Sol-Daten auf dem Schlachtfeld des 21. Jahrhunderts

Brennende Ölquelle im Irak, 2003. Foto: Arlo K. Abrahamson, US Navy

Daten sind das neue Öl, heißt es.
Wie viele Kriege wurden bereits um Öl geführt?
Wie viele Menschen werden in Kriegen um das neue Öl sterben?

Ich habe mich in einem Blogartikel aus 2015 mit dem Cyberkrieg beschäftigt. In drei Thesen habe ich versucht aufzuzeigen, welche Macht von Daten ausgeht, die von außerhalb kontrolliert werden können.

Ein äußerst lesenswerter Artikel in der WELT zeigt auf, wie real diese Gefahr ist. Dabei geht es nicht, wie in meinem Essay, um die Kontrolle einzelner aufgrund unbedachter Datenweitergabe oder der Ausspähung einzelnder über Geheimdienste. Es geht um die gezielte Ausspähung und Manipulation von Staaten durch Staaten – und die weltweiten Datenströme als „Schlachtfeld des 21. Jahrhunderts“.

Ich empfehle den Artikel von Marc Neller und Florian Feller unbedingt zu lesen.

BND-Gesetz: NSA-Methoden jetzt auch legal in Deutschland!

Neubau BND Zentrale. Foto: Thomas Hildmann (Hildi), CC-Lizenz

Neubau BND Zentrale. Foto: Thomas Hildmann (Hildi), CC-Lizenz

In dem Artikel BND Brother is watching us habe ich mich bereits kritisch über das geplante BND-Gesetz geäußert. Am Freitag wird nun es vermutlich im Bundestag beschlossen werden. Das enttäuscht mich zutiefst. Ich muss sagen, dass ich die neuen Befugnisse des Inlandsgeheimdienstes als Beschneidung meiner Freiheitsrechte ansehe.

Im Prinzip erlaubt das Gesetz alle Praktiken des Inlandgeheimdienstes in Sachen, die durch den Prüfbericht der Datenschutzbeauftragten ans Tageslicht gekommen sind. Die strengen Regeln, die bislang für die Überwachung, die Datensammlung und Weitergabe an die NSA gegolten haben, fallen praktisch weg. Der BND wird mächtiger und intransparenter. Beides zur gleichen Zeit. Das hätte ich bei einer deutschen Behörde nie für möglich gehalten.

netzpolitik.org bringt die Auswirkungen des BND-Gesetzes in einem knappen Artikel in Wort und Bild auf den Punkt. Hier eine ausführlichere Darstellung.

Wenn ich könnte, würde ich morgen und übermorgen in Berlin mitdemonstrieren. Die Abgeordneten müssen wissen, dass sich Bürgerinnen und Bürger gegen die gesetzlich erlaubte Überwachung wehren. Auch wenn ich befürchte, dass ein Großteil der Deutschen dem Gesetz gleichgültig oder sogar zustimmend gegenüber steht. Wenns dem Staate dient?! Wir haben ja nichts zu verbergen!

Datensammler, Überwacher und der US-Wahlkampf

Ist die Schlacht „Gut gegen Böse“ eröffnet?

An einer Stelle der Debatte um die informationelle Selbstbestimmtheit wird mir zu wenig differenziert: Sind alle Unternehmen und Dienste, die Daten sammeln, Überwacher?
Auf einer Tagung in der vergangenen Woche habe ich mich dazu mit Kolleginnen und Kollegen ausgetauscht, die überwiegend dieser Ansicht waren: Ein Smartphone würde überwachen, so die Mehrheitsmeinung, Google auch, Facebook ebenso, und auch Windows 10 sei aus diesem Grunde abzulehnen.

Diese Einschätzung teile ich nicht. Es gibt einen Unterschied zwischen Überwachern und Datensammlern. Keinen 100%ig klaren, aber eine zumindest einen, der als Orientierung für den Weg durch die Informationsgesellschaft gelten kann. Beide Ansätze, also die Überwachung und die Datensammlung, haben logischerweise mit Daten zu tun, über beide wurde hier bereits geschrieben – aber beide sind ethisch ganz anders zu bewerten.

Datensammler

Datensammler sammeln Daten aus Apps, Programmen und Diensten, die wir nutzen, und werten sie aus. Sie tun das,

  • damit die Dienste/Apps/Programme funktionieren,
  • um personalisierte Onlinewerbung zu generieren,
  • oder um die Bedürfnisse der Kunden zu verstehen.
    Oder aus allen drei Gründen zusammen.

Drei Beispiele: Wenn meine Navigationsapp nicht auf meinen Standort zugreifen darf, funktioniert sie nicht. Wenn Facebook meine Aktivitäten nicht analysiert, kann es keine personenbezogene Werbung generieren und verliert seine Geschäftsgrundlage.
Und Microsoft sammelt nach eigenen Worten in Windows 10 Benutzerdaten, um seine Nutzer zu kennenzulernen und die Erfahrungen in die weitere Softwareentwicklung einzubringen.

