Ewiger Landfriede
Sicherheit zum Grundrecht zu erklären, pervertiere die Idee des Rechtsstaats, schrieb der Kriminologe und Rechtsphilosoph Peter Alexis Albrecht auf dem Höhepunkt der Terrorhysterie vor zehn Jahren: Statt den Bürger vor der Willkür des Staates zu schützen, erhebe der Staat Anspruch auf ordnungsgemäßes Verhalten seiner Bürger. Aber der Rechtsstaat hat keine Veranlassung, Sicherheit in den Verfassungsrang zu erheben. Seiner Schutzpflicht kommt er mühelos auf der Grundlage bestehender Verfassungsartikel zur Menschenwürde, körperlichen Unversehrtheit, Presse- und Religionsfreiheit nach. Im Übrigen gilt mit Kant: Der Staat ist legitimiert durch die Freiheit, Gleichheit und Selbständigkeit seiner Bürger.
Wie skrupellos diese Legitimationsgrundlage seit Jahren in Frage gestellt wird, beweisen die Enthüllungen von Edward Snowden.
Auf die Veröffentlichungen des ehemaligen Mitarbeiters der amerikanischen Geheimdienstagenturen NSA und CIA wird mit einem bunten Reigen von vegetativen Reflexen bis hin zu Übersprunghandlungen reagiert. Bemerkenswert ist die schizoide Episode, die einige Repräsentanten der Sicherheitsarchitektur durchleben: Wer gestern noch Angst vor Terrorismus, Kampfhunden oder Asylbewerberheimen geschürt hat, um sicherheitspolitische Eingriffe in die bürgerlichen Freiheitsrechte zu rechtfertigen, verharmlost nun grundrechtswidrige Maßnahmen im virtuellen Raum. Am anderen Ende des Spektrums löst sich die Netzgemeinde aus ihrer anfänglichen Schockstarre und veranstaltet „Kryptoparties“ nach dem Vorbild von Tupperware – nur dass hier für Kryptografie und Verschleierung im persönlichen Computeralltag geworben wird.
Dies ist vergleichbar mit dem Bau der Maginot-Linie in den dreißiger Jahren, wie das amerikanische Magazin TechCrunch scharfsinnig beobachtet hat: Mit verschlüsselten E-Mails und anonymisierten Internet-Tunneln baut man sich einen digitalen Festungsgürtel, von dem sich die Angreifer leider kaum aufhalten lassen – drôle de guerre 2013. Erstens lässt sich direkt auf Rechner zugreifen, bevor oder nachdem der Nutzer ver- oder entschlüsselt – bei der überwältigenden Marktdominanz unsicherer Betriebssysteme sind die Endgeräte keine Hürde. Zweitens kann niemand einen verantwortungsbewussten Umgang mit PGP-Schlüsseln und anderen Kryptoverfahren von Nutzern erwarten, die ihre Facebook-Privatsphäre kaum im Griff haben. Und drittens –vielleicht die schlimmste Erkenntnis selbst für hartgesottene Verschwörungstheoretiker: Keine der Schutztechniken funktioniert, wenn jemand Zugriff auf die gesamte Kommunikation hat. Das vielgerühmte Verwischen von Nutzerspuren im „onion routing“ ist wirkungslos, wenn eine weltweit operierende Spitzelarmada an allen Ein- und Ausgängen gleichzeitig lauert und individuelle Daten auch ohne direkte Identifizierung der Nutzer zu einem persönlichen Profil verknüpfen kann.
Ein konsequenter, robuster Schutz vor Attacken ist trotzdem wichtig. Bruce Schneier, Krypto-Papst der amerikanischen Hacker-Bewegung, vertraut starker Verschlüsselung auch weiterhin. Je mehr Kryptografie eingesetzt werde, desto schwieriger sei es für potenzielle Angreifer, den Datenverkehr zu belauschen: „Die beste Verteidigung ist es, unsere Überwachung so teuer wie möglich zu machen.“ Aber auch Schneier warnt davor, wie brüchig die Fundamente dieser Verteidigung sind. Notorische Paranoiker, die immer schon wussten, dass die Geheimdienste hinter ihnen her sind, erbleichen angesichts des tatsächlichen Ausmaßes der Manipulationen. Auch wenn bisher erst ein Bruchteil der Snowden-Dokumente veröffentlicht sind, gibt es kein Zurück in den Zustand der Unschuld mehr: Wir wissen, dass alle Computersysteme kompromittierbar sind und staatliche Dienste diese Schwachstellen gezielt ausnutzen – und den Einbau weiterer Hintertüren veranlassen, wenn ihnen die vorhandenen nicht bequem genug erscheinen.
