Die Unterhaltungsindustrie täte gut daran, ihre Ansprüche und vor allem ihr Geschäftsmodell zu überprüfen und an die Realität des Informationszeitalters anzupassen. Es ist nun einmal eine Tatsache, dass Daten in digitaler Form unabhängig von ihrem Inhalt beliebig verlustfrei und praktisch kostenlos kopiert werden können. Einen technischen Schutz, der die Nutzung dieser Daten gezielt steuern liesse gibt es nicht und kann es prinzipbedingt gar nicht geben, ohne die Privatsphäre der Nutzer vollständig abzuschaffen. Dies hat einen grossen Einfluss sowohl auf Immaterialgüter als auch auf den Datenschutz. Es wäre an der Zeit, dass diese Tatsachen endlich auch eine entsprechende Berücksichtigung in der Gesetzgebung finden würden. Diese hinkt der technologischen Entwicklung leider um Jahrzehnte hinterher.

Was haben der Irak und Afghanistan mit 9/11 zu tun? Gar nichts! Sadam Hussein sympathisierte lediglich mit Al Kaida, weil diese den gleichen Feind bekämpfte, und Bin Laden hatte sich angeblich bei den Afghanen versteckt, wofür bis heute kein einziger Beweis veröffentlicht wurde. Das reichte dann aber schon als Rechtfertigung, um in die jeweiligen Länder mit brutalster Militärgewalt einzufallen, massenhaft Menschen zu ermorden und grosse Teile der Infrastruktur dem Erdboden gleich zu mache, um selbige kurz darauf selber wieder aufzubauen. Die Aufträge dazu erhalten US-Unternehmen und bezahlt wird das Ganze auf Kosten des Steuerzahlers, der für die auf Pump finanzierte staatliche Konjunkturförderung unter humanitärer Flagge gerade stehen darf. Tausende Menschen mussten mit ihrem Leben für den “Krieg gegen den Terror” bezahlen. Da darf dann wohl die Frage erlaubt sein, wer denn nun eigentlich wirklich der Terrorist ist.

9/11 – die Terrorlüge wird 10 Jahre alt

Der 11. September 2001 ist gleich nach Christi Geburt das wohl prägendste Ereignis der jüngeren Menschheitsgeschichte. Es hat die Gesellschaft und das Leben auf dem ganzen Planeten Erde innert weniger Jahre verändert wie sonst kein anderes Ereignis. Entstanden ist eine Kultur der Angst und Einschüchterung. Die sowohl von den Mainstream-Medien als auch von den meisten Politikern allseits beschworene Terrorgefahr hat zur Paranoia in weiten Teilen der Bevölkerung geführt und neuen Überwachungs- und Sicherheits-Gesetzen den Weg geebnet, mit denen Grundrechte wie die Privatsphäre schrittweise abgebaut und soziale Errungenschaften mit Füssen getreten werden. Im Namen der Sicherheit müssen wir uns bespitzeln und überwachen lassen. Reisen, Finanztransaktionen und jegliche Art der Kommunikation über elektronische Verbindungen – alles wird ohne jeglichen Verdacht auf eine Straftat protokolliert, weil seit 9/11 jeder unter Generalverdacht steht, ein Terrorist zu sein.

Die Angst vor dem Terror wurde uns systematisch in die Gene programmiert. Wir akzeptieren alles, was im Namen unserer Sicherheit getan wird. Sogar bei Open Air Konzerten und Quartierfesten wird heute ein Aufwand für die “Sicherheit” betrieben, der früher höchstens beim Besuch von Staatsoberhäuptern üblich war. Absurd, pervers und einfach nur irre!

“Die Alarmstufe muss erhöht werden, auch wenn das unter Umständen kostspielig wird.”, fordert Lars-Erik Cederman, Professor am Institut für Internationale Konfliktforschung der ETH Zürich. Er spricht von der Notwendigkeit intensivierter Geheimdienstarbeit und von Überwachung von Webseiten mit spezifischen Inhalten (zum Beispiel Hass gegen Fremde). Seine Begründung offenbart jedoch seinen eigenen Zwiespalt: “Selbstverständlich muss jede Präventivmassnahme und jede Untersuchung die Menschenrechte und die Meinungsfreiheit respektieren. Aber die Gesellschaft hat ein Recht, sich gegen tödliche Gefahren zu schützen. Dieses Recht muss von der Polizei und vom Geheimdienst wahrgenommen werden. Die tragischen Ereignisse in Oslo und Utöya zeigen, dass derartige Bemühungen in Norwegen bisher möglicherweise nicht ausreichend waren.”

Auch im deutschen Bundestag werden wieder Stimmen nach einer Neuauflage der erst kürzlich vom Bundesverfassungsgericht verworfenen Vorratsdatenspeicherung und nach Einführung einer “Datei für auffällig gewordene Personen” laut und der Chef des österreichischen Bundesamtes für Verfassungsschutz, Peter Gridling, fordert ein stärker auf Daten konzentriertes Vorgehen. Obschon alle zugeben, dass es eine hundertprozentige Sicherheit nicht geben kann, verlangen die Sicherheitsfetischisten immer mehr Massnahmen, welche massiv in die Grundrechte und die Privatsphäre jedes Bürgers eingreifen, ohne jedoch den dadurch angeblich gewonnen Zuwachs an Sicherheit auch nur ansatzweise beziffern zu können.

Seit den Anschlägen vom 11. September 2001 auf die Türme des World Trade Centers in New York wurden als Erstes die Sicherheitsmassnahmen im Flugverkehr massiv verschärft. Von den irren Auswüchsen des Sicherheitswahns durfte ich mich zum Auftakt meiner Ferien am Flughafen in Zürich-Kloten persönlich überzeugen. Meiner Frau wurde die noch zu ca. 1.8 dl volle Sonnencreme abgenommen, die sie ins Handgepäck steckte, weil der Koffer schon zu war. Keine 20 Meter nach der Sicherheitskontrolle jedoch befanden sich ein Zollfrei-Shop und gleich daneben ein Kiosk. Dort konnte man sich literweise mit Hochprozentigem in Glasflaschen, mit Feuerzeugen, Zeitschriften, Taschentüchern, Make-up, verschiedenen Bonbons und Kaugummis und allem, was man als Freizeit-Terrorist sonst noch so alles für eine flugzeugerwärmende Brandbombe oder Waffen aus scharfem Glas braucht, ungehindert eindecken! Abgesehen davon wäre es ein Kinderspiel, Magnesiumpulver in Puderdosen oder Thermit in Medikamentenkapseln umbemerkt durch die Sicherheitskontrollen zu schleusen, um den Flugzeugboden an der richtigen Stelle über dem Kabelbaum durchschmelzen zu lassen und praktisch die gesamte Elektronik ausser Funktion zu setzen.

Man braucht weder Chemiker, noch Physiker oder Ingenieur zu sein, um es terrormässig krachen zu lassen oder ein Massaker und Blutbad wie in Norwegen anzurichten. Wer aber zur Gewalt gegen die eigene Bevölkerung aufruft, um sie angeblich gegen die Gewalt weniger, einzelner Psychopathen zu schützen, sollte als Terrorist ebenso weggesperrt werden wie die Amokläufer selber!

