Mittwoch, 22. Januar 2014

Obama, die Geheimdienste und wir

Dass jetzt auch Präsident Obama damit begonnen hat, die seit einem halben Jahr andauernde NSA-Affäre aufzuarbeiten, scheint für viele Beobachter ein enormer Durchbruch zu sein. In Deutschland ist die Reaktion darauf sehr unterschiedlich. Bei vielen Kommentatoren scheinen sich die Erwartungen nicht erfüllt zu haben. Andere äußern sich verhalten positiv, so Clemens Binninger, der neue Vorsitzende des Parlamentarischen Kontrollgremiums (PKGr) des Bundestages. Binninger sieht uns ‚auf einem Weg zu einem gemeinsamen Grundverständnis, welches nicht nur dem Sicherheitsbedürfnis unserer Staaten Rechnung trägt, sondern auch dem Datenschutz und den Bürgerrechten.‘ Man beachte die Reihenfolge!

Erwartungen, die sich zweifelsohne nicht erfüllten, gingen in die Richtung, dass der ‚Whistleblower‘ Edward Snowden einen Verdienstorden erhält, zumindest aber straffrei wieder in die USA einreisen darf. Ebenso nicht erfüllt hat sich die Hoffnung, dass Obama alle 16 Geheimdienste, zumindest aber die NSA, auflöst, ober aber in ihren Aufgaben beschneidet. Die NSA ist lediglich der zweitstärkste der Auslandsdienste, was Geld und Personal anbetrifft, hinter der CIA. Dazu ist die NSA ausgesprochen zurückhaltend und passiv. Alle Aktionen liegen nämlich in der Verantwortung der CIA, egal ob sie Angriff oder Verteidigung betreffen.

Der Cyberkrieg ist (leider) nicht zu Ende

Obama räumt ein, dass übertrieben wurde. Die Staatschefs befreundeter Länder will man in Zukunft etwas pfleglicher behandeln. Leider sieht er sich nicht in der Lage, den Cyberkrieg als beendet zu erklären. Das würde auch alle Experten, die mit der Materie leidlich vertraut sind, vor den Kopf stoßen. Lediglich über die Zahl der täglichen ‚Kriegshandlungen‘ gehen die Meinungen auseinander, ebenso über die Zahl der Betroffenen (in der Wirtschaft oder privat), sowie die Zahl der aktiv beteiligten Länder und Personen. Das vor einem Jahr in diesem Blog besprochene Buch über Cyberkrieg von Sandro Gayken enthält diverse Schätzungen. Genau weiß er es auch nicht. Klar ist nur, dass die amerikanischen Einrichtungen auf der ganzen Welt (weiterhin) das Angriffsziel Nr. 1 sind. Die Anzahl der täglichen Angriffe ist signifikant.

Viele Leute in Deutschland scheinen überrascht zu sein, dass Obama keine einseitigen ‚Abrüstungsschritte‘ im Cyberkrieg seitens der USA vornimmt. Weil Deutschland (relativ) wenig für seine Sicherheit tut, sollten es die USA auch, ist eine Logik, für die er in seinem Lande wenig Zustimmung findet. Nachdem die USA mit Tausenden von Kriegstoten dafür bezahlten, dass sie die Rolle des Weltpolizisten spielten, ziehen sie sich aus diesem Geschäft so schnell wie möglich zurück. Auch die Länder, die bisher vom direkten Engagement der USA profitierten, sehen die Rolle der USA heute anders als vor zehn Jahren. Sie erwarten nur noch Waffen (Nachtsichtgeräte, Drohnen) und Geheimdienst-Informationen, keine Soldaten mehr.

Dass deutsches Staatsgebiet von Aufklärungssatelliten überflogen wird, steht nicht zur Diskussion, ebenso wenig die Überwachung des elektronischen Nachrichtenverkehrs, der nach Deutschland hinein bzw. aus Deutschland herausfließt. Der innerdeutsche Verkehr (ohne den der Kanzlerin) bleibt unverändert im Absaugbereich der NSA. Unsere deutschen Geheimdienste sind nicht ganz unglücklich über das Ergebnis dieser Beratungen. Sie können ihre Aufgabe nämlich nur erfüllen, wenn sie Unterstützung von ihren amerikanischen Kollegen bekommen. Das gilt auch innerhalb Deutschlands, wie die so genannte Sauerland-Gruppe bewies.

