Technikphilosoph über Spähprogramme: „Das waren offene Geheimnisse“

Physiker und Philosoph Sandro Gaycken über die Ausspähpraktiken der Geheimdienste, das Problem der Innentäter und unangebrachte Panik.

Rund und neugierig. Die ehemalige Abhörstation der NSA in Bayern. Bild: reuters

taz: Herr Gaycken, hat Edward Snowden, als er die umfassenden Ausspähpraktiken diverser Geheimdienste enthüllte und offenlegte, dass etwa die US-Behörde NSA allein in Deutschland auf monatlich rund 500 Millionen Kommunikationsvorgänge zugreift, auch Detailinformationen präsentiert, die Sie überrascht haben?

Sandro Gaycken: Nein. In der Sicherheits-Community waren das offene Geheimnisse. Es gab nur keine Beweise. Politisch und auch für Leute, die persönlich betroffen sind, ist es natürlich ein Unterschied, ob ich etwas im Prinzip weiß oder konkret weiß, dass jemand Zugriff auf meine Daten hat.

Constanze Kurz, mit der Sie 2008 das Buch „1984.exe“ herausgegeben haben, hat kürzlich in der Sendung „Anne Will“ gesagt, die deutschen Unternehmen müssten Verschlüsselungspraktiken einführen, um gegen Industriespionage gewappnet zu sein. Gibt es denn Firmen, die bereits gut gegen Angriffe gerüstet sind?

Ja, wobei das auch eine Bewegung ist, die erst in den letzten Jahren losgetreten wurde. Viele kleine und mittelständische Unternehmen, die sich jetzt bemühen, etwas zu tun, haben aber gerade das Problem, dass es nicht so viele Anbieter gibt, die einem verständlich machen können, was man denn eigentlich braucht. Das habe ich in diesem Sommer gerade erlebt, bei verschiedenen Konferenzen mit mittelständischen Unternehmen. Das Bewusstsein ist da.

Für größere Unternehmen wie Siemens gilt das natürlich schon länger. Dennoch haben Firmen dieser Größenordnung auch noch recht substanzielle Probleme, weil relativ viel Geld im Spiel und also das Interesse relativ groß ist, da reinzukommen. Die haben wie die NSA viel mit „Innentätern“ zu kämpfen – und mit Spezialangriffen, mit denen keiner rechnet.

Sie sind selbst als Berater tätig. Was raten Sie jenen, die ihre Expertise anfordern?

ist Philosoph und Physiker. Er lehrt Sicherheits- und Technikphilopsophie sowie Informatik an der FU-Berlin und berät das Auswärtige Amt. Er hat gemeinsam mit Constanze Kurz den Band „1984.exe. Gesellschaftliche, politische und juristische Aspekte moderner Überwachungstechnologien“ herausgegeben und ist Allereinherausgeber des kürzlich erschienenen Buchs „Jenseits von 1984“ (Transcript Verlag 2013).

Ich rate denen, erst einmal kritisch zu sein mit dem Markt. Der ist hierzulande unterentwickelt. Einige Produkte haben ein neues Label bekommen, aber letztlich ist es die gleiche Soße wie vor fünf Jahren. Einige Spezialfirmen aus den USA bieten mehr an, aber die sind dann auch gleich exorbitant teuer. Da ist es insbesondere für mittelständische Unternehmen schwierig, sich das überhaupt anzuschaffen.

Wichtig ist: Sich schlau zu machen, was man eigentlich genau braucht. Denn wenn man Mist gekauft hat, bleibt man darauf sitzen. Wer Geld ausgegeben hat, der bekommt von der Chefetage nicht noch mal extra was, wenn er sagt, man habe das Falsche gekauft und brauche eigentlich was anderes.

Problematisch ist, dass die Berater, die in dem Bereich tätig sind, in der Regel nicht unabhängig sind. Die arbeiten für IT-Sicherheitsfirmen, die selbst etwas verkaufen wollen. Das gilt sogar für viele Wissenschaftler.