Die Zukunft vorauszusagen, war schon immer ein Traum vieler Menschen. So wurden schon die verschiedensten Verfahren entwickelt, um mit Hilfe meist statistischer Methoden aus den Daten der Vergangenheit die nahe Zukunft extrapolieren zu können. Auch aus Befragungen werden Rückschlüsse auf Trends und Prognosen abgeleitet. Vor allem die Befragung von “Experten” ist eine bei Meinungs- und Trendforschern besonders beliebte Methode. Durch den Handel mit solchen Prognosen erhofft man sich besonders viel Erfolg. Im “Prediction Market” für IT-Sicherheitsprobleme sollen Anteile an Einschätzung der Bedrohungslage im Internet wie Optionen an der Börse gehandelt werden. Aus dem Handel mit diesen Risikozertifikaten resultiert dann ein Kurs und dieser soll ein Indiz für die Wahrscheinlichkeit sein, dass die Prognose richtig ist. Voraussetzung ist, dass es sich um Hypothesen mit potenziell strafrechtlich relevanten Konsequenzen handelt. Angeblich soll die Treffsicherheit von solchen Prognosebörsen bestechend sein.

Doch was so verrückt klingt, ist es auch. Für mich sieht das sehr nach Wahrsagerei und einem Wettgeschäft mit (selbsterfüllenden) Prophezeiungen aus. Wenn sich dann auch noch die Übeltäter selber unter die Prognose-Börsianer mischen und den Handel mit ihrem Insiderwissen manipulieren, ist das Chaos perfekt. Schliesslich gibt es wahrscheinlich kaum Experten mit mehr Erfahrung als die Urheber von Sicherheitsbedrohungen selbst. Eine solch unausgereifte Prognoselösung kann nur aus Absurdistan stammen. Ein bisschen erinnert mich das Ganze an den realen Börsenhandel und die Rating-Agenturen, die mit ihren Einschätzungen, Bewertungen und Prognosen den Markt in nicht selten höchst krimineller Art und Weise manipulieren.

Wenn es wie im „Gesetzentwurf zur Optimierung der Geldwäscheprävention“ beschrieben nach dem Willen der deutschen Bundesregierung geht, soll also künftig ein riesiger Stasi-Apparat zur Überwachung praktisch aller Geldflüsse aufgebaut werden. Und natürlich soll damit auch der internationale Terrorismus bekämpft werden, auch wenn dadurch die Grundrechte jedes Bürgers immer mehr eingeschränkt werden. Wieder einmal mehr soll ein grosses Stück Privatsphäre für eine fiktive Sicherheit geopfert werden.

Wer macht die Gesetze?

Eigentlich stammt dieser “Wille” der Bundesregierung von der “Financial Action Task Force on Money Laundering” (FATF),  die 1989 von den G-7 Staaten zur Geldwäschereibekämpfung ins Leben gerufen wurde, wie auch aus dem Kapitel “Problem und Ziele” in besagtem Gesetzesentwurf hervorgeht:

“Die gesetzlichen Grundlagen gegen Geldwäsche und Terrorismusfinanzierung in Deutschland werden maßgeblich von Standards im internationalen Kontext bestimmt. Neben den Richtlinien des Rates und des Europäischen Parlaments sind dies als Motor der internationalen Geldwäschebekämpfung die Empfehlungen der Financial Action Task Force on Money Laundering (FATF). Die FATF ist ein zwischenstaatliches Gremium, das mit eigenem Budget und Personal bei der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) in Paris angesiedelt ist. Deutschland ist als eines der Gründungsmitglieder der FATF aktiv an der Erarbeitung und Weiterentwicklung der international anerkannten Standards zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (der so genannten 40+9-FATF-Empfehlungen) beteiligt und hat sich stets zur nationalen Umsetzung der FATF-Empfehlungen bekannt. Die 36 Mitgliedsländer der FATF haben sich verpflichtet, diese Standards in nationales Recht umzusetzen und deren Umsetzung in regelmäßigen Abständen von der FATF überprüfen zu lassen.”

Da beschliesst ein Gremium von OECD-Bürokraten im stillen Kämmerchen, welche Gesetze in 36 Staaten (zu denen übrigens auch die Schweiz gehört) eingeführt werden müssen. Demokratie ist hier ein Fremdwort.

Von “Defiziten im deutschen Rechtssystem bei der Bekämpfung von Geldwäsche und Terrorismusfinanzierung” und von “die „Sauberkeit“ des Wirtschaftsstandorts Deutschland sicherstellen” ist im Gesetzesentwurf die Rede und davon, dass es keine Alternativen gäbe, um die gesetzten Ziele (wessen eigentlich?) zu erreichen. Solche Politphrasen sind uns schon längst vertraut und wirken nicht unbedingt vertrauensbildend. Etwas widersprüchlich erscheint mir zudem die Aussage: “Mit Blick auf das Ziel, die Bürokratiebelastung aus gesetzlich veranlassten Informationspflichten zu reduzieren, leistet der vorliegende Gesetzentwurf einen wichtigen Beitrag”, wenn es zwei Sätze weiter heisst: “Im Rahmen der ex ante Schätzung ist mit dem vorliegenden Entwurf eine Nettobelastung in Höhe von rund 885’000 Euro zu erwarten” – wohlgemerkt, allein für die Wirtschaft! Hinzu kommen die Bürokratiekosten für die Verwaltung und die Bürokratiebelastungen für die Bürgerinnen und Bürger. Ob diese 885’000 Euro einmalig oder jährlich wiederkehrend anfallen, wird bewusst im Unklaren gelassen. Es dürfte sich um jährlich wiederkehrende Kosten handeln (womit der Initialaufwand zur Erweiterung der Finanz-Stasi noch gar nicht eingerechnet ist), wobei dieser Betrag um zwei Nullen zu klein “berechnet” wurde.

In der Schweiz ist man noch nicht ganz so weit, auch wenn auch bei uns Gesetze zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung praktisch am Volkssouverän vorbei eingeführt werden, ohne dass dies in den Massenmedien erwähnt würde. Doch hat man in Helvetien bei der Eidgenössischen Finanzmarktaufsicht FINMA zum Glück noch eine etwas moderatere Interpretation der FATF und ihren “Empfehlungen”:

“Die FATF hat 49 Empfehlungen veröffentlicht. Obwohl diese Empfehlungen kein unmittelbar bindendes Recht («soft law») darstellen, werden sie auf internationaler Ebene als verbindlich anerkannt. Sie definieren die Massnahmen, die ein Land ergreifen muss, um Geldwäscherei und Terrorismusfinanzierung wirksam zu bekämpfen. Die Weltbank, der IWF und der Sicherheitsrat der UNO haben sie offiziell als internationale Standards anerkannt, und rund 150 Länder weltweit haben sich verpflichtet, sich daran zu halten. Es handelt sich um 40 Empfehlungen zur Bekämpfung der Geldwäscherei, die im Juni 2003 grundlegend überarbeitet wurden, sowie 9 spezielle Empfehlungen zur Bekämpfung der Terrorismusfinanzierung, die nach den Anschlägen vom 11. September 2001 verabschiedet wurden. Die Schweizer Standards zur Sorgfaltspflicht von Banken und anderen Finanzintermediären entsprechen den Anforderungen der FATF.”