Die höhnische Empfehlung von Bundesinnenminister Hans-Peter Friedrich, jeder Anwender solle für die Sicherheit im Internet selbst sorgen, ist deshalb blanker Zynismus. Auch wenn wir prinzipiell sichere Hard- und Software zur Verfügung hätten – was nicht der Fall ist –, wäre es alles andere als trivial, mehr Sicherheit im Netz durch eine Verhaltensänderung seiner Nutzer herzustellen. Während die meisten Menschen verstanden haben, dass der regelmäßige Griff zur Zahnbürste wichtig ist, wird das digitale Äquivalent täglicher Dentalhygiene sträflich vernachlässigt: Die zahlreichen Sicherheitsupdates aller Softwarehersteller werden von 40 Prozent der Anwender schlicht ignoriert, hat eine Studie der Microsoft-Tochter Skype letztes Jahr ermittelt. In derart ungepflegte Systeme einzubrechen ist kaum schwieriger als online Schuhe zu kaufen. Nimmt man theoretisch an, dass Server, PC, Tablet und Smartphone einigermaßen gegen feindliche Übernahmen abgedichtet sind, ist die Kommunikation zwischen ihnen dennoch kaum abzusichern, solange keine Einbußen bei der Bedienbarkeit akzeptiert werden. „Convenience“ ist mit Datensicherheit nicht in Einklang zu bringen. Je wichtiger die Mühelosigkeit von Transaktionen im Netz ist, desto geringer sind die Sicherheitsbedenken, desto höher ist die Bereitschaft, die eigene Deckung sinken zu lassen.
Sicherheit vor dem Zugriff des Staates bietet in letzter Konsequenz aber nicht die Technik, sondern das Recht. Das gilt nicht nur für den „Kernbereich privater Lebensgestaltung“, der auch bei gesetzlichen Überwachungsmaßnahmen geschützt bleiben soll. Nota bene: Wenn sie Abhörmaßnahmen nach § 100 a StPO anordnen, müssen Richter oder Staatsanwälte sich auf das Fein- und Pflichtgefühl der Ermittlungsbehörden verlassen können. Ein überwachter Drogenhändler wird auch dann weiter abgehört, wenn er zwischen zwei Deals Telefonsex treibt – die Mikrofone werden nicht etwa diskret abgeschaltet, nur darf der Mitschnitt nicht verwendet werden. Einem solchen Verwertungsverbot unterliegen natürlich alle möglichen Behörden, Dienste, Agenturen, freischaffenden Spitzel oder Wirtschaftsspione. Die eigentliche Erschütterung durch die Ausspähaffäre liegt in dem mulmigen Gefühl, allen Genannten gleichermaßen misstrauen zu müssen.
Der Vertrauensverlust in staatliche Stellen ist nicht zu beheben, solange sie sich derselben Methoden bedienen wie die organisierte Kriminalität. Beim „Bundestrojaner“ war dieser Aspekt jüngst Gegenstand der Erörterung. Das Bundeskriminalamt (BKA) will ein Werkzeug in Dienst stellen, das die Integrität von technischen Systemen kompromittiert. Ein Haus weiter, beim Bundesamt für Sicherheit in der Informationstechnik (BSI), gehört es zu den nobelsten Aufgaben, die Sicherheit der Kommunikationstechnik von Behörden, Unternehmen und privaten Anwendern zu verbessern. Der gemeinsame Dienstherr von BKA und BSI, das Bundesinnenministerium, leidet sozusagen unter einer Amtspersönlichkeitsspaltung: Die eine Hirnhälfte zertifiziert IT-Sicherheit, die andere knackt sie wieder auf.
Aber wie verhält man sich gegenüber einem Staat, der zur handfesten Bedrohung der Wirtschaft und Gesellschaft geworden ist? Der geheime Schwachstellen, so genannte „Zero-Day-Exploits“ auf dem Schwarzmarkt erwirbt, die nur einem einzigen Zweck dienen: dem verdeckten Einbruch in fremde Computer?
Google, Apple und andere amerikanische Unternehmen, die in den Strudel des Misstrauens geraten sind, weil ihnen der Verrat privater Informationen unterstellt wurde, gehen gerichtlich gegen ihre Verschwiegenheitspflicht vor. Wenn sie schon gesetzlich dazu gezwungen sind, den Anforderungen der Sicherheitsbehörden zu entsprechen, wollen sie wenigstens darüber informieren dürfen. Die Glaubwürdigkeit der eigenen Unternehmen und damit auch ihre wirtschaftliche Grundlage sind gefährdet, wenn Kunden sich nicht auf die Diskretion der Anbieter verlassen können. Vergleichbare juristische Aktivitäten hat es in Deutschland bislang nicht gegeben, vielleicht auch deshalb, weil der hiesige Rechtsrahmen enger gesteckt und die Anlässe weniger zahlreich sind.
