Archiv der Kategorie: Risiko

Risk Management

Reality Check für Alice und Bob

Anforderungen – Requirements, Freundlich zum Nutzer, Risiko, Security, , , , , ,

Kryptografie ist hauptsächlich ein Zweig der Mathematik. Um ihre Probleme und Lösungen anschaulich zu beschreiben, verwenden Kryptografen gerne eine Modellwelt aus abstrahierten, aber anthropomorphisierten Akteuren: Alice, Bob und so weiter. Die Bewohnerinnen dieser Modellwelt möchten gemeinsam irgendetwas mit Daten tun, ohne dass andere davon erfahren oder eingreifen können. Dabei helfen ihnen die Algorithmen der Kryprografen.

Das ist alles prima, solange man nicht vergisst, dass man in Wirklichkeit nur an Bausteinen für Sicherheitsarchitekturen arbeitet. Es geht zuverlässig in die Hose, sobald man vergisst, dass die reale Welt komplizierter ist als die abstrakte Erklärhilfe. Ersetzt man Alice, Bob und die übrigen Akteure durch reale Menschen oder Organisationen, wird man noch lange keine brauchbaren Lösungen für irgendein Sicherheitsproblem erhalten.

Diese Lektion lernt gerade die International Association for Cryptologic Research: Für ihre Wahlen zu Vereinsämtern nutzt sie das Online-Wahlsystem Helios, das alle möglichen Sicherheitsanforderungen geheimer und manipulationsresistenter Wahlen mit kryptografischen Mitteln zu erfüllen versucht. Das hat kryptografisch ein wenig zu gut funktioniert, denn nach dem Ende der Wahl bekommen sie ihr Ergebnis nicht entschlüsselt – eine/r der „Notare“ hat seinen geheimen Schlüssel versiebt.

Mit einem auf die realen Anforderungen zugeschnittenen System wäre das wahrscheinlich nicht passiert. Wahlen müssen nicht nur die einzelnen Stimmabgaben geheim halten und den unverfälschten Wählerwillen erfassen, sondern sie müssen auch robust gegen Störungen sein und auf (fast) jeden Fall ein Ergebnis liefern. Auf diesen Trade-off hat die Kryptografie keine Antwort, sie ignoriert Ziele wie die Verfügbarkeit oder Robustheit systematisch und konzentriert sich auf Vertraulichkeit und Integrität.

In der realen Welt stellt sich nicht nur das Problem etwas komplexer dar als in der Welt von Alice und Bob, sondern auch der Lösungsraum ist größer und hat mehr Dimensionen. Kleine Ungenauigkeiten etwa kann der statistische Prozesse einer Wahl oft verkraften und vor umfangreichen systematischen Manipulationen kann nicht nur Kryptografie schützen. Bei dezentralen Wahllokalen zum Beispiel wächst aufgrund der Bewegungskosten oder der erforderlichen Mittäter der Aufwand mit dem erzielbaren Effekt.

Der Kryptografie sind solche Erwägungen fremd, reale Sicherheitsarchitekturen hingegen leben davon. Selbst wenn ein System auf kryptografische Bausteine setzt und seine Sicherheit wesentlich von ihnen abhängig macht, muss man den Umgang mit Schlüsseln an den realen und nicht nur den theoretischen Anforderungen ausrichten. Auch für kryptografische Schlüssel gilt: Kein Backup – kein Mitleid!

Unterschätzte Risiken: Karneval

Fundbüro, Safety, Unterschätzte Risiken

Der Rathaussturm mag eine alte deutsche Karnevalstradition sein – die Brandschutzvorschriften aber sind im Rathaus auch während der Fünften Jahreszeit einzuhalten. Im südhessischen Egelsbach verhandeln Narren und Stadtverwaltung deswegen jetzt, wo und wie ein Rathaussturm brandschutzgerecht ohne Erstürmung eines dafür nicht ertüchtigten Verwaltungsgebäudes stattfinden könnte. Der Bürgermeister schlägt vor, zum Zweck der Erstürmung ein Zelt zu errichten. Ich empfehle stattdessen eine nach DIN EN 14960 zertifizierte Hüpfburg.

Redet doch Klartext!

Propaganda, Safety, Security, So geht das, Unterschätzte Risiken, Unterwegs, Zwischenruf, , , ,

Ein paar Aktivistinnen haben die Idee propagiert, belästigte Frauen sollten nicht um Hilfe bitten, sondern verdruckst fragen, ob „Luisa hier wäre“. Erwartungsgemäß funktioniert das nicht: Die meisten derart angesprochenen kommen gar nicht auf die Idee, die Frage nach Luisa könnte eine sorgfältig versteckte andere Bedeutung tragen und verneinen, weil sie gar keine Luisa kennen oder die Luisa, die sie kennen, eben gerade nicht hier ist. Das hat der Hessische Rundfunk experimentell herausgefunden.

Statt nun allerdings zu konstatieren, dass das Verschwurbeln eines Hilferufs bis zur Unkenntlichkeit weder eine schlaue Kommunikationsstrategie ist noch irgendeinen anderen sinnvollen Zweck erfüllt, schiebt man die Schuld fürs Scheitern den Empfängern der sorgfältig verschleierten Botschaft in die Schuhe: Sie müssten sich mehr anstrengen, man biete (erfolglos übrigens) Schulungen an und es bräuchte  Geduld sowie auch Fördergeld.

Falls Ihr Euch mal gefragt habt, was Bullshit-Jobber:innen den ganzen Tag tun, seht Ihr hier welche bei der Arbeit. Lasst Euch von ihnen nicht ins Bockshorn jagen. Wer Hilfe braucht, tut gut daran, sich so deutlich wie möglich zu artikulieren. Es müssen keine wohlgewählten Worte sein, ein unverkennbarer Hilfe- oder Angstschrei tut es auch. Lasst Euch bloß nicht dazu verleiten, Euer Hilfegesuch in so viel Watte zu packen, dass es keiner mehr versteht. Ihr hättet rein gar nichts davon. Ein Hilfegesuch muss sofort verstanden werden, sonst nichts.

Unterschätzte Risiken: software-definiertes Eigentum

Anforderungen – Requirements, By Design, Security, Unterschätzte Risiken, ,

Juristen unterscheiden aus gutem Grund zwischen Eigentum und Besitz. Mein vor gut einem Jahr geklautes Fahrrad zum Beispiel ist immer noch mein Eigentum, ich besitze es nur nicht mehr. Das Eigentum ist ein Recht, welches sich aus Gesetzen, Verträgen und nötigenfalls Gerichtsbeschlüssen ergibt. Der Besitz, die Verfügungsgewalt ist eine Tatsache, deren Ausprägung rechtmäßig oder unrechtmäßig sein kann. Verleihe ich etwa ein Fahrrad, so gelangt es rechtmäßig in den Besitz eines anderen, während ich Eigentümer bleibe. Gibt der Entleiher das Fahrrad nicht wie vereinbart zurück, sondern unterschlägt es, wird sein Besitz unrechtmäßig.

