Archiv der Kategorie: Blog

Versteckte Funktion des nPA – sicherer Login bei Facebook, Google & Co

Im elektronischen Personalausweis (nPA), sind viele neue Funktionen eingeführt worden. Darunter zum Beispiel auch die Online Ausweisfunktion, die jeder von uns kennen sollte. Was viele nicht wissen ist, dass der neue elektronische Personalausweis auch noch weitere Funktionen mit sich bringt, die das arbeiten und surfen mit Internet sicherer machen können. 
Unser Mitglied Ijon, hat sich in den letzten Jahren schon vermehrt mit dem Thema eGovernment, sowohl beruflich aus auch privat, auseinandergesetzt. Seit im November 2010 der neue Personalausweis eingeführt wurde, hat er sich, wie viele andere, intensiv damit auseinandergesetzt und sich mit den technischen Möglichkeiten beschäftigt.
Aufgrund der schlechten Kommunikation durch die Bundesregierung und der weiteren zuständigen Stellen, konnten sich die umfassenden digitalen Funktionen des Personalausweises bisher nur wenig verbreiten.
 
Während eines Gesprächs mit einem Freund fand Ijon heraus, dass einer seiner Freunde an dem nPA mitentwickelt hat und das es sogar Funktionen gibt, die bisher überhaupt nicht kommuniziert wurden. Der neue Personalausweis kann dank dieser Funktion nicht nur „als digitaler Ausweis“ fungieren, sondern auch als Teil einer ZweiFaktorAuthentifizierung. Dadurch ist es möglich den Personalausweis zu nutzen um sich auf OnlinePlattformen wie Google oder Facebook anzumelden. Dabei nutzt man den Personalausweis als zusätzlichen Faktor, neben dem Passwort, um sich anzumelden und erzielt damit eine deutlich besseren Schutz der eigenen Onlinekonten.
 
Diese Funktion ist deswegen besonders, weil sie datensparsam und datenschutzfreundlich implementiert wurde. Zu keinem Zeitpunkt bekommt die Plattform, bei der der Personalausweis auf diese Weise eingesetzt wird, Zugriff auf personenbezogene Daten, denn der Personalausweis generiert für jede neue Plattform eine eigene pseudonyme Identität, die sich nicht rückführen lässt auf den Personalausweisinhaber.  
Diese Funktion basiert auf einem Internationalen technischen Standard mit dem Namen „FIDO“ (Fast IDentity Online), den auch weitere private und staatliche Institutionen verwenden. Unternehmen und Organisationen, die den FIDO-Standard unterstützen und weiterentwickeln haben sich in der FIDO Alliance: https://fidoalliance.org/members zusammengeschlossen.
 

Da Ijon auch sonst gerne Videos produziert, hat er zusammen mit seinem Freund Christian ein Video gedreht, welches diese bisher noch unbekannte Funktion demonstriert und die Einrichtung des Systems dokumentiert.

Tracking-App: Was in der Debatte bisher fehlt

In der Diskussion um eine Tracking-App zur Rückverfolgung von Kontakten geht es um Privatsphäre und IT-Sicherheit. Dabei müsste eigentlich der Mensch im Zentrum stehen, fordern Christin Schäfer von acs plus und Ann Cathrin Riedel von LOAD. Hilft die Information auf diesem Weg? Was sind die Folgen für den Einzelnen?

Bisher fokussiert sich die Diskussion zur Ausgestaltung einer möglichen App zur Rückverfolgung von Kontakten auf Datenschutz und IT-Sicherheit. So wichtig diese Aspekte sind, wird damit ein Kernelement des Systems vergessen: der Mensch. Ganz unabhängig von der Maßnahme, muss der Mensch im Mittelpunkt stehen. Nehmen wir an, eine App kann die notwendigen Anforderungen an Datenschutz, Privatsphäre und IT-Sicherheit erfüllen, dann lautet eine wesentliche Ausgestaltungsfrage: wie kommuniziert die Corona-App mit den Menschen? Wie wird das Ergebnis konkret mitgeteilt? Ein mögliches Infektionsrisiko mittels einer App zu berechnen ist das eine. Das Ergebnis dieser Berechnungen mitzuteilen, ist etwas ganz anderes. Gesundheit und Wohlergehen hat auch eine psychische Komponente, die bei der Ausgestaltung des Gesamtsystems rund um eine Maßnahme nicht vergessen werden darf.

Photo by Shopify Partners from Burst

Eine wesentliche Frage beim Design, nicht nur einer App lautet: wie geht der Empfänger oder die Empfängerin mit einer solchen, kritischen Nachricht um? Insbesondere, wenn diese im Wirrwarr von allen andere möglichen Push-Mitteilungen auf dem Smartphone erscheint; zwischen WhatsApp-Nachrichten, den neuesten „Breaking News“ und der Erinnerung an einen Termin.

„Sehr geehrte Nutzerin, sehr geehrter Nutzer, wir haben bei Ihnen ein Covid-19 Risiko von 69% ermittelt. Freundliche Grüße, Ihr App-Anbieter.“ Unpersönlicher und weniger empathisch können schlechte Nachrichten nicht überbracht werden.

Was wissen wir über die Vermittlung dieser Art von Nachricht zum Beispiel aus dem Bereich der Krebsvorsorge? Ein Infekt mit Corona ist zum Glück kein Todesurteil. Aber für einige Personengruppen kommt es einem solchen schon erschreckend nahe. Wer älter, geschwächt und vielleicht zeitlebens mit Lungenproblemen gestraft ist, weiß, was die Stunde geschlagen hat. Zudem: nur wenige Menschen können mit Wahrscheinlichkeiten umgehen. Fragen Sie sich doch mal selber: bei einer Regenwahrscheinlichkeit von 60% – nehmen Sie den Regenschirm mit oder lassen Sie ihn zuhause? Ist ein „Risk Score“, dessen Ableitung unklar ist, eine kluge Wahl in der Mitteilung an den Nutzer der App? Werden sich nicht viele vor allem verunsichert fühlen?

Eine persönliche Ansprache bei der Meldung ist außerdem nicht möglich – soll die App doch anonym nutzbar sein. Wie sicher kann sich der Nutzer oder die Nutzerin sein, dass hier nicht ein Fehler passierte? Dass eigentlich eine andere Person diese Mitteilung bekommen sollte? Solch fehlgeleitete Informationen sind nicht auszuschließen. Vor allem dann nicht, wenn eine App neu ist und nicht ausreichend getestet wurde.

Quarantäne muss man sich leisten können

Der gesamte Budenzauber mit allen hingenommenen Einschränkungen der Privatsphäre, so freiwillig sie auch sein mögen, bringt nichts, wenn sich zu wenige beteiligen und insbesondere wenn das Ergebnis der App zu nichts führt. An Nachrichten zu potentiellen Infizierungen müssen sich vielfältige und personalisierte Maßnahmen anschließen.

An die Benachrichtigung muss notwendig der zeitnahe und aufwandsarme Zugang zu Tests folgen. Hierzu sind die Testkapazitäten aufzubauen. Es muss geklärt werden, was passiert, wenn sich Alleinerziehende anstecken. Wer kümmert sich – auch in Phase des Wartens auf das Testergebnis – um die Kinder? Wie verfahren Familien, bei denen sich ein Elternteil angesteckt hat, aber die Wohnverhältnisse eine Separierung nicht zulassen? Die Benachrichtigten sehen sich schweren emotionalen Konflikten ausgesetzt. Die eigenen Kinder womöglich gefährden? Die eigenen Kinder Dritten überlassen? Wem? Wer zahlt? Wer organisiert? Es muss sichergestellt werden, dass man sich die Tests, Wartezeiten und Quarantäne auch leisten kann; nicht nur finanziell.

Es bedarf zudem einer gesonderten Regelung für den Umgang von Fehlzeiten für Arbeitnehmer und Arbeitnehmerinnen. Gerade Personengruppen, die bei ihrer Arbeit viel reisen oder viel Publikumsverkehr ausgesetzt sind, werden häufiger im Covid-19-Alarm leben. Diese Alarme kommen überraschend und sind nicht planbar. Es ist davon auszugehen, dass sie zu signifikant erhöhten Fehltagen im Vergleich zu anderen Gruppen von Erwerbstätigen führen. Besonders hart betroffen sind zudem Solo-Selbständige, deren Verdienstausfälle existenziell bedrohlich sein können.

