Durchatmen nach dem Doxing

In diesen Tagen verbal auf dem Teppich zu bleiben, ist nicht gerade einfach. Da häuft ein fleißiger Teenager mit viel Geduld und wenig technischem Können einen Haufen persönlicher Daten über eine Reihe mehr oder weniger prominenter Personen an, und die Republik steht Kopf. “Warum muss es erst Jan Böhmermann erwischen, bis ihr aufwacht?” “Seit sechs Jahren predigen wir euch fast im Wochenrhythmus, ihr sollt eure Passworte wechseln, und ihr winkt ab. Warum seid ihr jetzt so überrascht, wenn der längst überfällige Knall kommt?” Ich hätte noch ein paar spitze Bemerkungen, andererseits bringt es nicht besonders viel, sich mit großer Geste das “Told-you-so”-T-Shirt überzustreifen. Dafür bietet das Thema zu viele interessante Aspekte. Jetzt, da sich die erste Aufregung gelegt hat, können wir uns die Zeit nehmen, einige davon etwas ruhiger anzusehen.

Ich habe nichts zu verbergen.

Wie oft wurde dieser Satz uns in den letzten Jahren vorgebetet, gern auch in der Langfassung, wer nichts zu verbergen habe, habe auch nichts zu befürchten. So selbstbewusst und -gerecht dieser Satz auch und gerade von denen, deren Daten jetzt im Netz herumgeistern immer wieder als rhetorischer Holzhammer gegen die Datenschutzbedenken ewiggestriger Netzzausel wie mir eingesetzt wurde, herrscht jetzt auf einmal schon fast verdächtige Ruhe. Dabei sind abgesehen von der einen oder anderen privaten Schmuddelbildchensammlung kaum wirklich brisante Details ans Licht gekommen. Das Meiste sind Adresslisten, Telefonnummern, private Mailkonten und Postanschriften – nichts also, was einem unangenehm sein müsste.

Es sei denn, Sie wissen, dass Ihnen nicht alle Menschen wohlgesonnen sind, was gerade bei politisch Aktiven die Regel sein sollte. Mein Vater war viele Jahre Landesgeschäftsführer und später Landtagsabgeordneter. Wir wussten, wenn ab einer bestimmten Uhrzeit bei uns das Telefon klingelte, war es im harmlosesten Fall ein Typ, der irgendwelche Anzüglichkeiten nuschelte, ab und zu waren aber auch Morddrohungen dabei. Im Lauf der Zeit lernt man, damit umzugehen. Angenehm sind solche Telefonate dennoch nicht. Ich kann also vollkommen verstehen, wenn gerade Menschen mit einer gewissen Öffentlichkeit Wert darauf legen, bestimmte Daten geheimzuhalten. Dieses Recht sollten dann aber bitte auch alle haben, nicht nur eine kleine Prominentenkaste.

Datenschutz für die Elite

Um erst gar keine Illusionen entstehen zu lassen: Dieser Doxing-Fall ist kein bedauerlicher Ausrutscher, er ist das ganz natürliche Ergebnis des Überwachungsstaats, den wir uns seit Jahrzehnten herbeigeträumt haben. Er ist das, was herauskommt, wenn man der Maxime “Digialisierung first, Bedenken second” folgend hastig eine Infrastruktur zusammenstoppelt und die Einwände von Institutionen, die aufgrund jahrzehntelanger Erfahrung mit dem Thema wissen, was alles schiefgehen kann, als weltfremdes Nerdgewäsch wegwinkt. Wenn ich vom “Überwachungsstaat” rede, meine ich damit weniger die staatliche Überwachung durch Ermittlungsbehörden, sondern die kommerzielle Glitzerwelt, die mit Gratisangeboten lockt und gegen ein paar itzeklitzekleine persönliche Informationen Paybackpunkte oder zwei Gigabyte mehr Onlinespeicher bietet. Gefahren? Blödsinn, lies doch selbst: “Der Schutz Ihrer persönlichen Daten ist uns sehr wichtig.” Was kann da bitte groß schiefgehen?

