Technologiepaternalismus

Kleine Geldbeträge gehören in die Schublade und nicht in einen teuren Tresor:

»In der Nacht zum Donnerstag sind Unbekannte in ein Freibad in Bad Hersfeld eingebrochen. Sie knackten den Tresor und verschwanden mit der Beute.

(…)

In dem Tresor befanden sich mehrere hundert Euro Bargeld. Die Täter entkamen mit der Beute. Der Sachschaden beträgt mindestens 6.500 Euro.«

(HR: Einbruch: Tresor in Schwimmbad ausgeräumt)

Das ist allerdings ein Einzelfall, den wir obendrein noch rückwirkend betrachten. Welches Risiko der ängstliche Tresorbenutzer und der unbekümmerte Schubladenverwender jeweils insgesamt eingehen, wäre noch zu überlegen.

Das Spamgeschäft ist krisenfest – wenn die Spammer ihre Angebote der Nachfrage anpassen. Aktienspam funktioniert gerade nicht so gut, dafür sind Viagra, Uni-Abschlüsse und gefälschte Rolex-Uhren gefragt, meldet die Welt.

Die NZZ von gestern (2009-05-15) erklärt uns die Mechanismen, die vom Gedankenspiel eines Wissenschaftlers zur landesweiten Panik mit einigen Hundert Todesopfern führen können. Als Beispiel dient die Schweinegrippe – nicht jene aktuelle, die gerade in den Randspalten versickert, sondern die von 1976. Damals kam es in den USA zu einer großen Impfkampagne. Sie war wahrscheinlich unnötig, hatte aber vereinzelt Nebenwirkungen , die sich zu einigen Hundert Toten summierten.

Neben einigen Zufällen lagen die Ursachen im CYA-Bias von Behörden und Politik, der auf wilde Spekulationen eines Wissenschaftlers traf. Wobei sich die Spekulation im Rahmen des Zulässigen bewegte. Zeitreihenanalyse nennt man es, wenn man nach Mustern in einem Zeitverlauf sucht und diese in die Zukunft projiziert. Das kann interessant sein, aber zu mehr als zur Hypothesenbildung taugt es kaum. Schlecht, wenn es alle für bare Münze nehmen, nur weil es in der Zeitung steht und den Stempel Wissenschaft trägt.

Das Fazit des Artikels:

»Angesichts der unheilvollen Dialektik von voreiliger Aufregung und nachträglicher Beschwichtigung scheint eine zentrale Aufgabe der Zukunft darin zu bestehen, nicht nur exzellente Universitäten zu schaffen, sondern auch besonnene Wissenschaften zu ermöglichen, die zur Absicherung ihrer Erkenntnisansprüche keiner Mobilisierung von Ängsten bedürfen.«

(NZZ: Unbezwungene Ungeheuer, Die Schweinegrippe und die Konjunkturen des Schrecklichen)

»Falls ich übrigens morgen ein Institut zur Bekämpfung der öffentlichen Gesundheitsgefährdung durch Igelbisse gründe und dieses Institut mit zehn Planstellen ausrüste, dann werde ich jedes Jahr eine Studie bekommen, die vor der wachsenden Gefahr durch aggressive Igel warnt. Alles andere wäre ja auch ziemlich dumm von den Mitarbeitern des Institutes.«

(Harald Martenstein im Zeit-Magazin)

Kürzlich deutete ich in ein paar Nebensätzen die Möglichkeit an, Computerwahlen nicht tatsächlich zu fälschen, sondern eine Fälschung lediglich zu behaupten. Die Intransparenz wesentlicher Abläufe würde dafür sorgen, dass solche Anschuldigungen zwar nicht per se glaubwürdiger, aber schwerer zu widerlegen wären. Nun tut die CIA genau dies für einige der üblichen Verdächtigen, darunter zum Beispiel Venezuela. Kann ja sein, dass die Berichte alle korrekt sind, aber wenn ein Geheimdienst etwas verbreitet, weiß man nie so genau, was die Ziele sind und wieviel vom Gesagten wahr ist.

