R.I.P. „Safe Harbor“ – ich werde Dich nicht vermissen

Als einen „Meilenstein“ bezeichnete Max Schrems das, was sich am Dienstag, 06.10.2015, ereignet hat. Der Europäische Gerichtshof (EuGH) hat der Argumentation von Schrems zugestimmt und folgerichtig das „Safe Harbor“-Abkommen zwischen der EU-Kommission und dem US-amerikanischen Wirtschaftsministerium für ungültig erklärt. Damit entzieht der EuGH der digitalen Industrie von einem Tag auf den anderen den Blankoscheck für den grenzüberschreitenden Verkehr von Daten, die dem Datenschutzgesetz unterstellt sind (Personendaten). Es gibt weder Berufungsmöglichkeiten noch eine Übergangsphase.

Grabstein mit dem aufgespraytem "Safe Harbor".

Safe Harbor – es gibt keinen Grund Dich zu vermissen.

Ratlosigkeit, jetzt, da der Kaiser keine Kleider mehr hat
Von Triumph bis grosser Verunsicherung waren bisher alle Reaktionen in den Online-Gazetten zu finden. Doch in der Regel waren die Reaktionen ziemlich zurückhaltend. Vermutlich herrscht Ratlosigkeit vor. Sind doch alle Datentransfers in die USA gemäss Hanspeter Thür, dem obersten Datenschützer der Schweiz, nun nicht mehr per se legal. Insbesondere hat das EuGH festgehalten, dass die Zugriffspraktiken von US-amerikanischen Behörden nicht mit europäischem Datenschutz vereinbar sind. Das war eine offensichtliche Tatsache, über die man in der Branche Bescheid wusste.

Ein Schlag ins Gesicht
Konkret heisst das: Diejenigen, die Services in den USA und in Europa anbieten, müssen nun getrennte Infrastrukturen anbieten und alle, die Dienstleistungen beziehen, müssen dafür sorgen, dass entsprechenden Daten nicht auf US-amerikanische Server gelangen. Zu Recht weist Thür darauf hin, dass dies eine Weile dauern wird. Ausserdem sei auch das Safe-Harbor-Abkommen mit der Schweiz davon betroffen. Was genau das heisst, bleibt offen, solange die Medien nicht nachzufragen gedenken (aber das ist eine andere Baustelle).

Enttäuschung und Apokalypse
Die Sicht aus den USA scheint hingegen recht klar: Unverständnis. Das US-Handelsministerium lässt grüssen und ist tief enttäuscht. Das sei doch bis jetzt so super gewesen, das Abkommen habe doch gut funktioniert und man sei besorgt um die transatlantische Digitalökonomie. Süss, aber was soll es sonst auch anderes sagen. Im Business Insider UK sieht man hingegen die bürokratische Apokalypse am Horizont … die alten Kalauer also.
Ich verstehe diese Haltung. Man stelle sich vor, US-amerikanische Digitalunternehmen müssten sich an die Gesetze derjenigen Länder halten, in denen sie tätig sind. Ja, ich weiss, an dieser Niederlage sind nicht die Unternehmen schuld, sondern die Regierung der USA. Aber da haben die Unternehmen einfach geschlafen, als man vor ihrer Nase diesen Überwachungsstaat aufgezogen hat.

Keine einfachen Lösungen mehr
Dieser Dienstag war ein guter Tag. Ungeachtet anderer Meinungen werde ich „Safe Harbor“ auf jeden Fall nicht vermissen. Schon alleine deswegen, weil „Safe Harbor 2“ seit einiger Zeit in Verhandlung ist. Darauf setzt die Industrie jetzt ihre Hoffnung. Doch ich habe meine Zweifel, ob diese berechtigt ist. Seit diesem Urteil kommt die EU-Kommission nicht mehr an den Datenschützern vorbei. Sie wird also nicht noch einmal so einen weissen Hasen aus dem Hut zaubern können. Und bis eine neue gesamtheitliche Lösung gefunden und umgesetzt ist, hat sich die Industrie angepasst.

Naja, die Hoffnung stirbt zuletzt.