Solche Begriffe und Unterscheidungen sind über Jahrhunderte gewachsen und haben sich bewährt. Nun ist jedoch die wunderbare Blockchaintechnologie angetreten, unser geachsenes Verständnis von Eigentum und Besitz zu zerreißen. Wie zu erwarten war, geht das in die Hose.

Ihr habt sicher die Geschichte von dem Programmierer gelesen, der ein Passwort vergessen hat. Dieses Passwort gehört zu einer verschlüsselten Festplatte, auf dieser Festplatte ist ein Bitcoin-Wallet gespeichert, an diesem Bitcoin-Wallet hängen quantisierte Blockchain-Ergänzungsprivilegien im Umfang von ungefähr 7.000 Bitcoin und bei den Preisen, zu denen solche Privilegien derzeit gehandelt werden, könnte man sie für ein mittleres Vermögen in echtem Geld verkaufen. Das ist blöd gelaufen und wenn etwas blöd läuft, kann man daraus lernen.

Lektion 1: Verschlüsselung ≠ Sicherheit

Unter den klassischen Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit wird letztere von Security-Laien gerne als Mauerblümchen behandelt. Oft ist Verfügbarkeit wie hier jedoch das wichtigste Schutzziel. Zwischen Verfügbarkeit und Vertraulichkeit muss man meistens abwägen, gerade wenn man Daten verschlüsselt, denn je sicherer die Verschlüsselung ist, desto schwieriger wird es, die Verfügbarkeit sicherzustellen. Ob und unter welchen Rahmenbedingungen Verschlüsselung zur Sicherheit beiträgt, muss man deshalb im Einzelfall anhand einer gründlichen Bedrohungs- und Risikoanalyse herausfinden.

Lektion 2: Software-definiertes Eigentum überfordert

In der von libertären Vorstellungen geprägten Blockchain-Welt ist sich jeder selbst der Nächste. Den Unterschied zwischen Besitz und Eigentum gibt es dort nicht, nur die Verfügungsgewalt über bestimmte Schlüssel („Wallets“). Wie beim guten alten Sparstrumpf unterm Kopfkissen muss jeder selbst für seine Sicherheit sorgen, ohne Unterstützung von Institutionen zu erhalten. Das ist im richtigen Leben anders, da kann man sein Bargeld zur Bank bringen und erhält dafür eine Anspruch auf Auszahlung. Unter Umständen kann man seinen Anspruch sogar noch nach einer Bankenpleite erfolgreich geltend machen, nämlich im Rahmen der Einlagensicherung. Im Vergleich zu einer Bank ist ein Bitcoin-Wallet sehr unbequem, weil es nur Besitz und kein davon unabhängiges Eigentum gibt.

Lektion 3: Software-definiertes Eigentum überfordert doppelt

Nicht nur muss man sich mit einem Bitcoin-Wallet ganz alleine um seine Sicherheit kümmern, man hat es dabei auch noch besonders schwer. Alles hängt am Wallet. Das muss vertraulich bleiben, denn wer Zugriff auf die geheimen Schlüssel bekommt, erhält die Verfügungsgewalt über die am Wallet hängenden Transaktionsprivilegien. Nebenbei braucht man auch noch eine sichere Ausführungsumgebung für Programme, um das sicherzustellen. Ein Wallet muss aber auch verfügbar bleiben, denn sonst kann man selbst nichts mehr damit anfangen. Das alles unter einen Hut zu bringen, ist schwer. Als Bankkunde hat man viel einfacher und bekommt nebenbei noch Service dazu, zum Beispiel Karten, mit denen man bezahlen kann.

Lektion 4: Auf lange Sicht sind wir alle tot. Und Bitcoin et al. auch.

Etwas weniger offensichtlich ist ein weiteres Problem. Bitcoin-Fans erklären oft und gerne, die Gesamtzahl der in der Bitcoin-Community herstellbaren quantisierten Transaktionsprivilegien sei von vornherein auf einen Maximalwert begrenzt. Dies ist jedoch nur die halbe Wahrheit, denn mit jedem verlorenen Wallet gehen, falls die Technik wie spezifiert funktioniert, die daran gebundenen quantisierte Transaktionsprivilegien unwiderruflich verloren. Das tatsächlich verfügbare Volumen an Transaktionsprivilegien („Bitcoins“) nimmt also auf lange Sicht ab, bis keine mehr übrig sind. Geld auf der Bank kann man zum Beispiel problemlos erben, wenn man über die erforderlichen Papiere verfügt. Bitcoin nicht, wenn der Erblasser sei Passwort nicht aufgeschrieben hat. Schreibt er es jedoch auf, riskiert er den Kontrollverlust.

Vielleicht ist es das beste, Bitcoin und alles davon Abgeleitete als Aktionskunst zu betrachten. Dann macht es wenigstens Sinn.

Kommunikation mit Impfgegnern

Covid-19, Propaganda, Risiko, So geht das

Das RKI hat vor kurzem ein Lehrvideo für ÄrztInnen und Gesundheitsfachpersonal veröffentlicht, in dem der Erfurter Psychologe Philipp Schmid über die Kommunikation mit Impfgegnern spricht:

Die beschriebenen Taktiken können auch in anderen Zusammenhängen nützlich sein.

Der Vortrag verweist unterwegs auf eine nützliche Quelle zum Umgang mit Fehlinformation, das Debunking Handbook 2020, das auch auf Deutsch erhältlich ist.

Attack Scenario ≠ Threat

Anforderungen – Requirements, Bedrohung, English, How to, Security, Video,

The below video gives an example of what some people would call a threat model. For all I can tell the video leaves out some detail but is otherwise accurate. Why does it appear hilarious or silly rather than reasonable?

As a joke the video exploits a mismatch between the sensible, even verifiable analysis it presents and the ridiculous assumptions it implies. If this attack scenario manifested itself it would play out pretty much as presented. However, the implied very narrow and specific mode of operation – firing cannon rounds at computers – does not correspond with the behavior of any reasonably imaginable threat agent. Any agent with the capability to deploy main battle tanks is facing a wide range of possible uses and targets. Shooting individual personal computers remains not only far from being one of the more profitable applications of this capability, but guarantees a negative return. The cost is high and destruction of specific, low-value items promises rather limited gains. There are also much cheaper methods to effect any desired condition on the specific type of target, including its complete destruction.

While the attack scenario is accurate, it lacks, therefore, a corresponding threat that would produce actual attacks. Such a threat would exist, for example, if the assumed target were other main battle tanks rather than personal computers.

