Wer wie ich beruflich damit befasst ist, die Welt der Informationsverarbeitung ein bisschen sicherer zu machen, geht in diesen Tagen, da Prism und Tempora die Schlagzeilen bestimmen, durch ein Wechselbad der Gefühle. Einerseits freue ich mich, dass Themen des Datenschutzes wenigstens vorübergehend solche Aufmerksamkeit erregen. Andererseits frage ich mich, ob es am Ende nicht doch nur der Kampf des Don Quijote gegen die Windmühlen ist, wenn ich im beruflichen wie privaten Umfeld mit einer gewissen Sturheit die Ziele der Informationssicherheit vertrete. Bisher nahm ich den Gegner immer wahr als jemanden, mit dem man ein Duell auf Augenhöhe führen konnte. Nennen wir ihn „den Hacker“. Aber ich werde gerade unsanft daran erinnert, dass mein Gegner in Wahrheit viel größer ist: die versammelte „intelligence“ dieser Welt. Nettes Wortspiel übrigens. Ist es nicht albern, wenn der kleine Informatiker, der ich bin, sich diesem Kampf stellt? Ist das überhaupt mein Job, meine Kompetenz?
Unbewusst bin ich bisher davon ausgegangen, Informationssicherheit sei im Wesentlichen der Versuch, Probleme, die durch Technik verursacht wurden, mit noch mehr Technik in den Griff zu bekommen. Aber auf einmal erhält die Diskussion eine ganz andere Betonung, eine, in der Grundrechte wichtiger werden als technische Normen, eine, in der nicht mehr abstrakt „meine Daten“ gefährdet sind, sondern nichts weniger als das Fundament der freiheitlichen, demokratischen und rechtsstaatlichen Ordnung, in der zumindest wir Bürger der westlichen Demokratien so viele Jahre so gut leben durften.
Und das bringt mich ins Grübeln.
Alles, was Recht ist
Chats, Emails, Telefonate, Fotos, Videos, soziale Netzwerke, Dokumentenablagen, Online-Konferenzen – die Neugier der regierungsnahen Datensammler kennt nur eine Grenze: das, was technisch machbar ist. „Na und?“ denken und sagen viele, die ich auf das Thema anspreche. „Ich habe nichts zu verbergen“. Das mag jeder so sehen, wie er will. Was mich aber betrifft: ich habe vieles zu verbergen. Nicht, weil ich ein Gesetz gebrochen hätte, weshalb ich Polizei und Staatsanwalt fürchten müsste. Sondern, weil es so viele Dinge gibt, die, zum Teufel nochmal, niemanden etwas angehen.
Nun ja, vielleicht habe ich ja doch ein Gesetz gebrochen. Eines, das irgendjemand irgendwo erlassen hat, jemand, der davon überzeugt ist, dass seine Gesetze, seine Vorstellungen davon, wie die Welt zu funktionieren hat, überall gelten. Wer mächtig genug ist, kann sich diese Arroganz leisten.
Ich respektiere Gesetze, auch wenn sie mir persönlich nicht gefallen, selbst wenn ich sie für dumm und ungerecht halte wie unsere Steuergesetze. Eine Gesellschaft kann nicht funktionieren ohne solche Spielregeln, schon, weil es in jeder Gruppe von n.Menschen mindestens n+1 Vorstellungen davon gibt, was gerecht ist. Die grundsätzliche Loyalität gegenüber den Spielregeln entbindet uns aber nicht von der Verantwortung, zu entscheiden, was im Einzelfall, gemessen an fundamentalen Werten, richtig ist. Umso mehr erschreckt mich, wie kritiklos „der Staat“ pauschal als das Gute angesehen wird und wie widerstandslos Bastionen der Freiheit aufgegeben werden, noch dazu unter dem Vorwand, eben diese Freiheit schützen zu wollen. So wie das eben passiert, und immer noch regt das kaum jemanden auf.
