Wir brauchen eine faktenbasierte Digital- und Medienpolitik. Regulierung von “Social Bots” im neuen Medienstaatsvertrag

“European tech policies need to be based on facts, not emotions.”, habe ich kürzlich in diesem Artikel über “Tech populsim” gelesen und ich stimme nicht mit allem in diesem Text überein, mit dieser Aussage aber zu hundert Prozent. Und sie gilt nicht nur für Digitalpolitik, sondern auch für viele andere Politikbereiche, aber ganz besonders für die Digitalpolitik. Das haben wir bei der DSGVO gesehen und das haben wir bei der Diskussion um die EU-Urheberrechtsreform, insbesondere Uploadfilter und Leistungsschutzrecht gesehen und das sehen wir jetzt wieder beim Medienstaatsvertrag und der Kennzeichnungspflicht von “Social Bots”.

“Social Bots” sollen Menschen auf Plattformen (vermutlich vornehmlich Twitter) manipulieren und ihnen eine andere Meinung aufdrängen. Gefunden wurden bisher noch keine — Michael Kreil und Florian Gallwitz haben dazu bereits ausführlich geschrieben. Der Entwurf des Medienstaatsvertrags definiert “Social Bots” in § 55 Abs. 3 wie folgt:

“Anbieter von Telemedien in sozialen Netzwerke sind verpflichtet, bei mittels eines Computerprogramms automatisiert erstellten Inhalten oder Mitteilungen den Umstand der Automatisierung kenntlich zu machen, sofern das hierfür verwandte Nutzerkonto seinem äußeren Erscheinungsbild nach für die Nutzung durch natürliche Personen bereitgestellt wurde. Dem geteilten Inhalt oder der Mitteilung ist der Hinweis gut lesbar bei- oder voranzustellen, dass diese unter Einsatz eines das Nutzerkonto steuernden Computerprogrammes automatisiert erstellt und versandt wurde. Ein Erstellen im Sinne dieser Vorschrift liegt nicht nur vor, wenn Inhalte und Mitteilungen unmittelbar vor dem Versenden automatisiert generiert werden, sondern auch, wenn bei dem Versand automatisiert auf einen vorgefertigten Inhalt oder eine vorprogrammierte Mitteilung zurückgegriffen wird.”

Das heißt, jeder Account, der das Profilfoto eines Menschen hat (und vermutlich auch einen Namen, der wirkt, als sei da ein Mensch) und automatisiert postet oder twittert, ist ein “Social Bot”. Aha. Heißt, sobald ich mit beispielsweise Hootsuite einen Tweet einplane, weil der aus welchen Gründen auch immer, zu einer bestimmten Uhrzeit getwittert werden soll, bin ich ein Social Bot? Dass dieser Tweet dann über Hootsuite auf Twitter ausgespielt wurde, steht übrigens schon jetzt unter jedem Tweet (wie auch dort steht, ob ich mit Twitter für iOS oder über Twitter im Browser getwittert habe) — aber dennoch fordern hier die Länder in ihrem Medienstaatsvertrag eine Kennzeichnungspflicht. Warum?

Schon heute zeigt Twitter an, über welchen Zugang ein Tweet gesendet wurde.

Über Erkenntnisse einer Manipulation über solche automatisiert erstellten Tweets findet sich übrigens nichts im Medienstaatsvertrag. Auch nicht in den Stellungnahmen, die eine Kennzeichnung befürworten (zu den Befürwortern zählen Deutscher Bundesjugendring, Digitale Gesellschaft (unter Vorbehalt) und VAUNET Verband Privater Medien) und vorab angefragt wurden. Es finden sich hier auch nicht wirklich Erklärungen, warum man diese Kennzeichnung befürwortet (beispielsweise schreibt der Deutsche Bundesjugendring lediglich “Die Social Bots in sozialen Netzwerken einzubeziehen macht Sinn.”) Und obwohl mehr Interessenvertreter eine Kennzeichnungspflicht ablehnen (dazu gehören eco Verband der Internetwirtschaft, Hans Bredow Institut, Verdi und ZDF, das Mainzer Medieninstitut hält die Kennzeichnungspflicht für juristisch nicht sinnvoll, politisch hingegen schon. Die restlichen Stellungnahmen äußern sich nicht zu § 55 Abs. 3) ist man hier dennoch der Meinung, dass eine Kennzeichnungspflicht solcher Accounts sinnvoll sei. Dabei kam selbst das Büro für Technikfolgenabschätzung beim Deutschen Bundestag zu der Erkenntnis: “Eine Kennzeichnungspflicht von Bots erscheint zum jetzigen Zeitpunkt u.a. aufgrund der Schwierigkeiten bei der zuverlässigen Detektion von Bots, mangelnder Sanktionierungs-möglichkeiten sowie von Konflikten mit dem Datenschutz eher ungeeignet.” Also: was bedarf es noch, um vor schwachsinniger, überflüssiger Regulierung abzuweichen? Hier wird wieder eine Regulierung gefordert, ohne das Problem verstanden zu haben. Ohne, dass evidenzbasierte Forschung besteht und ohne sich mit den wirklichen Problemen auseinander gesetzt wurde.

Photo by Viktor Hanacek, CC0

Die wirklichen Probleme sind nämlich sogenannte “Trolle”, also Menschen, die versuchen zu manipulieren oder Desinformationen zu verbreiten. Das hat man bereits sehr schön bei der “Internet Research Agency” aufgezeigt, die aus dem russischen St. Petersburg versuchte (und wahrscheinlich auch Erfolg hatte), beispielsweise Afroamerikaner durch destruktive Kommentierungen unter Videos auf YouTube davon abzuhalten zur Wahl zu gehen. Auch in Deutschland waren nicht automatisierte Bots unterwegs, als während des Kanzlerduells Stimmung auf Twitter gemacht wurde. Das hat Karsten Schmehl in diesem Artikel sehr schön aufgezeigt. Den kommt man aber nicht mit der Regulierung von Technologie bei. Es sind Menschen, die sich zu koordinierten Aktionen versammeln und versuchen, Stimmungen zu erzeugen oder zu manipulieren. Automatisch generierte Inhalte sind heute noch gar nicht in der Lage, vorzugaukeln, sie seien echte Menschen — insbesondere dann nicht, wenn es um Interaktion, d.h. Diskurs geht.

Was wir brauchen, sind bessere Daten(-zugänge) bei den Plattformen für Wissenschaftler:innen, um besser raus zu finden, wer wann wie manipuliert und ob überhaupt. Hier lohnt es sich, gesetzgeberisch einzuwirken. Der neuste Report des amerikanischen Senate Select Committee on Intelligence hat beispielsweise gerade herausgefunden, dass nicht in erster Linie bezahlte Anzeigen (so auch sogenannte “Dark Ads”) ein Problem darstellen, sondern ganz normale, organische Posts. Letztere insbesondere dann, wenn die von relevanten Personen geteilt wurden: “numerous high-profile” Americans, including Trump campaign aide Roger Stone, former ambassador to Russia Michael McFaul, and Fox News host Sean Hannity, “unwittingly spread IRA [Internet Research Agency] content by liking IRA tweets or engaging with other IRA social media content, enhancing the potential audience for IRA content by millions of Americans.

Probleme beim Thema Desinformation liegen nicht bei “Social Bots”, oder gar “Bots”. Manipulation erfolgt durch gesteuerte Kampagnen von Menschen oder durch unachtsames Teilen von Beiträgen durch Menschen des öffentlichen Lebens, unter anderem auch Politiker:innen. Hier hilft keine Regulierung von “Social Bots”, hier — und nicht nur hier — hilft nur eine faktenbasierte Regulierung, sofern denn notwendig.

Weil Angriff nicht die beste Verteidigung ist – LOAD Policy Brief zur Notwendigkeit einer defensiven Cyberabwehrstrategie

Die Gefahr durch Cyberangriffe ist real. So steht es schwarz auf weiß im jährlichen Lagebericht zur IT-Sicherheit  des Bundesamts für Sicherheit in der Informationstechnik (BSI). Nicht nur IT-Systeme der Bundesregierung sind im Visier der Angreifer, auch Unternehmen und Privatnutzer:innen sind in den vergangen Jahren vermehrt Opfer von gezielten Angriffen oder von Ransomware geworden. Vor diesem Hintergrund ist es begrüßenswert, dass die Politik über Antworten auf die Bedrohungsszenarien nachdenkt. Problematisch wird es allerdings, wenn Lösungen präsentiert werden, die sich an der Logik traditioneller Kriegsführung orientieren und davon ausgehen, dass Abschreckung funktioniere und präzise Gegenschläge mit eigenen Cyberwaffen möglich wären.  Ganz im Gegenteil ist bei sogenannten Hackbacks die Gefahr von Kollateralschäden und für Schäden an kritischer ziviler Infrastruktur hoch, falls man überhaupt mit Sicherheit feststellen kann, woher der Angriff stammt.

