VI Die Internetfalle
„Risiken und Nebenwirkungen“ des WWW
1 Die Risiken im Überblick
Im vorherigen Kapitel ist es bereits angeklungen: Die Nutzung des Internets bringt Risiken und Nebenwirkungen mit sich. Dabei spielt das persönliche Verhalten eine maßgebliche Rolle. Leider ist die Realität nicht so einfach, dass die Orientierung an einer bestimmten Handlungsempfehlung ausreichend wäre, die wesentlichen Risiken auszuschließen. Selbst das Nicht-Partizipieren im Internet birgt wie erwähnt Risiken. Es gibt kein Entkommen, sondern nur die Möglichkeit, sich mit den Umständen zu arrangieren. Daher ist es nötig, die wesentlichen Wirkungsmechanismen zu kennen, um für sich selbst, für das eigene Leben – online wie offline – die richtigen Schlüsse ziehen zu können. Sehen wir uns diese also nun im Detail an. Punkt für Punkt.
Vorsicht „Datenverschmutzung“
Bei jeder Nutzung eines rechnerbasierten Systems entstehen Daten. Daten sind praktisch ein Neben- oder Abfallprodukt jeder Informationsverarbeitung, egal ob wir im Internet Bücher bestellen, die Payback-Karte an der Tankstelle vorlegen, die Kreditkarte im Restaurant benutzen oder auch nur den Motor eines neuzeitlichen Autos anlassen. Immer hinterlassen wir eine Spur an Daten. Das ist keine neue Erkenntnis und überrascht Sie als Leser sicher nicht im Geringsten.
Was sich in den vergangenen Jahren geändert hat, ist, dass immer größere Anteile unserer Kommunikation elektronisch abgebildet werden. Es hat vor Jahren mit E-Mail und SMS angefangen, die Entwicklung ging weiter mit allen möglichen Formen von Instant Messaging und findet einen (vorläufigen) Höhepunkt in der Kommunikation über soziale Netzwerke und der automatisierten Erfassung und Verarbeitung von ortsbasierten Informationen.
Hinzu kommt, dass es immer billiger wird, Daten zu speichern und zu verarbeiten. Man denke allein an E-Mail-Archivierung. Es ist aufwendiger zu entscheiden, was gelöscht werden kann und was relevant ist und aufgehoben werden muss, als alle damit in Zusammenhang stehenden Daten – ungeachtet von Relevanz und Notwendigkeit – dauerhaft zu speichern. Die Folge: Alles wird dauerhaft gespeichert. Auch und gerade im privaten Umfeld. Anbieter von Online-E-Mail-Diensten wie Hotmail und Yahoo Mail bieten Ihnen nicht selten Gigabytes oder gar „unbegrenzten“ Speicherplatz für Ihre Mails an. Wer will da noch löschen …
Dies gilt natürlich nicht nur für E-Mails, sondern auch für alle anderen Daten, die mit Ihren Transaktionen oder Ihren Kommunikationsbeziehungen zu tun haben.
Das klingt abstrakt. Aber nehmen wir mal an, Sie gehen auf eine Geschäftsreise und fahren mit dem Auto zum Flughafen, fliegen dann zum Zielort und nehmen dort einen Mietwagen. Dabei entstehen (unter anderem) Daten:
• beim Aufstehen, wenn sie mit Ihrem Smartphone die Wetter-App starten
• bei der Onlinebuchung von Flug und Mietwagen,
• bei der Einfahrt ins Flughafenparkhaus durch Erstellung des Parktickets und gegebenenfalls die automatische Kennzeichenerfassung an der Schranke,
• beim Besuch der Airline-Lounge,
• beim Boarding zum Flug,
• beim Kauf einer Flasche Whiskey mit Kreditkarte/Vielfliegerkarte im „DutyFree“-Shop als Mitbringsel,
• bei Abholung, später dann auch beim Parken, Betanken und bei der Abrechnung des Mietwagens,
• beim Mobilfunkprovider für die Nutzung des Gerätes in verschiedenen Funkzellen des eigenen Netzes und gegebenenfalls bei einem Roaming-Partner in einem anderen Land,
• beim Versand einer Statusmeldung „bin jetzt in Stockholm“ über Twitter,
• …
Bei der Onlinebuchung von Flug und Mietwagen entstehen Daten – sowohl bei der Fluggesellschaft und Mietwagenfirma als auch bei der Kreditkartenfirma, über die Sie Ihre Reisen abrechnen. Natürlich müssen die Beteiligten diese Daten von Ihnen erhalten, um ihren Teil der vertraglichen Vereinbarung (Flugtransport, Bereitstellung eines PKW und Abrechnung der Kosten auf bequemer monatlicher Basis) erbringen zu können.
Dies gilt in gleicher Weise für den Mobilfunkprovider und dessen internationalen Roamingpartner – auch diese brauchen die Daten für die Abrechnung.
Twitter braucht natürlich auch Ihre Dateneingabe für die Erbringung des Services.
In all diesen Fällen geht es um die Primärnutzung. Die Daten werden aus Nutzersicht zum eigentlichen Zweck (Bereitstellung der Services und damit einhergehende Abrechnung) verwendet.
