Strafverfolgungsexperten und politische Entscheidungsträger sollen am 12. September zusammenkommen, um über Vorschläge zu beraten, die Technologieunternehmen, darunter Plattformen wie Signal und WhatsApp, verpflichten würden, verschlüsselte Nachrichten vor deren Übermittlung zu scannen. Dieses Treffen geht einer geplanten Abstimmung über die Vorschläge, bekannt als „Chat Control“, bis zum 14. Oktober voraus, einer Initiative der dänischen EU-Ratspräsidentschaft.
Die „Chat Control“-Vorschläge befürworten das Massenscannen von Mobiltelefonen und Computern, um potenzielles Material über Kindesmissbrauch in verschlüsselten Kommunikationsdiensten zu identifizieren. Diese Initiative hat jedoch erheblichen Widerstand bei Sicherheitsexperten und Datenschutzbefürwortern hervorgerufen.
Am 9. September veröffentlichten über 500 Kryptographen und Sicherheitsforscher einen offenen Brief, in dem sie warnten, dass die Vorschläge technisch nicht durchführbar seien und die Sicherheit und Privatsphäre der europäischen Bürger „völlig untergraben“ würden. Sie argumentieren, dass solche Maßnahmen Schwachstellen schaffen würden, die von Hackern und feindlichen Nationalstaaten ausgenutzt werden könnten.
WhatsApp, ein weit verbreiteter verschlüsselter Nachrichtendienst, hat ebenfalls Bedenken hinsichtlich der EU-Vorschlagsentwürfe geäußert. Ein Sprecher von WhatsApp erklärte, dass die Vorschläge die Ende-zu-Ende-Verschlüsselung gefährden und damit die Privatsphäre, Freiheit und digitale Sicherheit der Benutzer gefährden würden.
Die Europäische Kommission hatte ursprünglich vorgeschlagen, Technologieunternehmen ab 2022 zu verpflichten, E-Mails und Nachrichten auf potenzielle Kindesmissbrauchsinhalte zu scannen. Diese Pläne wurden jedoch aufgrund des Widerstands einer Minderheit von Mitgliedsstaaten ins Stocken geraten, die befürchteten, dass die Vorschläge die Sicherheit und Privatsphäre der EU-Bürger gefährden würden.
Im Juli 2025 brachte die dänische Präsidentschaft einen Kompromiss ein, der darauf abzielt, die Sicherheit verschlüsselter Kommunikation mit der Notwendigkeit, potenziell illegale Inhalte zu identifizieren, in Einklang zu bringen. In diesem Kompromiss wird behauptet, dass die vorgeschlagene Verordnung nicht als Verbot, Schwächung oder Umgehung der Verschlüsselung ausgelegt werden sollte und es Technologieunternehmen ermöglicht, weiterhin Ende-zu-Ende-verschlüsselte Dienste anzubieten.
Der Kompromiss erfordert jedoch auch, dass Technologieunternehmen „geprüfte Technologien“ auf Geräten implementieren, um Nachrichten vor der Verschlüsselung und Übertragung auf Bilder, Videos oder URLs zu scannen, die möglicherweise mit bekannten Kindesmissbrauchsinhalten in Verbindung stehen. Diese Unternehmen müssten außerdem künstliche Intelligenz (KI) und maschinelle Lernalgorithmen einsetzen, um bisher unbekannte Missbrauchsbilder zu erkennen.
Bis zum 10. September unterstützten 15 Mitgliedstaaten die dänischen Vorschläge, während sechs noch unentschlossen waren und sechs dagegen waren. Gegnerische Staaten, darunter Belgien, Polen, Finnland und die Tschechische Republik, haben Bedenken hinsichtlich der Massenüberwachung der Kommunikation der Bürger geäußert. Zu den Unterstützern zählen Frankreich, Italien, Spanien und Schweden, während Deutschland noch unentschlossen ist. Die Stimmrechte jedes Mitgliedsstaates sind proportional zur Anzahl seiner Vertreter.
