Blog

Freiwilligendienst für IT-Sicherheitsvorfälle – Das Cyber-Hilfswerk

Die Mitglieder des LOAD e.V. engagieren sich auf vielfältige Weise – nicht nur bei LOAD, sondern auch in anderen Organisationen und Gruppen. Unser Mitglied Johannes ‚Ijon‘ Rundfeldt hat zusammen mit anderen 2018 die AG KRITIS gegründet. In der unabhängigen Arbeitsgruppe KRITIS haben sich inzwischen mehr als 40 Fachleute und Experten für KRITIS zusammen gefunden, mit dem Ziel die Resilienz unserer kritischen Infrastrukturen zu stärken.

Die AG KRITIS ist zum Schluss gekommen, dass das Risiko einer Großschadenslage durch kompromittierte IT-Systeme stark gestiegen ist. Eine Mangelversorgung kann durch Kompromittierung oder Störungen an informationstechnischen Systemen auftreten. Wenn die Versorgung nicht mehr flächendeckend mit Strom, Wasser, Gas und anderen kritischen Ressourcen versorgt wird, so kann dies schnell gravierende Folgen für die Bevölkerung haben.

Ein Angriff auf die verbreitete Monokultur gängiger Hard- und Software bei gleichzeitig unzureichenden Sicherheitsmaßnahmen kann es mit einem Schlag notwendig machen, tausende von Systemen in allen Regionen Deutschlands wieder unter Kontrolle zu bekommen. Es gibt von Staat und Betreibern zwar kompetente Einsatzteams, aber ihre Personalstärke ist mehrere Größenordnungen zu klein um bei solchen flächigen Systemausfällen oder etwas entgegensetzen zu können.

Zivilschutzeinrichtungen wie Feuerwehren und Technisches Hilfswerk sind zwar für die Bewältigung der Folgen sehr gut aufgestellt, können aber bei der Wiedererlangung der Kontrolle über die krisenverantwortlichen IT-Systeme keinen Beitrag leisten.

Die AG KRITIS hat daher das Konzept eines Cyberhilfswerks (CHW) entwickelt.

Eine überregionale Organisation aus Freiwilligen, die als kompetente Fachleute und speziell ausgebildete Laien bereit stehen, koordiniert und in großer Zahl an der Schadensbewältigung auf der Ebene der IT-Systeme mitzuwirken.

Das Konzept für ein Cyber-Hilfswerk der AG KRITIS (Link führt zum Konzept)

Sie finden sich hier zusammen, um zum Schutz der Bevölkerung für die IT-Krise Vorkehrungen zu treffen, Werkzeuge und Strategien zu entwickeln, sich weiterzubilden, Übungen durchzuführen und schließlich in der Großschadenslage zur Verfügung zu stehen, damit Staat und Betreiber der betroffenen Kritischen Infrastrukturen eine realistische Chance auf eine schnelle Krisenbewältigung haben.

Ein friedensmäßiger Katastrophenschutz, wie ihn das THW leistet, bedeutet auch für das CHW, dass offensive Handlungen im IT-basierten Einsatzumfeld ausgeschlossen sein müssen. Eine Beteiligung an entsprechenden Vorgängen bspw. durch fachliche Unterstützung, zur Verfügung gestellte Werkzeuge oder das Teilen erlangter Kenntnisse über Angriffswerkzeugen muss satzungsgemäß und gesetzlich ausgeschlossen sein.

Nur dann kann eine solche Schutzorganisation hoffen, die notwendige Menge engagierter Freiwilliger im Ehrenamt zu gewinnen.

Auf der DefensiveCon auf der cbase stellte Ijon das CHW vor – hier zum nach schauen:

Noch mehr dazu:

Das komplette Konzeptpapier zum CHW.
Ein Interview mit Ijon zum CHW beim SPIEGEL kann hier nachgelesen werden.
Und zum nach hören das Gespräch auf der DefensiveCon von Peter Welchering vom Deutschlandfunk mit Ijon, Manuel Atug (HonkHase) und Sven Herpig.
Der AG KRITIS auf Twitter folgen!

 

Stellungnahme „Digitale Gewalt gegen Frauen und Mädchen“

Unsere Vorsitzende Ann Cathrin Riedel wurde am 10. Februar 2020 als Sachverständige zum Thema „Digitale Gewalt gegen Frauen und Mädchen“ in den Ausschuss für Gesundheit, Pflege und Gleichstellung des Berliner Abgeordnetenhauses eingeladen. Wir veröffentlichen hier ihre Stellungnahme: (PDF)

LOAD unterstützt Offenen Brief an BMJV zum Schutz von Bürgerrechten

Gemeinsam mit elf weiteren Organisationen aus Wirtschaft, Zivilgesellschaft und Berufsverbänden, sowie den anderen netzpolitischen Vereinen hat LOAD einen Offenen Brief an die Bundesjustizministerin Christine Lambrecht mit gezeichnet. Bürgerrechte stehen in Deutschland immer mehr unter Druck. Die beiden vorgelegten Referentenentwürfe für ein “Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität”, sowie für “Gesetz zur Änderung des Netzwerkdurchsetzungsgesetzes” sollten nicht ins Kabinett eingebracht werden, sondern dringend überarbeitet werden. Das Bundesministerium der Justiz sollte unser Verbündeter beim Schutz von Bürgerrechten sein und nicht Grundrechte wie Meinungs- und Informationsfreiheit mit seinen Gesetzentwürfen gefärden.

Wir veröffentlichen im Folgenden den gesamten Offenen Brief mit den Unterzeichnern:

Berlin, 11. Februar 2020

Offener Brief zu den Referentenentwürfen „Gesetz zur Änderung des Netzwerkdurchsetzungsgesetzes“ und „Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“

Sehr geehrte Frau Bundesministerin,

der Schutz von Grund- und Bürgerrechten ist eine essentielle Aufgabe demokratischer Rechtsstaaten. Dazu gehört, dass sich Menschen frei äußern können, ohne Angst vor Repressalien durch den Staat, aber auch ohne Angst haben zu müssen, von anderen Menschen aufgrund ihrer Äußerungen Bedrohungen oder Gewalt ausgesetzt zu sein. In einer Welt, die laut Freedom House seit 13 Jahren immer unfreier wird, kommt unserer Demokratie eine besondere Verantwortung zu, diese bürgerlichen Freiheiten zu schützen.
Die vom Bundesministerium der Justiz und für Verbraucherschutz (BMJV) in kurzem zeitlichen Abstand vorgelegten Gesetzentwürfe für ein “Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität”, sowie ein “Gesetz zur Änderung des Netzwerkdurchsetzungsgesetzes” (NetzDG) tragen dieser Verantwortung jedoch nicht Rechnung. Sie sollen zwar erklärtermaßen dem Schutz der Meinungsfreiheit dienen, schaffen jedoch selbst eine enorme Gefahr für die bürgerlichen Freiheiten.

