Archiv der Kategorie: How to

Digitaler Veganismus

Kelbers wohlfeile Datenschutztipps an die falsche Adresse sehe ich als Symptom eines allgemeineren Trends. Nicht nur suchen sich amtliche Datenschützer mit den Bürgerinnen und Bürgern die falsche Zielgruppe, sie verbreiten dabei auch gerne fragwürdige Verhaltensmaßregeln, die zu ignorieren meist sehr vernünftig scheint. Ich nenne diese Maßregeln digitalen Veganismus, weil sie willkürlich sind, nur eine ideologische Begründung haben und sie den Alltag erschweren, ohne nennenswerten Nutzen zu stiften.

Veganer können nicht einfach zum Bäcker gehen und ein Brot kaufen, sondern müssen dort erst die Zutatenliste studieren, um herauszufinden, ob nicht jemand einen Schluck Milch oder einen Löffel Butter oder eine unglückliche Küchenschabe in den Teig gerührt hat. Glücklich wird, wer sich dabei einen Distinktionsgewinn einreden kann; die meisten Menschen hingegen kaufen einfach das Brot, das ihnen schmeckt und sind damit zufrieden. Als individuell gewählte Lebensweise ist das eine wie das andere völlig in Ordnung. Öffentliche Stellen, die den Veganismus empfählen, gibt es meines Wissens nicht.

Im Datenschutz hingegen geben Aufsichtsbehörden, Universitäten, Aktivist*innen und andere nur zu gerne Tipps für das, was sie gerne „digitale Selbstverteidigung“ nennen. Im Wesentlichen laufen diese Tipps meist darauf hinaus, sich allerorten von „Datenkraken“ verfolgt zu fühlen und Zuflucht in einem digitalen Aluhut in Form originellen, das heißt von den Gebräuchen des Mainstreams abweichenden Verhaltensweisen zu suchen. Das Angebot Data Kids der Berliner Datenschutzbeauftragten zum Beispiel warnt vor „diebi­schen dreis­ten Daten­wolken“ und „Krakina Kompli­zia“ und empfiehlt dagegen das Ritual, eine Abdeckung für eine Kamera zu bauen als sei der meist nur eingebildete Kameramann im Laptop ein relevantes Problem. Wie man dagegen rechtzeitig bemerkt, dass ein Kammergericht in ihrem Zuständigkeitsbereich in Sachen Sicherheit und Datenschutz nicht einmal näherungsweise auf der Höhe der Zeit ist, weiß die Beauftragte anscheinend  nicht, sonst hätte sie es ja bemerkt. Das ist freilich auch etwas anspruchsvoller als Kindern das Märchen von Krakina Komplizia und den sieben Clouds zu erzählen.

An die ewigen Warnungen offizieller Datenschützer, WhatsApp sei haram sei, weil es Adressbücher aus einer Cloud in eine andere hochlade, haben wir uns längst gewöhnt. Kein Mensch schert sich darum; WhatsApp ist so alltäglich geworden wie das Telefon, weil es umstandslos und ohne Schmerzen (naja) funktioniert. Nur wo die Datenschützer Macht haben, ist WhatsApp abweichend vom Normalen verboten – man möge bitteschön Alternativen nutzen.

Auf diesem Niveau bewegen sich die meisten Empfehlungen aus dem Reich des digitalen Veganismus: Andere Messenger als die meisten Menschen möge man benutzen, einen anderen Browser, ein anderes Betriebssystem, andere Suchmaschinen und andere Landkarten. Seine E-Mail möge man verschlüsseln, die Cloud links liegenlassen und bei Bedarf besser eine eigene betreiben als hätte man alle Zeit der Welt und nichts Wichtigeres zu tun. Und wer einen Termin mit anderen abstimmen wolle, solle nicht irgendeinen Terminplaner benutzen, sondern bitteschön Nuudle, am besten mit dem Tor-Browser über das Tor-Netz (im Volksmund Darknet genannt).

Einen objektiven Nutzen hat diese Kasteiung nicht, doch kann man sich selbst dafür belohnen, indem man sich einredet, zu den Erleuchteten zu gehören und im Gegensatz zur vermeintlich blöden Masse der „Sheeple“ das Richtige zu tun. Das ist zwar ziemlich arrogant, aber wer diesen Teil im Stillen abwickelt und nach außen nur seine oberflächlich als hilfreich und wohlmeinend verpackten Ratschläge zeigt, bekommt wenig Gegenwind. Wenig Erfolg auch, denn die meisten Menschen fragen sich hier ebenso wie im Angesicht eines Zutatenlisten wälzenden Veganers, was das denn solle und bringe, warum sie sich so etwas antun sollten. Erfolg ist jedoch gar nicht gewollt, denn er würde alles zerstören: Begänne eine Mehrheit damit, den Ratschlägen zu folgen, wäre das Wohlgefühl der Ratgeber dahin.

 

Crew Resource Management

In this talk, Nickolas Means tells the story of United Airlines Flight 232, which on July 19, 1989 crash-landed in Sioux City after suffering a mid-air engine explosion and consequent loss of hydraulics. Although the crash killed more than a third of the passengers and crew, the fact that the aircraft made it to the airport at all and more than half of the occupants survived is widely attributed to extremely good airmanship and collaboration in the cockpit. Airlines teach their pilots how to work and cooperate effectively under stress and United 232 continues to be cited as a success story for this type of training.

Schnapsidee: Falschfahrerwarnung als Werbegag in der Radio-App

Der Radiosender Antenne Bayern hat sich von Bosch einen Werbegag für seine App bauen lassen und mir stehen die Haare zu Berge. Es handelt sich um eine neue Funktion in der App des Senders, eine Falschfahrerwarnung. Das noble Ziel: „Keine Verkehrstoten mehr durch Falschfahrer“, doch der Weg erscheint fragwürdig.

Die Warnfunktion besteht offenbar aus zwei Teilen. Der eine erkennt Falschfahrten daran, dass sich eine aktive Instanz der App in der falschen Richtung durch eine Autobahnauffahrt bewegt, und meldet dieses Ereignis an einen Clouddienst. Der andere empfängt Warnmeldungen und gibt sie aus. Nach eigenen Angaben hat man dabei auch an den Datenschutz gedacht. Technisch ist das so weit plausibel und den Datenschutz glaube ich einfach mal ohne Prüfung. Wenig Sinn ergibt jedoch das Konzept insgesamt, wenn als übliche Anforderungen an einen Sicherheitsmechanismus erstens Verlässlichkeit verlangt und zweitens die Anpassung der Technik an den Menschen.

Die Verlässlichkeit scheitert daran, dass sie Warnfunktion in einer Radio-App steckt. Erkannt werden nur Falschfahrer, welche die App benutzen und die Funktion aktiviert haben, gewarnt ebenso nur Nutzer der App mit aktivierter Warnfunktion. Laut den Mediadaten für Antenne Bayern hat die App im Monat knapp 300.000 „Unique User“. Das entspricht etwa der Einwohnerzahl von Bayerns drittgrößter Stadt Augsburg oder weniger als 2,5% der bayerischen Bevölkerung. Gehört ein Geisterfahrer nicht zu dieser Minderheit, warnt auch niemand vor ihm. Nach Angaben von Bosch steckt die Funktion noch in einigen anderen Apps, aber das ändert nichts am grundlegenden Problem, dass Entertainment-Apps kein guter Träger für Sicherheitsfunktionen sind.

