The Idiots Lantern

Can you hear me, are you listening, has your programme disappeared?
I can see you, I am watching you, I’ve been planning this for years.
I have blacked out you television, every station in the world is mine,
And there are millions who are just like you as you sit there, paralysed!
I have some orders which you will follow, and there’s nothing you can do,
‚Cos as you’re looking at your T.V. screen, I am looking back at you…

Als Chris de Burgh 1979 in seinem Song Devil’s Eye beschrieb, wie der Teufel die Kontrolle über das Leben der Menschen an sich reißt, indem er den Fernsehapparat in ein Auge verwandelt, durch das er in die intimsten Winkel des Lebens der Menschen eindringen kann, hat er das wohl mehr metaphorisch gemeint, und an die Kontrolle von Informationen und Meinungen durch die Massenmedien gedacht.

Mit der Ankunft von Smart-TVs schaut uns zwar nicht der Leibhaftige ins Wohnzimmer, aber ein schwer zu durchdringendes Konglomerat aus Firmen, mit Interessen, die der Endkunde kaum noch durchschaut. Moderne LCD-Fernseher laufen meistens mit einem Android-Betriebssystem und erlauben, neben dem Fernsehgenuss auch auf Apps zuzugreifen. So kann man bequem im Web surfen, eine E-Mail schreiben, oder sogar online Computerspiele spielen. Die Verschmelzung von Computern und Fernsehern bietet viele neue Möglichkeiten für Anbieter und Nutzer. So könnte, neben der Nutzung der genannten Funktionen, die Idee des interaktiven Fernsehens, in dem die Zuschauer aktiv und in Echtzeit Einfluss auf das Programm nehmen können, realisiert werden. Dieses Konzept war in den 1990er Jahren schon mal populär, scheiterte damals aber an dem noch notwendigen Medienbruch, und so erschöpfte sich die Interaktivität meist in eher unfreiwillig komischen Spielshows wie der dümmlichen, aber erfolgreichen Hugo Show. Auch Video-On-Demand-Dienste können hier profitieren. In der Tat sind Geräte mit vorinstallierter Netflix-App bereits auf dem Markt.

Der permanente Rückkanal beinhaltet aber auch ein großes Problem für den Datenschutz. Technisch kann ein Fernseher mit Internetzugang nicht nur die Anfragen des Benutzers über das Internet weiterleiten, sondern auch ungefragt Daten sammeln, und an interssierte Parteien weiterleiten. Im Zweifel auch ohne, dass der Benutzer dies bemerkt. Bereits im Jahr 2013 wurde bekannt, dass einige Geräte der Marke LG eine Menge Daten sammeln, und diese an eine Adresse im Internet senden. Neben Daten über das Gerät wurde auch übertragen, wann welches Programm geschaut wurde, und welche Sendung gerade lief. Selbst Dateinamen und Metadaten von Filmen, die von der via USB angeschlossenen Festplatte abgespielt wurden, wurden übertragen. Laut LG handelte es sich dabei um die Reste einer geplanten, aber verworfenen Funktion, die dem Zuschauer zusätzliche Informationen über das gesehene Programm aus dem Internet herunterladen sollte. Nach Kundenprotesten hat LG die Funktion mit einem Firmware-Update aus den Geräten entfernt. Unklar ist allerdings bis heute, ob alle Kunden das Update auch eingespielt haben.

Doch das war erst der Anfang. Das Blog Netzpolitik.org veröffentlichte heute einen Auszug aus den Nutzungsbedingungen eines Fernsehers des Herstellers Samsung, der es in sich hat:

“Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party through your use of Voice Recognition.” This is part of their speech-recognition tech, which uses third parties (whose privacy policies Samsung doesn’t make any representations about) to turn your words into text.

Die neuen Geräte erlauben es, statt Fernbedienung mit einfachen Sprachkommandos gesteuert zu werden. Das ist ein bisschen, wie bei Raumschiff Enterprise, wenn Captain Picard „Computer“ sagt, und der Bordcomputer sich meldet. Die Idee der Sprachsteuerung von Geräten ist nichts neues, erste Spracherkennungsalgorithmen kamen in den 1990er Jahren auf, und haben sich seither stetig verbessert. Seit es nicht mehr nötig ist, die Technik aufwendig auf eine bestimmte Stimme zu trainieren, erhält sie in mehr und mehr Geräte Einzug. Zunächst einmal ist das eine positive Entwicklung. Neben der offensichtlichen Bequemlichkeit, können sprachgesteuerte Systeme z.B. eine große Hilfe für mobilitätseingeschränkte Menschen sein. Auch für den Autofahrer, der, um einen Vorschlag zur  Stauumfahrung seines Navigationssystems die Hände nicht mehr vom Lenkrad nehmen, und den Blick auf der Straße lassen kann, ist Spracherkennung ein tolles Tool.

Das Problem bei den Fernsehgeräten ist dann auch nicht die Sprachsteuerung, sondern die Tatsache, dass die Sprachsteuerung, und die Auswertung der empfangenen Befehle nicht vom Fernseher selbst vorgenommen werden, sondern von einem Fremdhersteller.

Ähnliches macht z.B. Apples Siri, hier muss die Funktion allerdings für jede Anfrage mit einem Knopfdruck eingeschaltet werden. Außerdem findet die eigentliche Sprachverarbeitung auf dem Gerät selbst statt. Siri erzeugt aus der erkannten Sprache dann eine Anfrage, die über das Internet abgesetzt wird, um die für die Antwort benötigten Daten zusammen zu tragen.

Inwieweit dies auch auf die Smart-TVs zutrifft ist bislang unklar, in den Nutzungsbedingungen lässt Samsung sich jedenfalls das Recht einräumen, den gesamten aufgezeichneten Ton an einen Drittanbieter zu versenden. Dies legt nahe, dass die Spracherkennung nicht im Gerät selbst stattfindet, sondern auf den Servern des Anbieters der Software. Da, anders als bei Siri, der Benutzer ja nicht erst zum Fernseher rennen will, um einen Knopf zu drücken, muss der Fernseher jedoch alle Gespräche im Raum mithören, um erkennen zu können, ob das gesagte an ihn gerichtet war. Selbst wenn die technische Umsetzung komplizierter ist, ist diese Möglichkeit nicht auszuschließen.

Dass dies bereits gemacht wird, zeigen die diversen Technologien zur Biometrie. So speichern diverse Smartphone-Hersteller z.B. ein Gesichtsbild des Anwenders auf einem zentralen Server, auf dem ein Kundenkonto eingerichtet wurde, und erlauben darüber die Anmeldung. Für den Anwender ist das bequem: Er richtet sich sein Profil einmal ein, und kann sich an jedem anderen Gerät durch bloßes Draufschauen anmelden.

Auch die Geräte von Samsung bieten, neben der Sprachsteuerung, Gesichtserkennung an. Damit das funktioniert, benötigt der Benutzer einen Account bei Samsung. Die Bilder werden, laut Samsungs eigenem Privacy-Agreement allerdings nur lokal auf dem Gerät gespeichert.