Wir, die Unterzeichner dieses Briefes, wollen heute jedoch nicht nur auf den Inhalt der Entwürfe eingehen, sondern müssen auch die offensichtlich fehlende Bereitschaft kritisieren, die vor einem Beschluss des Bundeskabinetts eigentlich gebotene fachliche und gesellschaftliche Debatte zur Wirksamkeit des NetzDG zu führen. Grundlage der Debatte hätte die Evaluierung des NetzDG sein können, die seit der Verabschiedung des Gesetzes angekündigt wurde. Mittlerweile ist bekannt, dass eine rechtswissenschaftliche Evaluierung des NetzDG stattfindet – die Ergebnisse liegen allerdings noch nicht vor und können somit weder zum öffentlichen Fachdiskurs noch zu den veröffentlichten Referentenentwürfen beitragen.
Daher möchten wir Sie dringend dazu auffordern, die vorgelegten Entwürfe einer gründlichen Überarbeitung zu unterziehen, bevor das Kabinett hier das Gesetzgebungsverfahren initiiert. Dies ergibt sich vor folgendem Hintergrund:

1.

Beide Gesetzentwürfe konstatieren „eine zunehmende Verrohung der Kommunikation“, ohne dafür auf empirische Belege verweisen zu können. Grundlage einer verantwortungsvollen Gesetzgebung in einem so grundrechtssensiblen Bereich wie der Medien- und Meinungsfreiheit sind jedoch belastbare Fakten, die in die komplexen Abwägungen, die solchen Gesetzgebungsverfahren zu Grunde liegen, mit einbezogen werden sollten. Hierzu hielten wir es für wichtig, dass vor der Verabschiedung weiterer restriktiver Regelungen in Kooperation mit den Plattformen Forschungsinstitutionen Zugänge zu Datenmaterial erhalten, das eine qualitative wie quantitative Überprüfung der Ausgangsthesen, wie auch der Wirksamkeit bereits bestehender Regelungen überhaupt ermöglichen. Notfalls wären die Betreiber der Plattformen hierzu zu verpflichten.

2.

Der Gesetzentwurf für ein “Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität” verlagert die strafrechtliche Verfolgung von Äußerungen in sozialen Medien in solch erheblicher Weise vor, dass sie in einer für viele Menschen kaum noch vorhersehbaren Weise die Gefahr polizeilicher Ermittlungen und strafrechtlicher Verfolgung nach sich ziehen kann – obwohl es sich eben nicht stets um eindeutig rechtswidrige Äußerungen handelt, die den Rahmen des zulässigen “Meinungskampfes” verlassen würden.

Zugleich schafft Ihr Gesetzentwurf eine Reihe problematischer Befugnisse, auf die Sie auch öffentlich schon mehrfach hingewiesen worden sind, auf die das BMJV leider bislang nur ungenügend reagiert hat:

Die Verpflichtung zur Herausgabe von Passwörtern ist gleich in mehrfacher Hinsicht problematisch. Passwörter liegen bei Providern üblicherweise in verschlüsselter Form vor. Dies ist essentielle Voraussetzung sicherer IT-Systeme. Es steht daher zu befürchten, dass staatliche Stellen Anreize setzen werden, Provider zum Vorhalten unverschlüsselter Passwörter anzuhalten, da die gewonnenen Informationen sonst für sie wertlos sind. Dies stünde jedoch datenschutzrechtlichen Vorgaben und IT-Sicherheitsanforderungen, wie unter anderem vom BSI gestützt, diametral entgegen. Zum anderen würde damit jegliche Nutzung digitaler Konten – vom sozialen Netzwerk bis zum Online-Banking – massiv unsicher. Der IT-Standort Deutschland wäre ein Schlaraffenland für Hacker. Zudem sollte fraglich sein, inwiefern Beweise vor Gericht standhaft sein werden, wenn Ermittlungsbehörden sich mit Hilfe des erlangten Passworts in den Account eines Tatverdächtigen einloggen können.

Außerdem sind Journalistinnen und Journalisten von dieser weitreichenden Maßnahme nicht ausgenommen, was neben der Einschränkung der allgemeinen Bürgerrechte zu einer erheblichen Einschränkung des journalistischen Quellenschutzes führt. Medienschaffende können ihre Aufgabe als Informationsvermittler und Wächter der Demokratie nur erfüllen, wenn sie ihren Informanten gewährleisten können, dass ihr Name, die Umstände der Recherche und ihre Dokumente nicht preisgegeben werden.

Die Ausleitung von Teilnehmerinformationen in ein polizeiliches Zentralregister in Folge einer Meldung ist ebenfalls hoch riskant und mit den Grundsätzen der Medien- und Informationsfreiheit nicht zu vereinbaren. Es ist zu erwarten, dass jährlich die persönlichen Daten von hunderttausenden Bürgerinnen und Bürgern oftmals zu Unrecht bei Strafverfolgungsbehörden gespeichert werden. Solch eine Verdachtsdatenbank stellt einen Dammbruch in bisher nicht gekanntem Ausmaß dar, der dazu geeignet ist, die Grundsätze unseres Rechtsstaats und unserer liberalen Demokratie zu erodieren.
In Ihrem Gesetzentwurf zur Änderung des NetzDG finden sich weitere Vorhaben, die ihrem Ziel, Menschen die Räume zu schaffen, sich ohne Angst zu äußern, ausdrücklich widersprechen:

Wenn sowohl Opfer, als auch Täter von den sozialen Netzwerken “Gruppen” zugeordnet werden sollen, um besser zu analysieren, wer bedroht wird und woher die Bedrohung kommt, dann schaffen wir Register etwa von “Juden”, “Homosexuellen” oder “Transpersonen”. Dies sollte nicht nur aufgrund der Lehren der deutschen Geschichte eine rote Linie sein, sondern auch in Anbetracht der aktuellen Berichterstattung über den Missbrauch von polizeilichen Datenbanken durch Beschäftigte.

Ebenso weisen wir abermals darauf hin, dass es der Meinungsfreiheit nicht gut tut, wenn dazu aufgefordert oder auch nur ermuntert wird, künstliche Intelligenz zur Reglementierung von Sprache und Meinung einzusetzen. Der Illusion, dass Technologie heute auch nur ansatzweise in der Lage wäre, die feinen Nuancen von Sprache und Meinung erkennen und die Grenze zwischen zulässiger zugespitzter Sprache und strafbarer Schmähung bewerten zu können, darf sich der Gesetzgeber nicht hingeben.

3.

Schon bei dem ersten Entwurf des Netzwerkdurchsetzungsgesetzes haben die Unterzeichner vor drei Jahren mit der “Deklaration für Meinungsfreiheit” darauf hingewiesen, dass Rechtsprechung und Gesetzesvollzug nicht weiter privatisiert werden dürfen. Auch wenn die geplante Stärkung der Nutzer wie beispielsweise durch die Einführung eines Widerspruchsrechts zu begrüßen ist, bleibt die grundliegende Problematik bestehen – wird an anderer Stelle sogar weiter verschärft. Statt hier Verbesserungen vorzunehmen, wird das Problem mit Ihrem Vorschlag nunmehr aber verschärft. Staatliche Aufgaben dürfen unseres Erachtens in dieser Weise nicht an private Unternehmen, schon gar nicht an solche aus Drittländern, outgesourct werden.

