Die Warnung von Apple, dass FaceTime und iMessage in Großbritannien wegen staatlicher Überwachungspolitik geschlossen werden könnten, trägt zur wachsenden Unzufriedenheit in der Technologiebranche bei
Die Liste der Mainstream-Internetdienste, die in Großbritannien aufgrund von Sicherheitsrisiken im Zusammenhang mit der Regierungspolitik eingestellt werden könnten, ist jetzt länger geworden: Die BBC berichtet, dass Apple damit gedroht hat, den lokalen Zugriff auf seinen Ende-zu-Ende-verschlüsselten (E2EE) Kommunikationsdienst FaceTime zu sperren und iMessage, wenn die Minister nicht über einen Plan zur weiteren Stärkung bestehender (aufdringlicher) Überwachungsbefugnisse nachdenken.
In den letzten Monaten hörten wir ähnliche Warnungen von den zu Meta gehörenden Unternehmen WhatsApp, Signal Messenger und Wikipedia in Bezug auf andere Komponenten der britischen Digitalpolitik, die sie als schädlich für die Interessen ihrer Nutzer ansehen – es ist also keineswegs die erste Warnung, die Briten machen könnten Sie verpassen den Zugang zu Mainstream-Webdiensten, wenn die Minister ihre Herangehensweise an die Technologiepolitik nicht überdenken.
Bei der jüngsten Warnung von Apple geht es um Pläne der Regierung, die den staatlichen Geheimdiensten zur Verfügung stehenden digitalen Überwachungsbefugnisse weiter auszubauen. Letzten Monat kündigte das Innenministerium eine Konsultation zu Änderungen an einem System von Mitteilungen an, die an Kommunikationsanbieter gerichtet werden können, um Benutzerdaten gemäß dem Investigatory Powers Act (IPA) von 2016 aufzubewahren oder abzufangen.
Zu den von den Ministern vorgeschlagenen Änderungen gehört die Anforderung, dass Messaging-Dienste vor der Veröffentlichung Sicherheitsfunktionen mit dem Innenministerium klären müssen. Sie müssten auch sofort auf eine Aufforderung zur Deaktivierung von Sicherheitsfunktionen reagieren – anstatt wie bisher warten zu können, bis eine Prüfung der Anfrage durchgeführt wurde und/oder das Ergebnis eines etwaigen Einspruchs des Unternehmens vorliegt.
Die Regierung argumentiert, dass die Aktualisierungen des Bekanntmachungsregimes notwendig seien, weil „technologische Veränderungen Gefahr laufen, negative Auswirkungen auf die Fähigkeiten unserer Strafverfolgungs- und Geheimdienste zu haben“.
Obwohl es auch behauptet, es sei „verpflichtet, mit der Industrie und anderen relevanten Interessengruppen zusammenzuarbeiten, um vernünftige Vorschläge zu entwickeln, die es Technologieunternehmen und der Regierung ermöglichen, weiterhin die Öffentlichkeit und ihre Privatsphäre zu schützen, Cybersicherheit und Menschenrechte zu verteidigen und technologische Innovationen zu unterstützen.“ “.
Sogenannte „Technical Capability Notices“ – das Instrument, mit dem der britische Staat über das IPA Kommunikationsanbieter gesetzlich anweisen kann, Änderungen an ihren Diensten vorzunehmen, damit staatliche Überwachungsfähigkeiten funktionieren können – gehörten zu den umstrittensten Elementen der Gesetzgebung und gaben Anlass zu Bedenken wiederholt darauf hingewiesen, dass das Gesetz unklar sei, ob Kommunikationsanbieter angewiesen werden könnten, E2EE nicht zu verwenden.
