US-Senatsgesetzentwurf mit Beteiligung der DEA zielt auf Ende-zu-Ende-Verschlüsselung
(therecord.media)- Der Cooper Davis Act ist mit dem erklärten Ziel, gegen den Online-Drogenhandel vorzugehen, in den Senat eingebracht worden und würde Social-Media-, verschlüsselte Kommunikations- und Online-Dienste verpflichten, Meldung an die DEA zu erstatten
- Wenn ein Unternehmen tatsächliche Kenntnis von illegalem Drogenvertrieb hat, muss es Benutzernamen und weitere Informationen an die DEA übermitteln; die Formulierung „willfully blind“ verschärft die Kontroverse über den Haftungsrahmen für Verschlüsselungsdienste
- Datenschutzorganisationen warnen, dass das Gesetz selbst die Aufrechterhaltung von Ende-zu-Ende-Verschlüsselung zu einem Risikofaktor machen könnte; eine Schwächung der Verschlüsselung würde Sicherheit und Privatsphäre der Nutzer erschüttern
- Die DEA und die Unterstützer des Gesetzentwurfs verweisen darauf, dass mexikanische Kartelle Facebook, Instagram, TikTok, Snapchat, WhatsApp, Telegram, Signal, Wire und Wickr genutzt hätten, sowie auf mehr als 1.100 einschlägige Fälle
- Kritiker meinen, dass die Erkennung von Formulierungen für Drogenverkauf Sprach-, Kontext- und Slangverständnis erfordert und dadurch eine Struktur entstehen könnte, in der Unternehmen private Daten ohne richterlichen Beschluss oder Aufsicht an Strafverfolgungsbehörden weitergeben
Meldepflichten des Cooper Davis Act und der Konflikt mit Verschlüsselung
- Der Cooper Davis Act ist ein parteiübergreifender Gesetzentwurf, benannt nach einem Jugendlichen aus Kansas, der starb, nachdem er unwissentlich eine auf Snapchat gekaufte fentanylhaltige Pille eingenommen hatte
- Der Gesetzentwurf verlangt von Social-Media-Unternehmen und Anbietern webbasierter Kommunikation, der DEA Benutzernamen und andere Informationen zu übermitteln, wenn sie durch actual knowledge von illegalem Drogenvertrieb auf ihren Plattformen erfahren
- Im Zentrum der Kontroverse steht die Formulierung, dass Unternehmen auch dann haften können, wenn sie Verstöße „willfully blind“ nicht melden
- Greg Nojeim vom Center for Democracy and Technology warnt, dass Anbieter verschlüsselter Dienste zwischen zwei Optionen stünden
- Wenn sie Ende-zu-Ende-Verschlüsselung beibehalten, müssen sie das Risiko tragen, dafür verantwortlich gemacht zu werden, illegalen Inhalten absichtlich keine Beachtung geschenkt zu haben
- Wenn sie Ende-zu-Ende-Verschlüsselung entfernen, werden bestehende Nutzer neuen Sicherheitsbedrohungen und Eingriffen in die Privatsphäre ausgesetzt
- Cody Venzke von der ACLU sieht die Klausel als Angriff auf Verschlüsselung und weist darauf hin, dass der Zweck von Datenschutztechnologien wie Ende-zu-Ende-Verschlüsselung gerade darin besteht, Nutzer vor Plattformüberwachung zu schützen
- Meredith Whittaker von der Signal Foundation kritisiert, dass in dieser Logik schon der Verzicht auf flächendeckende Überwachung aller als „willful blindness“ gelten könne
Argumente der DEA und der Unterstützer
- Strafverfolgungsbehörden kritisieren seit Langem, dass Ende-zu-Ende-Verschlüsselung einen „lawless space“ schaffe, den Kriminelle, Terroristen und böswillige Akteure ausnutzen könnten
- Die DEA erklärte in einer Pressemitteilung im Mai, dass zwei mexikanische Kartelle, die den Großteil des in die USA gelangenden Fentanyls und Methamphetamins schmuggeln, Social-Media-Apps zur Logistikkoordination und zur Kontaktaufnahme mit Opfern nutzten