Die gesamte Gesellschaft muss sehr schnell lernen, flexibel und positiv mit kurzfristigen Absagen von Terminen umzugehen. Handwerker sagen am Morgen wegen eines Covid-19 Alarms ab. Die Wartungsarbeiten an einer Maschine müssen kurzfristig verschoben werden. Der Friseurtermin entfällt. Die Reihe ist definitiv nicht abschließend.

Der Zugang zu Lebenschancen darf nicht von sozio-ökonomischen Faktoren abhängig sein

Gut aufgesetzt kann eine Corona-App eine Maßnahme für die Überwindung der Krise sein. 79% der Deutschen besitzen ein Smartphone und haben damit die Chance, eine solche App zu nutzen. Der Zugang zu einer Corona-App darf jedoch nicht von sozio-ökonomischen Faktoren abhängig sein. Allen Bürgern und Bürgerinnen sollte es möglich sein zu partizipieren, Meldungen zu einer möglichen Infektion zu erhalten, um daraufhin geeignete Maßnahmen – Lebenschancen – zu ergreifen und wahrzunehmen.

Dies bedeutet, dass ein Smartphone und ein Internetvertrag zur Grundversorgung eines jeden Einzelnen gehören müsste. Es gilt vorab zu klären, welche Möglichkeiten Smartphone Besitzer:innen haben, deren Gerät nicht die notwendige Bluetooth LE oder GPS-Technologie hat oder auf einem älteren Betriebssystem läuft, das die App nicht unterstützt. Was ist mit denjenigen Mitbürgern und Mitbürgerinnen, die noch zu jung für ein eigenes Smartphone sind, oder allen, die die Benutzung überfordert? Wie inkludieren wir Menschen mit geistigen oder körperlichen Beeinträchtigungen? Welche Möglichkeit der Teilhabe erhalten ausländische Touristen und Geschäftsreisende?

Europäische Herausforderungen

Die Bedrohung durch das Coronavirus besteht weltweit. Kein Nationalstaat, keine Region wird im Alleingang in der Lage sein, sein Gebiet zu schützen. Wie bei jeder Maßnahme bedarf es der Absprache mit Nachbarn und Partnern, damit die Wirksamkeit sich einstellen kann. Dies gilt auch und insbesondere für eine datengetriebene Technologie, wie eine Corona-App. Es wird eine Anwendung für ganz Europa, besser sogar die ganze Welt benötigt, die einheitliche Standards für Daten und Austauschprotokolle verwendet. Dagegen können Berechnungsmethodiken, etwa für Abstand und Risiko, länderspezifisch als Service angeboten werden. Unsere Aufgabe besteht darin, ein System aufzusetzen, dass eben nicht nur für deutsche Bürgern und Bürgerinnen Mehrwert liefert, sondern auch die Bürger und Bürgerinnen in Staaten schützt und ermächtigt, deren Gesellschaft weniger demokratisch und weniger rechtsstaatlich ist. Wir dürfen autokratischen Regimen keinen Corona-App-Standard präsentieren, der es den Staatschefs leicht macht, ihr Volk zu überwachen und zu drangsalieren.

Es geht nicht um Verhinderung, sondern Ermöglichung

Für all diese beschriebenen Herausforderungen haben wir heute noch keine Lösungen. Vor allem, weil wir noch nicht nach ihnen gesucht haben.

Es geht uns nicht darum, eine sinnvolle Corona-App-Lösung zu verhindern, sondern vielmehr, sie herbeizuführen. Zunächst ist dafür aber der Nachweis zu erbringen, dass eine digitalisierte und automatisierte Kontaktverfolgung helfen kann, die Infektionszahlen signifikant zu senken. Dann sind die weiteren Designdetails zu klären. Wie die Ausführungen verdeutlichten, kann eine kurzfristig und schnell aufgesetzte App die in sie gesetzten Erwartungen nur verfehlen. Daher plädieren wir dafür, ein solches datengetriebenes System zur Information über einen potenziellen Infekt sauber, durchdacht und im Verbund mit einem abgestimmten Maßnahmenpaket  zu entwickeln, welches uns auf dem langen Weg zurück in eine Normalität, wie sie vor Corona-Zeiten bestand, begleitet.

Christin Schäfer ist Gründerin und Geschäftsführerin der Berliner Data Science Boutique „acs plus“. Die studierte Statistikerin war Mitglied der Datenethikkommission der Bundesregierung. Ann Cathrin Riedel ist Vorsitzende von LOAD e.V. – Verein für liberale Netzpolitik.

Dieser Beitrag erschien zuerst im Tagesspiegel Background Digitalisierung & KI am 8. April 2020.

Sicheres Home Office – Nicht nur während Corona

Plötzlich Home Office! Um der Corona-Krise Herr zu werden, motivieren offizielle Stellen permanent die Bevölkerung zu Hause zu arbeiten, wenn es denn möglich ist. Home Office ist auch ohne Krise eine Herausforderung und bedarf einiger Gewöhnung, bevor man die damit verbundenen Vorteile ausnutzen kann. Jetzt aber plötzlich alle auf einmal! Über die damit einhergehenden Herausforderungen für die IT-Sicherheit, wurde schon viel geschrieben u.a. [1 – 4]. 

 

 

Um im allgemeinen Chaos etwas für Durchblick zu sorgen, hat LOAD für Euch das Wichtigste zusammengefasst! 
Wie immer gilt, IT-Sicherheit ist kein Hexenwerk! Genauso wie man sich vor einer Viruserkrankung mit Händewaschen einfach schützen kann, helfen ein paar einfache Regeln, nicht Opfer von Cyber-Kriminellen zu werden. 
Im Home Office gibt es generell zwei Kategorien von Gefahren: Gefahren durch die häusliche Umgebung (Arbeitszimmer mit Fenster zur Straße) und  Wegfall der üblichen Sicherheitsmaßnahmen der Firma (z.B. die gut konfigurierte Firewall). 
Im Folgenden haben wir zuerst drei generelle Regeln für Euch zusammengefasst und geben danach eine detaillierte Liste. 

 

Generelle Prinzipien (aka. TL;DR): 

1. Vorsicht vor Betrug! (Watch out for scam!) 

Eine Menge Kriminelle versuchen die aktuelle Verwirrung auszunutzen und geben sich als Gesundheitsbehörden oder WHO aus. Potentielle Anhänge solcher E-Mails haben durchaus mit dem Ausbreiten von Viren zu tun, aber dann digitalen 😉 .
Auch ist zu beobachten, dass es super günstige Angebote für weggehamsterte Lebensmittel oder Medikamente gibt – nur für Dich – wohlgemerkt. 

 

Betrug – besonders online – funktioniert immer durch die Kombination vermeintlicher Autoritäten oder Institutionen (Behörden oder auch der Arbeitgeber), einem vermeintlichen Problem und starkem Zeitdruck. 
Wenn man das Muster kennt, ist es auch einfach, nicht darauf hereinzufallen. 

 

Wenn ein Kollege von seiner vermeintlichen privaten E-Mail-Adresse Dir eine E-Mail schreibt mit der Anforderung von Zugangsdaten oder anderen sensiblen Daten und das mit einem dringenden Termin begründet, solltest Du sehr skeptisch sein. In der Firma könnte man einfach zum Büro des betroffenen Kollegen gehen und nachfragen. Im Home Office ist das natürlich schwieriger. Trotzdem müssen solche Anfragen, so seriös, authentisch oder dringend sie auch sein mögen, immer über einen anderen Kanal verifiziert werden! Zum Beispiel kann man den Kollegen ja auf seinem Dienst-Handy anrufen, dafür ist immer Zeit. 
In Ausnahmesituationen wie der jetzigen ist es umso wichtiger, sich an die etablierten Freigabe- und Entscheidungsprozesse zu halten. Die einfache Tatsache, dass das jetzt nicht durch einen Gang über den Flur erledigt werden kann, ändert daran nichts. 
Wichtig wäre daher auch, von vornherein mehrere Wege zu haben, die Kollegen im Homeoffice zu erreichen. 