Auch Kotzbrocken können die Wahrheit sagen

Als durchschnittlich normal erzogener Mensch wird man von den Eltern angehalten, seinen Mitmenschen positiv zu begegnen. Erst später merkt man dann, dass es einfach Leute gibt, denen man mit der Beschreibung Ohrfeigengesicht schlichtweg schmeichelt. Neulich begegnete ich einem solchen Kandidaten. Zum Glück nicht in Persona, nur virtuell, sodass ich mir nicht überlegen musste, ob ich mich jetzt strafbar mache…

Ein künstlicher Schneemann in einer englischen Telefonzelle.

Vielleicht waren die Hoffnungen auf Regulierung so deplaziert wie der Schneemann in der Telefonzelle.

That’s it? Cool!
Ich stolperte über folgendes Zitat (frei übersetzt): „Wenn mir jemand gesagt hätte, diese Snowden-Geschichte würde während zwei Jahren ein Alptraum sein, doch am Ende würde sich lediglich ändern, dass man für die Daten den Umweg über das Gericht gehen muss und die Daten würden dann von den Telefonanbietern gespeichert. Und das nach zwei Jahren. Dann hätte ich gesagt: Cool!

Dümmliches Lachen inklusive
Dieses an Arroganz und Respektlosigkeit gegenüber der Bevölkerung kaum zu überbietende Gelaber stammt von Michael Hayden, dem ehemaligen Direktor der NSA und später des CIA. In seinem hilflosen Versuch sich beim Publikum anzuwanzen hat nicht einmal das dümmliche Lachen gefehlt.  Während eines Interviews mit dem Wall Street Journal wähnte er sich wohl unter Seinesgleichen und glaubte sich nicht mehr verstecken zu müssen. (Die erwähnte Nummer dieses verhinderten Stand-up-Komikers gibt es hier zu sehen). Er hält übrigens Folter für eine „verschärfte Verhörmethode„, die wertvolle Erkenntnisse bringen kann.

Verpasste Chance
So unappetitlich Haydens verbaler Auswurf auch war, so hat er doch leider Recht. Zusammengefasst ist das die Quintessenz nach zwei Jahren Zeitungsmeldungen, Kommissionssitzungen und Skandalen. Gratulation: Der Berg hat eine Zwergmaus geboren! Und das ist besonders tragisch, da es sich bei diesem Teil unserer täglichen Bespitzelungsdosis, (der von Regierungen ausgeht) um den Teil handelt, der am einfachsten zu regulieren wäre.

Sammeln auf Teufel komm raus
Eigentlich gäbe es hierzu nichts mehr zu sagen. Trotzdem: noch zwei Kleinigkeiten mit auf den Weg. Viele Medien berichteten, das die NSA für ein paar Stunden die Aufzeichnung von Daten stoppen musste, weil der Patriot Act am 31. Mai 2015 nicht verlängert wurde. Leider ging völlig vergessen, dass mit dem Nachfolgegesetz (Freedom Act), der Patriot Act um sechs Monate verlängert wurde. Eine Übergangsmassnahme sozusagen. Ich würde wetten, dass die NSA in diesen sechs Monaten jetzt noch auf Teufel komm raus alles sammelt, was nicht niet- und nagelfest ist. Sofern noch mehr möglich ist.

Pseudo-Verschlüsselung: Die Hintertür zu deiner digitalen Privatsphäre

David Cameron hat es im Januar dieses Jahres als erster Politiker für europäische Ohren öffentlich thematisiert: Es darf keine toten Winkel im Kampf gegen den Terrorismus geben. Konkret darf in Grossbritannien die digitale Kommunikation nicht mehr so gut verschlüsselt werden, dass die Behörden nicht einsehen können. Er fragte damals rhetorisch in einer Rede: „[I]n our country, do we want to allow a means of communication between people which we cannot read?“ Ob er sich bewusst war, wie totalitär seine Forderung ist, kann ich nicht beurteilen. Er forderte damit schliesslich nur das Ende der sicheren Verschlüsselung und damit das Ende des letzten bisschen Privatsphäre, dass uns im Internet geblieben ist. Alles andere ist schon verloren.

