1 Punkte von GN⁺ 2023-06-29 | 1 Kommentare | Auf WhatsApp teilen
  • Das britische Online Safety Bill könnte verschlüsselte Messenger-Apps wie iMessage, WhatsApp und Signal dazu verpflichten, Bilder von Kindesmissbrauch zu scannen; Apple fordert daher Änderungen am Gesetzentwurf
  • Das Gesetz würde Ofcom die Befugnis geben, Plattformen anzuweisen, Nachrichteninhalte mit zertifizierter Technologie zu scannen; die Regierung bezeichnet dies als „letztes Mittel“, das nur bei Einhaltung strenger Datenschutzvorkehrungen eingesetzt werde
  • Apple betont, dass Ende-zu-Ende-Verschlüsselung Journalisten, Menschenrechtsaktivisten, Diplomaten und normale Bürger vor Überwachung, Identitätsdiebstahl, Betrug und Datenlecks schützt
  • Signal und WhatsApp lehnen Forderungen ab, die Privatsphäre verschlüsselter Kommunikation zu schwächen; Signal erklärte, sich im Fall einer Durchsetzung aus dem Vereinigten Königreich zurückzuziehen
  • Zivilgesellschaft, Wissenschaft und Cybersecurity-Experten warnen, dass diese Maßnahme über Großbritannien hinaus das Vertrauen in die Sicherheit internationaler digitaler Kommunikationsdienste erschüttern könnte

Konflikt um Verschlüsselung rund um das Online Safety Bill

  • Apple kritisiert, dass die Befugnisse des Online Safety Bill genutzt werden könnten, um verschlüsselte Messaging-Tools wie iMessage, WhatsApp und Signal zum Scannen auf Darstellungen sexuellen Kindesmissbrauchs zu zwingen
  • Apple fordert, dass der Gesetzentwurf so geändert wird, dass Ende-zu-Ende-Verschlüsselung geschützt wird
  • Ende-zu-Ende-Verschlüsselung bedeutet, dass außer Absender und Empfänger niemand die Nachrichten lesen kann
  • Polizei, Regierung und einige große Kinderschutzorganisationen sind der Ansicht, dass die Verschlüsselung in Apps wie WhatsApp und Apple iMessage es Strafverfolgungsbehörden und Unternehmen erschwert, Darstellungen sexuellen Kindesmissbrauchs zu identifizieren
  • Die britische Regierung vertritt die Position, dass Unternehmen Kindesmissbrauch auf ihren Plattformen verhindern müssen
    • Unternehmen sollten Ende-zu-Ende-Verschlüsselung nur dann implementieren, wenn sie schweren sexuellen Kindesmissbrauch auf ihren Plattformen verhindern können
    • Sie wolle weiterhin gemeinsam mit Unternehmen nach Lösungen suchen, um gegen die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs vorzugehen und zugleich die Privatsphäre der Nutzer zu wahren
  • Das Gesetz befindet sich derzeit im parlamentarischen Verfahren und enthält eine Befugnis für Ofcom, Plattformen anzuweisen, Nachrichteninhalte mit zertifizierter Technologie zu scannen
    • Die Regierung erklärt, diese Befugnis sei ein „letztes Mittel“ und werde nur eingesetzt, wenn strenge Datenschutzvorkehrungen erfüllt seien

Client-Side-Scanning und Widerstand aus der Branche

  • Die Regierung ist der Ansicht, dass technische Lösungen möglich sind, um auch in verschlüsselten Nachrichten nach Missbrauchsmaterial zu suchen
  • Viele Technologieexperten gehen davon aus, dass dafür Client-Side-Scanning-Software nötig wäre, die Nachrichten auf dem Smartphone oder Computer überprüft, bevor sie gesendet werden
  • Kritiker befürchten, dass Client-Side-Scanning die Privatsphäre von Nachrichten grundlegend schwächt
  • Apple hatte 2021 Pläne angekündigt, iPhone-Fotos vor dem Hochladen in iCloud auf Missbrauchsinhalte zu scannen, verwarf diese aber nach heftiger Kritik
  • Mehrere Messaging-Plattformen, darunter Signal und WhatsApp, haben erklärt, dass sie Aufforderungen ablehnen würden, die Privatsphäre verschlüsselter Messaging-Systeme zu schwächen
    • Signal sagte im Februar, man werde Großbritannien „verlassen“, falls eine Schwächung der Privatsphäre verschlüsselter Messenger erzwungen werde
  • Mit Apples Einstieg stehen nun einige der am weitesten verbreiteten verschlüsselten Apps den entsprechenden Bestimmungen des Gesetzentwurfs gegenüber