Gefühlte Bedrohung

Anforderungen – Requirements, Bedrohung, Covid-19, Geschäft

Pünktlich zum Start der Corona-Warn-App meldet sich der Vorstand des VZBV und warnt davor, „dass Restaurants, Geschäfte oder Flughäfen die Freiwilligkeit der App faktisch aushöhlen, indem sie nur App-Nutzern Zutritt gewähren“. Er hält diese Gefahr für real, doch das ist sie nicht.

Die App-Nutzung zu kontrollieren und daraufhin Kundinnen den Zutritt zu verweigern, ergibt nämlich für Unternehmen keinen Sinn. Solche Kontrollen kosteten doppelt Geld, einmal für die Arbeitszeit der Kontrolleure und einmal in Form verlorener Umsätze der abgewiesenen Kunden. Dem steht kein messbarer Nutzen des Unternehmens gegenüber. Selbst wenn man rein hypothetisch annähme, bei Infektionsfällen im Unternehmen drohe eine vorübergehende Betriebsschließung, bliebe dieses Risiko gering. Zum einen bleiben die Infektionszahlen und damit auch das mittlere Ansteckungsrisiko gering. Maßnahmen zur Pandemiebekämpfung zielen darauf, diesen Zustand zu erhalten. Zum anderen ist bei größeren Unternehmen auch ein Betrieb nicht dasselbe wie das Unternehmen, ein Supermarkt keine Supermarktkette. Doch schon bei Kleinunternehmen stellt sich die Frage: Was hätten etwa die darbenden Gastronomen davon, noch zusätzlich Gäste abzuweisen?

Realistischer erscheinen Kontrollen dort, wo Kontrollen ohne besonderen Aufwand praktikabel sind und Zutrittsbeschränkungen keinen Einfluss aufs Geschäft haben. Dies gilt zum Beispiel für Besuche in Krankenhäusern und Pflegeheimen. Auch hier stellt sich jedoch die Frage nach dem Nutzen. Das bloße Vorhandensein der App auf einem Smartphone sagt wenig aus und selbst der Warnstatus filtert nur diejenigen heraus, die unterwegs gewarnt wurden und es noch nicht bemerkt haben.

Eigentlich gehört das Kontrollszenario auch gar nicht zur Corona-Warn-App, sondern zu den zeitweise diskutierten Immunitätsnachweisen. Dort gehört die Kontrolle zum Konzept, sonst sind sie nutzlos, und die Frage ist berechtigt, unter welchen Bedingungen man sie ausnahmsweise zulassen möchte. Dies ist jedoch kein App-Problem.

Querdenken statt Angst: Unser Rhetorik- und Folklore-GAU

Folklore, Hackmeck, How to, Nerds, Regierungsviertel, Unterschätzte Risiken, Zwischenruf, , , , ,

Waren wir die Avantgarde, wir, die Hacker, die Nerds, die Netzaktivisten, die Piraten?

Zurzeit gehen Menschen auf die Straße, die sich Querdenker nennen und für besonders klug halten, die hinter jeder Gesichtsmaske den autoritären Staat lauern sehen, Politikern die Kompetenz absprechen, Verschwörungstheorien nicht besonders kritisch gegenüberstehen und die Bill Gates für eine Inkarnation des Satans halten. Woher haben sie das nur? Ist das Internet schuld mit seinen kommerziellen Plattformen, werden sie von fiesen Nazis aufgehetzt oder sind sie einfach blöd?

Einige ihrer Methoden könnten sie von uns haben. Von uns, die wir uns als Nerds immer für etwas schlauer als alle anderen halten, ganz besonders als alle Politiker. Uns, die wir mehr zu durchschauen glauben als andere, gerne auch mal in Form einer kleinen Verschwörungstheorie. Uns, die wir als digitalcouragierte Aktivisten hinter jeder Videokamera, jedem Polizeigesetz und jeder Urheberrechtsreform den autoritären Staat lauern sehen und unter dem Motto „Freiheit statt Angst“ gegen neue Einsatzmittel der Exekutive protestieren als stünden Recht und Demokratie kurz vor der Abschaffung. Uns, die bei jedem Datenschutzproblem und jedem staatlichen Digitalprojekt gleich von Grundrechten reden. Uns, die wir als Digitalveganer Sicherheitsmaßnahmen empfehlen als seien Geheimdienste hinter jedem Einzelnen persönlich her. Uns, die wir Microsoft und Bill Gates schon seit Jahrzehnten doof finden und uns lieber mit Linux quälen, Hauptsache anders. Von uns, die wir eines Tages dem Größenwahn verfielen und eine inzwischen beinahe wieder verschwundene Partei gründeten, um in der ganz großen Politik mitzumischen.

Querdenker wollen wir sein, Freiheitskämpfer, Topchecker und so wichtig, dass man uns verfolgt. Zu unserer Selbstbestätigung haben wir eine reichhaltige rhetorische Folklore geschaffen und gepflegt, aber selten hinterfragt. Nun schallt uns ein Echo dieser Folklore von der Straße entgegen, doch sind es nicht wir, die dort stehen, sondern andere, mit seltsamen Ideen und fragwürdigen Zielen. Wir selbst sind stolz darauf, für den Fall der Fälle keine Datenspuren zu hinterlassen, doch haben wir kollektiv ein Waffenarsenal der Öffentlichkeitsarbeit entwickelt und getreu dem Open-Source-Gedanken allen zur Verfügung gestellt. In dessen Mittelpunkt steht die Selbstinszenierung als Freiheitskämpfer, obwohl viele von uns nie etwas anderes erlebt haben als einen demokratischen Rechtsstaat und selbst die DDR zu den gemäßigten Vertretern der weniger demokratischen Staaten zählte, was sich nicht zuletzt in der Gewaltlosigkeit ihres Ablebens äußerte. Nun beobachten wir entsetzt, wie sich andere unseres Arsenals bedienen und ihrerseits ohne sachliche Grundlage Freiheitskämpfer spielen.

PS (2020-05-19): Stefan Laurin von den Ruhrbaronen ordnet die Proteste in den größeren Kontext unserer seit einem halben Jahrhundert sehr skeptischen Sicht auf Technik insgesamt ein: Hygiene-Demos: Querfront gegen den Westen, Technik und Aufklärung. Das ist in etwa dieselbe Perspektive, aus der ich Macken und Meme des Datenschutzes zu erklären versuche.

PS (2020-05-24): Der Deutschlandfunk liefert noch ein passendes Foto. Darauf zu sehen ist ein Demonstrant, der ein Schild mit der Aufschrift „COVID-1984“ trägt. Unterdessen redet Fefe gleich von „anhaltsloser Massenüberwachung“, nur weil Lieblingsfeind Wolfgang „Stasi 2.0“ Schäuble das Elend um die Corona-App kritisiert.

PS (2020-05-29): Die Guten™ unter den Verschwörungstheoretikern sind wieder ganz in ihrem Element: „Amazon greift nach Grundrechten“, zitiert die Taz einen Aktivisten, der den Cloudkonzern Amazon aus Berlin herausmobben möchte.