Selbst wenn die Warnfunktion auf jedem bayerischen Mobiltelefon aktiv wäre, übersähe sie immer noch ausgerechnet ortsunkundige Auswärtige sowie jeden, der das Telefon zu Hause ließe, dessen Akkuladung zur Neige ginge oder der im Funkloch geisterführe. Umgekehrt hätten Bayern auswärts wenig von der Warnfunktion, nähmen sie per App zwar ihren Lieblingssender mit, begegneten jedoch in der Fremde falschfahrenden Saupreißn ohne App. Man müsste schon gewaltiges Glück in einem nicht sehr wahrscheinlichen Unglück haben, um aus der App überhaupt jemals eine gerechtfertigte und spezifische Warnung zu erhalten.

Nicht verlässlich scheint die App auch im Hinblick auf die Abdeckung relevanter Gefahrensituationen. Geisterfahrer im engeren Sinne können überall auftreten und zur Gefahr werden, wo Straßen getrennte Richtungsfahrbahnen haben und hohe Geschwindigkeiten gefahren werden. Laut Beschreibung erfasst die App nur Autobahnen und lässt damit Bundesstraßen und andere autobahnähnliche Schnellstraßen unberücksichtigt. Darüber hinaus würde mich interessieren, wie das System mit ausgedehnten und unkonventionellen Falschfahrten umgeht. Bei mir vor der Haustür schaffte ein betrunkener Lkw-Fahrer vor einem Jahr eine Geisterfahrt von einem Rastplatz über 21 Kilometer und ein Autobahnkreuz, bevor er gestoppt wurde. Wer nur Auffahrten überwacht, müsste sehr großflächig vor der Gefahr warnen, um alle Betroffenen erreichen zu können.

Unklar bleibt aus der kurzen Erläuterung, wie hoch das Risiko von Fehlwarnungen ist. Merkt es die App oder die Cloud dahinter, wenn etwa ein Bauarbeiter Antenne Bayern hört und sich bei der Arbeit falsch herum durch eine Autobahnabfahrt bewegt? Oder ein Autofahrer, der eine Panne hat und mit dem Händi in der Tasche ordnungsgemäß das Warndreieck aufstellt? Und wie steht es um Manipulationsmöglichkeiten? Was passiert, wenn jemand mit aktiver App in der falschen Richtung neben der Abfahrt herläuft? Wie ist der Clouddienst gegen das Einspeisen falscher Daten aus anderen Quellen als der echten App geschützt?

Daneben stellen sich bei einer solchen Funktion Fragen der benutzergerechten Gestaltung. Falls die App verlässlich warnen könnte, so müsste sie den betroffenen Fahrern – dem Geisterfahrer sowie jenen, denen er entgegenkommt – eine wirksame Warnung übermitteln. Da Geisterfahrten selten sind, wird es sich in der Regel um die erste Warnung dieser Art handeln, die der Fahrer erhält, und dann bleibt keine Zeit zum Nachdenken.

Unter diesen Umständen kommt eigentlich nur eine akustische Warnung mit einer direkten Handlungsanweisung in Frage. Vorbilder dafür liefert jedes moderne Flugzeugcockpit in unmittelbaren Gefahrensituationen. So warnt das Ground Proximity Warning System (GPWS) vor bevorstehendem Bodenkontakt und das Traffic Alert and Collision Avoidance System (TCAS) vor Zusammenstößen mit anderen Flugzeugen. Beide Systeme sagen den Piloten in knappen Worten, was sie tun sollen, denn für alles andere ist keine Zeit. Im Falle des TCAS wird die Anweisung zudem mit dem anderen Flugzeug koordiniert, so dass die Piloten des einen Flugzeugs zum Steigen und die anderen zum Sinken aufgefordert werden. Piloten werden zudem darauf trainiert, mit diesen Warnungen richtig umzugehen. Demgegenüber lenkt eine App auf dem Händi mit einer ungewohnten Warnung eher ab als dass sie hülfe und auf eine situationsabhängige Ausweichanweisung hoffen Betroffene wohl vergebens.

Im Auto und erst recht in einer Radio-App muss man sich außerdem noch Gedanken darüber machen, wie man wirklich wichtige Informationen aus dem Geplapper der Radiomoderatoren, des Navigationsgeräts oder des E-Mail-und-Kurznachrichtenvorlesers heraushebt. Vielleicht ist der Sprachkanal dann doch keine gute Wahl und es wäre besser, den entgegenkommenden Geisterfahrer im Head-Up-Display mit einem größer werdenden roten Punkt zu markieren.

In der vorliegenden Form ist die Falschfahrerwarnung in der Radio-App nichts weiter als ein Werbegag und daran änderte sich wenig, machten möglichst viele Menschen in Bayern mit, wie es sich der Sender wünscht. Eine sinnvolle Warnfunktion müsste Falschfahrten überall verlässlich, aber ohne Fehlarme und Manipulationsmöglichkeiten erkennen und in Gefahrensituationen verbal spezifische, umsetzbare Anweisungen zur Gefahrenabwehr geben. Dazu müsste sie zwingend in die Fahrzeugelektronik integriert sein – Hersteller Bosch sieht dies anscheinend als Alternative zum Smartphone vor – und zur Detektion von Falschfahrten auf absehbare Zeit zusätzlich auf Sensoren außerhalb der Fahrzeuge zurückgreifen. Wäre man darauf nicht angewiesen, könnte man gleich das Entwurfsziel ändern und überlegen, wie man Falschfahrer rechtzeitig stoppt, statt vor ihnen zu warnen.

Mythos personalisierte Werbung

“There is a rational explanation for everything.
There is also an irrational one.”
Schwa World Operations Manual

Eines der Gebiete, die Laien zur Algorithmenschelte einladen, ist die automatisierte Werbung. Wenn wir – ohne Adblocker – Websites besuchen, wählen geheimnisvolle Algorithmen aus, welche Werbung wir zu sehen bekommen, gespeist von Daten aus Trackern, die uns im Internet auf Klick und Reload verfolgen. Wahre Wunderdinge erzählt man sich von diesen Algorithmen: Sie kennten uns besser als wir selbst, wüssten um unsere Interessen und könnten unsere Kaufentscheidungen mit personalisierter Werbung manipulieren. Die Realität ist oft viel banaler. So geisterte vor Jahren eine Geschichte durchs Netz und die Medien vom Supermarkt mit dem passenden Namen Target, der einer Kundin mutmaßlich aufgrund der Daten aus einem Rabattprogramm à la Payback Werbung für Babysachen nach Hause schickte, bevor sie selbst wusste, dass sie tatsächlich schwanger war. Solche Ereignisse wiederholen sich bis heute, doch wenn die Algorithmen falsch liegen, entpuppt sich das ganze Wunder zum Beispiel als naheliegender Schluss aus den weiterverkauften Daten eines Zyklustrackers nach versäumter Dateneingabe. Auch im ersten Fall dürfte die Erklärung harmlos sein, handelt es sich doch um einen Einzelfall und wir wissen nicht, bei wie vielen Empfängerinnen Target falsch lag.