Dass seit Jahren immer wieder im Verlauf elektronischer Angriffe millionenfach persönliche Daten in kriminelle Hände gelangen, hat insbesondere in der Politik aber auch in der Allgemeinheit außer ein paar Sicherheitsnerds niemanden interessiert. Die moderne Fassung von “Sie haben kein Brot? Dann sollen sie eben Kuchen essen” (der in der tradierten Fassung zwar nie gefallen ist, aber das ist in diesem Moment egal) lieferte im Jahr 2013 der damalige Bundesinnenminister Hans-Peter Friedrich, als er meinte, die Leute sollten selbst für ihre IT-Sicherheit sorgen – wohlgemerkt genau die IT-Sicherheit, die Mitarbeiter seiner Behörde bis heute unterminieren. Kaum aber bekommt die Führungselite die Auswirkungen schlechter IT-Sicherheit einmal selbst zu spüren, hört der Spaß auf. Andrea Lindholz (CSU) forderte entsprechend, Abgeordnete sollten Teil der kritischen Infrastruktur Deutschlands und besonders geschützt werden. Nur, damit ich das richtig verstehe: Wenn die ehrenamtlich engagierte Sozialberaterin für Flüchtlinge  eine Horde Hutbürger vor der Haustür stehen hat, ist sie selber schuld, aber wenn die heiligen Hallen einer CSU-Bundestagsabgeordneten belagert werden, ist der Bestand dieses Staates in Gefahr? Verstehen Sie mich nicht falsch, mir ist allein schon aus historischen Gründen klar, dass die Mitglieder der Legislative besonders geschützt gehören, aber dass ein klar die Allgemeinheit betreffender Sicherheitsvorfall die Abgeordneten nur insofern interessiert, wie die eigene Haut in Gefahr ist, zeugt von einem zweifelhaften Herrschaftsdenken.

Habeck haut hin

Als eine der ersten Reaktionen auf den Zwischenfall löschte der Grünen-Vorsitzende Robert Habeck sowohl sein Facebook- als auch sein Twitterkonto und begründete diesen Schritt in seinem Blog nicht einfach mit Datenschutzbedenken – was jeder sofort verstanden hätte -, sondern damit, dass er sich in sozialen Medien zu unbedachten Äußerungen hinreißen ließe – was ihm viel Häme einbrachte. Deswegen auch hier die Kritik zuerst, bevor ich mich einem anderen Aspekt widme:

Habeck braucht keine sozialen Medien, um dummes Zeug zu reden. Das schafft er auch so. Das thüringer Wahlkampfvideo, für das er völlig zu recht Prügel bezog, hätte er auf jeder beliebigen Plattform veröffentlichen können, es wäre dadurch nicht intelligenter geworden. Damit wir uns verstehen: Habeck ist nicht der zweite Kassenwart der Grünen-Ortsgruppe Mölkenort. Er ist seit Jahrzehnten Politiker, ehemaliger Landesminister, Parteivorsitzender. Er ist Medienprofi. Leute wie er werden nicht vor die Kamera gezerrt, wenn die NDR-Lokalnachrichten jemanden brauchen, der seine Meinung über die Dauerbaustelle in der Rathausstraße ins Mikrofon stammelt. Leute wie er geben ständig Interviews. Die legen sich ihre wichtigsten Sätze vorher zurecht. Die werden umschwirrt von einem Schwarm Medienberater, die sich jeden seiner Sätze vor Veröffentlichung ansehen und notfalls sagen: “Robbi, hör mal, willst du wirklich sagen, dass Thüringen kein demokratisches Bundesland ist? Wollen wir den Satz nicht lieber noch einmal aufnehmen?” Oder wenigstens sollten sie es.

