IT Security made in Germany

Das Berliner Kammergericht hat sich Emotet eingefangen, den „König der Schadsoftware” (BSI), und arbeitet seither im Notbetrieb. Wer den Schaden hat, braucht für den Spott nicht zu sorgen, und so melden sich auch aus diesem Anlass jene „Experten“ zu Wort, denen nichts besseres einfällt als den Opfern die Schuld in die Schuhe zu schieben und sie zu verhöhnen:

„Auch generell sollte man sich fragen, ob man eine E-Mail mit einem Anhang von dem angezeigten Absender erwartet – denn die Kennung könnte gefälscht sein. Im Zweifel sollte man den Absender anrufen und ihn fragen, ob die E-Mail wirklich von ihm kommt. Anhänge mit den Dateiendungen ‚.exe‘ oder ‚.zip‘ sollte man generell nicht öffnen, denn sie können noch viel leichter Viren und Trojaner enthalten.“

(Bastian Benrath @ FAZ.net:
Wie ein Trojaner das höchste Gericht Berlins lahmlegte)

Das ist eine Bankrotterklärung. In Wirklichkeit muss ein Computersystem, mit dem man E-Mail liest, in der Lage sein, mit den empfangenen Nachrichten umzugehen. Und zwar selbständig und ohne Nachhilfe seiner Nutzer, zumal wenn es sich dabei nicht um IT-Experten handelt, sondern um Richter und Justizangestellte.

So etwas ist kein Hexenwerk. Schon wer den Schritt in die Cloud geht und seine E-Mail konsequent zum Beispiel mit den Anwendungen von Google (GMail + Office Suite + Drive) bearbeitet, dürfte um Größenordnungen sicherer sein als Old-School-PC-Benutzer, die jeden Anhang herunterladen und lokal öffnen.

Doch die Cloud, zumal die ausländische aus Amerika, wo die Datenkraken hausen und nichts auf die deutsche Hochkultur von Datenschutz bis Algorithmenethik geben, die Cloud gilt als haram und ist zu meiden. Ehe man sich mit dem Teufel einlässt, opfert man lieber ein Kammergericht und hofft, so den Zorn der Götter zu besänftigen. Unsere Gesellschaft ist in der IT-Sicherheit so rückständig wie in allem anderen, was mit Informationstechnik zu tun hat.

Um Missverständnisse zu vermeiden: Das heißt nicht, dass man nur alle Daten zu Google tragen müsse und alles werde gut. Doch wir nehmen anscheinend nicht einmal mehr zur Kenntnis, dass sich die Welt in den letzten Jahrzehnten weitergedreht hat, manches Problem lösbar geworden ist und sich die wohlmeinenden Hinweise von einst – Sei vorsichtig im Internet! – als wenig hilfreich erwiesen haben.

Die Politik hat bereits einen Plan, wie wir die Weltspitze einholen wollen, ohne sie zu überholen: indem wir sie zerschlagen, ach was, zerschmettern! wie es einst die Armee unserer Großväter mit ihren Gegnern zu tun pflegte, bevor sie Schal und Mütze für kalte Tage zu Hause vergaß und ihrerseits zerschmettert wurde. Freilich nicht mit einem Heer, dessen Ausrüstung die Bedingungen des Versailler Vertrags besser denn je erfüllt, sondern mit neuen Schwertern des Wettbewerbsrechts, die im GWB-Digitalisierungsgesetz gerade geschmiedet werden.

Wäre doch gelacht, wenn wir uns nicht ein drittes Mal eine blutige Nase holen könnten. Wer weiß, vielleicht endet es diesmal damit, dass die Chinesen vorbeikommen und Harmonie exportieren.

Trendsport Algorithmenschelte

Warf man Internetkonzernen wie Google und Facebook einst vor allem vor, Datenkraken zu sein, hat heute de Algorithmenschelte den Spitzenplatz unter den Memen der Technikkritik übernommen. Die künstliche Intelligenz stehe kurz vor der Übernahme der Weltherrschaft, raunt es durch die Medien, und niemand verstehe so recht, was sich diese immer mächtiger werdenden Algorithmen dächten. Man müsse ihnen Zügel in Gestalt von Algorithmenethik und Not-Aus-Knöpfen anlegen, damit sie sich richtig entschieden, wenn sie etwa bei der Steuerung eines fahrerlosen Autos zwischen verschiedenen Unfallopfern zu wählen hätten.

Nun ist es gewiss nicht falsch, sich kritisch mit neuer Technik und ihren Anwendungen auseinanderzusetzen. Doch mittlerweile bekommt man manchmal den Eindruck, es sei legitim und notwendig, sich vor Algorithmen und künstlicher Intelligenz zu fürchten wie frühere Generationen vor dem Atomtod. Doch die gegenwärtigen Diskussionen sind geprägt von Missverständnissen, grandiosen Überschätzungen, Motiven aus der Science Fiction sowie modernen Legenden, die sich dank oberflächlicher Plausibilität durch ungeprüftes Nacherzählen verbreiten.

Eine dieser Legenden besagt, der Empfehlungsalgorithmus von YouTube fördere systematisch Schund und Schmutz und ziehe seine Nutzerinnen und Nutzer schnell und tief in extreme Filterblasen. Ich kann diese Erzählung aus eigener Erfahrung nicht nachvollziehen, denn meine persönlichen Empfehlungen sind an Harmlosigkeit kaum zu überbieten.

 

Ich habe freilich auch nicht die Methode angewandt, mit der die Empfehlungskritiker Belege für ihre These konstruieren: Getreu dem Axiom, dass stets nur die anderen als verstrahlte Manipulationsopfer in Frage kommen, während man selbst erleuchtet sei und alles durchschaue, betrachtet man einen hypothetischen Neunutzer ohne Vergangenheit, der YouTube zum ersten Mal nutzt und sogleich dessen Empfehlungen folgt. Das ist zwar offenkundiger Blödsinn, denn in dieser Situation kann auch das intelligenteste Empfehlungssystem nur raten, doch es liefert die gewünschte Geschichte. Mit Analysen, wie die Beobachtungen zustande kommen, hält man sich dabei nicht auf.

In diese Kerbe haut nun auch die Mozilla-Stiftung mit ihrer Kampagne YouTube Regrets, in der sie Geschichten verstörter Zuschauerinnen und Zuschauer erzählt und Google als Betreiber der Plattform angreift. Die Motivation bleibt unklar, doch konkurrieren Mozilla mit Firefox und Google mit Chrome erbittert um Anteile am Browsermarkt.

Im Zentrum der Kampagne stehen die Statements 28 anonymer YouTube-Zuschauer, die sich mehr oder minder entsetzt zeigen ob der Videos, die ihnen die Plattform empfahl. So empört sich Zeuge Nr. 3, Pferdesportfan, darüber, dass YouTube ihr oder ihm immer wieder Videos kopulierender Pferde anbiete, obgleich man an Pornographie gänzlich desinteressiert sei. Nr. 13 schaute sich Anita Sarkeesians „Tropes vs Women in Video Games“ an und sah sich daraufhin mit Videos des Gamergate-Mobs konfrontiert. Nr. 22 berichtet, nach dem Genuss von Gaming-Videos unvermittelt auf Bongs gestoßen zu sein und vermutet, der Algorithmus habe einen Witz aus einem der Videos aufgegriffen. In einigen Statements wird sogar von Kindern berichtet, die offenbar unbeaufsichtigt vor dem Google-Apparat saßen und die das Programm darin verstört habe.

