Sicherheitsrisiko Innenministerium

Deutschland und andere Staaten haben der von der EU-Kommission angestrebten sogenannte Chatkontrolle fürs Erste eine Absage erteilt. Doch so eindeutig ist die Haltung der Bundesregierung nicht: Sie scheint weiter an einem Überwachungsmechanismus interessiert zu sein, der eine sicher verschlüsselte Kommunikation unmöglich machen würde.

Von Tom Jennissen

Als die Chatkontrolle noch nicht erfunden war. Ein Heißluftgebläse der Stasi zum Öffnen von Briefen

Bild:

Appaloosa / wikimedia / CC BY-SA 3.0, https://creativecommons.org/licenses/by-sa/3.0/legalcode.en

Die Pläne der EU-Kommission erschienen so dystopisch wie abwegig: Künftig sollten Anbieter verpflichtet werden können, die gesamte digitale Kommunikation aller Nutzer:innen umfassend zu scannen und nach verdächtigem Material zu durchforsten. Betroffen wären neben Cloud-Speichern und E-Mail-Kommunikation insbesondere auch Messaging-Dienste wie Whatsapp oder Signal. Deshalb ist das Vorhaben unter dem Begriff »Chatkontrolle« bekannt geworden. Anfang Oktober hatte unter anderem die Bundesregierung mitgeteilt, sie unterstütze den vorliegenden Vorschlag der dänischen EU-Präsidentschaft nicht.

Die EU-Kommission hat den umstrittenen Verordnungsentwurf zur Chatkontrolle bereits im Mai 2022 vorgelegt. Die Kritik daran fiel scharf aus: Die Pläne würden das »digitale Briefgeheimnis« nicht nur aufheben, sondern das genaue Gegenteil an seine stelle setzen: eine verpflichtende Kontrolle sämtlicher Nachrichten. Zudem würde dadurch die technischen Grundlage vertraulicher Kommunikation untergraben und eine »dystopische Überwachungsinfrastruktur« geschaffen, so das Bündnis »Chatkontrolle stoppen!«, dem Organisationen wie der Chaos Computer Club, die Digitale Gesellschaft und Algorithmwatch sowie Verbände wie der Republikanische Anwältinnen- und Anwälteverein und der Dachverband der Fanhilfen angehören. Sogar der Kinderschutzbund wies den Kern der Verordnung als »weder verhältnismäßig noch zielführend« zurück – bemerkenswert, da die Bekämpfung von Kinderpornographie eines der Hauptargumente der EU-Kommission ist.

Der Messaging-Dienst Signal kündigte an, eher den europäischen Markt zu verlassen, als Hintertüren einzubauen, durch die verschlüsselte Kommunikation überwacht werden könnte.

Einer der zentralen Kritikpunkte ist, dass der Verordnungsentwurf das sogenannte Client-Side-Scanning (CSS) unumgänglich machen würde, auch wenn er diese Technologie explizit nennt. Mit ihr soll Ende-zu-Ende-verschlüsselte Kommunikation auf den Geräten der Nutzer automatisiert gelesen, kontrolliert und gegebenenfalls an ein EU-Zentrum weitergeleitet werden. Die Verschlüsselung muss dabei nicht geknackt werden, weil jede Nachricht auf dem Handy oder Rechner selbst gescannt wird, noch bevor sie verschlüsselt und abgeschickt wird.

Während insbesondere zahlreichen Polizeibehörden und das Bundesinnenministerium darin den Königsweg zum Zugriff auf verschlüsselte Kommunikation sehen, bezeichnen Fachleute für Cybersicherheit diese Maßnahme als Alptraum. Denn das CSS würde die Verschlüsselung während der Übertragung zwar nicht beeinträchtigen, aber auf den Endgeräten aller Nutzer:innen eine staatlich verordnete Sicherheitslücke installieren. Dadurch könnten auch andere – seien es fremde Geheimdienste oder Kriminelle – Zugriff auf sämtliche Kommunikationsinhalte erhalten.

Die Bundesregierung hielt sich angesichts der breiten Kritik lange zurück, zu den Plänen der Kommission klar Stellung zu beziehen. Zu Zeiten der Ampelkoalition wollten Grüne und FDP gegen die Pläne der Kommission stimmen, doch das SPD-geführte Innenministerium lavierte lange herum. Erst 2024 distanzierte sich auch die damalige Bundesinnenministern Nancy Faeser (SPD) zumindest von der im EU-Ministerrat diskutierten Version und verwies auf die Kritik des Europaparlaments. Dieses hatte bereits im Herbst 2023 nach intensiven Diskussionen eine Resolution verabschiedet, die sowohl das anlasslose und massenhafte Scannen als auch das Untergraben der Kommunikationssicherheit klar ausschließt.

Europäischer Rat ohne gemeinsame Position zur Chatkontrolle

Der Rat der Europäischen Union ist die zweite Kammer der EU-Legislative, dort sind die Regierungen der Mitgliedsländer auf Ministerebene vertreten. Er hat bis heute keine Position zur Chatkontrolle gefunden. Während unter anderem Spanien, Ungarn und die skandinavischen Länder sich für eine umfassende Chatkontrolle aussprechen, lehnen andere, zum Beispiel Polen oder Österreich, diese ab. Weitere Staaten zeigen sich bis heute unentschlossen.

