M | Warum haben Sie der „digitalen Politik“ ein Buch gewidmet?

Aleksandra Sowa | Ich möchte erreichen, dass sich mehr Menschen mit technischem Verständnis an politischen Entscheidungsprozessen beteiligen. Wir haben in der Politik und den Unternehmen viele Technokraten, die verstehen, wie man Entscheidungen trifft, wohin die Entwicklung gehen soll und wie man den technologisch-kapitalistischen Prozess beschleunigen kann. Ihnen mangelt es aber an technischem Verständnis.

Wohin bewegen wir uns?

Ähnlich wie Stanislaw Lem habe ich beobachtet, dass wir uns mit der Kybernetik immer stärker von den Maschinen entfernen. Wir wissen immer weniger, wie Technik funktioniert. Aufgrund wirtschaftlicher Vormacht der Tech-Unternehmen können wir nicht einfach an das Wissen herankommen: Algorithmen werden mit Verweis auf das Urheberrecht verborgen. Beim Handy können wir nicht einmal mehr den Akku wechseln. Wir wissen auch nicht, wie die Apps genau funktionieren, welche Daten sie sammeln und wohin sie sie übertragen. Auch, wenn es abschreckt, die Hände in einen Motor voller Elektronik zu stecken – wir sollten uns einen Teil der Macht an unseren täglichen Werkzeugen zurückholen.

Was ist in dieser Black-Box-Situation zu tun?

Jewgeni Morosow hat erst vor kurzem daran erinnert, dass Deutschland in der vorteilhaften Situation ist, einige Jahre zum Nachdenken zu haben, da der technische Fortschritt noch nicht so weit ist wie in den USA. Das erlaubt es uns, einige Dinge besser – oder wenigstens anders – zu machen. Beispielsweise haben wir jetzt mit der anstehenden Umsetzung der europäischen Datenschutz-Grundverordnung dazu die Gelegenheit. Und warum gibt es nicht eine Art Suchmaschine, mit der ich prüfen kann, wer welche Daten über mich speichert, wo ich widersprechen und löschen kann? Die Technologie ist genügend ausgereift, um so etwas umsetzen zu können.

Sie setzen eher auf die Technik, denn auf dieDatenschutzaufsichtsbehörden?

Heute können wir zwar unsere Auskunftsrechte in Anspruch nehmen, denen die Unternehmen dann mehr oder weniger gewissenhaft nachgehen. Aber die Datenschutzbeauftragten haben leider keine hinreichenden Ressourcen, alle Organisationen zu prüfen und zu kontrollieren. Wenn jedoch mehrere Bürger ihre Beobachtungen und Verdachtsfälle über den Missbrauch ihrer Daten an den zuständigen Datenschutzbeauftragten melden, könnte dies zu einer Prüfung führen. Denkbar wäre auch eine Art Hard-Reset für personenbezogene Daten: Die Regierungen könnten Unternehmen gesetzlich zur Löschung der Daten verpflichten, die sie ohne Einwilligung gesammelt haben. Allerdings haben die Staaten selbst daran Interesse, dass Unternehmen Daten sammeln, auf die sie dann etwa für Zwecke der Strafverfolgung zugreifen können, wie etwa nach dem Terroranschlag in San-Bernadino auf das iPhone des Attentäters.

Auf dem G20-Gipfel mussten einige Journalisten feststellen, dass ihre Daten beim Bundeskriminalamt fehlerhaft, wenn nicht gar zu Unrecht gespeichert wurden. Wie kann man solche Daten wieder aus den Systemen kriegen?

Es gibt legale – und weniger legale Mittel. Aktivisten könnten beispielsweise Denial-of-Service-Attacken auf die BKA-Datenbanken fahren, damit sie zusammenbrechen. Es ist zwar illegal – doch technisch möglich.

Im Ernst?

