# Pentaradio vom 24. Januar 2023
# Titel: "#Chatkontrolle außer Kontrolle"

Mit Katzenmann, nek0 und Xyrill.

Die News im neuen Jahr beginnen, wie sie im alten Jahr aufgehört haben: Die großen Tech-Konzerne kommen nicht aus ihren alten Marotten, und KI bewegt sich gleichzeitig schneller als gedacht und langsamer als gedacht. Im Thema schauen wir ebenfalls auf etwas, dass sich gerade noch langsam bewegt, aber schnell zum Problem werden kann: das Gesetzvorhaben namens #Chatkontrolle. Aufgezeichnet am 15. Januar 2023.

## Feedback

Von Kai:

> jetzt habt Ihr schon zwei Mal in Folge die Berufsbezeichnung des Software Engineers im Pentaradio gebasht und ich kann Eure Kritik durchaus nachvollziehen: Inhaltsleere Jobbezeichnungen, die nichts mit der konkreten Tätigkeit zu tun haben, braucht niemand. Was mich aber doch gestört hat an Eurer Diskussion ist, dass sie so kurz greift. Software Engineering ist eine wohldefinierte Disziplin, die man (innerhalb eines Informatikstudiums oder vielleicht auch außerhalb davon) studieren kann. Die allgemeinverbindlichste Definition des Software Engineering stammt wohl - interessanterweise - von der IEEE - also einer Vereinigung von ganz klassischen Elektroingenieuren: https://de.wikipedia.org/wiki/Software_Engineering_Body_of_Knowledge. Nun ist es für mich erst einmal nicht ersichtlich, wieso jemand, der Software Engineering im Sinne der IEEE studiert hat, sich nicht auch im Beruf als Software Engineer bezeichnen sollte. Wenn Ihr weiterhin die strikte Trennung zwischen klassischen Ingenieurswissenschaften und angewandter Informatik auch in den Berufsbezeichnungen aufrecht erhalten wollt: Wieso kritisiert Ihr dann nur die Berufsbezeichnung, nicht hingegen die Benennung der Informatik-Teildisziplin namens Software Engineering?
>
> Zum zweiten dreht sich Euer Argument ja vor allem um die Haftung. Für grobe Fahrlässigkeit, die zu Personenschäden führt, müssen laut StGB §222 und §229 wohl alle Menschen haften, also auch Softwareentwickler:innen. Bei „geringeren" Vertragsverletzungen zwischen einer auftragnehmenden Ingenieursfirma und einer auftraggebenden Kundin ist in der Regel ein zivilrechtliches Verfahren zwischen den beiden beteiligten Firmen durchzuführen, das nicht automatisch auf den einzelnen verantwortlichen Mitarbeiter durchgreift. Der Arbeitgeber kann natürlich, bei Vorliegen von mehr als geringfügiger Fahrlässigkeit, einen Teil des Schadens vom Mitarbeiter wieder holen. Aber auch dies gilt wohl nicht ausschließlich für Ingenieure, sondern für alle Arbeitnehmer:innen. Bei klassischen Ingenieuren sind nur regelmäßig die Schadenssummen so hoch, dass eine Haftpflichversicherung dringendst angeraten ist. À propos Haftpflichversicherungt: der Software-Ingenieur ist nicht der einzige Ingenieursberuf, der Ingenieursberuf heißt, ohne dass eine Haftpflichversicherung automatisch vorgesehen ist. Beim Beruf des Wirtschaftsingenieurs ist das wohl auch der Fall. (Hier eine Versicherungswerbeseite, die unter der Überschrift „Diese Ingenieure brauchen eine Berufshaftpflichversicherung" entsprechende Berufe aufführt - was impliziert, dass es im Gegenzug wohl eine ganze Reihe von Ingenieursberufen gibt, für die das nicht zutrifft: https://www.transparent-beraten.de/berufshaftpflichtversicherung/berufsgruppen/ingenieure/)
>
> Mein Fazit: Die Grenze, die Ihr zwischen „echten" Ingenieuren und Softwareingenieuren zieht, scheint mir von Euch zu stark akzentuiert. Eure Stoßrichtung ist aber natürlich unterstützenswert: Mehr Haftbarkeit, mehr Qualität, mehr Qualitätssicherung in die Softwareentwicklung!