Ein rostendes Schlüsselloch in einer Holztür.

Jede Hintertür hat auch einen Schlüssel um sie zu öffnen. Gibt es diesen, dann wird er zum ultimativen Ziel.

Dreiste und gefährliche Forderung
Cameron erntete für seine Aussagen in Expertenkreisen viel Kopfschütteln. Und dies aus zwei Gründen: Erstens verwenden Bösewichte keine Tools, die kompromittiert sind und zweitens würde es bedeuten, dass jegliche Verschlüsselungssoftware für Normalbürger unsicher wird.

Das wissen auch die Sicherheitsbehörden. Sie stellen sich einfach auf den Standpunkt, dass die Sicherheitsbranche schon ein Verfahren erfinden wird, mit dem die Schlüssel zu diesen Hintertüren sicher verwahrt werden können, ohne sie in einem Hochsicherheitstrakt verstecken zu müssen.  Da es diese Zauberlösung nicht gibt, haben 140 Tech-Unternehmen, Spezialisten und zivilgesellschaftliche Organisation einen offenen Brief an Präsident Obama geschrieben. Sie fordern von ihm, auf Hintertüren zu verzichten.

UNO meldet sich zu Wort
Obwohl selbst den Sicherheitsbehörden keine Lösung für das Schlüsselproblem bekannt ist, hat die Diskussion trotzdem Fahrt aufgenommen. In den USA sind sich die Sicherheitsbehörden einig: Wir brauchen das einfach. Die Sicherheit aller US-Amerikaner wäre sonst gefährdet! (Und mit Sicherheit kann man schliesslich alles begründen…).

Die ganze absurde Diskussion hat nun sogar die Uno auf den Plan gerufen. Sie hat vor wenigen Tagen in einem 18 Seiten starken Spezialbericht erklärt, dass Verschlüsselung und Anonymität Eckpfeiler des Rechts auf freie Meinungsäusserung im digitalen Zeitalter sind.

Es geht wahrscheinlich wieder einmal um Geld und Macht
Sind die Sicherheitsbehörden frech oder einfach nur dummdreist? Ich denke weder noch. In Wahrheit geht es ihnen wahrscheinlich eher darum, die Überwachung der Menschheit in den eigenen Händen zu behalten, denn in den USA wird zur Zeit im Parlament der Freedom Act verhandelt. Pikanterweise läuft der darauf hinaus, die Kompetenzen der Sicherheitsbehörden einzuschränken und die Erhebung der Daten teilweise in die Hände der Privatfirmen zu legen. Mit anderen Worten: Die Milliarden-Budgets der Behörden und Zehntausende von Arbeitsplätzen sind in Gefahr.

Tipp: Es lohnt sich, diese Anhörung des „Committee on Oversight & Government Reform anzusehen. Das ist schon nur deshalb faszinierend, weil man miterleben kann, wie die Sicherheitsbehörden versuchen sichere Verschlüsselung, etwa durch Apple, zur Kolaboration mit Gesetzesbrechern hochzustilisieren. Erschreckend ist auch die argumentative Hilflosigkeit der FBI-Vertreterin. Ausserdem erklärt ein Experte, warum Hintertüren gefährlich sind.

Das Ende des Internet-Märchens aus dem Silicon Valley

Defektes Rücklicht eines alten Autos

In den Märchen aus Silicon Valley zeigen sich schon mehr als ein paar Risse.

Es ist jetzt ein Jahr her, dass der (ehemalige) Internet-Enthusiast Sascha Lobo mit seinem Satz „Das Internet ist kaputt!“ aufhorchen liess. Schon damals hätte ich ihm am liebsten zugerufen: „Sascha, mein lieber, Du hast es wohl noch nicht ganz begriffen. Das Internet ist nicht kaputt. Es ist zum Business geworden. Und die durchgeknallten Überwachungsinstrumente der Regierungen dieser Welt sind nicht einmal das grösste Problem.“ Aber man soll ja frisch Aufgewachte nicht gleich überfordern.

