Seit über drei Jahren streiten die EU-Institutionen über eine verpflichtende Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Die EU-Staaten können sich bisher nicht auf eine gemeinsame Position einigen. Eine Mehrheit der Staaten unterstützt den Plan der Kommission, eine Sperrminorität unterstützt die Kritik des Parlaments. Bisher ist jede Präsidentschaft daran gescheitert, eine Einigung im Rat zu organisieren. Zuletzt scheiterte Polen.

Hohe Priorität für Dänemark

Im Juli hat Dänemark die Ratspräsidentschaft übernommen. Dänemark befürwortet die verpflichtende Chatkontrolle und will das Gesetz mit „hoher Priorität“ behandeln. Gleich am ersten Tag hat die dänische Ratspräsidentschaft einen neuen Gesetzentwurf vorgelegt.

Mitte Juli hat die Arbeitsgruppe Strafverfolgung den Text verhandelt. Wir veröffentlichen ein weiteres Mal das eingestufte Protokoll der Sitzung.

Das bekannte Stimmungsbild

Die polnische Ratspräsidentschaft hatte vorgeschlagen, die Chatkontrolle freiwillig statt verpflichtend zu machen und verschlüsselte Kommunikation auszunehmen. Die dänische Präsidentschaft lehnt das ab und schlägt wieder umfassende verpflichtende Chatkontrolle vor. Dänemark orientiert sich dabei explizit „eng am Text“ von Belgien und Ungarn – und nicht an Polen.

In der Diskussion meldeten sich 20 der 27 EU-Staaten zu Wort. Alle „legten einen umfassenden Prüfvorbehalt ein“. Etwas süffisant formulieren die deutschen Beamten: „Im Übrigen zeigte sich das bekannte Stimmungsbild.“

Wackelkandidat Frankreich

Mehrere Staaten begrüßen und unterstützen den dänischen Vorschlag, darunter Italien, Spanien und Ungarn. Diese Länder fordern von Anfang an eine verpflichtende Chatkontrolle.

Ein Wackelkandidat ist Frankreich. Die Sperrminorität braucht vier Staaten mit 35 Prozent der EU-Bevölkerung. Das geht bisher nur mit Frankreich. Bereits vor einem Jahr hat Präsident Macron mit einer Zustimmung geliebäugelt. Jetzt sagt Frankreich, „den Vorschlag im Grunde mittragen zu können“.

Noch ausstehende Positionierung

Einige Staaten sind zurückhaltend. Belgien hatte letztes Jahr einen ähnlichen Vorschlag gemacht. Jetzt sagt Belgien, die Chatkontrolle von verschlüsselter Kommunikation ist „national ein schwieriges Thema“. Auch Estland berichtet über einen „nationalen Konflikt zwischen den für Sicherheit zuständigen Behörden und den Datenschützern bzgl. Verschlüsselung und Client-Side-Scanning“.

Deutschland lehnt die schlimmsten Inhalte des Gesetzes seit zwei Jahren ab, darunter Scannen verschlüsselter Kommunikation, Umgehung von Ende-zu-Ende-Verschlüsselung und Client-Side-Scanning. Bisher ist noch nicht klar, ob die neue Bundesregierung dabei bleibt. Die deutsche Delegation verweist „auf die noch ausstehende Positionierung“.

Angriffe aus dem Ausland

Andere Staaten lehnen den Vorschlag ab. Polen kritisiert die Verpflichtung zur Chatkontrolle und das Scannen verschlüsselter Kommunikation. Das schwäche die Cybersicherheit und ermögliche „Angriffe aus dem Ausland“. Nutzer zur Einwilligung zur Chatkontrolle zu zwingen, „sei ungültig, da nicht freiwillig“.

