6. März 2016
Datenschutz/Meinungsfreiheit
Apple, Privacy und die Weltherrschaft. Ein ganz legaler Hack.
„People have a basic right to privacy“, zitierte kürzlich die The New York Times. Nicht etwa Barack Obama oder Thomas Jefferson, sondern der seit 2011 amtierende Apple-Chef, Timothy D. Cook, war dessen Urheber. Kultstatus erreichte sein Satz, nachdem sich Apple öffentlich der Entscheidung eines US-Gerichts widersetzte, eine Software zu erstellen, mit der das FBI Zugriff auf das iPhone eines der San-Bernardino-Attentäters erlangen würde.
Der Vorstoß Cooks, sich für Privatheit und Bürgerfreiheiten einzusetzen, so richtig und gerecht er auch sei, stößt nicht überall auf Verständnis. Kritiker werfen dem Apple-Chef vor, Terroristen und Kriminelle zu unterstützen (beim Terroranschlag in San Bernardino sind 14 Menschen ums Leben gekommen, und 22 weitere wurden verletzt). Der zuständige Staatsanwalt schreibt die ablehnende Haltung Apples der Marketingstrategie und dem Businessmodell des Unternehmens zu – und sieht darin mitnichten das Ergebnis rationaler juristischer Überlegungen. Das Urteil bedeute doch nicht das Ende der Privatheit, argumentiert das US-Justizdepartment gegen das Unternehmen, das sich bis dato bei den Gerichtsbeschlüssen zur Herausgabe von (unverschlüsselten) Daten aus der iCloud zwar immer im Rechtsrahmen, jedoch auch stets kooperativ zeigt.
Apples lautes Schweigen
Der Internetgigant Apple gehört zu den US-amerikanischen Unternehmen, die das Gesetz, ihre Kunden und die Öffentlichkeit über die Zustellung eines behördlichen „Befehls“ (Warrant) zur Herausgabe von Daten zu zwingen, elegant zu umgehen wissen. Die als „Warrant Canary“ bekannte Praxis setzt die Idee des umgekehrten Beweises um. Hört das Unternehmen auf, den Empfang eines „Warrant“ zur Herausgabe von Daten zu bestreiten, darf angenommen werden, dass das Gegenteil der Fall ist, ohne dass das Unternehmen dies explizit bestätigt und dadurch in juristische Bredouille kommen würde.
So informierte Apple noch im November 2013 im Report on Government Information Requests: „Apple has never received an order under Section 215 of the USA Patriot Act. We would expect to challenge such an order if served on us“. Als diese Textpassage im Bericht vom Juni 2014 plötzlich fehlte, hieß es in den Medien sofort: „Apple schweigt laut.“
Privacy by default
Nun möchte Apple die Verschlüsselung der in der iCloud gelagerten Daten einführen. Die hohe Priorität, die das Unternehmen dem Schutz persönlicher und privater Daten zuschreibt, unterscheidet Apple von anderen Techgiganten aus dem Silicon Valley. Dies liegt nicht nur in der persönlichen Einstellung des Apple-Chefs, sondern ist tatsächlich auch im Businessmodell des Unternehmens begründet. Erstens werden die Daten, die Nutzer auf ihren iPhones speichern, immer persönlicher, sensibler und schutzwürdiger. Sie umfassen neben den Fotos und Korrespondenz zunehmend auch Gesundheits-, Reise- oder Bankkontodaten. Zweitens basiert das Geschäftsmodell von Apple auf dem Verkauf von Hardware – iPhones, iPads oder Macs –, während die durch Werbung finanzierten Internetkonzerne wie Google oder Facebook auf die Kollektion von möglichst vielen Nutzerdaten angewiesen sind.
Die alte neue Rhetorik
Bereits mit dem Rollout des Betriebssystems iOS7 im Jahr 2013 hat Apple erstmalig eine automatische („by default“) Verschlüsselung aller Nutzerdaten auf dem iPhone eingeführt. Mit den Enthüllungen Edward Snowdens stieg das Interesse der Kunden am Umgang der Internetkonzerne mit ihren privaten und persönlichen Informationen. Aber auch das Interesse daran, ob es den Geheimdiensten gegebenenfalls möglich sei, durch Hintertüren oder das Ausnutzen von Schwachstellen in der Software und/oder in den Betriebssystemen an die in mobilen Geräten gespeicherten Informationen zu gelangen.