PS (2020-08-30): Ein Bericht der NZZ aus Berlin passt ins Bild.

PS (2021-04-04): In Der Aufstand des Mittelstands analysieren William Callison und Quinn Slobodian die Querdenkerei.

PS (2021-11-23): „Die ‚Querdenker‘ stellten sich als kritische Experten und heroische Widerstandskämpfer dar, erklärte die Soziologin Nadine Frei. Sie verstünden sich als wahre Verteidiger von Demokratie und Freiheit und als Teil eines ‚Kerns der Eingeweihten‘.“, zitiert der Tagesspiegel eine Studie der Uni Basel im Auftrag der Heinrich-Böll-Stiftung.

PS (2022-01-07): «Diese Vorstellung, die Menschen hätten einst im Einklang mit allem gelebt …»„Warum sollten wir nicht erstaunt sein, wenn auf Demos gegen die Pandemiemassnahmen plötzlich Regenbogenfahnen neben Reichsflaggen wehen? Der Journalist und Autor Andreas Speit über falsche Querfronten, die Mittelschichts-Bio-Bohème und die befreiende Wirkung einer Impfpflicht.“

Bedingte Vorsorge und einseitiges Risikomanagement

Covid-19, Geschäft, Philosophie, Risiko, , , ,

Die Coronavirusseuche verlangt nach klugem Risikomanagement. Darüber, wie ein solches aussehe, gibt es verschiedene Auffassungen. Die einen halten enge Beschränkungen des öffentlichen Lebens über längere Zeit für erforderlich und warnen vor schneller Rückkehr zur früheren Normalität. Die anderen verlangen, man müsse die Wirtschaft schnell normalisieren, um größere Schäden zu vermeiden, und dazu Gesundheitsrisiken in Kauf nehmen.

Beide Seiten argumentieren letztlich auf der Grundlage des Vorsorgeprinzips: Man wisse nicht genug, doch sei es besser, anhand der vorliegenden Informationen jetzt Entscheidungen zu treffen, als nicht zu tun, bis Klarheit herrsche. Beiden Seiten feht dieselbe Information, nämlich allerlei Details zum Virus, der davon ausgelösten Erkrankung und künftigen Behandlungsmöglichkeiten. Sie unterscheiden sich nur darin, wie sie Risiken priorisieren. Die einen schauen zuerst auf die Gesundheit und das Gesundheitssystem und wenden das Vorsorgeprinzip darauf an, die anderen legen den Fokus auf die Wirtschaft.

So unangenehm es sein mag, Gesundheit und Menschenleben in Geld umzurechnen, werden wir doch nicht umhinkommen, alle maßgeblichen Aspekte und Folgen der Pandemie wie ihrer Bekämpfung in einem umfassenden Risikomodell zu berücksichtigen und gegeneinander abzuwägen. Das Vorsorgeprinzip liefert keine magische Pille, die einen Ausweg aus der Ungewissheit eröffnet, sondern nur eine Maxime zum Umgang mit unvermeidlicher Ungewissheit.

Nach meinem Eindruck haben bislang die Virologen die Nase vorn, was belastbare Voraussagen angeht. Zwar ist vieles rund um das neue Coronavirus noch nicht geklärt, doch lässt sich die Ausbreitung des Virus anhand plausibler und auf langer Erfahrung beruhender Modelle gut voraussagen. Können Ökonomen ähnlich belastbar die künftige Entwicklung der Wirtschaft vorrechnen?

Abstrakte Gefahr

Covid-19, Risiko, Safety, Wahrnehmung

Ungewöhnlich leere Straßen, geschlossene Kinos und Geschäfte, Menschen mit Masken – wenn man nicht gerade in den Baumarkt geht, könnten das Stadtbild vielerorts dem Drehbuch von Todeszone entstammen, einer Dokufiktion, die sich 1991 die Folgen einer nuklearen Katastrophe im mittlerweile abgeschalteten Kernkraftwerk Biblis ausmalte. Radioaktive Strahlung gilt als unsichtbare Gefahr, denn wer ihre Wirkung spürt, ist längst dem Tode geweiht.

Die Gefahr durch das Corona-Virus erscheint noch weniger wahrnehmbar, wenngleich sie ebenso konkret besteht wie jene nach der Freisetzung von Radioaktivität. Wie Strahlung ist auch das Virus unsichtbar, doch nach einer nuklearen Katastrophe gibt es wenigstens eine rauchende Reaktorruine an einem bekannten Ort. Man kann diesen Ort auf der Landkarte suchen und anhand seiner Entfernung dazu und der Windrichtung die eigene Gefährdung abschätzen. Zudem lassen sich Strahlung und Exposition unmittelbar messen, man kann den Geigerzähler ticken hören und mit einem Dosimeter feststellen, welche Dosis man selbst abbekommen hat. Dabei wächst die Schwere der Folgen im Mittel mit der Dosis.

Die Corona-Pandemie hingegen ist für die meisten Menschen bis jetzt ausschließlich indirekt in Form von Medienberichten und Gegenmaßnahmen fassbar. Nicht nur ist das Virus unsichtbar, man sieht auch niemandem an, dass er es in sich trägt und einen anstecken könnte. Die individuelle Ansteckungsgefahr bleibt auch gering, solange nur ein kleiner Teil der Bevölkerung infiziert ist und diese Menschen konsequent vorübergehend isoliert werden. Ziel der Seuchenbekämpfung ist nicht, Menschen vor einer überall oder in bestimmten Regionen lauernden Gefahr in Sicherheit zu bringen, sondern die unsichtbare Gefahr selbst gering zu halten, denn sie ist nicht einfach da, sondern sie wächst mit jeder unkontrollierten Ansteckung.

Ich kann verstehen, dass man unter diesen Umständen nachlässig wird und Vorsichtsmaßnahmen vergisst. Hat jemand bessere Ideen als darauf mit Strafanzeigen zu reagieren?

Ich kann sogar nachvollziehen, dass jemand, der Politik und Wissenschaft nicht traut, an der Existenz der Pandemie zweifelt. Mangels eigenen Erlebens bleibt keine andere Wahl als sich auf Insitutionen und medial vermittelte Informationen zu verlassen. Hat jemand Ideen, wie sich das Problem auch für Zweifler plausibilisieren lässt, oder müssen wir einfach mit der Glaubensfreiheit leben?

Verständlich ist auch der Wunsch, die Seuchenbekämpfung so zu fokussieren, dass alle nicht unmittelbar Betroffenen schnell zur Normalität zurückkehren können. Gibt es dafür realistische Ansätze, die nicht auf fragwürdige Seuchenpässe oder gar auf das Wegsperren von Alten und Schwachen „zu ihrem eigenen Schutz“ hinauslaufen?

