Freitag, 19. Februar 2010

Yahoo virus scan for attachments still brittle

The best malware scanner exists between keyboard and chair - I hope so at least. As I wrote some weeks ago, Yahoo has serious trouble with their virus scanner that automatically scans all attachments before being allowed for download. In general, I think this mechanism is quite a good idea - as long as it does what it is supposed to to. Instead, I got the impression that Yahoo's scanner is not much more than a window that automatically pops up when you press the "download attachment" button, telling you that everything is all right and thus giving you a good feeling. The sad thing is that feeling well is not much worth in security. Either a piece of software is dangerous or not - regardless what you feel.

That's what I thought when today I received this mail:

Your order has been paid! Parcel NR.4178.
Freitag, den 19. Februar 2010, 20:59:33 Uhr
Von:
Amazon Support Janette Akins
An: (erased)


Postal_package_NR624.zip (44KB)
Hello!

Thank you for shopping at Amazon.com
We have successfully received your payment.

Your order has been shipped to your billing address.
You have ordered " HP W2338H "

You can find your tracking number in attached to the e-mail document.
Print the postal label to get your package.


We hope you enjoy your order!
Amazon.com

The thing was quite clear in my eyes. I am no Amazon customer, and the mail wasn't even addressed to me. Of course, I didn't expect Yahoo to relieve the attachment's true nature, but I thought that the usual virus scanners should raise an alert.

Dr Web didn't.

Neither did Antivir, Avast, AVG and several famous antivirus laboratories. When I scanned the file at 20 h GMT, only 7 out of 41 scanners were able to detect the malicious content.

This quite puzzles me, I didn't think that the big players react that slowly.

http://www.virustotal.com/analisis/92264ce207d1a341469e4c191d1a4eb093776f9ad236855ebe4d534e8da43cfb-1266605153

Montag, 15. Februar 2010

Mitte Februar

Wenn Tausende im Freien zittern,
und Engel ihren stolzen Rittern
um elf Uhr sich "Alaaf" zutwittern,
das Bier im Glas schmeckt reichlich schal,

Wenn die Leut' Berliner mampfen,
und zu schlecht gestimmten Klampfen,
im Vierteltakt zu Schlagern stampfen,
und trinken Schnaps in großer Zahl,

bist du als Einz'ger nicht betrunken,
von allen Seiten angestunken,
die Füße in Erbroch'nem tunken,
und das Leben wird zur Qual,

Wenn Tennies Clownskostüme tragen,
und saufen bis zum Herzversagen,
dann kannst du die Prognose wagen:
Es ist wieder Karneval.

Sonntag, 14. Februar 2010

Datenschutz reloaded

Seit es soziale Netze im Internet gibt, hat sich das Datenschutzbewusstsein gewandelt. Viele Menschen haben nicht nur keine Schwierigkeiten damit, sie legen sogar Wert darauf, dass die Leute viel von ihnen wissen. Aus dem "Als rechtschaffener Mensch habe ich nichts zu verbergen" ist ein "Um für Andere interessant zu sein, erzähle ich alles von mir" geworden.

Das deutsche Datenschutzgesetz kennt diesen Fall nicht, sondern nimmt immer die schlimmstmögliche Situation an. Wer in Besitz von Daten ist, muss mit allen Mitteln daran gehindert werden, damit Schindluder zu treiben. Wer das Gesetz liest, spürt das Misstrauen, welches in jedem Absatz steckt.

Leider wird Datenschutz nicht gelebt, sondern vor allem vorgeschrieben. Jeder, der in seiner Firma mit personenbezogenen Daten umgeht, muss früher oder später eine Erklärung unterschreiben, die nicht etwa dazu dient, die Arbeitnehmer zu verantwortungsbewusstem Handeln anzuleiten, sondern vor allem die Verantwortung vom Arbeitgeber auf die Angestellten abwälzen soll. Nicht anders sind Passagen zu erklären, in denen man sich verpflichtet, die jetzigen und sämtliche jemals kommenden Datenschutzbestimmungen einzuhalten - ohne dass man sie zu Gesicht bekäme. Gerne schummeln kontrollwütige EDV-Verantwortliche in die Erklärungen noch irgendwelche Passagen zur Computersicherheit hinein - was zwar mit Datenschutz verbunden, aber eben nicht das Gleiche ist. Als Systemadministrator sollte ich unterschreiben, keine Software auf Computern zu installieren. Ich sollte keine Dateien aus dem Internet herunterladen. Ich fragte daraufhin, wie man einen Browser benutzen soll, ohne bei jedem Seitenaufruf Dateien aus dem Internet zu laden. Das konnte mir leider keiner so genau sagen.

