IT-Sicherheit – politik-digital

Sicherheit, Selbstbestimmung, Fairness und Teilhabe – Verbraucherpolitik im digitalen Wandel

Jonas Hartmann — Thu, 05 Sep 2019 13:17:59 +0000

Die Friedrich-Ebert-Stiftung (FES) hat am 2. September in Berlin ihre Handlungsempfehlungen für die Verbraucherpolitik im digitalen Zeitalter vorgestellt. Das Positionspapier, welches von einer breit aufgestellten Projektgruppe ausgearbeitet wurde, bezieht sich auf die drei Handlungsfelder: Sicherheit von digitalen Produkten, Selbstbestimmung in der digitalen Sphäre, sowie Fairness und Teilhabe bei künstlicher Intelligenz und automatisierten Entscheidungen.

Neue Anforderungen an die Verbraucherpolitik

Als die wesentlichen Trends der aktuellen Zeit, welche sich in veränderten Anforderungen an die Verbraucherpolitik widerspiegeln, nennt FES-Referent Dr. Robert Philipps eine Veränderung der Konsumwelt durch neue digitale und vernetzte Produkte und die Sammlung, Auswertung und Nutzung von Verbraucherdaten. Auch die dadurch entstehenden personalisierten Angebote und eine Automatisierung von Verfahren durch KI-basierte Algorithmen, die beispielsweise Entscheidungen bei Auswahlverfahren vorbereiten oder selbstständig treffen können, stellen neue Herausforderungen dar. Die positiven Aspekte dieser Entwicklungen sieht er in einer Erweiterung von Konsummöglichkeiten, in Prosuming-Konzepten, also der Möglichkeit für Verbraucher selbst als Mitarbeiter bzw. Anbieter tätig zu werden, sowie in einer erhöhten Markttransparenz beispielsweise durch Vergleichsportale.

Probleme ergeben sich laut dem Positionspapier in allen drei betrachteten Bereichen, vor allem durch die Erhebung personenbezogener Daten und deren Missbrauch. Im Bereich der Sicherheit fordert die Projektgruppe daher ein IT-Sicherheitsrecht, das definierte Mindeststandards, eine Updatepflicht für Hersteller und Zulassungsverfahren bei bestimmten Produkten vorsieht. Zur Durchsetzung des Rechts auf Privatsphäre und informationelle Selbstbestimmung, die im digitalen Bereich heute nicht gegeben sind, empfiehlt die FES in erster Linie eine Stärkung der Rechtsdurchsetzung.

Möglich sei jedoch auch eine Förderung von datensparsamen Produkten oder die Entwicklung neuer digitaler Lösungsoptionen, die Datenströme kontrollieren und steuern könnten. Zum Thema Fairness und Teilhabe hat sich die Projektgruppe insbesondere mit Algorithmen auseinandergesetzt, also den automatisierten Verfahren zum Treffen von Entscheidungen. Probleme bestehen hier bei intransparenten Verfahren und Fällen von Diskriminierung. Gefordert wird daher eine gesetzliche Verpflichtung zur Nachvollziehbarkeit, eine gesetzliche Verschärfung der Haftung von Anbietern und eine gleichzeitige Stärkung der Aufsichtsbehörden.

Im Anschluss an die Vorstellung des Papiers kamen die Podiumsgäste unter der Moderation von Prof. Dr. Christian Thorun, Geschäftsführer des ConPolicy Instituts für Verbraucherpolitik, zusammen, um die vorgestellten Punkte zu diskutieren. Als Diskussionsgäste waren Sabine Frank, Leiterin für Regulierung, Verbraucher- und Jugendschutz bei der Google Germany GmbH, Sarah Ryglewski, Mitglied des Deutschen Bundestags und neue Parlamentarische Staatssekretärin im Bundesfinanzministerium, Klaus Müller, Vorstand der Verbraucherzentrale und Mitglied der Datenethikkommission der Bundesregierung, Peter Bihr, Managing Director der The Waving Cat GmbH und Dr. Claus Dieter Ulmer, Konzernbeauftragter für den Datenschutz der Deutschen Telekom Gruppe geladen.

Frage der Haftbarkeit

Eine der wichtigsten Herausforderungen der digitalen Veränderungen für die Verbraucherpolitik sehen Peter Bihr und Klaus Müller in der Schwierigkeit, bei komplexen und oft vernetzten Systemen die Fehlerursache ausfindig zu machen. Daher sei eine Anpassung des Produkthaftungsgesetz an die Entwicklungen im digitalen Bereich nötig. Müller ist überzeugt, der Hersteller müsse für Updates und Wartung der Produkte verantwortlich sein, da nur dieser das nötige Know-How zur Verfügung hätte. Sabine Frank lehnt eine solche Regelung ab, da Software immer fehlerhaft sei. Wie auch Dr. Claus Dieter Ulmer sieht sie eine Verantwortung beim Verbraucher, der ein Bewusstsein für Datensicherheit entwickeln müsse. Sarah Ryglewski erachtet Vorschriften und gesetzliche Regelungen an den Stellen für sinnvoll, wo es extreme Sicherheitsprobleme gibt, wie beispielsweise bei der Verschlüsselung von Emails. Von Prof. Dr.-Ing. Adam Wolisz kam aus dem Publikum der Einwand, dass jegliche Form der Rechtsschaffung im digitalen Bereich heute nur „Archäologieforschung“ sei. Aufgrund der immer schneller voranschreitenden Entwicklung dauere die Gesetzgebung zu lang, um zeitgemäße Gesetze zu verabschieden. Sarah Ryglewski sieht die Lösung für dieses Problem in einer besseren generelleren Formulierung von Gesetzen mit Antizipation zukünftiger Entwicklungen. Klaus Müller erkennt eine Möglichkeit in einer Pflichtversicherung für den digitalen Bereich, um Schäden zu einem gewissen Grad auszugleichen, wenn die Frage der Haftbarkeit nicht geklärt werden kann.

Beim zweiten Themenfeld, der Selbstbestimmung, nennt Sarah Ryglewski eine wichtige Herausforderung mit der „Verständlichmachung“, beispielsweise bei der Datenerhebung. Auch Dr. Claus Dieter Ulmer und Sabine Frank wünschen sich in Bezug auf die Datenschutzgrundverordnung eine Konkretisierung und Abstimmung der Behörden. Klaus Müller kann sich hier auch technologische Entwicklungen von privaten oder öffentlichen Akteuren vorstellen, sogenannte „digitale Notare“, die aufgrund von vom Nutzer getroffenen Voreinstellungen die Datenweitergabe bei bestimmten Anbietern blockieren oder gewährleisten, ohne dass sich der Nutzer jedes Mal aufs Neue entscheiden muss.

Beim Themenfeld der Fairness und Teilhabe lag der Schwerpunkt auf dem Umgang mit Algorithmen. Während Klaus Müller für Algorithmen eine Input- und Output-Kontrolle durch eine staatliche Behörde fordert, mit umgekehrter Beweispflicht bei den Unternehmen in kritischen Fällen, sieht Sabine Frank keinen Bedarf für eine behördliche Kontrolle. Bestehende Angebote wie Algorithmenwatch können diese Aufgabe schon übernehmen. Dr. Claus Dieter Ulmer schließt sich diesem Standpunkt an und betont das beidseitige Interesse von Unternehmen und Verbrauchern, Algorithmen fair zu gestalten und sie dafür den notwendigen Tests zu unterwerfen. Peter Bihr stellt zum Abschluss noch eine wichtige gesellschaftliche Frage: „In welchen Bereichen wollen wir überhaupt und wie weit wollen wir Algorithmen Kontrolle über unser Leben geben?“

Titelbild by: politik-digital

Text: CC-BY-SA 3.0

CyberWar – Die Gefahr aus dem Netz

Philip Matthiessen — Thu, 13 Dec 2018 12:58:57 +0000

Immer mehr Nationalstaaten vernetzten ihre zivile Infrastruktur und die Digitalisierung aller Bereiche nimmt weiter zu. Damit steigen auch die digitalen Angriffsmöglichkeiten und viele Staaten basteln weiter an ihren Cyberoffensivkapazitäten. Aber wie genau sehen diese aus, wie funktionieren Cyber-Angriffe, was erwartet uns zukünftig und wie können wir unsere Systeme wirklich sicher machen? Auf diesen Fragen geben die Autoren Constanze Kurz und Frank Rieger in ihrem Buch „CyberWar – Die Gefahr aus dem Netz“ Antwort.