Aus diesem Grund lese ich auch Habecks Äußerung, er verlöre in den sozialen Medien die Beherrschung, mit einem gewissen Befremden. Noch einmal: Der Mann ist Profi. Als Aushängeschild seiner Partei gehört es zu seinen Aufgaben, sich zu beherrschen, und wenn er das nicht kann, ist er vielleicht eine Fehlbesetzung. Allein schon die überraschte Empörung, die in dem Satz mitschwingt, es seien private Daten, die er auf Facebook gespeichert habe, veröffentlicht worden. Es ist ja nicht so, als sei bei den Grünen keine Sachkompetenz vorhanden, was Datenschutz angeht. Vielleicht hätte Habeck einmal seien Amtsnachfolger in Schleswig-Holstein Jan Philipp Albrecht fragen sollen. Der hat nämlich dafür gesorgt, dass die europäische Datenschutzgrundverordnung zustande kam und hätte seinem Parteifreund bestimmt den einen oder anderen Tipp zum Umgang mit Facebook mitgeben können. So aber hinterlässt Habecks abrupter Verzicht auf soziale Medien das Bild, das die Grünen eigentlich loswerden wollten: aus der Zeit gefallene, technophobe, strickpullitragende Oberstudienräte, die aus Angst, ihre Privatbibliothek mit der schweinsledergebundenen Thomas-Mann-Werksausgabe könne ihren Wert als Statussymbol verlieren, jede elektronische Weiterentwicklung für Teufelszeug halten. Nur zur Erinnerung:  Durchgestrichene Barcodes finden Sie nicht bei Aldi. Sowas gibt es nur im Biomarkt.

Stopp, so leicht ist es nun auch wieder nicht. Wer sagt, dass die Präsenz sozialer Medien eine unumstößliche Tatsache ist? Es mag ja sein, dass Milliarden Menschen bei Facebook und Millionen bei Twitter sind, aber ist das ein Grund, unbedingt mit der Masse gehen zu müssen? Ist es nicht Aufgabe der Politik, Zeichen zu setzen, sich gegen die normative Kraft des Faktischen zu stellen und zu sagen: Nein, dieses Spiel spiele ich nicht mehr mit? Ist es nicht genau das, was die Grünen groß werden ließ? Auch wenn es nicht offenkundig ist: Facebook verliert an Macht. Ich gehe seit vielen Jahren immer wieder in Schulklassen und Jugendgruppen, und überall stelle ich seit Jahren die gleiche Frage: Wer von euch ist bei Facebook? Früher gingen alle Hände hoch, so wie kurze Zeit vorher alle bei SchülerVZ waren. Heute meldet sich vielleicht ein Drittel. Alle jedoch sind bei Whatsapp. Das gehört zwar auch zu Facebook, ist aber eine ganz andere Kommunikationsform. Whatsapp denkt in kleinen, überschaubaren Gruppen. Da ist nicht jeder Post automatisch für die ganze Welt sichtbar. Gut, dann sind sie eben jetzt alle bei Whatsapp, was ist daran so erwähnenswert? Ganz einfach: Nichts ist auf ewig. Kein Mensch kann seriös vorhersagen, wo sich die Internetkommunikation in fünf Jahren befindet. Wenn jemand vor 10 Jahren behauptet hätte, Linux werde einmal das am weitesten verbreitete Betriebssystem der Welt sein, hätten ihn alle ausgelacht, weil niemand damit gerechnet hätte, dass Android-Smartphones einmal so weit verbreitet sein werden. Vielleicht erleben wir gerade den Klimax der sozialen Medien, den Punkt, an dem das Geschrei, Aufmerksamkeitsgeheische, die Wichtigtuerei, das Herumgepöbel ein Ausmaß angenommen hat, dass die Leute einfach keine Lust mehr auf den Blödsinn haben. Vielleicht erleben wir gerade die beginnende Erosion, mit ausgelöst von Robert Habeck, der keineswegs rückwärtsgewandt, sondern avantgardistisch gehandelt hat.

Victim Blaming?

