„Going Dark“: EU-Arbeitsgruppe will Zugang zu verschlüsselten Inhalten

Mit drastischen Vorschlägen will eine von Polizeibehörden dominierte EU-Arbeitsgruppe zunehmender Verschlüsselung begegnen. Auf der Wunschliste stehen der Zugang zu sicherer Kommunikation, umfassende Vorratsdatenspeicherung und Strafen für unkooperative Anbieter, etwa den datensparsamen Messenger Signal.

Ermittlungsbehörden wollen seit Jahren Zugang zu verschlüsselten Inhalten. (Symbolbild) – Alle Rechte vorbehalten IMAGO / YAY Images

Die EU soll Ermittlungsbehörden neue und weitreichende Möglichkeiten an die Hand geben, um besser gegen Kriminalität vorgehen zu können. Das steht im Abschlussbericht einer Arbeitsgruppe von Fachleuten, die sich seit dem Vorjahr mit der Zunahme von verschlüsselter Kommunikation beschäftigt hatte. Zu den Forderungen zählen ein neuer Anlauf für eine europaweite Vorratsdatenspeicherung, Zugang zu verschlüsselten Messenger-Nachrichten und mehr Kooperation europäischer Ermittlungsbehörden.

Polizeien und Geheimdienste malen seit Jahren gerne das Bild eines „Going Dark“ an die Wand. Damit beschreiben sie ihre Sorge, blind und taub zu werden, wenn Kriminelle moderne Verschlüsselungsverfahren nutzen. Angesichts mangelnder Evidenz einer angeblichen Erblindung des Staates kritisieren zivilgesellschaftliche Organisationen diese Darstellung als einseitig. Sie sei zu eng gefasst, da sie eine breitere gesellschaftliche Perspektive außer Acht lasse sowie den Punkt, dass den Behörden heutzutage trotz aller Verschlüsselung eine Vielzahl an Datenspuren zur Verfügung steht.

Eingerichtet hatte die Gruppe die damalige schwedische EU-Ratspräsidentschaft, unter dem Ko-Vorsitz der EU-Kommission waren vor allem Vertreter:innen des Sicherheitsapparats an den Diskussionen beteiligt. Anders als ursprünglich beauftragt war es letztlich keine Expert:innengruppe (High-Level Expert Group), sondern lediglich eine „High-Level Group“ (HLG) – mutmaßlich, weil für solche Arbeitsgruppen laxere Anforderungen als für echte Expert:innengruppen gelten.

Bindend sind die Vorschläge der Gruppe nicht, dürften aber Anklang bei der EU-Kommission und den Innenministerien vieler EU-Länder finden. Schon die im Sommer veröffentlichten Empfehlungen der HLG hatten ähnliche Vorschläge enthalten. Ein EU-Ratstreffen begrüßte insbesondere die Vorschläge für „einen harmonisierten EU-Rechtsrahmen für die Vorratsdatenspeicherung, die Festlegung von Vorschriften für den Zugang zu Daten aus interpersoneller elektronsicher Kommunikation sowie rechtlich und technisch fundierte Lösungen für den Zugriff auf verschlüsselte elektronische Kommunikation in Einzelfällen“.

Weitreichende Speicheranforderungen für Diensteanbieter

Für die HLG besteht kein Zweifel: „Digital erstellte, verarbeitete oder gespeicherte Kommunikationsdaten (sowohl Metadaten als auch Inhaltsdaten) sind ein wichtiger Bestandteil moderner kriminalpolizeilicher Ermittlungen“, beschreiben ihre Empfehlungen die Lage. Über 90 Prozent aller Nachrichten würden inzwischen über sogenannte OTTs (Over-The-Top-Anbieter wie WhatsApp oder Signal) verschickt, und Anfragen an Online-Dienste hätten sich zwischen 2017 und 2022 verdreifacht, so das HLG-Papier. Daran würden sich Ermittlungsbehörden oft die Zähne ausbeißen.

