Wenig Handhabe gegen Softwarehersteller

Katrin Heise: Derzeit jagt eine Internetkonferenz die nächste. Gerade ging die NetMundial in Brasilien zu ende, morgen beginnt in Berlin die re:publica - angesichts der Komplettüberwachung des Internets und der Abfischung unserer Daten gibt es ja einiges zu Diskutieren in Sachen "Mögliche Kontrolle". Wir wollen diese Zwischenzeit nutzen und 'mal sehr viel verbraucherorientiert ans Thema Internet herangehen. Kürzlich äußerte Constanze Kurz vom Chaos Computer Club Folgendes bei uns im Programm:

Soweit Constanze Kurz. Ich freue mich, dass ich mit Alexander Sander dieses Thema vor der Sendung habe vertiefen können. Ich stelle ihn mal kurz vor: Er war jahrelang Mitarbeiter eines Europaabgeordneten, und er ist Geschäftsführer des Vereins Digitale Gesellschaft, und dieser Verein hat sich den Einsatz für eine bürgerrechts- und verbraucherfreundliche Netzpolitik auf die Fahnen geschrieben. Ob er Frau Kurz zustimmt, wir also über Software-Haftung nachdenken müssen, wollte ich wissen. Also, wie sehen Sie das so, müssen wir darüber nachdenken?

Alexander Sander: Ich denke schon, dass wir darüber nachdenken müssen. Ich könnte mir vorstellen, dass wir zum Beispiel Sanktionsmodelle einführen, indem man zum Beispiel sagt: Wenn eben solche Firmen, solche scheunengroße Sicherheitslücken in ihre Software einbauen, dann könnte man zum Beispiel Sanktionen, die sich zum Beispiel fünf Prozent am Jahresumsatz orientieren, einführen. Also das wären zum Beispiel Möglichkeiten, die wir auch schon bei der Datenschutzreform in Europa diskutiert haben, wo man gesagt hat, wenn Unternehmen mit personenbezogenen Daten nicht sorgsam umgehen, gibt es Sanktionen, die sich eben am Jahresumsatz orientieren.

Heise: Dazu müsste ich als Nutzer aber erst mal erkennen, dass mit meinen Daten gar nicht sorgsam umgegangen wird. Das können viele User aber überhaupt nicht. Woran kann ich zum Beispiel oder sollte ich vor allem erkennen können, wenn meine Verschlüsselungssoftware nicht einwandfrei funktioniert? Gibt es da Abhilfe oder überhaupt Hilfe?

Sander: Es ist schwierig, dass als normaler Nutzer zu erkennen. Es ist auch schwierig für Experten, das jetzt sofort zu erkennen. Dafür gibt es ja aber eben so Vereine wie zum Beispiel den CCC, den Chaos Computer Club, die sich damit intensiv beschäftigen. Es gibt auch staatliche Institutionen, die solche Sicherheitslücken überprüfen, das allerdings eher schlecht. Und es ist eher so, dass man das dann aus den Medien erfährt, dass zum Beispiel ein E-Mail-Passwort gehackt wurde, oder man erfährt aus den Medien, dass eine Verschlüsselungssoftware, die man benutzt, nicht praktikabel ist oder dass sie Sicherheitslücken hat.

Also man erfährt das eher in einem zweiten oder dritten Schritt erst, anstatt, dass man es tatsächlich selber in dem Moment spürt oder tatsächlich aufdecken kann.

Heise: Wenn wir also auf diese zweiten und dritten Schritte angewiesen sind, müssten die ja irgendwie 'mal zusammengeführt werden, also: Aufklärung tut not. Wenn ich jetzt mal an den Bereich der Dinge denke, da gibt es zum Beispiel die Stiftung Warentest, die testet ja nicht nur das, was ich anfassen kann, sondern auch Versicherungen oder so was - es werden auch durchaus Softwareprogramme getestet, aber insgesamt hat man den Eindruck, dass da viel zu wenig passiert. Ist das so? Stimmt der Eindruck?

