Mehr als 40 Internetunternehmen aus ganz Europa sowie der Verband European DIGITAL SME Alliance, der 45.000 Unternehmen vertritt, haben sich in einem offenen Brief gegen die Chatkontrolle in der CSA-Verordnung gestellt. Sie fordern die Minister der EU-Länder auf, am 14. Oktober alle Maßnahmen abzulehnen, die die Implementierung von clientseitigem Scannen, Hintertüren oder Massenüberwachung privater Kommunikation erzwingen würden.

Solche Maßnahmen stehen derzeit im Gesetzesvorschlag der dänischen Ratspräsidentschaft. Die Bundesregierung hatte bislang solche Maßnahmen im EU-Rat abgelehnt, sich aber in letzter Zeit nicht mehr zu dieser Position bekannt. Nach Informationen von netzpolitik.org und D64 soll eine Entscheidung der Bundesregierung bis Mittwoch fallen.

Laut den unterzeichnenden Unternehmen mache der Ansatz der dänischen Ratspräsidentschaft das Internet nicht nur für alle unsicherer, sondern untergrabe auch das strategische Ziel der EU, ein höheres Maß an digitaler Souveränität zu erreichen. Das liege unter anderem daran, dass europäische Firmen mit der Chatkontrolle gezwungen würden, ihre Sicherheitsstandards zu untergraben, und sich Nutzer:innen dann anderen Anbietern zuwenden würden, die sich nicht an die Chatkontrolle-Regeln halten müssten. Das wiederum mache Europa abhängiger.

Schwächung der nationalen Sicherheit befürchtet

Zugleich werde die nationale Sicherheit der Staaten in Europa geschwächt, weil durch die Chatkontrolle geschaffene Hintertüren oder andere Scanning-Technologien zu Schwachstellen in der IT führten, die von feindlichen staatlichen Akteuren und Kriminellen ausgenutzt werden könnten, heißt es weiter im offenen Brief.

Der Brief weist zudem darauf hin, dass die Verpflichtung zum Scannen und Durchsuchen insbesondere kleine und mittlere Unternehmen (KMU) stärker benachteiligen würde. „Im Gegensatz zu großen Technologiekonzernen verfügen KMU oft nicht über die finanziellen und technischen Ressourcen, um Überwachungsmechanismen zu entwickeln und zu unterhalten, was bedeutet, dass die Einhaltung der Vorschriften unverhältnismäßige Kosten nach sich ziehen oder zum Marktaustritt zwingen würde“, so die Unterzeichnenden.

„EU muss Verschlüsselung schützen“

Digitale Souveränität könne nicht erreicht werden, wenn Europa die Sicherheit und Integrität seiner eigenen Unternehmen untergrabe, indem es clientseitiges Scannen oder andere ähnliche Werkzeuge oder Methoden vorschreibe. „Um in der globalen digitalen Wirtschaft führend zu sein, muss die EU den Datenschutz, das Vertrauen und die Verschlüsselung schützen“, so die Unternehmen.

Europäische Unternehmen böten ein Höchstmaß an Datenschutz und Privatsphäre, deswegen würden sich Kund:innen für diesen Unternehmen entscheiden und nicht für Big Tech. Die Chatkontrolle würde das untergraben. „Dies wird die europäische Innovation ersticken und die Dominanz ausländischer Anbieter zementieren“, so die Unternehmen.

Die Unterzeichnenden fordern die EU-Minister auf, die Chatkontrolle aus der Verordnung zu nehmen und stattdessen Maßnahmen zum Kinderschutz zu verabschieden, die wirksam und verhältnismäßig sind und mit Europas strategischem Ziel der digitalen Souveränität vereinbar seien.

Zivilgesellschaft mobilisiert gegen die Chatkontrolle

Die Verfasser:innen des Briefes stehen mit ihrer Ablehnung nicht allein. Seit Jahren reden sich Hunderte von IT-Expertinnen und Sicherheitsforschern, Juristinnen, Datenschützern, Digitalorganisationen, Tech-Unternehmen, Messengern, UN-Vertretern, Kinderschützern, Wächterinnen der Internetstandards, Wissenschaftlerinnen weltweit den Mund gegen die Chatkontrolle fusselig. Eine unglaubliche Breite der Zivilgesellschaft lehnt die Chatkontrolle ab, weil sie die größte und gefährlichste Überwachungsmaschine Europas werden würde.

