Apple und Microsoft kämpfen für den Datenschutz und gegen den US-amerikanischen Staat. Sie wehren sich gegen die zunehmende Vereinnahmung durch die Ermittlungsbehörden, die sich teilweise uralter Gesetze bedienen, um die Konzerne zur Aufhebung der Verschlüsselung oder Geheimhaltung zu zwingen. Doch auch wenn es den Unternehmen vorgeworfen wird: das ist keine reine PR-Maßnahme. Längst hat das Silicon Valley erkannt, dass Datenschutz ein wichtiger Grundpfeiler digitaler Geschäftsmodelle ist, während das FBI immer öfter den einfachsten Weg zu möglichst effizienten Ermittlungswerkzeugen sucht.

Eine Hintertür zu sämtlichen iPhones

Einen vorläufigen Höhepunkt erreichte das Kräftemessen des Silicon Valley mit dem amerikanischen Staat im Februar. Um das Attentat in San Bernadino, bei dem 14 Menschen starben und 22 verletzt wurden, vollständig aufzuklären, wollte das FBI Zugriff auf das iPhone des Attentäters Syed Rizwan Farook. Das Knacken des Geräte-Passworts wäre mit einem leistungsstarken Rechner zwar kein Problem, doch das Smartphone des Attentäters lief mit dem Betriebssystem iOS 9. Dieses bietet eine Einstellung, die den Zugriff auf die Daten des Geräts nach zehn gescheiterten Versuchten unwiderruflich unterbindet. Deshalb wollte das FBI, dass Apple diese Funktion mittels einer Software ausschaltet, sodass die Ermittler das Passwort so oft wie nötig gefahrlos raten können.

Doch Apple wehrte sich gegen diese Maßnahme, weil ein solches Programm nichts anderes als eine universelle Hintertür zu allen Kundengeräten wäre. Das FBI widerspricht dieser Darstellung natürlich vehement und argumentiert, dass man die Software zum Umgehen der automatischen Löschfunktion nur für diesen einen Fall brauche. Doch der Tech-Riese fürchtet vor allem einen „gefährlichen Präzedenzfall“, da sich die zu entwickelnde Technologie eben nicht auf ein einzelnes Gerät beschränken ließe. Eine solche Software sei das elektronische Äquivalent zu einem Generalschlüssel.

FBI könnte die Sperre selbst knacken

Hinter diesem öffentlich ausgetragenen Streit verbirgt sich jedoch viel mehr, als es auf den ersten Blick scheint. Das FBI behauptet, dass nur Apple die technischen Voraussetzungen hätte, um Zugriff auf die Daten des iPhone zu bekommen. „Bullshit“, konterte der NSA-Whistleblower Edward Snowden. Denn Sicherheitsexperten gehen davon aus, dass die Behörde die Passwort-Sperre problemlos selbst knacken könnte – und das mit recht einfachen Mitteln. Den Software-Riesen zur Programmierung einer entsprechenden Software zu zwingen, ist jedoch die deutlich einfachere Option – und sie würde der Behörde endlich den Weg für weitere ähnliche Situationen freimachen. Der Guardian berichtete, dass sich das FBI offenbar monatelang auf einen solchen Fall vorbereitet habe. Es geht den Ermittlern offenbar nicht nur um diesen schlimmen Einzelfall; sie wollen universellen Zugriff auf die Geräte von Apple. In einer anderen Ermittlung verlangte die Behörde ebenfalls die Programmierung einer Software zur Umgehung der Verschlüsselung – mithilfe derselben gesetzlichen Regelung wie im San Bernadino-Fall. Das Ziel war jedoch deutlich harmloser als der Attentäter: es ging um einen Drogendealer.

Dass das FBI zwischenzeitlich einen anderen Weg fand, um an die Daten des iPhones des Attentäters Farook zu kommen, ist letztlich keine Überraschung. Angeblich sehr kostspielig, mithilfe einer israelischen Firma, die zum sogenannten militärisch-digitalen Komplex gehört. Dieser Fall zeigt vor allem, dass die US-Ermittlungsbehörde nur zu gerne einen einfachen und universellen Zugang zu Smartphones von Tätern und Tatverdächtigen hätte.

