Archiv der Kategorie: Propaganda

Public Relations

Open Source staatlich fördern?

In einem Beitrag auf Heise Online plädiert Julia Reda für eine europäische Förderung von Open-Source-Soft- und Hardware. Die Sprunginnovationsagentur pflichtet ihr bei und verweist auf ihr Förderprojekt Sovereign Cloud Stack. Open-Source-Projekte zu fördern, ist eine gute Idee, aber die damit verbundenen Erwartungen erscheinen mir überhöht und nicht klar genug. Open Source soll die Sicherheit verbessern, Europa unabhängiger von großen, ausländischen IT-Unternehmen machen, Alternativen zu erfolgreichen Onlinediensten von Cloud Computing bis Videokonferenzen bereitstellen und Demokratiebewegungen in anderen Ländern unterstützen [Klarstellung dazu]. In diesem Potpourri liegt die Gefahr, sich zu verzetteln und Blütenträume zu fördern.

Open-Source-Produkte nehmen wie ihre kommerziellen Konkurrenten auf der Angebotsseite am Marktgeschehen teil. Zwar kann man sie einsetzen, ohne eine Lizenzgebühr zu zahlen, doch steht die Wahl auf der Nachfrageseite jedem Anwender frei. Vernünftig handelnde Anwender werden sich für diejenige Lösung entscheiden, die gemessen an ihren Bedürfnissen das beste Kosten-Nutzen-Verhältnis verspricht. Repräsentiert das beobachtete Marktgeschehen die Ergebnisse vernünftiger Entscheidungen, können wir die Faktoren analysieren, die zu diesen Entscheidungen beitragen.

Der Markt zeigt immer wieder, dass Open-Source-Anwendungen nur in Nischen konkurrenzfähig sind. OpenOffice, Firefox, Linux als Desktop-Betriebssystem oder der Messenger Signal sind verfügbar, doch ihre Nutzerzahlen bleiben überschaubar, von Marktführerschaft keine Spur. Der Anonymisierungsdienst Tor zielt gar von vornherein auf eine Nische, er ist nur für Randgruppen relevant und für die Mehrheit nicht alltagstauglich. Besser schlägt sich Open-Source-Software dort, wo sie Anwender nicht zu Gesicht bekommen: Als Softwareinfrastruktur in Anwendungen verborgen und in Entwicklerwerkzeugen spielen Open-Source-Projekte wie Linux, die Apache-Projekte, OpenSSL, Eclipse und viele andere eine bedeutende Rolle. Das ist kein Zufall.

Der Markt für Softwareinfrastruktur lässt wenig Raum für dauerhafte Konkurrenz verschiedener Anbieter vergleichbarer Produkte, etwa verschiedener Webserver oder Unix-Kernel. Standardisierung, zum Beispiel von Protokollen, lässt wenig Raum für sinnvolle Produktdifferenzierungen. Zugleich bringen konkurrierende ähnliche Produkte kostspielige Kompatibilitätsprobleme mit sich, die wiederum zu Standardisierungsversuchen führen. Wer einmal Software zwischen verschiedenen Unix-Variantenportiert hat, kann ein Lied davon singen. Auch in der Qualität können sich unterschiedliche Anbieter nicht nennenswert voneinander abheben, weil die Anforderungen an alle dieselben sind.

Jede konzeptionell weitgehend ausentwickelte Komponente nur einmal statt in mehreren unabhängigen Varianten zu pflegen, ist deshalb optimal. Nicht optimal wären jedoch Herstellermonopole, die für das einzige Produkt seiner Art Mondpreise kassieren. Deshalb ist es für alle besser, Komponenten der Softwareinfrastruktur als eine Art Allmende zu behandeln, die allen zur Verfügung steht und alle zur Mitarbeit einlädt. Weil alle davon profitieren, gibt es wenig Förderbedarf. Es ist der Markt, der Open-Source-Software hier zum Erfolg führt. Die Linux-Foundation zum Beispiel wird von großen IT-Unternehmen und der Fondsgesellschaft BlackRock finanziert.

Anders funktioniert der Markt für Anwendungen und anwendungsnahe Dienste, denn sie bieten in vielen Merkmalen Differenzierungspotenzial und damit Raum für Konkurrenz. Deswegen kann man ERP-Systeme von SAP oder von Oracle kaufen, Browser von Google, Microsoft, Mozilla oder Brave, Office-Software von Microsoft oder Google und so weiter. Zu den wichtigen Merkmalen zählt nicht zuletzt der Preis, genauer die Gesamtkosten der Nutzung. Dass sich Open-Source-Alternativen hier selten durchsetzen können, deutet darauf hin, dass sie in der Gesamtsicht nicht das attraktivste Produkt liefern. Besonders deutlich wird dies, wo selbst betriebene Open-Source-Software gegen kommerzielle Anwendungsdienste antreten, etwa Jitsi und BigBlueButton gegen Zoom, aber auch im Vergleich verschiedener Dienste wie Signal gegen WhatsApp.

Von den Verfechtern der OSS-Alternativen gerne ignoriert oder kleingeredet, zeigen sich in vielerlei Hinsicht Defizite. So hinkte Signal im Funktionsumfang WhatsApp hinterher und ging seinen Nutzern auf die Nerven. Selbst gehostete Videokonferenzdienste verursachen Arbeitsaufwand und brauchen eine Vorlaufzeit, bis sie einsatzfähig sind, während man mit Zoom auf der Stelle loslegen kann. Ob man mit den Alternativen wirklich sicherer ist, liegt auch nicht so klar auf der Hand. Wer nüchtern hinschaut, findet die Gründe dafür, dass die Open-Source-Alternativen alternativ bleiben. Daran kann auch OMG-ihr-bezahlt-mit-euren-Daten!!1-Rhetorik bei kostenlos angebotenen Diensten nichts ändern, denn das ist offensichtlich für viele ein fairer Deal.

Analog gilt dies auch für hochwertige Clouddienste a.k.a. Platform as a Service (PaaS). Dort bekommt man für sein Geld nicht einfach Software, sondern eine Plattform, welche die Entwicklung und den Betrieb von Anwendungen erleichtert und den Einsatz von IT-Ressourcen flexibel anpassbar macht. Software ist dafür nur Mittel zum Zweck und die Dienstleistung steckt nicht im Programmcode.

Um es mit den etablierten kommerziellen Anbietern von Anwendungsdiensten und Cloudplattformen aufnehmen zu können, müsste man überlegene Dienste anbieten, ähnlich wie Airbus einst ein fortschrittliches Flugzeug auf den Markt gebracht hat. Open-Source-Software kann dafür Basiskomponenten gemäß dem oben skizzierten Allmendemodell bereitstellen, aber diese Baseline ist alleine gerade nicht konkurrenzfähig, sondern ein allgemein verfügbarer kleinster gemeinsamer Nenner. Den kann man lange fördern, ohne dass er sich je von irgend etwas positiv abhebt.

In keinem der beiden Segmente kann eine großzügige staatliche Förderung von Open-Source-Projekten den Markt umkrempeln. Stattdessen bekäme man künstliche Open-Source-Projekte wie die AusweisApp2 oder die Corona-Warn-App, die zwar Einblicke in den Quelltext und die Entwicklung gewähren sowie Community-Kontakte pflegen, letztlich aber Auftragsarbeiten bleiben. Das heißt nicht, dass es falsch wäre, öffentliche Entwicklungsprojekte so weit wie möglich zu öffnen, aber das bleibe eine eigene Spielart von Open Source.

Die Hoffnung, mit staatlich geförderten Open-Source-Projekten endlich die technologische Lücke von 1969 zu schließen, wird sich nicht erfüllen. Dennoch gibt es Potenziale für sinnvolle staatliche Förderungen. Die Strategien ergeben sich aus den beiden diskutierten Modellen.

Auf dem Gebiet der Softwareinfrastruktur kann der Staat als Stakeholder für wünschenswerte Eigenschaften wie Qualität, Sicherheit und Weiterentwicklung auftreten. Das FOSSA-Projekt der EU passt genau in dieses Muster. Europäische Alternativen und Europäische Souveränität entstehen dadurch jedoch nicht. Im Gegenteil, solange sich IT und Internet im Industriemaßstab eher außerhalb als innerhalb Europas abspielen, handelt es sich tendenziell um ein Geschenk an die Konkurrenz. Bleiben lassen muss man es deswegen nicht, aber mit realistischen Erwartungen herangehen.

Bei den Anwendungen und anwendungsnahen Diensten hat Förderung nur einen Sinn, wenn sie auf konkurrenzfähige Angebote zielt. Open Source wird dabei zum Nebenaspekt, im Vordergrund steht das Produkt aus Anwenderperspektive, das besser und kostengünstiger sein muss. Wer also Zoom oder WhatsApp doof findet, muss objektiv bessere Dienste objektiv preiswerter anbieten (und im Fall von WhatsApp noch mit den unvermeidlichen Netzwerkeffekten fertig werden). Es gibt sogar noch ein Spielfeld, auf dem es eher auf die Software als auf die Dienstleistung ankommt: Webbrowser. Chrome ist zurzeit unangefochtener Marktführer, Mozilla siecht dahin. Ein solide finanzierter unabhängiger Browser mit allem, was daran hängt, bleibt dringend nötig. Nebenbei bekäme man einen Träger für Datenschutztechnik, die uns das unsägliche Zustimmungsgeheische im Web erspart, und könnte bei der Webstandardisierung mitreden.

Keimzelle einer neuen europäischen Informationstechnikbranche wäre auch das nicht, aber es wäre sinnvoll. Im Gegensatz zum Versuch, spezifisch und strategielos das Attribut „Open Source“ zu fördern.

Dialektik des Datenschutzes

Bereits das bloße Gefühl, beobachtet zu werden, könne Unwohlsein verursachen und Menschen dazu bringen, ihr Verhalten zu ändern, argumentieren Datenschutzaktivisten gerne. Selbst der bloße Anschein einer Beobachtung sei daher problematisch.

Dieselben Aktivisten finden es völlig in Ordnung, wenn nicht gar erforderlich, mit riesigen Schildern auf Videokameras zur Beobachtung des öffentlichen Raumes hinzuweisen, auf dass auch niemand den gebückten Gang vergesse. Passt das zusammen?

***

Wenn von Überwachungs- und Repressionstechnologie die Rede ist, denken wir an Videokameras, an künstliche Intelligenz, an Drohnen und so weiter. Auch Maßnahmen dagegen verhandeln wir oft in Gestalt technischer oder organisatorischer Bausteine wie Anonymisierung, Verschlüsselung und so weiter.

In den chinesischen Healthcode-Systemen, die zur Bekämpfung der jüngsten Corona-Pandemie aufgebaut wurden, spielen QR-Codes eine wichtige Rolle. QR-Codes als technischen Baustein werden jedoch praktisch nie thematisiert, wenn es um Datenschutz oder die Auswirkungen neuer Technik auf unsere Freiheit geht. Warum nicht?

***

Videokonferenzen werden von Datenschützern kritisch beäugt. Wer nicht davon lassen kann, muss allerlei Datenschutzvorschriften beachten. Auf klassische Weise telefonieren darf man einfach so. Woran liegt das und wäre es auch so, hätte man den Datenschutz vor dem Telefon erfunden und nicht umgekehrt?

***

Silicon-Valley-Konzerne gelten hierzulande traditionell als „Datenkraken,“ als von „Datensammelwut“ befallene Halbverbrecher. (Obendrein bildeten sie Monopole und würden zu mächtig, heißt es, aber das ist kein Datenschutz-Thema.) Dagegen, dass Apple und Google als Plattformbetreiber das Herzstück der Corona-Warn-App bereitstellen, regt sich jedoch kein Widerspruch. Ebenso wenig dagegen, dass an ihrer Lösung kaum ein vernünftiger Weg vorbeiführt. Sind sie doch nicht so böse, wie immer wieder behauptet wurde, oder haben wir den Kampf verloren?

***

Der Datenschutz verdankt seine Entstehung dem Aufkommen des Computers. Heute widmen sich Datenschützer mit Hingabe auch mit Formen der Datenverarbeitung, die damals längst normal waren, wie der Fotografie oder der Erfassung von Kontaktdaten mit handgeschriebenen Formularen und Listen. Gehen sie sich damit nicht manchmal selbst auf den Wecker?

***

Die Wichtigkeit des Datenschutzes wird in Deutschland und Europa gerne mit dem Holocaust begründet, den die Erfassung persönlicher Daten erleichtert, wenn nicht gar ermöglicht habe. Datenschutz diene nicht zuletzt dazu, eine Wiederholung zu verhindern.

Man könnte ganz ähnlich über die Bedeutung von Landkarten im Zweiten Weltkrieg reden, ihre Schlüsselfunktion in der Zerstörung von Warschau, Stalingrad, Coventry, Rotterdam und vieler anderer Städte und in der Kriegsführung generell. Dies tut jedoch niemand. Meinen wir das Argument ernst oder ist es nur vorgeschoben, um sich unangenehmen Diskussionen zu entziehen?

***

Wer als Datenschützer hartnäckig vor der Nutzung von WhatsApp warnt, ohne jemals dadurch verursachte Schäden nachweisen zu können, genießt gesellschaftliches Ansehen.

Wer als Bürger hartnäckig von den Gefahren des Mobilfunks raunt, ohne jemals dadurch verursachte Schäden nachweisen zu können, gilt als irrationaler Paranoiker und Verschwörungstheoretiker.

Gibt es dafür eine andere nachvollziehbare Erklärung als unterschiedliche Positionen der jeweiligen Sprecher in der gesellschaftlichen Machthierarchie?

***

Seit der EuGH das Abkommen „Privacy Shield“ zwischen der EU und den USA gekippt hat, ist die Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika nicht mehr ohne weiteres zulässig. Auf diese Weise werden die Rechte und Freiheiten der betroffenen Europäerinnen und Europäer geschützt.

Weiterhin keinen Einschränkungen unterliegt hingegen – abgesehen von vorübergehenden Regelngen aufgrund der COVID-19-Pandemie – der Export ganzer Personen ins Ausland durch Fluggesellschaften und Reiseveranstalter. Gefährdet die Übermittlung unserer Daten in die USA unsere Rechte und Freiheiten stärker als eine Reise dorthin?

***

Deutsche Datenschützer und europäische Politkommisarinnen preisen Datenschutz als Digitalisierungsmotor und Wettbewerbsvorteil an.

Datengetriebene Unternehmen wie Verisk, ein amerikanischer Anbieter von Risikomanagementlösungen insbesondere für Versicherungen, benennen neben dem Verlust des Datenzugangs verschärfte Datenschutzregulierung und die DSGVO als Geschäftsrisiken. Zugleich ist Irland mit seiner zahmen Datenschutzaufsicht ein beliebter Standort für die Europa-Niederlassungen von Internetunternehmen.

***

In Restaurants werden zurzeit Kontaktdaten der Besucher gesammelt, um die Kontaktverfolgung im Fall von Coronavirus-Infektionen zu erleichtern. Wenn die Daten schon einmal da sind, werden sie manchmal auch von der Polizei für Ermittlungen genutzt. Das ist wahrscheinlich legal.

Datenschützer protestieren. Sie protestieren jedoch nicht gegen diese – gesellschaftlich akzeptierte – Vorratsdatenspeicherung, sondern gegen die Nutzung der gespeicherten Daten durch die Polizei: Solche zusätzlichen Datennutzungen aus vergleichsweise nichtigen Anlässen schade der anscheinend sehr wertvollen Vorratsdatenspeicherung und untergrabe das Vertrauen der Bürgerinnen und Bürger in sie.