In Österreich hat das Parlament vor drei Jahren eine Stellungnahme gegen verpflichtende Chatkontrolle und eine Umgehung von Ende-zu-Ende-Verschlüsselung beschlossen. Die Regierung ist daran gebunden. Deshalb verweist Österreich „auf die bereits bekannte Position“. Die Niederlande schlossen sich Österreich an. Auch Slowenien und Luxemburg sind „noch nicht überzeugt“.

Verstoß gegen Menschenrechte

Der Juristische Dienst des Rats hat vor zwei Jahren ausgearbeitet, dass das geplante Gesetz grundrechtswidrig ist. Die Juristen bezeichnen den aktuellen Vorschlag als „nicht neu“. „Die Kernprobleme des Zugangs zur Kommunikation potenziell aller Nutzer bestehen unverändert.“ Client-Side-Scanning „sei ein Verstoß gegen Menschenrechte und hinge nicht von der Art der Technologie ab“.

Die Juristen verweisen auch auf ein Urteil des Europäischen Gerichtshofs für Menschenrechte von letztem Jahr. Demnach verstößt „eine Schwächung der Ende-zu-Ende-Verschlüsselung, die alle Nutzer beträfe,“ gegen die Europäische Menschenrechtskonvention.

Die EU-Kommission und einige Staaten argumentierten, dass Client-Side-Scanning die Verschlüsselung nicht bricht, sondern nur umgeht. Die Juristen lassen das nicht gelten: Sie entgegneten, „dass es im Kern um die Vertraulichkeit der Kommunikation gehe und nicht darum, ob E2EE gebrochen werde oder ein Verfahren vor Verschlüsselung ansetze“.

Bleibt politische Entscheidung

Nach über drei Jahren Verhandlungen sind alle Argumente ausgetauscht. Die Chatkontrolle bleibt eine politische Entscheidung. Auch wenn führende Wissenschaftler und die eigenen Juristen davor warnen. Dabei könnte es auf die Regierungen in Frankreich und Deutschland ankommen.

Die dänische Ratspräsidentschaft arbeitet weiter. Sie hat bereits schriftliche Kommentare und Anmerkungen eingesammelt und einen zweiten Gesetzentwurf mit minimalen Änderungen vorgelegt. Die nächste Verhandlungsrunde ist am 12. September – nach der Sommerpause.

Hier das Protokoll:

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 15. Juli 2025
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BKAmt, BMI, BMJV, BMF, BMWE, BMBFSFJ, BMDS
• Betreff: Sitzung der RAG Strafverfolgung am 11. Juli 2025
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

Sitzung der RAG Strafverfolgung am 11. Juli 2025

I. Zusammenfassung und Wertung

Schwerpunkt der Sitzung war die erste Aussprache zum am 1. Juli von der DNK Präsidentschaft übermittelten überarbeiteten Kompromisstext. Vor dem Hintergrund, dass das EP eine Verlängerung der Interims-VO nur in Aussicht gestellt hat, sofern eine Einigung im Rat erreicht wird, appellierte Vorsitz an die MS und bat deren Unterstützung. Es bestehe dringender Handlungsbedarf, um eine Regelungslücke zu vermeiden, die dazu führe, dass die Aufdeckung von CSAM rechtlich nicht mehr zulässig wäre.

Alle wortnehmenden MS legten einen umfassenden Prüfvorbehalt ein. Im Übrigen zeigte sich das bekannte Stimmungsbild. Vorsitz zeigte sich verständnisvoll, stellte aber auch fest, dass die meisten MS den Kompromissvorschlag wohl mittragen könnten.

Vorsitz bat um Übermittlung der schriftlichen Kommentare und Anmerkungen zum CSA–VO Kompromissvorschlag bis 18. Juli 2025.

Im weiteren Verlauf der Sitzung informierte KOM über die laufenden Arbeiten zu „Future of Europol“ und zur Umsetzung der Ratsempfehlung grenzüberschreitende polizeiliche Zusammenarbeit (CROLEC).

Vorsitz stellte zudem Planungen zur Bewertung und Priorisierung der RAGS–P Netzwerke vor.

