Sagen Sie der EU: Brechen Sie mit „Chat Control“ nicht die Verschlüsselung

 (mozillafoundation.org)
2 Punkte von GN⁺ 2025-09-23 | 1 Kommentare | Auf WhatsApp teilen
  • Client-Side-Scanning ist ein Verfahren, bei dem Nachrichten oder Dateien auf dem Gerät vor der Verschlüsselung geprüft werden
  • Diese Methode wird zwar mit dem Ziel des Kinderschutzes beworben, untergräbt in der Praxis jedoch das zentrale Versprechen der Verschlüsselung
  • Dabei kommen Erkennungstools zum Einsatz, die mit hoher Wahrscheinlichkeit Fehlalarme und Sicherheitslücken verursachen
  • Sobald Scans erlaubt sind, wird der Anwendungsbereich ausgeweitet, wodurch das Risiko von Eingriffen in die Privatsphäre steigt
  • Letztlich führt diese Technologie dazu, dass die Sicherheit aller geschwächt wird

Was ist Client-Side-Scanning (CSS)?

  • Client-Side-Scanning ist eine Methode, bei der die Nachrichten, Fotos und Dateien der Nutzer auf dem Gerät vor der Verschlüsselung geprüft werden
  • Dieses Verfahren wird meist als Maßnahme für Kindersicherheit beworben

Das Versprechen der Verschlüsselung wird untergraben

  • Tatsächlich schwächt Client-Side-Scanning die Sicherheits- und Datenschutzversprechen, die Verschlüsselung bietet
  • Tools zur Erkennung „unbekannter“ Inhalte haben eine hohe Wahrscheinlichkeit für Fehlalarme und können neue Sicherheitslücken verursachen

Risiko einer Ausweitung des Anwendungsbereichs

  • Selbst wenn es anfangs mit begrenzten Zwecken wie dem Schutz von Kindern (z. B. CSAM) beginnt, kann der Umfang der gescannten Inhalte später leicht ausgeweitet werden
  • Wenn Verschlüsselung geschwächt wird, steigen verschiedene Risiken, darunter der Diebstahl sensibler Informationen durch Hacker, das Aufspüren gefährdeter Personen durch Täter und Überwachung durch autoritäre Staaten

Tatsächliche Schwächung der Sicherheit

  • Client-Side-Scanning zeigt in der Praxis nur geringe Wirkung bei der tatsächlichen Verbesserung der Sicherheit
  • Am Ende führt es dazu, dass die Sicherheit aller geschwächt wird

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-09-23
Hacker News-Kommentar

  • Ich vergleiche das gern damit, in jedem Haus Überwachungskameras zu installieren: Das würde die Erkennung und Aufklärung von Verbrechen tatsächlich erleichtern, und der Staat könnte sogar hoch und heilig versprechen, ohne richterlichen Beschluss niemals hineinzuschauen. Vielleicht würde er dieses Versprechen sogar halten. Aber diese gefährliche schiefe Ebene ist nur ein Teil des Problems. Noch gefährlicher ist, dass ein solches System allein durch seine Existenz – unabhängig davon, ob es tatsächlich genutzt wird – zum attraktivsten Ziel für kriminelle Organisationen oder Hacker feindlicher Staaten würde. Spionage, Erpressung und viele andere Missbrauchsformen wären möglich. Privatsphäre und Sicherheit würden massiv beschädigt.

    • Es gibt einen Grund, warum sie Ausnahmeklauseln für sich selbst eingebaut haben. Vielleicht, weil sie es selbst für unsicher halten, oder weil sie glauben, unter den EU-Abgeordneten könnten Dinge im Zusammenhang mit Kindesmissbrauch verborgen werden, die sie nicht offengelegt haben wollen. Wir sind inzwischen an einem Punkt, an dem man nicht mehr jedes einzelne Mal erklären müssen sollte, warum man gegen so etwas ist. Die Mitglieder des Europäischen Parlaments müssen zur Verantwortung gezogen werden, und wenn das nicht gelingt, dann die EU als Ganzes. Wenn auch das nicht möglich ist, dann fehlt der EU bei solchen Gesetzen die Legitimität. Am Ende muss man wohl wieder auf nationale Verantwortung zurückkommen.