Merkel with phone

Morgen will T-Systems das Merkelphone präsentieren. Aber wenn man heise glauben schenken darf, dann darf Merkel das Ding nicht benutzen. Denn das Ding ist ja angeblich nur für VS-NfD (Verschlussache Nur für den Dienstgebrauch) bestimmt. Frau Merkel, Herr Schäuble, deren Stab, ja auch Roland Koch und seine Minister haben aber mitunter Unterlagen zu bearbeiten, die einer höheren Geheimhaltungsstufe unterliegen. Dafür ist das SIMKO2-Handy dann gar nicht zugelassen. Überhaupt viel spannender ist doch, wie die Abhörpflicht umgesetzt wird.  Müssen Politiker dann ihre BlackBerrys abgeben wie Obama? Vielleicht verrät Arnold Schwarzenegger Frau Merkel heute Abend auf der CeBIT-Eröffnung, wie der Staat Californien mit Geheimnissen umgeht.

Heise-Meldungen zu verbloggen ist blöd, weil die sowieso jeder liest, der sich für ein Blog wie dieses interessieren könnte. Bei dieser kann ich jedoch nicht widerstehen, sie passt zu gut ins Beuteschema:

»Die Antiviren-Programme von Bitdefender und GData haben mit einem Signatur-Update von heute auf XP-Rechnern die Datei “Winlogon.exe” als Trojaner (Trojan.Generic.1423603) ausgemacht und haben diese bei entsprechender Voreinstellung kurzerhand gelöscht.

(…)

Ein Leser schilderte heise online, dass der Fehler von heute in einem mittelständischen Unternehmen zu einem regelrechten Chaos geführt hat: In sämtlichen 20 Filialen der Firma mussten Administratoren an die Rechner, um den Schaden zu beheben.«

(Heise Online:
Bitdefender und GData löschen Winlogon-Systemdatei)

Ich neige mehr und mehr der Ansicht zu, dass Antivirus-Programme auf professionell betriebener IT nichts zu suchen haben. Zumindest nicht so flächendeckend, dass sie eine ganze Firma herunterfahren können. Von mir aus mag man sie an geeigneter Stelle als IDS-Komponente benutzen, aber auf allen Arbeitsplätzen? Da nützen sie wenig, wenn die IT-Sicherheit insgesamt stimmt. Meine Arbeitsumgebung ist vielleicht nicht repräsentativ, aber bei mir läuft seit Jahren so ein Ding mit und es hat nie angeschlagen. Ob das ein gutes, ein schlechtes oder gar kein Zeichen ist, diskutieren wir ein andermal; vor irgend etwas geschützt hat mich die Sicherheitssoftware jedenfalls offensichtlich nicht. Wenn zur Nutzlosigkeit noch Schäden kommen, muss man wohl davon abraten.

De-Mail: unter diesem seltsamen Namen soll in Zukunft eine sichere Kommunikationsinfrastruktur zur Verfügung stehen. Das sieht zumindest ein Gesetzentwurf vor, den die Bundesregierung gestern verabschiedet hat. Betreiber sollen Unternehmen sein, beaufsichtigt vom BSI, und benutzen sollen es – vorerst freiwillig – wir alle.

Für die herkömmliche E-Mail ändert sich nichts. Zusätzlich zu dieser bewährten Infrastruktur erhalten wir aber die Möglichkeit, die ganzen selten benutzten Sonderfunktionen des Postzeitalters im Netz zu nutzen: Einschreiben, Ausweis zeigen, Porto zahlen. Ja, Porto. Was wir dafür bekommen, ist Sicherheit. Lehrbuchsicherheit, um genau zu sein, das heißt Mechanismen, die formale Probleme formal lösen. Ein realitätsbezogenes Bedrohungsmodell gibt es nicht, sondern man wird Sicherheitsmechanismen aus dem Lehrbuch zusammensetzen zu etwas, das dann vor den Bedrohungen schützt, vor denen die gewählten Mechanismen eben schützen. Was alten Männern mit Kugelschreibern eben so einfällt, wenn sie in einem Wahljahr beweisen wollen, für wie modern sie sich halten.

