Blog

Sep 27, 2023

Das Online-Sicherheitsgesetz und die Rolle der Technologie beim Kinderschutz

31. August 2023 In diesem Papier wird argumentiert, dass das Online Safety Bill (OSB) nicht auf neue Technologielösungen zum Schutz von Kindern vertrauen sollte, ohne deren Mängel gründlich zu analysieren.

31. August 2023

In diesem Papier wird argumentiert, dass das Online Safety Bill (OSB) nicht auf neue Technologielösungen vertrauen sollte, um Kinderschutz zu gewährleisten, ohne deren Mängel gründlich zu analysieren, den Datenschutz-Kompromiss zu bewerten und einen ausgewogenen Schwerpunkt auf Aufklärung und Sensibilisierung zu legen.

Das Papier wurde von BCS, der Fellows Technical Advisory Group (F-TAG) des Chartered Institute for IT, erstellt. Es baut auf bestehenden Positionen rund um End-to-End-Verschlüsselung (E2EE) und clientseitiges Scannen (CSS) auf.

Eine PDF-Version dieser Antwort steht zum Download bereit

Politische Entscheidungsträger benötigen ein besseres Verständnis der durch das OSB aufgeworfenen Technologieprobleme, um unbeabsichtigte Folgen zu vermeiden, wenn der Gesetzentwurf in Kraft tritt.

Die Gesetzgebung sollte nicht nur technische Interventionen, sondern auch Bildung, Schulung von Fachkräften und Programme zur Sensibilisierung der Öffentlichkeit umfassen.

Online-Sicherheitsrichtlinien sollten darauf abzielen, jungen Menschen, ihren Eltern und Beratern ein Verständnis für Risiken und Möglichkeiten zu ihrer Minderung zu vermitteln, anstatt davon auszugehen, dass die Technologie das Entstehen dieser Risiken verhindern kann.

Eine Kompromittierung der Ende-zu-Ende-Verschlüsselung (die von beliebten Messaging-Apps verwendet wird) ist nicht möglich, ohne systemische Risiken mit sich zu bringen und die Telefone von Millionen von Benutzern zu „abhören“.

Es ist noch nicht erwiesen, dass Vorschläge zur Altersüberprüfung den illegalen Zugriff auf Material ausreichend verhindern. Ebenso ist die aktuelle Erkennung von Material zum sexuellen Missbrauch von Kindern (CSAM) äußerst unzuverlässig.

Der internationale Ruf des Vereinigten Königreichs in Sachen Datensicherheit dürfte durch Gesetze, die die Verschlüsselung untergraben, sinken – wie öffentliche Äußerungen von WhatsApp und Signal zeigen.

Der kürzlich veröffentlichte Bericht des Frauen- und Gleichstellungsausschusses „Einstellungen gegenüber Frauen und Mädchen in Bildungseinrichtungen“ hob das Ausmaß der sexuellen Belästigung in Schulen hervor, wobei Online-Pornografie als ein Faktor identifiziert wurde, der dieses Verhalten beeinflusst. Der Bericht fordert die Umsetzung von Maßnahmen, um zu verhindern, dass junge Menschen auf Pornografie zugreifen. In der BBC-Berichterstattung über die Ergebnisse wird das Bildungsministerium mit den Worten zitiert: „Durch das Gesetz zur Online-Sicherheit werden Technologieunternehmen verpflichtet, ihre Altersgrenzen durchzusetzen und zu schützen.“ Kinder davor zu schützen, schädlichen Inhalten im Internet ausgesetzt zu werden“.

Es gibt eine Geschichte, in der Regierungen in der Vergangenheit technische Vorschläge gemacht haben – zum Beispiel Filterung durch Internetdienstanbieter (ISPs) und gescheiterte Versuche zur Altersüberprüfung –, um zu verhindern, dass junge Menschen auf Pornografie zugreifen.

Während Technologen und junge Menschen selbst darauf hingewiesen haben, dass es derzeit einfach ist, im Vereinigten Königreich spezifische Altersverifizierungstechnologien zu umgehen, besteht immer noch die Ansicht, dass technische Eingriffe zur Alterssicherung auf pornografischen Websites den Zugriff verhindern werden.

Die Labour-Abgeordnete Sarah Champion forderte eine Überprüfung virtueller privater Netzwerke (VPNs) durch das OFCOM und die Notwendigkeit, dass die Regierung „Lösungen“ für den Einsatz von VPNs zur Umgehung geografisch gebundener Alterssicherungstechnologien findet.

Eine wirksame Verhinderung des Zugangs von Kindern zu Pornografie muss für Regierung und Gesellschaft Priorität haben. Doch Technologie allein kann den Zugriff auf illegales Material nicht verhindern.