## News

* [John Carmack verlässt den Facebook-Konzern](https://archive.ph/Lmu9g)
    * Rückbezüge zu [letztem Monat](https://c3d2.de/news/pentaradio24-20221227.html): Ineffizienzen in großen Organisationen, Ressourcenverschwendung
* apropos Meta: [Facebook überlegt, wie sie weiter ohne informierte Zustimmung spionieren können](https://arstechnica.com/tech-policy/2023/01/facebook-instagram-fined-414m-for-forcing-users-to-consent-to-data-collection/)
    * siehe hierzu: [Pentaradio vom Oktober 2021 zu personalisierter Werbung](https://c3d2.de/news/pentaradio24-20211026.html)
* [FBI empfiehlt Adblocker](https://mastodon.social/@campuscodi/109552634070132484)
* [Ausführliche Analyse der schlechten Security bei LastPass](https://infosec.exchange/@epixoip/109585049354200263)
* ✨KI✨-Update: [Einschätzungen zum aktuellen ChatGPT-Hype](https://twitter.com/fchollet/status/1612142423425138688)
    * Parallele zum Web3-Hype von 2021: "Of course web3 was pure hot air while LLMs is real tech with actual applications \[...] The parallel is in the bubble formation social dynamics, especially in the VC crowd."
* ✨KI✨-Update: [VALL-E von Microsoft soll anhand 3 Sekunden Sample jede Stimme duplizieren können](https://mpost.io/vall-e-microsofts-new-zero-shot-text-to-speech-model-can-duplicate-everyones-voice-in-three-seconds/)
* ✨KI✨-Update (und gute Überleitung zum Themenblock): [Schwarzer US-Amerikaner nach fehlerhafter Gesichtserkennung eine Woche in Haft](https://arstechnica.com/tech-policy/2023/01/facial-recognition-error-led-to-wrongful-arrest-of-black-man-report-says/)

## Musik

* ["That Guy's Sky Is Way Too High", Doctor Turtle (2023)](https://freemusicarchive.org/music/Doctor_Turtle/this-week-in-turtle/that-guys-sky-is-way-too-high/)
* ["Sequoia", SalmonLikeTheFish (2018)](https://freemusicarchive.org/music/SalmonLikeTheFish/Music_for_the_Sleepy_Traveler/04_-_Sequoia/)

## Thema: Chatkontrolle

(Triggerwarnung: Sexueller Missbrauch von Minderjährigen.)

* Deutscher Anwaltverein: ["Bundesregierung muss EU-Pläne zur Totalüberwachung ablehnen"](https://anwaltverein.de/de/newsroom/pm-45-22-chatkontrolle-der-zweck-heiligt-nicht-die-mittel)
    * Deutscher Kinderschutzbund: ["Wir halten \[die vorgeschlagenden Maßnahmen\] für unverhältnismäßig und nicht zielführend."](https://www.eu-info.de/dpa-europaticker/316232.html)
    * Worum geht es hier genau?

* Vorgeschichte, Juli 2021: [Gesetzesänderung erlaubt verdachtslose Durchsuchung privater Nachrichten durch die Kommunikationsdienste-Anbieter](https://www.patrick-breyer.de/chatkontrolle-eu-verordnung-zur-flaechendeckenden-und-verdachtslosen-durchsuchung-elektronischer-nachrichten-angenommen-klage-geplant-widerstand-gegen-ausweitung/)
    * bisher nur für unverschlüsselte Dienste (E-Mail, Skype, XBox-Chats etc.) verwendet

* Plan der schwedischen EU-Innenkommissarin [Ylva Johansson](https://de.wikipedia.org/wiki/Ylva_Johansson): **Verpflichtung** zur Durchsuchung privater Nachrichten
    * offizielle Begründung: [Bekämpfung der sexuellen Belästigung von Kindern](https://ec.europa.eu/commission/commissioners/2019-2024/johansson/blog/fighting-child-sexual-abuse-have-your-say_en)
    * bekanntes Muster: Massenüberwachung wird immer entweder mit "Terrorismus" oder "Kinderpornografie" begründet, damit man die Gegner schön diffamieren kann

* Gesetzesentwurf: [Verpflichtung zum **Client Side Scanning**](https://www.tagesschau.de/inland/innenpolitik/chatkontrolle-innenministerium-101.html)
    * Scanner sollen für Messenger-Dienste verpflichtend werden, um verschlüsselte Nachrichten beim Sender (vor der Verschlüsselung) und Empfänger  (nach der Entschlüsselung) abzufangen
    * Koalitionsvertrag: private Kommunikation soll vom Staat nicht anlasslos und massenhaft gescannt werden -> Dies schließt eine Chatüberwachung eigentlich aus
    * aber: [Innenministerin Nancy Faeser steht auf der Bremse](https://netzpolitik.org/2022/chatkontrolle-partei-jugend-erhoeht-druck-auf-nancy-faeser/)