Wir könnten uns zurücklehnen und abwarten, bis De-Mail den Weg aller nach Lehrbuch und allein auf formale Sicherheitsanforderungen hin entworfenen Dienste geht. Wohin er führt, das zeigen uns unter anderem HBCI, diverse Bezahlverfahren und die digitale Signatur, in die Bedeutungslosigkeit nämlich. Ein Problem bekommen wir allerdings, falls sich De-Mail wider Erwarten durchsetzt. User awg fasst es im Heise-Forum so in Worte:

»Die Profi-Betrüger und Abzocker reiben sich schon die Hände.

Endlich können sie die Republik, zu minimalen Kosten, per EMail, mit rechtswirksam zugestellten betrügerischen Rechnungen, Mahnungen, anwaltlichen Drohbriefen, Massenabmahnungen, Unterlassungserklärungen, etc, etc. fluten. Und das sogar mit amtlichem(!) automatischem Empfangsnachweis durch das DeppenMail-Postfach.

Ein tolles Hilfspaket für die notleidende Betrüger-Branche.«

Und damit liegt er vielleicht ganz richtig. Seit Jahren tummelt sich hart an der Grenze zwischen minder seriösem Geschäft und handfestem Betrug die Nutzlosbranche. Ihre Masche: mit Lockangeboten Nutzeradressen sammeln und dann für ein Abo kassieren, dessen Preis irgendwo im Kleingedruckten versteckt war, oder vielleicht nicht mal dort. Eine Dienstleistung erbringen Firmen der Nutzlosbranche nur zum Schein oder pro forma. Ihr Geschäftsmodell besteht darin, die erfassten Nutzer zur Zahlung zu bewegen. Das dürfte jedenfalls nicht schwerer werden, wenn sich zusätzlich zu den bekannten Maschen bald auch die Möglichkeit bietet, seinem Opfer rechtsverbindlichen eSchriftverkehr in Form einer signierten Zustellbestätigung abzuluchsen.

Liebe Bundesregierung, dieser Entwurf ist Asche.

PS: Andere Blogs zum Thema De-Mail und zu weiteren Gründen, skeptisch zu sein:

• Das Bürgerportalgesetz: De-Mail im Detail (sicherheitsblog.info)
• “Sichere” E-Mail – das hängt davon ab, wie man “Sicherheit” definiert (MMsSenf)
• De-Menz (KeenTech)
• No De-Mail (ravenhorst)
• DE-Mail: Neues Mammutprojekt ohne konkreten Mehrwert (FDP-Bundestagsfraktion)

Update 2009-03-11: Betrugsversuche mit Vertragsänderung per E-Mail gibt es schon.

Kaum nutzt man mal Muttis Computer, wird einem schlagartig eine Menge klar. Zum Beispiel warum Leute auf zweifelhafte Antivirensoftware hereinfallen. Dass sich plötzlich ein Fenster öffnet und ihnen was verkaufen will, kennen sie nämlich schon: vom kostenlosen Antivirusprogramm, das man ihnen im Seniorencomputerkurs empfohlen hat. Für sich genommen ist Nagware ja harmlos, aber ob Sicherheitssoftware auf dem PC eines IT-Laien der richtige Platz für dieses Marketingkonzept ist?

Ich suche übrigens gerade eine Studentin oder eine Studenten für eine Bachelorarbeit, die sich mit der Frage beschäftigen soll, ob von Antivirus-Software ein Sicherheitsgewinn zu erwarten ist. Details stehen weiter unten in diesem Blog.

Telearbeit erscheint als Sicherheitsrisiko. Mitarbeiter und IT an dezentralen Heimarbeitsplätzen, das kann nicht gutgehen, da haben wir doch gar keine Kontrolle. Schlichtere Naturen könnten dies für eine fundierte Bedrohungsanalyse halten. Es ist aber keine, solange der Realitätsabgleich fehlt. Wenn Mitarbeiter Telearbeit wollen, aber nicht bekommen, kann das Ergebnis nämlich so aussehen:

»Die Mitarbeiterin wollte demnach das Datenmaterial über das Internet an sich selbst schicken, um zu Hause daran zu arbeiten.«

(Datenpanne bei der WestLB – Betreff: Geheime Daten)

Dann vielleicht doch lieber eine offizielle Erlaubnis, verbunden mit angemessener IT-Unterstützung.

