EU-Kommissionen lægger nu op til et opsigtsvækkende skifte i datasikkerhed og digitalt privatliv.
Det sker i form af en plan, der skal gøre det muligt for myndigheder at tilgå krypteret kommunikation i fremtiden med eller uden brugernes samtykke.
Det fremgår af en ny strategi, der blev præsenteret i den forgangne uge og har til formål at styrke den europæiske sikkerhedsarkitektur mod trusler som cyberkriminalitet, organiseret kriminalitet og udenlandsk indblanding, skriver The Register.
Men midt i de mange ambitioner i planen, der har fået navn ProtectEU, kan man finde et bestemt punkt, der er særligt kontroversielt.
Her lyder det, at EU i løbet af 2025 vil udvikle en teknisk køreplan for "lovlig og effektiv adgang til data for retshåndhævelse", der blandt andet omfatter krypteret data, mens man i 2026 vil etablere et forskningscenter, der skal udvikle teknologien.
"Problemet er, at vores politiefterforskere mister terræn i forhold til kriminelle, fordi de ikke har adgang til data," sagde Henna Virkkunen, der er kommissær for teknologisk suverænitet, sikkerhed og demokrati i forbindelse med præsentationen af den nye strategi.
En bagdør er en bagdør – også for fjenden
Forslaget betyder reelt, at EU ønsker at indbygge en bagdør i kryptering, som gør det muligt for myndigheder at tilgå data, selv når den er sikret med end-to-end-kryptering.
Sikkerhedseksperter har ellers i årevis advaret om, at enhver ‘bagdør’ i kryptering i princippet kan udnyttes af uvedkommende – og at det derfor i praksis er umuligt at skabe adgang kun for myndigheder.
Det er teknisk umuligt at skabe en bagdør, som kun gode aktører kan bruge, har det lydt gang på gang.
Den verdensførende danske kryptolog Ivan Bjerre Damgård fra Aarhus Universitet har tidligere kaldt et andet EU-lovforslag, der havde til hensigt at bryde brugeres beskeder for at opdage og stoppe spredningen af materiale om seksuelt misbrug af børn online samt grooming af børn online, for "fuldstændig vanvittigt".
Ivan Bjerre Damgårds hovedbudskab var dengang, at tiltaget kun ville have den effekt, at det ville ødelægge almindelige menneskers datasikkerhed og ikke løse problemet, man står med i forbindelse med ulovligt materiale.
"Den slags tiltag er virkelig naive, fordi de (politikerne, red.) forestiller sig, at hvis man nu forbyder kryptering, så vil folk holde op med at bruge kryptering. Men det er jo noget vrøvl. For det er jo kendt, hvordan man krypterer, og hvordan man gør det godt," lød det dengang.
Ifølge Ivan Bjerre Damgård og hans kollega, Diego F. Aranha, der er lektor ved Institut for Datalogi på Aarhus Universitet, så vil sådan en løsning, hvor politi eller andre myndigheder får adgang til krypteret materiale, betyde, at også fremmede efterretningstjenester, cyberkriminelle og autokratiske regimer vil forsøge at udnytte denne adgang.
I EU-planen nævnes det ikke præcist, hvordan adgangen skal implementeres, men blot at der skal ske en ændring af Cybersecurity Act.
Samtidig fremgår det, at Kommissionen i 2026 vil oprette et nyt forskningscenter under EU's Joint Research Centre, der skal arbejde med tekniske løsninger på, hvordan man får adgang til krypterede data – uden at gå på kompromis med sikkerheden.
"Det er noget, vi ikke længere kan tolerere, at vi ikke kan tage os af sikkerheden, fordi vi mangler de rette værktøjer," sagde Henna Virkkunen under præsentationen.
Lignende forslag andre steder
EU er ikke alene om at ville ændre spillereglerne for privatliv i cyberspace.
I Schweiz overvejer regeringen lige nu en lovændring, der vil gøre det muligt for myndigheder at tilgå data uden dommerkendelse.
I dag kan de schweiziske myndigheder få udleveret data på foranledning af en dommerkendelse for visse forbrydelser. Men ifølge det nye lovforslag, så vil der altså ikke længere være behov for en dommerkendelse.
Det har fået den privacy-fokuserede mailtjeneste Proton til at true med at forlade landet.
"Det ville gøre schweizisk overvågning betydeligt strengere end både i USA og EU," advarer Proton-stifter Andy Yen i et interview med den schweiziske avis Der Bund.
Mens både USA og Kina tidligere har overvejet lignende tiltag, har amerikanske myndigheder i praksis givet op på ideen om bagdøre til kryptering.
Risikoen for misbrug og de sikkerhedsmæssige konsekvenser blev vurderet for store, har det blandt andet lydt.
Dog holder Storbritannien fortsat fast i lignende forslag, og med ProtectEU lægger også EU sig nu i forlængelse af den linje, mens man i Australien ventes at gå i fodsporene på Storbritannien og indføre lovgivning, der er inspireret af den britiske.
Ud over ønsket om adgang til krypterede data, så indeholder ProtectEU også en række andre forslag til, hvad EU-Kommissionen vil nå frem mod 2030.
Det lyder blandt andet, at man vil have implementeret kvantekryptering til beskyttelse af kritisk infrastruktur og myndighedskommunikation.
Samtidig skal der ses på hele forsyningskæden for teknologiske nøglekomponenter, så Europa ikke bliver afhængig af enkeltlande eller enkeltleverandører.
Det er et signal med en klar henvisning til den geopolitiske sårbarhed over for Kina og USA, som EU står i på nuværende tidspunkt.
“Sikkerhed er en forudsætning for åbne, dynamiske samfund og en blomstrende økonomi,” udtalte Kommissionsformand Ursula von der Leyen i forbindelse med lanceringen af ProtectEU.
Ifølge planen vil EU også styrke Europol, give politiet moderne digitale værktøjer og investere i cloud-, datacenter- og forsyningskædesikkerhed.