Foto: Viktor Hanacek (CC0)

Es ist daher müßig darüber zu sinnieren, welche Behörden und Ministerien im Falle eines Cyberangriffs einbezogen werden müssten und ob am Ende des Tages das Militär, eine Polizeibehörde oder der Bundesnachrichtendienst für die Ausführung von Hackbacks zuständig sein sollte.  Stattdessen muss Deutschland in eine strikt defensive Cybersicherheitsstrategie investieren und sich auf europäischer und internationaler Ebene für die Ächtung digitaler Waffen und für strategische Autonomie im Hard- und Softwarebereich einsetzen.

Als Zivilgesellschaft sind wir besonders betroffen, wenn Cyberschläge erfolgen. Zivile Einrichtungen wie Krankenhäuser oder andere kritische Infrastrukturen wie Kraftwerke können vom Feind genutzt werden, um einen Angriff durchzuführen. Da eine korrekte Attribution des Angreifers nicht möglich ist und er sich hinter diesen zivilen Einrichtungen “verstecken” kann, kann ein Gegenschlag immer auch zivile Infrastruktur treffen. 

Ebenso ist es problematisch, wenn Sicherheitslücken offen gehalten werden, um diese für Cyberangriffe zu nutzen und dann Ransom- oder Malware von Kriminellen diese Sicherheitslücken ausnutzt. WannaCry und NotPetya sind nur zwei solche Beispiele, die zeigen, dass es für die Zivilgesellschaft und Wirtschaft mehr als fatal ist, wenn Sicherheitslücken offen gehalten werden. Auch ein Management von Sicherheitslücken, ein sogenannter „Vulnerabilites Equities Process“, trägt nicht zur Sicherheit bei.

Die deutsche Sicherheitspolitik bedient sich nicht nur Sprachbildern, sondern auch Vorhaben, die dem militärischen Aufrüsten aus dem Kalten Krieg gleichen. Wir haben jedoch nicht nur den Kalten Krieg überwunden, wir sind auch in einer digitalen Welt angelangt, in der die Mechanismen aus dieser Zeit nicht mehr funktionieren. Politiker:innen müssen lernen und begreifen, dass Computercode nicht wie ein Panzer auf Militärparaden präsentiert werden kann. Abschreckung durch Präsentation der Waffen funktioniert hier nicht mehr. Sicherheitspolitik und Sicherheitspolitiker:innen müssen sich dringend mit diesen neuen Gegebenheiten beschäftigen und gewissenhaft und vorausschauend auf sie reagieren. Mit einem  Wett- und Aufrüsten mit Cyberwaffen tun sie dies nicht. 

Deutschland soll nicht Nichts tun. Neben höheren Investitionen in IT-Sicherheit, nicht  nur in kritische Infrastrukturen sondern auch in rechtliche Regelungen, wie zum Beispiel ein Recht auf Verschlüsselung, wäre schon einiges gewonnen. Daneben brauchen wir unbedingt Bildung – nicht  nur in der Schule. Von IT-Fachkräften über einfache Angestellten bis hin zu Führungskräften braucht es fortlaufende Fort- und Weiterbildungsprogramme, sowie mehr Professuren, die sich mit dem Thema IT-Sicherheit beschäftigen. Ebenso stünde es Deutschland sehr gut, sich aktiv auf internationaler Ebene für einen Digitalwaffensperrvertrag stark zu machen und eine “Digitale Genfer Konvention” zu initiieren. Das wird Cyberangriffe – erst recht nicht  von Kriminellen – nicht verhindern, eine internationale Ächtung dieser, ebenso wie bei ABC-Waffen, sollte aber unser Mindestanspruch sein. 

Cyberangriffen begegnet man, indem man ihnen keine Einfallstore bietet. Das geht nur mit höchsten Standards und der höchsten Priorität von IT-Sicherheit. Hierauf muss das Augenmerk der Bundesregierung liegen. Wenn Bürger:innen tagelang im Dunkeln sitzen, Chaos im Verkehr ausbricht und Menschen auf Intensivstationen nur noch mit Notstromaggregaten behandelt werden können, werden sie nicht fragen: “Warum habt ihr nicht zurück gehackt?” sondern “warum habt ihr uns nicht geschützt?”. 

LOAD verurteilt den Einsatz und die Bereitstellung jeglicher offensiver Wirkmittel im Cyberraum. Wir setzen uns stattdessen für eine strikt defensive Cybersicherheitsstrategie ein, denn wie wir in unserem Policy Brief darlegen, ist Angriff im Cyberraum nicht die beste Verteidigung.

Autoren:  Ruben Dieckhoff und Johannes Rundfeldt

Unser Policy Brief

Dieser  Beitrag  wurde zuerst im Tagesspiegel Background Digitalisierung & KI am 1. Oktober 2019 veröffentlicht. 

Kein „Wilder Westen“. Freiheit und Verantwortung im Internet

Das Internet ist ein Versprechen von Freiheit. Doch Freiheit funktioniert nicht ohne Verantwortung. Das Internet war noch nie Wilder Westen – ein Raum, in dem keine Gesetze, keine Regulierung gegriffen hätten. Dieses Internet existierte und existiert auch heute nicht im luftleeren Raum, sondern funktioniert nur durch Server und Übertragungsmittel, die auf staatlichem Territorium stehen und damit örtlichen Gesetzen unterliegen. Natürlich müssen Gesetze für das digitale Zeitalter angepasst werden, manche auch neu geschaffen werden, wenn erkannt wird, dass neue Möglichkeiten zum Nachteil der Gesellschaft genutzt werden. Grundlage hierfür sollten immer die Werte und Prinzipien sein, die wir bereits in der analogen Welt als unseren Maßstab ansetzen. Gute Regulierung, Verantwortung, für das Internet kann nur gelingen, wenn wir es als das betrachten, was es ist: ein weltweiter Verbund von Rechnernetzwerken. Leider schauen wir zu häufig ausschließlich auf Plattformen, die im Internet existieren und versuchen diese zu regulieren, als wären sie “das Internet”. Freilich tragen Plattformen Verantwortung und gehören reguliert. Aber die Regulierung der Plattformen darf eben nicht außer Acht lassen, dass das Internet weit mehr ist als diese.

Um über Freiheit und Verantwortung im Netz zu sprechen, möchte ich das Internet verlassen und den Blick auf die gesamte digitalisierte oder noch zu digitalisierende Welt richten. Uns begegnet hier zunehmend die Frage: Wie wollen wir im Zeitalter der Digitalisierung leben? Selbst Bundespräsident Frank-Walter Steinmeier appellierte an die Besucher des Evangelischen Kirchentags 2019, dass sie sich intensiver mit dieser Fragestellung auseinandersetzen und sich einbringen sollen. Die Digitalisierung stellt uns nicht vor gänzlich neue ethische Fragen. Sie stellt uns aber vor die wichtige Aufgabe, unsere Prinzipien und Wertvorstellungen mit in die digitale Welt zu nehmen und auf diese zu übertragen. Dass das nicht immer leicht ist und uns teilweise vor enorme Herausforderungen, aber auch Chancen stellt, ist nicht überraschend. 

Im Fokus dieser digitalisierten Welt stehen algorithmische Entscheidungssysteme, die häufig hochtrabend als Entscheidungen einer Künstlichen Intelligenz dargestellt werden, es aber selten sind. Wir diskutieren sehr viel darüber, was ein autonom fahrendes Auto dürfen soll und was nicht; setzen sogar – richtigerweise – eine Ethik-Kommission ein, die dem Gesetzgeber Vorschläge zur rechtlichen Gestaltung geben soll und dies auch tat. Es wurde eine Datenethikkommission eingesetzt, die die Bundesregierung zum ethischen Umgang mit Daten berät und eine High-Level Expert Group der Europäischen Kommission, die ethische Rahmenbedingungen für den Umgang mit Künstlicher Intelligenz bereits veröffentlichte. Wir diskutieren – völlig zu recht – inwieweit Algorithmen darüber entscheiden dürfen sollen, ob jemand ins Gefängnis kommt oder nicht. Ob Algorithmen besser und neutraler entscheiden, als Richter es können, oder ob sie nicht doch Vorurteile reproduzieren. Die Tendenz dieser Diskussionen ist meistens klar: Gerade schwerwiegende Entscheidungen, die Grundrechte oder das (weitere) Leben beeinträchtigen können, sollten möglichst abschließend von Menschen getroffen werden. 