Sander: Das Problem ist ja auch, dass, selbst wenn so eine Software getestet wird, dass die einen Tag später schon wieder unsicher sein kann, weil die Entwicklung ist so schnelllebig, die Entwicklung ist so rasant, dass man diesen Testergebnissen dann halt eigentlich nur in diesem einen tatsächlichen Moment vertrauen kann. Am nächsten Tag, wie schon gesagt, kann es schon wieder ganz anders aussehen. Von daher ist es zwar wichtig, dass wir solche Tests machen, dass wir so was untersuchen, aber viel wichtiger ist eigentlich, dass wir Open-Source-Software unterstützen. Das bedeutet also: transparente Software, wo sich jeder den Code sozusagen anschauen kann, wo jeder sehen kann: Hier ist ein Fehler, diesen Fehler müssen wir zu machen. Und der dann auch relativ schnell geupdatet wird. Und deswegen ist es halt wichtig, dass vor allen Dingen staatliche Subventionen in solche Projekte laufen.

Heise: Das sind also Projekte, wo viele quasi vieles überprüfen.

Sander: Genau.

Heise: Und die Ergebnisse? Wie kommen die dann an mich, den Laien-User ran?

Sander: Dafür sind dann zum Beispiel solche Institutionen wie die "digiges", also die Digitale Gesellschaft da, oder auch der "Chaos Computer Club", oder das kann dann zum Beispiel auch eine staatliche Institution sein, die dann halt über Medien über dieses Sicherheitsloch berichtet und sagt halt: Hier müssen Updates gemacht werden. Und zudem könnten natürlich auch einfach ganz normal, wie man das von Betriebssystemen kennt, automatische Updates kommen, die man dann einfach immer wieder täglich oder wöchentlich aktualisieren muss, seine Software, und dann einfach auf einen Update-Button klickt und sagt: So, jetzt bitte dieses Sicherheitsloch schließen!

Heise: Auf den Benutzer, der dann eben einfach nur noch auf diesen Button, nachdem er sich das alles durchgeguckt hat, drücken muss, kommen wir vielleicht noch. Mich würde aber vorher noch mal interessieren, wenn Sie sagen: Open-Source müsste also auch staatlich durchaus unterstützt werden. Dazu müsste man ja erst 'mal von staatlicher Seite wirklich das Zutrauen, das Vertrauen bei Open-Source haben. Ist das so?

Sander: Nein, leider nicht. Also es gibt ganz, ganz wenige Projekte, die Open-Source basiert sind, auch in Städten oder Kommunen zum Beispiel. Grundsätzlich geht man hier immer noch nicht den Weg, zu sagen: "Okay", also: Dieses Community-Projekt Open-Source zu unterstützen, und das ist natürlich ein massives Problem. Und der Vorteil von Open-Source liegt eigentlich klar auf der Hand. Es ist transparent, jeder kann es sich anschauen, jeder, der ein gesteigertes Interesse daran hat oder auch ein entsprechendes Wissen, kann eben auf solche Sicherheitslücken aufmerksam machen, kann diese selbst finden, und deswegen sind solche Softwareprojekte eigentlich die Projekte der Zukunft. In diese Richtung müssen wir gehen. Allerdings muss man natürlich auch sagen, dass da halt sehr viele kommerzielle Interessen dem Ganzen gegenüber stehen. Hier gibt es also auch eine entsprechende Lobbyfront, die natürlich da auch ein großes Interesse dran hat, dass hier dieser Bereich nicht so unterstützt wird, wie wir das vielleicht wollen. Und da wird dann eben zum Beispiel mit Arbeitsplätzen oder Ähnlichem argumentiert. Also hier werden sozusagen - wenn man es verkürzt sagen möchte - Lobbyinteressen den Sicherheitsinteressen der Bürgerinnen und Bürger geopfert.