Nein, Spaß beiseite: Für Sicherheitsbehörden gelten andere Datenschutzregeln als die europäische Datenschutz-Grundverordnung. Es ist daher schwer, Informationen über die gesammelten Daten von Behörden wie dem Bundesverfassungsschutz oder der NSA zu erhalten. Aber man kann sich gegen Überwachung mit technischen Mitteln wehren.

Wie kann beispielsweise die Telefonie sicherer gemacht werden, wenn man nicht unbedingt ein Kryptophone anschaffen will?

Der Kryptologe und Sicherheitsforscher Bruce Schneier ist zu der Schlussfolgerung gekommen, dass die elektronische Kommunikation sich nicht absichern lässt. Alles, was digitalisiert ist, ist sehr schwer sicher zu machen. Besonders starke Maßnahmen wie das Kryptophone fallen sofort auf, da es sich nur wenige leisten können, und die es könnten, nutzen es kaum. Die Gesprächsqualität ist schlecht und die verwendeten Geräte müssen kompatibel sein. Damit kann ich sie für das Whistleblowing ausschließen.

Welchen Kommunikationskanal kann ich als Journalistin einem Whistleblower anbieten?

Ich sage es ungern, aber es ist vermutlich am sichersten, Wegwerfgeräte zu benutzen. Das ist eine Geheimschutz-Strategie, die auch Unternehmen ihren Führungskräften für bestimmte Auslandsreisen empfehlen. Man kann sich eine SIM-Karte per Online-Shop und ein einfaches Handy auf dem Flohmarkt besorgen. Beim Whistleblowing geht es ja weniger um vertrauliche Kommunikation, als vielmehr um Anonymität. Wir haben es zwar geschafft, vertrauliche und rechtssichere Kommunikation herstellen zu können, aber genau die Rechtssicherheit dank Authentifizierung wollen wir ja im Fall des Whistleblowings nicht. Natürlich könnte man sich noch eines der wenigen Münztelefone suchen – oder schlicht auf den Postweg ausweichen.

Was ist von den Messengers Signal und Threema zu halten?

Ich kann im Moment für Signal wie Threema feststellen, dass beide gut und empfehlenswert sind, wenn wir von einem mittleren Schutzniveau ausgehen – und keine rechtssichere Kommunikation benötigen. Auch die Open-Source-Varianten von PGP wie GPG oder GnuPG sind okay. Grundsätzlich würde ich keine Produkte empfehlen, die nicht von der kritischen Masse genutzt werden. Wenn sie aber von vielen verwendet werden, weckt das auch das Interesse der Sicherheitsbehörden und „interessierter“ Dritter.

Wie kann ich mich am besten darüber informieren, was aktuell sicher ist?

Es lohnt sich immer, in der frei verfügbaren Technischen Richtlinie des Bundesamts für Sicherheit in der Informationstechnik nachzusehen, die alle zwei bis drei Jahre aktualisiert wird. Unternehmen verwenden sie für ihre Einkaufsrichtlinien. Hilfreich sind auch die „Blue Krypt“-Handreichungen der amerikanischen Standardisierungsbehörde NIST zu empfohlenen Schlüssellängen und zu verwendenden Algorithmen.

Wissen wir denn nicht spätestens seit Snowden, dass die IT-Infrastrukturen vollständig korrumpiert sind?

In der Sicherheit ist die Paranoia von heute die Rea­lität von Morgen. Auch wenn wir keine globale Verschwörungstheorie haben, so hat man doch im Silicon Valley einen riesigen Überwachungsapparat geschaffen. Es ist dabei nicht mal das Schlimmste, dass unsere Daten erfasst werden. Unsere Privatsphäre wird seit Jahren ausgehöhlt, indem unsere Telefone, Computer, Autos, Fernsehgeräte – ja gar die Kühlschränke – zum Zugriffstor auf unsere persönlichen Daten wurden. Wir wollen aber wissen, was damit gemacht wird. Denn wer kumuliert, der manipuliert. Das kommerzielle Internet ermöglicht eine lückenlose Überwachung und Manipulation. Das kann je nach politischer Führung tatsächlich zur Gefahr für die Demokratie werden. Diese Gesamtentwicklung zu hinterfragen ist wichtig.

