Archiv der Kategorie: Begriffe

Zehnerlei Corona-App

Begriffe, By Design, Covid-19, Gadget, IT, Propaganda, , ,

Als Phantom ist „die“ Corona-App in aller Munde, nein, Medien. Sie inszeniert sich als Gegenstand eines Expertenstreits um die Frage, welche Architektur den technischen Datenschutz am besten gewährleiste, eine „zentrale“ oder eine „dezentrale“, und wer narzisstische Bestätigung sucht, schlägt sich öffentlich auf die eine oder die andere Seite. Dreihundert Informatikprofessoren zum Beispiel sehen sich ihrer Bedeutung beraubt, weil ihren Rat gerade niemand schätzt, und die Aktivistenclubs, die auch sonst zu jedem Thema die Hand heben, stehen ihnen in nichts nach.

Ihr Horizont bleibt eng und technisch, und so meiden sie neben der grundlegenden konzeptionellen Frage, was eine Corona-App überhaupt zu leisten hätte, sogar den rechtlichen und institutionellen Teil der Datenschutz-Debatte. Auf Ideen wie die einer spezifischen rechtlichen Regelung oder einer vertrauenswürdigen Institution zur Überwachung der außerordentlichen Datenverarbeitung aus besonderem Anlass kommen sie schon nicht mehr. Letztlich wollen nur sie bei einigen technischen Entscheidungen mitreden und führen dazu den Vorwand ins Feld, genau diese Entscheidungen seien essenziell für das Vertrauen der Nutzerinnen und Nutzer.

Mit App-Konzepten und Anwendungsszenarien aus anderen Ländern haben sich diese Diskursschauspieler offenbar so wenig auseinandergesetzt wie mit Institutionskonstrukten à la Stasi-Unterlagen-Behörde, mit einer umfassenden Anforderungsanalyse so wenig wie mit dem Verlauf von Entwurfs- und Entwicklungsprozessen. Sie zweifeln nicht am Projekt der automatisierten Kontaktverfolgung, das sie ohne Diskussion als einziges denkbares Funktionsprinzip einer Corona-App annehmen, sondern sie möchten diese Kontaktverfolgung in einigen willkürlich gewählten technischen Dimensionen perfektionieren. Erwägungen jenseits der Technik beschränken sich auf die Mahnung, „die“ App müsse auf jeden Fall nur freiwillig zu verwenden sein.

Über diese Debatteninszenierung haben wir ganz vergessen, grundlegende Fragen zu klären. Tatsächlich gibt es „die“ App gar nicht, sondern ganz verschiedene Zwecke und Konzepte des App-Einsatzes in der Seuchenbekämpfung. Eine Auswahl:

(1) Kontaktverfolgung – Smartphones als persönliche und häufig am Körper getragene Geräte erfassen Daten über das Verhalten ihrer Träger, mit denen sich im Fall einer Infektion Kontaktpersonen der oder des Infizierten leichter oder zuverlässiger ermitteln lassen. Sowohl die Datenerfassung als auch ihre spätere Verwendung kann man unterschiedlich gestalten. Daten können (1.a.I) automatisch erhoben oder wie in den ersten Versionen von Stopp Corona  (1.a.II) manuell erfasst werden. Ebenso lassen sich die aufgenommenen Daten (1.b.I) automatisch verwenden, um erfasste Kontaktpersonen über eine Infektion zu informieren, oder (1.b.II) menschlichen Kontaktverfolgern anbieten, um deren Arbeit zu unterstützen. Allein daraus ergeben sich vier Kombinationsmöglichkeiten; für welche man sich entscheidet, bestimmt die Erfolgsaussichten wie auch die Art der zu erhebenden Daten.

(2) Statistische Erhebungen – Die Smartphones der App-Nutzer und daran angeschlossene Geräte wie Fitness-Armbänder und Digitaluhren werden zu einem Netz verteilter Sensoren, dessen Daten ohne Personenbezug zu wissenschaftlichen und statistischen Zwecken ausgewertet werden. Die Corona-Datenspende-App des RKI setzt dieses Konzept um.

(3) Selbstdiagnose – Eine App oder Website fragt bei Infektionsverdacht Symptome und Risikofaktoren ab und gibt daraufhin Verhaltensempfehlungen, etwa den Rat, einen Arzt anzurufen oder ein Testzentrum aufzusuchen. Zusätzlich können die gewonnenen Daten analog zu (2) der Forschung und Statistik dienen. Die Nutzung kann (3.a) freiwillig und anonym erfolgen wie bei der Website Covid-Online (zurzeit in Überarbeitung) des Marburger Universitätsklinikums und der Philipps-Universität oder (3.b) verpflichtend im Rahmen einer flächendeckenden Früherkennung.