Offener Brief und Sorgen um das Sicherheitsvertrauen

  • Die digitale Bürgerrechtsgruppe Open Rights Group schickte einen offenen Brief an die Technologieministerin Chloe Smith
    • Mehr als 80 in- und ausländische zivilgesellschaftliche Organisationen, Wissenschaftler und Cybersecurity-Experten unterzeichneten den Brief
    • Darin wird gewarnt, dass das Vereinigte Königreich die erste liberale Demokratie werden könnte, die routinemäßiges Scannen privater Chat-Nachrichten verlangt, einschließlich durch Ende-zu-Ende-Verschlüsselung geschützter Chats
    • Da mehr als 40 Millionen britische Bürger und 2 Milliarden Menschen weltweit solche Dienste nutzen, könnte dies nicht nur für Großbritannien, sondern international ein erhebliches Risiko für die Sicherheit digitaler Kommunikationsdienste darstellen
  • Das britische Technologieunternehmen Element, das E2EE-Produkte für Regierungs- und Militärkunden anbietet, befürchtet, dass gesetzliche Maßnahmen zur Schwächung der Privatsphäre verschlüsselter Nachrichten das Kundenvertrauen in Sicherheitsprodukte britischer Unternehmen mindern könnten
  • Auch die Erwartung wächst, dass Teile des Gesetzentwurfs, die nach Ansicht der Kritiker für eine Scan-Pflicht genutzt werden könnten, geändert werden
    • Die Änderungen könnten in ein Paket von Änderungsanträgen aufgenommen werden, das in den nächsten Tagen veröffentlicht werden soll
    • Ob die Details ausreichen oder die Bedenken der Kampagnenorganisationen ausräumen, ist noch unklar

1 Kommentare

 
GN⁺ 2023-06-29
Hacker-News-Kommentare
  • Wenn man meint, dass eine Plattform nur dann Ende-zu-Ende-Verschlüsselung anbieten darf, wenn sie gleichzeitig schrecklichen Kindesmissbrauch auf ihr verhindern kann, dann ist das so, als würde man Häuser mit Wänden verbieten, wenn Bauunternehmen nicht garantieren können, dass darin keine Kinder zu Schaden kommen

    • Eigentlich ist es eher so, als würde man Schlösser an Privathäusern verbieten, weil in irgendeinem Haus ein böser Mensch sein könnte
      Eine absurd wahnsinnige Idee
    • Pädophile fahren auch Autos
    • Ich erinnere mich, dass ich als Kind, als ich in den Nachrichten vom Fall Dutroux hörte, dachte, Gebäude, in denen so etwas passiert, sollten besser einfach einstürzen
    • Bis zu einem gewissen Grad stimme ich zu, aber die Größenordnung ist völlig anders
      Das ist keine Schwarz-Weiß-Frage, und ich weiß, dass viele Leute dem widersprechen werden
  • KI-Bildmanipulation, Autovervollständigung und Entkleidungsbilder werden CSAM wohl noch viel bizarrer machen
    Es gibt auch Rechtsprechung, nach der der Besitz und Verkauf von Hentai mit Darstellungen Minderjähriger in Japan legal ist: https://en.wikipedia.org/wiki/United_States_v._Handley
    Was passiert, wenn jemand sich auf einer Seite wie https://thispersondoesnotexist.com/ ein Kinderbild besorgt und daraus ein Nacktbild oder ein Bild sexueller Handlungen erzeugt? Das ist fast dieselbe Logik wie oben, insofern weder das Kind real ist noch die sexuelle Handlung real
    Das größere Problem ist: „Wie unterscheidet man, ob dieses Bild ein Beweis für die Vergewaltigung eines Kindes ist oder einfach nur KI-generiert?“
    Ich neige zunehmend zu der Ansicht, dass „CSAM Beweismaterial für ein Verbrechen ist und nicht selbst das Verbrechen sein sollte“
    Auch wenn ich dafür wäre, die Gefährdungshaftung für den Besitz von CSAM abzuschaffen, unterstütze ich für Menschen, die vorpubertäre Kinder vergewaltigt haben, weiterhin die Todesstrafe