Selbst wenn die Geräte nicht alle Bilder und Töne aus dem Raum übertragen, ist dies für den Anwender nicht nachvollziehbar. Die Geräte sind Black-Boxen, die mit herstellereigener Software arbeiten. Der Datenverkehr zwischen Fernseher und Anbieter wird meist verschlüsselt sein (hoffentlich, möchte man da fast sagen), die Schlüssel dafür sind dem Zugriff des Benutzers aber entzogen. Es bleibt ein Gerät mit Kamera und Mikrofon, dass über einen Internetanschluss verfügt, und, unsichtbar für seinen Besitzer, von Anbieter gesteuert wird. Das weckt Begehrlichkeiten: Werbefirmen, die wissen wer vor dem Gerät sitzt, können auf den Benutzer zugeschnittene Werbung in den Werbepausen einblenden. Anbieter von Video-On-Demand-Diensten könnten nachsehen, wie viele Leute beim gemeinsamen Videoabend vor dem Fernseher sitzen, und entsprechend höhere Verleihgebüren für den Film verlangen.

Kriminelle könnten sich Zugriff auf die Systeme verschaffen, und möglichen Opfern in die Wohnung spähen. Und die Polizeibehörden und Geheimdienste werden binnen kürzester Zeit Zugang zu den Geräten fordern. Und dass Geheimdienste nicht unbedingt auf eine gesetzliche Erlaubnis für ihr Handeln warten, sollte spätestens seit den Snowden-Veröffentlichungen bekannt sein.

Die berühmte Frage der britischen Radio- und TV-Moderatorin Julia Lang „Are you sitting comfortably?“ werden Smart-TV-Besitzer in Zukunft jedenfalls nicht mehr so ohne weiteres mit „Ja“ beantworten können.

Was können wir also tun, um uns zu schützen? Nun, zu allererst sollte man sich fragen, ob es denn unbedingt ein Gerät mit Sprachsteuerung sein muss, oder ob die gute alte Fernbedienung doch ausreicht. Da diese Geräte wohl oder übel weitere Verbreitung finden werden, lassen sich eine Reihe von Forderungen an die Hersteller formulieren:

  • Es dürfen keine Daten übertragen werden, wenn der Nutzer dies nicht ausdrücklich fordert. Eine Generalvollmacht bei der Einrichtung genügt nicht!
  • Wenn Daten ins Internet übertragen werden, muss dies für den Benutzer jederzeit offensichtlich sein.
  • Alle durchs Internet übertragenen Daten müssen verschlüsselt werden. Die Verwaltung der Schlüssel liegt dabei in Benutzerhand. Vorinstallierte „Generalschlüssel“ darf es nicht geben.
  • Sensoren wie Kameras, Mikrofone oder Bewegungssensoren, die die Umgebung des Geräts beeinflussen, müssen physisch vom Gerät getrennt werden können, z.B. durch einen mechanischen Schalter.
  • Alle Software muss Quelloffen sein, damit sie von Experten geprüft werden kann, und so sichergestellt ist, dass sie nur das tut, was der Anwender erwartet.

Wer einen Smart-TV mit Platz für Filme und Fernsehsendungen sucht, kann aber statt eines teuren Smart-TV auch einen alten Computer nehmen, und darauf eine Software wie MythTV installieren. MythTV kann digitale Fernsehprogramme empfangen, aufnehmen und verfügt über praktisch alle Funktionen eines modernen PVR. Da es auf einem ganz gewöhnlichen Computer läuft, kann man auch mit seinem Lieblingsbrowser ins Web, oder E-Mails schreiben.

Für günstige Computerplattformen wie den nur 35 Euro teuren RaspberryPi gibt es spezielle Betriebssysteme wie RaspBMC oder OpenElec, die es erlauben mit dem kleinen Gerät HD-Filme abzuspielen. Anschließen kann man den nur scheckkartengroßen Computer mit einem gewöhnlichen HDMI-Kabel an jeden „dummen“ Flachbildfernseher. Von dem gesparten Geld, kann man sich dann eine große Festplatte kaufen, auf der die komplette DVD-Sammlung Platz findet.

 

Update 09.02.2015:

Wie Heise-Online meldet, gibt Samsung jetzt Entwarnung: Die TV-Geräte von Samsung würden nicht permanent lauschen, erklärte das Unternehmen auf Anfrage gegenüber Heise-Online, vielmehr würde, ähnlich wie beim weiter oben beschriebenen Siri, eine Suchanfrage ins Internet gesendet, wenn der Benutzer die entsprechende Taste an der Fernbedingung drückt. Am eigentlichen Problem ändert dies indes nichts: Die Richtline von Samsung erlaubt nach wie vor auch das ungefragte abhören, und die Probleme der fehlenden Kontrollierbarkeit bleiben bestehen. Nur dadurch das die Funktion nicht im befürchteten Sinne verwendet wird, heißt das nicht, dass sich das nicht kurzfristig ändern kann. Die Wanze im TV ist nur ein Firmware-Update entfernt.

Die Überwachungsverschwörung

Nachdem ich jetzt an verschiedenen Stellen, unter anderem in diesem Kommentar von Rechtsanwalt Stadler, auf den Gesetzestext verwiesen worden bin, habe ich mir den Gesetzentwurf mal genauer angesehen. Völlig unhabhängig von der Frage nach der Sinnhaftigkeit der Maut selbst bin ich auf eine Sache gestossen, die mit der geplanten Überwachung zu tun hat, die ich mir nur erklären kann, wenn ich eine Art „Überwachungsverschwörung“ annehme:

In §1 des Gesetzesvorschlags heißt es, dass für die Benutzung der Bundesfernstraßen (also Autobahnen und Bundesstraßen) eine Infrastrukturabgabe zu entrichten ist, die sich an der Klasse der Kraftfahrzeuge orientiert, die verwendet wurden.

Die Maut, oder Infrastrukturabgabe, wie es im Behördendeutsch heißt, ist also untrennbar mit dem Kraftfahrzeug verbunden. Die Abgabe wird dabei pauschal entrichtet, das heißt, je nach Klasse des Fahrzeugs, muss pro Jahr ein fester Betrag entrichtet werden. So weit so gut.

In §3 heißt es dagegen:

§ 3 Schuldner der Infrastrukturabgabe
Schuldner der Infrastrukturabgabe ist die Person, die
1.das Kraftfahrzeug hält oder
2. während der abgabenpflichtigen Benutzung von Straßen im Sinne des § 1 Absatz 1
das Kraftfahrzeug führt. Mehrere Schuldner der Infrastrukturabgabe haften als Gesamtschuldner.
Der letzte Satz bedeutet, dass alle Schuldner gemeinsam den einen für das Fahrzeug fälligen Betrag zu entrichten haben, und nicht jeder für sich. Wenn die Maut also 130€ beträgt, zahlt bei zehn Fahrern also jeder nur 13€, und nicht jeder 130.
Bei der Frage nach der Kennzeichenüberwachung platzt dann die Bombe (als ob die Vorratsdatenspeicherung der Fahrzeugbewegungen an sich nicht schon skandalös genug wäre) In §10, Absatz 2 heißt es tatsächlich:
(2) Das Bundesamt für Güterverkehr und der private Dritte im Sinne des Absatzes 1 Satz 2 dürfen im
Rahmen der Kontrolle folgende Daten erheben, speichern und nutzen:
1. Bild des Kraftfahrzeugs,
2. Name und Anschrift der Person, die das Kraftfahrzeug führt,
3. Ort und Zeit der Benutzung von Straßen im Sinne des § 1 Absatz 1,
4. Kennzeichen des Kraftfahrzeugs,
5.für die Abgabenhöhe maßgebliche Merkmale des Kraftfahrzeugs,
Mir stellt sich da gerade die Frage, wieso sich der Staat dafür interessiert, wer zu welchem Zeitpunkt das Kraftfahrzeug geführt hat? Wenn die Abgabe pro Fahrzeug fällig ist, kann sich der Staat doch direkt an den Halter wenden, der ist ja ohnehin bekannt. Im Falle eines „Blitzers“ passiert das ja auch: Zunächst wird der Halter angeschrieben, und kann, wenn er nicht selber gefahren ist, Widerspruch gegen den Bußgeldbescheid einlegen. Der Entwurf  zum Mautgesetz geht da aber weit drüber hinaus: Eine Software, die diese Abrechung automatisch durchführen soll, muss also nicht nur in der Lage sein, das Kennzeichen zu erfassen, und das Fahrzeug dem Halter zuzuordnen, sondern auch das Bild des Fahrers (und eventueller Beifahrer) zu erfassen, und mit einer biometrischen Datenbank abzugleichen, um Name und Anschrift des Fahrzeugführers zu ermitteln. Und das alles, um eine Abgabe einzutreiben, die nicht für eine Person, sondern pro Kraftfahrzeug erhoben wird?
Ich bin nicht sicher, ob ich den Gesetzentwurf da richtig interpretiere, aber die Überwachung, die sich daraus ergibt, stellt meiner Meinung nach die angestrebte Überwachung der Telekommunikation durch die Vorratsdatenspeicherung noch in den Schatten. Es würde eine riesige Datenbank entstehen, in der nicht nur zu sehen ist wessen Auto wann wo gefahren ist, sondern auch noch wer darin gesessen hat!
Und für die Erhebung dieser Daten gibt es nicht einen sachlichen Grund! Es fällt mir gerade recht schwer dabei nicht paranoid zu werden, und zu glauben, dass dies mit einer Maut gar nichts zu tun hat, sondern in Wirklichkeit eine Verschwörung ist, ein System einzuführen, dass dem Staat erlaubt den Aufenthaltsort und die Bewegungen seiner Bürger permanent zu verfolgen.
Schöne neue Welt!