Das Modell vom algorithmisch durchleuchteten und manipulierten Konsumenten führt vielfach in die Irre. Es unterstellt „den Algorithmen“ Fähigkeiten, die sie so nicht haben, erklärt unerwartetes Verhalten fälschlich als Irrtümer einer Intelligenz und verengt die Vorstellung von Werbung auf personalisierten Druckverkauf von Consumer-Produkten. Aus dieser Perspektive erscheinen Beobachtungen grotesk, wie sie der Journalist Hendrik Wieduwilt machte und belustigt teilte:

Belustigter Tweet über Twitter-Werbung für militärische Transporthubschrauber
Psst, brauchst du Transporthubschrauber? Gute Stoff, NATO nimmt auch!

Was auf den ersten Blick und mit dem Modell der persönlich zugeschnittenen Werbung im Hinterkopf wie eine erheiternde Fehlfunktion wirkt, lässt sich in Wirklichkeit leicht erklären. Die Kaufentscheidung, um die es geht, fällt im Verteidigungsministerium. Seit Anfang des Jahres läuft das Beschaffungsverfahren für einen neuen Transporthubschrauber für die Bundeswehr. Einer der beiden Bieter* ist Boeing mit dem gezeigten Modell Chinook.

Ein wie auch immer gearteter direkter Einfluss dieser Werbung auf die Beschaffungsentscheidung der Bundeswehr ist nicht zu erwarten. Man investiert nicht mehrere Jahre in die Vorbereitung und Abwicklung eines Beschaffungsverfahrens, nur um am Ende die Ministerin nach Bauchgefühl und der am häufigsten gesehenen Anzeige entscheiden zu lassen. Dennoch ergibt die Werbung Sinn, wenn man sie Teil einer Imagekampagne betrachtet, mit der die öffentliche Meinung zugunsten des eigenen Angebots gepflegt werden soll. Welche Wirkung man davon am Ende erwarten kann, sei dahingestellt; schaden wird es nicht, der Öffentlichkeit bekannt zu sein.

Besonders gut zielen muss man mit einer solchen Kampagne nicht, sie soll ja viele erreichen. Eine Portion Targeting wird dennoch im Spiel sein und das versteht man am besten, wenn man es als Ausschluss offensichtlich unsinniger Versuche auffasst.

Henry Ford wird das in verschiedenen Fassungen kursierende Zitat zugeschrieben: „Ich weiß, die Hälfte meiner Werbung ist hinausgeschmissenes Geld, ich weiß nur nicht welche Hälfte.“ Die Chance, mit Werbung bei einem zufällig ausgewählten Individuum eine Wirkung zu erzielen, ist gering, meist viel geringer als fünfzig Prozent. Es gibt kein Geheimwissen, mit dem sich dies grundlegend ändern ließe. Denkt nur daran, wie viel Werbung Ihr Tag für Tag ignoriert, für wie viele Produkte Ihr Werbung erhaltet, die Ihr nie kaufen würdet.

Dennoch lassen sich die Erfolgsquoten einer Kampagne pro Kontakt und damit das Kosten-Nutzen-Verhältnis optimieren, indem man offensichtlich chancenlose Versuche gleich ganz bleiben lässt und die dafür sonst aufzuwendenden Kosten einspart. Im vorliegenden Fall zielt die Kampagne auf Deutschland. Man kann also schon mal auf alle Versuche verzichten, bei denen die Empfänger keinen Bezug zu Deutschland haben. Das ließe sich noch näherungsweise durch die Auswahl der Medien und sonstigen Werbeumfelder erreichen, wie man es früher getan hat und in Printmedien noch tut. Im Internet mit seinen zentralen Werbeplattformen ist man jedoch weniger eingeschränkt und so ließe sich diese Zielgruppenbeschränkung auch dann noch umsetzen, wenn jemand Slashdot oder El País oder eben Twitter besucht.

Je nach Ausrichtung der Kampagne könnte eine weitere Einschränkung sinnvoll sein, nämlich auf relevante Entscheider und Multiplikatoren, also ungefähr höhere Militärs und Verteidigungsbeamte sowie Journalisten und einflussreiche Blogger. Ob das hier der Fall ist, weiß ich nicht. Vielleicht bekommt auch jeder zurzeit Hubschrauberwerbung, ob Journalistin, Militär, Klempnerin oder Katzenbildblogger. Wer wahrscheinlich journalistisch tätig ist, kann Twitter wissen; ob es sich ohne weitere Verknüpfung aus Tracking-Daten herauslesen ließe, weiß ich nicht. Um hingegen jemanden halbwegs verlässlich als, sagen wir, Staatssekretär im BMVg einordnen zu können, wird man ihn de facto persönlich identifizieren oder sich auf seine Angaben verlassen müssen.

So fein müssen Zielgruppen freilich gar nicht immer abgegrenzt werden, auch wenn man zuweilen von Microtargeting liest. Brauchbare Einschränkungen beim Zielen auf Entscheidungsträger könnten Kriterien sein wie: „hat studiert und ist schon etwas älter“, oder „verfügt mutmaßlich über ein monatliches Einkommen von mehr als x-tausend Euro“. Wichtig ist nur, dass man halbwegs verlässlich möglichst große Zahlen derjenigen ausschließt, die man nicht erreichen möchte.

Das heißt nicht, dass die Werbewirtschaft nicht alle Daten sammeln würde, die sie kriegen kann, oder dass sie Hemmungen hätte, über jeden einzelnen von uns ein persönliches Dossier anzulegen. Doch die mächtigen  und geheimnisvollen Algorithmen, die uns durch unsere DSL-Anschlüsse gleichsam direkt ins Gehirn schauen und unser Verhalten vorhersagen könnten, diese Algorithmen gibt es nicht.


*) Als einziger Konkurrent tritt der ebenfalls amerikanische Hersteller Sikorsky an und die Ausschreibung war wohl so formuliert, dass auch niemand sonst überhaupt die Bedingungen erfüllen konnte. Angesichts dessen frage ich mich, warum wir bei der Bundeswehr nicht so einen Souveränitätszirkus veranstalten wie für die Cloud, obwohl wir doch auf diesem Gebiet mit Airbus sogar über einen eigenen Kandidaten verfügen.

