Die paradoxen Folgen des Datenwahns
Der Cyberspace ist ein Eldorado für Datenhungrige. Digitale Technologien sind auf dem denkbar unsichersten und daher auch überwachungsfreundlichsten Niveau zusammengewachsen. Dies hat nicht zuletzt historische Gründe, denn zu der Zeit, als das Internet für den wissenschaftlichen Datentransfer gebaut wurde, spielte Sicherheit eine untergeordnete Rolle. Das ist heute anders. Dennoch verwenden wir noch immer die gleichen Prinzipien für die Datenübermittlung in Netzwerken. So erfolgt der Datenaustausch zwischen Sender und Empfänger standardmäßig unverschlüsselt, was das „packet sniffing“ oder „traffic sniffing“, also das Abfangen und Lesen von Datenpaketen durch Dritte extrem einfach macht.
Hinzu kommen ökonomische Gründe: Der Softwaremarkt ist geprägt von einer Winner-takes-it-all-Logik und (Quasi-)Monopolen. Schuld ist der so genannte Netzwerkeffekt: Der Nutzen eines Produkts wächst, umso größer dessen Nutzerzahl wird. Angesichts des hohen Kosten- und Zeitdrucks achten die kommerziellen Softwareentwickler daher meist nur auf die Funktionalität und eine schnelle Auslieferung. Qualitätskriterien, gerade in Bezug auf Sicherheit, spielen hingegen eine untergeordnete oder gar keine Rolle. In den meisten Programmen und Betriebssystemen befinden sich folglich unzählige (häufig nicht einmal bekannte) Sicherheitslücken, die zu ganz unterschiedlichen Zwecken missbraucht werden können – zum Beispiel zur Cyberspionage.
Außerdem ist die Internetinfrastruktur der Geografie von Staatsgrenzen beziehungsweise Hoheitsgebieten unterworfen: Internetserviceprovider, IT-Firmen, aber auch jeder Server und Heimcomputer befinden sich auf einem Staatsgebiet mit je spezifischen Gesetzen. Datenpakete „reisen“ und passieren dabei Landesgrenzen – häufig auch dann, wenn sich Sender und Empfänger im gleichen Land befinden. Die Daten fließen durch die insgesamt rund 300 000 Kilometer Glasfaserkabel, die die Welt miteinander verbinden – sehr häufig über die USA. Früher oder später treffen auch die dicken Seekabel auf Land und können dort von den jeweiligen Geheimdiensten „legal“ angezapft werden.
Big Data, die digitale Goldgrube
Das Sniffing zum Zwecke der Datenspionage kann mit Software oder Hardware an unterschiedlichen Stellen der Netzwerkinfrastruktur erfolgen. Im Falle des gigantischen Überwachungsapparats NSA sind bisher vier Arten der Datensammlung aufgedeckt worden:
Erstens werden (potenziell alle) Telefon(meta)daten der wichtigsten amerikanischen Telefonanbieter gespeichert. Diese Metadaten bestehen (mindestens) aus Informationen darüber, wer wen anruft und wie lange der Anruf dauert. Es gibt mittlerweile auch genügend Hinweise darauf, dass auf Daten von Telefonanbietern in anderen Ländern zugegriffen werden kann.
Zweitens hat die NSA unter dem als PRISM bekannt gewordenen Programm direkten Zugriff auf die Daten der wichtigsten Internetfirmen, von denen die allermeisten amerikanisch sind. So haben sie Zugriff auf E-Mails, die mit dem Maildienst Gmail verschickt werden, auf Dokumente, die in Dropbox gespeichert sind, auf alle Facebook-Daten, auf Skype-Telefonate et cetera. Zwar haben diese Firmen abgestritten, direkt involviert zu sein, aber es gibt genügend Hinweise darauf, dass die Daten beispielsweise über speziell dafür eingerichtete virtuelle Briefkästen sehr einfach in die Hände der NSA gelangen.
