Dienstag, 31. Mai 2011

Der Fluch der zweiten Adresse

"Prognosen sind schwierig, besonders wenn sie die Zukunft betreffen." Entsprechend sollte ich die Finger bei mir behalten, bevor ich wieder etwas in den Rechner klimpere, was nachher wieder nicht stimmt. Ach, was soll's, hier meine Behauptung: E-Post und De-Mail werden scheitern.

Ehrlicherweise muss ich etwas einschränken: Sie werden scheitern, was die ursprüngliche Idee angeht, der Nation eine Mailadresse zu geben, mit der sie rechtssicher kommunizieren kann. Für den Geschäftsverkehr mag und wird das Konzept wahrscheinlich funktionieren, aber die sichere Mailadresse für die Massen wird scheitern.

"Unsinn", werden Sie denken. "Die E-Post hat doch einen denkbar guten Start hingelegt. Die konnten sich doch vor Anmeldungen gar nicht mehr retten." Das stimmt, dennoch bleibe ich bei meiner Behauptung.

Jetzt denken Sie wahrscheinlich an die beim Start der E-Post geäußerte Kritik, an AGB, die man so verstehen kann, dass Mails verboten sind, in denen man sich negativ über die Post äußert, weil man damit Dinge sagt, die "das Ansehen der DPAG schädigen können".  Andere stießen sich an Formulierungen wie "Der Nutzer wird daher aufgefordert, mindestens einmal werktäglich den Eingang in seinem Nutzerkonto zu kontrollieren", weil das für sie so klingt, als könnten sie nicht einmal ein paar Tage offline in einem schwedischen Ferienhäuschen entspannen, ohne vertragsbrüchig zu werden. Ich glaube nicht, dass solche Klauseln viele Menschen stören werden. Ehrlicherweise glaube ich nicht einmal, dass ein nennenswerter Anteil der E-Post-Kunden die AGB überhaupt gelesen hat.


"Dann bleibt doch nur noch die von Datenschützern geäußerte Kritik an der mangelhaften Verschlüsselung", sagen Sie nun vermutlich. Natürlich haben wir unsere Bauchschmerzen mit einer Kommunikation, in die der Dienstleister jederzeit hineinsehen kann. Wir hätten es lieber, wenn der komplette Weg zwischen Sender und Empfänger so gesichert wäre, dass kein Dritter, vor allem kein vor  Terrorhysterie in seiner Urteilsfähigkeit eingeschränkter Staatsapparat mitlesen kann. Ich kann Ihnen fast genau sagen, wieviele Menschen bundesweit mit dieser Sicherheitslücke Schwierigkeiten haben: 8000, also diejenigen, die jedes Jahr im September während der "Freiheit-statt-Angst"-Demonstration ihre traditionelle Runde durch die Berliner Innenstadt ziehen.


Daran liegt es also auch nicht. Ist es dann die technische Umsetzung? Gut, es gab während der Pilotphase Hakler. Unter anderem waren Nutzer bis zum Schluss nicht in der Lage, ihre Einschreiben zu öffnen, obwohl der Support ihnen versicherte es müsse "eigentlich gehen". Ich nehme allerdings an, dass es sich hierbei um Einzelfälle handelt und bis zur Produktivstellung noch einmal kräftig am Code gearbeitet wurde. Nein, die Technik ist nach allem, was ich mitbekomme, in Ordnung.


Es sind auch nicht die Kosten. Dass eine elektronische Nachricht genau so viel kosten soll wie ein normaler Brief, leuchtet vielen Menschen nicht ein. Doch selbst, wenn die Kosten drastisch sänken oder die Dienstleistung sogar komplett kostenlos wäre, änderte dies nichts daran, dass E-Post und De-Mail sich nicht durchsetzen werden. Der Grund liegt nicht etwa beim Anbieter, sondern genau auf der anderen Seite: bei Ihnen.


Naja, an Ihnen persönlich liegt es im Zweifelsfall nicht. Ich habe eine ungefähre Idee von meiner Leserschaft und weiß, dass sie überwiegend aus technisch orientierten Menschen besteht. Wahrscheinlich haben Sie schon längst eine E-Post-Adresse und warten gespannt auf den Tag, an dem De-Mail startet. Für Sie ist eine weitere Mailadresse eine weitere Kommunikationsmöglichkeit, ein weiteres interessantes Spielzeug, das man ausprobieren kann. Damit gehören Sie aber zu einer winzigen Minderheit.


Die meisten Menschen hingegen interessieren sich nicht besonders für Computer. Die Dinger sollen funktionieren, das ist alles. Falls sie überhaupt einen Mailclient benutzen und ihre Mail nicht über das Webinterface des Anbieters abrufen, haben sie den Client entweder unter Blut, Schweiß und Tränen selbst konfiguriert oder den IT-Zombie aus ihrem Bekanntenkreis heraufbeschworen, dass er diese Arbeit übernimmt. Der Gedanke an eine weitere Mailadresse führt bei ihnen zu heftigen allergischen Reaktionen.


