- Der Online Safety Bill des britischen Parlaments befindet sich in der letzten Phase vor der Verabschiedung im House of Lords und könnte Messaging-Dienste zu Backdoors zwingen, was die Privatsphäre von Nutzern weltweit beeinträchtigen kann
- Im Kern des Konflikts steht, dass die Forderung nach Nachrichtenscans zur Erkennung von Inhalten zu Kindesmissbrauch und Terrorismus kaum mit Ende-zu-Ende-Verschlüsselung vereinbar ist
- WhatsApp, Signal, Element und andere warnten in einem offenen Brief im April 2023, dass dies zu einer alltäglichen, allgemeinen und unterschiedslosen Überwachung privater Nachrichten führen könnte; Apple schloss sich dem Widerstand im Juni an
- Die britische Regierung argumentiert, dass sich mit clientseitigem Scannen Sicherheit und Privatsphäre zugleich schützen ließen, doch die EFF entgegnet, dass Verschlüsselungs-Backdoors nicht nur für gutgemeinte Zwecke genutzt werden können
- Ohne Änderungen zum Schutz der Ende-zu-Ende-Verschlüsselung würden Menschen, die in feindlichen Umgebungen arbeiten und auf private Kommunikation angewiesen sind, etwa Menschenrechtsaktivisten, Journalisten und LGBTQ+-Nutzer, direkt gefährdet
Druck des Online Safety Bill auf Verschlüsselung
- Das britische Parlament treibt den weitreichenden Gesetzentwurf zur Internetregulierung Online Safety Bill voran; er befindet sich derzeit in der letzten Phase vor der Verabschiedung im House of Lords
- Der Gesetzentwurf könnte der britischen Regierung die Befugnis geben, Messaging-Dienste zu Backdoors zu zwingen und damit Ende-zu-Ende-Verschlüsselung auszuhebeln
- Änderungen, die die gefährlichsten Elemente des Gesetzes abmildern würden, wurden bislang nicht angenommen
- Die EFF warnt, dass der Gesetzentwurf nicht auf Großbritannien beschränkt bleibt, sondern weltweit Rückschritte bei Privatsphäre und Demokratie auslösen könnte
Umfang der Internetregulierung und zentraler Streitpunkt
- Der Online Safety Bill geht auf ein mehr als vier Jahre altes Weißbuch zu „online harms“ zurück und wird als sehr weitreichende Internetregulierung behandelt
- Zu den Anforderungen gehören Content-Filterung, Altersverifikation für den Zugang zu Inhalten für Erwachsene und detaillierte Berichte über Online-Aktivitäten an die Regierung
- Als besonders gravierender Punkt gilt dabei die Befugnis zum Scannen von Nachrichten, die Ende-zu-Ende-Verschlüsselung aufbrechen könnte
Nachrichtenscans stehen im Konflikt mit Ende-zu-Ende-Verschlüsselung
- Private Gespräche sind ein grundlegendes Menschenrecht, und das stärkste technische Mittel, dies im digitalen Raum umzusetzen, ist die Ende-zu-Ende-Verschlüsselung
- Erzwingt der Staat eine genehmigte Technologie zum Scannen von Nachrichten, kollidiert das mit einem Verschlüsselungsmodell, bei dem nur Absender und Empfänger die Nachricht lesen können
- Der zentrale Einwand der EFF lautet, dass es keine Verschlüsselungs-Backdoor gibt, die nur von den „Guten“ genutzt wird
- ein Verbot von Verschlüsselung
- Druck auf Unternehmen, von Verschlüsselung abzurücken
- oder die Forderung nach clientseitigem Scannen können allesamt böswilligen Akteuren und autoritären Staaten nützen
Warnungen von Unternehmen und Zivilgesellschaft
- Die britische Regierung sagt, sie wolle das Recht, alle Online-Nachrichten zu scannen, um Inhalte zu Kindesmissbrauch oder Terrorismus zu finden, und zugleich die Privatsphäre der Nutzer schützen
- Die EFF entgegnet, dass beide Ziele gleichzeitig nicht erreichbar sind
- Auch britische zivilgesellschaftliche Gruppen, Technikexperten und Menschenrechtsorganisationen weltweit kritisieren den Gesetzentwurf
- Anbieter verschlüsselter Messenger wie WhatsApp, Signal und das britische Unternehmen Element warnten in einem offenen Brief im April 2023 vor den Risiken des OSB
- Der Gesetzentwurf könnte Ende-zu-Ende-Verschlüsselung aufbrechen
