Bundestagsstudie: EU-Vorschlag zum Umgehen von Verschlüsselung taugt nicht

Bei der EU-Kommission ausgelotete Optionen, Ende-zu-Ende-Verschlüsselung im Kampf gegen sexuellen Kindesmissbrauch zu umgehen, sind problematisch.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 48 Beiträge

(Bild: Illus_man/Shutterstock.com)

Von
  • Stefan Krempl

Der Wissenschaftliche Dienst des Bundestags (WD) hat sich ein innerhalb der EU-Kommission diskutiertes Arbeitspapier näher angeschaut, in dem Experten aus der IT-Industrie, von Sicherheitsbehörden und halbstaatlichen Institutionen "technische Lösungen" zum Umgehen von Ende-zu-Ende-Verschlüsselung im Kampf gegen sexuellen Kindesmissbrauch ausloten. Das Ergebnis: In dem heise online vorliegenden Realitäts-Check fallen die ins Spiel gebrachten Ansätze weitgehend durch.

Nach Einschätzung von IT-Sicherheitsforschern sowohl der Ruhr-Universität Bochum als auch der TU Dresden liegt laut der WD-Kurzanalyse ein zentrales Problem des EU-Papiers darin, "dass die benannten methodischen Darstellungen nicht auf die tatsächlichen Implementierungen von Messenger-Diensten" eingehen. So unterschieden sich die aufgezeigten Methoden zwar darin, wie datenschutzfreundlich sie seien, allerdings gingen alle davon aus, dass in gewisser Weise der Nutzer "mitspiele", was bei bewussten kriminellen Vorgängen fraglich sein dürfte.

Alle Methoden schlössen das Gerät des Nutzers ein, von dem Informationen ausgesendet werde, heißt es in der Untersuchung, die die Linke-Bundestagsfraktion in Auftrag gegeben hat. Dabei sei zu erwarten, dass technisch Versierte dies verhindern würden. Damit sich ein Lösungsansatz in der Praxis bewähre, müssten solche Ausweichmaßnahmen von Anwendern ausgeschlossen werden.

Bei Ende-zu-Ende-verschlüsselten Messenger-Apps wie WhatsApp, Signal oder Threema könne der Anbieter nur Metainformationen liefern, halten die Wissenschaftler fest. Daraus lasse sich etwa ablesen, wer mit wem kommuniziere, aber nicht die ausgetauschten Inhalte. Der Betreiber kenne die übertragenen Daten selbst nicht.

In dem EU-Dokument würden dazu zwei Lösungsansätze angeboten, erläutert der WD mithilfe der von ihm angefragten Experten. Der erste baue auf Spionagesoftware und entspreche ungefähr dem Einsatz des Bundestrojaners, der im Verdachtsfall auf das Endgerät eines Verdächtigen aufgebracht werde. Der Vorschlag laute dann, Hashwerte von Bildern an einen zentralen Server zu übertragen und dort mit einer Liste "verbotener" Pendants abzugleichen.

Einer der Nachteile dieses Verfahrens ist der Notiz zufolge, "dass prinzipiell alle Nutzer der Dienste unter Generalverdacht gestellt würden". Kriminelle müssten dagegen "nur minimale Bildveränderungen veranlassen", um sich vor einer Erkennung zu schützen. Diensteanbieter erhielten zudem "eine Fülle neuer Informationen über ihre Nutzer", da alle Bilder als Hashwerte an den Anbieter übertragen würden.

Der zweite vorgestellte Ansatz einer homomorphen Verschlüsselung sei sehr rechenaufwändig und werde derzeit im Messenger-Umfeld nicht eingesetzt, ist der Analyse zu entnehmen. Es bleibe in dem Papier zudem unklar, wie über dieses Verfahren im Detail das angestrebte Ziel erreicht werden solle. Bei nicht Ende-zu-Ende-verschlüsselten Diensten könnten dagegen Abhörschnittstellen – analog etwa zum klassischen Mobilfunk – gefordert und eingerichtet werden. Bei unverschlüsselter Kommunikation seien die Strafverfolger imstande, an jeder ihnen zugänglichen Datenverbindung mitzulesen.

Die Kommission hat Ende-zu-Ende-Verschlüsselung im Juli als Haupthindernis ausgemacht, um Kinderschändern das Handwerk zu legen. Sie drängt daher auf Gegenmaßnahmen, bei denen aber die Grundrechte voll geachtet werden müssten. Häufig eingesetzte Werkzeuge wie die 2009 von Microsoft entwickelte PhotoDNA setzen zum Aufspüren von Darstellungen sexuellen Kindesmissbrauchs auf Hashwerte. Bei durchgehender Verschlüsselung funktioniert dies nicht.

Die Debatte über das Papier sei im Zusammenhang mit der geplanten Entschließung des EU-Ministerrats zur Entschlüsselung zu sehen, erklärte der linke Bundestagsabgeordnete Andrej Hunko gegenüber heise online. Europa vollziehe damit einen "engen Schulterschluss" mit den "geheimdienstlichen Five Eyes" und rüste die "Entschlüsselungsplattform" bei Europol auf. Dies lasse sich nur noch verhindern, "indem wir auf die Einbindung von kritischen Nichtregierungsorganisationen gegen diesen Generalangriff auf die sichere, weltweite Telekommunikation drängen". Diese Beteiligung habe die Kommission versprochen, aber nie durchgeführt.

Bundeskanzlerin Angela Merkel ließ derweil auf dem Digitalgipfel der Bundesregierung durchblicken, dass sie für sichere Verschlüsselung sei. "Man möchte nicht abgehört werden, nich?", konstatierte die CDU-Politikerin. Es sei "zwar für die, die Terror-Fahndung machen und Ähnliches nicht so gut, wenn alles verschlüsselt wird". Aber "der Kunde möchte es natürlich ohne Fehlstelle haben". Merkel ist ein gebranntes Kind: Die NSA hatte ihr Handy abgehört und damit zu Zeiten der Regierung von Barack Obama eine mittelschwere Beziehungskrise zwischen den transatlantischen Partnern ausgelöst.

(bme)