***

Gesundheitsämter in Baden-Württemberg dürfen im Rahmen der Kontaktverfolgung bei Coronavirus-Infektionen keine unverschlüsselten E-Mails an Kontaktpersonen schicken, es sei denn, ihnen liegt eine ausdrückliche Einwilligung vor. Eine Infrastruktur, über die Ämter mit allen Bürgerinnen und Bürgern verschlüsselt kommunizieren könnten, liegt nur theoretisch in Form des selten genutzten Dienstes De-Mail vor, so dass die Verwendung von E-Mail in diesem Zusammenhang praktisch ausgeschlossen ist.

Unverschlüsselte E-Mail ist bis heute die Regel, weil fast niemand ein Sicherheitsproblem hat, das sich durch E-Mail-Verschlüsselung adäquat und zu einem angemessenen Preis lösen ließe. Fast niemand hat also das Problem, das der Datenschutz hier zu lösen versucht.

***

Gesichtserkennung ist schlimmer als Rachepornos. Weil sie Begehrlichkeiten wecke.

In der Doppelbotschaft verheddert

Wer WhatsApp oder Facebook nutze, könne bedenkenlos auch die Corona-Warn-App installieren, tönt es durchs Netz – das stimmt zwar vielleicht trotz der Bedenken um Einlasskontrollen, ist aber dennoch kein gutes Argument.

Einige Schlaumeier erklären uns gerade, wer WhatsApp et al. nutze, könne getrost auch die Corona-Warn-App installieren oder wer angesichts der Corona-Warn-App Überwachungsangst verspüre, müsse konsequenterweise auch auf WhatsApp et al. verzichten. Hier zum Beispiel:

und da und dort. Das ist nett gemeint, führt jedoch nicht weit, denn es handelt sich um eine widersprüchliche Doppelbotschaft. Ihre Adressaten sollen entweder die Harmlosigkeit der Corona-Warn-App anerkennen und dann auch WhatsApp benutzen dürfen, oder sie sollen die Gefährlichkeit von WhatsApp anerkennen und dann auf beide verzichten. Unausgesprochen, weil sie nicht so gut ins Argument passt, bleibt die Option, die Corona-Warn-App zu nutzen, WhatsApp jedoch nicht.

Wahrheitstabelle der Implikation WhatsApp → CWA

Formallogisch scheint zunächst alles in Ordnung. Es handelt sich um die Implikation: „wenn WhatsApp dann Corona-Warn-App“. Widersprüche tun sich erst beim Versuch auf, den so als falsch deklarierten Fall zu rechtfertigen, dass jemand WhatsApp nutzt, aber die Corona-Warn-App ablehnt. Das geht, aber man muss dazu diese Implikation zurückweisen. Mehrere Möglichkeiten bieten sich an.

Man könnte trotzig antworten, man wolle halt das eine und das andere nicht. Dabei stünde man immerhin mit beiden Beinen fest auf dem Boden der informationellen Selbstbestimmung, die genau diese Entscheidungsfreiheit gewährt und keine Begründung verlangt. Gehört man selbst nicht zur Gruppe derjenigen, die WhatsApp nutzen, aber die Corona-Warn-App ablehnen, könnte man auch mit der empirisch-statistischen Frage antworten, ob die angesprochene Gruppe überhaupt in einem nennenswerten Umfang existiere. Möglicherweise sind die meisten Aluhutträger tatsächlich so konsequent, auch einen anderen Messenger als WhatsApp einzusetzen, oder tragen ihren Aluhut erst, seit sie Telegram für sich entdeckt haben.

Man könnte auch analytisch antworten, die Verengung auf das Merkmal Datenschutz sei unangemessen, In Wirklichkeit handele es sich um eine mehrdimensionale Kosten-Nutzen- und Risiko-Nutzen-Abwägung, welche in diesem Fall so und in jenem anders ausfalle. Schließlich verspricht WhatsApp einen erheblichen persönlichen Vorteil, während der Nutzen der Corona-Warn-App vorwiegend als externer Effekt in der Gesellschaft eintritt.

Wer dezente Gemeinheit nicht scheut, kann zu guter Letzt auch sein Gegenüber im eigenen Argument einwickeln: Man habe jetzt jahrelang immer wieder die Gefahren von WhatsApp gepredigt, ohne dass viel passiert sein – wo solle nun die Glaubwürdigkeit herkommen, zumal man über die Corona-Warn-App auch noch das genaue Gegenteil  sage? Oder anders verpackt in Abwandlung des gestrigen Tagesthemen-Kommentars:

„Diejenigen, die die App kategorisch empfehlen, weil sie zu Recht keine Gefahren befürchten, sollten bitte auch mal kurz prüfen, ob sie WhatsApp oder Facebook ablehnen.“

Wendet das Gegenüber daraufhin ein, dies sei doch etwas völlig anderes, nickt man nur noch andächtig und sagt: „Genau.“ Wer mag, kann noch einen Treffer landen mit der Frage, wieso angesichts der Corona-Warn-App jetzt auf einmal die Gefahr und die (Un-)Zulässigkeit von Einlasskontrollen anhand der App diskutiert werde, während WhatsApp über ein Jahrzehnt nie jemanden auf diese Idee gebracht habe.

Nein, dass jemand WhatsApp nutzt, ist kein gutes Argument dafür, auch die Corona-Warn-App zu nutzen. Dass viele Menschen WhatsApp nutzen, ohne sich große Sorgen zu machen und wohl auch, ohne objektive Nachteile aufgrund mangelnden Datenschutzes zu erleiden oder zu verursachen, sollte uns hingegen Anlass sein, unser Verständnis und unsere Prioritäten nachzujustieren. WhatsApp und andere zeigen, dass Erfolg auch gegen die Kritik der Datenschützer möglich ist. Die Corona-Warn-App wird uns zeigen, wo die Grenzen mit dem Segen der Datenschützer liegen. Statt Populismus zu betreiben, sollten wir uns mehr mit den tatsächlichen, vieldimensionalen Erfolgsvoraussetzungen von Anwendungen beschäftigen und mit den Gestaltungsprozessen, die Anforderungen erkunden, abwägen und umsetzen.

#GaiaXFakten

Gaia-X soll der Chuck Norris unter den Clouds – nein, das passt nicht, zu wenig europäische Werte. Gaia-X soll die Abteilung für Informationswiederbeschaffung unter den Clouds werden, der Goldstandard, die digitale Mondrakete. Wäre Elon Musk Europäer, hätte er statt eines Tesla Gaia-X ins All geschossen. Gaia-X war einziger Teilnehmer eines Wettbewerbs der Agentur für Sprunginnovation und schloss diesen mit einem überdurchschnittlichen Ergebnis ab. Gaia-X heilt Krebs. Chatbots werden mit Gaia-X zu geistreichen Gesprächspartnern. Gaia-X wird alle Versionen des Trolley-Problems in einem Tweet lösen. Gaia-X transzendiert Raum, Zeit, Rechenzentren und Unternehmen. Gaia-X läuft nicht in der Cloud, sondern die Cloud läuft in Gaia-X. Gaia-X braucht kein Geschäftsmodell, sondern Geschäftsmodelle brauchen Gaia-X. Amazon kauft bei Gaia-X ein. Uber lässt sich von Gaia-X ein Taxi rufen. Gaia-X sitzt in den Aufsichtsräten aller europäischen Internet-Konzerne. Mit Gaia-X wird Deutschland E-Government-Weltmeister. Die Büros von Gaia-X arbeiten papierlos. Gaia-X hatte seine Corona-App schon vor der Schweinegrippe fertig. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder empfiehlt Videokonferenzen per Gaia-X als Alternative zur Briefpost.

PS (2020-06-11): Die Fortsetzung gibt’s häppchenweise bei Twitter.

Gamifizierter Narzissmus

Mit der Industrialisierung entstanden Massenmedien. Bevor sie um die Gunst ihrer Leser, Hörer oder Zuschauer konkurrieren konnten, mussten sie sich erst einen der knappen Kanäle sichern. Teils hatte das technische Gründe, wie bei Funk und Fernsehen, teils wirtschaftliche, denn das Herausgeben einer Zeitung wie auch der Betrieb einer Rundfunk- oder Fernsehanstalt erfordern Kapital und deshalb einen Mindestumsatz pro Zeiteinheit.

Das Internet hat uns Jedermannmedien wie Twitter, Facebook oder Telegram gegeben. Dort kann jeder an alle senden, die ihm zuhören wollen. Begrenzt ist nur noch die Aufmerksamkeit des Publikums, um die sich alle balgen. Geld verdient dabei zunächst nur die Plattform, und zwar umso mehr, je mehr Aufmerksamkeit sie insgesamt binden kann. Dies gilt für die Werbung, die sich ein Stück vom Kuchen der Aufmerksamkeit abschneidet, ebenso wie für das Risikokapital, das sich eine Zeitlang mit schnell wachsenden Metriken als Gegenleistung begnügt.

Einige Plattformen, allen voran YouTube, geben einen Teil ihrer Einnahmen an ihre Sender weiter und nähern sich damit teilweise herkömmlichen werbefinanzierten Medien wie dem Privatfernsehen und -radio an, erlauben jedoch parallel dazu das unbezahlte Senden. Andere, wie Twitter und Instagram, ermöglichen ihren Nutzern keine direkte Monetarisierung ihrer Reichweite und erlangten Aufmerksamkeit; teils lässt sich diese mit externen Diensten wie Patreon oder der Nutzung als Werbeplattform für eigene Produkte kompensieren. Manche haben nicht einmal ein nachhaltiges Geschäftsmodell, so wie Telegram, das seine letzten Einnahmen mit dem Verkauf selbst erzeugter Blockchain-Token („ICO“) erzielte, bevor die amerikanische Börsenaufsicht dem ein Ende setzte.

Das Internet schafft damit einen Raum für Medienprodukte, die vom Narzissmus oder der Agenda der Sender sowie der Einfalt ihrer Gefolgschaft leben. Esoterik und Verschwörungstheorien, die in den letzten Wochen in Form von Demonstrationen aus dem Internet herausschwappten, stellen nur eine Ausprägung diese Modells dar. Dass sich Telegram in diesem Zusammenhang zum Kopp-Verlag unter den Messengern entwickelt hat, dürfte nicht zuletzt fehlenden Reichweitebeschränkungen zuzuschreiben sein.

So im jungen Internet jeder mit wenig Aufwand ein Spammer werden konnte (Stimmt die Zeitform oder gibt es immer noch so viel Spam und ich sehe ihn nur nicht mehr?), kann heute auch jeder ein Massenmedium sein. Er muss dafür nur Zeit investieren und veröffentlichen, was seiner Zielgruppe gefällt. Als Belohnung gibt es Likes, Reshares und manchmal eine „Hygienedemo“ besonders eifriger Anhänger. Etwas Besseres als ein folgsamer Mob kann den Sendern kaum passieren.

Vordergründig funktioniert dieser neue Medienmarkt zwar wie der Alte, der ebenfalls Aufmerksamkeit belohnt, doch fällt das Geld als Regulativ für Inhalte weitgehend weg – auch auf Seiten der Empfänger, die sich nicht mehr auf einige wenige mutmaßlich seriöse Quellen festlegen müssen, sondern sich aus einem Überangebot das herauspicken, was ihnen gerade gefällt. Zugleich verschwimmen die Grenzen zwischen Sendern und Empfängern. Alle machen alles und viele träumen davon, es vom Twitter-Ei zum Like- oder Follower-Millionär zu bringen.

Negative Konsequenzen haben die Jedermannmedien auch dort, wo keine böse Absicht im Spiel ist. Aktuelles Beispiel: Das deutsche Corona-Warn-App-Projekt arbeitet relativ offen auf GitHub. Dort kann jeder in die Dokumentation und den Programmcode schauen, Fragen stellen, Probleme melden und diskutieren. Die Entwickler reagieren darauf professionell und nachvollziehbar, sie sind in einem vernünftigen Maß – um fertig zu werden, muss man manchmal Prioritäten setzen und nicht alles entscheiden die Entwickler selbst – offen für Kritik und Verbesserungsvorschläge. Doch die Arbeitswoche beginnt für sie nach dem Feiertag damit, dass sie am Dienstag halb neun jemand per Twitter anpisst, weil ihm an ihrem Datenbankentwurf etwas nicht gefällt. Die genannten Merkmale stellen wahrscheinlich gar kein großes Problem dar, weil die Datenbank im Fall der Corona-Warn-App ohnehin nur der Koordination dezentraler App-Instanzen dient und die zentral anfallenden Informationen kaum etwas über identifizierbare  Personen aussagen. Trotzdem gibt’s zur Belohnung allgemeines Schulterklopfen. Den Entwicklern will er’s vielleicht später melden.

Dies ist das Resultat einer Plattform, die den Narzissmus ihrer Nutzer gamifiziert hat, um damit Geld zu verdienen. Hier kann jeder ein kleiner Trump sein und sich seine tägliche Dosis Bestätigung aus der eigenen Populismusblase holen. Im kleinen Maßstab ist das kein Problem, doch insgesamt kommen wir vielleicht nicht darum herum, den senderseitigen Aufwand wieder an die Reichweite zu binden und so die alte Trennung zwischen relativ aufwändiger Massen- und billiger Individualkommunikation geringer Reichweite wiederherzustellen.

Querdenken statt Angst: Unser Rhetorik- und Folklore-GAU

Waren wir die Avantgarde, wir, die Hacker, die Nerds, die Netzaktivisten, die Piraten?

Zurzeit gehen Menschen auf die Straße, die sich Querdenker nennen und für besonders klug halten, die hinter jeder Gesichtsmaske den autoritären Staat lauern sehen, Politikern die Kompetenz absprechen, Verschwörungstheorien nicht besonders kritisch gegenüberstehen und die Bill Gates für eine Inkarnation des Satans halten. Woher haben sie das nur? Ist das Internet schuld mit seinen kommerziellen Plattformen, werden sie von fiesen Nazis aufgehetzt oder sind sie einfach blöd?

Einige ihrer Methoden könnten sie von uns haben. Von uns, die wir uns als Nerds immer für etwas schlauer als alle anderen halten, ganz besonders als alle Politiker. Uns, die wir mehr zu durchschauen glauben als andere, gerne auch mal in Form einer kleinen Verschwörungstheorie. Uns, die wir als digitalcouragierte Aktivisten hinter jeder Videokamera, jedem Polizeigesetz und jeder Urheberrechtsreform den autoritären Staat lauern sehen und unter dem Motto „Freiheit statt Angst“ gegen neue Einsatzmittel der Exekutive protestieren als stünden Recht und Demokratie kurz vor der Abschaffung. Uns, die bei jedem Datenschutzproblem und jedem staatlichen Digitalprojekt gleich von Grundrechten reden. Uns, die wir als Digitalveganer Sicherheitsmaßnahmen empfehlen als seien Geheimdienste hinter jedem Einzelnen persönlich her. Uns, die wir Microsoft und Bill Gates schon seit Jahrzehnten doof finden und uns lieber mit Linux quälen, Hauptsache anders. Von uns, die wir eines Tages dem Größenwahn verfielen und eine inzwischen beinahe wieder verschwundene Partei gründeten, um in der ganz großen Politik mitzumischen.