Bei algorithmischen Systemen, bei denen wir heute sagen, dass wir sie nutzen wollen, um zum Beispiel eine weitere Grundlage für menschliche Entscheidungen zu haben, sprechen wir intensiv über Probleme durch einen Bias, also einer Verzerrung, über Transparenz, Nachvollziehbarkeit und die Qualität von Daten, mit denen dieses System trainiert oder schließlich gefüttert wird. Auch hier geht die Tendenz in die Richtung, dass wir als Gesellschaft Entscheidungen, die algorithmische Systeme für uns treffen, unbedingt nachvollziehen können müssen. So können wir sie nicht nur verstehen, sondern auch an entsprechenden Stellen Beschwerde einlegen, sodass automatisierte Entscheidungen von Menschen überprüft werden. Es geht hier um nichts weniger als den Schutz von Grund- und Bürgerrechten.

Verengen wir wieder unseren Blick und schauen auf das Internet, stellt sich nun die Frage, warum wir hier nicht mit der gleichen Vorsicht und Gewissenhaftigkeit vorgehen. Betrachten wir zum Beispiel auf die EU-Urheberrechtsrichtlinie. Ja, Uploadfilter stehen nicht im Gesetzestext. Das tut aber wenig zur Sache, wenn klar ist, dass nur durch technische Hilfsmittel, durch Algorithmen, im Volksmund eben auch Uploadfilter genannt, Gesetze umgesetzt werden können. Da helfen keine nationalen Alleingänge, die Uploadfilter verbieten und Pauschallizenzen verpflichtend machen wollen. Uploadfilter sind nichts anderes als algorithmische Systeme, die abgleichen, ob für urheberrechtlich geschütztes Material, das auf eine Plattform hochgeladen wird, eine Lizenz vorhanden ist, oder ob eine der zahlreichen urheberrechtlichen Schranken greift. So zum Beispiel eine für Satire oder eine Parodie. Dass Technologie dies heute überhaupt leisten kann, wird von allen Experten stark bezweifelt. 

Nun könnte man sagen, es kann auch hier Beschwerdestellen geben, sodass ein Mensch die Entscheidung des Uploadfilters überprüfen muss. Das ist richtig. Bei der Menge an Material, das auf Plattformen hochgeladen wird – alleine auf YouTube sind es 400 Stunden pro Minute(!) – bei der Vielzahl an Sprachen, Dialekten, Slang, Insider-Witzen und sonstigen Informationen, die zur Einordnung – sei es durch Mensch oder Algorithmus – notwendig sind, ein schier unmögliches Unterfangen. Es würde nicht nur auf eine unermessliche Summe an algorithmischen Fehlentscheidungen hinauslaufen, sondern auch auf eine durch den Menschen. Von der zeitlichen Verzögerung bis zu einer Entscheidung und damit rechtmäßigen Publikation eines Beitrags auf einer Plattform, ganz zu schweigen.

Wo blieb und wo bleibt bei der Diskussion über das Internet und Plattformen, die Debatte um die Auslagerung Grundrechte betreffender Entscheidungen an algorithmische Systeme? Wir führten sie nicht und das, obwohl das Thema Ethik, die Frage nach dem guten Leben im digitalen Raum, gerade bei so vielen politischen Institutionen auf der Prioritätenliste steht. Algorithmische Entscheidungen, die die Freiheit von so vielen – hier im Speziellen die Meinungs- und Informationsfreiheit – einschränken, dürfen wir nicht zulassen. Der Erhalt und der Schutz von Urheberrechten im digitalen Raum ist wichtig und notwendig. Doch noch wichtiger ist der Erhalt von Bürgerrechten. Die Abwägung zwischen Rechtsgütern ist nichts für Algorithmen, sondern für Menschen mit entsprechender Ausbildung und Legitimation. Und auch, wenn wir Technik einsetzen dürfen, um Rechte bestmöglich zu schützen, dürfen wir algorithmischen Systemen und privatwirtschaftlichen Beschwerdestellen nicht Aufgaben übergeben, über die wir in der analogen Welt Gerichte urteilen lassen, gerade weil Sachverhalte häufig komplexer sind als eine Abfolge von Einsen und Nullen. 

Wie viel uns daran liegt, die europäischen Werte zu erhalten und zu verteidigen, zeigt sich besonders hier, im Internet. 

 

Dieser Beitrag erschien zu erst in der Politik & Kultur (Ausgabe 9/2019) des Deutschen Kulturrats.

Digitale Bildung: Probleme lassen sich nicht lösen, wenn wir nur auf die Schulen schauen. Brauchen wir eine Bundeszentrale für digitale Bildung?

Verbreitung von Desinformation, fehlendes Bewusstsein für Cybersicherheit – bei Problemen im Digitalen fordern wir fast immer eine Sache: mehr Bildung. So weit so richtig. Der Umgang mit (digitalen) Medien, der sichere Umgang im Netz, die Gefahren von Identitätsdiebstahl, Doxing, Social Engineering, usw. müssen dringend Bestandteil schulischer Bildung sein. Vergessen dürfen wir hier auch nicht die beruflichen Schulen und Universitäten. Doch wir machen es uns zu leicht, wenn wir die teils enormen Probleme mit der Verbreitung von Desinformation und menschlichem Fehlverhalten vorm Computer auf “die jungen Leute” abschieben.

Die Generation Y lernte das Netz beim Aufwachsen kennen, die Generation Z wuchs und wächst digital auf. Für die Generation X, die Babyboomer und alle noch älteren hingegen, ist das Netz wirklich Neuland. Das soll gar nicht abwertend gemeint sein, aber sie sind diejenigen, die erst in späteren Lebensjahren gelernt haben, dass Gefahren im Netz lauern können, dass Menschen online deutliche einfacher und im hohem Maße Identitäten stehlen und sie missbrauchen können. Dass nun jeder Informationen erstellen und sie verbreiten kann und es keine Gatekeeper mehr gibt, die alleinig Informationen verbreiten können. Wenn wir also davon sprechen, dass wir uns mit Bildung vor Gefahren im Netz schützen müssen, dann müssen wir auch darüber sprechen, wie wir die breite Masse der Bevölkerung – eben alle, die schon im Arbeitsleben sind, oder bereits wieder aus ihm ausgeschieden sind – erreichen können. Schließlich ist die Altersgruppe von 45 bis 55 Jahre mit 86,8 Prozent die zahlenmäßig stärkste Alterskohorte unter den Erwerbstätigen und die von 55 bis 65 Jahre mit 71,5 Prozent die drittstärkste (Stand 2018). Legt man darüber die Zahlen des Bitkom, die zeigen, dass mittlerweile jeder zweite Arbeitnehmer einen Computer am Arbeitsplatz hat und jeder dritte ein mobiles Gerät mit Internetzugang, verdeutlicht sich nochmal das Problem.

Eine Studie der Universitäten Princeton und New York unter Amerikanern zeigte, dass Nutzerinnen und Nutzer soziale Medien über 65 sieben Mal so häufig Falschmeldungen teilen, als 18- bis  29-Jährige. Die Studie begründet dies mit mangelnder digitaler Medienkompetenz  und einem schlechteren Erinnerungsvermögen. Wenn man nun bedenkt, dass das größte soziale Netzwerk Facebook im Jahr 2017 einen Nutzerzuwachs von 23 Prozentpunkten bei über 60-Jährigen verzeichnen konnte (weltweit) und immer mehr Menschen über 60 WhatsApp nutzen (in Deutschland 52% der über 60-Jährigen, Stand 2017) und Falschnachrichten nicht nur über soziale Netzwerke, sondern insbesondere über Messenger eine zunehmende Verbreitung finden, dann stehen wir vor einer enormen gesellschaftlichen Herausforderung, die eben nicht lediglich mit Konzepten für schulische Bildung in der Zukunft gelöst werden kann.