Wer seinen Angestellten solche Erklärungen zur Unterschrift vorlegt, braucht sich nicht zu wundern, wenn jeder beim Wort "Datenschutz" wutschnaubend an die Decke geht. Worum es bei Datenschutz geht, lässt sich in einem Satz zusammenfassen: Erfasse nur das, was du unbedingt für deine Arbeit brauchst und sorge dafür, dass nur Leute an diese Daten kommen, die auch wirklich das Recht dazu haben. Man kann vielleicht noch ein paar Worte dazu sagen, worauf man in der Praxis achten sollte, aber da ist nichts, was ein vernünftiger Mensch nicht innerhalb weniger Minuten einsähe. Doch das ist nicht deutsch. Wir müssen eine simple Sache so lange in wirre Gesetzestexte kleiden, bis selbst der Gutwilligste Datenschutz für völlige Idiotie hält.

Statt die Angestellten in eine Schulung zu schicken, in der sie begreifen, warum man mit anderer Leute Daten nicht herumschlampt, lässt man sie einen Zettel unterschreiben. Nachdem man sich durch einen Federstrich die Generalabsolution erteilen ließ, passiert - nichts. Die Angestellten arbeiten weiter wie bisher, nur diesmal auf eigenes Risiko, und wenn man mal wieder einen unbequemen Mitarbeiter loswerden möchte, hat man einen weiteren Abmahnungsgrund in der Schublade.

Viele Leute wollen heutzutage gesehen werden, nur eben nicht von den Falschen. Das Video vom Absturz bei der letzten Geburtstagsfeier sollen alle Freunde unbedingt sehen können: Guckt mal, wie lustig es damals war. Wer sich im Netz präsentiert, nimmt stillschweigend an, dass alle ihm nur Gutes wollen. Überspitzt gesagt stellt er sich vor, dass jemand sein Facebook-Profil nur aufruft, um ihn zu bewundern. Dass ein Personalchef das Netz durchsucht, um zu sehen, ob der sich ihm so makellos präsentierende Bewerber nicht auch seine Schattenseiten hat, ist kaum jemandem klar.

Stellen Sie sich vor, ein Freund bitte Sie, sich Ihren Wagen ausleihen zu dürfen. Sie geben ihm den Schlüssel - davon ausgehend, dass er keinen Unsinn damit anstellen wird. Das Datenschutzgesetz ginge, um im Bild zu bleiben, davon aus, dass Ihr Freund das Auto für einen Bankraub braucht und anschließend Sie damit totfährt, weswegen es bis ins letzte Detail regelt, wie die Übergabe des Autos stattfindet, welche Strecke damit gefahren werden darf und verlangt, dass Ihr Bekannter einmal stündlich eine Polizeiwache ansteuert. Für bestimmte Anlässe dürfte dieses Vorgehen auch völlig angemessen sein, aber in vielen Fällen wirkt es wenig praktikabel, und vor allem wird dadurch kein einziger Bankraub verhindert.

Wie man an vielen Artikeln dieses Blogs sieht, ist mir Datenschutz außerordentlich wichtig, und ich habe nicht vor, ihn zu relativieren. Es geht mir vielmehr um einen Datenschutz, den die Leute verstehen, den sie als sinnvoll ansehen und den sie deswegen leben. Was wir brauchen, ist ein Datenschutz, der das erhöhte Mitteilungsbedürfnis einer Netzgesellschaft konstruktiv und kritisch begleitet sowie den Missbrauch wirksam verhindert.

Das Datenschutzgesetz trägt in seiner jetzigen Fassung dieser Anforderung kaum Rechnung. Entweder zieht man alle Zäune hoch oder lässt komplett die Hüllen fallen. Einen wirklich praktikablen Ansatz für den Wunsch "Jeder, der mein Freund sein will, darf alles von mir wissen, aber wer mir Böses will, soll sich verziehen" gibt es nicht. Zugegebenermaßen ist das auch nicht leicht.


Nachtrag: Mario Sixtus greift mit seiner immer wieder sehenswerten Kolummne "elektrischer Reporter" das Thema digitale Identitäten auf und liefert einige äußerst kluge Gedanken. Datenschutzinteressierte sollten sich das Video ansehen.