Die nächste Sitzung der RAGS–P findet am 12. September statt.

II. Im Einzelnen

TOP 2: Information by the Presidency

Vorsitz informierte über die ersten technischen Triloge zur VO Schleuserkriminalität. Die Triloge seien sehr konstruktiv verlaufen. Es gäbe jedoch noch offene Fragen, u.a. zur Einrichtung eines Zentrums zur Bekämpfung der Schleuserkriminalität bei Europol und zur Entsendung von Europol Unterstützungspersonal. Vorsitz wies zudem auf die in Kürze stattfindenden Ministertreffen (Ports Alliance und informeller JI-Rat) und eine Podiumsdiskussion des LIBE Ausschuss zu Kinderschutz und Cybersicherheit am 16. Juli hin. Der AStV werde sich ebenfalls am 16. Juli mit dem EU/ECU Abkommen zu Datenaustausch befassen. Abschließend wie Vorsitz noch auf den Fragenbogen OK hin, zu dem die Frist am 16. Juli auslaufe.

TOP 3: Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse (10131/25)

Vorsitz eröffnete die Sitzung mit einer kurzen Zusammenfassung des jüngst vorgelegten Kompromisstextes. Man habe sich eng am Text vorheriger Präsidentschaften (insbesondere BEL und HUN) gehalten, dabei allerdings den Schutz der Grundrechte und der Cybersicherheit verstärkt. Insbesondere vor dem Hintergrund, dass das EP eine Verlängerung der Interims-VO nur in Aussicht gestellt habe, sofern eine Einigung im Rat erreicht werde, hoffe Vorsitz auf Unterstützung durch die MS.

Alle wortnehmenden MS (DEU, NLD, AUT, BEL, FRA, LUX, ESP, POL, HUN, EST, CZE, ITA, LVA, SWE, FIN, IRL, LTU, HRV, PRT, SVN) legten einen umfassenden Prüfvorbehalt ein.

BEL bewertete den Text als an den BEL Vorschlag angelehnt, aber deutlich überarbeitet. Der Text nähere sich einer Einigung an. Die Einbeziehung von Ende-zu-Ende-verschlüsselter (E2EE) Kommunikation sei national ein schwieriges Thema, aber man gehe davon aus, nach dem Sommer eine Positionierung vortragen zu können.

FRA trug vor, den Vorschlag im Grunde mittragen zu können, insbesondere auch in Bezug auf die Verlängerung der Interims-VO – unterstützt von SVK, LUX, ESP. Verpflichtende Aufdeckungsanordnungen (AO) – unterstützt von ITA, HUN, LVA, SVK, BGR – und Risikokategorisierung würden begrüßt. Zudem begrüße man ausdrücklich den Zertifizierungsmechanismus für Aufdeckungstechnologien, da so Risiken und technischen Bedenken begegnet werden könne. Kritisch bewertet würde lediglich der Wegfall des Hit-Systems, da weiterhin eine Überlastung des EU-Zentrums mit Meldungen zu befürchten sei.

CZE verwies auf bevorstehende Wahlen, eine Positionierung sei daher derzeit nicht möglich. Man werde aber versuchen, einen Kompromiss zu finden.

FIN bewertete den Vorschlag als eher problematisch, gab aber an, die internen Prüfungen noch nicht abgeschlossen zu haben.

ITA begrüßte den Vorschlag ausdrücklich, auch den Ausschluss von Audiokommunikation und Grooming. Der Vorschlag sei ein guter Weg, der den Erwartungen genüge. AOs von Nicht-Justizbehörden sehe man aber kritisch, diese sollten Justizbehörden vorbehalten bleiben.