Kurz, Constanze; Rieger, Frank: CyberWar – Die Gefahr aus dem Netz. München: Bertelsmann 2018. 288 S. ISBN 978-3-570-10351-7.

Im ersten Kapitel simulieren die Autoren einen Cyber-Notstand in der Bundesrepublik. Die zuständigen Institutionen, z.B. das fiktive Gemeinsame Cyber-Lagezentrum Deutschlands, werden mit einem Denial-of-Service-Angriff, der später noch genauer erläutert wird, konfrontiert und versuchen die kritischen Infrastrukturen trotz völliger Netzüberlastung zu schützen. Dieser Einstieg bietet die Möglichkeit, sich einen solchen Cyber-Angriff und dessen Dimension vorzustellen. Darauf aufbauend geben die folgenden Kapitel Antworten auf verschiedene Sachfragen der Cyberwar-Thematik.

Wie funktionieren Cyber-Angriffe?

Cyber-Angriffe sind zumeist eine Kombination aus verschiedenen Angriffsmethoden. Häufige Angriffsmethoden sind z.B. das Ausnutzen von Programmierfehlern und Schwachstellen in einer Software, sogenannte Exploits. Weitere oft genutzte Schwachstellen sind auch die durch den Hersteller erstellten Fernwartungszugänge, um Tests oder Ähnliches zu ermöglichen. Teilweise werden solche Zugänge sogar absichtlich offengehalten, um z.B. Geheimdiensten den Zugriff zu erleichtern, so der Verdacht.

Die unsichere IT-Struktur und die freiwilligen und nicht-freiwilligen Kooperationen von Herstellern und Geheimdiensten führen zu einem Vertrauensverfall in der IT-Sicherheit. Die Anfälligkeit vor allem von Software-Systemen hat unterschiedliche Gründe. Zum einen ist die Software-Entwicklung extrem komplex, daher werden einfach Fehler beim Programmieren gemacht, und zum anderen wurden die wenigsten Softwareentwickler im sicheren Programmieren ausgebildet. Ziel der Software-Entwicklung ist anfangs vor allem, dass das System funktioniert und nicht, dass es besonders sicher ist. Die Autoren halten fest, dass eine Mischung aus Unwissenheit, Fahrlässigkeit. ökonomischen Zwängen und falscher Prioritätensetzung, häufig in Startups, zu Sicherheitsrisiken führen. Das Vertrauen in die Dienste geht verloren, da die Nutzer keine Möglichkeit haben zu erkennen, wo ein System solide, bedacht und unter Berücksichtigung des aktuellen Stands der Technik gebaut wurde. Diese „Fehler, Versäumnisse und Gedankenlosigkeit, die beim Programmieren Sicherheitslücken entstehen lassen, bilden die technische Grundlage für Cyberwaffen.“

Angriffswerkzeuge in Cyberkonflikten

Moderne Cyberwaffen werden APT (Advanced Persistent Threat) genannt und so konstruiert, dass sie sich im Zielsystem verstecken, um möglichst lange aktiv zu sein. Sie sind möglichst modular aufgebaut, um leicht übertragbar auf andere Anwendungen zu sein. Die Struktur entspricht dabei häufig sinnbildlichen Stufen. In der ersten Stufe versucht das Angriffswerkzeug die Kontrolle über einen Teil des anvisierten Systems, z.B. über einen Exploit, zu erlangen. In der zweiten Stufe muss der Angreifer eine sogenannte „Privilegien-Eskalation“ erzeugen, da heutige Betriebssysteme häufig über umfangreiche Abstufungen von Privilegien und Rechten verfügen, um am Ende die gewünschten Administratorrechte zu erlangen. In der dritten Stufe macht es sich die Cyberwaffe im System gemütlich und wartet auf den Einsatz.

Die Geheimdienste, z.B. die NSA, nutzen solche Waffen für verschiedenen Zwecke und infizieren weltweit Rechner. Daraus ergeben sich für die Geheimdienste verschiedene Möglichkeiten. Die NSA entwickelte z.B. eine von geheimdienstlichen Partnern mitgenutzte globale „Suchmaschine“, die nicht auf Websites, sondern in Nutzerdaten auf Festplatten nach Stichwörtern sucht.

Die Infiltrierung von Systemen kann auch über Hardware-Hintertüren erreicht werden. Dazu ist jedoch direkter Zugriff auf die Hardware notwendig, weswegen die NSA ganze Chipfabriken gekauft hat. Außerdem fing sie in einer groß angelegten Logistikoperation Produkte der Firma Cisco, einem großen US-amerikanischen Telekommunikationsunternehmen, auf dem Weg vom Hersteller zum Kunden ab und konnte so Manipulationen, die „Implant“ genannt werden, vornehmen.

Ein weiteres Angriffswerkzeug sind die Denial-of-Service-Angriffe, kurz DoS. DoS-Angriffe gehen meistens mit der Überlastung von Netzwerkverbindungen und Serverressourcen einher. Dafür werden sogenannte Botnets verwendet, die eine hohe Anzahl an leicht manipulierbaren, mit dem Internet verbundenen Geräten zu kontrollieren ersuchen. Diese stellen dann auf Befehl des Angreifers legitim aussehende Anfragen, die jedoch so konstruiert sind, dass sie möglichst viele Ressourcen verbrauchen, an die Server des Opfers. Schnell sind die Kapazitäten des Opfersystems erschöpft und die Website oder Dienstleistung nicht mehr erreichbar. Durch die steigende Anzahl an vernetzten Geräten und Haushalten wird das Schadenspotenzial bedeutend gesteigert und die Sorge vor DoS-Angriffen wächst.

Ziele von Angriffen können z.B. auch sensible Industriesteuerungen sein, wie beim berühmten Stuxnet-Angriff auf eine iranische Atomanreicherungsanlage 2010. Die den Amerikanern zugeschriebene Operation gilt als erfolgreichste Sabotageaktion gegen eine Produktionsanlage, ohne dass die Angreifer physisch anwesend waren. Durch den Trend zur Industrie 4.0 werden Angriffe wie Stuxnet vermutlich auch häufiger werden, so die Autoren.

Akteure und Attribution

Die eindeutige Zuordnung eines Angriffs zu einem oder mehreren Akteuren ist in der militärischen und nicht-militärischen Sicherheitspolitik zentral für die Koordinierung von Gegenmaßnahmen. Die sogenannte Attribution ist aber fast nie mit Sicherheit möglich, da Angreifer mit genügend Ressourcen viele Möglichkeiten zur Tarnung haben. Es bleibt mehr oder weniger Glückssache, ob ein Angreifer Fehler begeht und z.B. nicht getarnt oder unverschlüsselt agiert und Spuren hinterlässt. Die Geheimdienste rufen trotzdem nach immer mehr Überwachungskapazitäten, um die Attribution zu vereinfachen. Die Autoren sind sich aber einig: „Letztendlich ist „Cyberabwehr“ nur eine weitere Begründung für eine immer stärker ausufernde Überwachungsgier,“ denn wirklich zuverlässige Attribution ist auch mit mehr Überwachung kaum möglich.

Als wichtigste Akteure in der globalen Cyberwarfare werden unter anderem die „Five Eyes“, die Geheimdienste der USA, Kanada, Neuseeland, Australien und dem Vereinigten Königreich sowie Israel, Russland und China genannt.

