ABhörskandal | bonnblog.eu

Triple A für Sicherheit

CDU und SPD beschäftigen nach Recherchen der Wochenzeitung „Die Zeit“ jeweils lediglich drei Mitarbeiter, um die parteiinternen IT-Systeme, die naturgemäß hochgradig dezentral strukturiert sind, vor Cyber-Attacken zu schützen. Beim Bundesamt für Sicherheit in der Informationstechnik wurde die Zahl der Mitarbeiter immerhin auf 600 aufgestockt. Doch was ist das schon angesichts von 3700 Fällen, die „in die tägliche Lagebesprechung eingebracht“ wurden.

Ganz anders hört sich die Planzahl von Bundesverteidigungsministerin Ursula von der Leyen an, die neben Marine, Luftwaffe und Heer nun eine vierte Säule „Cyber“ aufstellt, in der 13500 Soldaten Deutschland vor Angriffen aus dem Web-All schützen sollen. Wie schwer es übrigens ist, Fachkräfte im Kampf gegen Cyber-Crime und Cyber-War zu bekommen, beweist die Tatsache, dass die Bundeswehr auf ihre traditionellen Einstellungskriterien verzichtet: Gegen Hacker dürfen auch übergewichtige Couch-Potatoes antreten…

Zehntausende Verteidiger, die von ein paar Dutzend Angreifern in Atem gehalten werden: das klingt nach asynchroner Kriegsführung, nach Guerilla-Taktik und – ein naheliegendes Wort in diesen Tagen – Terror! Dabei entwickelt sich diese kriegerische Auseinandersetzung zwischen Hackern und Hütern zu einem Hochgeschwindigkeits-Gefecht, das ohnehin kaum noch von Menschenhand geführt werden kann. Es geht immer nur um größtmögliche Reaktionsschnelle, mit der das Zeitfenster zwischen Entdeckung eines Sicherheitslochs und Schließung der Lücke so klein wie möglich gehalten werden soll. Deshalb werden immer mehr computerisierte Abwehrmethoden entwickelt, die die Angriffe nicht nur verteidigen sollen, sondern bereits vorhersagen und vorzeitig Maßnahmen ergreifen werden. Schon 2017 wird „Triple A Security“ zu einem der ganz großen Dinger auf der Agenda der IT-Verantwortlichen. Die drei As stehen dabei für Automation, Analytics und Artificial Intelligence.

Bereits heutige Virenscanner erledigen die Abwehr bekannter Viren weitgehend selbständig. Es bedarf jedoch zumeist immer noch des menschlichen Eingriffs, wenn es darum geht, neue Sicherheitsupdates auch tatsächlich zu aktivieren. Bei dem Angriff auf die rund 900.000 WLan-Router der Deutschen Telekom war zu erkennen, dass zu viel Zeit vergeht, bis erstens die neue Software verfügbar war und zweitens auch von den Privatkunden genutzt wurde. Automatisierung soll dieses Zeitfenster nun so klein halten wie möglich, um Hackern nur eine kurze Zeitspanne zu überlassen, in der sie die neuen Lücken nutzen können.

Aber besser noch ist gar keine Zeitspanne zwischen Entdeckung und Bereinigung. Dazu werden mehr und mehr Analysewerkzeuge angeboten, die den Verkehr im Netzwerk und zwischen Endgeräten beobachten und auf Anomalien hin untersuchen. So kann frühzeitig festgestellt werden, dass Abweichungen im Netzverkehr auf das Wirken von Schadsoftware und den Eingriff von außen hindeuten. Gegenmaßnahmen werden also noch schneller ergriffen.

Mit Hilfe lernender Systeme ist es im nächsten Schritt möglich, nicht nur das Verhalten des Netzwerkes, sondern das individuelle Verhalten von Anwendern zu beobachten. Weicht das von der normalen Nutzung ab, schlägt das System Alarm. Lernende Systeme sind dabei in der Lage festzustellen, was ein User üblicherweise tut, und lernen mit jedem Klick dazu. Gleichzeitig sind sie in der Lage, auf der Basis von Nachrichten über neue Angriffe Muster für den eigenen Schutz zu erkennen.