So weit, so spießig. Als Beitrag zur Erhellung war Mozillas Kampagne vermutlich nicht gedacht, doch illustrieren die verwendeten Statements Missverständnisse und Denkfehler, die populistischer Algorithmenschelte wie dieser zugrunde liegen. Das größte Missverständnis: Es handle sich um komplizierte, geheimnisvolle Algorithmen, die anhand einer Unmenge von Daten unser Innerstes durchleuchteten, um unsere Interessen zu verstehen, und persönliche Empfehlungen für jede Einzelne von uns berechneten.

Tatsächlich verstehen wir Empfehlungssysteme gut. Sie berechnen abstrakte Kategorien – meist andere als ein Mensch bilden würde – in die sie sowohl Nutzer als auch Inhalte einordnen und geben die danach am besten passenden Kombinationen aus. Ihr Weltwissen beziehen sie dabei aus dem beobachteten und statistisch aggregierten Verhalten der Nutzerschar. Schauen sich also viele als Pferdeliebhaber eingestufte Nutzerinnen und Nutzer Filme von kopulierenden Pferden an, wird das Empfehlungssystem diese statistische Assoziation reproduzieren. Von Pferden oder von Kopulation versteht der Algorithmus dabei nicht das Geringste.

Überhaupt dürfte das Empfehlungssystem wenig oder gar keine Informationen über den Inhalt eines Videos berücksichtigen, denn solche sind trotz aller Fortschritte immer noch schwer zu ermitteln, zumal im YouTube-Maßstab, wo in jeder einzelnen Sekunde Videomaterial mit einer Gesamtlaufzeit von mehreren Stunden hochgeladen wird. Stattdessen wird das Empfehlungssystem vor allem oder ausschließlich mit Metadaten arbeiten: Titel und Beschreibungen, Kanäle, Likes und so weiter.

Von unserem Innersten, unseren Interessen versteht das Empfehlungssystem noch weniger als vom Inhalt der Videos, denn es sieht von uns nur das, was wir auf YouTube tun. Auf dieser Grundlage lassen sich keine wirklich persönlichen Empfehlungen geben, wie man sie vielleicht von engen Verwandten oder langjährigen Freunden erhielte. Vielmehr rät YouTube, was uns gefallen könnte, weil es andere mit ähnlichen Sehgewohnheiten angeschaut haben, statt aus seinem riesigen Angebot eine noch willkürlichere Zufallsauswahl zu präsentieren. Die einzige gerechtfertigte Erwartung an ein solches System ist die, dass es nach häufiger Nutzung Empfehlungen präsentiere, die im Mittel etwas weniger unpassend seien eine willkürliche Auswahl. Ganz unschuldig ist die Internetwirtschaft an Überschätzung ihrer Möglichkeiten allerdings nicht, nimmt sie doch den Mund gerne voll und preist den Output recht banaler Software selbst als personalisiert an.

Dem Missverständnis folgt ein Denkfehler, wenn man Algorithmen wie einem Empfehlungssystem Schutz vor Schund und Schmutz oder gar Moral abverlangt. Zum einen können sie dies bei weitem nicht leisten, denn sie betreiben letztlich nur automatisiert eine clevere Statistik, während sich an Fragen von Moral und Ethik Generationen von Philosophen und Theologen die Zähne ausgebissen haben, ohne endgültige Antworten geben zu können. Doch selbst wenn man auf Beschränkungen der Technik keine Rücksicht zu nehmen hätte, vielleicht gar Menschen an ihre Stelle setzte, blieben solche Entwurfsziele problematisch.

Wessen Moral soll „der Algorithmus“ durchsetzen? Ist es richtig, ist es notwendig, Menschen vor dem Anblick kopulierender Pferde zu schützen oder stellt vielleicht die Vermittlung biologischer Allgemeinbildung über die Fortpflanzung der Säugetiere ein höherrangiges Ziel dar? Sollen Empfehlungen Filterblasen verstärken, abschwächen oder ignorieren und gilt die Antwort gleichermaßen für feministische Filterblasen wie für jene des Gamergate-Mobs? Und was sollen wir aus der Tatsache schließen, dass mehrere Statements der Mozilla-Kampagne explizit sagen, man selbst habe den Schmutz natürlich als solchen erkannt, aber andere müssten doch sicher davor geschützt werden?

Das Internet ist ein Spiegel der Gesellschaft. Empfehlungssysteme geben ein Echo, teils auf das Sehverhalten einzelner Nutzerinnen und teils auf kollektives Verhalten. Wie sich diese Faktoren im Einzelnen mischen und ein bestimmtes Ergebnis hervorbringen, mag manchmal so schwer zu durchschauen sein wie die Akustik eines Konzertsaals für jemanden, der schon im Physikunterricht nicht aufgepasst hat. Dies ist jedoch kein Grund, Algorithmen zu verteufeln oder Unmögliches von ihnen zu verlangen. Es handelt sich nur um banale Computerprogramme.

Das heißt nicht, dass es nichts zu diskutieren gäbe. YouTube und andere Plattformen haben die Medienlandschaft verändert und damit auch die Art und Weise, wie gesellschaftliche Diskurse verlaufen. Doch wer die daraus resultierenden Fragen auf Algorithmenschelte verkürzt, setzt an der falschen Stelle an und verliert wichtige Aspekte aus dem Blick. Allen voran ist dies die Finanzierung durch Werbung, die nicht nur klassischen Medien Umsätze genommen hat – deswegen kämpften die Verlage so vehement für ein Leistungsschutzrecht, das ihnen Vor- und den neuen Konkurrenten Nachteile bescheren sollte –  sondern auch die ökonomischen Anreize bestimmt, aus denen die Entwicklungs- und Optimierungsziele der Betreiber und damit Gestaltungsentscheidungen resultieren. Dass wirtschaftliche Abhängigkeit von der Werbung in der Programmgestaltung für eine Gratwanderung zwischen Krawall zur Publikumsbindung und Seichte zur Befriedigung der Werbekundenwünsche führt, kennen wir schon aus dem Privatfernsehen.

Algorithmen sind demgegenüber nur der verlängerte Arm des Unternehmens, das sie einsetzt. Sie bestimmen nicht die Richtung, sondern sie wirken als ausführendes Organ. Ihre Funktion folgt notwendig den Zielen und Prioritäten derer, die sie einsetzen. Wer sich an Algorithmen abarbeitet statt an Unternehmen und ihre Geschäftsmodellen, müsste folgerichtig angesichts des Volkswagen-Skandals, Verzeihung, der Dieselproblematik auch eine Motorenethik fordern. Doch darüber würden wir zu Recht lachen.

Unterschätzte Risiken: Gütesiegel

Immer wieder wird der Ruf nach mehr Gütesiegeln und Zertifizierung für mehr IT-Sicherheit laut. Nachdem beispielsweise Anfang des Jahres ein Jugendlicher beim Doxxing mehr oder minder bekannter Personen erwischt wurde, fand sich in der unvermeidlich folgenden Wunschliste des Innenministeriums nach neuen Gesetzen und Befugnissen auch die Forderung nach Gütesiegeln für IT-Sicherheit. Reaktion auf den Anlass war dabei wie üblich nur die Erstellung des Wunschzettels; die Idee und Forderung als solche hatte man zuvor bereits in der Schublade liegen.