Datenschützer im eigenen Saft

Covid-19, Datenschutz, Digitalveganismus, Rant, Risiko, ,

Unsere Datenschützer zeigen in der Krise, was sie können: Memetik, Bürokratie und Realitätsverlust. In der Tradition der 1970er/80er Jahre halten sie die elektronische Datenverarbeitung für eine Risikotechnologie vergleichbar der Kernkraft, die es mit allen Mitten einzudämmen gelte. Über die Jahre haben sich vorläufige Antworten auf einst berechtigte Fragen zu Memen verselbständigt, die man nur noch unreflektiert wiederkäut. Als Begründung des eigenen Treibens hat man sich in den ätherischen Wert unserer Rechte und Freiheiten verirrt, der alles und nichts begründen kann und jede Falsifikation zu Lasten der Datenschützer ausschließt, ihnen zugleich jedoch die Illusion vermittelt, stellvertretend für uns unsere Grundrechte wahrzunehmen.

Die aktuelle Corona-Pandemie stellt vieles auf den Kopf und lässt uns keine andere Wahl als unseren Digitalisierungsrückstand endlich zu verringern. Mehr Kartenzahlung, mehr Fernarbeit, mehr digitale Kommunikation und Kollaboration, Corona-Apps, Hackathons und vielleicht irgendwann sogar mehr E-Government – wir machen nach einer langen bleiernen Zeit gerade einen großen Sprung in Richtung Gegenwart. Nicht alles wird funktionieren wie erhofft oder versprochen, aber nach einem Vierteljahrhundert Internet für alle dürfen wir guten Gewissens überwiegend positive Auswirkungen erwarten.

Auch Datenschützer können dieser Entwicklung einiges abgewinnen, gibt sie ihnen doch – publish or perish – reichlich Gelegenheit, sich mahnend zu äußern. Davon machen sie effizient Gebrauch und wiederholen ihre ewiggleichen Meme, ohne sich um lästige Einzelheiten wie Kohärenz oder nachvollziehbare Begründungen zu kümmern.

So veröffentlicht etwa der Berliner Datenschutzbeauftragte eine mahnende Handreichung nebst Checkliste für die „Durchführung von Videokonferenzen während der Kontaktbeschränkungen“. Der Inhalt überzeugt nicht. Während seine Handreichung die Bedeutung einer verschlüsselten Übertragung herausstreicht, rät die Checkliste, das mit den Videokonferenzen am besten ganz zu lassen und möglichst zu telefonieren. Wie man jedoch verschlüsselt telefoniert, erklärt der Beauftragte nicht und wenn er es täte, lachten wir ihn aus, denn gemessen an Aufwand und Nutzen haben verschlüsselte Telefonate nur in Ausnahmefällen einen Sinn. Warum das bei einer Videokonferenz anders sei, erläutert er nicht und auch eine praktisch relevante Risikoreduktion durch die empfohlenen Maßnahmen kann er nicht belegen.

Überhaupt fehlt den Papieren eine plausible Risiko- und Bedrohungsanalyse und damit die Begründung. Stattdessen stecken alte Meme darin. Videokameras gelten den Datenschützern traditionell als verdächtig, wenn auch zuvörderst beim Einsatz zur Videoüberwachung. Später kam der Trend hinzu, Laptop-Kameras ostentativ zuzuklebensinnlos, aber sichtbar und leicht nachzuahmen. Auch der digitale Veganismus – der Datenschutzbeauftragte rät, existierende Dienste zu meiden und besser selbst einen aufzusetzen – hat eine lange Tradition.

Wie sehr diese Meme und Phrasen in der Vergangenheit verhaftet sind, wird deutlich, wenn man sie mit dem Stand der Technik abgleicht. Wenig haben die Offiziellen etwa zum gemeinsamen Bearbeiten von Dokumenten zu sagen. Das ist zwar seit vielen Jahren Stand der Technik und mindestens so nützlich wie Videokonferenzen, bei den alten Männern mit Röhrenbildschirmen in den Datenschutzbüros jedoch noch nicht angekommen. Schließlich wollen sie Vorbild gemäß ihrem Weltbild sein und agieren im Umgang mit der IT daher so übervorsichtig, dass es einer Selbstblockade gleichkommt. Dasselbe empfehlen sie allen anderen.

Wo sich der IT-Einsatz nicht ganz verhindern lässt, versucht man ihn in Bürokratie zu ersticken. Dies demonstrierten vor einigen Tagen Datenschutz-Aktivistinnen im Namen des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF): Zur laufenden Diskussion um den Einsatz von Smartphone-Apps zur Kontaktverfolgung im Rahmen der Seuchenbekämpfung legten sie eine sage und schreibe hundertseitige Datenschutz-Folgenabschätzung vor – für ein Phantom, denn bisher liegt kein ausgereiftes Einsatzkonzept für eine solche App vor, auf das sich eine qualifizierte Diskussion stützen könnte. So weit es sich beim Überfliegen dieses Konvoluts mit normativem Anspruch einschätzen lässt, steht darin kein relevanter Einwand, den nicht Susan Landau oder Ross Anderson knapper formuliert hätten. Auf die Idee, Datenschutzprobleme institutionell zu dämpfen, wie es bei der Erhaltung und Verharmlosung der Stasi-Akten gelungen ist, kommen die Aktivistinnen wohl gar nicht erst.

♠♠♠

Falsch abgebogen ist der Datenschutz früh in seiner Geschichte und sein Geburtsfehler wurde nie richtig korrigiert. Als der Datenschutz vor vier, fünf Jahrzehnten das Licht der Welt erblickte, entdeckte die Welt gerade die Schattenseiten damals moderner Großtechnologien wie der Kernenergie. Etwa zeitgleich mit den ersten Schritten zum Datenschutz entwickelte sich die Technikfolgenabschätzung, schrammte ein Kernreaktor in Harrisburg knapp an einer größeren Katastrophe vorbei, malte Robert Jungk den dann doch nicht eingetretenen Atomstaat an die Wand. Nebenbei herrschte noch kalter Krieg, der jederzeit in einen heißen letzten Weltkrieg münden konnte.

In diese Zeit fiel die zunehmende Verbreitung der elektronischen Datenverarbeitung (EDV) in Wirtschaft und Verwaltung. Auf dem Weg ins EDV-Zeitalter, so hofften viele, würde man alles besser machen als bei der Einführung anderer Großtechnologien, in die man scheinbar euphorisch und blind für ihre Gefahren hineingestolpert war.

Seither gehört zum Fundament des deutsch-europäischen Datenschutzes der Glaube, die elektronische Verarbeitung von (personenbezogenen) Daten sei eine Risikotechnologie vergleichbar der Kernkraft; man müsse sie ähnlich streng regulieren und überwachen sowie sorgfältig und umfassend technisch absichern. Genau genommen müsste man sie sogar verbieten, und genau davon geht der Datenschutz bis heute aus – die Verarbeitung personenbezogener Daten sei in der Regel verboten, sofern die nicht ausnahmsweise doch erlaubt sei. Diese Grundannahme erklärt, warum Datenschützer zum Beispiel so ein Theater um WhatsApp und dessen Nutzung persönlicher digitaler Adressbücher machen, obwohl sich außer ihnen kein Mensch daran stört und wohl auch niemand tatsächlich dadurch gefährdet wird. Für Datenschützer steht die IT traditionell unter Generalverdacht.