IBMs Watson beispielsweise ist inzwischen auch in der Cyberabwehr aktiv. Das System beobachtet den Verkehr im Netz auf der Suche nach Schadsoftware, „abonniert“ NewsFeeds zu aktuellen Angriffen und entwickelt auf dieser Basis Abwehrstrategien. Dazu gehört auch die automatische Fortschreibung von „weißen Listen“, also die Festlegung, welcher Anwender auf welche Daten und Systemfeatures zugreifen darf.

Mehr Schutz bedeutet freilich immer auch mehr Verlust an Freiheit. Wenn Watson oder andere KI-Systeme das Anwenderverhalten beobachten, könnte man auch sicherstellen, dass nicht im Büro privat gesurft wird, dass keine auffällig großen Dateien versendet werden oder der Zugriff auf nicht freigegebene Anwendungen ersucht wird. Triple A Security bedeutet eben auch Triple A Kontrolle: Ausspähen, Aussperren und Ausmustern.

Avatare für Deutschland

Um das gleich klarzustellen: dieser Text wurde von einem Menschen verfasst. Weder Siri, noch Cortana oder Alexa haben mir dabei geholfen. Auch Samantha oder Nessa waren nicht beteiligt. Nessa? So hieß das digitale Abbild von „Vanessa“ im Tatort von gestern, der gewissermaßen den szenischen Auftakt für die Diskussion über eine Arbeitswelt von morgen gab, in der Anne Will Sachverstand von Sascha Lobo bis Bernhard Rohleder vom bitkom über die Computer- und Roboterwelt der Zukunft einholte.

Es hat den Anschein, als sollten Chatbots – also kleine Programme, die menschliche anmutende Interaktion (oder zumindest Kommunikation) vortäuschen – eine imaginär gezogene rote Linie überschritten haben. Während die Übernahme physischer Tätigkeiten durch Roboter bereits für viele fragwürdig genug ist, scheint die Automatisierung von kreativen oder assoziativen, in jedem Fall aber scheinbar intellektuellen Aufgaben für die meisten nicht hinnehmbar zu sein. Eliza, das erste Sprachkommunikation simulierende Computerprogramm des KI-Pioniers Marvin Minsky, ist zwar genau 40 Jahre alt, hat aber offenbar noch nichts von seiner verstörenden Wirkung verloren.

Doch sind Entwicklungen in der Tat verstörend, wie sie sich in der jüngsten Vergangenheit in der Ukrainekrise, bei der Brexit-Debatte oder jetzt im US-amerikanischen Wahlkampf zeigen: Hier haben sogenannte Social Bots massenhaft Meinungsbeiträge, zustimmende oder ablehnende Stimmungsäußerungen auf Twitter und Co. verbreitet – und damit offenbar steuernd in die Meinungsbildung der Menschen eingegriffen. Forscher der Universität Oxford zählten nach der letzten „Presidential Debate“ in Las Vegas zwar 1,8 Millionen positive Tweets für Donald Trump – immerhin dreimal so viele wie für Hillary Clinton –, aber ein Drittel der Meinungsäußerungen gingen auf die Aktionen von Social Bots zurück, die auf den Hashtag „#TrumpWon“ reagiert hatten. Auch bei Clinton war nach Ansicht der britischen Forscher jeder fünfte Text ein Fake. Facebook nannte auf Anfrage die Zahl von 15 Millionen Accounts, die vermutlich für Bots in dem sozialen Netzwerk eingerichtet worden seien.

Da kann es nicht überraschen, dass Bundeskanzlerin Angela Merkel im Angesicht der kommenden Bundestagswahl vor diesen Auswüchsen warnt. „Wollen wir mal zwischen den Parteien darüber sprechen, ob wir gemeinsam dagegen kämpfen?“, hatte sie auf dem Deutschlandtag der Jungen Union in die Kameras gefragt. Vertreter von CDU, SPD, Grünen und Linken reagiert prompt – über die etablierten Medien – und erklärten, keine Avatare für Deutschland einzusetzen. Die AfD hingegen gab zu verstehen, dass man hier keine Hemmungen habe.