Neue Antworten hat die HLG darauf nicht gefunden, stattdessen wiederholt sie eine lange Liste mit Forderungen von Polizei und Geheimdiensten. Zum Beispiel sollen für Online-Dienste künftig Mindestanforderungen für eine standardisierte Datenspeicherung gelten, zumindest für die zur Identifizierung von Nutzer:innen erforderlichen Daten. Metadaten von Nutzer:innen sollen also anlasslos für einen bestimmten Zeitraum gespeichert werden, bis Behörden sie gebrauchen können. Nach Wunsch der Arbeitsgruppe sollen die Regeln für Datenverarbeiter jeglicher Art gelten, womöglich auch für Autohersteller oder KI-Tools wie ChatGPT.

Wer zu wenig speichert, soll bestraft werden

Unterschiedliche Kategorien von Daten, etwa Bestandsdaten, IP-Adressen oder Standortdaten, sollen nach dem Willen der HLG unterschiedlich lang gespeichert werden. Sie sollten dann über neue, EU-weit geltende Regeln zur Vorratsdatenspeicherung mit jeweils spezifischen Auflagen abrufbar sein. Anbieter, die sich nicht daran halten und wie Signal nur kaum Daten speichern oder sich anderweitig unkooperativ zeigen, sollen sanktioniert werden. Das könnten Netz- oder App-Store-Sperren sein, aber auch Gefängnisstrafen, wie die HLG ausdrücklich ausführt. Generell sollen für OTT-Anbieter die selben Regeln gelten wie für traditionelle Telekommunikationsunternehmen, wie es der sogenannte TK-Kodex bereits angelegt hatte.

„Mit diesen Vorschlägen versucht die HLG, den Überwachungszombie Vorratsdatenspeicherung mit voller Wucht wiederzubeleben“, sagt Chloé Berthélémy von der Digital-NGO European Digital Rights (EDRi). Umfangreiche Speicherpflichten für quasi alle IT-Dienste seien das Gegenteil von zielgerichteter Polizeiarbeit und stünden dem höchstrichterlichen Verbot von Massenüberwachung entgegen. „Alle Menschen einem Gefühl ständiger Überwachung auszusetzen kann nicht mit den Anforderungen vereinbar sein, welche der EuGH und der EGMR in der Vergangenheit definiert haben“, sagt Berthélémy.

Dauerbaustelle verschlüsselte Daten

Außerdem müssten die Betreiber Zugang zu verschlüsselten Inhalten gewähren, heißt es im Empfehlungspapier: „Die HLG stimmte auch darin überein, dass Dienstanbieter, die verschlüsselte Dienste anbieten, verpflichtet werden müssen, Mittel und Wege zu finden, um Daten auf rechtmäßige Anfrage von Strafverfolgungs- und Justizbehörden in verständlicher Form bereitzustellen.“

Wie das gelingen soll, bleibt unklar, zumal der Bericht darauf hinweist, dass neue Auflagen oder technische Standards weder direkt noch indirekt zu einer Schwächung von Ende-zu-Ende-Verschlüsselung führen dürfen. In der Vergangenheit hatten Sicherheitsforscher:innen immer wieder betont, dass eins das andere ausschließt.

Auch die HLG-Expert:innen sind sich im Abschlussbericht „einig, dass Ende-zu-Ende-Verschlüsselung als robuste Sicherheitsmaßnahme gilt, die Bürger:innen wirksam vor verschiedenen Formen der Kriminalität schützt“. Die Technik sei effektiv dabei, „unrechtmäßiges Abhören, Datendiebstahl, staatlich geförderter Spionage und andere Formen des unbefugten Zugriffs durch Hacker, Cyberkriminelle oder sogar die Dienstanbieter selbst“ zu verhindern.

Hier sei ein „vorsichtiges Vorgehen“ geboten, denn abrücken von der Forderung nach Zugang zu solchen Inhalten will die Arbeitsgruppe nicht. Entsprechend unscharf sollte laut der HLG eine „Roadmap“ entwickelt werden, um „rechtmäßigen Zugang durch Design (‚lawful access by design‘) in allen relevanten Technologien, in Einklang mit den Bedürfnissen von Ermittlungsbehörden“ sicherzustellen. Einschließen sollte dieser Ansatz nicht nur Transit-Daten, sondern auch digitale Forensik und Vorratsdaten.