Ermittler zwingen Microsoft zur Geheimhaltung

Die Tech-Unternehmen haben spätestens seit den NSA-Enthüllungen von Edward Snowden verstanden, dass Datenschutz ein wichtiges Verkaufsargument und sogar ein eigenes Geschäftsmodell ist. So wehrte sich zuletzt auch Microsoft gegen den US-Staat und klagte gegen das Justizministerium der Vereinigten Staaten. Im Fokus der Debatte: die Cloud-Dienste des Unternehmens. Laut Angaben des Konzerns musste Microsoft in den vergangenen eineinhalb Jahren in über 5.000 Fällen die Daten der eigenen Nutzer auf gerichtliche Anordnung – entsprechend des Wunsches von Ermittlern – herausgeben.

Doch nicht die schiere Zahl der Erlasse ist das Problem, sondern dass Microsoft die Nutzer seiner Cloud-Dienste in knapp der Hälfte der Fälle nicht über die Durchsuchung informieren durfte. Der Grund: eine Geheimhaltungsanordnung. Wiederum in zwei Drittel dieser Fälle gilt diese Geheimhaltung sogar auf unbegrenzte Zeit. Die Begründung der Ermittler: die Kenntnisnahme der Tatverdächtigen würden die Untersuchungen behindern – eine Annahme, die lediglich auf dem Urteil der Behörden beruht, die laut Klageschrift viel zu oft jene „reason to believe“ anwenden. Diese Praxis, so Microsoft, verstoße gegen die Verfassung und dürfe keinesfalls zur Routine werden. Transparenz und Datenschutz sind auch in diesem Fall zwei gewichtige Verkaufsargumente. Der Branche ist mittlerweile bewusst, dass die Käufer – beziehungsweise Nutzer – schnell das Weite suchen, wenn sie dem Produkt nicht vertrauen. Auf der anderen Seite sind es die Unternehmen Leid, dass sie von den Ermittlungsbehörden als Mittel zum Zweck gesehen werden.

Hervorragende PR für Apple und Microsoft

Man möchte den Konzernen an dieser Stelle nicht nur rein opportunistisches Gewinnstreben vorwerfen, schließlich sind die Klagen bürgerrechtlich gut begründet. Doch eine gewisse Marketing-Absicht, die Apple und Microsoft hier bewusst hervorrufen, lässt sich nicht abstreiten. Solche öffentlichkeitswirksamen Fälle, in denen die Unternehmen zum Beispiel ausführliche „Briefe an die Kunden“ veröffentlichen, sind gute PR-Maßnahmen. Genau das werfen die Ermittler beispielsweise Apple vor, da sich der Konzern laut FBI jahrelang an das Gesetz gehalten hätte, um sich nun dagegen zu wehren. Das gibt der Konzern auch offen zu – mit einem kleinen „aber“. Denn nicht der sogenannte „All Writs Act“, auf den sich die Ermittler berufen, sei das Problem, sondern die großzügige Auslegung seitens des FBI und der Gerichte. „Bis zu diesem Zeitpunkt haben wir alles getan, was in unserer Macht stand und dem Recht entsprach, um ihnen [dem FBI] zu helfen.“ Doch die neuerliche Forderung einer Backdoor ging dem Unternehmen zu weit.

Ein Gesetz aus dem Jahre 1789

Denn würde Apple dieser Forderung nachkommen, so hätte dies in der Zukunft möglicherweise massive Auswirkungen. Der „All Writs Act“, mit dem das FBI versucht, den Konzern zur Programmierung einer Software zur Umgehung des Auto-Lösch-Funktion zu zwingen, stammt aus dem Jahre 1789. Er erlaubt es Bundesrichtern, gerichtliche Anordnungen gegen Personen oder Unternehmen zu erlassen. Die Implikationen, die sich im konkreten Fall ergeben, seien „abschreckend“ – so formuliert es Apple-CEO Tim Cook. Wenn das FBI Unternehmen mithilfe einer gerichtlichen Verfügung zwingen könnte, eine solche Software zu programmieren, warum sollten Tech-Konzerne dann nicht mithilfe des „All Writs Act“ auch dazu aufgefordert werden, Überwachungsprogramme für die Behörden zu programmieren?

Es zeigt sich auch in diesem Fall mal wieder, dass die Gesetze nicht mit der Geschwindigkeit der technologischen Entwicklung mithalten können. Das Recht hängt auf der rechten Spur bergauf hinter einem LKW fest, während die Technologie auf der linken Spur mit 300 Sachen überholt.