Auf der Suche nach einer Antwort auf Apples Warnung, dass FaceTime und iMessage abgeschaltet werden könnten, wenn die Regierung die geplanten Änderungen an der IPA-Benachrichtigungsregelung durchführt, sandte ein Sprecher des Innenministeriums diese Erklärung – in der darauf hingewiesen wird, dass noch keine Entscheidungen zur Aktualisierung der Befugnisse getroffen wurden genommen:
Die erste Aufgabe der Regierung besteht darin, die Sicherheit des Landes zu gewährleisten, und Ermittlungsbefugnisse sind ein wesentliches Instrument zum Schutz unserer Bürger.
Der Investigatory Powers Act 2016 soll die Öffentlichkeit vor Kriminellen, Kindesmissbrauchern und Terroristen schützen. Unter strenger unabhängiger Aufsicht regelt das Gesetz, wie eingreifende Ermittlungsbefugnisse von Behörden genutzt werden. Wir überprüfen alle Rechtsvorschriften ständig, um sicherzustellen, dass sie so wirksam wie möglich sind, und diese Konsultation ist Teil dieses Prozesses – es wurden noch keine Entscheidungen getroffen.
Die aktualisierten Befugnisse, die die Regierung vorschlägt, stellen laut Apple ein erhöhtes Sicherheitsrisiko für Internetnutzer überall dar. Laut BBC lehnt das Unternehmen laut BBC die Anforderung ab, das Innenministerium über alle Änderungen an Produktsicherheitsfunktionen zu informieren, bevor diese veröffentlicht werden. und lehnt es ab, sofort Maßnahmen zu ergreifen, wenn vom Innenministerium eine Mitteilung zur Deaktivierung oder Blockierung einer Funktion eingeht, anstatt zu warten, bis die Forderung geprüft oder dagegen Berufung eingelegt wurde.
Apple lehnt es außerdem ab, dass nicht im Vereinigten Königreich ansässige Unternehmen Änderungen befolgen müssen, die sich weltweit auf ihr Produkt auswirken würden – etwa die Bereitstellung einer Hintertür für E2EE, so die BBC.
Das Unternehmen teilte dem Sender außerdem mit, dass es keine Änderungen an den Sicherheitsfunktionen eines Landes vornehmen werde, die ein Produkt für alle Benutzer schwächen würden. Und wies darauf hin, dass einige Änderungen die Veröffentlichung eines Software-Updates erfordern würden und daher nicht heimlich vorgenommen werden könnten. In dem Bericht der BBC wird auch Apple zitiert, der den Vorschlag als „eine ernsthafte und direkte Bedrohung für die Datensicherheit und den Datenschutz“ bezeichnet, die Menschen außerhalb des Vereinigten Königreichs betreffen würde
Wir waren nicht in der Lage, den Inhalt der Berichterstattung der BBC mit Apple zu bestätigen, das nicht antwortete, als wir es mit Fragen zu der Geschichte kontaktierten. Der Technologieriese hat sich jedoch kürzlich dafür entschieden, den Sender über seinen Unmut über einen weiteren Teil der (kommenden) digitalen Regulierung des Vereinigten Königreichs zu informieren – in einer Stellungnahme letzten Monat zum Online Safety Bill (OSB) als Risiko für die Verschlüsselung.
Mit der Veröffentlichung kritischer Bemerkungen schloss sich Apple einer Reihe großer Technologiedienste an, die bereits vor den im Gesetzesentwurf enthaltenen Befugnissen gewarnt hatten, die es der Internet-Regulierungsbehörde ermöglichen könnten, Plattformen zur Entfernung starker Verschlüsselung anzuordnen.
Besonders besorgniserregend ist eine Regierungsänderung im letzten Jahr, die den Gesetzentwurf auf einen direkten Kollisionskurs mit E2EE brachte, indem sie vorschlug, dass die Regulierungsbehörde Ofcom befugt sein sollte, Plattformen zu zwingen, Nachrichten auf Inhalte zum sexuellen Missbrauch von Kindern (CSAM) zu scannen – was in diesem Fall der Fall ist von E2EE-Diensten würden wahrscheinlich erfordern, dass sie standardmäßig clientseitiges Scannen (oder auf andere Weise eine Hintertürverschlüsselung) implementieren.