Heute steht Deutschland kurz davor, seine letzten Kernkraftwerke abzuschalten, während sich das Verbrennen von Kohle als eine viel größere und schwerer zu bändigende Gefahr erwiesen hat. Daneben meldet sich die Natur mit einem neuen Coronavirus, welches im Gegensatz zur EDV Menschenleben bedroht und mangels Impfstoff oder Heilmittel Vorsichtsmaßnahmen verlangt, die tief in unser gewohntes Leben und unsere bürgerlichen Freiheiten eingreifen. Doch unverdrossen verkauft uns eine Allianz aus Aktivisten, Datenschutzbeauftragten und Opportunisten den Datenschutz als Supergrundrecht und die Datenverarbeitung als explosive Risikotechnologie, von der man am besten die Finger lasse.

Anders als bei jeder anderen Risikotechnologie, deren Schäden sich als Sach- und Personenschäden quantifizieren lassen, fehlt dem Datenschutz und der fundamentalen EDV-Kritik jedoch ein klarer Risikomaßstab. An seine Stelle trat die radikale Vorsorge eines generellen Verbots der personenbezogenen Datenverarbeitung mit Ausnahmen, vergleichbar den Regeln für den Betrieb kerntechnischer Anlagen, die einer Genehmigung bedürfen.

Die Entscheidung über Ausnahmen legte man teils in die Hände des Gesetzgebers und teils in die der Betroffenen. So ward die informationelle Selbstbestimmung geboren, die das Bundesverfassungsgericht 1983 in seinem Volkszählungsurteil in den Rang eines Grundrechts erhob. In den folgenden Jahrzehnten unterblieben nötige Modernisierungen des Datenschutzes weitgehend und auch die DSGVO hat noch viel mit dem alten (west-)deutschen Bundesdatenschutzgesetz gemein.

Die IT entwickelte sich schnell weiter und entfernte sich nach und nach von den Voraussetzungen des etablierten Datenschutz, was man ihr nicht verübeln kann. Zugleich eigneten sich die Träger des Datenschutzes, die Beauftragten und Aktivisten, das Grundrecht der Betroffenen an und beanspruchen seither dessen stellvertretende Wahrnehmung. Mit dieser Waffe in der Hand müssen sie keine Kritik mehr fürchten, denn zum einen bleiben die Grundrechte zu abstrakt, um damit direkt und einfach argumentieren zu können, und zum anderen bedarf die Inanspruchnahme von Grundrechten – im Regelfall anders als im Datenschutz durch ihre Trägerinnen selbst – keiner Rechtfertigung. Begleitend entstand über die Jahre mit Anbietern von Compliance-Dienstleistungen ein Wirtschaftszweig, der von möglichst willkürlichen und bürokratischen Anforderungen profitiert und der deshalb um so andächtiger nickt als die Nachfrage nach seinen Angeboten steigt.

Deswegen werden wir jetzt vor Videokonferenzen gewarnt, besonders vor den einfach zu nutzenden. Ob jemals eine Videokonferenz jemandem ein Haar gekrümmt hat, bleibt offen, denn auf reale Risiken kommt es dem Datenschutz nicht an. Er begründet sich aus sich selbst und immunisiert sich damit gegen Kritik, ja sogar gegen die bloße Sinnfrage.

 

PS (2020-05-06): Microsoft weist die Warnungen des Berliner Datenschutzbeauftragten für seine Produkte ausdrücklich zurück.

PS (2020-05-16): Microsoft geht den nächsten Schritt und mahnt Berlin ab.

#WirHabenJaSonstNichtsZuTun

Algorithmenschelte, Covid-19, Folklore, Philosophie, Risiko, Zahlenspiele, , ,

Wo sind eigentlich die ganzen Schlaumeier geblieben, die bei jeder Videokamera einen Generalverdacht wittern und der automatischen Gesichtserkennung Untauglichkeit zur Fahndung nach Terroristen vorwerfen, weil sie unvermeidlich mehr falsche als wirkliche Terroristen melde?

Gegenwärtig reden wir über Ausgangssperren zur Bekämpfung eines Virus, das einen Bevölkerungsanteil in der Größenordnung von einem Promille befallen hat. Ein Corona-Soforttest mit hoher Falsch-Positiv-Rate fände vermutlich breite Akzeptanz, wenn man mit seiner Hilfe eine knappe Mehrheit – oder vielleicht sogar eine genügend große Minderheit – der Bevölkerung von Einschränkungen befreien könnte.

Von welchen Axiomen muss man ausgehen und welche Unterschiede zwischen beiden Szenarien berücksichtigen, um mit einem logisch konsistenten Weltbild eine automatische Fahndung wegen begrenzter Zuverlässigkeit abzulehnen, erhebliche Einschränkungen des öffentlichen Lebens und der persönlichen Freiheit zur Virusbekämpfung hingegen zu befürworten?

***

#WirHabenJaSonstNichtsZuTun regt zum Zeitvertreib Grundsatzdiskussionen an

Unterschätzte Risiken: kaputte Organisationen

Geschäft, Unterschätzte Risiken,

Morgen jährt sich zum 25. Mal der Zusammenbruch der Barings Bank. Als verwirrter Einzeltäter gilt Nick Leeson, der als Wertpapierhändler in Singapur vertuschte Verlust anhäufte. Möglich war dies jedoch nur aufgrund einer kaputten Organisation. Die Verhältnisse in der Bank müssen haarsträubend gewesen sein. Leeson hielt seine Kollegen und Manager für Idioten – und hatte damit wahrscheinlich Recht. Die BBC-Doku £830,000,000 – Nick Leeson and the Fall of the House of Barings erzählt die Geschichte:

Digitalfeindliche Hetze

Folklore, Propaganda, Risiko, Security, Video, , ,

Gegen alles Digitale kann man in Deutschland ungestört hetzen, zumal unter dem Deckmantel der Sicherheit. Eines der beliebtesten Opfer neben dem Internet: die Kartenzahlung, die sich nun langsam doch auch in Deutschland durchsetzt. In welchem Maße dies auf die Deckelung der Transaktionsgebühren durch die EU zurückgeht, auf die zunehmende Verbreitung NFC-fähiger Karten zum bequemen kontaktlosen Bezahlen auch kleinster Beträge oder schlicht darauf, dass zu guter Letzt auch die Deutschen langsam in der Moderne ankommen, sei dahingestellt. Doch einige meinen immer noch, man hätte nie von den Bäumen herunterkommen oder noch besser, nie die Ozeane verlassen sollen. Ihre Geheimwaffe: Sicherheitsbedenken, denn die lassen sich zumindest in den Augen von Laien kurzfristig schwer ausräumen.