Samstag, 13. Februar 2010

Je mehr wir über sie wissen, desto weniger kennen wir sie

Ein Mann betet jeden Abend vor dem Schlafen das gleiche Gebet: "HErr, bitte lass mich im Lotto gewinnen." - ohne Ergebnis. Eines Abends aber, er hat gerade wieder die Hände gefaltet, leuchtet auf einmal der Raum in strahlendem Weiß, Engelschöre ertönen, und eine hallende Stimme spricht: "Komm, gib mir eine Chance, kauf dir ein Los."

Der Witz ist alt, das weiß ich selbst. Ich habe ihn auch schlecht erzählt. Im Witzeerzählen war ich schon immer eine Niete. Darauf kommt es mir aber auch nicht an. Vielmehr geht es mir um den Unterschied zwischen statistischer Wahrscheinlichkeit und einem tatsächlich eintretenden Ereignis.

Der Mann aus der Geschichte handelt statistisch gesehen äußerst vernünftig. Wie man leicht ausrechnet, gibt es 13.983.816 Möglichkeiten, sechs Zahlen aus 49 möglichen zu ziehen. Wer Lotto spielt, muss sich darüber im Klaren sein, dass er höchstwahrscheinlich niemals einen nennenswerten Gewinn erzielen wird. Auf der anderen Seite gibt es nur eine Möglichkeit, herauszufinden, ob man nicht vielleicht doch einen Volltreffer landet: mitspielen.

Das heißt nicht, dass ich dazu aufrufe, Lotto zu spielen. Ich finde das Spiel langweilig, und wenn man unbedingt zocken will, dann ist jede noch so unseriöse Börsenspekulation um Klassen fundierter als das Vertrauen auf 49 in einer Plexiglaskugel herumspringende Pingpongbälle.

Geht es also darum, das Auf und Ab runden Plastiks anhand statistischer Wahrscheinlichkeiten zu beurteilen, habe ich damit keine Schwierigkeiten. Anders ist es, wenn man auf die gleiche Weise Menschen behandelt.

Natürlich schätzen wir unsere Mitmenschen anhand von Wahrscheinlichkeiten ein. Jedes Mal, wenn Sie bei Grün über eine Ampel gehen, vertrauen Sie darauf, dass die wartenden Autofahrer genug Verstand haben, mit dem Fahren bis zur nächsten Grünphase zu warten. Gegen diese Erwartungshaltung ist nichts einzuwenden. Schwierig wird es erst, wenn Ihr gesamtes Menschenbild nur noch von statistischen Einschätzungen abhängt. Genau das ist es aber, was moderne Datensammler praktizieren.

Wir stecken in der paradoxen Situation, dass unglaublich genaues Wissen über jeden von uns existiert, dass aber dieses Wissen nicht etwa genutzt wird, um uns individuell zu behandeln, sondern uns über einen Kamm zu scheren. Man interessiert sich nicht dafür, wie wir tatsächlich sind, sondern wie wir wahrscheinlich sein könnten. Bekanntestes Beispiel ist das so genannte Scoring anhand Ihrer Wohngegend. Wenn in Ihrem Umfeld viele Leute wohnen, die ihre Kredite nicht rechtzeitig zurück zahlen, kann es sein, dass man Ihnen bestimmte teure Waren gar nicht erst anbietet - allein aufgrund des für sie gemittelten Wertes. Ob Sie selbst liquide sind und schon ein schlechtes Gewissen bekommen, wenn Sie die Miete aus Versehen nicht zum Monatswechsel, sondern einen Tag später überwiesen haben, interessiert dabei nicht. Aus dem gleichen Grund könnte es sein, dass die KFZ-Haftpflicht für Sie nur die teuren Policen hat - immerhin bauen Ihre Nachbarn ungewöhnlich viele Unfälle.