Die dänische Kompromissvereinbarung legt konkrete Anforderungen an die Verschlüsselung fest:
- Öffentlich verfügbare Nachrichtendienste mit Ende-zu-Ende-Verschlüsselung wären erforderlich, um Missbrauchsmaterial vor der Übertragung zu erkennen.
- Anbietern sollte es weiterhin freigestellt bleiben, Dienste mit Ende-zu-Ende-Verschlüsselung anzubieten, und sie sollten nicht verpflichtet sein, Daten zu entschlüsseln oder Zugriff auf Ende-zu-Ende-verschlüsselte Daten zu schaffen.
- Benutzer verschlüsselter Dienste werden gebeten, der Überwachung der von ihnen gesendeten Bilder, Videos und URLs zuzustimmen.
- Benutzer, die nicht zustimmen, können möglicherweise Nachrichten ohne Bilder, Videos oder URLs senden.
- Erkennungstechnologien für Ende-zu-Ende-verschlüsselte Dienste würden von einem EU-Zentrum zertifiziert und getestet, um sicherzustellen, dass ihre Verwendung die Verschlüsselung nicht schwächt.
- Die EU-Kommission hätte die Befugnis, Erkennungstechnologien zu genehmigen.
- Anbieter von Erkennungsdiensten sollten eine menschliche Aufsicht haben, um falsch-positive und falsch-negative Ergebnisse zu reduzieren.
- Erkennungstechnologien dürfen keine „Cybersicherheitsrisiken mit sich bringen, für die es nicht möglich ist, wirksame Maßnahmen zur Minderung dieser Risiken zu ergreifen“.
Gegner der Vorschläge argumentieren, dass „Chat Control“ faktisch eine „verdachtslose“ Massenüberwachung für Hunderte Millionen Europäer einführe. Der offene Brief von Kryptografen und Sicherheitsforschern warnt davor, dass die Erkennung auf dem Gerät, auch bekannt als clientseitiges Scannen, den Schutz der Ende-zu-Ende-Verschlüsselung grundsätzlich untergräbt, ohne einen verbesserten Schutz für Kinder zu gewährleisten.
Sie argumentieren, dass der Erkennungsmechanismus zum Hauptziel von Hackern und feindlichen Nationalstaaten werden würde, die ihn so umkonfigurieren könnten, dass er auf andere Arten von Daten abzielt, beispielsweise auf finanzielle oder politische Interessen. Dies würde die Sicherheit verschlüsselter Messaging-Apps untergraben, die von Politikern, Journalisten, Menschenrechtsaktivisten, EU-Beamten, Strafverfolgungsbeamten und normalen Bürgern verwendet werden.
Die Vorschläge verstoßen „eindeutig“ gegen die Grundsätze der Ende-zu-Ende-Verschlüsselung und schwächen deren Schutz, wodurch das Recht der Öffentlichkeit auf Privatsphäre gefährdet wird. Die Wissenschaftler warnen vor möglicherweise schwerwiegenden Folgen für Demokratie und nationale Sicherheit. Sie behaupten auch, dass die Scan-Technologie von weniger demokratischen Regimen zur Überwachung von Dissidenten und Gegnern oder zur Zensur von Kommunikation genutzt werden könnte, wodurch beispiellose Möglichkeiten zur Überwachung, Kontrolle und Zensur geschaffen würden.
Die dänischen Vorschläge könnten dazu führen, dass gegen eine große Zahl unschuldiger Personen fälschlicherweise ermittelt wird, weil sie Bilder verschickt haben, die fälschlicherweise als verdächtig eingestuft wurden. Die Forscher warnen, dass bestehende Detektoren unannehmbar hohe Falsch-Positiv- und Falsch-Negativ-Raten liefern würden, was sie für groß angelegte Erkennungskampagnen ungeeignet machen würde. Sie argumentieren auch, dass es keinen bekannten Algorithmus für maschinelles Lernen gibt, der illegale Bilder zuverlässig identifizieren kann, ohne eine große Anzahl von Fehlern zu machen.