Auch POL begrüßte den schnell vorgelegten Vorschlag vor dem Hintergrund der drohenden Regelungslücke und unterstützte ausdrücklich das Ziel der VO. Man könne diesem jedoch nicht zustimmen, insbesondere aufgrund des mangelnden Schutzes der Privatsphäre durch verpflichtende AOs und die Einbeziehung verschlüsselter Kommunikation in den Anwendungsbereich aufzunehmen. Vor allem im Hinblick auf Cybersicherheit und entsprechende Angriffe aus dem Ausland sei Vorsicht geboten. Die angedachte Einwilligung durch den Nutzer zur Anwendung von Aufdeckungstechnologien sei ungültig, da nicht freiwillig. POL bat um Einschätzung des Vorschlages durch JD-Rat – unterstützt von LUX, EST, AUT, NLD.

HUN bezeichnete den Vorschlag ebenfalls als Schritt in die richtige Richtung und begrüßt ausdrücklich die Überprüfungsklausel bzgl. Grooming sowie die Streichung der verzögerten Meldungen (hit).

Vorsitz führte aus, dass der Ausschluss von Audiokommunikation und Grooming darin begründet sei, dass die Aufdeckungstechnologien diesbezüglich noch nicht ausgereift seien, eine Überprüfung alle 3 Jahre daher angemessen sei.

ESP, LTU, CYP, LVA und HRV unterstützen den Text ausdrücklich.

LUX zeigte sich noch nicht überzeugt, es seien noch Fragen offen bzgl. Verhältnismäßigkeit der AOs, Client-Side-Scanning und dem Einwilligungsprinzip.

IRL begrüßte die Schutzklauseln zur Cybersicherheit, den Schutz der Verschlüsselung und die Risikokategorisierung.

Auch für LVA stellte sich der Vorschlag als sehr ausgewogen dar. Er führe zu einem klaren Mehrwert. Grooming dürfe zwar gern im Anwendungsbereich enthalten sein, LVA sei aber im Sinne einer Kompromissfindung mit der Überprüfungsklausel ebenfalls einverstanden.

SVK begrüßte die ehrgeizige Stoßrichtung des Vorschlages, insbesondere die Einbeziehung bekannten und neuen CSAMs und die Stärkung der Cybersicherheit.

EST berichtete über den nationalen Konflikt zwischen den für Sicherheit zuständigen Behörden und den Datenschützern bzgl. Verschlüsselung und CSS. Daher könne man derzeit keine positiven Signale senden.

AUT verwies auf die bereits bekannte Position und die bindende Stellungnahme des AUT Parlaments.

NLD schloss sich AUT an und zeigte sich besorgt wegen verpflichtender AOs bzgl. neuem CSAMs und in Bezug auf CSS und dessen Auswirkungen auf die Cybersicherheit.

Für DEU wurde weisungsgemäß auf die Dringlichkeit der Weiterverhandlung vor dem Hintergrund der auslaufenden Interims-VO im April 2026 und gleichzeitig auf die noch ausstehende Positionierung hingewiesen.

SWE begrüßte die vorgesehenen Regelungen zur Verschlüsselung und sieht die Cybersicherheit verbessert und genügend abgesichert. SWE müsse aber noch das Parlament befassen.

PRT zeigte sich dem Vorschlag gegenüber sehr positiv eingestellt, habe aber zum Thema Verschlüsselung noch Bedenken hinsichtlich der Effizienz.

Vorsitz führte zur Frage der technischen Möglichkeiten aus, dass auch Text und Ton möglich wären, der nötige Aufwand aber deutlich höher sei und auch grundrechtsschonende Regelungen schwieriger auszugestalten.

SVN legte PV ein, die verpflichtenden AOs könnten allerdings unverhältnismäßig sein und die Einbeziehung von E2EE problematisch.

Vorsitz stellte nochmals klar, dass E2EE voll geschützt werde. AOs müssten greifen, bevor überhaupt verschlüsselt werde.

HRV würde gern Grooming einschließen, ist aber zufrieden, dass E2EE im Anwendungsbereich liegt. Auch HRV betonte, dass es wichtig sei, keine Regelungslücke entstehen zu lassen.