Datensammlung ist nicht per se gut, genauso wie Überwachung nicht immer „böse“, im Einzelfall sogar notwendig sein kann. Man kann jedes der oben genannten Motive zur Datensammlung aus guten, in diesem Blog an verschiedenen Stellen erwähnten, Gründen ablehnen – und die Datensammlung umgehen, indem man den jeweiligen Dienst nicht nutzt.
Womit wir bei den Unterscheidungskriterien zwischen Datensammlung und Überwachung wären.

  • Transparenz
    Datensammler legen in der Regel dar, wofür sie die Daten benötigen. Deren AGBs sind häufig nicht leicht zu verstehen, und das vielleicht sogar hin und wieder mit Absicht. Aber vertrauenswürdige Hersteller von Software verfassen dieses Dokument verständlich und beschreiben darin, wozu welche Daten benötigt werden und wann sie erhoben werden. Wenn AGBs nicht verständlich sind oder diese Infos nicht enthalten, obwohl die Software definitiv aufs Internet zugreift (und damit Daten generiert), würde ich das Produkt ablehnen.
    Andersherum: Wer den Herstellern eine über die in verständlicher Sprache geschriebenen AGB erwähnten Zwecke hinausgehende Verwendung der Daten vorwirft, ohne Beweise oder zumindest gute Argumente dafür vorzulegen, greift in die Weltverschwörungskiste.
  • Souveränität der Nutzer
    Als Nutzer/in habe ich die Wahl, durch Verzicht auf die Dienstleistung der Datensammlung auszuweichen. Im besten Fall lässt mich der Dienst die Datensammlung regulieren bzw. ausschalten.

Nach dieser Definition würde ich z. B. folgende Dienste und Unternehmen, die in diesem Blog Erwähnung bereits erwähnt wurden, Datensammler nennen: Microsoft, Apple, Google, Facebook, Whatsapp, Quizduell – wobei ich den letzten beiden Apps, wie bereits hier und hier dargelegt, stark misstraue.

Überwacher

(C) deathtothestockphoto.com

(C) deathtothestockphoto.com

Überwacher sammeln Daten und werten sie aus, um die Daten-Geber zu kontrollieren und daraus Schlüsse zu ziehen. Die Schlüsse können, müssen aber nicht mit der App, dem Dienst oder dem Programm zu tun haben.
In Abgrenzung zu den Datensammlern handeln sie intransparent und ohne die Souveränität der Nutzer/innen zu respektieren. Sie lassen die Nutzer/innen im Unklaren darüber, was mit den Daten geschieht. Denn wer sich freiwillig überwachen lässt, wird das nicht Überwachung nennen, sondern Kontrolle (seine eigene Kontrolle).
Es kann sein, dass ich überwacht werde, ohne dass ich es merke, wenn nämlich

  1. die genutzte App / die genutzte Software der Zweck, der Ort und der Zeitpunkt der Datensammlung verschweigt
  2. die App „legitim“ Daten sammelt und jemand sie illegalerweise „abfischt“. Natürlich spreche ich hier vor allem von der NSA und dem GCHQ. Und dann wird es richtig gefährlich: Durch das Agieren im Dunkeln können Überwacher die Daten auch manipulieren, sie dem Daten-Geber zurück spielen (vielleicht wieder über „gekidnappte“ Apps) und ihm so eine falsche Realität vorspielen.
    Über diese Gefahr, die im Zeitalter des „Internets der Dinge“ noch einmal steigen wird, habe ich hier bereits einige Worte verloren.

Überwacher bleiben also so lange unerkannt, bis sie enttarnt werden. Das hat Edward Snowden bei der NSA und dem GCHQ getan. Und das tun kluge Informatikspezis auch heute immer wieder bei Apps, die mit den erhobenen Daten mehr machen, als sie dürfen. (Wobei im Falle der Snowden-Enthüllungen bis heute nicht geklärt ist, was die Geheimdienste genau mit den massenhaft gesammelten Daten machen und welche Schlüsse sie daraus ziehen.)

Offene Fragen.

Die oben genannten Aspekte sind für mich zum Wegweiser durch den Dschungel der digitale Welt nach Edward Snowden geworden. Mit ihrer Hilfe versuche ich digitale und mobile Dienste zu nutzen, ohne auf Komfort zu verzichten zu müssen oder meine digitale Selbstbestimmtheit aufzugeben.
Zwei Fragen bleiben aber. Für die erste haben mich meine Kollegen in der vergangenen Woche sensibilisiert: Was geschieht mit den Daten der Datensammler in 10, 20 oder 30 Jahren? Niemand kann voraus sagen, ob es Google (oder Facebook, oder Apple…) dann noch gibt, ob das Unternehmen meine Daten dann noch so (relativ) gut sichert und ob es nach den gleichen moralischen Standards handelt wie heute.
Wer angesichts der Möglichkeit, dass Googles Daten irgendwann in die Hände eines totalitären Regimes fallen, nicht panisch alle Stecker zieht und zum digitalen Eremiten wird, kann nur die Prinzipien äußerster Datensparsamkeit (keine Info, die nicht unbedingt wichtig ist) und Datenhygiene (Verteilung der Daten auf viele Dienste und löschen aller obsoleten Onlinekonten) anwenden, um den digitalen Fußabdruck so klein wie möglich zu halten. Man weiß ja nie.

