DEN HAAG – Rechtsgutachten der wissenschaftlichen Dienste der EU und des Bundestags kommen zu dem eindeutigen Schluss, daß die Überwachung aller Kommunikationsdienste mit Hilfe einer per Gesetzeszwang auf dem z.B. Handy installierten „client side scanning“-Software (Chatkontrolle) rechtswidrig ist und dessen ungeachtet wird diese vom deutschen Innenministerium und den Niederlanden auf EU-Ebene weiter vorangetrieben.
.
.
Um Kinderpornografie zu bekämpfen, möchte die EU über „Client-Side Scanning“ Zugriff auf alle Fotos und Videos haben, die jemand über seinem Computer versenden will!
Die Europäische Kommission hat einen Vorschlag vorgelegt, um die clientseitige Überwachung zu ermöglichen. Damit werden Ihre Nachrichten, noch bevor sie versendet werden, auf bestimmte Inhalte überprüft.
Experten warnen vor einer massenhaften Überwachung auf europäischer Ebene.
Am Mittwochabend des 11.10.2023 führte die Zweite Kammer des niederländischen Parlaments eine Diskussionsrunde mit verschiedenen Experten über den Vorschlag „Client Side Scanning“ einzuführen durch. Unter den geladenen Experten war auch Bert Hubert, ehemaliger Aufseher des Überwachungsgremiums für die Befugnisse der niederländischen Geheimdienste (TIB).
sagte Hubert. Bert Hubert weiß wovon er spricht. Er war zwei Jahre lang Chef des niederländischen Überwachungsgremiums für Befugnisse (TIB), dessen Aufgabe es ist, die Zugriffe der Geheimdienste der Niederlande – z.B. mit Hilfe von Hackerangriffen, Kabelabhörungen und andere datenschutzrelevanten Vorgängen auf Daten – zu genehmigen und damit zu kontrollieren. Der Grund seines Rückzugs aus diesem Geheimdienst-Kontrollgremium lag darin, daß er mit neuen, weitreichenden Befugnissen der niederländischen Geheimdienste AIVD und MIVD nicht einverstanden war. Diese neuen Befugnisse würden aus seiner Sicht die ins einen Händen liegende Kontrolle unterwandern.
Wer noch mehr über „Bert Hubert“ wissen will, dem haben wir am Ende dieses Beitrags dessen Rücktrittserklärung aus diesem niederländischen „Überwachungsgremium für Befugnisse“ (TIB) angehängt.
.
Was ist „client side scanning“?
Unter „Client-Side Scanning“ also Überprüfung von Kommunikation direkt beim „Client“, also beim Nutzer, versteht man im Allgemeinen Systeme, die den Inhalt einer Nachricht – also Text, Bilder, Videos, Dateien – auf eine Übereinstimmung mit einer in einer Datenbank enthaltenen Inhalte scannen und zwar die Nachricht an den beabsichtigten Empfänger gesendet wird. Manche Antivirensoftware sind dazu in der Lage, um Viren auf einem Computer zu erkennen und ggf. zu deaktivieren.
Auf der anderen Seite kann ein solcher Vergleich mit Hilfe solcher digitaler Fingerabdrücke, die dann zu seinem externen Server gesandt werden, jedem Diensteanbieter, also z.B. jedem Anbieter von Chat-Programmen, wie z.B. Telegram oder WhatsApp, ermöglichen, Inhalte zu überwachen und zu filtern, die ein Benutzer gerade erstellt und an einen Dritten weiterleiten möchte.
Die Funktionsweise ist wie folgt: Eine Anwendung auf Ihrem Telefon, die mit einer EU-Datenbank verknüpft ist, kann Nachrichten auf ihren Inhalt hin überprüfen. Wenn sie vom Algorithmus als strafbar eingestuft wird, leuchtet bei der Europäischen Union ein Signal auf. Die Nachricht wird dann blockiert.
„Client-Side Scanning“ ist klar rechtswidrig
Nicht nur ein Gutachten, sondern mehrere Gutachten und der Datenschutzbeauftragte sind sich sicher: „Client-Side Scanning“ ist klar rechtswidrig! Dies geht aus einem Gutachten des Juristischen Dienstes des Rates und des Wissenschaftlichen Dienstes des Europäischen Parlaments hervor, denen zu entnehmen ist, daß eine solche Art der Chatkontrolle rechtswidrig sei. Insbesondere seien sie nicht mit Artikel 7 und 8 der Grundrechtecharta der EU vereinbar, da diese das Recht auf Schutz des Privatlebens und privater Kommunikation sowie den Schutz personenbezogener Daten hervorheben. Auch der Wissenschaftliche Dienst des Bundestags ließ kein gutes Haar an diesen Plänen:
Auch der Bundesbeauftragte für den Datenschutz hat in seinen Jahresbericht klar Stellung bezogen:
Wie kann man „Client Side Scanning“ umgehen?