Die US-amerikanischen Geheimdienste können dabei mit jährlich mehr als 50 Milliarden Dollar („Black Budget“) auf die größten finanziellen Ressourcen zurückgreifen. Zu ihren Aufgaben gehören die Benennung und Priorisierung von politischen und wirtschaftlichen Spionagezielen und die Forschung an digitalen Angriffswaffen.

Die israelischen Geheimdienste werden als „einer der aktivsten und kreativsten Akteure im globalen Cyberkrieg“ bezeichnet. Deren Strukturen zeichnen sich vor allem durch die enge Zusammenarbeit mit Tech-Firmen und die frühe Talentförderung von Cyberspezialisten in Schulen und dem Militärdienst aus.

Die „Besonderheit der russischen Geheimdienst-Hacker ist ihre enge Verflechtung mit den kriminellen Gruppen in ihrem Land.“ Das hat vor allem historische Gründe, da nach dem Ende der Sowjetunion viele naturwissenschaftlich-mathematisch hervorragend ausgebildete Menschen Berufswege in der Online-Kriminalität fanden. „Es entstand eine große, komplexe Szene mit hoher Arbeitsteilung, die immer wieder Innovationen bei krimineller Malware hervorbrachte.“ Die russischen Behörden machten sich diese Strukturen zu Nutze und gelten heute als „Meister der Täuschung und Irreführung.“

Die chinesischen Geheimdienste konzentrieren sich auf die Wirtschaftsspionage und auf die militärische und politische Informationsbeschaffung. Mit den Cyberfähigkeiten werden aber auch immer wieder Oppositionelle und Aktivisten im eigenen Land bekämpft. Aufgrund der hohen Anzahl an Personal haben die chinesischen Geheimdienste außerdem wahrscheinlich am meisten Cyberoperatoren überhaupt.

Die Autoren betonen im Weiteren die wachsende Relevanz der Überwachungs- und Hackingindustrie als Zulieferer und Dienstleister der Geheimdienste. Die wichtigsten Staaten, in denen sich solche Unternehmen auf einem wenig regulierten Markt etablieren konnten, sind die USA, Frankreich, Israel, die BRD und Großbritannien. Im „Surveillance Industry Index“ erfasst die NGO Privacy International regelmäßig das Wachstum der Branche. In Deutschland wurde vor allem die Firma FinFisher bekannt, sie lieferte eine Variante des Staatstrojaners zum Ausleiten der Daten von Smartphones und Computern.

Disclosure

Seitdem Software-Systeme entwickelt werden, werden Fehler bei der Entwicklung gemacht. Diese Fehler zu suchen ist das erklärte Ziel von IT-Sicherheitsforschern. Doch wie geht man damit um, wenn man eine Sicherheitslücke gefunden hat? Unmittelbar veröffentlichen oder doch den diskreten Austausch mit dem Hersteller suchen? Es besteht immerhin die Gefahr, dass ein Dritter das Wissen direkt ausnutzt und bedeutenden Schaden anrichtet. Bisher lautete die ungeschriebene Regel, die Sicherheitslücke erstmal geheimzuhalten, den Hersteller zu kontaktieren und es dann ggf. zu veröffentlichen. Einige Hersteller zahlen mittlerweile sogar eine Prämie für gefundene Sicherheitslücken, die sogenannte „Bug Bounty“. Diese Prämie stehen dem Geld, das Exploit-Dealer zahlen, die solche Sicherheitslücken an ihre Kunden wie Geheimdienste oder Kriminelle verkaufen, jedoch häufig nach. Als Beispiel dafür dient die Firma Apple, die vor einigen Jahren 200.000 Dollar denjenigen bot, die eine Lücke im Betriebssystem des damals aktuellen iPhones finden. Die auf den Handel mit Schwachstellen spezialisierte Firma Exodus Intelligence bot allerdings mehr als das Doppelte. Aktuell bietet der Exploit-Dealer 1,5 Millionen Dollar für das Eindringen in ein neues Apple-iPhone aus der Ferne.

Der Markt für Exploits wird mit dem Cloud-Computing und der Vernetzung aller möglichen elektronischen Objekte zukünftig auch noch weiter wachsen. Die Autoren empfehlen daher jedem Unternehmen, das Hard- und Softwaresysteme verwendet, die Initiierung eines zahlungskräftigen Bug-Bounty-Programms und eines Schadensbehebungsprozesses.

Die mitunter wichtigste Rolle in der globalen IT-Sicherheit kommt den Sicherheits- und Antivirus-Firmen zu, die oberflächlich betrachtet „Produkte [verkaufen], mit denen Schadsoftware erkannt und entfernt werden kann, mit denen sich Denial-of-Service Angriffe abwehren lassen und Botnetze lahmgelegt werden könne.“ Um ein System zu überwachen und zu schützen benötigt die Software aber Zugriff auf das gesamte System und die gespeicherten Daten. Dateien, die von der Software als verdächtig eingestuft werden, werden dann in die Cloud-Systeme des Anbieters übertragen. Dabei können mitunter auch andere Dateien übertragen werden, die hochsensible Informationen beinhalten. Aufgrund dieser interessanten Datenströme, die „permanent aus den Computern der Nutzer einer Sicherheitssoftware in die Cloud-Server des Herstellers fließen“, sind Sicherheits- und Antivirus-Firmen äußerst relevant für staatliche Geheimdienste. Alle staatlichen Akteure versuchen daher mindestens eine Partnerfirma zu haben. So z.B. Kaspersky in Russland, Symantec und FireEye in den USA, G Data und Avira in Deutschland und die NCC Group in Großbritannien.

Strategie und Taktik in Cyberkonflikten

Schon während des Kalten Krieges etablierten sich Konflikte, die unterhalb der Schwelle eines großen, offen erklärten Krieges lagen. Diese Art von Konflikten erkennen die Autoren auch heute wieder in denen, wo globale Großmächte ihre geopolitischen Interessen verfolgen und unterschiedliche bewaffnete Gruppen militärisch oder finanziell unterstützen oder bekämpfen. Genauso undurchsichtig ist auch die Struktur der Cyberkonflikte. Nur sehr selten ist eine klare Zuordnung möglich. Die Kurz und Krieger halten fest: „Die praktisch nahtlose Integration von Kommunikationsüberwachung, Satellitenbildern, klassischer Spionage, Desinformations- und psychologischen Operationen, Informationen, die aus Digitalgeräten von Gefangenen extrahiert werden, drohnen-gestützten Raketeneinsätzen und Spezialkräfte-Operationen sowie der ökonomischen Manipulation mit Bombenangriffen hat den klassischen Frontalkrieg mit dem massiven Einsatz von Bodentruppen faktisch bereits abgelöst.“ „Das grundlegende Problem dieser Art der Kriegsführung ist, dass das wichtigste Element jeder militärischen Strategie verloren geht: ein klares Ziel der Operation. In der Regel gibt es kein definiertes Ende, keinen Friedensschluss, keine Nachkriegsordnung, keine Kodifizierung der entstandenen Machtverschiebungen.“ Aus den zerrütteten Strukturen durch „nation-building“ wieder einen stabilen Staat zu formen, ist selten erfolgreich und hinterlässt in der Regel nur Chaos.