Und Falschnachrichten in Form von Text sind schon heute nicht mehr das größte Problem. Manipulierte Bilder oder in falschen Kontext gesetzte Bilder grassieren bereits jetzt zu Hauf. Ebenso darf das Manipulationspotential durch Memes, Trolle und dergleichen nicht unterschätzt werden. Doch die viel größere Bedrohung steht mit sogenannten DeepFakes ins Haus: Manipulierte Videos, die Nacktaufnahmen bzw. pornografisches Material vornehmlich von Frauen darstellen, oder Aufnahmen, die mit neuem Ton und damit auch Inhalt unterlegt werden, wobei auch die Mimik des Sprechers verändert wird und so ganz neue, nie getätigte Aussagen entstehen können. Das Missbrauchspotential dieser Technologie ist riesig und der Fall eines verbreiteten manipulierten Video der amerikanischen Kongressabgeordneten Nancy Pelosi und dessen Weiterverbreitung von diversen Politikern unter anderem auf Twitter zeigt, dass Gesellschaften noch nicht bereit sind, für einen Umgang mit dieser Art der Desinformation. Für Ältere, die sich nicht tagtäglich mit digitalen Tools – sei es auch nur zum Spaß – beschäftigen, die demonstrieren, wie Bilder und Videos manipuliert werden können, ist dies ein erhebliches Problem. Jüngere Nutzer kennen dies häufig, und sei es nur durch Filter oder Ähnliches auf Instagram, Snapchat oder TikTok.

Wie also umgehen mit dieser Problematik? Wie so oft: es gibt kein Patentrezept. Es ist aber dringend angebracht, dass sich Politik, Zivilgesellschaft und auch Unternehmen mit dieser Problematik auseinandersetzen. Unternehmen sollten ein eigenes Interesse daran haben, dass ihre Mitarbeiter lernen, Desinformation und DeepFakes von echten Informationen zu unterscheiden. Verbreiten Mitarbeiter solche, kann das nicht nur dem Ansehen des Unternehmens schaden, es schadet auch der Sicherheit des Unternehmens, wenn Mitarbeiter dubiosen Informationen trauen und sich womöglich Schadsoftware einfangen. Die Politik könnte hier mit der finanziellen Förderung entsprechender Fortbildungen unterstützen.

Bildung ist aber auch ein staatlicher Auftrag. Warum also nicht über eine Bundeszentrale für digitale Bildung, analog zur Bundeszentrale für politische Bildung nachdenken? Thematisch gäbe es hier weitaus mehr, als die Themen Desinformation und Cybersicherheit. Datenschutz bzw. der Umgang mit Daten wird immer essentieller. Von den Datenspuren durch surfen im Netz bis hin zum Umgang mit den eigenen, hochsensiblen Gesundheitsdaten. Vom Verständnis über Algorithmen bis hin zu Künstlicher Intelligenz. Themen gäbe es genug und ihre Bedeutung nimmt rasant zu.

Finnland hat dies schon erkannt und führt umfassende Bildungsmaßnahmen durch. Das Land hat durch die Grenze zu Russland schon seit Jahrzehnten mit Desinformationskampagnen zu kämpfen und daher eine ganzheitliche, nachhaltige Strategien entwickelt, um Finnlands Bürgerinnen und Bürger dagegen zu immunisieren. Manipulation durch Desinformation wird hier als ein gesamtgesellschaftliches Problem gesehen, gegen das man bereits im Kindergarten, aber auch und vor allem in späteren Lebensjahren vorgehen muss. “It’s not just a government problem, the whole society has been targeted. We are doing our part, but it’s everyone’s task to protect the Finnish democracy,” sagt zum Beispiel Jussi Toivanen, der Erwachsene in Finnland unterrichtet. Doch auch bei der breiten Aufklärung über Künstliche Intelligenz ist Finnland Vorreiter. Ein Pilotprojekt sollte ein Prozent der Finnen Grundlagen über Künstliche Intelligenz vermitteln.Die ersten Teilnehmerinnen und Teilnehmer wurden zufällig ausgewählt. Das Thema wurde digital und niedrigschwellig vermittelt, sodass es jede und jeder verstehen kann. Der Ansatz dahinter: wenn Menschen die Prinzipien von Künstlicher  Intelligenz verstehen, haben sie weniger Angst vor ihr und mehr Interesse an dessen Nutzung und damit auch der Ausgestaltung. Das Vorhaben ging auf. Heute ist der Kurs für jeden zugänglich und kostenlos nutzbar. Unternehmen und der Staat nutzen ihn, um Mitarbeiterinnen und Mitarbeiter fortzubilden, aber auch das Interesse unter den Bürgerinnen und Bürgern, die bisher keinen beruflichen Bezug zum Thema hatten, ist enorm. Ein wichtiger Schritt für Finnlands Ziel, Europas Nummer eins in der KI-Forschung zu werden.

Eine ähnliche Bildungsstrategie braucht es auch für Deutschland, denn die Probleme werden nicht weniger. Bei unserem EU-Partner können wir dafür genügend Inspiration und Lösungsansätze finden. Wichtig ist nur, dass sowohl Politik, als auch Zivilgesellschaft und Unternehmen anerkennen, dass fehlende digitale Bildung kein Problem von jungen Menschen ist, sondern von uns allen.

Dieser Artikel erschien zuerst bei der Friedrich-Naumann-Stiftung für die Freiheit.

Photo by Nicole De Khors from Burst

Netzpolitiker hadern mit designierter Wahl von der Leyens zur EU-Kommissionspräsidentin

Netzpolitiker hadern mit designierter Wahl von der Leyens zur EU-Kommissionspräsidentin „Schutz der Privatsphäre im Netz sollte Vorrang haben“

Der netzpolitische Verein LOAD befürchtet eine weitere Spirale der Überwachung der EU-Bürgerinnen und Bürger durch die bevorstehende Wahl von Ursula von der Leyen zur EU-Kommissionspräsidentin. „Frau von der Leyen ist bisher eher als klassische konservative Ministerin aufgefallen, statt als Vorkämpferin für Digitalisierung“, so die LOAD-Vorsitzende Ann Cathrin Riedel. „Wir verbinden Frau von der Leyen weniger mit Freiheit und Bürgerrechten, als vielmehr mit Überwachung und digitaler Aufrüstung gegenüber Bürgerinnen und Bürgern“. Riedel erinnert damit an die Auseinandersetzungen vor zehn Jahren um ein Zensurgesetz, welches der damaligen Bundesfamilienministerin den Spitznamen „Zensursula“ einbrachte. Damals gelang es – unter großer Beteiligung der Zivilgesellschaft und vielen Mitgliedern von LOAD – die Netzsperren zu verhindern. „Heute versucht Frau von der Leyen als Ministerin im Verteidigungsministerium Cyberwaffen zu entwickeln, um bei Hacker-Angriffen aktiv zurückschlagen zu können. LOAD lehnt solche Waffen ab, weil dadurch die IT-Sicherheit gefährdet wird“, betont die LOAD-Vorsitzende. Einmal entwickelte Viren und Exploits ließen sich nach Einschätzung der Digitalexperten nicht in den Kasernen halten, sondern stünden in kürzester Zeit Terroristen und Kriminellen zur Verfügung, wie die Veröffentlichungen der Gruppe „Shadowbroker“ eindrucksvoll zeigt. Wenn selbst die NSA Digitalwaffen nicht vor unberechtigter Veröffentlichung schützen kann, sollte dies in Deutschland und Europa gar nicht erst versucht werden. Die durch die NSA geheim gehaltenen Exploits verursachten schließlich einen Großteil der Ransomware-Wellen seit 2016 ermöglicht.

Die Netzpolitiker fordern von der neuen EU-Kommission – insbesondere nach der knappen Entscheidung im Europaparlament um das Urheberrecht – jetzt die Rechte der Nutzerinnen und Nutzer im Digitalen zu stärken. „Das IT-Grundrecht, das Fernmeldegeheimnis und umfassende IT-Sicherheit müssen Vorrang vor Allmachtsphantasien der Sicherheitsbehörden haben“, richtet Riedel einen eindringlichen Appell an die EU-Politikerinnen und Politiker.

Beim Thema IT-Sicherheit fordere LOAD die Kommission auf, Vorschläge zu machen, sich aus der Abhängigkeit nicht-europäischer Hardwarehersteller zu befreien. Sicherheitsrelevante Hardware müsse auch in Europa hergestellt werden können. Dieses sogenannte „IT-Airbus-Projekt“ sollte aus Sicht von LOAD vorrangig behandelt werden.