Aber in der Branche rumort es kräftig. Marktführer Telekom hat in einer Allensbach-Umfrage aus dem September feststellen müssen, dass seine Vertrauenswürdigkeit von 45 auf 39 Prozent gesunken ist, bei anderen Anbietern sieht es noch schlimmer aus. Der Telekom-Vorstand will die verlorenen sechs Prozent immerhin zurückgewinnen und kündigt an, das Routing von Daten nur noch innerhalb Deutschlands zuzulassen und den Abruf und Versand von E-Mails nicht mehr unverschlüsselt zu erlauben. Andere Firmen werden sich konzernintern mit unangenehmen Fragen beschäftigen müssen: Darf ein Mobilfunkanbieter in Zukunft noch die Sprach-Mailboxen aller seiner europäischen Niederlassungen in, sagen wir mal, tschechischen Rechenzentren speichern?
Schon die Frage führt in die Irre, geschweige denn die Antwort, falls sie tatsächlich „Renationalisierung des Datenverkehrs“ hieße. EU-Kommissarin Nelly Kroes will einen „Connected Continent“ schaffen, einen gemeinsamen europäischen Markt für Telekommunikation. Wirtschaftlich ist es sinnvoll, Daten nach Gutdünken irgendwo in Europa zu verarbeiten. Diese grenzüberschreitende europäische Freiheit der Datenströme wird aber schon heute auf breiter Front angegriffen. Die Briten sind nicht die einzigen Mitglieder der Europäischen Union, deren Sicherheitsbehörden es für selbstverständlich halten, „ausländische Daten“ im Interesse der nationalen Sicherheit abzugreifen, sobald sie über das eigene Territorium transportiert werden. Eine gemeinsame Positionierung gegen Ausspähung kann nur scheitern, wenn einzelne Länder befürchten, der Durchsetzung ihrer nationalen Sicherheitsinteressen zu schaden.
Internationale Datenschutzstandards müssen her, keine nationalen Alleingänge beim Routing von E-Mail. Wer Gesetze gegen den Grenzübertritt von Daten fordert, hat jede Hoffnung auf einen funktionierenden Rechtsrahmen für das globale Internet aufgegeben. Die Initiative der Telekom für ein „Schengen-Netz“, an dessen Grenzen streng kontrolliert wird, welche Datenpakete passieren dürfen, ist in vieler Hinsicht Unfug. Eine derart verkrüppelte Netztopologie ist weder technisch noch ökonomisch sinnvoll, und es sollte niemand der Illusion erliegen, man könne sich damit wenigstens mehr Datensicherheit erkaufen. Die Überwachbarkeit des Netzes wird durch regionale Parzellierung in keiner Weise eingeschränkt, und der Kreis der Zugriffsberechtigten wird auch nicht kleiner, solange von einer fruchtbaren internationalen Zusammenarbeit der Geheimdienste ausgegangen werden muss. Eines ist allerdings sicher: Unternehmen wie der Telekom, die heute schon über „Engpässe“ im Netz klagen und nicht etwa einen bedarfsgerechten Breitbandausbau, sondern eine Drosselung der Anschlusskapazitäten planen, sollte der ausfallsichere Betrieb eines deutschen oder Schengen-weiten Cyberspacelets nun wirklich nicht anvertraut werden.
Gegen wen versuchen wir uns eigentlich zu schützen? Kann man überhaupt von einem Bedrohungsszenario sprechen, wenn der Gegner der eigene Staat ist? Das radikal Neue am Snowden-Skandal ist, dass wir demokratisch gewählte Regierungen auf eine Stufe mit Cyberkriminellen stellen. Welche Möglichkeiten bleiben dann noch? Wenn die Staatsmacht sich per Dekret, technischer Richtlinie oder Gesetz verdeckt und unter Ausnutzung geheimer Hintertüren Zugang zu privaten Daten verschaffen darf, versagt jeder Schutz.
Ob es einen gesellschaftlichen Konsens darüber gibt, wie schlimm diese Zustände sind, spielt keine Rolle. Staatlicher Handlungsbedarf im Interesse der Privatsphäre seiner Bürger und der Unversehrtheit der wirtschaftlichen Grundlage der Gesellschaft besteht auch dann, wenn die Mehrheit der Bevölkerung (wie in Großbritannien) oder die Medien (wie in Frankreich) selbst den mittlerweile aufgedeckten, skandalösen Umfang für unbedenklich oder Ausdruck eines berechtigten Interesses der Sicherheitsbehörden halten. Die massive Attacke des britischen Abhördienstes GCHQ auf Systeme der belgischen Telefongesellschaft Belgacom, an die das Brüsseler Nato-Hauptquartier, das Europäische Parlament und die Kommission angeschlossen sind, ist ein unglaublicher Vorgang, auf den mit aller Härte reagiert werden müsste. Solange in dieser Frage kein Konsens auf EU-Ebene möglich ist, kann man sich jede politische Diskussion sparen.