Würde jemand den Briefkasten an der Haustür aufbrechen, den Inhalt inspizieren oder an sich nehmen, verlangte er mit vorgehaltener Pistole den Schlüssel, weil er zu dusselig ist, das Schloss zu knacken, verriete er weiter, was er gelesen hat, jeder würde ihn Einbrecher, Dieb, Räuber, Vandale, Erpresser nennen. Jeder würde sagen, er wäre ein Verbrecher. Warum gilt das alles nicht mehr, wenn es bloß der digitale Briefkasten ist, an dem sich der Datendieb vergreift? Ganz einfach: weil man uns dauernd erzählt, es gäbe Dinge, die wichtiger sind als Privatsphäre.
Das Recht, vor dem alle anderen verblassen
„Das Volk kann … immer dazu gebracht werden, den Befehlen der Führer zu folgen. Das ist ganz einfach. Man braucht nichts zu tun, als dem Volk zu sagen, es würde angegriffen, und den Pazifisten ihren Mangel an Patriotismus vorzuwerfen und zu behaupten, sie brächten das Land in Gefahr. Diese Methode funktioniert in jedem Land.“ (Hermann Göring während der Nürnberger Prozesse).
Zu den Grundprinzipien des Schutzes der Privatsphäre gehört, selbst entscheiden zu dürfen, was ich wem warum über mich mitteilen möchte. Dieses Recht ist so elementar, dass es das deutsche Verfassungsgericht als Teil des Rechts auf freie Entfaltung der Persönlichkeit zu einem Grundrecht jedes Bürgers erklärt hat. Um es einfach zu sagen: Ich muss nicht begründen, warum ich nicht will, dass jemand etwas Bestimmtes über mich weiß. Es ist umgekehrt so, dass jemand seine Neugier begründen muss, indem er ein noch höheres Rechtsgut benennt als das Persönlichkeitsrecht.
Sascha Lobo versucht im Spiegel in seinem Artikel „Das Recht, vor dem alle anderen verblassen“ eine Antwort zu geben auf die Frage, was so wichtig sein könnte, dass die Bürger eines Landes bereit sind, ihre Persönlichkeitsrechte unterzuordnen: Das vermeintliche Recht auf Schutz vor Terror und Kriminalität. Falls dies das Ziel ist, wie gut ist es gelungen, mit all den Mitteln der Observierung der Netzwelt dieses Ziel zu erreichen?
Die NSA verweist sofort darauf, in den vergangenen Jahren rund 50 Terroranschläge verhindert zu haben. Das mag sogar stimmen. Nachprüfen kann man es jedoch nicht. Kritiker kontern mit dem Verweis auf den Bombenanschlag beim Boston-Marathon im April 2013. Sie argumentieren, dass diese fraglos scheußliche Tat nicht hatte verhindert werden können, obwohl es absurd offensichtliche Verdachtsargumente gegen die mutmaßlichen Täter gab, die jedem halbwegs aufmerksamen Ermittler hätten auffallen können, ja müssen.
In Deutschland kann man auf der Habenseite die Enttarnung der so genannten Sauerlandgruppe führen, die gefasst wurde, ehe sie Anschläge durchführen konnten. Nicht funktioniert hat die Prävention bei den Kofferbomben in diversen Bahnhöfen. Da waren die Terroristen zum Glück nur nicht in der Lage, funktionierende Bomben zu bauen. Sonst würden wir auch in diesem Fall viele Opfer beklagen, welche die staatliche Aufklärung nicht hätte verhindern können. Und dann ist ja auch noch das katastrophale Scheitern der Nachrichtendienste im Fall der neonationalsozialistischen Mordserie der NSU zu nennen.
Wenn die Spione versagen, heißt es meist, da waren Einzeltäter am Werk. Denen sei immer schlecht beizukommen. Flugs warnte der deutsche Innenminister dann vor eben solchen terroristischen Einzeltätern, legt die Stirn in Sorgenfalten und schlussfolgert, dass es wohl bisher immer noch zu wenig Überwachung gab. Nötig seien noch mehr Überwachungskameras im öffentlichen Raum und noch mehr Geld für den eigenen Nachrichtendienst, zum Beispiel. Und hat nicht eben erst die Ermittlung des Autobahnsnipers durch massenhafte Auswertung von Handy-Daten diesem Ansatz Recht gegeben? Oder die schnelle Festnahme der Terroristen von Boston mittels Aufzeichnungen von Überwachungskameras?
Die Antwort ist einfach und klar: nein.