Ähnlich verhält es sich auch im Streit Microsofts mit dem Staat. Das Gesetz, mit dem der Software-Riese zur Herausgabe der Kundendaten gezwungen wird, ist der „Electronic Communications Private Act“ (ECPA) aus dem Jahre 1986 – lange bevor man wusste, dass die digitale Revolution das Leben der Menschheit umkrempeln würde. Das Gesetz wird folgendermaßen interpretiert: die Cloud ist eine Art Lagerhalle, für die ein Durchsuchungsbefehl vorliegt. Der gilt aber nur für den Lageristen, jedoch nicht für den Besitzer der Daten. Dieser muss aus diesem Grund nicht informiert werden, obwohl diese Auslegung nichts mit der Wirklichkeit zu tun hat. Schließlich ist eine Cloud heutzutage vielmehr ein persönlicher Aktenschrank. Doch dann müsste der Besitzer laut Verfassung über die Durchsuchung informiert werden.

Selbst das Weiße Haus hat bereits vor einiger Zeit Zweifel am ECPA geäußert und empfahl dem Kongress, das Gesetz an die digitale Neuzeit anzupassen. Doch die Mühlen des Legislative mahlen langsam, die Lager sind zerstritten. Bisher wurde noch kein akzeptabler Vorschlag eingereicht.

Und nicht nur das nationale Recht stößt dabei an seine Grenzen. Bereits 2013 befand sich Microsoft mit den US-Behörden im Clinch. Damals wollte die Regierung die Daten eines Nutzers, die von Microsoft in Irland gespeichert werden. Der Konzern lehnte das Gesuch ab – mit der Begründung, dass die Daten nicht im Rechtsgebiet der USA lägen. Der Staat konterte: Microsoft sei ein amerikanisches Unternehmen und fiele somit auch unter das entsprechende Recht. Man sieht: nicht nur die Geschwindigkeit des technologischen Fortschritts wird zunehmend zu einem juristischen Problem, sondern auch die Globalisierung.

Tech-Unternehmen: Die Speerspitzen des Datenschutzes

Erneut stehen wir vor der Erkenntnis, dass die Gesetzeslage dem technologischen Fortschritt weiterhin hinterherläuft. Gleichzeitig nehmen die Unternehmen diese Klagen natürlich zum Anlass, wichtige PR-Botschaften unter die Leute zu bringen: „Wir kämpfen für den Datenschutz!“ Verlieren die Kunden das Vertrauen in die Produkte, mündet das in realen Verlusten für Apple und Co. Währenddessen versuchen die Ermittlungsbehörden, möglichst umfassenden Zugang zu elektronischen Geräten und Daten zu bekommen – eine erschreckende Vorstellung. So wurden Apple und Microsoft zu Speerspitzen der digitalen Bürgerrechte – wenn auch nicht aus reinem Idealismus. Doch dass ausgerechnet Tech-Unternehmen den Datenschutz verteidigen, entbehrt nicht einer gewissen Ironie. Oder wie Edward Snowden es ausdrückte: „Das FBI erschafft eine Welt, in der die Bürger auf Apple angewiesen sind, um ihre Rechte zu verteidigen – anstatt umgekehrt.“

Bild: Meineresterampe via Pixabay licensed under CCO

Formulare aus dem Internet auf den eigenen PC zu laden, auszufüllen und als E-Mail zu versenden – das und mehr an gespartem administrativen Aufwand ist heute nichts Besonderes mehr. Der Staat hat gegenüber der freien Wirtschaft allerdings Nachholbedarf. Grundsätzlich sind die Weichen aber gestellt: Seit letztem Jahr können beispielsweise 500.000 Bafög-Rückzahler mit ihrem Sachbearbeiter im Bundesverwaltungsamt über das Internet kommunizieren und Anträge auf vorzeitige Rückzahlung, Freistellung oder Stundung verschicken. Im Zuge der
Initiative BundOnline 2005 will Bundesinnenminister Otto Schily bis 2005 internetfähige Dienstleistungen online anbieten. Robuste, preiswerte und benutzerfreundliche Sicherheitstechniken sind dabei gefragt. Die Studie “Dem Fortschritt verpflichtet” der Unternehmensberatung
Accenture zeigt, dass die öffentliche Hand mit Unterstützung der Privatwirtschaft rechnen kann und dabei auf die partnerschaftliche Zusammenarbeit zwischen privaten und öffentlichen Institutionen (Public-Privat-Partnerschaften) setzt.

