Daten, Das Darknet und Die Deutsche Digitale Demenz
Zur Abwechslung mal wieder was aus meinem eigentlichen Fachgebiet: Ich war bei einer Veranstaltung zum Thema IT-Sicherheit.
Nachdem ich mich in letzter Zeit so oft – zu oft – auf politischen Veranstaltungen herumgetrieben habe, dachte ich, ich könnte mich ja auch mal wieder in meinem Beruf herumtreiben und mal wieder eine vernünftige Veranstaltung besuchen, und war deshalb vorhin beim Bonner Dialog für Cybersicherheit, Titel heute: „Das Darknet – Fluch oder Segen in der digitalen Welt“ am Bonn-Aachen International Center for Information Technology, mit Volker Kozok (Bundeswehr), Dirk Kunze (Kriminalrat beim Landeskriminalamt Nordrhein-Westfalen) und Christian Schülke („Security Enthusiast”, was auch immer das sein mag, keine Ahnung, warum man sich so nennt, denn ethusiastisch ist man nur am Anfang, wenn man noch will, aber noch nicht hat.)
Ich bin mir jetzt nicht sicher, woran das liegt. Ob’s an mir liegt (und wenn ja in welche Richtung, Altersweisheit oder doch einsetzende Senilität) oder am veränderten Konferenzstil, aber irgendwie kann ich generell mit diesen Vortragsveranstaltungen immer weniger anfangen. Ich habe das schon so oft gerügt, mir gehen diese Podiumsdiskussionen so unglaublich auf den Wecker. Ist halt einfach für die Teilnehmer, einfach hinsetzen, man muss nichts vorbereiten, nichts können, nichts wissen, denn günstigstensfalls antwortet man einfach auf Fragen, die der Moderator reihum hinwirft. So schlimm war’s heute nicht, aber die Tendenz ist schon da. Woher kommt das? Die Journalisten sind schuld. Die haben diesen Stil eingeführt, denn wenn man denen mal zuschaut, machen die ständig und unentwegt sowas, nennt sich halt nur auf Neudeutsch dann eben „Talkshow”, ist aber das gleiche. Denn deren Ziel ist nicht, Informationen rüberzubringen oder den Zuhörer schlauer zu machen, sondern Sendezeit zu füllen. Journalisten haben ihre Arbeit dann getan und ihr Gehalt verdient, wenn sie x Minuten Sendezeit gefüllt haben, Inhalt eigentlich egal, gerne auch Krawall. Siehe Fernsehtalkshows. Seit es in Mode kam, dass sich Journalisten ein Zubrot (oder ihr Hauptgehalt) verdienen, indem sie überall als Moderator auftreten, haben sich diese Podiumsdiskussionen wie die Pest ausgebreitet. Heute war’s ein bisschen besser, die konnten schon alle selber reden, und der Moderator war auch kein Journalist, sondern ein Professor von Fraunhofers (ob das besser ist, überlasse ich hier mal dem Leser, Ihr kennt meine Meinung von Fraunhofer-Instituten und meine Erfahrungen mit denen). Aber besonders Kozok habe ich in den letzten Jahren ja mehrmals gehört, der ist nicht nur eloquent, sondern dem zuzuhören ist schon unterhaltsam und lohnend.
Was mich auch gewaltig stört, ist diese Ritualisierung von Veranstaltungen. Eigentlich nicht so wichtig, worüber man redet, sondern eher dass man redet, sich mal wieder trifft und gegenseitig begrüßt, ein paar substanzlose Höflichkeitsfragen stellt und hinterher das Buffet auf Kosten öffentlicher Kassen oder des Sponsors wegfrisst. Irgendwie habe ich bei diesen ganzen Konferenzen und Veranstaltungen immer intensiver das Gefühl (allerdings auch schon vor 10 Jahren in den USA, beispielsweise am MIT), dass das fachliche immer mehr in den Hintergrund tritt und nur noch zum Alibi für den social event wird. Und so, wie mir von vielen modernen Filmen hinterher nicht viel mehr im Gedächtnis hängen bleibt als dass die Frau gut aussah, bleibt mir von Vortragsveranstaltung meist vorrangig kleben, dass das Buffet gut war. Stört mich das immer mehr oder stört es andere immer weniger?
Und was mir auch an und ab auffällt ist, dass die interessanten Informationen eher aus dem Publikum als von den Vortragenden kommen.
Aber fangen wir vorne an:
Begrüßung und Eröffnung durch Prof. Dr. Stefan Wrobel, Bonn-Aachen International Centerfor Information Technology – fiel aus, hatte keine Zeit.