Unsere Kultur möchte gern jede Gefahr vorhersehen. Man sammelt möglichst viel Wissen über die Anderen, um sie bestimmten Risikogruppen zuzuordnen. Was gern übersehen wird: Man kann sich nicht gegen jede Bedrohung absichern, und je intensiver man es versucht, desto absurdere Formen nimmt der Versuch an. Kinderlose Frauen sind unbeliebte Angestellte, weil sie heiraten und Kinder bekommen könnten. Wer sich wenig bewegt und das Falsche isst, riskiert Herz-Kreislauf-Erkrankungen. Was meinen Sie, wie sehr sich Ihre Krankenkasse für die Daten Ihrer Payback-Karte interessiert? Wer in irgendwelchen obskuren Bürgerinitativen aktiv ist und dann vielleicht noch ein paar Muslime kennt, ist mit höherer Wahrscheinlichkeit ein Terrorist als der CDU-wählende Besitzer einer Kleingartenparzelle.

Vorurteile bilden wir praktisch automatisch, wenn wir einen uns unbekannten Menschen treffen. Allein schon die Frage, ob wir jemanden auf Anhieb sympathisch finden, entscheidet sich aufgrund platter Vorurteile. Die Frage ist nur, ob wir aufgrund unserer Statistiken an diesen Vorurteilen kleben bleiben oder genug Interesse an anderen Menschen haben, um die statistische Wahrscheinlichkeit mit der wahren Person abzugleichen.

Das Wissen umeinander ist nicht per se böse. In jeder guten Partnerschaft kennt man sich bis ins Detail. Die Bewohner eines beliebigen Eifelkaffs wissen voneinander, wann wer aufsteht, einkaufen geht, was er einkauft und welche Partei er wählt. Stadtmenschen mag diese Intimität zu weit gehen, aber manche Leute wollen diese Nestwärme. Der Unterschied zwischen dem Eifeldorf und den Datenhalden Ihrer Krankenkasse, Google oder T-Online besteht aber auch gerade darin, dass Sie von den Dorfbewohnern noch als Mensch wahrgenommen werden. Man tratscht vielleicht übereinander, aber man sieht in erster Linie, was Sie sind, nicht das, was Sie statistisch gesehen sein könnten. Wenn Ihre Nachbarn Ihr Privatleben in- und auswendig kennen, kann dies auf dem Dorf sogar manchmal nützlich sein, wenn sich jemand wundert, warum bei Ihnen schon seit Tagen abends kein Licht mehr brennt, obwohl Sie nicht im Urlaub sind, und lieber nach dem Rechten sieht. Es kann ja sein, dass Ihnen etwas zugestoßen ist. Es kann auch sein, dass man Sie anspricht, wenn man meint, dass Ihre Kinder mit den falschen Leuten Umgang pflegen. Nennen Sie es ruhig kleinbürgerlichen Mief, aber in Dorfgemeinschaften haben sich solche Mechanismen über Jahrhunderte bewährt.

Glauben Sie aber nicht, dass es dieses fürsorgliche Umeinander-Kümmern ist, was Google und Facebook umtreibt, alles nur Denkbare über sie zu erfahren. Im besten Fall geht es darum, Sie optimal mit Werbung zu versorgen, häufig genug aber einfach darum, ein von Ihnen ausgehendes Risiko besser kontrollieren zu können. Vor allem ist es ein asymmetrisches Wissen. Im Gegenzug zu all dem, was über Sie gespeichert wird, bekommen Sie ja nicht etwa genauen Einblick darüber, was mit diesen Daten geschieht, sondern sie können allenfalls an einem mit Werbebriefen vollgestopften Briefkasten sehen, dass wieder irgendjemand Ihre Daten bekommen hat. Was genau er weiß, wer es ihm verraten hat, und wem er es seinerseits erzählen wird, werden Sie nie genau wissen.

Nur komisch, dass Ihnen Ihre Bank neuerdings so schlechte Konditionen für Kredite anbietet.

Mittwoch, 3. Februar 2010

identi.ca oder wie man eine Registrierung nie aufsetzen sollte

Gibt es im Internet Platz für einen zweiten Microblogging-Dienst wie Twitter? Vielleicht ja, denn zumindest identi.ca versucht es. Einige Vorteile fallen auf: Das System ist quelloffen, wer will, kann also seinen eigenen Server aufsetzen. Es ist möglich, den Quelltext anzusehen und Sicherheitslücken zu suchen. Insgesamt wirkt identi.ca deutlich technischer als Twitter, also sollte man als Nerd diesem Dienst eine Chance geben.

Gesagt, getan. Seite aufrufen, Registrierung anklicken, Nutzernamen eingeben, Passwort erzeugen und eingeben, Mailadresse erzeugen und eingeben, Captcha eintippen, OK klicken und - nichts passiert.