Trotzdem geht aus diesen Worten klar hervor, dass die Schweiz in ihrer Gesetzgebung und Rechtsprechung immer mehr dem Druck einer internationalen Finanz-Stasi ausgesetzt ist und das Schweizer Volk (wie andere Nationen schon seit längerem) immer mehr an Einfluss auf seine eigenen Gesetze verliert. Das zeigt sich nicht zuletzt an den Information zu solchen Themen, die nicht einmal mehr in den Landessprachen sondern lediglich in Englisch publiziert werden, wie der Bericht des Staatssekretariats für Wirtschaft SECO zur internationalen Konferenz der Finanzermittlungsbehörden (Financial Intelligence Units) im Februar 2011 in Baku (Aserbaidschan) zeigt. Offenbar soll der Bürger möglichst wenig verstehen, was auf der internationalen Ebene vorbereitet wird.

Nur ein weiteres Puzzle-Stück

Irgendwie erinnert dieser Gesetzesentwurf der Deutschen stark an die Vorratsdatenspeicherung, bei der sämtliche Kommunikationsdaten von den Anbietern ohne jeglichen Verdacht und ohne einen nach Prüfung der Notwendigkeit und Verhältnismässigkeit erfolgten Gerichtsbeschluss gespeichert und für allfällige Ermittlungen den zuständigen Behörden über mehrere Monate zur Verfügung gehalten werden müssen. Dass im Finanzbereich dafür ein anderer Begriff verwendet wird, scheint mir weder logisch und noch konsequent zu sein. Dabei handelt es sich doch um die verdachtsunabhängige Speicherung von Finanztransaktionsdaten auf Vorrat.

Früher haben wir die Stasi der DDR als ein verabscheuenswürdiges Instrument einer totalitären Diktatur einer selbsternannten Volkselite verurteilt. Heute hingegen bauen wir unsere eigene Stasi, welche die alte DDR-Stasi um Längen in den Schatten stellt und sie wie Pfadfinder aussehen lässt. Wie lange wollen oder müssen wir uns dies noch gefallen lassen? Eine totalitäre Weltdiktatur mag man vielerorts als realitätsfremde “Verschwörungstheorie” abtun. Doch wenn man die internationale Finanz-Stasi etwas genauer unter die Lupe nimmt, ist es eigentlich genau das, was hier scheinbar unaufhaltsam in Entstehung ist: eine internationale Finanzdiktatur. Gerüchte über die gänzliche Abschaffung von Bargeld und die Einführung eines vollelektronischen Zahlungssystems, bei dem sich jede Transaktion noch lange nachher eruieren und den involvierten Parteien zuordnen lässt (wie das uns schon länger in US-Krimiserien indoktriniert wird) sind immer schwerer von der Hand zu weisen.

Daneben darf man nicht vergessen, dass in Europa bereits auch alle Flugpassagierdaten 13 Jahre lang aufbewahrt und ebenso wie alle Transaktionen im elektronischen Zahlungsverkehr den US-Geheimdiensten zugänglich gemacht werden. Alles im Namen der “internationalen Terrorbekämpfung”. Dabei betreiben gerade die USA mit ihren Verbündeten selber den grössten internationalen Terrorismus und erfüllen alle Kriterien von Ex-Präsident George W. Bush, um selber zur “Achse des Bösen” gezählt zu werden. Sollten wir da nicht besser in erster Linie die Finanztransaktionen der US-Regierung und -Behörden sowie des US-Militärs unter die Lupe nehmen und die Reisen von US-Agenten auswerten, um Klarheit über die Finanzierung des internationalen Terrorismus zu erhalten?

Die Welt im Informationskrieg

Die Informationsgesellschaft zeichnet sich dadurch aus, dass mit Informationen Krieg geführt wird. Je mehr Informationen über jemanden vorhanden sind, desto besser kann dieser wiederum mit gezielten “Informationen” bedient und damit manipuliert werden. Das alte Sprichwort “Wissen ist Macht” gewinnt in der aktuellen Zeit immer mehr an Bedeutung. Manchmal wünsche ich mir, dass Computer und elektronische Kommunikationsnetzwerke nie erfunden worden wären.

Microsoft verkauft “Kinect” zur Erweiterung der Xbox 360 als Revolution und das Ding hat durchaus Potential, zum Renner zu werden, zumal auch der Preis von 150 Euro beziehungsweise 199 Schweizer Franken alles andere als überrissen ist. Mit Kinect kommt die Spielkonsole ohne Controller aus, denn Kinect funktioniert wie ein 3D-Touchscreen, nur dass es nicht mit den Fingern sondern mit dem ganzen Körper gesteuert wird. Couch Potatoes werden kaum Gefallen daran finden. Das ist nur etwas für bewegungsaktive Menschen und für solche, die nichts zu verbergen haben und sich gerne ausspionieren lassen …

(Nein, ich werde von Microsoft nicht für diesen Werbespot bezahlt!)

Kinect besteht aus einer Infrarot-Lampe, einer 3D-Kamera und vier Mikrofonen und erfasst ein dreidimensionales Bild mit Ton. Die ganze Einheit lässt sich über eine Motorsteuerung auf ein Objekt ausrichten. Während des Spiels registriert die Kamera alle Bewegungen des Spielers und errechnet aus den Bilddaten seine Position und die Bewegungen des nachgebildeten Skelett-Modells. Der Spieler kann Arme und Beine zur Bewegungssteuerung nutzen und ein Abbild des Spielers kann in eine virtuelle Umgebung eingebunden werden, welche seine Bewegungen praktisch zeitgleich (wenn auch noch etwas verzögert) kopiert. Kinect steht für den technologischen Fortschritt (nicht nur) in der Spielwelt und es wird wohl nicht mehr lange dauern, bis eine ausgereiftere Spracherkennung zur Steuerung folgt, die heute schon die TV-Fernbedienung überflüssig macht, jeder in seiner eigenen Castingshow im Wohnzimmer zum Superstar werden, in MMOGs per Ganzkörpersteuerung die virtuelle Spielwelt körpernah erleben und in Spielfilmen über einen Avatar als Statist mitspielen kann.

Für Spielehersteller und die erlebnis- und bewegungsorientierte Unterhaltungsindustrie hat Microsoft neue Möglichkeiten für Wirtschaftswachstum geschaffen. Und Kinect kann noch einiges mehr. Es ermöglicht den Video-Chat unter Freunden von Stube zu Stube, macht auch Fotos und nimmt Videos auf, die auf dem Gerät lokal gespeichert werden, aber auch auf einen Facebook-Account hochgeladen und so anderen zugänglich gemacht werden können. Brrrringgg! Da klingelt bei mir natürlich sofort die Datenschutz-Alarmglocke. Geoffrey Tim vom Spieleportal Lazygamer hat die Nutzungsbedingungen etwas genauer unter die Lupe genommen und festgestellt, dass sich Microsoft darin das Recht sichert, Daten zu speichern und an Dritte weiterzugeben. Der Benutzer verzichtet ausdrücklich auf alle Rechte des Datenschutzes und der Veröffentlichung in Bezug auf seine Bilder. Werden diese dann zum Beispiel an eine Gesichtserkennungssoftware verfüttert, ist die personenbezogene Raumüberwachung perfekt.