Querdenker wollen wir sein, Freiheitskämpfer, Topchecker und so wichtig, dass man uns verfolgt. Zu unserer Selbstbestätigung haben wir eine reichhaltige rhetorische Folklore geschaffen und gepflegt, aber selten hinterfragt. Nun schallt uns ein Echo dieser Folklore von der Straße entgegen, doch sind es nicht wir, die dort stehen, sondern andere, mit seltsamen Ideen und fragwürdigen Zielen. Wir selbst sind stolz darauf, für den Fall der Fälle keine Datenspuren zu hinterlassen, doch haben wir kollektiv ein Waffenarsenal der Öffentlichkeitsarbeit entwickelt und getreu dem Open-Source-Gedanken allen zur Verfügung gestellt. In dessen Mittelpunkt steht die Selbstinszenierung als Freiheitskämpfer, obwohl viele von uns nie etwas anderes erlebt haben als einen demokratischen Rechtsstaat und selbst die DDR zu den gemäßigten Vertretern der weniger demokratischen Staaten zählte, was sich nicht zuletzt in der Gewaltlosigkeit ihres Ablebens äußerte. Nun beobachten wir entsetzt, wie sich andere unseres Arsenals bedienen und ihrerseits ohne sachliche Grundlage Freiheitskämpfer spielen.

 

PS (2020-05-19): Stefan Laurin von den Ruhrbaronen ordnet die Proteste in den größeren Kontext unserer seit einem halben Jahrhundert sehr skeptischen Sicht auf Technik insgesamt ein: Hygiene-Demos: Querfront gegen den Westen, Technik und Aufklärung. Das ist in etwa dieselbe Perspektive, aus der ich Macken und Meme des Datenschutzes zu erklären versuche.

PS (2020-05-24): Der Deutschlandfunk liefert noch ein passendes Foto. Darauf zu sehen ist ein Demonstrant, der ein Schild mit der Aufschrift „COVID-1984“ trägt. Unterdessen redet Fefe gleich von „anhaltsloser Massenüberwachung“, nur weil Lieblingsfeind Wolfgang „Stasi 2.0“ Schäuble das Elend um die Corona-App kritisiert.

PS (2020-05-29): Die Guten™ unter den Verschwörungstheoretikern sind wieder ganz in ihrem Element: „Amazon greift nach Grundrechten“, zitiert die Taz einen Aktivisten, der den Cloudkonzern Amazon aus Berlin herausmobben möchte.

PS (2020-08-30): Ein Bericht der NZZ aus Berlin passt ins Bild.

Sündenböcke

Dass die Debatte um eine Corona-App zur Kontaktverfolgung entgleist ist, wird niemandem entgangen sein. Los ging es, als von einer App noch gar nicht die Rede war, mit dem Vorschlag, „irgendwas mit Händiortung zu machen“ und einer vorsorglichen Erlaubnis, die es dann doch nicht ins IfSG schaffte. Kurz darauf traten DP-3T und PEPP-PT auf den Plan, setzten den Fokus auf das Nebenthema Datenschutz unter Meidung einer sauberen Anforderungsanalyse und zerstritten sich über der Frage, welche Funktionen zentral und welche dezentral ablaufen sollten. Während dieser Streit weite Kreise zog, widmete die Öffentlichkeit den grundlegenden Problemen des Vorhabens und der lückenhaften Entwurfsarbeit wenig Aufmerksamkeit. Ein vorläufiges Ende setzte dieser wenig produktiven Diskussion die Bundesregierung mit ihrer Entscheidung, von SAP und der Telekom eine App auf der Grundlage von Gapples angekündigter Lösungsplattform entwickeln zu lassen, und sich schwierigeren Themen wie dem Immunitätspass zuzuwenden.

In einem Kommentar auf FAZ.NET macht Morten Freidel nun alleine „die Hacker“ für die Debatte und ihr Ergebnis verantwortlich. So sehr ich seinen Eindruck teile, dass organisierte Nerds etwa in Gestalt des CCC Expertentum und Aktivismus vermischen, ihr Auftreten in dieser Debatte keine Glanzleistung darstellt und ihre ewiggleichen Forderungen und Mahnungen manchmal mehr schaden als nützen, muss ich die Nerdaktivisten doch gegen den Vorwurf in Schutz nehmen, sie trügen die Hauptschuld am kommunikativen Desaster um die Corona-App.

Versagt hat zuerst die Bundesregierung. Sie hätte sich rechtzeitig Gedanken machen und einen Plan vorlegen sollen, ob und wie digitale Lösungen die Seuchenbekämpfung unterstützen sollen. Immerhin sitzt im Kanzleramt eine Staatsministerin für Digitalisierung, die jedoch wenig von sich hören lässt, seit Millionen Deutsche in ihren Heimbüros auf das Internet angewiesen sind. Stattdessen trieb die Öffentlichkeitsarbeit des PEPP-Konsortiums eine Zeitlang neben den Aktivisten auch die Bundesregierung vor sich her. Politisches Geschick zeigte die Regierung erst, als sie PEPP-PT seinen einzigen Claim vom Vertrauen durch technischen Datenschutz aus der Hand riss, gegen die Freischärler wandte und nebenbei noch die Entscheidung für Gapple und gegen eine eigene technische Basis ohne jeden Widerspruch durchsetzte.

Dass vorher aus PEPP-PT heraus ein Richtungsstreit „zentral vs. dezentral“ eskaliert war, ist ebenfalls nicht zuerst Nerdaktivisten anzulasten. Dieser Streit geriet in die Öffentlichkeit, als dreihundert Wissenschaftler in einem offenen Brief Partei ergriffen für eine forschungsnahe Technologieentwicklung („dezentral“) und gegen einen undogmatischen, zielorientierten Entwicklungsprozess*. Zu welchen Anteilen dieser offene Brief durch ehrliche Bedenken, auf die Gruppendynamik eines stabilen Beziehungsnetzes oder auf gekränkten Narzissmus zurückgeht, wissen nur die Akteure. Festzuhalten bleibt: 300 Wissenschaftler haben mit ihrer lautstarken Äußerung die falsche Dichotomie „zentral vs. dezentral“ gestärkt, offensichtliche Schwächen in der Anforderungsanalyse und im Entwurfsprozess hingegen übersehen und sich dann einen schlanken Fuß gemacht.

Einen schlanken Fuß macht sich auch die Bundesregierung, was gesetzliche Regelungen für die Kontaktverfolgung angeht. Kein Vorschlag liegt auf dem Tisch und man hat wohl auch nicht vor, dieses Thema in Zukunft zu regeln. Dabei hätte ein vertrauensbildender Regelungsvorschlag als Gegenpol zur technikfixierten PR von PEPP-PT einen weit konstruktiveren Beitrag zur Debatte geleistet als die letztendliche Richtungsentscheidung um ein technisches Detail.

Auf den engen datenschutztechnischen Fokus der Debatte eingestiegen zu sein und keine Ausweitung auf eine Gesamtsicht gefordert zu haben, mag man vielen Nerds vorwerfen. Historisch gesehen hat die Hacker- und Nerdaktivistenszene gewiss auch einen Anteil daran, dass Datenschutz inzwischen wichtiger scheint als Konzept und Funktion eines Systems. Die Verantwortung für das Scheitern der Corona-App-Debatte jedoch liegt primär bei anderen, bei PEPP-PT, bei der Bundesregierung und bei den eingeschnappten Professoren.

*) Ich spekuliere, da ich PEPP-PT nur aus den Nachrichten kenne. Auf mich wirkte es jedoch so, als habe man dort entwickelt und dabei gelernt; ich sehe gute Gründe, auf „dezentralen“ Extremismus zu verzichten.

Eristische Datenschutzdialektik

An der auf automatische Kontaktverfolgung und Datenschutz verengten Debatte um eine Corona-App kann man die Kunst, Recht zu behalten studieren. Datenschutzaktivisten gehen mit Axiomen und Finten in die Diskussion, die, so man sie akzeptiert, vernünftigen Argumenten kaum eine Chance lassen.

Datenschutzaktivisten unterstellen, jede Verarbeitung personenbezogener Daten gerate gewissermaßen von selbst außer Kontrolle. Es gebe eine „Datensammelwut“ und jede Datenverarbeitung wecke unweigerlich „Begehrlichkeiten“, denen man dann hilflos ausgeliefert sei. Aus diesen Gründen müsse man rechtzeitig vor allem über den Datenschutz sprechen und über nichts anderes.

Genau dies ist im Fall der Corona-App geschehen: Datenschutz galt der öffentlichen Debatte als sehr wichtig, während konzeptionelle Fragen und Anforderungen keine Rolle spielten. Der Ansatz der automatischen Kontaktverfolgung wurde als einzig möglicher und deshalb als gegeben angenommen. Mit den Stakeholdern, insbesondere den Gesundheitsdiensten sowie den Bürgerinnen und Bürgern, redete niemand.

Vernachlässigte Stakeholder melden sich jedoch häufig von selbst und machen ihre Bedürfnisse geltend. So auch hier, wo die Landkreise für ihre Gesundheitsbehörden anstelle der diskutierten Datenschutztechnik den Zugang zu und die Verarbeitung von Identitätsinformationen forderten. Diese Forderung ist ohne weiteres nachvollziehbar, wenn man sich mit der Arbeit der Gesundheitsämter im Zusammenhang mit einer meldepflichtigen Infektion beschäftigt.

Für Datenschutzaktivisten jedoch stellt die unaufgeforderte und verzögerte Äußerung unerwarteter Bedürfnisse genau das dar, wovor sie die ganze Zeit schon gewarnt haben: Begehrlichkeiten, Datensammelwut, Maßlosigkeit, die schiefe Bahn. Wahrscheinlich ist ihnen nicht einmal bewusst, dass sie damit alle und auch sich selbst hereinlegen und einer tautologischen Selbstbestätigung aufsitzen.

Auch um diesen Irrtum zu vermeiden, sollten Debatten stets beim Problem und den Anforderungen an technische Lösungen oder Lösungsunterstützung beginnen und nie bei der Datenschutztechnik.

Echte Corona-App: SORMAS

Wie sehr sich das digitalpolitische Berlin mit seiner Debatteninszenierung um eine „zentrale“ oder „dezentrale“ App zur Kontaktverfolgung blamiert hat, macht eine existierende Lösung deutlich:

Das Surveillance Outbreak Response Management & Analysis System (SORMAS) aus dem Helmholtz‐Zentrum für Infektionsforschung (HZI) unterstützt Gesundheitsdienste beim Kontaktpersonen- und Fallmanagement. Es ist ausgelegt auf die Nutzung mit mobilen Geräten auch in Ländern mit schwacher Infrastruktur, das heißt vielen Funklöchern.

SORMAS hat mehr als fünf Jahre Entwicklungsarbeit und Einsatzerfahrung hinter sich. Die Lösung wurde unter anderem in der Bekämpfung von Ebola-Ausbrücken erfolgreich eingesetzt und ist mittlerweile in mehreren afrikanischen Ländern dauerhaft im Einsatz.

SORMAS steht bereits seit Anfang März auch in einer eingedeutschten und an Covid-19 angepassten Version zur Verfügung. Die Open-Source-Software kann von allen Gesundheitsdiensten kostenfrei genutzt werden.

Keiner der Spezialexperten, die sich in den vergangenen Wochen die automatisierte Kontaktverfolgung zum Thema der Stunde erklärt und sich zum Randaspekt Datenschutz öffentlich einen runtergeholt haben, hat SORMAS je erwähnt. Ich schließe mich da ein, ich hatte es auch nicht auf dem Radar und bin erst heute in einer LinkedIn-Diskussion darauf gestoßen.


PS: In Berlin wird SORMAS seit einigen Tagen eingesetzt.

Zehnerlei Corona-App

Als Phantom ist „die“ Corona-App in aller Munde, nein, Medien. Sie inszeniert sich als Gegenstand eines Expertenstreits um die Frage, welche Architektur den technischen Datenschutz am besten gewährleiste, eine „zentrale“ oder eine „dezentrale“, und wer narzisstische Bestätigung sucht, schlägt sich öffentlich auf die eine oder die andere Seite. Dreihundert Informatikprofessoren zum Beispiel sehen sich ihrer Bedeutung beraubt, weil ihren Rat gerade niemand schätzt, und die Aktivistenclubs, die auch sonst zu jedem Thema die Hand heben, stehen ihnen in nichts nach.

Ihr Horizont bleibt eng und technisch, und so meiden sie neben der grundlegenden konzeptionellen Frage, was eine Corona-App überhaupt zu leisten hätte, sogar den rechtlichen und institutionellen Teil der Datenschutz-Debatte. Auf Ideen wie die einer spezifischen rechtlichen Regelung oder einer vertrauenswürdigen Institution zur Überwachung der außerordentlichen Datenverarbeitung aus besonderem Anlass kommen sie schon nicht mehr. Letztlich wollen nur sie bei einigen technischen Entscheidungen mitreden und führen dazu den Vorwand ins Feld, genau diese Entscheidungen seien essenziell für das Vertrauen der Nutzerinnen und Nutzer.

Mit App-Konzepten und Anwendungsszenarien aus anderen Ländern haben sich diese Diskursschauspieler offenbar so wenig auseinandergesetzt wie mit Institutionskonstrukten à la Stasi-Unterlagen-Behörde, mit einer umfassenden Anforderungsanalyse so wenig wie mit dem Verlauf von Entwurfs- und Entwicklungsprozessen. Sie zweifeln nicht am Projekt der automatisierten Kontaktverfolgung, das sie ohne Diskussion als einziges denkbares Funktionsprinzip einer Corona-App annehmen, sondern sie möchten diese Kontaktverfolgung in einigen willkürlich gewählten technischen Dimensionen perfektionieren. Erwägungen jenseits der Technik beschränken sich auf die Mahnung, „die“ App müsse auf jeden Fall nur freiwillig zu verwenden sein.

Über diese Debatteninszenierung haben wir ganz vergessen, grundlegende Fragen zu klären. Tatsächlich gibt es „die“ App gar nicht, sondern ganz verschiedene Zwecke und Konzepte des App-Einsatzes in der Seuchenbekämpfung. Eine Auswahl:

(1) Kontaktverfolgung – Smartphones als persönliche und häufig am Körper getragene Geräte erfassen Daten über das Verhalten ihrer Träger, mit denen sich im Fall einer Infektion Kontaktpersonen der oder des Infizierten leichter oder zuverlässiger ermitteln lassen. Sowohl die Datenerfassung als auch ihre spätere Verwendung kann man unterschiedlich gestalten. Daten können (1.a.I) automatisch erhoben oder wie in den ersten Versionen von Stopp Corona  (1.a.II) manuell erfasst werden. Ebenso lassen sich die aufgenommenen Daten (1.b.I) automatisch verwenden, um erfasste Kontaktpersonen über eine Infektion zu informieren, oder (1.b.II) menschlichen Kontaktverfolgern anbieten, um deren Arbeit zu unterstützen. Allein daraus ergeben sich vier Kombinationsmöglichkeiten; für welche man sich entscheidet, bestimmt die Erfolgsaussichten wie auch die Art der zu erhebenden Daten.

(2) Statistische Erhebungen – Die Smartphones der App-Nutzer und daran angeschlossene Geräte wie Fitness-Armbänder und Digitaluhren werden zu einem Netz verteilter Sensoren, dessen Daten ohne Personenbezug zu wissenschaftlichen und statistischen Zwecken ausgewertet werden. Die Corona-Datenspende-App des RKI setzt dieses Konzept um.

