Der deutsche IT-Experte Andy Müller-Maguhn ist einer der bekanntesten Internetaktivisten im deutschsprachigen Raum. Der einstige Sprecher des Chaos Computer Club hält heute in Berlin Schulungen zum Thema Internetsicherheit ab. Er zählt zu den Vertrauten von Julian Assange, dem Initianten der Enthüllungsplattform Wikileaks. Zusammen mit Assange und dem Internetaktivisten Jacob Appelbaum veröffentlichte er vor einem Jahr das Buch «Cypherpunks». Müller-Maguhn tritt im Rahmen des Swiss-IT-Sourcing-Forums in der Schweiz auf.

Wie nutzen Sie das Internet privat?

Andy Müller-Maguhn:
Wenn ich über private Dinge öffentlich reden würde, wäre das der Privatheit der Dinge ja abträglich, daher erlauben Sie mir, Ihre Frage nur indirekt zu beantworten. Ich benutze weder die sogenannten Sozialen Netze noch andere Systeme, bei denen der Teilnehmer nicht der Kunde, sondern – mitsamt allen seinen Daten – das Produkt ist, das vermarktet wird.

Wie kommunizieren Sie im Netz?
Entscheidendes technisches Merkmal privater Kommunikation im Internet ist die sogenannte Ende-zu-Ende-Verschlüsselung. So wird sichergestellt, dass wirklich nur die Endgeräte der beiden Kommunikationspartner und nicht irgendwelche Zwischensysteme den Klartext der Kommunikation haben.

Diese Sorge hat auch die Schweiz. Der Bundesrat plant, in Zukunft kritische IT-Leistungen nur noch bei Schweizer Firmen einzukaufen. Was bringt das?
Das Vorgehen kann vor Produkten und Dienstleistungen ausländischer Anbieter schützen, die durch die Etats ausländischer Nachrichtendienste subventioniert sind, um so den Zugriff auf Datenströme oder neuralgische Netzknoten zu erlangen. Um die tatsächlichen Auswirkungen auf das Sicherheitsniveau der entsprechenden Strukturen beim Einsatz von Produkten oder Dienstleistungen von Schweizer Unternehmen zu bewerten, muss man sich im Einzelfall auch die entsprechenden Details angucken.

Anzeige

Was meinen Sie damit?
In den Unterlagen der NSA von Edward Snowden ist eine kürzlich vom «Guardian» veröffentlichte Analyse enthalten. Sie beschreibt, dass Telekommunikation nicht immer den schnellsten, sondern meistens den günstigsten Weg geht. Diesen Umstand macht sich die NSA im Rahmen der sogenannten Special Source Operations – der SSO – zunutze. Strategische Kooperationen mit weltweit agierenden Carriern werden dazu genutzt, möglichst viel Telekommunikation durch günstige Preise einzusammeln. Das heisst, die NSA zahlt den Unternehmen den verborgenen Anteil, um den diese ihre Vermittlungsdienstleistungen günstiger anbieten können.

Deutschland und Brasilien wollen das mit einem eigenen Internet verhindern. Geht der Trend hin zu einem «nationalen» Netz?
Es ist ja nicht so, dass protektionistische Regeln eine Neuheit des Internets sind. Das relativ komplexe Zusammenspiel verschiedener Elemente des Internets und die partielle Dominanz von Systemen und Technologiekomponenten aus den USA stellen alle Staaten vor Herausforderungen. Nun geht es darum, die Auswirkungen zu studieren und an den Stellen gegenzusteuern, wo die eigenen Interessen tangiert sind.

China und die Türkei beschränken den Zugang zum Internet.
Dass einige Staaten hier ohne das entsprechende Tiefenverständnis auf plumpe Art und Weise versuchen, dem Kontrollverlust entgegenzusteuern, ist nicht hilfreich. Ich halte es aber für genauso unangemessen, mit amerikanischen Massstäben andere Kulturkreise zu bewerten.