Sehr geehrte Frau Bundesministerin,

wir möchten Sie daher heute dazu auffordern:

Verzichten Sie auf die Einbringung solch hoch problematischer, die Informations- und Meinungsfreiheit im Internet gefährdender Regelungen.
Fördern Sie stattdessen die Erstellung empirischer Studien über “Hatespeech” und das Nutzerverhalten in sozialen Medien. Unterstützen Sie bestehende zivilgesellschaftliche Initiativen dauerhaft finanziell bei ihrem Engagement gegen Antisemitismus und gruppenbezogene Menschenfeindlichkeit – online und offline. Statten Sie, gemeinsam mit den Bundesländern, Polizei und Justiz nicht nur personell und sachlich besser aus, sondern sorgen Sie für regelmäßige Fortbildungen und eine Digitalisierung dieser Behörden, die den Staat selbst in die Lage versetzt, Internetkriminialität effektiv und zeitnah zu bearbeiten und zu bekämpfen. Sorgen Sie für mehr Schwerpunktstaatsanwaltschaften und Kammern an den ordentlichen Gerichten, die sich auf Hatespeech und Internetkriminalität spezialisieren. Beispiele wie das ZAC in NRW oder das Cybercrime Kompetenzzentrum in Hessen zeigen, dass der Staat auch ohne private “Hilfssheriffs” gute Arbeit leisten kann. Schützen Sie Opfer von Bedrohungen konkret und nicht nur symbolisch und richten Sie hier bessere Betreuungs- und Anlaufstellen ein.

Deutschland und seine freiheitliche Demokratie hat eine Vorbildfunktion in der Welt. Darauf können wir heute stolz sein und sollten die Freiheit der Meinungsäußerung gegen ihre Feinde auch im Internet verteidigen. Wir müssen es daher tunlichst vermeiden, Bürgerrechte mit Gesetzen zu bekämpfen, die ihnen selbst widersprechen. Illiberale Ideen kann man nicht mit illiberalen Gesetzen bekämpfen. Die dänische Organisation Justitia hat in der Studie “The Digital Berlin Wall: How Germany (Accidentally) Created a Prototype for Global Online Censorship” jedoch bereits die erschreckenden Implikationen des bisherigen NetzDG aufgezeigt. Insbesondere Länder, die eben keine rechtsstaatlichen Demokratien sind oder gar autoritär regiert werden, berufen sich bei ihren freiheitsfeindlichen Regelungen auf das Vorbild Deutschlands.

Wir bitten Sie daher eindringlich: Berücksichtigen Sie die breite Kritik an Ihren Gesetzentwürfen und ziehen Sie diese für eine grundlegenden Überarbeitung zurück.

Mit freundlichen Grüßen

BdKom – Bundesverband der Kommunikatoren e.V.
Bundesverband Digitale Wirtschaft (BVDW) e.V.
cnetz – Verein für Netzpolitik e.V.
D64 – Zentrum für Digitalen Fortschritt e.V.
Digitale Gesellschaft e.V.
DJV – Deutscher Journalisten-Verband e. V.
eco – Verband der Internetwirtschaft e.V.
Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V.
Gesellschaft für Informatik e.V.
ISOC.DE e.V.
LOAD e.V. – Verein für liberale Netzpolitik
Stiftung Datenschutz
Wikimedia Deutschland e. V.

 

Der Brief als PDF zum Download.

Der Cyberkrieg hat längst begonnen

Durch die gezielte Tötung Qassem Soleimanis, dem Kommandeur der iranischen Quds-Einheit, ist das Risiko einer militärischen Eskalation im Konflikt zwischen den USA und Iran gestiegen. Die zentrale Rolle des getöteten Generals in der iranischen Regionalpolitik zwingt die iranische Führung zu einer Antwort. Untätigkeit in dieser Frage käme gerade wegen der vom iranischen Regime in den vergangenen Jahren betriebenen Stilisierung Soleimanis zur Lichtgestalt einem Gesichtsverlust gleich.

Andererseits weiß die iranische Führung spätestens jetzt, welch weitreichende Konsequenzen ihre militärischen Provokationen haben können. Der Tod Soleimanis war eine direkte Folge monatelanger Raketenangriffe pro-iranischer Milizen auf US-Militärstützpunkte in Irak, bei denen am 27. Dezember erstmals ein US-Bürger getötet wurde.

Iran und USA befinden sich bereits seit Jahren in einem Cyberkonflikt

Vor dem Hintergrund der potenziellen Folgen weiterer Anschläge auf US-amerikanische Militärstellungen — Präsident Donald Trump droht bereits mit US-Angriffen auf 52 ausgesuchte iranische Ziele — könnte sich die Islamische Republik auf aus ihrer Sicht weniger provokante Optionen einlassen. Als Alternative zu direkten Militärschlägen auf US-Ziele ist eine Hinwendung zu Cyberattacken plausibel. Ohnehin ist der Konflikt zwischen den USA und Iran bereits jetzt auch ein Cyberkrieg, in dem beide Seiten die digitale Infrastruktur des Gegners ins Visier nehmen.

So wurde im Juni 2019 bekannt, dass Trump als Reaktion auf den Abschuss einer US-Drohne einen Cyberangriff auf eine iranische Geheimdiensteinheit autorisierte. Die Geheimdiensteinheit wiederum plante ihrerseits Attacken auf Öltanker im Persischen Golf. Zur Erinnerung: Bereits unter George W. Bush und Barack Obama setzten die USA auf eine millionenschwere Cyber-Sabotageaktion gegen das iranische Atomprogramm, in deren Zuge der Computerwurm „Stuxnet“ die iranische Urananreicherung erheblich behinderte.

Iran hackte Casino-Unternehmen

Auch das iranische Regime hat in der Vergangenheit verschiedene Cyberangriffe gegen die USA und seine Verbündeten durchgeführt. So starteten iranische Hacker 2014 eine Attacke auf das Casino-Unternehmen des irankritischen US-Milliardärs Sheldon Adelson. Auch US-Verbündete sind bereits zur Zielscheibe iranischer Sabotageaktionen geworden. Nach Saudi-Arabien, Kuwait und den Vereinigten Arabischen Emiraten könnten sich diese Aktionen nach der Tötung Soleimanis nun auch auf europäische US-Verbündete ausweiten.

Das iranische Außenministerium hat bereits den Geschäftsträger der deutschen Botschaft in Teheran wegen kritischer Äußerungen einbestellt. Die jüngste Ankündigung der iranischen Regierung, sich in einem weiteren Schritt von Verpflichtungen aus dem Atomabkommen (JCPOA) zurückzuziehen, deutet auf das iranische Kalkül hin, weiterhin Druck auf Europa auszuüben.

Deutschland muss bei IT-Sicherheit aufrüsten

Die aktuelle Bedrohungslage kann sich auch auf Deutschland auswirken, wenngleich sie momentan nicht akut ist. Das zeigt umso deutlicher, wie dringend notwendig es ist, dass Deutschland beim Thema IT-Sicherheit aufrüstet. In den USA warnte man schon mehrfach vor möglichen Cyberangriffen durch iranische Hacker auf Kritische Infrastrukturen (KRITIS) — auch deutsche KRITIS kann ein interessantes Ziel sein.

Es ist daher Zeit, dass die Bundesregierung das IT-Sicherheitsgesetz 2.0 verabschiedet, das deutlich höhere Sicherheitsanforderungen an Kritische Infrastrukturen stellt, diese umfassender definiert, „Infrastrukturen im besonderen öffentlichen Interesse“ hinzufügt und BSI-zertifizierte Mindeststandards für Hardware definiert. Ebenso wichtig sind die drastisch höheren Geldbußen und weiteren Befugnisse des BSI. Für eine wirkliche Durchsetzung von IT-Sicherheit und Vertrauen brauchen wir aber ein vom Bundesinnenministerium unabhängiges BSI.