Dann der Vortrag „Tatort Netz – Erkenntnisse aus aktuellen Ermittlungen“ von Dirk Kunze, Kriminalrat beim Landeskriminalamt Nordrhein-Westfalen. Er beschrieb so die Probleme, dass man ja nicht weiß, was man bekommt, wenn man im Internet bestellt, und ob man Garantie hat. Dass sie nicht wissen, wie sie das im Darknet rückverfolgen sollen, wie man Drogenhandel da eindämmen könnte, und als ganz großes Problem, wie man Zahlungen nachverfolgen kann, denn die zahlen ja mit Bitcoins.
An dem Vortrag stieß mir sogleich etwas sauer auf, und ich dachte erst, das hätte vielleicht nur ich so empfunden, aber genau das rügte nachher auch jemand aus dem Publikum. Der sagte nämlich eigentlich nichts, sondern stellte den ganzen Vortrag hindurch nur Fragen. Wie können wir das verfolgen? Was machen wir da? Wir sollen wir das bekämpfen?
Zwar waren die Fragen rhetorisch gestellt wie eben Rhetorische Fragen. Aber es kamen keine Antworten. Es blieb letztlich nur der Eindruck einer Hilflosigkeit, einer Kapitulation übrig.
Den Aufhänger dafür fand er in einem Vergleich zwischen realer Welt und Darknet. In der Realität käme die Polizei wenn eingebrochen wird, würde Drogenhändler festnehmen usw., und das ginge im Darknet halt alles nicht.
Ich habe da schon an mich halten müssen, um mich da nicht zu Wort zu melden. Denn es stimmt einfach nicht. Es kommt auch in der Realität kaum noch einer. In Berlin gibt es in der Innenstadt immer mehr Gegenden, in denen man auf 100 Meter Gehweg von mindestens 5 Drogendealern angequatscht wird, ob man nicht diese oder jene Droge kaufen wollen. Unbehelligt von der Polizei. Die machen nichts, und selbst wenn, steht der Dealer am nächsten Tag wieder da, weil die Richter ihn freilassen.
Ich weiß nicht, was das Gequatsche soll, dass das Darknet so viel schlimmer als die Realität wäre, wenn ich nur 300 Meter zur nächsten U-Bahn-Station gehen muss, um alle Arten von Drogen zu bekommen, die der Markt anbietet. Wer müht sich noch mit einem unsicheren und riskanten Online-Drogenhändler und langem Versand ab, wenn man vor Ort alles kaufen und sofort haben kann? In Berlin muss man die Drogenhändler nicht mal mehr suchen, sondern sich inzwischen ihres Ansturms erwehren. Und das ist politisch so gewollt, gibt ja sogar mindestens eine Partei, die ganz offen die Drogenmärkte protegiert und sie freigeben will. (Die WELT hatte gerade einen lesenswerten Artikel einer niederländischen Journalistin, die beschreibt, dass es in Berlin viel schlimmer als in den Niederlanden sei und die Freigabe weicher Drogen in den Niederlanden keineswegs zu einer Entspannung bei den harten geführt hat). Das Problem ist nicht das Darknet. Das Problem ist, dass der Drogenhandel von Politikern gewollt und gefördert ist, schon zum Eigenbedarf. Es ist vor allem ein politisches Problem. Dazu aber unten mehr.
Und was mir persönlich da auch sehr stöhrend auffiel: Er vermischte ständig zwei völlig unterschiedliche Situationen, als wäre es das gleiche. Es ist ein Riesen-Unterschied, ob ein Nutzer selbst gesetzestreu bleiben will, aber angegriffen wird und auf Phishing reinfällt oder durch Systemlücken attackiert wird, und geschützt werden muss, oder ob ein Nutzer kriminell ist und aus eigenem Antrieb das Darknet aufsucht, etwa um Schadsoftware oder Drogen zu kaufen. Das sind völlig unterschiedliche Situationen (Angreiferpositionen). Wenn man schon so elementare Situationen nicht auseinanderhalten kann … wird es für den Zuhörer schwer, zu folgen.
Podiumsdiskussion … naja, Podiumsdiskussion eben.
Einer (weiß nicht mehr genau, wer) berichtete, dass es zum Verzweifeln sei, wenn man Politikern das Problem klar machen wolle. Mein sei etwa daran gescheitert, Politikern, die irgendwelche Inhalte vor 22 Uhr sperren lassen wollte, zu vermitteln, dass es in einem weltweiten Netzwerk kein vor oder nach 22 Uhr gibt. Das Problem ist einfach, dass wir von Leuten regiert werden, denen schlichtweg die Kompetenz dazu fehlt.