Warum ich mir bei dieser Behauptung so sicher bin? Weil ich es gerade am eigenen Leib erlebe. Ich berate einen Verein mit 80.000 Mitgliedern, bei dem knapp 150 Ehrenamtliche mit zum Teil extrem sensiblen und sogar strafrechtlich relevanten personenbezogenen Daten in Berührung kommen. Dieser Verein hat lange Zeit überlegt, wie diese Daten am besten so per E-Mail an die 150 Ehrenamtlichen verteilt werden können, dass man bei geringen Kosten und einfacher Handhabung ein möglichst hohes Maß an Sicherheit gewährleisten kann. Am Ende beschloss man, einen ohnehin im Serverraum der Hauptgeschäftsstelle stehenden Mailserver zu nutzen und dort einfach für alle Ehrenamtlichen E-Mail-Adressen einzurichten. Da interne Mails niemals den Server physikalisch verlassen und der Abruf über SSL-gesicherte Verbindungen erfolgt, ist diese Lösung zwar nicht die sicherst mögliche, aber wenigstens die sicherste, die man technisch unbedarften Endanwendern bieten kann. Wir schickten Briefe, in denen die Konfigurationsdaten und eine Anleitung standen, wie man die gängigen Mailer einrichten kann, und für die ganz Faulen hatten wir sogar ein Webmail-Interface aufgesetzt. Über ein Jahr lang bin ich durch den Verein getingelt, habe immer wieder das Konzept vorgestellt, erläutert, warum wir diesen Schritt gehen werden und wie er aussehen wird. Ein paar technische Rückfragen wird es wohl geben, dachten wir, aber insgesamt sollte alles reibungslos verlaufen.


Falsch gedacht.


Ein Sturm der Entrüstung brach los, allen voran Leute mit hohen Bildungsabschlüssen, die täglich an Computern arbeiten. Das sei unzumutbar, hieß es, alles werde jetzt wahnsinng kompliziert, ihre ehrenamtliche Arbeit werde aufs Schwerste behindert, das ließen sie sich nicht bieten, so könne man mit ihnen nicht umspringen. Wohlgemerkt, wir reden von der unterträglichen Zumutung, entweder einmalig einen Mailclient zu konfigurieren - was vielleicht wirklich nicht jedermanns Sache ist -, oder aber alle paar Tage im Browser eine Webadresse aufzurufen. Selbst Anwälte, die sich eigentlich über die rechtlichen Implikationen eines Verstoßes gegen § 203 StGB im Klaren sein müssten, reagierten zutiefst indigniert ob der Unverschämtheit, mit der wir uns anmaßten, ihnen vorschreiben zu wollen, wie sie ihre Mails lesen.


Um nachzusehen, ob ich vielleicht doch falsch lag, ging ich in ein nahe gelegenes Jugendzentrum, in dem vor allem 12- bis 14-jährige Sonderschüler verkehren und unterhielt mich mit ihnen darüber, wie viele verschiedene Portale sie regelmäßig aufriefen, um mit ihren Freunden Nachrichten auszutauschen. Im Schnitt kamen wir auf vier: MSN-Chat, MSN-Mail, SchülerVZ und Facebook, gern auch AIM, ICQ, Knuddels und Facebook. Nennenswerte Schwierigkeiten schienen sie dabei nicht zu haben.


Verstehen Sie jetzt die Crux von E-Post und De-Mail? Es liegt nicht an irgendwelchen Unzulänglichkeiten dieser Dienste. Die Leute wollen einfach keine weitere Mailadresse. Aus mir unbegreiflichen Gründen nimmt offenbar mit dem Erreichen eines geregelten Berufslebens der Wille oder die Fähigkeit ab, sich auch nur mit trivialsten Änderungen zu befassen und seien es Dinge wie eine weitere Anschrift, unter der man erreichbar ist. Ich frage mich, wie solche Leute es verkraften, jeden Tag mit einem anderen Datum leben zu müssen. Bestünde die Republik aus 13-jährigen Sonderschülern, hätte das Land vielleicht noch eine Chance, aber bei Hochschulabsolventen friert offenbar mit der Aushändigung des Abschlusszeugnisses die Hirnmasse ein. 


Es mag wichtigere Dinge geben als die Frage, ob rechtssicherer Mailversand in Deutschland eine Zukunft hat. Ich könnte auch nachvollziehen, wenn die bisherigen Lösungen konzeptionell oder in der Umsetzung so schlecht wären, dass sie das Volk einfach boykottiert. Dass es aber gar nicht so weit kommt - dass bereits der Gedanke an eine weitere Mailadresse unanständig, widerwärtig und abartig erscheint, ist es, was mich verstört.