Obama ist nicht mehr jugendlich, noch naiv

Obama war es seinem Image und Selbstbildnis schuldig, dass er einen offenen und ehrlichen Umgang mit den Partnern in der Welt pflegt. Er hatte dies vor seiner Wahl, z.B. bei seinem Besuch in Berlin, versprochen. Dass er dieses und andere Versprechen (z.B. Guantanamo betreffend) nicht halten kann, darunter muss er selbst ganz ordentlich leiden. Obama hat gelernt, was Verantwortung heißt. Als Präsident und Oberbefehlshaber bekommt er tägliche Briefings, vor allem von den Leuten, die er mit der Sicherheit des Landes beauftragt hat. Die Bedrohung des Landes ist echt und größer als der Durchschnittsbürger es für möglich hält. Ob es zu Anschlägen und Überfällen kommt, dafür trägt er das volle Risiko. Gleichzeitig wird ihm gesagt, dass die USA die Kapazität haben, dem Unheil entgegen zu wirken. Dabei ist eine Beschränkung auf nachträgliche Aufklärung und Abschreckung nicht mehr ausreichend. Es müssen vor allem die Vorbereitungen und Absichten der Angreifer erkundet werden.

Im Dezember 2013 erhielt er einen ausführlichen Kommissions-Bericht mit 46 Empfehlungen. In einer Rede, die er Mitte Januar vor den Verantwortlichen im Justizministerium hielt, erläuterte er, was er davon implementieren will. Zur Beruhigung der deutschen Kanzlerin gab er noch zusätzlich ein ZDF-Interview.

Von den ursprünglichen Vorschlägen will Obama (natürlich) nur den Teil implementieren, der ohne große Erschütterungen und Umorganisationen möglich ist. Er gesteht zu, dass Ausländern die gleichen Rechte eingeräumt werden müssen wie Amerikanern, dass nur bei begründetem Anfangsverdacht (engl. reasonable articulate suspicion) ermittelt werden darf, dass die Software verbessert werden soll, usw. Mich überrascht es nicht, dass die USA nicht bereit sind, den Vorsprung aufzugeben, den sie ganz offensichtlich haben.

Wer soll und kann das Internet kontrollieren?

Vorweg schicken möchte ich, dass der Eindruck falsch ist, dass das Internet daran schuld ist, dass Computer ausspioniert werden. Die Spionage hat lediglich neue Möglichkeiten bekommen. Die Frage, wer das Internet kontrollieren darf, ist ebenfalls nicht neu. Das Ringen um diese Frage ist so alt wie das Internet. Lange erhob die so genannte Internet-Gemeinde den Anspruch, dass der Staat unter allen Umständen außen vor bleiben müsse. Einige ‚Internet-Junkies‘ verkündeten bereits, dass sie die gesamte Wirtschaft gleich mitübernehmen würden. Im Moment scheint dieser Traum zu verfliegen. Das Internet sei kaputt, beklagen die einen (z.B. Sascha Lobo). Andere meinen, es müsse general-überholt oder besser vollkommen neu entwickelt werden. Vor einigen Wochen beschrieb ich in diesem Blog die Ziele, die von der EU in der Forschung verfolgt werden.

Unter den Ideen, die jetzt kursieren, taucht immer wieder ein nationales oder rein europäisches Netz auf. In Anbetracht der internationalen Verknüpfung von Wirtschaft und Wissenschaft kann man diese Vorschläge nicht ernst nehmen. Noch skurriler wird die Diskussion, wenn auch nationale Suchmaschinen, Datenbanksysteme oder Betriebssysteme gleich mit gefordert werden. Politische Gremien, denen vorgeschlagen wird, entsprechende Resolutionen zu verfassen, kann man nur Zurückhaltung empfehlen. Es sei denn, sie wollen sich der Lächerlichkeit preisgeben.