„Client Side Scanning“ funktioniert nur schwer oder gar nicht, wenn die Nachrichten verschlüsselt sind. Wenn Personen den Verdacht haben, dass ihre Inhalte gescannt werden, können sie sich außerdem selbst zensieren oder zu einem anderen Dienst ohne clientseitiges Scannen wechseln oder eine andere Kommunikationsmethode nutzen.
Doch von diesen Tatsachen lassen sich gewisse Kreise nicht abschrecken und arbeiten sich langsam aber systematisch durch die Instanzen:
.
US-Big-Tec-Unternehmen wollen es: immer weniger Regierungen wehren sich dagegen
Wie leider viel zu oft läßt sich auch diese Initiative auf Interessen zurückverfolgen, die aus den USA kommen:
Apple will es
Die erste öffentliche Diskussion über diese Art der Massenüberwachung erfolgte im Jahr 2021, während der Corona-Maßnahmen-Krise und nach einer Ankündigung von Apple, „Client Side Scanning“ als Mittel der Telekommunikationsüberwachung nutzen zu wollen. Apple wollte die Endgeräte seiner Nutzer dahingehend untersuchen, ob diese Darstellungen von Kindesmissbrauch gespeichert hätten. Auch Dateien, die auf die apple-eigene Clound hochgeladen wurden, sollten daraufhin überprüft werden, ob sie kinderpornografische Inhalte hätten. Zu diesem Zweck sollten die Bilder mit Einträgen einer Datenbank des National Center for Missing & Exploited Children abgeglichen würden. Protesten stoppten dieses Vorhaben im September 2021 vorerst.
Mit anderen worten: Apple sucht nach einem besseren Zeitpunkt für den Launch dieses Konzepts der Massenüberwachung!
Der Young Global Leader des WEF und „Investor“ Ashton Kutcher will es
Und ein mehr oder weniger bekannter Schauspieler namens Ashton Kutcher will es: Rein ergänzend wollen wir darauf hinwiesen, dass Herr Kutcher Young Global Leader der Klasse 2016 des umstrittenen World Economic Forum ist und dort mit den Worten
vorgestellt wird. Der Schauspieler Ashton Kutcher ist nämlich auch der Gründer eines gemeinnützigen Startups namens Thorn. Und zu Thorn kann man einer Online-Enzyklopädie entnehmen:
Doch es lief nicht optimal für Kutcher, der sich offiziell gegen Vergewaltigungen einsetzt, aber privat einem inzwischen verurteilten Vergewaltiger einen Persilschein ausstellt:
Die EU macht es
Außerdem gab es da noch einen interessanten Kontakt des WEF-Young Global Leader Kutcher mit Ursula vonder Leyen. Die Zeitung die ZEIT ordnet dazu ein:
Happy to talk to Ashton Kutcher.
We have a common cause: protecting children.
The @EU_Commission is working with online platforms to report & remove child sexual abuse content.
We need to join forces around the globe to fight against such crimes. @WeProtect pic.twitter.com/bdXhX6JRfw
— Ursula von der Leyen (@vonderleyen) November 13, 2020
Es ist ein erstaunliches Foto, das Ursula von der Leyen am 13. November 2020 veröffentlicht. Vor allem, weil es so beiläufig wirkt, obwohl in diesem Moment zwei mächtige Menschen besprechen, wie sie künftig die digitale Kommunikation der ganzen Welt überwachen lassen wollen. Auf dem Bild ist zu sehen, wie die Präsidentin der EU-Kommission eine Videokonferenz mit dem Hollywoodschauspieler Ashton Kutcher abhält. Von der Leyen, in Hosenanzug und offensichtlich in einem Büro der EU, schaut dort auf einen großen Bildschirm. Auf dem zu sehen ist ein etwas zerzaust wirkender Kutcher, der in weißem T-Shirt auf einer grünen Couch sitzt. Sie „freue sich“, mit Kutcher zu reden, twittert die EU-Politikerin dazu, man habe schließlich ein gemeinsames Ziel: „Kinder zu schützen“.
Was dann folgte kann man sich ja denken.
„Angenehmer“ Nebeneffekt: Gewinnmaximierung von BigTech:
Es besteht der dringende Verdacht, dass es dabei nicht nur um den Schutz von Kindern geht, sondern auch um finanzielle Interessen Kutchers und der Stiftung Thorn, deren Vorsitzender er bis vor Kurzem war.
Was kann/will Ashton Kucher der EU anbieten?