Diese Quadratur des Kreises könne jedoch nicht wirklich gelingen, sagt Chloé Berthélémy: „Die Pläne für ‚Lawful access by design‘ lassen sich am besten als ‚Unsicherheit by design‘ übersetzen“.

Mehr Kooperation gefordert

Ferner schlägt die Arbeitsgruppe mehr Kooperation zwischen EU-Polizeien und -Behörden vor, etwa bei der Beschaffung forensischer Werkzeuge und bei der Forschung. Mehr Austausch brauche es zudem bei Informationen über Sicherheitslücken, die es mitunter für die Entschlüsselung beschlagnahmter Geräte oder auch den Einsatz von Spähtools wie Staatstrojanern braucht. Zudem solle eine Infrastruktur aufgebaut werden, die sich für die Echtzeit-Übertragung großer Datenmengen eigne, fordert die HLG.

Außerdem sollten sich der HLG zufolge EU-Mitgliedstaaten weniger im Weg stehen, wenn Kriminelle verfolgt werden. Im Sommer hatte die HLG in ihren Empfehlungen beispielsweise noch gefordert, dass Abhörmaßnahmen sofort und ohne Umweg über grenzüberschreitende Instrumente wie E-Evidence umgesetzt werden sollten, wenn ein Verbrechen in einem bestimmten Land begangen wurde und sich die Verdächtigen im gleichen Land befinden, der Diensteanbieter aber woanders sitzt.

Diese Forderung findet sich im Abschlussbericht nicht mehr so ausdrücklich, allerdings beklagt die HLG offenbar unzureichend schnell funktionierende Instrumente wie die Europäische Ermittlungsanordnung. „Für Experten aus Polizei und Justiz besteht kein Zweifel: Die Durchführung von Abhörmaßnahmen über internationale Instrumente ist keine praktikable Lösung“, heißt es unmissverständlich im Bericht. Hierbei sei eine „technische, juristische und organisatorische Harmonisierung“ der Regeln auf EU-Ebene notwendig. Ins Auge sollten zudem neue bilaterale Verträge vor allem mit den USA gefasst werden, um in Echtzeit auf Kommunikation zugreifen zu können.

Rechtlich weniger angreifbar sollen zudem spektakuläre Hacks von Anbietern wie EncroChat oder Sky ECC werden, die mutmaßlich auf Kriminelle zugeschnitten sind. Kriminalistisch waren diese polizeilichen Hacks zwar durchaus erfolgreich, sehen sich jedoch anhaltenden rechtlichen Auseinandersetzungen bis in die höchsten Instanzen ausgesetzt. Auch hier sollten harmonisierte europäische Regeln dafür sorgen, fordert die HLG, damit derart sichergestellte Beweise rechtssicher vor Gerichten verwendet werden können.

Ob das alles insgesamt zu mehr Sicherheit führt, bezweifelt Chloé Berthélémy von EDRi. „Die EU und ihre Bürger:innen sind zunehmenden Gefahren sowohl durch staatliche Stellen wie auch durch Kriminalität ausgesetzt“, sagt die Expertin. Die Vorschläge der HLG würden noch mehr Sicherheitsrisiken schaffen und seien gleichzeitig ein Angriff auf unsere Freiheitsrechte. „Die Priorität sollte jetzt auf mehr Sicherheit von digitalen Technologien liegen und alles dafür getan werden, nachhaltige, vertrauenswürdige Lösungen zu stärken“, fordert Berthélémy.


Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Es gibt neue Nachrichten auf friedliche-loesungen.org
:

Nur wer angemeldet ist, geniesst alle Vorteile:

  • Eigene Nachrichten-Merkliste
  • Eigener Nachrichtenstrom aus bevorzugten Quellen
  • Eigene Events in den Veranstaltungskalender stellen
M D M D F S S
 
 
 
 
1
 
2
 
3
 
4
 
5
 
6
 
7
 
8
 
9
 
10
 
11
 
12
 
13
 
14
 
15
 
16
 
17
 
18
 
19
 
20
 
21
 
22
 
23
 
24
 
25
 
26
 
27
 
28
 
29
 
30