EU-Polizei drängt auf Client-Side-Scanning

20. Juni 2024

Die Debatte um verschlüsselte Kommunikation und die Zugriffsrechte von Strafverfolgungsbehörden spitzt sich weiter zu. Die Polizei- und Justizbehörden der EU intensivieren ihre Forderungen nach Methoden zum Umgehen von Verschlüsselung auf privaten Endgeräten. Deshalb drängt die EU-Polizei in einem am 11.06.2024 veröffentlichtem Bericht insbesondere auf das sogenannte Client-Side-Scanning (CSS). Dieser Ansatz ermöglicht das Durchsuchen und Ausleiten privater Kommunikation direkt auf den Endgeräten der Nutzer und ist deshalb besonders effektiv. Er birgt jedoch auch erhebliche Risiken für die Privatsphäre und die Datensicherheit.

Kampf gegen “Going Dark”-Szenario

In den letzten Jahren hat die durchgängige Verschlüsselung von Kommunikationsdiensten wie WhatsApp, iMessage und Signal stark zugenommen. Diese Entwicklung führt laut der Polizei zu dem sogenannten „Going Dark“-Szenario. Hierunter versteht man, dass die Ermittlungsbehörden zunehmend Schwierigkeiten bei der Aufdeckung von Straftaten haben, da sie durch die Kryptierung blind und taub mache.

Apell des EU Innovation Hub für innere Sicherheit

Die Forderung stammt aus dem ersten Bericht über Verschlüsselung des “EU Innovation Hub für innere Sicherheit”. Diesem Zusammenschluss gehören unter anderem Europol, Eurojust und der EU-Koordinator für Terrorismusbekämpfung an. Der Bericht appelliert an die „Förderung von Dialog, Zusammenarbeit und Innovation“ zur Überwindung der Verschlüsselungsproblematik. Insbesondere drängt die EU-Polizei auf eine eingehende Prüfung von Client-Side-Scanning (CSS).

Funktionsweise von Client-Side-Scanning

CSS ist eine Technologie, die es ermöglicht, Inhalte auf den Endgeräten der Nutzer zu durchsuchen, bevor sie verschlüsselt und versendet werden. Das umfasst insbesondere auch die Auswertung von privater Kommunikation auf Smartphones. Dies bedeutet, dass verdächtige Inhalte identifiziert und an die Strafverfolgungsbehörden weitergeleitet werden können, ohne dass die Kommunikation zwischen den Endpunkten entschlüsselt werden muss. Diese Methode wird auch immer wieder in Rahmen der aktuell im Parlament diskutierten Chatkontrolle relevant.

Kritik von Bürgerrechtsorganisationen

Zahlreiche Bürgerrechtsorganisationen und Cybersicherheitsexperten haben in der Vergangenheit bereits Bedenken hinsichtlich der Verwendung von CSS geäußert. Dabei geht es insbesondere um Gefahren für den Datenschutz, die geschaffen würden. Insgesamt stelle die Technologie eine Massenüberwachung und damit eine massive Einschränkung der Privatsphäre dar. Auch würden so die Smartphones „zu Spionen“ für den Staat umgewandelt.

Aktuelle Gesetzeslage

In den meisten EU-Mitgliedstaaten existieren bereits allgemeine Regeln, um verschlüsselte Daten einzusehen. Nun brauche man jedoch laut der EU-Polizei noch konkretere Bestimmungen, die einen gezielten Eingriff auf verschlüsselte Daten rechtfertigen. Besonders positiv sei in diesem Zusammenhang die Verordnung zu elektronischen Beweismitteln (E-Evidence) zu bewerten. Diese ermöglicht Strafverfolgern international einen erleichterten Zugriff auf Cloud-Daten. Hilfreich für die Ermittlungstätigkeit seien auch die jüngsten Beurteilungen des EuGH zum EncroChat-Fall, die die grenzüberschreitende Verarbeitung von verschlüsselten Chat-Daten begünstigen.

Forderung neuer Technologien und Regelungen

Neben CSS wünscht sich die EU-Polizei in ihrem Bericht (abrufbar hier) auch Maßnahmen, die „Home Routing“ entgegentreten können. Diese Methode kann, das Abhören von Personen, die ausländische SIM-Karten verwenden, erschweren. Bis eine technische Lösung zur Umgehung gefunden ist, bedürfe es Bestimmungen, die „datenschutzfördernde Technologien beim Home Routing deaktivier[en]“. Zudem brauche man Rahmenbedingungen, die das Abhören mittels SUPI-Catcher für 5 und 6G rechtfertigen. Daneben fordern sie auch Forschung im Bereich der Krypto-Zahlung, um zukünftig mit neuen Technologien illegale Transaktionen leichter aufdecken zu können. Weiterhin brauche man auch robuste Rahmenbedingungen, um künstliche Intelligenz genau so effektiv einsetzen zu können, wie andere Interessengruppen.

Fazit

Dass die EU-Polizei auf Client-Side-Scanning (CSS) drängt, kommt nicht überraschend. Strafverfolgungsorgane neigen regelmäßig dazu im Sinne der Bekämpfung von Straftaten auf den Schutz der Privatsphäre verzichten zu wollen. Nichtsdestotrotz stellt der Einsatz von CSS und anderen Methoden zum Umgehen von Verschlüsselung erhebliche Einbußen für den Datenschutz dar. Gerade in Anbetracht der gegebenenfalls schon an diesem Mittwoch erfolgenden Abstimmung über die Chatkontrolle, bleibt es spannend, wie dieses Spannungsfeld aufgelöst wird.