Das könnte daran liegen, dass ich Javascript üblicherweise abschalte. Also gut, versuchen wir das Gleiche noch einmal. Dummerweise hat das Formular Passwort und Captcha vergessen, also geben wir den Kram mit aktiviertem Javascript noch einmal ein. OK klicken und - Fehlermeldung. Die Lizenz habe ich nicht abgenickt.

Also Passwort und Captcha wieder eintippen, Lizenz abnicken, OK klicken und - Fehlermeldung. Den Nutzernamen gibt es schon.

Tatsächlich? Mag sein. Also alternativen Nutzernamen eingeben, Passwort noch einmal eingeben, Captcha eingeben, OK klicken und - Fehlermeldung. Die Mailadresse gibt es schon.

Unsinn, die Mailadresse gab es vor zwei Minuten noch nicht, die habe ich nämlich gerade erst erzeugt. Was soll das? Versuchsweise ändere ich die Mailadresse auf eine definitiv noch nicht existierende, gebe das Passwort neu ein, gebe das Captcha neu ein, klicke OK und - richtig geraten, Fehlermeldung. Den Nutzernamen gibt es schon.

Das ist zwar schon nicht mehr ganz so wahrscheinlich, aber als Mathematiker sehe ich einen Unterschied zwischen "bisher mir noch nicht vorgekommen" und "unmöglich". Ich ändere also den Nutzernamen auf irgendetwas sehr Langes, gebe das Passwort neu ein, gebe das Captcha neu ein, klicke OK und - Fehlermeldung, die Mailadresse gibt es schon.

Weiterhin will ich nicht das glauben, was sich immer mehr aufdrängt: Sobald ein Registrierungsversuch fehlschlägt, merkt sich identi.ca dennoch den eingegebenen Nutzernamen und die Mailadresse und weigert sich, mit diesen Daten eine Registrierung vorzunehmen. Ich brauche zwei weitere Nutzernamen und zwei weitere Mailadressen, bis ich diese jämmerliche Tatsache zu akzeptieren bereit bin und mich das System einlässt.

Nun will ich die Mailadresse ändern, weil ich zum Schluss irgendwelche Phantasiewerte genommen hatte. Das geht jedoch nicht, weil das System die eingegebene - nicht existierende - Adresse erst bestätigt haben will.

Gut, ich habe genug gesehen. Zeit, dem Drama ein Ende zu setzen und das Konto wieder zu löschen. Wo war doch gleich der Knopf dafür?

Genau, den Knopf gibt es nicht. Das letzte Mal, dass ich so einen Pfusch sah, war irgendwann in der Dotcom-Ära, als der zum Ausfegen im Lager eingestellte Student unvorsichtigerweise erzählte, dass er bei Geocities eine Homepage hat und prompt zur Programmierung des Webshops verdonnert wurde.

Man kann über Twitter sagen, was man will, aber wenigstens die Anmeldung funktioniert bei denen. Identi.ca hat etwas vollbracht, was bisher nur wenige Web-2.0-Dienste geschafft haben: mich zu überzeugen, überflüssig und von der technischen Umsetzung her inakzeptabel zu sein.

Wenn übrigens jemand meinen identi.ca-Zugang braucht, möge er sich bitte bei mir melden. Der Nutzername lautet identicaisthebiggestcrapiveeverseen.

Die Grenzen des Rechtsstaats

Darf man nun oder darf man nicht? Ist es rechtens, ist es gerecht, ist es gerechtfertigt, dass die Bundesregierung eine CD kauft, auf der sich die Daten mutmaßlicher Steuerhinterzieher befinden - eine CD, deren Inhalt wahrscheinlich nicht auf legale Weise zustande kam?

In der Debatte schwingen mehrere Begriffe mit, derer man sich bewusst sein sollte, weil sie gern vermischt werden: Recht, Moral und Neid.