Zudem bleiben die Grenzen, ich hatte es oben angedeutet, unscharf. Die Frage, ob eine App, ein Programm oder ein Hersteller ein Daten-Sammler oder Daten-Missbraucher ist, ist nicht 100% zu beantworten. Ob er die Daten also nur für die in den AGBs genannten Zwecke nutzt, ob er darin etwas verschweigt oder ob er gar keine hat, weil er sich die Daten zusammenklaut.

Zumindest bei Apps, Diensten und Programmen, wo wir also die Wahl einer Nutzung oder Nicht-Nutzung haben, setze ich auf die Macht der Öffentlichkeit: Zum einen gibt es quelloffene Programme (Open Source), deren Programmcode frei zugänglich ist. Das bietet Transparenz, denn ein Missbrauch der Daten würde schnell von der wachsamen Netzgemeinschaft entdeckt. Zum anderen halte ich die Produkte der großen Unternehmen (wie den oben genannten) grundsätzlich für „sauberer“ als die kleinerer Codingbutzen. Denn die Großen stehen so stark unter der Beobachtung durch Datenschützer und kritische Journalisten, dass eine über die Zugesagte hinaus gehende Verwendung der Nutzerdaten aus Imagegründen sehr heikel wäre
.
Das macht das Muscular-Programm der NSA, mit dem sich der Geheimdienst illegal Zugriff auf die Server von Google und Yahoo verschafft hat, ja so perfide.

Das erklärt auch, warum die großen Datensammler gerne (behaupten) die gleichen Interessen wie ihre Kunden (zu) vertreten, zumindest im Kampf gegen die Geheimdienste.

Und das macht die aktuelle Diskussion in den USA um Hintertüren in Iphones so wegweisend.

Gut und Böse

(c) deathtothestockphoto.com

(c) deathtothestockphoto.com

Ein Gericht will Apple verpflichten, den Behörden Zugang zu dem Iphone eines Terroristen zu geben. Soweit, so gut – aus meiner Sicht ist das Ansinnen der Richter legitim, Apple kooperiert auch, kann in diesem Fall aber nicht helfen, weil die Daten auf dem Smartphone verschlüsselt sind.
Die Anweisung enthält jedoch echten Sprengstoff: Das Gericht verpflichtet Apple zudem künftig Hintertüren in sein Betriebssystem iOS einzubauen, so dass die Strafverfolger künftig leichter an verschlüsselte Informationen auf dem Smartphone heran kommen. So versteht zumindest Apple-Chef Tim Cook die Weisung – und lehnt sie ab. In einem offenen Brief (Original hier) misstraut er der Aussage des FBI, von der Hintertür nur „eng kontrolliert“ Gebrauch zu machen:

„Einmal erstellt, könnte eine solche Technik wieder und wieder genutzt werden, für beliebig viele Geräte. In der realen Welt wäre das Äquivalent ein Generalschlüssel, der hunderte Millionen Schlösser öffnet – von Restaurants und Banken bis zu Geschäften und Eigenheimen. Kein vernünftiger Mensch fände das akzeptabel.“

Ich auch nicht. Ich kann mich einer gehörigen Portion Respekt für Apple und seinen Chef nicht erwehren. Und für seine Produkte, denn ich hätte nicht für möglich gehalten, dass die Verschlüsselung eines Smartphone das FBI vor ernste Probleme stellt.
Cook will keinen Präzendenzfall zulassen, mit dem die US-Behörden künftig alle Soft- und Hardwarehersteller zum Einbau von Hintertüren zwingen können. Und so springen ihm, wenig überraschend, auch seine Kollegen aus dem Silicon Valley, namentlich Whatsapp-Gründer Jan Koum und Google-Chef Sundar Pichai zur Seite.
US-Präsidentschaftskandidat Donald Trump stellt sich jedoch auf die Seite des FBIs, seine demokratische Herausforderin Hillary Clinton zumindest ein bisschen – und so scheint es, als sei die Schlacht eröffnet:
Die Schlacht zwischen Datensammlern und Überwachern.
Ist es die Schlacht „Gut“ gegen „Böse“?
Stehen die „Bösen“ auf der guten Seite?
Ich bin gespannt auf den Ausgang.

P. S.: Microsoft hat sich bereits ebenfalls schon einmal für die Datenhoheit seiner Nutzer stark gemacht: Im November 2014 weigerte sich das Unternehmen einem Gericht Zugriff auf Emails eines Microsoftkunden zu geben, die auf Servern in Irland lagerten. Klar, hier ging es vor allem um die Frage nach der Territorialgewalt von Gerichten. Aber dass nicht nur AT&T, Verizon und Cisco Microsoft in dieser Sache unterstützt haben, sondern auch die Bürgerrechtsoranisation EFF, zeigt einen Konsens zwischen Bürgern und (auch Daten sammelnden) Unternehmen: Daten gehören denen, die sie produzieren. Ich hoffe, dass wir nach der Schlacht ein dickes Ausrufezeichen dahinter machen können.