Die geplante Chatkontrolle entpuppt sich als Wolf im Schafspelz. Denn Hacker können das System mit seinen eigenen Waffen schlagen.
Die Europäische Kommission plant eine neue Verordnung zur Bekämpfung des sexuellen Missbrauchs von Kindern und Jugendlichen, die sogenannte „Chatkontrolle“. Ein wesentlicher Bestandteil dieses Vorschlags ist die Anforderung an große Messaging-Plattformen, ein „clientseitiges Scanning“ nach Kinderpornografie (CSAM) durchzuführen. Dies führt jedoch nicht nur zu Problemen beim Datenschutz, sondern birgt auch eine unerwartete Gefahr für die IT-Sicherheit: Dieses Vorgehen kann dazu führen, dass Moderationszentren angreifbar werden.
Was bedeutet clientseitiges Scanning?
Beim clientseitigen Scannen wird jede Bilddatei, die über eine Messaging-Anwendung gesendet wird, mit einer Sammlung von Fingerabdrücken (Digests oder Hashes genannt) verglichen. Diese Fingerabdrücke identifizieren bekannte CSAMs und werden verwendet, um mögliche missbräuchliche Inhalte zu bestimmen. Wird eine Übereinstimmung gefunden, wird diese an ein spezielles Moderationszentrum gemeldet, das den Inhalt dann weiter untersucht.
Eine aktuelle Studie zeigt jedoch, dass es Angreifern möglich ist, harmlose Bilder so zu manipulieren, dass sie mit dem Fingerabdruck bekannter kinderpornografischer Materialien übereinstimmen. Dies eröffnet eine gefährliche und bisher kaum beachtete Möglichkeit: Das CSAM-Scansystem könnte verwendet werden, um ein Moderationszentrum „anzugreifen“.
Wenn Hacktivisten das System mit seinen eigenen Waffen schlagen
Hacktivisten oder böswillige Akteure könnten harmlose Bilder erstellen, die nur dazu dienen, den Erkennungsmechanismus zu täuschen, und diese in regelmäßigen Abständen untereinander austauschen. Dadurch würde das Moderationszentrum mit einer Flut von Meldungen über vermeintliche CSAM überlastet, und könnte sogar lahmgelegt, werden.
Voraussetzung für einen solchen Angriff ist die Kenntnis einiger Fingerabdrücke für bekannte CSAM. Obwohl die Strafverfolgungsbehörden die Vertraulichkeit dieser Datenbanken wahren wollen, werden sie auf den Geräten der Nutzer gespeichert. Selbst wenn sie verschlüsselt sind, könnte ein geschickter Angreifer möglicherweise auf sie zugreifen.
Eine alternative Lösung bestünde darin, die Datenbank beim Anbieter zu speichern und ein interaktives privates Abgleichsprotokoll zu implementieren. Dies würde jedoch den Aufwand für den Betreiber erhöhen und ein sicheres Datenmanagement erfordern.
Könnte CSAM zu einem permanenten „Wettbewerb“ zwischen Hacktivisten und Strafverfolgungsbehörden führen?
Eine weitere Herausforderung besteht darin, das Moderationszentrum vor diesen Angriffen zu schützen. Dies ist nicht einfach, da sie schwer abzuwehren sind. Die Möglichkeit, bestimmte Fingerabdrücke aus der Datenbank zu entfernen, ist keine Option, da dies die Erkennung echter Kinderpornografie beeinträchtigen würde.
Eine Lösung könnte darin bestehen, den Scan-Algorithmus so zu erweitern, dass zusätzliche Tests durchgeführt werden, wenn eine Übereinstimmung mit dem Fingerabdruck eines bekannten CSAM gefunden wird. Dies würde zu einem ständigen Wettlauf zwischen Hacktivisten und Strafverfolgungsbehörden führen, bei dem neue „Triggerbilder“ erstellt werden, um die Vorfilterdatenbank zu ergänzen. Es ist jedoch unklar, ob dies eine praktikable Lösung ist.
Datenschutzbedenken und Sicherheitslücken – so kann es nicht funktionieren!
Während der Schutz von Kindern vor sexuellem Missbrauch sicherlich von höchster Bedeutung ist, sollten wir auch die potenziellen Risiken und Schwächen der vorgeschlagenen Sicherheitsmaßnahmen berücksichtigen. Die Möglichkeit, das CSAM-Scansystem in einen Angriff gegen Moderationszentren zu verwandeln, ist ein ernstes Problem, das angegangen werden muss.
Vielleicht sollten wir erst darüber nachdenken, wie solche Bedrohungen angemessen entschärft werden können, bevor wir die Idee der Chatkontrolle weiterverfolgen.