Wie groß das Beeinflussungspotential sein könnte, hat Simon Hegelich von der Technischen Universität München im Auftrag der CDU-nahen Konrad-Adenauer-Stiftung ermittelt. Zwar gaben 95 Prozent der Befragten an, sich von Meinungsäußerungen in den sozialen Medien nicht beeinflussen zu lassen – also auch nicht von Beiträgen, die von Menschen aus Fleisch und Blut gepostet werden. Aber die Vorstellung, dass sich fünf Prozent der Wähler von einem Algorithmus beeinflussen lassen könnten, der auf Hashtags wie „#Merkelmussweg“ oder „#Schwarzrotgoldistbuntgenug“ reagiert, ist schon irritierend.

Dabei sind Bots oder Chatbots wahrscheinlich die nächste Generation von Apps, mit denen es möglich wird, Konversation als wichtigste Schnittstelle zwischen Menschen und Maschinen zu etablieren. Cortana oder Siri sind – so simpel sie heute noch funktionieren – die Prototypen von „Conversation as a Service“, die nicht dafür gedacht sind, Menschen über ihre gefühlte Einsamkeit hinwegzutäuschen, sondern Suchanfragen an die Cloud und daraus folgende Dienstleistungen zu eröffnen. Heutige Online-Systeme funktionieren einfach besser, wenn sie in der Lage sind, aus einer Spracheingabe angemessene Aktionen auszulösen wie die Bereitstellung von Informationen, die Reservierung von Restaurants und Hotels, Planung von Reisen oder Terminierung von Meetings. Längst hat der Wettlauf zwischen den IT-Konzernen darüber begonnen, Plattformen für die Erstellung von Bots als zukünftige Benutzeroberfläche bereitzustellen.

Bots als kleine Helferlein in einer digitalisierten und automatisierten Welt sind an sich kein Teufelswerk. Dazu werden sie – wie immer – erst durch den Einsatz der Menschen. Und genau hier müssen wir unterscheiden lernen – und Standards setzen, die einen Missbrauch verhindern. Dazu braucht es erst einmal eine öffentliche und offene Debatte über Risiken und Nebenwirkungen der digitalen Transformation. Man sei möglicherweise dabei, ein historisches Dokument zu produzieren, warnte Christian Lindner, derzeit als Fraktionsvorsitzender der FDP im nordrhein-westfälischen Landtag in Warteposition für höhere Aufgaben. In 30 Jahren würden sich die Menschen der nahen Zukunft die Debatte bei Anne Will reinziehen, um sich über die sonderbaren Ängste der Menschen des Jahres 2016 schlapp zu lachen, die vor den Auswirkungen der Digitalisierung und Automatisierung großer Teile unseres Lebens zurückschreckten.

Da mag es beruhigend wirken, dass die ARD als Begleitung ihrer Themenwelt über die Arbeit von morgen einen „Job-Futuromat“ ins Web gestellt hat, den man danach befragen kann, welche Auswirkungen die Digitalisierung auf das eigene Jobprofil haben könnte. Unternehmensberatern wird darin die Auskunft erteilt, dass der Job zu 13 Prozent durch digitale Systeme automatisiert werden kann. Publizisten sind demnach zu 100 Prozent unersetzbar. Was für ein Glück – den Bonnblog gibt es also weiter von mir ganz alleine. Der eine oder andere gute unternehmerische Rat könnte allerdings dann doch von einem Bonnbot kommen.

Bock und Gärtner

Was ist eigentlich schlimmer – gar kein Abkommen oder ein schlechtes? In den Verhandlungen zwischen der Europäischen Union und den Vereinigten Staaten scheint zumindest auf der Seite des Alten Kontinents die Meinung vorzuherrschen, dass schlecht ausgehandelt immer noch besser ist als gar keine Einigung.

So scheint es bei dem Ringen um ein transatlantisches Freihandelsabkommen zu sein, gegen das sich hierzulande schon deshalb Ressentiments regen, weil die Gespräche, Protokolle und Vertragsunterlagen bislang für Dritte – und seien es Bundestagsabgeordnete – äußerst intransparent sind. Die Dokumentation zu den Verhandlungen dürfen Auserwählte lediglich in einem obskuren Leseraum einsehen und das auch nur zu äußerst eingeschränkten Lesezeiten. Dabei sind es gar nicht mal unbedingt amerikanische Chlorhühner und französische Käseabsonderheiten, die die Skepsis nähren. Es ist vor allem die Aussicht, dass Unternehmen in ebenfalls intransparenten Gerichtsverhandlungen gegen geltendes Recht werden klagen können. Da springen sofort alle Ampeln auf Rot. Da wittert man Verschwörung, Veräußerung, pardon: Verarschung.