IT Security made in Germany

Das Berliner Kammergericht hat sich Emotet eingefangen, den „König der Schadsoftware” (BSI), und arbeitet seither im Notbetrieb. Wer den Schaden hat, braucht für den Spott nicht zu sorgen, und so melden sich auch aus diesem Anlass jene „Experten“ zu Wort, denen nichts besseres einfällt als den Opfern die Schuld in die Schuhe zu schieben und sie zu verhöhnen:

„Auch generell sollte man sich fragen, ob man eine E-Mail mit einem Anhang von dem angezeigten Absender erwartet – denn die Kennung könnte gefälscht sein. Im Zweifel sollte man den Absender anrufen und ihn fragen, ob die E-Mail wirklich von ihm kommt. Anhänge mit den Dateiendungen ‚.exe‘ oder ‚.zip‘ sollte man generell nicht öffnen, denn sie können noch viel leichter Viren und Trojaner enthalten.“

(Bastian Benrath @ FAZ.net:
Wie ein Trojaner das höchste Gericht Berlins lahmlegte)

Das ist eine Bankrotterklärung. In Wirklichkeit muss ein Computersystem, mit dem man E-Mail liest, in der Lage sein, mit den empfangenen Nachrichten umzugehen. Und zwar selbständig und ohne Nachhilfe seiner Nutzer, zumal wenn es sich dabei nicht um IT-Experten handelt, sondern um Richter und Justizangestellte.

So etwas ist kein Hexenwerk. Schon wer den Schritt in die Cloud geht und seine E-Mail konsequent zum Beispiel mit den Anwendungen von Google (GMail + Office Suite + Drive) bearbeitet, dürfte um Größenordnungen sicherer sein als Old-School-PC-Benutzer, die jeden Anhang herunterladen und lokal öffnen.

Doch die Cloud, zumal die ausländische aus Amerika, wo die Datenkraken hausen und nichts auf die deutsche Hochkultur von Datenschutz bis Algorithmenethik geben, die Cloud gilt als haram und ist zu meiden. Ehe man sich mit dem Teufel einlässt, opfert man lieber ein Kammergericht und hofft, so den Zorn der Götter zu besänftigen. Unsere Gesellschaft ist in der IT-Sicherheit so rückständig wie in allem anderen, was mit Informationstechnik zu tun hat.

Um Missverständnisse zu vermeiden: Das heißt nicht, dass man nur alle Daten zu Google tragen müsse und alles werde gut. Doch wir nehmen anscheinend nicht einmal mehr zur Kenntnis, dass sich die Welt in den letzten Jahrzehnten weitergedreht hat, manches Problem lösbar geworden ist und sich die wohlmeinenden Hinweise von einst – Sei vorsichtig im Internet! – als wenig hilfreich erwiesen haben.

Die Politik hat bereits einen Plan, wie wir die Weltspitze einholen wollen, ohne sie zu überholen: indem wir sie zerschlagen, ach was, zerschmettern! wie es einst die Armee unserer Großväter mit ihren Gegnern zu tun pflegte, bevor sie Schal und Mütze für kalte Tage zu Hause vergaß und ihrerseits zerschmettert wurde. Freilich nicht mit einem Heer, dessen Ausrüstung die Bedingungen des Versailler Vertrags besser denn je erfüllt, sondern mit neuen Schwertern des Wettbewerbsrechts, die im GWB-Digitalisierungsgesetz gerade geschmiedet werden.

Wäre doch gelacht, wenn wir uns nicht ein drittes Mal eine blutige Nase holen könnten. Wer weiß, vielleicht endet es diesmal damit, dass die Chinesen vorbeikommen und Harmonie exportieren.

Spezifischer Generalverdacht

Anlässlich eines Festivals, das am vergangenen Wochenende in der Nähe von Leipzig stattfand, befürchtete die Polizei Übergriffe durch rumänische Diebesbanden. Diese Erwartung stützt sich auf frühere Fälle organisierter Taschendiebstähle auf Festivals. Vor dem Festival sandte die Polizei Schreiben an Hotels in der Umgebung des Festivalorts und bat deren Betreiber, den Aufenthalt rumänischer Staatsangehöriger in ihren Hotels während des Festivals der Polizei zu melden. Nun werfen einige der Polizei Racial Profiling und Rassismus vor; das Vorgehen der Polizei stelle „alle rumänischen Staatsbürger*innen pauschal unter Verdacht“. Der zuständige Datenschutzbeauftragte hingegen sieht kein Problem.

Ist die Kritik berechtigt? Diese Frage beantwortet sich, wenn man das Geschehen kontextualisiert und realistische Alternativen beleuchtet.

Hotels sind verpflichtet, die Identitäten ihrer Gäste zu erfassen, diese Daten eine Zeitlang aufzubewahren und sie auf Verlangen den zuständigen Behörden zu übermitteln. Bemerkenswert sind deshalb einzig die Aufforderung zur aktiven Meldung sowie das damit verbundene Auswahlkriterium der Staatsangehörigkeit.

Eine Alternative zur aktiven Meldung durch die Hotels wäre die regelmäßige Kontrolle aller neu ausgefüllten Meldescheine durch die Polizei in kurzen Abständen. Sie wäre zum einen zuverlässiger – Hotelangestellte könnten den Anruf bei der Polizei schon mal vergessen – und zum anderen aufwändiger. Für die letztlich Betroffenen ändert sich dadurch wenig.

Alternativ zur Nennung des Auswahlkriteriums könnte die Polizei auch alle Meldedaten der betreffenden Hotels einsammeln und selbst filtern. Auch diese hätte auch die letztlich Betroffenen keine nennenswerten Änderungen zur Folge. Jedoch nähme die Transparenz – eines der Gewährleistungsziele des Datenschutzes – ab, denn nun behielte die Polizei für sich, wonach die warum suche.

Bleibt noch das Auswahlkriterium selbst. Tatsächlich handelt es sich um eine Kombination von Kriterien, nämlich (1) die rumänische Staatsangehörigkeit, (2) der Aufenthalt in einem Hotel (3) während und in der Nähe eines bestimmten Festivals. Diese Kriterienkombination ist weit spezifischer als die bloße Staatsangehörigkeit. Gleichwohl besteht bestenfalls ein loser Zusammenhang zwischen diesen Kriterien und den gesuchten Straftätern.

Jedoch gehören vage Suchkriterien unvermeidlich zur Polizeiarbeit. Wenn Zeugen einen flüchtigen Täter als „männlich, etwa 1,80 Meter groß und dunkel gekleidet“ beschreiben, wird die Polizei in der Umgebung des Tatorts nach Menschen Ausschau halten, auf die diese Beschreibung passt, und möglicherweise mehrere Unbeteiligte kontrollieren. Begrenzt werden die Auswirkungen auf die Betroffenen durch die begrenzten Ressourcen der Polizei – Großfahndungen nach Kleinkriminellen sind nicht praktikabel – sowie durch die rechtsstaatlichen Kontrollmechanismen, insbesondere die Rechtsweggarantie.

Spezifischere Auswahlkriterien sind auch nicht per se besser. Das der Fahndung anhand wenig spezifischer Kriterien entgegengesetzte Extrem ist die Fahndung nach konkret bezeichneten Personen anhand ihrer persönlichen Daten oder mit Hilfe von Fotos. Die Zahl der potenziell Betroffenen wäre wegen der spezifischen Auswahl geringer, dafür könnte die Polizei wenige Personen intensiv bearbeiten. Die Einbindung der Öffentlichkeit würde bestimmte identifizierbare Personen betreffen statt einer grob umrissene und im Alltag nur ausnahmsweise eindeutig zu identifizierenden Gruppe.

