Der Vorstoß der Europäischen Union, im Sinne des Kinderschutzes möglicherweise die Chats aller Bürgerinnen und Bürger mitlesen zu wollen, sorgt immer wieder für Kritik. Im Mai präsentierte die EU-Kommission ihren Vorschlag für die sogenannte Chatkontrolle, die Whatsapp und Co zur Suche nach Missbrauchsmaterial am Smartphone verpflichten soll. Datenschützer befürchten eine Unterwanderung verschlüsselter Kommunikation. Ein interner Bericht legte zudem nahe, dass die Messenger-Überwachung unzuverlässig wäre.

Welche Folgen es nach sich ziehen kann, wenn Bildmaterial fälschlicherweise als Child Sexual Abuse Material (CSAM) – so der Fachbegriff für Darstellungen des Kindesmissbrauchs – gekennzeichnet wird, zeigt ein Fall in den USA. Weil er eine Infektion am Penis seines Sohns entdeckte, schickte ein Vater mehrere Bilder des Intimbereichs seines Kindes an den behandelnden Arzt. Gleichzeitig dürften die Bilder automatisch mit der Cloud synchronisiert worden sein. Mit verheerenden Folgen, wie die "New York Times" berichtet. Googles Algorithmen kennzeichneten die Fotos als Missbrauchsmaterial, woraufhin sein Account gesperrt wurde und eine Meldung beim Center for Missing and Exploited Children (NCMEC) eingereicht wurde – was wiederum Polizeiermittlungen nach sich zog.

Keine neue Idee

Während die EU zum Scan auf dem Endgerät aufruft, betreiben Konzerne wie Apple und Google bereits jetzt ein System, das ihre Cloud-Dienste auf CSAM durchsucht. Um große Datenmengen überprüfen zu können, wird Bildmaterial automatisch mit einer Datenbank an Hashes abgeglichen. Dabei handelt es sich um eine Art digitale Fingerabdrücke, mit deren Hilfe bekanntes Missbrauchsmaterial erkannt wird.

Die Idee, dieses Prozedere direkt aufs Smartphone zu verlegen, ist in Wirklichkeit nicht auf dem Mist der EU gewachsen. Im Sommer letzten Jahres kündigte Apple an, die Fotos aller iPhone-User auf CSAM scannen zu wollen. Erst nach massiver Kritik legte der Konzern seine Pläne wieder auf Eis, wohl auch deshalb, weil das nun in Verhandlung befindliche EU-Gesetz bereits im Raum stand.

Unzuverlässig

Laut einem internen Bericht der EU-Kommission, den Netzpolitik.org vollständig veröffentlicht hat, wird allerdings die Problematik falsch positiver Ergebnisse aufgeworfen. Das bedeutet, aktuell verfügbare Systeme sind nicht zuverlässig genug, um wirklich nur jene Inhalte zu kennzeichnen, die strafrechtlich relevant sind. Konkret soll die Genauigkeit von Grooming-Erkennungstechnologien bei 90 Prozent liegen, liest man im Bericht. Bei einer Million abgefangener Nachrichten wären demnach 100.000 falsch positiv – die trotzdem zur händischen Auswertung an das geplante EU Centre for Child Sexual Abuse (EUCSA) geschickt würden.

Nicht nur deshalb wäre der Scan direkt am Smartphone problematisch, sind sich Datenschützer sicher. Um dies technisch zu ermöglichen, müssten Messenger höchstwahrscheinlich eine Hintertüre in ihre Apps einbauen, um Nachrichten nach dem Empfangen analysieren zu können. Das würde die Ende-zu-Ende-Verschlüsselung untergraben, die die Nachrichten nur während des Transports absichert. Wurde ein solches System erst mal implementiert, könnte es theoretisch auch für andere Zwecke genutzt werden, warnte zum Beispiel der Chaos Computer Club.

Der von der "New York Times" beschriebene Fall passierte bereits im Februar 2021. Viele Arztpraxen seien damals geschlossen gewesen. Daraufhin habe eine Ordinationshilfe eines Arztes um Bilder der Infektion gefragt. Die Sprechstunde sollte anschließend per Videochat abgehalten werden. Auf Basis der Bilder sei dem Kind anschließend ein Antibiotikum verschrieben worden.

Zwei Tage später erhielt der Vater jedoch eine Benachrichtigung, dass sein Google-Konto wegen "schädlicher Inhalte" deaktiviert worden sei. Diese würden "einen schweren Verstoß gegen die Google-Richtlinien darstellen" und seien möglicherweise illegal.

Zugang verwehrt

Wie "The Verge" berichtet, betreibt Google seit 2018 ein "Content Safety API Toolkit". Dieses soll, zusätzlich zur Abgleichung von Hashes, auch unbekanntes Missbrauchsmaterial erkennen. Allein 2021 meldete der Konzern 621.583 Treffer über die Cyber-Tipline an das NCMEC – das wiederum 4.260 Fälle an die Behörden weiterleitete. Darunter auch der von der "NYT" beschriebene Fall.

Als Google-User verlor der Vater infolgedessen den Zugang zu all seinen Fotos, seinem E-Mail-Account, seinen Kontakten und seiner Telefonnummer. Bis heute ist sein Konto laut den Berichterstattern gesperrt, obwohl die Ermittlungen mittlerweile eingestellt wurden. (mick, 22.8.2022)