Am 26. Oktober hat das britische Parlament das Online-Sicherheitsgesetz verabschiedet, das Ofcom, der britischen Regulierungsbehörde für Telekommunikation, weitreichende Befugnisse erteilt, um schädliche Medien und Äußerungen zu suchen, zu finden und zu unterdrücken, indem das Internet gescannt wird und, trotz weit verbreiteter Verurteilung aus der Technologiebranche, sogar Ende-zu-Ende-verschlüsselte (E2EE) Nachrichten.
Die Befürworter dieses Gesetzes haben es als starke Antwort zur Verhinderung einiger der schlimmsten Arten von Online-Missbrauch gefordert, insbesondere solcher, die Kinder zum Ziel haben und beeinträchtigen. Die Regierung hat jedoch mittlerweile zugegeben, dass es derzeit keine technisch machbare Möglichkeit gibt, E2EE-Nachrichten oder Dienste zu scannen, ohne ihre Verschlüsselung zu brechen, was die Regierung behauptet, nicht zu tun. Infolgedessen hat sich die Verantwortung auf Ofcom verlagert, um über eine verantwortungsvolle Art und Weise der Umsetzung seiner neuen Befugnisse zu entscheiden, unter Berücksichtigung der technischen und moralischen Einschränkungen.
Ofcom hat nun einen Entwurf zur Konsultation veröffentlicht, wie es das Online-Sicherheitsgesetz durchsetzen könnte. Es gibt einige positive Schritte dabei – Ofcom hat gezeigt, dass es nicht grundsätzlich gegen Ende-zu-Ende-Verschlüsselung ist und hat Ausnahmen für E-Mail und verschlüsselte Nachrichten gemacht, ein Schritt, der sicherlich ein Sieg für die Privatsphäre ist.
Allerdings birgt der Vorschlag, Hash-Matching zur Erfüllung der Mission des Online-Sicherheitsgesetzes zu verwenden, mehrere erhebliche Risiken für die Privatsphäre der britischen Bürger. Darüber hinaus legt die Konsultation nahe, dass Dienste zur Speicherung und Weitergabe von Dateien möglicherweise verpflichtet werden könnten, Hash-Scanning zu implementieren, aber wir müssen noch die Details sehen, wie dies in der Praxis umgesetzt werden könnte.
Trotz der Behauptungen von Ofcom, dass dieser Vorschlag die Privatsphäre bewahren würde, ist Hash-Matching keine magische Lösung. Wenn es umgesetzt wird, könnte es zu einem Massenüberwachungsapparat führen, der leicht von Strafverfolgungsbehörden missbraucht werden könnte.
Was ist Hash-Matching?
Hash-Matching oder Hash-Scanning vergleicht bestimmte Inhalte wie Videos, Bilder oder Texte mit einer Datenbank illegaler Inhalte. Dabei werden die Inhalte in „Hashes“ umgewandelt, eine Art Fingerabdruck des Inhalts. Die Hashes von Inhalten, die von einem bestimmten Nutzer gespeichert oder geteilt werden, werden dann mit den Hashes bekannter illegaler Inhalte in einer Datenbank verglichen und führen zu einer Übereinstimmung, wenn die Software entscheidet, dass die Hashes identisch oder ähnlich genug sind. Einige dieser Datenbanken werden von privaten Unternehmen entwickelt, andere von NGOs oder sogar von Strafverfolgungsbehörden.
Hash-Matching ist ein gefährlicher Schritt in Richtung Massenüberwachung
Hash-Matching klingt einfach, aber es werden mehrere besorgniserregende Probleme deutlich.
- Hash-Matching ist eine unglaublich schwierige Technologie zur Implementierung, und ähnliche bereits bestehende Systeme haben zahlreiche false positives, die das Leben von Menschen ruinieren können(new window). Diese Fehlalarme würden gesetzestreue Nutzer gefährden und das System belasten, was Unternehmen oder Strafverfolgungsbehörden dazu zwingen würde, vollkommen unschuldige Medien zu untersuchen, was möglicherweise Ressourcen von echten Missbrauchsfällen ablenkt.
- Obwohl Ofcom verschlüsselte und private Nachrichten von diesem Gesetz ausgenommen hat, könnte jede App, die du herunterlädst, um Dateien zu teilen oder auf soziale Medien zuzugreifen, Spyware enthalten, um die Medien auf deinem Gerät zu untersuchen und zu melden.
- Es ist unklar, ob verschlüsselte Dateien, die in der Cloud gespeichert sind, unter dem Online-Sicherheitsgesetz einer Hash-Überprüfung unterzogen werden würden. Jetzt, da wir in einer Cloud-First-Welt leben, könnte dies der Regierung das Mandat geben, die Dateien aller zu scannen – was oft die sensibelsten Informationen der Menschen umfasst.
- Schließlich diskutieren die aktuellen Vorschläge nicht, wie die Öffentlichkeit überprüfen kann, was die Datenbank mit illegalem Material enthalten wird. Es könnte sehr leicht zu einem Zensurwerkzeug werden, ähnlich wie die chinesische Regierung nach Bildern der Tiananmen-Platz-Proteste sucht.
Ofcom muss vorsichtig vorgehen
Wir drängen Ofcom, die Auswirkungen des Vorantreibens von Hash-Matching sehr sorgfältig zu bedenken. Wir lehnen das Online-Sicherheitsgesetz immer noch ab, aber wir werden Anerkennung zollen, wo sie gebührt ist. Seitdem das Gesetz in Kraft getreten ist, zeigen Ofcoms Vorschlag, das Scannen auf öffentlich geteilte Inhalte zu beschränken, und das Eingeständnis der Regierung, dass es derzeit keine praktikable Möglichkeit gibt, Ende-zu-Ende-verschlüsselte Nachrichten zu scannen, ohne die Verschlüsselung zu brechen, dass sie die Einsätze und technischen Grenzen verstehen.
Nichtsdestotrotz öffnet jeder Vorschlag zur Implementierung von Hash-Abgleichen, besonders einer mit so wenigen Details, die Menschen in Großbritannien noch größeren Verletzungen ihres Rechts auf Privatsphäre.
Es ist entscheidend, dass Ofcom auf die Warnungen aus der Technikgemeinschaft hört. Wir werden für das Recht auf Privatsphäre kämpfen, wir werden mit Regulierungsbehörden zusammenarbeiten, um sicherzustellen, dass sie die Risiken einer Unterminierung dessen verstehen, und wir werden nichts befolgen, was dies tut. Wir werden immer die Rechte der Proton-Gemeinschaft schützen, wo auch immer sie leben mögen. Wir werden unsere Gedanken zu den Vorschlägen in Ofcoms Konsultation teilen, sobald wir mehr Details haben.
Obwohl anerkannt werden sollte, dass wir noch auf weitere Details von Ofcom warten, hoffen wir, dass die Gesetzgeber in Europa die Bemühungen des Vereinigten Königreichs zur Schutz der Ende-zu-Ende-Verschlüsselung zur Kenntnis nehmen und die Bemühungen des EU-Parlaments zur Verbesserung der Chat-Kontrolle fortsetzen. Es wird erwartet, dass das Europäische Parlament noch datenschutzfreundlichere Vorschläge als Ofcom veröffentlichen wird. Wir hoffen, dass dies dem britischen Regulierer den Mut gibt, das Online-Sicherheitsgesetz in den kommenden Monaten weiter zu verbessern.
