Hans-Georg Maaßen, der Präsident des Bundesamts für Verfassungsschutz, hat gestern auf dem 6. Stuttgarter Sicherheitskongress der IHK einen Vortrag über „Wirtschaftsspionage im digitalen Zeitalter und ihre Abwehrmöglichkeiten“ gehalten. Dabei hat er auch die Konsequenzen erwähnt, die er und seine Behörde aus den Enthüllungen von Edward Snowden gezogen haben: Das Bundesamt für Verfassungsschutz habe intern überprüft, wer auf welche Daten Zugriff hat. Keine Rede von strafbarer Spionagetätigkeit von Freunden, kein Hinweis zu intensivierender Spionageabwehr oder ähnlichem, in seinem ganzen Vortrag nicht. Dauernd mussten die Chinesen oder andere asiatischen Mächte als Quelle für Wirtschaftsspionage herhalten. Von den USA war keine Rede, die NSA hat er nicht erwähnt. Ja, hallo? Da deckt ein Whistleblower auf, dass auch die deutsche Bevölkerung und Wirtschaft jahrelang von einer befreundeten Macht überwacht wird, und alles was dem Verfassungsschutz-Chef einfällt ist, wie man sich vor Whistleblowern und Innentätern schützen kann?
Später habe ich ihn dann gefragt, ob die Enthüllungen Snowdens auch eine Veränderung bei der Spionageabwehr mit sich ziehen würden, sprich: ob man nun auch bei befreundeten Nationen genauer hinschauen würde. Er antwortete, dass die NSA in Deutschland primär dazu da sei, die Missionen der USA in Afghanistan etc. nachrichtendienstlich zu flankieren.
„Das wollte jede Bundesregierung und ich denke, das ist in Deutschland nach wie vor noch Konsens.“
Dass eine nachrichtendienstliche Aufklärung in Kriegsgebieten nötig ist, daran habe ich natürlich auch keine Zweifel. Aber die Frage ist, was die Dienste denn sonst noch so treiben und ob sie aus Deutschland ihren Blick wirklich nur gen Afghanistan, Irak und so weiter richten.
Aber dann wurde er dann zwischen den Zeilen deutlicher: in der Vergangenheit habe man sich bei Spionagetätigkeiten befreundeter Nationen nichtöffentlich auch mal mit einem kleinen Gewitter gestritten. Aber es seien Einzelfälle gewesen, die zu den notwenigen Konsequenzen geführt hätten.
Aber wir haben niemals unsere westlichen Partner systematisch beobachtet.
Das kann man indirekt als Vorwurf verstehen: aber die haben das gemacht. Man kann natürlich nicht erwarten, dass der Verfassungsschutz-Chef nun sagt: die bösen Amis, wir müssen sie alle verjagen. Aber mit der gebotenen freundlichen Diplomatie wurde deutlich: da soll nun auch genauer aufgepasst werden. So verwies er auch darauf, dass die Spionageabwehr nun einen „360-Grad-Blick“ bekommen soll. Sprich: auch wenn sie sich weiterhin primär gegen Osten wendet, soll den westlichen Partnern genauer auf die Finger geschaut werden. Wir werden es sehen.
Eine andere Frage von mir hat Maaßen aber geflissentlich ignoriert: Ob die Enthüllungen Snowdens denn nicht auch dazu geführt haben, dass man sich bei den deutschen Diensten fragt, ob wirklich alle Maßnahmen die man so durchführt auf dem Boden einer freiheitlich-demokratischen Grundordnung stehen …
Aber auch einige andere Aussagen aus Maaßens Vortrag sind interessant:
Ich glaube, dass wir mit Blick auf die IT-Sicherheit in Deutschland nicht gut aufgestellt sind.
Da stimme ich durchaus zu. Passend dazu sagte er aber auch:
Es wäre zwecklos, jede E-Mail zu kryptieren.