Diese Stiftung, die heute Thorn heißt, spielt eine wesentliche Rolle bei den Plänen der EU-Kommission. In der Lobbydatenbank der EU ist Thorn als gemeinnützige Organisation registriert, gleichzeitig aber vermarktet sie auf künstlicher Intelligenz basierende Analysewerkzeuge. Seit 2018 hat das US-Ministerium für Heimatschutz beispielsweise Softwarelizenzen von Thorn für insgesamt 4,3 Millionen Dollar gekauft.
Nach diesen Initiativen legte die Europäische Kommission am 11. Mai 2022 einen Gesetzesentwurf für eine sogenannte „Chatkontrolle“ vor, der Betreiber von Messengern zum Scannen der Nachrichten ihrer Kunden auf Kinderpornografie verpflichten soll. Dieses Ziel soll technologieoffen geschehen, was bedeutete, daß der Anbieter auch Client-Side-Scanning, z. B. mittels Hashabgleich einführen könnte.
Weitere Lobbyisten zu dem Thema
Doch Kutcher ist nicht der einzige Lobbyist, der zu diesem Thema versucht bei der EU-Kommission anzudocken. Eine Zeitung führt dazu aus:
Neben Kutcher und seiner Stiftung Thorn lobbyiert laut den Recherchen zum Beispiel auch die Organisation WeProtect Global Alliance auf höchster Ebene. Dieser Organisation gehört Antonio Labrador Jimenez an, der gleichzeitig als ranghoher Mitarbeiter der Generaldirektion Inneres (DG Home) bei der EU-Kommission arbeitet – und dort für die umstrittene Gesetzesinitiative zuständig ist.
Ein Land nach dem anderen fällt um
Im Februar 2023 waren sich die Mitgliedsstaaten der EU in dieser Frage noch nicht einig: gegen eine solche Chatkontrolle positionierten sich damals vor allem
- Deutschland,
- Frankreich
- Slowenien
- Österreich,
- Niederlande
- Lettland,
für eine solche Chatkontrolle positionierten sich
- Spanien
- Kroatien
- Griechenland
- Litauen
- Zypern.
Im Mai 2023 erweiterte sich der Kreis der Befürworter auf zehn Staaten. Im Juni 2023 haben dann
- Frankreich,
- Slowenien
- Lettland
die Seiten gewechselt. und treten seither als Befürworter auf. Damit bleibt im wesentlichen nur noch der deutsche Kulturraum, umfassend auch die Niederlande als Gegner dieses Vorhabens. Doch seither gibt es auch in Deutschland ausgehend vom SPD-geführten Innenministerium Absetzbewegungen:
Die deutsche Innenministerin will dafür den Koalitionsvertrag brechen
In Deutschland hat sich die aktuelle Koalition eigentlich im Koalitionsvertrag mit den Worten
klar positioniert. Doch inzwischen gibt es offenbar Kräfte in der Bundesregierung, die sich nicht mehr daran halten wollen.
Aus einem offenen Brief des Bundesjustizministers geht hervor, daß das Bundesinnenministerium, das in dieser Frage das Verhandlungsmandat in der EU hat, eine Position mittragen möchte, die nicht dem oben zitierten Koalitionsvertrag entspricht. Hinzu kommt die Überzeugung aus mehreren Gutachten, daß eine solche Art der Kontrolle glatt rechtswidrig ist.
.
Diskussion im Parlament der Niederlande
Bert Hubert legte für diese Expertenanhörung ein Positionspapier vor, das wir i n Folge komplett zitieren. Er prangert darin alle Facetten des EU-Vorschlags zum clientseitigen Scannen an, der auch als „Chat-Kontrolle“ bekannt ist.
Demnach sollen die Hersteller der Chat-Software ein Modul in deren WhatsApp/Signal/iMessage/Snapchat-Software implementieren, das auf jedem Kommunikationsmittel die gesamte Kommunikation scannt und z.B. Fotos auf „Grooming“ und auf bekannte und unbekannte Kinderpornografie durchsucht. Ergebnisse würden dann automatisch der Polizei und Europol gemeldet.
Berichterstattung
Die Aufzeichnung der Diskussionsrunde ist hier online verfügbar – sein Beitrag beginnt um 19:19 Uhr, aber auch der Rest ist für die, die niederländisch beherrschen, hörenswert (das Transkript dazu hat er hier veröffentlicht). Darüber hinaus existiert eine umfangreiche Berichterstattung:
- Artikel in NRC
- NOS: Artikel 1, Artikel 2
- Artikel in den 8-Uhr-Nachrichten vom 11. Oktober (um 17:15 Uhr).