Konsequent auf defensive Cyberabwehrstrategie setzen

Hackergruppen aus Iran nutzten bereits mehrfach Sicherheitslücken, unter anderem in Microsoft Office, um die USA und ihre Alliierten auszuspionieren. Auch jetzt müssen die USA und ihre Bündnispartner mit Spionageattacken, Datendiebstahl, Distributed-Denial-of-Service-Attacken (DDoS) und den bereits erwähnten Angriffen auf Kritische Infrastrukturen und Desinformationskampagnen rechnen. Ansätze für Propaganda-Aktionen im Netz finden sich bereits. Sie laufen etwa unter dem Hashtag „#hardrevenge“ und können auch für Amerikaner und Amerikanerinnen, Israelis und Israelinnen, Juden und Jüdinnen, sowie Exil-Iranerinnen und -Iraner hier in Deutschland gefährlich werden, wenn Regime-Anhänger hierzulande Anschläge verüben. Es sei an dieser Stelle an das Mykonos-Attentat in Berlin von 1992 erinnert.

Die sich überschlagenden Ereignisse im Nahen und Mittleren Osten, angetrieben vom USA-Iran-Konflikt, verdeutlichen nochmals die Dringlichkeit, mit der sich Deutschland mit der Bedrohung durch Cyberangriffe beschäftigen sollte. Dabei sollten wir ausdrücklich nicht sogenannte „Hackbacks“ in Betracht ziehen, sondern konsequent auf eine defensive Cyberabwehrstrategie setzen. Zudem sollte die Bundesregierung alle ihr zur Verfügung stehenden Mittel der Diplomatie einsetzen, um Iran von Vergeltungsschlägen aller Art abzubringen. Auch von Cyberangriffen.

Dieser Artikel erschien zusammen mit dem Politikwissenschaftler und Experten für US-Außenpolitik, Dr. Payam Ghalehdar, am 7. Januar 2020 als Gastbeitrag im Tagesspiegel Background Digitalisierung & KI

Nie vergessen Du wirst, Jimmy!

Liebe Freundinnen und Freunde,

unser Gründungsmitglied, Ehrenvorsitzender, Freund und Vorbild Jimmy ist am 25. November 2019 leider viel zu früh verstorben. Bis zum Schluss hat er mit jede Menge Optimismus, seinem ganz eigenen Humor und seiner unvergleichlichen Hingabe für das gekämpft, was ihm wichtig war: Bürgerrechte, Digitale Mündigkeit und Freiheit.

Jimmy war aber auch niemand, der gewollt hätte, dass wir ihm lange nachtrauern. Stattdessen sollten wir uns an die schönen Dinge mit ihm erinnern. Und natürlich feiern.

Deshalb freuen wir uns, wenn ihr dabei seid:
Nie vergessen Du wirst, Jimmy!
Sonntag, 15. Dezember 2019
Ab 18 Uhr
c-base

Share your memories! Bring gerne deine Erinnerung mit und lass uns auf Jimmy anstoßen.

Für alle die möchten, haben wir ein digitales Kondolenzbuch eingerichtet.

Nachruf: Zum Tod von Jimmy Schulz

Wir trauern um unseren Weggefährten, Gründer und ehemaligen Vorsitzenden. Wir trauern um unseren Freund Jimmy Schulz. Nach langer schwerer Krankheit ist er im Alter von 51 Jahren am 25. November 2019 verstorben. 

Seinen großen Traum, beim Internet Governance Forum (IGF), das aktuell in Berlin stattfindet, über sein Herzensthema – die digitale Aufklärung – zu sprechen, konnte er sich leider nicht mehr erfüllen. Jimmy Schulz war ein Pionier der deutschen Digitalpolitik. Sein leidenschaftliches Engagement hierzulande, unter anderem durch die Gründung von LOAD e.V. – Verein für liberale Netzpoliik und durch seine Tätigkeit als Abgeordneter im Deutschen Bundestag und Vorsitzender des Ausschusses Digitale Agenda, wie auch international durch sein Engagement als Mitglied im ALAC der ICANN und anderen nationalen und internationalen Gremien, war einzigartig und prägend. Er engagierte sich in zahlreichen Organisationen und Initiativen und sprach sowohl bei kleinen studentischen Gruppen und lokalen  politischen Veranstaltungen über die Bedeutung der Freiheit im Internet, als auch auf großen internationalen Bühnen. 

Die Bedeutung und Notwendigkeit einer globalen, von Regierungen unabhängigen Governance war ihm schon früh ein Anliegen, für das er sich aktiv einsetzte. Dass erstmalig Parlamentarier aus aller Welt beim IGF zusammenkommen und über die Zukunft der digitalen Welt diskutieren, war eines seiner letzten großen Projekte. Als überzeugter Liberaler setzte er sich für Selbstbestimmtheit und Bürgerrechte im Digitalen ein. Das Recht auf Verschlüsselung und der Schutz der Privatsphäre waren nur zwei der Themen, die sein politisches Handeln bis zuletzt geprägt haben. 

Jimmy Schulz war ein Kämpfer mit unglaublichem Mut und schier unendlicher Energie – nicht nur im Umgang mit seiner Krankheit. Bis zu seinem Tod füllte er sein Bundestagsmandat aus und saß dem Ausschuss Digitale Agenda vor. Er ließ sich nicht von seinen körperlichen Einschränkungen abhalten. Viel mehr noch nutzte er seine Krankheit, um darauf aufmerksam zu machen, dass wir digitale Partizipationsmöglichkeiten brauchen, damit Menschen wie er am politischen und gesellschaftlichen Geschehen teilnehmen können. 

Jimmy Schulz konnte Menschen zusammenbringen und einen; ihnen und uns immer wieder das gemeinsame Ziel – eine digitale Zukunft zu gestalten, in der jeder selbstbestimmt im Sinne der kantschen Aufklärung agieren kann – vor Augen führen. Er bündelte Kräfte oft über Parteigrenzen hinweg, um Freiheit und Bürgerrechte zu sichern. Wir werden dies in seinem Sinne fortführen. 

Wir sind in Gedanken bei seiner Familie und Freunden.

Wir brauchen eine faktenbasierte Digital- und Medienpolitik. Regulierung von “Social Bots” im neuen Medienstaatsvertrag

“European tech policies need to be based on facts, not emotions.”, habe ich kürzlich in diesem Artikel über “Tech populsim” gelesen und ich stimme nicht mit allem in diesem Text überein, mit dieser Aussage aber zu hundert Prozent. Und sie gilt nicht nur für Digitalpolitik, sondern auch für viele andere Politikbereiche, aber ganz besonders für die Digitalpolitik. Das haben wir bei der DSGVO gesehen und das haben wir bei der Diskussion um die EU-Urheberrechtsreform, insbesondere Uploadfilter und Leistungsschutzrecht gesehen und das sehen wir jetzt wieder beim Medienstaatsvertrag und der Kennzeichnungspflicht von “Social Bots”.