Stattdessen müsste man die „Kronjuwelen“ und wichtige Informationen schützen. Dem möchte ich ausdrücklich und eindringlich widersprechen: Es ist gerade wichtig, Verschlüsselung von E-Mails sowohl auf dem Transportweg als auch Ende-zu-Ende alltäglich werden zu lassen. So dass man sich als Nutzer keine Gedanken mehr darüber macht und auch nicht vergisst, wichtige Informationen zu verschlüsseln! Ich arbeite derzeit als Datenbank-Administrator beim Elster-Projekt. Jeder neue Kollege muss sich als eine der ersten Handlungen einen PGP-Schlüssel zulegen, da wir auch mal nicht-öffentliche Daten herumschicken müssen. Jeder Kollege und externe Mitarbeiter oder Mitarbeiter bei einem Dienstleister hat einen PGP-Key. Und ich habe mein Mailprogramm so eingestellt, dass E-Mails zwangsweise automatisch verschlüsselt werden. Ich kann also gar nicht aus Versehen mal sensible Informationen per Mail verschicken. Im Unternehmens-Umfeld sollte dies Standard sein – und mit entsprechender Software ist es auch komfortabel: Ich muss nur ein mal am Tag ein zusätzliches Passwort eingeben, der Rest geschieht automatisch.
Dass der Verfassungsschutz aber nicht will, dass Verschlüssellung alltäglich genutzt wird, das ist klar: denn dann kann er selbst auch nicht mehr mitlauschen …
Zurück zu Verfassungsschutz-Chef Maaßen. Er sagte dann noch mit Blick auf die Gefahren im Netz:
Es gibt politische Aktivisten, die das Netz zur Sabotage oder Desinformation nutzen.
Es gibt nichts, was es nicht gibt, aber ich finde es bemerkenswert, dass er dies ausgerechnet bei einem Vortrag zum Thema Wirtschaftsspionage vor Unternehmensvertretern erwähnt. Nur ein zu vernachlässigender Bruchteil der vorhandenen Gäste wird sich jemals mit politischen Aktivisten auseinandersetzen …
Aber immerhin, so sagte er, habe die Debatte um Snowden doch ein positives: Das Thema IT-Sicherheit spiele in Unternehmen nun eine größere Rolle als zuvor, und er appelierte daran, dass die Unternehmensleitung selbst sich damit beschäftigen müsse. Da widerspreche ich ihm nicht.
Joachim
Sehr schön, es wird Zeit, das dies jemand mal so sagt und jemand die Dinge bei dem hinterfragt, von dem wir Antworten haben müss(t)en.
Gerade Firmen kommunizieren wie mit "Postkarten", die noch dazu maschinenlesbar sind. Da muss man als Geheimdienst gar nicht mehr in der Firma einbrechen. Folglich geht es eben nicht darum, die „Kronjuwelen“ zu schützen. Abgesehen davon, dass es unmöglich für die Schnüffler wird, die „Kronjuwelen“ zu entdecken, wenn alles verschlüsselt würde,
geht es darum, dass der Lauscher an der Wand Assoziationen hervorruft, die ich lange als überkommen wähnte. Assoziationen, die einer Demokratie nicht würdig sind.
Das offene Netz basierte auf Vertrauen. Vertrauen, dass sich nachweislich als nicht immer begründet erwiesen hat. Es wäre sinnvoll gewesen, IP so zu entwerfen, dass sich die Vertrauensfrage gar nicht mehr stellt. Dummerweise ist das nicht im Interesse der Leute an den Schalthebeln.
Sie wollen das "Next Generation Network", wo jedes einzelne Päckchen individuell erfasst und abgerechnet werden kann, egal ob Telefon, TV oder Internet. NGN umfasst jegliche Medien und jegliche Kommunikation. NGN füttert Datenbanken unglaublich effizient, weil jedes einzelne Datum vollständig Personenbezogen sein kann. IP wird da nur noch emuliert, ansonsten aber den NGN-(Abrechnungs-)Regeln unterworfen.
Die Frage nach der Netzneutralität wird lächerlich aus dieser Sicht. Mit diesem total kontrollierbarem Netzwerk würde (selbst gesetzlich vorgeschriebene) Netzneutralität in einem Teilbereich nichts, als ein Biotop längst vergangener Zeiten. Ein Märchen, dass in der Kommerzwelt keinerlei praktische Bedeutung mehr hat. Unsere eigene Kanzlerin jedoch lockt uns mit Bandbreite für Jeden. Diese Bandbreite ist jedoch nicht für das Netz, so wie wir es kennen. Das Netz selbst würde ohne die Milliarden (einbringende) Angebote, etwa einer unterirdischen TV-Serienemulation (also netzfremde Angebote), durchaus noch lange reichen. Die Umstellung auf NGN kostet Bandbreite wie Geld. Die Umstellung von Internet auf One-Way oder wenigstens grundsätzlich abrechenbare Dienste kostet unglaubliche Summen. Das sind die Investitionen, die uns drohen. Die Drohen uns, weil wir unsere eigene Enteignung noch selbst bezahlen müssen. Mit ruckelfreiem Katzenvideo hat das gar nichts zu tun.