Digitale Heilsversprechen kleben wie Hundekacke am Schuh
Leider hat die Offenbarung seines massiven Sinneswandels viel weniger Resonanz hervorgerufen, als ich mir das gewünscht hatte. Wohl zu stark steckt das Mantra vom Silicon Valley in Köpfen der Menschen fest, als das man sich so einfach und schmerzlos davon verabschieden wollte. Falls Sie zu denjenigen gehören, die tief im Bauch spüren (es aber nicht richtig formulieren können), dass die digitale Revolution nicht nur Kaffee und Kuchen mit sich bringt, hier ein Buchhinweis:

Andrew Keen: Das digitale Debakel. Warum das Internet gescheitert ist – und wie wir es retten können. DVA, 2014. 320 Seiten.

Statt einer Beschreibung meinerseits, ich habe das Buch selbst auch noch nicht lesen können, hier die ersten zwei Absätze des Vorwortes:

Das Internet ist die Antwort. Es demokratisiert die Guten, schadet den Bösen und schafft eine offenere und gerechtere Welt. Je mehr Menschen Zugang zum Internet erhalten, umso wertvoller ist es für seine Nutzer und die gesamte Gesellschaft. Das versprechen uns zumindest die Internetpropheten, darunter Milliardäre aus Silicon Valley, die Marketingabteilungen der sozialen Medien und Netzwerkidealisten. Sie feiern das Internet als magische Aufwärtsspirale, endlosen Selbstverstärker und wirtschaftlichen als auch kulturellen Gewinn für Milliarden von Nutzern.
Doch heute, da das Internet fast alles und jeden auf unserem Planeten vernetzt hat, wird immer offensichtlicher, dass es seine Versprechen nicht hält. Die Internetpropheten verheissen uns vielmehr etwas, das in Silicon Valley als „Reality Distortion Field“ bezeichnet wird – eine Vision die die Wirklichkeit verzerrt. Das Internet ist kein Gewinn für alle, sondern eher ein Teufelskreis, in dem die Nutzer nicht Nutzniesser, sondern Opfer sind. Das Internet ist keineswegs die Antwort, sondern die zentrale Frage in unserer vernetzten Welt des 21. Jahrhunderts.

Ich freue mich schon auf diese Lektüre. Hast Du das Buch gelesen? Was ist Deine Meinung?

Zusatzinformationen zum Aufwärmen:
Andrew Keen im Interview mit dem Debattenmagazin The European: „Der freie Markt funktioniert nicht
Andrew Keen im Interview auf twit.tv (Video/Englisch)

Heartbleed: dem geschenkten Gaul ins Maul schauen

Ein Herz-Symbol das blutet.

„Codenomicon CEO David Chartier told Bloomberg that his team then immediately went to work on a marketing plan.“ aus dem Zdnet.com-Artikel (Bildquelle: Heartbleed.com)

Können Sie sich noch an Heartbleed erinnern? Die gleichnamige Sicherheitslücke im Open-SSL-Verschlüsselungsverfahren (um es mal einfach zu beschreiben) beschäftigte die IT-Welt im Frühling über mehrere Wochen aufs Schwerste. Was auch in Ordnung war, denn diese Lücke war während 27 Monaten unentdeckt geblieben und weltweit verbreitet… Ich kann mich auch noch gut erinnern, wie man darüber gerätselt hatte, dass die Lücke gleichzeitig von einer finnischen Sicherheitsfirma und einem Google-Mitarbeiter entdeckt wurde.

Sicherheitshinweis und Patch – brought to you by NSA
Ein kürzlich hochgeladenes Video auf Youtube erklärt zumindest den einen Teil dieser Doppelentdeckung. Darin plaudert Admiral Mike Rogers, Chef der NSA, darüber, wie die NSA die Lücke am 07. April 2014 entdeckt hatte und gleich am nächsten Tag an Google bekannt gab, damit sie geschlossen werden konnte. Natürlich schickte die NSA grosszügiger Weise auch gleich einen Patch für die Software mit. Wie praktisch für uns alle.