„Es gibt keine Cyberabschreckung“

Im Kalten Krieg lieferte die atomare Abschreckung klare Strategien und Überschaubarkeit. Im Cyberspace kann das aber nicht funktionieren, auch wenn unter anderem die US-Amerikaner sich das wünschen. Der 2010 durchgeführte Stuxnet-Angriff, der im Buch als neuzeitliches Äquivalent zum Atomwaffentest beschrieben wird, hätte dazu führen sollen, „dass niemand es wagen würde, US-Interessen mit digitalen Waffen zu attackieren.“ Stattdessen wurde Stuxnet so interpretiert, dass „es jetzt üblich, angemessen und akzeptiert sei, mit Cybermitteln verdeckte Angriffe gegen andere Staaten zu führen.“ Alle Staaten, die auf internationaler Bühne mitmischen möchten, entwickeln nun eigene Offensivkapazitäten. Die „Abschreckungstheorie ist ad absurdum geführt.“

Desinformation

Strategische Ziele liefern aber nicht nur Infrastruktur oder Datenbanken, Cyberwarfare kann auch benutzt werden, um gezielt Desinformation zu verbreiten und gesellschaftliche Debatten zu beeinflussen. „Die Manipulation dessen, was der Gegner für die Wahrheit hält, was er glaubt, was seine Sicht der Welt ist, also die Grundlage seiner Entscheidungen und Prioritäten, ist ein altes und gern genutztes Mittel in Auseinandersetzungen. In Cyberkonflikten finden Täuschungsmanöver und Desinformationskampagnen auf vielen Ebenen Anwendung.“ Dabei konzentriert sich der Gegner häufig auf die Manipulation von Meinungen und versucht gezielt Emotionen wie Angst, Ablehnung und Skepsis zu erzeugen. Moderne Beispiele für solche „alternativen Informationskanäle“ sind z.B. RT oder Sputnik. Diese bauen sich über Jahre Glaubwürdigkeit bei den Zuschauern auf, indem sie gezielt Themen in den Vordergrund rücken, über die z.B. in den deutschen Medien weniger oder gar nicht berichtet wird und inszenieren sich als ganzheitliche Journalisten. Gelegentlich eingestreute Desinformationsnachrichten können diese aufgebaute Glaubwürdigkeit, auch wenn sie offensichtlich falsch sind, nicht erschüttern. „Die kurzen Aufmerksamkeitsspannen der Zuschauer und die heute ohnehin hohe Geschwindigkeit des Nachrichtenflusses sorgen dafür, dass die Desinformationsnachricht ihre Wirkung entfalten kann.“

Ein wichtiger Kanal zur Einflussnahme sind die sozialen Netzwerke. Ihre Algorithmen sortieren Inhalte in den Feeds der Nutzer und werten diese auf. Die Einflussnahme läuft dann z.B. über Social Bots, die die relevanten Inhalte verbreiten und somit die Trend-Algorithmen der Netzwerke beeinflussen. Ein weiteres Mittel ist auch das Übertönen von Informationen z.B. durch das Aufblasen von anderen Ereignissen, englisch: drown out. Dieser Methode bedient sich unter anderem die chinesische Regierung, um ihre Bevölkerung zu beeinflussen. Statt einfach nur Inhalte zu sperren, was häufig eher zu Abneigung in der Bevölkerung führt, wird von bestimmten Inhalten und unerwünschten Themen abgelenkt. „Die Social-Media-Mechanismen sind wie geschaffen für diese Technik [drown out], insbesondere in Kombination mit Social Bots.“

Cyberwar im Inneren

Wie für den chinesischen, ist es für die meisten Sicherheitsapparate von großem Interesse, jegliche Information und Kommunikation im Netz zu beobachten. Die Rechtfertigung dessen liefert ein immer weiter gefasster Schutzauftrag des Staates gegenüber den Bürgern. Obwohl die digitale Verschlüsselung mittlerweile 40 Jahre alt ist, konnten die Ermittlungsbehörden lange jede digitale Kommunikation überwachen. Heute trifft der Nutzer jeden Tag auf verschiedenste Arten von Online-Verschlüsselungen. Für viele ist sogar die Ende-zu-Ende-Verschlüsselung von kommunizierenden Geräten alltäglich. Die Beschwerden der Sicherheitsapparate werden daher immer lauter. Bestes Beispiel ist das Protestpapier des FBI von 2016 mit dem Titel „Going Dark“, in dem sie die zunehmende Verschlüsselung kritisieren. Kurz und Rieger halten den Wunsch nach mehr Überwachung, z.B. in Form von offenen Hintertüren für die Geheimdienste, entgegen, dass eine echte Verschlüsselung für eine digitale Gesellschaft zentral ist. Vor allem Unternehmen müssten in ihrer Kommunikation z.B. vor Wirtschaftsspionage geschützt werden. Der Staat, die Bürger und die Unternehmen hätten eigentlich „erhebliches Interesse daran, sichere IT-Systeme zu nutzen“. Wenn der Staat dann aber absichtlich Sicherheitslücken für Überwachung und Angriffe offen lässt, „verletzt der Staat seine Fürsorgepflicht.“

Diese Verletzung wird spätestens seit der Diskussion um den sogenannten Staatstrojaner immer wieder heftig kritisiert. Offensichtlich wünscht der deutsche Staat eine Ausweitung digitaler Überwachung und Angriffe. Ein deutliches Zeichen dafür ist die Gründung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich, kurz ZITis, 2017. Diese „Sicherheitsdienstleistungsstelle“ soll Sicherheitslücken finden, sowie Kryptografie und deren Schwachstellen analysieren. Die Autoren nehmen an, dass die ZITis auch als Dienstleister bei offensiven IT-Angriffen in Stellung gebracht wird. Ziel der Behörde und der staatlichen Bemühungen seien klar: „Der Staat will sich die Fähigkeiten schaffen, um nach Belieben in Digitalgeräte aller Art einzudringen, sie unter Kontrolle zu bringen und gewünschte Informationen zu extrahieren.“

„IT-Sicherheit ist kein Hexenwerk“

Im letzten Kapitel versuchen die Autoren Handlungsempfehlungen für die globale Steigerung der IT-Sicherheit zu geben. Dabei erkennen sie vor allem eine internationale Übereinkunft über Legitimität und Illegitimität digitaler Operationen als zentral an. Orientierungspunkte für die Regelbildung im Cyberwar würde das 150 Regeln umfassende „Tallin Manual“ der NATO liefern. Außerdem halten sie fest, dass Deutschland durch den bisher „unterbliebenen Ausbau von größeren Offensivfähigkeiten in einer hervorragenden moralischen Position wäre, [eine solche Übereinkunft] voranzutreiben.“ Der Schutz deutscher Unternehmen vor skrupelloseren Staaten, die in unmittelbarem Wettbewerb stehen, könne nur erreicht werden, wenn sich für eine sichere IT-Struktur eingesetzt würde. „Die Entscheidung muss hier klar zugunsten der Sicherheit von Bürgern und Wirtschaft und nicht im Sinne der Cyberkrieger und Spionageapparate getroffen werden.“
Außerdem plädieren die Autoren für eine Veröffentlichungspflicht von Sicherheitslücken, da durch gezwungene Offenheit die Unternehmen deutlich mehr in die IT-Sicherheit von vorneherein investieren würden.

Eine weitere Möglichkeit zur Steigerung der IT-Sicherheit sei deren Kennzeichnung. Normale Käufer und Nutzer von IT-Produkten müssten die Möglichkeit haben, sich auf Basis von verlässlichen Informationen für oder gegen das Produkt oder die Dienstleistung zu entscheiden. Beispielhaft steht dafür das US-amerikanische Cyber Independent Testing Lab, das nach dem Muster von „Stiftung-Warentest-artigen Bewertungen halbautomatische Analysen von Software-Paketen durchführt.“ Dabei wird beurteilt, „ob sich Entwickler an den aktuellen Stand der Technik halten, etwa sicher programmieren und die verfügbaren Methoden verwenden, um den erfolgreichen Einsatz von Exploits zu erschweren.“ Ein solche Bewertungssystem könnte eine starke Motivation für Hersteller und Softwareentwickler sein, sich an sichere Softwareentwicklungsmethoden zu halten.

Wichtig bleibt weiterhin die Frage der Haftung. Momentan lehnen Hersteller von Digitalprodukten jede Haftung ab, wodurch zwar die Innovations- und Entwicklungsgeschwindigkeit im Digitalbereich erst ermöglicht wurde, die Anwender aber auch zwingt, ein kaum abschätzbares Risiko einzugehen.

