schwachstellen in die Verschlüsselung für EU-Bürger katastrophal.

Dieser Angriff ist ein Beispiel dafür, warum wir unsere Systeme so sicher wie möglich halten müssen, um widerstandsfähig zu bleiben, wie der niederländische Geheimdienst unterstreicht.

Dem Wall Street Journal zufolge sind hochrangige US-Beamte derselben Meinung und warnen, dass China ein erhebliches Risiko für die Wirtschaft und die nationale Sicherheit darstellt - ein Risiko, das nicht durch eine Schwächung der Verschlüsselung in unseren eigenen Systemen vergrößert werden darf - ganz gleich zu welchem Zweck. Brandon Wales, ehemaliger Exekutivdirektor der Cybersecurity and Infrastructure Security Agency und jetzt Vizepräsident bei SentinelOne, erklärt gegenüber dem Wall Street Journal:

“Es wird einige Zeit dauern, bis wir herausgefunden haben, wie schlimm es ist, aber in der Zwischenzeit ist es der bedeutendste in einer langen Reihe von Weckrufen, die zeigen, wie die Volksrepublik China ihr Cyberspiel verschärft hat. Wenn Unternehmen und Regierungen dies vorher nicht ernst genommen haben, müssen sie es jetzt unbedingt tun.”

Wir dürfen einfach keine Hintertüren in der verschlüsselten Kommunikation für die Behörden zulassen. Eine Hintertür ist eine Hintertür und kann nicht vor staatlichen Angreifern geschützt werden. Die Verschlüsselung muss stark sein.

Niederländischer Widerstand als Kipp-Punkt

Der niederländische Geheimdienst lehnt das clientseitige Scannen ab. Der niederländische Geheimdienst lehnt das clientseitige Scannen ab. Der niederländische Geheimdienst lehnt das clientseitige Scannen ab.

Dies wird durch die Verschiebung der Abstimmung über die CSA-Verordnung in der vergangenen Woche unterstrichen, die kurzfristig wegen des Widerstands der Niederlande abgesagt wurde, einem EU-Mitgliedstaat, der ähnlich wie Deutschland nun sicher gegen Client-Side-Scanning positioniert ist.

Die Niederlande erklärten ganz klar (niederländische Quelle):

“Die Einführung einer Scan-Anwendung auf jedem Mobiltelefon mit einer dazugehörigen Infrastruktur von Verwaltungssystemen würde ein extrem großes und komplexes System schaffen. Dieses komplexe System hat dadurch Zugriff auf eine große Anzahl mobiler Geräte und die darauf befindlichen persönlichen Daten. Dies führt letztlich zu einer Situation, deren Risiken für die digitale Resilienz der AIVD als zu groß erachtet.”

Der obige Kommentar stammt nicht von irgendjemandem, sondern von dem einflussreichen niederländischen Geheimdienst. Kurz gesagt: “Die Anwendung von Detektionsanordnungen auf Anbieter von Ende-zu-Ende-verschlüsselter Kommunikation birgt ein zu großes Sicherheitsrisiko für unsere digitale Widerstandsfähigkeit.”

Ungarn muss gestoppt werden

Die Gefahren einer Kompromittierung der Verschlüsselung liegen auf der Hand. Dennoch - und trotz der Tatsache, dass der Europäische Gerichtshof das clientseitige Scannen, wie es in Chat Control vorgeschlagen wird, für rechtswidrig erklärt hat - drängt Ungarn weiterhin auf diese zutiefst mangelhafte Lösung und ignoriert die wachsende Zahl von Beweisen, die ihre Risiken aufzeigen. Es ist alarmierend, dass die Kritik an Chat Control anhält, während die Opposition gegen Chat Control schwächer geworden ist. Wichtige Mitgliedsstaaten wie die Niederlande, Deutschland, Polen und andere haben starken Widerstand geäußert, aber Ungarn sammelt weiterhin Unterstützung.

Die Länder, die den Vorschlag befürworten, wie Spanien, Griechenland und Irland, unterschätzen möglicherweise die langfristigen Folgen einer Schwächung der Verschlüsselung.

Hier ist die aktuelle Aufschlüsselung der Positionen der Mitgliedsstaaten:

  • Ablehnend: Polen, Deutschland, die Niederlande, Luxemburg, Österreich, Estland und Slowenien.

  • Zurückhaltend: Tschechien, Italien, Schweden und Finnland haben die Notwendigkeit weiterer technischer Verbesserungen zum Ausdruck gebracht.

  • Befürworter: Spanien, Griechenland, Irland, Dänemark, Kroatien, Zypern, Malta, Litauen, Lettland und Rumänien.

Mehr Widerstand ist nötig

Der schwindende Widerstand gegen Chat Control ist besorgniserregend. Doch auch wenn die Unterstützung für den CSA-Vorschlag wächst, waren die Gründe, ihn abzulehnen, noch nie so klar. Die Schwächung der Verschlüsselung, um ein kurzfristiges Ziel zu erreichen, wird zu langfristigen Sicherheitsrisiken für alle Europäer führen. Die Integrität unserer Kommunikation, die Sicherheit unserer persönlichen Daten und die Privatsphäre von Millionen stehen auf dem Spiel.

Die EU muss erkennen, dass es bessere Wege gibt, Online-Schäden zu bekämpfen, ohne die Verschlüsselung zu gefährden. Die Strafverfolgungsbehörden können und sollten alternative, sicherere Methoden zur Bekämpfung von Material über sexuellen Kindesmissbrauch (CSAM) einsetzen, anstatt den Technologieunternehmen die Last aufzubürden, die Sicherheit ihrer Dienste zu schwächen.

Kampf für starke Verschlüsselung geht weiter

Die Verschlüsselung ist das Rückgrat der digitalen Sicherheit. Sie schützt den Einzelnen vor krimineller Ausbeutung, gewährleistet die Privatsphäre der persönlichen Kommunikation und schützt die nationale Sicherheit. Sobald die Verschlüsselung geschwächt ist, wird sie anfällig für jeden, der die Mittel hat, ihre Schwachstellen zu finden und auszunutzen - ob Cyberkriminelle oder feindliche ausländische Regierungen.

Ungarns Vorstoß für Chat Control muss scheitern. Es steht einfach zu viel auf dem Spiel, als dass man diesen Vorschlag unkontrolliert durchgehen lassen könnte.

Die europäischen Bürger verdienen eine starke, kompromisslose Verschlüsselung zum Schutz ihrer Privatsphäre und ihrer Sicherheit. Und wir von Tuta werden weiterhin für Ihr Recht auf Verschlüsselung kämpfen!

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.