Vertrauen wird derzeit im transatlantischen Verhandlungsspiel eher klein geschrieben. 74 Prozent der deutschen, so ergab eine von der Wirtschaftswoche veröffentlichte Befragung, fühlen ihre Privatsphäre durch digitale Technologien gefährdet. In Großbritannien sind es 78. In Spanien und Portugal vier von fünf Befragten. Misstrauen ist also keineswegs eine deutsche Spezialität.

Da passte es ins Bild, dass im Oktober vom Europäischen Gerichtshof höchstinstanzlich beschieden wurde, dass aus europäischer Sicht die US-amerikanische Datenlandschaft keinen sicheren Hafen bietet. Das Safe Harbour-Abkommen ist seitdem ausgesetzt. Kurz nach dem Fälligkeitsstichtag Ende Januar haben jetzt die EU-Kommission und die US-Regierung ein, nennen wir es mal: Eckpunktepapier in die Welt gesetzt, das in drei Maßnahmen-Schwerpunkten den Europäern mehr Datensicherheit in den USA gewähren soll:

So soll es strengere Auflagen für die Speicherung privater Daten von EU-Bürgern in den USA geben.

Strenge Vorgaben beim möglichen Zugriff amerikanischer Behörden auf diese Daten und mehr Transparenz sollen mehr Rechtssicherheit gewähren.

Und schließlich will das US-Handelsministerium über die Einhaltung wachen.

Wie bitte? Ist das nicht das Ministerium, dem mehr und mehr Menschen in der Europäischen Union schon wegen TTIP äußerstes Misstrauen entgegenbringen? Da kann auch die Möglichkeit, im Falle eines Falles einen Ombudsmann anzurufen, noch nicht wirklich beruhigen. Zumindest nicht, solange völlig unklar bleibt, mit welchen Rechten und Machtmitteln dieser Schlichter ausgestattet sein wird. Vermutlich eher mit schlichten…

Von dem hehren Ziel, dass EU-Bürger in den USA ebenso viel Datenschutz genießen sollen wie in der Europäischen Union, ist man nun aber noch weit entfernt. Von einer Einigung beziehungsweise Verabschiedung eines Privacy Shield-Abkommens allerdings auch. Denn noch existiert kein Vertrag, unter den die beiden Seiten eine Unterschrift setzen könnten. Noch haben sich das EU-Parlament und die nationalen Legislativen nicht geäußert. Doch eines scheint jetzt schon sicher: Sollte das Abkommen in dieser Form jemals das Licht der Welt erblicken, liegt es schnell wieder auf dem Richtertisch. Am Ende werden es wieder die Richter sein, die im transatlantischen Garten zu richten haben, was die Politik verbockt.

Biere Harbour

Dieser Streich wird Schule machen. Microsoft will sich mit der geplanten Übergabe des Data Centers für die deutsche Cloud-Region, die in einer Datentreuhänderschaft von der T-Systems betrieben werden soll, den Zugriffsmöglichkeiten der US-Behörden entziehen. Sollte das Konzept, das im kommenden Jahr in die Pilot- und sukzessive auch in die Betriebsphase gehen soll, greifen, wäre – im übertragenen Sinne – ein Datenraum geschaffen, der einzig und allein deutscher Gerichtsbarkeit unterliegt.

Das wäre für die USA so etwas wie ein Pearl Harbour im großen vaterländischen Schnüffelkrieg.

Microsoft hat für seine Public Cloud-Angebote – also Azure, Office 365 und Dynamics CRM – länger gebraucht als seine US-Konkurrenten, um die Präsenz mit Datenzentren in Europa zu verstärken. Amazon, Google oder IBM haben schon im vergangenen Jahr mit neuen Hochsicherheitstrakten für Cloud-Daten in Europa Milliardeninvestitionen getätigt. Die Liste ist in der Tat beeindruckend. So werden Amazons Web Services in Dublin und Frankfurt, Googles Dienste in Dublin, St. Ghislain (Belgien), im niederländischen Eemshaven und im finnischen Hamina gespeichert. IBM kündigte noch im vergangenen Oktober den Ausbau europäischer Standorte an, die dann London, Amsterdam, Paris, Frankfurt und Mailand umfassen. Und auch Salesforce hat mit einem eigenen Datenzentrum in Frankfurt einen sicheren Boden unter den Füßen.