- Als Beispiele wurden Facebook, Instagram, TikTok und Snapchat genannt
- Als verschlüsselte Plattformen wurden außerdem WhatsApp, Telegram, Signal, Wire und Wickr erwähnt
- Bei jüngsten DEA-Operationen gegen mexikanische Drogenkartelle ging es in mehr als 1.100 Fällen um Social-Media-Apps und verschlüsselte Kommunikationsplattformen
- Der Vorsitzende des Justizausschusses im Senat, Dick Durbin, kritisierte, dass Unternehmen mit Immunität operierten, obwohl sie wüssten, dass es für den illegalen Verkauf keine rechtmäßige Verwendung der Stoffe gebe, und verwies auf einen Mechanismus ähnlich dem Meldesystem für Darstellungen sexuellen Missbrauchs von Kindern
- Das Büro von Senatorin Jeanne Shaheen führte DEA-Statistiken als Beleg für die Notwendigkeit des Gesetzentwurfs an
- Von 390 Ermittlungen zu Drogentodesfällen, die die DEA in fünf Monaten untersucht hatte, standen 129 in direktem Zusammenhang mit Social Media
- Der Gesetzentwurf verfolgt nach eigener Darstellung das Ziel, ein umfassendes und standardisiertes Meldesystem zu schaffen, mit dem die DEA internationale kriminelle Netzwerke besser identifizieren und zerschlagen kann
Datenschutz-, Überwachungsbedenken und Auswirkungen auf Plattformen
- Datenschützer entgegnen, dass die Erkennung von Formulierungen für Drogenverkauf deutlich schwieriger sei als die Erkennung von Bildern sexueller Ausbeutung von Kindern
- Senator Alex Padilla betonte, dass im Unterschied zu Online-Bildern sexueller Ausbeutung von Kindern bei Sprache im Rahmen großflächiger Überwachung der Kontext entscheidend sei
- Er kritisierte, dass der Gesetzentwurf ungeschulte Technologieunternehmen faktisch in Strafverfolgungsbehörden verwandeln könnte
- Außerdem warnte er, dass schon ein hinreichender Verdacht genügen könnte, um persönliche Daten ohne richterlichen Beschluss oder Aufsicht an föderale Strafverfolgungsbehörden offenzulegen
- Carl Szabo von NetChoice erklärte, dass Social-Media-Seiten bereits freiwillig mit Strafverfolgungsbehörden zusammenarbeiteten, um Drogenhandel zu verhindern
- Er meint, dass bei Inkrafttreten des Gesetzentwurfs alle Meldungen Verfahren nach dem Fourth Amendment unterlägen, was es Strafverfolgern paradoxerweise sogar erschweren könnte, Bedrohungen zu identifizieren
1 Kommentare
Hacker-News-Kommentare
Ich denke, wir brauchen ein sogenanntes Nicht-am-falschen-Baum-bellen-Gesetz, das Organisationen daran hindert, Ressourcen dafür einzusetzen, Einfluss auf Gesetze zu nehmen, die ihr eigenes Verhalten regulieren.
Man kann zwar argumentieren, dass die jeweilige Branche das Problem am besten kennt und sich daher in Entscheidungsprozesse einbringen kann, aber die Grenze sollte darin bestehen, operative Rohdaten einzureichen, aus denen nur die rechtlich zu schützenden sensiblen Informationen entfernt wurden.
Alles darüber hinaus sind letztlich nur Regierungs-Lobbyisten, die für ihre eigenen Interessen lobbyieren.
In einem System, in dem normale Menschen unter Verdacht geraten und Kriminelle ein lukratives Marktmonopol erhalten, folgt ein solches Chaos zwangsläufig.
Leute wie Al Capone haben schon vor 100 Jahren die katastrophalen Folgen der Prohibition gezeigt, und trotzdem wiederholen wir denselben Fehler mit anderen Substanzen.