Und tatsächlich scheinen die US-amerikanischen Internetkonzerne gerade noch rechtzeitig verstanden zu haben, dass die Privatheit für ihre Kunden wichtig ist und künftig zum unverzichtbaren Wettbewerbs- und Marketingvorteil werden könnte. In der Studie Consumer Perceptions of Privacy in the Internet of Things der Altimeter Group wurden über 2.000 US-Amerikaner zum Thema „Privacy und Internet der Dinge“ befragt. Eine Erkenntnis, die wenig überraschte, war die Tatsache, dass die Kunden für ihre personenbezogenen Daten einen Gegenwert – eine monetäre oder nichtmonetäre Gegenleistung – erwarteten. Überraschend dagegen war, dass sich die Kunden zunehmend dafür interessieren, was mit ihren Daten passiert und wer Einblick in ihre Daten erhält. Sie erwarteten bessere und mehr Informationen sowie ein größeres Engagement der Internetkonzerne für den Schutz ihrer Privatheit. Eine große Mehrheit (78 %) fühlt sich zudem auch noch unbehaglich beim Thema Verkauf ihrer Daten an Dritte.
Die Studie belegte nicht nur die Existenz einer Kluft zwischen den Praktiken der Internetkonzerne (sowie der US-Geheimdienste) und der Wahrnehmung der Privacy durch die Kunden. Sie zeigte außerdem den Unternehmen neue Chancen auf, das Vertrauen ihrer Kunden wieder zu gewinnen. Neben Apple erlauben seit Kurzem Unternehmen wie Microsoft, Facebook oder Google die Verschlüsselung von Inhalten und Kommunikation. Diese Entwicklungen werden als eine direkte Folge der Snowden-Enthüllungen betrachtet. Apple ging im Jahr 2014 konsequenterweise noch einen Schritt weiter. Das neue Betriebssystem iOS8 macht es den Mitarbeitern des Unternehmens unmöglich, auf die auf Mobiltelefonen und Tablets gespeicherten Nutzerdaten zuzugreifen oder diese zu extrahieren. Dies ist das Ende des „Master Key“ – des Generalschlüssels zum iPhone. „[N]achdem Apple endlich die iPhone-Daten verschlüsselt hatte“, erinnert sich der Sicherheitsguru Bruce Schneier in Data und Goliath, löste sich ein Aufschrei der Empörung. „Mitarbeiter der Strafverfolgungsbehörden reagieren darauf mit dem Versuch, uns mit Visionen von Kidnappern, Pädophilen, Drogendealern und Terroristen zu ängstigen, die ungeschoren davonkommen, weil man ihre Computer und Kommunikation nicht entschlüsseln kann“, schreibt er. Aktuelle Kritik an Apple ist von ähnlicher Rhetorik geprägt.
In Zweifel gegen Back Doors
„Die Güter Privatheit und Freiheit sind Grundvoraussetzungen für den Markt selbst“, schreiben die Autoren der Studie Die digitale Selbstbehauptung der EU der Berliner Stiftung Wissenschaft und Politik. In den liberalen Gesellschaften sei das Recht auf Privatheit zudem konstitutiv, heißt es dort, „denn ohne Privatheit kann es auch keine Freiheit geben“. Im Interesse der Gesellschaft – und des Marktes – liege es daher nahe, diese Werte zu schützen. Die US-Gerichte mögen daher mit der Vermutung, bei der Reaktion von Apple handele es sich um eine Marketingstrategie, gar nicht falsch liegen. Und wenn es eine Marketingstrategie sei, dann nicht mal eine schlechte. Nutznießer sind die Kunden des Unternehmens. Die iPhones und iPads verkaufen sich auch so sehr gut.
Die Entscheidung von Apple wird Konsequenzen haben. Gute – oder auch schlechte. Wichtig ist dabei zu verstehen, worum es Timothy Cook und seinen Anwälten geht. Denn Apple widersetzt sich nicht, die Daten des Attentäters herauszugeben. Es weigert sich, Software zu erstellen, die von den Regierungen, vom FBI oder von Geheimdiensten als Hintertür genutzt werden kann, um auf iPhones und darauf verschlüsselt gespeicherten privaten Inhalten unter Umgehung der Sicherheitsprotokolle zuzugreifen. Dies hat der Apple-Chef seinen Kunden in einem offenen Schreiben erklärt und hinzugefügt: „We fear that this demand would undermine the very freedoms and liberty our government is meant to protect.“ Die Kritik an der Regierung, die Rechte und Freiheiten hintergehen möchte, anstelle sie zu verteidigen, ist ein weiterer Satz Cooks mit dem Potenzial, in die Geschichte einzugehen.