Yoti ist ein in Großbritannien ansässiges Unternehmen, das tokenbasierte Authentifizierungsdienste anbietet – die zweifellos effektiv sind, aber für viele in der Bevölkerung, die möglicherweise keinen Reisepass oder Führerschein besitzen, ihre eigenen Herausforderungen darstellen. Yoti macht nun Fortschritte bei der Nutzung maschinellen Lernens, um das Alter eines Endbenutzers anhand der Gesichtserkennung abzuschätzen. Das Unternehmen behauptete letztes Jahr in einem Whitepaper:

Unsere True Positive Rate (TPR) für 13- bis 17-Jährige, die korrekt als unter 23 Jahre geschätzt wird, beträgt 99,65 %. Dies gibt den Regulierungsbehörden ein sehr hohes Maß an Sicherheit, dass niemand Minderjähriger auf Inhalte für Erwachsene zugreifen kann. Unser TPR für 6- bis 11-Jährige liegt korrekterweise unter 13 Jahren und liegt bei 98,91 %. Unsere Lösung ist so konfigurierbar, dass sie alle Vorschriften erfüllt, die eine vorherige Zustimmung erfordern, bevor die Altersschätzung verwendet wird.

Obwohl diese Zahlen beeindruckend sind und zweifellos eine Steigerung der Wirksamkeit von auf maschinellem Lernen basierenden Schätzsystemen belegen, behaupten sie nicht, dass sie das Alter unter 18 Jahren korrekt schätzen können, sondern eher das Alter unter 23 Jahren. Die anderen im Gesetzentwurf genannten vorrangigen Bereiche sind Terrorismus und Kindersexualität Missbrauchsmaterial (CSAM) und Grooming. Es ist offensichtlich, dass Terroristen und auch organisierte Kriminelle die Aufmerksamkeit und die Ressourcen haben werden, kommerzielle Plattformen einfach nicht für kriminelle Nachrichten zu nutzen, oder dass sie VPNs verwenden werden, um auf alternative Kommunikationsnetze zuzugreifen.

Die technischen Gegenmaßnahmen für verschiedene Arten von Aktivitäten variieren stark, insbesondere in ihrem Grad ihrer Durchführbarkeit und Eindringlichkeit. Beispielsweise erfordert die Erkennung von Grooming-Aktivitäten ein hohes Maß an semantischen und kontextuellen Schlussfolgerungen, sodass es unwahrscheinlich ist, dass technische Lösungen praktikable oder gesellschaftlich akzeptable Ergebnisse liefern, insbesondere im großen Maßstab. Wenn ich zum Beispiel sage „liefere 20 Liter Wasserstoffperoxid“, baue ich dann eine Bombe oder fülle ich meinen Friseursalon auf? Wenn ich sage „Liefere 20 kg Äpfel“, fülle ich dann meinen Obststand wieder auf oder bestelle ich Plastiksprengstoff?

BCS setzt sich dafür ein, dass die Technologie für die Öffentlichkeit von Nutzen ist, und hat zuvor erklärt, dass es von entscheidender Bedeutung ist, dass die Ende-zu-Ende-Verschlüsselung, die sichere private Nachrichten ermöglicht, nicht durch das Scannen persönlicher Kommunikation untergraben wird. Allerdings „sollte die Ende-zu-Ende-Verschlüsselung nicht ohne entsprechende Sicherheitsmaßnahmen eingeführt werden, beispielsweise die Möglichkeit, weiterhin bekannte [CSAM-]Bilder zu erkennen“, sagt die Regierung.

Das Online-Sicherheitsgesetz und Politiker sprechen immer noch davon, dass „akkreditierte Technologien“ zum Abfangen verschlüsselter Nachrichten ohne Auswirkungen auf die Privatsphäre eingesetzt werden.

In einem aktuellen Änderungsantrag des House of Lords wird gefordert, dass eine „fachkundige Person“ „einen Bericht verfasst“, der die Auswirkungen auf die Privatsphäre bewertet, bevor solche Technologien eingesetzt werden. Allerdings sind 70 % der BCS-Mitglieder nicht davon überzeugt, dass es möglich war, sowohl eine wirklich sichere Verschlüsselung als auch die Möglichkeit zu haben, verschlüsselte Nachrichten auf kriminelles Material zu überprüfen. Es ist noch nicht klar, welche Qualifikationen und Beurteilungskriterien diese Fachkraft haben würde.

Für dich

BCS-Mitglieder können die neuesten technischen Briefings und Berichte von F-TAG lesen.

Die Analyse des Potenzials zur Entwicklung solcher Technologien mithilfe von CSS oder homomorpher Verschlüsselung (die Fähigkeit, Berechnungen mit verschlüsselten Daten durchzuführen, die Sie nicht entschlüsseln können) zeigt, dass auf technischer Ebene jede vorhersehbare akkreditierte Technologie die Privatsphäre gefährden würde.