Für die Wirtschaft sind Gütesiegel attraktiv, weil sie Prüfern Aufträge bringen und Herstellern selten wehtun, vor allem den größeren nicht. Kleine und junge Unternehmen tun sich zuweilen schwer mit der Zertifizierungsbürokratie, große und alte haben dafür ihre Spezialisten oder heuern Berater an. Doch einen Nutzen sollte man von Gütesiegeln nicht erwarten.

Dies hat zum einen inhaltliche Gründe: Es gibt keine kleine, universelle und vollständige Checkliste für IT-Sicherheit, die man in einer Prüfung abhaken könnte. Jedes Gütesiegel braucht einen Kriterienkatalog, damit seine Aussage spezifisch wird. Darauf werden insbesondere die Prüfer bestehen, denn je konkreter ihre Prüfaufgabe beschrieben ist, desto geringer wird das Risiko, dass ihnen später jemand Versäumnisse vorwirft. Doch Sicherheitsanforderungen sind notorisch schwer zu fassen. Der Versuch, sie in Kataloge zu packen, endet entweder mit oberflächlich-unvollständigen Prüfungen wie im Fall des Safer-Shopping-Siegels, oder er bringt Konvolute vom Umfang des Grundschutz-Kompendiums hervor, die noch das unbedeutendste Detail bis hin zur möglichen Verschmutzung eines häuslichen Arbeitsplatzes erfassen.

Die Aussagekraft jedes Gütesiegels bleibt deshalb beschränkt. Obendrein kann ein Zwang zur Zertifizierung spezifischer Maßnahmen sinnvolle Entwicklungen bremsen oder die Implementierung beziehungsweise Beibehaltung veralteter und unnötiger Funktionen erfordern. Ein aktuelles Beispiel liefert die EU-Zahlungsdiensterichtlinie PSD2 mit ihrer Forderung nach „starker Kundenauthentifizierung“. Sie führte beispielsweise dazu, dass Sparkassenkunden bei Kreditkartenzahlungen im Netz eine Runde durch die schwerfällige App S-ID-Check drehen müssen – und dabei noch nicht einmal die konkrete Zahlung autoriesiert, sondern tatsächlich nur eine komplett nutzlose Zwei-Faktor-Authentifektion zelebriert wird.

Das andere große Problem der Zertifizierung liegt in kontraproduktiven ökonomischen Anreizen, die sich aus den typischen Akteurskonstellationen ergeben. Oft werden Prüfer von den Herstellern oder Betreibern beauftragt und bezahlt, die ein Gütesiegel erwerben möchten. Dies gibt den Prüfer einen Anreiz, die Interessen ihres Auftraggebers zu berücksichtigen, denn wo die Auswahl zwischen mehreren Prüfern besteht, zahlt es sich nicht aus, unter ihnen der strengste zu sein. Wohin solche Fehlanreize in letzter Konsequenz führen, zeigt der Dammbruch von Brumadinho in Brasilien in Januar 2019. Dieser Damm war erst wenige Monate vor seinem Bruch mit 250 Todesopfern trotz bekannter Mängel für sicher erklärt worden. In der Folge diskutiert man jetzt, inwieweit ein vom Betreiber des Damms direkt beauftragter Prüfer objektiv urteilen kann und erwägt, künftig die Aufsichtsbehörden zum Auftraggeber zu machen.

Von Gütesiegeln für IT-Sicherheit dürfen wir daher wenig erwarten. Bestenfalls schaffen sie sie ein paar Arbeitsplätze für Sicherheitsbürokraten, alles darüber hinaus wäre eine Überraschung.

Unterschätzte Risiken: gute Ideen

Auf den ersten Blick eine gute Idee: Am Bahnsteig hängt alle paar Meter eine Trittstufe. Wer, aus welchem Grund auch immer, ins Gleisbett geraten ist, kann sich so leichter auf den Bahnsteig retten.

Bahnsteig-Tritt

Just an dieser Stelle kam mir allerdings ein junger Mann entgegen, der ungeniert die Gleise überquerte, weil ihm der Weg über die Fußgängerbrücke wohl zu anstrengend war. Die gute Idee macht es einfacher, direkt über die Gleise zu laufen und vergrößert damit das Bequemlichkeitsgefälle zwischen der sicheren Brücke und der gefährlichen Abkürzung.

Überwachungsfolklore

Zu den Grundüberzeugungen deutscher Datenschützer gehört die Annahme, jede Beobachtung – insbesondere, aber nicht nur mittels Kameras – lenke auf magische Weise das Verhalten der Beobachteten und mache sie wie von selbst zu artigen Konformisten. Zuletzt argumentierte so das Oberverwaltungsgericht Münster, das der Polizei verbot, öffentliche Demonstrationen zum Zweck der Öffentlichkeitsarbeit zu fotografieren. Denkt man das Argument zu Ende, so bleibt nur noch ein kleiner Schritt bis zur Unterbindung jeglicher Berichterstattung über Demonstrationen, wie sie von autoritären Regimes praktiziert wird. Andernfalls müsste man sich den Vorwurf der Inkonsequenz gefallen lassen, denn wenn der fotografierende Polizist die Demonstranten einschüchtert, warum dann nicht auch der fotografierende Journalist neben ihm, dessen Fotos sich die Polizei im Netz anschauen kann?

Hinweisschild mit der Aufschrift: „Smile, You’re on camera…“ auf einem Bahnhof in England

Das jüngste Urteil aus Münster ist kein Einzelfall. Selbst der bloßen Anscheinsüberwachung mit Kameraattrappen, gegen entschlossene Täter so wirksam wie eine Vogelscheuche, sagt man die Erzeugung von „Überwachungsdruck“ nach. Empirisch überprüft oder auch nur ernsthaft in Frage gestellt hat man die These von der verhaltenslenkenden Wirkung der Überwachung nie. Gleich einem Mem wurde sie zur Wahrheit durch ständige Wiederholung, indem sie einer dem anderen nachplapperte. Dabei ist sie nicht einmal plausibel: Einer bloßen Beobachtung fehlt schon die zum Lenken nötige Richtung, denn wer nur passiv beobachtet wird, weiß gar nicht, wie er sich verhalten soll und wie nicht. Eine solche Richtung und damit eine lenkende Wirkung ergibt sich erst aus der Systematik von Interventionen. Nicht die bloße Beobachtung lenkt das Verhalten von Menschen, sondern die wahrscheinlichen Konsequenzen. Deutlich machte dies etwa das Ende der DDR vor dreißig Jahren. Damals füllten sich die Straßen schlagartig mit Demonstranten, als sich zeigte, dass das Regime am Ende war, seine Sicherheitskräfte nicht mehr wirksam gegen die eigene Bevölkerung einsetzen konnte und keine Hilfe aus Moskau zu erwarten hätte. Eine Nummer kleiner erleben wir dieselbe Tatsache tagtäglich im Straßenverkehr, wo vor aller Augen ungeniert Regeln gebrochen werden, solange niemand die Verstöße ahndet.