Datenschutz- und Sicherheitsexperten haben sich versammelt, um vor den Sicherheitsrisiken eines solchen Ansatzes zu warnen.
Ebenso wie andere E2EE-Kommunikationsanbieter, darunter WhatsApp und Signal, die vorgeschlagen haben, entweder den Dienst im Vereinigten Königreich nicht mehr anzubieten oder auf die Sperrung durch die Behörden zu warten, anstatt sich an ein Gesetz zu halten, von dem sie glauben, dass es die Sicherheit aller ihrer Benutzer gefährden wird.
Ein weiterer prominenter Kritiker ist die Online-Enzyklopädie Wikipedia. Auch sie hat angedeutet, dass sie aus dem Vereinigten Königreich austreten könnte, wenn die Regierung ihren Ansatz nicht überdenkt.
Die Sorge von Wikipedia um seinen Dienst konzentriert sich auf Maßnahmen im OSB im Zusammenhang mit Altersbegrenzung und Inhaltszensur – angeblich zum Schutz von Kindern –, die ihr Gründer Jimmy Wales als „schlecht für die Menschenrechte“, „schlecht für die Internetsicherheit und ganz einfach“ angegriffen hat „schlechtes Gesetz“.
„Wir würden auf keinen Fall unter allen Umständen eine Alterssperre festlegen oder Artikel selektiv zensieren“, sagte Wales gegenüber TechCrunch, als er gebeten wurde, die Position von Wikipedia zu der Gesetzgebung zu bestätigen, und fügte hinzu: „Wir haben uns dafür entschieden, in China, der Türkei und anderen Orten blockiert zu werden, anstatt Wikipedia zu zensieren.“ , und das ist nicht anders.“
Trotz der Kavallerie der Mainstream-Tech-Industrie und der Kritik von Experten an den OSB-Ministern haben sie ihre Position bisher nur gefestigt und behaupten, die Gesetzgebung sei ein wichtiges Instrument zur Bekämpfung von CSAM und werde auch den Schutz von Kindern und anderen gefährdeten Internetnutzern verbessern.
Sogar Bedenken äußerte der Direktor der Forschungsgruppe, die von der Regierung für eine technische Bewertung einer Handvoll „Sicherheitstechnologie“-Projekte ausgewählt wurde, die im Jahr 2021 im Rahmen eines Wettbewerbs des Innenministeriums zur Entwicklung einer Technologie zur Erkennung von CSAM auf E2EE öffentliche Mittel erhielten Dienste, ohne die Privatsphäre einzubeziehen, scheinen den Ministern keinen Anlass zum Nachdenken gegeben zu haben.
„Das Problem ist, dass die diskutierte Technologie nicht als Lösung geeignet ist“, warnte Awais Rashid, Professor für Cybersicherheit an der Universität Bristol und Direktor des Rephrain Centre, Anfang des Monats in einer Pressemitteilung der Universität. „Unsere Bewertung zeigt, dass die in Betracht gezogenen Lösungen die Privatsphäre insgesamt gefährden und über keine eingebauten Schutzmaßnahmen verfügen, um die Umnutzung solcher Technologien zur Überwachung jeglicher persönlicher Kommunikation zu verhindern.
„Es gibt auch keine Mechanismen, um Transparenz und Rechenschaftspflicht darüber zu gewährleisten, wer diese Daten erhält und für welche Zwecke sie verwendet werden. Das Parlament muss diesbezüglich die unabhängigen wissenschaftlichen Erkenntnisse berücksichtigen. Andernfalls besteht die Gefahr, dass das Gesetz zur Online-Sicherheit einen Freibrief für die Überwachung persönlicher Kommunikation und die Möglichkeit einer uneingeschränkten Überwachung auf gesellschaftlicher Ebene bietet.“
Die Bereitschaft der Regierung, OSB-Kritiker zu ignorieren, könnte auf die Unterstützung der Bevölkerung hinauslaufen, die darauf basiert, dass sie die Gesetzgebung als eine wichtige Maßnahme zur Sicherheit von Kindern darstellt.