- De Volkskrant berichtet: „EU-Gesetzentwurf zum Schutz von Kindern beunruhigt Experten über Privatsphäre: „Es ist Wahnsinn.““
- RTL Z News (2 Minuten)
- BNR,
- Artikel auf Security.nl.
- Artikel mit einer Analyse der Verhältnismäßigkeit des Vorschlags, einschließlich der Folgen für die Cybersicherheit selbst bei einem Minimalgesetz, das nur bekanntes Material scannt.
.
Die Kritik am „client side scanning“ vor den Volksvertretern der Niederlande
In Folge zitieren wir das Skriptum von Bert Hubert über dessen Aussagen vor den Volksvertretern in der zweiten Kammer der Niederlande:
Als Hintergrund habe ich in den letzten 20 Jahren häufig zu Konsultationen zwischen der Regierung und der Internetwelt über die Bekämpfung von Kinderpornografie beigetragen. Zu diesem Zweck lieferte mein Unternehmen auch Software an Ermittlungsdienste. Ich glaube auch, dass die niederländische Hosting-Branche mittlerweile viel zu leicht davonkommt, höchst unerwünschte Inhalte zu hosten.
Andere Positionspapiere für dieses Gespräch haben bereits ihr Entsetzen über den Client Side Scanning-Vorschlag zum Ausdruck gebracht, und ich stimme voll und ganz zu. Die Idee, dass wir automatisch die gesamte Kommunikation aller Europäer scannen und die Ergebnisse live an die EU übermitteln, ist verwerflich.
Dieser Gesetzesvorschlag gibt Ihnen (Abgeordneten, Kabinett) die Möglichkeit, an „dem Moment, als alles schief ging“, an unserem Rechtsstaat teilzuhaben oder sich für klügere Regelungen einzusetzen.
Ich wurde gebeten, die Cybersicherheitsaspekte der Gesetzgebung zu besprechen, einschließlich ihrer genauen Funktionsweise. Mein Hauptaugenmerk liegt auf dem erklärten Ziel: Das Wohlergehen der Kinder, wird das nun besser sein oder nicht?
An die Leute, die auf mich zukommen und sagen, mein Beitrag sei nicht wütend genug: Glauben Sie mir, ich bin extrem wütend. Es macht mich rot. Aber meine Arbeit ist eine von vier eingereichten Arbeiten, und sie schneiden bereits gut ab. Hier versuche ich praktisch zu erklären, was passieren wird.
Hintergrundrechnung
Der Vorschlag umfasst viele verschiedene Dinge (einige davon sind gut), aber dieser Runde Tisch beschränkt sich auf den Durchsuchungsbefehl, der gegen Anbieter von „interpersonellen Kommunikationsdiensten“ erlassen werden kann.
Diese „Erkennungsanordnung“ bedeutet, dass Anbieter von Chat-Diensten (Signal, WhatsApp, Facebook, iMessage/Apple, Snapchat, Telegram usw.) verpflichtet sind, Software zu installieren, die:
„Wirksam zur Aufdeckung der Verbreitung von bekanntem oder neuem Material über sexuellen Missbrauch von Kindern oder der Anwerbung von Kindern“
Hier geht es also um drei Dinge – bereits bekanntes pornografisches Material, noch unbekanntes Material und die „Grooming“ von Kindern. Letzteres betrifft Gespräche, sowohl als Text als auch als Sprache.
Update 9. Oktober: Laut diesem Schreiben von Ministerin Yeşilgöz-Zegerius (JenV) hält das Kabinett das Scannen derzeit nur auf bekanntem Material für akzeptabel, da sonst die Fehlerwahrscheinlichkeit zu hoch sei.
Für diese Art der Erkennung verwendet die Computerwelt sogenannte „Klassifikatoren“, die möglicherweise am besten aus dem Spamfilter bekannt sind. Eine Information wird betrachtet und ein Algorithmus weist eine Bewertung zu. Liegt der Score über einem bestimmten Wert, spricht man beispielsweise von Spam.
Ein zweiseitiger Klassifikator der handgeschriebenen Zahlen 3 und 7. Ein Wert über 2,5 ist mit ziemlicher Sicherheit eine 7. Ein Wert unter -2,5 ist mit ziemlicher Sicherheit eine 3. Dazwischen gibt es Zweifel. Die Pfeile zeigen auf Zahlen, die falsch klassifiziert sind!
Es gibt immer eine Wahl: Wenn das Punktelimit zu hoch ist, gelangt zu viel Spam durch den Filter. Ist das Limit jedoch zu niedrig, landen zu viele wichtige E-Mails im Spam-Ordner.
Jeder E-Mail-Anbieter trifft hier eine Entscheidung, und wir alle haben erlebt, dass die Entscheidung keine gute war: echte E-Mails im Spam-Ordner und trotzdem Spam im Posteingang. Grundsätzlich lässt sich daran kaum etwas ändern, 99 % richtig ist schon sehr gut, 99,9 % ist deutlich schwieriger.