Wie so oft, wenn es netzpolitische Aufregerthemen zu bewerten gilt, meldete sich auch Sascha Lobo zu Wort und gab der Diskussion eine neue Wendung, indem er deren Metaebene betrachtete. Er brachte im Wesentlichen zwei Anmerkungen. Erstens: Die meisten Kommentatoren empfahlen im Wesentlichen sich selbst. Die Innenpolitiker empfahlen mehr Befugnisse für die Polizei, die Datenschützer höhere Datenschutzstandards und die Techniker beteten ihre Passwortpolicies runter. Zweitens: Victim Blaming ist unangebracht.

Victim – was? Die Soziologie hat uns in den letzten Jahren mit einem wahren Füllhorn von Kampfvokabeln beglückt. Wenn sich ein Mann breitbeinig in der Bahn hinsetzt, nannte man das früher einfach Breitar*, jetzt heißt es Manspreading. Wenn ein Mann einer Frau ungefragt Vorträge über Dinge hält, die sie entweder nicht wissen will oder schon längst weiß, nannte man das früher Klugsch*, jetzt heißt es Mansplaining. Wenn jemand in Verkennung der Situation einer vergewaltigten Frau sagt, sie solle eben keine kurzen Röcke tragen, nannte man das früher zynisch, heute heißt es Victim Blaming, und genau darin sehe ich eine Schwierigkeit. Der Begriff vermittelt nicht nur eine Wissenschaftlichkeit, die er nicht besitzt, er suggeriert, dass ein Opfer immer im Recht und jede Frage nach einer Mitschuld an der Tat moralisch verwerflich ist. Es steht außer Zweifel, dass eine Frau sich anziehen kann, wie sie will, und dass in keinem Fall darin eine Einladung zur Vergewaltigung zu sehen ist (diesen zwecks Vermeidung gezielter Missverständnisse das Selbstverständliche noch einmal betonenden Einschub nennt man übrigens allgemein “Disclaimer” oder “Virtue Signaling”). Weniger klar scheint mir die Lage, was den Hinweis auf gute Passworte angeht. Es ist ja nicht so, als sei das eine völlig neue Erkenntnis. Ich habe seit dem Jahr 2013 etwa 250 bis 300 Vorträge über IT-Sicherheit für Laien gehalten, und in nahezu jedem kam die Stelle vor, an der ich erzählt habe, wie wichtig gute Passworte sind. Natürlich hilft es dem krebskranken Raucher nicht, wenn der Arzt ihm seinen ungesunden Lebenswandel vorwirft, aber ist es nicht auch verständlich, wenn man jahrelang predigt, wie die Leute sich richtig verhalten sollen, niemand sich daran hält und dann auch noch Mitleid wollen, wenn es voraussehbar schief ging? Wenn schon, um auf das Doxing zurückzukommen, sich die veröffentlichten Prominentendaten nicht wieder einsammeln lassen, so sollte dieser Zwischenfall doch wenigstens ein augenfälliger Anlass sein, mit relativ einfachen Mitteln für mehr Sicherheit zu sorgen. Sie können das “Victim Blaming” nennen, ich nenne es der leicht gereizten Hinweis, dass der Ruf nach dem Staat und der Vorwuf, Facebook solle endlich seine Sicherheit verbessern (wie auch immer das geschehen soll, aber fordern kann man ja mal) vielleicht auch von einem Griff an die eigene Nase begleitet werden sollte. Ganz unbeteiligt sei man am Zustandekommen des Situation schließlich nicht.

Konsequenzen

Die Hinweislisten kursierten dutzendfach, weswegen ich sie hier nur ganz kurz anreiße: Lange, komplexe Passworte, für jedes Konto ein eigenes Passwort, Passworte immer mal wieder ändern, Passwortresetfragen so beantworten, dass sie nicht durch Recherche herausgefunden werden können, nach Möglichkeit viele verschiedene Passwortreset-Mailadressen, Zwei-Faktor-Authentifizierung, Single-Sign-On über Facebook und Google meiden, Kommunikation und Daten verschlüsseln sowie Systeme aktuell halten. Die Liste ist lückenhaft und ließe sich beliebig fortsetzen. Wenn Sie es genau wissen wollen, lesen Sie das Blog von Linus Neumann, der es sehr gut auf den Punkt gebracht hat.