Kaum Schulungen

79 Prozent der von Accenture befragten Verwaltungsmanager gaben an, im Bereich Internet verstärkt mit der Privatwirtschaft zusammenarbeiten zu wollen. 59 Prozent denken sogar über Outsourcing-Möglichkeiten nach. Sicherheit ist für 75 Prozent aller befragten Staatsdiener ein wichtiger Faktor behördlicher Prozesse. Wenn man sich diesem Thema zuwendet, ist der Umgang mit Passwörtern zentral. Dass Mitarbeiter Passwörter richtig benutzen, ist eine grundlegende Trainingsaufgabe für Unternehmen und Staat. Zu kommunizieren ist dabei, dass Sicherheit nicht alleine Sache einer Behörde oder eines Konzerns ist. Es ist die Angelegenheit jedes Einzelnen! Des weiteren sind operative Aspekte wichtig: Wie erstelle ich ein Passwort? Wie sind die einheitlichen Regeln meiner Behörde, nach der ich mein individuelles Passwort erstellen muss? Wie muss ein Passwort zusammengesetzt sein? Wie lange ist ein Passwort gültig? Wann muss ich es ändern? In welcher Form müssen Passwörter hinterlegt werden? Im Alltag spielen diese Fragen eine untergeordnete Rolle: Faulheit kommt vor dem Fall! Passwörter werden selten und nicht gemäß der notwendigen Sicherheitsrichtlinien geändert. Ein katastrophaler Sicherheitsmangel! Es ist ein echtes Problem, dass es im Umgang mit Passwörtern nur unzureichende Schulungen gibt.

Was sich in der Wirtschaft bewährt hat…

Die
Beck et al. Services GmbH aus München sorgt im Umgang mit Passwörtern für mehr Sicherheit. Für ausgewählte Mitarbeiter der
Continental AG wurde ein E-Learning Kurs im unternehmenseigenen Intranet bereitgestellt. Dieser vermittelte alles Wissenswerte über den Gebrauch von Passwörtern. Basis des Kurses war ein internes Dokument mit Richtlinien der Continental AG. Die einheitlichen Regeln des Konzerns, die sogenannte Password Policy, konnten via technologiegestütztem Lernen schnell und unkompliziert an die Anwender verteilt werden. Praxisorientierte Übungen und Tests zum eigenen Überprüfen des Gelernten bereicherten die Informationsvermittlung. Die Systemexperten von Beck et al. Services strickten eine einstündige Lektion, die die Conti-Mitarbeiter für das Sicherheitsthema sensibilisierte und sie im einheitlichen und “sauberen” Umgang mit dem Passwort trainierte. Im Anschluss an die Kurslaufzeit wurde das Feedback der Anwender eingeholt. Demnach haben 79 Prozent der Kursteilnehmer den Kurs tatsächlich absolviert. Über 50 Prozent der Nutzer empfanden den Kurs Password Policy als “gut verständlich”. Für den IT-Dienstleister Beck et al. Services ergibt sich E-learning als logische Konsequenz aus dem IT-Support. “Wir können das Lernen nicht revolutionieren, denn lernen muss jeder User nach wie vor selbst. Aber wir stellen Anwendern Hilfe zur Verfügung. E-Learning ist hier ein zeit- und kostensparender Vermittlungskanal”, so Beck et al. Services Geschäftsführer Siegfried Lautenbacher. Mit Password Policy wurden etwa 20 Prozent der Kosten, die bei Präsenzschulung angefallen wären, gespart.

…kann dem Staat dienen

Für den staatlichen Bereich muss Sicherheit oberste Priorität haben. Die Erfahrungen, die bei der Continental AG mit Password Policy und Beck et al. Services gemacht wurden, könnten bei der Neuorganisation der staatlichen IT-Sicherheit nützlich sein. Bundesinnenminister Schily hat das Bundesamt für Sicherheit und Informationstechnik gebeten, gezielt Pilotprojekte zu unterstützen. Es ist hier aber wichtig, nicht nur an die Server und an die Umstellung der Computer an den Arbeitsplätzen zu denken (Stichwort Linux), sondern auch an die Schulung der Mitarbeiter im Bereich Passwort. Strategisch günstig wäre es, wenn die verschiedenen Prozesse Hand in Hand gehen würden. Der Erfolg von Password Policy hatte ein positives Nachspiel. Beck et al. Services bekam von der Continental AG den Auftrag, 21.000 User weltweit per E-Learning zu schulen. Der Reifenhersteller und Automobilzulieferer führt bis Ende 2002 Lotus Notes R5 als konzernweite Messaging- und Groupware-Plattform ein. Zu diesem Zweck werden acht E-Learning Kurse konzipiert und in zwölf Sprachen zur Verfügung gestellt.

Der Autor ist Mitarbeiter der Beck et al. Services GmbH München im Bereich Public Relations & Marketing.