JD-Rat führte aus, dass der Vorschlag nicht neu sei, die Kernprobleme des Zugangs zur Kommunikation potenziell aller Nutzer bestehe unverändert. Dieser müsse immer gesetzlich legitimiert werden. CSS sei ein Verstoß gegen Menschenrechte und hinge nicht von der Art der Technologie ab. Ein Urteil des EGMR aus 2024 mache deutlich, dass eine Schwächung der E2EE, die alle Nutzer beträfe, ein Verstoß gg. Art. 8 MRK darstelle und eine solche nur in konkreten Einzelfällen legitimiert werden könne. Auch eine Zustimmung des Nutzers sei an rechtliche Kriterien gebunden. Zentrales Kriterium sei hier die Freiwilligkeit, von der aber nur ausgegangen werden könne, wenn durch eine Nichtzustimmung keine Nachteile entstünden.

FRA – unterstützt von BEL und ITA – fragte an JD-Rat gerichtet, warum CSS die Verschlüsselung schwächen solle, diese werde ja nicht aufgebrochen. ITA sah die VO ohne Einbeziehung E2EE als einen zahnlosen Tiger.

JD-Rat entgegnete, dass es im Kern um die Vertraulichkeit der Kommunikation gehe und nicht darum, ob E2EE gebrochen werde, oder ein Verfahren vor Verschlüsselung ansetze.

Laut Vorsitz dürfe das ins Feld geführte Urteil nicht außer Acht gelassen werden. Es müsse aber klar sein, dass dieses lediglich einen Einzelfall beurteile (Klage gegen RUS). Generell müsse ein Gleichgewicht gefunden werden, wenn gesetzliche Vorgaben gemacht würden.

ESP wendete ein, dass es paradox sei, dass ein Scannen auf Viren und Malware kein Problem darstelle, auf CSAM aber schon.

KOM sah den Text als gute Grundlage für weitere Diskussionen und einen wirksamen Kompromiss. Man hätte jedoch bevorzugt, Grooming direkt einzubeziehen, da sich die Zahlen verdreifacht hätten und die Gefahr für Kinder und Jugendliche massiv ansteige.

Zum angeführten Urteil stellte KOM klar, dass es sich dabei um die Klage gegen eine russische Gesetzgebung handelte, mit der Anbieter verpflichtet wurden, direkten Zugang zu jeglicher – auch verschlüsselten – Internetkommunikation ohne Schutzvorkehrungen zu gewährleisten. Das habe inhaltlich weder etwas mit KOM Vorschlag, noch mit DNK Vorschlag gemeinsam. In dem Moment, in dem CSS ansetzt, seien die Daten eben gerade noch nicht verschlüsselt. Das Gleiche passiere flächendeckend im Kontext Spamschutz und Malware.

Vorsitz bat um Übermittlung der schriftlichen Kommentare und Anmerkungen bis 18. Juli 2025, auf deren Grundlage dann weiter am Text gearbeitet werde.

[…]

Ohne DNS geht im Internet nicht viel. Die Auflösung von sprechenden Host- und Domainnamen zu schwer merkbaren IP-Adressen erleichtert den Zugang zum Netz ungemein und macht das Web in der heutigen Form erst möglich. Doch das Domain Name System ächzt unter der Last seiner Verantwortung: Die über unverschlüsselte und leicht fälschbare UDP-Pakete übertragenen DNS-Daten stellen ein Sicherheitsrisiko dar. Das soll DNSSEC beheben, die Domain Name System Security Extensions: Indem alle Antworten eines Nameservers digital signiert werden, sind Fälschungen leicht erkennbar.

Doch in der Praxis lauern viele Tücken, allen voran die zusätzliche technische Komplexität. Dass DNSSEC aber entgegen häufig propagierter Gerüchte gar nicht mehr fehleranfällig ist, erläutert der Podcast-Gast in dieser Folge, Peter Thomassen. Er ist einer der Gründer von deSEC, in der IETF zu DNSSEC aktiv und vereint tiefes technisches mit organisatorischem Wissen. Ideale Voraussetzungen, um Christopher, Sylvester und vor allem den Hörern die Tücken, das Potenzial und den aktuellen Stand von DNSSEC nahezubringen.

