Der NSA-Skandal: das Versagen der Zuständigen

Kryptoqualifizierung Was ermöglicht die kollektive Untätigkeit? Was ist zu tun, und wer ist dafür verantwortlich, dass das Nötige endlich in Angriff genommen wird?
Bei diesem Beitrag handelt es sich um ein Blog aus der Freitag-Community

Inzwischen kann man Snowdens Enthüllungen mit einem Verkehrsunfall vergleichen: Eine Horde Zuschauer denkt sich: „Meine Güte, ist das schlimm! Will nicht irgend jemand endlich mal helfen?“

Anders als bei einem Unfall mit Verletzten kann man bei unserer elektronischen Kommunikation noch darüber diskutieren, wie schlimm der Vorfall ist und in welchem Ausmaß – wer auch immer – helfen muss und sollte. Die Haltung, dass das im großen und ganzen alles egal sei und / oder den normalen Bürger nicht betreffe, ist aber schon deshalb grotesk, weil sie Jahrzehnte des Grundrechtsstreits vor dem Bundesverfassungsgericht zu einer sehr teuren Selbstbespaßung der Beteiligten degradiert: Dort werden der rechtliche und faktische Zustand der Bundesrepublik permanent an diversen Fronten darauf durchleuchtet, ob sie die Freiheit der Deutschen, insbesondere die Freiheit der Meinungsäußerung und Informationsbeschaffung, und damit die Demokratie einschränken oder sogar gefährden. Es bedarf keiner sorgfältigen Analyse, um zu erkennen, dass der Großteil der staatlichen Aktivitäten, die in Karlsruhe kassiert werden, verglichen mit dem nun offenbarten Unheil die sprichtwörtlichen Peanuts sind. Die Frage, ob etwas passieren muss, stellt sich also gar nicht, sondern nur die nach dem Was, Wie und Wann.

Hinzu kommt (ganz unabhängig von Snowden), dass – weniger offensichtlich, aber nicht weniger selbstverständlich – eine durch und durch technisierte Gesellschaft, die immer mehr ihrer vitalen Vorgänge ins Internet verlegt, nicht dauerhaft problemlos funktionieren kann, wenn ihre Mitglieder (technisch) nicht in der Lage sind, Informationen so zu übertragen, dass sie ihnen eindeutig zugeordnet werden können (einfachstes Beispiel: Bestellungen). Die Möglichkeit, vertraulich zu kommunizieren, ist ähnlich wichtig – privat wie geschäftlich; nicht grundlos haben wir ein Post- und Fernmeldegeheimnis.

Nun ist die Problemspanne von digitalen Unterschriften bis zur Erfassung fast aller Mobilfunk-Metadaten sehr groß. Sehr unterschiedliche Probleme erfordern unterschiedliche Lösungen, und die Entscheidungsgewalt über diese Lösungen haben unterschiedliche Instanzen. Manches kann nur der Staat leisten, manches nur der einzelne. Beim Staat kann man argwöhnisch fragen, wie groß das Interesse daran ist, die Bürger vor dem massenhaften Abgreifen ihrer Daten zu schützen, denn wenn man die so sichert, dass die fast allmächtige NSA nicht mehr rankommt, dann kommt auch die beschauliche deutsche Polizei nicht mehr ran – oder nur noch mit viel höherem technisch-organisatorischen Aufwand, und wer macht sich seinen Alltag schon gern beschwerlicher? Bleibt der Staat also gezielt untätig, weil er sich vermeintlich zwischen zwei Übeln entscheiden muss? Mag sein, dass ein Teil von Politik und Exekutive so ticken; zugeben würden sie es natürlich nicht. Als kleine Beruhigung bleibt Hanlon’s Razor: „Never attribute to malice that which can be adequately explained by stupidity.“

Man kann sich nun über Details streiten, welche technischen Gegenmaßnahmen zu ergreifen sind, aber die grundlegenden gesellschaftlichen Aspekte dürften unstreitig sein: Dieser Kampf ist mit einer IT-inkompetenten Bevölkerung nicht zu gewinnen. Und mit einem IT-inkompetenten Parlament auch nicht. Die Bevölkerung ist dabei in doppelter Hinsicht kritisch, weil sie einseits für sich selber Maßnahmen ergreifen muss, die der Staat ihr nicht abnehmen kann und andererseits ohne ein technisches Grundverständnis kaum in der Lage ist, die Politik zu bewerten und für ihre Fehlleistungen zu maßregeln. Es ist anzunehmen, dass die regelmäßige aktive Nutzung von Verschlüsselung u.Ä. im ersten Schritt ein Empfinden für den Wert mancher Informationen schafft; und im zweiten Schritt dann ein politisches Bewusstsein für die Notwendigkeit des Schutzes dieser Informationen.

Der Beginn dieses Dramas liegt nun über ein halbes Jahr zurück. Was ist seitdem passiert? Die Verwalter der politischen Untätigkeit haben – naiv oder bewusst? – ohne Plan B auf eine politische Lösung gesetzt. Da die Amerikaner sie nun haben auflaufen lassen, muss man mit Schrecken feststellen, dass nicht nur nichts von Belang passiert ist, sondern es auch nicht einmal relevante Ankündigungen gibt. Mehr Geld für das BSI, was für eine politische Glanzleistung. Die Mutmaßung, dass es unter den Politisch-Verantwortlichen nicht einmal passable Ideen gibt, was man den tun könnte, erscheint nicht sonderlich gewagt. In welchem Ausmaß die technische Kompetenz derjenigen, die professionell und oftmals mit vertraulichem Anspruch kommunizieren, seit Juni gewachsen ist, will man wohl besser gar nicht erst wissen.


Fast noch erschreckender als das Versagen der Politik in voller Breite ist, dass auch sonst keine Instanz Relevantes zustande bringt – und es ist ja nun aus gutem Grund nicht so, dass Deutschland bisher die Bundeskanzlerin gefragt hätte, wie es seine IT-Probleme lösen soll. Unter großem medialen Getöse hat sich in Deutschland – mehr als irgendwo sonst – die Cryptoparty-Szene etabliert. Aber das sind in der Größenordnung von 100 Leute (der Autor gehört dazu), viele von denen eher engagiert als echte Experten. Ein löblicher Ansatz, aber quantitativ derzeit belanglos.

Es wird wohl niemand bezweifeln, dass es ohne die Hochschulen und Schulen nicht möglich sein wird, in überschaubarer Zeit (zehn Jahre) die Bevölkerungsmehrheit zu qualifizieren. Was aber hört man von dort? Nichts. Noch erschreckender ist, dass Anstöße von außen dort überwiegend auf keinerlei Resonanz stoßen. Keine Einsicht ohne Lehrplan oder Prüfungsordnung? Fast noch schlimmer ist die Ignoranz des Problems und insbesondere solcher externen Anstöße durch die Verbände der Berufsgeheimnisträger: Anwälte, Steuerberater, Journalisten, Seelsorger usw. Es wird zwar öffentlich herumlamentiert, man solle gefälligst das Abhören der Kommunikation mit den Mandanten unterlassen, aber schon die kleinste denkbare eigene Aktivität ist zu viel verlangt. Und die Onlinewirtschaft, ist die nicht vital auf sichere Technik (die nur in Kooperation mit dem Nutzer möglich ist) und das Vertrauen darauf angewiesen? Die Banken, die Versandhändler? Nichts. Als gäbe es einen Preis für das größte Versagen.

Es bleiben zwei entscheidende Fragen: Wie ist das möglich? Die Hauptschuldigen dafür sind die Medien. Anfangs war Wahlkampf, diese Zeit mag man ihnen nachsehen. Aber wo werden die Minister, Parlamentarier, Parteifunktionäre, Professoren, Schulleiter, Verbandsvertreter und Vertreter der wichtigsten Onlineunternehmen mit ihrer Untätigkeit ins Licht der Öffentlichkeit gezerrt? Warum muss niemand unangenehme Fragen beantworten? Ein Großteil des Problems dürfte sein, dass die Journalisten technisch auch nicht besser davor sind. Und wie will man als solcher einen Politiker auseinandernehmen, wenn der, um einen ruhigzustellen, nur zurückfragen muss, ob man selber für seine Informanten verschlüsselt erreichbar ist?

Die andere Frage ist offensichtlich: Was ist zu tun? Da kann man Details und technische Finessen erst mal außen vor lassen. Der entscheidende Punkt ist: Sichtbarkeit. Der Normalbürger empfindet keinen Handlungsbedarf, nur weil seine Zeitung oder das Fernsehen einen besorgten Ton Anschlagen. Für den Normalbürger – also diejenigen, die grundsätzlich keine Backups ihrer wichtigen Daten machen – ist IT-Sicherheit ein Thema für Freaks. Das wird sich wahrscheinlich nur dann ändern, wenn ihm dieses Thema immer wieder in seinem Umfeld begegnet. Und dazu kann jeder beitragen. Jede Privatperson, jedes Unternehmen und jede sonstige Organisation. Denn alle haben eine Website oder verschicken zumindest E-Mails. Mit nahezu null Aufwand kann jeder einen Beitrag leisten, indem er auf seiner Website oder in der Textsignatur seiner E-Mails geeignete Links und Bemerkungen unterbringt. Es ist so einfach. Es gibt keine Ausreden. Den komplizierten Teil kann man anderen überlassen.

Wenn man sich nicht scheut, die Situation etwas provokant zu betrachten, kann man sogar zu der Einschätzung kommen, dass ein einzelner Mann es in der Hand hat, das Problem zu lösen: Norbert Lammert. Der Bundestagspräsident hat sich mit der Politikverdrossenheit hierzulande nicht arrangiert und dürfte grundsätzlich auch daran interessiert sein, durch konkrete Maßnahmen den Nachweis zu erbringen, dass Politik in Deutschland ab und zu noch Probleme zu lösen vermag. Er braucht lediglich zu verkünden, dass – etwa weil es inakzeptabel sei, dass die Bundestagsabgeordneten ihre Kommunikation nicht sichern (können) – nach einer geeigneten Übergangsfrist die Zustellung unverschlüsselter E-Mails an Bundestagsadressen unterbunden wird, ebenso deren Versand. Der Rest ginge dann nicht nur von selbst, sondern auch ganz schnell.

kostenlose Schulungsangebote: www.cryptoparty.in

Kryptografie sichtbar machen: www.crypto-fuer-alle.de

06:31 03.02.2014
Dieser Beitrag gibt die Meinung des Autors wieder, nicht notwendigerweise die der Redaktion des Freitag.
Geschrieben von

Kommentare