Der deutsche Anbieter verschlüsselter E-Mails, Tuta Mail, hat erklärt, dass er rechtliche Schritte gegen die EU einleiten würde, anstatt die Privatsphäre seiner Benutzer durch die Einführung von Hintertüren in seinen verschlüsselten Nachrichtendienst zu gefährden. CEO Matthias Pfau glaubt, dass die Vorschläge das Vertrauen in die europäische Technologie untergraben und die Nutzer zu ausländischen Technologiegiganten drängen würden.
Alexander Linton, Präsident der Session Technology Foundation, argumentiert, dass es unmöglich sei, Scans einzuführen, ohne neue Sicherheitsrisiken zu schaffen. Er stellt fest, dass keine der verfügbaren Technologien den Anspruch erfüllt, keine unbeherrschbaren Risiken mit sich zu bringen.
Matthew Hodgson, CEO von Element, einer sicheren Kommunikationsplattform, die von europäischen Regierungen genutzt wird, ist der Ansicht, dass die vorgeschlagene „Chat Control“-Verordnung grundlegend fehlerhaft ist und die Privatsphäre und Daten von 450 Millionen Bürgern gefährden würde. Er argumentiert, dass die Untergrabung der Verschlüsselung durch die Einführung einer Hintertür zum rechtmäßigen Abfangen absichtlich eine Schwachstelle schafft, die ausgenutzt wird.
Hodgson verwies auf eine jahrelange chinesische Hacking-Operation namens Salt Typhoon, bei der Hintertüren der Strafverfolgungsbehörden im öffentlichen Telefonnetz der USA genutzt wurden, um auf Anrufaufzeichnungen und unverschlüsselte Kommunikation von US-Bürgern zuzugreifen. Er stellte fest, dass die USA ihre Bürger daher immer noch dazu drängen, Ende-zu-Ende-Verschlüsselungssysteme einzuführen.
Signal warnte letztes Jahr davor, seinen Messaging-Dienst aus der Europäischen Union zurückzuziehen, anstatt seine Datenschutzgarantien zu untergraben. Callum Voge, Direktor für Regierungsangelegenheiten und Interessenvertretung bei der Internet Society, sagte, dass clientseitiges Scannen Möglichkeiten für böswillige Akteure bietet, Scan-Datenbanken auf Geräten zurückzuentwickeln und zu beschädigen. Er verglich das Scannen auf der Client-Seite damit, dass jemand einem beim Schreiben eines Briefes über die Schulter liest, im Gegensatz zum Brechen der Verschlüsselung, was so ist, als würde man den Umschlag aufreißen.
Voge erklärte, selbst wenn KI-Scans bei der Identifizierung von Missbrauch zu 99,5 % effektiv wären, würde dies jeden Tag zu Milliarden falscher Identifizierungen führen, was möglicherweise das System überfordern und dazu führen würde, dass unschuldige Menschen fälschlicherweise als Personen eingestuft würden, die illegales Material über Kindesmissbrauch weitergeben.
Die Wissenschaftler argumentieren, dass Regierungen, anstatt sich auf eine „technische Lösung“ zu verlassen, in Bildung, Melde-Hotlines und andere bewährte Techniken zur Bekämpfung von Missbrauch investieren sollten. Voge schlägt vor, dass politische Entscheidungsträger Ansätzen Vorrang einräumen sollten, die Kinder schützen und gleichzeitig ein offenes und vertrauenswürdiges Internet fördern. Dazu gehören erhöhte Ressourcen für gezielte Ansätze wie gerichtlich autorisierte Ermittlungen, Metadatenanalyse, grenzüberschreitende Zusammenarbeit, Opferunterstützung, Prävention und Medienkompetenzschulung.
Apple hatte zuvor seine Pläne, clientseitiges Scannen einzuführen, um Kindesmissbrauch auf dem iPhone zu erkennen, aufgegeben, nachdem führende Wissenschaftler ein Papier veröffentlicht hatten, in dem sie feststellten, dass die Versuche des Anbieters weder gegen Kriminalität noch gegen Überwachung wirksam wären.