Kozok berichtete mal von der Bundeswehr, dass er da auf ähnliche Überzeugungsprobleme stößt. Er warnt vor digitalen Gefahren. Und erwähnt, dass die Amerikaner das ernst nähmen: Als ein Journalist fälschlich meldete, irgendwo – war es Türkei? Bin mir jetzt nicht mehr ganz sicher – seien Patriots gehackt worden, hätte ihn innerhalb von 10 Minuten sein Pendant vom FBI angerufen und gefragt, was da passiert sei. In der eigenen Truppe stoße er dagegen auf wenig Verständnis. Dort herrsche die Auffassung, dass man mit Panzern fährt und mit Flugzeugen fliegt, aber nicht mit Daten rummacht. (Fragt sich, wie lange die Panzer dann noch fahren und die Flugzeuge noch fliegen. Fahrt mal einen Leo2 ohne Software. Und einen Airbus A400 bekommen sie ja schon ohne Angriff nicht hoch – wegen der Software. Die Amis haben gerade ein Milliardenschweres Kampfflugzeug entwickelt, dessen Bordkanone frühestens in vier Jahren funktioniert, weil die Software nicht fertig ist. Ich war 1985/86 bei der Bundeswehr, und da hatten wir schon die modernen MAN-LKW, die zwar toll, aber schon elektronisch gesteuert sind. Deshalb hatten wir zur Reserve noch uralte LKW aus den 50er Jahren in der Halle, die nach dem Anlassen komplett ohne Strom funktionierten und selbst die Druckluftanzeuge pneumatisch-mechanisch lief, weil die Dinger atomschlagsicher waren. Es gab auch ein „Rechengerät Ballistik” in Sarkophag-Größe, für das man einen eigenen Stromgenerator brauchte, das aber atomschlagsicher war, weil ein Analogrechner aus Röhren. Und heute haben die Zeugs, was samt und sonders lahmgelegt werden kann, was so anfällig ist, dass sie es schon ohne Angriff kaum hochkriegen. Fahrt mal einen Leo2 ohne Software. Versucht mal, einen Eurofighter zu fliegen – oder auch nur zu debuggen.)
Im Ernst: Wie sollte das anders sein, wenn ausgerechnet eine Ursula von der Leyen Verteidigungsministerin werden kann? Erinnert Euch mal an deren Kinderpornosperre: Null Ahnung, nicht mal ansatzweise. Die dachte, das Internet bestünde nur aus Webseiten (so wie bei BTX), die Provider wären Webseiten-Händler und sie hielt DNS-Server für sowas wie Web-Server oder Proxies. Extrem beratungsresistent und unbelehrbar. Aber trieb mit ihrem Wahnsinn die ganze Bundesregierung vor sich her, drückte sogar ein Gesetz durch, dass man ein Jahr später wegen grober Untauglichkeit wieder aufheben musste. Aber man machte das mit, damit Ursula von der Leyen ihren Willen bekam – sie nannte das ja auch „ihren politschen Willen”, und jeden „krachend unfähig”, der nicht macht, was sie will. Mit technischen Argumenten nicht erreichbar.
Und ausgerechnet die ist jetzt für Bundeswehr und Landesverteidigung zuständig. Wollte die FKK-Armee (Fernseher, Kühlschrank, Kita). Und dann wundern die sich, dass das Thema Cybersicherheit dort keinen Stellenwert hat? Dass sich das dort auf’s Haptische und Aussehen reduziert? Auf Dinge, vor die man sich für ein Pressefoto stellen kann? Panzer und Flugzeuge?
Und damit sollen wir einen Krieg gewinnen?
Man kann es nicht mal sagen. Denn bekanntlich verliert jeder den Kopf, der von der Leyen kritisiert. Vielleicht müssen sie sich da wundern, weil ihnen sonst nichts anderes mehr übrig bleibt.
Womit wir zum eigentlichen Kern des Problems kommen.
Während des Vortrags, der Podiumsdiskussion und vieler Publikumsfragen (viele fragen auch nur aus Höflichkeit, zur persönlichen Interaktion und um sich zu zeigen, nicht weil sie eine schlaue Frage hätten) störte mich sehr, dass das eigentliche Problem, nämlich dass Sicherheit politisch gar nicht gewollt ist und sogar sabotiert wird, systematisch ausgeklammert und verschwiegen wird. Ich hatte mir allerdings vorgenommen, heute mal nicht bei den ersten Fragenden zu sein.
Nach einer Weile, fast gegen Ende der Fragerunde, fragte ein Mann vor mir dann aber doch nach diesem Punkt: Warum das Thema Politik nicht zur Sprache gekommen wäre, denn schlussendlich liefe das doch alles darauf hinaus, dass von der Politik nicht der Wille besteht, daran was zu ändern.
Das Podium hat darauf zwar reagiert, die Frage aber nicht beantwortet.