Zweifel am Mem von der verhaltenslenkenden, freiheitsgefährenden Wirkung der Videobeobachtung nährt eine aktuelle Statistik. Comparitech hat für 121 Städte aus aller Welt die Anzahl der Überwachungskameras pro 1.000 Einwohner erfasst und Statista aus den Top 12 eine Infografik erstellt:

Balkendiagramm: „The Most Surveilled Cities in the World”
Die am stärksten videoüberwachten Städte der Welt (Auszug aus einer Zählung von Comparitech).

Auf den ersten Blick scheint dieses Diagramm alle Vorurteile zu bestätigen, liegen doch acht der aufgeführten zwölf Städte im als Überwachungs- und Unterdrückungsstaat verschrienen China. Vor dessen Hauptstadt Peking, vor das wegen drakonischer Strafen bereits für kleine Vergehen berüchtigte Singapur und in der vollständigen Tabelle auch vor Städte wie Sankt Petersburg, Istanbul und Baghdad schiebt sich die britische Hauptstadt London auf Platz sechs.

Diese Platzierung überrascht zunächst nicht, gelten doch London und Großbritannien insgesamt als Hochburgen des Einsatzes von Closed-Circuit Television (CCTV). Jedoch stellen die Daten die herrschende Theorie in Frage, denn ihr zufolge wären die Menschen in Peking, Singapur, Sankt Petersburg, Istanbul und Baghdad freier als in London. Gemäß der herrschenden Theorie des Datenschutzes wären die Londoner auf der Straße vor allem damit beschäftigt, sich zum Wohlgefallen Ihrer Majestät zu betragen. Wer die Stadt einmal besucht hat, weiß, dass dies nicht der Fall ist. Tatsächlich zeigen die Daten von Comparitech nicht einmal eine Wirkung in der Hauptsache – es gibt keinen erkennbaren Zusammenhang zwischen der Kameradichte einer Stadt und der dort herrschenden Kriminalität, die meist den Überwachungsanlass bildet.

Dass Videoüberwachung nicht per se Verbrechen verhindere, erkennen Datenschutzaktivisten auf der Stelle an und führen es sogar selbst als Argument dagegen ins Feld. Sie sollten stutzig werden, wenn sie direkt daneben allerlei Nebenwirkungen behaupten, die noch weniger belegt sind als die bestrittene Hauptwirkung. Wenn die Verwendung von Kameras noch nicht einmal das Sicherheitsgefühl beeinflusst, wird sie kaum Demonstranten beeindrucken. Tatsächlich sind Kameras nur ein Werkzeug, das von einigen ideologisch aufgeladen wird. Hoffen wir, dass diese Einsicht eines Tages auch die Gerichte erreicht.

Spezifischer Generalverdacht

Anlässlich eines Festivals, das am vergangenen Wochenende in der Nähe von Leipzig stattfand, befürchtete die Polizei Übergriffe durch rumänische Diebesbanden. Diese Erwartung stützt sich auf frühere Fälle organisierter Taschendiebstähle auf Festivals. Vor dem Festival sandte die Polizei Schreiben an Hotels in der Umgebung des Festivalorts und bat deren Betreiber, den Aufenthalt rumänischer Staatsangehöriger in ihren Hotels während des Festivals der Polizei zu melden. Nun werfen einige der Polizei Racial Profiling und Rassismus vor; das Vorgehen der Polizei stelle „alle rumänischen Staatsbürger*innen pauschal unter Verdacht“. Der zuständige Datenschutzbeauftragte hingegen sieht kein Problem.

Ist die Kritik berechtigt? Diese Frage beantwortet sich, wenn man das Geschehen kontextualisiert und realistische Alternativen beleuchtet.

Hotels sind verpflichtet, die Identitäten ihrer Gäste zu erfassen, diese Daten eine Zeitlang aufzubewahren und sie auf Verlangen den zuständigen Behörden zu übermitteln. Bemerkenswert sind deshalb einzig die Aufforderung zur aktiven Meldung sowie das damit verbundene Auswahlkriterium der Staatsangehörigkeit.

Eine Alternative zur aktiven Meldung durch die Hotels wäre die regelmäßige Kontrolle aller neu ausgefüllten Meldescheine durch die Polizei in kurzen Abständen. Sie wäre zum einen zuverlässiger – Hotelangestellte könnten den Anruf bei der Polizei schon mal vergessen – und zum anderen aufwändiger. Für die letztlich Betroffenen ändert sich dadurch wenig.

Alternativ zur Nennung des Auswahlkriteriums könnte die Polizei auch alle Meldedaten der betreffenden Hotels einsammeln und selbst filtern. Auch diese hätte auch die letztlich Betroffenen keine nennenswerten Änderungen zur Folge. Jedoch nähme die Transparenz – eines der Gewährleistungsziele des Datenschutzes – ab, denn nun behielte die Polizei für sich, wonach die warum suche.

Bleibt noch das Auswahlkriterium selbst. Tatsächlich handelt es sich um eine Kombination von Kriterien, nämlich (1) die rumänische Staatsangehörigkeit, (2) der Aufenthalt in einem Hotel (3) während und in der Nähe eines bestimmten Festivals. Diese Kriterienkombination ist weit spezifischer als die bloße Staatsangehörigkeit. Gleichwohl besteht bestenfalls ein loser Zusammenhang zwischen diesen Kriterien und den gesuchten Straftätern.

Jedoch gehören vage Suchkriterien unvermeidlich zur Polizeiarbeit. Wenn Zeugen einen flüchtigen Täter als „männlich, etwa 1,80 Meter groß und dunkel gekleidet“ beschreiben, wird die Polizei in der Umgebung des Tatorts nach Menschen Ausschau halten, auf die diese Beschreibung passt, und möglicherweise mehrere Unbeteiligte kontrollieren. Begrenzt werden die Auswirkungen auf die Betroffenen durch die begrenzten Ressourcen der Polizei – Großfahndungen nach Kleinkriminellen sind nicht praktikabel – sowie durch die rechtsstaatlichen Kontrollmechanismen, insbesondere die Rechtsweggarantie.

Spezifischere Auswahlkriterien sind auch nicht per se besser. Das der Fahndung anhand wenig spezifischer Kriterien entgegengesetzte Extrem ist die Fahndung nach konkret bezeichneten Personen anhand ihrer persönlichen Daten oder mit Hilfe von Fotos. Die Zahl der potenziell Betroffenen wäre wegen der spezifischen Auswahl geringer, dafür könnte die Polizei wenige Personen intensiv bearbeiten. Die Einbindung der Öffentlichkeit würde bestimmte identifizierbare Personen betreffen statt einer grob umrissene und im Alltag nur ausnahmsweise eindeutig zu identifizierenden Gruppe.

Grund zur Empörung gibt es also kaum, zumal die Kritiker auch keinen Vorschlag unterbreiten, wie die Polizei ihre Arbeit besser machen könnte.

PS (2019-09-23): Es bestehen Zweifel, ob der Anlass der Aktion überhapt bestand.

Analyse Destatis “Verkehrsunfälle 2018”

Diese Analyse von Thomas Schlüter reiche ich gerne weiter.