Grund zur Empörung gibt es also kaum, zumal die Kritiker auch keinen Vorschlag unterbreiten, wie die Polizei ihre Arbeit besser machen könnte.

PS (2019-09-23): Es bestehen Zweifel, ob der Anlass der Aktion überhapt bestand.

Massenhafte Individualmanipulation ist viel zu teuer

Der aktuelle Skandal um Facebook und Cambridge Analytica ist gar nicht so neu. Die Geschichte von der psychometrischen Wahlkampfbeeinflussung geistert schon länger durch die Medien. Ganz knapp lautet die Erzählung: Jemand verwendet Daten aus Quellen wie Facebook, um Persönlichkeitsprofile von Wählern zu erstellen, und nutzt diese Profile zur gezielten Beeinflussung.

Das ist eine wunderbare Gruselgeschichte, aber nicht besonders plausibel. Zweifel an der Effektivität wurden bereits vor einem Jahr laut und auch im Zuge der aktuellen Diskussion sieht so mancher mit Ahnung mehr Angeberei als reale Fähigkeiten. Zu recht, denn die Geschichte von der Manipulation durch Persönlichkeitsprofile passt besser zu naiven Vorstellungen als zum real existierenden Internet. Sie ergibt ökonomisch keinen Sinn.

Individuen wählen bereits ohne Nachhilfe aus den verfügbaren Informationen diejenigen aus, die zu ihrem Weltbild passen. Bestätigungsfehler nennt man das – wir richten unsere Überzeugungen nicht nach rational abgewogenen Argumenten, sondern wir legen uns zu unseren Überzeugungen die passenden Argumente zurecht und ignorieren, was ihnen widerspricht. Diesen Effekt könnt Ihr beispielsweise in jeder Diskussion über Fahrradhelme beobachten, wo nie jemand seine Ansichten ändert. Das ist natürlich in dieser Form etwas übertrieben, denn nicht alle Ansichten sind fest gefügt und etwas Spielraum für erfolgreiche Überzeugungsarbeit bleibt.

Wenn sich jeder zu seinem Weltbild die bestätigenden Inputs sucht und inkompatible Aussagen verwirft, gibt es keinen Grund, Kampagnen aufwändig an individuelle Ansichten und Vorlieben anzupassen. Man kann einfach alle mit allen Botschaften in allen möglichen Versionen zuschütten, selbst wenn man eigentlich nur auf ein paar Zweifler und Wankelmütige zielt. Nichts anderes geschieht in einem klassischen Wahlkampf oder auch bei herkömmlicher Werbung.

Dass man dennoch bei jeder Werbung, ob politisch oder nicht, eine Optimierung durch Targeting versucht, hat vor allem einen ökonomischen Hintergrund. Ein Werbekontakt, der von vornherein ohne Erfolgschance beibt, weil das Ziel am Inhalt kein Interesse hat, ist rausgeworfenes Geld. Man wird deshalb versuchen, absehbar überflüssige Werbekontakte zu vermeiden.

Bei einem Plakat am Straßenrand geht das nicht. In den herkömmlichen Medien kann man sich an der Demografie der Konsumentinnen orientieren und seine politische Werbung wahlweise in der FAZ, der taz, dem Neuen Deutschland oder dem Bayernkurier schalten und damit grob verschiedene Zielgruppen ansprechen. Außerhalb der Politik tun Zeitschriftenverlage nichts anderes als zielgruppenspezifische Werberahmenprogramme zu gestalten, etwa Computermagazine für Anfänger, Fortgeschrittene und Profis, Automagazine, Sportzeitschriften (getrennt nach Sportarten) und so weiter.

Absehbar überflüssig ist statistisch gesehen alle Werbung – die Reaktionsraten bleiben, Optimierung hin oder her, verschwindend gering. Das dürfte ähnlich auch für Beeinflussungsversuche gelten, die im Gewand von Nachrichten oder Gerüchten daherkommen (Test: Wer von Euch ist so leichtgläubig, dass er sich von plumpen Fake News beeinflussen ließe?). Weiter optimieren als mit einer groben Zielgruppensegmentierung lässt sich herkömmliche Werbung jedoch kaum, ohne dass der Aufwand zu groß würde.

Das Internet erlaubt in dieser Situation einen neuen Optimierungsansatz. Man kann hier mit geringen Kosten nahezu alle ansprechen – und aus den Reaktionen in Form von Klicks ersehen, wer für welche Ansprache anfällig ist. Cormac Herley hat sich unter dem Gesichtspunkt der IT-Sicherheit mit solchen Ansätzen beschäftigt und unter anderem dieses Paper veröffentlicht: „Why do Nigerian Scammers Say They are from Nigeria?“. Darin beschreibt er am Beispiel der Betrugsmasche der Nigeria Connection genau diesen interaktiven Ansatz. Die Betrüger streuen breit ihre absurde Geschichte von herrenlosen Millionen, die man außer Landes bringen wolle, und beschäftigen sich dann einzeln mit den wenigen Trotteln, die blöd genug sind, darauf einzugehen.

Der Schlüssel zum Erfolg ist hier die Interaktion. Man durchleuchtet nicht ganz viele Menschen, um dann auf die passende Weise mit ihnen zu reden, sondern man versucht es bei allen und lernt aus den Reaktionen.

Mit einer ähnlichen Methode kann man Werbung gezielter verbreiten und ihre Erfolgsraten – im Rahmen der bescheidenen Möglichkeiten – optimieren. Dazu misst man, welche Werbung in welchem Kontext (Website, Inhalt, Nutzergruppe, Uhrzeit usw.) wie oft angeklickt wird, und optimiert die Auswahlkriterien anhand dieser Daten. Werbenetze tun so etwas, optimieren aber nicht stur die Klickrate, sondern ihre daraus resultierenden Einnahmen.

Dabei müssen sie gar nicht besonders persönlich werden. Im Gegenteil, über einzelne Nutzer erfährt man auch aus all ihren Facebook-Daten zu wenig, um individuelle Voraussagen über so ungewisses Verhalten wie die Reaktion auf eine Werbung oder Nachricht vorhersagen zu können. Hingegen erfährt man aus der wiederholten Einblendung einer Anzeige in verschiedenen Situationen nach und nach, unter welchen Umständen diese Anzeige häufiger oder weniger häufig Reaktionen hervorruft.

Ökonomisch nicht plausibel ist demgegenüber die Vorstellung, man könne ohne weiteres zwei Elemente kombinieren: die Skalierbarkeit einer Massenansprache mit sehr geringen Kosten pro Einzelfall und die individuelle Beeinflussung nach ausgefeilten Kriterien. Unabhängig davon, welche Daten ein Laden wie Cambridge Analytica über Menschen hat, kann er nicht zu geringen Kosten Millionen individuell zugeschnittener Botschaften entwerfen. Andererseits braucht man die ganze schöne Psychometrie überhaupt nicht, wo man Reaktionen messen und sie statistisch mit vielfältigen Parametern in Beziehung setzen kann. Deswegen ist die Erzählung von der massenhaften individualisierten Manipulation ökonomischer Blödsinn.