“Social Bots” sollen Menschen auf Plattformen (vermutlich vornehmlich Twitter) manipulieren und ihnen eine andere Meinung aufdrängen. Gefunden wurden bisher noch keine — Michael Kreil und Florian Gallwitz haben dazu bereits ausführlich geschrieben. Der Entwurf des Medienstaatsvertrags definiert “Social Bots” in § 55 Abs. 3 wie folgt:

“Anbieter von Telemedien in sozialen Netzwerke sind verpflichtet, bei mittels eines Computerprogramms automatisiert erstellten Inhalten oder Mitteilungen den Umstand der Automatisierung kenntlich zu machen, sofern das hierfür verwandte Nutzerkonto seinem äußeren Erscheinungsbild nach für die Nutzung durch natürliche Personen bereitgestellt wurde. Dem geteilten Inhalt oder der Mitteilung ist der Hinweis gut lesbar bei- oder voranzustellen, dass diese unter Einsatz eines das Nutzerkonto steuernden Computerprogrammes automatisiert erstellt und versandt wurde. Ein Erstellen im Sinne dieser Vorschrift liegt nicht nur vor, wenn Inhalte und Mitteilungen unmittelbar vor dem Versenden automatisiert generiert werden, sondern auch, wenn bei dem Versand automatisiert auf einen vorgefertigten Inhalt oder eine vorprogrammierte Mitteilung zurückgegriffen wird.”

Das heißt, jeder Account, der das Profilfoto eines Menschen hat (und vermutlich auch einen Namen, der wirkt, als sei da ein Mensch) und automatisiert postet oder twittert, ist ein “Social Bot”. Aha. Heißt, sobald ich mit beispielsweise Hootsuite einen Tweet einplane, weil der aus welchen Gründen auch immer, zu einer bestimmten Uhrzeit getwittert werden soll, bin ich ein Social Bot? Dass dieser Tweet dann über Hootsuite auf Twitter ausgespielt wurde, steht übrigens schon jetzt unter jedem Tweet (wie auch dort steht, ob ich mit Twitter für iOS oder über Twitter im Browser getwittert habe) — aber dennoch fordern hier die Länder in ihrem Medienstaatsvertrag eine Kennzeichnungspflicht. Warum?

Schon heute zeigt Twitter an, über welchen Zugang ein Tweet gesendet wurde.

Über Erkenntnisse einer Manipulation über solche automatisiert erstellten Tweets findet sich übrigens nichts im Medienstaatsvertrag. Auch nicht in den Stellungnahmen, die eine Kennzeichnung befürworten (zu den Befürwortern zählen Deutscher Bundesjugendring, Digitale Gesellschaft (unter Vorbehalt) und VAUNET Verband Privater Medien) und vorab angefragt wurden. Es finden sich hier auch nicht wirklich Erklärungen, warum man diese Kennzeichnung befürwortet (beispielsweise schreibt der Deutsche Bundesjugendring lediglich “Die Social Bots in sozialen Netzwerken einzubeziehen macht Sinn.”) Und obwohl mehr Interessenvertreter eine Kennzeichnungspflicht ablehnen (dazu gehören eco Verband der Internetwirtschaft, Hans Bredow Institut, Verdi und ZDF, das Mainzer Medieninstitut hält die Kennzeichnungspflicht für juristisch nicht sinnvoll, politisch hingegen schon. Die restlichen Stellungnahmen äußern sich nicht zu § 55 Abs. 3) ist man hier dennoch der Meinung, dass eine Kennzeichnungspflicht solcher Accounts sinnvoll sei. Dabei kam selbst das Büro für Technikfolgenabschätzung beim Deutschen Bundestag zu der Erkenntnis: “Eine Kennzeichnungspflicht von Bots erscheint zum jetzigen Zeitpunkt u.a. aufgrund der Schwierigkeiten bei der zuverlässigen Detektion von Bots, mangelnder Sanktionierungs-möglichkeiten sowie von Konflikten mit dem Datenschutz eher ungeeignet.” Also: was bedarf es noch, um vor schwachsinniger, überflüssiger Regulierung abzuweichen? Hier wird wieder eine Regulierung gefordert, ohne das Problem verstanden zu haben. Ohne, dass evidenzbasierte Forschung besteht und ohne sich mit den wirklichen Problemen auseinander gesetzt wurde.

Photo by Viktor Hanacek, CC0

Die wirklichen Probleme sind nämlich sogenannte “Trolle”, also Menschen, die versuchen zu manipulieren oder Desinformationen zu verbreiten. Das hat man bereits sehr schön bei der “Internet Research Agency” aufgezeigt, die aus dem russischen St. Petersburg versuchte (und wahrscheinlich auch Erfolg hatte), beispielsweise Afroamerikaner durch destruktive Kommentierungen unter Videos auf YouTube davon abzuhalten zur Wahl zu gehen. Auch in Deutschland waren nicht automatisierte Bots unterwegs, als während des Kanzlerduells Stimmung auf Twitter gemacht wurde. Das hat Karsten Schmehl in diesem Artikel sehr schön aufgezeigt. Den kommt man aber nicht mit der Regulierung von Technologie bei. Es sind Menschen, die sich zu koordinierten Aktionen versammeln und versuchen, Stimmungen zu erzeugen oder zu manipulieren. Automatisch generierte Inhalte sind heute noch gar nicht in der Lage, vorzugaukeln, sie seien echte Menschen — insbesondere dann nicht, wenn es um Interaktion, d.h. Diskurs geht.

Was wir brauchen, sind bessere Daten(-zugänge) bei den Plattformen für Wissenschaftler:innen, um besser raus zu finden, wer wann wie manipuliert und ob überhaupt. Hier lohnt es sich, gesetzgeberisch einzuwirken. Der neuste Report des amerikanischen Senate Select Committee on Intelligence hat beispielsweise gerade herausgefunden, dass nicht in erster Linie bezahlte Anzeigen (so auch sogenannte “Dark Ads”) ein Problem darstellen, sondern ganz normale, organische Posts. Letztere insbesondere dann, wenn die von relevanten Personen geteilt wurden: “numerous high-profile” Americans, including Trump campaign aide Roger Stone, former ambassador to Russia Michael McFaul, and Fox News host Sean Hannity, “unwittingly spread IRA [Internet Research Agency] content by liking IRA tweets or engaging with other IRA social media content, enhancing the potential audience for IRA content by millions of Americans.

Probleme beim Thema Desinformation liegen nicht bei “Social Bots”, oder gar “Bots”. Manipulation erfolgt durch gesteuerte Kampagnen von Menschen oder durch unachtsames Teilen von Beiträgen durch Menschen des öffentlichen Lebens, unter anderem auch Politiker:innen. Hier hilft keine Regulierung von “Social Bots”, hier — und nicht nur hier — hilft nur eine faktenbasierte Regulierung, sofern denn notwendig.

Weil Angriff nicht die beste Verteidigung ist – LOAD Policy Brief zur Notwendigkeit einer defensiven Cyberabwehrstrategie

Die Gefahr durch Cyberangriffe ist real. So steht es schwarz auf weiß im jährlichen Lagebericht zur IT-Sicherheit  des Bundesamts für Sicherheit in der Informationstechnik (BSI). Nicht nur IT-Systeme der Bundesregierung sind im Visier der Angreifer, auch Unternehmen und Privatnutzer:innen sind in den vergangen Jahren vermehrt Opfer von gezielten Angriffen oder von Ransomware geworden. Vor diesem Hintergrund ist es begrüßenswert, dass die Politik über Antworten auf die Bedrohungsszenarien nachdenkt. Problematisch wird es allerdings, wenn Lösungen präsentiert werden, die sich an der Logik traditioneller Kriegsführung orientieren und davon ausgehen, dass Abschreckung funktioniere und präzise Gegenschläge mit eigenen Cyberwaffen möglich wären.  Ganz im Gegenteil ist bei sogenannten Hackbacks die Gefahr von Kollateralschäden und für Schäden an kritischer ziviler Infrastruktur hoch, falls man überhaupt mit Sicherheit feststellen kann, woher der Angriff stammt.