- Selbst private Nachrichten von Freunden, Familien, Mitarbeitern, Führungskräften, Journalisten, Menschenrechtsaktivisten und Politikern könnten zur alltäglichen, allgemeinen und unterschiedslosen Überwachung werden
- Apple schloss sich im Juni 2023 öffentlich dem Widerstand an und erklärte, der Gesetzentwurf bedrohe Verschlüsselung und könne britische Bürger größeren Risiken aussetzen
Die technische Argumentation der britischen Regierung
- In einer Antwort an das House of Lords wiederholte der britische Minister für Kultur, Medien und Sport die Position, dass sich Nachrichten auch auf Ende-zu-Ende-verschlüsselten Plattformen scannen ließen, ohne die Privatsphäre aufzugeben
- In der Antwort heißt es, Unternehmen hätten schon zuvor Lösungen für Ende-zu-Ende-verschlüsselte Plattformen entwickelt, und Ofcom müsse die Nutzung solcher Technologien verlangen können
- Zudem wird die Position vertreten, dass die Regierung die Suche nach technischen Lösungen vorantreiben sollte, wenn noch keine sofort einsetzbare Lösung existiert
-
Safety Tech Challenge Fund
- Ein Programm, mit dem die britische Regierung kleine Förderungen für die Entwicklung von Software vergab, die angeblich Dateien scannen und zugleich die Privatsphäre der Nutzer schützen kann
- Die Beschreibungen der prämierten Prototypen enthalten mehrere Formen von clientseitigem Scannen, bei denen Dateien per KI untersucht werden, bevor sie über verschlüsselte Kanäle versendet werden
- Die EFF sieht darin erneut den Fehlschluss, dass Technologieunternehmen einfach nur härter an einer „magischen Backdoor“ arbeiten müssten, wenn sie Nutzer nicht schützen könnten
Noch mögliche Änderungen und die Betroffenen
- Britische Abgeordnete haben noch die Möglichkeit, eine Entscheidung zu verhindern, die zu Massenüberwachung führen könnte
- In der Ausschuss- oder Berichtsphase des House of Lords wurde Ende-zu-Ende-Verschlüsselung nicht ausreichend geprüft und nicht zur Abstimmung gestellt
- Die Lords könnten eine einfache Änderung ergänzen, die private Kommunikation schützt und ausdrücklich festlegt, dass Ende-zu-Ende-Verschlüsselung nicht geschwächt oder abgeschafft werden darf
- Gemeinsam mit britischen zivilgesellschaftlichen Gruppen sandte die EFF im Juli 2023 ein Briefing an das House of Lords
- Es erläutert die Verschlüsselungsprobleme des aktuellen Gesetzentwurfs
- Es schlägt die Annahme einer Änderung zum Schutz der Ende-zu-Ende-Verschlüsselung vor
- Wird diese Änderung nicht angenommen, werden Menschenrechtsaktivisten und Journalisten, die in feindlichen Umgebungen auf private Kommunikation angewiesen sind, sowie LGBTQ+-Nutzer, die für freie Meinungsäußerung auf Privatsphäre angewiesen sind, die Folgen tragen
Öffentliche Meinung und Referenzdokumente
- Die EFF ist der Ansicht, dass flächendeckendes Scannen und Überwachung nicht dem entsprechen, was britische Bürger wollen, und dass das Parlament den Gesetzentwurf daher ablehnen sollte
- In einer aktuellen Umfrage unter britischen Bürgern gaben 83 % an, bei Messaging-Apps wie Signal, WhatsApp und Element das höchstmögliche Maß an Sicherheit und Privatsphäre zu wollen
- Relevante Dokumente:
- EFF-Infoseite zum U.K. Online Safety Bill
- Wie der OSB freie Meinungsäußerung und Verschlüsselung angreift — EFF Deeplinks, August 2022
- Sorgen um freie Meinungsäußerung im Entwurf des britischen Online Safety Bill — EFF Deeplinks, Juli 2021
- Offener Brief der Zivilgesellschaft zum Online Safety Bill — November 2022
- Offener Brief von Anbietern verschlüsselter Messenger — April 2023
- Briefing der EFF und kooperierender NGOs für das House of Lords — Juli 2023
1 Kommentare
Hacker-News-Kommentare
Die britische Regierung versteht immer wieder nicht, dass das Internet keine Grenzen hat und dass man ohne extreme Beschränkungen auf dem Niveau totalitärer Regime auch keine Grenzen schaffen kann.