Mit Sicherheit ins Desaster

Als wäre das Desaster um das besondere elektronische Anwaltspostfach (beA) nicht schon schlimm genug, kommen nun auch noch Aktivisten aus ihren Löchern und fordern eine „echte Ende-zu-Ende-Verschlüsselung“.

Kann diesen Cypherpunks mal jemand das Handwerk legen? Eine „echte Ende-zu-Ende-Verschlüsselung“ ist für ein beA technisch eben nicht möglich, sondern als Anforderung das Rezept für ein Desaster.

Unter Laborbedingungen lässt sich gewiss ohne große Schwierigkeiten eine Public-Key-Infrastruktur (PKI) aufbauen und auf beliebig viele Teilnehmer skalieren, so dass jeder mit jedem verschlüsselt kommunizieren kann. So eine Labor-PKI löst aber nur das halbe Problem – und macht es schwer, die andere Hälfte zu lösen, die unter den idealisierten Bedingungen der Laborumgebung keine Rolle spielt.

Drei Teilprobleme, mit denen eine Lösung für die Anwaltskommunikation zurechtkommen muss, sind (1) komplizierte Zugriffsrechte, (2) der Konflikt zwischen Vertraulichkeit und Verfügbarkeit sowie (3) Veränderungen im Zeitverlauf.

  1. Komplizierte Zugriffsrechte
    Anwaltskommunikation ist nicht einfach Kommunikation von Person zu Person. Anwälte haben Gehilfen für administrative Tätigkeiten, die beispielsweise Post holen und verschicken. Diese Gehilfen brauchen ausreichende Zugriffsrechte, um ihre Arbeit zu verrichten, aber sie haben keine Prokura. Anwälte haben außerdem Vertreter für Urlaub, Krankheit usw., die von der Anwältin oder der Rechtsanwaltskammer bestellt werden. Alleine der Versuch, § 53 BRAO in eine PKI und eine Ende-zu-Ende-Verschlüsselung zu übersetzen, dürfte Entwicklern einiges Kopfzerbrechen bereiten.
  2. Vertraulichkeit vs. Verfügbarkeit
    Vertraulichkeit der Anwaltskommunikation ist wichtig, aber zweitrangig. Wichtiger ist die Verfügbarkeit. Fragen des Zugangs von Erklärungen und der Einhaltung von Fristen können einen Rechtsstreit unabhängig davon entscheiden, wer in der Sache eigentlich Recht hätte. Vor allem anderen werden Anwältinnen Wert darauf legen, dass sie unter allen Umständen verlässlich kommunizieren können. Demgegenüber genügt hinsichtlich der Vertraulichkeit oft das Schutzniveau „Telefon“.
  3. Zeitliche Dynamik
    Ein reales System zur Anwaltskommunikation muss nicht zu einem Zeitpunkt funktionieren, sondern über einen langen Zeitraum, währenddessen sich die Welt ändert. Das betrifft neben den offensichtlichen Aspekten – Hinzukommen und Ausscheiden von Nutzern in den verschiedenen Rollen, veränderte Vertretungsregelungen usw. – auch die Technik, zum Beispiel den Schlüsseltausch. Damit muss ein beA unter Berücksichtigung von (1) und (2) zurechtkommen. Darüber hinaus können sich auch gesetzliche Regelungen jederzeit ändern.

Wir brauchen deshalb keine Ende-zu-Ende-Sicherheit, sondern im Gegenteil endlich die Einsicht, dass Sicherheit:

  • sekundär ist und der Funktion nicht vorausgeht, sondern folgt,
  • keine theoretischen Ideale verfolgen, sondern reale Risiken reduzieren soll,
  • nicht durch formale Garantien und einzelne Wunderwaffen entsteht, sondern aus der Kombination verschiedener partieller Maßnahmen resultiert,
  • nicht perfekt sein muss, sondern nur gut genug.

Die Vorstellung, man könne konkurrenzfähige Anwendungen um starke Kryptographie herum konstruieren, ist vielfach gescheitert und diskreditiert. Als um die Jahrtausendwende der Online-Handel wuchs, entwickelte man kryptografische Bezahlverfahren von eCash bis SET – den Markt gewannen jedoch Lastschrift, Kreditkarte, Nachnahme und Rechnung. Das Online-Banking wollte man einst mit HBCI / FinTS sicher machen – heute banken wir im Browser oder auf dem Händi und autorisieren Transaktionen mit TANs und Apps. Das vor gut zwanzig Jahren entstandene Signaturgesetz ist in seiner ursprünglichen Form Geschichte und elektronische Signaturen haben sich bis heute nicht auf breiter Front durchgesetzt.

Wer dennoch weiter an die heile Scheinwelt der Ende-zu-Ende-Sicherheit glauben möchte, der möge sich seine Lösungen von den Experten der Gematik entwickeln lassen. Die kennen sich damit aus und sobald ihr Flughafen ihre Telematikinfrastruktur läuft, haben sie sicher Zeit für neue Projekte.

Von der Datentransaktion zur Datenemission

Datenschutz ist regelmäßig ein Thema in diesem Blog, denn seine Schutzziele und Mechanismen überschneiden sich mit denen der IT-Sicherheit oder stehen mit ihnen in Wechselwirkung. Datenschutz ist auch regelmäßig der Gegenstand öffentlicher Debatten. Das ist einerseits verständlich, denn wir sind heute überall von vernetzter IT umgeben. Andererseits verlaufen solche Debatten oft bizarr, weil der Datenschutz politisch instrumentalisiert und mit sachfremden Aspekten vermischt wird. Dabei ist die Frage für sich und ohne Ballast schon schwer genug: Was soll, was kann, was bedeutet Datenschutz heute und in Zukunft?

Mit einem Aspekt dieser Frage habe ich mich zusammen mit Jürgen Geuter und Andreas Poller in einem Beitrag zur Konferenz Die Zukunft der informationellen Selbstbestimmung des Forums Privatheit Ende 2015 beschäftigt, der jetzt endlich im Konferenzband erschienen ist. Wir beschäftigen uns darin mit der Frage, wie sich die Paradigmen der Informationstechnologie seit der Entstehungszeit des deutschen Datenschutzrechts verändert haben und unter welchen Bedingungen Persönlichkeitsrechte im Zusammenhang mit der Datenverarbeitung heute geschützt werden sollen.

Der Datenschutz hat seine Wurzeln in den 1970er und 1980er Jahren. Das vorherrschende Verarbeitungsparadigma der EDV, wie man die IT damals nannte, war das der Datenbank. Darauf sind die Regeln des BDSG erkennbar zugeschnitten; sie geben der Datenerfassung und -verarbeitung ein Gerüst aus expliziten Transaktionen zwischen Betroffenen und verarbeitenden Stellen, mit denen die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen.

Heute prägen andere Paradigmen die Informationstechnik: die allgegenwärtige Vernetzung, die eine detaillierte Kontrolle durch explizite Transaktionen unpraktikabel macht, und das maschinelle Lernen, welches das Verständnis der Verarbeitungsvorgänge und die Einflussnahme darauf erschwert. Die Vorstellung einer expliziten Datenerhebung nebst informierter Einwilligung passt deshalb nicht mehr zur Technik und ihren vielfältigen Anwendungen.