Radfahren-Das überschätzte Risiko von hinten

Das Statistische Bundesamt hat am 9.7.2019 die offizielle Jahresstatistik für das Jahr 2018 veröffentlicht. Der Anstieg der Opferzahlen bei den Radfahrern führte umgehend zu einer Welle von entsprechenden Berichten und Kommentaren in praktisch allen großen Medien (Spiegel online, Zeit, FAZ, Tagesschau). Auch der ADFC nutzte die Gelegenheit, um einmal mehr mit seinen Forderungen nach “Mehr Platz fürs Rad” (vulgo: “die Fahrbahn gehört kampflos den Autos=weniger Platz fürs Rad”) und “geschützten Radwegen” (vulgo: “verstecken wir die Radwege wieder hinter Pollern und Parkplätzen”) an die Öffentlichkeit zu gehen.

Die Artikel gehen dabei diskret über den Umstand hinweg, dass in 2018 nicht nur 63 Radfahrer mehr als 2017 im Straßenverkehr verstarben, sondern dass auch die Zahl der tödlich verunglückten Kraftradfahrer sich im Vergleich zum Vorjahr um 55 erhöht hat, was auf eine gemeinsame Ursache für beide Anstiege schließen lässt. Stattdessen wird wortreich nach fahrrad-spezifischen Ursachen geforscht. Neben der…

View original post 601 more words

Datenschutzfolklore

Sommerloch 2019: FaceApp, ein seit zweieinhalb Jahren existierendes Spielzeug, das Gesichter auf Fotos manipuliert, wird zum Social-Media-Trend. Dies macht Datenschützer auf FaceApp aufmerksam und sie zeigen sich pflichtgemäß alarmiert. Originell ist daran nichts. So oder so ähnlich wurde dieses Stück mit anderen Hauptdarstellern bereits dutzendfach aufgeführt. Dennoch hält es einige Lehren bereit.

Zuerst fällt auf, dass die Gefahrenprognose vage und unkonkret bleibt. Schlimmes drohe, wenn man die App sorglos nutze, doch was dies sei, erfährt man selbst auf Nachfrage nicht. „Daten, Server, Russland, Geschäftsbedingungen!“, raunt es. Und weiter? Jedes Gesicht, das sich regelmäßig in der Öffentlichkeit bewegt, ist tausendfach fotografiert und auf Server in aller Welt hochgeladen worden. Wenn das ein Problem ist, dann eines, von dem man für gewöhnlich nichts bemerkt – also kein besonders großes.

Statt über konkrete Gefahren, mit deren Voraussage sie richtig oder falsch liegen könnten, reden Datenschützer zweitens lieber über Formalismen, insbesondere über die juristischen Begleittexte der Datenverarbeitung. Dass es daran immer etwas auszusetzen gibt, liegt an einer geschickt konstruierten widersprüchlichen Doppelbotschaft. Datenverarbeiter müssen ihr Tun mit formalen Erklärungen legalisieren. Diese Texte möglichst extensiv abzufassen, so dass sie alle Eventualitäten abdecken und alle Verantwortung auf andere abschieben, ist für sie sinnvoll. Genau dies jedoch werfen ihnen Datenschützer später vor. Im Fall von FaceApp kommt hinzu, dass der Anbieter seinen Sitz außerhalb der EU sitzt, sich deshalb nicht um die Datenschutz-Grundverordnung schert und sich in seinen AGB noch mehr Rechte nimmt als hierzulande üblich. Ob daraus reale Probleme resultieren, bleibt freilich offen.

Zu guter Letzt macht man sich die Ökonomie vager Gefahrenprognosen zunutze. Die Mahnung vor Risiken verspricht kurzfristige Gewinne an Aufmerksamkeit, denen selbst bei systematisch falschen Prognosen langfristig keine Kosten gegenüberstehen. Die wahrscheinlichste Zukunft ist jene, in der FaceApp nach einiger Zeit so vergessen sein wird wie Pokémon Go oder die Blockchain-Technologie. Voraussichtlich wird also niemand je nachfragen, was den sorglosen Nutzerinnen und Nutzern von FaceApp denn nun widerfahren sei. Bereits jetzt fragt niemand nach Opfern und Schäden aus den vergangenen zweieinhalb Jahren.

Als Taktik der Öffentlichkeitsarbeit ergibt das alles einen Sinn, solange niemand lautstark widerspricht. Ob im Ergebnis jedoch irgend jemand effektiv vor irgend einer realen Gefahr geschützt wird, bleibt offen. Hinweise auf die Qualität dessen, was der böse russische Datenkrake einsammelt, liefert uns unterdessen Twitter. Habt Ihr Angst? Wenn ja, wovor?

PS: Peter Schaar betrachtet FaceApp aus der traditionellen Perspektive des Datenschutzes. (2019-07-22)

Petition: Tempolimit 130 km/h

Kurze Durchsage:

Bis zum 3. April 2019 könnt Ihr eine aktuelle Petition für ein allgemeines Tempolimit von 130 km/h auf den deutschen Autobahnen unterzeichnen. Mehr als 13.000 36.000 40.000 44.000 52.000 59.000 Menschen haben das bis jetzt bereits getan. Die Bundesregierung lehnt ein solches Tempolimit ab, aber vielleicht wollt Ihr Euch ja nicht völlig widerstandslos regieren lassen. Initiiert und eingereicht wurde diese Petition von der Evangelischen Kirche in Mitteldeutschland.

P.S.: Falls Ihr Werbung machen möchtet, Handzettel und Aushänge zum Ausdrucken und Verteilen gibt es hier.

Gute Radwege rentieren sich nicht

TL;DR: Es kommt darauf an, welche Zielgröße man optimiert, Radwegbenutzer oder vermiedene Fahrbahnradler.

Deutsche Twitterspießer nörgeln unter dem Hashtag #runtervomradweg über geparkte Autos und andere Hindernisse auf Radwegen und Radstreifen. Manchmal feiern sie auch das gleichermaßen verbotene und wegen der Sichtbehinderung für vorbeifahrende Radfahrer gefährliche Parken links neben einem markierten Radstreifen als vorbildlich. Das finnische Gegenstück dazu heißt #kuinkesäkeli und seine Anhänger klagen vor allem über Schnee, der auf Radwegen liegen bleibt.

Subjektiv ist der Ärger über vermeidbare Hindernisse leicht nachzuvollziehen, wenngleich zu einem über die Verkehrsbehinderung schimpfenden Tweet immer zwei gehören, nämlich auch derjenige, der erst einmal anhält und ein Foto macht. Hindernisse gehen jedem auf die Nerven, das Ausweichen kann gerade auf Radwegen schwierig bis unmöglich sein und wer bei der Radwegbenutzung einen Sicherheitsgewinn fühlt, sieht sich seiner Dividende beraubt.

Brutalparker und Schneehaufen sind jedoch nicht bloß Ärgernisse des Alltags, sondern auch politisch: Sie stehen uns nicht nur konkret beim Radfahren im Weg, sondern auch im übertragenen Sinne auf dem Weg in ein Fahrradparadies, in dem wir alle gemeinsam die Hyggeligkeit Kopenhagener Radwege genießen, bis der Fahrradstau vorbei ist. Um so mehr stellt sich die Frage, warum niemand etwas tut. Den einen wie den anderen Hindernissen könnte man durch konsequentes behördliches Handeln und den regelmäßigen Einsatz von Räumfahrzeugen beikommen, was jedoch systematisch unterbleibt (Update: siehe auch den Nachtrag am Ende).