Über die Frage, ob die Behörden, insbesondere das BSI schneller hätten reagieren müssen, lässt sich streiten. Zwar wusste das BSI seit Anfang Dezember Bescheid, aber es erkannte die Brisanz der Angelegenheit nicht. Ich kenne die internen Arbeitsabläufe des BSI nicht, aber ich vermute, es treffen dort täglich zu viele sicherheitsrelevante Meldungen ein, als dass ein sich relativ langsam über drei Wochen aufbauender Skandal sofort auffiele. Rückblickend auf die Tweets zu weisen und zu sagen, ab dem 1. Dezember hätte man etwas sehen können, ist einfach. Zu einfach.

Die üblichen Akteure spulten auch gleich reflexhaft ihre Forderungen ab, egal, ob sie passen oder nicht. Seehofer, bekannt durch seinen nebulösen “Masterplan” zur Flüchtlingsfrage, erging sich in Andeutungen über ein “Cyber-Abwehrzentrum plus”. Armin Schuster (CDU) forderte Vorratsdatenspeicherung, Staatstrojaner und Hackback, ohne auch nur andeutungsweise zu erläutern, wie das im vorliegenden Fall hätte helfen können. Ich bin ja schon froh, dass nicht irgendeine Geistesgröße mehr Überwachungskameras gefordert hat.

Es gibt keine harmlosen Daten

So sehr ich die Haltung Hans-Peter Friedrichs, wir müssten für unsere IT-Sicherheit schon selbst sorgen, im Allgemeinen kritisere, so muss ich leider in diesem speziellen Fall zugeben, dass wir in erster Linie selbst gefordert sind und zumindest unsere Passwortverwaltung einmal überdenken müssen. Ich bin aber auch Realist genug, um zu wissen, dass nur die Allerwenigsten die Disziplin aufbringen werden, den entstehenden Mehraufwand längerfristig durchzuhalten. Für uns Nerds sind Computer Lebensinhalt, und wir finden es selbstverständlich, mit großem technischen sowie personellem Aufwand unsere Geräte abzusichern. Für die Meisten hingegen sind Computer Werkzeuge, mit denen sie sich möglichst wenig auseinandersetzen wollen. Mir wird das klar, wenn ich gelegentlich bei meiner Hausärztin vorbeischaue, die sich aufregt, was ich für ungesundes Zeugs in mich hineinstopfe, wie wenig ich mich bewege und dass ich unbedingt mehr für meine Gesundheit unternehmen muss. Ich antworte ihr dann jedes Mal, mein Körper müsse weder besonders gut aussehen, noch irgendwelchen anderen Idealen entsprechen, er müsse einfach nur beschwerdefrei funktionieren. “Mag sein”, sagt sie, und ihre Stimme wird schärfer. “Aber wenn Sie nicht wenigstens eine Stunde pro Tag Sport treiben, wird sich Ihr Körper bald rächen.” Eine ganze Stunde? Das halte ich doch nie durch.

Die in meinen Augen wichtigste Erkenntnis ist jedoch, dass es keine harmlosen Daten gibt. Jede Information für sich mag nicht weiter kritisch sein: An der einen Stelle hinterlassen wir als Rechnungsadresse unsere postalische Anschrift, an der zweiten unsere Telefonnummer für die SMS-TAN, an der dritten schreiben wir offenherzig über unsere politischen Ansichten. Zusammengenommen hingegen setzen sich die Einzelinformationen zu einem Bild mit der Detailliertheit einer Stasi-Akte zusammen. Verhindern, dass diese Daten entstehen, können wir kaum, zumindest nicht, wenn wir wie gewohnt das Internet als soziales Austauschmedium nutzen. Wir können sie allenfalls breiter streuen, sie nicht allein bei einem großen Anbieter aggregieren, und wir können jeden einzelnen Ablageort besser schützen. Aber das bedeutet Arbeit.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s