Dem geschenkten Gaul ins Maul schauen
Die grossartige Transparenzbezeugung von Rogers sollte nicht darüber hinwegtäuschen, wie wenig wir doch wissen, wie solche Sicherheitslücken entstehen und warum sie wann veröffentlicht werden. Ausserdem hat Rogers uns noch mitgeteilt auf welchen Kriterien die Entscheidung beruht, ob Sicherheitslücken für die Spionagetätigkeiten der NSA genützt werden. Sie sind, sagen wir mal, relativ schwammig und situativ… So wie Wohltäter halt sind.

Mehr:

Hier geht’s zur Einschätzung von Bruce Schnier, wie Hersteller von Virenschutzsoftware mit ihrem Wissen über Malware umgehen.

Eine Zusammenfassung der Ereignisse, wie die Sicherheitslücke Heartbleed entdeckt und gleich kommerzialisiert wurde; von Zdnet.com vom 25. November 2014

Hier die ganze „Stanford Community Lecture“ mit NSA Director Admiral Mike Rogers

Breaking News: Snowden ist schuld, dass Terroristen dazulernen

Mathematische Formeln auf einer schwarzen Tafel.

Terroristen haben an ihren Algorithmen gearbeitet und wir gucken jetzt in die Röhre. Böser Snowden, böser Snowden.

Während Edward Snowden immer noch in seinem russischen Exil sitzt, zieht sich in den USA die Schlinge um seinen Kopf enger. Seinen Status als „Verräter der Nation im Kampf gegen den Terror“ wird er nicht mehr ändern können. Das wird einem spätestens dann klar, wenn sogar die gemässigten US-Medien den Betonköpfen in den Sicherheitsdiensten und den menschlichen Durchlauferhitzern in den Parlamenten zuarbeiten.

Mist, die Terroristen lernen dazu
So hat National Public Radio (NPR) am 1. August 2014 wieder einmal den Niedergang in der US-amerikanischen Medienlandschaft dokumentiert. In einer Breaking News mit dem epischen Titel „Big Data Firm Says It Can Link Snowden Data To Changed Terrorist Behavior“ versucht NPR eine Verbindung zwischen den Enthüllungen durch die Snowden-Dokumente und einer verstärkten Verschlüsselung der Kommunikation im terroristischen Umfeld herzustellen.

Open-Source ist böse
An dieser Behauptung ist nicht viel auszusetzen, da die ganze Welt seit den Enthüllungen über die Praktiken der NSA sensibler gegenüber dem Thema Privatsphäre geworden ist. Da wäre es schon blöd, wenn sich Al-Kaida noch immer via Skype über terroristische Pläne austauschen würde… Es ist die Art und Weise, wie NPR das Thema abhandelt. Die Vergleiche sind wunderlich (sie vergleichen die Softwareverbesserungen im Terroristischen Umfeld mit einem Upgrade von Windows 2.0 auf XP) und die Zusammenhänge sind sehr vereinfacht dargestellt: Nur weil es kurz nach den ersten Snowden-Enthüllungen massive Software-Upgrades gab („wenige Monate danach“), ist der Zusammenhang noch lange nicht bewiesen. Und dann wird auch noch behauptet, weil die neuen Upgrades Open-Source enthalten, seien sie schwer zu knacken. (Ein Seitenhieb gegen Open-Source?)

Parodie auf seriösen Journalismus
Blöderweise zieht der Sicherheitsexperte Bruce Schnier im gleichen Beitrag die aufgestellten Behauptungen in Zweifel und sieht da eher normale Entwicklungsprozesse am Werk. Das passt zwar so gar nicht in das Konzept des Beitrags, doch NPR musste Schnier im Beitrag lassen, da die Geschichte sonst wie eine Parodie auseinanderfallen würde. Und man beachte, in welchem gedämpften und leicht konspirativen Ton die Sprecherin diese Breaking-News den Hörern von NPR eröffnet. Wir sind verblüfft von dieser journalistischen Meisterleistung, verneigen uns in Ehrfurcht und denken: Es ist gut, wenn die sich nicht getrauen diesen Müll laut auszusprechen…

Das Interessante zum Schluss
Und noch zuletzt eine kleine Randnotiz: Recorded Future, die Firma, die den Zusammenhang zwischen den Snowden-Leaks und den Upgrades herstellt, wird über eine Investmentfirma (I-Q-Tell) von der CIA gesponsert.