Fangen wir mit dem Neid an. Auf der einen Seite habe ich einen Bekannten, der einen Rechtsanwalt einschalten muss, damit ihm das bereits anerkannte Hartz-IV-Geld ausgezahlt wird. Der Deutlichkeit halber: Die lokalen Behörden bezweifeln nicht, dass er Anspruch auf das Geld hat, sie zahlen es einfach nicht und kommen mit den abenteuerlichsten Begründungen, was diesmal dazwischen kam. Auf der anderen Seite gibt es Leute, die im Monat das Geld netto bekommen, das ich im Jahr brutto auf der Lohnsteuerkarte stehen habe und dafür erheblich weniger leisten müssen. Es ist mir unbegreiflich, wie Leute, die durch himmelschreiende Inkompetenz Firmen zugrunde gerichtet und Arbeiter in die Armut getrieben haben, Bonuszahlungen in Millionenhöhe kassieren. Auf dem Weg zur Arbeit muss ich jeden Morgen durch ein Villenviertel, und jeden Morgen frage ich mich, was die Eigentümer dieser Traumhäuser bitteschön so viel besser leisten als ich, das es rechtfertigt, sie in einem 20-Zimmer-Schloss und mich in einem Rattenloch wohnen zu lassen.

Wenn Sie begriffen haben, wie Kapitalismus funktioniert, hat Sie der letzte Absatz kalt gelassen. Vielleicht haben Sie Mitleid mit dem Hartz-IV-Empfänger, aber dass Leute unverschämt viel Geld für eine homöopathisch dosierte Leistung bekommen können, sehen Sie als Teil des Spiels an. Wenn jemand ein Vermögen dafür erhält, dass er ein funktionierendes Unternehmen in den Bankrott treibt, wer ist dann bitte der größere Idiot: derjenige, der das Geld annimmt oder der es ihm zahlt? Wenn jemand zu Ihnen käme und sagte: "Du hast auf deinem Posten total versagt? Super, hier hast du die Millionen" - lehnten Sie das Geld ab, weil es Ihnen ungerecht erschiene? Im Zweifelsfall könnte man doch gar nicht so schnell gucken, wie sie die Scheine weggesteckt haben.

Ganz eng mit dem Neid ist die Moral verwandt, die eben schon die ganze Zeit mitschwang. Mit welchem Recht muss sich mein Bekannter tagelang von Leitungswasser ernähren, während im Nobelrestaurant zwei Straßen weiter allein die Vorsuppe so viel Geld kostet, dass man sich bei Aldi davon Essen für eine Woche kaufen könnte? Wenn wir schon akzeptieren, dass solche Auswüchse einfach Teil des Systems sind, dann kann man doch wenigstens erwarten, dass die Leute, denen der Reichtum offenbar aus allen Taschen quillt, sich wenigstens an die Spielregeln halten, was unter anderem heißt, dass sie brav ihre Steuern zahlen.

Steuern sind ohnehin ein heikles Thema. Wenn Sie so wie ich einfacher Angestellter sind, haben Sie ohnehin kaum Spielraum. Im Prinzip haben Sie schon alles gezahlt, und es geht allenfalls darum, ob Sie durch geschickte Argumentation noch ein paar Euro zurückbekommen. Alles in allem reden wir vielleicht von einem Abendessen beim Griechen für zwei Personen. Wenn Sie die Steuererklärung so richtig frisieren könnten, Sie täten es, aber es lohnt sich einfach nicht.

Anders ist es bei den Leuten, die mutmaßlich auf der berühmten CD stehen. Hier geht es nicht um Hunderte oder Tausende, hier geht es um Millionen von Euro. Ab dieser Größenordnung kann man sinnvollerweise darüber nachdenken, Geld über merkwürdige Transaktionen in europäische Steueroasen zu verschieben. Wer reich genug für solche Spielereien ist, sollte eigentlich erwachsen genug sein, zu wissen, dass er damit dem Land, in dem er diesen Reichtum munter kassierte, Schaden zufügt. Auf den "Standort Deutschland" schimpfen viele, aber komischerweise hat keiner Schwierigkeiten, dort reich zu werden. Nur den Staat, der diesen Reichtum durch seine Infrastruktur erst ermöglichte und ihn durch ein bemerkenswertes Rechtssystem schützt, in Form von Steuern für seine Hilfe zu entlohnen, scheint zu viel verlangt.

Offenbar geht den großkalibrigen Steuerhinterziehen auch das Gefühl für Verhältnismäßigkeit verloren. Wenn man sich den berühmtesten Steuerhinterzieher der vergangenen Jahre, Klaus Zumwinkel, ansieht und vergleicht, wie klein der Teil seines Vermögens ist, den er über Liechtenstein an der Steuer vorbei schmuggeln wollte, fragt man sich, ob das alles wirklich den Ärger wert war. Natürlich, wir reden immer noch von Millionenbeträgen, aber bezogen auf Zumwinkels Gesamtreichtum ist es wenig. Wäre es nicht einfacher gewesen, dieses Geld gleich ordentlich zu versteuern?