Ich weiß wo Du letzen Sommer gewesen bist

Noch kurz vor der Bundestagswahl hat unsere Kanzlerin die Einführung eine PKW-Maut kategorisch abgelehnt. Das war so ziemlich die einzige konkrete Aussage, zu der sich Frau Merkel während des Wahlkampfes hat hinreißen lassen. Wie sich herausstellt, war das gelogen.

Erinnern wir uns: Die CSU hatte die Einführung einer PKW-Maut zur Bedingung für einen Koalitionsvertrag gemacht. Im wesentlichen war dies ein wahltaktisches Manöver, denn zeitgleich zum Bundestagswahlkampf standen auch  Landtagswahlen in Bayern an, und zum bayrischen Wahlkampf gehört seit jeher, das Herausstellen der eigenen Wichtigkeit, zum anderen hilft dem Wahlkämpfer stets der Appell an niedere Instinkte beim Wähler.  Das ist in Bayern nicht anders als anderswo.

Aus diesem Grund erfüllt die Maut auch keinen wirklichen verkehrspolitischen Zweck, vielmehr bedient sie Ressentiments an bayrischen Stammtischen. Um die dort gefühlte Ungerechtigkeit, dass die Bayern bei Besuchen im benachbarten Österreich ein „Pickerl“ kaufen müssen, während die Österreicher deutsche Straßen umsonst benutzen dürfen.

Das Ganze ist natürlich eine Scheindebatte, schließlich zwingt niemand die Bayern mit dem Auto nach Österreich zu fahren. Und wer aus beruflichen Gründen dahin muss, dem zahlt der Arbeitgeber die Plakette.

Hinzukommt natürlich, dass die Absage der Kanzlerin an eine Maut eine prima Gelegenheit für Horst Seehofer war, die Macht der Bayern in Berlin zu demonstrieren. Das die Bundesregierung dabei beschädigt wird, nimmt man billigend in Kauf.

Sieht man sich Dobrindts Mautkonzept an, fällt schnell auf, dass von dem eigentlichen Grund, den die bayrische Staatsregierung angeführt hatte (Gerechtigkeit gegenüber den Österreichern), nichts übriggeblieben ist. Denn gerade die Autofahrer im „kleinen Grenzverkehr“, um die es bei der Stammtischdiskussion meist geht, werden von der Maut ausgenommen.

Stattdessen präsentiert Dobrindt ein Bürokratiemonster, dass die Annahme des ADAC, die Maut würde mehr kosten als sie einbringt, durchaus realistisch erscheint. Anstatt dass, wie in Österreich, jeder einen Aufkleber für die Windschutzscheibe kauft, soll die Maut nach Hubraum, Motortyp und Kohlendioxid-Ausstoß gestaffelt werden.

Da die Maut nicht auf allen Straßen gilt, muss natürlich überprüft werden, ob auch alle Nutzer der mautpflichtigen Straßen bezahlt haben.  Wie gesagt, mit einem Aufkleber in der Windschutzscheibe, wäre das schnell gelöst.

Dobrindts Plan sieht aber vor, stattdessen an allen Ecken und Enden des Strassenverkehrs Kennzeichenscanner aufzustellen, die einen automatischen Abgleich mit einer zentralen Datenbank beim Kraftfahrtbundesamt durchführen. Also so eine Art Vorratsdatenspeicherung für Autos.

Spätestens hier sollte man hellhörig werden: Ein solches System wäre geeignet, detaillierte Bewegungsprofile aller Automobilbesitzer zu erstellen. Bereits 2008 hatte das Bundesverfassungsgericht die Gesetze der Ländern Schleswig-Holstein und Hessen, die eine anlasslose Erfassung von Kennzeichen vorsahen, für nichtig erklärt. Offenbar will das Bundesverkehrsministerium den Anlass zur Datenspeicherung durch die Maut jetzt schaffen. Die Überwachungs-Hardliner reiben sich schon die Hände.

Nach dem Urteil des Bundesverwaltungsgerichts, dass die Kennzeichenerfassung in Bayern für rechtskonform erklärt (man darf gespannt sein, ob das Bundesverfassungsgericht das auch so sieht), fordert z.B. der Bund Deutscher Kriminalbeamter (BDK), einen unbeschränkten Zugang zu den Daten.

“Es kann nicht sein, dass es in Bayern legal ist, automatisiert nach Kfz-Kennzeichen von Verdächtigen zu suchen – und das Mautsystem an Autobahnen bleibt für die Polizei tabu”

Diesen Satz sagte jüngst der Vorsitzende des BDK, André Schulz. Es sieht aus, als würde ihm mit dem Mautsystem dieser Wunsch erfüllt werden.

Der BDK dürfte nicht der einzige bleiben, der Zugriff auf die Daten fordert.  Landespolizeien, Geheimdienste und nicht zuletzt die private Versicherungswirtschaft werden spätestens in den Chor einstimmen, wenn die ersten Scanner stehen.

Die Informationelle Selbstbestimmung der Bürger spielt dabei keine Rolle mehr.

Es ist an der Zeit, dass das Parlament diesem Unfug ein Ende bereitet, und Dobrindts Pläne dahin befördert wo sie hingehören: Auf den Müllhaufen der dummen Ideen!

Leider werden unsere Abgeordneten dem Unfug vermutlich zustimmen. Es steht ja schließlich im Koalitionsvertrag!

 

The Unlearning Channel

Seit dem 4.4. gibt es in Deutschland einen neuen privaten Fernsehsender. Der Name dieses neuen Programms ist auf den ersten Blick vielversprechend: TLC heißt das Programm, das steht (oder besser: stand) für The Learning Channel. Das klingt erstmal interessant, nach Fernsehen mit Bildungsauftrag. Nach eigener Ankündigung richtet sich der Sender vor allem an Frauen zwischen 20 und 49.