(3) Selbstdiagnose – Eine App oder Website fragt bei Infektionsverdacht Symptome und Risikofaktoren ab und gibt daraufhin Verhaltensempfehlungen, etwa den Rat, einen Arzt anzurufen oder ein Testzentrum aufzusuchen. Zusätzlich können die gewonnenen Daten analog zu (2) der Forschung und Statistik dienen. Die Nutzung kann (3.a) freiwillig und anonym erfolgen wie bei der Website Covid-Online (zurzeit in Überarbeitung) des Marburger Universitätsklinikums und der Philipps-Universität oder (3.b) verpflichtend im Rahmen einer flächendeckenden Früherkennung.

(4) Quarantäneüberwachung – Quarantänepflichtige Personen weisen ihren Aufenthalt regelmäßig mit Hilfe Smartphones nach. Dazu muss zum einen die Bewegung des Geräts überwacht werden, zum anderen die räumliche Nähe zwischen Gerät und Besitzer. Die digitale Quarantäneüberwachung lässt Schlupflöcher, erleichtert jedoch gegenüber anderen Formen der Überwachung – zum Beispiel häufigen Hausbesuchen – die Arbeit der Gesundheits- und Ordnungsbehörden. Nutzerinnen und Nutzer müssen kooperationsbereit sein.

(5) Digitale Seuchenpässe – Das Smartphone wird zum Speicher und Träger von Nachweisen, nach deren Kontrolle Privilegien gewährt werden können. Nachgewiesen werden kann einerseits (5.a) der (wahrscheinliche) Infektionsstatus, etwa durch die Zeitpunkte und Ergebnisse von Tests oder Selbstdiagnosen (siehe Nr. 3) und das Nichtbestehen einer Quarantäneanordnung. Diesem Ansatz folgt der chinesische Health Code. Andererseits ließe sich auch (5.b) der Immunstatus nach überstandener Infektion oder später nach einer Schutzimpfung auf diese Weise bescheinigen. Dies jedoch ist umstritten, einmal aus medizinischen Erwägungen, da die Frage der Immunität nach einer Infektion noch nicht ausreichend geklärt ist, aber auch praktischen und ethischen Gründen, da ein Immunitätspass ohne verfügbare Schutzimpfung einen Anreiz schaffen kann, sich absichtlich zu infizieren oder sich auf unlautere Weise einen falschen Nachweis zu verschaffen.

Das sind fünf verschiedene Anwendungen in insgesamt zehn Varianten und diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit. In fast allen Fällen muss man sich rechtzeitig Gedanken über Alternativen für Menschen ohne geeignetes Smartphone machen. Genuin technisch und die Besonderheiten der Plattform „Smartphone“ ausnutzend erscheinen (1), (2), und (4). Können wir jetzt endlich die Phantomdiskussion um eine zentrale oder dezentrale automatisierte Kontaktverfolgung beenden und debattieren, ob und wie wir die Bekämpfung des Coronavirus digital unterstützen möchten? Danke.

Technik-PR statt Problemlösung

„Wo ist die Blockchain wenn man sie mal braucht?“, werden sich viele angesichts der Corona-Pandemie fragen, die nach neuen Ideen verlangt. War diese wunderbare Technologie nicht gerade dabei, alles, wirklich alles zu disruptieren, wo immer sie als Lösung ein passendes Problem fand? Wer, wenn nicht die Blökchain, böte sich als Krisengewinner an? Doch in den letzten Wochen hörte man wenig von der Blockchain. Sollte das Mem gut zwei Jahre nach seinem Höhepunkt seine letzten Träger verloren haben und sang- und klanglos verstorben sei?

Keine Sorge, die Blockchain lebt und tut, was sie schon immer am besten konnte: als schlechtes Beispiel dienen. Als Architekturmuster entstammt sie dem gescheiterten Versuch, einen nur minimal und rein technisch regulierten Finanzmarkt aufzubauen, der herkömmlichen Institutionen wie Aufsichtsbehörden, Justiz und Politik Widerstand entgegensetzt. Herausgekommen ist dabei wenig mehr als der Verkauf wertloser, weil in beliebiger Menge herstellbarer digitaler „Coins“ und „Token“. Um mehr als das ging es auch nie, sonst hätte man sich mit den realen Anforderungen an Bankdienstleistungen, Wertpapiere, Bezahlsysteme und so weiter auseinandergesetzt und plausible Lösungsansätze vorgelegt.

Stattdessen lieferte die Blockchain-Szene immer wieder äußerst grobe und meist offensichtlich undurchdachte Anwendungsideen und übertünchte die konzeptionellen Lücken mit überdetailliert erläuterten technischen Belanglosigkeiten. So entstand bis heute nicht mehr als Scheinlösungen für erkennbar falsch aufgefasste Probleme unter willkürlichen Annahmen.

Als hoffentlich nun wirklich letzte Runde in diesem Spiel wärmt ein Konsortium aus Bundesdruckerei, Lufthansa und anderen den Ansatz des technisch verbrämten magischen Denkens noch einmal auf und präsentiert die Idee eines digitalen Seuchenpasses „auf der Blockchain“. Dessen Inhaber sollen damit nachweisen können, dass sie regelmäßig zum Corona-Test gegangen sind und ihr letztes Ergebnis negativ war. Szenetypisch legt das Konsortium erst einmal ein dünnes Whitepaper vor.

Über so etwas kann man nachdenken. Dann muss man sich überlegen, wie so ein Seuchenpass verwendet werden soll und wie nicht, welche Information er vermitteln soll und welche nicht, wer ihn ausstellt und wer ihn bekommt, wie lange er gültig sein soll, was vom Besitz oder Nichtbesitz beziehungsweise den Eintragungen darin abhängt, wie man 80 Millionen Deutsche oder 500 Millionen EU-Bürger damit versorgt, wie man Fehler entdeckt und korrigiert, wie man den Seuchenpass und seinen Identitätsbezug kontrolliert und so weiter. Dabei müsste man auch entscheiden, ob die Idee überhaupt gut ist. Mit alldem hat sich das Blockchain-Seuchenpass-Konsortium jedoch offenbar nicht näher beschäftigt. Seine einzige Idee: Wenn man so einen Seuchenpass implementieren wollte, könnte man doch eine Blockchain-Architektur verwenden, warum auch immer.

Einen Eindruck von der Realitäts- und Anwendungsferne dieses Ansatzes vermitteln Nachrichten aus Spanien, die vor einigen Tagen erschienen. Dort hat man über einen serologischen Pass nachgedacht, der Immunisierten diese Eigenschaft bescheinigen könnte. Ansonsten geltende Einschränkungen könnten für Inhaber des Passes aufgehoben werden. Experten erteilten diesem Vorhaben jedoch eine Absage und begründen sie damit, dass so ein Pass Fehlanreize schaffe. Die mit seinem Besitz verbundenen Vorteile könnten Menschen dazu verleiten, sich mit Hoffnung auf einen leichten Verlauf der Erkrankung absichtlich anzustecken, um die Immunität und damit deren amtliche Bescheinigung zu erlangen. Zudem sei eine Diskriminierung anhand medizinischer Kriterien generell problematisch und Gesundheitsdaten seien daher aus gutem Grund vertraulich.

Man könnte noch eine Reihe weiterer Einwände vorbringen, beispielsweise die leichtere Kontrollierbarkeit allgemeiner Vorschriften beziehungsweise umgekehrt die weit aufwändigere Kontrolle individuell variierender Erlaubnisse und Verbote. Könnte man die fundamentalen Probleme lösen, stieße man sicher im Verlauf der Entwicklung auch auf die Frage, wie so ein Seuchenpass am besten zu repräsentieren sei. Um die zentrale Frage handelt es sich jedoch nicht. Im Gegenteil, man würde sich dann wahrscheinlich an existierenden Lösungen orientieren, zum Beispiel an den Online- und Digitaltickets der Bahn oder der Fluggesellschaften, die hervorragend funktionieren.

Das Blökchain-Konsortium redet hingegen lieber von Pseudonymisierung und bemerkt dabei nicht, dass es auf die gar nicht ankommt, wenn man Menschen einen persönlichen Nachweis zum Vorzeigen in die Hand drückt. Seriöse Lösungsentwicklung ist das nicht, sondern Bullshit-PR. Die beherrschen freilich auch andere. Vor wenigen Tagen machte sich erst PEPP-PT und in der Folge auch Apple und Google mit der Idee wichtig, eine App zur Kontaktverfolgung unters Volk zu bringen. Auch hier kümmerte man sich wenig um die soziotechnischen Anforderungen der Anwendung und fokussierte seine PR stattdessen auf einen Randbereich, nämlich den Claim perfekten technischen Datenschutzes. Dummerweise fragten dann doch einige, ob das denn überhaupt funktioniere und einen Sinn habe. Die Antworten stehen noch aus.

 

Datenschützer im eigenen Saft

Unsere Datenschützer zeigen in der Krise, was sie können: Memetik, Bürokratie und Realitätsverlust. In der Tradition der 1970er/80er Jahre halten sie die elektronische Datenverarbeitung für eine Risikotechnologie vergleichbar der Kernkraft, die es mit allen Mitten einzudämmen gelte. Über die Jahre haben sich vorläufige Antworten auf einst berechtigte Fragen zu Memen verselbständigt, die man nur noch unreflektiert wiederkäut. Als Begründung des eigenen Treibens hat man sich in den ätherischen Wert unserer Rechte und Freiheiten verirrt, der alles und nichts begründen kann und jede Falsifikation zu Lasten der Datenschützer ausschließt, ihnen zugleich jedoch die Illusion vermittelt, stellvertretend für uns unsere Grundrechte wahrzunehmen.

Die aktuelle Corona-Pandemie stellt vieles auf den Kopf und lässt uns keine andere Wahl als unseren Digitalisierungsrückstand endlich zu verringern. Mehr Kartenzahlung, mehr Fernarbeit, mehr digitale Kommunikation und Kollaboration, Corona-Apps, Hackathons und vielleicht irgendwann sogar mehr E-Government – wir machen nach einer langen bleiernen Zeit gerade einen großen Sprung in Richtung Gegenwart. Nicht alles wird funktionieren wie erhofft oder versprochen, aber nach einem Vierteljahrhundert Internet für alle dürfen wir guten Gewissens überwiegend positive Auswirkungen erwarten.

Auch Datenschützer können dieser Entwicklung einiges abgewinnen, gibt sie ihnen doch – publish or perish – reichlich Gelegenheit, sich mahnend zu äußern. Davon machen sie effizient Gebrauch und wiederholen ihre ewiggleichen Meme, ohne sich um lästige Einzelheiten wie Kohärenz oder nachvollziehbare Begründungen zu kümmern.

So veröffentlicht etwa der Berliner Datenschutzbeauftragte eine mahnende Handreichung nebst Checkliste für die „Durchführung von Videokonferenzen während der Kontaktbeschränkungen“. Der Inhalt überzeugt nicht. Während seine Handreichung die Bedeutung einer verschlüsselten Übertragung herausstreicht, rät die Checkliste, das mit den Videokonferenzen am besten ganz zu lassen und möglichst zu telefonieren. Wie man jedoch verschlüsselt telefoniert, erklärt der Beauftragte nicht und wenn er es täte, lachten wir ihn aus, denn gemessen an Aufwand und Nutzen haben verschlüsselte Telefonate nur in Ausnahmefällen einen Sinn. Warum das bei einer Videokonferenz anders sei, erläutert er nicht und auch eine praktisch relevante Risikoreduktion durch die empfohlenen Maßnahmen kann er nicht belegen.

Überhaupt fehlt den Papieren eine plausible Risiko- und Bedrohungsanalyse und damit die Begründung. Stattdessen stecken alte Meme darin. Videokameras gelten den Datenschützern traditionell als verdächtig, wenn auch zuvörderst beim Einsatz zur Videoüberwachung. Später kam der Trend hinzu, Laptop-Kameras ostentativ zuzuklebensinnlos, aber sichtbar und leicht nachzuahmen. Auch der digitale Veganismus – der Datenschutzbeauftragte rät, existierende Dienste zu meiden und besser selbst einen aufzusetzen – hat eine lange Tradition.

Wie sehr diese Meme und Phrasen in der Vergangenheit verhaftet sind, wird deutlich, wenn man sie mit dem Stand der Technik abgleicht. Wenig haben die Offiziellen etwa zum gemeinsamen Bearbeiten von Dokumenten zu sagen. Das ist zwar seit vielen Jahren Stand der Technik und mindestens so nützlich wie Videokonferenzen, bei den alten Männern mit Röhrenbildschirmen in den Datenschutzbüros jedoch noch nicht angekommen. Schließlich wollen sie Vorbild gemäß ihrem Weltbild sein und agieren im Umgang mit der IT daher so übervorsichtig, dass es einer Selbstblockade gleichkommt. Dasselbe empfehlen sie allen anderen.

Wo sich der IT-Einsatz nicht ganz verhindern lässt, versucht man ihn in Bürokratie zu ersticken. Dies demonstrierten vor einigen Tagen Datenschutz-Aktivistinnen im Namen des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF): Zur laufenden Diskussion um den Einsatz von Smartphone-Apps zur Kontaktverfolgung im Rahmen der Seuchenbekämpfung legten sie eine sage und schreibe hundertseitige Datenschutz-Folgenabschätzung vor – für ein Phantom, denn bisher liegt kein ausgereiftes Einsatzkonzept für eine solche App vor, auf das sich eine qualifizierte Diskussion stützen könnte. So weit es sich beim Überfliegen dieses Konvoluts mit normativem Anspruch einschätzen lässt, steht darin kein relevanter Einwand, den nicht Susan Landau oder Ross Anderson knapper formuliert hätten. Auf die Idee, Datenschutzprobleme institutionell zu dämpfen, wie es bei der Erhaltung und Verharmlosung der Stasi-Akten gelungen ist, kommen die Aktivistinnen wohl gar nicht erst.

♠♠♠

Falsch abgebogen ist der Datenschutz früh in seiner Geschichte und sein Geburtsfehler wurde nie richtig korrigiert. Als der Datenschutz vor vier, fünf Jahrzehnten das Licht der Welt erblickte, entdeckte die Welt gerade die Schattenseiten damals moderner Großtechnologien wie der Kernenergie. Etwa zeitgleich mit den ersten Schritten zum Datenschutz entwickelte sich die Technikfolgenabschätzung, schrammte ein Kernreaktor in Harrisburg knapp an einer größeren Katastrophe vorbei, malte Robert Jungk den dann doch nicht eingetretenen Atomstaat an die Wand. Nebenbei herrschte noch kalter Krieg, der jederzeit in einen heißen letzten Weltkrieg münden konnte.

In diese Zeit fiel die zunehmende Verbreitung der elektronischen Datenverarbeitung (EDV) in Wirtschaft und Verwaltung. Auf dem Weg ins EDV-Zeitalter, so hofften viele, würde man alles besser machen als bei der Einführung anderer Großtechnologien, in die man scheinbar euphorisch und blind für ihre Gefahren hineingestolpert war.

Seither gehört zum Fundament des deutsch-europäischen Datenschutzes der Glaube, die elektronische Verarbeitung von (personenbezogenen) Daten sei eine Risikotechnologie vergleichbar der Kernkraft; man müsse sie ähnlich streng regulieren und überwachen sowie sorgfältig und umfassend technisch absichern. Genau genommen müsste man sie sogar verbieten, und genau davon geht der Datenschutz bis heute aus – die Verarbeitung personenbezogener Daten sei in der Regel verboten, sofern die nicht ausnahmsweise doch erlaubt sei. Diese Grundannahme erklärt, warum Datenschützer zum Beispiel so ein Theater um WhatsApp und dessen Nutzung persönlicher digitaler Adressbücher machen, obwohl sich außer ihnen kein Mensch daran stört und wohl auch niemand tatsächlich dadurch gefährdet wird. Für Datenschützer steht die IT traditionell unter Generalverdacht.