Merke:
Der Benutzer wird stets sein persönliches Problem lösen. Er wird dazu alle verfügbaren Mittel und Werkzeuge nutzen. Wo wir ihm keine geben, sucht er sich eigene.

Update: Bei Juristen, genauer: Richtern, scheint es üblich zu sein, dass man solche Workarounds erzwingt, lange bevor das Reich der Sonderwünsche beginnt. Wer ist bei den Gerichten eigentlich für die IT zuständig?

Wie bekloppt muss man sein, um XSS-Versuche in den URL-Parametern einer Login-Seite erst abzufangen – und dann den auffälligen Parameter innerhalb eines Script-Elements in die Fehlerseite einzubetten, um eine Alertbox mit detaillierten Informationen zu produzieren? Also ungefähr so:

<script>alert("Böse Eingabe: [boese Eingabe]");</script>

Ich bin versucht, mir das ganze Responsible-Disclosure-Theater zu sparen und hier einfach Ross und Reiter zu nennen. Verdient hätten sie es. Ihre Kunden allerdings nicht, und einige davon kann man googeln.

Nach Unglücken fragt der Laie gerne nach der Ursache. Oft gibt es aber gar keine einzelne Ursache:

»Auch der Luftfahrtexperte Heinrich Großbongardt ging von einer Kette von Ursachen aus. Im Bayerischen Rundfunk sagte er, beim Unfall eines Verkehrsflugzeugs kämen “im Schnitt sechs bis sieben Ursachen” zusammen. “Das ist eine Kette von Ereignissen, menschliche oder technische Fehler, wo bei jedem einzelnen es möglich gewesen wäre, diese Kette zu unterbrechen”, sagte Großbongardt.«

(Spiegel Online: Unglücksflug von Madrid: Triebwerk-Trümmer sollen Heckflosse beschädigt haben)

Theoretisch bedeutet das, dass sich das Unglück sogar redundant verhindern ließe, indem man mehrere Einzelfehler verhindert. In der Praxis ist das nicht so einfach, denn jedes Element einer solchen Ereigniskette ist in das Gesamtsystem eingebettet und damit einer Reihe von Zwängen unterworfen. Und ein klarer Fehler wäre es, die Sicherheit auf einzelne, spezifische Ereignisketten hin zu optimieren, dabei aber andere Szenarien zu ignorieren. Man kann also nicht einfach alles tun, damit sich so ein Unfall nicht wiederholt, denn damit würde man vielleicht die exakte Wiederholung ausschließen, aber vielleicht auch allerlei andere Verläufe fördern.

Alle schimpfen über Google Analytics: der Datenschutz sei dort nicht gewährleistet. Mag sein, dass das formal korrekt ist, aber es geht deutlich schlimmer. Eben schwappte mir hier als Referer ein Link auf StatCounter.com ins Log – mit gültiger Session-ID. Ein Klick genügte und schon bekam ich deutlich detailliertere Daten über die Besucher einer fremden Website, als mir Google für meine eigene je liefern würde.

Der Bildausschnitt is so gewählt, dass man hoffentlich keine Details über einzelne Nutzer erkennt, und aus der Titelzeile habe ich den Hinweis auf den betreffenden Nutzer des Statistik-Tools entfernt. Er wird sich schon gemeint fühlen, wenn er das hier liest. (Refcontrol hilft, ist aber letztlich ein Workaround um eine kaputte Web-Anwendung.)

Ich gebe erst mal weiter Google Analytics den Vorzug. Wichtiger als die formale Einhaltung von zuweilen arg hohlen Datenschutzritualen finde ich nämlich den tatsächlichen Umgang mit den Daten. Bei Google hat man sich was gedacht und die Architektur bietet Ansatzpunkte für mehr Selbstbestimmung der einzelnen Website-Nutzer und weniger Missbrauchs- und Unfallgefahr durch Website-Betreiber. Das kann ich von StatCounter.com nicht behaupten.