Nachdem die Open-Source-Firma Adafruit für den ersten, der einen Open-Source-Treiber für Microsofts Bewegungssteuerung und 3D-Kamera Kinect entwickelt und veröffentlicht, ein Preisgeld von ursprünglich 1’000, dann 2’000 und zum Schluss 3’000 US-Dollar ausgesetzt hat, sind kurz darauf bereits die ersten beiden funktionsfähigen Lösungen im Netz aufgetaucht. Wenn der Gewinner seine Lösung innert weniger Stunden fertiggestellen konnte, kann die Programmierung einer Überwachungssoftware mit Gesichtserkennung auch keine Hexerei sein. Jedenfalls hat Adafruit mit dieser Aktion innert kürzester Zeit globale Bekanntheit erlangt. Eine hervorragende Werbeidee zu einem unschlagbaren Preis!

Kinect gehackt

Wenn sich die US-Sicherheitsbehörden bei IT-Sicherheitsfirmen wie Trend Micro und Symantec sowie auch bei Microsoft für Windows ein Hintertürchen ausbedingen, über das sie Benutzer gezielt ausspionieren können, kann man davon ausgehen, dass dies auch bei Spielkonsolen, die Einblicke in private Räume ermöglichen, der Fall sein wird. Terroristen sollten also nicht den nächsten Anschlag via Kinect-Video-Chat besprechen und nicht im selben Raum gleichzeitig Bomben basteln, während ihre Kollegen nebendran sich die Zeit mit der Spielkonsole vertreiben. Frohe Überwachung!

Datenschutz existiert de facto nur auf dem Papier. Die Praxis hingegen sieht sehr übel aus. Was technisch möglich ist und jemandem einen Nutzen verspricht, das wird auch gemacht – ganz ungeachtet irgendwelcher Gesetze, denn technische Mängel lassen sich nicht durch Gesetzesparagraphen schliessen. Wo neben begehrenswerten Daten auch eine Internetverbindung vorhanden ist, werden auch Apps, Plugins und Addons entwickelt, mit denen diese Daten abgesaugt werden. Das Ganze verpackt man in lustige Spiele und nützliche Anwendungen oder sogar in angebliche Sicherheitserweiterungen. Während diese ihren Dienst tun, sammeln sie nebenbei im Hintergrund unbemerkt Daten und schicken sie an ihren Heim-Server. Wie bei Apples iTunes wird der Benutzer bei der Installation manchmal sogar in unverschämter Weise dazu genötigt, solchem Treiben in den allgemeinen Lizenz- und Nutzungsbestimmungen zuzustimmen. Nur ganz wenige machen sich die Mühe, die meist unendlich langen, kompliziert formulierten und bewusst schlecht lesbar angezeigten Texte zu lesen, und noch weniger verstehen diese auch wirklich. Privatsphäre ist zur Handelsware geworden und Betroffenen haben meist keine Ahnung davon.

Dass naive Mitmenschen in sozialen Netzwerken ihre Privatsphäre öffentlich zugänglich machen, weil sie zum Exhibitionismus verleitet werden, zeugt zwar nicht unbedingt von deren Intelligenz, erfolgt aber mehr oder weniger aktiv und ist für die Betroffenen selber nachvollziehbar. Ganz anders hingegen ist das heimliche Ausspionieren der Privatsphäre durch Software oder die unautorisierte Weitergabe solcher Daten an Dritte zu bewerten. Hier haben die Betroffenen kaum eine bis gar keine Möglichkeit, von Rechtsverletzungen Kenntnis zu nehmen oder sie zu unterbinden.

Ignoranz auch unter Profis

Schon seit längerem diskutiere ich auch mit Informatiker-Kollegen die Risiken der unkontrollierbaren Apps auf Smartphones mit Internetverbindung und stosse immer wieder auf eine wahrlich erschreckende Ignoranz. Manchmal stehen mir echt die Haare zu Berge. Vieles wird lediglich als hypothetische Bedrohung oder potenzielles Risiko eingestuft und nicht ernst genommen. Dabei kann man kaum noch von ”Risiken” sprechen, denn diese sind bereits Realität. Anhand von ein paar ausgewählten Szenarien werde ich im Folgenden die bestehenden Sicherheits- und Datenschutzprobleme erläutern.

Phishing via Browser-Erweiterung

Der sicherheitsbedürftige Benutzer lädt sich eine Erweiterung zur Kontrolle von JavaScript, Flash-Inhalten oder Cookies herunter. Sobald er beim Online Shopping seine Kreditkartendaten eingibt oder sich beim E-Banking einloggt, werden diese Daten dem Urheber der installierten Erweiterung mitgeteilt. Falls diese Daten vom Spion nicht direkt genutzt werden können, weil zum Beispiel für den Abschluss einer Transaktion zusätzlich eine (“zufällig” generierte) TAN nötig ist, bleibt noch die Möglichkeit einer “man in the middle” Attacke, was die Latte zwar etwas höher setzt, für versierte Cyberkriminelle aber kaum ein ernsthaftes Hindernis darstellt. Dagegen hilft auch eine verschlüsselte Verbindung nichts, denn der Spion sitzt bereits auf dem eigenen Rechner und erlauscht die Daten, noch bevor sie verschlüsselt werden. Bis der Benutzer den “Datenklau” bemerkt, hat der Betrüger und Dieb dessen Konto bereits leer geräumt, das Geld über mehrere Konten, Länder und Plattformen elektronisch verschoben und dadurch die Verfolgung des Geldflusses praktisch unmöglich gemacht.

Genau so können auch alle im Browser gespeicherten Zugangsdaten (Benutzername und Passwort) zu Websites und Intranetzugängen ausspioniert werden. Im besten Fall hat man kurz darauf in einer virtuellen Online-Spielwelt all sein Spielgeld verzockt und ist auf die hintersten Ränge zurückgerutscht. Etwas blöder ist es, wenn der Spion Zugang zum Webserver erhält und den Webauftritt eines Unternehmens mit imageschädigenden und rechtswidrigen Inhalten verschandelt. Im schlimmeren Fall hat der Betrüger die Zugangsdaten zum Firmenrechner und kann die Geschäftsgeheimnisse, Patienten- und Kundendaten an den Meistbietenden verhökern. Ganz kritisch wird es, wenn es sich um den Zugang zu nicht ausreichend gesicherten Kraftwerken, Verkehrsleitzentralen, Kläranlagen oder Chemiewerken handelt.

Addons für die Marktdatenerhebung

Die Software-Erweiterung registriert alle aufgerufenen Websites, die Verweildauer auf diesen sowie die Sicherheitseinstellungen, mit denen die Websites besucht wurden. Die Erweiterung für den Email-Client protokolliert den gesamten Email-Verkehr und verschickt eine Kopie des gesamten Adressbuches. Der Datensammler kann aus diesen Daten ein sehr genaues und detailliertes Persönlichkeitsprofil des Nutzers erstellen. Er weiss, für welche Themen sich dieser interessiert, woher er seine Informationen bezieht, wem beziehungsweise welchen Websites er vertraut, wo er seine Online-Einkäufe tätigt und allenfalls sogar, mit welchen Leuten er in welcher Verbindung steht. Je genauer und detaillierter das aus diesen Daten gewonnene Persönlichkeitsprofil ist, desto höher ist dessen Marktwert. Da sowohl die Erhebung als auch die Auswertung der Daten vollautomatisch erfolgt, skalieren solche Aktionen sehr gut und generieren mit einem verhältnismässig geringen Aufwand sehr viel Daten und Geld. Das wohl meistverbreitete und prominenteste Beispiel für einen solchen Spion ist die Google Toolbar, die sich immer noch grosser Beliebtheit erfreut.