Die Mobile Justice-App der ACLU sollte am besten jeder auf dem Smartphone haben, nur für den Fall der Fälle.
Es wirkt, als kämen in Australia, UK und US jeden Tag neue Gesetzesentwürfe heraus.
Machen sie einfach so lange weiter Druck, bis so etwas schließlich durchkommt?
Jedes Mal, wenn so ein Gesetzentwurf auftaucht, müssen wir gewinnen; die andere Seite muss nur ein einziges Mal gewinnen.
Öffentlicher Druck und Werbekampagnen gegen solche Gesetze müssen dauerhaft weiterlaufen.
Sobald ein Dominostein fällt, heißt es: „Wenn es dort okay ist, ist es bei uns auch okay.“
Nur weil die EU nicht die US sind, heißt das nicht, dass sie nicht denselben autoritären Mist macht, der von ähnlichen oder denselben Geldquellen gestützt wird.
Es werden dieselben Ausreden vorgebracht: „Wir müssen Schwerverbrecher fassen/denkt an die Kinder“, „es wird nur gegen Kriminelle eingesetzt“ – aber das stimmt nicht.
Wir wissen, dass solche Gesetze auch gegen Menschen eingesetzt werden, die als regierungsfeindlich gelten, und gegen Menschen, die Journalismus betreiben, unabhängig davon, ob sie einen Abschluss haben oder nicht.
Sie hassen es wirklich, dass sie uns nicht alle rund um die Uhr überwachen können.
Dieser Gesetzentwurf ist ein Geschenk an Russia und China.
Glaubt man wirklich, dass sie aufhören werden, ihre eigene Kommunikation zu verschlüsseln, während sie dann die Kommunikation beliebiger anderer lesen können?
Der Link zum tatsächlichen Gesetzentwurf ist [1]. Die Sorge besteht darin, dass Social-Media-Unternehmen wegen vager Formulierungen gezwungen sein könnten, Ende-zu-Ende-Verschlüsselung aufzugeben.
Ich bin kein Rechtsexperte, aber im vorgeschlagenen Gesetz steht ausdrücklich, dass es nicht so ausgelegt werden darf, dass Anbieter Nutzer oder Kommunikationsinhalte überwachen oder einschlägige Tatsachen und Umstände aktiv suchen, auswählen oder scannen müssen.
Das Ziel scheint zu sein, dass eine Website eine Meldung nicht einfach ignorieren darf, wenn Nutzer bestimmte Fälle rechtswidrigen Verhaltens auf der Website melden.
[1] https://www.congress.gov/bill/118th-congress/senate-bill/108...
Zusammengenommen bedeutet das, dass man die Fähigkeit vorhalten muss, Nutzer auf Anfrage zu überwachen – also keine böse Verschlüsselung.
Sobald diese Fähigkeit existiert, ist der nächste Schritt im Grunde KYC- und SAR-Funktionalität.
Der vierte Punkt in diesem Tweet ist der Teil, über den sich die Leute Sorgen machen: https://twitter.com/JakeLaperruque/status/167888722551627776...
Ich weiß nicht, ob der Gesetzentwurf bereits geändert wurde oder ob der problematische vierte Punkt später hinzugefügt wurde.
Eingebracht von: Sen. Marshall, Roger [R-KS]
Mitinitiatoren: Sen. Shaheen, Jeanne [D-NH], Sen. Durbin, Richard J. [D-IL], Sen. Grassley, Chuck [R-IA], Sen. Klobuchar, Amy [D-MN], Sen. Young, Todd [R-IN]
Man sollte seine Senatoren anrufen und ihnen mitteilen, dass man diesen Gesetzentwurf nicht unterstützt. Das mag unbeholfen wirken und wirkungslos erscheinen, aber die Büros der Senatoren erfassen so etwas tatsächlich.
Wo ist das Recht geblieben, ohne einen von einem Richter genehmigten Durchsuchungsbefehl an Leib und Eigentum sicher zu sein?
Die amerikanische Bill of Rights war damals äußerst umstritten, und ihre Befürworter waren so hartnäckig, dass sie schließlich zu den ersten zehn Zusatzartikeln der Verfassung wurde.