Ein konkretes Prüfsystem könnte auf drei Komponenten beruhen, „einem anerkannten Stand der Technik, Instanzen zur Überprüfung der Einhaltung dieses Stands der Technik und einer Verpflichtung zum Abschluss einer Versicherung, die im Zweifel für die Schäden aufkommt, die durch die risikogeneigte Technologie verursacht werden können.“ Die Autoren halt fest: „Standards einzuführen, um die Sicherheit gegen technisches Versagen zu verbessern, ist prinzipiell einfacher, als technische Systeme gegen Angriffe durch Menschen zu schützen.“ Dazu könnten rechtliche oder finanzielle Vorteile für die Hersteller kommen, die sich an den neuesten Stand halten.

Abschließend plädieren die Autoren für eine defensivere IT-Sicherheitspolitik, statt ausschließlich auf den Aufbau von Offensivkapazitäten zu setzen und damit die „Welt unsicherer und gefährlicher“ zu machen.

Das Buch von Constanze Kurz und Frank Rieger zeichnet sich durch ausgesprochen tiefgehende Expertise aus und versucht den aktuellen Stand bezüglich IT-Sicherheit und Cyberwar-Strukturen auch dem fachfremden Leser zu erklären. Dazu werden die einleitende Kurzgeschichte, aber auch immer wieder illustrierende Beispiele, wie z.B. das Haus, das zwar eine schöne Fassade hat, aber instabile Betonträger, als Sinnbild für unsichere IT-Produkte, genutzt. Durch die ausgewiesene Expertise von Kurz und Rieger eignet sich das Buch nicht nur für Laien, sondern bietet auch Experten fundierte Erkenntnisse und Zusammenhänge.

Bild: von Michael Schwarzenberger auf Pixabay

Text: CC-BY-SA 3.0

Gesellschaftlicher Dialog Ethik und Digitalisierung

Karina Schmidt — Tue, 27 Mar 2018 09:14:35 +0000

Am 17. April 2018 lädt die Wegweiser GmbH zum ersten „Gesellschaftlichen Dialog Ethik & Digitalisierung – Vertrauen in unsere vernetzte Welt“ in das Humboldt Carré in Berlin ein. Der Kongress wird von Bundesminister Peter Altmaier eröffnet und von Bundesministerin Dr. Katarina Barley, MdB abgeschlossen. politik-digital.de begleitet die Veranstaltung als Medienpartner.

Angesichts sich beschleunigender Veränderungen von Kommunikation, Information, Lernen, Arbeit, Freizeit, Medizin und Demokratie widmet sich der Gesellschaftliche Dialog Ethik & Digitalisierung der Analyse der derzeitigen Entwicklungen.

In zahlreichen Foren diskutieren Vertreter aus Politik, Wirtschaft und Zivilgesellschaft unter folgenden Leitfragen die Auswirkungen der Digitalisierung auf die verschiedenen Lebensbereiche:

Staat & Rahmenbedingungen: Kann der Staat Schritt halten mit der Wucht der Digitalisierung und noch immer aus technologischer Innovation gesellschaftlichen Fortschritt für alle machen?
Arbeitgeber & Arbeitnehmer: Wie können Arbeitgeber und Arbeitnehmer den Wandel der Arbeitswelt durch Robotik, Automatisierung und Digitalisierung gemeinsam gestalten?
IT-Sicherheit & Datenschutz: IT-Angriffe, Sicherheitslücken und Bequemlichkeit – Wie erreichen wir einen hohen IT-Schutz für unsere vernetzte Welt?
Mobilität & Robotik: Fahren oder fahren lassen – neue Freiheiten oder drohender Kontrollverlust durch autonome Mobilitätsangebote?
Gesundheit & Pflege: Big Data in der Gesundheitswirtschaft als Chance für uns alle oder persönliches Risiko?
Bildung & Kompetenzen: Wie gewinnen „Jung und Alt“ notwendige digitale Kompetenzen, sodass alle selbstbestimmt/mündig leben/handeln können?

Weitere Informationen zu Programm, Referenten und Teilnahmemöglichkeiten finden Sie hier.

Titelbild: © Wegweiser GmbH

Der politik-digital.de App-Test: QuizYourWeb

Jan Voß — Wed, 18 Feb 2015 15:52:57 +0000

In einer losen Reihe stellen wir hier Apps aus den Bereichen Politik, E-Democracy, Medien und Gesellschaft vor – weil wir sie für nützlich halten und empfehlen oder weil sie uns einfach Spaß machen. Heute: die Quiz-App „QuizYourweb“ – spielerisch das eigene Wissen über Sicherheit im Internet testen.

Das Versprechen

Die kostenlose Smartphone-App möchte Jugendliche spielerisch für sicheres Surfen und verbraucher- und datenschutzrelevante Themen im Internet sensibilisieren. In Quizduellen gegen Freunde oder ZufallsgegnerInnen können die SpielerInnen ihr Wissen testen und sollen so über die Gefahren und Risiken im Netz informiert werden.

Zielgruppe: Junge InternetnutzerInnen, die gerne spielen und testen wollen, wie viel sie über Datensicherheit im Internet und artverwandte Themengebiete wissen. Auch geeignet für erwachsene SpielerInnen, die ihren Wissensstand testen wollen.

Der erste Eindruck

QuizYourWeb ist ein übersichtlich gestaltetes Quizspiel, es ist kostenlos in allen App-Stores und als Browseranwendung erhältlich. In vier Runden müssen je drei Fragen beantwortet werden. Die Themenfelder variieren von sozialen Netzwerken über Cybermobbing und Datenschutz bis hin zu PC-Sicherheit. Die App ist in hellen Farben gestaltet und überzeugt durch eine sehr übersichtliche Menüführung.

Und im Detail

Nach der Installation der App muss man einen Account mit Nickname anlegen. Ohne eine Verifikations-Mail abzuwarten, – was bei dem Thema ein wenig überrascht – kann man direkt losspielen. Im Startmenü kann man ein neues Spiel starten, laufende Spiele fortsetzen oder sich die beendeten Spiele noch einmal anschauen, und zwar jederzeit gegen ZufallsgegnerInnen oder FreundInnen.

Spiel: QuizYourWeb orientiert sich an bekannten Quiz-Apps. In vier Runden wählen die SpielerInnen aus einem vielfältigen Themenspektrum, seien es soziale Netzwerke, Datenschutz oder “Zahlen, Daten und Fakten”. Die Themen werden im Glücksradmodus ausgewählt. Je 20 Sekunden stehen für die Beantwortung jeder der drei Fragen zur Verfügung. Es gewinnt die SpielerIn mit den meisten richtigen Antworten. Am Ende gibt es für jede richtig beantwortete Frage einen Punkt, für den Sieg drei Punkte. Anreiz für die SpielerInnen ist das Erreichen der Top 20-Liste aller QuizerInnen.

Personalisierung: Eine Personalisierung des Accounts ist nicht möglich. Es gibt keine Profilbilder und der Nickname kann nachträglich nicht mehr geändert werden. Dies tut dem Spielspaß jedoch keinen Abbruch.

Datenschutz: Bei QuizYourWeb wird genau aufgezeigt, welche Daten erhoben werden und zu welchem Zweck. Von dieser App werden keine Personen- oder Ortsdaten erhoben, verarbeitet oder gespeichert. Es werden weder Daten veröffentlicht noch an Dritte weitergegeben. Der Account ist jederzeit löschbar. Auch die Passwortwiederherstellungs-Funktion ist nur optional und kann jederzeit deaktiviert werden. Temporär gespeicherte Daten werden mit Verwendungszweck aufgelistet.

Mehrwert: QuizYourWeb bietet neben der kurzweiligen Unterhaltung auch eine gehörige Prise an Wissen. Egal ob falsch oder richtig beantwortet: Am Ende wird die richtige Antwort aufgezeigt und kurz erklärt. Die SpielerInnen ziehen also einen lehrreichen Mehrwert aus dem Spiel.