Einzelheiten
Es ist davon auszugehen, dass alle großen Anbieter von Chat- und Anrufdiensten eine Ermittlungsanordnung erhalten werden („Um wirksam zu sein, müssten Ermittlungsanordnungen auf andere Anbieter ausgeweitet werden und de facto zu einer dauerhaften Überwachung der gesamten zwischenmenschlichen Kommunikation führen“). . Das bedeutet, dass Klassifikatoren von Facebook/Meta/WhatsApp, Snapchat usw. auf unseren Telefonen und Computern installiert werden.
Bei den folgenden Aussagen sollte sich der Leser im Hinterkopf behalte, daß der Inhalt „Kinderpornographie“ jederzeit in jeden beliebigen Inhalt geändert werden könnte, sobald ein solches System erst einmal installiert ist:
Wenn der Klassifizierer einen zu hohen „Child Exploitation Score“ für eine Nachricht, ein Foto oder ein Video berechnet, wird automatisch eine Kopie an das sogenannte EU-Zentrum gesendet, einen Club, der hier in Den Haag im oder neben dem Europol-Gebäude gegründet werden soll.
Im EU-Zentrum wird sich dann ein EU-Beamter das Foto/Video oder die Nachricht ansehen. Wenn die Meldung „offensichtlich falsch“ ist, bricht der Prozess dort ab. Im Zweifelsfall leitet der Beamte die Meldung jedoch an Europol UND eine örtliche Polizeistation in der Nähe der Person weiter, von der das Foto oder die Nachricht stammt. Um dies zu vereinfachen, wurden zuvor die Standortdaten des Benutzers gesendet.
Auf der örtlichen Polizeiwache wertet ein Beamter das Foto, Video oder die Nachricht aus und entscheidet, ob Ermittlungen eingeleitet werden.
Bei dieser Polizeistation könnte es sich übrigens durchaus um die Polizei des Dorfes Ihres griechischen Urlaubsziels handeln.
Das EU-Zentrum erstellt nun eine Datenbank aller dieser Dateien zur Erforschung von Trends und Technologien. In dieser Datenbank ist auch alles enthalten, was letztlich keinen kindlichen Sexualbezug hatte. Diese Daten werden auch Europol für weitere Recherchen zur Verfügung gestellt.
„Fehlalarm“
Spamfilter haben es schon schwer, aber selbst Menschen haben es schwer, die Natur eines Fotos zu bestimmen. Das niederländische Forensische Institut weigert sich beispielsweise, das Alter anhand eines Fotos zu bestimmen.
Die Frage ist nun, wie gut die Klassifikatoren sein werden. Die EU schafft es ab, indem sie in Artikel 10.3(d) feststellt, dass diese „ausreichend zuverlässig“ seien und „die Fehlerquote so weit wie möglich begrenzen“. Aber Hoffnung ist kein Plan.
Ich werde hier nicht näher darauf eingehen, aber etliche Fotos und Gespräche werden online mit voller „Einwilligung“ zwischen älteren Kindern und (jungen) Erwachsenen ausgetauscht, was vermutlich den Algorithmus im Klassifikator durcheinander bringt. Und das führt dann zu automatischen Benachrichtigungen.
Gut zu wissen ist auch, dass viele Telefone von Kindern und Jugendlichen auf den Namen ihrer Eltern registriert sind. Eine Chat-Nachricht kann also so aussehen, als stamme sie von einem 45-jährigen Mann, während sie von einem 13-jährigen Mädchen getippt wurde. Das ist ein völlig anderer Kontext.
Das Wohl des Kindes
In Gesprächen greifen wir oft auf „Denk an die Kinder“ zurück, also lasst uns das tun. Eine richtig erkannte Verbreitung von kindlichem Sexualmaterial oder Grooming kann tatsächlich zum Kindeswohl beitragen. Es ist möglich, dass Schreckliches verhindert werden kann. Vergessen wir das nie.
Doch eine ungerechtfertigte Meldung ist aus zwei Gründen nicht harmlos.
Die falsche Meldung kann für die Beteiligten zu großem Leid führen. Es werden Ermittlungen geführt, Telefone geleert, Eltern werden zu Verdächtigen, allen wird die kalte Schulter gezeigt. Veilig Thuis kommt zu Ihnen nach Hause, um Nachforschungen anzustellen. Dies stört ganze Familien, möglicherweise mit häuslichen Situationen, die dies nicht zulassen. Wenn wir Glück haben, kommt man innerhalb weniger Monate (!) zu dem Schluss, dass die unberechtigte Meldung wirklich ungerechtfertigt war.