In dieser Situation müssen wir uns selbst helfen, E-Mails verschlüsseln, VPN und Tor verwenden, sichere Chats nutzen, neue Software erfinden und kommerzielle Angebote meiden, selbst dann wenn die "viel einfacher" erscheinen. Es ist weniger eine Frage der technischen Sicherheit. Denn kein System ist unknackbar. Der Kampf zwischen Code breaker und Code maker kann nicht entschieden werden. Es ist eine Frage der informellen Selbstbestimmung. Es ist eine Frage der Sicherheit im Sinn von sich sicher sein, eine Frage von Grundrechten und der Freiheit. Es ist eine Frage der Autonomie und der Menschenrechte.
Für mich ist die umfassende Datensammlung wie eine Zwangsveranstaltung in militaristischen Systemen, der ich mich nicht entziehen kann, ohne Repressalien zu erfahren. Schon heute hat man Nachteile, wenn man sich etwa der Schufa entzieht. Big Data macht etwas mit uns. Es raubt uns die Selbstbestimmung, doch nicht die Verantwortung. Im Gegenteil, die Verantwortung wird nun von Maschinen aus statistischen Mustern via neuronalen Netzen generiert. Das Training dieser Netze beruht einzig auf knallharten Interessen der Betreiber. Big Data, etwa im Gesundheitswesen, macht aus uns Bits und Bytes, ein Zerrbild der Wirklichkeit, einzig ausgerichtet an Gewinnoptimierung oder Macht. Es macht Muster aus uns, die große Vereinheitlichung und jede Abweichung von der Norm stört die Maschinen.
Nicht das Technik schlecht wäre, nicht das Maschinen keinen Sinn haben würden. Doch vor der Verwendung müsste zunächst der Sinn zur Diskussion gestellt werden. Bandbreite zu versprechen, dies sogar einzuhalten, doch im Hinterkopf die totale Kontrolle "unseres Netzes" wie die Werbung behautet und damit selbstverständlich ihr Netz meint, so als hätte es niemals meinen damals illegalen Telefonkoppler gegeben, ist unredlich und eine Form von Enteignung.
Von "unserem Netz" zu sprechen könnte bald vollkommen lächerlich sein.
Anonym
Der Joachim könnte auch mal professionelle Hilfe gebrauchen.
Joachim hat auf den Kommentar von Anonym geantwortet
Wobei? Vielleicht um zu verstehen, warum Meinungsfreiheit gerade von denen missbraucht wird, die überhaupt nichts sinnvolles zu sagen haben?
Samuso
Ich frage mich wirklich, ob der Herr Maaßen als Beamter einfach zu bestimmten Sachen seine Klappe hält und versucht das eine oder andere intern anzuschieben, oder ob er wirklich so blöd ist.
Anonym
"Für Normalnutzer aber durch mehr Ende-zu-Ende-Verschlüsselung, und nicht Man-in-the-Middle-Verschlüsselung mit zusätzlichem Angriffspunkt wie bei Tor."
Echt jetzt?
Zum einen macht dieser Satz selbst ohne Wissen keinen Sinn, zum anderen sollte jeder der sich jemals mit Verschlüsselungstechniken befasst hat wissen dass es keine "Man-in-the-Middle-Verschlüsselung" gibt, der Man-in-the-Middle-Angriff ist ein Weg zum abhören von zwei oder mehreren Parteien die verschlüsselt Nachrichten senden.
An ihrem Text kann man klar erkennen, dass sie sich zwar mit dem Thema auseinandergesetzt haben aber keinen genauen Eindruck von der Situation vorweisen, weshalb ich sie bitte (was wahrscheinlich eher spät kommt wenn man sich das Publikationsdatum anschaut) vor dem publizieren solcher Texte sich besser zu informieren und ihre Texte einem Experten vorzulegen.
Alvar Freude hat auf den Kommentar von Anonym geantwortet
Hmmm, von einem Autor, der den Kommentar beim falschen Text abgibt, kann man natürlich nicht erwarten, dass er eine Metapher versteht.