Das Bündnis „Chatkontrolle stoppen“ ruft derzeit dazu auf, für die Abstimmung relevante Personen und Organisationen zu kontaktieren. Das sind vor allem die an der deutschen Positionsfindung beteiligten Bundesministerien sowie die Fraktionen und Abgeordneten der Regierungsparteien im Bundestag. Am besten wirken direkte E-Mails und Telefonanrufe oder auch rechtzeitig ankommende Briefe. Auf der Website des Bündnisses gibt es Tipps und Adressen, um selbst aktiv zu werden.

Gleichzeitig hat das Bündnis eine Last-Minute-Petition gestartet, in der es die Bundesregierung auffordert, sich im EU-Rat gegen die Chatkontrolle zu stellen.

Dokument

Offener Brief an die EU-Mitgliedstaaten zur vorgeschlagenen CSA Verordnung

Sehr geehrte Minister und Botschafter der EU-Mitgliedstaaten,

wir, die unterzeichnenden europäischen Unternehmen, sowie die European DIGITAL SME Alliance – die mehr als 45.000 digitale KMU in ganz Europa vertritt – schreiben Ihnen mit großer Besorgnis über die vorgeschlagene Verordnung zum sexuellen Kindesmissbrauch (CSA). Der Schutz von Kindern und die Gewährleistung, dass jeder in unseren Diensten und im Internet im Allgemeinen sicher ist, stehen im Mittelpunkt unserer Mission als datenschutzorientierte Unternehmen. Wir betrachten den Schutz der Privatsphäre als ein Grundrecht, das das Vertrauen, die Sicherheit und die Freiheit im Internet für Erwachsene und Kinder gleichermaßen gewährleistet. Wir sind jedoch davon überzeugt, dass der derzeitige Ansatz der dänischen Ratspräsidentschaft das Internet nicht nur für alle unsicherer macht, sondern auch eines der wichtigsten strategischen Ziele der EU untergräbt: ein höheres Maß an digitaler Souveränität zu erreichen.

Digitale Souveränität ist die strategische Zukunft Europas

In einer zunehmend instabilen Welt muss Europa in der Lage sein, seine eigene sichere digitale Infrastruktur, Dienste und Technologien im Einklang mit den europäischen Werten zu entwickeln und zu kontrollieren. Die einzige Möglichkeit, diese Risiken zu mindern, besteht darin, innovative europäische Technologieanbieter zu unterstützen.

Digitale Souveränität ist aus zwei Hauptgründen wichtig:

• Wirtschaftliche Unabhängigkeit: Die digitale Zukunft Europas hängt von der Wettbewerbsfähigkeit seiner eigenen Unternehmen ab. Würde man jedoch europäische Dienste dazu zwingen, ihre Sicherheitsstandards zu untergraben, indem sie alle Nachrichten, auch verschlüsselte, mittels clientseitigem Scannen überprüfen, würde dies die Sicherheit der Nutzer im Internet untergraben und den hohen europäischen Datenschutzstandards zuwiderlaufen. Daher werden europäische Nutzer – Privatpersonen wie Unternehmen – und Kunden aus aller Welt das Vertrauen in unsere Dienste verlieren und sich ausländischen Anbieter zuwenden. Dies wird Europa noch abhängiger von amerikanischen und chinesischen Tech-Giganten machen, die sich derzeit nicht an unsere Regeln halten, und die Wettbewerbsfähigkeit der EU mindern.
• Nationale Sicherheit: Die Verschlüsselung ist für die nationale Sicherheit unerlässlich. Die Forderung nach Hintertüren oder anderen Scanning-Technologien schafft unweigerlich Schwachstellen, die von feindlichen staatlichen Akteuren und Kriminellen ausgenutzt werden können und werden. Genau aus diesem Grund haben sich die Regierungen selbst von den vorgeschlagenen CSA-Scan-Verpflichtungen befreit. Dennoch werden viele sensible Informationen von Unternehmen, Politikern und Bürgern gefährdet sein, sollte die CSA-Verordnung verabschiedet werden. Sie wird die Fähigkeit Europas schwächen, seine kritischen Infrastrukturen, seine Unternehmen und seine Bürger zu schützen.

Die CSA-Verordnung wird das Vertrauen in europäische Unternehmen untergraben

Vertrauen ist ein Wettbewerbsvorteil für Europa. Dank der Datenschutz-Grundverordnung und der starken europäischen Datenschutzgesetzgebung haben europäische Unternehmen Dienste entwickelt, auf deren Datenschutz, Sicherheit und Integrität sich Nutzer weltweit verlassen. Dieser Ruf ist hart erarbeitet und verschafft den in Europa ansässigen Diensten ein Alleinstellungsmerkmal, mit dem die großen Tech-Monopole nicht mithalten können. Dies ist einer der wenigen, wenn nicht sogar der einzige Wettbewerbsvorteil, den Europa im Technologiesektor gegenüber den USA und China hat, doch die CSA-Verordnung droht diesen Erfolg zunichtezumachen.