Jemand weiss, wo du gerade bist und was du tust und suchst

Nach dem nächstgelegenen Bancomat oder Restaurant über ein iPhone App zu suchen und Fahrpläne und Telefonnummern abzufragen, mag komfortabel sein, denn mit den übermittelten GPS-Informationen wird der aktuelle Standort des Benutzers bei der elektronischen Anfrage gleich mitgeliefert. Doch gerade das führt dazu, dass das Smartphone des Benutzers zum Echtzeit-Bewegungs-, Aktivitäts-, Such- und Absichtsmelders und der Benutzer gläsern wird. So lassen sich sehr aktuelle und situativ kurzfristig angepasste Persönlichkeits- und Nutzerprofile erstellen. Solche Informationen sind für Werbetreibende, Erpresser und Einbrecher gleichermassen interessant und nützlich. Wer glaubt, nur exhibitionistisch veranlagte Naivlinge würden ihren aktuellen Status im Minutentakt in die grosse, weite Welt hinaus twittern, sollte vielleicht sein Smartphone etwas genauer unter die Lupe nehmen.

Online-Überwachung leicht gemacht

Wie bei der Verhaltensanalyse zur Erstellung eines Konsumenten- beziehungsweise Persönlichkeitsprofils kann mit der Übermittlung der Benutzeraktivitäten in Echtzeit eine Personenüberwachung realisiert werden. Der Überwacher sieht alles, wie wenn er dem Überwachten über die Schulter schauen und dessen Bildschirm und Tastatureingaben beobachten würde. Zusätzlich liegen diese Informationen auch noch in digitaler Form vor und können für spätere Verwendungen gespeichert werden.

Wie bringt man die Spione unters Volk?

Nicht alle Softwareerweiterungen bergen von Anfang an Spionage- oder Schadsoftware. Manche leisten zuerst wirklich nützliche und unterhaltsame Dienste und warten ab, bis sie einen grossen Nutzerkreis erreicht haben, bevor sie bei einem Update zum Bösewicht mutieren. Haben sie sich erst einmal auf einem Gerät eingenistet, laden sie weitere Schadsoftware nach, sofern es das Gerät erlaubt, was meist der Fall ist. Braucht es zur Installation die Einwilligung des Benutzers, wird diesem ein zumindest für die meisten Laien plausibler Grund vorgegaukelt. Da viele Benutzer von der ständig steigenden Anzahl von Hinweisen und Warnmeldungen eh schon genervt sind und die Schnauze voll haben, werden sie der Installation meist zustimmen, ohne den Text vorher gelesen zu haben. Für die Spione und Schädlinge heisst es dann: “Freie Bahn mit Marzipan!”.

Auch Netzwerkgeräte telefonieren nach Hause

Wer nun denkt, das sei schon alles gewesen, sollte einmal seine übrigen im Computer-Netzwerk angeschlossenen Geräte etwas genauer unter die Lupe nehmen. Wer einen Netzwerkdrucker angeschlossen hat, kann (entsprechende Software und Kenntnisse vorausgesetzt) beobachten, dass diese Geräte oft keine stummen Diener sind. Regelmässig nehmen sie Kontakt mit einem Server ihrer Hersteller auf, um diesem Daten  über die Nutzung des Gerätes zu übermitteln. Was sollte einen Multifunktions-Scanner daran hindern, Kopien an eine Adresse ausserhalb des lokalen Netzwerks zu verschicken?

Während man Geräten innerhalb eines lokalen Netzwerks – entsprechende technische Kenntnisse vorausgesetzt – via Firewall einen Maulkorb verpassen kann, lassen sich die Geräte am äussersten Rand des Netzwerks von innerhalb des Netzwerks überhaupt nicht kontrollieren. Wer weiss schon, welche Daten sein ADSL-Modem verschickt? Wieso sollte ein solches Ding nicht ein Duplikat eines Datenpaketes an eine Sicherheitsbehörde verschicken, wenn es terrorismusnahe Begriffe im Datenstrom findet? Na, werden wir endlich langsam paranoid?

Wie schütze ich mich?

Auf diese Frage gibt es leider keine befriedigende Antwort. Wie schon oben erwähnt sind die Sicherheitslücken systembedingt. Wollte man sich vor Spionage, Überwachung und Betrug effektiv schützen, müsste man auf all die Annehmlichkeiten der kleinen Helfer gänzlich verzichten. So bleibt einem nur, nicht jeden Mist herunterzuladen und zu installieren und zu hoffen, dass einem die Helferchen und deren Entwickler wohlgesinnt sind. Andernfalls hilft nur Abstinenz, was für manch einen ein Problem darstellt. Sind wir wirklich schon so süchtig nach und abhängig von den Errungenschaften der Technik?

“Buugle” von Alexander Lehmann

RFID-Chips finden heute auch in Bereichen Anwendung, wo sie aufgrund ihrer technologiebedingten Sicherheitsmängel grundsätzlich nichts verloren haben: Kennzeichnung von Haustieren, Eintritts- und Saisonkarten für Hallenbäder und Skilifte, Bahnkarten und Flugtickets, elektronische Personenausweise (Reisepässe, Identitätskarten, Mitarbeiterausweise), Kreditkarten, Medikamentenverpackungen, Patientenkarten und elektronische Schlösser aller Art (Haus, Auto, Hotelzimmer). Ein RFID-Chip macht jedes Objekt jederzeit und mit der entsprechenden Ausrüstung auch aus einer Distanz von bis zu 500 Meter identifizierbar und damit überwachbar, was Datenschützer Sturm laufen lässt. Die kleinen Spione sind immer dabei und das freut nicht nur die Polizei sondern auch Marktdatensammler und Terroristen.

RFID lässt sich mit den aktuellen technischen Möglichkeiten auch unter Einsatz von Datenverschlüsselung nicht wirklich sicher machen, denn diese hat verschiedene Lücken, die von einem Fachkundigen mit minimalster Ausrüstung (Notebook und RFID-Leser – siehe auch Beitrag von Boing Boing TV) und relativ geringem Aufwand ausgenützt werden können, ohne dass dieser dabei irgendwelche Spuren hinterlässt. Die technischen Mängel und deren Risiken sowie die sozialen Auswirkungen habe ich bereits vor einiger Zeit im Zusammenhang mit der Abstimmung über die Einführung biometrischer Reisepässe in der Schweiz 2009 ausführlich beschrieben.

Adam Savage wollte mit seinen Kollegen von den MythBusters bei Discovery den Mythos von der Sicherheit der RFID-Technologie vor einem breiten Publikum endgültig entweihen. Warum das aber nie geschehen wird, erzählte Adam an der Hacker-Konferenz “The Last H.O.P.E.” (Hackers On Planet Earth) im Juli 2008 im Hotel Pennsylvania in New York City. Als sie während den Vorbereitungen technische Details in einer Telefonkonferenz mit Texas Instruments (einer der Hersteller von RFID-Chips) besprechen wollten, tauchten am anderen Ende der Leitung plötzlich die Chefjuristen der Kreditkartenfirmen American Express, Visa, Discover und andere auf und machten bei Discovery Druck, die geplante Folge nicht zu senden. Da der Sender von Werbeeinnahmen lebt, gab er schliesslich klein bei.