Heute steht Deutschland kurz davor, seine letzten Kernkraftwerke abzuschalten, während sich das Verbrennen von Kohle als eine viel größere und schwerer zu bändigende Gefahr erwiesen hat. Daneben meldet sich die Natur mit einem neuen Coronavirus, welches im Gegensatz zur EDV Menschenleben bedroht und mangels Impfstoff oder Heilmittel Vorsichtsmaßnahmen verlangt, die tief in unser gewohntes Leben und unsere bürgerlichen Freiheiten eingreifen. Doch unverdrossen verkauft uns eine Allianz aus Aktivisten, Datenschutzbeauftragten und Opportunisten den Datenschutz als Supergrundrecht und die Datenverarbeitung als explosive Risikotechnologie, von der man am besten die Finger lasse.

Anders als bei jeder anderen Risikotechnologie, deren Schäden sich als Sach- und Personenschäden quantifizieren lassen, fehlt dem Datenschutz und der fundamentalen EDV-Kritik jedoch ein klarer Risikomaßstab. An seine Stelle trat die radikale Vorsorge eines generellen Verbots der personenbezogenen Datenverarbeitung mit Ausnahmen, vergleichbar den Regeln für den Betrieb kerntechnischer Anlagen, die einer Genehmigung bedürfen.

Die Entscheidung über Ausnahmen legte man teils in die Hände des Gesetzgebers und teils in die der Betroffenen. So ward die informationelle Selbstbestimmung geboren, die das Bundesverfassungsgericht 1983 in seinem Volkszählungsurteil in den Rang eines Grundrechts erhob. In den folgenden Jahrzehnten unterblieben nötige Modernisierungen des Datenschutzes weitgehend und auch die DSGVO hat noch viel mit dem alten (west-)deutschen Bundesdatenschutzgesetz gemein.

Die IT entwickelte sich schnell weiter und entfernte sich nach und nach von den Voraussetzungen des etablierten Datenschutz, was man ihr nicht verübeln kann. Zugleich eigneten sich die Träger des Datenschutzes, die Beauftragten und Aktivisten, das Grundrecht der Betroffenen an und beanspruchen seither dessen stellvertretende Wahrnehmung. Mit dieser Waffe in der Hand müssen sie keine Kritik mehr fürchten, denn zum einen bleiben die Grundrechte zu abstrakt, um damit direkt und einfach argumentieren zu können, und zum anderen bedarf die Inanspruchnahme von Grundrechten – im Regelfall anders als im Datenschutz durch ihre Trägerinnen selbst – keiner Rechtfertigung. Begleitend entstand über die Jahre mit Anbietern von Compliance-Dienstleistungen ein Wirtschaftszweig, der von möglichst willkürlichen und bürokratischen Anforderungen profitiert und der deshalb um so andächtiger nickt als die Nachfrage nach seinen Angeboten steigt.

Deswegen werden wir jetzt vor Videokonferenzen gewarnt, besonders vor den einfach zu nutzenden. Ob jemals eine Videokonferenz jemandem ein Haar gekrümmt hat, bleibt offen, denn auf reale Risiken kommt es dem Datenschutz nicht an. Er begründet sich aus sich selbst und immunisiert sich damit gegen Kritik, ja sogar gegen die bloße Sinnfrage.

 

PS (2020-05-06): Microsoft weist die Warnungen des Berliner Datenschutzbeauftragten für seine Produkte ausdrücklich zurück.

PS (2020-05-16): Microsoft geht den nächsten Schritt und mahnt Berlin ab.

#WirHabenJaSonstNichtsZuTun

Wo sind eigentlich die ganzen Schlaumeier geblieben, die bei jeder Videokamera einen Generalverdacht wittern und der automatischen Gesichtserkennung Untauglichkeit zur Fahndung nach Terroristen vorwerfen, weil sie unvermeidlich mehr falsche als wirkliche Terroristen melde?

Gegenwärtig reden wir über Ausgangssperren zur Bekämpfung eines Virus, das einen Bevölkerungsanteil in der Größenordnung von einem Promille befallen hat. Ein Corona-Soforttest mit hoher Falsch-Positiv-Rate fände vermutlich breite Akzeptanz, wenn man mit seiner Hilfe eine knappe Mehrheit – oder vielleicht sogar eine genügend große Minderheit – der Bevölkerung von Einschränkungen befreien könnte.

Von welchen Axiomen muss man ausgehen und welche Unterschiede zwischen beiden Szenarien berücksichtigen, um mit einem logisch konsistenten Weltbild eine automatische Fahndung wegen begrenzter Zuverlässigkeit abzulehnen, erhebliche Einschränkungen des öffentlichen Lebens und der persönlichen Freiheit zur Virusbekämpfung hingegen zu befürworten?

***

#WirHabenJaSonstNichtsZuTun regt zum Zeitvertreib Grundsatzdiskussionen an

Digitaler Veganismus

Kelbers wohlfeile Datenschutztipps an die falsche Adresse sehe ich als Symptom eines allgemeineren Trends. Nicht nur suchen sich amtliche Datenschützer mit den Bürgerinnen und Bürgern die falsche Zielgruppe, sie verbreiten dabei auch gerne fragwürdige Verhaltensmaßregeln, die zu ignorieren meist sehr vernünftig scheint. Ich nenne diese Maßregeln digitalen Veganismus, weil sie willkürlich sind, nur eine ideologische Begründung haben und sie den Alltag erschweren, ohne nennenswerten Nutzen zu stiften.

Veganer können nicht einfach zum Bäcker gehen und ein Brot kaufen, sondern müssen dort erst die Zutatenliste studieren, um herauszufinden, ob nicht jemand einen Schluck Milch oder einen Löffel Butter oder eine unglückliche Küchenschabe in den Teig gerührt hat. Glücklich wird, wer sich dabei einen Distinktionsgewinn einreden kann; die meisten Menschen hingegen kaufen einfach das Brot, das ihnen schmeckt und sind damit zufrieden. Als individuell gewählte Lebensweise ist das eine wie das andere völlig in Ordnung. Öffentliche Stellen, die den Veganismus empfählen, gibt es meines Wissens nicht.

Im Datenschutz hingegen geben Aufsichtsbehörden, Universitäten, Aktivist*innen und andere nur zu gerne Tipps für das, was sie gerne „digitale Selbstverteidigung“ nennen. Im Wesentlichen laufen diese Tipps meist darauf hinaus, sich allerorten von „Datenkraken“ verfolgt zu fühlen und Zuflucht in einem digitalen Aluhut in Form originellen, das heißt von den Gebräuchen des Mainstreams abweichenden Verhaltensweisen zu suchen. Das Angebot Data Kids der Berliner Datenschutzbeauftragten zum Beispiel warnt vor „diebi­schen dreis­ten Daten­wolken“ und „Krakina Kompli­zia“ und empfiehlt dagegen das Ritual, eine Abdeckung für eine Kamera zu bauen als sei der meist nur eingebildete Kameramann im Laptop ein relevantes Problem. Wie man dagegen rechtzeitig bemerkt, dass ein Kammergericht in ihrem Zuständigkeitsbereich in Sachen Sicherheit und Datenschutz nicht einmal näherungsweise auf der Höhe der Zeit ist, weiß die Beauftragte anscheinend  nicht, sonst hätte sie es ja bemerkt. Das ist freilich auch etwas anspruchsvoller als Kindern das Märchen von Krakina Komplizia und den sieben Clouds zu erzählen.

An die ewigen Warnungen offizieller Datenschützer, WhatsApp sei haram sei, weil es Adressbücher aus einer Cloud in eine andere hochlade, haben wir uns längst gewöhnt. Kein Mensch schert sich darum; WhatsApp ist so alltäglich geworden wie das Telefon, weil es umstandslos und ohne Schmerzen (naja) funktioniert. Nur wo die Datenschützer Macht haben, ist WhatsApp abweichend vom Normalen verboten – man möge bitteschön Alternativen nutzen.

Auf diesem Niveau bewegen sich die meisten Empfehlungen aus dem Reich des digitalen Veganismus: Andere Messenger als die meisten Menschen möge man benutzen, einen anderen Browser, ein anderes Betriebssystem, andere Suchmaschinen und andere Landkarten. Seine E-Mail möge man verschlüsseln, die Cloud links liegenlassen und bei Bedarf besser eine eigene betreiben als hätte man alle Zeit der Welt und nichts Wichtigeres zu tun. Und wer einen Termin mit anderen abstimmen wolle, solle nicht irgendeinen Terminplaner benutzen, sondern bitteschön Nuudle, am besten mit dem Tor-Browser über das Tor-Netz (im Volksmund Darknet genannt).

Einen objektiven Nutzen hat diese Kasteiung nicht, doch kann man sich selbst dafür belohnen, indem man sich einredet, zu den Erleuchteten zu gehören und im Gegensatz zur vermeintlich blöden Masse der „Sheeple“ das Richtige zu tun. Das ist zwar ziemlich arrogant, aber wer diesen Teil im Stillen abwickelt und nach außen nur seine oberflächlich als hilfreich und wohlmeinend verpackten Ratschläge zeigt, bekommt wenig Gegenwind. Wenig Erfolg auch, denn die meisten Menschen fragen sich hier ebenso wie im Angesicht eines Zutatenlisten wälzenden Veganers, was das denn solle und bringe, warum sie sich so etwas antun sollten. Erfolg ist jedoch gar nicht gewollt, denn er würde alles zerstören: Begänne eine Mehrheit damit, den Ratschlägen zu folgen, wäre das Wohlgefühl der Ratgeber dahin.

PS (2020-04-27): Die Schattenseiten der gerne als gleichwertig hingestellten Alternativen werden im Artikel Endlich glückliche Freunde bei Golem.de deutlich. Dort geht es um den Messenger Signal, der WhatsApp im Funktionsumfang merklich hinterherläuft. Darin findet sich zudem ein Verweis auf den älteren Artikel Wie ich die Digitalisierung meiner Familie verpasste, dessen Autor beschreibt, wie er sich durch WhatsApp-Verweigerung aus der Kommunikation seiner Familie ausschloss.

PS (2020-07-06): Selbst wer keine bunten Bildchen braucht, wird mit Signal nicht unbedingt glücklich.

 

Datenschutz durch Publikumsbeschimpfung

Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, empfiehlt in einem Interview der Welt Zurückhaltung bei der Nutzung von Apps und behauptet in diesem Zusammenhang, es gebe altersunabhängig fünf „Daten-Typen“:

„Den Ahnungslosen, der schlicht keine Vorstellung von den Risiken hat. Den Sorglosen, der blind vertraut. Den Gleichgültigen, der die Gefahren kennt, sich aber nicht davor schützt. Den Abstinenzler, der sich ohnehin außerhalb der digitalen Welt bewegt. Und den Digitalprofi, der tatsächlich etwas unternimmt.“

(„Wir rücken nicht von der Strafe ab. Was wäre das für ein Signal?“, welt.de, 2020-01-29)

Die größte Sorge, fährt er fort, bereite den Datenschützern die Gruppe der Sorglosen.

Diese Aussagen sind ein Meisterwerk der eristischen Dialektik, inhaltlich aber ein Irrweg. Kelber konstruiert einen Gegensatz zwischen negativ konnotierten Zuschreibungen – ahnungslos, sorglos, gleichgültig – auf der einen und akzeptablem Verhalten – Abstinenz – sowie einer unerreichbar vorbildlichen Heldenfigur – dem Digitalprofi, der etwas (was?) unternimmt – auf der anderen Seite.

In Kelbers Aufzählung fehlt zum Beispiel der Digitalprofi, der die Risiken oder das Verhältnis zwischen Risiken und Nutzen anders einschätzt als ein Datenschutzbeauftragter, dem Nutzenerwägungen von Amts wegen fern liegen. Ebenso fehlt der Normalbürger, der seinem Gegenüber selbstverständlich Vertrauen entgegenbringt, nicht blind und bedingungslos, sondern in der üblichen Weise: als positives Vorurteil, das die soziale Interaktion erleichtert, solange es nicht durch negative Erlebnisse erschüttert wird. Wir alle handeln so, wenn wir zum Beispiel ohne Brustpanzer aus dem Haus gehen und darauf vertrauen, dass uns auch heute niemand ein Messer zwischen die Rippen rammen oder mit einem Stein den Schädel zertrümmern werde.

Dass die ewigen Mahnungen der Datenschützer dieses Vertrauen nur selten erschüttern, liegt nicht zuletzt an ihnen selbst, bleiben sie doch oft vage und unbelegt. Wie oft haben wir zu hören bekommen, WhatsApp zum Beispiel sei haram, weil es Adressbücher aus der Cloud in die Cloud hochlade, und was die amerikanischen Datenkraken alles Böses trieben, und wie oft hat tatsächlich jemand handfeste negative Auswirkungen zu spüren bekommen, der moderne Dienste und Geräte sorglos nutzt? Wo Risikoszenarien plausibel, nachvollziehbar und durch reale Fälle belegt sind, nimmt die Sorglosigkeit erfahrungsgemäß ab. Polizisten im Einsatz etwa oder Journalisten in Kriegsgebieten tragen selbstverständlich Schutzausrüstung, denn ihre Risiken und Bedrohungen sind offensichtlich und belegt.

Kelbers erster Fehler liegt mithin darin, seinen Schutzbefohlenen Vernunft und Einsicht abzusprechen und ihnen Verhaltensmaßregeln zu erteilen. Die Möglichkeit, dass seine Mitmenschen mehrheitlich rational handelten und er sich irre, zieht er gar nicht in Betracht. Darüber hinaus blickt er in die falsche Richtung, wenn er sich mit den Betroffenen beschäftigt statt mit den Verarbeitern und Verantwortlichen.

Datenschutz ist für alle da, auch für die Sorg- und Ahnungslosen und die Gleichgültigen. Er soll die personenbezogene Datenverarbeitung im Zaum halten, um unsere Rechte und Freiheiten vor negativen Auswirkungen zu schützen. Aus dieser Sicht kann es sogar sinnvoll sein, auch vage und unbelegte Risiken zu berücksichtigen, doch alle Bemühungen müssen sich dann auf die Verarbeitung selbst konzentrieren. Aufgabe der Datenschutzaufsicht ist, Recht und Ordnung in Unternehmen, Behörden und anderen Organisationen durchzusetzen. Stattdessen den Betroffenen Ratschläge zu erteilen, wirkt demgegenüber wie eine Bankrotterklärung: Anscheinend gelingt es den Datenschützern schon nach eigener Einschätzung nicht, das Internet so vertrauenswürdig zu machen wie den Stadtpark, dessen sorg- und ahnungsloses oder gleichgültiges Betreten man niemandem vorwerfen könnte, ohne schallend ausgelacht zu werden.

Kelbers zweiter Fehler ist deshalb, dass er die falsche Zielgruppe anspricht. Er müsste dem Internet sagen, was es darf und was es lassen soll, und nicht dessen Nutzerinnen und Nutzern. Dies allerdings erschwert ihm seine Arbeitsgrundlage, das real existierende Datenschutzrecht. Die Datenschutzgrundverordnung weiß auch nicht so genau, was erlaubt oder verboten sein sollte, sondern sie gibt vor allem vor, wie die Datenverarbeitung zu verwalten sei. Trotz eines nominellen Verbots der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt, wie wir es bereits aus dem alten Bundesdatenschutzgesetz kennen, ist in der Praxis vieles erlaubt, solange die Verantwortlichen nur jederzeit alle Papiere vorzeigen können und sich nicht bei groben Schnitzern erwischen lassen. Das liegt nicht am Datenschutzbeauftragten, aber wenn es ein Problem gibt, liegt es hier.