Dieser Gesetzesentwurf würde die europäischen ethischen und auf den Schutz der Privatsphäre ausgerichteten Dienste schaden, indem er sie zwingt, genau die Sicherheitsgarantien zu schwächen, die europäische Unternehmen international auszeichnen. Dies ist besonders problematisch in einem Kontext, in dem die US-Regierung ihren Unternehmen ausdrücklich verbietet, die Verschlüsselung zu schwächen, selbst wenn dies durch EU-Recht vorgeschrieben ist.

Letztendlich wird die CSA-Verordnung ein Segen für US-amerikanische und chinesische Unternehmen sein, da sie Europa dazu bringt, seinen einzigen Wettbewerbsvorteil aufzugeben und die Türen für Big Tech noch weiter zu öffnen.

Widersprüche schwächen Europas digitale Ambitionen

Die EU hat sich verpflichtet, die Cybersicherheit durch Maßnahmen wie die NIS2, den Cyber Resilience Act und den Cybersecurity Act zu stärken. Diese Maßnahmen erkennen die Verschlüsselung als wesentlich für die digitale Unabhängigkeit Europas an. Die CSA-Verordnung darf diese Errungenschaften jedoch nicht untergraben, indem sie systemische Schwachstellen vorschreibt.

Es ist inkohärent, wenn Europa mit der einen Hand in die Cybersicherheit investiert und mit der anderen Hand Gesetze gegen sie erlässt.

Die europäischen KMU werden am stärksten betroffen sein

Kleine und mittlere Unternehmen (KMU) wären am stärksten betroffen, wenn sie verpflichtet würden, clientseitiges Scannen einzuführen. Im Gegensatz zu großen Technologiekonzernen verfügen KMU oft nicht über die finanziellen und technischen Ressourcen, um Überwachungsmechanismen zu entwickeln und zu unterhalten, was bedeutet, dass die Einhaltung der Vorschriften unverhältnismäßige Kosten nach sich ziehen oder zum Marktaustritt zwingen würde. Darüber hinaus bauen viele KMU ihre einzigartige Marktposition darauf auf, dass sie ein Höchstmaß an Datenschutz und Privatsphäre bieten, was insbesondere in Europa für viele ein entscheidender Faktor dafür ist, dass sie sich für ihre Produkte entscheiden und nicht für die Produkte von Big Tech. Eine Verpflichtung zum clientseitigen Scannen würde dieses zentrale Versprechen vieler europäischer Unternehmen untergraben.

Dies wird die europäische Innovation ersticken und die Dominanz ausländischer Anbieter zementieren. Anstatt ein lebendiges, unabhängiges digitales Ökosystem aufzubauen, riskiert Europa, seine eigenen Unternehmen per Gesetz aus dem Markt zu drängen.

Aus diesen Gründen fordern wir Sie auf:

• Lehnen Sie Maßnahmen ab, die die Implementierung von clientseitigem Scannen, Hintertüren oder Massenüberwachung privater Kommunikation erzwingen würden, wie wir sie derzeit im dänischen Vorschlag sehen.
• Schutz der Verschlüsselung zur Stärkung der europäischen Cybersicherheit und digitalen Souveränität.
• Bewahren Sie das Vertrauen, das europäische Unternehmen international aufgebaut haben.
• Stellen Sie sicher, dass EU-Regulierung die Wettbewerbsfähigkeit der europäischen KMUs stärkt, anstatt sie zu untergraben.
• Verabschieden Sie Maßnahmen zum Kinderschutz, die wirksam und verhältnismäßig sind und mit Europas strategischem Ziel der digitalen Souveränität vereinbar sind.

Digitale Souveränität kann nicht erreicht werden, wenn Europa die Sicherheit und Integrität seiner eigenen Unternehmen untergräbt, indem es clientseitiges Scannen oder andere ähnliche Tools oder Methoden vorschreibt, die zum Scannen verschlüsselter Daten entwickelt wurden. Technologieexperten haben erneut bestätigt, dass dies nicht möglich ist, ohne die Verschlüsselung zu schwächen oder zu untergraben. Um in der globalen digitalen Wirtschaft führend zu sein, muss die EU den Datenschutz, das Vertrauen und die Verschlüsselung schützen.