Weshalb?
Zwischen China und der Türkei liegen nicht nur kulturell Welten. In China versucht man ja nicht nur die Dominanz amerikanischer Plattformen für soziale Vernetzung durch technische Massnahmen zu beschränken, sondern setzt auf eigene Plattformen. Um zu verhindern, dass die Informationssphäre der eigenen Bevölkerung von der US-Regierung gesteuert wird, kann ich dem positive Aspekte abgewinnen.

Und in der Türkei?
In der Türkei hingegen scheint man in erster Linie mit den Entwicklungen der Informationssphäre und ihren Auswirkungen überfordert. Nun wird versucht, die technische Infrastruktur durch Beschränkungen zu massregeln. Das ist nicht nur ein gefährlicher Kampf gegen Windmühlen, es treibt die Leute direkt auf die Strasse. Was sollen sie auch zu Hause, wenn das Internet kaputt ist?

Die Überwachung wird zur Verhinderung von Straftaten eingesetzt. Geschieht das zu Recht?
Staaten waren es bis vor zwei Jahrzehnten gewohnt, die Medien- und Kommunikationsstrukturen durch Lizensierungsauflagen zu kontrollieren. So konnten sie die Verbreitung von Inhalten eingrenzen. Mit dem Internet waren neue Mechanismen zu etablieren. Allerdings wäre es kurzsichtig, alte Konzepte auf neue Medien zu stülpen, ohne das positive Potenzial freier Kommunikationsstrukturen zu würdigen.

Welche Auswirkungen hat das?
Ich halte es für falsch, sich nur von der Berichterstattung über extreme Inhalte leiten zu lassen. Ein Whistleblower von der Qualität eines Edward Snowden wurde erst durch grenzüberschreitende und freie Kommunika­tion möglich.

In der Schweiz gibt es zaghaften Widerstand gegen die Pläne zum Ausbau der ­Internetüberwachung. Weshalb?
Eines der Probleme in der Diskussion um technische Überwachungsmassnahmen ist die Abstraktheit der Materie. Auch das Material von Snowden dreht sich ja hauptsächlich um technische Systeme der Datengewinnung und Methoden, um Systeme anzugreifen und fernzusteuern. Das ist weit entfernt vom Alltag der meisten Menschen.

Was bedeutet das?
Die Nutzung der auf diese Art und Weise gewonnenen Daten, um Einfluss auf Verhandlungen, Karrieren und Verhaltensweisen von Menschen und Organisationen zu nehmen, ist in den Materialien von Snowden nur in Einzelfällen dokumentiert. Sein Datenmaterial stammt aus der Ebene der technischen Beschaffungsprogramme. Es ist wichtig, sich nun mehr den Kunden der NSA und der Nutzung der Daten zu widmen.

Anzeige

Wie beurteilen Sie die Reaktion der europäischen Politik auf die NSA-Affäre?
Von authentischer Ahnungslosigkeit und aktiver Heuchelei bis hin zur Abstreitung wieder besseren Wissens gab es alles. Zum Glück aber auch ein ernstes Interesse, die hier sichtbaren Probleme anzugehen. Die NSA-Affäre hat noch nicht in allen europäischen Ländern dieselbe Gewichtung bekommen.

Was meinen Sie damit konkret?
In England wurde das Abdrucken der Dokumente durch den «Guardian» stärker problematisiert als die Angriffe auf die IT-Infrastrukturen von Unternehmern und Bürgern. Auch in Deutschland hat es ja erst den Nachweis gebraucht, dass Bundeskanzlerin Angela Merkel eine Zielperson ist, um den Sachverhalt mit der gebotenen Ernsthaftigkeit zu betrachten. Vorher wurde viel beschwichtigt, beschönigt und abgestritten.

Woher kommt das?
Gerade für die Länder, die sich als «enge Verbündete» der USA begreifen, scheint es strukturelle Probleme bei der kritischen Betrachtung der dortigen Vorgehensweisen zu geben.