Wir haben die neuen Bedingungen in eine Emissionsmetapher gepackt: Jeder von uns sendet fortlaufend Daten aus, die sich im Netz verbreiten und dort von verschiedenen Akteuren aufgefangen und verarbeitet werden, vergleichbar der Art und Weise, wie sich Licht von einer Lichtquelle im Raum ausbreitet. Das schließt Eingriffe nicht aus, aber sie müssen auf diese Verhältnisse zugeschnitten sein. Eine umfassende Lösung dafür können wir nicht präsentieren, aber wir diskutieren einige Ansätze.

Der ganze Beitrag:

Sven Türpe; Jürgen Geuter; Andreas Poller: Emission statt Transaktion: Weshalb das klassische Datenschutzparadigma nicht mehr funktioniert. In: Friedewald, M.; Roßnagel, A.; Lamla, J. (Hrsg.) (2017): Informationelle Selbstbestimmung im digitalen Wandel. Wiesbaden: Springer Vieweg DOI: 10.1007/978-3-658-17662-4_14, © Springer.

What the Cypherpunks Got Wrong

Cypherpunk ideas have a long legacy and continue to influence how we are discussion matters of security and privacy, particularly in the relationship between citizens and governments. In a nutshell, cypherpunks posit that we can and should keep government intervention minimal by force-protecting our privacy by means of encryption.

Let us begin with what they got right:

“For privacy to be widespread it must be part of a social contract.”

 (Eric Hughes: A Cypherpunk’s Manifesto)

Social contracts are the basis of every society; they define a society and are represented in its formal and informal norms. Privacy is indeed a matter of social contract as it concerns very fundamental question of what the members of a society should know about each other, how they should they should learn it, and how they may or may not use what they know about others.

Privacy is not merely a matter of hiding information so that it cannot be found. The absence of expected features or utterances carries information, too. Some societies, for example, expect their members to actively demonstrate their allegiance. Members of such a society cannot merely hide what they think, they also have to perform their role as expected if they have no desire to become a leper.

What the cypherpunks got entirely wrong was their conception of social contracts and the hope that cryptography could be the foundation upon which they, the cypherpunks, would build their own. Cypherpunks believe that cryptography would allow them to define their own social contract on top of or next to the existing ones. This has not worked and it cannot work. On the one hand, this is not how social contracts work. They are a dimension of a society’s culture that evolves, for better or worse, with this society.

On the other hand, cryptography–or security technology in general–does not change power relationships as much as cypherpunks hope it would. Governments are by definition institutions of power: “Government is the means by which state policy is enforced.” Cypherpunks believe that cryptography and other means of keeping data private would limit the power of their governments and lay it into the cypherpunks‘ hands. However, the most fundamental power that any working government has is the power to detain members of the society it is governing.

In an echo of cypherpunk thinking, some people react to an increased interest of the U.S. Customs and Border Protection (CBP) in travelers‘ mobile devices with the suggestion to leave those devices at home while traveling. After all, the CBP cannot force you to surrender what you do not have on you, so the reasoning. This thinking has, however, several flaws.

First, from a security point of view, leaving your phone at home means to leave it just as unattended as it would be in the hands of a CBP agent. If the government really wants your data, nothing better could happen to them than getting access to your phone while you are not even in the country.

Second, the government is interested in phones for a reason. Cryptography and other security mechanisms do not solve security problems, they only transform them. Cryptography in particular transforms the problem of securing data into a problem of securing keys. The use of technology has evolved in many societies to the point where our phones have become our keys to almost everything we do and own online; they have become our primary window into the cloud. This makes phones and the data on them valuable in every respect, for those trying to exert power as well as for ourselves. You lose this value if you refrain from using your phone. Although it seems easy to just leave your phone at home, the hidden cost of it is hefty. Advice suggesting that you do so is therefore not very practical.

Third, this is not about you (or if it is, see #1 above). Everyone is using mobile phones and cloud services because of their tremendous value. Any government interested in private information will adapt its approach to collecting this information to the ways people usually behave. You can indeed gain an advantage sometimes by just being different, by not behaving as everyone else would. This can work for you, particularly if the government’s interest in your affairs is only a general one and they spend only average effort on you. However, this same strategy will not work for everyone as everyone cannot be different. If everyone left their phones at home, your government would find a different way of collecting information.

By ignoring a bit of context, cypherpunks manage to arrive at wrong conclusions from right axioms:

“We cannot expect governments, corporations, or other large, faceless organizations to grant us privacy out of their beneficence.”

“We must defend our own privacy if we expect to have any.”

(Eric Hughes: A Cypherpunk’s Manifesto)

This is true, but incomplete. Power must be contained at its source (and containment failures are a real possibility). Cryptography and other security technology does not do that. Cryptography can perhaps help you evade power under certain circumstances, but it will by no means reverse power relationships. What you really need is a social contract that guarantees your freedom ad dignity.

 

(Expanded version of a G+ comment)

 

Manipulativ gefragt

»Fürchten Sie, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird oder fürchten Sie dies nicht?« Diese Frage (via) ist unmöglich sauber zu beantworten, denn es handelt sich in Wirklichkeit um zwei Fragen:

  1. Erwarten Sie, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird?
  2. Fürchten Sie sich davor?

Ich erwarte, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird, wies es sie seit der Erfindung des Terrorismus immer wieder gegeben hat. Der letzte, von dem ich gehört habe, liegt gerade zwei Tage zurück.

Zu fürchten gibt es dennoch wenig. Wir leben in einem funktionierenden Staat, der Bedrohungen für Leib und Leben gering hält. Um gewaltsam aus dem Leben zu scheiden, muss man schon ordentlich Pech haben.

Die Fragestellung macht es allzu leicht, nüchterne Antworten auf die erste Frage einzusammeln und sie später zu aufgeregten Antworten auf die zweite umzudeuten. Aber auch den Expertinnen und Experten bei infratest dimap kann ja mal ein Fehler unterlaufen, nicht wahr?

Sicherheit muss zweitrangig sein, sonst steht sie im Weg

Seit zwei Jahrzehnten träumt Deutschland erfolglos davon, die elektrische Regierung, staatsnahe Systeme wie die Gesundheitstelematik sowie das Internet überhaupt dadurch zu fördern, dass man generische Sicherheitsdienste amtlich entwickelt, standardisiert und reguliert. Sichtbare Zeichen dafür sind das Signaturgesetz, die Gesundheitskarte, DE-Mail sowie die eID-Funktion des Personalausweises.

Gut funktioniert hat das in keinem dieser Fälle. Die elektronische Signatur ist so wenig verbreitet, dass man ein darauf gestütztes Verfahren für den elektronischen Entgelt-Nachweis (ELENA) einstellen musste. Die Gesundheitskarte kann nach mehr als einer Dekade Entwicklungszeit – die Gründung der gematik liegt länger zurück als der erste Spatenstich für BER – kaum mehr als ihre Vorgängerin. De-Mail ist im Gegensatz zum Vorgänger eID noch nicht im Stadium der Ideenwettbewerbe angekommen, leidet jedoch unter vergleichbaren Akzeptanzproblemen.