 Hier der Audio-Beitrag: Im Text sind einige zweifelhafte Stellen nicht drinn.

Unsere digitalen Spielzeuge – die täglichen Verräter

Schuhe und Beine die von Matsch bedeckt sind.

Wir alle stecken ganz schön tief im Matsch.

Ich werde konstant verraten. Sie auch. Von allen digitalen Geräten die am Internet hängen. Das sollten wir uns zuerst eingestehen bevor an eine Lösung zu denken ist.

In hohem Rythmus beglückt uns der in Russland festgesetzte Edward Snowden mit neuen Trouvalien aus dem NSA-Fundus. So wie es immer ist, wenn Nachrichten explosionsartig in der Erdatmosphäre verpuffen, gibt es drei mögliche Reaktionen: Während die erste Gruppe sich schockiert und überrascht zeigt, übt die zwei Gruppe das „hab ich Dir schon lange gesagt“-Gesicht. Nicht zu vergessen gibt es noch die dritte und letzte Gruppe derjenigen, die regungslos (aus Desinteresse, Gleichgültigkeit oder mangels Durchblick – man weiss es nicht genau) dem neuen Grauen entgegenblickt. Obwohl ich selbst der zweiten Gruppe angehöre und mir stetig die passenden Sätze zum erwähnten Gesicht verkneife, muss auch ich zugeben, wird mir zunehmend flau im Magen. Snowdens Veröffentlichungen wirken wie die Taschenlampe beim nächtlichen Waldspaziergang: Erst wenn man sie anschaltet und sie auf den Boden richtet sieht man, dass man nicht nur schmutzige Schuhe hat, sondern knöcheltief im Dreck steckt.

Im Schein des Türspaltes
Irgendwie erinnert der ganze Schlammassel ans Einschlafen während der Kindheit. Während des Tages waren die ganzen schönen Spielzeuge die besten Freunde, die uns viele unbeschwerte Stunden schenkten. Erst in der Nacht, wenn es dunkel wurde und nur noch der Türspalt spärliches Licht bot, fingen wir uns an zu fragen, was denn die Spielzeuge denn machen, wenn wir denn mal einschlafen. Fangen sie an zu sprechen? Sprechen sie über mich oder sind sie sogar gefährlich?

Unablässiger Verrat
Irgendwann ist diese Phase vorbei und wir lernen, dass es nur tote Gegenstände sind – ohne Eigenleben. Im Unterschied zur Kindheit wissen wir es heute als Erwachsene besser: Unsere digitalen Spielzeuge sprechen mit Fremden. Nicht nur in der Nacht. Ununterbrochen während wir uns mit ihnen die Zeit vertreiben. Und entgegen allen Beteuerungen von Geheimdienstlern, Politikern und Wirtschaftsführern zeigen die aus aller Welt zusammengetragenen Erfahrungen, dass das auch gefährlich sein kann. Und illegal ist es in vielen Fällen auch.

Wir verkaufen uns nicht teuer genug
Seltsamerweise, ich kann mir das auch nicht ganz erklären, akzeptieren wir heute eine Überwachung, sei es durch Geheimdienste oder private Unternehmen, nach der sich die Mitarbeiter der Stasi die Finger geleckt hätten. Ist Privatsphäre ein Auslaufmodell? Eigentlich sollte, der ökonomischen Logik entsprechend, Privatsphäre so gefragt sein wie noch nie. Es ist mittlerweile ein so seltenes Gut geworden. Teuer ist es auf jeden Fall.

Und was jetzt? Die Lage ist enorm komplex und eine einfache Lösung nicht in Sicht. Wann immer es schwere Aufgaben zu lösen gibt fängt man am besten auf Feld eins an. Auf Feld eins sollten wir uns zweier Dinge  bewusst werden: 1. Auch in der digitalen Welt ist nichts gratis. 2. Alles was technisch möglich ist, wird auch gemacht.

Willkommen auf Feld eins!