Wer jetzt aber spannende Dokumentationen oder ein feministisch angehauchtes, politisches Programm erwartet, sieht sich getäuscht. TLC ist ein US-amerikanisches Kabelnetzwerk, dass international vor allem für die Sendung Toddlers & Tiaras bekannt ist, einem Trash-Format in dem drei bis sechsjährige Kinder gezeigt werden, die von ihren überambitionierten Müttern zu Kinder-Schönheitswettbewerben gezerrt werden.

Dabei hat der Sender in den USA tatsächlich 1972 als staatlich gefördertes Bildungsfernsehen begonnen. Unter dem Namen Appalachian Community Service Network vom Department of Health, Education and Welfare und der NASA ins Leben gerufen, strahlte der Sender in den Anfangsjahren Programme über Gesundheit, Wissenschaft und natürlich die Informationsprogramme der NASA aus. So konnten z.B. Shuttle-Starts auf dem Sender live verfolgt werden. 1980 wurde der Sender privatisiert und in The Learning Channel umbenannt. Die NASA zog sich aus dem Programm zurück, und gründete mit NASA TV einen eigenen Sender.

Seit den 1990er Jahren hat der Sender versucht mehr Zuschauer anzulocken, in der er sich verstärkt auf Unterhaltungsprogramme konzentrierte, vor allem auf Reality und Scripted-Reality Formate.

Zu den größten Erfolgen des Senders zählt das bereits genannte Toddlers & Tiaras. Seit etwa 2010 expandiert der Sender weltweit, nun also auch in Deutschland.

Die Sendungen sind meist Formate, die direkt aus dem US-Programm übernommen wurden, wie Cake Boss, in dem es um Backwettbewerbe geht.

Die gute Nachricht, von Toddlers & Tiaras bleiben deutsche Zuschauer erstmal verschont, vielleicht hatte man Sorge die deutsche Medienaufsicht würde hier einschreiten. Stattdessen gibt es das Spin-Off Hier kommt Honey Boo Boo, in der die sechsjährige Alana Thompson, Künstlername „Honey Boo Boo“, und ihre prollige Familie gezeigt, oder besser, vorgeführt wird.

Auch der Rest des angeblichen Programms für Frauen ist nicht viel besser. Alles dreht sich um Mode, Sex oder -Achtung Skandal!- Frauen jenseits der 40, die jüngere Männer lieben, sog. Cougars!

Mal ernsthaft: 100 Jahre Frauenbewegung, und dann sowas? Kein Klischee, dass nicht zu blöd ist, um nicht geritten zu werden, kein Stereotyp wird ausgelassen.

Ich habe in der Programmbeschreibung dieses Senders nicht eine einzige Sendung gefunden, die eine kritische Auseinandersetzung mit irgendeinem Thema vermuten lässt, oder auch nur den Hauch einer Chance hätte den Bechdel-Test zu bestehen. Für einen Sender, der sich hauptsächlich an ein weibliches Publikum richtet, ist das ernüchternd.

Etwas neues bekommt die Zuschauerin ohnehin nicht geboten, die Konzepte sind ebenso austauschbar, wie bei allen anderen Sendern, und ob man nun RTL, Sat1 oder TLC schaut erkennt man ohnehin nur noch am Senderlogo.

Dabei könnte man so viel Neues probieren, bei Youtube feiern Frauen wie Danica McKellar (die Älteren unter euch kennen sie vielleicht noch in der Rolle der Winnie Cooper aus der Serie Wunderbare Jahre) , Vi Hart oder Cara Santa Maria gerade große Erfolge mit populärwissenschaftlichen Programmen, die sich sicher auch auf die Mattscheibe bringen ließen. Vergleichbares habe ich bislang weder im deutschsprachigen Internet, noch auf deutschen Fernsehschirmen gesehen.

So bleibt also nur die Hoffnung, dass auch das deutsche TLC den Weg gehen wird, den vorher schon der Frauensender TM3 gegangen ist.

Das Ende der Vorratsdatenspeicherung?

Der Europäische Gerichtshof hat heute das lang erwartete Urteil zur Vorratsdatenspeicherung gesprochen. In seiner Entscheidung stellt das Gericht fest,

…,dass der Unionsgesetzgeber beim Erlass der Richtlinie 2006/24 die Grenzen überschritten hat, die er zur Wahrung des Grundsatzes der Verhältnismäßigkeit im Hinblick auf die Art. 7, 8 und 52 Abs. 1 der Charta einhalten musste.

Das ist ein wichtiger Sieg der Bürgerrechte im Kampf gegen die Vorratsdatenspeicherung. Das Gericht folgt im wesentlichen der Rechtsprechung des Bundesverfassungsgerichts von 2010, und sieht die verdachtsunabhängige Speicherung von Daten als schweren Eingriff in die Rechte der Bürger, der nur unter ganz besonderen Umständen gerechtfertigt sein kann.

Dies schlägt die Tür nicht vollends zu, es ist aber im Lichte der Erkenntnisse rund um den NSA/GCHQ Überwachungsskandal fraglich, ob es überhaupt möglich ist, eine Richtline zu schaffen, die die strengen Anforderungen erfüllt. Für die deutsche Politik sollte dies ein deutliches Signal sein, von den Plänen zur Vorratsdatenspeicherung Abstand zu nehmen.

Entsprechend zurückhaltend haben sich die Vertreter der SPD, allen voran Bundesjustizminister Heiko Maas geäußert:

Damit ist eine neue Situation eingetreten. Die Grundlage für die Vereinbarung im Koalitionsvertrag ist entfallen. Deutschland ist nicht mehr zu einer Umsetzung der Richtlinie verpflichtet. Auch Zwangsgelder drohen nicht mehr. Es besteht jetzt kein Grund mehr, schnell einen Gesetzentwurf vorzulegen. Wir werden das Urteil jetzt sorgfältig auswerten. Dann werden wir mit unserem Koalitionspartner neu über das Thema Vorratsdatenspeicherung reden müssen. Wir werden das weitere Verfahren und die Konsequenzen ergebnisoffen besprechen.

Danach, von den Plänen Abstand zu nehmen, klingt das nicht. Vielmehr zeigt die Erfahrung, dass ergebnisoffen bei der SPD meist bedeutet, sich von der Union vor den Karren spannen zu lassen.

Von der Union gab es bisher noch nicht so viel zu hören. Erwartungsgemäß will Innenminister Thomas de Maizière an der Vorratsdatenspeicherung festhalten:

„Ich dränge auf eine rasche, kluge, verfassungsmäßige und mehrheitsfähige Neuregelung“

Den Unionsclown gibt diesmal der  Chemnitzer Hinterbänkler Marco Wanderwitz, der sich auf Twitter blamiert hat:

das heutige Urteil zur #VDS ist wie ein Feiertag für das organisiertes Verbrechen

Das hat er sich wohl vom Mem-Beauftragten der Union abgeguckt. Ich bin gespannt, wann die ersten Remixe davon auftauchen.

Für die Bundesregierung heißt das, eines ihrer wichtigsten Argumente für die Vorratsdatenspeicherung fällt weg. Bisher hat es immer geheißen, wegen der EU-Richtline habe man ja keine Wahl, das Gesetz umzusetzen. Ausserdem müsse man Strafe zahlen, wenn man das Gesetz nicht umsetzte. Ich hatte bereits im ersten Artikel in diesem Blog darauf hingewiesen, dass die Nicht-Umsetzung der Richtline den Steuerzahler 86 Cent pro Jahr und Kopf gekostet hätte (auf diese Feststellung bezieht sich der Titel dieses Blogs). Wenn es um das retten maroder Banken geht, ist unsere Bundesregierung weitaus freigiebiger mit unserm Geld.