Sollten Sie sich noch einmal darüber wundern, warum sich die Welt über die "German Angst" halb totlacht, dann denken Sie daran, wie wir uns wegen eines Mailkontos einnässen - und lachen dann mit.

Sonntag, 1. Mai 2011

Buchkritik "Die Datenfresser"

Hört man sich im Bekanntenkreis um, interessiert sich kaum jemand für das Thema Datenschutz. Facebook, Onlinebanking und unverschlüsselte Mails benutzten die Meisten mit der gleichen Unbekümmertheit, mit der sie jedes noch so überflüssige Webformular ausfüllen - Geburtsdatum, Telefonnummer, Privatanschrift und Kontonummer selbstverständlich inbegriffen. "Da geht schon nichts schief", heißt es in der Regel. "Das kann ruhig jeder von mir wissen, und wenn die das in dem Formular verlangen, dann muss ich das ja wohl auch hinschreiben."

Auf der anderen Seite ist das Entsetzen groß, wenn Google Häuserwände fotografiert. Google ist böse, das hat man inzwischen gelernt. GMX, Web.de, Yahoo und Freenet hingegen sind ganz doll lieb, die schenken uns nämlich ganz viele schöne Webdienste und wollen dafür nichts von uns - nur unser Bestes.

"Unser Bestes" sind in diesem Fall unsere Daten, je intimer, desto besser.

Genau dieser Frage, wo bei unserer Nutzung moderner Kommunikationsmittel Daten anfallen und wer sie wie nutzt, gehen Constanze Kurz und Frank Rieger in ihrem Buch "Die Datenfresser" nach. Um dieses Buch kommt man allein deswegen schon nicht herum, weil sich hier zwei zu Recht bekannte und qualifizierte Vertreter des politischen Flügels des Chaos Computer Clubs zu Wort melden. Ihr Augenmerk liegt in diesem Werk vor allem auf wirtschaftlichen Fragen. Andere Aspekte, wie Terrorhysterie und ein aus den Fugen geratender Ermittlungsapparat behandeln sie zwar auch, aber gerade die beiden in Geschichtsform gehaltenen Kapitel, in denen sie die gegenwärtigen Missbräuche schildern und eine mögliche nahe Zukunft beschreiben, konzentrieren sich auf die Wirtschaft.

Die beiden Autoren haben allein schon an Äußerlichkeiten ihres Buchs einige Entscheidungen getroffen, die verdeutlichen, wen und was sie erreichen wollen: Zuallererst haben sie ihren Text als Buch veröffentlicht - nicht als Blog oder einer anderen elektronischen Form. Gut, es gibt auch eine E-Book-Fassung, aber bei zwei anerkannten IT-Spezialisten, die elektronische Kommunikation länger nutzen als die Meisten von uns, überrascht es ein wenig, dass sie überhaupt den Weg schnöder Analogkommunikation wählen.

Ein zweiter Punkt fällt auf: Das Buch ist mit 272 Seiten nicht übermäßig dick ausgefallen und lässt sich in wenigen Tagen leicht durchlesen. Drittens verzichten die Autoren auf ein Literaturverzeichnis, Index und Fußnoten. Kurz: Hier will man weniger die Diskussion in Expertenkreisen befeuern, sondern vor allem Normalnutzer erreichen. Das merkt man auch beim weiteren Lesen: Der größte Teil des Buchs vermeidet Fachvokabeln und legt Wert auf Allgemeinverständlichkeit.

In den vergangenen Monaten kochte die Diskussion zwischen Vertretern des klassischen Datenschutzes und Verfechtern der Post-Privacy, die eine radikale Veröffentlichung privater Daten propagieren. Die Debatte verläuft bisweilen sehr emotional und gipfelte in gegenseitigen Beschimpfungen, die in meinen Augen die Sache nicht recht voran bringen. Die "Datenfresser" gehen in diesem Zusammenhang seitens der klassischen Datenschützer den Schritt zurück zur sachlichen Auseinandersetzung. Kurz und Rieger beziehen zwar eindeutig Position, vermeiden aber den in Datenschützerkreisen mitunter beliebten hysterischen Tonfall. Damit sind die "Datenfresser" ein typisches Buch, das man Leuten in die Hand drücken kann, wenn man es leid ist, immer wieder in einer Diskussion die Grundlagen durchzukauen und einfach nach einer gut lesbaren, aktuellen Positionsbeschreibung sucht.