 

2. Software auf dem aktuellen Stand halten (Keep your devices updated)

Die Analogie zum Händewaschen in der digitalen Hygiene sind Softwareupdates! Die allermeisten Viren funktionieren auf Systemen mit aktueller Software nicht. 
Also, genauso wie Händewaschen solltet Ihr eure Geräte häufig aktualisieren. 

 

3. Achte auf deine Surf-Gewohnheiten: (Mind your browsing habits)

Mal kurz den Link aus der Freundes-WhatsApp-Gruppe mit dem Arbeitslaptop öffnen? Eher nicht! 
Neben E-Mail-Anhängen sind infizierte Internetseiten eine große Gefahr, um sich digitale Viren einzufangen. 

 

In der Firma sorgen oft die Administratoren (in ihren Ecken und Kellern) dafür, dass die Firmen-Firewall das rechtzeitig erkennt und den Schadcode blockiert, bevor er den Browser erreicht. 
Im Home Office hat man diesen Schutz häufig nicht (sei es, weil das VPN so nicht eingerichtet ist, das VPN plötzlich überlastet ist, oder es kein VPN gibt). 
Daher sollte man jetzt darauf achten komische, unseriöse oder unbekannte Webseiten nicht zu besuchen. Auch ist es vielleicht besser den privaten Gebrauch des Dienstlaptops generell einzuschränken, selbst wenn es die Firma erlaubt. 
Generell ist es eine gute Regel, nur Seiten mit einer verschlüsselten Verbindung (d.h. HTTPS) zu besuchen.

 

Nach den generellen Prinzipien noch 13 etwas genauere Regeln: 

  1. Ihr solltet die allgemeinen Geheimhaltungs- und Vertraulichkeitspflichten immer einhalten.
  1. Betriebliche Informationen und personenbezogene Daten dürfen auf gar keinen Fall unberechtigten Dritten zur Kenntnis gelangen. 
  1. Unbefugte Personen dürfen keinen Zugriff erhalten. 
  1. Die Datenträger müssen verschlüsselt und passwortgeschützt sein. 
  1. Fragt Eure IT-Abteilung, bevor ihr neue Tools (z.B. Dropbox, Google Docs, Trello) etc. verwendet! Auch wenn es so bequem wäre… ([1] hat dazu auch eine gute Liste).
  1. Ebenso sollten Bildschirme immer gesperrt werden, wenn nicht mehr davor gearbeitet wird. (Nicht, dass noch jemand (evtl. das eigene Kind) mit Geschäftspartnern chattet…) 
  1. Wenn möglich, sollte das Firmen-VPN so oft und lange wie möglich verwendet werden. 
  1. Noch besser ist, wenn Laptops nur als Bildschirm und Tastatur dienen und per VPN eine Verbindung zum betriebseigenen Server hergestellt wird. So kann sichergestellt werden, dass betriebliche Informationen und personenbezogene Daten nicht auf den mobilen Geräten gespeichert werden und im Extremfall unwiederbringlich verloren sind.  
  1. Die Clean Desk Policy gilt insbesondere zu Hause.
  1. Die Vertraulichkeit bei Telefon-, Videogesprächen und Webkonferenzen muss sichergestellt sein: Achtung bei Alexa, Siri und Co. Denn digitale Assistenten hören und sehen alles mit. Diese sollten sich auf keinen Fall in der Nähe des Arbeitsplatzes befinden. 
  1. Es muss sichergestellt sein, dass für den Bildschirm ein Sicht- und Blickschutz gilt, bspw. durch Blickschutzfolien und durch ein entsprechendes Platzieren. Vorsicht ist ebenfalls geboten, wenn mit dem Rücken / Bildschirm zum Fenster hin gearbeitet wird.  
  1. Achtung bei der Nutzung von Netzwerkdruckern, auf die auch andere Personen Zugriff haben. Erstens, weil die Ausdrucke sofort entfernt werden müssen und zum anderen, weil auf den Festplatten der Drucker alle Informationen gespeichert bleiben, sei es auch nur verschlüsselt.  Ausdrucke und Notizen sollten vernichtet oder nach Beendigung der Arbeit verschlossen werden.  
  1. Am besten wäre es, wenn man in einem abschließbaren Raum arbeiten kann. Da sich aber die wenigsten den Luxus eines Arbeitszimmers leisten können, sind in Zeiten von Krisen hier Abstriche notwendig. Auf andere Sicherungsmaßnahmen darf aber auf gar keinen Fall verzichtet werden, auch der Sichtschutz auf den Bildschirm muss weitest möglich gesichert sein.  
Bleibt gesund und achtet auf Hygiene…digital wie analog! 

 

Quellen: 

 

Diese Liste wurde von Julia Kunzmann und Burkhard Ringlein für Euch zusammengestellt. 

Freiwilligendienst für IT-Sicherheitsvorfälle – Das Cyber-Hilfswerk

Die Mitglieder des LOAD e.V. engagieren sich auf vielfältige Weise – nicht nur bei LOAD, sondern auch in anderen Organisationen und Gruppen. Unser Mitglied Johannes ‚Ijon‘ Rundfeldt hat zusammen mit anderen 2018 die AG KRITIS gegründet. In der unabhängigen Arbeitsgruppe KRITIS haben sich inzwischen mehr als 40 Fachleute und Experten für KRITIS zusammen gefunden, mit dem Ziel die Resilienz unserer kritischen Infrastrukturen zu stärken.

Die AG KRITIS ist zum Schluss gekommen, dass das Risiko einer Großschadenslage durch kompromittierte IT-Systeme stark gestiegen ist. Eine Mangelversorgung kann durch Kompromittierung oder Störungen an informationstechnischen Systemen auftreten. Wenn die Versorgung nicht mehr flächendeckend mit Strom, Wasser, Gas und anderen kritischen Ressourcen versorgt wird, so kann dies schnell gravierende Folgen für die Bevölkerung haben.

Ein Angriff auf die verbreitete Monokultur gängiger Hard- und Software bei gleichzeitig unzureichenden Sicherheitsmaßnahmen kann es mit einem Schlag notwendig machen, tausende von Systemen in allen Regionen Deutschlands wieder unter Kontrolle zu bekommen. Es gibt von Staat und Betreibern zwar kompetente Einsatzteams, aber ihre Personalstärke ist mehrere Größenordnungen zu klein um bei solchen flächigen Systemausfällen oder etwas entgegensetzen zu können.

Zivilschutzeinrichtungen wie Feuerwehren und Technisches Hilfswerk sind zwar für die Bewältigung der Folgen sehr gut aufgestellt, können aber bei der Wiedererlangung der Kontrolle über die krisenverantwortlichen IT-Systeme keinen Beitrag leisten.

Die AG KRITIS hat daher das Konzept eines Cyberhilfswerks (CHW) entwickelt.

Eine überregionale Organisation aus Freiwilligen, die als kompetente Fachleute und speziell ausgebildete Laien bereit stehen, koordiniert und in großer Zahl an der Schadensbewältigung auf der Ebene der IT-Systeme mitzuwirken.

Das Konzept für ein Cyber-Hilfswerk der AG KRITIS (Link führt zum Konzept)

Sie finden sich hier zusammen, um zum Schutz der Bevölkerung für die IT-Krise Vorkehrungen zu treffen, Werkzeuge und Strategien zu entwickeln, sich weiterzubilden, Übungen durchzuführen und schließlich in der Großschadenslage zur Verfügung zu stehen, damit Staat und Betreiber der betroffenen Kritischen Infrastrukturen eine realistische Chance auf eine schnelle Krisenbewältigung haben.

Ein friedensmäßiger Katastrophenschutz, wie ihn das THW leistet, bedeutet auch für das CHW, dass offensive Handlungen im IT-basierten Einsatzumfeld ausgeschlossen sein müssen. Eine Beteiligung an entsprechenden Vorgängen bspw. durch fachliche Unterstützung, zur Verfügung gestellte Werkzeuge oder das Teilen erlangter Kenntnisse über Angriffswerkzeugen muss satzungsgemäß und gesetzlich ausgeschlossen sein.