* Inhalte des [Gesetzesentwurfs](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2022%3A209%3AFIN&qid=1652451192472)
    * Kommunikationsdienste beinhaltet Telefonie, E-Mail, Messenger, Chats (auch in Spielen, Datingportalen etc.), Videokonferenzen
        * Einige Beispiele betroffener Softwarelösungen:
            * E-Mail
            * Jitsi (Textchat, Videochat)
            * Matrix (Textchat, Voicechat, Videochat)
            * XMPP (Textchat, Voicechat, Videochat)
            * Studio-Link (VoIP)
            * und natürlich auch die großen kommerziellen Anbieter: MS Teams, WhatsApp, Facebook, Discord, Telegram, etc.
        * Gefahr: Schwachstellen im Scanner könnten Hackern Zugriff auf private Nachrichten geben
        * selbst ohne Schwachstellen: bei Falschmeldungen hat der Diensteanbieter bzw. der Strafverfolgungsbehörden Zugriff auf persönlichste Bereiche der Lebensführung (gerade auch intime Bilder von Minderjährigen!)
    * Hostingdienste beinhaltet Webhoster, soziale Medien, Video-Streamingdienste, Filehoster und Clouddienste
    * keine Ausnahme für kleine Dienste; alle Dienste betroffen, die "in der Regel gegen Entgelt" angeboten werden oder für kommerzielle Tätigkeiten werben
    * verdachtslose, flächendeckende Durchsuchung bei Diensten, die wahrscheinlich auch für sexuell ausbeutende Darstellungen oder zur Kontaktaufnahme mit Minderjährigen genutzt werden (mit anderen Worten: alle Dienste; wie will man denn das Gegenteil beweisen?)
        * Nutzer wissen nicht, was kontrolliert wird und wie -> keine Sicherheit, dass nur nach CSAM gescannt wird
    * Verpflichtung zum Durchsuchen nach bekannten Bildern und Videos ("Child Sexual Abuse Material", CSAM)
        *  trotz [katastrophaler Fehlerraten (80% Falschmeldungen!)](https://fedpol.report/de/fedpol-in-zahlen/kampf-gegen-padokriminalitat) bei den entsprechenden Erkennungssystemen
    * Verpflichtung zum Durchsuchen auch nach bisher **unbekannten** Bildern und Videos
        * braucht faktisch ✨KI✨, also absehbar noch schlimmere Fehlerraten
        * Problem für Open-Source-Software und kleine/mittelständische Unternehmen: faktische Notwendigkeit von ✨KI✨-Systemen macht alle Softwareentwickler von den Tech-Giganten abhängig
    * Kommunikationsdienste, die für Anbahnungsversuche missbraucht werden können (also alle), müssen das Alter ihrer Nutzer überprüfen (Vorhersage: Live-Deepfake-Software, die dein Webcam-Bild per ✨KI✨ um X Jahre älter macht)
    * Appstores müssen das Alter ihrer Nutzer überprüfen und Minderjährigen die Installation von Apps untersagen, die für Anbahnungsversuche missbraucht werden können (also mindestens alle Messenger und sozialen Netzwerke)
    * Internetanbieter sollen Zugang zu verbotenen und nicht löschbaren Bildern und Videos außerhalb der EU mittels Netzsperren blockieren

* Perspektive
    * Sobald die Technologie für Chatkontrolle vorhanden ist, könnte die Regierung ihre Funktion auf andere Bereiche ausweiten (Drogenhandel, Falschparken etc.)
    * Nur dumme Verbrecher lassen sich fangen, der Großteil bekommt vorher davon Wind und steigt auf andere Dienste ("Darknet") um.
    * Generalverdacht von Millionen von Menschen, um einen kleinen Personenkreis zu überwachen

* Was du tun kannst: [siehe Aktionsseite des EU-Abgeordneten Patrick Breyer](https://www.patrick-breyer.de/beitraege/chatkontrolle/#WasTun)

Quellen:

* [netzpolitik.org: Was 2023 auf EU-Ebene wichtig ist](https://netzpolitik.org/2023/netzpolitik-in-europa-das-wird-2023-auf-eu-ebene-wichtig/)
* [netzpolitik.org (2021): Warum Chatkontrolle gefährlich ist](https://netzpolitik.org/2021/eu-kommission-warum-die-chatkontrolle-so-gefaehrlich-ist/)
* [arxiv.org: "Bugs in our Pockets: The risks of Client-Side Scanning"](https://arxiv.org/pdf/2110.07450.pdf)
* [Pentaradio vom März 2019 zur Urheberrechtsrichtlinie und dem EU-Gesetzgebungsprozess](https://c3d2.de/news/pentaradio24-20190326.html)