Der Bibel-Code der Privacy
Einige US-amerikanischen Konzerne investieren bereits in die Erforschung von Methoden, die die Anonymität und Privatheit im Internet wiederherstellen helfen könnten. Gerade bei den Massendatenauswertungen – Big Data Mining und Big Data Analysis – möchte man die Anonymität künftig besser schützen. Die traditionellen Sicherheitsmaßnahmen reichen nicht mehr aus.
Eine der Methoden, die einen besseren Schutz der Anonymität gewährleisten soll, ist die sogenannte homomorphe Verschlüsselung, bei der die Datenbankabfragen verschlüsselt und der Analyst bzw. derjenige, der auf die Daten zugreift, nie die Rohdaten zu sehen bekommt. Homomorphe Verschlüsselung gilt in der Szene als eine Art Heiliger Gral der Kryptografie: eine in seiner Einfachheit geniale Idee, die sich bisher leider nicht praktisch umsetzen ließ. Die Idee der „secure mulitparty computation“ wiederum erinnert an das frühere System der Bibelübersetzung, bei der der Datensatz zerstückelt und an verschiedene Stellen (Datenbanken) verteilt wird. Niemand hat so Zugang zu der gesamten Datenbasis bzw. zum vollständigen Datensatz. Die dritte Methode – wobei sie aufgrund komplexer mathematischer Grundlagen noch nicht für den breiten Einsatz operationalisierbar ist – ist die sogenannte differenzielle Privatheit. Hier wird den Datensätzen eine Art „Rauschen“ hinzugefügt, das diese verfremdet – nicht aber das Ergebnis der statistischen Auswertung beeinflusst. Die Pionierin der Differenzial-Privacy-Methode, Cynthia Dwork, forscht für Microsoft Research. Ausgerechnet.
Während US-Konzerne offenbar fieberhaft daran arbeiten, den Schutz von Kundendaten zu verbessern, wird in Deutschland nicht weniger konsequent daran gearbeitet, die hohen Standards für den Datenschutz wieder abzuschwächen. Daten – und Big Data besonders – seien keine Bedrohung, sondern der Rohstoff der Zukunft, heißt das Mantra der deutschen Wirtschaft und Politik. Man solle in Europa in Bezug auf den Datenschutz nicht schizophren werden, warnte Kanzlerin Angela Merkel auf dem Wirtschaftstag 2015, um der Europäischen Datenschutzverordnung, die laut Experten an vielen Stellen dem Bundesdatenschutzgesetz nachsteht, den Weg zu ebnen.
Was kostet die Welt
Noch wird Deutschland im Ausland als ein Land wahrgenommen, das die Privatsphäre, Anonymität und den Datenschutz besonders hochhält. Dies soll in der Geschichte des Landes begründet sein: Deutschland blickt auf zwei totalitäre Regime zurück. Die hohen Datenschutzstandards wecken Vertrauen. Und Vertrauen sei die Grundlage für die Sicherheit, wie Thomas Rid von King’s College London in der Sitzung des Verteidigungsausschusses im Februar dieses Jahres betonte. Auf die Frage, auf welchen Gebieten der Cybersecurity Deutschland hinterherhinken würde, schlug er eine Umkehrung der Frage vor und verwies stattdessen auf die Stärken. Diese lägen seiner Meinung nach bei den hohen Datenschutzstandards. „Die Handlungen des Geheimdienstes haben das Vertrauen der Welt in die Technologie hinter dem Internet erschüttert“, schreibt Schneier und meint dabei die Geheimdienste Großbritanniens und der USA, NSA sowie GCHQ. Ob man eine bestimmte Verschlüsselung, digitale Währung etc. nutzt oder nicht nutzt, sei eine Frage des Vertrauens, so sinngemäß Rid. Es seien die hohen Datenschutzanforderungen, die Deutschland zu einem vertrauenswürdigen Anbieter machen.
Ein Wettbewerbsvorteil, den man aus der Innenperspektive (noch) nicht erkennen vermag. Während dessen bauen die US-Unternehmen ihre Kompetenzen auf diesem Gebiet aus. Kompromittiert durch die Snowden-Enthüllungen, holen sie nun schnell auf. Und sie können auf die gut ausgebildeten Datenschutzexperten aus Deutschland zählen. Zwar ist der Kampf um die Weltherrschaft für Privacy noch lange nicht entschieden. Doch diese Runde geht klar an Apple und Timothy Cook.
Der Beitrag erschien zuerst bei The European und Börse am Sonntag