    • Ich halte den Vergleich mit Kameras im eigenen Haus nicht für passend. Ein Haus gehört fast vollständig mir, also könnte ich eine Kamera abdecken oder entfernen, wenn jemand sie dort aufstellt. Wenn ich dafür ins Gefängnis käme, wäre die Welt ohnehin bereits dystopisch. Beim Handy ist das anders. Im Grunde gehört es dem Nutzer nie vollständig: Der Bootloader ist gesperrt, man kann nicht frei beliebigen Code ausführen, und App-Stores legen fest, was man installieren darf. Am Ende können Apple oder Google die App einfach aus dem Store verbannen.

    • Ein realistischerer Vergleich wäre das ECHELON-System. Seit 1971 betreiben die Five-Eyes-Staaten Massenüberwachung und das Scannen von Kommunikation. Ich glaube, du magst diesen Vergleich nicht, weil du den Eindruck erzeugen willst, das sei etwas Neues und deshalb besonders alarmierend. Alles, worüber du dir Sorgen machst, ist bereits in der Vergangenheit als Realität belegt worden.

  • Wenn die EU, die sich selbst als Bastion der Menschenrechte bezeichnet, ein solches Gesetz durchdrückt, frage ich mich, mit welcher Begründung wir autoritärere Staaten noch widersprechen wollen, wenn sie von Apple, Google oder Meta dasselbe verlangen.

    • Ich denke nicht, dass die EU schon deshalb eine Bastion der Menschenrechte ist, weil sie weniger schlimm ist als andere Regionen. Wie überall im Westen gibt es auch dort ständig Machtkämpfe.

    • Es stellt sich doch die Frage, warum sie sich selbst als solches Symbol der Menschenrechte positioniert. Meine Vermutung: weil sie es so oft wiederholt hat, dass inzwischen alle daran glauben.

  • Ich würde gern fragen, warum man das nicht zuerst als Pilotprojekt ausprobiert. Wie wäre es damit, zunächst sämtliche Kommunikation zwischen EU-Abgeordneten vollständig offenzulegen? Die Idee wäre schließlich, dass wir alle diese Verschlüsselung aufbrechen.

    • Ich zitiere Pirate Party MEP Patrick Breyer: „Dass die EU-Innenminister Polizei, Militär, Geheimdienstmitarbeiter und sogar sich selbst vom 'Chat Control' ausnehmen wollen, zeigt, dass sie genau wissen, wie gefährlich und unzuverlässig dieser Schnüffelalgorithmus ist.“ Tatsächlich fürchten sie, dass Militärgeheimnisse und Ähnliches jederzeit in die Hände der USA gelangen könnten. Die Vertraulichkeit staatlicher Kommunikation ist wichtig, aber dasselbe muss auch für gewöhnliche Unternehmen und Bürger gelten. Ebenso müssen Räume geschützt werden, in denen Opfer sicher kommunizieren und Heilung teilen können. Heute haben die meisten Chat-Leaks aus Algorithmen zur freiwilligen Chat-Überwachung überhaupt nichts mit Ermittlungen zu tun, etwa Familienfotos oder einvernehmliches Sexting. Dass EU-Minister die Zerstörung digitaler Privatsphäre und geschützter Verschlüsselung nur den Bürgern aufzwingen wollen, sich selbst aber ausnehmen, ist zutiefst ungerecht.

  • Ich glaube, viele Menschen außerhalb der EU tun dieses Thema als reines EU-Problem ab.

    1. Wenn du jemals mit einer Person aus der EU Nachrichten ausgetauscht hast, bist auch du von „Chat Control“ betroffen.
    2. Die EU unterstützt andere Länder mit enormen Geldsummen unter dem Vorwand, europäische Werte zu verbreiten. Ich halte es für nur eine Frage der Zeit, bis diese „Hilfe“ an die Bedingung von „Chat Control“ geknüpft wird.
    • Wenn die EU das diesmal leicht durchbekommt, liefert sie anderen Regierungen damit eine erfolgreiche Blaupause zum Nachmachen.