    • Wenn man es als Tatortbeweis betrachtet, ist es ziemlich seltsam, dass es ein schweres Verbrechen sein kann, für das man jahrzehntelang ins Gefängnis kommt, nur weil man es aus irgendeinem Grund besitzt
      Pädophile fotografieren und filmen ihre eigenen Taten ja gewissermaßen und teilen sie im Internet; wenn Internetdetektive dieses Material ähnlich wie Strafverfolgungsbehörden untersuchen könnten, würden am Ende wohl viel mehr Kindesmissbrauchstäter gefasst
      Verbreitung sollte natürlich weiterhin illegal sein, aber ein Verbot des bloßen Besitzes stoppt Menschenhändler nicht und beseitigt ehrenamtliche Ermittler, die bei der Lösung des Problems sehr helfen könnten
      Sie haben schon viele langjährige ungelöste Mordfälle aufgeklärt, an denen auch die Polizei gescheitert ist
      Wenn man darüber nachdenkt, ist das ziemlich unheimlich. Anderes Tatortbeweismaterial wird auf diese Weise nicht geschützt
      Ist es illegal, Fotos oder Videos zu besitzen, auf denen jemand erstochen, erschossen oder enthauptet wird? Es gibt sicher auch Menschen, die daraus sexuelle Erregung ziehen, und trotzdem kümmert es kaum jemanden, wenn so etwas verbreitet wird
      Es wirkt fast so, als wollten die Mächtigen wirklich nicht, dass die breite Öffentlichkeit erfährt, wer hinter all dem steckt. Wir wissen bereits, dass sehr reiche und mächtige Menschen oft in Kinderprostitutionsringe verwickelt sind
      KI-Bildgenerierung macht das noch gefährlicher und absurder. Wir steuern auf eine Zeit zu, in der jemand lokal mit etwas wie Stable Diffusion Bilder erzeugen kann, die wie CSAM aussehen, aber keine echten Kinder zeigen, und sie dann in meinen Besitz bringt, sei es remote oder indem irgendwo in meinem Haus eine SD-Karte deponiert wird, und ich dadurch jahrzehntelang haftbar sein könnte
      Hoffentlich hat man keine Feinde
    • Die zitierte Rechtsprechung gilt nur für US-Bundesrecht
      Nach solchen Fällen haben viele US-Bundesstaaten computergenerierte Darstellungen von CSAM verboten, daher sind computergenerierte Bilder oder sexuell gestaltete Puppen in Kinderform in großen Teilen des Landes nicht erlaubt
      Ich kann nicht beurteilen, ob die Mehrheit der Interessierten bei Zugang zu solchen Dingen, an denen keine echten Kinder beteiligt sind, eher mehr oder eher weniger zu realen Taten neigen würde
      Bei manchen würde es den Drang wohl abschwächen, bei anderen eher verstärken. Ich bin kein Psychologe
    • Gerade erscheinen die ersten Artikel zu CSAM-KI
  • Hat Apple nicht noch vor Kurzem On-Device-Scanning für solche Fotos befürwortet?
    Gut, dass sie jetzt dagegen sind, aber weil sie es selbst einmal umsetzen wollten, ist schwer einzuschätzen, wie ernst es ihnen damit ist