Nur dann kann eine solche Schutzorganisation hoffen, die notwendige Menge engagierter Freiwilliger im Ehrenamt zu gewinnen.

Auf der DefensiveCon auf der cbase stellte Ijon das CHW vor – hier zum nach schauen:

Noch mehr dazu:

Das komplette Konzeptpapier zum CHW.
Ein Interview mit Ijon zum CHW beim SPIEGEL kann hier nachgelesen werden.
Und zum nach hören das Gespräch auf der DefensiveCon von Peter Welchering vom Deutschlandfunk mit Ijon, Manuel Atug (HonkHase) und Sven Herpig.
Der AG KRITIS auf Twitter folgen!

 

Der Cyberkrieg hat längst begonnen

Durch die gezielte Tötung Qassem Soleimanis, dem Kommandeur der iranischen Quds-Einheit, ist das Risiko einer militärischen Eskalation im Konflikt zwischen den USA und Iran gestiegen. Die zentrale Rolle des getöteten Generals in der iranischen Regionalpolitik zwingt die iranische Führung zu einer Antwort. Untätigkeit in dieser Frage käme gerade wegen der vom iranischen Regime in den vergangenen Jahren betriebenen Stilisierung Soleimanis zur Lichtgestalt einem Gesichtsverlust gleich.

Andererseits weiß die iranische Führung spätestens jetzt, welch weitreichende Konsequenzen ihre militärischen Provokationen haben können. Der Tod Soleimanis war eine direkte Folge monatelanger Raketenangriffe pro-iranischer Milizen auf US-Militärstützpunkte in Irak, bei denen am 27. Dezember erstmals ein US-Bürger getötet wurde.

Iran und USA befinden sich bereits seit Jahren in einem Cyberkonflikt

Vor dem Hintergrund der potenziellen Folgen weiterer Anschläge auf US-amerikanische Militärstellungen — Präsident Donald Trump droht bereits mit US-Angriffen auf 52 ausgesuchte iranische Ziele — könnte sich die Islamische Republik auf aus ihrer Sicht weniger provokante Optionen einlassen. Als Alternative zu direkten Militärschlägen auf US-Ziele ist eine Hinwendung zu Cyberattacken plausibel. Ohnehin ist der Konflikt zwischen den USA und Iran bereits jetzt auch ein Cyberkrieg, in dem beide Seiten die digitale Infrastruktur des Gegners ins Visier nehmen.

So wurde im Juni 2019 bekannt, dass Trump als Reaktion auf den Abschuss einer US-Drohne einen Cyberangriff auf eine iranische Geheimdiensteinheit autorisierte. Die Geheimdiensteinheit wiederum plante ihrerseits Attacken auf Öltanker im Persischen Golf. Zur Erinnerung: Bereits unter George W. Bush und Barack Obama setzten die USA auf eine millionenschwere Cyber-Sabotageaktion gegen das iranische Atomprogramm, in deren Zuge der Computerwurm „Stuxnet“ die iranische Urananreicherung erheblich behinderte.

Iran hackte Casino-Unternehmen

Auch das iranische Regime hat in der Vergangenheit verschiedene Cyberangriffe gegen die USA und seine Verbündeten durchgeführt. So starteten iranische Hacker 2014 eine Attacke auf das Casino-Unternehmen des irankritischen US-Milliardärs Sheldon Adelson. Auch US-Verbündete sind bereits zur Zielscheibe iranischer Sabotageaktionen geworden. Nach Saudi-Arabien, Kuwait und den Vereinigten Arabischen Emiraten könnten sich diese Aktionen nach der Tötung Soleimanis nun auch auf europäische US-Verbündete ausweiten.

Das iranische Außenministerium hat bereits den Geschäftsträger der deutschen Botschaft in Teheran wegen kritischer Äußerungen einbestellt. Die jüngste Ankündigung der iranischen Regierung, sich in einem weiteren Schritt von Verpflichtungen aus dem Atomabkommen (JCPOA) zurückzuziehen, deutet auf das iranische Kalkül hin, weiterhin Druck auf Europa auszuüben.

Deutschland muss bei IT-Sicherheit aufrüsten

Die aktuelle Bedrohungslage kann sich auch auf Deutschland auswirken, wenngleich sie momentan nicht akut ist. Das zeigt umso deutlicher, wie dringend notwendig es ist, dass Deutschland beim Thema IT-Sicherheit aufrüstet. In den USA warnte man schon mehrfach vor möglichen Cyberangriffen durch iranische Hacker auf Kritische Infrastrukturen (KRITIS) — auch deutsche KRITIS kann ein interessantes Ziel sein.

Es ist daher Zeit, dass die Bundesregierung das IT-Sicherheitsgesetz 2.0 verabschiedet, das deutlich höhere Sicherheitsanforderungen an Kritische Infrastrukturen stellt, diese umfassender definiert, „Infrastrukturen im besonderen öffentlichen Interesse“ hinzufügt und BSI-zertifizierte Mindeststandards für Hardware definiert. Ebenso wichtig sind die drastisch höheren Geldbußen und weiteren Befugnisse des BSI. Für eine wirkliche Durchsetzung von IT-Sicherheit und Vertrauen brauchen wir aber ein vom Bundesinnenministerium unabhängiges BSI.

Konsequent auf defensive Cyberabwehrstrategie setzen

Hackergruppen aus Iran nutzten bereits mehrfach Sicherheitslücken, unter anderem in Microsoft Office, um die USA und ihre Alliierten auszuspionieren. Auch jetzt müssen die USA und ihre Bündnispartner mit Spionageattacken, Datendiebstahl, Distributed-Denial-of-Service-Attacken (DDoS) und den bereits erwähnten Angriffen auf Kritische Infrastrukturen und Desinformationskampagnen rechnen. Ansätze für Propaganda-Aktionen im Netz finden sich bereits. Sie laufen etwa unter dem Hashtag „#hardrevenge“ und können auch für Amerikaner und Amerikanerinnen, Israelis und Israelinnen, Juden und Jüdinnen, sowie Exil-Iranerinnen und -Iraner hier in Deutschland gefährlich werden, wenn Regime-Anhänger hierzulande Anschläge verüben. Es sei an dieser Stelle an das Mykonos-Attentat in Berlin von 1992 erinnert.

Die sich überschlagenden Ereignisse im Nahen und Mittleren Osten, angetrieben vom USA-Iran-Konflikt, verdeutlichen nochmals die Dringlichkeit, mit der sich Deutschland mit der Bedrohung durch Cyberangriffe beschäftigen sollte. Dabei sollten wir ausdrücklich nicht sogenannte „Hackbacks“ in Betracht ziehen, sondern konsequent auf eine defensive Cyberabwehrstrategie setzen. Zudem sollte die Bundesregierung alle ihr zur Verfügung stehenden Mittel der Diplomatie einsetzen, um Iran von Vergeltungsschlägen aller Art abzubringen. Auch von Cyberangriffen.

Dieser Artikel erschien zusammen mit dem Politikwissenschaftler und Experten für US-Außenpolitik, Dr. Payam Ghalehdar, am 7. Januar 2020 als Gastbeitrag im Tagesspiegel Background Digitalisierung & KI

Nie vergessen Du wirst, Jimmy!

Liebe Freundinnen und Freunde,

unser Gründungsmitglied, Ehrenvorsitzender, Freund und Vorbild Jimmy ist am 25. November 2019 leider viel zu früh verstorben. Bis zum Schluss hat er mit jede Menge Optimismus, seinem ganz eigenen Humor und seiner unvergleichlichen Hingabe für das gekämpft, was ihm wichtig war: Bürgerrechte, Digitale Mündigkeit und Freiheit.

Jimmy war aber auch niemand, der gewollt hätte, dass wir ihm lange nachtrauern. Stattdessen sollten wir uns an die schönen Dinge mit ihm erinnern. Und natürlich feiern.