Fazit

QuizYourWeb ist an ein sehr junges Publikum gerichtet und reiht sich in den Trend der Quiz-Apps ein. Die Fragen greifen Themen aus dem Alltag der jungen „digital natives“ auf. Ob Anzahl an FacebooknutzerInnen weltweit, Fragen zum Datenschutz oder zu verschiedenen Anwendungen auf Smartphones und im Internet: Die App bietet einen unterhaltsamen Zeitvertreib und kombiniert ihn mit wissenswertem Inhalt. Es wäre wünschenswert, dass sich die App auf dem hart umkämpften Spiele-App-Markt durchsetzt.

Was wir uns noch gewünscht hätten: Die Spiele-App beinhaltet nur wenige Funktionen. Per Push-Up-Nachricht wird man informiert, wenn eine GegnerIn ihren Zug beendet hat, dabei wäre es praktisch, wenn auch die App selbst anzeigen würde, dass eine GegnerIn ihren Zug gespielt hat. Um dies in Erfahrung zu bringen, muss man auf jede Partie einzeln klicken. Auch eine Kommunikationsfunktion zwischen FreundInnen wäre wünschenswert. Schade außerdem, dass NutzerInnen keine eigene Fragen und Antworten einreichen können, um das Spiel zu erweitern.

Kompatibilität und technische Daten

Getestet wurde auf Android Version 4.2.2.

Die App ist kostenlos für Android, iOS und als Browseranwendung erhältlich.

Bewertungen

Google Play 5 von 5

iTunes 5 von 5

Bild: Daniel Go

Wanka will IT-Sicherheit stärken

Pia Thiele — Mon, 20 Oct 2014 16:28:53 +0000

Das Bundesministerium für Bildung und Forschung (BMBF) startete heute ein Forschungsforum zu Privatheit und selbstbestimmtem Leben in der digitalen Welt. Bildungsministerin Wanka will den Schutz der Privatsphäre in der digitalen Welt zur Selbstverständlichkeit werden lassen.
Laut Ministerium ist Cybersicherheit für alle Bürgerinnen und Bürger relevant und stellt zugleich einen wichtigen Wirtschaftsfaktor für den Standort Deutschland dar. Das Ministerium nennt vier Arbeitsbereiche, zu denen weiterhin geforscht werden muss, um den Datenschutz und die Privatsphäre von Bürgern im Netz zu gewährleisten.
Der Wandel hin zur „Industrie 4.0“ bedeutet, dass durch bessere Vernetzung der Fertigungsprozesse Produkte hergestellt werden können, die individuell an den Endverbraucher angepasst sind. Kommunikation ist einerseits die technische Voraussetzung für diesen Prozess und ermöglicht es andererseits, autonom zu optimieren und umzuplanen. Weil „schlaue“ Maschinen und Geräte intensiv untereinander Daten austauschen, muss Datensicherheit laut Ministerium einen größeren Stellenwert einnehmen, damit Firmen angemessen vor Industriespionage geschützt sind.
Die Digitalisierung erfasst nicht nur den Industriesektor, sondern unsere komplette Lebensumwelt. Nie zuvor war es möglich, so viele Daten über die Lebensgewohnheiten von Menschen zu sammeln. Doch bleibt die Privatsphäre auch im digitalen Zeitalter ein hohes Gut. Hierfür sollen Verfahren entwickelt werden, die es jedem Bürger ermöglichen, selbst zu bestimmen, wie öffentlich sie im Netz sein wollen.
Nicht nur Industriemaschinen sind schlau. Auch Versorgungsinfrastrukturen wie Strom oder Wasser und Kommunikationsnetze, sogenannte „kritische Infrastrukturen“, werden immer intelligenter und können sich zunehmend selbst regulieren. Während in die Weiterentwicklung von intelligenter Technologie bereits investiert wird, will man auch den Schutz dieser Systeme nicht vernachlässigen, um Angriffe und Störungen auf die Infrastruktur zu vermeiden.
Ein anderer Bereich, den das Ministerium als schützenswert betrachtet, ist Cloud Computing. Die Technologie ermöglicht es, Daten von überall auf der Welt mit Endgeräten abzurufen. Derzeit problematisch ist, dass konventionelle Sicherheitstechnologien auf das Cloud Computing nicht anwendbar sind und so Sicherheitslücken entstehen können. Vor dem Hintergrund des letzten Skandals um geleakte Nacktfotos von Prominenten haben viele Nutzer seit Kurzem immer mehr Zweifel an der Anwendung dieser Technologie. Mit der Förderung neuer Sicherheitskonzepte will man dazu beitragen, das Vertrauen der User zurückzugewinnen.
Das BMBF arbeitet in IT-Sicherheitsfragen schon seit 2009 mit dem Bundesministerium des Innern (BMI) und dem Wirtschaftsministerium (BMWi) zusammen. Seit 2011 unterhält es Kompetenzzentren in Saarbrücken, Darmstadt und Karlsruhe, in denen universitäre und externe Einrichtungen zusammen zum Thema Cybersicherheit forschen. Auch unterstützt es seit Längerem Projekte, die Themenfelder wie „Privatsphäre im Internetzeitalter“ und „Verschlüsselte Kommunikation“ erforschen. Dass das Ministerium die Erforschung der IT-Sicherheit nun endlich verstärkt fördern will, ist zwar ein wichtiger Schritt, er kommt aber reichlich spät. Es ist zu hoffen, dass die geförderten Maßnahmen sich als hilfreich und nachhaltig herausstellen.
Bild: Christian Schnettelker

Wanka will IT-Sicherheit stärken

admin — Mon, 20 Oct 2014 16:28:53 +0000

EU-Parlament zur NSA-Affäre: "Schwerwiegender Eingriff in Grundrechte der Bürger"

Nicolas Krotz — Thu, 13 Mar 2014 12:19:34 +0000

Der massive Eingriff in die Souveränität der Mitgliedsstaaten und in die Grundrechte von Menschen, die Whistleblower Edward Snowden durch seine Enthüllungen aufgedeckt hat, fordert Aufklärung. Das Europäischen Parlament (EP) ordnete eine Untersuchung an und der offizielle Abschlussbericht wurde gestern vom EP angenommen – ein guter Zeitpunkt, um die Hauptaussagen des Berichts zusammenzufassen und die weiteren Schritte zu skizzieren. Denn der Bericht hält nicht nur folgenschwere Sachverhalte fest, sondern erhebt Vorwürfe gegen vermeintlich demokratisch kontrollierte Organe und fordert weitreichende politische Handlungen.
Im Sommer 2013 hat das EP den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres damit beauftragt, das Überwachungsprogramm der NSA und Überwachungsbehörden in mehreren EU-Staaten sowie „die entsprechenden Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres“ zu untersuchen. Der Abschlussbericht wurde gestern mit 544 Stimmen angenommen, bei 78 Gegenstimmen und 60 Enthaltungen. Er beruht auf Informationen vieler Befragter, die der Einladung des Ausschusses nachgekommen sind. Wichtige Zeugen blieben jedoch fern, zum Beispiel Gerhard Schindler, der Präsident des deutschen Bundesnachrichtendienstes, und andere hohe Geheimdienstbeamte. Von zentraler Bedeutung für den Bericht war die schriftliche Aussage von Edward Snowden, der mit den von ihm an die Presse übergebenen Informationen überhaupt Anlass zu dieser Untersuchung gegeben hatte.
Schon die Tatsache, dass das EP eine Untersuchung des Sachverhalts beschlossen hat, kann als demokratischer Erfolg gewertet werden, da sie in jedem Fall zur Aufklärung in der Sache beiträgt. Währenddessen steht in Deutschland ein Beschluss des Bundestages noch aus – eine Befragung Snowdens als Zeugen ist ungewiss.
Eines der zentralen Ergebnisse des Abschlussberichts lautet, dass „entsprechende Regierungen und Parlamente der EU zu oft schweigen“. Das Schweigen hat seine Gründe: Snowden legte in seiner Zeugenaussage dar, dass es die EU-Mitgliedstaaten selbst seien, die es den US-Geheimdiensten ermöglichten, EU-Bürger zu überwachen. Bilaterale Abkommen zwischen EU-Staaten und den USA erlaubten es den US-Geheimdiensten zwar nicht, die nationalen Bevölkerungen abzuhören, wohl jedoch die der anderen EU-Mitgliedstaaten. So habe es beispielsweise die deutsche Regierung toleriert, dass die USA mit Zugriff auf deutsche Telekommunikationsnetze dänische Staatsbürger und Firmen ausspionierten – und umgekehrt.
Von den Informationen, die der Ausschuss sammelte, wurde ein umfassender Forderungskatalog abgeleitet. In erster Linie ist er an nationalstaatliche und EU-Akteure gerichtet ist. Von den Mitgliedstaaten fordert der Bericht zuvorderst, mehr zur Aufklärung beizutragen und keine Daten von Dritten anzunehmen, wenn diese auf unrechtmäßige Weise gesammelt wurden. Die beschuldigten EU-Staaten (z. B. Deutschland und das Vereinigte Königreich) werden aufgefordert, die „Anschuldigungen von Massenüberwachung, einschließlich der Massenüberwachung grenzüberschreitender Telekommunikation, […] sowie den Zugang zu transatlantischen Kabeln, von US-Geheimdienstmitarbeitern und -Ausrüstung auf dem Hoheitsgebiet der EU ohne Kontrolle von Überwachungsmaßnahmen, und ihre Vereinbarkeit mit EU-Recht“ zu klären. Der entstandene Vertrauensverlust zwischen den EU-Staaten erfordere u. a. eine öffentliche Debatte sowie zukünftig mehr rechtliche und parlamentarische Kontrolle. Abgeschlossene und geplante „Anti-Spionage-Abkommen“ seien „kontraproduktiv und irrelevant, da es für dieses Problem einer europäischen Lösung“ bedürfe.