Deutschland kommt als bevölkerungsreichstem Land eine Schlüsselposition zu. Denn die erforderliche qualifizierte Mehrheit – 55 Prozent der Mitgliedstaaten, die gemeinsam mindestens 65 Prozent der EU-Bevölkerung repräsentieren – kommt ohne Deutschland nur schwer zustande.

Deshalb war mit großer Spannung erwartet worden, ob die schwarz-rote Bundesregierung vor der EU-Ministerratssitzung am 14. Oktober Stellung nehmen würde. Lange hatte es Anzeichen dafür gegeben, dass das Bundesinnenministerium hinter den Kulissen an einem Kompromiss arbeitet, der zwar einige besonders umstrittene Maßnahmen wie die Analyse von Text und Bildmaterial mittels KI-basierter Analysesoftware gestrichen, allerdings den Kern der Maßnahme, den umfassenden Zugriff auf vertrauliche Kommunikation mittels CSS, beibehalten hätte.

Konflikte innerhalb der Regierungskoalition

Allerdings zeigten sich Konflikte innerhalb der Regierungskoalition. Während sich das das unionsgeführte Innenministerium noch Mitte September in einer nichtöffentlichen Sitzung des Digitalausschusses des Bundestags für weitgehende Maßnahmen aussprach, meldete das sozialdemokratisch geführte Justizministerium – zunächst eher verhalten – rechtliche Bedenken an und sprach von Klärungsbedarf innerhalb der Regierung.

Zugleich stieg der öffentliche Druck auf die Regierung. Der Messaging-Dienst Signal kündigte an, eher den europäischen Markt zu verlassen, als Hintertüren einzubauen. Zugleich erhielten Mitglieder von Bundestag und Regierung zahlreiche Zuschriften, nachdem verschiedene zivilgesellschaftliche Organisationen dazu aufgerufen hatten. Eine vom Bündnis »Chatkontrolle stoppen!« getragene Online-Petition erhielt innerhalb weniger Tage weit über 300.000 Unterschriften.

Unter diesem Druck gab die Bundesregierung schließlich nach. Sie erklärte Anfang Oktober, dass sie dem Vorschlag der dänischen Ratspräsidentschaft und einer »anlasslosen« Kontrolle von Chats nicht zustimmen werde. Deshalb wurde die für die folgende Woche geplante Abstimmung kurzfristig von der Tagesordnung des EU-Ministerrats genommen.

Sicherheitslücken, vor denen IT-Sicherheitsexpert:innen vehement warnen

Es bleibt unklar, ob Dänemark einen erneuten Anlauf nehmen wird. Die dänische Regierung ist für die Chatkontrolle in der Maximalversion und hat dem Thema eine hohe Priorität eingeräumt. Im Dezember tagen im EU-Rat die Innen- und Justizminister erneut. Womöglich soll bis dahin ein Durchbruch in den Verhandlungen erreicht werden.

Dabei könnte der dänischen Regierung die Position der Bundesregierung entgegenkommen. Denn diese hat lediglich die »anlasslose« Chatkontrolle abgelehnt. Das gezielte Scannen der Kommunikation bei einem konkreten Verdacht wurde also nicht ausgeschlossen. Auch ein solches würde allerdings voraussetzen, dass alle Anbieter von vertraulichen Kommunikationsdiensten die CSS-Technik einbauen, um auf Anordnung den Zugriff zu ermöglichen – und damit genau jene Sicherheitslücken öffnen, vor denen IT-Sicherheitsexpert:innen vehement warnen.

Bislang zeigt sich das Bundesinnenministerium von der fachlichen Kritik weitgehend unbeeindruckt. Zu verlockend erscheint die Aussicht auf einen umfassenden behördlichen Zugriff auf Kommunikationsinhalte.

Zuverlässige Verschlüsselung setzt voraus, dass tatsächlich nur die Kommunikationsparteien auf die Inhalte zugreifen können und zudem ein sogenannter single point of failure vermieden wird, durch den im Falle eines erfolgreichen Angriffs die gesamte verschlüsselte Umgebung gefährdet wird. Ein gesetzlich vorgeschriebener Detektionsmechanismus würde aber genau gegen diese Grundprinzipien verstoßen. Eine wirklich zuverlässig verschlüsselte Kommunikation gäbe es damit nicht mehr.

Darauf haben beispielsweise mehrere Hundert namhafte Wissenschaftler:innen in einem offenen Brief an die Bundesregierung hingewiesen. Sie schreiben, dass »eine Detektion direkt auf dem Gerät, unabhängig von ihrer technischen Umsetzung, von Natur aus den Schutz, den Ende-zu-Ende-Verschlüsselung eigentlich gewährleisten soll«, untergrabe.

Bislang zeigt sich das Bundesinnenministerium von dieser fachlichen Kritik weitgehend unbeeindruckt. Zu verlockend erscheint die Aussicht auf einen umfassenden behördlichen Zugriff auf Kommunikationsinhalte. Dass damit die grundlegenden technischen Voraussetzungen der IT-Sicherheit preisgegeben werden, scheint im Innenministerium niemanden zu interessieren oder zu stören. Eine solche Politik wäre jedoch ein gravierendes Sicherheitsrisiko für die Bevölkerung.