Drittens wird der Internetverkehr direkt an den wichtigsten Glasfaserkabeln („Internet Backbones“) angezapft. Das Glasfaserkabel TAT-14 zum Beispiel, das die USA mit Europa verbindet, wird durch den britischen Geheimdienst GCHQ überwacht. Die Datenmenge, die täglich durch die großen Kabel fließt, ist gigantisch. Darum werden bei der Datensammlung Filterprogramme eingesetzt, die zwischen relevanten und irrelevanten Daten unterscheiden können. Neben relativ simplen Schlagwortlisten dürften auch etwas kompliziertere Algorithmen im Einsatz sein.
Viertens hat die NSA (nicht öffentliche) Sicherheitslücken in gängigen Betriebssystemen ausgenutzt, um an zahlreichen strategisch opportunen Stellen der Internetinfrastruktur NSA-Trojaner einzuschleusen. Um welche Computersysteme es sich dabei handelt, ist bisher noch nicht bekannt. Diese Hintertüren oder Schläferprogramme können zu unterschiedlichen Zwecken – etwa zur Überwachung, zur Spionage, für Störaktionen und andere Maßnahmen – verwendet und jederzeit aktiviert werden.
In der Wirtschaft und der Wissenschaft sowie in Geheimdienstkreisen gilt „Big Data“ als einer der vielversprechendsten IT-Trends der kommenden Jahre. Es geht darum, Massen von Daten zu sammeln und zu speichern, um sie nach spezifischen Informationen zu durchforsten oder daraus mit ausgeklügelten Algorithmen neue Informationen zu generieren. Grundsätzlich darf im Zeitalter von Big Data die Regel gelten: „Was technisch gemacht werden kann, wird gemacht“ oder „Was gesammelt werden kann, wird gesammelt“.
Wir alle produzieren täglich bewusst oder unbewusst eine Menge von Daten. Und man muss nicht einmal im Internet aktiv sein, um Spuren zu hinterlassen: Es reicht, mit der Kreditkarte zu bezahlen, eine Reise in einem Reisebüro zu buchen oder im Adressbuch eines Facebook-Mitglieds eingetragen zu werden. Noch mehr Daten entstehen natürlich, wenn wir E-Mails verschicken oder das Internet benutzen. Browser sammeln und speichern routinemäßig Informationen über unsere Webseiten-Besuche. Webseiten speichern häufig kleine Programme auf unseren Computern, um uns leicht wiederzuerkennen. Dazu kommen Inhalte, die bei der Nutzung von sozialen Netzwerken entstehen und solche, die wir in eine der gängigen „Clouds“ stellen.
Auch die intelligente Zahnbürste produziert Daten
Darüber hinaus werden viele Daten weniger „bewusst“ generiert. Alle unsere mobilen Geräte wie Handys oder Tablets sammeln und tauschen im Hintergrund Daten aus, über die wir häufig nicht informiert sind. Das klassische Beispiel sind Mobiltelefone, die ständig mit Sendemasten „kommunizieren“, so dass unser genauer Standort jederzeit feststellbar ist. Smartphone-Apps generieren zusätzliche Informationen und sammeln private Daten. In Zukunft werden wir von „intelligenten“ Dingen und Apparaten umgeben sein, die untereinander und mit dem Internet verbunden sind. Viele solcher Produkte sind bereits auf dem Markt: der intelligente Kühlschrank, die intelligente Zahnbürste, intelligente Kleider, intelligente Autos. Sie alle hinterlassen permanent Datenspuren, die gesammelt werden können.
Während bereits die umfassende Datensammlung durch Firmen und Geheimdienste Unbehagen hervorruft, werden die Konsequenzen erst richtig ersichtlich, wenn wir uns die Möglichkeiten der Auswertung anschauen. Mit dem Programm XKeyscore zum Beispiel können die Mitarbeiter der NSA Daten verschiedener Quellen miteinander kombinieren und mithilfe einer Netzwerkanalyse detaillierte Einblicke in das Privatleben und das Beziehungsgeflecht jedes Einzelnen gewinnen.