Heise: Verbraucherrechte im Internet. Informationen im Radiofeuilleton von Alexander Sander. Sie, Herr Sander, sehen also in dieser Gesamtaufgabe - oder sehen diese Aufgabe der gesamten Community, der gesamten Internetcommunity übertragen, eigentlich. Dann heißt das aber auch, dass es diese eine unabhängige Institution, die die Verbraucher-, die Userrechte im Auge hat, so nicht geben kann.

Sander: Ich glaube, wenn man sich die Entwicklung des Internets anschaut, wenn man sich, wie das Internet reguliert wird, anschaut, erkennt man ganz deutlich, dass es hier ein Multi-Stakeholder-Ansatz gibt. Das bedeutet, dass alle Beteiligten, die im Internet unterwegs sind, sei es eben die Zivilgesellschaft, die Wirtschaft, aber auch die Politik, in diesem Konglomerat bestimmte Entscheidungen haben wollen, bestimmte Interessen haben, und die müssen gegeneinander abgewogen werden. Und deswegen macht es wenig Sinn, jetzt zum Beispiel nur eine staatliche Institution oder eine Institution aus der Wirtschaft oder nur eine Institution aus der Zivilgesellschaft zu haben, sondern wir brauchen das Zusammenspiel von allen Akteuren, und wir brauchen hier konsensfähige Entscheidungen, mit denen wir dann halt weiterarbeiten können und wo wir uns dann entsprechend auch entwickeln können und diese Sicherheitslücken auch nachhaltig schließen können.

Heise: Aber wer soll die denn treffen, die konsensfähigen Entscheidungen?

Sander: Dafür gibt es entsprechende Gremien, zum Beispiel jetzt eben diese Net Mundial, die Sie angesprochen haben, diese Konferenz. Es gibt auch ein Internet Governance Forum und Ähnliches, wo man auf globaler Ebene Entscheidungen treffen kann. Diese werden auch oft eben auf nationaler Ebene oder auch auf europäischer Ebene vorbereitet. Also man kann auch auf nationaler oder auf europäischer Ebene erste Entscheidungen treffen und die dann halt in den internationalen Diskurs mit einbringen. Also es gibt verschiedenen Möglichkeiten, wie Entscheidungen getroffen werden können, auf welcher Ebene Entscheidungen getroffen werden. Entscheidend ist aber, dass eben möglichst viele Akteure und Vertreter aus allen Akteursgruppen an diesem Entscheidungsprozess teilnehmen können.

Heise: Also eine große Flexibilität auch gefordert, eine große Vielfalt. Wir kommen 'mal auf den User, auf den gemeinen Gebraucher des Internets hin. Im Supermarkt, sagt man ja, dass der Verbraucher eine gewisse Macht hat. Also ein schlechtes Produkt wird einfach nicht mehr gekauft, man entscheidet sich vielleicht für faire Produkte und da hat dann anderes keine Chance mehr. Gilt das eigentlich auch im Internet? Können wir unsere Verbrauchermacht so einfach ausspielen?

Sander: Grundsätzlich schon. Also auch da wieder: Wenn man zum Beispiel an Dienste wie AOL denkt oder Ähnliches, die es heute ja im Grunde gar nicht mehr wirklich gibt, die abgelöst wurden durch bessere Unternehmen. Auch vor Google gab es Suchmaschinen. Google hat sich ja nur diese Marktmacht erkämpft, weil es eben so einen sehr guten Suchalgorithmus hat. Und davon kann man schon ausgehen, dass gerade im Internet diese Entwicklungen auch sehr schnelllebig sind.

Also sehr viele Dienste, die wir heute ganz selbstverständlich nutzen, auch Skype oder Ähnliches, sind grundsätzlich darauf angelegt, dass sie nicht auf Dauer bestehen werden, sondern dass irgendjemand irgendwann mal kommt und sagt: Hey, ich hab eine bessere Idee, es funktioniert besser, es ist sicherer oder Ähnliches.