Auch für Europa mit seiner stolzen DSGVO gilt, was Bruce Schneier vor einigen Tagen in einem Kommentar zur Aufregung um die Gesichtserkennung der Firma Clearview schrieb: Wir brauchen Regeln für alle wesentlichen Fragen der Datenverarbeitung, die sich an die Verarbeiter richten. Im Fall von Clearview sind das nach Schneiers Auffassung erstens Regeln dafür, unter welchen Bedingungen Unternehmen Personen identifizieren dürfen, zweitens Regeln für die Kombination von Daten und den Handel damit ohne Zustimmung und Kenntnis der Betroffenen, sowie drittens Regeln dafür, unter welchen Bedingungen Unternehmen Personen diskriminieren dürfen. Blickt man über den konkreten Fall von ClearView hinaus, kommen sicher noch einige Fragen hinzu. Die DSGVO bekleckert sich in dieser Hinsicht nicht mit Ruhm, ihre Vorgaben bleiben oft vage und unspezifisch. Kelber sieht keinen grundlegenden Änderungsbedarf, doch der liegt genau hier und nicht bei gleichgültigen, ahnungs- oder sorglosen Nutzerinnen und Nutzern.

What Blockchain Really Is

Blockchain is not a technology, it is a meme. The legend of a magical technology about to disrupt everything – e-very-thing! – emerged from an ecosystem of investment fraud, where it was originally used to sell worthless coins and tokens to the gullible. The blockchain legend did not have to make sense to fulfill this purpose, quite to the contrary.

Due to media fascination with the speculative bubble formed by Bitcoin and other crypto-“currencies”, the blockchain legend spilled over into the real business world. It had everything it needed to spread: great promises instilling fear of missing out, explanations one could replicate by memorizing rather than understanding, and holes in just the right places that everyone could fill with their personal visions.

Application proposals, unsurprisingly, revolved around what people experienced in their everyday lives, such as tracking bananas from the farm to the supermarket or making payments. The blockchain legend would have worked just as well with any other alleged use case, as it did not promise any specific advantages compared to actual technology.

As a meme, the blockchain legend can spread only among those who want to believe, or at least accept the proposition that blockchain were a technology. The moment one understands the true nature of blockchain as a redundantly-decentrally spread meme one stops spreading the meme.

Two years have passed since peak blockchain. Fewer and fewer people continue to propagate the meme. I can see the light at the end of the tunnel.

Die letzten Blockchain-Evangelisten

Zum zweiten Mal jährt sich in diesem Monat Peak Blockchain, der Höhepunkt der Krypto„währungs“- und Blockchain-Blase. Für einen kurzen Augenblick unserer Geschichte schien das Zauberwort Blockchain den Deutschen interessanter als die Hipster nährende Süßkartoffel. Seither ließ das Interesse schnell nach, denn dem Hype fehlte die Substanz. Wirklich plausibel war bereits Bitcoin nur als Spekulationsobjekt gewesen, das man wie einst Tulpenzwiebeln eine Blase lang handeln und dann als Wirtschaftsgut vergessen oder irgendwo zwischen Mehl und Kartoffel einsortieren würde. Die als Verkaufsargument für letztlich in beliebiger Anzahl frei halluzinierbare „Coins“ und „Token“ in die Welt gesetzte und gerne nachgeplapperte Legende von der revolutionären Blockchain-Technologie konnte daran nichts ändern.

Trendgraphen für Blockchain und Süßkartoffeln
Die Süßkartoffel wird alles revolutionieren, alles! Bringt den Euro auf die Süßkartoffel!

Bereits 2017, noch auf dem Weg zum Gipfel des Irrsinns, beleuchtete David Gerard in seinem Buch Attack of the 50 Foot Blockchain die Szene und mittlerweile kann man sich auch vom Security-Guru Bruce Schneier oder von gut bezahlten McKinsey-Beratern erklären lassen, was an den Geschichten von Coins, Token, Blockchains und Smart Contracts alles nicht stimmt und warum die Suche nach erfolgreichen Blockchain-Projekten so mühsam ist. Dazu passend hört man von den einst eilig aufgesetzten Blockchain-Projekten mancher Unternehmen heute nur noch wenig mehr mehr als von ihren ähnlich laut angepriesenen und gleichermaßen schlecht begründeten Avatar-Meetings und Gebäudemodellen in Second Life ein Jahrzehnt zuvor. Selbst die noch im Frühjahr vom Gesundheitsminister prämierte Idee einer digitalen Arbeitsunfähgkeitsbescheinigung mit Blockchain verschwand auf dem Weg zum Gesetz leise in der Schublade, denn eine Krankenkasse hatte bereits Jahre zuvor eine ohne Digitalvoodoo funktionierende Lösung entwickelt und getestet. Zu guter Letzt beerdigte auch die Bundesregierung das ihr aufgedrängte Thema, indem sie gesichtswahrend eine Blockchain-Strategie verabschiedete, ohne sich zu etwas zu verpflichten.

Um jetzt noch an der Blockchain-Legende zu stricken, müsste man schon sehr realitätsverdrossen sein, und doch versuchen einige genau dies und schwadronieren vom digitalen Euro, der schnell „auf die Blockchain“ müsse, oder neu ausgeschmückt von einer revolutionären Wundertechnologie nun nicht mehr hinter Bitcoin, sondern hinter dem vorerst ebenfalls gescheiterten Facebook-Projekt Libra. Was sie dazu treibt, bleibt ihr Geheimnis.

Kein Geheimnis bleiben die Nachrichten. So sieht der Präsident der amerikanischen Nationalbank Federal Reserve keinen Bedarf für einen staatlichen Digitaldollar und der venezolanische Petro blieb von Anfang an nur ein Verzweiflungsakt, der dem gebeutelten Land nicht helfen konnte und es vielleicht nicht einmal sollte. Facebooks groß angekündigte Privatwährung Libra harzt, wie man am Sitz der Libra Association in der Schweiz sagen würde, seit sich zeigte, dass Libra von den ursprünglichen Ideen der Krypto„währungen“ weniger deren Architektur denn ihre Ignoranz gegenüber jeder Finanzmarktregulierung übernehmen wollte. Ins Geschäft mit dem Zahlungsverkehr einzusteigen mag für ein Unternehmen wie Facebook attraktiv sein, aber dabei handelt es sich am Ende nur um ein Bankgeschäft wie jedes andere. Technisch braucht man dafür nicht mehr als eine Datenbank und über eine eigene Verrechnungseinheit verfügte mit dem Linden Dollar bereits Second Life – Jahre vor Bitcoin.

Was die ebenso gerne als Kronzeugen angeführten fernen Chinesen treiben, wissen wir im Westen nicht so genau. Vor unserer Haustür hingegen finden wir das lehrreiche Beispiel der schwedischen E-Krone. Unter diesem Arbeitstitel beschäftigt sich die Schwedische Reichsbank mit der Frage, ob sie ein elektronisches Zentralbankgeld herausgeben soll und wie ein solches funktionieren könnte. Die Motivation dazu liegt nicht in der Wundertechnik Blockchain, sondern im elektronischen Zahlungsverkehr, der das Bargeld in Schweden weitgehend abgelöst hat. Während sich die Banken früher Bargeld bei der Zentralbank besorgen mussten, arbeiten sie nun vorwiegend mit Buchgeld, welches sie selbst schöpfen. Damit aber geht der Einfluss der Zentralbank zurück, auf den sich die klassischen Instrumente der Geld- und Währungspolitik stützen.

Die E-Krone steht für die Suche nach einem elektronischen Ersatz, der die Funktion der Zentralbank in die Ära des volldigitalen Zahlungsverkehrs hinüberrettet. Notwendig wird dieser Versuch, weil die Banken dezentral selbständig Buchgeld schöpfen können, eine wirtschaftlich nützliche Funktion, die jedoch beaufsichtigt und gesteuert werden muss. Die E-Krone und Krypto„währungen“ verfolgen mithin gegensätzliche Ziele. Bitcoin und seine Nachahmer traten mit dem Anspruch an, zentrale Instanzen überflüssig zu machen und alle Vorgänge redundant-verteilt abzuwickeln. Heraus kamen dabei Systeme mit gravierenden Mängeln: geringe Leistung und Zuverlässigkeit bei hohem Energieverbrauch, hohes Risiko für Nutzer wegen problematischer Benutzerschnittstellen bei fehlenden Korrekturmöglichkeiten sowie die ökonomischen Folgen ungenügender Aufsicht sind nur einige davon.

Zur Rettung einer Zentralbank dürften Ansätze, die deren Abschaffung um jeden Preis versuchen und die genau deswegen in der Praxis scheitern, nur wenig beitragen. Stattdessen wird es sinnvoll sein, sich alle plausiblen Vorschläge für digitales Geld von eCash bis zur Geldkarte noch einmal anzuschauen und zu überlegen, wie man diese Entwürfe weiterentwickeln könnte. Bitcoin und Konsorten fallen schon mal raus: Nach Ansicht der Reichsbank handelt es sich dabei gar nicht um Geld (deshalb die Gänsefüßchen im Wort Krypto„währung“). Ob Schweden am Ende jemals eine E-Krone bekommt und wie sie gegebenenfalls funktionieren soll, bleibt vorerst offen. Vielleicht braucht es am Ende auch ganz andere Mechanismen für die Bankenaufsicht und Geldpolitik.

Von den letzten Blockchain-Evangelisten liest man dazu nichts. Sie raunen nur weiter von der Magie der Blockchain und einer großen Zukunft der Krypto„währungen“, die man nicht verpassen dürfe. Wer ihnen noch zuhört, ist selbst schuld.

Digitalfeindliche Hetze

Gegen alles Digitale kann man in Deutschland ungestört hetzen, zumal unter dem Deckmantel der Sicherheit. Eines der beliebtesten Opfer neben dem Internet: die Kartenzahlung, die sich nun langsam doch auch in Deutschland durchsetzt. In welchem Maße dies auf die Deckelung der Transaktionsgebühren durch die EU zurückgeht, auf die zunehmende Verbreitung NFC-fähiger Karten zum bequemen kontaktlosen Bezahlen auch kleinster Beträge oder schlicht darauf, dass zu guter Letzt auch die Deutschen langsam in der Moderne ankommen, sei dahingestellt. Doch einige meinen immer noch, man hätte nie von den Bäumen herunterkommen oder noch besser, nie die Ozeane verlassen sollen. Ihre Geheimwaffe: Sicherheitsbedenken, denn die lassen sich zumindest in den Augen von Laien kurzfristig schwer ausräumen.

Der SWR demonstriert diese Masche am Beispiel der NFC-fähigen Kredit- und Debitkarten, die heute fast jeder besitzt:

Im Wesentlichen demonstriert dieser Beitrag, dass kontaktloses Bezahlen kontaktlos funktioniert, sowie dass die Infrastruktur dafür günstig zu haben und überall einsetzbar ist. Um sich vor Fernsehteams auf der Jagd nach Sensationen zu schützen, so empfiehlt der Beitrag am Ende, sollen wir unsere praktischen Karten kastrieren, indem wir sie umständlich in Schutzhüllen packen oder die NFC-Funktion gleich komplett deaktivieren lassen.

Wie bei solchen Skandalisierungsversuchen üblich, drückt sich der Beitrag um jede Risikobetrachtung. Das hatte so ähnlich ein gutes Jahr zuvor schon das Fachmagazin c’t versucht, musste jedoch bald zurückrudern. Wie der Anbieter des dort verwendeten mobilen Bezahlterminals zu recht betonte, wurde dort wie auch nun im Fernsehbeitrag des SWR lediglich ein technischer Transaktionsvorgang nachgewiesen, nicht jedoch ein erfolgreicher Geldtransfer zum Täter, der ohne Identifizierung desselben sowie ohne Eingriffsmöglichkeiten in dessen Handeln kaum zu bewerkstelligen wäre.

In der Gesamtschau begrenzen mehrere Mechanismen und Entwurfsmerkmale das Risiko kontaktloser Zahlungskarten:

  1. Zahlungen erfordern physische Nähe zwischen Terminal und Karte. Dies begrenzt die Zahl der effektiven Versuche, die ein Täter pro Zeiteinheit machen kann, sowie die Zahl der Angriffe, denen ein Karteninhaber ausgesetzt ist.
  2. Für Transaktionen ohne PIN-EIngabe sind der Betrag pro Transaktion wie auch die Zahl der aufeinanderfolgenden Transaktionen und deren Gesamtbetrag beschränkt. Selbst wer sich dauerhaft in der Nähe seines Opfers aufhielte, könnte nicht beliebig viele, beliebig hohe Transaktionen auslösen.
  3. Es handelt sich um Buchgeldtransaktionen, die nachvollzogen und nötigenfalls auch rückgängig gemacht werden können. Um an Bargeld zu kommen, müsste der Täter nicht nur Transaktionen auslösen, sondern auch über das resultierende Guthaben auf einem Konto frei und ohne Risiko verfügen können.

Unabhängig davon muss man sich auch noch die Geschäftsbedingungen der Bank anschauen und die darin festgelegten Haftungsregeln berücksichtigen. Selbst ein technisch erfolgreicher Angriff bliebe für Karteninhaber folgenlos, wenn sie Schadenersatzansprüche gegen ihre Bank geltend machen könnten.

All diese verschweigt der SWR-Beitrag. Er demonstriert lediglich einen technischen Vorgang, der Journalisten auf den ersten Blick überraschen mag. Hätten sie gründlich recherchiert, statt nur einen Wichtigtuer für eine telegene Vorführung zu suchen, hätte ihnen das sicher jemand erläutert. Weil sie das anscheinend nicht getan haben, handelt es sich um digitalfeindliche Hetze – oder doch nur um schlechten Journalismus?

Schnapsidee: Falschfahrerwarnung als Werbegag in der Radio-App

Der Radiosender Antenne Bayern hat sich von Bosch einen Werbegag für seine App bauen lassen und mir stehen die Haare zu Berge. Es handelt sich um eine neue Funktion in der App des Senders, eine Falschfahrerwarnung. Das noble Ziel: „Keine Verkehrstoten mehr durch Falschfahrer“, doch der Weg erscheint fragwürdig.

Die Warnfunktion besteht offenbar aus zwei Teilen. Der eine erkennt Falschfahrten daran, dass sich eine aktive Instanz der App in der falschen Richtung durch eine Autobahnauffahrt bewegt, und meldet dieses Ereignis an einen Clouddienst. Der andere empfängt Warnmeldungen und gibt sie aus. Nach eigenen Angaben hat man dabei auch an den Datenschutz gedacht. Technisch ist das so weit plausibel und den Datenschutz glaube ich einfach mal ohne Prüfung. Wenig Sinn ergibt jedoch das Konzept insgesamt, wenn als übliche Anforderungen an einen Sicherheitsmechanismus erstens Verlässlichkeit verlangt und zweitens die Anpassung der Technik an den Menschen.