Noch weitreichender sind neuere Berechnungsverfahren, bei denen es weniger um die Gegenwart geht, als vielmehr um die Zukunft – insbesondere um das zukünftige Verhalten von Personen. Plötzlich macht das Argument „Aber ich habe ja gar nichts zu verbergen“ keinen Sinn mehr: Im Zeitalter von Big Data ist es möglich, Voraussagen über die Wahrscheinlichkeit zu machen, mit der eine gewisse Person etwas tun wird oder wo sich gewisse Dinge mit großer Wahrscheinlichkeit ereignen werden. Dabei muss die Person, um die es geht, gegenwärtig nicht einmal die Absicht haben, so zu handeln – ihr bisheriges Verhalten ist Hinweis und Beweis genug. Schon heute versuchen Online-Anbieter, das Nutzerverhalten vorauszusehen: Kauft Person X dieses Produkt, ist es sehr wahrscheinlich, dass sie sich auch für jenes Produkt interessiert. Aber es geht noch weiter: Besucht Person X diese und jene Webseite, ist mit dieser und jener Person in Kontakt, weist dieses und jenes Bewegungsprofil auf, dann ist es wahrscheinlich, dass Person X in den kommenden zwei Jahren einen Terroranschlag verüben wird.
Kein Interesse an Datensicherheit
Wurde das wahrscheinliche Verhalten einmal vorausberechnet, kann mit spieltheoretischen Modellen eruiert werden, wie das Verhalten mit vorausschauenden Gegenmaßnahmen am effizientesten beeinflusst werden kann. Dabei wird offensichtlich: Die gleichen Daten lassen Voraussagen über das Nutzungsverhalten von Konsumenten ebenso zu wie Voraussagen über die Gefährdungen, die von Personen ausgehen. Vom Zugriff auf Daten profitieren also Unternehmen wie Geheimdienste gleichermaßen.
Aus Sicht des Datenschutzes sind diese Entwicklungen beängstigend, vor allem weil die so genannte Kommerzialisierung von Daten meistens nicht entgegen der Wünsche der Benutzer erfolgt, sondern weil unser Leben dadurch scheinbar effizienter und bequemer wird. Die immer spezifischeren Angebote von Firmen sind bestenfalls aufdringlich. Unangenehmer wird es, wenn Personen von bestimmten Angeboten ausgeschlossen werden, weil Aspekte ihres (privaten) Lebens aus irgendeinem Grund nicht den Ansprüchen einer Firma entsprechen. Noch viel unangenehmer könnte es werden, wenn demokratische Rechte, wie das politische Andersdenken, in Zukunft zum Anlass für staatliche Interventionen im Sinne der „vorausschauenden Sicherheit“ werden.
Darüber hinaus zeigt sich, dass die Zusammenarbeit von Unternehmen mit den Staatsdiensten weitreichende Folgen für die Informationssicherheit hat. Weder Firmen noch Staatsdienste haben ein Interesse daran, Daten und Datenaustausch sicher zu machen, etwa durch Verschlüsselung. Im Gegenteil: Die amerikanische Regierung gibt hohe Summen aus, um existierende Verschlüsselungsstandards zu knacken – und hat offenbar aktiv daran mitgewirkt, dass verbreitete Verschlüsselungssysteme Schwachstellen aufweisen, die ein Ausspähen ermöglichen.
Erst Sabotage, dann Apokalypse?
Aber die Konsequenzen gehen noch weiter. Die NSA hat in den vergangenen Jahren nachweislich Sicherheitslücken in Computersystemen verschwiegen, um sie für strategische Zwecke auszunutzen. Dabei wurden anscheinend in wichtige Systeme Hintertüren eingebaut, durch die abgehört, aber auch gestört und sabotiert werden kann. Derart infizierte Maschinen senken die Sicherheit des gesamten Systems. Es gibt keine Garantie dafür, dass diese Lücken nicht von kriminellen Hackern oder sogar Terroristen aufgedeckt und ausgenützt werden können. Auf diese Weise gefährdet die NSA die Sicherheit des gesamten Internets. Es entsteht die paradoxe Situation, dass der Staat, der am lautesten und am längsten vor der Cyber-Apokalypse gewarnt hat, sie weitaus wahrscheinlicher macht.