Spion in der Tasche bei clientseitiger Analyse

Die Verschlüsselung bietet eine Lösung für Sicherheitsrisiken, kann aber polizeiliche Ermittlungen behindern. Eine neue Technologie namens Client-Side-Scanning (CSS) würde durch Scannen des Geräts gezielt Inhalte aufdecken, ohne die Verschlüsselung zu schwächen oder Entschlüsselungsschlüssel bereitzustellen. Eine internationale Expert:innengruppe, zu der auch die EPFL gehört, hat nun jedoch einen Bericht veröffentlicht, der die Alarmglocken läuten lässt und argumentiert, dass CSS weder Verbrechen noch ungerechtfertigte Überwachung verhindert.
© 2021 iStock

Mit der Ende-zu-Ende-Verschlüsselung werden Ihre Daten an jedem Ende und während der Übertragung geschützt. CSS greift zwar nicht in diese Verschlüsselung ein, scannt aber Ihre Inhalte vor der Übertragung, direkt auf Ihrem Gerät. Vereinfacht ausgedrückt, würden die Strafverfolgungsbehörden die Suche auf gezielte Inhalte beschränken, d. h. auf Inhalte, die eindeutig illegal sind. Wenn sich solche Inhalte auf einem Gerät befänden, würden ihre Existenz und möglicherweise auch ihre Quelle aufgedeckt, wodurch Straftaten verhindert und gleichzeitig der freie Verkehr legaler privater Kommunikation ermöglicht würde.

Den Befürwortern zufolge sollte CSS auf allen Geräten installiert werden, nicht nur bei nachgewiesenem Verdacht auf kriminelle Nutzung der Kommunikation, da dies für eine wirksame Kontrolle notwendig sei und die Rechte der Nutzerinnen nicht verletze. «Es besteht ein falsches Gefühl der Sicherheit, weil immer noch eine Ende-zu-Ende-Verschlüsselung verwendet wird», erklärt Carmela Troncoso von der EPFL, eine der Autorinnen des Berichts. «Bei einem universellen Einsatz ist eine Ende-zu-Ende-Verschlüsselung nutzlos, da der Inhalt des Geräts bereits analysiert wurde.»

Die Befürworterinnen sagen zwar, dass die Nutzer durch CSS die Kontrolle über ihre eigenen Geräte erhalten, aber sie werden dadurch nicht sicherer. «Unsere alltäglichen Geräte haben Schwachstellen, die missbraucht werden können», erklärt Troncoso, Assistenzprofessorin für Datensicherheit und Datenschutz. «Es wäre schwierig, dafür zu sorgen, dass nur Behörden das Scannen durchführen, und das auch nur in einer vereinbarten Weise. Es wäre auch schwierig, sicherzustellen, dass nur gezielte Inhalte gescannt werden. Zudem ist CSS im Gegensatz zu anderen Überwachungsmethoden nicht unbedingt auf die Kommunikation beschränkt, wenn es einmal eingerichtet ist. Es kann auf alle Inhalte im Telefon ausgeweitet werden, unabhängig davon, ob man sie weitergeben will oder nicht.

Eine flächendeckende Einführung von CSS ohne Rücksicht auf die Schwachstellen der Geräte der Nutzer würde zu einem «äusserts gefährlichen gesellschaftlichen Experiment». Viele würden diese Lücke schnell ausnutzen, wie sich zum Beispiel bei der Cybereinmischung in Wahlen gezeigt hat.

«Die Bekämpfung von Kriminalität ist von grösster Bedeutung. CSS ist einfach nicht der richtige Weg dafür.»      Carmela Troncoso, EPFL-Assistenzprofessorin

Zu den Schwachstellen der CSS-Idee gehören der potenzielle Missbrauch durch Berechtigte, Missbrauch durch unbefugte und Angriffe durch Personen, die der Nutzerin oder dem Nutzer nahe stehen, z. B. eine kontrollierende Ex-Partnerin oder ein mobbendes Kind in der Schule. Die Risiken für die Privatsphäre beginnen mit der Fähigkeit des Systems, über die Kommunikation hinauszugehen und Inhalte in anderen Gerätekomponenten absichtlich oder versehentlich zu enthüllen. Und mit CSS nehmen diese Risiken nur noch zu. Die Definition von «gezielten Inhalten» ist umstritten. Inhalte, die sich auf den sexuellen Missbrauch von Kindern beziehen, der eindeutig als Verbrechen gilt, stehen natürlich ganz oben auf der Liste. Sie können diese Liste um Terrorismus und organisierte Kriminalität erweitern, wie es die EU getan hat. Unterschiedliche Definitionen und Grauzonen sind schnell die Folge.

Neben den von den Autorinnen und Autoren aufgeworfenen Fragen des Datenschutzes und der Datensicherheit wird festgestellt, dass CSS bei der Verbrechensbekämpfung nicht wirksam ist. Da die Abgleichsalgorithmen nicht exakt sind, können falsche Übereinstimmungen zu Problemen führen. Es sind auch verschiedene Arten von vorsätzlichem Betrug möglich: Wer das möchte, kann den angestrebten Inhalt maskieren, um die Wirksamkeit des auf maschinellem Lernen basierenden Abgleichs zu vereiteln, oder das System mit falsch-positiven Ergebnissen überladen, so dass die Erkennungen nutzlos sind.

Ein künstlich konstruiertes Bildpaar, das absichtlich ein falsches Positiv erzeugen soll, bei dem der Hund als das Mädchen erkannt wird.

Einige Dienstanbieter arbeiten an Möglichkeiten, CSS-Funktionen bereitzustellen und gleichzeitig ein gewisses Mass an Privatsphäre für die Nutzer zu gewährleisten. Doch bisher, so die Autorinnen, sei der Schutz ihrer Vorschläge illusorisch.

In dem Bericht werden auch zahlreiche praktische Hindernisse für den Einsatz genannt: Bedenken hinsichtlich Fairness und Diskriminierung, technische und bürokratische Hindernisse, politische Fragen, Probleme mit der Rechtsprechung und die grundlegende Unvereinbarkeit von Geheimhaltung und Rechenschaftspflicht. Betrachtet man die Architektur von CSS, so kommen die Autorinnen und Autoren zu dem Schluss, dass es unmöglich wäre, CSS sicher einzusetzen.

«Die Kontrollen und Abwägungen, die den Umfang früherer Überwachungsmethoden in Demokratien begrenzen, sind bei einem breiten Einsatz von CSS einfach nicht mehr gegeben. Als gesetzestreue Bürgerinnen und Bürger sollten wir die Freiheit haben, unsere Geräte zu nutzen, um unser Leben zu erleichtern, ohne uns Sorgen machen zu müssen, dass wir abgehört werden wie ein Bösewicht in einem Spionagefilm», sagt Troncoso. «Das ist Meinungsfreiheit, das ist der Kern dessen, was wir unter Demokratie verstehen. Ja, die Bekämpfung von Kriminalität ist von grösster Bedeutung. CSS ist einfach nicht der richtige Weg dafür.»