Worin sehen Sie im Moment die größte Herausforderung für Journalisten?

Der russische Sicherheitsexperte Jewgeni Kaspersky hält die richtige Täter-Zuschreibung oder Attribution im Info- und Cyberwar für eine der größten Herausforderungen der Zukunft. Die Angreifer – ob Geheimdienste, Hacktivisten oder kommerzielle Hacker – haben viele Möglichkeiten, die Spuren zu verwischen oder falsche Spuren zu legen. Für die Journalisten bedeutet die zunehmend schwierige Attribution, dass sie umso sorgfältiger arbeiten sollten. Recherche wird damit viel aufwändiger.

Was halten Sie von dem Ansatz, Propaganda mit maschinellen Methoden zu enttarnen?

Facebook dachte ja zunächst, man könne die falschen von den wahren Inhalten einfach mit Algorithmen unterscheiden. Dann sollten auf einmal doch die Zeitungsverlage mit ihrer traditionellen Recherchepower helfen. Das Projekt DORIAN beim Fraunhofer-Institut für Sichere Informationstechnologie (SIT) versucht jetzt Kriterien zu definieren, anhand derer man Nachrichten von Robots und Menschen voneinander unterscheiden kann – etwa anhand von kürzeren Sätzen, schlechtem Schreibstil oder einer primitiven Ausdrucksweise und falschen Interpunktion. All das sind aber keine Unique Selling Points der Falschnachrichten oder der Propaganda, denn die Unterschiede zu Boulevardnachrichten sind nicht so groß wie erwartet.

Können Algorithmen nicht laufend nachlernen?

Algorithmen sollten von den Nachrichten lernen können, die bereits im Umlauf sind. Doch auch diese sind bereits kontaminiert: Wir haben eine Menge an falscher Information im Umlauf. Das schränkt den Einsatz lernender Algorithmen wesentlich ein.

Also Faktenchecker besser organisieren?

Den Vorschlag eines Wahrheitsministeriums, als einer zentralen Stelle, die prüft und checkt und die richtige Interpretation veröffentlicht, sehe ich kritisch. Auch hier gilt die Maxime des russischen Geheimdienstes: Was gestern galt, ist heute gelogen und morgen vergessen. Andererseits waren Informationen nie so leicht zu erhalten wie heute: Sie sind nur ein Klick entfernt, man muss nur wissen wo. Wir müssen in einer Flut von Informationen die richtige von der falschen unterscheiden können, gesunde Skepsis trainieren und uns technischer Mittel bedienen, die uns mit zunehmender Vernetzung und Digitalisierung nun zur Verfügung stehen.

Zur Person: Dr. Aleksandra Sowa ist zertifizierte Datenschutzbeauftragte, Datenschutzauditor und IT-Compliance-Manager (ITCM). Sie gründete und leitete zusammen mit dem deutschen Kryptologen Hans Dobbertin das Horst Görtz Institut für Sicherheit in der Informationstechnik, ist Autorin diverser Bücher und Fachpublikationen, Dozentin, Essayistin für das Debattenmagazin „The European“ („Kryptomania“) und Kolumnistin der Zeitschrift „Neue Gesellschaft – Frankfurter Hefte“

Leseempfehlungen

Kürzlich erschien im Dietz-Verlag: „Digital Politics.

So verändert das Netz die Demokratie“.

Der Springer Verlag publizierte u.a.:

„Management der Informa­tionssicherheit – Kontrolle und Optimierung“ und

„IT-Prüfung, Sicherheitsaudit und Datenschutzmodel. Neue Ansätze für die Arbeit der IT-Revision“.