Fazit: Den Plänen für eine allumfassende Überwachung der gesamten Bevölkerung ist ein kräftiger Dämpfer verpasst worden. Auch eine eventuell kommendes neues Gesetz für die Vorratsdatenspeicherung wird sich nun nicht mehr nur in Karlsruhe, sondern auch in Luxemburg bewähren müssen. Das von einigen nun herbeigeschriebene Ende der Vorratsdatenspeicherung ist das allerdings leider nicht. Dafür gefällt die Idee vor allem konservativen Politikern, aber auch nicht wenigen Sozialdemokraten viel zu gut.

Tag gegen die Totalüberwachung

Bislang habe ich hier ja noch nicht so viel über den sog. „NSA-Skandal“ geschrieben. Nicht weil es mit nicht wichtig wäre, sondern vor allem weil mir derzeit schlicht die Worte fehlen, angesichts des Ausmaßes und vor allem der Unverfrorenheit mit der sich Regierungen und Behörden über die noch so grundlegenden Prinzipien unserer Zivilisation hinwegsetzen.

Heute hat die Electronic Frontier Foundation zum internationalen Tag gegen die Totalüberwachung aufgerufen. Unter dem Motto The Day We Fight Back soll es heute weltweit Proteste, Demonstrationen und Veröffentlichungen geben. Hier in Deutschland bleibt es gerade überraschend ruhig, was wohl der Tatsache geschuldet ist, dass in Deutschland die Revolution ja bekanntermaßen ausbleibt, weil das Betreten des Rasens verboten ist.

Passend dazu hat Sascha Lobo in seiner Kolumne bei Spiegel Online sich das Programm Joint Threat Research and Intelligence Group (JTRIG) des britischen Geheimdienstes GCHQ angesehen, über das NBC News vergangene Woche berichtet hatte.

Die NBC von Glen Greenwald zugespielten Dokumente haben es in sich: Motto der JTRIG ist Destroy, Deny, Degrade and Disrupt. Ziele von Aktionen können alle sein, die der britischen Regierung ein Dorn im Auge sind. Politiker im Iran ebenso wie die Hacktivisten von Anonymous, oder Personen aus Wirtschaftskreisen, denen man gerne Geschäftsgeheimnisse entlocken möchte.

Ob eine Zielperson dabei einer Straftat verdächtig ist oder nicht, spielt dabei keine Rolle. Erlaubt ist alles was zum Erfolg führen kann. Das beginnt mit sog. „Honey Traps“, also dem gezielten ansetzen einer schönen Frau auf die männliche Zielperson, die ihm entweder Geheimnisse entlocken soll, oder für kompromittierende Fotos sorgen, um Erpressungsmaterial zu generieren. Ein Szenario, dass man eigentlich nur aus James-Bond-Filmen kennt.

Dabei ist das noch das Harmloseste. Weitere „Waffen“ im Arsenal der Schlapphüte: Denial of Service Attacken gegen Ziele, False-Flag Operationen, bei denen man anderen eine Tat in die Schuhe schiebt oder auch gezielte Verleumdungen im Internet.

Mit offenkundigem Stolz auf die eigene Arbeit heißt es, man könne gezielt einzelne Personen psychisch vernichten könne. Neben den genannten Methoden gehört auch das gezielte Eindringen in Computersysteme zum Arsenal. Explizit mit dem Ziel kompromittierende Informationen oder gefälschte Beweise zu platzieren.

Wenn es in der Präsentation auch nicht explizit genannt wird, wird dennoch deutlich, dass sogar physische Übergriffe auf Personen und deren Umfeld nicht ausgeschlossen sind.

Sascha Lobo bringt es in seinem Beitrag klar auf den Punkt: Die Geheimdienste werden mit Steuergeldern bezahlt, damit sie Kriminelle anheuern, die für sie Straftaten begehen. Und das alles mit Wissen und Billigung unserer Regierungen, die scheinheilig die Einhaltung rechtstaatlicher Prinzipien in Russland fordern.

Unser Rechtsstaat und unsere Demokratie verkommen so zu einer leeren Hülle, jene Werte auf die sich die westliche Zivilisation so viel einbildet sind nichts mehr als Trugbilder. Schatten einer vergangenen Ära.

Darum müssen wir den Kampf aufnehmen. Mit Protesten, mit politischem Engagement. Mit Technik. Es kann sein, dass wir die Geheimdienste nicht gänzlich aussperren können. Aber wir müssen versuchen das Internet so umzubauen, dass die Spionage nicht mehr so leicht ist.

Und endgültig müssen wir uns politisch für die Abschaffung der Geheimdienste einsetzen. Ihr Nutzen ist beschränkt, ihre unkontrollierte Macht dafür um so größer. In einer freiheitlichen Gesellschaft ist dafür kein Platz mehr.

Warum verschlüsselung nicht funktioniert – und warum wir es trotzdem tun sollten

Helge Städtler hat gestern in seinem Blog einen Rant geschrieben, in dem es in wesentlichen darum geht, wieso Verschlüsselung nicht funktioniert, und die Nerdkultur irgendwie schuld daran ist.  Auch wenn ich ihm in einigen Punkten zustimme, will ich das nicht ganz unwidersprochen lassen.

Städler führt im wesentlichen zwei Argumente ins Feld:

  1. Verschlüsselung funktioniert nicht, weil sie zu kompliziert ist, und sie deswegen keiner nutzt.
  2. Verschlüsselung löst das Problem nicht, weil es sich um ein gesellschaftliches bzw. politisches Problem handelt, und man solche Probleme nicht mit Technik lösen kann.

Das erste Argument hat meine Zustimmung: Verschlüsselung ist kompliziert. Es handelt sich immerhin um hoch-komplexe mathematische Verfahren, die in der Tat für den Laien nicht leicht nachzuvollziehen sind. Dass das in der Praxis dazu führt, dass Verschlüsselungssoftware umständlich zu handhaben ist, ist t keine Entschuldigung. Städtlers Forderungen nach Transparenz und Einfachheit gleichzeitig  sind allerdings unerfüllbar. Städtler schreibt:

Das Herunterladen der GPGTools war noch einfach. Und ab der Installation wurde es hässlich. Einmal installiert, beginnt ein untransparenter Prozess, in dem irgendwelche Schlüssel generiert werden, irgendwelche Passwörter eingegeben werden, diese Schlüssel in einer eigenen proprietären Schlüsselinfrastruktur abgelegt werden und dem Nutzer wird absolut NICHTS erklärt von dem was der Rechner da eigentlich grade für ihn macht. Demnach bleibt er mit einer GPG Installation zurück, die zwar erfolgreich war, aber vollkommen untransparent ist. Das ist ein 100% FAIL!

Das Problem ist also, dass die Installation irgendwas macht, und Otto-Normaluser nicht erklärt bekommt was es ist (ich unterstelle mal, das Städtler in den Schuhen von Otto Normaluser herumläuft, und in Wahrheit natürlich sehr genau weiß, was da passiert. Nach dem er uns am Anfang seines Beitrags ja sehr deutlich auf die intellektuelle Überlegenheit der Wirtschaftsinformatiker gegenüber uns Fußvolk, den einfachen Informatikern hinweist). Dass diese Forderung im Widerspruch zur geforderten Einfachheit steht, scheint Herrn Städtler nicht zu stören: Soll Otto Normaluser jetzt verstehen, wie die Verschlüsselung tatsächlich funktioniert, oder soll es einfach zu bedienen sein? Beides geht nicht, denn: Verschlüsselung ist kompliziert. Kleine Seitenanmerkung: Die Schlüsselinfrastruktur von OpenPGP und GnuPG ist nicht proprietär, die Software steht unter einer freien Lizenz, und es steht jedem frei sie nach belieben zu implementieren. Was hier allerdings fehlt, ist ein offizieller Standard, wie bei S/MIME.