    • Ich denke, dass Apple Pläne für den Umgang mit CSAM machen wollte, um Regierungen wie die britische präventiv daran zu hindern, genau diese Art böswilliger Argumentation zu benutzen
      Das Vereinigte Königreich versucht sogar, Kinderschutzorganisationen einzuspannen, um dem Ziel, Ende-zu-Ende-Verschlüsselung zu brechen, emotionales und gesellschaftliches Gewicht zu verleihen
    • Nein. Es war nicht gesetzlich vorgeschrieben, sondern ein Opt-in-Modell
      Das System war so entworfen, dass es nur für Bilder funktioniert, die in iCloud hochgeladen werden, nicht für beliebige Bilder auf dem Gerät
      Die dafür verwendeten Belege wurden als Teil des Upload-Prozesses erzeugt, und weder Gerät noch Server konnten für sich genommen unabhängig nützliche Informationen herausfinden, solange sie nicht zusammenarbeiteten
      Es war ein interessanter Ansatz, bei dem Apple sich sehr viele Gedanken gemacht hatte, um die Privatsphäre maximal zu schützen
      Aber die Leute haben die Details nicht gelesen und sich vorgestellt, dass es auf eine viel simplere Weise funktioniert, wodurch jede sinnvolle Diskussion darüber überdeckt wurde, was es tatsächlich tut
      Den britischen Ansatz sollte man ablehnen, aber gegen das, was Apple umsetzen wollte, hätte ich nichts gehabt
    • Apples Idee und Umsetzung waren viel besser als der schreckliche Vorschlag, gegen den hier argumentiert wird, und außerdem sicherer und datenschutzfreundlicher
    • Stimmt. Es wirkt wirklich wie ein seltsamer plötzlicher Kurswechsel
      Was ist Apples eigentliche Position?
    • Apples Plan, Bilder auf dem Gerät mit CP-Hashes abzugleichen, war ein sehr vernünftiger Versuch, Regierungen eine Alternative zu einem Verbot von Ende-zu-Ende-Verschlüsselung zu geben
      Wie der Regierungssprecher im Artikel sagte — „Unternehmen sollten Ende-zu-Ende-Verschlüsselung nur dann einführen, wenn sie gleichzeitig schrecklichen Kindesmissbrauch auf ihren Plattformen verhindern können“ — versuchte Apple Letzteres, um gegenüber Regierungen argumentieren zu können, dass sie von einer Regulierung der Ende-zu-Ende-Verschlüsselung absehen sollten
  • Tech-Beschäftigte sollten überall Gewerkschaften bilden und sich solchen Müll-Politiken entschieden widersetzen
    Wir sind die Fachleute und die Elite, wir wissen, was das Beste ist, und haben hier die Verantwortung, voranzugehen
    So wie Ärzte keine Organe entnehmen, um sie zu verkaufen, und Apotheker kein Gift herstellen, sollten Ingenieure keine Verschlüsselungs-Backdoors bauen

    • Die Vorstellung „wir sind die Elite“ ist zwar nett, aber realistisch gesehen sind die meisten von uns moralisch kaum besser als teure Prostituierte
      Auch Ärzte nehmen oft Bestechungsgelder von Big Pharma an, und es gibt Ärzte, die verrückte Dinge tun, etwa unnötige Operationen empfehlen, um den neuen Pool zu finanzieren
    • Das ist eher eine selbstregulierende Berufsorganisation als eine Gewerkschaft
      Gewerkschaften kämpfen gegen Arbeitgeber für Löhne und Arbeitsbedingungen, während Berufsverbände wie bei Ärzten oder Prozessanwälten die wohlüberlegte Haltung eines Berufsstands vertreten und ihre Mitglieder selbst regulieren
    • Ich möchte nicht unter der Fahne marschieren, dass „wir die Fachleute und die Elite sind und wissen, was das Beste ist“
      Stattdessen wäre es für alle besser, wenn wir klar erklären könnten, worin das Problem besteht, und zwar in Worten, die auch Nichtfachleute verstehen
    • Wenn es um Technik und Code geht, vielleicht, aber bei den gesellschaftlichen Auswirkungen ganz sicher nicht
    • In dem Moment, in dem wir behaupten, „wir sind die Elite“, verliert die breite Öffentlichkeit jedes Vertrauen
      Man sollte hier nicht mit einem Autoritätsargument arbeiten
  • Wieder so eine verrückte, nicht umsetzbare Internetpolitik aus Großbritannien, die in der Praxis ohnehin nicht implementiert werden wird
    Ich weiß nicht, warum man das immer wieder macht
    Selbst wenn es ernst gemeint ist, ist Großbritannien ein kleines Land ohne genug Macht, um US-Tech-Giganten unter Druck zu setzen
    Nicht einmal annähernd so viel Hebelwirkung wie Irland, wo diese Unternehmen ihre europäische Steuerbasis haben