Darüber hinaus zeigt sich leider häufig, dass auch ungerechtfertigte Anzeigen zu Verurteilungen führen können, die teilweise erst nach langjähriger Berufung aufgehoben werden. Beteiligte Personen haben möglicherweise den Anschein, gegen sie zu sein, oder sie haben möglicherweise bereits andere Probleme, bei denen dies den Ausschlag gibt.
Übrigens verbrennen Sie bei dieser Art von Recherche alle Ihre „sieben Häkchen“. Das Risiko eines falschen Ergebnisses ist viel höher, wenn Sie nicht zu einer traditionell weißen, wohlhabenden Familie gehören.
Es ist auch so, dass selbst gelöste Meldungen zu dauerhaften Spuren in Datenbanken führen. Ein weiteres schreckliches Ergebnis ist, dass kein offizielles Urteil gefällt wird und jemand auf unbestimmte Zeit in einem Schattenzustand von „nicht bewiesen/nicht widerlegt“ festsitzt. Dies allein kann Ihr Leben ruinieren.
Dem Wohl der Kinder tut das alles überhaupt nicht gut.
Daher müssen wir die Gesamtsumme genau betrachten – wie viel Leid durch die Durchsuchung unserer gesamten Kommunikation verhindert wird und wie viel Leid durch falsche Entdeckungen oder das permanente „Kennzeichnen“ unbewiesener Fälle verursacht wird.
Aktiver Missbrauch
Die Klassifizierungscodes werden zwangsweise auf unseren Telefonen und Computern installiert. Dies bedeutet, dass Angreifer die verwendeten Algorithmen zur Kenntnis nehmen können. Und mit diesem Wissen können harmlose Materialien hergestellt werden, die dennoch als gefährlich eingestuft werden.
Dadurch ist es möglich, Menschen schöne Katzenfotos zu schicken, die dennoch zu Berichten und Recherchen führen. Dies wird in der Regel gut enden, ist aber immer noch eine Möglichkeit, gefährdete Menschen auf die Polizei aufmerksam zu machen.
Es ist auch so, dass Europol und die EU-Zentrale einen immer größeren Berg an Fotos ansammeln, darunter auch Material, das sich letztlich nicht als falsch herausstellte. Jede EU-Institution wurde in den letzten zehn Jahren irgendwann gehackt. Diese Datenbank und die Fotos werden eines Tages auf der Straße sein, zusammen mit den Namen und Standorten aller Personen.
Die Klassifikatorsoftware selbst
Klassifikatoren sind auf allen unseren Telefonen obligatorisch, aber woher kommen sie? Die EU selbst sagt, sie werde dies zur Verfügung stellen. Presseberichte deuten offenbar darauf hin, dass diese Software möglicherweise über die EU von einem Unternehmen geliefert wird, das dem Schauspieler Ashton Kutcher gehört, der auch Gründer eines gemeinnützigen Startups namens Thorn ist, das sich für den Schutz von Kindern einsetzt. Follow the Money veröffentlicht nützliche Forschungsergebnisse zu diesem Thema.
Meta, Apple, Snap usw. könnten auch selbst Software entwickeln.
Kürzlich wurden die Ökosysteme von Apple und Google Opfer eines Lecks in einer Software zur Verarbeitung von Bildern und Fotos. Infolgedessen mussten alle Apple- und Android-Telefone aktualisiert werden, um sie vor Hackerangriffen zu schützen.
Dieselbe Software wird auch von Klassifikatoren verwendet. Dies weist darauf hin, dass diese Klassifikatoren selbst auch ein Risiko für die Sicherheit der Benutzer darstellen: Es handelt sich um mehr Code mit dem Risiko von Schwachstellen. Gerade weil diese Software alle unsere Nachrichten, Fotos und Videos scannen muss, ist dies ein großes Risiko.
Die Verhältnismäßigkeit
Die überwiegende Mehrheit unserer Kommunikation ist für Kinder ungefährlich. Die allerbesten Klassifikatoren, die wir kennen, liegen leicht in 0,1 % der Fälle falsch. Das bedeutet, dass die EU-Zentrale, Europol und die örtlichen Polizeidienststellen eine Flut falscher Meldungen erhalten. Denn 0,1 % ist viel mehr, als wie viel sexuelles Material über Kinder verbreitet wird. Bis zum Jahr 2023 wird WhatsApp schätzungsweise zwischen 100 und 140 Milliarden Nachrichten pro Tag übertragen, das ist also eine Menge.