Alles unter Kontrolle

„Wenn dein Zimmer nicht ordentlich aufgeräumt ist, dann darfst du nicht raus zum Spielen!“ Solche oder ähnliche Sätze sind den meisten von uns aus unserer Kindheit vertraut. Erwünschtes Verhalten zieht eine Belohnung nach sich, bei unerwünschtem Verhalten bleibt die Belohnung aus – oder vielleicht folgt sogar eine Strafe. Unsere Eltern wollten uns erziehen – das sehen wir als eine ihrer Aufgaben an. Was aber, wenn ein Staat sich dazu berufen fühlt, seine Bürgerinnen und Bürger zu erziehen? Es folgt unweigerlich der Schritt in den Überwachungsstaat.

Eine bei vielen Eltern beliebte Erziehungsmethode sind sogenannte Sternenkarten. Wurden verabredete Aufgaben gut gemacht, gibt es einen Stern. Wenn die Karte voll ist mit Sternen, kann sie gegen etwas Schönes eingetauscht werden: einen Ausflug oder ein neues Spielzeug. Genau dieses System – Bonuspunkte für erwünschtes Verhalten, Punktabzug für unerwünschtes Verhalten – wird in der Volksrepublik China gerade eingeführt. Ziel der Übung: die chinesische Bevölkerung zu „guten Bürgern“ im Sinne der Regierung zu erziehen. Klingt nach Bevormundung? Es wird noch besser.

Credits: Matthew Henry, CC0

Das „Social Credit System“, welches in China gerade in verschiedenen Städten erprobt wird, verteilt keine Fleißsternchen, es wird nicht mit Pappkarten gearbeitet und auf dem Spiel steht nicht ein lang gehegter Spielzeugwunsch. Man startet mit einem Grundguthaben an Punkten, und für „gutes“ Verhalten bekommt man Punkte hinzu, für „schlechtes“ Verhalten werden Punkte abgezogen. Überwachungskameras (aktuell 200 Millionen – bis 2020 sollen es über 600 Millionen werden) mit Gesichts- und Gangerkennung sorgen dafür, dass das System genau weiß, wer wann wo ist und was tut. Informationen aus WeChat (dem chinesischen WhatsApp), Baidu (dem chinesischen Google), Onlineshopping und Metadaten zum Surfverhalten werden gesammelt und mit anderen Daten zusammengeführt, beispielsweise dem Strafregister. Es ist diese Fülle an verfügbaren Daten, die es der chinesischen Regierung ermöglicht, Bürgerinnen und Bürger umfassend zu kontrollieren, zu bewerten und zu belohnen – oder zu bestrafen. Wer seine Eltern regelmäßig besucht, seine Rechnungen rechtzeitig bezahlt und im Internet die richtigen, direkt parteigesteuerten Medien konsumiert, der erhält Zusatzpunkte. Wer Unterhaltszahlungen nicht rechtzeitig leistet, sich über das Internet mit Menschen unterhält, die einen niedrigen Punktestand haben, oder online Pornos schaut, der verliert Punkte. Wer viele Punkte hat, also ein „gutes Mitglied der Gesellschaft“ ist, dem stehen verschiedene Vergünstigungen zur Verfügung: etwa bessere Krankenversicherungen, einfacherer Zugang zu Behörden oder niedrigere Kreditzinsen. Wer einen niedrigen Punktestand hat, dem drohen Sanktionen – teurere Kredite, die eigenen Kinder werden von den besten Schulen und Universitäten ausgeschlossen.

Harte Strafen für unerwünschtes Verhalten

Schlimmstenfalls kann man sogar den Job verlieren. Im Jahr 2018 zum Beispiel wurden 23 Millionen Mal Bürger in China daran gehindert, ein Flug- oder Zugticket zu kaufen – ihr Punktestand im Social-Credit-System war zu niedrig. Denn wer sein Zimmer nicht aufräumt, der darf nicht raus zum Spielen.

Derzeit ist das Social Credit System noch in der Testphase. Ab 2020 soll das System auf ganz China ausgeweitet sein. Gerade laufen in verschiedenen Städten Pilotprojekte, um unterschiedliche Varianten des Systems zu testen. Aktuell ist die Teilnahme noch freiwillig. Aber was hat man als Bürgerin oder Bürger davon, sich freiwillig dieser umfassenden Überwachung und Beurteilung auszusetzen? China hat ein Vertrauensproblem.
Die Volksrepublik ist immer noch ein Land, in dem die Einparteienherrschaft unabhängige Gerichte unterbindet und Korruption trotz ewiger politischer Kampagnen an der Tagesordnung ist. In regelmäßigen Abständen gibt es Lebensmittelskandale. Betrug und Vorteile durch Beziehungen sind allgegenwärtig. Die Regierung will mit dem System offiziell „die Aufrichtigkeit in Regierungsangelegenheiten“, die Glaubwürdigkeit der Justiz sowie die wirtschaftliche und gesellschaftliche Integrität in China verbessern.

Und das scheint auf Zustimmung zu stoßen: Eine Studie der FU Berlin hat gezeigt, dass aktuell 80 Prozent aller Nutzer eines Social-Credit-Pilotsystems diesem positiv gegenüberstehen. Gerade unter gut gebildeten Menschen, die in urbanen Zentren leben, ist die Zustimmungsrate besonders hoch. Das ist auf den ersten Blick irritierend, denn es ist gerade diese Bevölkerungsgruppe, die am meisten durch eine Beschränkung ihrer wirtschaftlichen, politischen und sozialen Freiheiten zu verlieren hat. Woher kommt diese hohe Zustimmungsquote?

Eine Antwort: Es ist bequem und jeder könnte vordergründig profitieren. Gerade in den urbanen Regionen bieten die angebotenen Vergünstigungen einen Mehrwert. Beispielsweise sind in der Stadt Behördentermine schwerer zu bekommen als auf dem Land. Da ist es bequem, wenn der Termin im Bürgeramt schneller klappt

Der Rechtsstaat entwickelt sich zurück

Aber der Preis für diese Annehmlichkeiten ist hoch. Falls das System einen Fehler macht und ungerechtfertigterweise Punkte abzieht, gibt es keine Möglichkeit zu widersprechen. Nach Jahren der Reform und Öffnung entwickeln sich die Rechtsstaatsansätze der Volksrepublik zurück. Klagen gegen Partei oder Staat haben keine Chance. Protestieren steht außer Frage. All das würde definitiv unter „schlechtes Verhalten“ fallen. Manche Eltern sagen vielleicht: „Nicht unsere Kinder, nicht unser Problem.“ Aber Liberale blicken über den Tellerrand nationaler Grenzen und streben nach der Freiheit aller Menschen. Hinzu kommt: Andere autokratische Regierungen sehen Xi Jinping als Vorbild. Es ist nur eine Frage der Zeit, bis wir das erste iranische Social Credit System sehen. Vielleicht auch ein türkisches, ein ungarisches? Proaktiv bereitgestellt und mit chinesischer Technologie. Technologie von Unternehmen, denen wir in Deutschland, vielleicht auch mit Steuergeldern über Infrastrukturaufträge, Wachstum und stärkeren globalen Einfluss ermöglichen. Würden wir Liberale uns selbst ein Sternchen geben, wenn wir tatenlos zusehen?

 

Dieser Beitrag erschien zuerst in „liberal – das Magazin für die Freiheit“ Ausgabe 01/2019 der Friedrich-Naumann-Stiftung

Offener Brief: Abstimmung über die Urheberrechtsreform auf nach der EP-Wahl verschieben

LOAD veröffentlicht zusammen mit den folgenden Unterzeichnerinnen und Unterzeichnern einen Offenen Brief, in dem die Verlegung der Abstimmung über die EU-Urheberrechtsreform  auf nach der Wahl zum Europäischen Parlament gefordert wird. Unsere gemeinsamen Feststellungen lauten:

  1. Eine Vorverlegung der Abstimmung schadet dem demokratischen Prozess und seinem Ansehen insbesondere bei jungen Menschen.
  2. Artikel 13 ist der Mühlenstein um den Hals der Reform und muss in dieser Form verhindert werden.
  3. Eine Abstimmung zu einem späteren Zeitpunkt wäre sinnvoll und ohne Diskontinuität möglich.