(4) Quarantäneüberwachung – Quarantänepflichtige Personen weisen ihren Aufenthalt regelmäßig mit Hilfe Smartphones nach. Dazu muss zum einen die Bewegung des Geräts überwacht werden, zum anderen die räumliche Nähe zwischen Gerät und Besitzer. Die digitale Quarantäneüberwachung lässt Schlupflöcher, erleichtert jedoch gegenüber anderen Formen der Überwachung – zum Beispiel häufigen Hausbesuchen – die Arbeit der Gesundheits- und Ordnungsbehörden. Nutzerinnen und Nutzer müssen kooperationsbereit sein.

(5) Digitale Seuchenpässe – Das Smartphone wird zum Speicher und Träger von Nachweisen, nach deren Kontrolle Privilegien gewährt werden können. Nachgewiesen werden kann einerseits (5.a) der (wahrscheinliche) Infektionsstatus, etwa durch die Zeitpunkte und Ergebnisse von Tests oder Selbstdiagnosen (siehe Nr. 3) und das Nichtbestehen einer Quarantäneanordnung. Diesem Ansatz folgt der chinesische Health Code. Andererseits ließe sich auch (5.b) der Immunstatus nach überstandener Infektion oder später nach einer Schutzimpfung auf diese Weise bescheinigen. Dies jedoch ist umstritten, einmal aus medizinischen Erwägungen, da die Frage der Immunität nach einer Infektion noch nicht ausreichend geklärt ist, aber auch praktischen und ethischen Gründen, da ein Immunitätspass ohne verfügbare Schutzimpfung einen Anreiz schaffen kann, sich absichtlich zu infizieren oder sich auf unlautere Weise einen falschen Nachweis zu verschaffen.

Das sind fünf verschiedene Anwendungen in insgesamt zehn Varianten und diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit. In fast allen Fällen muss man sich rechtzeitig Gedanken über Alternativen für Menschen ohne geeignetes Smartphone machen. Genuin technisch und die Besonderheiten der Plattform „Smartphone“ ausnutzend erscheinen (1), (2), und (4). Können wir jetzt endlich die Phantomdiskussion um eine zentrale oder dezentrale automatisierte Kontaktverfolgung beenden und debattieren, ob und wie wir die Bekämpfung des Coronavirus digital unterstützen möchten? Danke.

Making Sense of Blockchain Mania

Begriffe, English, Geschäft, IT, , , , ,

A spectre is haunting the Internet – the spectre of blockchain. Some claim it to be a disruptive technology, others think it is bullshit. In favor of the bullshit point of view the blockchain narrative lacks convincing use cases and looks like a solution in search of problems. On the other hand, a number of reputable companies seem to believe that this blockchain thing does somehow matter. Are we witnessing a mass delusion or is there more to it?

In a recent post, Peak Blockchain, I argued that that blockchain craze has a lot in common with the way Second Life, an online 3D toy world, was being hyped and then forgotten a little more than a decade ago. Perhaps there is more to this analogy than just the way attention rises and then drops in both cases, blockchain and Second Life. A real but boring trend may lure behind the exciting (at least to some) surface and its catchy name.

Second Life reached its peak of attention during the first half of 2007. Conceptually it never made sense: Except for certain types of computer games and some special-purpose applications, 3D worlds rarely make for usable user interfaces. Just imagine having to browse the shelves of a virtual 3D library instead of just googling or having to use an on-screen replica of a good old typewriter to write a letter instead of using a word processor – a user interface should support relevant task rather than needlessly replicate constraints of the physical world.

Despite the obvious flaws of Second Life as a tool and platform for anything, many well-known companies fell for the hype and built experimental presences in this virtual world. At least one of them, IBM, went even further and attempted to turn Second Life into a collaboration support business. Was everyone crazy?

Not entirely. The 3D toy environment of Second Life was merely the bullshit version of a real trend. Around 2007 the web had evolved from a distributed hypertext system into an interactive application platform (“Web 2.0”). Blogs had appeared on the scene (e.g., WordPress – 2003, wordpress.com – 2005). Cloud computing was on the rise, although nobody called it so yet (e.g., Google Docs/Sheets/Slides – 2006, Dropbox – 2007). Social networks and media were evolving (Myspace – 2003, Facebook – 2004, Twitter – 2006). While Second Life itself did not make much sense, it symbolized in its over-the-top manner what was going on as a proxy instance and gave it a name.