Foto: Viktor Hanacek (CC0)

Es ist daher müßig darüber zu sinnieren, welche Behörden und Ministerien im Falle eines Cyberangriffs einbezogen werden müssten und ob am Ende des Tages das Militär, eine Polizeibehörde oder der Bundesnachrichtendienst für die Ausführung von Hackbacks zuständig sein sollte.  Stattdessen muss Deutschland in eine strikt defensive Cybersicherheitsstrategie investieren und sich auf europäischer und internationaler Ebene für die Ächtung digitaler Waffen und für strategische Autonomie im Hard- und Softwarebereich einsetzen.

Als Zivilgesellschaft sind wir besonders betroffen, wenn Cyberschläge erfolgen. Zivile Einrichtungen wie Krankenhäuser oder andere kritische Infrastrukturen wie Kraftwerke können vom Feind genutzt werden, um einen Angriff durchzuführen. Da eine korrekte Attribution des Angreifers nicht möglich ist und er sich hinter diesen zivilen Einrichtungen “verstecken” kann, kann ein Gegenschlag immer auch zivile Infrastruktur treffen. 

Ebenso ist es problematisch, wenn Sicherheitslücken offen gehalten werden, um diese für Cyberangriffe zu nutzen und dann Ransom- oder Malware von Kriminellen diese Sicherheitslücken ausnutzt. WannaCry und NotPetya sind nur zwei solche Beispiele, die zeigen, dass es für die Zivilgesellschaft und Wirtschaft mehr als fatal ist, wenn Sicherheitslücken offen gehalten werden. Auch ein Management von Sicherheitslücken, ein sogenannter „Vulnerabilites Equities Process“, trägt nicht zur Sicherheit bei.

Die deutsche Sicherheitspolitik bedient sich nicht nur Sprachbildern, sondern auch Vorhaben, die dem militärischen Aufrüsten aus dem Kalten Krieg gleichen. Wir haben jedoch nicht nur den Kalten Krieg überwunden, wir sind auch in einer digitalen Welt angelangt, in der die Mechanismen aus dieser Zeit nicht mehr funktionieren. Politiker:innen müssen lernen und begreifen, dass Computercode nicht wie ein Panzer auf Militärparaden präsentiert werden kann. Abschreckung durch Präsentation der Waffen funktioniert hier nicht mehr. Sicherheitspolitik und Sicherheitspolitiker:innen müssen sich dringend mit diesen neuen Gegebenheiten beschäftigen und gewissenhaft und vorausschauend auf sie reagieren. Mit einem  Wett- und Aufrüsten mit Cyberwaffen tun sie dies nicht. 

Deutschland soll nicht Nichts tun. Neben höheren Investitionen in IT-Sicherheit, nicht  nur in kritische Infrastrukturen sondern auch in rechtliche Regelungen, wie zum Beispiel ein Recht auf Verschlüsselung, wäre schon einiges gewonnen. Daneben brauchen wir unbedingt Bildung – nicht  nur in der Schule. Von IT-Fachkräften über einfache Angestellten bis hin zu Führungskräften braucht es fortlaufende Fort- und Weiterbildungsprogramme, sowie mehr Professuren, die sich mit dem Thema IT-Sicherheit beschäftigen. Ebenso stünde es Deutschland sehr gut, sich aktiv auf internationaler Ebene für einen Digitalwaffensperrvertrag stark zu machen und eine “Digitale Genfer Konvention” zu initiieren. Das wird Cyberangriffe – erst recht nicht  von Kriminellen – nicht verhindern, eine internationale Ächtung dieser, ebenso wie bei ABC-Waffen, sollte aber unser Mindestanspruch sein. 

Cyberangriffen begegnet man, indem man ihnen keine Einfallstore bietet. Das geht nur mit höchsten Standards und der höchsten Priorität von IT-Sicherheit. Hierauf muss das Augenmerk der Bundesregierung liegen. Wenn Bürger:innen tagelang im Dunkeln sitzen, Chaos im Verkehr ausbricht und Menschen auf Intensivstationen nur noch mit Notstromaggregaten behandelt werden können, werden sie nicht fragen: “Warum habt ihr nicht zurück gehackt?” sondern “warum habt ihr uns nicht geschützt?”. 

LOAD verurteilt den Einsatz und die Bereitstellung jeglicher offensiver Wirkmittel im Cyberraum. Wir setzen uns stattdessen für eine strikt defensive Cybersicherheitsstrategie ein, denn wie wir in unserem Policy Brief darlegen, ist Angriff im Cyberraum nicht die beste Verteidigung.

Autoren:  Ruben Dieckhoff und Johannes Rundfeldt

Unser Policy Brief

Dieser  Beitrag  wurde zuerst im Tagesspiegel Background Digitalisierung & KI am 1. Oktober 2019 veröffentlicht. 

Kein „Wilder Westen“. Freiheit und Verantwortung im Internet

Das Internet ist ein Versprechen von Freiheit. Doch Freiheit funktioniert nicht ohne Verantwortung. Das Internet war noch nie Wilder Westen – ein Raum, in dem keine Gesetze, keine Regulierung gegriffen hätten. Dieses Internet existierte und existiert auch heute nicht im luftleeren Raum, sondern funktioniert nur durch Server und Übertragungsmittel, die auf staatlichem Territorium stehen und damit örtlichen Gesetzen unterliegen. Natürlich müssen Gesetze für das digitale Zeitalter angepasst werden, manche auch neu geschaffen werden, wenn erkannt wird, dass neue Möglichkeiten zum Nachteil der Gesellschaft genutzt werden. Grundlage hierfür sollten immer die Werte und Prinzipien sein, die wir bereits in der analogen Welt als unseren Maßstab ansetzen. Gute Regulierung, Verantwortung, für das Internet kann nur gelingen, wenn wir es als das betrachten, was es ist: ein weltweiter Verbund von Rechnernetzwerken. Leider schauen wir zu häufig ausschließlich auf Plattformen, die im Internet existieren und versuchen diese zu regulieren, als wären sie “das Internet”. Freilich tragen Plattformen Verantwortung und gehören reguliert. Aber die Regulierung der Plattformen darf eben nicht außer Acht lassen, dass das Internet weit mehr ist als diese.

Um über Freiheit und Verantwortung im Netz zu sprechen, möchte ich das Internet verlassen und den Blick auf die gesamte digitalisierte oder noch zu digitalisierende Welt richten. Uns begegnet hier zunehmend die Frage: Wie wollen wir im Zeitalter der Digitalisierung leben? Selbst Bundespräsident Frank-Walter Steinmeier appellierte an die Besucher des Evangelischen Kirchentags 2019, dass sie sich intensiver mit dieser Fragestellung auseinandersetzen und sich einbringen sollen. Die Digitalisierung stellt uns nicht vor gänzlich neue ethische Fragen. Sie stellt uns aber vor die wichtige Aufgabe, unsere Prinzipien und Wertvorstellungen mit in die digitale Welt zu nehmen und auf diese zu übertragen. Dass das nicht immer leicht ist und uns teilweise vor enorme Herausforderungen, aber auch Chancen stellt, ist nicht überraschend. 