Eine Sache hätte ich gern ausführlicher gesehen, die von den "Datenfressern" bewusst nur angeschnitten, nicht aber in voller Tiefe behandelt wird: eine Auseinandersetzung mit den Vorwürfen der Post-Privacy. Es gibt Fragen, die der klassische Datenschutz nicht überzeugend beantwortet und die es der Post-Privacy ermöglichen, den Datenschutzgedanken grundsätzlich in Frage zu stellen - ohne dabei allerdings eine komplett ausformulierte Gegenposition zu bieten. Ein Stichwort ist beispielsweise der so genannte "Kontrollverlust" - das Phänomen der unkontrollierten Verbreitung einer einmal ins Netz eingespeisten Information. Fundamentalistische Datenschützer erwecken in dieser Frage oftmals den Eindruck, als wollten sie am liebsten wieder zurück ins Vor-Internet-Zeitalter, wo man den Datenfluss noch einigermaßen im Griff hatte. Sie wirken dabei ähnlich deplaziert wie der radikalökologische Flügel der Grünen in den frühen 80ern. Doch genau so, wie man damals nicht den kompletten Personen- und Frachtverkehr aufs Fahrrad umgelagert hat, wird man heute IP-Pakete nicht per Brief verschicken. Die Post-Privacy legt in genau diese Wunde ihren Finger und verlangt, die Daten frei fließen zu lassen, was, um eine weitere historische Parallele zu ziehen, etwa der von der CDU beschlossenen Laufzeitverlängerung für Kernkraftwerke entspricht - jetzt stehen die Dinger schon einmal da, dann lasst sie uns auch nutzen. Wozu diese unbekümmerte Haltung führt, sehen wir gerade in Japan.

Kurz und Rieger wissen um diese Fragen, und wer ihre Interviews bei Radio Fritz oder Netzpolitik.org gehört hat, weiß, dass sie sich damit auch beschäftigt haben. Dieser Teil der Diskussion findet leider wieder hauptsächlich in den üblichen Expertenzirkeln statt. Die gleichen Fragen werden aber auch außerhalb der IT-Szene an die Datenschützer gestellt. Da nennt es nur eben niemand "Post-Privacy" und formuliert es so gekonnt wie Christian Heller oder Michael Seemann, sondern da sagt man einfach: "Alle meine Freunde sind auf Facebook", "Das kann doch ruhig jeder wissen" und "Was soll denn groß jemanden interessieren, wenn ich schreibe, mit wem ich gestern losgezogen bin?" Die "Datenfresser" beantworten diese Fragen implizit, sie sprechen hingegen nur selten explizit die gerade laufenden Disussionen an. Das wiederum gibt der Post-Privacy die bequeme Möglichkeit, das Kind am Straßenrand zu spielen, das "aber der Kaiser ist ja nackt" ruft. In Wirklichkeit ist der Kaiser zwar nicht nackt, seine nicht mehr ganz so neuen Kleider weisen jedoch an einigen sehr unangenehmen Stellen Mottenlöcher auf. Es ist an der Zeit, dass der Kaiser das Kind zur Kenntnis nimmt, ihm Stoff in die Hand drückt und sagt: "Dann lass mal sehen, was du zusammengeschneidert bekommst."

Trotz dieses Kritikpunkts bleiben die "Datenfresser" für mich ein lesenswertes, fundiertes Buch, eine aktuelle Positionsbestimmung und eine schöne Argumentationshilfe. Wer einen guten Einstieg ins Thema braucht, sollte es auf jeden Fall lesen, und wer seinen eigenen Standpunkt noch einmal kritisch hinterfragen möchte, findet viele Anregungen. Es freut mich sehr, dass sich der CCC nach langer Zeit wieder mit einem Buch in der Analogwelt Gehör verschafft.

Kurz / Rieger: Die Datenfresser. S. Fischer, ISBN 978-3-10-048518-2, € 16,95.

Datenpannen im Jahr 2011

Vielleicht täuscht mich meine Wahrnehmung, aber ich habe den Eindruck, als träten schwere Datenlecks in den vergangen Wochen verstärkt auf. Damit ich mir am Ende dieses Jahres nicht wieder den Kopf kratzen und mich fragen muss, was genau schief gelaufen ist, fange ich jetzt einfach an, die schlimmsten Datenskandale dieses Jahres stichwortartig aufzulisten - verbunden mit der Bitte an alle, diese Liste zu ergänzen.

Februar:
Anonymous kopiert  9 GB interne Mails der Sicherheitsfirma HBGary und veröffentlicht sie.

März:
Durch eine infizierte Mail gelangen Einbrecher an interne Informationen der Sicherheitsfirma RSA.

April:
Angreifer gelangen an mehrere millonen Nutzerdaten des Sony Playstation Networks.

Der Navigationsgerätehersteller Tomtom übergibt Bewegungsdaten seiner Nutzer an die niederländische Polizei.

Der "Spiegel" entdeckt, dass die Unesco jahrelang Bewerberunterlagen allgemein einsehbar auf ihre WWW-Seiten gestellt hat.