Die Verlässlichkeit scheitert daran, dass sie Warnfunktion in einer Radio-App steckt. Erkannt werden nur Falschfahrer, welche die App benutzen und die Funktion aktiviert haben, gewarnt ebenso nur Nutzer der App mit aktivierter Warnfunktion. Laut den Mediadaten für Antenne Bayern hat die App im Monat knapp 300.000 „Unique User“. Das entspricht etwa der Einwohnerzahl von Bayerns drittgrößter Stadt Augsburg oder weniger als 2,5% der bayerischen Bevölkerung. Gehört ein Geisterfahrer nicht zu dieser Minderheit, warnt auch niemand vor ihm. Nach Angaben von Bosch steckt die Funktion noch in einigen anderen Apps, aber das ändert nichts am grundlegenden Problem, dass Entertainment-Apps kein guter Träger für Sicherheitsfunktionen sind.

Selbst wenn die Warnfunktion auf jedem bayerischen Mobiltelefon aktiv wäre, übersähe sie immer noch ausgerechnet ortsunkundige Auswärtige sowie jeden, der das Telefon zu Hause ließe, dessen Akkuladung zur Neige ginge oder der im Funkloch geisterführe. Umgekehrt hätten Bayern auswärts wenig von der Warnfunktion, nähmen sie per App zwar ihren Lieblingssender mit, begegneten jedoch in der Fremde falschfahrenden Saupreißn ohne App. Man müsste schon gewaltiges Glück in einem nicht sehr wahrscheinlichen Unglück haben, um aus der App überhaupt jemals eine gerechtfertigte und spezifische Warnung zu erhalten.

Nicht verlässlich scheint die App auch im Hinblick auf die Abdeckung relevanter Gefahrensituationen. Geisterfahrer im engeren Sinne können überall auftreten und zur Gefahr werden, wo Straßen getrennte Richtungsfahrbahnen haben und hohe Geschwindigkeiten gefahren werden. Laut Beschreibung erfasst die App nur Autobahnen und lässt damit Bundesstraßen und andere autobahnähnliche Schnellstraßen unberücksichtigt. Darüber hinaus würde mich interessieren, wie das System mit ausgedehnten und unkonventionellen Falschfahrten umgeht. Bei mir vor der Haustür schaffte ein betrunkener Lkw-Fahrer vor einem Jahr eine Geisterfahrt von einem Rastplatz über 21 Kilometer und ein Autobahnkreuz, bevor er gestoppt wurde. Wer nur Auffahrten überwacht, müsste sehr großflächig vor der Gefahr warnen, um alle Betroffenen erreichen zu können.

Unklar bleibt aus der kurzen Erläuterung, wie hoch das Risiko von Fehlwarnungen ist. Merkt es die App oder die Cloud dahinter, wenn etwa ein Bauarbeiter Antenne Bayern hört und sich bei der Arbeit falsch herum durch eine Autobahnabfahrt bewegt? Oder ein Autofahrer, der eine Panne hat und mit dem Händi in der Tasche ordnungsgemäß das Warndreieck aufstellt? Und wie steht es um Manipulationsmöglichkeiten? Was passiert, wenn jemand mit aktiver App in der falschen Richtung neben der Abfahrt herläuft? Wie ist der Clouddienst gegen das Einspeisen falscher Daten aus anderen Quellen als der echten App geschützt?

Daneben stellen sich bei einer solchen Funktion Fragen der benutzergerechten Gestaltung. Falls die App verlässlich warnen könnte, so müsste sie den betroffenen Fahrern – dem Geisterfahrer sowie jenen, denen er entgegenkommt – eine wirksame Warnung übermitteln. Da Geisterfahrten selten sind, wird es sich in der Regel um die erste Warnung dieser Art handeln, die der Fahrer erhält, und dann bleibt keine Zeit zum Nachdenken.

Unter diesen Umständen kommt eigentlich nur eine akustische Warnung mit einer direkten Handlungsanweisung in Frage. Vorbilder dafür liefert jedes moderne Flugzeugcockpit in unmittelbaren Gefahrensituationen. So warnt das Ground Proximity Warning System (GPWS) vor bevorstehendem Bodenkontakt und das Traffic Alert and Collision Avoidance System (TCAS) vor Zusammenstößen mit anderen Flugzeugen. Beide Systeme sagen den Piloten in knappen Worten, was sie tun sollen, denn für alles andere ist keine Zeit. Im Falle des TCAS wird die Anweisung zudem mit dem anderen Flugzeug koordiniert, so dass die Piloten des einen Flugzeugs zum Steigen und die anderen zum Sinken aufgefordert werden. Piloten werden zudem darauf trainiert, mit diesen Warnungen richtig umzugehen. Demgegenüber lenkt eine App auf dem Händi mit einer ungewohnten Warnung eher ab als dass sie hülfe und auf eine situationsabhängige Ausweichanweisung hoffen Betroffene wohl vergebens.

Im Auto und erst recht in einer Radio-App muss man sich außerdem noch Gedanken darüber machen, wie man wirklich wichtige Informationen aus dem Geplapper der Radiomoderatoren, des Navigationsgeräts oder des E-Mail-und-Kurznachrichtenvorlesers heraushebt. Vielleicht ist der Sprachkanal dann doch keine gute Wahl und es wäre besser, den entgegenkommenden Geisterfahrer im Head-Up-Display mit einem größer werdenden roten Punkt zu markieren.

In der vorliegenden Form ist die Falschfahrerwarnung in der Radio-App nichts weiter als ein Werbegag und daran änderte sich wenig, machten möglichst viele Menschen in Bayern mit, wie es sich der Sender wünscht. Eine sinnvolle Warnfunktion müsste Falschfahrten überall verlässlich, aber ohne Fehlarme und Manipulationsmöglichkeiten erkennen und in Gefahrensituationen verbal spezifische, umsetzbare Anweisungen zur Gefahrenabwehr geben. Dazu müsste sie zwingend in die Fahrzeugelektronik integriert sein – Hersteller Bosch sieht dies anscheinend als Alternative zum Smartphone vor – und zur Detektion von Falschfahrten auf absehbare Zeit zusätzlich auf Sensoren außerhalb der Fahrzeuge zurückgreifen. Wäre man darauf nicht angewiesen, könnte man gleich das Entwurfsziel ändern und überlegen, wie man Falschfahrer rechtzeitig stoppt, statt vor ihnen zu warnen.

Denkanstöße zu 5G und Huawei

Seit einiger Zeit tobt ein Streit um die Frage, ob der chinesische Konzern Huawei Ausrüstung für die im Aufbau befindlichen deutschen 5G-Netze liefern dürfen soll. Kritiker argumentieren, Huawei sei von der chinesischen Regierung abhängig und deshalb kein vertrauenswürdiger Lieferant. Kauften unsere Netzbetreiber bei Huawei, seien wir China ausgeliefert, da helfe keine Technik und kein Sicherheitsmanagement. Befürworter hingegen halten die Risiken für beherrschbar.

Die Diskussion krankt daran, dass sie in der Öffentlichkeit vorwiegend auf PR-Niveau geführt wird statt mit handfesten Argumenten. Echte Risikobetrachtungen liest man kaum, stattdessen bleiben die vorgetragenen Bedenken und Argumente ätherisch. Als Beispiel lesen man etwa das Papier Germany’s Preliminary 5G Decision:
Limiting Damage and Learning Lessons der DGAP: Dort fehlt jede nachvollziehbare Risikoeinschätzung und die Autoren fordern, die Entscheidung über den Einsatz nicht  Leuten mit Ahnung von der Materie wie dem BSI , sondern der Politik zu überlassen. So würde man wohl auch argumentieren, arbeitete man als PR-Agentur für einen von Huaweis Konkurrenten.

Aus Sicht des Sicherheits- und Risikomanagements stellt sich jedoch zuerst die Frage, welche Szenarien eigentlich gegeneinander abzuwägen sind und was man gewinnen oder verlieren kann. An einem Kommunikationsnetz interessieren uns unmittelbar seine Verfügbarkeit sowie möglicherweise die Vertraulichkeit der Kommunikation, mittelbar als Voraussetzung dafür die Integrität des Netzes und seiner Komponenten, die jeder Hersteller untergraben kann.

Am geringsten zusätzlich bedroht ist die Vertraulichkeit der übermittelten Inhalte. Dafür verlässt sich ohnehin niemand auf ein öffentliches Netz, sondern wer auf Vertraulichkeit Wert legt, muss ein Protokoll zur Ende-zu-Ende-Verschlüsselung wie z.B. TLS einsetzen. Bei korrekter Anwendung eines solchen Protokolls sind die attraktivsten Angriffe dann solche auf die Software der Endpunkte, insbesondere die Anwendungssoftware.

Ebenso bedeutsam ist, wie wir spätestens seit Snowden wissen, die Vertraulichkeit der Metadaten – wer kommuniziert wann, wo und mit wem? Hier stellen sich Fragen wie:

  • Welchen echten Vorteil brächte der direkte Durchgriff auf den Hersteller Huawei im Vergleich zu einem unabhängigen Akteur, der die Komponenten lediglich analysiert?
  • Welche Informationen könnten die Chinesen ohnehin schon unkompliziert einsammeln, solange sie uns Computer, Smartphones und IoT-Geräte liefern?
  • Inwieweit kann der praktische Betrieb Risiken kompensieren, wenn Spione nicht nur theoretisch, sondern auch praktisch an Daten herankommen müssen und es sich dabei um nennenswerte Datenmengen handelt?
  • Wo und wie würde man die relevanten Daten einsammeln, wenn man keinen besonderen Zugang zur Netztechnik hätte?

Kurz und gut, wie viel leichter hätten es die Chinesen dank Huawei als andere Mächte mit ihren Nachrichtendiensten?

Auch hinsichtlich der Verfügbarkeit stellt sich die Frage nach der Baseline, dem Ausgangsniveau. Angenommen, die Chinesen könnten unsere 5G-Netze jederzeit ausknipsen, wieviel leichter hätten sie es dann als ein anderer Akteur, der etwa Spezialeinheiten mit Sprengstoff losschickt? Die Bahn zum Beispiel hat ab und zu Probleme mit heimischen Terroristen, die aus einer politischen Motivation ganz banal Kabelschächte anzünden und damit großen Schaden anrichten. Was könnten staatlich unterstützte Kräfte zu welchem Preis mit klassischer Sabotage anrichten?

Sähe ich solche Fragen diskutiert, fiele es mir leichter, die ganze Debatte ernst zu nehmen. Alternativ könnten wir die Sicherheit in den Hintergrund rücken und einfach offen über Wirtschaftspolitik reden. Vielleicht wäre es ja aus dieser Perspektive eine gute Idee, europäischen Anbietern den Vorzug zu geben und wenn das jemand nachvollziehbar begründen könnte, hätte ich gar nichts dagegen, dass wir das dann auch tun.

Unterdessen kann sich Bill Gates in Huawei einfühlen, denn Microsoft hatte einst dasselbe Problem: „Wir wurden gefragt, ob Windows irgendwelche NSA-Dinge eingebaut hat“. Ob diese Erinnerung die aktuellen Warnungen vor Huawei glaubwürdiger macht, möge jeder für sich entscheiden.

PS: Bei einer Anhörung des Auswärtigen Ausschusses im Bundestag wiesen Experten darauf hin, dass ein funktionierender Markt und die Vermeidung einer Monokultur wichtig seien für die Sicherheit. (2019-11-11)

PPS: Den Security-Chef der Telekom wollte man lieber nicht anhören. Netzbetreiber wie die Telekom sind gegen den Ausschluss von Huawei, während der Ausschussvorsitzende Röttgen die Beteiligung von Huawei am 5G-Ausbau für schlimmer hält als einen GAU im Kernkraftwerk. (2019-11-12)

Deutsch-deutsches Missverständnis

Warum viele im Osten AfD wählen und weshalb Belehrung und Schelte sie davon nicht abbringen – eine subjektive Hypothesenbildung

Thüringen hat einen neuen Landtag gewählt und im Ergebnis scheint – geografisch ein Zufall, politisch jedoch nicht überraschend – ein Hauch Weimar durch. Gleich hinter der Linken als Wahlgewinner, dies ein Thüringer Spezifikum, kam die AfD mit einem Viertel der Wählerstimmen ins Ziel, nach Brandenburg und Sachsen vor einigen Wochen ein weiterer Erfolg für sie. Wie schon die ganzen Wahlkämpfe hindurch steht die veröffentlichte Meinung händeringend vor dem Ossi und fragt sich, wieso der einfach nicht aufhöre, rechts zu wählen, habe man ihm doch nun oft genug gesagt, dass sich das nicht gehöre und was für Halunken die gewählten seien. Warum nur höre der Ossi nicht? Liege es an seiner Erziehung in der vor dreißig Jahren untergegangenen DDR, an unverarbeiteten Kränkungen nach 1990 oder gar in seinem Blut, dass er die AfD für bürgerlich und wählbar halte, oder trage am Ende Thilo Sarrazin die Schuld an allem? Und wieso überhaupt habe ausgerechnet der Ossi etwas gegen Ausländer, gebe es doch bei ihm zu Hause gar nicht so viele davon? Müsse man am Ende gar so viele dort ansiedeln, dass er es endlich lerne?

Die AfD steht für restriktive Zuwanderungspolitik und die Zurückdrängung des Islam und wird genau deswegen gewählt. Das macht andere fassungslos. Aus ihrer Sicht ist das ein Rückfall in finstere Zeiten und sie können sich den wachsenden Zuspruch nur wahlweise mit Dummheit oder Böswilligkeit der Wählerinnen und Wähler erklären. Tatsächlich jedoch beziehen sich beide Seiten auf unterschiedliche Zuwanderungserfahrungen und Entwicklungsstände. Vielen im Westen sowie progressiven Kräften im Osten scheinen Grundsatzfragen der Zuwanderung geklärt: Deutschland habe sich über Jahrzehnte zum Einwanderungsland entwickelt und das sei auch gut so. Aus ihrer Sicht kommt jedes Rütteln daran einem Rückschritt gleich. Diese Perspektive stützt sich auf die westdeutsche Zuwanderungserfahrung von den Gastarbeitern über die Asyldebatte bis heute. Aus ostdeutscher Perspektive hingegen erscheint sichtbare Zuwanderung, zumal aus islamisch geprägten Kulturkreisen, als eine neue Entwicklung der letzten zehn Jahre mit einer dramatischen und unmotivierten Zuspitzung um das Jahr 2015. Grundverschiedene Sichten auf dasselbe Geschehen und wechselseitiges Unverständnis, welches das jeweilige Gegenüber als gefährlichen Irren erscheinen lässt, sind aus diesen unterschiedlichen Erfahrungen und Perspektiven zu erklären.

Die Trennlinie dazwischen verläuft nicht streng zwischen Ost und West, es handelt sich überhaupt eher um eine statistische Auffälligkeit denn eine scharfe Abgrenzung. Dennoch bilden die ungleichen Geschichten der Migration nach West beziehungsweise Ost den Schlüssel zum Verständnis.

Zuwanderung in den Westen:
Eine mühsame Erfolgsgeschichte

Die Wurzeln der gesamtdeutschen Migrationspolitik liegen im Westen. Der westdeutsche Weg zu Einwanderungsland begann, zunächst unbewusst und in der Konsequenz unbeabsichtigt, in den 1950er Jahren mit der Anwerbung von Gastarbeitern. Unter deren Herkunftsländern waren mit der Türkei, Marokko und Tunesien seit Anfang der 60er Jahre auch islamisch geprägte Länder. Die Vorstellung vom nur vorübergehenden Aufenthalt der Gastarbeiter musste bald der Einsicht weichen, dass viele bleiben und Familien nachholen wollten, was sie auch taten. Mit dem Anwerbestopp 1973 hörte die Zuwanderung nicht auf, sondern setzte sich mit Familiennachzug, Asylsuchenden sowie zeitweise mit Aussiedlern fort.