Die Angst vor der Sonne. Sommerloch für Sommerloch dürfen sich die Praktikanten aller Medien an diesem dankbaren Thema austoben und die immer gleichen Versatzstücke wiederkäuen: Sonnenbrand, »aggressive« UV-Strahlung, Hautkrebs, Sonnenschutz. Der Tenor ist stets derselbe. Die Sonne sei böse, gefährlich, um jeden Preis zu meiden. Wer sich ihr dennoch auszusetzen habe, der müsse sich radikal schützen, sonst drohten Siechtum und Tod.

Mir geht dieses Theater schon länger auf den Keks. Es riecht zu deutlich nach einer zum Selbstläufer gewordenenmachten Werbekampagne für Kosmetikartikel, eine menschheitsgeschichtlich recht junge Erfindung. Wäre die Sonne tatsächlich so gefährlich, wie sie heute von überforderten Medien gemacht wird, wie konnten unsere Vorfahren dann unter dieser Sonne lange genug überleben, um uns als die Krone der Schöpfung hervorzubringen? Und wer kann eigentlich mit eigener Erfahrung die absurde Empfehlung belegen, man solle selbst unter der Kleidung noch Sonnencreme tragen, sofern es sich nicht um spezielle »Schutzkleidung« handele?

Gesunder Menschenverstand ist nicht notwendig das Gegenteil der Wissenschaft, das zeigt jetzt ein Artikel im Spektrum der Wissenschaft. Darin geht es um Vitamin D, das im Körper vielfältige positive Auswirkungen hat und das unsere Haut in großen Mengen bildet, wenn sie der Sonne ausgesetzt ist. Die Autoren kommen zu dem Schluss:

»In diesem Zusammenhang ist auch das gestiegene öffentliche Bewusstsein um die Risiken des Sonnenbadens problematisch. Moderne Sonnenschutzmittel verringern das in der Haut produzierte Vitamin D um mehr als 98 Prozent. Um den normalen Bedarf an dem Mikronährstoff zu decken, sollten Menschen mit heller oder bronzener Hautfarbe in Nordamerika oder Europa im Sommer täglich ein ungeschütztes Sonnenbad von 5 bis 15 Minuten zwischen 10.00 und 15.00 Uhr nehmen. Dabei kommt es höchstens zu einer leichten Rosafärbung der Haut.«

und weiter:

»Nach den bisherigen Forschungsergebnissen scheint eine Kampagne zur Aufklärung der Öffentlichkeit über den umfassenden physiologischen Nutzen von Vitamin D daher dringend geboten.«

Das ist eine Ohrfeige für die Panikmafia. Immerhin, nach und nach sickert das Wissen um den Nutzen der Sonne auch in die Sommerlochartikel. Wir dürfen hoffen.

What is the purpose of antivirus companies? They produce tools to detect and remove malicious software on a large number of computers. Their basic process is pretty simple. They collect samples of new malicious software from various sources, including the general public. You, too can send a piece of software to antivirus companies if you suspect it might be malicious. Each sample will be analyzed by the antivirus company. If it really is malicious, a signature will be produced and disseminated to all users of the company’s products through an automated mechanism. After receiving the new signature, antivirus software is capable of detecting the new malicious software and often also stopping it from working in one way or the other.

Sounds innocent, but the bad guys discovered this might be a suitable infrastructure to enforce end-user license agreements. If you rent a botnet and fail to comply with its operators’ terms, they threaten to forward your bot to antivirus companies. I really like that idea, although I see a couple of pitfalls here, as do the guys who originally reported this.

Das Darmstädter Echo meldet:

»Der 66 Jahre alte Mann, der an Heiligabend in Heppenheim (Kreis Bergstraße) während eines Polizeieinsatzes getötet wurde, musste offenbar deshalb sterben, weil ein Elektroschockgerät versagt hat. In dem sogenannten Taser waren nach den Erkenntnissen eines Gutachters falsche Batterien eingebaut. Außerdem wurden die dünnen Stromkabel offenbar mit einer Kartusche verschossen, deren Haltbarkeitsdatum um 17 Monate überschritten war. (…)«

Wie das geht? Das erfahren wir im ausführlicheren Bericht beim Hessischen Rundfunk: Weil der Taser nicht funktionierte, griffen die Polizisten zur guten alten Pistole. Gegen 12 Kugeln aus dem Bleibeschleuniger hatte der Mann keine Chance.