Ausschnitt aus “Hope2601 – Adam Savage – Fascination with the Dodo Bird” (ab Minute 45)

Solch ökonomisch motivierte Selbstzensur gehört heute bei den Medien leider zur Normalität. Ebenso wurde mit Ausnahme des WDR auch nicht in den Medien berichtet, dass erst kürzliche am Pascal Gymnasium in Grevenbroich (dort wo Chefredaktor Horst Schlämmer beim Tagblatt sein Unwesen treibt) ein paar Gymnasiasten im Physikunterricht unter Anleitung von Lehrer Werner Kirchhoff einen Personalausweis (schliesslich sind alle Deutsch Angestellte der Deutschland AG) mit Lötkolben, Zange und einem Fotoapparat ausser Funktion gesetzt haben. Einzig der WDR hat darüber am 13.09.2010 berichtet, musste das Video aber kurz darauf wieder vom Netz nehmen. Es erschien längere Zeit nur noch ein Netzwerkfehler mit der Meldung “Datei nicht vorhanden”. Doch später wurde der Beitrag wieder freigegeben. Auf YouTube gibt es zum Glück Dutzende solcher Videos, die zeigen, wie das geht:

Das funktioniert übrigens auch mit einer Zündspule aus einem älteren Auto (die haben noch so Dinger eingebaut) und einem Kondensator aus einem ausgedienten Receiver und hinterlässt keinerlei Spuren. Auch in der Mikrowelle wird der Chip zerstört, hinterlässt aber ein Brandloch in der Plastikkarte. Da die neuen, digitalen Ausweis auch bei defektem Chip gültig bleiben, tut sich mit der Deaktivierung durch elektromagnetische Schockwellen eine Möglichkeit auf, den Datenschutz auch bei biometrischen Ausweisen wiederherzustellen.

Privatsphäre scheint im Internetzeitalter zu einem Privileg und Luxusgut geworden zu sein. Wer im digitalen Netz nicht existiert, wird als suspekt eingestuft, denn wahrscheinlich hat er etwas zu verbergen. Sonst würde er ja schliesslich am sozialen Leben in virtuellen Welten teilnehmen und andere daran teilhaben lassen. Wer sich dem verweigert, muss folglich asozial sein. Das Fliegenpapier ist noch nicht voll. Täglich strömen immer noch neue Benutzer zu den sozialen Netzwerken, während für andere das Ende des Web-2.0-Hypes bereits begonnen hat. Allein schon die Tatsache, dass man einem Webzeitalter eine Versionsnummer verpasst, zeigt dessen Vergänglichkeit und sagt uns, dass es spätestens beim Erscheinen der nächsten Versionsnummer überholt und Schnee von gestern sein wird.

Sicher haben uns neue Webtechnologien neue Möglichkeiten und Annehmlichkeiten beschert. Nicht nur Wikipedia sondern das ganze Web ist ein riesiger Fundus für Recherchen aller Art. Telefonverzeichnisse, Strassenkarten, Zugfahrpläne, Einkäufe, Flugbuchungen und Hotelreservationen via Web gehören heute zum Alltag und einiges davon möchte auch ich nicht mehr missen. Besonders als alternatives Informationsmedium zu den Mainstream-Medien und als Hilfsmittel für die politische und demokratische Meinungsbildung sowie die Sensibilisierung und Mobilisierung für gewisse Themen hat sich das Web etabliert. Während George W. Bush und seine Kollegen die Zeichen der Zeit verschlafen haben, gelang es Barack Obama und seinen Helfern, im Web zu punkten und Wähler zu mobilisieren, um den Wahlkampf für sich entscheiden können.

Für viele Internetsüchtige wird das Web auf der Jagd nach falschen, virtuellen Freunden allerdings zur sozialen Falle und zum Zeitdieb. Würde jemand aus dem 19. Jahrhundert mit der Zeitmaschine in die Gegenwart reisen, so wäre er ob unserem Treiben im Cyberspace mit Facebook, MySpace, YouTube, Twitter und Co. sicher befremdet:

Immer mehr Menschen haben genug davon, sich zum Sklaven einer virtuellen Online-Gemeinschaft zu machen, ständig Ego-Botschaften verschicken und die ihrer “Freunde” kommentieren zu müssen. Schliesslich müssen die Daten zum Online-Leben ständig aktuell gehalten werden. Ansonsten verstaubt das Online-Profil. Doch das hält kein gesunder Mensch jahrelang aus. Wer wieder voll und ganz Herr über sein eigenes Leben sein will, dem bleibt nur die Trennung von seinen Online-Identitäten:

Wie erholsam ein Wochenende ohne Computer und Internet sein kann, habe ich selber gerade erst vor zweieinhalb Wochen beim Wandern in Davos erfahren dürfen. Auch echte Partys mit echten Freunden und richtigem Bier und Wein zu nicht in der Retorte synthetisierter Musik steigern die Lebensqualität in für viele Online-Sklaven längst vergessener Art und Weise:

Wenn es sich nur um einen einzigen Kamerawagen handeln würde, könnte man Google die Geschichte mit etwas Wohlwollen noch glauben. Doch es sind Dutzende Wagen in verschiedenen Ländern über einen Zeitraum von Monaten und Jahren. Folglich kann es ich nicht um ein Versehen handeln, sondern man kann von einer systematischen und beabsichtigten Datenerfassung ausgehen. Der Vertrauensverlust in Google und seine Dienste ist gross, denn dieser Vorfall zeigt wieder einmal in aller Deutlichkeit den Umgang von Google mit der Privatsphäre und dem Datenschutz. Der Googlekritiker und Autor der “Googlefalle” Gerald Reischl sieht dies auch schon als den Anfang von Googles Abstieg. Mit einer simplen “Entschuldigung” seitens Google und der Löschung der Daten ist es also bei Weitem nicht getan. So einfach, wie man sich die Löschung der Daten übrigens vorstellt, ist das nämlich gar nicht, denn von den gesammelten Daten bestehen Backups. Diese Sicherheitskopien werden aus Sicherheitsgründen an verschiedenen Lokationen gespeichert und man kann bei Google davon ausgehen, dass diese Backups auf der ganzen Welt verteilt sind. Entsprechend schwierig und aufwendig wird es sein, die gesammelten Daten zu vernichten. Sollte Google damit bereits selbständig beginnen, bevor die Ermittlungsverfahren zu den nun eingereichten Strafanzeigen abgeschlossen sind, würde Beweismaterial vernichtet. Der Fall dürfte viele Ermittler und Juristen noch eine Weile beschäftigen.