Was leistet das beim Bundesinnenministerium angesiedelte Bundesamt für Sicherheit in der Informationstechnik (BSI)?

Die hilfesuchenden Firmen können sich dort zwar gut informieren, wenn sie Nachfragen in Sachen Industriespionagebekämpfung haben. Aber das BSI mischt sich kaum in den Markt ein. Die Behörde hat nur wenig Ressourcen. Außerdem will man den bestehenden IT-Markt nicht verärgern.

Derzeit ist viel die Rede davon, dass wir unser Telekommunikationsverhalten ändern und etwa die E-Mail-Kommunikation verschlüsseln müssen.

Der Durchschnittsbürger muss sich nicht vor der NSA fürchten, glaube ich. Da ist Panik unangebracht.

Sollten Journalisten ihr Kommunikationsverhalten überdenken?

Ja! Informantenschutz ist wichtig! Generell ist es wichtig, das Kommunikationsverhalten in jenen Bereichen zu ändern, wo reale Konsequenzen zu befürchten sind. Das heißt, wir müssen unsere Wirtschaft und unsere Geheimschutzbereiche besser versiegeln und eine stärkere Counter Intelligence aufbauen.

Das Problem ist, dass wir dafür eine stärkere politische Führung brauchen. Die Führungskräfte der BSI agieren sehr vorsichtig und bürokratisch. Auch die Ministerien agieren als Verwalter im Hintergrund. Deshalb kommt derzeit von keiner Stelle ein richtiger Impuls.

Von wem müsste der denn kommen?

Vom Gesetzgeber, also aus dem Bundestag. Dafür gibt es allerdings keine Anzeichen. Aus dem Markt kommt der Impuls jedenfalls nicht, solange die Kunden alles kaufen, was im Regal steht. Dann gibt es auch keinen Grund, viel Geld auszugeben für neue teure Entwicklungen.

Erschwerend kommt hinzu, dass die neuen IT-Hochsicherheitskonzepte, die ich favorisiere und für die es auch einige Ideen in den Computer Sciences gibt, von manchen Unternehmen erst einmal als nachteilig aufgefasst werden.

Inwiefern?

IT-Hochsicherheitskonzepte greifen in Geschäftsprozesse ein. Die werden erst einmal umständlicher und langsamer. Man muss Sachen verschlüsseln, darf nicht überall ins Internet und nicht alles übers Internet verschicken. Das setzen die Firmen von selbst nicht um, da muss man sie eigentlich per Gesetz dazu zwingen.

Es hat vom BMI jetzt einen mutigen Vorstoß gegeben – das Informationssicherheitsgesetz. Man will Unternehmen dazu zwingen, Vorfälle zu veröffentlichen und Minimalstandards zu akzeptieren. Nur Minimalstandards einzufordern, ist aber schwierig.

Bei Gesetzesinitiativen besteht immer das Problem, dass man nicht zu viele starten sollte, weil sich sonst alle Betroffenen überrollt fühlen. Wenn man also sein Pulver verschießt für so eine Aktion, die eher am unteren Ende ansetzt als am oberen Ende, ist das politisch kontraproduktiv.

Diese Aspekte spielen in der politischen Diskussion im Nachgang der Snowden-Enthüllungen aber kaum eine Rolle. Da geht es ja eher um Fragen wie die, ob es statthaft ist, Freunde auszuspionieren.

Für die breite Öffentlichkeit mag das zutreffen. In Firmen und Behörden spricht man aber durchaus darüber, wie man sich schützt. Die Frage ist, wie viel Vertrauen man Staaten und Unternehmen noch entgegenbringen will, die schon alles Mögliche versprochen haben.

Sollte man nicht einfach mal das technische Problem an der Basis lösen, selber etwas entwickeln und verhindern, dass man ausgespäht wird? Das wäre konsequenter, als sich beruhigen zu lassen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.