Wenn die Befürworter bis zum Ende standhaft geblieben wären, hätten sie sie vielleicht in den Verfassungstext selbst aufnehmen lassen oder beim ursprünglichen Zustand der Articles of Confederation bleiben können, aber sie gingen einen Kompromiss ein.
Selbst wenn die Bill of Rights nicht als Zusatzartikel, sondern im Verfassungstext gestanden hätte, wäre sie wohl genauso leicht über Bord geworfen worden wie heute.
Wofür eigentlich? Damit DEA und CIA weiter mit Privilegien wie die East India Company operieren können?
Ich sehe nicht, welchen Nutzen dieses Gesetz oder der War on Drugs für den durchschnittlichen Amerikaner haben soll. Ich glaube überhaupt nicht, dass er dem durchschnittlichen Amerikaner irgendeinen Vorteil bringt.
Vielmehr dürfte er Exekutivbehörden privilegierten Zugang zu Märkten für schwere Straftaten betreffende Waren und zu Informationen verschaffen und eher ihnen als den Bürgern nützen.
Zwei Drittel der US-Bevölkerung leben in dieser Zone.
https://www.aclu.org/know-your-rights/border-zone
Stell dir vor, du steigst in NYC von deinem Zuhause in der Bronx auf dem Weg zur Arbeit in die U-Bahn, und die CBP hält dich an, durchsucht dich, beschlagnahmt dein Handy und deinen Laptop, verlangt deine Social-Media-Passwörter und droht dir mit Inhaftierung, wenn du nicht mitmachst: https://www.theatlantic.com/technology/archive/2017/02/give-...
https://www.wired.com/2017/02/guide-getting-past-customs-dig...
Es ist wirklich irre, dass US-Bürgern geraten wird, Familie, Freunde und Anwälte über ihre Reise zu informieren, falls sie beim Grenzübertritt festgehalten werden.
Dieses Land rutscht immer weiter in Richtung Faschismus ab.
Ich glaube, das ist einer der Faktoren, die die Einführung von Passkeys vorantreiben. Passkeys wirken so, als verlangten sie nur Biometrie; aber die Herausgabe von Fingerabdruck oder Gesicht ist nicht geschützt, geschützt sind nur Worte oder Aussagen, wodurch der gesamte Schutz geschwächt wird.
Sie beseitigen zwar die illegale Bedrohung durch Phishing, machen aber die legale Bedrohung durch Umgehung der Verschlüsselung einfach, egal wie stark die Verschlüsselung ist.
Warum drängt die DEA den Senate wegen Fentanyl-Vorläuferstoffen nicht dazu, China zu sanktionieren?
https://www.brookings.edu/articles/chinas-role-in-the-fentan...
Zunächst einmal: Ende-zu-Ende-Verschlüsselung anzugreifen, ist falsch.
Aber ich werde zunehmend müde von der Haftungsfreistellung für unverschlüsselte Big-Tech-Angebote.
Dieses System wurde geschaffen, damit frühe Social-Media-Plattformen überleben konnten, aber heute sind sie keine Startups aus der Garage mehr, sondern gehören zu den reichsten Akteuren der Welt.
Sie haben die Fähigkeit, ihre Plattformen zu verwalten, werden dies aber nicht in gutem Glauben tun, solange es sich nicht auf ihre Einnahmen auswirkt oder sie nicht aus rechtlichen Gründen eine Strafverfolgung fürchten müssen.
Auf Finanzinstitute wird eine Logik angewandt nach dem Motto: „Banken können ihre Kunden überwachen, tun es aber nicht in gutem Glauben, solange es sich nicht auf ihre Einnahmen auswirkt oder sie keine Strafverfolgung fürchten.“
Das Ergebnis ist, dass Personen oder Transaktionsinformationen willkürlich blockiert werden, sobald sie auch nur entfernt mit Sanktionszielen verbunden zu sein scheinen.