    • Die Macht Großbritanniens dürfte weniger daraus kommen, US-Tech-Giganten direkt unter Druck zu setzen, sondern eher daraus, dass es Mitglied der Five Eyes und ein nützlicher Signalaufklärungsverbündeter ist
      Vielleicht will die NSA bessere Möglichkeiten, US-Bürger zu überwachen, die Signal nutzen. Wie macht man das? Man lässt die Briten die Arbeit erledigen
    • Mit genau dieser Denkweise wurde in Großbritannien das Brexit-Referendum durchgebracht
      Man darf nicht einfach tatenlos bleiben, weil eine noch so absurde Idee angeblich zu dumm sei, um Realität zu werden
      Man muss dagegen kämpfen, damit sie nicht Realität wird
    • Es wird umgesetzt werden
      Man muss sich klarmachen, dass sowohl die EU als auch die USA solche Gesetze vorantreiben
      Bald wird das auf Terrorpropaganda, Drogenhandel und sogar Aufrufe zu illegalen Protesten ausgeweitet werden
    • So kann dann in der Daily Mail stehen: „Wir wollten die Kinder schützen, aber unverantwortliche amerikanische Tech-Giganten haben uns daran gehindert“
  • Großbritannien ist auf seltsame Weise überwachungsfreundlich
    CCTV war dort auch viel früher als in den meisten anderen Ländern weit verbreitet
    Wahrscheinlich glaubt man, das gut unter Kontrolle zu haben, weil Orwell Engländer war

    • Ich finde nicht, dass Orwell viel mit diesem Thema zu tun hat
      Die britische Gesellschaft unterscheidet sich in vielerlei Hinsicht stark von der amerikanischen, und die Geschichte erklärt das teilweise
      Wie in vielen feudalen Gesellschaften Europas gibt es die alte Erwartung, dass der Staat sich um die Bürger kümmern soll
      Es gab Gesetze, die Bauern vor räuberischen Grundherren schützten, unabhängig davon, wie sich die Einzelnen verhielten, und auch wenn die Durchsetzung nicht perfekt war, gab es diesen Rahmen
      Außerdem übernahmen lokale „Regierungen“ oder Gemeinschaften lange Zeit die Aufgabe, sich um Obdachlose zu kümmern
      Der Punkt ist, dass es in Großbritannien nicht besonders viel von der Staatsmisstrauen-Haltung gibt, wie sie in den USA existiert
      Deshalb kann der Staat großes Vertrauen genießen, dass er seine enormen Befugnisse zumindest gegenüber den eigenen Bürgern nicht missbrauchen wird, ob zum Guten oder zum Schlechten
      Was CCTV angeht, konzentriert sich das im heutigen Großbritannien tatsächlich größtenteils auf London
      Das heißt, große Teile des Landes sind von dieser Art Überwachung kaum betroffen
      Und soweit ich mich erinnere, wird der Großteil der CCTV-Anlagen nicht vom Staat, sondern privat betrieben, und die Aufnahmen werden aus Kostengründen innerhalb weniger Wochen gelöscht
      In der Realität ist das also nicht so wie in Bourne Identity, wo die Polizei live verfolgt, wie jemand durch London rennt
      Stattdessen muss man nachträglich Anfragen und Vorladungen an verschiedene Unternehmen schicken, um an die Informationen zu kommen
    • CCTV ist billiger, als Polizisten in Zivil dafür zu bezahlen, Kunden zu beobachten
      Private CCTV als Orwellsch zu bezeichnen, scheint die Metapher etwas durcheinanderzubringen
      In 1984 wurde CCTV von einem totalitären Staat betrieben
    • Selbst in den angeblich freien und überwachungsfeindlichen Zufluchtsorten der Welt filmt jeder mit Türklingelkameras und lädt die Aufnahmen zu Amazon hoch
      Und dann stellt man auch noch Videos von Leuten ins Internet, die es gewagt haben, am eigenen Haus vorbeizugehen
  • Die derzeitige Regierungspartei in Großbritannien ist seit 13 Jahren an der Macht und hat absolut keine Ideen mehr
    Auch die größte Oppositionspartei bringt kaum echte Vorschläge jenseits von „das Gleiche wie die da, nur besser“
    Die großen Probleme, vor denen Großbritannien steht — Schulden, Wirtschaft, Wohnraum, Bildung, Brexit, der Zerfall der Demokratie — sind alles Themen, bei denen die Menschen die tatsächlich nötigen Maßnahmen nicht unterstützen wollen
    Deshalb bleiben den Parteien nur noch solche dummen Politiken oder künstliche Spaltungsthemen wie Transmenschen als Pädophile darzustellen
    Deshalb kommt dieses Thema immer wieder zurück