Wie in Deutschland mit der Snowden-Affäre umgegangen wird, ist ein Indiz für das voraussichtliche Scheitern der innenpolitischen Auseinandersetzung. Die Bundesnetzagentur hat Unternehmen zum vermutlichen Ausmaß der Bespitzelung befragt, aber das Interesse galt ausschließlich illegalen Abhöraktivitäten seitens NSA oder GCHQ – etwaige Ausspähungen durch inländische Akteure wurden nicht erhoben. Die Kontrolle der Geheimdienste ist ein schlechter Witz, solange weder das Parlamentarische Kontrollgremium noch der G10-Ausschuss eine aktive Rolle einnehmen – derzeit behandeln sie nur Vorgänge, die ihnen vorgelegt werden. Wie wenig gewissenhaft diese Behandlung allerdings selbst dann ausfällt, wenn der Ausschuss mit konkreten Maßnahmen befasst wird, sieht man leider an der kürzlich bekanntgewordenen Ausspähung von Datenverkehr am Frankfurter DE-CIX durch den Bundesnachrichtendienst. Auch wenn der Club diskreter älterer Herren im G10-Ausschuss sicher nicht über technische Kenntnisse in nennenswertem Umfang verfügt, hätte ihm die stümperhafte und fahrlässige Selektionsmethodik auffallen müssen: Die wiederholt genehmigte Maßnahme ist völlig ungeeignet, ausländischen von deutschem Datenverkehr sauber zu trennen. Man kann nur hoffen, dass die Erfahrungen aus der Spähaffäre wenigstens der Vorratsdatenspeicherung den Garaus machen. So absurd es klingt, aber nach dem parlamentarischen Ausscheiden der letzten Fackelträger liberaler Freiheitsrechte ist nicht erkennbar, wer sich der Union in dieser Frage ernsthaft entgegenstemmen wird. Mit viel Glück stellt noch jemand fest, dass eine verfassungskonforme Umsetzung des Verfassungsgerichtsurteils zur Vorratsdatenspeicherung gar nicht möglich ist. Bislang dürfte sich außerhalb der betroffenen Unternehmen kaum jemand Gedanken darüber gemacht haben, wie man der Anforderung der Richter nach einer verschlüsselten Speicherung von Daten nachkommen will. Jede versuchte Umsetzung muss man sich wie ein gigantisches Hütchenspiel vorstellen, weil immer nur die Portion gespeicherter Daten entschlüsselt werden darf, für die eine Ermittlungsanforderung gilt – aber niemand kann legal wissen, ob die angeforderten Daten in der verschlüsselten Portion enthalten sind, ohne sie zu entschlüsseln.
Ziviler Ungehorsam seitens der Unternehmen ist nicht zu erwarten. Bei allem Interesse an der Abwehr von Schnüffelattacken ausländischer Mächte ist es nicht möglich, die Schotten vollkommen dicht zu machen, wenn inländischen Sicherheitsdiensten derselbe Zugriff weiter gewährt werden muss. Wer sich solchen Anforderungen widersetzt, riskiert die Betriebsuntersagung, aber ein solcher Widerstand ist bei börsennotierten Unternehmen undenkbar – und das sind die großen Telekommunikationsfirmen in Deutschland, die 99 Prozent des Marktes unter sich aufteilen.
Wenn Politik, Wirtschaft und Gesellschaft versagen, bleibt am Ende nur das Recht. Der Ewige Landfriede von 1495 markierte den Wechsel von willkürlicher Machtausübung zum modernen Rechtsstaat. Inmitten der feudalistischen Kleinstaaterei des Deutschen Reiches half als letzte Instanz nur das Frankfurter Reichskammergericht, das jedermann anrufen konnte, der sich von der Obrigkeit eines Satrapenstaates ungerecht behandelt fühlte. Heute ist diese letzte Instanz der Europäische Gerichtshof für Menschenrechte. Seit Anfang Oktober liegt dort eine Beschwerde gegen die britische Regierung vor, wegen illegalen Eingriffs in die Privatsphäre von Millionen britischer und europäischer Bürger.
Ob es noch hilft? Großbritannien, seit Jahrhunderten der Leuchtturm der Demokratie, gehörte 1951 zu den Erstunterzeichnern der Europäischen Menschenrechtskonvention. Dass David Cameron vor wenigen Wochen verkündete, die Briten könnten aus der Menschenrechtscharta austreten, bestätigt die schlimmsten Befürchtungen.
(Dieser Text ist am 22. Oktober 2013 als Online-Spezial-Beitrag der Berliner Republik und als Meinungsbeitrag beim Think Tank Das Progressive Zentrum erschienen)