Cyberdrama, Baby!
Zirkelschlüsse, die zum Fundament der Politik werden, sind mehr als nur ein erkenntnistheoretisches Problem. Wenn aus falschen Prämissen logische Konsequenzen abgeleitet werden, dann ist auch die Schlussfolgerung falsch. Da kann sie noch so plausibel und vernünftig klingen, sie wird davon nicht wahrer. Auch nicht bei der Abwehr von Terror, Kindesmissbrauch oder Spionage.
Jede Tatsache, sagt Leibniz, setzt eine raison suffisante voraus. Ein solcher „zureichender Grund“ fehlt besonders in der Sicherheitspolitik. Zu erkennen ist das immer dann, wenn Maßnahmen, die den Behörden und dem Gesetzgeber ausreichend begründet erschienen, mal wieder vom Verfassungsgericht kassiert werden. Von der Rasterfahndung über das Luftsicherheitsgesetz bis zur Vorratsdatenspeicherung, dazu die Terrordatei oder der Große Lauschangriff – Beispiele gibt es en masse, und zwar quer durch verschiedene Ermittlungsoptionen und exekutives wie militärisches Handeln. Das Muster, das sich daraus ergibt, wirkt paradox: Recht und Gesetz, das passt offenbar nicht immer zusammen.
Nützlich, aber verfassungswidrig
Dafür gibt es zwei mögliche Ursachen. Die erste: Es gab keinen zureichenden Grund, sondern nur eine Rechtfertigung für Maßnahmen, die nützlich schienen, aber verfassungswidrig waren. Die zweite mögliche Ursache ist eine Besonderheit des sicherheitspolitischen Umfelds: „Wir wissen etwas, das so schrecklich ist, dass wir es dir nicht sagen dürfen, aber du kannst uns glauben, dass es einen zureichenden Grund darstellt!“ Wenn das Verfassungsgericht das Gesetz dann dennoch mitsamt seiner Begründung verwirft, lässt das nur den Schluss zu, dass eine ganze Menge passieren muss, bevor etwas so schrecklich ist, dass es die Einschränkung von Grundrechten erlaubt.
Kaum Geltung hat die raison suffisante im virtuellen „Cyberraum“. Das sollte jetzt niemanden wundern, denn der ist ja bekanntlich rechtsfrei, so will es der Mythos. Vielleicht liegt das daran, dass es bei der Bewertung von Verhältnismäßigkeit und Wirkung eine doppelte Fehleinschätzung gibt: Maßnahmen im digitalen Umfeld werden sorgloser betrachtet, weil man sie im Sitzen erledigen kann, ohne großen Aufwand, ohne persönliche Konfrontation. Im scharfen Kontrast dazu steht das Entsetzen über tödliche Gefahren, die in diesem virtuellen Raum vermeintlich hinter jeder Schnittstelle lauern. Cyberdrama, Baby: Irgendwo da draußen gibt es Hacker, die sich das Kommando über die Kühlanlage eines Kernkraftwerks oder die Fluttore eines Staudamms verschaffen wollen. Drogenhändler, Auftragskiller und noch schlimmere Dämonen lauern in den ganz, ganz dunklen Ecken des Darknet. Die gesetzliche Regulierung der Sicherheit im Digitalen ist getrieben von Angst, die Kontrolle zu verlieren, aber ihre fatalen Konsequenzen für bürgerliche Freiheitsrechte hält man für bloße Nebenwirkungen, die man bei wirksamer Medizin einfach in Kauf nehmen muss.
Das Problem liegt im Innenressort
Um zu verstehen, welche Mechanismen immer wieder zu einer Verschärfung des Regelwerks für polizeiliche Ermittlungen und nachrichtendienstliche Aufklärung führen, muss man den Tunnel- mit dem Panoramablick vertauschen. Die Politik will es dem Bürger so kommod wie möglich machen. Dazu gehört ein Sicherheitsbegriff, der sich nicht darauf beschränkt, zur Anschaffung von Vorhängeschlössern zu ermuntern. Die drei Säulen der Sicherheit sind verdeckt operierende Nachrichtendienste, Ermittlungs- und Strafverfolgungsbehörden im Innern sowie die Streitkräfte zur äußeren Verteidigung. Alle drei unterstützen das Staatswesen dabei, seinen Bürgern ein Höchstmaß an Sicherheit zu bieten. Alle drei sind radikalen Veränderungen unterworfen, die sie nicht selbst diktieren können. Das technische Umfeld und seine massenhafte gesellschaftliche Nutzung entwickeln sich ohne Rücksicht darauf, ob die Sicherheitsbehörden hinterherkommen.