Die Frage bleibt, wieweit die Politik sich einschalten muss. Offensichtlich geht es nicht länger, dass man staatliche Interessen völlig ignoriert. Mit Staat ist hier nicht ein einzelner Staat gemeint, sondern die Völkergemeinschaft. Über diesen Fragenkomplex wird es hoffentlich in Zukunft noch eine intensive Diskussion geben. Sie muss auf politischer Ebene ausgetragen werden. Die Fachleute müssen sie allerdings unterstützen. Was sonst dabei herauskommen kann, haben die oben genannten Beispiele gezeigt.

Wie kann ein Informatik-Chef seiner Verantwortung gerecht werden?

Der Informatik-Chef, besser bekannt als Chief Information Officer (CIO), hat zweifellos die Verantwortung, für das von ihm betreute Unternehmen eine klare Richtung vorzugeben. Tut er es nicht, hat er jeden Anspruch verloren, mehr als nur Sachbearbeiter zu sein. Erscheint die gerade skizzierte Aufgabe als schwierig, so ist dies jedoch kein Grund, ihr aus dem Wege zu gehen. Primäres Ziel muss sein, realistisch zu informieren. Der CIO darf kein Wunschdenken predigen.

Ohne vollständig sein zu wollen, gebe ich ein paar Anhaltspunkte. Jeder CIO muss eine klare Vorstellung davon haben, was das Internet ist und nicht ist. Einige Gedanken dazu gab es in einem früheren Eintrag dieses Blogs. Er muss eine fachlich gut fundierte Meinung haben, die nicht von den fast täglich erscheinenden epochalen Erkenntnissen irgendwelcher selbst ernannten Internet-Gurus auf den Kopf gestellt wird.

Er muss in einfach zu verstehenden Worten erklären können, was das Besondere an den von Informatikern verwendeten Medien ist, sowohl den Speicher- wie den Übertragungsmedien. Ein paar Stichworte: Die Speichermedien sind zwar Jahrzehnte haltbar, aber nicht ewig. Man muss Vorkehrungen betreiben, nicht nur gegen das ‚Verblassen‘, sondern vor allem gegen die technische Überalterung. Gemeint ist damit, dass unsere Medien meist nur von einer Generation von Gerätetechnik lesbar sind.

Wenn Daten lesbar sind, dann kann es jeder tun, der über die jeweilige Technik verfügt, ohne dass er Spuren hinterlässt. Wer liest kopiert. Wenn keine besondere Vorsorge getroffen ist, kann er auch verändern und löschen. Diese Aussage gilt sowohl für Speicher- wie für Übertragungsmedien. Übertragungen können per Kabel oder drahtlos erfolgen, und zwar in großen Massen. Das Abhören ist sehr leicht zu bewerkstelligen. Datenträger (USB Sticks, externe Platten) können sehr leicht entwendet werden, sowohl dauernd als auch nur vorübergehend. Einen gewissen Schutz bietet die Chiffrierung. Es ist eine mathematische Umrechnung. Wer das Verfahren kennt, kann es nachvollziehen. Wenn nicht, ist es sehr schwierig, aber nicht unmöglich, an die Inhalte zu gelangen.

Schließlich muss jeder CIO eine praktikable Sicherheitsstrategie haben. Diese regelt, wer für welche Daten und Medien welche Zugriffsrechte hat, wie diese Rechte realisiert, fortgeschrieben und überprüft werden und welche Sicherheitsmaßnahmen ergriffen werden.

Snowden, ein Glücksfall?

In mancher Hinsicht war Edward Snowden ein Glücksfall, obwohl es vor allem den Amerikanern schwerfällt, dies zu sehen. Er hat viele Leute aus einem zwar nur eingebildeten Paradies vertrieben. Fast alles, was in diesem Beitrag diskutiert wurde, wurde durch sein Verhalten beeinflusst. Die Sicherheitsdiskussionen der Vergangenheit wurden so zu sagen auf den Kopf gestellt. Plötzlich standen nicht die eigentlichen Angreifer im Vordergrund des Interesses, sondern die Verteidiger. Vieles was selbstverständlich schien, wurde in Frage gestellt.