Wenn sie Maßnahmen ohne breite internationale Abstimmung durchdrückt, wird sie eine enorme Zahl von Menschen in die dunkleren Ecken des Internets treiben und nicht nur ihr Ziel völlig untergraben, sondern das Problem noch verschlimmern.
Schon Meta allein hat die Macht, dieses Gesetz zu einem desaströsen Fehlschlag zu machen. Die Leute wollen WhatsApp nutzen, und auch die Regierung selbst nutzt es breit. Wenn Meta sich verweigert, kann die Regierung kaum etwas tun. Facebook kann auch ohne einen einzigen Mitarbeiter im Vereinigten Königreich weiter betrieben werden; das Geschäft würde zwar etwas Schaden nehmen, aber es ist absolut machbar.
Die Regierung könnte Apple und Google unter Druck setzen, WhatsApp aus den britischen App Stores zu entfernen, aber solche regionalen Beschränkungen lassen sich leicht umgehen, und WhatsApp ist populär genug, dass die Leute es versuchen würden. Damit würden Praktiken wie Sideloading, Jailbreaking und das Umgehen regionaler Beschränkungen normalisiert; Cyberkriminelle würden sich die Hände reiben, und auch die Pädophilen und Terroristen, die man aufhalten wollte, würden auf diesen Zug aufspringen.
https://9to5mac.com/2023/07/20/apple-imessage-facetime-remov...
Die Unternehmen, die sich im Vereinigten Königreich gegen dieses Gesetz stellen, drohen mit einem Rückzug aus dem Markt. Das bedeutet nicht, dass sie britischen Nutzern helfen, Wege zum Gesetzesbruch zu finden, sondern dass sie britische Nutzer von ihren Diensten ausschließen.
Wenn ich eine Ende-zu-Ende-verschlüsselte Messenger-App entwickeln würde, müsste ich überhaupt nicht auf Großbritannien hören. Genauso wenig, wie China mir Anweisungen geben kann, kann es Großbritannien. China kann meine App blockieren, wenn es will, aber das Blockieren ist ihre Sache, nicht meine. Großbritannien kann ebenfalls eine Firewall errichten, wenn es will. Aber wenn ich keinen Fuß ins Vereinigte Königreich setze, muss ich meine App nicht ändern.
Die Sorge, dass es keine breite internationale Abstimmung gibt, kannst du dir auch sparen. Andere Regierungen sind genauso mies und wollen denselben Unsinn.
Ein Verschlüsselungsverbot dürfte sich ähnlich „schwer“ umgehen lassen. Es wirkt eher so, als wolle man vor den Wählern edel aussehen, statt tatsächlich etwas zu erreichen.
Wenn du im Vereinigten Königreich lebst, wäre es gut, wenn du diese Petition auf den Websites der britischen Regierung und des Parlaments unterschreibst: https://petition.parliament.uk/petitions/634725
Derzeit gibt es 6.327 Unterschriften; für eine Antwort der Regierung werden noch 3.673 benötigt, und danach weitere 90.000, damit eine Debatte geprüft wird.