In einem Punkt gebe ich Herrn Städlter aber recht:

Default settings do matter!

Es wäre sehr wichtig, dass die Verschlüsselungsoptionen in Software automatisch angeschaltet sind. Dies aber den Entwicklern von GPGTools und GPG4Win anzulasten, ist unfair. Hier lässt sich Städtler dann dazu herab, den Entwicklern zuzugestehen, dass sie ihr Bestes getan haben

Ich kreide das den Machern von dem Toolpaket nicht an, die haben auch nur begrenzte Ressourcen und haben aus ihrer Sicht das Optimum getan: Ein einfacher Installer. Prima.

Auch wenn das jetzt ein bisschen so klingt, wie in einem Arbeitszeugnis „Er war stets bemüht sein bestes zu geben.“ Aber es hat ja nun mal nicht jeder ein Diplom in Wirtschaftsinformatik. Na gut, bleiben wir sachlich. Anstatt hier auf den Machern  von GnuPG und der Nerdkultur allgemein herum zu hacken hätte man durchaus auch ein paar berechtigte Forderungen an die großen Softwarefirmen aufstellen können. Ich habe mir nämlich mal die Software angeschaut, die ich so benutzte, und festgestellt, dass die  in der Regel recht gut ein die Verschlüsselungsnetzwerke eingebunden sind.
Die kritisierten Tools dienen ja alle dem Zweck, Programme wie Outlook oder Apple Mail um Verschlüsselungsfunktionen zu erweitern. Herr Städtler sollte seine Kritik hier also besser in Richtung Microsoft, Apple und Google formulieren, als an die „Lieben Nerds“.

Hier lassen sich gleich mehrere Forderungen formulieren:

  • Es wird ein systemübergreifender Standard für Verschlüsselung benötigt
  • Die mit dem Betriebssystem gelieferte Software sollte die Verschlüsselung fest eingebaut haben, diese sollte by-default angeschaltet sein.
  • Die Verschlüsselungssoftware selbst ist open-source, so dass sie von unabhängiger Seite peer-reviewed werden kann.
  • Eine Standardschnittstelle sollte dem Anwender ermöglichen, die Verschlüsselungs-API gegen eine andere Implementierung auszutauschen, ohne dass Funktionalität verloren geht.
  • Alle mitgelieferten Kommunikationsprogramme benutzen die Schnittstelle automatisch, sobald Verschlüsselung zur Verfügung steht.

Erst dann ist die Forderung erfüllt, dass sichere Kommunikation per Default eingeschaltet ist.

Kommen wir zum zweiten Problem, der gesellschaftlichen Dimension. Das Problem ist eben nicht, dass wir uns nicht gegen das Abhören wehren können, sondern dass wir überhaupt abgehört werden. Einen Widerspruch zur Forderung nach Verschlüsselung sehe ich darin jedoch nicht. Was ich mache wenn ich aufs Klo gehe, weiß auch jeder, trotzdem würde niemand auf die Idee kommen, ich solle doch bitte die Tür auflassen, weil das Schließen derselben doch nichts bringe.
Warum also sollte ich meine Daten verschlüsseln? Zum einen natürlich weil es den Geheimdiensten die Arbeit bedeutend schwerer macht (was sie nicht davon abhalten wird weiter zu schnüffeln). Zum anderen hält es andere als die Geheimdienste davon ab in meinen Daten zu stöbern, letztlich dient die Verschlüsselung also demselben Zweck wie ein Briefumschlag. Oder sollen wir jetzt alle nur noch Postkarten versenden, weil die Geheimdienste unsere Briefe scannen?

Aber überwiegen die Kosten von Verschlüsselung wirklich deren Nutzen? Diese Frage kann man nicht pauschal beantworten, und ich finde es unlauter das zu versuchen. Letztlich muss jeder für sich selbst entscheiden, wie das Kosten/Nutzen-Verhältnis ist. Urlaubsgrüße an Tante Erna wird man wohl nicht unbedingt verschlüsseln wollen, den Brief an den eigenen Anwalt vielleicht schon.

Herr Städtler bemüht das Metcalf’sche Gesetz, nach dem der Nutzen einer Kommunikationstechnologie mit dem Quadrat seiner Nutzer steigt. Das trifft im Fall der Verschlüsselung sicher zu, ist aber kein Argument gegen Verschlüsselung, Vielmehr sollte es Ansporn sein, mehr Leute dazu zu bewegen Verschlüsselung einzusetzen. Dazu muss man nicht einmal alle Anwender überzeugen, sondern vor allem jene, die viel kommunizieren. Das Metcalf’sche Gesetz ist nämlich grob vereinfachend: Es geht von einer gleichmäßig verteilten Kommunikation zwischen allen Teilnehmern aus. In Wahrheit gibt es immer einzelne Punkte über die ein Großteil der Kommunikation abläuft. In der Kommunikationsforschung bezeichnet man solche Punkte als Hubs. Solche Hubs können zum Beispiel Journalisten sein, oder Blogger, oder andere Leute, mit denen viele in Verbindung treten möchten. Wenn diese beginnen würden, Verschlüsselung einzusetzen, würde das Interesse schnell steigen. Beim genannten Fax-Gerät war das ähnlich: Den Durchbruch erlebte diese Technologie als genügend interessante Unternehmen  sie eingesetzt haben.

Schließlich versucht Städtler noch zu beweisen, dass Verschlüsselung nichts nutzt. Dies tut er mit, meiner Ansicht nach, unlauteren Argumenten:

1. Ist der Rechner bereits kompromittiert (was man ebenfalls als Laie nicht überprüfen kann), ist jegliche Verschlüsselung sinnlos, da jemand anderes die Kontrolle über den Rechner hat.

Wenn jemand anders die Kontrolle über den Rechner hat, und man dies nicht bemerkt, hat man ganz andere Probleme als die Verschlüsselung. Ich will nicht bestreiten, dass ein Teil der Benutzer einen Angriff tatsächlich nicht bemerken würde, als Argument gegen Verschlüsselung taugt es indes nicht. Genauso gut könnte ich sagen, es nutze nichts die Haustüre abzuschließen, weil ein Einbrecher ja trotzdem noch durch ein Fenster einsteigen kann. Trotzdem schließt nahezu jeder seine Haustür ab, obwohl Schlüssel und Schlösser ziemlich teuer und aufwendig sind. Versagt hier der homo oeconomicus? Wenn der Rechner kompromittiert ist, braucht der Angreifer meine Verschlüsselung nicht mehr zu brechen. Er sieht ja ohnehin was ich schreibe. Hier stellt sich wiederum die Kosten/Nutzen Frage für den Angreifer: Ist mein Rechner ein lohnendes Ziel?

2. Selbst wenn ich alles brav verschlüssele, so muss doch alles auch wieder entschlüsselt werden, damit ich es in Klartext lesen kann. Geschützt wird maximal der Transportweg der Nachricht, denn einmal bei mir angekommen wird die Nachricht in Klartext angezeigt für jeden der zu dem Zeitpunkt Gewalt über meinen Rechner hat. Ich kann aber nicht prüfen, ob nicht jemand andres meinen Rechner kontrolliert.