Deshalb freuen wir uns, wenn ihr dabei seid:
Nie vergessen Du wirst, Jimmy!
Sonntag, 15. Dezember 2019
Ab 18 Uhr
c-base

Share your memories! Bring gerne deine Erinnerung mit und lass uns auf Jimmy anstoßen.

Für alle die möchten, haben wir ein digitales Kondolenzbuch eingerichtet.

Wir brauchen eine faktenbasierte Digital- und Medienpolitik. Regulierung von “Social Bots” im neuen Medienstaatsvertrag

“European tech policies need to be based on facts, not emotions.”, habe ich kürzlich in diesem Artikel über “Tech populsim” gelesen und ich stimme nicht mit allem in diesem Text überein, mit dieser Aussage aber zu hundert Prozent. Und sie gilt nicht nur für Digitalpolitik, sondern auch für viele andere Politikbereiche, aber ganz besonders für die Digitalpolitik. Das haben wir bei der DSGVO gesehen und das haben wir bei der Diskussion um die EU-Urheberrechtsreform, insbesondere Uploadfilter und Leistungsschutzrecht gesehen und das sehen wir jetzt wieder beim Medienstaatsvertrag und der Kennzeichnungspflicht von “Social Bots”.

“Social Bots” sollen Menschen auf Plattformen (vermutlich vornehmlich Twitter) manipulieren und ihnen eine andere Meinung aufdrängen. Gefunden wurden bisher noch keine — Michael Kreil und Florian Gallwitz haben dazu bereits ausführlich geschrieben. Der Entwurf des Medienstaatsvertrags definiert “Social Bots” in § 55 Abs. 3 wie folgt:

“Anbieter von Telemedien in sozialen Netzwerke sind verpflichtet, bei mittels eines Computerprogramms automatisiert erstellten Inhalten oder Mitteilungen den Umstand der Automatisierung kenntlich zu machen, sofern das hierfür verwandte Nutzerkonto seinem äußeren Erscheinungsbild nach für die Nutzung durch natürliche Personen bereitgestellt wurde. Dem geteilten Inhalt oder der Mitteilung ist der Hinweis gut lesbar bei- oder voranzustellen, dass diese unter Einsatz eines das Nutzerkonto steuernden Computerprogrammes automatisiert erstellt und versandt wurde. Ein Erstellen im Sinne dieser Vorschrift liegt nicht nur vor, wenn Inhalte und Mitteilungen unmittelbar vor dem Versenden automatisiert generiert werden, sondern auch, wenn bei dem Versand automatisiert auf einen vorgefertigten Inhalt oder eine vorprogrammierte Mitteilung zurückgegriffen wird.”

Das heißt, jeder Account, der das Profilfoto eines Menschen hat (und vermutlich auch einen Namen, der wirkt, als sei da ein Mensch) und automatisiert postet oder twittert, ist ein “Social Bot”. Aha. Heißt, sobald ich mit beispielsweise Hootsuite einen Tweet einplane, weil der aus welchen Gründen auch immer, zu einer bestimmten Uhrzeit getwittert werden soll, bin ich ein Social Bot? Dass dieser Tweet dann über Hootsuite auf Twitter ausgespielt wurde, steht übrigens schon jetzt unter jedem Tweet (wie auch dort steht, ob ich mit Twitter für iOS oder über Twitter im Browser getwittert habe) — aber dennoch fordern hier die Länder in ihrem Medienstaatsvertrag eine Kennzeichnungspflicht. Warum?

Schon heute zeigt Twitter an, über welchen Zugang ein Tweet gesendet wurde.

Über Erkenntnisse einer Manipulation über solche automatisiert erstellten Tweets findet sich übrigens nichts im Medienstaatsvertrag. Auch nicht in den Stellungnahmen, die eine Kennzeichnung befürworten (zu den Befürwortern zählen Deutscher Bundesjugendring, Digitale Gesellschaft (unter Vorbehalt) und VAUNET Verband Privater Medien) und vorab angefragt wurden. Es finden sich hier auch nicht wirklich Erklärungen, warum man diese Kennzeichnung befürwortet (beispielsweise schreibt der Deutsche Bundesjugendring lediglich “Die Social Bots in sozialen Netzwerken einzubeziehen macht Sinn.”) Und obwohl mehr Interessenvertreter eine Kennzeichnungspflicht ablehnen (dazu gehören eco Verband der Internetwirtschaft, Hans Bredow Institut, Verdi und ZDF, das Mainzer Medieninstitut hält die Kennzeichnungspflicht für juristisch nicht sinnvoll, politisch hingegen schon. Die restlichen Stellungnahmen äußern sich nicht zu § 55 Abs. 3) ist man hier dennoch der Meinung, dass eine Kennzeichnungspflicht solcher Accounts sinnvoll sei. Dabei kam selbst das Büro für Technikfolgenabschätzung beim Deutschen Bundestag zu der Erkenntnis: “Eine Kennzeichnungspflicht von Bots erscheint zum jetzigen Zeitpunkt u.a. aufgrund der Schwierigkeiten bei der zuverlässigen Detektion von Bots, mangelnder Sanktionierungs-möglichkeiten sowie von Konflikten mit dem Datenschutz eher ungeeignet.” Also: was bedarf es noch, um vor schwachsinniger, überflüssiger Regulierung abzuweichen? Hier wird wieder eine Regulierung gefordert, ohne das Problem verstanden zu haben. Ohne, dass evidenzbasierte Forschung besteht und ohne sich mit den wirklichen Problemen auseinander gesetzt wurde.

Photo by Viktor Hanacek, CC0

Die wirklichen Probleme sind nämlich sogenannte “Trolle”, also Menschen, die versuchen zu manipulieren oder Desinformationen zu verbreiten. Das hat man bereits sehr schön bei der “Internet Research Agency” aufgezeigt, die aus dem russischen St. Petersburg versuchte (und wahrscheinlich auch Erfolg hatte), beispielsweise Afroamerikaner durch destruktive Kommentierungen unter Videos auf YouTube davon abzuhalten zur Wahl zu gehen. Auch in Deutschland waren nicht automatisierte Bots unterwegs, als während des Kanzlerduells Stimmung auf Twitter gemacht wurde. Das hat Karsten Schmehl in diesem Artikel sehr schön aufgezeigt. Den kommt man aber nicht mit der Regulierung von Technologie bei. Es sind Menschen, die sich zu koordinierten Aktionen versammeln und versuchen, Stimmungen zu erzeugen oder zu manipulieren. Automatisch generierte Inhalte sind heute noch gar nicht in der Lage, vorzugaukeln, sie seien echte Menschen — insbesondere dann nicht, wenn es um Interaktion, d.h. Diskurs geht.

Was wir brauchen, sind bessere Daten(-zugänge) bei den Plattformen für Wissenschaftler:innen, um besser raus zu finden, wer wann wie manipuliert und ob überhaupt. Hier lohnt es sich, gesetzgeberisch einzuwirken. Der neuste Report des amerikanischen Senate Select Committee on Intelligence hat beispielsweise gerade herausgefunden, dass nicht in erster Linie bezahlte Anzeigen (so auch sogenannte “Dark Ads”) ein Problem darstellen, sondern ganz normale, organische Posts. Letztere insbesondere dann, wenn die von relevanten Personen geteilt wurden: “numerous high-profile” Americans, including Trump campaign aide Roger Stone, former ambassador to Russia Michael McFaul, and Fox News host Sean Hannity, “unwittingly spread IRA [Internet Research Agency] content by liking IRA tweets or engaging with other IRA social media content, enhancing the potential audience for IRA content by millions of Americans.

Probleme beim Thema Desinformation liegen nicht bei “Social Bots”, oder gar “Bots”. Manipulation erfolgt durch gesteuerte Kampagnen von Menschen oder durch unachtsames Teilen von Beiträgen durch Menschen des öffentlichen Lebens, unter anderem auch Politiker:innen. Hier hilft keine Regulierung von “Social Bots”, hier — und nicht nur hier — hilft nur eine faktenbasierte Regulierung, sofern denn notwendig.