Looking at the recent blockchain mania from this angle, today’s trend-behind-the-craze might be the automated interaction of networked artifacts in emergent systems of systems. The evolution of the Internet has not stopped after turning all our computers, tablets, phones, and watches into cloudtop devices, user interfaces to (collections of) services that reside on the network.

Today we are moving toward an Internet of Things (IoT) where thing means anything that is a computer without looking like one. Networked computers come in a variety of shapes today. At home we find entertainment devices streaming audio and video into our living rooms, voice assistants that let us talk to the Internet, and home automation letting us control anything from lights to heating through our smartphones. Then there are connected and increasingly, autonomous cars as well as charging infrastructure for electric vehicles. Manufacturing equipment from machines and robots to entire factories continues to be automated and networked, as does agriculture.

Trend graphs showing search interest over time
Search trends for “blockchain” (blue) and “IoT” (red) over the past five years

Technically these cyber-physical systems are networked computers as we know them. However, they consist of increasingly autonomous entities forming emergent systems of (semi-)autonomous systems. On the one hand, autonomy is the key feature in cases like autonomous driving or autonomous robots. On the other hand, many IoT devices lack traditional user interfaces and their ability to interact with users in other ways than over the Internet remains rather limited.

As a consequence, IoT devices need the capability to interact with cloud services and with each other without requiring human intervention and perhaps also to make transactions autonomously. For example, one blockchain application that has been mentioned is charging of autonomous electric cars – a car buying electricity from a charger. This interaction must be secure, whatever this may mean in the particular case, and there is no such thing as a PGP key signing party for IoT devices.

Blockchains and cryptocurrencies are unlikely to solve any of the pertinent problems, but the problems are real: transactions between devices, managing access to continuously produced machine data, keeping manufacturing instructions under control while getting them where they are being needed, and so on. I suspect this is the grain of truth in blockchain mania. At some point everyone will drop the burnt term but continue to work on the actual problems and actual solutions.

Was heißt hier „cyber“?

Begriffe, Regierungsviertel, Security, , , , , ,

Die Cyberwehr dient Neuland. Was heißt das?

Seit einigen Jahren und erst recht seit der Ankündigung des Verteidigungsministeriums, die Bundeswehr um das eben aufgestellte Kommando Cyber- und Informationsraum (KdoCIR) als neue Teilstreitkraft zu erweitern, reden alle vom Cyberkrieg. Die Online-Armee soll „Waffensysteme und Computernetze der Bundeswehr schützen, aber auch zu Angriffen in der Lage sein.“

Konkreter wird die öffentliche Diskussion selten. Von hackenden Russen und Chinesen (Spy vs. Spy?) – seltener: Amerikanern et al. – mit staatlichem Auftrag ist öfter die Rede und gelegentlich erinnert jemand an Stuxnet als erste „Cyberwaffe“. Was, wenn jemand so eine Cyberwaffe gegen kritische Infrastrukturen wie die Wasser- oder Energieversorgung unseres Landes einsetzt? Müssen wir da nicht zurückschlagen können?

Jetzt haben wir also eine Cyberwehr, die irgendwas mit Internet, Hacking und IT-Sicherheit macht, auch offensiv und im Ausland, um uns vor sowas zu beschützen. Wann braucht sie dafür ein Bundestagsmandat oder Routingrechte für die Cyber- und Informationsräume anderer Staaten? Wo verlaufen die Grenzen zwischen Angriff und Verteidigung? Ergeben solche Fragen überhaupt einen Sinn und was unterscheidet das Cybermilitär von der Security-Abteilung eines Unternehmens?