Wenn eine Al-Qaeda-Transaktion durchgeht und die Presse davon erfährt, gibt es Geldstrafen und Rügen von Aufsichtsbehörden und Kongress; wenn hingegen eine unschuldige Person blockiert wird, gibt es ein bisschen Gemurre, und das Geschäft läuft weiter.
Ich denke, bei Social-Media-Unternehmen wird dieselbe Dynamik entstehen. Alles, was auch nur als ein wenig anstößig gelten könnte, wird entfernt werden.
Man kann sich das wie die YouTube-Demonetarisierungswellen vorstellen, nur schlimmer.
[1] Beispiele: https://news.ycombinator.com/item?id=35337210, https://news.ycombinator.com/item?id=24450828
Für Eins-zu-eins-Dienste ist ein sehr zurückhaltender Ansatz sinnvoll. Normalerweise muss man Müllinhalte nicht entfernen; Müll rein, Müll raus, und die Leute können ihn ignorieren oder lokal filtern.
Öffentliche Online-Foren brauchen jedoch ein gewisses Maß an Moderation, und das ist im Allgemeinen wünschenswert. Sonst kann jemand sie mit Müll fluten und für alle unbrauchbar machen.
S230 ist ein System, das nicht nur Immunität für übersehene Inhalte gewährt, sondern auch Moderation ermöglicht, wenn gutgläubige Moderation zu weit geht und dadurch Schäden entstehen.
Der Großteil des verwerflichen Materials auf Plattformen ist weder illegal noch deliktisch. Anstößiges, beleidigendes, herabsetzendes und irreführendes Material ist meist legal und schafft in der Praxis keine große Haftung.
Ohne einen breiten Schutz wie S230 können Menschen jedoch auch wegen Kleinigkeiten klagen, und wer kein Milliardenunternehmen ist, kann bankrottgehen, bevor er am Ende gewinnt.
Eine Welt ohne starken Haftungsschutz ist eine Welt, in der man jemanden mit viel mehr Geld und Macht nicht sicher verärgern oder vor den Kopf stoßen kann.
Plattformen wie Facebook, Google und Twitter sind dank ihrer Größe und ihres Reichtums ohnehin praktisch immun gegen Zivilklagen. Man muss sich nur ansehen, wie wenig Klagen bei Datenschutzverletzungen oder beim unangekündigten Blockieren von Nutzerdaten mit großem Schaden bewirkt haben.
Auch die Lohnabsprachen von Apple und Google wurden am Ende für schuldig befunden, aber die Kosten waren geringer als das Geld, das sie bei den Löhnen eingespart hatten.
Schlechte Politik entsteht, weil ihre Größe, ihr Reichtum und ihre Macht sie auch gegenüber der öffentlichen Meinung weitgehend immun machen.
Wenn schlechte Governance von Social-Media-Sites der Öffentlichkeit schadet, ist es besser, mehr Alternativen zu haben.
Facebook, Twitter und andere würden auch in einer Welt ohne S230 überleben, aber kleinere, besser moderierte Alternativen, die Menschen vielleicht wollen, hätten kaum Überlebenschancen.
Was man in solchen Gesetzentwürfen sieht, ist der Versuch des Staates, Unternehmen als Stellvertreter einzusetzen, um Ermittlungen und Rechtsdurchsetzung durchzuführen.
Eines der Motive dabei ist, dass man rechtsstaatliche Verfahren gründlich schwächen kann. Die Verfassung hat Schutzmechanismen gegen staatliche Durchsuchungen geschaffen, aber gegenüber Unternehmen fehlt uns derselbe Schutz weitgehend, weil wir unsere Daten „freiwillig“ an Unternehmen weitergegeben haben.
Wenn der Staat Unternehmen also zu Durchsuchungen zwingt, kann er Rechte aus dem 4. Zusatzartikel zur Verfassung zu einem großen Teil umgehen.
Muss YouTube einen Nachrichtenbericht [1] darüber, dass ein Polizist angeblich durch Exposition im Dienst eine Fentanyl-Überdosis erlitten hat, als Tatsache oder Umstand im Zusammenhang mit illegalem Fentanyl-Handel melden?