Die Mitarbeiter im Büro im EU-Zentrum und bei Europol verbringen dann den ganzen Tag damit, sich Fotos und Videos von nackten Menschen anzuschauen und im Rahmen ihrer Arbeit Urteile zu fällen, und wir müssen hoffen, dass sie das gut machen. Für mich ist es auch ein sehr anstrengender Job, und ich habe Detektive gesehen, die von dieser Art von Arbeit völlig ausgebrannt sind.
Aber alles hängt davon ab, wie gut die Klassifikatoren sind und wie gut die Verarbeitung ungerechtfertigter Meldungen ist.
An beiden Fronten stehen die Zeichen nicht gut. Entscheidend ist, dass beide Themen im Vorschlag kaum konkret behandelt werden, außer mit der Aussage, dass die Technologie einfach keine Fehler machen dürfe. Aber in früheren Fällen haben wir gesehen, dass Regierungsalgorithmen durchaus falsch sein können, mit allen Konsequenzen (und parlamentarischen Untersuchungen), die das mit sich bringt.
Es ist auch besorgniserregend, dass die EU eine riesige Datenbank mit Fotos, Videos, Chat-Gesprächen und Standorten aufbaut, ob sie nun Besorgnis erregend sind oder nicht. Jede EU-Institution wurde schon einmal gehackt.
Schließlich besteht noch das Cybersicherheitsrisiko – jede Software wird anfälliger für Angriffe, und es besteht auch die Möglichkeit, dass subtil bearbeitete harmlose Inhalte zu Benachrichtigungen führen.
Was ist dann zu tun?
Alles hat Vor- und Nachteile, aber Apple hat beispielsweise ein „Familienprogramm“, bei dem Kindertelefone Teil Ihrer Apple-Familie sind. Kinderhandys können so einen eingeschränkten Zugang zum Internet erhalten oder den Nutzer vor Nacktfotos schützen.
Solange wir noch an Familien glauben, wäre es keine schlechte Idee, Telefone so einzurichten, dass, wenn gefährliche Verhaltensweisen/Erlebnisse von Kindern irgendwo gemeldet werden müssen, dies an die eigenen Eltern erfolgt und nicht an Europol.
Zusammenfassend lässt sich sagen, dass die EU Recht hat, wenn sie das Internet nicht als Zufluchtsort für sexuellen Missbrauch von Kindern nutzen sollte. Mit genügend Überlegungen und spezifischeren Vorschriften sollte es möglich sein, sexuellen Missbrauch von Kindern zu bekämpfen, ohne unsere gesamte private Kommunikation per Software direkt an Regierungen zu senden.
.
Die Rücktrittserklärung von Bert Hubert
Wie eingangs erwähnt zitieren wir nun die Rücktrittserklärung des Bert Hubert von seinem Posten aus dem Kontrollorgan der niederländischen Geheimdienste
Ich habe einige mittelmäßige automatisierte Übersetzungen meiner Rücktrittserklärung in niederländischer Sprache gesehen. Um Verwirrung zu vermeiden, finden Sie die Geschichte hier auf Englisch:
Bis heute war ich eines der drei Mitglieder des Gremiums, das Haftbefehle für die niederländischen Geheim- und Sicherheitsdienste prüft. Dieses Gremium heißt „Toetsingscommissie Inzet Bevoegdheden“ oder TIB.
Wenn einer der zivilen oder militärischen Nachrichten- und Sicherheitsdienste der Niederlande seine rechtmäßigen Abfang-, SIGINT- oder Hacking- (und einige andere) rechtlichen Befugnisse nutzen möchte, müssen sie zuerst ihre eigenen Juristen, dann ihr Ministerium und schließlich die TIB überzeugen. Das TIB prüft dann, ob der Haftbefehl rechtmäßig ist und ob die Entscheidung bindend ist.
Um die internationale Transparenz zu erhöhen, veröffentlicht die TIB ihren Jahresbericht auch in englischer Sprache.
Als ich der Regulierungskommission beitrat, stellte ich mit großer Freude fest, dass die niederländischen Nachrichten- und Sicherheitsdienste genau das taten, was man von solchen Diensten erwarten würde. Ich habe auch festgestellt, dass unsere Regulierungsmechanismen wie vorgesehen funktionierten – wenn sich herausstellte, dass etwas nicht stimmte, würden die Dienste tatsächlich damit aufhören. Wenn die Ex-ante-Regulierungsbehörde (also mein Vorstand) entscheiden würde, dass eine Erlaubnis, etwas zu tun, rechtswidrig ist, würde dies tatsächlich nicht geschehen. Ich denke, es ist wichtig, dies öffentlich zu bekräftigen.
In den letzten zwei Jahren gab es jedoch mehrere Versuche, das niederländische Geheimdienstgesetz zu ändern oder zu ergänzen (Übersetzung in die englische Sprache).