Viele Radfahrer in Kopenhagen
Fahrradstau in Kopenhagen (Foto von heb@Wikimedia Commons, CC BY-SA 3.0)

Aufschlussreicher als das Wehklagen über den Verfall der Sitten und fortwährendes Betteln um „mehr, bessere, sichere Radwege“ (neudeutsch: „Protected Bike Lanes“) ist eine ökonomische Analyse. Hinter systematischem Handeln und Unterlassen, gerade von Organisationen und Institutionen, stecken Anreizstrukturen, die dieses Handeln oder Unterlassen fördern. Wer sie nicht versteht, riskiert Überraschungen.

Radaktivisten gehen häufig von einem Einladungsmodell aus. Der Nutzen von Radwegen – am besten eines zusammenhängenden Radwegenetzes – bestehe darin, das Radfahren objektiv und subjektiv sicherer zu machen und damit Menschen zum Radfahren zu bewegen, die sonst das Auto oder den öffentlichen Nahverkehr benutzten würden. Dieser Nutzen steigt zu Beginn am schnellsten, wenn die ersten Radfahrer auftauchen, die nach dem Einladungsmodell sonst gar nicht auf dem Rad säßen. Als frei skizzierter Funktionsgraph sieht das so aus:

Funkitonsgraph der Nutzenfunktiion
Einladungsmodell. Der Nutzen von Radwegen bemisst sich nach ihrer Nutzerzahl, das Nutzenwachstum nach der prozentualen Steigerung.

Der Nutzen n wächst mit der Zahl der Radwegbenutzer r. Der Anstieg erfolgt jedoch nicht linear, sondern er verlangsamt sich um so mehr, je weiter die Zahl der Radfahrer wächst. Begonnen bei 0 verspricht eine geringe Erhöhung Δr1 der Radfahrerzahl zunächst einen im Verhältnis dazu hohen Nutzengewinn Δn1. Demgegenüber fällt der zusätzliche Gewinn Δn2 aus einer weiteren, viel größeren Erhöhung der Nutzerzahl um Δr2 vergleichsweise bescheiden aus. Solch eine Kurve erhält man, wenn man das Nutzenwachstum nach der prozentualen Steigerung bemisst, denn bei kleinen Ausgangswerten ist die Vervielfachung leicht.

Aus der Perspektive dieses Modells müsste man Hindernisse auf Radwegen radikal beseitigen, auch wenn sie, wie Schnee im finnischen Winter, nur wenige Radfahrer betreffen. Weniger radikal ginge man nach dieser Logik gegen überfüllte Radwege vor, denn sie wären kein Problem, sondern Zeichen des Erfolgs. Wie das Foto aus Kopenhagen oben andeutet, ist dies tatsächlich der Fall – der Stau auf dem Radweg wird als nachahmenswertes Vorbild herumgereicht und er ist natürlich etwas ganz anderes als ein Lieferwagen, dem mal drei Radfahrer ausweichen müssen.

Eine bessere Erklärung für die unterlassene Räumung liefert das Verlagerungsmodell. Anders als das Einladungsmodell misst es den Nutzen von Radwegen daran, wie effektiv der übrige Fahrzeugverkehr von Radfahrern befreit wird. Am nützlichsten sind Radwege demnach, wenn kein Radfahrer mehr im Kfz-Verkehr zu finden ist. Für diese Sicht können beispielsweise Unfallzahlen sprechen, die mit sinkendem Anteil der Radfahrer am Fahrzeugverkehr abnehmen, wenn auch nicht unbedingt proportional. Als Funktionsgraph skizziert sieht dieses Modell ungefähr so aus:

Funktionsgraph des Verlagerungsmodells
Verlagerungsmodell: Der Nutzen bemisst sich danach, wie wenige Radfahrer auf der Fahrbahn unterwegs sind, unabhängig davon, was sie stattdessen tun.

Auch hier tritt der höchste relative Nutzengewinn am unteren Rand ein – wer den letzten Radfahrer loswird, bekommt eine Autobahn. Jedoch spielt nun die Ausgangssituation eine Rolle: Je weniger Radfahrer ursprünglich unterwegs sind, desto weniger lassen sich überhaupt von der Fahrbahn weg verlagern, egal wohin, und desto geringer fällt deshalb der maximal erzielbare Nutzengewinn aus. Dabei kommt es nicht darauf an, ob die verlagerten Radfahrer auf einem Radweg wieder auftauchen, auf dem Gehweg, in der U-Bahn oder hinterm Lenkrad eines Autos. Wer gleich eine Autobahn baut, muss übers Radfahren gar nicht erst nachdenken.

Das Verlagerungsmodell kann erklären, wieso Radwege ungeräumt bleiben: Schnee und Brutalparker mögen die Radfahrer stören, doch das ist dem Modell egal, denn das Modell dreht sich um Störungen durch Radfahrer. Die aber bleiben aus: weil die Straße ohnehin nicht ausgelastet ist und den Radverkehr aufnehmen kann, weil es insgesamt nicht genügend Radfahrer gibt, um ernsthaft zu stören (statt nur mit ihrer Anwesenheit die Aufführung von Verletzheitsszenen zu provozieren) oder weil ängstliche Radfahrer auch ohne Radweg fernbleiben und sich das Nutzenmaximum so ganz von alleine und kostenlos einstellt. Und wo sich die Radfahrer ausnahmsweise einmal nicht selbst wegräumen, muss man nicht gleich angemessene Infrastruktur bauen. Etwas Farbe oder ein paar Verbotsschilder kosten viel weniger und erreichen dasselbe.

Nichts sei umsonst, heißt es, doch wenn das Optimierungsziel ist, möglichst wenig Radfahrer auf der Fahrbahn zu haben, dann kommt man sehr günstig weg. Jede Infrastrukturlösung ist viel teurer als das Nichtstun und leistet gemessen an abgewehrten Radfahrern doch nur dasselbe wie Untätigkeit und Verbote. Deswegen könnt Ihr mehr gute und sichere Radwege fordern solange ihr wollt – Ihr werdet sie nicht bekommen, denn sie rentieren sich nicht. Stattdessen muss man das Ziel der fahrradfreien Fahrbahn über den Haufen werfen und einen fahrrad-, fußgänger- und anwohnerfreundlichen Kfz-Verkehr zur Regel machen. Von dieser Basis aus mag man dann überlegen, welche Verkehrswege auch ganz ohne Autos auskommen.

PS: Die L-IZ hat Zahlen zur behördlichen Duldung des Brutalparkens in Leipzig zusammengetragen: Übers Jahr bemerkt das Ordnungsamt dort ca. 2000 Falschparker auf Radverkehrsanlagen, das sind im Mittel fünfeinhalb pro Tag oder im Jahr einer pro dreihundert Einwohner. In der Regel bleibt es dann beim Knöllchen; abgeschleppt wurden von Rad- und Fußverkehrsanlagen insgesamt nur 110 Fahrzeuge in drei Jahren oder drei pro Monat. Die Stadt hat an die 600.000 Einwohner.