Es wäre aber falsch, die Datenschutzproblematik allein auf die Datensammelwut von Google zu beschränken. Microsoft war einer der ersten systematischen Datensammler und ist in den letzten Jahren diesbezüglich leider fast ganz in Vergessenheit geraten. Ganz von der Watchlist der Datenspione streichen sollte man “Kleinweich” aber keinesfalls, wenn auch der “Fensterhersteller” es vergleichsweise nicht ganz so dreist treibt wie andere Unternehmen. Facebook füllte in den vergangenen Monaten die Schlagzeilen mit Daten- und Sicherheitspannen sowie generell mit seinem “laschen” Umgang mit den persönlichen Daten seiner Benutzer. Mindestens so schlimm ist aber auch Apple. Jedes Apple-Gadget (iPhone, iPad, iPod), das über einen Internetzugang verfügt, sammelt Daten zu den Nutzungsgewohnheiten seines Besitzers und schickt diese an einen zentralen (Apple-) Rechner zur Auswertung wie es auch die Software iTunes auf dem PC tut. Über das Konto bei iTunes oder im App Store können diese Daten dem Benutzer eindeutig zugeordnet werden. Gleiches gilt auch für Spielkonsolen mit Internetanschluss wie den Nintendo Wii, die Sony Playstation oder die Microsoft Xbox.

Leider fehlt es immer noch an Gesetzen, welche Anbietern verbieten, ihre Konsumenten heimlich auszuspionieren oder sie bei der Inbetriebnahme von Soft- oder Hardware beim Abnicken der Lizenzbedingungen zur Zustimmung zu solchen systematischen Verletzungen der Privatsphäre zu nötigen. Die Legislative verschläft wieder einmal die technologische Entwicklung.

https://ssl.facebook.com/help/contact.php?show_form=delete_account

Alternativ dazu können Profile auf sozialen Netzwerken wie Facebook, MySpace, LinkedIn oder Twitter auch mit der Web 2.0 Suicide Machine gelöscht werden:

Leider ist die Suicide Machine im Moment gerade ausser Betrieb, weil die Website gemäss eigenen Angaben gehackt und lahmgelegt wurde. Ein Racheakt von einer der grossen Plattformen ist nicht nur nicht auszuschliessen sondern sogar recht wahrscheinlich. Schliesslich hat der Betreiber und Entwickler moddr_ vor zwei Monaten bereits Drohungen vom Facebook-Anwalt erhalten:

Ein Kampf von David gegen Goliath ist entbrannt …

… und während Facebook gegen die virtuelle Selbstmord-Maschine kämpft, bauen ein paar Studenten aus New York an einer Konkurrenz-Plattform, welche die Mitglieder nicht zur Offenlegung ihrer Privatspähe nötigt. Am 24. April hatten Maxwell, Daniel, Raphael und Ilya auf Kickstarter zu einer Spendenaktion für ihr Projekt “Diaspora” aufgerufen und wollten bis zum 1. Juni 10’000 US-Dollar sammeln. Heute Nachmittag sind es bereits USD 26’047.- von 844 Backers (Unterstützern):

Mal schauen, wie sich das Projekt entwickelt. Jedenfalls findet es bereits grossen Anklang, noch bevor es richtig begonnen hat.

Update vom 13.05.2010

Wow, die Nachricht vom diaspora*-Projekt scheint wie eine kleine Bombe eingeschlagen zu haben! Der heute um 16:31 Uhr (CET) von 2171 Backers zugesichte Finanzierungsbetrag beläuft sich mittlerweile auf USD 92’616.- und wächst praktisch von Minute zu Minute. Es würde mich nicht wundern, wenn die Jungs in den noch verbleibenden 19 Tagen der Sammelaktion auf eine Million US-Dollar kämen.

• Intelligente Stromzähler (Smart Meters)
• Forschung mit Personendaten
• Online-Zugriffe auf Personendaten
• Verwendung von Logdaten elektronischer Schliesssysteme für die Arbeitszeitkontrolle
• Videoüberwachung
• Erfassung von Absenzen in Schulzeugnissen
• Websites für die Bewertung von Lehrkräften
• Einbindung von Diensten Dritter auf Websites
• Austausch von Patientendaten zwischen Spitälern und Krankenversicherungen für das Case-Management
• …

Der Bericht weist auch auf verschiedene Lücken in der Gesetzgebung und im Vollzug des bestehenden Rechts hin. Jeder, der in irgendeiner Funktion mit der Bearbeitung von personenbezogenen Daten zu tun hat, sollte diesen Bericht lesen.

Dies bestätigt auch die neuste Studie von Nielsen: 85 Prozent der Befragten würden es vorziehen, wenn bisher kostenlose Inhalte auch weiterhin kostenlos blieben und 79 Prozent würden Websites nicht mehr nutzen, die für ihre Inhalte zur Kasse bitten würden, sofern es kostenlose Alternativen gäbe. Und wenn sie schon dafür bezahlen würden, müsste das Angebot massgeblich besser sein als das, was heute eh schon kostenlos angeboten würde. 62 Prozent sind der Meinung, dass wenn sie für einen Inhalt bezahlt hätten, ihnen das Recht zustehen sollte, diesen beliebig zu kopieren und mit anderen zu teilen. 64 Prozent wollen zudem keine Werbung sehen, wenn sie für Inhalte bezahlen würden.

Anbieter wollen Geld sehen

Die Anbieterseite hat es schwer, ihre Arbeit für die ins Web gestellten Inhalte angemessen entlöhnt zu bekommen. Wer arbeitet, will dafür auch bezahlt werden. Doch blöderweise besteht im Web zwischen Anbieter und Konsument in der Regel kein Vertrag. Deshalb haben Anbieter kein Anrecht, für die produzierten Inhalte durch die Konsumenten bezahlt zu werden. Trotzdem wollen sie irgendwie zu ihrem Geld kommen und lassen sich dazu einiges einfallen. Wenn die Konsumenten nicht dazu gebracht werden können, freiwillig zu bezahlen, sollen diese nach Meinung gewisser Medien- und Verlagshäuser per Gesetz dazu verpflichtet werden. Die “Kulturflatrate” und ein “Leistungsschutzrecht” sollen Geld in die Kassen spülen. Manche Medienfürsten scheinen eine recht totalitäre Ansicht von der freien Marktwirtschaft zu haben.

Niemand zwingt ein Unternehmen, online kostenlos Inhalte bereitzustellen. Sie tun es alle freiwillig, obwohl sie damit nichts verdienen – zumindest direkt nicht, weil anscheinend kein Markt dafür besteht. Wenn gemäss der gängigen Lehre der freien Marktwirtschaft ein Markt bestünde, müsste sich aus Angebot und Nachfrage ein Preis ergeben. Doch dieser Preis scheint praktisch bei Null zu liegen. Und trotzdem tun sie es alle. Funktioniert die Onlinewelt nach anderen Gesetzen?

Persönliche Daten sind Gold wert

Im Gegenzug zum kostenlosen Konsum hat sich das Geschäft mit persönlichen Daten der Benutzer etabliert. Legal, illegal, scheissegal! So könnte man das Motto von vielen Daten sammelnden Anbietern vermuten. Allen voran sind es die grossen Plattformen wie Google, Facebook, MySpace, YouTube, Xing, Netlog und MSN bzw. Live, bei denen riesige Berge an Nutzungsdaten anfallen. Doch streng genommen sind sie gar keine Content-Anbieter sondern lediglich Intermediäre. Sie stellen selber keine Inhalte her, sondern “vermitteln” nur Inhalte, die andere ins Netz stellen. Die wahren Content-Ersteller gehen dabei leer aus.