    • Glaubst du ernsthaft, dass Labour diese Agenda nicht genauso vorantreiben wird, wenn sie wieder an die Macht kommt?
      Es ist schon eine Weile her, seit Labour zuletzt regiert hat, aber Starmer ist genau der Typ Mensch, der eine anti-privatsphäre-, pro-überwachungsfreundliche Agenda durchdrücken würde, die auch Labour immer sehr mochte
  • Großbritannien scheint gut darin zu sein, sich selbst zu schaden
    Erst Brexit, jetzt der Online Safety Bill
    Brexit wurde von der Hälfte der Bevölkerung unterstützt, aber dieses Sicherheitsgesetz hat in der Öffentlichkeit kaum Aufmerksamkeit bekommen, oder ich habe etwas verpasst
    Es wirkt wie das Muster, auf ein spezifisches Problem eine allgemeine Lösung anzuwenden, wobei der Schadensradius dieser allgemeinen Lösung unverhältnismäßig viel größer ist als das eigentlich angepeilte spezifische Problem

    • Der Online Safety Bill ist ein viel leichterer Erfolg als der Bau von bezahlbarem Wohnraum, also konzentriert man sich offenbar auf Ergebnisse, die „erreichbar“ sind, auch wenn sie in Wirklichkeit nicht besonders wichtig sind
      Nebenbei: Ich bin gegen den Online Safety Bill
    • Man darf auch die Snooper's Charter nicht vergessen
    • Ich habe gegen Brexit gestimmt, bin aber weiterhin EU-skeptisch
      Die beiden Themen sind nicht vergleichbar
  • Apple ist in Sachen Privatsphäre nicht vertrauenswürdig
    Niemand weiß, was ihre Software tatsächlich macht
    Alles ist Closed Source
    Nur weil in der Werbung Privatsphäre betont wird, heißt das nicht, dass die Privatsphäre der Nutzer tatsächlich geschützt wird

    • Die Ergebnisse scheinen das zu belegen
      Bundesbehörden und Strafverfolgungsbehörden beklagen sich immer wieder darüber, dass sie keinen Zugriff auf Apple-Nutzerdaten haben
      Sie haben deshalb sogar geklagt
      Also scheint es ziemlich gut zu funktionieren
    • Was hat das damit zu tun, dass Apple gegen diesen Vorschlag ist?
    • Es stimmt, dass man Apple-Software nicht auditieren kann, aber man kann die Software von sonst niemandem auditieren, daher verstehe ich nicht, warum das ein spezieller Makel von Apple sein soll
      Außerdem wirbt Apple seit Langem breit damit, sich dem Schutz der Privatsphäre zu verschreiben, hat nie Anzeichen von Unehrlichkeit gezeigt, hätte nichts davon, uns anzulügen, und würde seiner Marke unermesslichen Schaden zufügen, falls eine Lüge auffliegen würde
  • Das ist dasselbe wie die Behauptung, ISPs müssten für Piraterie verantwortlich gemacht werden
    Das ist seit den frühen 2000ern wegen ihres Common-Carrier-Status nicht mehr der Fall
    Technologie findet immer Wege, von den Inhalten getrennt zu bleiben, die sie überträgt
    Es wirkt, als würden solche Richtlinien zur Offenlegung von Verschlüsselung per Gesetz umgesetzt werden, fünf Minuten nachdem eine Forschungsarbeit erscheint, die zeigt, dass ein besseres Konzept für geheime Nachrichten technisch möglich ist