Das Problem, das wir aber zum Beispiel haben bei dieser Open-Source-Software momentan noch, dass sie eben nicht so benutzerfreundlich ist, dass es halt eben gerade für normale Internetnutzer sehr, sehr schwierig ist, mit dieser Software umzugehen, weil es möglicherweise sehr komplex wirkt, dass es nicht so eine schöne grafische Oberfläche - und deswegen ist es eben so entscheidend, dass wir diese, genau diese Software halt auch fördern.

Heise: Ja, und dann muss ich ja erst mal bereit sein als Nutzer, vor jedem Versenden einer E-Mail erst mal zu gucken, ob mein E-Mail-Programm eigentlich noch sicher ist. Ich meine, das ist doch auch letztendlich nicht tatsächlich denkbar.

Sander: Ja, aber das geht ja relativ zügig. Ich meine, normale Internetnutzer haben Java, haben Windows, und machen da regelmäßig Updates, ohne dass sie das - oder können auch automatische Updates einstellen, ohne dass das jetzt wirklich den Gebrauch des Geräts in irgendeiner Art und Weise hindert. Also auch ein Virenscanner muss regelmäßig geupdatet werden. Wir haben ja schon sehr viele Programme, die viele Verbraucherinnen und Verbraucher ganz selbstverständlich benutzen. Und auch wenn man sich Dienste anguckt wie WhatsApp oder Ähnliches, die relativ jung sind, wo aber trotzdem die Verbraucherinnen und Verbraucher sehr, sehr zügig verstehen, wie das Programm funktioniert und dieses Programm auch anwenden.

Heise: Ja, aber gerade bei diesem Programm, wenn wir jetzt dann entsetzt plötzlich aufschreien und sagen: Gott, da sind ja unsere Daten abgefischt worden, das ist ja auch etwas, an und für sich ist kein Datenabgreifen, keine Datenweitergabe, kein Datenverkauf möglich in Deutschland. Da haben wir ja an und für sich die Gesetze, aber sie werden halt offenbar wegen mangelnder Druckmittel nicht eingehalten.

Sander: Wie gesagt, das ist eben sehr problematisch, dass eben insbesondere Dienste auf dem europäischen Markt agieren, die eben auch nicht unter europäisches Recht fallen. Also deswegen haben wir ja jetzt zum Beispiel die Datenschutzverordnung, die wir gerade derzeitig verhandeln -

Heise: Auf europäischer Ebene.

Sander: Auf europäischer Ebene. Das hängt momentan noch auf dem EU-Rat, wo eben auch Deutschland mit drin sitzt. Und Deutschland ist eine, also die Bundesregierung ist vor allem eine Regierung, die diesen Prozess verlangsamt, die diesen Prozess blockiert. Hier erwarten wir auch von der Bundesregierung jetzt zügig die Umsetzung, denn das Europäische Parlament hat bereits eine Lösung gefunden, hat sich auf eine Datenschutzverordnung verständigt, die jetzt zwar nicht perfekt ist, aber die natürlich eine massive Verbesserung zur Folge haben würde.

Und natürlich ist es so, dass eben Dienste wie Facebook, WhatsApp oder Ähnliches halt riesige Datenschleudern sind. Aber damit hier überhaupt alternative Angebote entstehen können, müssen solche Angebote subventioniert werden und auch durch klarere Regeln, Datenschutzregeln in Grenzen gehalten werden. Und das ist entscheidend. Ich wollte damit eben nur andeuten, dass Nutzerinnen und Nutzer, Verbraucherinnen und Verbraucher sehr zügig neue Dienste annehmen, wenn sie denn halt praktikabel sind. Und deswegen glaube ich schon daran, dass Leute auch durchaus von Facebook irgendwann mal verschwinden werden und vielleicht einen datenschutzfreundlicheren Dienst nutzen werden, um zu kommunizieren.

Heise: Um da einfach noch mal auf die Macht, die wir alle hätten, anzuspielen. Alexander Sander, Geschäftsführer beim Verein Digitale Gesellschaft. Danke für die Informationen.

Sander: Gerne.