  • Ylva Johansson, die Urheberin dieses Gesetzentwurfs, war in Schweden nicht populär und ging deshalb nicht in die EU, sondern wurde 2019 von der sozialdemokratischen Regierung nominiert. Kommissare werden ohnehin nicht direkt gewählt. In Brüssel zählen Parteiloyalität, jahrzehntelange Ministererfahrung, Geschlechterbalance und Ähnliches. Faktisch benutzen nationale Regierungen die EU als „Parkplatz“ für Politiker, die im Inland an Popularität verloren haben. Heute ist sie vor allem wegen des „Chat Control“-Vorhabens bekannt. Das macht nur noch deutlicher, wie ironisch es ist, dass eine im eigenen Land unpopuläre Politikerin eine so umstrittene EU-Politik anführt.

    • In vielen Ländern ist es so üblich geworden, dass „abgelaufene“ Politiker in die EU wechseln, dass es mir als Europäer wirklich schwerfällt, die EU zu respektieren. Sicher gibt es dort auch hervorragende und ehrliche Menschen, aber dort, wo ich lebe, entziehen sich Politiker nach beruflichen Fehlleistungen durch den Wechsel in die EU sogar der nationalen Verantwortung. Das schadet am Ende sowohl dem Ansehen der EU als auch dem jeweiligen Herkunftsland – ein doppelter Verlust. Ich hoffe nur, dass meine Erfahrung nicht für ganz Europa gilt.

  • Jedes Mal, wenn ich solche Gesetze sehe, frage ich mich, ob die Leute, die sie machen, nicht wissen, dass man, wenn man auch nur eine einzige Person abhören will, am Ende zwangsläufig allen eine leicht überwachbare Infrastruktur aufdrücken muss, oder ob es ihnen egal ist – oder ob genau das das Ziel war.
    Früher gab es Vorschläge, bei denen die Regierung einfach in allen Chaträumen zwangsweise anwesend sein sollte; im Vergleich dazu wirkt das hier fast noch ein wenig vernünftig.

    • Ich finde es ironisch, dass Menschen bei Politikern gern die Regel anwenden: „Schreibe nichts der Bosheit zu, was sich auch durch Inkompetenz erklären lässt.“ Politiker können Budgets und Fachpersonal in großem Umfang nutzen und bekommen Analysen von Experten aus allen Bereichen. In so einem Umfeld ist echte Inkompetenz praktisch kaum vorstellbar. Was wir sehen, ist daher nicht Inkompetenz, sondern Interessenkonflikt – ein Tauziehen zwischen dem, was sie wollen, und dem Maß an Zustimmung, das sie von den Bürgern erhalten können.

    • Politiker lösen technische Probleme nicht selbst; ihre Aufgabe ist es, zu entscheiden, was sie für das Beste der Gesellschaft halten. Der Gedanke, „wenn wir nur die Verschlüsselung für Kriminelle brechen, sind alle sicherer“, ist nicht völlig irrational. Das Problem ist, dass es unmöglich ist. Für Politiker ist Kryptografie jedoch praktisch so etwas wie „Magie“ – sie wissen schlicht nicht, was realistisch unmöglich ist. Beim Klimawandel ist es ähnlich: Sie denken, Wissenschaftler müssten das CO2 einfach aus der Atmosphäre entfernen. Sie verstehen den Lösungsweg nicht, halten ihn aber trotzdem für machbar, fast wie einen Zauberspruch.

    • Die Debatte über textanalytische Verfahren selbst läuft übrigens noch; sie sind keineswegs vollständig vom Tisch.