Der Widerstand gegen den Gesetzentwurf im Parlament hielt sich ebenfalls in Grenzen, da sich die oppositionelle Labour Party weitgehend hinter die Regierung stellte und den Gesetzentwurf unterstützte. Kollegen in der zweiten Kammer reagierten auch nicht auf Last-Minute-Aufforderungen, die Gesetzgebung zu ändern, um die Sicherheit der Verschlüsselung zu gewährleisten.
Nach einer abschließenden Debatte im Oberhaus gestern Abend gab die Open Rights Group eine Erklärung ab, in der sie warnte, dass es keine Fortschritte bei der Sicherstellung gegeben habe, dass der Gesetzentwurf die Verschlüsselung nicht gefährden könne:
In seiner jetzigen Form wird das Gesetz zur Online-Sicherheit Ofcom die Befugnis geben, Technologieunternehmen zu bitten, unsere privaten Nachrichten im Namen der Regierung zu scannen. Trotz parteiübergreifender Unterstützung zog die Opposition einen Änderungsantrag zurück, der zumindest sicherstellen würde, dass Richter die Kontrolle über diese Befugnisse für die von der Regierung angeordnete Überwachung haben.
Die Regierung behauptet, sie werde die Verschlüsselung schützen, hat jedoch noch keine Einzelheiten dazu angegeben, wie dies möglich ist, wenn diese Befugnisse in Kraft treten. Dies bleibt nun den Technologieunternehmen überlassen, die sich möglicherweise mit Hinweisen auseinandersetzen müssen, in denen sie aufgefordert werden, die Sicherheit ihrer Produkte zu schwächen.
Der Gesetzentwurf muss noch die letzte Phase durchlaufen, in der möglicherweise weitere Änderungen geprüft werden. Doch die Zeit drängt der Regierung, einen direkten Kollisionskurs mit den Mainstream-E2EE-Technologieplattformen zu vermeiden. Bisher ist es lieber, zu behaupten, Ofcom würde E2EE-Unternehmen einfach niemals auffordern, ihre Verschlüsselung zu knacken – ohne Rechtssicherheit zu schaffen, indem es dies im Gesetzentwurf festlegt.
Die Regierung verfolgte im IPA einen ähnlich unscharfen Ansatz in Bezug auf die Verschlüsselung – wobei nicht ausdrücklich klargestellt wurde, ob das Gesetz Kommunikationsanbietern im Wesentlichen die Nutzung von E2EE verbietet, indem es Befugnisse enthält, in denen sie zur Herausgabe entschlüsselter Daten verpflichtet werden könnten. Es gibt also in der Technologiepolitik des Vereinigten Königreichs in den letzten Jahren ein gewisses Muster, bei dem es um starke Verschlüsselung geht.
Was die geplanten Änderungen zur weiteren Ausweitung des IPA-Benachrichtigungssystems betrifft, bleibt abzuwarten, ob Apples bisher größte Drohung – FaceTime und iMessage aus dem Vereinigten Königreich herauszuziehen – den Ministern kalte Füße bereitet oder nicht.
Es ist unwahrscheinlich, dass sich die Überwachungsbefugnisse der Geheimdienste an die britische Öffentlichkeit so leicht verkaufen lassen, wie populistische Behauptungen, sie würden gegen Big Tech vorgehen, um Kinder zu schützen. Bemerkenswert ist jedoch, dass in der Erklärung des Innenministeriums als Reaktion auf die Drohung von Apple die Ergreifung von „Kindesmissbrauchern“ als eine der Aufgaben genannt wird, für die die IPA konzipiert wurde.
Sichere Messaging-Apps sollen warnen, dass das britische Online-Sicherheitsgesetz die Web-Sicherheit gefährdet
Über dem britischen Online-Sicherheitsgesetz zeichnet sich ein Krypto-Exodus ab