Im Fokus dieser digitalisierten Welt stehen algorithmische Entscheidungssysteme, die häufig hochtrabend als Entscheidungen einer Künstlichen Intelligenz dargestellt werden, es aber selten sind. Wir diskutieren sehr viel darüber, was ein autonom fahrendes Auto dürfen soll und was nicht; setzen sogar – richtigerweise – eine Ethik-Kommission ein, die dem Gesetzgeber Vorschläge zur rechtlichen Gestaltung geben soll und dies auch tat. Es wurde eine Datenethikkommission eingesetzt, die die Bundesregierung zum ethischen Umgang mit Daten berät und eine High-Level Expert Group der Europäischen Kommission, die ethische Rahmenbedingungen für den Umgang mit Künstlicher Intelligenz bereits veröffentlichte. Wir diskutieren – völlig zu recht – inwieweit Algorithmen darüber entscheiden dürfen sollen, ob jemand ins Gefängnis kommt oder nicht. Ob Algorithmen besser und neutraler entscheiden, als Richter es können, oder ob sie nicht doch Vorurteile reproduzieren. Die Tendenz dieser Diskussionen ist meistens klar: Gerade schwerwiegende Entscheidungen, die Grundrechte oder das (weitere) Leben beeinträchtigen können, sollten möglichst abschließend von Menschen getroffen werden. 

Bei algorithmischen Systemen, bei denen wir heute sagen, dass wir sie nutzen wollen, um zum Beispiel eine weitere Grundlage für menschliche Entscheidungen zu haben, sprechen wir intensiv über Probleme durch einen Bias, also einer Verzerrung, über Transparenz, Nachvollziehbarkeit und die Qualität von Daten, mit denen dieses System trainiert oder schließlich gefüttert wird. Auch hier geht die Tendenz in die Richtung, dass wir als Gesellschaft Entscheidungen, die algorithmische Systeme für uns treffen, unbedingt nachvollziehen können müssen. So können wir sie nicht nur verstehen, sondern auch an entsprechenden Stellen Beschwerde einlegen, sodass automatisierte Entscheidungen von Menschen überprüft werden. Es geht hier um nichts weniger als den Schutz von Grund- und Bürgerrechten.

Verengen wir wieder unseren Blick und schauen auf das Internet, stellt sich nun die Frage, warum wir hier nicht mit der gleichen Vorsicht und Gewissenhaftigkeit vorgehen. Betrachten wir zum Beispiel auf die EU-Urheberrechtsrichtlinie. Ja, Uploadfilter stehen nicht im Gesetzestext. Das tut aber wenig zur Sache, wenn klar ist, dass nur durch technische Hilfsmittel, durch Algorithmen, im Volksmund eben auch Uploadfilter genannt, Gesetze umgesetzt werden können. Da helfen keine nationalen Alleingänge, die Uploadfilter verbieten und Pauschallizenzen verpflichtend machen wollen. Uploadfilter sind nichts anderes als algorithmische Systeme, die abgleichen, ob für urheberrechtlich geschütztes Material, das auf eine Plattform hochgeladen wird, eine Lizenz vorhanden ist, oder ob eine der zahlreichen urheberrechtlichen Schranken greift. So zum Beispiel eine für Satire oder eine Parodie. Dass Technologie dies heute überhaupt leisten kann, wird von allen Experten stark bezweifelt. 

Nun könnte man sagen, es kann auch hier Beschwerdestellen geben, sodass ein Mensch die Entscheidung des Uploadfilters überprüfen muss. Das ist richtig. Bei der Menge an Material, das auf Plattformen hochgeladen wird – alleine auf YouTube sind es 400 Stunden pro Minute(!) – bei der Vielzahl an Sprachen, Dialekten, Slang, Insider-Witzen und sonstigen Informationen, die zur Einordnung – sei es durch Mensch oder Algorithmus – notwendig sind, ein schier unmögliches Unterfangen. Es würde nicht nur auf eine unermessliche Summe an algorithmischen Fehlentscheidungen hinauslaufen, sondern auch auf eine durch den Menschen. Von der zeitlichen Verzögerung bis zu einer Entscheidung und damit rechtmäßigen Publikation eines Beitrags auf einer Plattform, ganz zu schweigen.

Wo blieb und wo bleibt bei der Diskussion über das Internet und Plattformen, die Debatte um die Auslagerung Grundrechte betreffender Entscheidungen an algorithmische Systeme? Wir führten sie nicht und das, obwohl das Thema Ethik, die Frage nach dem guten Leben im digitalen Raum, gerade bei so vielen politischen Institutionen auf der Prioritätenliste steht. Algorithmische Entscheidungen, die die Freiheit von so vielen – hier im Speziellen die Meinungs- und Informationsfreiheit – einschränken, dürfen wir nicht zulassen. Der Erhalt und der Schutz von Urheberrechten im digitalen Raum ist wichtig und notwendig. Doch noch wichtiger ist der Erhalt von Bürgerrechten. Die Abwägung zwischen Rechtsgütern ist nichts für Algorithmen, sondern für Menschen mit entsprechender Ausbildung und Legitimation. Und auch, wenn wir Technik einsetzen dürfen, um Rechte bestmöglich zu schützen, dürfen wir algorithmischen Systemen und privatwirtschaftlichen Beschwerdestellen nicht Aufgaben übergeben, über die wir in der analogen Welt Gerichte urteilen lassen, gerade weil Sachverhalte häufig komplexer sind als eine Abfolge von Einsen und Nullen. 

Wie viel uns daran liegt, die europäischen Werte zu erhalten und zu verteidigen, zeigt sich besonders hier, im Internet. 

 

Dieser Beitrag erschien zu erst in der Politik & Kultur (Ausgabe 9/2019) des Deutschen Kulturrats.

Digitale Bildung: Probleme lassen sich nicht lösen, wenn wir nur auf die Schulen schauen. Brauchen wir eine Bundeszentrale für digitale Bildung?

Verbreitung von Desinformation, fehlendes Bewusstsein für Cybersicherheit – bei Problemen im Digitalen fordern wir fast immer eine Sache: mehr Bildung. So weit so richtig. Der Umgang mit (digitalen) Medien, der sichere Umgang im Netz, die Gefahren von Identitätsdiebstahl, Doxing, Social Engineering, usw. müssen dringend Bestandteil schulischer Bildung sein. Vergessen dürfen wir hier auch nicht die beruflichen Schulen und Universitäten. Doch wir machen es uns zu leicht, wenn wir die teils enormen Probleme mit der Verbreitung von Desinformation und menschlichem Fehlverhalten vorm Computer auf “die jungen Leute” abschieben.