Wie viele Rap-Songs und Songtexte wären meldepflichtig, nur weil ihre Texte auf möglichen tatsächlichen Drogenkonsum hindeuten?
Müssen auch alle Nachrichtenartikel und Social-Media-Diskussionen wie „{celebrity_name} dies from drug overdose“ gemeldet werden?
Ist auch das USPTO-Patent US3141823A[2] für eine Methode zur Fentanyl-Synthese meldepflichtig? Schließlich könnte ein Social-Media-Nutzer, der darauf verlinkt, in die illegale Herstellung von Fentanyl verwickelt sein.
Muss auch der von den National Institutes of Health veröffentlichte Aufsatz „An Efficient, Optimized Synthesis of Fentanyl and Related Analogs“[3] gemeldet werden? Schließlich könnte ein Nutzer, der auf diesen Aufsatz verlinkt, in illegale Herstellung verwickelt sein.
Wenn der vorgeschlagene Gesetzentwurf die Benachrichtigung über eine Aufbewahrungsanordnung mindestens fünf Tage lang verbietet: Soll die Plattform Inhalte löschen, die gegen ihre Nutzungsbedingungen verstoßen, oder sie stehen lassen, um den Nutzer nicht zu informieren?
Wenn die Plattform die problematischen Inhalte nicht löschen darf, was passiert dann, wenn diese Inhalte zusammen mit urheberrechtsverletzendem Material, Pornografie oder anderen Inhalten hochgeladen wurden, die normalerweise sofort entfernt werden?
[1] https://www.youtube.com/watch?v=Jd76HxqCPf0
[2] https://patents.google.com/patent/US3141823A/en
[3] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4169472/
In Wirklichkeit handelt es sich um Fälle, in denen jemand glaubt, Fentanyl berührt zu haben, und aus Angst vor einer Überdosis eine Panikattacke bekommt.
Wenn sie ins Krankenhaus gebracht und untersucht werden, finden sich im Blutkreislauf keine Spuren von Fentanyl; Medien und Polizei lassen diesen Teil jedoch weg und machen die Sache groß, weil es peinlich ist.
Die einzige Möglichkeit, wie ein Polizist Fentanyl ausgesetzt sein kann, ist nicht durch Berühren, sondern durch Aufnahme in den Körper.
Wie schwer wäre es, so etwas wie eine Hilfs-App zu bauen, die Nachrichten vor dem Senden mit GPG verschlüsselt?
Man könnte den Inhalt in ein Textfeld eingeben, ihn verschlüsseln, in die Zwischenablage kopieren und in die Messaging-App einfügen. Auf der Empfängerseite läuft es dann umgekehrt.
Es wird immer deutlicher, dass man es selbst in die Hand nehmen muss, wenn man verhindern will, dass Regierung und Tech-Unternehmen Nachrichten mitlesen.
Das bedeutet: Wenn jemand den Schlüssel bekommt, kann er alles lesen, was in der Vergangenheit und Gegenwart mit diesem Schlüssel verschlüsselt wurde.
Perfect Forward Secrecy erfordert, dass beide Endpunkte gemeinsam kommunizieren; deshalb passte sie nicht zur „Senden und vergessen“-Struktur von E-Mail, ist für Instant Messaging aber eindeutig nötig.
Der schwierige Teil ist, automatisches Einfügen in die App und automatisches Kopieren aus der App heraus umzusetzen, wenn der Hersteller der Messaging-App dieser Aktivität aktiv feindlich gegenüberstehen könnte.
Ein Beispiel für diesen Ansatz bei Webmail ist Mailvelope[1].
Wenn man manuelle Schritte in Kauf nimmt, lässt sich PGP bereits mit allem verwenden.
[1] https://mailvelope.com/
Wenn Briar den vollen Funktionsumfang hätte, auf iOS verfügbar wäre und die UI nur ein wenig so aufgeräumt würde, als wäre sie nach Android 7 entworfen worden, wäre es großartig.