Hier wedelt der Schwanz mit dem Hund: Die Verschlüsselung soll ja gerade dazu führen, dass der Empfänger, und nur dieser, die Nachricht erhält. Ist die Nachricht beim Empfänger angekommen, kann dieser natürlich nach seinem Belieben darüber verfügen. Das liegt aber in der Natur von Kommunikation, und hat nichts mit Verschlüsselung zu tun. Ein kenianisches Sprichwort lautet:

Drei Männer können ein Geheimnis nur wahren, wenn zwei von ihnen tot sind.

Wer Gewalt über den Rechner hat, kann aber noch lange nicht die Nachrichten lesen, denn der private Schlüssel, der zum Lesen benötigt wird, ist üblicherweise mit einer Passphrase gesichert. Trotzdem besteht natürlich nach der Übertragung die Gefahr, dass der Empfänger die Nachricht weitergibt.

3. Selbst die härteste Verschlüsselung setzt darauf, dass man auf seinem Rechner ein Geheimnis beschützen kann. Dieses Geheimnis ist der sogenannte PRIVATE KEY (letztlich auch nur ein Textschnippsel). Doch wie soll der Nutzer diesen Schlüssel schützen, wenn er nichtmal weiß wo er ihn denn finden kann und wie kann er kontrollieren, dass ihn niemand anderes bekommt?

Im Prinzip ist das dasselbe Argument wie unter 1. Dem lässt sich tatsächlich technisch begegnen, zum Beispiel in dem man den Private Key nicht auf dem Rechner speichert. Beim Online-Banking wird das z.B. im HBCI Verfahren so gemacht. Die gesamte Verschlüsselung, inklusive der Eingabe der Passphrase, findet dabei auf deinem gesicherten Gerät (Karte und Kartenleser) statt. Die Benutzer akzeptieren dies in der Regel klaglos, obwohl es noch aufweniger ist als GPG. Offenbar erscheint ihnen der Nutzen beim Online-Banking dennoch höher als die Kosten?

4. Letztlich sind ALLE Verschlüsselungen in determinierender Zeit knackbar, denn wer genügend Rechenpower hat, der kann mit einer sogenannten Bruteforce-Attacke einfach alle möglichen Schlüsselkombinationen durchprobieren. Klar das braucht ‘ne Weile, aber wer weiß welche Rechenkraft den Regierungen heute schon in Geheimlabors zur Verfügung steht? Vom Quantencomputing hat man lange nichts mehr gehört, vielleicht funktioniert es längst.

Dieses Argument gleitet nun völlig in das Reich der Spekulation ab. Tatsächlich kann man jeden Schlüssel brute-forcen. In der Theorie. In der Praxis ist der Aufwand dafür gigantisch. Angenommen wir hätten einen Supercomputer mit 10 Petaflops (ungefähr die Leistungsklasse der aktuellen Generation der schnellsten Geräte dieser Art), dann bräuchte dieser bei AES-256 3,3 * 1056 Jahre, um den richtigen Schlüssel zu finden. Über die gigantischen Energiemengen, lasse ich mich mal nicht aus.

AES ist ein sehr gut erforschter Algorithmus, auch Schwachstellen sind bekannt. Andrey Bogdanov, Dmitry Khovratovich, and Christian Rechberger haben 2011 einen Weg gezeigt, wie man einen Key mit geringerer Komplexität ermitteln kann. Dadurch kann man ein paar Größenrodungen aus der obigen Zahl wegstreichen, mehr als 1050 Jahre bleiben es aber. Zum Vergleich: Das Universum ist ca. 1.3* 1010 Jahre alt.

Was Quantencomputer und Time-Travel-Computing angeht, bewegen wir uns im Bereich irgendwo zwischen Science Fiction und Aluhut.

5. Daraus folgt der nächste Schluss: Da ich nicht mitbekomme, wenn mein Schlüssel geknackt wurde, kann ich auch nicht erfolgreich prüfen, ob ich noch sicher bin. Ich muss daran glauben das schon alles gut sein wird!

Natürlich muss ich darauf achten, dass mir mein Schlüssel nicht geklaut wird, aber dass ihn jemand mal eben so knackt, gehört, sofern ich vernünftige Verschlüsselung einsetzte, ins Reich der Aluhüte.

Viel gefährlicher ist es, dass die Implementierungen der Verschlüsselung nichts taugt. Der Hack der Playstation 3 hat gezeigt, wie effektiv solche Side-Channel Angriffe sein können.

Fazit: Trotzdem Helge Städtler einige grundlegende Probleme der Verschlüsselung aufzeigt, und deutlich macht, dass die Datenschnorchelei der Gehemdienste ein politisches Problem ist, dass auch politisch bekämpft werden muss, sind weite Teile der Argumentation nicht stichhaltig, und in meinen Augen vor allem darauf ausgelegt, auf der Nerdkultur herum zu hacken und die eigene Überlegenheit hervor zu heben. Schade eigentlich, denn auch wenn wir bezüglich der Effektivität von Verschlüsselung höchst unterschiedlcher Meinung sind, teile ich seine Einschätzung, dass aktuelle Software zu umständlich zu bedienen ist.

Im Neuland

Das Internet ist für uns alle Neuland

Diesen denkwürdigen Satz hat Bundeskanzlerin Angela Merkel gestern beim Staatsbesuch von US-Präsident Barak Obama gesagt.

Zwanzig Jahre nach Helmut Kohls Feststellung Datenautobahnen seien Ländersache, bleibst festzustellen, dass die Bundesregierung immer noch nicht im 21. Jahrhundert angekommen ist, und es am Willen mangelt, sich mit netzpolitischen Themen auseinanderzusetzen.

Die Reaktion im Netz kam prompt, und erwartbar: Unter dem Hashtag #Neuland werden jede Menge mehr oder minder lustige Sprüche über Merkel ausgetauscht. Hohn uns Spott seitens der Netzgemeinde werden laut.

Ebenso erwartbar ist die Reaktion der Mainstreammedien: In der  Süddeutschen findet Johannes Kuhn, dass Merkel recht hat, und die Netznutzer, egal, ob sie sich nur lustig machen, oder versuchen einen substantiellen Debattenbeitrag zu lassen, allesamt besserwisserische Spießer sind, die sich nur selbst darstellen wollen.

Als Beleg dafür, dass das Internet für die große Mehrheit der Bürger tatsächlich Neuland ist, zitiert die Süddeutsche die Online-Studie (PDF) von ARD und ZDF.  Dort heißt es, unter anderem, nur 15 Prozent der Deutschen würden mehr als einmal pro Woche Apps benutzen (Tabelle 3). Kuhn stellt diese Zahlen etwas aus dem Zusammenhang gerissen dar. Das beginnt schon damit, wie die Studie „App-Nutzung definiert:

962 Millionen Mal wurden allein in Deutschland im letzten Jahr
Apps heruntergeladen, eine Steigerung um 249
Prozent im Vergleich zum Vorjahr. (14)
Jeder vierte deutsche Onliner nutzt inzwischen
solche Apps (24 %) (vgl. Tabelle 8). Im Vorjahr
waren es noch 17 Prozent. Unter den App-Nutzern
sind Männer und unter 30-Jährige überproportional
vertreten. Diejenigen, die Apps auf ihr Smartphone
oder ihren Tablet-PC laden (und für zweckmäßig
befinden – viele Apps werden nur testweise
geladen und dann wieder gelöscht), nutzen diese
auch – 40 Prozent sogar (mehrmals) täglich. Weitere
13 Prozent greifen mindestens einmal wöchentlich
auf Apps zu.

