Channel Security

Ein Freund meinte letzte Woche, ich wäre im Standpunkt Sicherheit die ganze Zeit auf Eugene Kaspersky rumgeritten. Sollte das so rüber gekommen sein: Das war nicht meine Absicht. Ich wollte lediglich eine kurzfristig umsetzbare Lösung aufzeigen. Wie schon in der letzten Folge geschrieben: Ich halte Eugene Kasperskys Forderung nach einer "Internet-Polizei" für richtig und wichtig. Nur eine auch nur mittelfristige Umsetzung dieser Forderung halte ich für quasi unmöglich. Den Spruch "Viele Köche verderben den Brei" kennen wohl alle, und aus praktischer Erfahrung werden viele bestätigen können, dass es um so schwieriger wird, je mehr "Verantwortliche" im Rahmen eines Projekts unter einen Hut gebracht werden müssen. Und während es in der Küche und im Unternehmen immer einen gibt, der die Richtung vorgibt und im Zweifelsfall seine Entscheidung durchsetzen kann, müssen sich bei der Einrichtung der Internet-Polizei alle Staaten gemeinsam auf eine Lösung einigen. Und das kann dauern. Erst mal müssen möglichst viele Staaten überhaupt einsehen, dass diese Institution benötigt wird. Dann kommt die erste Streitfrage: Wo wird sie aufgebaut? Bei der UNO? Der stehen bekanntlich die USA eher skeptisch gegenüber, außerdem werden die sowieso eine Lösung bevorzugen, bei der sie eine möglichst große Kontrolle über die neue Ermittlungsbehörde haben. Dasselbe gilt für etliche andere Staaten.

Aber gehen wir mal davon aus, das Wunder geschieht und eine ausreichend große Anzahl von Staaten einigt sich auf die Einrichtung einer Internet-Polizei und findet eine Lösung, wo sie entstehen soll. Dann muss festgelegt werden, für was sie zuständig ist. Viren und Würmer, klar. Und Spam? Phishing? Noch mehr? Ich könnte mir vorstellen, das z.B. Korea und China keine Probleme mit Spam oder Phishing haben. Dafür würde China sicher gerne "staatsschadende Aktionen" verfolgen lassen. Wäre doch ganz praktisch, wenn man sich die unerwünschten Menschenrechtler, Journalisten und Dissidenten von der Staatengemeinschaft frei Haus ans Messer liefern lassen kann, oder?

Nächster Punkt: Wie soll die Internet-Polizei arbeiten? Welche Befugnisse hat sie? Kein Staat wird (und darf) zulassen, dass sie ihre Bürger verhaftet. Also kann sie nur ermitteln und die Ergebnisse an die lokalen Strafverfolgungsbehörden übergeben. Nach welchem Recht wird dann weiter vorgegangen? Logischerweise nach dem jeweiligen nationalen. Und was, wenn da die jeweilige Tat gar nicht strafbar ist? Also muss auch dort eine Übereinstimmung erzielt werden. Und wenn dann sowieso lokale "Anpassungen" der Ermittlungsergebnisse notwendig sind, wäre es dann nicht einfacher, die Internet-Polizei nur zur Koordinierung und zum Datenaustausch zu nutzen und die Ermittlung komplett den lokalen Behörden zu übertragen?

Damit kommen wir zum nächsten Punkt: Datenschutz. Da werden wieder einige aufschreien und "Datenschutz ist Täterschutz" schreien. Wer so kurz denkt, bitte schön. Wem seine Privatsphäre nichts wert ist, kann ja gerne darauf verzichten. Das auch von anderen zu verlangen, ist eine Frechheit. Außerdem geht es dabei auch um handfeste wirtschaftliche Interessen. Wirtschaftsspionage hat zwar primär gewiss nichts mit einer Internet-Polizei zu tun, aber wenn da ungeprüft Daten fließen, können sie sehr wohl entsprechend genutzt werden. Wenn also über die Internet-Polizei Daten in andere Staaten fließen, muss die Frage erlaubt sein, was dort damit passiert. Dass die USA die von der NSA im Rahmen von Echelon gesammelten Informationen auch für wirtschaftliche Zwecke genutzt haben, ist ja wohl allgemein anerkannt. Und dass die von den USA im Rahmen der Terrorabwehr gesammelten Flugdaten auch andere Schlüsse als nur die Suche nach Terroristen zulassen und auch entsprechend genutzt werden, wird auch niemand bestreiten wollen. Also müssen bei der Gründung einer Internet-Polizei entsprechende Sicherheitsmaßnahmen ergriffen werden. Zwar wird es dabei vorrangig um Verbindungsdaten gehen, da man ja die Urheber der Schädlinge finden will und der Inhalt der Mails sowieso bekannt ist, aber auch Verbindungsdaten können interessante Schlüsse zulassen.

Alles in allem sehe ich nur geringe Chancen für die Einrichtung einer Internet-Polizei. Allein schon die Einigung auf ein "Ja, wir wollen sie" dürfte einige Jahre dauern. Laut Wikipedia gibt es 193 Staaten. Laut Eugene Kaspersky eine Handvoll Sicherheitsunternehmen. Welche Gruppe lässt sich wohl schneller unter einen Hut bringen? Außerdem kann bei den Unternehmen klein angefangen werden: Wenn sich davon erst nur ein Teil zu einem gemeinsamen Vorgehen entschließt, werden sich die anderen hoffentlich früher oder später von den Vorteilen überzeugen lassen und ebenfalls mitmachen. Und auch wenn das nicht passiert, ergeben sich bereits aus der Kooperation einiger Wenigen Vorteile bei der Schädlingsabwehr. Und bei den Staaten? Da müssen zumindest alle mit ins Boot, die jetzt betroffen sind. Was würde eine Internet-Polizei nutzen, an der sich z.B. einige der Haupt-Entstehungsländer von Schädlingen und Spam nicht beteiligen?

Auch wenn es eigentlich unsinnig ist, ein soziales Problem mit Technik lösen zu wollen: Diesmal sollte erst eine technische Lösung angegangen werden, denn bis zur sozialen dauert es zu lange. Und dann ist eine technische (Zwischen-)Lösung besser als gar keine.

Carsten Eilers