Die öffentliche Berichterstattung und Diskussion wirft munter verschiedene Dimensionen des Themas durcheinander. Ich sehe mindestens drei verschiedene Aspekte:

  1. „Cyber“ als IT-Betrieb und Sicherheitsmanagement, wie wir sie kennen: Jede Organisation muss sich um den sicheren Betrieb und das Sicherheitsmanagement ihrer vernetzten Systeme kümmern, so auch die Bundeswehr. Das ist in erster Linie eine Admin- und Abwehraufgabe und für eine Armee die Ausdehnung von Wachdienst und Spionageabwehr ins Internet sowie auf die militärischen Kommunikationssysteme und die IT der Waffensysteme. Bundestagsmandate braucht man dafür so wenig wie für das zivile Gegenstück nach BSI-Kompendium. Soldaten braucht man dafür auch nur bedingt; die Bundeswehr könnte auch einen IT-Dienstleister beauftragen.
  2. „Cyber“ als Erweiterung des Waffenarsenals und Operationsraums: Im Rahmen militärischer Einsätze werden zusätzlich oder alternativ zu herkömmlichen Waffen auch „Cyberwaffen“ eingesetzt, das heißt das Ziel der Operation wird auch durch Eingriffe in Netze und IT-Systeme verfolgt. Statt Bomben auf Kraftwerke zu werfen, könnte die Truppe beispielsweise versuchen, den Strom im Operationsgebiet mit anderen Mitteln abzuschalten. Für solche Einsätze braucht die Bundeswehr ohnehin ein Mandat.
    Abzuwarten bleibt, wie gut „Cyberwaffen“ in diesem Zusammenhang wirklich funktionieren. Kanonen, Gewehre, Geschosse und Bomben haben den Vorteil, im Kern sehr einfachen Funktionsprinzipien zu folgen. Sie lassen sich massenhaft herstellen und unter Feldbedingungen flexibel gegen verschiedene Ziele einsetzen. Ob es eine gute Idee ist, die Energieversorgung zu hacken, statt ein Kommando ins oder Bomber übers Kraftwerk zu schicken, wird sich zeigen.
  3. „Cyber“ als neuer Raum für Konflikte geringer Intensität: Die Informationstechnik ermöglicht auch neuartige Aktionsformen unterhalb der Schwelle zum offenen militärischen Konflikt. Stuxnet ist das prominenteste Beispiel: Ein Staat verfolgt Ziele im Ausland durch Eingriffe in fremde IT-Systeme. Solche Operationen haben eher einen geheimdienstlichen als einen militärischen Charakter.
    Solche Operationen sind neu und international gibt es damit wenig Erfahrung, deshalb stellen sich hier die interessanten Fragen: Was ist ein militärischer Angriff, was nur ein unfreundlicher Akt? Welche Ziele sind legitim, welche Antworten angemessen? Und wie findet überhaupt heraus, wer der Angreifer war? Aufgrund der geheimdienstlichen Natur solcher Operationen wäre die Forderung nach einem vorher zu erteilenden spezifischen Bundestagsmandat kontraproduktiv. Stuxnet illustriert all diese offenen Fragen.

Um qualifiziert und zielführend zu diskutieren, müssen wir uns auf klare gemeinsame Begriffe einigen. Wenn Euch jemand vollcybert oder von hybriden Bedrohungen schwätzt, dann fragt ihn also erst einmal, wovon er eigentlich redet. Denkt daran: „Cyber“ ist immer für eine Geschichte gut und nicht alle Geschichten stimmen auch.

(Getriggert von Holger Schauer bei G+)

PS: Thomas Wiegold erklärt nüchtern, was das KdoCIR tut. Außerdem gibt’s dort die Rede der Vercyberungsministerin zum Anhören und auszugsweise zum Nachlesen.

Vortrag: „Security by Design?“

Anforderungen – Requirements, Begriffe, By Design, Events, Forschung, Security, ,

Triggerwarnung: work in progress

Vergangene Woche durfte ich auf dem 1. IT-Grundschutztag 2017 zum Thema Security by Design? vortragen. Das Leitthema der Veranstaltung war Application Security und ich habe passend zu unserer Forschung einen Blick auf die Softwareentwicklung geworfen. Sichere Software ist leicht gefordert, aber die Umsetzung im Entwicklungsalltag bereitet Schwierigkeiten: In frühen Phasen der Entwicklung kämpft man mit Ungewissheit und es ist schwer, Entscheidungen zu treffen; später weiß man mehr, aber die Veränderung wird schwierig – nicht nur technisch, sondern auch in den Strukturen und Routinen des Entwicklerteams.

Der Vortrag entstand aus einer früheren Fassung, die ich gemeinsam mit Andreas Poller auf dem Workshop „Partizipatives Privacy by Design“ im vergangenen Oktober in Kassel gehalten habe. Aus Andreas’ Vortrag auf der CSCW’17 habe ich mir auch Slides geborgt.