Der SWR demonstriert diese Masche am Beispiel der NFC-fähigen Kredit- und Debitkarten, die heute fast jeder besitzt:

Im Wesentlichen demonstriert dieser Beitrag, dass kontaktloses Bezahlen kontaktlos funktioniert, sowie dass die Infrastruktur dafür günstig zu haben und überall einsetzbar ist. Um sich vor Fernsehteams auf der Jagd nach Sensationen zu schützen, so empfiehlt der Beitrag am Ende, sollen wir unsere praktischen Karten kastrieren, indem wir sie umständlich in Schutzhüllen packen oder die NFC-Funktion gleich komplett deaktivieren lassen.

Wie bei solchen Skandalisierungsversuchen üblich, drückt sich der Beitrag um jede Risikobetrachtung. Das hatte so ähnlich ein gutes Jahr zuvor schon das Fachmagazin c’t versucht, musste jedoch bald zurückrudern. Wie der Anbieter des dort verwendeten mobilen Bezahlterminals zu recht betonte, wurde dort wie auch nun im Fernsehbeitrag des SWR lediglich ein technischer Transaktionsvorgang nachgewiesen, nicht jedoch ein erfolgreicher Geldtransfer zum Täter, der ohne Identifizierung desselben sowie ohne Eingriffsmöglichkeiten in dessen Handeln kaum zu bewerkstelligen wäre.

In der Gesamtschau begrenzen mehrere Mechanismen und Entwurfsmerkmale das Risiko kontaktloser Zahlungskarten:

  1. Zahlungen erfordern physische Nähe zwischen Terminal und Karte. Dies begrenzt die Zahl der effektiven Versuche, die ein Täter pro Zeiteinheit machen kann, sowie die Zahl der Angriffe, denen ein Karteninhaber ausgesetzt ist.
  2. Für Transaktionen ohne PIN-EIngabe sind der Betrag pro Transaktion wie auch die Zahl der aufeinanderfolgenden Transaktionen und deren Gesamtbetrag beschränkt. Selbst wer sich dauerhaft in der Nähe seines Opfers aufhielte, könnte nicht beliebig viele, beliebig hohe Transaktionen auslösen.
  3. Es handelt sich um Buchgeldtransaktionen, die nachvollzogen und nötigenfalls auch rückgängig gemacht werden können. Um an Bargeld zu kommen, müsste der Täter nicht nur Transaktionen auslösen, sondern auch über das resultierende Guthaben auf einem Konto frei und ohne Risiko verfügen können.

Unabhängig davon muss man sich auch noch die Geschäftsbedingungen der Bank anschauen und die darin festgelegten Haftungsregeln berücksichtigen. Selbst ein technisch erfolgreicher Angriff bliebe für Karteninhaber folgenlos, wenn sie Schadenersatzansprüche gegen ihre Bank geltend machen könnten.

All diese verschweigt der SWR-Beitrag. Er demonstriert lediglich einen technischen Vorgang, der Journalisten auf den ersten Blick überraschen mag. Hätten sie gründlich recherchiert, statt nur einen Wichtigtuer für eine telegene Vorführung zu suchen, hätte ihnen das sicher jemand erläutert. Weil sie das anscheinend nicht getan haben, handelt es sich um digitalfeindliche Hetze – oder doch nur um schlechten Journalismus?

Denkanstöße zu 5G und Huawei

Geschäft, Propaganda, Regierungsviertel, Risiko, Security

Seit einiger Zeit tobt ein Streit um die Frage, ob der chinesische Konzern Huawei Ausrüstung für die im Aufbau befindlichen deutschen 5G-Netze liefern dürfen soll. Kritiker argumentieren, Huawei sei von der chinesischen Regierung abhängig und deshalb kein vertrauenswürdiger Lieferant. Kauften unsere Netzbetreiber bei Huawei, seien wir China ausgeliefert, da helfe keine Technik und kein Sicherheitsmanagement. Befürworter hingegen halten die Risiken für beherrschbar.

Die Diskussion krankt daran, dass sie in der Öffentlichkeit vorwiegend auf PR-Niveau geführt wird statt mit handfesten Argumenten. Echte Risikobetrachtungen liest man kaum, stattdessen bleiben die vorgetragenen Bedenken und Argumente ätherisch. Als Beispiel lesen man etwa das Papier Germany’s Preliminary 5G Decision:
Limiting Damage and Learning Lessons der DGAP: Dort fehlt jede nachvollziehbare Risikoeinschätzung und die Autoren fordern, die Entscheidung über den Einsatz nicht  Leuten mit Ahnung von der Materie wie dem BSI , sondern der Politik zu überlassen. So würde man wohl auch argumentieren, arbeitete man als PR-Agentur für einen von Huaweis Konkurrenten.

Aus Sicht des Sicherheits- und Risikomanagements stellt sich jedoch zuerst die Frage, welche Szenarien eigentlich gegeneinander abzuwägen sind und was man gewinnen oder verlieren kann. An einem Kommunikationsnetz interessieren uns unmittelbar seine Verfügbarkeit sowie möglicherweise die Vertraulichkeit der Kommunikation, mittelbar als Voraussetzung dafür die Integrität des Netzes und seiner Komponenten, die jeder Hersteller untergraben kann.

Am geringsten zusätzlich bedroht ist die Vertraulichkeit der übermittelten Inhalte. Dafür verlässt sich ohnehin niemand auf ein öffentliches Netz, sondern wer auf Vertraulichkeit Wert legt, muss ein Protokoll zur Ende-zu-Ende-Verschlüsselung wie z.B. TLS einsetzen. Bei korrekter Anwendung eines solchen Protokolls sind die attraktivsten Angriffe dann solche auf die Software der Endpunkte, insbesondere die Anwendungssoftware.

Ebenso bedeutsam ist, wie wir spätestens seit Snowden wissen, die Vertraulichkeit der Metadaten – wer kommuniziert wann, wo und mit wem? Hier stellen sich Fragen wie:

  • Welchen echten Vorteil brächte der direkte Durchgriff auf den Hersteller Huawei im Vergleich zu einem unabhängigen Akteur, der die Komponenten lediglich analysiert?
  • Welche Informationen könnten die Chinesen ohnehin schon unkompliziert einsammeln, solange sie uns Computer, Smartphones und IoT-Geräte liefern?
  • Inwieweit kann der praktische Betrieb Risiken kompensieren, wenn Spione nicht nur theoretisch, sondern auch praktisch an Daten herankommen müssen und es sich dabei um nennenswerte Datenmengen handelt?
  • Wo und wie würde man die relevanten Daten einsammeln, wenn man keinen besonderen Zugang zur Netztechnik hätte?