Die Unterzeichnerinnen und Unterzeichner
Wikimedia Deutschland – Gesellschaft zur Förderung Freien Wissens e. V.
Verbraucherzentrale Bundesverband e.V.
Bundesverband Deutsche Startups e. V.
Bundesverband IT-Mittelstand e. V.
Bundesverband Digitale Wirtschaft (BVDW) e. V.
Deutscher Gründerverband e. V.
eco – Verband der Internetwirtschaft e. V.
D64 – Zentrum für digitalen Fortschritt e. V.
LOAD e.V. – Verein für liberale Netzpolitik
Digitale Gesellschaft e. V.
Open Knowledge Foundation Deutschland e. V.
Gesellschaft Katholischer Publizisten Deutschlands e. V.
Jugendpresse Deutschland e. V.
Deutscher Bundesjugendring e. V.

Der Offene Brief im Wortlaut: 

Sehr geehrter Herr Weber MEP,
Sehr geehrter Herr Bullmann MEP,
Sehr geehrter Herr Verhofstadt MEP,
Sehr geehrte Frau Keller MEP,
Sehr geehrte Frau Zimmer MEP,

06. März 2019

Abstimmung über die Urheberrechtsreform auf nach der EP-Wahl verschieben

Sehr geehrte Damen und Herren,

die von der EVP-Fraktion beantragte mögliche Vorverlegung der Plenarabstimmung sehen wir als äußerst schädlich für das Anliegen einer ausbalancierten Netzregulierung an. Gerade in der Außenwirkung und mit Blick auf das massiv gestiegene Interesse vieler junger Europäerinnen und Europäer würde das ein verheerendes Bild abgeben.
Die Diskussion um die Regelungen in Artikel 13 des Richtlinienentwurfs wird mit großer Energie geführt. Eine Verschiebung der Entscheidung auf einen Zeitpunkt nach der Eu- ropawahl und mögliche Anpassungen in einer neuen Verhandlungsrunde könnten das Scheitern einer an sich notwendigen Reform verhindern, an der so viele Akteure lange und intensiv mitgewirkt haben. Bei der Abwägung von Grundrechten und Entscheidun- gen zu hoch komplizierten und polarisierenden Themen ist es für den demokratischen Prozess wichtig, dass alle Akteure hinreichend gehört werden. Eine Vorverlegung würde diesen Prozess untergraben.
Wir Unterzeichnende, Vertreterinnen und Vertreter der Zivilgesellschaft, der Wirtschaft und der Internetkultur, bitten Sie aufgrund der aktuellen Entwicklungen erneut, die fak- tisch verpflichtende Einführung von Upload-Filtern zu verhindern.

Artikel 13 ist zum Mühlstein um den Hals der dringend notwendigen Aktualisierung des europäischen Urheberrechts geworden. Sollte die Betreiberhaftung in der geplanten Form ausgeweitet werden, werden klare Anreize gesetzt, um auch solche Inhalte zu blockieren, die rechtmäßig eingestellt wurden (Overblocking). Die Plattformen werden versuchen, ihr Haftungsrisiko zu minimieren und nur noch ihnen bekannte und geprüfte Inhalte erlau- ben. Wirksame Maßnahmen, die rechtmäßig eingestellte Inhalte unmittelbar vor entspre- chender Blockung schützen, sind im aktuellen Text nicht vorgesehen. Die vorgesehenen Widerspruchslösungen begegnen dem nur unzureichend. Eine der Erfolgsformeln des Internets, das Teilen von Informationen und Inhalten, ist damit in Gefahr.
Wir fordern Sie daher im Namen der Nutzerinnen und Nutzer, aber auch der Kreativen auf, die Entscheidung nicht vorzuverlegen, besser sogar zu verschieben, um nachhaltigen Schaden am Bild der europäischen Gesetzgebung insbesondere bei jungen Leuten zu ver- hindern. Die Parlamentarierinnen und Parlamentarier brauchen gerade jetzt Zeit, um das Für und Wider abzuwägen.

Mit freundlichen Grüßen

Wikimedia Deutschland – Gesellschaft zur Förderung Freien Wissens e. V. Verbraucherzentrale Bundesverband e.V.
Bundesverband Deutsche Startups e. V.
Bundesverband IT-Mittelstand e. V.
Bundesverband Digitale Wirtschaft (BVDW) e. V.
Deutscher Gründerverband e. V.
eco – Verband der Internetwirtschaft e. V.
D64 – Zentrum für digitalen Fortschritt e. V.
LOAD e.V. – Verein für liberale Netzpolitik
Digitale Gesellschaft e. V.
Open Knowledge Foundation Deutschland e. V.
Gesellschaft Katholischer Publizisten Deutschlands e. V.
Jugendpresse Deutschland e. V.
Deutscher Bundesjugendring e. V.

 

Der Offene Brief ist hier als PDF verfügbar.

Rette Dein Internet – Aufruf zum europaweiten Demo-Tag am 23. März!

Die geplante EU-Urheberrechtsreform droht, den freien Austausch von Meinungen und Kultur über das Internet massiv einzuschränken. Daher rufen wir gemeinsam am 23. März 2019 zu europaweiten Protesten dagegen auf!

  • Artikel 13 wird zum Einsatz von fehleranfälligen und kostspieligen Uploadfiltern führen, da die darin geforderte präventive Erkennung von angeblichen Urheberrechtsverstößen anders nicht machbar ist, selbst wenn dieses Wort im Gesetzestext nicht explizit verwendet wird.
  • Uploadfilter werden legale Meinungsäußerungen und kreative Werke blockieren, da automatische Systeme legitime Werke nicht treffsicher von Urheberrechtsverletzungen unterscheiden können. Die vorgesehenen Schutzmaßnahmen sind nicht ausreichend, um das zu verhindern.
  • Kleinere Plattformen werden in ihrer Existenz bedroht, da viele von ihnen unter die Artikel 11 und 13 fallen (oder zumindest fürchten müssen, darunter fallen zu können), selbst wenn Urheberrechtsverletzungen dort heute kein ernsthaftes Problem darstellen, und sie nicht über die Ressourcen verfügen, die ihnen neu auferlegten Pflichten zu erfüllen.

Wir unterstützen die Rechte aller Kreativen und setzen uns für ein modernes Urheberrecht sowie die demokratische Regulierung marktbeherrschender Internetkonzerne ein. Die Reform bringt unserer Einschätzung nach in ihrer vorliegenden Fassung jedoch deutlich mehr Schaden als Nutzen für die Menschen in Europa. Sie muss daher abgelehnt werden.

Wir appellieren an die Mitglieder des Europäischen Parlaments, den Artikeln 11 und 13 nicht zuzustimmen. Ebenso appellieren wir an die Bundesregierung, sich an ihren Koalitionsvertrag zu halten, der den Einsatz von Uploadfiltern explizit als unverhältnismäßig ablehnt.

Unterstützt unseren Aufruf, organisiert Proteste vor Ort und kommt zu den europaweiten Demonstrationen!

Hier geht es zu einer Übersicht der bisher geplanten Demos und der Unterstützer: https://savetheinternet.info/demos

Staatstrojaner lügen vor Gericht!

Staatstrojaner sind als Beweismittel vor Gericht absolut ungeeignet. Warum das so ist, möchte ich in diesem Artikel erklären. Bevor wir in die technischen Hintergründe dieser Behauptung einsteigen, möchte ich kurz die Begrifflichkeiten sauber definieren. Unsere Bundesregierung findet, dass man einen Staatstrojaner nicht so nennen soll, sie würde das Wort „Online-Durchsuchung“ oder Quellentelekommunikationsüberwachung (QTKÜ) bevorzugen und beantwortet kleine Fragen über Staatstrojaner nicht, wenn man die Dinge beim Namen nennt. 

Zur Definition: Ein Staatstrojaner ist ein Stück Software, das von Geheimdiensten oder Polizeibehörden genutzt wird. Diese Software überwindet die Sicherheitsmaßnahmen auf einem Computer oder Smartphone unter Ausnutzung von Sicherheitslücken und bringt sich selbst (ungewollt durch den User) zur Ausführung auf dem Zielsystem der überwachten Person. Danach sammelt dieses Stück Software Daten von dem Computer oder Smartphone und überträgt diese Daten zurück an den Geheimdienst oder Polizeibehörde, die diese Software eingesetzt haben.

Damit ein Staatstrojaner funktioniert, benötigt es eine vorhandene Sicherheitslücke auf dem Ziel-Computer (oder Smartphone). Diese Sicherheitslücke ist also das Einfallstor für die Software. 