Gemeinsam ist diesen Fällen der Versuch, eine generische Sicherheitstechnologie für eine Vielzahl noch unbekannter Anwendungen zu schaffen in der Annahme, diese Sicherheitstechnologie sei genau das, was den Anwendungen fehle. Beides ist falsch. Wer mit der Sicherheitstechnologie anfängt, macht den Entwurfsprozess kaputt und bekommt Design around Security statt Security by Design, und Anwendungen müssen zuerst funktioneren, bevor man beginnt, ihre Sicherheit zu optimieren. Sicherheit muss zweitrangig sein, sonst steht sie im Weg weiterlesen

Studien

Ein schneller Tipp zwischendurch:

Drüben in der Quantenwelt erklärt Joachim Schulz kurz und bündig seine Kriterien, wann er sich Angst machen lässt und wann nicht. Der Kern: Bei unklarer Studienlage ist der untersuchte Effekt wahrscheinlich klein.

Dasselbe Prinzip kann man übrigens nicht nur auf vermutete Schadwirkungen anwenden, sondern auch auf jeden behaupteten, aber zweifelhaften Nutzen. Die Helmdiskussion zum Beispiel wäre dann schnell vorbei, und fast alle Behauptungen über IT-Sicherheit würde uns mangels Empirie sowieso keiner glauben.

Nutzenbehauptungen können wir noch an einem zweiten, ähnlichen Kriterium messen. Verkauft sich etwas nicht (z.B. besonders sichere Messenger) oder nur an strenggläubige Randgruppen (z.B. Homöopathie), dann ist der objektive Nutzen wahrscheinlich nicht so groß wie behauptet. Erst ein starker Glaube verschiebt die subjektiven Präferenzen so weit, dass der Kauf ökonomisch rational wird.

Hintertüren für den Staat

Smartphones und Tablets sind neben vielen anderen Funktionen auch persönliche mobile Datenträger. Für deren Inhalt – Kontakte, Termine, Fotos, Anrufprotokolle, Kurznachrichten und so weiter – interessieren sich naturgemäß auch Strafverfolger. Die Mobilplattformen iOS und Android können gespeicherte Daten verschlüsseln, wie es sich für ein verlust- und diebstahlgefährdetes Gerät gehört. Neuerdings verspricht Apple, selbst keine Daten aus verschlüsselten Geräten auslesen zu können. Google kündigt für die nächste Android-Version an, die Verschlüsselung standardmäßig zu aktivieren und gibt ebenfalls an, über keinen Zugriffsmöglichkeit zu verfügen. Daraufhin melden sich der FBI-Direktor, der US-Justizminister und andere und kochen die alte Diskussion um Hintertüren für die Strafverfolgung neu auf. Ein Aufschrei ist ihnen sicher.

An anderer Stelle sind Hintertüren für staatliche Organisationen üblich und niemanden juckt es: Viele Gebäude verfügen über ein Feuerwehrschlüsseldepot, das der Feuerwehr den Zugang ermöglicht. Technisch handelt es sich um dasselbe Problem und denselben Lösungsansatz mit denselben Risiken wie im Fall der Verschlüsselung. Warum ist die eine Hintertür im Sicherheitskonzept ein Aufreger, die andere hingegen nicht? Bei näherer Betrachtung fallen allerlei Unterschiede auf:

  • Feuerwehr, Gebäudebetreiber und Gebäudenutzer verfolgen gemeinsame Interessen und profitieren von der Lösung. Alle drei Parteien wollen Brände schnell gelöscht und Fehlalarme ohne unnötige Nebenschäden abgestellt sehen. Strafverfolger hingegen sind für die Verfolgten, ob schuldig oder unschuldig, stets ein Gegner und für Dienstanbieter mindestens lästig. Die Krypto-Hintertür schafft keine Win-Win-Situation.
  • Im Fall der Schlüsseldepots wirkt ein weiterer Player, der ein eigennütziges Interesse an optimaler Sicherheit hat: die Versicherer, die weder für Brandschäden noch für Einbrüche mehr als unbedingt nötig zahlen möchten. Sie setzen sich mit handfesten wirtschaftlichen Mitteln dafür ein, dass das Missbrauchsrisiko gering bleibt. Kryptohintertüren könnte man zwar prinzipiell der gerichtlichen Kontrolle unterwerfen, aber den Gerichten fehlt das ökonomische Optimierungsinteresse.
  • Es gibt ein sichtbares und plausibles Risikomanagement. Feuerwehrschlüsseldepots geben bei richtiger Implementierung der Feuerwehr Darmstadt Zugang zu ausgewählten Gebäuden in und um Darmstadt und der Feuerwehr Kassel Zugang zu ausgewählten Gebäuden in Kassel. Ein Secure Golden Key™, wie es in der Neuauflage der Kryptodiskussion heißt, gäbe vermutlich den Strafverfolgungsbehörden mehrerer Länder Zugriff auf alle Geräte der jeweiligen Plattform – man wäre sonst machtlos gegen kriminelle Touristen und im Ausland gekaufte Telefone.
  • Schlüsseldepots werden vorwiegend in öffentlichen und halböffentlichen Gebäuden (Kaufhäuser, Bürogebäude, Industrieanlagen usw.) eingesetzt. Das Reihenhaus von Tante Erna hat keins.
  • Die gewährten Zugangsrechte sind begrenzt. Der Generalschlüssel aus dem Depot öffnet eine definierte Menge von Zugängen; der Safe im Büro gehört nicht dazu. Demgegenüber ermöglicht ein Kryptogeneralschlüssel mit hoher Wahrscheinlichkeit eine Privilegieneskalation, wenn sich damit  Zugangsdaten (neben Passworten zum Beispiel Session-IDs) für weitere Dienste oder Geräte lesen lassen.
  • Die Betroffenen haben subjektiv und objektiv mehr Kontrolle über die Verwendung der deponierten Schlüssel: Das Feuerwehrschlüsseldepot ist gut sichtbar vor Ort installiert, was unbemerkte Zugriffe erschwert. Dass jemand meine Daten entschlüsselt, bekomme ich dagegen nie mit.
  • Der relative Sicherheitsverlust bei Missbrauch ist geringer. Sowohl die Feuerwehr als auch Einbrecher kommen sowieso rein, wenn sie das wirklich wollen und eine Weile Lärm machen dürfen. Ein Schlüssel macht es einfacher, aber selten überhaupt erst möglich. Das ist auch jedem klar. Von verschlüsselten Daten erwarten wir, dass sie ohne Schlüssel so gut wie gelöscht sind.

Hintertüren beziehungsweise Generalschlüssel für den Staat können akzeptabel sein – wenn der Kontext und die Implementierung stimmen. Ob man sie dann auch braucht und haben möchte, ist noch einmal eine andere Frage. Die Notwendigkeit, Beweise mit einem gewissen Ermittlungsaufwand beschaffen zu müssen, statt sie einfach irgendwo auszulesen, kann ein ganz brauchbarer Kontrollmechanismus sein.