Macht mal die Hausaufgaben
An dieser Stelle verspüre ich den Drang, die hohen Damen und Herren, die unser Land – oder irgendein anderes – regieren, an fundamentale Regeln des Risikomanagements zu erinnern – und den einen oder anderen vielleicht erstmalig mit ihnen bekannt machen.
Für den Risk Manager, die Person also, die tagtäglich im IT-Betrieb die Balance herzustellen versucht zwischen den Notwendigkeiten der Nutzung von Informationstechnik und ihren Risiken, liefern weder die Erfolge noch die Fehlschläge der Fahndung nach Verbrechern völlig neue Erkenntnisse. Er hat sowieso fortwährend damit zu kämpfen, negative und positive Risiken gegeneinander abzuwägen. Die ewig gleiche Frage lautet: überwiegt der erhoffte Nutzen einer Aktion oder eines Plans, oder überwiegt die Gefahr? Der Risk Manager muss ständig entscheiden, was getan werden soll, weil es das, alles in allem, wert ist, was getan werden müsste, aber liegenbleibt, weil dafür nun einmal kein Geld da ist, und was nicht getan wird, weil es sich nicht lohnt. Und bei diesem Abwägen irrt der Mensch manchmal auch. Oder er hat nur die Wahl zwischen verschiedenen schlimmen Alternativen und muss entscheiden, welchen Tod er stirbt. Das sind so einfache Wahrheiten und so grausame.
Jeder Risk Manager, der verkünden würde, er könne dafür sorgen, dass niemals nicht noch irgendwas Übles passiert, würde ausgelacht werden und ob seiner Naivität in Schimpf und Schande vom Hof gejagt. Die große Verantwortung des Risk Managers besteht nicht in der vollständigen Eliminierung von Risiken, sondern im verantwortungsvollen Umgang mit dem, was als „Restrisiko“ bezeichnet wird. Es ist das Wissen, dass manches Risiko einfach da ist und akzeptiert werden muss, weil jede Gegenmaßnahme, sofern es sie überhaupt gibt, nur noch größeren Schaden verursacht.
Insofern sei hier das sehr subjektive Ergebnis der Risikobewertung verkündet, welche der Autor dieser Zeilen in seiner Eigenschaft als Risk Manager seines eigenen Dasein vertritt. Mir ist bewusst, dass das Leben in einer freiheitlichen Gesellschaft mit konkreten Gefahren für Leib und Leben verbunden ist. Mir ist es das wert.
Und wollte mir jemand einreden, das Recht auf Schutz vor Terror und Kriminalität ließe sich verwirklichen, wenn wir nur auf unsere Persönlichkeitsrechte verzichten, ist die betreffende Person im günstigsten Fall unfähig. Aber eigentlich zweifele ich an den edlen Motiven solcher Argumentation.
Die Guten und die Bösen
„Eine terroristische Vereinigung oder terroristische Organisation ist eine auf eine längere Dauer angelegte Organisation mehrerer Personen, deren Ziel es ist, durch Handlungen, die unter rechtsstaatlichen Voraussetzungen als Straftaten bewertet werden, vor allem politische Ziele zu erreichen.“ (Wikipedia)
Eigentlich ist ja nichts von dem, was wir aktuell diskutieren, neu, jedenfalls nicht für die, welche in der Informationsverarbeitung tätig sind und sich einen Rest von staatsbürgerlichem Verantwortungsbewusstsein bewahrt haben. Irgendwann in den 80er wurde ich als damals noch recht unerfahrener Informatiker zum ersten Mal mit Begriffen wie „Echelon“ und „Cyberwar“ konfrontiert. Jeder, der es wissen wollte, wusste schon damals, dass die Geheimdienste primär der angelsächsischen Staaten systematisch die Möglichkeiten der modernen Informationstechnik nutzen, um Spionage zu betreiben. Es ist sicher kein Zufall, dass die U.S.A. genau die Staaten als am wenigsten verdächtig einstufen, die schon vor 30 Jahren mit Echelon in Verbindung gebracht wurden. Dass uns die weniger befreundeten Nationen ausspähen, hat ohnehin jeder angenommen, auch wenn das eher auf einem Generalverdacht fußte. Außerdem nahm man, gleichsam strafmildernd, an, dass die Schurkenstaaten bestenfalls über mindere technische Möglichkeiten verfügten. Und weil die Welt ja noch sehr übersichtlich aufgeteilt in Gut und Böse war, war es auch nicht schlimm, den vermeintlich oder tatsächlich Bösen hinterher zu spionieren. Dabei irritierte jedoch stets, dass Echelon & Co. eigentlich eher der Industriespionage dienten, als der Abwehr von Bedrohungen der äußeren Sicherheit. Und wir als „Freunde“ schon damals intensiver betrachtet wurden als die Kommunisten. Wobei mir Charles de Gaulles einfällt, der einmal sagte: „Staaten haben keine Freunde, Staaten haben Interessen.“
Alles alte Hüte also, was uns gerade widerfährt? Irgendwie schon, aber ein paar Dinge sind doch auch neu.