»I believe smoking bans are doing great damage, and not only economic damage. They promote intolerance, social tension and a ‘stool pigeon’ culture. They ostracise a large and law-abiding segment of the population. They set a worrying precedent for all kinds of other social engineering. And they bring Nanny into Nightlife: the last place she belongs.«

Over at Plazeboalarm they celebrate (in German) an essay by Joe Jackson, Smoking, Lies and The Nanny State (PDF), and rightly so. He perfectly demonstrates a rationalist approach to risk assessment, which is based on fact rather than opinion and hidden agendas. He also demonstrates how real and unreal health risks can be abused politically and possibly lead to much worse an outcome even if the original risk fought was real.

Even though not everyone may agree with him, even if the factual basis of his essay were wrong (I didn’t verify his numbers yet), he reminds us of the virtue of skepticism. Even experts can be wrong. Terribly wrong, sometimes:

»It is has become ‘common knowledge’ that smoking is one of the worst things you can possibly do to yourself; ‘all the experts agree’. Of course, ‘all the experts’ once agreed that masturbation caused blindness, that homosexuality was a disease, and that marijuana turned people into homicidal maniacs. In the 1970s and 80s British doctors told mothers to put their babies to sleep face-down. Cot deaths soared, until a campaign by one nurse succeeded in changing this policy, which we now know to have claimed something like 15,000 lives.«

No matter how you feel about smoking, read his essay and try to grasp the many points he makes that are not immediately related to cigarettes and tobbacco but rather to rationalism and workable ways of running a society. A must-read for everyone. Conspiracy theories about the tobacco industry are not an acceptable excuse.

[Notice for our international readers]

A few days ago the W3C published the first draft of HTML 5. One of the many new features struck me as a possible amplifier for insecure programming: HTML 5 extends the type attribute of the input element to support URLs, e-mail addresses, date, time, and other types. The rationale for the new types reads (emphasis by me):

»The idea of these new types is that the user agent can provide the user interface, such as a calendar date picker or integration with the user’s address book and submit a defined format to the server. It gives the user a better experience as his input is checked before sending it to the server meaning there is less time to wait for feedback.«

Now this is a really old theme in Web (in)security. The Web as a platform for programming invites errors in input validation and sanitation by giving the programmer equally powerful tools for two different domains of trust, the client and the server. Furthermore, client-side input validation does make sense and is desirable under usability considerations but cannot replace server-side enforcement.

Consequently, one all too common mistake in Web application programming is to validate or sanitize data on the client side but not on the server side where one must not rely on any assumptions regarding client behavior. At the first glance abovementioned extensions seem to provoke even more of these mistakes by improving on the client-side features, thus making them more attractive.

The new feature makes generating code easier, though, which means it may become easier to develop and use frameworks instead of hand-coding. This would be good, security-wise, as one framework usually makes fewer errors than hundreds or thousands of programmers.

At this time, both theories seem equally plausible to me. Empirical studies, anyone?

Und gleich noch ein Eintrag zum Thema Datenforensik. Im RISKS Digest vom 7. Januar 2008 (Volume 25, Issue 1) weist Fred Cohen auf die geringe Beweiskraft von HTML-Archiven hin. Konkret geht es um archive.org, auch bekannt als WayBack Machine. Das ist ein Dienst, der ab und zu Schnappschüsse von Seiten im Web nimmt und sie archiviert. Seine Nutzer können so einen Blick zurück in die Vergangenheit des Web werfen. Seiten in diesem Archiv kann Cohen nachweislich manipulieren. Seine Demonstration ist überzeugend: in einer archivierten Seite aus dem Jahr 1997 lässt er eine Grafik erscheinen, die damals noch ungeschehene Ereignisse wie 9/11 und Al Gores Nobelpreis nennt.