Manchmal erschien es, als ob wir kurz vor der von Sandro Gayken skizzierten Radikallösung stünden, nämlich der Entinformatisierung und der Entnetzung. Wir Informatiker müssen uns bewusst sein, wie sehr damit die Grundlagen unserer beruflichen Tätigkeit ins Wanken geraten. Es muss uns eine Verpflichtung sein, dafür zu sorgen, dass nicht das Kind mit dem Bade ausgekippt wird. Vielleicht fällt Ihnen, lieber Leser, ein besseres Bild ein, um diese Gefahr zu beschreiben.

Nachtrag vom 23.1.2014

Was die Diskussion um die NSA-Affäre so schwierig macht, ist die Tatsache, dass unterschwellig eine sicherheitspolitische Abwägung stattfindet, deren sich viele Leute jedoch nicht bewusst sind. Sie ist innerhalb eines beschränkten Rahmens durchaus sinnvoll.

Man geht davon aus, dass auch die Verbrechensabwehr nicht mit letzter Präzision arbeiten kann. Ihr unterlaufen manchmal Fehler. Man muss sich daher fragen: was ist einem lieber, eine Überwachungsmaßnahme oder Kontrolle zu viel durchgeführt oder ein Verbrechen oder schweres Eigentums- oder Sexualdelikt zu wenig verhütet oder aufgedeckt. Anders ausgedrückt, sind konkrete Verletzungen an Leib und Leben schlimmer als die Verletzungen abstrakter Rechte?

Wer so fragt, weiß bereits die Antwort, welche die Mehrheit der Bevölkerung geben wird. Wem die Antwort nicht gefällt, vermeidet oder unterdrückt daher die Frage. Es ist offensichtlich, dass viele Leute darauf los reden, ohne besonders viel nachzudenken. Nachdenken ist ja oft auch anstrengender als reden.

Einen Terrorakt mit unschuldigen Toten fassen die meisten Leute als ein Verbrechen auf. Ob es alle Bürger tun, ist durchaus fraglich. Manche halten Terrorakte aus politischen Gründen für gerechtfertigt. Diejenigen, die bei uns so denken, trauen sich nicht, es auch laut zu sagen. Es könnte ja unangenehme Folgen für sie haben (Verdacht des Angriffs auf freiheitlich demokratische Grundordnung).
                                           
In der Terminologie von Clemens Binninger kann man die Frage auch anders ausdrücken: Hat staatliche Sicherheit Vorrang vor Datenschutz und Bürgerrechten? Dass die Angelsachsen anders reagieren als wir Deutschen, ist bekannt. Es ist dies nicht eine Frage der stärkeren Ausprägung des demokratischen Bewusstseins, sondern von Pragmatismus, ja vielleicht sogar von weltpolitischem Verantwortungsgefühl. Letzteres ist ja in Deutschland weniger entwickelt als in einigen andern Ländern.

Nachtrag am 25.1.2014:

Ehe ich das Thema NSA ganz verlasse, möchte ich noch einen etwas ausgefallenen Gedanken loswerden.

Aus Sicht der Verbrechensverhütung und -aufklärung haben die Enthüllungen von Edward Snowden nicht nur Nachteile. Es würde mich nämlich nicht wundern, wenn die Aktivitäten von Terroristen im zweiten Halbjahr 2013 zurückgegangen wären [siehe unten, Nachtrag 7.3.2014]. Auch das hätten wir dann Edward Snowden zu verdanken. Es ist nämlich nicht auszuschießen, dass sogar potentielle Terroristen überrascht waren über den Aufwand, den staatliche Stellen ihretwegen betreiben.

Säbelrasseln oder Militärparaden sollen ja eine abschreckende Wirkung im konventionellen Zwist zwischen Völkern haben. Eine Katze, die mit einer Schelle um den Hals herumläuft, fängt bekanntlich nur wenige Mäuse. Sie hält sie aber vermutlich doch davon ab, die Vorräte im Keller anzuknabbern. Es ist dies die zweitbeste Methode. Sie ist rücksichtsvoller, ja humaner, aber weniger nachhaltig. Terroristen und Mäuse zu fangen und aus dem Verkehr zu ziehen, das wäre nachhaltig.