Unsere Nutzungsdaten bilden eine vorzügliche Datenbasis für Marktanalysen und personalisierte Werbung. Je detaillierter und persönlicher diese Daten sind, desto wertvoller sind sie. Um an sie zu gelangen, versuchen die Firmen uns mit kostenlosen Angeboten zu ködern, die durchaus ihre Attraktivität haben. Da sie kostenlos sind, ist ihr Nutzen in jedem Fall grösser als die Kosten. Doch kostenlos heisst nicht umsonst. Für unsere Gratiskultur bezahlen wir mit der Preisgabe unserer Privatsphäre. Ob dieser Preis gerechtfertigt und angemessen ist, muss jeder für sich selber entscheiden. Doch gerade diese Freiheit der Entscheidung und deren Umsetzung werden uns bewusst verschleiert, erschwert und oft sogar vorenthalten. Die meisten Plattformen kennen zwar Einstellungen zur Privatsphäre, doch die sind in der Regel nur schwer zu finden und so gut versteckt, dass nur eine Minderheit wirklich Gebrauch davon macht, sofern sie überhaupt die Einstellmöglichkeit und deren Konsequenzen versteht.

Bedenken gibt es zur Zeit besonders auch gegenüber Googles Street View. Bei Street View verwendet der Suchriese die Daten (in diesem Fall Fotos) von privaten Liegenschaften kommerziell, ohne deren Eigentümer dafür um Erlaubnis gefragt zu haben, sie zu entschädigen oder an den (indirekten) Erlösen teilhaben zu lassen. Google praktiziert seine eigene “Gratiskultur”, in diesem Fall zu Gunsten des Anbieter. Soll man kostenlose Dienste mit kostenlosen Daten der Privatsphäre bezahlen können? Kann und darf ein Anbieter dies von seinen Nutzern (und auch Nicht-Nutzern) einseitig verlangen und deren Einverständnis voraussetzen?

Rechtliche Aspekte

Die zentrale Frage ist: Wem gehören die Daten und wer darf sie in welcher Form für welche Zwecke nutzen? Informationen als Bestandteil der Privatsphäre sind ein Teil unserer Identität, womit die erste Frage schon zumindest im Grundsatz beantwortet wäre. Und auch der Rest ergibt sich daraus logisch, denn die Verfügungsgewalt obliegt grundsätzlich dem Eigentümer und nicht dem Besitzer. Der Eigentümer entscheidet, welche Nutzungsrechte er dem Besitzer (zum Beispiel im Rahmen eines Überlassungs-, Miet- oder Lizenzvertrags) zugestehen will. Hier scheinen Datenschutzrecht und Immaterialgüterrecht in der Praxis nicht ganz im Einklang zu stehen.

Das Recht läuft gerade in Bereichen des Internets der Technik weit hinterher. Bis aus einer Idee zu einem Gesetz wirklich ein Gesetz wird, können Jahrzehnte vergehen. Das ist für das Internet mit seinen vergleichsweise kurzen Entwicklungszyklen eine Ewigkeit. Wir brauchen Gesetze, die der Informationssammelwut gewisser Unternehmen (aber auch staatlicher Behörden) Einhalt gebieten und die Privatsphäre wirkungsvoll schützen, indem unter anderem Datenschutzverletzungen mit empfindlichen Strafen sanktioniert werden.

Fair Use

Wer mit persönlichen Daten Geld verdienen will, der sollte vorher eine ausdrückliche Einwilligung der Betroffenen einholen müssen. Nicht bloss implizit sondern explizit und mit vollständiger und leicht verständlicher Information in der Sprache des Benutzers. Auch darf der Widerspruch gegen die Erhebung und Verwendung persönlicher Daten nicht bloss über eine Opt-out-Funktion angeboten werden, sondern die Default-Einstellungen müssen so gesetzt werden, dass von einem grösstmöglichen Schutz der Privatsphäre ausgegangen wird. Unternehmen und Plattformen, die diesen Grundsatz nicht beherzigen und in die Tat umsetzen, werden es in ein paar Jahren schwer haben, für die Nutzer immer noch attraktiv zu sein. Die Sensibilisierung für dieses Thema nimmt in der Öffentlichkeit laufend zu.

Damit haben die deutschen Verfassungsrichter den Rechtsstaat ein Stück weit wiederhergestellt. Das ist gut so und es war auch dringend nötig, der Datensammelwut überwachungswütiger “Staatsschützer” Einhalt zu gebieten. Ein Staat der private Unternehmen dafür rügt, die Privatsphäre der Bürger zu verletzen, weil sie deren Gewohnheiten bespitzeln, von ihnen persönliche Profile für die Werbewirtschaft erstellen und sie mit Diensten wie Google Street-View in der Öffentlichkeit blossstellen, darf nicht selber zur Datenkrake werden. Das Urteil aus Karlsruhe entspricht vollumfänglich meinen Erwartungen und wurde in der Presse und in breiten Teilen der Bevölkerung mit Genugtuung und Erleichterung aufgenommen. Es wird (hoffentlich) auch für andere Staaten in Europa Signalwirkung haben.

Der Aufstand der rund 35’000 Kläger gegen die staatliche Willkür hat sich gelohnt. Der wohl grösste Massenklage-Prozess in der Geschichte Deutschlands hat aber auch gezeigt, wie schwierig und aufwendig es ist, die Irrungen fehlgeleiteter Legislativpolitiker zu korrigieren. Mein Vertrauen in die Rechtsstaatlichkeit wurde heute jedenfalls wieder ein Stück weit gestärkt. Es sind eben doch nicht alle Juristen einfach nur opportunistische Winkeladvokaten, Scheidungsblutsauger und Abmahntalibane, sondern es gibt immer noch genügend, denen das Recht am Herzen liegt. Ihnen allen spreche ich an dieser Stelle meinen herzlichen Dank aus!

(Video: Reuters)

Die Provider müssen die bisher gespeicherten Daten zunächst einmal umgehend löschen, sofern diese nicht für die Abwicklung ihrer eigenen Geschäftstätigkeit (z.B. für die Rechnungsstellung) notwendig sind. Doch mit dem Urteil von heute ist die Vorratsdatenspeicherung leider noch lange nicht vom Tisch und IP-Adressen dürfen dem Urteil zufolge auch künftig ohne einen Richterbeschluss herausgegeben werden,  sofern ein “hinreichender Anfangsverdacht” und eine “konkrete Gefahr” vorliegen. Dem Gesetzgeber wurden aber klare Leitplanken für die Erarbeitung eines neuen Gesetzes gesetzt, innerhalb deren eine Speicherung der Kommunikationsdaten möglich wäre. Das Gericht stellt nicht die EU-Richtlinie in Frage, sondern knüpft deren Umsetzung in deutsches Recht an strenge Bedingungen.

EU-Justizkommissarin Viviane Reding befürchtet, dass die Richtlinie das Recht auf Privatsphäre unterlaufen könnte, das in der EU-Grundrechtecharta festgeschrieben ist, und möchte sie noch in diesem Jahr einer grundlegenden Überprüfung unterziehen. Österreich, Schweden und Rumänien haben die Vorratsdatenspeicherung bis heute verweigert und müssen dafür Bussgelder bezahlen. In den noch hängigen Verfahren in Irland und Ungarn könnte die grundrechtswidrige Vorratsdatenspeicherung sogar dem Europäischen Gerichtshof zur Prüfung vorgelegt werden. Es ist demnach immer noch möglich, dass die EU-Richtlinie gänzlich gekippt wird, was sehr zu hoffen ist.

(Video: Reuters)