In den 80er Jahren mehrten sich Ängste vor „Überfremdung“  und eine heftige, lange andauernde Auseinandersetzung um die Zuwanderungspolitik der alten Bundesrepublik setzte ein. So sinnierte Anfang der 80er Jahre der frischgebackene Bundeskanzler Kohl insgeheim, der in Deutschland lebenden Türken gebe es zu viele und zu sie seien zu fremd, weshalb man ihre Zahl um die Hälfte reduzieren müsse. Wenig später legte seine Regierung mit diesem Ziel eine nur mäßig erfolgreiche Rückkehrprämie auf. Ab Mitte der 80er Jahre erstarkten die Republikaner unter Franz Schönhuber, erzielten eine Zeitlang Achtungserfolge bei Wahlen und zwangen insbesondere die Union, sich mit der richtigen Balance zwischen Öffnung und Abgrenzung am rechten Rand zu beschäftigen. Ebenfalls Mitte der 80er verkleidete sich aber auch Günter Wallraff als Türke Ali, führte den Deutschen in seiner Reportage „Ganz unten“ ihren Umgang mit den Zuwanderern vor Augen und erinnerte sie daran, was sie an „ihren“ Türken hatten: willige und billige Arbeitskräfte für besonders schmutzige oder gefährliche Tätigkeiten.

Die Asyldebatte sollte über die Vereinigung hinaus anhalten, bis sie 1993 nach einem kräftigen Anstieg der Asylbewerberzahlen mit dem Asylkompromiss zwischen CDU/CSU und SPD beendet wurde. Diese Neuregelung des Asylrechts sollte die Inanspruchnahme des Asylrechts erschweren und erreichte dieses Ziel auch. Die nunmehr gesamtdeutschen Asylbewerberzahlen gingen in den folgenden anderthalb Jahrzehnten immer weiter zurück. Ebenfalls 1993 wurde „Überfremdung“ zum Unwort des Jahres  ernannt.

Unterdessen waren die Kinder der einstigen Gastarbeiter erwachsen geworden und schickten sich an, die von Wallraff beschriebenen Verhältnisse hinter sich zu lassen und vollwertige Mitglieder der deutschen Gesellschaft zu werden, schließlich waren sie hier geboren. Im Jahr 1994 zogen mit Leyla Onur und Cem Özdemir die ersten Abgeordneten mit türkischen Eltern in den Bundestag ein. Langsam wich die Überfremdungsangst der Einsicht, dass Zuwanderung nun einmal stattgefunden hatte und in einem kontrollierten Rahmen weiter stattfinden würde. Der Sprachgebrauch wandelte sich, aus Ausländern und Asylanten wurden erst ausländische Mitbürger und dann Mitbürger mit Migrationshintergrund. Um die Jahrtausendwende regelte die rot-grüne Koalition von Bundeskanzler Schröder Sachfragen wie wie die doppelte Staatsbürgerschaft und die Zuwanderung von Fachkräften.

Die Zuwanderung der Vergangenheit war nun normalisiert und setzte sich vorerst nur in geringem Umfang fort. Die damit zusammenhängenden Debatten hörten allerdings nicht einfach auf, sondern fokussierten sich nach dem 11. September 2001 und weiteren islamistischen Terroranschlägen zunehmend auf den Umgang mit dem eingewanderten Islam. Davon zeugen zu Beispiel die Kontroverse um die DİTİB-Zentralmoschee in Köln und Bestseller wie Henryk M. Broders „Hurra, wir kapitulieren!“ oder Thilo Sarrazins „Deutschland schafft sich ab“  sowie die Reaktionen darauf. Nichtsdestotrotz erscheint die Zuwanderungserfahrung (West) in der Summe als eine mühsam erkämpfte Erfolgsgeschichte. Mögen auch Probleme und Reibereien bleiben und sich Debatten etwa am Umgang deutscher Fußball-Nationalspieler mit der türkischen Regierung entzünden, so lebt doch eine große Zahl einstiger Einwanderer und ihrer Nachkommen gut integriert in Deutschland und Döner Kebab ist ein deutsches Nationalgericht geworden. So könnte es für immer weitergehen.

Zuwanderung in den Osten:
Lange nichts, dann ein Schock

Der Osten erlebte Zuwanderung ganz anders, nämlich lange Zeit überhaupt nicht beziehungsweise nur als Zuschauer im Westfernsehen, und vor kurzem dann real und als Schock. Auch die DDR begann in den 60er Jahren mit der Anwerbung von Vertragsarbeitern und steigerte deren Anzahl bis zu ihrem Ende kontinuierlich. Ihre Gesamtzahl blieb jedoch vergleichsweise gering und eine Bleibeperspektive bekamen sie nie. Auch sonst bestanden keine Anlässe für eine nennenswerte Einwanderung in die DDR – wer wollte schon in ein Land, das seine Bürgerinnen und Bürger mit Mauern und Soldaten vom Davonlaufen abhalten musste.

Daran änderte sich nach dem Beitritt zur Bundesrepublik zunächst wenig. Zwar trat in der gesetzarmen Zeit nach dem Zusammenbruch der alten staatlichen Ordnung ein unerwartet dicker Bodensatz an Ausländerhass und Rechtsextremismus zutage und mischte sich mit den Pogromen von Hoyerswerda und Rostock sowie weiteren Angriffen auf die wenigen anwesenden Ausländer in die Endphase der nunmehr gesamtdeutsch gewordenen Asyldebatte ein, doch Zuwanderung und Integration blieben im Wesentlichen ein Thema des Westens. Der Osten kämpfte mit seiner Entindustrialisierung, mit Geburtenrückgang und Abwanderung. Obendrein zogen bis 1994 die sowjetischen Streitkräfte ab. Das Land leerte sich; wer blieb, war mit sich beschäftigt und bis auf einige großmäulige Besserwessis kam niemand und störte dabei. Anlässe für Zukunftssorgen gab es reichlich, doch Migration gehörte bei nüchterner Betrachtung kaum dazu. Zudem gingen die Asylbewerberzahlen ab 1993 schnell zurück und ein paar russlanddeutsche Aussiedler waren nicht halb so fremd wie Moscheen und Kopftücher. Berlin-Kreuzberg mochte ein Klein-Istanbul sein, in Rostock, Jena oder Dresden hingegen war bis auf zunehmende gastronomische Diversität von Zuwanderung wenig zu spüren. Wenigstens das blieb im großen Umbruch konstant.

Ein wenig EU-Binnenwanderung mochte stattfinden, aber sie war keine Bedrohung blieb unauffällig. Anderes wurde nach der Jahrtausendwende sichtbar. So kam es etwa 2007/08 zum Leipziger Disko-Krieg, Auseinandersetzungen zwischen einer Gruppe von Männern mit diversen Migrationshintergründen, die sich selbst Kanaken nannten, und der örtlichen Türsteherszene. Der Höhepunkt im Frühjahr 2008: Randale im Nachtleben der Leipziger Innenstadt mit einem Todesopfer. Offenbar gab es jetzt auch „bei uns“ Ausländergangs, die um sich schossen. Das 1990 schnell aufgetauchte Zuhältermilieu hatte sich zwar ähnlich benommen, aber noch überwiegend mit den Akzenten der Brüder und Schwestern gesprochen.

Ebenfalls in Leipzig zeigte sich einige Jahre später und nach der Sarrazin-Debatte auch der Islam, als 2013 die Ahmadiyya-Gemeinde im Rahmen ihres 100-Moscheen-Plans die Errichtung der ersten Kuppelmoschee im Osten außerhalb Berlins plante. Dieses Vorhaben löste Proteste aus, die rückblickend wie eine Ouvertüre zum Auftritt von PEGIDA ein Jahr später in Dresden wirken. Mehr als die Hälfte der Ostdeutschen fühlte sich zu diesem Zeitpunkt vom Islam bedroht und nun stand er auf einmal vor der Tür und baute eine Moschee.

Obwohl solche Ereignisse punktuell blieben und einzeln wie in der Summe kein Drama darstellten, blieben sie als überraschend und gewöhnungsbedürftig im Gedächtnis. Parallel dazu setzte eine weitere Entwicklung ein: Ab 2009 nahm die Zahl der Asylbewerber in Deutschland wieder zu und dieser Trend beschleunigte sich bis 2015. Von 2012 bis 2016 wuchs die Zahl der Asylanträge exponentiell mit ungefähr einer Verdoppelung im Jahrestakt. Auf dem Höhepunkt 2015, als die jährlichen Asylbewerberzahlen sogar jene von 1992 während der Asyldebatte überstiegen, regte sich gesamtdeutscher Unmut. Die daraus resultierenden subjektiven Erfahrungen aber unterschieden sich fundamental zwischen Ost und West.

Im Westen fiel diese Welle zwar auf, aber vielerorts nicht als dramatische Veränderung einer ohnehin migrationserfahrenen Gesellschaft. Für den Osten hingegen war es die erste große Einwanderungswelle überhaupt seit der Flucht und Vertreibung am Ende des Zweiten Weltkrieges. Sie kam ohne Einladung und ohne das Eigennutzversprechen der Gastarbeiter und sie brachte den Islam mit, den man zwar selbst vor allem aus dem Fernsehen oder vielleicht von Urlaubsreisen kannte, der aber keinen einwandfreien Leumund mehr hatte. Alleine zahlenmäßig brachte diese Migrationswelle für den Osten eine viel größere relative Veränderung mit sich als für den Westen. Binnen weniger Jahre verdoppelten sich die Anzahl und der Bevölkerungsanteil von Ausländern etwa in Sachsen, Thüringen und Brandenburg. Binnen kurzer Zeit wurde Zuwanderung sicht- und greifbar, die sich vorher nur langsam und im Stillen abgespielt hatte. Dieser Vorgang muss auf viele im Osten schockierend gewirkt haben.

Frontenbildung und Wechselseitiges
Unverständnis

Hier brach die Kommunikation zusammen und es bildeten sich jene Fronten, die einander bis heute verständnislos und unversöhnlich gegenüberstehen. Wer die westliche Einwanderungsgeschichte verinnerlicht hatte und positiv bewertete, wer das „Wir schaffen das!“ der Kanzlerin teilte, sah in der Sache kein übergroßes Problem. Wer jedoch schockiert war, sei es nun objektiv gerechtfertigt oder nur aus subjektivem Erleben, fragte sich hingegen, was da geschah, warum es geschah, und warum „uns“ niemand gefragt hatte. In einer besseren Welt hätte man darüber ruhig und sachlich debattiert, doch das geschah nicht. Wann immer die Schockierten versuchten, sich zu artikulieren – gewiss oft unbeholfen und im Verein mit falschen Verbündeten, aber doch im Grundsatz legitim und nachvollziehbar – wirkten sie auf die anderen nur wie Echos vergangener Asyl- und Sarrazin-Debatten und war nicht der Osten schon immer etwas zu rassistisch und rechtsextrem gewesen? Als Antwort auf diese vermeintlich bekannten Schlüsselreize folgten routinierte Abwehrreaktionen, der Kampf „gegen rechts“ wurde verschärft.

Doch das rhetorische Arsenal der Ablehnung, Ausgrenzung und Delegitimierung wirkt doppelt kontraproduktiv. Nicht nur behinderte seine Anwendung einen konstruktiven Dialog und wechselseitiges Verständnis, es weckte auch seinerseits Abwehrreflexe. Im Osten erinnert sich so mancher noch daran, wie einst die Funktionäre in der DDR ihre Diskursmacht ausübten, wie jeder wusste, welche Äußerungen erlaubt und erwünscht waren und welche man besser unterließ, wenn man keinen Ärger bekommen wollte. Ebenso gut erinnert man sich an die späteren Belehrungen der Besserwessis in der Zeit der faktischen Zwangsverwaltung durch den Westen. Das wollte man sich nicht noch einmal gefallen lassen. Auch offensiver verbaler Antifaschismus wirkt nicht als Einladung zum Dialog, wenn sich das Gegenüber aus eigenem Erleben oder familiärer Überlieferung noch an den amtlichen Euphemismus vom antifaschistischen Schutzwall erinnert und daran, wie man ihn eines Tages unter großem Jubel von allen Seiten durchlöcherte.

Diese Kommunikationsstörung hält bis heute an und mittlerweile sieht jeder im anderen einen Haufen gefährlicher Irrer, weil es nie einen offenen und gelassenen Austausch über die unterschiedlichen Erlebnisse und Voraussetzungen gab. Stattdessen machten die einen den „besorgten Bürger“ zum Schimpf- und Spottbegriff, während sich die anderen mit ihren für sie realen und berechtigten Sorgen alleine gelassen fühlen. Dahinter steckt oft nicht einmal böser Wille, sondern nur die Unfähigkeit, die Perspektive von Menschen aus einem etwas anderen Land zu sehen. So berichtet nach der Thüringer Landtagswahl eine Lehrerin auf Twitter von Reaktionen ihrer Schülerinnen und Schüler, 75% mit Migrationshintergrund, auf das Wahlergebnis und deren Befürchtungen sind rührend und nachvollziehbar. Auf die Schockierten (Ost) aber wirken die beiläufig und selbstverständlich erwähnten drei Viertel wie eine Erscheinung aus einer anderen Welt, welche neuerdings anscheinend auch die ihre werden solle. Ausdrücken können sie das nicht, ohne nicht sogleich mit Ablehnung übergossen zu werden. Nur ein Akteur ist zur Stelle, der den Schockierten und Besorgten zuzuhören scheint, sie ernst zu nehmen, sie zu vertreten und die Gegenseite auf vergleichbare Weise zu piesacken: die AfD.

Miteinander reden, nicht gegeneinander oder übereinander

Enden kann dieser unproduktive Grabenkrieg nur, wenn erfolgreiche Kommunikation die gescheiterte ablöst. Dazu müssen beide Fronten einsehen, dass sich zwei Deutschlands über vierzig Jahre und zwei Teile eines Deutschlands über noch einmal dreißig unterschiedlich entwickelt haben, dass zwar die staatliche Einheit vollendet ist, aber keine Gleichheit der Gedanken und Erfahrungen, die es nie geben wird. Sie müssen sich austauschen über ihre verschiedenen Weltsichten und die verschiedenen Erlebnisse dahinter. Gelingt dies, können wir wichtige Fragen unter expliziter Berücksichtigung aller legitimen Perspektiven neu verhandeln und entscheiden. „Besorgter Bürger“ darf kein Schimpfwort sein, wenn die Sorge echt und aus Geschichte und Erleben nachvollziehbar ist und im Rahmen realistischer Gestaltungsspielräume neu zu verhandeln bedeutet nicht, Höckesche Phantasien oder überhaupt irgendeine radikale Forderung zu bedienen.

Kurz nach der Vereinigung ist das schon einmal gelungen, als ein Kompromiss zwischen den weit auseinanderklaffenden gesetzlichen Regelungen des Schwangerschaftsabbruchs gefunden werden musste und wurde. Vielleicht war das damals trotz der Schwere des Themas einfacher, weil die in dieser Frage liberale Tradition der DDR Seite an Seite mit kampferprobten progressiven Kräften im Westen stand. Doch auch in anderen Fragen verlaufen die eigentlichen Konfliktlinien nicht streng zwischen Ost und West, die Positionen wirken nur verschieden auf Menschen verschiedener Herkunft.

Bekommen wir das hin oder wollen wir einander die Köpfe einschlagen bis wir reif sind für eine neue Diktatur?