„The ‘Misunderstood’ iPhone Child-Protection Features“
Zwei Interviews waren notwendig, um Apples geplante CSAM-Erkennung ab iOS 15 (anfangs nur in den USA) weiter zu spezifizieren1.
Erik Neuenschwander — Apples „Head of User Privacy“ — sagte zu Matthew Panzarino:
If users are not using iCloud Photos, NeuralHash will not run and will not generate any vouchers. CSAM detection is a neural hash being compared against a database of the known CSAM hashes that are part of the operating system image. None of that piece, nor any of the additional parts including the creation of the safety vouchers or the uploading of vouchers to iCloud Photos, is functioning if you’re not using iCloud Photos.
Craig Federighi ergänzte gegenüber Joanna Stern:
“And if, and only if you meet a threshold of something on the order of 30 known child pornographic images matching, only then does Apple know anything about your account and know anything about those images.”
➝ Video
Wie erstrebenswert ein iPhone ohne iCloud-Dienste ist, sei dahingestellt. Meiner Definition von „Gerätehoheit“ bleibt das iPhone treu, wenn man den kompletten Prozess ausschalten kann.
Der Schuss ins eigene Bein bleibt: Die Erkennung von „Child Sexual Abuse Material“ (CSAM) „on device“ untergräbt nicht nur das (Privatsphären-)Verständnis von vielen Leuten (Es ist mein Computer!), sondern auch das eigene Versprechen („Your data. Your choice.“)
Gleichzeitig gibt es einen Unterschied zwischen (Straf-)Verfolgung und (anhaltsloser) Überwachung. Die Erzeugung von NeuroHashes auf allen iPhones, kann man als einen unverhältnismäßigen Eingriff ansehen – als einen vorauseilenden Gehorsam.
Unterm Strich erscheint mir Apples Lösung schlicht „zu clever“. Selbst wenn ihr System gegenüber dem serverseitigen Scannen die Privatsphäre besser schützt (Apple hat keinerlei Einblick in eure komplette Bibliothek!), sie bricht mit einer generellen Unterscheidung zwischen privaten Daten und Daten, die man auf Wolkenspeicher spielt.
Es fühlt sich grundlegend falsch an, wenn das eigene Telefon gegen euch arbeitet – wenn es gegen euch ermittelt. Technisch und kryptografisch ist das vielleicht eine unbegründete Sorge, aber sie ist speziell bei diesem Thema ausschlaggebend. Selbst wenn der Scanning-Prozess einhundertprozentig korrekt funktioniert, was er laut Apples eigener Aussage nicht tut, weil es sonst keinen „Threshold“ von 30 Bildern geben müsste, will ich dieses Thema so weit wie nur möglich von mir persönlich entfernt wissen.
Apple sieht das CSAM-Scanning als Teil des Übertragungsprozesses, der „on device“ stattfindet. Apple will keine Datenbestände und kompletten iCloud-Fotobibliotheken auf seinen Servern durchforsten. Das ist ein valides Argument für einen besseren Schutz der Privatsphäre. Bei der Verfolgung von CSAM-Material sollte an erster Stelle jedoch die Eindämmung bei der Verbreitung stehen – danach kann man dem Besitz nachgehen.
Before I worked in academia, I used to work in [the tech] industry. I worked for about two years building a tool to review CSAM material and detect it. And when I worked on this project, it was very clear from the beginning that the goal was to get it off the servers of the company I was working for. Like — there was no higher goal. We were not going to somehow solve the child pornography problem.
Angriffsszenarien von autoritären Regimen – oder Subpoenas von demokratischen Staaten, über die Apple dann nicht reden darf, halte ich für sehr theoretisch. Es scheint zum jetzigen Zeitpunkt schlicht zu viel Arbeit und gibt für diese staatlichen Akteure genügend andere Mittel und Wege. Wir können nicht einmal überprüfen, auf welche Bilder die Hashwerte der NCMEC-Datenbank verweist.
Nichtsdestotrotz. Egal, wie unwahrscheinlich das Missbrauchspotenzial ist: Apple schafft damit ein System, das theoretisch hintergangen werden kann. Apple kann sich dann nicht mehr auf den (unkomplizierten) Standpunkt stellen: „Wir können da nicht rein!“ Und selbst unter diesen Vorzeichen wurden schon Begehrlichkeiten nach einer Hintertür geäußert. Staatliche Überwachungsorgane fordern auch dann Zugriff, wenn sie wissen, dass es keinen Zugriff gibt.
Im Fall von San Bernardino war Apples Aussage unmissverständlich – egal wie dreist das FBI in der Öffentlichkeit die Tatsachen verdrehte. Mit dem „Child-Prection Feature“ wird nicht nur die Erklärung extrem kompliziert, sondern eine Grundlage geschaffen, die eine Ausweitung nicht ausschließt – zumindest theoretisch. Und das ist bei privaten Firmen, die Rechenschaft gegenüber Anteilseigner:innen ablegen, an unterschiedliche Gesetze in verschiedenen Ländern gebunden sind und dessen Führungsriege jederzeit wechseln kann, schwierig.
Auch wenn Apples Idee also privatsphärenfreundlicher ist, bleibt die (gängige) serverseitige Überprüfung verständlicher. Und wenn etwas verstanden wird, ist die Chance einer Akzeptanz sehr viel höher.