Einerseits wussten aufgeklärte Geister natürlich immer schon, welche Möglichkeiten des Verrats vertraulicher Daten die vernetzte Welt bietet, dass zum Beispiel Emails oder Telefonate mitgelesen bzw. abgehört werden konnten. Jedoch war das bisher eine allenfalls abstrakte Bedrohung. Ja, es ist möglich, aber wer in aller Welt sollte meine Emails, die Botschaften eines völlig harmlosen und unbescholtenen Bürger mitlesen wollen? Wer macht sich diese Arbeit und warum? Wir kennen nun die Antwort auf diese Fragen. Es sind Bürokraten rund um den Globus, für die es keine harmlosen Bürger gibt, sondern nur potenzielle Terroristen. Und diese Bürokraten haben sogar Zeit und Interesse, sich auch die gute alte gelbe Post anzusehen.
Andererseits nahmen wir gewöhnlich an, dass die Spionage vor allem die Kommunikation beträfe. Nun wissen wir, dass die Neugier viel weiter geht. Die Datenbanken großer IT-Unternehmen werden direkt angezapft. Um es mal so zu sagen: Daten auf meinem eigenen PC sind den interessierten Stellen vielleicht bekannt. Daten, die ich durch die Welt schicke, sind es wahrscheinlich. Daten, die ich in der Cloud parke, sind es gewiss, jedenfalls, wenn ich annehmen muss, dass sich die verantwortlichen Unternehmen der Kooperation mit den interessierten Stellen nicht entziehen können.
Wobei mir ganz nebenbei die Frage in den Sinn kommt, wem eigentlich die Netze in diesem Land gehören?
Ist das schlimm?
Ich möchte noch einmal auf die Frage zurückkommen, ob ich denn etwas zu verbergen habe, und zwar in dem Sinn, dass die Staatsgewalt es besser nicht wissen sollte. Nun, wenn ich ehrlich bin: Ich habe keine Ahnung.
Einerseits halte ich mich für einen ehrsamen Bürger, der sich immer an Recht und Gesetz hält. Ich zahle brav meine Steuern, lasse den Handwerker in meinem Haus nur auf Rechnung arbeiten und habe vermutlich als Einziger im ganzen Viertel eine offizielle Baugenehmigung für meinen Wintergarten. Ich gehe immer zur Wahl und hatte noch nie Ärger mit der Polizei. Okay, da war mal die Sache mit der Geschwindigkeitsübertretung. Ja, gut, das ist schon ein paar Mal vorgekommen. Aber sagen Sie es nicht weiter.
Andererseits …
Ich habe in letzter Zeit viel im Internet recherchiert. Nach Trekking-Touren im Iran etwa. Es gibt da wunderbare Landschaften und Kulturdenkmäler, die viele tausend Jahre alt sind. Und in Kuba gibt es tolle Nationalparks, heißt es. Ich habe neulich mit dem chinesischen Konsulat telefoniert und habe sogar schon mal Urlaub in der verflossenen U.d.S.S.R gemacht. Ich war im Nahen Osten, dienstlich wie privat. Ich habe versucht, herauszubekommen, warum „Shades of Grey“ ein Bestseller ist. Abgesehen davon führte mich ein Vertippen bei einer URL jüngst auf eine ziemlich heftige Porno‑Seite. Ich habe online eine Hitler-Biographie bestellt. Die ist aber für den Geschichtsunterricht meines Sohnes gewesen. Ich schwöre! Ich habe dem Wahl-O-Mat anvertraut, dass ich für die Homo-Ehe bin, aber ich bin trotzdem katholisch, und das wird auch so bleiben. Ich habe ein paar schwarze Schafe in der Familie und objektiv seltsame Bekannte, Nerds wie ich halt. Ach ja, und ich schreibe gerade diese Zeilen.