Noch ein anderes Bild möchte ich zur Erklärung anführen. Radarfallen werden deshalb hinter Hecken oder Zäunen aufgestellt, um die Raser auf frischer Tat zu überführen. Würde man stattdessen alle 2-3 km eine Pappnachbildung eines Polizisten hinstellen, hätte das auch einen Effekt auf die Verkehrsmoral. Geheimhaltung hat Vorteile. Die Offenheit ist keine reine Verschwendung.

An sich ist Nachhaltigkeit sehr zu empfehlen, vor allem dann, wenn der Nachschub an Ressourcen begrenzt ist. Ist der Nachschub schier unbegrenzt und so leicht zu gewinnen wie bei Terroristen, laufen beide Ansätze auf dasselbe hinaus. Einige Terroristen mögen angesichts der Stärke der Gegenwehr ihre Pläne nicht nur zeitlich verschieben, sondern sogar ganz aufgeben. Wie weit dies der Fall ist, müsste sich aus dem anfangs erwähnten Abflauen ihrer Aktivitäten ersehen lassen.

Nachtrag vom 7.3.2014

Ich bin immer wieder überrascht, wie einfach es heute ist, Fragen zu beantworten, die früher viel Aufwand gekostet haben. Wikipedia führt u.a. Buch über alle weltweit durchgeführten Sprengstoffanschläge seit 2002. Daraus ergibt sich, dass es zwischen Juli und Dezember 2012 insgesamt 85 Anschläge gab, im selben Zeitraum des Folgejahres jedoch nur 13. Das ist ein Rückgang um 85%. Die Werte pro Monat enthält folgende Tabelle:


Der Anschlag im Dezember 2013 erfolgte aut den Bahnhof der russischen Stadt Wolgograd. Es sollten die Olympischen Spiele in Sotschi verhindert werden.

Kommentare:

  1. Many decades ago, J. Edgar Hoover, the founder of the FBI, was granted special telephone tapping rights in order to investigate organized crime and later Communists. He used that ability to spy on senior members of his own government to his personal advantage. It is likely that he blackmailed Franklin Roosevelt as a start, and then continued from one President to the next until his death. The conclusion I made from this history is that my conversations on the phone were not private, and that conversations in person were not private either, as they could be monitored through long range listening devices. That is certainly true for Internet traffic as well in my eyes - criminal AND governmental have access to my humble communications that go over the internet. I have no expectation of privacy there. Should anyone? Can we believe in a policy of "Don't look there !! You are forbidden from casting any glance in that direction !!" This applies also to the gathering of personal data - there might well be laws against it - they are unenforceable. What sense is such a law?

    The Internet knows no national borders. No Visas! No border patrol! There are some meager attempts at applying national law to Internet traffic - very meager. "This is your Captain speaking, we are now in German cyberspace!"

    On the first day of "Open Enrollment" for healthcare insurance here in America (the most important day of the year for this type of business), a collection of computers in Germany began a DOS (denial of service) attack against a health insurance client I was working for. This likely was initiated by a local business competitor of my client, and was very expensive to fix. It also caused considerable loss of business.

    In major cities, more and more governments are deploying video surveillance in populated areas. That is also an "intrusion" on privacy. But criminals can do the same. Given that such surveillance cannot be eliminated, I feel it an advantage to have that power in the hands of government - even if it is corruptible.

    The recent massive theft of credit card data at Target stores was likely an international effort. I believe the control mechanisms for internet traffic need major development, and key to that in my mind is identity verification for high value traffic. The existing certificate system (e.g., Verisign) is insufficient.

    A head of state who holds important negotiations over communication links that are easily compromised is simply foolish, independent of who is listening in.