Kurz darauf meldete sich ein anderer, ähnliches Thema, auch um (s)ein Buch dazu anzükündigen, Titel Digitale Souveränität (oder sinngemäß, bin mir nicht mehr sicher), der – zu Recht – meinte, dass wir doch digital gar nicht souverän, sondern fremdbestimmt seien, und wir endlich mal die Macht über uns selbst erlangen müssten. Warum wir digital so schrecklich unfähig seien, uns selbst zu verwalten.
Beide sprachen mir genau aus der Seele, nur lange nicht tief genug um es zutiefst zu tun. Richtung stimmt, aber zu kurz gedacht.
Was mir da immer wieder auffällt, ist, dass den Leuten das kryptohistorische Wissen fehlt. Die haben fast alle erst nach 2000 angefangen, sich mit dem Thema zu befassen.
Was sie aber offenbar nicht wissen ist, dass Kryptographie und sichere IT in Deutschland nicht nur nicht gefördert, sondern – besonders in den Neunziger Jahren – systematisch ausgebremst, sabotiert, blockiert wurde.
Ich hab’s ja schon oft erzählt: 1997 fand – kurioserweise in der damaligen Hauptstadt Bonn, also gerade um die Ecke der heutigen Veranstaltung – die Bundestagsanhörung zum geplanten Kryptoverbot statt. Die Politik wollte auf jeden Fall starke Kryptographie verbieten (wollte oder sollte?). Dass man das nicht wollen kann, sagten viele, aber dass man das auch technisch nicht machen kann, habe damals nur ich gezeigt – und wurde prompt dafür abgesägt. In der Folge der damaligen Vorgänge hat der BND die Forschung überwacht und Karrieren abgeschossen, dafür wurden die Kryptoprofessuren reihenweise mit Leuten besetzt, die schon von sich selbst sagen, dass sie zu Kryptographie nichts sagen können, oder solchen, die sich das einbilden und nicht mal Primzahlen richtig definieren können. (Inzwischen hat man das gesteigert und durch Frauenquoten Informatikprofessuren mit Leuten besetzt, die alle Informatikvorlesungen halten, zu jedem beliebigen Titel, und dabei immer dasselbe erzählen: Soziogeschwafel. )
Man hat jahrelang die deutsche IT-Sicherheits- und Kryptoforschung sabotiert, kaltgestellt, mit Leuten besetzt, von denen garantiert nichts kam. Die Politik hat es getan. Der Bundesnachrichtendienst hat es getan. Und wenn’s der Bundesnachrichtendienst getan hat, stecken die Amerikaner dahinter. Zumal auch der Bundestag damals kaum ein Geheimnis daraus machte, es selbst eigentlich nicht zu verstehen, sondern nach der Pfeife der Freunde hinter dem großen Teich zu tanzen.
Wir hatten vor rund 20 Jahren hier massive Kryptokriege. Und kaum jemand hat es mitbekommen, weil Internet und Computer noch nicht im Bewusstsein der Öffentlichkeit angekommen sind. (Der Boom ging im gewerblichen Bereich erst um 1999 und im privaten Bereich ein paar Jahre später los.)
Alle die, die damals an diesen Kryptokriegen beteiligt waren, sind entweder raus aus dem Business – oder tot. Man hat die Stellen mit Leuten besetzt, die von diesen Kriegen nichts oder nur sehr wenig wussten und zum Kryptokrieger nicht taugten. Und heute sind eigentlich nur noch solche Leute unterwegs, die die Vorgänge von damals nicht kennen, weil sie erst danach in dem Thema angefangen haben.
Auch eine Form digitaler Demenz. Und ohne Snowden hätten sie nicht mal davon erfahren, würden sowas als Verschwörungstheorien abtun.
Und heute sitzen sie da, jammern darüber, dass das Internet so unsicher (oder zu sicher, je nach Blickwinkel) ist, fragen sich, wie man da rauskäme. Aber keiner weiß mehr, wie wir da reingekommen sind, worin die Ursache liegt, die man zuest bekämpfen muss.
Wir sind – wie es heute erwähnt wurde – eine digitale Kolonie. Und fast niemand weiß, wie es dazu kam. Man sitzt da, und wundert sich. Man versteht nicht, wie’s kommt, und man stellt Fragen, viele Fragen, ohne Antworten zu haben. Und doch hat man einen ganzen Vortragssaal voller Krawattenträger, die sich alle für die Elite der IT-Sicherheit halten. Mit richtig schönem modernem Vortragssaal und lecker Buffet.
Stellt Euch mal die Frage: Was kam in den letzten 20 Jahren aus der deutschen Krypto- und IT-Sicherheitsforschung?
Na!?
So sieht’s aus…