Unterzeichner:

• Blacknight (Irland)
• Commown (Frankreich)
• CryptPad (Frankreich)
• Ecosia (Deutschland)
• Element (Deutschland)
• E-Foundation (Frankreich)
• European Digital SME Alliance (EU-Wirtschaftsverband, der 45.000 KMU in der EU vertritt)
• Anwaltskanzlei Fabiano (Italien)
• FlokiNET (Island)
• FFDN (Frankreich)
• Gentils Nuages (Frankreich)
• Hashbang (Frankreich)
• Heinlein Group (Deutschland)
• LeBureau.coop (Frankreich)
• Logilab (Frankreich)
• mailbox (Deutschland)
• Mailfence (Belgien)
• Mailo (Frankreich)
• Murena (Frankreich)
• Nextcloud (Deutschland)
• Nord Security (Litauen)
• Nym (Frankreich / Schweiz)
• Octopuce (Frankreich)
• Olvid (Frankreich)
• OpenCloud (Deutschland)
• OpenTalk (Deutschland)
• Phoenix R&D (Deutschland)
• Proton (Schweiz)
• Skylabs (Irland)
• SMSPool (Niederlande)
• Sorware Ay (Finnland)
• Soverin (Niederlande)
• Startmail (Niederlande)
• Surfshark (Niederlande)
• TeleCoop (Frankreich)
• The Good Cloud (Niederlande)
• Tuta Mail (Deutschland)
• Volla Systeme GmbH (Deutschland)
• WEtell (Deutschland)
• Wire (Schweiz)
• XWiki SAS (Frankreich)
• zeitkapsl (Österreich)

Einmal im Monat veröffentlicht Google eine neue Version des System-Updates für Android. Die Aktualisierung bringt neue Funktionen auf Smartphones und weitere Produkte des Google-Ökosystems wie Tablets, Uhren, Smart-TVs, Android Auto und Chromebooks, ohne dass ein regelrechtes Android-Update vonseiten der Gerätehersteller erforderlich ist.

Sie werden über die Play-Dienste, den Play-Store und Play-System-Updates auf genannte Gerätekategorien direkt von Google verteilt. Einige Funktionen richten sich an Endnutzer, andere an Entwickler. Laut den Versionshinweisen für das Oktober-Update bringt die am 6. Oktober veröffentlichte Version 25.39 der Google-Play-Dienste Neues für die Kontoverwaltung sowie Sicherheitsfunktionen.

Nacktbild-Erkenung in Messages-App für Videos

Die neue Play-Dienste-Version erweitert außerdem die optionale Funktion „Warnungen zu sensiblen Inhalten“ in der Google-Nachrichten-App auf Geräten mit Android 9 und neuer. Bislang konnte die App nur Fotos auf Nacktheit scannen und eine entsprechende Warnung ausspielen. Nun kann Google Messages auch explizite Nacktbilder in geteilten Videos erkennen. Google betont, dass keine Inhalte hochgeladen würden; die notwendige Bilderkennung erfolgt laut Google ausschließlich auf dem jeweiligen Gerät selbst über den Dienst „Android System SafetyCore“.

Mehr Sicherheit bietet künftig auch der „Bitte nicht stören“-Modus beim Fahren. Google erörtert nicht genau, was neu ist, der Modus wurde aber „verbessert“.

Neues für die Kontoverwaltung

Laut Google zieht mit dem Update der Play-Dienste die Schnellstartfunktion auch in Konten mit Elternaufsicht ein. Ferner bringt die Version neue Designs für die Funktionen der Elternaufsicht. Zudem hat das Profilbild ein neues Design erhalten, schreibt Google.

Für Entwickler bringt Version 25.39 der Play-Dienste neue Funktionen von Google- und Drittanbieter-Apps. Mit diesen sollen sowohl die Kontoverwaltung als auch sicherheits- und datenschutzbezogene Prozesse in Apps unterstützt werden.

Play-Store-Update

Neben den Play-Diensten erhält die Play-Store-App auch ein Update. Die neue Version wird sowohl für Smartphones und Tablets, als auch für Autos, TVs, ChromeOS und Uhren verteilt. Die Neuerungen in Version 48.3 sind indes bei weitem nicht so groß wie das Update vom September, mit dem Google seinem Marktplatz die Registerkarte „Mein Play“ hinzugefügt hat. Bei diesem handelt es sich um einen individuell kuratierten Bereich, vor allem für Spiele. Die Oktober-Version hält lediglich aktualisierte Symbole für Google-Play- Protect-Benachrichtigungen bereit.