Die Generation Y lernte das Netz beim Aufwachsen kennen, die Generation Z wuchs und wächst digital auf. Für die Generation X, die Babyboomer und alle noch älteren hingegen, ist das Netz wirklich Neuland. Das soll gar nicht abwertend gemeint sein, aber sie sind diejenigen, die erst in späteren Lebensjahren gelernt haben, dass Gefahren im Netz lauern können, dass Menschen online deutliche einfacher und im hohem Maße Identitäten stehlen und sie missbrauchen können. Dass nun jeder Informationen erstellen und sie verbreiten kann und es keine Gatekeeper mehr gibt, die alleinig Informationen verbreiten können. Wenn wir also davon sprechen, dass wir uns mit Bildung vor Gefahren im Netz schützen müssen, dann müssen wir auch darüber sprechen, wie wir die breite Masse der Bevölkerung – eben alle, die schon im Arbeitsleben sind, oder bereits wieder aus ihm ausgeschieden sind – erreichen können. Schließlich ist die Altersgruppe von 45 bis 55 Jahre mit 86,8 Prozent die zahlenmäßig stärkste Alterskohorte unter den Erwerbstätigen und die von 55 bis 65 Jahre mit 71,5 Prozent die drittstärkste (Stand 2018). Legt man darüber die Zahlen des Bitkom, die zeigen, dass mittlerweile jeder zweite Arbeitnehmer einen Computer am Arbeitsplatz hat und jeder dritte ein mobiles Gerät mit Internetzugang, verdeutlicht sich nochmal das Problem.

Eine Studie der Universitäten Princeton und New York unter Amerikanern zeigte, dass Nutzerinnen und Nutzer soziale Medien über 65 sieben Mal so häufig Falschmeldungen teilen, als 18- bis  29-Jährige. Die Studie begründet dies mit mangelnder digitaler Medienkompetenz  und einem schlechteren Erinnerungsvermögen. Wenn man nun bedenkt, dass das größte soziale Netzwerk Facebook im Jahr 2017 einen Nutzerzuwachs von 23 Prozentpunkten bei über 60-Jährigen verzeichnen konnte (weltweit) und immer mehr Menschen über 60 WhatsApp nutzen (in Deutschland 52% der über 60-Jährigen, Stand 2017) und Falschnachrichten nicht nur über soziale Netzwerke, sondern insbesondere über Messenger eine zunehmende Verbreitung finden, dann stehen wir vor einer enormen gesellschaftlichen Herausforderung, die eben nicht lediglich mit Konzepten für schulische Bildung in der Zukunft gelöst werden kann.

Und Falschnachrichten in Form von Text sind schon heute nicht mehr das größte Problem. Manipulierte Bilder oder in falschen Kontext gesetzte Bilder grassieren bereits jetzt zu Hauf. Ebenso darf das Manipulationspotential durch Memes, Trolle und dergleichen nicht unterschätzt werden. Doch die viel größere Bedrohung steht mit sogenannten DeepFakes ins Haus: Manipulierte Videos, die Nacktaufnahmen bzw. pornografisches Material vornehmlich von Frauen darstellen, oder Aufnahmen, die mit neuem Ton und damit auch Inhalt unterlegt werden, wobei auch die Mimik des Sprechers verändert wird und so ganz neue, nie getätigte Aussagen entstehen können. Das Missbrauchspotential dieser Technologie ist riesig und der Fall eines verbreiteten manipulierten Video der amerikanischen Kongressabgeordneten Nancy Pelosi und dessen Weiterverbreitung von diversen Politikern unter anderem auf Twitter zeigt, dass Gesellschaften noch nicht bereit sind, für einen Umgang mit dieser Art der Desinformation. Für Ältere, die sich nicht tagtäglich mit digitalen Tools – sei es auch nur zum Spaß – beschäftigen, die demonstrieren, wie Bilder und Videos manipuliert werden können, ist dies ein erhebliches Problem. Jüngere Nutzer kennen dies häufig, und sei es nur durch Filter oder Ähnliches auf Instagram, Snapchat oder TikTok.

Wie also umgehen mit dieser Problematik? Wie so oft: es gibt kein Patentrezept. Es ist aber dringend angebracht, dass sich Politik, Zivilgesellschaft und auch Unternehmen mit dieser Problematik auseinandersetzen. Unternehmen sollten ein eigenes Interesse daran haben, dass ihre Mitarbeiter lernen, Desinformation und DeepFakes von echten Informationen zu unterscheiden. Verbreiten Mitarbeiter solche, kann das nicht nur dem Ansehen des Unternehmens schaden, es schadet auch der Sicherheit des Unternehmens, wenn Mitarbeiter dubiosen Informationen trauen und sich womöglich Schadsoftware einfangen. Die Politik könnte hier mit der finanziellen Förderung entsprechender Fortbildungen unterstützen.

Bildung ist aber auch ein staatlicher Auftrag. Warum also nicht über eine Bundeszentrale für digitale Bildung, analog zur Bundeszentrale für politische Bildung nachdenken? Thematisch gäbe es hier weitaus mehr, als die Themen Desinformation und Cybersicherheit. Datenschutz bzw. der Umgang mit Daten wird immer essentieller. Von den Datenspuren durch surfen im Netz bis hin zum Umgang mit den eigenen, hochsensiblen Gesundheitsdaten. Vom Verständnis über Algorithmen bis hin zu Künstlicher Intelligenz. Themen gäbe es genug und ihre Bedeutung nimmt rasant zu.

Finnland hat dies schon erkannt und führt umfassende Bildungsmaßnahmen durch. Das Land hat durch die Grenze zu Russland schon seit Jahrzehnten mit Desinformationskampagnen zu kämpfen und daher eine ganzheitliche, nachhaltige Strategien entwickelt, um Finnlands Bürgerinnen und Bürger dagegen zu immunisieren. Manipulation durch Desinformation wird hier als ein gesamtgesellschaftliches Problem gesehen, gegen das man bereits im Kindergarten, aber auch und vor allem in späteren Lebensjahren vorgehen muss. “It’s not just a government problem, the whole society has been targeted. We are doing our part, but it’s everyone’s task to protect the Finnish democracy,” sagt zum Beispiel Jussi Toivanen, der Erwachsene in Finnland unterrichtet. Doch auch bei der breiten Aufklärung über Künstliche Intelligenz ist Finnland Vorreiter. Ein Pilotprojekt sollte ein Prozent der Finnen Grundlagen über Künstliche Intelligenz vermitteln.Die ersten Teilnehmerinnen und Teilnehmer wurden zufällig ausgewählt. Das Thema wurde digital und niedrigschwellig vermittelt, sodass es jede und jeder verstehen kann. Der Ansatz dahinter: wenn Menschen die Prinzipien von Künstlicher  Intelligenz verstehen, haben sie weniger Angst vor ihr und mehr Interesse an dessen Nutzung und damit auch der Ausgestaltung. Das Vorhaben ging auf. Heute ist der Kurs für jeden zugänglich und kostenlos nutzbar. Unternehmen und der Staat nutzen ihn, um Mitarbeiterinnen und Mitarbeiter fortzubilden, aber auch das Interesse unter den Bürgerinnen und Bürgern, die bisher keinen beruflichen Bezug zum Thema hatten, ist enorm. Ein wichtiger Schritt für Finnlands Ziel, Europas Nummer eins in der KI-Forschung zu werden.

Eine ähnliche Bildungsstrategie braucht es auch für Deutschland, denn die Probleme werden nicht weniger. Bei unserem EU-Partner können wir dafür genügend Inspiration und Lösungsansätze finden. Wichtig ist nur, dass sowohl Politik, als auch Zivilgesellschaft und Unternehmen anerkennen, dass fehlende digitale Bildung kein Problem von jungen Menschen ist, sondern von uns allen.

Dieser Artikel erschien zuerst bei der Friedrich-Naumann-Stiftung für die Freiheit.

Photo by Nicole De Khors from Burst