Was wird die EU unternehmen?

Doch die Geheimdienstkompetenz liegt bei den Regierungen der Mitgliedsstaaten, auf dessen jeweilige Leitungen die EU bisher keinen direkten Einfluss hat. Besonders wichtig erscheinen daher die Ziele, die das EP der EU selbst setzt. Erneut wird die Aussetzung des SWIFT-Abkommens gefordert, welches die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung zwischen EU und USA regelt. Bereits im Oktober 2013 hatte das EP die Kommission aufgefordert, das SWIFT-Abkommen auszusetzen.

Die EU-Kommission hat einige Hausaufgaben bekommen und weigert sich, in bestimmten Punkten den Forderungen des EU-Parlaments zu folgen. Wird sich hier nach der Europawahl etwas ändern?

Die EU-Kommission ist bislang dagegen. Die aktuelle sogenannte Safe-Harbor-Regelung ermöglicht es europäischen Unternehmen, personenbezogene Daten von EU-Bürgern an die USA zu übermitteln und geht zurück auf eine Entscheidung der EU-Kommission. Der Bericht schlussfolgert, dass die jetzige Vereinbarung EU-Bürgern keinen angemessenen Schutz bieten könne, und fordert daher die zuständigen Behörden der Mitgliedstaaten auf, die Datenübermittlung an entsprechende Unternehmen „unverzüglich auszusetzen“. Darüber hinaus verlangt der Bericht ein Umdenken der EU-Kommission.
Im Hinblick auf die Beziehungen zu den USA fordert das EP seinen „transatlantischen Partner“ auf, das „ernsthaft erschütterte“ Vertrauen durch „eindeutige politische Signale“ wiederherzustellen und zu zeigen, dass „die USA zwischen Verbündeten und Gegnern unterscheiden können“. Die große Bedeutung der digitalen Wirtschaft für die allgemeinen Wirtschaftsbeziehungen der beiden Völkerrechtssubjekte wird hier ebenso betont. Unter den jetzigen Bedingungen sei eine Zustimmung des EP zum geplanten Transatlantischen Freihandelsabkommen (TAFTA) gefährdet. Die pauschale Massenüberwachung und das Abfangen von Nachrichten in EU-Institutionen und diplomatischen Vertretungen müsse völlig eingestellt sowie eine Lösung für Datenschutzrechte von EU-Bürgern gefunden werden. Andernfalls könne das EP einem Entwurf zum TAFTA nicht zustimmen – mit einem Abschluss der geheimen Verhandlungen wird nicht vor 2016 gerechnet.
Die eigenen EU-Organe fordert das EP auf, „Möglichkeiten zu erkunden, einen Verhaltenskodex mit den USA zu vereinbaren, mit dem sichergestellt würde, dass EU-Organe und -einrichtungen nicht vonseiten der USA ausgespäht werden“. Unabhängig von Handlungen der USA mache die „extreme Anfälligkeit der EU“ es notwendig, „starke und autonome IT-Schlüsselkapazitäten aufzubauen“ – eine Forderung, die in der Debatte zum Abschlussbericht am Montag von den konservativen Abgeordneten wiederholt wurde. Diese solle möglichst auf „offenen Standards sowie auf quelloffener Software“ basieren. Vorübergehend werden alle öffentlichen Einrichtungen in der Union aufgefordert, in Fällen, in denen Nicht-EU-Gesetze greifen, keine Cloud-Dienste mehr zu verwenden. Geschaffen werden soll nun ein europäisches Cloud-System. Um die Spionageabwehr zu stärken, seien verschlüsselte Kommunikationsstrukturen (E-Mail, Telefon, usw.) und „abhörsichere Sitzungsräume in allen wichtigen EU-Institutionen und EU-Delegationen“ unabdingbar. Insgesamt sollen für diese Sicherheitsstrukturen mehr personelle und finanzielle Mittel bereitgestellt werden.

Für den Schutz von Grundrechten, Whistleblowern und der Pressefreiheit

Beschlossen wurde auch ein „Habeas-Corpus-Grundsatz“, der die Grundrechte der Menschen im digitalen Zeitalter schützt und mit acht Aktionen eingeführt werden soll. Zum Beispiel soll das in Ausarbeitung befindliche Datenschutzpaket noch dieses Jahr angenommen, ein Rahmenabkommen zwischen EU und USA zum Schutz der Grundrechte von EU-Bürgern abgeschlossen und ein erweiterter Schutz für Informanten gewährleistet werden. Außerdem fordert das EP die Bildung einer „hochrangigen Gruppe“, die eng mit dem EP zusammenarbeiten und Empfehlungen für weitere Schritte ausarbeitet solle, um Geheimdienste auf EU-Ebene besser kontrollieren und die Zusammenarbeit „insbesondere hinsichtlich der grenzüberschreitenden Dimension“ verbessern zu können.

Eine Protestaktion der Europäischen Grünen für einen Schutz Edward Snowdens. Diesen fordert auch die Europäische Linke.