Der Trick ist so simpel, dass er gar keiner ist. Archiviert ist nämlich nur der HTML-Quelltext von damals. Enthält er Bildreferenzen, so zeigen diese nach wie vor auf die ursprüngliche Adresse. Jedoch garantiert nichts und niemand, dass dort noch dasselbe Bild liegt oder derselbe Server steht. Beim Anzeigen der archivierten Seite aber wird sich der Webbrowser nicht um solche Erwägungen kümmern, sondern die Referenz einfach verwenden und versuchen, von dort ein Bild zu laden. Hat er Erfolg, so zeigt er es auch an. Falls man statt eines Bildes JavaScript-Code in die archivierte Seite injizieren kann, was unter diesen Voraussetzungen nicht allzu schwer ist, dann hat man sogar den kompletten Inhalt unter Kontrolle.

Die Aussage des Archivs hängt also davon ab, unter welchen Randbedingungen man es auswertet. Einfach hinzuschauen genügt nicht. Man wird statt dessen sehr sorgfältig prüfen müssen, auf welche anderen Daten der archivierte HTML-Code verweist, welchen Einfluss diese Daten auf die Präsentation und damit den sinnlich wahrnehmbaren Seiteninhalt haben, und inwieweit sich aus dem archivierten Material eine aussagekräftige Ansicht rekonstruieren lässt. Im schlimmsten Fall, so ein Beispiel lässt sich konstruieren, genügt eine einzelne ungesicherte Referenz, das ganze archivierte Material für Beweiszwecke wertlos zu machen. Juristen dürfte das, je nach Rolle bzw. Mandat, entweder freuen oder ärgern.

Das Problem ist nicht neu, wir kennen es als das Präsentationsproblem von den digitalen Signaturen. Es betrifft viele moderne Datenformate, deren Interpretation von Randbedingungen abhängt.

Pünktlich zum Weihnachtsfest, wenn wirklich gar kein Journalist Lust zum recherchieren hat und alle potenziellen Ansprechpartner mit Ahnung keine Lust auf Interviews, genau zur rechten Zeit also wird wieder einmal die Kinderpornosau durchs globale Dorf getrieben. Heise berichtet, Spiegel Online skandalisiert und die Blogosphäre kommentiert. Die Rede ist von 12.000 Verdächtigen. Gut, dass die Polizei nicht schläft? Daran sind Zweifel erlaubt. Udo Vetter kennt als Strafverteidiger die Ermittlungsakten und berichtet darüber im law blog. Kurzfassung: strafbar gemacht hatte sich sein Mandant nicht, Job und Gattin war er trotzdem los.

Das ist kein Einzelfall, sondern Symptom eines generellen Problems. Im Geiste des traditionellen Datenschutzes machen wir uns viele Gedanken darüber, wer was über wen speichert. Wir protestieren gegen Payback, die Vorratsdatenspeicherung und übertriebene Gentests und vergessen darüber, dass ein gewichtigeres Problem woanders lauert: kaum jemand hat gelernt, Daten kritisch zu interpretieren. Das gilt für die Computerforensiker – für die wir erst noch einen Ausbildungsgang schaffen müssen – ebenso wie für alle anderen Beteiligten. Wir haben in den vergangenen Jahren unzählige Datenquellen geschaffen, aus denen sich natürlich auch die Strafverfolger bedienen, aber wir haben kaum darüber nachgedacht, wie diese Daten zu interpretieren sind. Das Ergebnis ist ein leichtfertiger Umgang mit vagen Vermutungen, der zu großen Schäden führt.

Wie schwer scheinbar eeindeutige Daten zu interpretieren sind, zeigte sich etwa in der Folge des AOL-Suchdatenskandals. 2006 hatte AOL leichtfertig Suchprotokolle seiner Nutzer veröffentlicht. Einer davon, Nr. 17556639, hatte nach diesen Begriffen gesucht: »how to kill your wife«, »pictures of dead people«, »photo of dead people« und »car crash photo«. Da drängen sich Interpretationen auf. Und zwar so viele, dass man nach kurzem Nachdenken konstatieren muss: gültige Schlüsse lassen sich daraus nicht ziehen. Will AOL-User Nr. 17556639 seine Frau umbringen? Ist er ein perverser Lustmörder oder nur pervers oder nur ein (potenzieller) Mörder? Oder könnte es vielleicht auch eine harmlose Erklärung geben: dass er einen Krimi schreibt und Anregungen sucht, einen Vortrag vorbereitet und Bildmaterial braucht oder, ganz selbstbezüglich, dass er Suchmaschinenprotokolle und Artikel darüber sucht, in denen diese Phrasen vorkommen? Wir können aus den vorhandenen Daten nur schließen, dass wir aus den vorhandenen Daten nichts schließen können.