Kein „Wilder Westen“. Freiheit und Verantwortung im Internet

Das Internet ist ein Versprechen von Freiheit. Doch Freiheit funktioniert nicht ohne Verantwortung. Das Internet war noch nie Wilder Westen – ein Raum, in dem keine Gesetze, keine Regulierung gegriffen hätten. Dieses Internet existierte und existiert auch heute nicht im luftleeren Raum, sondern funktioniert nur durch Server und Übertragungsmittel, die auf staatlichem Territorium stehen und damit örtlichen Gesetzen unterliegen. Natürlich müssen Gesetze für das digitale Zeitalter angepasst werden, manche auch neu geschaffen werden, wenn erkannt wird, dass neue Möglichkeiten zum Nachteil der Gesellschaft genutzt werden. Grundlage hierfür sollten immer die Werte und Prinzipien sein, die wir bereits in der analogen Welt als unseren Maßstab ansetzen. Gute Regulierung, Verantwortung, für das Internet kann nur gelingen, wenn wir es als das betrachten, was es ist: ein weltweiter Verbund von Rechnernetzwerken. Leider schauen wir zu häufig ausschließlich auf Plattformen, die im Internet existieren und versuchen diese zu regulieren, als wären sie “das Internet”. Freilich tragen Plattformen Verantwortung und gehören reguliert. Aber die Regulierung der Plattformen darf eben nicht außer Acht lassen, dass das Internet weit mehr ist als diese.

Um über Freiheit und Verantwortung im Netz zu sprechen, möchte ich das Internet verlassen und den Blick auf die gesamte digitalisierte oder noch zu digitalisierende Welt richten. Uns begegnet hier zunehmend die Frage: Wie wollen wir im Zeitalter der Digitalisierung leben? Selbst Bundespräsident Frank-Walter Steinmeier appellierte an die Besucher des Evangelischen Kirchentags 2019, dass sie sich intensiver mit dieser Fragestellung auseinandersetzen und sich einbringen sollen. Die Digitalisierung stellt uns nicht vor gänzlich neue ethische Fragen. Sie stellt uns aber vor die wichtige Aufgabe, unsere Prinzipien und Wertvorstellungen mit in die digitale Welt zu nehmen und auf diese zu übertragen. Dass das nicht immer leicht ist und uns teilweise vor enorme Herausforderungen, aber auch Chancen stellt, ist nicht überraschend. 

Im Fokus dieser digitalisierten Welt stehen algorithmische Entscheidungssysteme, die häufig hochtrabend als Entscheidungen einer Künstlichen Intelligenz dargestellt werden, es aber selten sind. Wir diskutieren sehr viel darüber, was ein autonom fahrendes Auto dürfen soll und was nicht; setzen sogar – richtigerweise – eine Ethik-Kommission ein, die dem Gesetzgeber Vorschläge zur rechtlichen Gestaltung geben soll und dies auch tat. Es wurde eine Datenethikkommission eingesetzt, die die Bundesregierung zum ethischen Umgang mit Daten berät und eine High-Level Expert Group der Europäischen Kommission, die ethische Rahmenbedingungen für den Umgang mit Künstlicher Intelligenz bereits veröffentlichte. Wir diskutieren – völlig zu recht – inwieweit Algorithmen darüber entscheiden dürfen sollen, ob jemand ins Gefängnis kommt oder nicht. Ob Algorithmen besser und neutraler entscheiden, als Richter es können, oder ob sie nicht doch Vorurteile reproduzieren. Die Tendenz dieser Diskussionen ist meistens klar: Gerade schwerwiegende Entscheidungen, die Grundrechte oder das (weitere) Leben beeinträchtigen können, sollten möglichst abschließend von Menschen getroffen werden. 

Bei algorithmischen Systemen, bei denen wir heute sagen, dass wir sie nutzen wollen, um zum Beispiel eine weitere Grundlage für menschliche Entscheidungen zu haben, sprechen wir intensiv über Probleme durch einen Bias, also einer Verzerrung, über Transparenz, Nachvollziehbarkeit und die Qualität von Daten, mit denen dieses System trainiert oder schließlich gefüttert wird. Auch hier geht die Tendenz in die Richtung, dass wir als Gesellschaft Entscheidungen, die algorithmische Systeme für uns treffen, unbedingt nachvollziehen können müssen. So können wir sie nicht nur verstehen, sondern auch an entsprechenden Stellen Beschwerde einlegen, sodass automatisierte Entscheidungen von Menschen überprüft werden. Es geht hier um nichts weniger als den Schutz von Grund- und Bürgerrechten.

Verengen wir wieder unseren Blick und schauen auf das Internet, stellt sich nun die Frage, warum wir hier nicht mit der gleichen Vorsicht und Gewissenhaftigkeit vorgehen. Betrachten wir zum Beispiel auf die EU-Urheberrechtsrichtlinie. Ja, Uploadfilter stehen nicht im Gesetzestext. Das tut aber wenig zur Sache, wenn klar ist, dass nur durch technische Hilfsmittel, durch Algorithmen, im Volksmund eben auch Uploadfilter genannt, Gesetze umgesetzt werden können. Da helfen keine nationalen Alleingänge, die Uploadfilter verbieten und Pauschallizenzen verpflichtend machen wollen. Uploadfilter sind nichts anderes als algorithmische Systeme, die abgleichen, ob für urheberrechtlich geschütztes Material, das auf eine Plattform hochgeladen wird, eine Lizenz vorhanden ist, oder ob eine der zahlreichen urheberrechtlichen Schranken greift. So zum Beispiel eine für Satire oder eine Parodie. Dass Technologie dies heute überhaupt leisten kann, wird von allen Experten stark bezweifelt. 

Nun könnte man sagen, es kann auch hier Beschwerdestellen geben, sodass ein Mensch die Entscheidung des Uploadfilters überprüfen muss. Das ist richtig. Bei der Menge an Material, das auf Plattformen hochgeladen wird – alleine auf YouTube sind es 400 Stunden pro Minute(!) – bei der Vielzahl an Sprachen, Dialekten, Slang, Insider-Witzen und sonstigen Informationen, die zur Einordnung – sei es durch Mensch oder Algorithmus – notwendig sind, ein schier unmögliches Unterfangen. Es würde nicht nur auf eine unermessliche Summe an algorithmischen Fehlentscheidungen hinauslaufen, sondern auch auf eine durch den Menschen. Von der zeitlichen Verzögerung bis zu einer Entscheidung und damit rechtmäßigen Publikation eines Beitrags auf einer Plattform, ganz zu schweigen.

Wo blieb und wo bleibt bei der Diskussion über das Internet und Plattformen, die Debatte um die Auslagerung Grundrechte betreffender Entscheidungen an algorithmische Systeme? Wir führten sie nicht und das, obwohl das Thema Ethik, die Frage nach dem guten Leben im digitalen Raum, gerade bei so vielen politischen Institutionen auf der Prioritätenliste steht. Algorithmische Entscheidungen, die die Freiheit von so vielen – hier im Speziellen die Meinungs- und Informationsfreiheit – einschränken, dürfen wir nicht zulassen. Der Erhalt und der Schutz von Urheberrechten im digitalen Raum ist wichtig und notwendig. Doch noch wichtiger ist der Erhalt von Bürgerrechten. Die Abwägung zwischen Rechtsgütern ist nichts für Algorithmen, sondern für Menschen mit entsprechender Ausbildung und Legitimation. Und auch, wenn wir Technik einsetzen dürfen, um Rechte bestmöglich zu schützen, dürfen wir algorithmischen Systemen und privatwirtschaftlichen Beschwerdestellen nicht Aufgaben übergeben, über die wir in der analogen Welt Gerichte urteilen lassen, gerade weil Sachverhalte häufig komplexer sind als eine Abfolge von Einsen und Nullen. 

Wie viel uns daran liegt, die europäischen Werte zu erhalten und zu verteidigen, zeigt sich besonders hier, im Internet. 

 

Dieser Beitrag erschien zu erst in der Politik & Kultur (Ausgabe 9/2019) des Deutschen Kulturrats.