Wahrscheinlich sind es blöde Fragen wie diese, die verhindern, dass ich Millionär werde.

Es geht also um Moral, es geht darum, dass aus moralischer Sicht Reichtum auch Verantwortung bedeutet. Schon das Grundgesetz sagt: Eigentum verpflichtet. Man muss kein Freund von Microsoft oder Bill Gates sein, aber die Entspanntheit, mit der Gates immer wieder Millionenbeträge für wohltätige Zwecke ausgibt, spricht natürlich für sagenhaften Reichtum aber eben auch dafür, dass dieser Mann die richtige Einstellung dazu hat.

Bis jetzt deutet alles darauf hin, die CD zu kaufen. Die Frage ist nur, ob man Daten, die dem Anschein nach illegal gesammelt wurden, verwerten darf.

Ob und in welchem Maß illegal ermittelte Fakten als Beweismittel in ein Gerichtsverfahren eingehen dürfen, ist in der Rechtsprechung nicht undbedingt laienverständlich aufgearbeitet. Als Faustregel kann man sagen: Widerrechtlich erhobenes Material hat keine Beweiskraft, kann aber als Ausgangspunkt genommen werden, um das gleiche Wissen mit legalen Mitteln zu erwerben. Der Spiegel argumentiert, der Staat greife im Zuge nachrichten- und geheimdienstlicher Operationen immer wieder zu unsauberen Mitteln, V-Leute arbeiteten so und außerdem sei Steuerhinterziehung derart asozial, dass man sich nicht so haben soll. Das ist es, was ich mit dem Vermischen meinte: Wir müssen zwischen dem differenzieren, was Recht ist und was wir als gerecht empfinden. Der reichen Pfeffersäcken so richtig zeigen, wo der Hammer hängt, mag ja vielleicht dem gesunden Volksempfinden entsprechen, aber zum Glück entscheiden Gerichte nicht mehr aufgrund dessen, was vom Marktplatz zu ihnen schallt. Dazu gehört, dass Beweise auf rechtem Weg zustande kommen. Das ist nicht etwa eine akademische Marotte weltferner Juristen, sondern die Verhinderung eines Dammbruchs. Andernfalls müsste man sich nämlich fragen, wo man die Grenzen zieht. Ist es dann vielleicht doch in Ordnung, ohne richterliche Kontrolle monatelang eine Wohnung zu verwanzen? Darf man vielleicht doch heimlich eine Hintertür auf dem Privatrechner installieren und nachsehen, ob etwas Feines zu finden ist? Kann man bei den Verhörmethoden nicht einmal etwas innovativer vorgehen? So einen Zahn kann man ja überall verlieren. Ich polemisiere? Sehen sie nach, was vor 20 Jahren noch als absolutes Tabu des Rechtsstaats galt und was wir seit 2001 als völlig legitime Mittel bei der (das Folgende mit Hall) Bekämpfung des internationalen Terrorismus (Donnergrollen) wahlweise auch Kampf gegen das organisierte Verbrechen, Kinderpornografie, Drogenhandel, Kampfhunde, Killerspiele oder Gewaltvideos als Mittel akzeptieren. Hätte damals ein Innenminister gefordert, er wolle ständig Ihr Tagebuch lesen können und bei Knopfdruck auf 100 Meter genau wissen, wo Sie sich gerade aufhalten, hätte er zurücktreten müssen. Genau das ist es aber, was Bundestrojaner und Vorratsdatenspeicherung ermöglichen sollen, und gerade einmal einige Tausend von 80 Millionen Menschen regen sich darüber ernsthaft auf.

Leider verlaufen die Fronten bei der Diskussion nur zu klischeehaft: Die Wirtschaftsflügel der CDU und der FDP entdecken auf einmal den Datenschützer in sich und sind gegen den Kauf der CD, auf der anderen Seite sind die sich selbst als Anwälte des kleinen Mannes sehenden Verterter der SPD, Linken und GrünInnen dafür, immerhin sind Steuersünder fast schon sowas wie Terroristen.

Offenbar ist Datenschutz immer nur dann relevant, wenn es um den eigenen Kopf geht. Sobald man aber anderer Leute Schubladen durchwühlt, besiegt Voyeurismus den Rechtsstaat.