Der jüngste Versuch hat nun mehrere gesetzgeberische Hürden genommen und dürfte voraussichtlich vom Parlament verabschiedet werden.
Nach diesem neuen Gesetz würde meine spezifische Rolle (technische Risikoanalyse) größtenteils entfallen. Darüber hinaus würden den niederländischen SIGINT-Befugnissen (Massenüberwachung) viele regulatorische Anforderungen entzogen. Darüber hinaus gibt es neue Befugnisse, wie die Verwendung algorithmischer Analysen für abgefangene Massendaten, ohne dass eine externe Genehmigung erforderlich ist. Schließlich würden wesentliche Teile der Aufsicht von einer anfänglichen Aufsicht („ex ante“) auf eine laufende oder nachträgliche Aufsicht („ex post“) verlagert.
Die Genehmigung von Befugnissen im Voraus ist relativ effizient und erfreulicherweise selbstregulierend. Wenn eine Behörde ihre Ex-ante-Regulierungsbehörde überlastet oder verwirrt, erhält sie einfach keine Erlaubnis, bestimmte Dinge zu tun. Dies stellt einen starken Anreiz für klare und prägnante Anfragen an die Regulierungsbehörde dar.
Eine Regulierungsbehörde, die laufende Angelegenheiten untersuchen muss, befindet sich jedoch in einer anderen Situation. Es kann leicht zu einer Überlastung kommen, insbesondere wenn es nicht gelingt, ausreichend (technische) Experten zu rekrutieren. Auf dem aktuellen Arbeitsmarkt ist es unwahrscheinlich, dass eine Regulierungsbehörde in der Lage sein wird, schnell genügend hochqualifizierte Computerexperten zu rekrutieren, die in der Lage sind, laufende Untersuchungen zu anspruchsvollen Hacking-Kampagnen und Massenabhörprojekten durchzuführen. Ein überlasteter Regler bietet keine gute Abdeckung. Es ist auch anfällig für Hunger-the-Biest-Taktiken.
Als klar wurde, dass das geplante Gesetz wahrscheinlich vom Parlament verabschiedet werden würde, wusste ich, dass ich sowieso zurücktreten musste, da ich mit den neuen erweiterten Befugnissen und den Änderungen in der Aufsicht nicht einverstanden bin.
Als Mitglied des Regulierungsausschusses konnte ich meine Sorgen über das neue Gesetz nicht äußern. Die Aufsichtsbehörde selbst ist mit hervorragenden Leuten besetzt, aber die Aufsichtsbehörde ist so konzipiert, dass sie nur im Rahmen der bestehenden Gesetze agiert. Es ist nicht dafür verantwortlich, neue Gesetze zu formulieren oder gar zu kritisieren.
Anstatt die wahrscheinliche Verabschiedung des neuen Gesetzes abzuwarten, habe ich beschlossen, jetzt zu gehen.
Dadurch kann ich meine Meinung dazu äußern, was an dem neuen Gesetz falsch ist. Es hilft vielleicht nicht, aber es ist zumindest besser, als stillschweigend dem demokratischen Rückschritt zuzusehen.
Es war eine große Ehre, Teil des Regulatory Powers Boards zu sein. Die Mitarbeiter und Mitglieder sind beeindruckend, und ich wünsche ihnen viel Glück bei ihrer laufenden und wichtigen Arbeit.
Abschließend noch eine Anmerkung: Wenn jemand auf der Suche nach einer staatlichen Regulierungsbehörde ist, die nachweislich zurücktritt, wenn etwas schief geht, dann wissen Sie, dass ich verfügbar bin.
.
Nachtrag 15.11.
Inzwischen meldet die Presse, dass das EU-Parlament dem ursprünglichen Text einige Giftzähne gezogen hat, was aber noch nicht heißt, dass Entwarnung gegeben werden kann:
Der Kompromisstext des Parlaments nimmt nun das verdachtslose, automatisierte Durchsuchen von Dateien aus dem Text heraus und schützt zudem verschlüsselte Kommunikation besonders. Sonstige Scans dürften nur nach einem richterlichen Beschluss bei verdächtigen Einzelpersonen oder Gruppen stattfinden. Aus dem Vorschlag der EU-Kommission gingen deutlich umfassendere Scans in der Breite hervor. Der Kompromisstext enthält allerdings noch Netzsperren und Alterskontrollen, allerdings sind diese an recht strenge Bedingungen geknüpft. Die Parlamentsposition kann in den Trilog-Verhandlungen noch verwässert werden, viel kommt darauf an, wie sich der EU-Rat positioniert.
Ein weiterer Beitrag hat einen Teil des enormen Lobbyaufwand offengelegt, der über dubiose Stiftungen hinter den Kulissen betrieben wird.