Briefe an Abgeordnete enden zwar fast immer mit formelhaften Antworten, aber zumindest kümmern sie sich dann überhaupt darum. Ganz gelegentlich bekommt man sogar eine Antwort, die nicht aus einer Vorlage stammt.
Ich hasse die britische Regierung im Moment wirklich.
Ich hoffe, dass diese schlampigen Gesetzentwürfe vor Gericht scheitern, sobald die Gerichte bestätigen, dass die Realität am Ende den Hammer schwingt.
Wahrscheinlich steht darin auch irgendwo eine Klausel, die Pi künftig auf 4 festlegt.
Ich hasse unsere Regierung auch, aber die Medien spielen eine enorme Rolle dabei, sie zu stützen.
Alle Tech-Unternehmen sollten zusammenstehen und bereit sein, sogar den Zugang zu ihren Diensten zu sperren. Man muss sich nur vorstellen, was passieren würde, wenn im Vereinigten Königreich nicht einmal iMessage, sondern schon WhatsApp allein nicht mehr nutzbar wäre. Das wäre weder verantwortungslos noch unsicher. SMS, das die Regierung vollständig kontrollieren kann, bleibt ja immer noch.
Ich glaube auch nicht, dass diese Unternehmen Wettbewerber fürchten müssen. Diese Dienste sind so tief verankert, dass ein paar Wochen, höchstens ein paar Monate Protest nichts daran ändern würden. Wenn die Regierung schließlich nachgibt, ist die Wiederherstellung einfach, und die Kennzahlen normalisieren sich schnell wieder.
[1] https://www.theguardian.com/politics/2015/apr/19/spads-speci...
Das ist wirklich absurd dumm. Es wird ein viel stärker fragmentiertes Internet schaffen, alle Länder werden anfangen, sich weiter voneinander zu entfernen, und das Vertrauen in westliche/britische/US-Produkte geht verloren.
Warum sollte der Rest der Welt dann weiter iPhones, MacBooks, Google, Amazon usw. nutzen? Für alle großen Unternehmen wird das enorme Kosten in Form entgangener Umsätze bedeuten.
Dabei gibt es intelligentere Wege, das Nötige zu tun und zugleich die Privatsphäre zu respektieren, ohne Unternehmen unnötig wirtschaftlich zu schaden. Dafür bräuchte man allerdings kluge Leute in der Regierung, und Regierungen sind voll von Leuten, die das nicht sind.
Ein weiterer Aspekt ist, dass die Durchsetzung gegenüber der großen Mehrheit der Einzelpersonen unmöglich ist. Umgehungsmöglichkeiten gibt es zuhauf, und viele Unternehmen werden anfangen, Firmen in nicht betroffenen Regionen oder Offshore-Gebieten zu gründen, um Alternativen zu Viber, Skype, Google usw. anzubieten. Einige davon gibt es bereits.
Während so etwas passiert, verlegt das Vereinigte Königreich zugleich Glasfaser in jedes Haus. Mehrere Leute, die an sehr abgelegenen Landstraßen wohnen, sehen, wie 36x-fibre-COF215-Hausanschlusskabel zwischen Bäumen gespannt oder neben schlammigen Wegen vergraben werden.
EE war Ende der 2010er in Städten der ersten und zweiten Reihe Vorreiter bei LTE Cat16, zeitlich passend zur Einführung des iPhone X mit Unterstützung für Gigabit-Traffic. Bald wird das auch auf einem Feld in deiner Nähe möglich sein. Für alle entsteht gerade reichlich Bandbreite mit niedriger Latenz.
Mit solcher Konnektivität kann man viel kreativer aufteilen, wer die Übertragung bereitstellt und wer die IP-Konnektivität liefert. VPNs werden bereits Mainstream. Das klingt nach einer positiven Entwicklung. Das Internet routet um Schäden herum, und auch Gesetze, die einschränken, was man tun darf und was nicht, lassen sich „umrouten“, wenn man den Traffic in Dublin oder Amsterdam terminieren lässt.