Was haben die Enthüllungen von Edward Snowden verändert?
Viele Vorgehensweisen und Systeme, deren Nachweis schwierig war, liegen nun offen auf dem Tisch. Zudem liegen nun auch Details in einer ganz anderen Qualität vor. Sie erlauben es, belastbare Aussagen über die eben nicht nur passiven Konzepte der Datengewinnung zu machen, sie zeigen auch die aktiven Angriffe auf informationstechnische Systeme.

Verändert dies das Sicherheitsbedürfnis von Unternehmen und Privatpersonen?
Die Konzepte des Cloud Computing stammen ja aus der Vor-Snowden-Zeit. Damals glaubten die Entscheidungsträger, Daten und Prozesse an Dritte auslagern zu können, ohne dass dies Nachteile in Bezug auf die Kontrolle und die Sicherheit mit sich bringe. Nun ist aber klar, dass alleine die Jurisdiktion eines Anbieters bereits nachrichtendienst­lichen Zugriff auf die Daten gesetzlich begründen kann. Zudem besteht beim Cloud Computing weder für Private noch für Firmen die Möglichkeit, den Nichtabfluss ihrer Daten mit Sicherheit festzustellen.

Anzeige

Welche Folgen hat das?
Ob die IT nun inhouse oder per Outsourcing betrieben wird – es bleibt ein Problem, dass viele Unternehmen zu wenig fachkundiges Personal ausgebildet und eingestellt haben. So gelingt es nicht, die Details der von ihnen betriebenen Datenverarbeitungsprozesse zu kontrollieren und nachzuvollziehen. Angesichts der Bedeutung der Datenverarbeitungsprozesse für viele Unternehmen scheint mir das allerdings eine über­lebensnotwendige Angelegenheit zu sein.

Wie kann man Daten schützen?
Technischer Datenschutz erfordert zunächst einmal die Eingrenzung der Orte, an denen die Daten überhaupt vorhanden sind. Das heisst, Datenverarbeitungsprozesse müssen entschlackt werden auf diejenigen Daten, die für den jeweiligen Prozessschritt benötigt werden. Bei einer mangelnden Vertrauenswürdigkeit von Netzwerkkomponenten und Leitungswegen hilft nur Verschlüsselung, im Idealfall zwischen den Endpunkten der Kommunikation.

Weshalb?
Sowohl die Angriffs­szenarien von Nachrichtendiensten wie auch die von Kriminellen machen sich die enorme Komplexität dienlich. In der Regel bestehen zahlreiche Möglichkeiten, die Systeme anzugreifen. Unternehmen lernen im Rahmen von Schadensgutachten mitunter Dinge über ihre IT, die sie vorher noch gar nicht kannten.

Welche Zukunft hat der Datenschutz oder wie muss er zukünftig aussehen?
Datenschutz, im Sinne der informationellen Selbstbestimmung, muss menschlich wie auch technisch die Hoheit über die Datenverarbeitung in die Hände des Nutzers zurückbringen. Wir brauchen einen dezentralen Ansatz, der die Datenverarbeitungsprozesse in klei­nere, handhabbare Einheiten runterbricht. Das bringt dem Nutzer die Kontrolle über die Daten zurück.

Anzeige

Der Mensch

Name: Andy Müller-Maguhn

Alter: 42

Wohnort: Berlin (D)

Familie: Private Angelegenheit

Ausbildung: Nachrichtentechnik, ­Informationswissenschaft, langjäh­riges Studium von Datenunfällen

IT-Experte und Autor Andy Müller-Maguhn war ab 1986 Mitglied und ab 1990 Sprecher des deutschen Chaos Computer Club. Zudem war er Mitglied der Internet-Registrierungs­stelle ICANN. Müller-Maguhn setzt sich für die Einhaltung der Menschenrechte im digitalen Raum ein.