Kritisch wird es dann bei der Zweitverwertung von Daten, etwa der Kundendaten Ihres Vielfliegerprofils. Ist die Vielfliegerkarte gleichzeitig noch eine Kreditkarte, über die Sie wesentliche Teile Ihrer Ausgaben abwickeln, weiß die Fluggesellschaft nicht mehr nur, wohin Sie fliegen, sondern auch, dass Sie gerne Whiskey trinken (oder zumindest kaufen) und welche Restaurants Sie in Stockholm besuchen. Setzen wir voraus, dass man dort mit unseren Daten sorgsam entsprechend den europäischen Datenschutzrichtlinien umgeht, so bleiben zumindest Profile von Viel- oder Wenigfliegern übrig, für die sich sicher Werbekunden interessieren. Für Lufthansa, Air Berlin, Sixt oder Europcar ist Lufttransport oder Autovermietung das Geschäftsmodell – auch wenn Daten anfallen und man sich dort sicher Gedanken über die Verwendung macht. Sie sind und bleiben dort der Kunde. Nicht wenige der Unternehmen, die in unsere Transaktionsbeziehungen eingeschaltet sind, sehen sich jedoch als datenzentrische Firmen, die vor allem interessiert daran sind, möglichst umfassend Daten zu erheben und zu verwerten.
Daten sind nicht nur ein Nebenprodukt von Transaktionen. Auch unsere Kommunikation und sozialen Interaktionen hinterlassen immer mehr „Datenschatten“, im gleichen Maße, wie die Kommunikation von Angesicht zu Angesicht („Face to Face“) von elektronischer Kommunikation ergänzt oder ersetzt wird. Bei Google, Yahoo, Facebook, Twitter und den meisten anderen ist das Geschäftsmodell eben nicht der Betrieb einer Plattform, sondern die Verwertung der Daten.
Anders als Sie vielleicht vermutet haben, sind Sie dort nicht der Kunde. Der Kunde dieser Unternehmen ist das werbetreibende Unternehmen, das Nutzerprofile erwirbt, oder vielleicht sogar eine Regierungsorganisation, die ganz spezielle Nutzerdaten kauft. Letzteres ist übrigens mehr als eine Vermutung oder Verschwörungstheorie: Eine „Preisliste“ von Yahoo für die Erbringung derartiger Dienste für Regierungsstellen in den USA ist Ende 2009 auf der Enthüllungs-Website Cryptome.org aufgetaucht.
Noch einmal: Sie sind nicht der Kunde. Sie sind nur der Datenlieferant. Insbesondere die US-amerikanischen Unternehmen – und das ist nun mal ein Großteil der hier genannten Internetunternehmen – haben für unser Verständnis eine recht eigenwillige Auffassung von der Hoheit über die Daten. Demnach „gehören“ die Daten dem Unternehmen, das diese sammelt.
Oder wie der amerikanische Security-Guru Bruce Schneier (www.schneier.com/) es bei seinen öffentlichen Auftritten formuliert: „Google owns your E-Mail.“
Oder noch anders gesagt: Wir sind nicht Kunden bei Google, sondern wir, das heißt unsere Daten, sind Googles Produkt (für deren Kunden in der Werbebranche)! Gleiches gilt für Facebook und alle anderen Anbieter von überwiegend „kostenlosen“ Diensten. Facebook sieht sogar einen Teil seiner Datensammlung als deren ureigenstes Geschäftsgeheimnis (dazu später mehr). Man könnte in Summe auch feststellen: Wir zahlen mit unseren privaten Daten in einer Art laufendem Micropayment dafür. Kostenlos ist nur vermeintlich kostenlos.
Im Umkehrschluss heißt das aber auch, dass kostenpflichtige Dienste nicht notwendigerweise besser sind, wenn es um den Umgang mit unseren Daten geht. So gibt es massive Bestrebungen von US-Kreditkartenfirmen, sich mit dem Verkauf von Daten der Nutzer und ihrer Einkäufe zusätzliche Einnahmen zu erschließen. So berichtet das Wall Street Journal (25.11.2011) davon und verrät auch gleich Ideen dahinter: Demnach wäre es möglich, einem Kunden, der die Kreditkarte in einem Fastfoodlokal einsetzt, sogleich Webwerbung für Schlankmacherprodukte zu zeigen und anschließend natürlich (wiederum anhand der Zahlungsdaten) festzustellen, ob dieser tatsächlich gekauft hat.
Vor diesem Hintergrund überrascht es nicht, dass auch der Kundenkartendienstleister Payback, von dem auch an anderer Stelle in diesem Buch die Rede ist, inzwischen zum American-Express-Konzern gehört.
Kostenlos oder nicht. So oder so geben wir Kontrolle ab.
Und fragen Sie nicht nach dem Staat: Der Gesetzgeber ist nicht schnell genug. Die Gesetzeslage hinkt um Jahrzehnte hinter der Realität her. Die Datenschützer können zwar mahnen, aber nur wenig ausrichten. Eine „freiwillige Selbstverpflichtung“ der Online-Netzwerke, wie Bundesinnenminister Friedrich im November 2011 für den März 2012 angekündigt hat (vielfach in den Medien, u.a. www.computerwoche.de/netzwerke/web/2499186/) wird die Googles und Facebooks dieser Welt ebenfalls kaum beeindrucken.