Alles in allem erhebt der Bericht schwere Vorwürfe gegen politische und private Akteure im europäischen In- und Ausland, die weitere Untersuchungen nach sich ziehen werden. Es ist davon auszugehen, dass sich die Geheimdienste auch in diesen Prozess einmischen werden, indem sie beispielsweise falsche Informationen verbreiten oder versuchen, politische Gruppen zu spalten. Nicht zuletzt relevant ist, dass sich das EP besorgt zeigt über die zunehmenden Bedrohungen der Pressefreiheit, ohne die diese Enthüllungen nicht möglich gewesen wären. Auch in Folge der Enthüllungen kam es zu Repressionen gegen Journalisten und Online-Aktivisten. In der Debatte zum Abschlussbericht am Montag ging es auch um die Frage, was mit Edward Snowden passieren wird. In diesem Punkt ist das EP gespalten. Die Mitgliedsstaaten müssen hier aktiv werden, solange kein europäisches Schutzprogramm geschaffen ist – um Whistleblower nicht in autoritäre Regime fliehen lassen zu müssen. Der diplomatische Machtkampf, der hinter dieser Angelegenheit steht, ist völlig intransparent. Es bleibt zu hoffen, dass das ganze Thema im Wahlkampf zum EP, der nun beginnt, aufgegriffen und dass eine Kommission gebildet wird, die sich mehr für Aufklärung in der Sache bemüht und für die Grundrechte der EU-Bürger einsetzt. Jetzt liegt es bei den Wählern, Konsequenzen zu ziehen.
Bilder: oben + mitte: European Parliament (CC BY-NC-ND 2.0), unten: greensefa (CC BY 2.0)

Digitalisierungspolitik des Bundes nicht auf Höhe der Zeit

Nicolas Morgenroth — Tue, 05 Nov 2013 12:44:08 +0000

Pünktlich zu den Koalitionsverhandlungen hat der IT-Planungsrat eine Studie zu Stand und Chancen der Digitalisierung in Deutschland veröffentlicht. Mit „Zukunftspfade Digitales Deutschland 2020“ versucht das Gremium aus Vertretern von Bund und Ländern Digitalisierung als Kernthema zu etablieren.
Cornelia Rogall-Grothe, Beauftragte der Bundesregierung für Informationstechnik, stellte zusammen mit Vertretern verschiedener Landesverwaltungen und je einem Vertreter aus der Wirtschaft, Wissenschaft und einem Think Tank die Studie am Montag in Berlin vor. Für diese hatte TNS Infratest knapp 600 Experten aus Wirtschaft (35 Prozent), Wissenschaft (19 Prozent), Verwaltung (39 Prozent) und anderen Bereichen (9 Prozent) nach ihrer Meinung zu verschiedenen Aspekten der Digitalisierung befragt. Im Rahmen der Pressekonferenz mit anschließender Expertendiskussion wurde deutlich, dass der Fokus der Studie auf dem Potenzial von Informations- und Kommunikationstechnik für den Wirtschaftsstandort Deutschland liegt. Grundlegend dafür sehen die Autoren der Studie die drei Themenfelder digitale „Infrastruktur“, „Souveränität“ und „Sicherheit“.

Der IT-Planungsrat ist ein 2010 gegründetes, zentrales Gremium aus Bund und Ländern mit den Aufgaben, die Zusammenarbeit in der Informationstechnik zu koordinieren, Standards zu verabreden, E-Government-Projekte zu steuern und
ein verwaltungsinternes Verbindungsnetz zu planen und weiterzuentwickeln. Die rechtlichen Grundlagen sind der Artikel 91c Grundgesetz von 2009 und ein Staatsvertrag vom 1. April 2010.

Einig waren sich die Diskutanten, dass die Digitalisierung große Chancen böte, das Funktionieren von Wirtschaft und Verwaltung effizienter zu gestalten. Allerdings bräuchte es dafür einen aktiv gestaltenden Staat und supranationale, in dem Fall europäische, Regelungen. Bisher habe der Staat zu wenig gehandelt. Auf dem Podium attestierten Stefan Heumann von der Stifung Neue Verantwortung und Joseph Reger von dem Technologiekonzern Fujitsu der deutschen Regierung eine bislang passive Rolle, die weit unter deren Möglichkeiten blieb. In der Studie sprachen fast zwei Drittel der Befragten dem Staat die Kompetenz ab, „Digitalisierungspolitik auf der Höhe der Zeit“ zu betreiben.
Unterschiede auf dem Podium zeigten sich vor allem in der Konkretheit der Forderungen. Während Johannes Hintersberger (CSU), Staatssekretär in Bayern und diesjähriger Vorsitzender des IT-Planungsrates, forderte, „der Digitalisierung eine Heimat zu geben“, plädierte Prof. Dr. Dieter Rombach, Leiter des Fraunhofer-Instituts für Experimentelles Software Engineering (IESE), deutlich für ein „Ministerium für digitale Innovation“ in der neuen Regierung.

Ergebnisse der Studie – „Digitale Infrastruktur“

Laut der Studie sehen 73 Prozent der befragten Experten den Staat in der Pflicht, im Rahmen des Breitbandausbaus regulierend einzugreifen, und immer noch 59 Prozent fordern auch die staatliche Finanzierung des Ausbaus. Heike Raab, Staatssekretärin in Rheinland-Pfalz, erklärte während der Pressekonferenz den Marktansatz im Ausbau der Netz-Infrastruktur für gescheitert. Die Vertreter zeigten sich einig, dass der Ausbau flächendeckend und so schnell wie möglich voranschreiten sollte.

„Digitale Souveränität“

Unter „digitaler Souveränität“ fasst die Studie die Medienkompetenz von Akteuren zusammen. Von den befragten Experten sind fast alle (93 Prozent) der Meinung, dass die Bürger selbst eine „äußerst“ oder „sehr wichtige“ Rolle für die Bildung von „digitaler Souveränität“ einnehmen müssten. Der Staat als Förderer von Medienkompetenz wird, nach (Hoch-)Schulen und der Wirtschaft, nur von 61 Prozent als „äußerst“ oder „sehr wichtiger“ Akteur angesehen.
Sowohl im Hinblick auf die Infrastruktur, als auch auf die Medienkompetenz warnte Rombach vor der Entstehung neuer Ungleichheiten und forderte entschiedenes Handeln. Wie eine aktuelle Studie des Branchenverbandes Bitkom bestätigt, ist die Nutzung des Internets tatsächlich stark abhängig von den standarddemographischen Merkmalen Alter, Bildungsabschluss und Geschlecht. Demnach sind Menschen mit Abitur deutlich häufiger online als solche mit niedrigerem Bildungsabschluss. Der Unterschied zwischen den Generationen ist noch stärker ausgeprägt. Während nahezu alle 18-29-Jährigen das Internet in Deutschland nutzen, sind es nur 32 Prozent der Menschen über 65 Jahre. Auch sind Männer um sieben Prozent häufiger online als Frauen. Insgesamt nutzen laut Bitkom drei Viertel der Deutschen das Internet, im Vergleich zu „deutlich über 90 Prozent“ in Island oder Norwegen.

„IT-Sicherheit und Datenschutz“

Auch in Sachen Datenschutz sieht die Studie den Einzelnen als wichtigsten Akteur an. Für den individuellen Datenschutz ordnen laut der Umfrage 91 Prozent der Befragten dem Individuum eine besonders wichtige Rolle zu. Immerhin noch vier Fünftel sehen auch den Staat in besonderer Verantwortung und 58 Prozent die Wirtschaft. Zudem sprechen sich drei Viertel für eine Regelung hauptsächlich auf europäischer oder internationaler Ebene aus. Vor dem Hintergrund, dass die Studie während der ersten Enthüllungen Edward Snowden durchgeführt wurde, bemerkte Rogall-Grothe, dass die Menschen „sensibler“ geworden seien. Demnach, so die Staatssekretärin, sei das „Vertrauen in die Sicherheit und den Schutz unserer Daten“ eine „unabdingbare Voraussetzung für den Erfolg der Digitalisierung“.
Ob es dem IT-Planungsrat gelingt, mit der Veröffentlichung der Studie einen Impuls in Richtung der verhandelnden SPD und CDU/CSU zu senden, bleibt offen. Zumindest im Ausbau der digitalen Infrastruktur scheinen sich die Koalitionäre bereits einig zu sein. Vielleicht kann der IT-Planungsrat, der seit 2010 beim Innenministerium (BMI) angesiedelt ist, sogar seine Position als zentrales Fachgremium für die föderale Zusammenarbeit in der Informationstechnik stärken. Denn, so auch ein Ergebnis der Studie, nur gut die Hälfte der Befragten gibt an, über dessen Zweck und Aufgaben Bescheid zu wissen.

Bild: Julia Wolf (CC BY-NC-SA 2.0)
Text: