Adrian Janotta hat eine Biografie, wie aus einem Film, so Robert Weber. Software-Entwickler. Freundin hat ihn verlassen, dann abgestürzt, Job verloren, dann Shops im Internet gehackt, erwischt worden (Update von RW: Wurde nicht beim Hacken erwischt – darauf legt er Wert. War eine Verkehrskontrolle – Alkohol – und dann haben die ein paar Festplatten im Kombi gefunden). Kam in den Knast, hat Uli Hoeneß im Gefängnis getroffen und hinter den schwedischen Gardinen BWL studiert. Direkt nach der Freilassung gründete Janotta eine Security-Firma und berät mittlerweile die Deutsche Bank und mittelständische Maschinenbauer. Naiv bei der IT-Sicherheit seien nicht nur die Unternehmen, sondern auch die Sicherheitsfirmen, warnt Janotta:
“Sie versprechen Sicherheit, die sie nicht einhalten können.”
Man kauft eine Firewall, um Netzwerke zu schützen. Dennoch wird man gehackt. “Das passiert leider ständig.” Dieses Szenario könne man Anti-Viren-Software-Hersteller übertragen. Computer seien trotz dieser Virenwächter voller Spionagesoftware. Es mehren sich die Stimmen, das diese Hersteller Daten von Unternehmen sammeln und sensible Daten speichern.
“IT-Sicherheit ist heute zu einem Machtinstrument von Staaten geworden, sie missbrauchen Sicherheitssysteme für den Cyberkrieg”, erklärt Janotta.
Janotta plädiert für den Einsatz von Open Source-Software.
“Auch die US-Behörden setzen das sein, wenn es um Cyber-Sicherheit geht.”
Selbst die NSA würde Open Source-Software empfehlen, die von Communities entwickelt werden, die auf Sicherheit achten.
“Beim aktuellen Bundes-Hack sagt man ja, dass das ein Hochsicherheitsnetz sei – also der Kommunikationsverbund Berlin-Bonn, worüber auch das BSI läuft.”
Problem: Hier werde mit Software von Microsoft gearbeitet. Die Schwachstellen in diesem System werden regelmäßig herausgefunden und im Darknet verkauft. Es gebe einen regen Handel mit den sogenannten Exploits, also den Schwachstellen, die man systematisch ausnutzen und missbrauchen kann. Selbst die Mafia könne das kaufen und den Bundestag oder die Bundesregierung angreifen.
Um das zu verhindern, muss man die IT-Sicherheit professionalisieren.
Am Dienstag, den 13. März werde ich das im Gespräch mit Adrian Janotta vertiefen. Wie müsste die Cyber-Abwehr in Behörden organisiert werden? Welche Fachleuchte braucht man? Sollte man Gegenangriffe starten?
Läuft als Livestream via Facebook. Habt Ihr Fragen? Dann jetzt schon in der Blog-Kommentarfunktion unten posten oder live mitmischen auf Facebook.
Bundesinnenminister Thomas de Maizière versucht in einem FAZ-Gastbeitrag krampfhaft, mit Ausflügen in die Meinungswelt des Silicon Valley-Dauerkritikers Evgeny Morozov der kritischen Netzgemeinde das Wasser abzugraben.
„In der Debatte über die Inhalte der ‚Digitalen Agenda‘ der Bundesregierung, die in dieser Woche vom Bundeskabinett verabschiedet wird, können wir alle von Morozov beschriebenen Positionen schon heute in der öffentlichen Diskussion finden. Dies hängt auch mit einem weiteren, aus meiner Sicht eher zweifelhaften Aspekt des digitalen Wandels zusammen: seiner enormen Schnelligkeit und der Gier der sogenannten Internetgemeinde (was ist daran eigentlich noch eine Gemeinde?) nach immer neuen Informationen, seien sie auch noch so klein oder vorläufig. So hat es nur Stunden gedauert, bis der erste Entwurf der Digitalen Agenda ‚geleakt‘ wurde. Nur wenig später folgten die ersten Verrisse der Technooptimisten sowie der naiven Technoagnostiker. Sodann wurden zwischenzeitlich durchgeführte Veränderungen und Konkretisierungen des Entwurfs als Einflussnahme der Hauptstadtlobbyisten hochstilisiert und verdammt“, schreibt der Innenminister oder hat der Innenminister schreiben lassen.
Wenn Lothar de Maizière von "revolutionären Innovationen" bei IT-Recht und Datenschutz spricht, krieg ich irgendwie Angst…
Die im Rahmen (Bürokratendeutsch) von Ressortabstimmungen seit Jahrzehnten sinnvolle und geübte Praxis, dass die Fachabteilungen der verschiedenen Ministerien jeweils aus ihrer – teilweise von anderen Ressorts anders eingeschätzten – Fach- und Expertenperspektive heraus versuchen, Änderungen an den bestehenden Entwürfen einzubringen, werde dabei übersehen oder gar ignoriert. Wer übersieht denn das Ressort-Wer-hat-denn-nun-die Verantwortung-für-die-digitale-Agenda-Ablenkungsspiel der Großen Koalition? Da fängt doch das digitale Trauerspiel der schwarz-roten Regierung an.
De Maizière glaubt doch allen Ernstes, mit seinen Wackelpudding-Formulierungen zur Digitalen Agenda, Deutschland zum IT-Vorreiter zum machen. Gleichzeitig sollten die digitalen Infrastrukturen die sichersten weltweit werden.
Der Bundesminister gibt zudem zu Protokoll, dass „unser liebevoll gestricktes deutsches Datenschutzrecht“ ausgedient habe. Die bisher geltenden Regelungen würden der technischen Entwicklung nicht mehr gerecht. Die Verabschiedung einer EU-Datenschutzverordnung habe deshalb für ihn „überragende Bedeutung“. Die Verordnung werde das deutsche Recht „komplett“ ersetzen. Will de Maizière die Netzgemeinde verscheißern?
Die Rechtsverordnung hätte schon längst in Kraft treten können, wenn sich nicht die deutsche Regierung dagegen gesperrt hätte. Formell wurde als Argument angeführt, die Vorlage würde das Niveau des deutschen Datenschutzes absenken.
„Das ist völliger Quatsch. Ich war mit Sigmar Gabriel kürzlich in einer Talkshow. Er kam mit diesem Argument und konnte dennoch keinen einzigen Punkt nennen, wo der deutsche Datenschutz weiter geht“, bemerkt die Schriftstellerin Juli Zeh.
Trotzdem wollte Gabriel von seiner Haltung nicht abrücken. Da fehle schlichtweg die Kompetenz.
De Maizière hebt in seinem Beitrag hervor, dass im Zentrum der Überlegungen seines Ministeriums zur IT-Sicherheit eine Abkehr vom Prinzip der Freiwilligkeit stehe:
„Wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken.“
Je gravierender die Risiken, desto höher müssten die Anforderungen an Schutzvorkehrungen sein. Weiter schreibt de Maizière:
„Auf freiwilliger Basis bestehende Angebote und Initiativen in Anspruch zu nehmen reicht hier nicht mehr aus!“
Der Staat müsse deshalb „Sicherheitsgurte für die IT der kritischen Infrastrukturen“ einführen. Wird dann ein Melderegister eingeführt? Schafft man eine Cyber-Polizei, um Verstöße gegen die Meldepflicht aufzuspüren? Und bestimmt ist schon ein umfassender Bußgeld-Katalog in Arbeit, um den Ungehorsam bei der Meldepflicht zu ahnden.
Wie im Koalitionsvertrag der GroKo wird viel über Sicherheit und wenig über die Modernisierung der digitalen Infrastruktur gesprochen. Wer das in der Netzgemeinde kritisiert und das Ressortchaos der Regierung moniert, ist dann wohl auch ein naiver Techno-Optimist oder Techno-Agnostiker? Was für eine dümmliche Klassifizierung.
Jeder Geschäftsbereich hat irgendetwas zur digitalen Agenda in das Koalitionspapier hineingekritzelt, um es mit fetten Budgets und Planstellen auszustatten – verfeinert mit Kompetenz-Zentren, in denen sich Verwaltungsjuristen austoben können. Besonders eifrig ist die CSU mit ihrem damaligen Innenminister Friedrich bei der Aufrüstung der Sicherheitsbehörden im sogenannten „Cyberkrieg“. Da lässt man es so richtig krachen – mit neuem Personal, lukrativen Berateraufträgen und einer opulenten Einkaufsliste für das Beschaffungsamt.
Die Horror-Märchen von der drohenden Netz-Apokalypse bringen zwar kein schnelles Internet und stellen keine Weichen für die digitale Transformation, sie nähren aber ein Kartell von hochbezahlten Sicherheitsberatern und Softwarefirmen, um sich gegenseitig Gruselgeschichten über Killerviren zu erzählen oder sich in martialischer Pose im Cyber-Abwehrzentrum ablichten zu lassen. Man züchtet ein Biotop mit einer paranoid anmutenden, extrem hermetischen Gedankenwelt, so die treffliche Bemerkung von Thomas Knüwer.
„Die USA sind das Digital House der Welt geworden und China das Maschinenhaus der Welt. Damit ist Deutschland im Sandwich zwischen digitaler Innovation und effizienter Produktion aus Asien. Zugleich entwickeln sich neue Felder wie IT, Biotech und Big-Data-Management in dramatischer Geschwindigkeit. Hier spielt Deutschland kaum eine Rolle.“
Die digitalen Naivlinge sitzen wohl eher am Kabinettstisch von Neuland-Kanzlerin Merkel.
Warum mir die IT-Sicherheitsgichtlinge auf die Nerven gehen
80 Prozent aller Angestellten verwenden bei der Arbeit ungenehmigte Apps – wie schrecklich. Und entsprechend blöken die IT-Sicherheits-Gichtlinge das immer gleiche Alarmismus-Liedchen. Das Verhalten der Mitarbeiter im Umgang mit der Schatten-IT sei riskant blabla.
Komischerweise kommen diese Studien in der Regel von….jawohl, von Firmen, die Software für die IT-Sicherheit verticken. Hier ist es mal wieder McAfee, die die Ergebnisse einer „Marktuntersuchung“ als Pressemitteilung durch die Gegend jagen. Sie erfasst angeblich den Umfang und die Risiken ungenehmigter Software-as-a-Service (SaaS)-Anwendungen. Dann taucht auch noch Stratecast auf, eine Division von Frost & Sullivan, die in einer „Studie“ belegen wollen, dass mehr als 80 Prozent der Befragten während der Arbeit nicht genehmigte SaaS-Anwendungen nutzen.
„Die Ergebnisse zeigen auch, dass IT-Mitarbeiter mehr ungenehmigte SaaS-Anwendungen im Einsatz haben als Mitarbeiter anderer Abteilungen im Unternehmen.“
Hä. In der Regel sind es doch die IT-Abteilungen, die den Einsatz von Wildwuchs-Anwendungen verhindern wollen. Dann kommt ein Satz, der verwirrt.
„Die Anwendung von Technologielösungen in Unternehmen und Organisationen, die nicht von der IT-Abteilung genehmigt sind oder nicht im Einklang mit IT-Richtlinien stehen, wird als ‚Schatten-IT‘ bezeichnet. Frost & Sullivan schätzen, dass der SaaS-Gesamtmarkt allein in Nordamerika mit einer kumulierten jährlichen Rate von 16 Prozent wächst und bis 2017 einen Marktwert von 23,5 Milliarden US-Dollar erreicht. Insbesondere die Cloud macht es den Mitarbeitern relativ leicht, Zugang SaaS-Anwendungen zu erlangen. So nutzen viele Mitarbeiter aber auch Auftragnehmer oder Geschäftspartner Anwendungen, ohne die IT-Abteilung zu informieren oder deren Genehmigung einzuholen.“
Ja wat denn nun? Ich dachte IT-Mitarbeiter sind die Bösewichte beim Einsatz ungenehmigter SaaS-Anwendungen? Und nun macht man das Fass auf, dass Mitarbeiter – von welchen Abteilungen auch immer – Software nutzen, die nicht von der IT-Abteilung genehmigt wurden.
Wenig überraschend ist übrigens das Resümee der „Studienautoren“:
„Angesichts der zunehmenden Nutzung von SaaS-Anwendungen müssen Unternehmen Richtlinien entwickeln, bei denen Flexibilität und Kontrolle im richtigen Verhältnis zueinander stehen. IT und Unternehmensführung sollten gemeinsam Richtlinien entwickeln, die es den Mitarbeitern erlauben, bestimmte Apps zugunsten einer höheren Produktivität zu nutzen. Dabei müssen Kontrollen zum Schutz der Daten und der Reduzierung des Unternehmensrisikos existieren.“
Und dann folgt die wenig überraschende Werbe-Einblendung in der Pressemitteilung:
„McAfee bietet Lösungen, die den Zugriff, die Sicherheit und die Kontrolle bereitstellen und die nötig sind, um der zunehmenden Verbreitung von SaaS-Anwendungen gerecht zu werden.“
Es ist ja auch schon bald Weihnachten, da kann man ja den Gabentisch mit McAffee-Software bereichern.
Nach den Ursachen für den Einsatz von externen Geräten und Diensten fragt der Schweinebauch-Anzeigentext der Sicherheitsfirma übrigens nicht. Vielleicht liegt es ja auch an der Unmöglichkeit der Kontrolle, wenn Mitarbeiter mit eigenen Smartphones und Tablets ihr berufliches Dasein versüßen wollen, weil bei der unternehmenseigene IT der Kalk rieselt. Oder vielleicht liegt es auch am selbstverschuldeten Demontage der IT-Führungskräfte, die sich in der Vergangenheit und auch noch heute hinter ihren Server-Farmen verschanzen. Siehe dazu auch:
Ein Bruder im Geiste der IT-Sicherheitsgichtlinge ist übrigens unser amtierender Innenminister Friedrich. Auszug meines Beitrages:
„Die Horror-Märchen von der drohenden Netz-Apokalypse bringen zwar kein schnelles Internet und stellen keine Weichen für die digitale Transformation, sie nähren aber ein Kartell von hochbezahlten Sicherheitsberatern und Softwarefirmen, um sich gegenseitig Gruselgeschichten über Killerviren zu erzählen oder sich in martialischer Pose im Cyber-Abwehrzentrum ablichten zu lassen. Man züchtet ein Biotop mit einer paranoid anmutenden, extrem hermetischen Gedankenwelt“, so Thomas Knüwer.
„Telekom-Vorstand Reinhard Clemens ruft die Wettbewerber zur Gründung eines neuen Unternehmens auf.“
Für die Telekom wie für die gesamte IT-Branche seien Attacken von Hackern zu einem riesigen Problem geworden. „Vor ein paar Jahren haben wir rund 10.000 Angriffe pro Tag gezählt, jetzt sind wir bei 100.000“, zitiert die FTD Clemens. Zudem seien virtuelle Schädlinge immer ausgefuchster programmiert.
„Viren haben selber so viel Intelligenz, dass sie sich in Unternehmensnetzwerken die wichtigen Daten eigenständig suchen.“
Der Verfassungsschutz beziffere den jährlichen Schaden durch elektronische Spionage auf etwa 50 Mrd. Euro.
Der Bonner Konzern soll angeblich selber zu den Betroffenen zählen. Er betreibe selbst Netze, bietet Cloud-Dienste für Großkunden an, die sicher sein müssen, und ist selbst tausendfaches Ziel von Angriffen. Gleichzeitig könnten die wachsenden Sorgen in Politik und Wirtschaft vor IT-Attacken der Telekom neue Umsätze bescheren – und das ist wohl eher der Kern dieser Sirenengesänge für mehr Sicherheit im Netz.
„Um den Schutz und vor allem die Reaktionszeit bei erfolgreichen Attacken zu erhöhen, schwebt dem T-Systems-Chef ein Zusammenschluss von Unternehmen vor, in dem Spezialisten ein Überwachungszentrum für die wichtigsten IT-Systeme aufbauen. Dies müsse jedoch alle Branchen umfassen und nicht nur die als kritische Infrastrukturen bezeichneten Systeme von Telekom-, Energie- und Finanzkonzernen“, schreibt die FTD. Dem Telekom-Manager schwebe etwas vor wie eine „Noteingreiftruppe“.
Die geplante Meldepflicht reiche der Telekom nicht, „denn die hilft im Ernstfall nicht“, kritisiert Clemens. Die Meldepflicht für Attacken auf kritische Infrastrukturen wie Energie oder Telekommunikation ist Teil eines Eckpunktepapiers zur Verbesserung der Cybersicherheit von Innenminister Hans-Peter Friedrich (CSU).
„Das Thema dürfte am Dienstag für heftige Diskussionen auf dem IT-Gipfel in Berlin sorgen“, führt die FTD aus.
Der IT-Gipfel ist allerdings nicht in Berlin, sondern in Essen. Und da wird Clemens auch einen Vortrag halten. Bei dieser Session habe ich mich jetzt nicht angemeldet, aber vielleicht gibt es für mich noch andere Möglichkeiten, ihm in Essen ein paar Fragen zu stellen. Welche Kompetenzen soll denn die Eingreiftruppe bekommen, wenn eine Meldepflicht alleine nicht ausreicht? Könnte Herr Clemens mal genau sagen, welche Hacker denn die Telekom und andere Unternehmen angreifen? Werden Sie doch mal konkreter? Um welche Angriffe handelt es sich? Welche Angriffe waren erfolgreich? Welcher Schaden ist entstanden?
Hier wird einfach eine andere Form des Verkaufs von Heizdecken betrieben – der läuft besonders gut, wenn sich Menschen vor dem Kälteeinbruch fürchten. Überhaupt ist das Säen von Furcht der Katalysator von Anbietern von entsprechender Software.
Ich bleibe bei meiner Forderung: Hosen runter, liebe Sicherheitsfetischisten. Es geht Euch doch gar nicht um die Abwehr von Netzangriffen. Es geht um das Zusammenschweißen einer unheiligen Allianz von Geheimdiensten, Politik und den pekuniären Interessen der Anbieter für Sicherheitssoftware. Wer soll denn meine Daten schützen? Der staatstrojanische Innenminister und die Telekom? Lächerlich.
Den spaßigen Teil der Hackeraktionen der No-Name-Crew kann man auf der Website des Bundesüberwachungsministeriums (eine Umbenennung des Innenministeriums) begutachten. Etwa im Aufgabenfeld „Totalüberwachung“. So sei die Volksverdummung Bestandteil der nationalen Totalüberwachungsarchitektur, er umfasst den Katastrophen- und den Zivilschutz. „Die zuständigen Behörden des Bundes dafür sind die Bundesanstalt Technisches Hilfswerk und das Bundesamt für Volksverdummung und Katastrophenhilfe“.
Wie bereits in vielen Medien berichtet wurde, ist der mutmaßliche Leiter der No-Name-Crew festgenommen worden. „Dies teilte das nordrhein-westfälische Landeskriminalamt am Montag mit. Der Verdächtige, bei dem es sich um den Hacker ‚Darkhammer‘ handeln soll, wurde nach einer Hausdurchsuchung verhaftet. Währenddessen ist die Seite der Gruppe nicht mehr erreichbar. Gerüchte besagen, dass die Behörden den Falschen verhaftet hätten“, schreibt gulli. Seit der Verhaftung sei auch die Internetseite der Netzaktivisten nicht mehr zu erreichen. „Eigentlich hatte man vor, im Falle einer Festnahme das Passwort eines Archivs zu veröffentlichen, das vertrauliche Dokumente der kompromittierten Behörden beinhalten soll. Vor kurzem hieß es auf der Webseite ‚Für den Fall eines Serverausfalls durch dritte ist die Verbreitung des Passworts durch No-Name Crew Mitglieder gesichert.‘ Davon ist jedoch nichts bekannt“, so gulli weiter.
Im BSI und im so genannten nationalen Cyber-Abwehrzentrum hat man wohl dennoch die Hosen voll und fürchtet einen weiteren Großangriff gegen Bundesbehörden. Entsprechend werden Server runtergefahren. Der Countdown bis zu einer weiteren großangelegten Hacker-Attacke soll immer noch laufen. Bis Ende Juli werden wir schlauer sein und einen Eindruck über die Kompetenz der Beamten Cyber-Grabenkampf bekommen.
Nachtrag: Auf der NNC-Website im Cache steht: „Neue Ziele wurden ausgesucht (Bundesebene) – Jetzt erst recht. Datum des Angriffs:
8 Tage“ – also am Mittwoch, den 27. Juli.
Das Cyberwar-Gesabbel von Firmenvertretern, die Software für die IT-Sicherheit verticken, geht mir so langsam auf den Keks. Es ist doch klar, das jemand, der Waffen verkauft, ganz gerne auch mal von der drohenden Kriegsgefahr fabuliert. Ähnliches zelebrieren die IT-Sicherheitsfuzzis. Als traurigen Tiefpunkt sehe ich das Spiegel Online-Interview mit dem „Viren-Jäger“ Jewgenij Kasperski. Auf die Frage, wann er das letzte Mal Opfer eines virtuellen Angriffs wurde, antwortet er:
„Jüngst wäre mein Computer zweimal fast infiziert worden. Bei einer Konferenz gab mir jemand meine Flashcard mit einem Virus zurück. Aber da half mir unser eigenes Virenprogramm. Beim zweiten Mal war die Web-Seite eines Hotels auf Zypern verseucht.“
Wahnsinn. Zwei Angriffe. Und das er keine Antiviren-Programme der Konkurrenz einsetzt, dürfte niemanden überraschen. Freude empfindet Kasperski, wenn er den Algorithmus eines ausgeklügelten Virus knacken kann. „Okay, manchmal schwingt bei mir ein gewisser professioneller Respekt mit. Aber mit Begeisterung hat das nichts zu tun.“ Und dann sagt der Kerl noch etwas unverschämtes.
„Jeder Virus ist ein Verbrechen. Hacker tun Böses. Ich würde auch nie einen einstellen (aber mit ehemaligen KGB-Leuten hat er wohl keine Probleme, gs).“
Eine Frechheit. Schön alles in einen Topf werfen und dabei einen kriegerischen Jargon benutzen. Das fällt dem Kaspersky ja nicht schwer, schließlich wurde er als Kryptologe vom Geheimdienst KGB ausgebildet. Alle Spione leiden scheinbar unter Verfolgungswahn und ergehen sich in Andeutungen über möglich Krisenszenarien. Das müssen sie auch tun, die Schlapphüte in den einschlägigen Organisationen, sonst würden sie ihren Arbeitsplatz verlieren. Die Denunziation von Hackern ist politisch gewollt (siehe meinen Beitrag: Hacker-Ethik versus Staatsbürokratien – Eine erste Entscheidungsschlacht #wikileaks), denn es gibt mittlerweile eine unheiligen Allianz zwischen Politik, Polizei und Wirtschaft unter dem Deckmantel der Netzsicherheit, darauf hat Philip Banse in einem sehr guten Blogpost hingewiesen.
„Ermittlungsbehörden und Geheimdienste, so das Credo, müssen sich besser austauschen mit der Wirtschaft, also mit Telefonunternehmen, Internetanbietern und Stromversorgern. In Amerika verlangt der Abhörgeheimdienst NSA unverhohlen mehr Kontrolle über zivile Netzte, nur so seien Cyberattacken rechtzeitig zu erkennen, abzuwehren und aufzuklären. Im Kampf gegen die Gefahren aus dem Cyberspace rücken Staat, Geheimdienste und Wirtschaft immer näher zusammen – was uns viel Geld und Freiheit kosten könnte. Ob wir diesen Preis zu zahlen bereit sind, hängt von der tatsächlichen Bedrohung ab. Deswegen lohnt ein genauer Blick auf diese ‚Gefahr aus dem Cyberspace‘. Und fällt auf: Sony, Internationaler Währungsfond, Google-Mail und jetzt Citi Bank – nahezu alle bekannten Angriffe auf Firmen fallen entweder in die Kategorie Kriminalität oder Spionage – keine erfreulichen Phänomene, aber seit Jahrhunderten Alltag. Von einem Cyberwar kann keine Rede sein. Und bisher gibt es auch keine Belege, dass so genannte kritische Infrastrukturen wie Stromnetze oder Finanzmärkte erfolgreich angegriffen wurden.“
Also Hosen runter, liebe Sicherheitsfetischisten. Es geht Euch doch gar nicht um die Abwehr von Netzangriffen. Es geht um das Zusammenschweißen einer unheiligen Allianz von Geheimdiensten, Politik und den pekuniären Interessen der Anbieter für Sicherheitssoftware.
Als Ergänzung möchte ich noch auf ein Zitat von Peter Glaser hinweisen. Spricht mir aus der Seele:
„Während Gruppen wie Anonymous und Lulzsec weitgehend symbolische Aktionen oder Aufmerksamkeits-Stunts durchführen, sind staatliche Hacker eine bedeutend ernsthaftere Gefahr.“
Erinnert sich jemand noch an die Horrorszenarien, die zur Jahrtausendwende von so genannten Sicherheitsexperten an die Wand gemalt wurden? Passiert ist zum Nuller-Jahr dann so gut wie nichts. Die entsprechenden Software-Anbieter sind allerdings wohl um einige Milliarden reicher geworden. Man sollte daher immer genau hinschauen, wer die Sirengesänge trällert. Wer wirtschaftlich davon profitiert, ist nicht gerade ein glaubwürdiger Anwalt in Sicherheitsfragen. Genauso fragwürdig sind die Sicherheitspolitiker, die das Thema instrumentalisieren, um Freiheitsrechte auszuhebeln.
Im Gegensatz zu seinem Vorgänger wählt Bundesinnenminister Hans-Peter Friedrich wieder eine schrillere Tonlage als oberster Verteidiger der inneren Sicherheit. Er kommt ja auch von der Mir-san-Mir-Partei CSU. Entsprechend wächst auf einmal wieder das Bedrohungspotenzial im Staate. Es sei nur eine Frage der Zeit, bis kriminelle Banden eine virtuelle Bombe haben, tönte er vor ein paar Wochen. wird der „Mit solchen Angriffen könnte eine Volkswirtschaft empfindlich beeinträchtigt werden“, formulierte der Staatsapologet den Cyberterror im Konjunktiv.
Er hält die bisherigen Bemühungen, der wachsenden Gefahr entgegenzutreten, für unzureichend. Mit den Partnern in der NATO überlege man, „wie wir uns auch gegen potenzielle Cyberangriffe wappnen können“. Ob es diese Bedrohung real nun gibt oder nicht, es wird händeringend nach einem neuen Grund für die Existenzberechtigung des atlantischen Bündnisses gesucht. So eine Art Arbeitsbeschaffungsprogramm für gelangweilte Generäle, die nach dem Niedergang der roten Gefahr aus dem Osten unter Hospitalismus leiden.
Das Nationale Cyber-Abwehrzentrum, das im April seine Arbeit aufgenommen hat und heute offiziell in Bonn eröffnet wurde, sei nur ein „erster Schritt, um der Gefahr zu begegnen“, fabulierte der oberste Sicherheits-Sheriff. Diese Steilvorlage wird von den Sicherheitsbehörden des Bundes dankend angenommen. Es sei dringend geboten, das Abwehrzentrum mit Mitarbeitern aus dem Bundesamt für Sicherheit in der Informationstechnik (BSI), des Verfassungsschutzes und des Bundeskriminalamtes personell aufzustocken. Wie wäre es denn mit den eifrigen Knöllchenjägern, GEZ-Gebühreneintreibern, Parkwächtern, Hundekontrolleuren kommunaler Ordnungsämter und Mülltrennungsprüfern? Mental passen die alle gut zum CSU-Politiker.
Die Rabulistik der Vertreter eines sicheren und starken Staates ist immer gleich. Ob CSU, BKA oder BDK – sie schüren Ängste, um eine Mehrheit für schärfere Gesetze zu gewinnen. Politisch funktioniert das in Deutschland wie ein Uhrwerk – demoskopisch ist das sehr gut erforscht. Je dramatischer die Sicherheitslage dargestellt wird, desto einfacher ist es möglich, unter Berufung auf die Sicherheit einen großen Teil der Bevölkerung von der Notwendigkeit massiver Eingriffe in die Freiheitsrechte des Einzelnen zu überzeugen. Allensbach hat folgende Frage gestellt: „Einmal unabhängig davon, ob das tatsächlich verboten ist oder nicht: Was meinen Sie, was sollte der Staat in jedem Fall verbieten, wo muss der Staat die Menschen vor sich selbst schützen?“ Rund 60 bis 80 Prozent nennen eine ganze Latte an Verboten, die weiter gehen als derzeit vom Gesetzgeber gewünscht. Der Schlüssel für diese Meinungsmanipulation steckt in der Formulierung, dass viele Menschen vor sich selbst geschützt werden müssen. Selbst vom Grundgesetz garantierte elementare Grundrechte werden dann infrage gestellt, sobald der Eindruck entsteht, dass ihre Einschränkung der Verwirklichung größerer Sicherheit dienen könnte. Genau diese Instinkte bedienen die politischen Sicherheitsgichtlinge. „Der Reset-Knopf ist eine lächerliche Schnapsidee“, konterte Constanze Kurz vom Chaos Computer Club. Damit würden sowohl die Menschen vom Informationsfluss abgeschnitten als auch die Wirtschaft generell ausgeschaltet. Die Kriminalitätsstatistik zeige zudem, dass Straftaten im Internet deutlich häufiger aufgeklärt würden als in der nichtvirtuellen Welt. Es sei gefährlich, das Netz als Gefahrenraum aufzublasen.
Kult der Sicherheit
Insgesamt nerven die immer häufiger auftretenden Initiativen von Politikern und Behörden, im Internet den starken Super-Nanny-Staat zu etablieren. Egal, um welche Frage es geht. Immer mehr versuchen politische Meinungsführer „den Staat als treusorgenden Hirten“ zu verkaufen, moniert der Medienphilosoph Norbert Bolz in seinem Buch „Die ungeliebte Freiheit“. Wie der absolute Vater einmal die Menschen von der Bürde der Freiheit entlastete und damit das Urmodell paternalistischer Sicherheit bot. Die Adepten des Schnüffelstaates, des Schutzes und der totalen Fürsorge bedienen sich aus der semantischen Trickkiste von Thomas Hobbes: Der Mensch ist per se böse und gefährlich. Und Gefährlichkeit impliziert Herrschaftsbedürftigkeit. Freiheit kann es nicht ohne Risiko geben, stellte hingegen Max Weber fest.
Wer Freiheit vom Risiko verspricht, betreibt einen Kult der Sicherheit. Doch wer frei von Risiko leben will, gewinnt keine Sicherheit, sondern opfert seine Freiheit. Hier lohnt wieder die Lektüre des Anarchisten Max Stirner (Hauptwerk „Der Einzige und sein Eigentum“). Der Staat bestellt vermeintliche Gutmenschen als Zensoren, die mit größtem Wohlwollen Einfluss auf uns ausüben wollen. Der Ort der Freiheit liegt aber dort, wo uns der Leviathan nicht findet: im Chaos, in der Unübersichtlichkeit. Das wird der Hauptgrund sein, warum die fröhliche Web-Anarchie die Sicherheitsfetischisten auf den Plan ruft. Herrliche Zeiten für Freigeister. „Ein intelligenter Mensch überlegt sich die Sache selber und läuft nicht wie ein herrenloser Hund hinter Autoritäten her“, so das Plädoyer von Paul Feyerabend.
Der Datenschutz versagt politisch und ergeht sich in sinnlosen Scheingefechten gegen Facebook, Google und Co. Wer seine wirklich sensiblen Daten schützen will, der muss selbst aktiv werden. Eine Aufforderung zum skeptischen Denken.
Jedem, der auch nur ein Bit im Internet bewegt, sollte klar sein, dass er ärgerlichen Angriffen von Datendieben ausgesetzt sein kann. Ob über den stationären PC, über mobile Endgeräte, Firmen-Server oder externe Server-Farmen, die Cloud-Computing-Dienste anbieten. Was der liebwerteste Gichtling des staatlichen Datenschutzes, Oberaufseher Thilo Weichert aus Schleswig Holstein, auf der Bonner IT-Sicherheitskonferenz des Bundesamtes für Sicherheit in der Informationstechnik vom Stapel gelassen hat, ist eine Mixtur aus Verschwörungstheorien, böswilligen Unterstellungen und plumper Profilierungsneurose. Sein wolkiges Krisenszenario verglich er sogar mit der Atomkatastrophe in Fukushima. Die üblichen Plattitüden von Weichert und Konsorten über vermeintliche Datenkraken aus Übersee sind wohl die Kompensation von schlechten Kindergarten-Erlebnissen. Das ist Datenschutz-Provinzialismus. Je machtloser Politiker und Verwaltungsbürokraten in Internetfragen werden, desto mehr blasen sie sich in der Öffentlichkeit auf. Warum laufen diese Angstdebatten in Deutschland eigentlich immer nach dem gleichen Muster ab?
Warum setzen die Abgesandten des Sicherheitsstaates in schöner Regelmäßigkeit auf Verbotsschilder, Netzsperren, Muster-Widersprüche und Warnhinweise? Tagesordnung, Gartenkodex und Ordnungsämter stoßen auf einen kleinbürgerlichen Humus. Es ist die deutsche Sehnsucht nach Ordnung und Normen. Irgendwie erinnert mich die digitale Jammerlappen-Psychose an Oswald Spengler. Der Autor des kulturpessimistischen Bestsellers „Untergang des Abendlandes“ hatte im realen Leben eine Hosenscheißer-Persönlichkeit. Mit dieser psychologischen Disposition könnte man auch Landes- oder Bundesbeauftragter für Datenschutz werden. Frei nach dem Motto: „Ich will die Kontrolle über meine Daten zurückhaben.“ Das liegt auf dem Niveau von Buddelkisten-Dramen: „Mama, der böse Junge hat mir mein Schüppchen weggenommen.“ Heul.
Worum es beim Imponiergehabe der Oberhirten des Datenschutzes wirklich geht, hat der Blogger Kristian Köhntopp auf den Punkt gebracht: „Der Datenschutz versagt politisch: Im Wikipedia-Artikel ,Überwachungsstaat‘ findet man eine schöne Übersicht von Dingen, bei denen die Datenschützer ihre Interessen in der Hauptsache nicht oder gar überhaupt nicht durchsetzen haben können. Um von diesem Versagen abzulenken, führt man Scheingefechte – etwa gegen Google Maps, Google Analytics, Facebook Like-Buttons und andere für den politischen Datenschutz an sich vollkommen nebensächliche Ziele. Vor allen Dingen versagt der Datenschutz aber inhaltlich: Wer wirklich wichtige Dinge zu schützen hat, der kann auf die Bestimmungen und Regelungen des Datenschutzes nicht vertrauen, sondern muss den Schutz seiner Daten selbst in die Hand nehmen – sie also geheim halten“, so Köhntopp. Hier liege der Grundgedanke der Post-Privacy-Bewegung „Spackeria“. „Weil der Datenschutz versagt, versagen muss (denn der Kontrollverlust scheint ein dem System inhärentes Merkmal zu sein), weil die Welt also so ist, ich aber in ihr leben muss, muss ich mein Leben so gestalten, dass ich in so einer Welt leben kann.“
Das bedeutet nicht, hirnlos im Netz herumzuwandern und an das Gute im Menschen zu glauben. Es ist die Aufforderung zum skeptischen Denken fernab der paternalistischen Dauerschwätzer.
Kostprobe: „Wir sind ein Dienstleister für Bürgerinnen und Bürger, der absolut vertrauenswürdig sein muss (na ja, Dienstleister….,gs). Wir wären nie bereit, unsere Daten nach draußen zu geben. Und schon gar nicht einem Dienstleister in die Hand zu geben wie Google oder Facebook zu geben. Wer weiß denn, ob die nicht noch was anderes damit machen, vielleicht auf anonymisierter Basis. Das käme für uns nicht ansatzweise in Betracht…..Wenn Sie ein Google-Mail-Konto haben, dann nutzen Sie Cloud Computing (Weichert meinte rund die Hälfte Auditoriums, gs). Und Sie wissen nicht, wo Ihre Datenverarbeitung stattfindet. Wo Ihre Mails abgelegt werden. Und das ist genau der große Bereich, wo die Inkompetenz des Anwenders (Publikumsbeschimpfung, gs), der verantwortlich ist, am größten ist. Und wo die Möglichkeit der Dominanz durch den Cloudanwender (Sie meinten wohl Anbieter, Herr Weichert, gs) am größten ist. Was macht ein Amazon, was macht ein Google, vielleicht sogar Facebook? Was machen die mit den Daten, die nicht nur öffentlich zugänglich sind, sondern auch vertraulich sein sollen für die Friends oder das eigene Konto, was nur von einem selbst administriert wird?….Entsprechend hoch ist das Mißbrauchsrisiko.“
Und jetzt kommen wir zum Kapitel Verschwörungstheorie: „Das einzige, was diesen Missbrauch verhindert, ist das ökonomische Interesse der Anbieter. Google und Facebook haben ein ganz massives Interesse, ihre Geschäfts- und Betriebsgeheimnisse nicht an andere weiterzugeben. Deswegen versuchen sie, ihre Dienste sicher zu machen. Aber nicht im Interesse des Schutzes der jeweiligen User, Anwender oder Kunden“, so die Weisheiten des Datenschützers aus dem Norden.