Tatsächlich greift also die große Mehrheit der Nutzer (40%) mehrmals täglich auf Apps auf dem Smartphone zurück. Die 15% aus Tabelle 3 beschreiben den Anteil der „App-Nzuter“ an den Gesamtnutzern (also allen, die irgendwie Zugang zum Internet haben). Und bei weitem noch nicht jeder Bürger hat ein Smartphone oder Tablet mit mobilem Netzzugang.

Hinzu kommt, wie die Studie „App-Nutzung“ definiert. Als Apps werden hier nämlich nur diejenigen Programme betrachtet, die der User aktiv heruntergeladen und auf seinem Smartphone installiert hat. Die Nutzung der bereits vorinstallierten Programme ist in der Studie unter Smartphone-Nutzung subsumiert.

Wer also „herumsurft und E-Mail nutzt“, wie Kuhn formuliert, ist nicht in diesen 15% erfasst, auch wenn er das mobil tut.

Letztlich spielt es aber keine Rolle, was die Menschen mit ihrem Internetanschluss tun, oder ist die Nutzung weniger „wertvoll“, nur weil jemand vor allem E-Mails verschickt?

Das PRISM-Programm erfasst ja eben gerade diejenigen Benutzer besonders stark, die  -mangels Fachkenntnissen- auf die Dienste großer Anbieter wie Google und Microsoft zurückgreifen. Dass diese Benutzer von Überwachung und Manipulation stärker betroffen sind, als die „internetaffinen Vielnutzer“, die eben wissen, wie man verschlüsselt, und sich vielleicht sogar eigene Server für die bevorzugten Dienste einrichten können, leuchtet ein.

Aber gerade deswegen ist es unentschuldbar, dass die deutsche Politik es zwanzig Jahre lang geschafft hat, diese Entwicklung zu verschlafen. Und dass wir eine Kanzlerin haben, die es schafft im Angesicht des größten staatlichen Lauschangriffs der Geschichte auch noch mit dieser Unwissenheit zu kokettieren.

Gerade weil viele Bürger noch dabei sind, sich in der vernetzten Welt zu orientieren, muss die Politik hier tätig werden. Auch die sog. Netzgemeinde ist hier gefordert, blöde Sprüche auf Twitter machen reicht in der Tat nicht, da hat Johannes Kuhn recht.

Allerdings setzt das voraus, dass man diejenigen, die sich mit der Netztechnologie, und ihrer sozialen Wirkung, auskennen auch im Rest der Gesellschaft beginnt ernstzunehmen. Meine Erfahrung mit wenig netzaffinien Mitbürgern ist nämlich die, dass man die Technik zwar nutzen möchte, sich aber nicht damit beschäftigen will. Die Nerds und Geeks sind die nützlichen Idioten, die quasi moralisch verpflichtet sind, dem Rest der Welt ihr Windows zu reparieren.

Und solange das so ist, wird sich auch weiter Hohn und Spott über die DAUs ergießen.

Schreibt ordentlichen Code!

Gestern hat Bundesinnenminister Hans-Peter Friedrich das neue Nationale Cyber-Abwehrzentrum offiziell eröffnet. Das klingt erst mal nach James Bond und Hacking, ist aber auf den zweiten Blick eher unspektakulär. In diesem Zentrum arbeiten Experten des BSI,des Bundeskriminalamtes, des Bundesnachrichtendienstes, des Bundesamts für Verfassungsschutz, des Bundesamts für Bevölkerungsschutz und Katasrophenhilfe sowie der Bundespolizei, der Bundeswehr und des Zollkriminalamtes.

Hans-Peter Friedrich umreißt die Aufgaben des Zentrums so:

„Wo immer ein Schadprogramm auftaucht, analysieren wir es im
Cyber-Abwehrzentrum: Wie ist seine Wirkungsweise? Welche Gegenwehr ist
denkbar? Die entwickeln wir“

Das klingt in meinen Ohren arg nach dem, was die Hersteller von Antiviren-Software so tun. Ob die sich wohl über die staatlich finanzierte Konkurrenz freuen? Bedenkt man, dass es Antiviren-Programme schon seit den achtziger Jahren gibt, klingt dieser Ansatz nicht sehr vielversprechend. Schließlich hat die Antiviren-Software gegen viele Attacken nicht geholfen. Generell hat dieser Ansatz den Nachteil, dass er immer nur aus Reaktion besteht.

Wäre es nicht sinnvoller, anstatt auf Angriffe zu reagieren, intensiver daran zu forschen, wie man Code schreibt, der weniger anfällig für Angriffe ist? Die fehlerfreie Software gibt es nicht, dafür ist Softwareentwicklung viel zu komplex.

Aber es sind immer wieder die selben Lücken, die ausgenutzt werden. Ein Großteil der Angriffe auf Webseiten läuft über sogenannte SQL-Injection-Angriffe, bei denen ein Befehl zur Datenbankabfrage in ein übertragenes Feld eingefügt wird. Viele Programme sind noch immer anfällig für Buffer-Overflow Angriffe, bei denen Zeichenketten übergeben werden, die länger sind, als vom Programmierer vorgesehen.

Es gibt noch eine ganze Reihe anderer Angriffe, die im großen und ganzen darauf aufbauen, dass Programmierfehler sich ausnutzen lassen, um sich Zugang zu einem System zu verschaffen.

Hinzu kommt, das vielerorts das Bewusstsein für Softwaresicherheit nicht vorhanden ist. Unternehmen und Behörden wollen, dass die Software möglichst leicht zu bedienen ist, die gewünschten Ergebnisse liefert, und dabei am besten nichts kostet. Bei den Herstellern sieht es nicht anders aus: Qualitätssicherung spielt, besonders bei mittelständischen Unternehmen meist, eine untergeordnete Rolle; sie ist zu teuer. Wenn überhaupt eine Kontrolle stattfindet, dann wird geprüft, ob das Programm tut, was es soll, und dabei nicht abstürzt. Sicherheitstests kommen in der Regel gar nicht vor.

Im Bereich der Unternehmenssoftware sind manche Unternehmen dazu übergegangen ihre Entwickler -ähnlich wie in der Versicherungsbranche- nach einem Prämienmodell zu bezahlen. Neben einem -mageren- Grundgehalt erhalten die Entwickler Prämien, wenn sie die vorgegebenen Termine einhalten. Dies führt natürlich dazu, dass die Entwickler nur noch versuchen ihren Termin zu halten (der meist sehr knapp kalkuliert ist), Sicherheitserwägungen spielen dann keine Rolle mehr, und die allgemeine Codequalität lässt dann auch oft genug zu wünschen übrig.

„Schreibt endlich ordentlichen Code!“, möchte man den Verantwortlichen gern zurufen. Wenn ein Cyber-Abwehrzentrum was bringen soll, muss es hier ansetzen. Bekannte Lücken bekämpfen ist eine Sache, viel wichtiger ist es aber, an Techniken zu forschen, die sicheren Code ermöglichen, Entwicklern die Arbeitsbedingungen zu schaffen, unter denen eine saubere, auf Sicherheit ausgelegte Konzeption machbar ist. Und nicht zuletzt: Das Bewusstsein bei Anwendern und Entscheidern zu stärken.

Ansonsten ist der „Cyber-War“ schon verloren.