Das Problem ist: Je normaler es für britische Bürger wird, ihren Traffic ins Ausland zu schicken, desto mehr scheint der Weg der britischen Regierungspolitik am Ende wieder auf nichts anderes hinauszulaufen als einen totalen Krieg gegen Verschlüsselung.
Ich betreibe einen verschlüsselten XMPP-Server für etwa 12 Leute. Er ist vollständig flüchtig, insofern der Server keine Nachrichten speichert. Wenn man offline ist, verpasst man Nachrichten, ähnlich wie bei IRC.
Gilt dieses Gesetz auch für mich? Muss ich sicherstellen, dass es auf meinem Server keine britischen Nutzer gibt?
Als ich den Server eingerichtet habe, habe ich so etwas überhaupt nicht erwartet. Ich dachte, starke Sicherheits- und Datenschutzmaßnahmen umzusetzen sei eine Verantwortung, die man ernst nehmen sollte.
Wenn ich die Privatsphäre der Leute untergraben muss, habe ich kein Interesse daran, den Server zu betreiben. Ohne Privatsphäre ist es nicht anders als bei den Diensten der Tech-Giganten.
Ich sehe einige Aussagen, dass ein Regierungswechsel helfen würde, aber die frühere Labour-Regierung (1997–2010) hat den Regulation of Investigatory Powers Act 2000 eingeführt: https://en.m.wikipedia.org/wiki/Regulation_of_Investigatory_...
Darin enthalten sind auch Regeln zur Offenlegung von Schlüsseln: https://en.m.wikipedia.org/wiki/Key_disclosure_law#United_Ki.... Bei der Schlüsseloffenlegung wird die Beweislast umgekehrt: Der Angeklagte muss beweisen, dass er den Schlüssel nicht besitzt oder nicht entschlüsseln kann. Unter den damals daran Interessierten war das ziemlich umstritten. Die tatsächliche Nutzung der RIPA-III-Bestimmungen begann 2007.
Dieselbe Labour-Regierung trieb auch das Interception Modernisation Programme voran: https://en.m.wikipedia.org/wiki/Interception_Modernisation_P.... Man erinnert sich vielleicht an „mastering the internet“ aus den Snowden-Leaks, aber das IMP selbst war nicht geheim. Es gab auch einen Gesetzentwurf, der Teile davon in Gesetzesform gießen sollte: https://en.m.wikipedia.org/wiki/Communications_Data_Bill_200.... Daraus wurde kein Gesetz.
Ich denke, Labour stimmt dieser Richtung ebenfalls zu. Und die Schicht hoher Beamter, die direkt mit Ministern arbeitet oder ihnen nahesteht, wechselt nicht wie in der US-Regierung. Es ist möglich, dass dieser Gesetzentwurf im aktuellen Parlament aus Zeitmangel verfällt und die nächste Regierung ihn nicht übernimmt; so etwas kann auch passieren, wenn dieselbe Partei an der Macht bleibt. Aber diese Idee wird in irgendeiner Form zurückkommen und am Ende wohl Gesetz werden.
Um das vollständig umzusetzen, müsste man eine enorme Menge an Software und Protokollen zerlegen, darunter VPN, SSL/TLS, SSH, WebRTC.
Andere Länder werden nicht wollen, dass solche Protokolle nur für das Vereinigte Königreich geschwächt werden. Am Ende hätte das Vereinigte Königreich eine „große Firewall“ und würde praktisch sein eigenes kleines Internet schaffen; technisch versierte Leute würden sich dann wie in China durch die Lücken bewegen.
https://despair.com/products/mistakes
Ich frage mich, wie viele Unternehmen eher das Vereinigte Königreich blockieren werden, als das Gesetz zu befolgen. Es werden sicher nicht null sein.
https://www.politico.eu/article/uk-ministers-lock-horns-with...
Reicht es nicht, einfach nur die geschäftliche Präsenz im Vereinigten Königreich aufzugeben, um potenziellen rechtlichen Problemen zu entgehen?