Doch der alleinige Gang auf europäisches Terrain ist für US-amerikanische Datendienstbetreiber alles andere als hinreichend, wenn es um datenschutzrelevante Belange geht. Denn nach US-amerikanischer Rechtsauffassung haben US-Behörden in bestimmten begründeten Fällen auch dann Zugriff auf in Europa residierende Daten, wenn der Betreiber ein US-Unternehmen ist und somit auch im Ausland US-Recht unterliegt. Einen derartigen Fall fechten Microsoft und die US-amerikanischen Ermittlungsbehörden derzeit in einem konkreten Fall aus, bei dem die angeforderten Daten in Dublin residieren und ausgeliefert werden sollen.

Es hat wohl dieses Gerichtsverfahrens bedurft, um bei Microsoft die Erkenntnis reifen zu lassen, dass das Betreiben eines Data Centers in Europa nicht ausreicht. Schon vor drei Jahren haben die deutschen Microsoft Partner mit Richmond darüber debattiert, dass prinzipiell die Weitergabe von Daten an US-Behörden gegen geltendes deutsches Recht verstoßen könnte. Im Oktober hat schließlich der Europäische Gerichtshof die Safe Harbour-Vereinbarung mit der Begründung als ungültig erklärt, dass die Datenschutzvereinbarung offensichtlich zwar für US-Unternehmen, nicht aber zwangsläufig für US-Behörden gelte.

Jetzt hat Microsoft als erstes US-Unternehmen die rechtlichen Konsequenzen gezogen: Die deutschen Cloud-Services werden beginnend mit Azure als Basis in das Rechenzentrum von T-Systems in Biere bei Magdeburg verlagert und in Frankfurt gespiegelt. Nach dem Aufbau gibt Microsoft quasi die Schlüssel an Telekom-Techniker ab und versagt sich damit jeglichen Rückgriff auf die dort getätigten Installationen. Im Ergebnis wird Microsoft somit behaupten können, nicht mehr in der Lage zu sein, dem Ansinnen von US-Behörden auf Datenherausgabe folgen zu können.

Der technische, aber verschmerzbare Nachteil: Da die deutsche Cloud in „Biere Harbour“ vollständig von der sonstigen globalen Cloud-Infrastruktur von Microsoft abgekoppelt sein wird, entzieht sie sich auch den Updatemöglichkeiten aus der Microsoft-Zentrale. Neue Versionen und Funktionen müssen also durch die Telekom-Techniker übernommen und installiert werden. Ein weiterer Nachteil ist freilich auch, dass mit der T-Systems ein weiteres Element in der Cloud-Nahrungskette eingebunden ist. Zwar sind noch keine Preise bekannt, aber teurer ist das Mehr an Sicherheit bestimmt.

Das Modell dürfte Schule machen, denn mit dem Gang nach Europa allein haben sich die anderen US-Anbieter dem Zugriff ihrer US-Behörden keineswegs entzogen. Die „deutsche Wolke“ könnte aber auch darüber hinaus werbewirksam für andere globale Regionen wirken. So soll das chinesische Unternehmen Huawai bereits die Dienste in Biere in Anspruch nehmen. Sollte dahinter die Absicht stehen, die eigenen Daten vor der chinesischen Regierung zu schützen, müsste allerdings noch eine ähnliche Treuhänder-Beziehung folgen, wie sie jetzt Microsoft und T-System geschlossen haben.

Dann kann nämlich nur auf Anordnung eines deutschen Richters eine Herausgabe von Daten erreicht werden. Dazu müsste jedoch ein Amtshilfeersuchen aus dem Ausland vorliegen. Ganz versperrt ist die Tür also nicht. Aber sie wird, wenn überhaupt, nach deutscher Rechtsauffassung geöffnet.

Die USA haben mit ihrer Datensammelwut in den vergangenen Jahren möglicherweise sich selbst ein Pearl Harbour bereitet. Sie haben in Europa „einen schlafenden Riesen geweckt“.