Es müsste als „Bug“ auf jedem Smartphone implementiert werden, das mit der Regierung oder einem Technologieanbieter verbunden wäre. Die Risiken der Einführung einer solchen systemischen Schwachstelle werden wahrscheinlich den spekulativen Nutzen für die Strafverfolgung überwiegen.

Während die Internet Watch Foundation einen Anstieg von CSAM im Internet meldet, ist es auch wichtig zu wissen, dass E2EE seit 2015 deutlich zugenommen hat und nicht zu einem Rückgang der britischen Strafverfolgungen wegen Missbrauchsbildern geführt hat. Dies wird durch eine Studie des Max-Planck-Instituts untermauert, die zeigt, dass eine verstärkte digitale Überwachung in Deutschland nicht zu einem Anstieg der Verurteilungen führte.

Der Kompromiss zum Schutz der Privatsphäre aller Bürger (einschließlich Kinder) muss evidenzbasiert und verhältnismäßig sein.

Der Kompromiss muss auch deutlich machen, dass ein technischer Ansatz, der gegen bereits bekannte CSAM-Bilder wirksam ist, nicht gegen die anderen Arten von Kriminalität wirksam sein würde. Die Technologie, die in der Lage ist, die Weiterverbreitung bereits bekannter CSAM-Bilder zu erkennen, kann nicht einfach zur Erkennung neuer CSAM-Bilder, Grooming und Terrorismus umfunktioniert werden, und es ist unsicher, Gesetze auf der Grundlage der Annahme zu entwerfen, dass dies möglich ist. Auch dies muss bei der Abwägung berücksichtigt werden Auch bei vollständig verschlüsselten Kommunikationssystemen ist eine erfolgreiche Unterbindung vernetzter krimineller Aktivitäten möglich. Es hat sich gezeigt, dass die Polizei grenzüberschreitende Großeinsätze durchführen und dort, wo es nötig ist, in die vollständig verschlüsselte Kommunikation eindringen kann. Zum Beispiel Silk Road, Alpha Bay, Encrochat und Sky ECC.

Andererseits sagen Forscher vom Imperial College London, dass wir die Risiken noch nicht gut genug verstehen, um den Einsatz der CSS-Technologie auf Hunderten Millionen Geräten zu fordern. Das britische National Research Centre on Privacy, Harm Reduction and Adversarial Influence Online (REPHRAIN) stimmt dem zu und fordert im Offenen Brief von Sicherheits- und Datenschutzforschern in Bezug auf das Online die Politiker in Großbritannien auf, „eine unabhängige wissenschaftliche Bewertung in Betracht zu ziehen, bevor sie über den Gesetzentwurf abstimmen“. Sicherheitsgesetz.

WhatsApp, Signal und andere verschlüsselte Kommunikationsplattformen haben den Gesetzentwurf ernsthaft kritisiert und sogar damit gedroht, die Bereitstellung von Verschlüsselung für britische Bürger einzustellen, anstatt sich daran zu halten. Einige Plattformen werden gezwungen sein, entweder den britischen Markt zu verlassen oder die Sicherheit und Privatsphäre aller ihrer Benutzer, einschließlich der Schwächsten, zu gefährden.

Es ist auch wahrscheinlich, dass der internationale Ruf des Vereinigten Königreichs in Bezug auf Datensicherheit und als wirksamer Technologieregulierer darunter leiden wird. Das OSB würde nicht nur den Markt für im Vereinigten Königreich entwickelte Produkte untergraben (sofern bekannt ist, dass sie unsicher sind), sondern das Vereinigte Königreich auch zum schwachen Glied in der grenzüberschreitenden Kommunikation machen.

Belege dafür finden sich im australischen Gesetzesentwurf zum Telecommunications „Assistance and Access“ Act 2018, der zu einem Rückgang der Unternehmensinvestitionen führte. Die Forscher fanden heraus, dass selbst das geringste Misstrauen in die Datensicherheit langanhaltende negative Auswirkungen auf die Wirtschaft eines Landes haben kann.

Zusammenfassend plädiert BCS für einen umfassenden Ansatz zur Online-Sicherheit und betont die Notwendigkeit, nicht nur technische Lösungen, sondern auch Aufklärungs-, Sensibilisierungs- und Datenschutzbedenken zu berücksichtigen. BCS warnt vor einer Kompromittierung der Verschlüsselung und betont, wie wichtig es ist, die Risiken und Auswirkungen der Technologie zu verstehen, bevor Gesetze erlassen werden.

Bildnachweis: Lars Plougmann

vor 9 Stunden

Vor 16 Tagen

Vor 17 Tagen