Ist das verdächtigt? Ist weiß es nicht. Ich weiß nicht, was der Analyst eines beliebigen Nachrichtendienstes denkt, wenn er das sieht. Ich weiß nicht, ob ihn das veranlassen könnte, länger bei meiner Akte hängen zu bleiben. Ich weiß nicht, was der Zoll-Beamte denken mag, der mich bei meiner nächsten Einreise in ein nach allgemeiner Ansicht befreundetes Land so freundlich anlächelt. Und ob er mir dann immer noch wie bislang „Schöne Ferien“ wünscht, ob er mich kommentarlos zurück nach Hause schickt oder, bei dieser Vorgeschichte, mich gleich einer hochnotpeinlichen Befragung empfiehlt, bei der man so schicke orangefarbene Overalls trägt. Und das macht mir Angst. Viel mehr als das mich irgend so ein Verrückter demnächst in die Luft jagen könnte.
Der nächste Schritt eines langen Weges
Was hat das alles mit mir als Informatiker zu tun?
Es mag Aufgabe der Politik sein, die Grenzen dessen zu definieren, was die Mehrheit der Gesellschaft zulassen mag und was nicht, und es ist sicher Aufgabe der Politik, dafür zu sorgen, dass die so aufgestellten Spielregeln eingehalten werden, dass sich also Legislative wie Exekutive derer annehmen, die glauben, dass die Spielregeln für sie nicht gelten.
Doch die aktuelle Diskussion zeigt, dass für das Handeln bestimmter Teile der Gesellschaft weniger das wichtig ist, was nach Recht und Gesetz erlaubt ist, sondern das, was technisch möglich ist. Und das ist der Moment, wo wir Techniker die Möglichkeit ebenso wie die Verantwortung haben, Grenzen zu setzen. Der Techniker kann der willfährige Handlanger derjenigen sein, denen die Privatsphäre der Bürger nichts gilt. Oder er stellt sich dem in den Weg. Und deswegen sind alle Bemühungen um mehr Datensicherheit und um mehr Datenschutz so wichtig, so verzweifelt manchmal der Kampf auch zu sein scheint.
Was immer noch zu klären wäre: Warum bin ich Datenschützer?
Ich wohne in einer kleinbürgerlichen, deutschen Reihenhaussiedlung. Die schmalen Gartengrundstücke sind gesäumt von hohen Koniferen und dichten Kirschlorbeerhecken. Man möchte sich ja nicht beim Grillen vom Nachbarn auf den Teller sehen lassen. Gardinen hängen in den Fenstern und die Badezimmerfenster bestehen aus Milchglas. Abends lässt man die Rollladen herunter und am Gartenzaun warnt ein Schild vor dem Hund.
Niemand hat an der Haustür einen Zettel hängen, auf dem ich lesen kann, was er verdient, wie viel Steuern er zahlen müsste und wie viel er tatsächlich zahlt, wie die letzte Beurteilung des Vorgesetzten ausfiel, was das Ergebnis der letzten ärztlichen Untersuchung war. Spannend wäre vielleicht noch der Name der Freundin (mit eindeutigem Bild) und was der Anwalt der Frau davon hält. Oder die letzten Mahnungen der örtlichen Sparkasse. Der abschlägige Bericht von der Lebensversicherung. Das Zeugnis des unhöflichen Sprößlings, der noch nie gegrüßt hat, oder dessen Beurteilung durch die Sonderpädagogin wegen der Vorfälle auf der Party neulich, und der anschließenden polizeilichen Aktion.
So einen Zettel finde ich nirgendwo. Ist auch nicht nötig. Findet sich ja alles im Netz.
Und deswegen bin ich Datenschützer.
Applaus….