Welcher Anbieter schützt denn die Daten aus anderen Interessen? Vielleicht geht es ja auch um zufriedene Kunden, Loyalität, smarte Dienstleistungen, innovative Angebote.
Die üblichen Plattitüden über vermeintliche Datenkraken aus Übersee bewegen sich auf Sandkastenniveau. Das ist Datenschutz-Provinzialismus. Letztlich bestätigt das meine Auffassung über das fragwürdige Selbstverständnis der Datenschützer von Bund und Ländern (besonders die kleinen Bundesländer im Norden): Fragwürdige Interpretationen von unbestimmten Rechtsbegriffen, antizipierte Verwaltungspraxis im Hinterzimmer, Bußgeldandrohungen, selbstherrliches Auftreten, Profilierungsneurosen und Anmaßung. Das kann man in meinen Videoaufzeichnungen wahrnehmen – und eine äußerst schwache Vorstellung der Wirtschaftsvertreter, die noch nicht einmal in Ansätzen in der Lage waren, den Parolen von Weichert entgegenzutreten. Im Gegenteil: Der Microsoft-Deutschlandchef Ralph Haupter verwahrte sich sogar dagegen, in Sippenhaft genommen zu werden (mit Sippe meinte er wohl Google, Facebook und Amazon).
Hier nun die Youtube-Trilogie des Schreckens, der Dreiteiler des Grauens, die Untergangsvisionen eines Datenschützers, der die vermeintlichen Gefahren von Cloud Computing sogar mit dem Restrisiko von Atomkraftwerken verglich – was einer Verharmlosung der Dinge entspricht, die derzeitig in Japan ablaufen:
Einen Großteil der Podiumsdiskussion mit Weichert, BSI-Präsident Michael Hange, dem Microsoft-Deutschlandchef und Andreas Weiss von EuroCloud liegt auch als Audioaufzeichnung vor:
Ich werde das Spektakel in meiner Montagskolumne verarbeiten. Bitte postet mir doch Eure Meinung zu dieser Geschichte. Oder per E-Mail an: gunnareriksohn@googlemail.com – ich zähle auch zu den unwissenden Anwendern, die sich von Google einlullen lassen…..
Die Affäre um anonym abgegebene Kommentare im Blog von Stefan Niggemeier, die zumindest vom Rechner des Verleger-Sohnes Konstantin Neven DuMont stammen, zieht größere Kreise. Meedia hat das Presseecho zusammengefasst: Die FTD, die Süddeutsche und die FAZ haben den Skandal um „erfundene Kommentatoren“, „wilde Vermutungen“ und „einen mitteilsamen Verleger“ aufgenommen. Gut kommt DuMont dabei nicht weg. Die Financial Times Deutschland (FTD) stellt sogar die Frage: „Wer bin ich und, wenn ja, wie viele?“
FTD-Autor Matthias Oden bringt das Blog-Theater auf den Punkt: “Es ist ein gewaltiger Vorwurf, der da mitschwingt: Ein Verleger, der anonym einen mehrfach für seine Verdienste um die deutsche Medienlandschaft ausgezeichneten Blogger zu diskreditieren versucht?….Und eigentlich wäre Neven DuMonts Antwort schon unangenehm genug für ihn: Mitarbeiter eines Konzernvorstands, die ohne dessen Wissen von seinem Rechner aus Feldzüge gegen den Kritiker des Chefs führen – es gibt Eingeständnisse, die leichter fallen.(Ahnlich habe ich das auch gewertet. Was sagen eigentlich die Verlagsmanager, die für die IT-Sicherheit verantwortlich sind, zur Aussage ihres Vorstandsmitgliedes??????, gs) Aber es kommt noch dicker: Denn Niggemeier zufolge erreichen ihn noch immer Kommentare von Neven DuMonts Computer. Und wenn beide, Neven DuMont und Niggemeier, die Wahrheit sagen, führt das wiederum zu der Frage: Wer greift da gegen den erklärten Willen von Neven DuMonts auf seinen Rechner zu? Wie auch immer die Antwort darauf ausfallen mag, in einem hat Niggemeier wohl recht: ‚Es ist eine bizarre Geschichte.’”
Und wenn die Aussagen von Konstantin Neven DuMont zutreffen sollten, stellt sich die Frage nach seinen Qualitäten als Vorstandsmitglied eines großen Medienverlages in Deutschland. Schließlich verantwortet er einen wichtigen Geschäftsbereich: Unternehmensstrategie und Kommunikation.