Es muss nicht extra betont werden, da es offensichtlich scheint: Es gibt viele Akteure, die mit teilweise viel Geld (oder Zeit) nach Sicherheitslücken suchen. Beispiele dafür sind z.B. Cyberkriminelle, Geheimdienste, IT-Sicherheitsforscher und Polizeibehörden. Die genannten Gruppen gibt es in jedem Land auf der Erde, es gibt also sehr viele Menschen, die Sicherheitslücken suchen und finden. Jede dieser Gruppen hat ihre eigene Motivation eine gefundene Sicherheitslücke ersteinmal für sich zu behalten. Je mehr Menschen ein Geheimnis kennen, desto schneller wird ein Geheimnis allgemein oder öffentlich bekannt – da sich sehr viele Menschen mit dem professionellen Finden von Sicherheitslücken befassen, muss man davon ausgehen, dass jede Sicherheitslücke binnen kurzer Zeit auch anderen bekannt wird.

Wenn also der Staatstrojaner eine Sicherheitslücke erfolgreich benutzt, dann hat er damit den Beweis geführt, das jeder andere auch diese Sicherheitslücke vor dem Staatstrojaner benutzt haben könnte. Damit sinkt die Beweiskraft der Informationen auf dem infiltrierten System, denn jeder andere Nutzer der Sicherheitslücke kann genau die digitalen Spuren platziert (gefälscht) haben, nach denen der Staatstrojaner sucht. 

Ein Computersystem ist binär – es gibt nur „0“ oder „1“. Grundsätzlich sollte man davon ausgehen, dass jedes ausgeführte Computerprogramm jede beliebige 0 oder 1 auf dem System verändern kann. Es ist daher nicht möglich zu beweisen ob der User, oder ein (Schad)Programm eine Datei angelegt hat, denn jede Meta-Information zu dieser Datei kann ebenso gefälscht werden wie die Datei selbst. Es gibt keine digitalen Fingerabdrücke oder ein Äquivalent zu DNA-Spuren, die zweifelsfrei den Urheber einer Aktion auf einem Computersystem identifizieren könnten, alles was auf einem System vorhanden ist, kann dort platziert worden sein.

Ein mit Schadsoftware infiziertes System ist also von Außen verändert worden, und hat nun ein weiteres Einfallstor (der Steuerkanal der Schadsoftware), durch das Dritte das System weiter verändern können. Damit kann keine Datei auf dem Zielsystem mehr eindeutig der Zielperson zugeordnet werden. Soviel zur allgemeinen Betrachtung – kommen wir zu den Feinheiten.

Was ist denn mit „Staatstrojaner light“, also WhatsApp, E-Mails – das digitale Gegenstück zum „Telefon abhören“?

Befürworter eines Staatstrojaners argumentieren damit, das eine herkömmliche Telefonüberwachung nicht ausreicht, da dort Messenger und E-Mails nicht miterfasst werden können. Daher versuchen sie einen Staatstrojaner light zu etablieren. Dies heisst dann „erweiterte Quellentelekommunikationsüberwachung“ (QTKÜ) und dieser Staatstrojaner soll nur einige wenige Funktionen haben, wie z.B. das dieser sich nur auf das Auslesen von E-Mails oder Abhören von Chatkommunikation beschränkt und andere Funktionen wie z.B. die Durchsuchung des Speichers des Geräts eben nicht hat. 

Diese Argumentation ist mehrfach invalide. Ein persönliches Beispiel: Ich persönlich habe mir angewöhnt in schwierigen menschlichen Situationen einen „bösen“ E-Mail-Entwurf zu schreiben. Zum abreagieren. Ich stelle mir dabei vor, dass ich diese E-Mail wirklich senden möchte. Diese E-Mail ist allerdings niemals für den Versand gedacht, ich zwinge mich immer mindestens eine Nacht über diese E-Mail zu schlafen, bevor ich sie lösche, redigiere oder stark geändert unter Umständen abschicke. 

Ein QTKÜ-Trojaner würde diesen Entwurf kopieren und an die Polizei übermitteln, obwohl dieser Entwurf keine Kommunikation ist, da er nicht für den Versand vorgesehen war und damit nicht von der QTKÜ-Maßnahme gedeckt war. Das weiß aber der Trojaner nicht und auch nicht mein E-Mailprogramm. 

Wenn man diesen Gedanken zu Ende denkt, kommt man zum Schluss, das wir unsere Geräte eher wie einen „Meta Cortex“ nutzen, also wie einen ausgelagerten Teil des Gehirns, und damit dem Ort meiner Gedanken. Ein Staatstrojaner (auch die QTKÜ-Variante) verschafft Dritten Zugriff auf diese höchstpersönlichen Gedanken, obwohl der „Staatstrojaner light“ (QTKÜ) eben gerade nicht in diesen höchstpersönlichen Teil des Lebens eingreifen sollte und nur die Kommunikation abgreifen sollte.

Es hieß doch in dieser Republik „Die Gedanken sind frei!“ – aber ist das wirklich so, wenn wir Staatstrojaner haben?

Das BVerfG hat Staatstrojaner für die QTKÜ unter sehr engen Grenzen erlaubt, nämlich, dass ein solcher Staatstrojaner bestimmte Funktionen wie das Durchsuchen der Festplatte nicht haben darf. In einem Rechtsstaat  muss der Staat gegenüber den Bürgern den Beweis führen, das die Ermittlungswerkzeuge innerhalb der Grenzen bleiben, die unsere Gerichte gesetzt haben. Aber kann der Staat diesen Beweis bei der „light“-Variante führen? 

Durch das erfolgreiche Eindringen führt der Trojaner zuerst den Beweis, das auch andere auf dieses System hätten zugreifen können. Der Trojaner kommt mit einer bestimmten Menge an Funktionen, es ist aber möglich, das der Trojaner weitere Funktionen, z.B. durch Download aus dem Internet, dazugewinnt. Es ist auch denkbar, das der Trojaner durch Verwendung von Algorithmen, die bereits auf dem infizierten System vorhanden sind, weitere Funktionen dazugewinnt.

Beispielsweise muss der Trojaner selbst gar keinen Algorithmus zur Durchsuchung einer Festplatte mitbringen – jedes Betriebssystem hat dazu schon Software. Auch das Verpacken und Hochladen von Dateien kann jedes Betriebssystem selbst, wenn man es dazu anweist. 

Eine Untersuchung des Quellcodes des Trojaners reicht also nicht für diesen Beweis, da der Staatstrojaner auch andere Algorithmen nutzen kann. Schlimmer noch, die Anweisung zur Nutzung von Funktionen, die zwar nicht im Staatstrojaner stecken, allerdings z.B. im Betriebssystem bereits vorhanden sind oder aus dem Internet nachgeladen werden, kann jeder auslösen, der auch Kenntnis von der initialen Sicherheitslücke erlangt hat, wie z.B. die Polizei, oder Dritte die auf eine andere Weise Zugriff auf das System erlangt haben. 

Es ist deswegen der Polizei unmöglich, die Rechtsstaatlichkeit eines Staatstrojaners den Bürgern zu beweisen, da es nicht möglich ist, einen Beweis über die Abwesenheit einer Funktion zu führen, solange die Geräte ein Betriebssystem haben und mit dem Internet verbunden sind. Schlimmer noch – durch das Installieren eines Staatstrojaners haben die Ermittlungsbehörden das System für Dritte geöffnet, die dort auch (gefälschte) Beweismittel platzieren könnten.

Dies gilt selbstverständlich sowohl für die „Online-Durchsuchung“, also die tiefgehende Durchsuchung des Systems ohne echte Grenzen, als auch für die „light“-Variante, die QTKÜ, die im Narrativ der Regierung das Gegenstück zur klassischen Telefonüberwachung darstellt und in ihrer Funktion begrenzt sein soll.

Durch den Einsatz eines Staatstrojaners ist es, wie weiter oben erklärt, nicht mehr möglich zu sagen wer die Datei auf dem System platziert hat (der Vdrdächtigte, oder ein Dritter). Die Ergebnisse eines Staatstrojaner haben daher eine äußerst geringe Beweiskraft und es ist unmöglich einen Staatstrojaner so zu gestalten, das bewiesen werden kann, das er grundrechtskonform ist, also gewisse Funktionen nicht hat. Dies folgt logisch aus der grundlegenden Beschaffenheit der Computersysteme, auch zukünftige Entwicklungen können die Grundprinzipien der Informatik nicht wiederlegen. 

