• TheFool@infosec.pub
    link
    fedilink
    arrow-up
    9
    ·
    13 days ago
    Ganzer Artikel

    EU-Strafverfolger fordern: Datensparsame Messenger-Dienste sanktionieren

    Die “Going Dark”-Gruppe sieht in ihrem Abschlussbericht besondere Herausforderungen für den “rechtmäßigen” Datenzugang durch Signal & Co. und will Vorratsdaten.

    Stefan Krempl 10:14 Uhr

    Finger über Signal-App mit vier Benachrichtigungen

    (Bild: Camilo Concha/Shutterstock.com)

    Inhaltsverzeichnis

    Die umstrittene Hochrangige Gruppe der EU zum Datenzugang für eine wirksame Strafverfolgung (HLG) hat ihren Abschlussbericht veröffentlicht. Einen Schwerpunkt legt sie darin im Sinne ihres separaten Empfehlungspapiers auf den “rechtmäßigen” Zugang zu Daten von Messenger-Diensten wie WhatsApp, Signal, Telegram oder Threema. Diese “Over the Top”-Anbieter (OTT), die Nutzern Dienste etwa für die Kommunikation direkt übers Internet anbieten, stellen dem Bericht zufolge “für Strafverfolgungsbehörden zusätzliche Herausforderungen dar”. Sowohl auf nationaler als auch auf EU-Ebene seien sie “häufig der Ansicht, dass sie nicht an dieselben Verpflichtungen gebunden sind wie herkömmliche Kommunikationsanbieter”.

    Schwierige Rechtslage

    OTT-Anbieter fallen zwar in den Anwendungsbereich des Europäischen Kodex für die elektronische Kommunikation, schreibt die auch als “Going Dark”-Arbeitsgruppe bekannte HLG in ihrem Resümee. Doch sie seien häufig außerhalb der EU ansässig und unterlägen so keinen allgemeinen Sanktionen. Dies führe zu Unsicherheit hinsichtlich ihrer Auflagen zur Speicherung von Daten. Während herkömmliche Kommunikationsanbieter in den meisten Fällen einige Informationen wie IP-Adressen mit Portnummer für Geschäftszwecke speicherten, die die Identifizierung von Benutzern ermöglichen, sei dies bei OTT-Anbietern nicht der Fall.

    Gleichzeitig trägt den EU-Strafverfolgern zufolge das zunehmende Volumen der bei den Anbietern eingehenden Anfragen, dazu bei, dass diese verzögert oder abgelehnt würden. Eine Ursache dafür seien “spezifische Geschäftsmodellentscheidungen” der Betreiber, etwa bewusst datensparsam zu agieren. Die spärliche Kooperation liege aber auch an der begrenzten Anzahl von Mechanismen für die Zusammenarbeit zwischen Strafverfolgungsbehörden und den privaten Unternehmen.

    Zudem generierten und verarbeiteten zahlreiche neue Technologie-Anbieter und digitale Akteure wie Autohersteller und KI-Systeme mit großen Sprachmodellen Metadaten, ist der HLG nicht entgangen. Auch diese könnten Informationen über kriminelle Aktivitäten liefern. Trotz ihrer zunehmenden Bedeutung seien sie derzeit nicht an die Pflicht zur Datenspeicherung gebunden.

    Sanktionen wie Sperren gefordert

    In der Praxis haben die gängigen OTT-Dienste keine technischen Mechanismen entwickelt, “um auf Anfragen der Behörden der EU-Mitgliedstaaten zur rechtmäßigen Überwachung zu reagieren”, monieren die Experten. Im Gegensatz dazu habe Großbritannien mit dem Investigatory Powers Act einen Rahmen für die rechtmäßige Überwachung von OTT-Kommunikation geschaffen, der dank der Annahme des Datenzugriffsabkommens mit den USA auch für dort ansässige Dienste gelte. Laut den zuständigen britischen Behörden mache dies “einen erheblichen Unterschied bei der Kriminalprävention und -ermittlung”.

    Die Gruppe drängt daher auf die Gewährleistung, dass die Mitgliedstaaten Sanktionen gegen unkooperative Anbieter elektronischer und sonstiger Kommunikationsdienste verhängen können. Instrumente sollten “die Einschränkung ihrer Geschäftsfähigkeit auf dem EU-Markt” – also etwa eine Sperre auf Netz- oder App-Store-Ebene – genauso sein wie Haftstrafen für die Verantwortlichen. Die von der HLG und den EU-Ländern schon seit Längerem verlangte verstärkte Zusammenarbeit zwischen Strafverfolgungsbehörden und Diensteanbietern werde “die Situation bis zu einem gewissen Grad verbessern”. Diese müsse aber auch gesetzlich verankert werden.

    “Lawful Access by Design”

    Die EU-Kommission richtete die Arbeitsgruppe voriges Jahr auf Drängen der Mitgliedsstaaten ein. Ausgangspunkt waren die laufenden Crypto Wars und die damit verknüpfte Debatte über das “Going Dark”-Szenario, wonach die zunehmende durchgängige Verschlüsselung Ermittler blind und taub zu machen droht. Wissenschaftler halten das für einen Mythos, doch Polizei und Justiz wollen das von ihnen ausgemachte “böse Problem” der Verschlüsselung gelöst wissen.

    Vertreter von Strafverfolgungs- und Justizbehörden aus den USA forderten so bei einem Treffen mit Abgesandten der EU-Seite voriges Jahr, mit dem Grundsatz “Lawful Access by Design” den Zugang zu unverschlüsselten Kommunikationsdaten direkt in die Technik zu integrieren. Ein großer Cyberangriff auf solche Überwachungsschnittstellen von US-Providernzeigt indes, welche negativen Folgen dieser Ansatz haben kann.

    Echtzeitzugriff auf Vorratsdaten

    Ziel des Schlussberichts ist es, “die von den Experten identifizierten Herausforderungen detailliert zu beschreiben und Optionen für die Fortsetzung der Arbeit und die Operationalisierung der Empfehlungen aufzuzeigen”. Demnach “bedarf es harmonisierter und kohärenter Gesetze zur Vorratsdatenspeicherung”. Die EU soll dazu auch bis 2025 eine Empfehlung zum Echtzeitzugriff auf anlasslos aufbewahrte Verbindungs- und Standortinformationen herausgeben. Generell sei die “rechtmäßige Überwachung von entscheidender Bedeutung für die wirksame Untersuchung und Verfolgung von organisierter Kriminalität und terroristischen Gruppen”.

    “Die standardmäßige Verschlüsselung von Daten auf Geräten ist eine zentrale Herausforderung” heißt es weiter. Ermittlern bleibe oft keine andere Wahl, “als Schwachstellen auszunutzen”. Solche Ansätze müssten aber mit dem Ziel in Einklang gebracht werden, sicherere Hardware und Software zu gewährleisten. Letztlich bleibt es beim Appell, Diensteanbieter zu verpflichten, Kommunikationsdaten im Klartext herauszugeben. Ein bisschen verschlüsselt gibt es aber genauso wenig wie ein bisschen schwanger. Der EU-Rat sagte im Juli zu, “rechtlich und technisch sichere Lösungen für den Zugriff auf verschlüsselte elektronische Kommunikation im Einzelfall” vorbehaltlich einer gerichtlichen Anordnung zur Verfolgung schwerer Straftaten zu suchen.