Leicht umzusetzen, zu wenig Automatisierung

Zuvorderst steht die Erkenntnis: Wer keine eigenen Domains verwaltet, bekommt von DNSSEC meist nichts mit. Die Sicherheitserweiterungen verrichten ihre Arbeit im Hintergrund, kein grünes Häkchen oder Schloss-Symbol im Browser verrät ihre Existenz. Nützlich sind die dennoch und Domaininhaber sowie IT-Verantwortliche können mit einigen Handgriffen ihre eigenen Domains mit DNSSEC absichern.

Das eröffnet ihnen neue Möglichkeiten, etwa den Einsatz von DANE – DNS-based Authentication of Named Entities. Bei diesem Verfahren werden die Schlüssel digitaler Zertifikate im DNS hinterlegt und der übliche Vertrauensanker, die Zertifizierungsstelle (CA), wird überflüssig. Aber auch aus Compliance-Gründen kann DNSSEC sinnvoll sein, obgleich es derzeit in wenigen Standards explizit vorgeschrieben ist.

In einem Bereich ist das CA-Ökosystem den DNS Security Extensions jedoch einige Jahre voraus, so Experte Thomassen: der Automatisierung. Ließen sich Vorgänge rund um die DNSSEC-Absicherung von Domains leichter automatisch abwickeln und würden sie etwa von Hostern und Domainprovidern standardmäßig vorgenommen, könnte DNSSEC sich schneller durchsetzen und so die Sicherheit im Internet erhöhen.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(cku)

Am Donnerstag hat die Orange-Tochter Orange Cyberdefense die Übernahme des schweizerischen Mitbewerbers Ensec verkündet; einen Tag später hat Orange einen erfolgreichen IT-Angriff auf die eigene Infrastruktur bemerkt. Als Reaktion hat der französische Telecom-Konzern infizierte Bereiche isoliert, was Störungen bei „bestimmten Management-Diensten und Plattformen für einige unserer Geschäftskunden sowie einigen Diensten für Verbraucher, vorwiegend in Frankreich“ verursache.

Das hat Orange am Montag bekanntgegeben. An dem Tag hat der Konzern auch Anzeige erstattet. Bis Mittwochvormittag sollen wieder alle Systeme laufen. „In diesem Stadium der Untersuchung gibt es keinen Beweis, der darauf hindeutet, dass irgendwelche internen Daten oder Kundendaten ausgeleitet worden sind“, teilt das Unternehmen noch mit.

Aus vermeintlich „offensichtlichen“ Gründen lehnt Orange jeden weiteren Kommentar ab. Damit bleibt unklar, ob Orange überhaupt Systeme hatte, die die Ausleitung von Daten bemerken und Alarm schlagen würden. Auch können andere Unternehmen nicht aus Oranges Fehlern lernen, was für die Täter von Vorteil sein mag.

Zukauf in der Schweiz

Seit 2022 ist Orange Cyberdefense in der Schweiz tätig und bietet dort insbesondere proaktive Sicherheitslösungen feil. Zum Stichtag 23. Juli hat der Unternehmen den Zürcher Anbieter Ensec mit 40 Experten für IT-Sicherheit übernommen. Sie stoßen nun zu den rund 100 schweizerischen IT-Mitarbeitern der Orange Cyberdefense hinzu.

Das soll laut Mitteilung die Marktposition des Unternehmens in der Deutschschweiz stärken. Finanzielle Details der Übernahme verraten die Beteiligten nicht.

Orange ist einer der größten Telecom-Konzerne der Welt. Stand Dezember 2024 betreuten 127.000 Mitarbeiter 291 Millionen Kunden in 26 Ländern.

(ds)