Die Updates werden mit der Zeit automatisch eingespielt. Wer die Aktualisierungen möglichst schnell auf dem Gerät haben will, kann die Play-Dienste je nach Hersteller in den Einstellungen entweder unter „Softwareupdates“ oder „Über das Telefon“ > „Android-Version“ > „Google Play-Systemupdate“ auf den neuesten Stand bringen. Der Play-Store selbst kann in den Store-Einstellungen im Punkt „Info“ händisch erneuert werden.

Mit dem September-Update der Play-Dienste hatte Google die Möglichkeit für Pixel-Smartphones eingeführt, zwei Kopfhörer gleichzeitig mit einem Gerät zu verbinden. Hierfür wird LE Audio Auracast eingesetzt.

(afl)

Ein Konglomerat von kriminellen Cybergangs hat eine Leaksite im Darknet veröffentlicht. Dort erpresst es 39 namhafte Unternehmen und droht, aus Salesforce-Systemen kopierte Daten zu veröffentlichen, sollten die Unternehmen kein Lösegeld aushandeln. Zudem droht die Erpressergruppe damit, mit Anwaltskanzleien zusammenzuarbeiten, die zivil- und wirtschaftsrechtliche Ansprüche gegen die Opfer geltend machen sollen.

Auf der Liste der Unternehmen finden sich unter anderem Adidas, ASICS, Cartier, Chanel, Cisco, Disney/Hulu, FedEx, Fujifilm, Google Adsense, HBO Max, Home Depot, IKEA, KFC, Marriott, McDonalds, Puma, Toyota, Stellantis und UPS, aber auch einige Fluglinien sind darunter. Die kriminellen Gruppen arbeiten offenbar unter der Federführung von ShinyHunters zusammen, die Leaksite nennt noch die Cybergang-Namen „Scattered Laspsu$ Hunters“, was neben ShinyHunters auf die Cyberbanden Scattered Spider und Lapsus$ hinweist. Google führt sie unter dem Kürzel UNC6040.

Die einzelnen Einträge zu den Opfern listen auf, welche sensiblen Daten entwendet wurden. Außerdem findet sich dort jeweils ein Beispieldatensatz. Als Frist für die Aufnahme von Verhandlungen haben die Kriminellen Freitag, den 10. Oktober, gesetzt. Ein übergeordneter Eintrag – der vierzigste – wendet sich direkt an Salesforce. Die insgesamt rund eine Milliarde Einträge würden die Täter nicht veröffentlichen, sollte das Unternehmen die Cybergangs kontaktieren und Verhandlungen aufnehmen. Dann müssten auch die einzelnen erpressten Unternehmen nicht mehr zahlen.

Voice-Phishing als Einfallstor

Bereits im Juni hat Google von der kriminellen Gruppe UNC6040 berichtet, die die Google Threat Intelligence Group (GTIG) beobachtet hat. Die kriminelle Vereinigung greift Unternehmen mit Voice-Phishing-Anrufen an und versucht dabei Zugang zu deren Salesforce-Umgebungen zu erlangen. Im Anschluss stiehlt sie dort Daten und erpresst die Unternehmen damit.

Die Angreifer geben sich bei den betrügerischen Telefonanrufen als IT-Support aus und versuchen, Mitarbeiter mittels Social Engineering zu überzeugen, ihnen Zugriff zu gewähren oder sensible Zugangsdaten zu überlassen. In den beobachteten Fällen haben die Angreifer stets die Endnutzer manipuliert, es kam zu keinem Missbrauch von eventuellen Sicherheitslücken in Salesforce. Im Visier stehen demnach meist Mitarbeiter englischsprachiger Zweige von multinationalen Unternehmen.

Googles IT-Sicherheitstochterunternehmen Mandiant hat nun auch einige Handreichungen veröffentlicht, wie Unternehmen sich besser gegen die UNC6040-Angriffe wappnen können. Dazu gehört etwa die Verifikation der Identitäten von Anrufern. Dabei sollten Mitarbeiter keine Annahmen treffen und bei allen sicherheitsrelevanten Anfragen eine Identitätsprüfung vornehmen. Die Verifikation sollte sich zudem nicht auf einen einzelnen Faktor stützen oder unsichere Merkmale nutzen – Google nennt das Geburtsdatum, die letzten vier Ziffern der Sozialversicherungsnummer, frühere Namen oder Namen von Vorgesetzten. Besser sei es, auf Videoanrufe zu setzen und dabei etwa das Vorzeigen von Unternehmensausweisen zu verlangen. Auch Rückrufe unter bekannten Nummern sei eine Möglichkeit. IT-Verantwortliche sollten diese und die weiteren Hinweise in Ruhe studieren.

(dmk)