Die Meinungen, bis zu welchen Grenzen Einschränkungen der Bürgerrechte zugemutet werden können, um den Sicherheitsauftrag zu erfüllen, unterscheiden sich maßgeblich zwischen den Ressorts. Das Militär neigt zu einer rationaleren Beurteilung der Bedrohungslage in Computernetzwerken und versucht grundrechtsschonender damit umzugehen. Unscharfe Modewörter wie „Cyber-Krieg“ würden besonnene deutsche Cybersoldaten beim Kommando Strategische Aufklärung der Bundeswehr gar nicht erst verwenden. Die dortige Gruppe CNO (Computer-Netzwerk-Operationen) bewegt sich in einem differenzierten Aufgabenfeld, das vom Dreiklang Abwehr, Exploitation und Angriff geprägt ist. Auch Wirkung soll erzielt werden können, wie immer man sich das vorzustellen hat. Aber im Unterschied zu den Sicherheitsbehörden des Inneren sind die Landesverteidiger immerhin mit ihrem informationstechnischen Arsenal zufrieden und fordern nicht ständig eine Erweiterung der Kompetenzen.
Das eigentliche Problem liegt im Bereich der inneren Sicherheit. Die Belastbarkeit des bürgerlichen Individualrechtsschutzes wird immer stärker strapaziert. Gleichzeitig ist im Innenressort die Bereitschaft zum Dialog mit Bürgern, Interessenverbänden, Unternehmen, Parlament oder Kollegen anderer Ministerien offenbar schwach ausgeprägt. Dass der Bogen regelmäßig überspannt wird, gilt nicht nur für Projekte wie Online-Durchsuchungen oder die anlasslose Massenspeicherung von Verkehrsdaten. Beim Versuch der Übernahme des gesamten Datenverkehrs aller Ministerien und obersten Bundesbehörden hat das Innenministerium sich mit vielen Häusern so zerstritten, dass der geplante Betrieb des neuen „Bundesrechenzentrums“ nun lieber beim Finanzministerium angesiedelt wird. Niemand lässt sich gern unterstellen, dass er zum Betrieb kritischer Infrastrukturen unfähig ist. Vom Verkehrsministerium zu fordern, es müsse in Zukunft die Kommunikationsleitungen zu Leuchttürmen rund um die Uhr mit Hunden bewachen lassen, ist nur ein Beispiel für die Arroganz, wegen der die Verhandlungen über die „IT-Konsolidierung des Bundes“ fast gescheitert sind.
Daten gibt es genug – Personal nicht
Hysterie ist immer die Hysterie der anderen. Der Ablauf einer Konsultation der Sicherheitsbehörden läuft schematisch ungefähr so ab: Erst gibt es eine Horrorshow von Risiken, dann werden Antworten verlangt, die der Politik aus dem Angstschweiß gepresst werden. Dass hier aber Lösungen gefordert werden, die schon auf der falschen Fragestellung basieren, fällt niemandem mehr auf. Wer sich dann doch gegen eine Erweiterung der polizeilichen oder nachrichtendienstlichen Befugnisse stemmt, muss ja wohl hysterisch sein.
Um die Harmlosigkeit des Datenhungers zu unterstreichen, wird sogar die eigene Unfähigkeit als Begründung herangezogen. Das Bundeskriminalamt weiß, dass es immer schwieriger wird, mit der alten Kinderporno- und Terrordrohkulisse zu überzeugen, nachdem hinlänglich bekannt ist, dass die Vorratsdatenspeicherung gegen nichts dergleichen wirksam ist. Der letzte Schrei im Konzert der Argumente für „retrograde“ Ermittlungen im Datenbestand der Telekommunikationsfirmen ist der Enkeltrick. BKA-Chef Holger Münch erhofft sich eine höhere Aufklärungsquote durch den Zugriff auf Vorratsdaten, weil die Zeugenaussagen der Opfer im Seniorenalter nicht ausreichen, um die Täter zu überführen.
Grundsätzlich müsste schon bei der Risikobewertung die Eintrittswahrscheinlichkeit und das Schadenspotenzial berücksichtigt werden. In der Praxis funktioniert das nicht. Wie sonst ist zu erklären, dass in den Vereinigten Staaten die Wirkungslosigkeit der umfassenden Datenerhebung im Rahmen des Patriot Act festgestellt wurde, und zwar während dessen gesamter Geltungsdauer von 2004 bis 2009? Zum selben ernüchternden Ergebnis kommen Studien zur Vorratsdatenspeicherung oder zu Videokameras auf Bahnhöfen der Berliner S-Bahn – alles Maßnahmen, die Polizeipräsidenten und Oberstaatsanwälte gern für unverzichtbar erklären. Zwei bis drei Ebenen darunter, bei den eigentlichen Kriminalisten, ist das nicht die größte Sorge. Deren Ermittlungserfolge hängen von anderen Faktoren ab. Das Problem lautet Personalmangel bei der Auswertung heute schon verfügbarer Daten, nicht die beschränkten Befugnisse zur Datenerhebung. Was ist kaputt im Personalhaushalt der Polizei, wenn beschlagnahmte Festplatten den Verdächtigten nach zwei Jahren ungeprüft zurückgegeben werden, weil es nicht genügend Forensiker gab, die sich ihren Inhalt fristgerecht ansehen konnten?