Datenschutzzirkus

Schwerin, Marienplatz. Öffentlicher Raum. Kein Ort der Heimlichkeit und der Privatheit. Was hier geschieht, kann jeder sehen. So auch die Polizei, die den Platz mit Hilfe von Videokameras beobachtet. Daran regt sich Kritik: die Aufnahmen werden unverschlüsselt übermittelt.

Die ersten Idee zu einem Recht auf „Privacy“ – Ungestörtheit in einer individuellen Privatsphäre – verdanken wir dem Aufkommen der Fotografie sowie der Presse. Diese damals neue Entwicklung motivierte Samuel Warren und Louis Brandeis 1890 zu ihrem Essay „The Right to Privacy”, der als Wurzel aller nachfolgenden Diskussionen über die Privatsphäre und später über den Datenschutz gilt.

Hundert Jahre später erregte die „Videoüberwachung“ – die Aufnahme, Übertragung und Aufzeichnung von Bewegtbildern insbesondere für polizeiliche und verwandte Zwecke – den Zorn aller Datenschutzaktivisten und daran hat sich bis heute wenig geändert. Aus der Sicht eines Datenschutzaktivisten gehören Videokameras im öffentlichen Raum zu den schlimmsten Dingen, die uns dort begegnen können. Dies gelte sogar für eine bloße Anscheinsüberwachung durch Kameraattrappen, meinen sie, denn Ausgangspunkt ihrer Kritik ist die selten hinterfragte These, selbst eine nur scheinbare Möglichkeit der Fernbeobachtung oder Aufzeichnung verändere auf wundersame Weise das Verhalten der Beobachteten1.

Mit der Realität hat dies wenig zu tun. Wir sind heute allerorten von Kameras umgeben, allen voran jene in unseren Taschenkommunikatoren, gefolgt von anderen Kameras, die zu allerlei Zwecken in der Landschaft hängen. Von nahezu jedem Ereignis mit Nachrichtenwert taucht früher oder später mindestens ein verwackeltes Händivideo auf. Die Erwartung, sich noch irgendwo in der Öffentlichkeit, jedoch nicht vor einem Kameraobjektiv aufhalten zu können, ist absurd.

Ebenso absurd ist die Vorstellung, die allgegenwärtigen Kameras könnten uns manipulieren und unterdrücken. Wäre dem so, hätten wir es nämlich längst bemerkt. Haben wir aber nicht, also stimmt die Vermutung wahrscheinlich nicht. In Wirklichkeit tun Kameras im öffentlichen Raum niemandem weh, denn sie sehen nur das, was Menschen in aller Öffentlichkeit tun.

Mit Ausnahme der Datenschützer versteht das auch jeder und so regt sich zu Recht kaum noch Protest gegen den Kameraeinsatz. Doch so leicht geben sich Aktivisten nicht geschlagen. Für Datenschützer nimmt eine Kamera nicht nur Bilder und Videos auf, sie verwandelt auch den Anblick eines öffentlichen Raums in personenbezogene Daten, die nach Schutz verlangen.

Ob diese Daten aus einer öffentlichen Quelle stammen, spielt dabei keine Rolle, denn alle personenbezogenen Daten gelten dem Datenschutz als gleich schützenswert (mit Ausnahme der besonders schützenswerten Daten, zu denen etwa die Information gehört, dass der Papst und seine Kardinäle katholisch sind). So kommt es, dass Aufnahmen aus dem öffentlichen Raum nach Auffassung der Datenschützer verschlüsselt versendet werden müssen.

Dass dies sinnlos ist und niemanden vor irgend etwas schützt, spielt keine Rolle, denn der Datenschutz schützt Daten und nicht Menschen. Der Sensor einer Digitalkamera verwandelt ungezwungene Öffentlichkeit in ein amtliches Geheimnis.


1 Gedankenexperiment: Jemand geht in eine Bank/Spielhalle/Tankstelle, hält eine Videokamera vor sich und ruft: „Geld her, ich habe eine Kamera!“ – Würde das funktionieren? Wenn ja, warum? Wenn nein, warum nicht?

Bedrohungkonjunktive

Risiko ist ein quantifizierter Konjunktiv: Etwas kann passieren, man kann nicht genau vorhersagen, wann und wem es passiert, aber die Wahrscheinlichkeit und die Folgen lassen sich abschätzen. Seriöse Risikoanalysen betrachten deshalb das Zusammenspiel zwischen Wahrscheinlichkeiten und Auswirkungen oder irgendeinen Surrogat dafür.

Unseriöse Diskussionen lassen die Wahrscheinlichkeiten unter den Tisch fallen und konzentrieren sich auf die bloße Möglichkeit. Das Ergebnis sind Bedrohungskonjunktive, mit denen man Propaganda treiben, aber sonst wenig anfangen kann.

Wie das funktioniert, führt H.-J. Tenhagen in seiner Kolumne zum Händibezahlen bei Spiegel Online vor: Die erste Hälfte seines Textes besteht aus blumigen Erklärungen, was Finanzunternehmen und Cloudkonzerne mit den Transaktionsdaten eines Verbrauchers alles anstellen könnten.

Dabei drückt er sich um den springenden Punkt, denn es gibt unzählige Dinge, die man tun könnte, aber üblicherweise nicht tut. Die Bundeswehr könnte die Regierung absetzen, RWE das ganze von Düsseldorf bis Köln wegbaggern und nebenbei die Bevölkerung verstromen, die BASF alle deutschen Städte in die Luft sprengen und gleichzeitig das gesamte Trinkwasser vergiften und die Lufthansa Flugzeuge in Kernkraftwerke lenken.

All dies ist möglich, aber nicht sehr wahrscheinlich, weshalb uns solche Schauergeschichten keine Angst machen. Genauso sollten wir es handhaben, wenn uns jemand ins Ohr raunt, was die bösen Datenkraken alles tun könnten. Was sie könnten, ist egal; es kommt darauf an, was sie tatsächlich tun.

Sicherheitstechnik gehört nicht ins Gesetz

Die SPD-Bundestagsfraktion hat ein Positionspapier zum IT-Sicherheitsgesetz 2.0 beschlossen. Da stehen einige sinnvolle Forderungen drin, etwa nach Verbesserungen im Opferschutz und bei den zuständigen Behörden. Andere sind Blödsinn, allen voran jene nach einer Verpflichtung von Dienstanbietern zu spezifischen Sicherheitsmaßnahmen wie 2-Faktor-Authentisierung.

Sicherheit sei kein Zustand, lautet ein geflügeltes Wort, sondern ein Prozess. Dies gilt nicht nur für den Betrieb von IT-Systemen, sondern auch für ihre Entwicklung und Gestaltung. Konkrete Ausprägungen von Sicherheitsfunktionen stehen am Ende einer langen Folge von Entwurfsentscheidungen.

Viele dieser Entscheidungen sind das Resultat von Abwägungen zwischen verschiedenen Entwurfszielen auf verschiedenen Gebieten, zum Beispiel Funktionalität, Usability und Usability. Noch mehr Entscheidungen treffen gar nicht die Entwickler selbst, sondern der Markt und der Stand der Technik, der sich ständig weiterentwickelt.

In diesem Kontext einen sinnvollen und lange haltbaren Fixpunkt zu setzen, ist schwierig, und Politiker sind für diese Aufgabe noch weniger qualifiziert als jene, die wenigstens das Problem verstehen. Die besten Lösungen entstehen vielmehr durch fortwährende Evolution.