    • Tatsächlich werden viele Gesetzentwürfe fast wortgleich als „Musterentwürfe“ von Gruppen wie Political Action Committees vorgeschlagen und dann in nationale Parlamente eingebracht. Das ist auch der Grund, warum mehrere US-Bundesstaaten gleichzeitig identische Gesetze vorlegen.
      Innerhalb der Partei wird entschieden, für welche Gesetze abgestimmt wird, und manchmal werden gefährliche Entwürfe immerhin schon im Ausschuss gestoppt, etwa Verbote aller mRNA-Impfstoffe oder Regelungen, nach denen nur Blut von Ungeimpften bereitgestellt werden soll.
      Den Stand von Gesetzesvorlagen in den einzelnen Bundesstaaten kann man hier sehen, für den US-Kongress hier.
      Ein Beispiel ist der Gesetzentwurf HR 22: nur zwei Seiten lang, aber klar erkennbar mit dem Ziel, bestimmte Gruppen von der bundesweiten Wahlteilnahme abzuhalten. Dabei ist die Teilnahme von Ausländern an Bundeswahlen ohnehin bereits illegal. Enhanced Driving License wird nur in fünf Bundesstaaten ausgestellt. De facto gibt es also mehrere Gruppen, denen man das Wahlrecht entziehen kann, darunter Transgender-Personen, Nichtbürger, Frauen, die nach der Heirat den Nachnamen ihres Mannes angenommen haben, Menschen mit Namensänderung und Personen, die sich die Kosten für einen Reisepass nicht leisten können.

  • Die Begründung, man müsse Verschlüsselung aufbrechen, um Kriminalität und die Verbreitung von CSAM zu bekämpfen, ist wirkungslos und schadet nur gesetzestreuen Bürgern. Kriminelle können jederzeit wirksame Verschlüsselungsverfahren nutzen, auch wenn diese illegal wären. Das weiß die EU sehr genau. Wie immer wird „Kinderschutz“ vorgeschoben, aber das eigentliche Ziel ist Überwachung.

  • Ein Punkt, der in der EU-Debatte über „Chat Control“ kaum erwähnt wird, ist, dass dieses Gesetz nur für bestimmte „Plattformen“ gelten würde.
    Verschlüsselte Chats, die nicht über Drittplattformen wie Meta laufen, lägen damit praktisch außerhalb des Geltungsbereichs.
    Wenn jemand glaubt, Kommunikation im Internet ohne einen Dritten sei nicht möglich, dann ist das eigentlich schon eine viel gravierendere Hürde für die Privatsphäre als die EU-Chatüberwachung selbst.
    Ich glaube, der größere Kontext ist weniger ein Forumskommentar mit direkter Kritik an der EU-Politik als vielmehr die Tatsache, dass die EU letztlich Big Tech reguliert.
    Dieser Gesetzentwurf könnte Meta schaden, und dann wird es wohl eine irreführende Informationskampagne für die breite Öffentlichkeit geben.
    Praktisch gesehen gilt: (a) Schon die Nutzung eines Dritten wie Meta schafft eine große Schwachstelle dafür, dass Regierungen mitüberwachen können, und (b) der tatsächliche Überwacher ist nicht der Staat, sondern Meta.
    Die EU verhängt fortlaufend Bußgelder gegen Meta, weil das Unternehmen Privatsphäre missachtet und mit einem Surveillance-Geschäftsmodell Geld verdient. Für private Kommunikation gibt es meiner Meinung nach kaum eine schlechtere Wahl als Meta.

  • Der Gesetzentwurf zu Chat Control zielt in Wahrheit nicht auf Menschen, denen Privatsphäre wichtig ist. Diese werden immer einen Weg finden, weiter Verschlüsselung zu nutzen. Die mathematischen Grundlagen verschwinden nicht durch Gesetze, und Open-Source-Projekte ebenfalls nicht.
    Dieses Gesetz institutionalisiert am Ende nur eine Realität, in der sich „normale“ Mainstream-Nutzer aus Angst vor möglichem Mithören selbst zensieren. Gewöhnliche Menschen verlieren ihre Mittel, während bekannte Workarounds weiter verfügbar bleiben.

  • Ich hoffe wirklich, dass man diesen Gesetzentwurf diesmal endgültig begräbt. Es ist ermüdend, dass er wie ein Zombie jederzeit wieder auferstehen kann.