Wenn eine Sicherheitsbehörde eine Sicherheitslücke findet und für die Ausnutzung der selbigen Geld investiert, so hat die Behörde ein Interesse daran, das diese Investition sich möglichst lange lohnt, die Sicherheitslücke also eben nicht geschlossen wird. Dieses Interesse überwiegt in der Betrachtung unserer Regierung dem Interesse der Bürger, Systeme zu benutzen die möglichst wenig Sicherheitslücken haben. Die Bundesregierung nimmt sogar viel Geld in die Hand und hat ZITiS gegründet – eine Behörde, die Sicherheitslücken suchen soll – nicht damit diese geschlossen werden können, sondern damit Staatstrojaner gebaut werden können. 

Wo soll die Reise also hingehen?

Selbstverständlich darf unsere Polizei auf dem digitalen Auge nicht blind sein, Staatstrojaner können aber, wie dargelegt, kein Teil der Lösung sein, wenn man den Wortlaut unserer Verfassung nicht ad absurdum führen möchte. 

Die Antwort ist: klassische digitale Forensik. Wenn ein erhärteter Verdacht besteht, soll ein Richter urteilen, dass die Hardware des Verdächtigen beschlagnahmt werden soll. Mit speziellen forensischen Geräten, die elektrophysikalisch beweisbar keine Daten auf der untersuchten Hardware schreiben können, sollen dann die Daten Bit-für-Bit kopiert werden. Dann sollen Fachkräfte für digitale Forensik diese Kopie analysieren. Dieser Vorgang ist in sich bereits ein enormer Eingriff in die Privatssphäre, wenn wir allerdings einen Richtervorbehalt schaffen, so wäre diese Art von Eingriff vollständig grundrechtswahrend durchführbar, die juristischen Schranken sollten wir allerdings höher hängen als für eine Hausdurchsuchung. Auch ist es notwendig die untersuchte Hardware nach dem Anfertigen einer forensischen Kopie so schnell wie möglich zurückzugeben, dies folgt aus der Unschuldsvermutung.

Selbstverständlich benötigt unsere Polizei und die Landeskriminalämter für die forensische Untersuchung kompetentes Fachpersonal. Es ist daher notwendig für digitale Forensik deutlich mehr Planstellen in den Landeskriminalämtern (LKA) zu schaffen und diese Fachkräfte marktüblich zu bezahlen und dafür die TVÖD-Tarife entsprechend anzupassen.

Die Aussage einer forensischen Analyse ist vor Gericht belastbarer als die Informationen von einem Staatstrojaner, da die Integrität des Computersystems durch die Ermittlungen in keinster Weise gestört oder verändert wurden, im Gegensatz zu einem Trojaner, der die Integrität des informationstechnischen Systems und die der Sicherheitseinrichtungen bei seinem Einsatz verletzt. 

Nichtsdestotrotz kann jede Datei immer auch auf dem Computersystem platziert worden sein – das Vorhandensein einer Datei ist kein Beweis, nur ein Indiz. Genau wie in der analogen Welt ein beschlagnahmtes Beutelchen Cannabis kein Beweis ist, das dieses auch vor der Durchsuchung im Besitz des Verdächtigen war. Sowohl die Begleiter des Verdächtigen, als auch der durchsuchende Polizeibeamte haben bei einem solchen Vorwurf die Gelegenheit gehabt dieses metaphorische Beutelchen (Datei) zu platzieren.

Wenn wir also unsere Polizei wirklich unterstützen wollen, dann hören wir auf in potentiell verfassungsfeindliche Software ohne echte Beweiskraft vor Gericht zu investieren und statten lieber die Polizeibehörden so aus, das diese auf dem klassischen Weg der Beschlagnahmung und forensischer Untersuchung verwertbare und belastbare Indizien unter Richtervorbehalt produzieren können. So würden wir die zweifelsohne notwendigen Ermittlungen im Bereich der Schwerst-Kriminalität nicht nur ermöglichen, sondern sogar vereinfachen.

Digitale Kontaktbereichsbeamte und Fachkompetenz im Bereich der Internetkriminalität für die Polizei!

Die Vorfälle rund um den hessischen Gymnasiasten, der die persönlichen Daten von fast 1.000 Abgeordneten und Prominenten veröffentlicht hat, zeigen, dass die zuständigen Behörden an mehreren Stellen mit dem Deliktbereich Internetkriminalität überfordert sind.

Bildquelle: Westpress Kaliningrad archive, image # / / CC-BY-SA 4.0

Wie Medien berichteten, gab es bereits 2018 mehrere Anzeigen und sogar eine Hausdurchsuchung beim Tatverdächtigen. Die Erkenntnisse und Ermittlungen blieben allerdings auf Länderebene – u. a. auch deswegen, weil die eingesetzten Softwareprodukte zur Vorgangsverfolgung der Länderbehörden inkompatibel sind zu denen der anderen Länder. Ein zeitnaher Austausch der Erkenntnisse aus den Ermittlungen war daher nicht möglich.

Die Vorgänge wurden vermutlich nur in dem Bundesland bearbeitet, in dem das Delikt angezeigt wurde. Hier liegt der Verdacht nahe, dass die Polizeibehörden die länderübergreifende Natur des Internets in ihren Ermittlungsprozessen bisher nicht berücksichtigen.

LOAD e. V. fordert daher die Ausstattung der Polizei mit mehr Personal und Fachwissen im Bereich der Internetkriminalität. Es reicht nicht pro Bundesland ein kleines Team „ZAC“ (Zentrale Ansprechstelle Cybercrime) zu haben, es benötigt digitale Kontaktbereichsbeamte! Es braucht mehr Fachwissen und Personal und zeitgemäße Ermittlungsprozesse, in keiner Weise jedoch neue Befugnisse. Bevor neue Befugnisse erteilt werden, müssen die vorhandenen durch zeitgemäße Ermittlungsprozesse wirklich genutzt werden.

Unsere Polizei ist Freund und Helfer – selbstverständlich bietet die Polizei (in manchen Landkreisen) kostenlose Überprüfungen der Sicherheit von z. B. Fahrrädern oder Haustüren an, oder Beratung zu solchen Themen. Diese Aufgaben fallen unter den Oberbegriff Kriminal­prävention und sind üblich. Darüber hinaus ist es in der Struktur der Polizei normal, dass es Fachpersonal für Deliktbereiche gibt, wie z. B. im Deliktbereich sexueller Missbrauch.

Daher fordern wir die bürgernahe Einrichtung einer Einheit, die grundsätzliches Wissen über Cyberkriminalität in jeder Polizeiwache verbreitet. Im Sinne der Kontaktbereichsbeamten sollen in möglichst vielen Polizeiwachen Planstellen für Fachpersonen mit besonderer Ausbildung geschaffen werden.

Die Aufgaben dieses zusätzlichen Personals umfassen das Absichern von Computern der Bürger, z. B. durch persönliche Beratung zur Cybersicherheit, aber auch das Veranstalten von kostenlosen Seminaren und Informationsveranstaltungen zum sicheren Datenverkehr im Internet. Weiterhin soll dieses Personal Anzeigen von Bürgern zum Deliktbereich Internetkriminalität aufnehmen und je nach Bedarf notwendige nachgängige Beratung nach einem Delikt zur Absicherung des betroffenen Geräts oder Accounts vornehmen.

Es kann nicht sein, dass die Prävention von Straftaten im Deliktbereich Internetkriminalität alleinig auf den Schultern ehrenamtlicher Bürgerinitiativen lastet, die Cryptoparties veranstalten.

Weiterhin muss fest in die Prozesse dieser Einheit integriert werden, dass Vorfälle und Anzeigen bewertet und professionell an das BSI (Bundesamt für Sicherheit in der Informationstechnik) und an das NCAZ (Nationales Cyberabwehrzentrum) weitergemeldet werden. So wird ein bürgernahes Frühwarnsystem für Cyberkriminalität geschaffen. Das Curriculum der Aus- und Fortbildung dieses Fachpersonals soll zu einem Großteil vom BSI festgelegt werden.

Weiterhin fordert LOAD e. V. eine deutliche Korrektur der TVöD-Tarife für unsere Polizei. Es ist unmöglich ausreichend Fachkräfte anzuwerben, wenn die Wirtschaft ein Vielfaches des Gehalts für dieselben Kenntnisse und Fähigkeiten bezahlt.

LOAD e. V. sieht keine Verantwortung oder Schuld für dieses Behördenversagen beim BSI. Es ist allerdings klar, dass auch in diesem Fall ein unabhängiges BSI, das nicht vom Bundesministerium des Innern, für Bau und Heimat kontrolliert wird, leistungsfähiger und effektiver hätte handeln können.