Ein Beispiel: Die URL-Zeile im Webbrowser begann ihre Karriere vor mehr als einem Vierteljahrhundert als einfaches Eingabefeld für Web-Adressen. Im Laufe der Zeit stellte sich heraus, dass gefälschte Websites für allerlei Angriffe benutzt werden können und man daher gut daran tut, die Benutzer eines Browsers so gut wie möglich bei der Erkennung solcher Täuschungsversuche zu unterstützen.

Dabei müssen gleichzeitig andere Ziele berücksichtigt werden, wenn die URL-Zeile dient weiterhin auch ihrem ursprünglichen Zweck. Über die Jahre haben die Browser-Entwickler gelernt, auf welche Einzelheiten es ankommt und wie man die verschiedenen Ziele gut unter einen Hut bekommt, und daraus Empfehlungen formuliert.

Diese Empfehlungen repräsentieren den aktuellen Stand; die Entwicklung wird weitergehen, die Anforderungen werden sich ändern und man wird für neue Aspekte des Problems neue Lösungen finden. Evolution eben. „Security by Design“ klingt zwar gut, aber Design ist nichts anderes als forcierte Evolution.

Spezifische Entwurfsvorgaben von Gesetzesrang grenzen diese Evolution willkürlich ein. Sie machen aus einem Lern- und Innovationsproblem eine Compliancefrage und eine bürokratische Angelegenheit. Damit erreichen sie genau das Gegenteil des Gewollten: Die Sicherheit erhöht sich nicht, sondern alle sind nur noch damit beschäftigt, gesetzliche Vorgaben einzuhalten, seien sie nun sinnvoll oder nicht.

Tatsächlich ist liegt simple 2-Faktor-Authentisierung alleine sogar schon hinter dem Stand der Technik. Wer sich moderne, das heißt nichtdeutsche Websites oder gar „die Cloud“ anschaut, findet dort ausgefeilte Systeme zum Identitäts- und Rechtemanagement, in denen die unmittelbare Benutzerauthentisierung nur ein Baustein ist.

Einige andere Bausteine sind an der Benutzerschnittstelle zum Beispiel die Verwaltung von Clientgeräten (Funktionen wie: „Alle angemeldeten Geräte abmelden“), Benachrichtigungsfunktionen („Jemand hat Ihr Passwort dreizehnmal falsch eingegeben.“), die Nichtbehinderung von Passwortmanagern sowie Recovery-Funktionen, mit denen Benutzer in verschiedenen Situationen (Passwort vergessen, gehackt, E-Mail-Adresse verändert) wieder Zugang zu ihrem Account bekommen. All diese Bausteine sind sicherheitsrelevant und jeder von ihnen sowie ihr Zusammenspiel unterliegt ebenso wie die Gestaltung der URL-Zeile im Browser der fortlaufenden Evolution.

Gesetzestexte können schon die statische Komplexität des Themas nicht fassen, von der Weiterentwicklung gar nicht zu reden. Konkrete gesetzliche Vorgaben zur Gestaltung von Authentisierungsfunktionen wären schon bei Inkrafttreten des Gesetzes veraltet oder unvollständig. Sogar als rein wirtschaftlich motivierte Marktregulierung taugt der Ansatz wenig: Ausgerechnet heimische Anbieter wie GMX und Web.de tun sich schwer mit der Zwei-Faktor-Authentisierung, während sie bei den Großen aus Amerika längst Standard ist. Ganz ohne Gesetz übrigens.

Ich wäre der Politik dankbar, wenn sie sich auf das Formulieren von User Stories* beschränken und die Technik den ITlern überlassen würden. Glauben Sie mir, meine Damen und Herren, und das möchte ich hier in aller Deutlichkeit betonen: Es ist besser so. Wer die Evolution der Technik wirklich beeinflussen möchte, sollte das indirekt über die Anreize tun.


*) Eigentlich: Anforderungen, aber die Erklärung, warum Lösungsvorschläge schlechte Anforderungen sind, wäre mir hier zu lang geworden.

 

PS: Jemand hat mir dieses Video zum Thema zugespielt, das ich nachträglich im Text mit verlinkt habe.

Nichts zu verbergen – nicht zu diesem Preis

Der Spruch, man habe ja nichts zu verbergen, ist der Lieblingsstrohmann aller Datenschutzaktivisten und Polizeigegner. An ihm arbeiten sie sich ab, um zu zeigen, dass doch jeder etwas zu verbergen habe und demnach auf ihrer Seite stehen müsse im Kampf gegen den jeweilige Datenkraken des Tages.

Nun ist es legitim, für die Beschränkung polizeilicher, geheimdienstlicher und sonstiger Befugnisse einzutreten. Der Nichts-zu-verbergen-Strohmann unterstellt jedoch eine allgemeine individuelle Betroffenheit, um das Strohmann-Argument sodann mit der Annahme einer ebenso universellen Geheimnisträgerschaft zurückzuweisen.

Wo die Schwäche dieses oft replizierten, jedoch selten reflektierten Arguments liegt, wird deutlich, wenn man es sauberer formuliert. Wie auch sonst überall – genauer, außerhalb der bloßen Ideologie – muss man in Sicherheitsfragen Nutzen und Kosten abwägen. Dabei hat jeder Beteiligte und jeder Betroffene seine eigene Sicht; was dem einen schadet, muss dem anderen nicht in gleichem Maße nützen und umgekehrt.

Da wir über Zukunftsaussichten mutmaßen, haben alle Annahmen Wahrscheinlichkeitscharakter und wir rechnen mit Erwartungswerten. Die bekannte Risikoformel – Risiko gleich Eintrittswahrscheinlichkeit mal Schadenshöhe – ist nichts anderes als die Definition eines Erwartungswerts.

Sagt nun jemand, er habe nichts zu verbergen, so bedeutet dies sauber formuliert, er sehe für sich kein hinreichendes Risiko n der diskutierten Maßnahme, welches ihre Ablehnung rechtfertigen würde, sondern einen ausreichenden Nutzen, um sie hinzunehmen. Diese Einschätzung mag im Einzelfall richtig oder falsch sein, doch handelt es sich nicht per se um ein falsches Argument.

In einem funktionierenden Rechtsstaat haben Bürger, die sich nichts zuschulden kommen lassen, wenig zu befürchten. Dafür sorgt nicht in erster Linie Technik, sondern Recht, Gewaltenteilung und das daraus resultierende Institutionengefüge. Dieser Apparat, der die Staatsmacht ausübt und gleichzeitig zügelt, ändert sich nicht fundamental, nur weil einzelne Institutionen wie die Polizei neue Einsatzmittel und -möglichkeiten erhalten.

Es ist deshalb legitim, sich auf den Rechtsstaat und die Demokratie zu verlassen, das eigene wie das gesellschaftliche Risiko aus neuen Einsatzmitteln der Exekutive als gering einzuschätzen und daraus resultierend Vorschläge zu befürworten oder hinzunehmen. Das – oft erfolglos – Zustimmung heischende Strohmannargument, jeder habe etwas zu verbergen, ignoriert die Risikobetrachtung. Es ist deshalb unsachlich, fundamentalistisch und überholt.