Das ist ein allgemeines Problem. Beispiel Gentest: nicht nur ist das Verfahren als solches unter Umständen weit weniger zuverlässig als man gemeinhin glaubt, auch die staatlich gepflegten Gendatenbanken können massenhaft Fehler enthalten. Wenn mehr als 500.000 von 4.000.000 Einträgen falsch sind, ist das ein ganz schön großer Anteil. Und damit will man Eingriffe in Grundrechte rechtfertigen?

Das Problem wird noch größer, wo allein Daten vorliegen. Operation Ore in Großbritannien zum Beispiel stützte sich, ähnlich wie die Operation »Mikado« in Deutschland, auf Kreditkartendaten. Nicht bedacht hatten die Ermittler, dass gerade Kreditkarten nicht nur von ihren rechtmäßigen Inhabern benutzt werden. So wurden unbescholtene Bürger das Opfer von Hausdurchsuchungen und Ermittlungen, deren einziges Vergehen darin bestand, einee Kreditkarte zu besitzen, die von Kriminellen missbraucht worden war. Wer das für einen akzeptablen Kollateralschaden im Interesse der Kinder hält, dem sei noch gesagt, dass sich infolge der Operation Ore 39 Menschen das Leben genommen haben.

Die aktuelle Aktion ist noch eine Nummer gewagter. Wie Udo Vetter berichtet, gehören zu den nach Polizeiangaben Tausenden von Beschuldigten solche, die sich lediglich in der Nähe von Kinderpornographie herumgetrieben haben. Menschen, die sich im Netz legale Pornographie angeschaut haben und das Pech hatten, dazu ein Portal zu benutzen, aus dem andere auch Kinderpornographie bezogen. Dazu passen denn auch die von Spiegel Online kolportierten Äußerungen von Oberstaatsanwalt Vogt, denen zufolge man bereits mit einschlägigen Suchbegriffen ins Visier der Ermittler geraten könne – oder gar durch den Empfang einer E-Mail. Oder um genau zu sein, durch den Logfile-Eintrag einer E-Mail, denn im Zeitalter der Spamfilter kann es durchaus sein, dass man von so einer Nachricht nie erfährt. Bis zu jenem Tage, da die Polizei im Morgengrauen an der Tür klingelt

Unsere Gesellschaft muss sich sehr dringend überlegen, wie sie mit den allerorten angehäuften Daten von zweifelhaftem Beweiswert umgehen möchte. Sie nicht so unkritisch zu verwenden wie bisher, das ist Datenschutz 2.0. Digitale Daten lassen nur sehr schwache Schlüsse zu. Wie wir gesehen haben, können Kreditkarten von Unbefugten benutzt werden und Suchanfragen alles Mögliche bedeuten. Das gilt noch viel mehr für die Logfiles von Pornosites. Die Site selber kann kompromittiert sein und erst recht der PC dessen, der vermeintlich darauf zugreift. Webbrowser sind ohnehin inhärent unsicher, was die Identität des Handelnden betrifft; selbst mit SSL-Clientzertifikat und dem ganzen Sicherheitsgedöns kann man kaum je wirklich sicher sein, dass tatsächlich die vermutete Person für eine Aktion verantwortlich ist. Und so entstandeneer Datenmüll soll als Begründung für Hausdurchsuchungen und Schlimmeres reichen?

Spätes Update: Hanno Zulla schreibt aus gegebenem Anlass über Paranoia am persönlichen Beispiel, Burkhard Schröder in Telepolis über die Operation Heiße Luft und allerorten macht gerade dieser Erfahrungsbericht eines zuverlässig leidgeprüften Hobbypiloten die Runde. Und dann gab es noch einen Fall fehlgeleiteter Spureninterpretation: Durchsuchung beim ahnungslosen Inhaber einer missbrauchten E-Mail-Adresse.