Wer die Tonspur zu den Slides hören möchte: einfach fragen.

Besondere Arten personenbezogener Daten

Begriffe, Datenschutz, Risiko

Das Bundesdatenschutzgesetz hebt einige Arten personenbezogener Daten heraus und stellt sie an mehreren Stellen unter einen noch strengeren Schutz. Die Definition:

»Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.« (§ 3 (9) BDSG)

Die Idee dahinter ist so einfach wie plausibel: Datenschutz geht nicht nur selbst aus den Grundrechten hervor, er soll auch vor Eingriffen in andere Grundrechte schützen.

Angela Merkel am Rednerpult auf einem CDU-Parteitag
(Quelle: CDU/CSU-Bundestagsfraktion, CC-BY-SA, https://commons.wikimedia.org/wiki/File:Cdu_parteitag_dezember_2012_merkel_rede_04.JPG)

Was heißt das? Nehmen wir unsere Bundeskanzlerin als Beispiel. Dass sie Deutsche ist, der CDU nahesteht und sich zur evangelischen Spielart des christlichen Glauben bekennt, diese Angaben gehören zu den besonderen Arten personenbezogener Daten. Je nach Auslegung fallen diese Angaben vielleicht sogar hier im Blog unter das BDSG, immerhin ist ein Blog was mit Computern.

Nicht zu den besonderen Arten personenbezogener Daten gehören zum Beispiel ihre  Wohnanschrift oder die Vorratsdaten ihres privaten Mobiltelefons (deren Speicherung  allerdings eine eigene Rechtsgrundlage neben dem BDSG hat).

Ist das eine sinnvolle Risikorientierung des Datenschutzes? Fürs Individuum nicht unbedingt. Welche Daten welche Risiken implizieren, lässt sich im Einzelfall nicht an so einer Grobklassifikation festmachen. Im Fall der Kanzlerin gäbe es sicher so manchen, der sie gerne mal zu Hause besuchen würde (vor ungewollten Besuchen schützt sie freilich der Personen- und nicht der Datenschutz), und wann sie mit wem telefoniert, dürfte so manchen mehr interessieren als ihr religiöses Bekenntnis oder Aspekte ihres Lebenslaufs. Das bleibt so, wenn wir eine weniger im Licht der Öffentlichkeit stehende Person wählen; auch dann korrespondieren die individuellen Risiken nicht unbedingt mit den Datenarten nach BDSG.

Mehr Sinn ergeben die besonderen Arten personenbezogener Daten, wenn wir eine Kollektivperspektive annehmen. Eigentlich möchten wir erreichen, dass bestimmte Arten der Datenverarbeitung gar nicht versucht oder sehr erschwert werden, etwa ein Gesundheitsscoring durch Arbeitgeber als Grundlage für Einstellungs- und Kündigungsentscheidungen. Nicht ohne Grund ähneln die Kategorien aus § 3 (9) BDSG jenen des Antidiskriminierungsgesetzes AGG.

Gesellschaftliche Entwicklungen sind immer mit einem gewissen Konformitätsdruck auf Individuen verbunden. Die Kollektivperspektive gehört deshalb in den Datenschutz; individuelle Rechte sind nur dann etwas wert, wenn man sie auch praktisch ohne Nachteile ausüben kann. Dass sie dort auf den ersten Blick unpassend (und in manchen Ausprägungen paternalistisch) wirkt, liegt an der starken Grundrechtsbetonung. Datenschutz kommt als Grundrecht daher, das ich persönlich in Anspruch nehme. Die kollektive Klimapflege ist Voraussetzung dafür, aber der Zusammenhang ist nicht offensichtlich.

Security and protection systems guard persons and property against a broad range of hazards, including crime; fire and attendant risks, such as explosion; accidents; disasters; espionage; sabotage; subversion; civil disturbances; bombings (both actual and threatened); and, in some systems, attack by external enemies. Most security and protection systems emphasize certain hazards more than others. In a retail store, for example, the principal security concerns are shoplifting and employee dishonesty (e.g., pilferage, embezzlement, and fraud). A typical set of categories to be protected includes the personal safety of people in the organization, such as employees, customers, or residents; tangible property, such as the plant, equipment, finished products, cash, and securities; and intangible property, such as highly classified national security information or „proprietary“ information (e.g., trade secrets) of private organizations. An important distinction between a security and protection system and public services such as police and fire departments is that the former employs means that emphasize passive and preventive measures.

(Encyclopædia Britannica)