Wer demnächst allerdings genügend Personal haben wird, um neue Aufgaben als Cyberüberwachungsbehörde zu erfüllen, ist der Verfassungsschutz. Der Gesetzentwurf zur Verfassungsschutzreform hat sogar die bislang unauffällige Bundesdatenschutzbeauftragte Andrea Voßhoff zu einer geharnischten elfseitigen Stellungnahme veranlasst. Voßhoffs eigene Partei, die CDU, legte gegen ihren Auftritt bei der Anhörung im Bundestag prompt ein Veto ein. Die gesetzliche Ermächtigung der Verfassungsschutzreform macht es möglich, dass jede einzelne Telekommunikationsleitung ohne Angabe von Gründen überwacht werden kann: Die „strategische Inlandsüberwachung“ unterliegt keinem Richtervorbehalt, und die Anordnung konkreter Überwachung wäre schon durch harmlose Attacken von Freizeithackern zu rechtfertigen. Angriffe dieser Art gibt es jeden Tag Dutzende, an gehärteten Systemen tropfen sie nur spurlos ab. Untaugliche Versuche sind noch keine Bedrohung – gegen Regen hilft ein Schirm. Selbst erfolglose Attacken können aber als Begründung für die strategische Überwachung herangezogen werden. Dies gilt erst recht natürlich dann, wenn wirklich einmal ein Einbruch in die Systeme klappt, wie es im Deutschen Bundestag seit Anfang Mai wochenlang der Fall war.
Dass sich das Ausmaß des Schadens überwiegend auf hausgemachte Probleme zurückführen lässt, bleibt im Begründungszusammenhang der Bedrohung folgenlos. Hier gilt der alte Selbsterhaltungssatz des IT-Managements: Bevor wir an der Komplexität eigener Systeme scheitern, kaufen wir lieber eins von der Stange – das ist dann zwar auch nicht sicher, aber für die Anschaffung von Microsoft-Produkten ist wenigstens noch nie ein IT-Chef gefeuert worden.
Zweifel an der eigenen Abwehrfähigkeit
Eingeführte, funktionierende Open-Source-Entwicklungen werden dadurch in die Defensive gedrängt. Obwohl Sicherheitsprofis dringend raten, Quellcodes überprüfbar zu machen, findet das Gegenteil statt. Es herrscht ein regelrechter Revanchismus kommerzieller IT-Lösungen. Ganze Serverarchitekturen, die vorher auf selbstverwaltete offene Systeme gründeten, werden gegen Windows ausgetauscht. Leider ist das auch die Plattform, auf der eine Attacke wie die auf den Deutschen Bundestag zu beunruhigenden Resultaten führen kann. Alternative Lösungen für den Domänencontroller der Bundestags-IT wären im konkreten Fall wurmresistent gewesen.
Eine zweifelsfreie Identifizierung der Angreifer ist in der Regel nicht möglich, eigentlich nur, wenn man einen Bekennerbrief findet. Um Chinesen, Russen oder Nordkoreaner hinter einem Angriff zu vermuten, muss mehr vorliegen als IP-Adressen aus dem Netzsegment oder Programmfetzen in der Sprache eines bestimmten Landes. Den Verdacht auf „staatliche Akteure“ mit der angeblich „professionellen Ausführung“ einer Attacke zu begründen, ist Pfeifen im dunklen Keller. So etwas dokumentiert nur tiefe Zweifel an der eigenen Abwehrfähigkeit. Wer im Netz des Deutschen Bundestages Schabernack treiben will, wählt das passende Werkzeug aus einer Vielzahl undokumentierter Exploits aus. Das kann nicht jeder, aber viele können es. Man muss dafür nicht dem Mossad angehören.
Wir brauchen einen Nachweis, ob und in welchem Umfang verdeckte nachrichtendienstliche Tätigkeiten notwendig sind für die Herstellung von Sicherheit, und eine Kontrollinstanz, die auch Sanktionen verhängen kann, wenn ihr Lügen aufgetischt werden. Strafverfolgungsbehörden sollen ihre Ermittlungen mit auskömmlichen Mitteln, personell wie technisch, erfolgreich durchführen dürfen – aber sie haben keinen moralischen Anspruch auf Daten, wenn sie nur in grundrechtsverletzender Weise erhoben werden können. Der zureichende Grund ist und bleibt unverzichtbar.«