Kurz und gut, wie viel leichter hätten es die Chinesen dank Huawei als andere Mächte mit ihren Nachrichtendiensten?

Auch hinsichtlich der Verfügbarkeit stellt sich die Frage nach der Baseline, dem Ausgangsniveau. Angenommen, die Chinesen könnten unsere 5G-Netze jederzeit ausknipsen, wieviel leichter hätten sie es dann als ein anderer Akteur, der etwa Spezialeinheiten mit Sprengstoff losschickt? Die Bahn zum Beispiel hat ab und zu Probleme mit heimischen Terroristen, die aus einer politischen Motivation ganz banal Kabelschächte anzünden und damit großen Schaden anrichten. Was könnten staatlich unterstützte Kräfte zu welchem Preis mit klassischer Sabotage anrichten?

Sähe ich solche Fragen diskutiert, fiele es mir leichter, die ganze Debatte ernst zu nehmen. Alternativ könnten wir die Sicherheit in den Hintergrund rücken und einfach offen über Wirtschaftspolitik reden. Vielleicht wäre es ja aus dieser Perspektive eine gute Idee, europäischen Anbietern den Vorzug zu geben und wenn das jemand nachvollziehbar begründen könnte, hätte ich gar nichts dagegen, dass wir das dann auch tun.

Unterdessen kann sich Bill Gates in Huawei einfühlen, denn Microsoft hatte einst dasselbe Problem: „Wir wurden gefragt, ob Windows irgendwelche NSA-Dinge eingebaut hat“. Ob diese Erinnerung die aktuellen Warnungen vor Huawei glaubwürdiger macht, möge jeder für sich entscheiden.

PS: Bei einer Anhörung des Auswärtigen Ausschusses im Bundestag wiesen Experten darauf hin, dass ein funktionierender Markt und die Vermeidung einer Monokultur wichtig seien für die Sicherheit. (2019-11-11)

PPS: Den Security-Chef der Telekom wollte man lieber nicht anhören. Netzbetreiber wie die Telekom sind gegen den Ausschluss von Huawei, während der Ausschussvorsitzende Röttgen die Beteiligung von Huawei am 5G-Ausbau für schlimmer hält als einen GAU im Kernkraftwerk. (2019-11-12)

Unterschätzte Risiken: Gütesiegel

Geschäft, Propaganda, Security, Unterschätzte Risiken,

Immer wieder wird der Ruf nach mehr Gütesiegeln und Zertifizierung für mehr IT-Sicherheit laut. Nachdem beispielsweise Anfang des Jahres ein Jugendlicher beim Doxxing mehr oder minder bekannter Personen erwischt wurde, fand sich in der unvermeidlich folgenden Wunschliste des Innenministeriums nach neuen Gesetzen und Befugnissen auch die Forderung nach Gütesiegeln für IT-Sicherheit. Reaktion auf den Anlass war dabei wie üblich nur die Erstellung des Wunschzettels; die Idee und Forderung als solche hatte man zuvor bereits in der Schublade liegen.

Für die Wirtschaft sind Gütesiegel attraktiv, weil sie Prüfern Aufträge bringen und Herstellern selten wehtun, vor allem den größeren nicht. Kleine und junge Unternehmen tun sich zuweilen schwer mit der Zertifizierungsbürokratie, große und alte haben dafür ihre Spezialisten oder heuern Berater an. Doch einen Nutzen sollte man von Gütesiegeln nicht erwarten.

Dies hat zum einen inhaltliche Gründe: Es gibt keine kleine, universelle und vollständige Checkliste für IT-Sicherheit, die man in einer Prüfung abhaken könnte. Jedes Gütesiegel braucht einen Kriterienkatalog, damit seine Aussage spezifisch wird. Darauf werden insbesondere die Prüfer bestehen, denn je konkreter ihre Prüfaufgabe beschrieben ist, desto geringer wird das Risiko, dass ihnen später jemand Versäumnisse vorwirft. Doch Sicherheitsanforderungen sind notorisch schwer zu fassen. Der Versuch, sie in Kataloge zu packen, endet entweder mit oberflächlich-unvollständigen Prüfungen wie im Fall des Safer-Shopping-Siegels, oder er bringt Konvolute vom Umfang des Grundschutz-Kompendiums hervor, die noch das unbedeutendste Detail bis hin zur möglichen Verschmutzung eines häuslichen Arbeitsplatzes erfassen.

Die Aussagekraft jedes Gütesiegels bleibt deshalb beschränkt. Obendrein kann ein Zwang zur Zertifizierung spezifischer Maßnahmen sinnvolle Entwicklungen bremsen oder die Implementierung beziehungsweise Beibehaltung veralteter und unnötiger Funktionen erfordern. Ein aktuelles Beispiel liefert die EU-Zahlungsdiensterichtlinie PSD2 mit ihrer Forderung nach „starker Kundenauthentifizierung“. Sie führte beispielsweise dazu, dass Sparkassenkunden bei Kreditkartenzahlungen im Netz eine Runde durch die schwerfällige App S-ID-Check drehen müssen – und dabei noch nicht einmal die konkrete Zahlung autoriesiert, sondern tatsächlich nur eine komplett nutzlose Zwei-Faktor-Authentifektion zelebriert wird.

Das andere große Problem der Zertifizierung liegt in kontraproduktiven ökonomischen Anreizen, die sich aus den typischen Akteurskonstellationen ergeben. Oft werden Prüfer von den Herstellern oder Betreibern beauftragt und bezahlt, die ein Gütesiegel erwerben möchten. Dies gibt den Prüfer einen Anreiz, die Interessen ihres Auftraggebers zu berücksichtigen, denn wo die Auswahl zwischen mehreren Prüfern besteht, zahlt es sich nicht aus, unter ihnen der strengste zu sein. Wohin solche Fehlanreize in letzter Konsequenz führen, zeigt der Dammbruch von Brumadinho in Brasilien in Januar 2019. Dieser Damm war erst wenige Monate vor seinem Bruch mit 250 Todesopfern trotz bekannter Mängel für sicher erklärt worden. In der Folge diskutiert man jetzt, inwieweit ein vom Betreiber des Damms direkt beauftragter Prüfer objektiv urteilen kann und erwägt, künftig die Aufsichtsbehörden zum Auftraggeber zu machen.

Von Gütesiegeln für IT-Sicherheit dürfen wir daher wenig erwarten. Bestenfalls schaffen sie sie ein paar Arbeitsplätze für Sicherheitsbürokraten, alles darüber hinaus wäre eine Überraschung.

PS: Der Vortrag FreeBSD and the absurdities of security compliance von Eirik Øverby auf der EuroBSDcon gibt Einblicke in die praktischen Schwierigkeiten der Sicherheitszertifizierung. (2019-10-29)

PPS: Der Deutschlandfunk bringt noch einen längeren Beitrag zum Prüfwesen: Der ramponierte Ruf des TÜV-Siegels. (2019-10-30)