Digitale Bildung: Probleme lassen sich nicht lösen, wenn wir nur auf die Schulen schauen. Brauchen wir eine Bundeszentrale für digitale Bildung?

Verbreitung von Desinformation, fehlendes Bewusstsein für Cybersicherheit – bei Problemen im Digitalen fordern wir fast immer eine Sache: mehr Bildung. So weit so richtig. Der Umgang mit (digitalen) Medien, der sichere Umgang im Netz, die Gefahren von Identitätsdiebstahl, Doxing, Social Engineering, usw. müssen dringend Bestandteil schulischer Bildung sein. Vergessen dürfen wir hier auch nicht die beruflichen Schulen und Universitäten. Doch wir machen es uns zu leicht, wenn wir die teils enormen Probleme mit der Verbreitung von Desinformation und menschlichem Fehlverhalten vorm Computer auf “die jungen Leute” abschieben.

Die Generation Y lernte das Netz beim Aufwachsen kennen, die Generation Z wuchs und wächst digital auf. Für die Generation X, die Babyboomer und alle noch älteren hingegen, ist das Netz wirklich Neuland. Das soll gar nicht abwertend gemeint sein, aber sie sind diejenigen, die erst in späteren Lebensjahren gelernt haben, dass Gefahren im Netz lauern können, dass Menschen online deutliche einfacher und im hohem Maße Identitäten stehlen und sie missbrauchen können. Dass nun jeder Informationen erstellen und sie verbreiten kann und es keine Gatekeeper mehr gibt, die alleinig Informationen verbreiten können. Wenn wir also davon sprechen, dass wir uns mit Bildung vor Gefahren im Netz schützen müssen, dann müssen wir auch darüber sprechen, wie wir die breite Masse der Bevölkerung – eben alle, die schon im Arbeitsleben sind, oder bereits wieder aus ihm ausgeschieden sind – erreichen können. Schließlich ist die Altersgruppe von 45 bis 55 Jahre mit 86,8 Prozent die zahlenmäßig stärkste Alterskohorte unter den Erwerbstätigen und die von 55 bis 65 Jahre mit 71,5 Prozent die drittstärkste (Stand 2018). Legt man darüber die Zahlen des Bitkom, die zeigen, dass mittlerweile jeder zweite Arbeitnehmer einen Computer am Arbeitsplatz hat und jeder dritte ein mobiles Gerät mit Internetzugang, verdeutlicht sich nochmal das Problem.

Eine Studie der Universitäten Princeton und New York unter Amerikanern zeigte, dass Nutzerinnen und Nutzer soziale Medien über 65 sieben Mal so häufig Falschmeldungen teilen, als 18- bis  29-Jährige. Die Studie begründet dies mit mangelnder digitaler Medienkompetenz  und einem schlechteren Erinnerungsvermögen. Wenn man nun bedenkt, dass das größte soziale Netzwerk Facebook im Jahr 2017 einen Nutzerzuwachs von 23 Prozentpunkten bei über 60-Jährigen verzeichnen konnte (weltweit) und immer mehr Menschen über 60 WhatsApp nutzen (in Deutschland 52% der über 60-Jährigen, Stand 2017) und Falschnachrichten nicht nur über soziale Netzwerke, sondern insbesondere über Messenger eine zunehmende Verbreitung finden, dann stehen wir vor einer enormen gesellschaftlichen Herausforderung, die eben nicht lediglich mit Konzepten für schulische Bildung in der Zukunft gelöst werden kann.

Und Falschnachrichten in Form von Text sind schon heute nicht mehr das größte Problem. Manipulierte Bilder oder in falschen Kontext gesetzte Bilder grassieren bereits jetzt zu Hauf. Ebenso darf das Manipulationspotential durch Memes, Trolle und dergleichen nicht unterschätzt werden. Doch die viel größere Bedrohung steht mit sogenannten DeepFakes ins Haus: Manipulierte Videos, die Nacktaufnahmen bzw. pornografisches Material vornehmlich von Frauen darstellen, oder Aufnahmen, die mit neuem Ton und damit auch Inhalt unterlegt werden, wobei auch die Mimik des Sprechers verändert wird und so ganz neue, nie getätigte Aussagen entstehen können. Das Missbrauchspotential dieser Technologie ist riesig und der Fall eines verbreiteten manipulierten Video der amerikanischen Kongressabgeordneten Nancy Pelosi und dessen Weiterverbreitung von diversen Politikern unter anderem auf Twitter zeigt, dass Gesellschaften noch nicht bereit sind, für einen Umgang mit dieser Art der Desinformation. Für Ältere, die sich nicht tagtäglich mit digitalen Tools – sei es auch nur zum Spaß – beschäftigen, die demonstrieren, wie Bilder und Videos manipuliert werden können, ist dies ein erhebliches Problem. Jüngere Nutzer kennen dies häufig, und sei es nur durch Filter oder Ähnliches auf Instagram, Snapchat oder TikTok.

Wie also umgehen mit dieser Problematik? Wie so oft: es gibt kein Patentrezept. Es ist aber dringend angebracht, dass sich Politik, Zivilgesellschaft und auch Unternehmen mit dieser Problematik auseinandersetzen. Unternehmen sollten ein eigenes Interesse daran haben, dass ihre Mitarbeiter lernen, Desinformation und DeepFakes von echten Informationen zu unterscheiden. Verbreiten Mitarbeiter solche, kann das nicht nur dem Ansehen des Unternehmens schaden, es schadet auch der Sicherheit des Unternehmens, wenn Mitarbeiter dubiosen Informationen trauen und sich womöglich Schadsoftware einfangen. Die Politik könnte hier mit der finanziellen Förderung entsprechender Fortbildungen unterstützen.

Bildung ist aber auch ein staatlicher Auftrag. Warum also nicht über eine Bundeszentrale für digitale Bildung, analog zur Bundeszentrale für politische Bildung nachdenken? Thematisch gäbe es hier weitaus mehr, als die Themen Desinformation und Cybersicherheit. Datenschutz bzw. der Umgang mit Daten wird immer essentieller. Von den Datenspuren durch surfen im Netz bis hin zum Umgang mit den eigenen, hochsensiblen Gesundheitsdaten. Vom Verständnis über Algorithmen bis hin zu Künstlicher Intelligenz. Themen gäbe es genug und ihre Bedeutung nimmt rasant zu.

Finnland hat dies schon erkannt und führt umfassende Bildungsmaßnahmen durch. Das Land hat durch die Grenze zu Russland schon seit Jahrzehnten mit Desinformationskampagnen zu kämpfen und daher eine ganzheitliche, nachhaltige Strategien entwickelt, um Finnlands Bürgerinnen und Bürger dagegen zu immunisieren. Manipulation durch Desinformation wird hier als ein gesamtgesellschaftliches Problem gesehen, gegen das man bereits im Kindergarten, aber auch und vor allem in späteren Lebensjahren vorgehen muss. “It’s not just a government problem, the whole society has been targeted. We are doing our part, but it’s everyone’s task to protect the Finnish democracy,” sagt zum Beispiel Jussi Toivanen, der Erwachsene in Finnland unterrichtet. Doch auch bei der breiten Aufklärung über Künstliche Intelligenz ist Finnland Vorreiter. Ein Pilotprojekt sollte ein Prozent der Finnen Grundlagen über Künstliche Intelligenz vermitteln.Die ersten Teilnehmerinnen und Teilnehmer wurden zufällig ausgewählt. Das Thema wurde digital und niedrigschwellig vermittelt, sodass es jede und jeder verstehen kann. Der Ansatz dahinter: wenn Menschen die Prinzipien von Künstlicher  Intelligenz verstehen, haben sie weniger Angst vor ihr und mehr Interesse an dessen Nutzung und damit auch der Ausgestaltung. Das Vorhaben ging auf. Heute ist der Kurs für jeden zugänglich und kostenlos nutzbar. Unternehmen und der Staat nutzen ihn, um Mitarbeiterinnen und Mitarbeiter fortzubilden, aber auch das Interesse unter den Bürgerinnen und Bürgern, die bisher keinen beruflichen Bezug zum Thema hatten, ist enorm. Ein wichtiger Schritt für Finnlands Ziel, Europas Nummer eins in der KI-Forschung zu werden.