    Calvin Arnason

    AntwortenLöschen
  2. Am 23.1.2014 schrieb Peter Hiemann aus Grasse:

    Bei der Einschätzung, was gegenwärtig hinsichtlich großer Datensammlungen passiert bzw. in der Öffentlichkeit plötzlich (das Phänomen ist seit langem für Experten offensichtlich) Aufmerksamkeit erregt, gilt es klar zwischen individuellen und institutionellen Aspekten zu unterscheiden. Die institutionellen Aspekte betreffen alle gesellschaftlichen Systeme und deren Institutionen wie Politik, Ökonomie, Gesundheit, Bildung und Administration. Information wird in einem nie dagewesenen Umfang gesammelt und ist für soziologische Analysen verfügbar. Zu welchem Zweck gesammelte Daten analysiert und verwendet werden, wird derzeit mehr und mehr (durch investigative Journalisten und sogenannte Whistleblower) sichtbar.

    1. Die NSA hat administrative Aufgaben im Dienst der USA-Regierung. Es ist nicht bekannt, für welche Regierungsinteressen die umfassenden Datenbanksysteme der NSA derzeit angewandt werden. Die US Regierung behauptet, die derzeitigen Aktivitäten der NSA dienten „ausschließlich“ der Abwehr terroristischer Absichten und Pläne gegen die USA. Vermutlich beschäftigt sich die NSA auch mit industriellen Spionageaktivitäten. Zumindest verfolgt sie Entwicklungen, die Einfluss auf die Waffentechnik haben (welche technischen Entwicklungen haben das nicht?). Vermutlich kontrolliert NSA auch Geldströme. Ob sie sich auf die Analyse von Geldströmen terroristischer Organisationen beschränkt, ist nicht bekannt. Es gibt keine gesicherten Erkenntnisse, ob und wie die US Regierung Geldströme der Regierungen Saudi Arabiens und Katars an die religiös fundamentalistischen Salafisten und Muslimbrüder Nordafrikas einschätzt. Es ist offensichtlich, dass die meisten Terroraktionen von religiös fundamentalistischen Gruppen ausgehen. NSA-Daten können jederzeit für zusätzliche Analysen herangezogen werden.

    2. Medienunternehmen wie Google und Facebook generieren umfangreiche Datensammlungen. Die Daten werden benutzt, um die Entwicklung und den Betrieb deren Systeme mit Werbeeinnahmen zu finanzieren. Andere finanzielle Potentiale, z.B. dass Daten an andere Institutionen weitergeben (verkauft) werden, z.B. an staatliche Institutionen wie NSA oder wirtschaftliche Unternehmen wie Versicherungsgesellschaften, ist Betriebsgeheimnis.

    3. Unternehmen wie der US-Service 23andMe, deren Geschäftsmodell auf genetischen Analysen und Präpositionen von genetisch bedingten Krankheiten beruht, generieren umfangreiche Datensammlungen. Diese Daten haben das Potential, zukünftige Aktivitäten der Versicherungswirtschaft und des Personalwesens großer Konzerne „effektiver“ zu gestalten.

    4. Es gibt unzählige Beispiele anderer Datensammlungen, die von Unternehmen und staatlichen Institutionen betrieben werden. Mehr und mehr der verschiedensten Datenbanksystemen werden vernetzt, um assoziiertes „Wissen“ zu generieren (Datamining). Die Mehrzahl der Entwicklungen der Software für umfassende Datenanalysen wird nicht von Universitäten sondern von finanzstarken Unternehmen betrieben.

    Die derzeitige öffentliche Diskussion zum Thema NSA und Medienüberwachung wird von einer Elite geprägt, die versucht, die breite Bevölkerung gegen potentiell schädliche gesellschaftliche Einflüsse einer Technologie zu mobilisieren. In vielen Fällen sind warnende Stimmen zu übertriebenem Fortschrittsglauben berechtigt. Wie sich gesellschaftliche Verhältnisse zukünftig verändern werden, ist nicht vorhersehbar. Die entscheidenden Einflüsse auf gesellschaftliche Verhältnisse werden durch ökonomische Prozesse, speziell durch industrielle Konzentrationen und durch private und staatliche Geldströme, geprägt.

    Es sind Krisensituationen vorstellbar, in denen umfangreiche Datensammlungen nicht nur zur Abwehr von Terrorgefahren verwendet werden, sondern notfalls zur Kontrolle von gesellschaftlich schädlichen illegalen unternehmerischen Aktivitäten und Finanzströmen.

    AntwortenLöschen