Eine ähnliche Bildungsstrategie braucht es auch für Deutschland, denn die Probleme werden nicht weniger. Bei unserem EU-Partner können wir dafür genügend Inspiration und Lösungsansätze finden. Wichtig ist nur, dass sowohl Politik, als auch Zivilgesellschaft und Unternehmen anerkennen, dass fehlende digitale Bildung kein Problem von jungen Menschen ist, sondern von uns allen.

Dieser Artikel erschien zuerst bei der Friedrich-Naumann-Stiftung für die Freiheit.

Photo by Nicole De Khors from Burst

Alles unter Kontrolle

„Wenn dein Zimmer nicht ordentlich aufgeräumt ist, dann darfst du nicht raus zum Spielen!“ Solche oder ähnliche Sätze sind den meisten von uns aus unserer Kindheit vertraut. Erwünschtes Verhalten zieht eine Belohnung nach sich, bei unerwünschtem Verhalten bleibt die Belohnung aus – oder vielleicht folgt sogar eine Strafe. Unsere Eltern wollten uns erziehen – das sehen wir als eine ihrer Aufgaben an. Was aber, wenn ein Staat sich dazu berufen fühlt, seine Bürgerinnen und Bürger zu erziehen? Es folgt unweigerlich der Schritt in den Überwachungsstaat.

Eine bei vielen Eltern beliebte Erziehungsmethode sind sogenannte Sternenkarten. Wurden verabredete Aufgaben gut gemacht, gibt es einen Stern. Wenn die Karte voll ist mit Sternen, kann sie gegen etwas Schönes eingetauscht werden: einen Ausflug oder ein neues Spielzeug. Genau dieses System – Bonuspunkte für erwünschtes Verhalten, Punktabzug für unerwünschtes Verhalten – wird in der Volksrepublik China gerade eingeführt. Ziel der Übung: die chinesische Bevölkerung zu „guten Bürgern“ im Sinne der Regierung zu erziehen. Klingt nach Bevormundung? Es wird noch besser.

Credits: Matthew Henry, CC0

Das „Social Credit System“, welches in China gerade in verschiedenen Städten erprobt wird, verteilt keine Fleißsternchen, es wird nicht mit Pappkarten gearbeitet und auf dem Spiel steht nicht ein lang gehegter Spielzeugwunsch. Man startet mit einem Grundguthaben an Punkten, und für „gutes“ Verhalten bekommt man Punkte hinzu, für „schlechtes“ Verhalten werden Punkte abgezogen. Überwachungskameras (aktuell 200 Millionen – bis 2020 sollen es über 600 Millionen werden) mit Gesichts- und Gangerkennung sorgen dafür, dass das System genau weiß, wer wann wo ist und was tut. Informationen aus WeChat (dem chinesischen WhatsApp), Baidu (dem chinesischen Google), Onlineshopping und Metadaten zum Surfverhalten werden gesammelt und mit anderen Daten zusammengeführt, beispielsweise dem Strafregister. Es ist diese Fülle an verfügbaren Daten, die es der chinesischen Regierung ermöglicht, Bürgerinnen und Bürger umfassend zu kontrollieren, zu bewerten und zu belohnen – oder zu bestrafen. Wer seine Eltern regelmäßig besucht, seine Rechnungen rechtzeitig bezahlt und im Internet die richtigen, direkt parteigesteuerten Medien konsumiert, der erhält Zusatzpunkte. Wer Unterhaltszahlungen nicht rechtzeitig leistet, sich über das Internet mit Menschen unterhält, die einen niedrigen Punktestand haben, oder online Pornos schaut, der verliert Punkte. Wer viele Punkte hat, also ein „gutes Mitglied der Gesellschaft“ ist, dem stehen verschiedene Vergünstigungen zur Verfügung: etwa bessere Krankenversicherungen, einfacherer Zugang zu Behörden oder niedrigere Kreditzinsen. Wer einen niedrigen Punktestand hat, dem drohen Sanktionen – teurere Kredite, die eigenen Kinder werden von den besten Schulen und Universitäten ausgeschlossen.

Harte Strafen für unerwünschtes Verhalten

Schlimmstenfalls kann man sogar den Job verlieren. Im Jahr 2018 zum Beispiel wurden 23 Millionen Mal Bürger in China daran gehindert, ein Flug- oder Zugticket zu kaufen – ihr Punktestand im Social-Credit-System war zu niedrig. Denn wer sein Zimmer nicht aufräumt, der darf nicht raus zum Spielen.

Derzeit ist das Social Credit System noch in der Testphase. Ab 2020 soll das System auf ganz China ausgeweitet sein. Gerade laufen in verschiedenen Städten Pilotprojekte, um unterschiedliche Varianten des Systems zu testen. Aktuell ist die Teilnahme noch freiwillig. Aber was hat man als Bürgerin oder Bürger davon, sich freiwillig dieser umfassenden Überwachung und Beurteilung auszusetzen? China hat ein Vertrauensproblem.
Die Volksrepublik ist immer noch ein Land, in dem die Einparteienherrschaft unabhängige Gerichte unterbindet und Korruption trotz ewiger politischer Kampagnen an der Tagesordnung ist. In regelmäßigen Abständen gibt es Lebensmittelskandale. Betrug und Vorteile durch Beziehungen sind allgegenwärtig. Die Regierung will mit dem System offiziell „die Aufrichtigkeit in Regierungsangelegenheiten“, die Glaubwürdigkeit der Justiz sowie die wirtschaftliche und gesellschaftliche Integrität in China verbessern.

Und das scheint auf Zustimmung zu stoßen: Eine Studie der FU Berlin hat gezeigt, dass aktuell 80 Prozent aller Nutzer eines Social-Credit-Pilotsystems diesem positiv gegenüberstehen. Gerade unter gut gebildeten Menschen, die in urbanen Zentren leben, ist die Zustimmungsrate besonders hoch. Das ist auf den ersten Blick irritierend, denn es ist gerade diese Bevölkerungsgruppe, die am meisten durch eine Beschränkung ihrer wirtschaftlichen, politischen und sozialen Freiheiten zu verlieren hat. Woher kommt diese hohe Zustimmungsquote?

Eine Antwort: Es ist bequem und jeder könnte vordergründig profitieren. Gerade in den urbanen Regionen bieten die angebotenen Vergünstigungen einen Mehrwert. Beispielsweise sind in der Stadt Behördentermine schwerer zu bekommen als auf dem Land. Da ist es bequem, wenn der Termin im Bürgeramt schneller klappt

Der Rechtsstaat entwickelt sich zurück

Aber der Preis für diese Annehmlichkeiten ist hoch. Falls das System einen Fehler macht und ungerechtfertigterweise Punkte abzieht, gibt es keine Möglichkeit zu widersprechen. Nach Jahren der Reform und Öffnung entwickeln sich die Rechtsstaatsansätze der Volksrepublik zurück. Klagen gegen Partei oder Staat haben keine Chance. Protestieren steht außer Frage. All das würde definitiv unter „schlechtes Verhalten“ fallen. Manche Eltern sagen vielleicht: „Nicht unsere Kinder, nicht unser Problem.“ Aber Liberale blicken über den Tellerrand nationaler Grenzen und streben nach der Freiheit aller Menschen. Hinzu kommt: Andere autokratische Regierungen sehen Xi Jinping als Vorbild. Es ist nur eine Frage der Zeit, bis wir das erste iranische Social Credit System sehen. Vielleicht auch ein türkisches, ein ungarisches? Proaktiv bereitgestellt und mit chinesischer Technologie. Technologie von Unternehmen, denen wir in Deutschland, vielleicht auch mit Steuergeldern über Infrastrukturaufträge, Wachstum und stärkeren globalen Einfluss ermöglichen. Würden wir Liberale uns selbst ein Sternchen geben, wenn wir tatenlos zusehen?

 

Dieser Beitrag erschien zuerst in „liberal – das Magazin für die Freiheit“ Ausgabe 01/2019 der Friedrich-Naumann-Stiftung