Auch ein Hausbesuch bei Facebook, wie ihn der irische Datenschützer für die – wohl aus Steuergründen – in Irland ansässige Niederlassung des US-Konzerns im Herbst 2011 durchgeführt hat, muss ergebnislos bleiben, solange keine echte Auditierungsmöglichkeit oder besser Verpflichtung besteht.
Wollt Ihr die totale Überwachung?
Während „Überwachung“ nach alter Väter Krimi Sitte früher noch bedeutete „folgen Sie diesem Wagen“, kann die Datenspur, die wir heute hinterlassen, auch anders genutzt werden: „Folgen Sie jedem Wagen“ wird möglich – aufgrund fehlender Ressourcen früher undenkbar.
Genauso wie die Debatte um den Zugriff auf Kommunikationsdaten bereits veraltet ist und die Aufforderung an die Strafverfolger oder den Geheimdienst nicht mehr lautet: „hören Sie diesen Anruf ab“ oder „schneiden Sie diese E-Mail mit“, sondern längst ersetzt worden ist durch „schneiden Sie jedes Telefonat/jede E-Mail mit“ oder „was wurde vergangene Woche bei dieser oder jener Telefon-/E-Mail-Korrespondenz kommuniziert?“
Bezieht man soziale Netzwerke mit ein, so wird seit mehreren Jahren von kritischen Journalisten auf mögliche Verbindungen zwischen Facebook und dem amerikanischen Geheimdienst CIA beziehungsweise dessen Venture-Capital-Firma In-Q-Tel hingewiesen. Auch wenn Facebook auf der – öffentlich einsehbaren – Liste der Firmen, in denen In-Q-Tel (IQT.org) investiert, nicht auftaucht, so bestehen – etwa nach Auffassung von The Guardian – enge personelle Verknüpfungen zwischen dem Facebook-Investor Greylock und In-Q-Tel (www.guardian.co.uk/technology/2008/jan/14/facebook).
Betrachtet man in diesem Kontext die Aktivitäten anderen Firmen aus dem Umfeld, so wird man etwa bei „Palantir“ fündig. Dieses Unternehmen verspricht Mustererkennung in großen Datenbeständen und wird (laut Firmenwebsite IQT.org) direkt von In-Q-Tel finanziert.
Vorfälle wie das Beispiel zweier englischer Touristen, die aufgrund zweideutiger Äußerungen auf Twitter im Januar 2012 an der Einreise in die USA gehindert wurden und nach stundenlangen Verhören durch die amerikanische Heimatschutzbehörde (Department of Homeland Security) über Nacht eingesperrt und schließlich zurückgeschickt wurden, machen deutlich, dass derartige Systeme längst im Einsatz sein könnten (www.dailymail.co.uk/news/article-2093796/Emily-Bunting-Leigh-Van-Bryan-UK-tourists-arrested-destroy-America-Twitter-jokes.html). Kuriosität am Rande: Einer der beiden beanstandeten Twitter-Nachrichten war übrigens ein Zitat aus einer amerikanischen Zeichentrickserie.
Derartige Zusammenhänge zwischen Geheimdiensten und Social-Network-Betreibern kann man natürlich mit Verschwörungstheorien abtun oder mit einem achselzuckenden „Was habe ich schon Interessantes zu bieten“ beantworten, solange es um das eigene Privatleben geht, das man auf Facebook und anderswo ausbreitet.
Als Mitarbeiter beziehungsweise Führungskraft eines forschungsorientierten Unternehmens, das im weltweiten Wettbewerb steht, sollte man aber spätestens hier hellhörig werden und über geeignete Maßnahmen nachdenken, warnen uns doch die deutschen Ministerien inzwischen sogar offen vor Industriespionage auch durch „befreundete“ Staaten.
Was glauben Sie, was passiert, wenn wir alle nun viel, viel mehr E-Mails schreiben, um die eigentlichen Absichten zu verschleiern, wie es manchmal von Experten vorgeschlagen wird? Richtig, der interessierte Geheimdienst oder die interessierte Behörde wird sich ein paar neue Computer oder Festplatten kaufen, mehr nicht.
Auch Zusammenhänge, die heute nicht relevant sind, können in Zukunft relevant werden. Lassen sich die Datenspuren dann verfolgen? Im Zweifel ja, da die komplexen IT-Systeme unserer Zeit in vielen Fällen nichts mehr vergessen – und das nicht nur aufgrund der Sammelwut der Betreiber, sondern da es schlicht billiger ist, alles aufzuheben als gezielt zu löschen. Die Anbieter von Datenbanken und Speichersystemen haben für diese neue Situation längst einen eigenen Fachbegriff kreiert. Sie sprechen von „Big Data“. Palantir ist die erste Firma, die sich direkt auf Datenauswertungen für behördliche Aufgaben fokussiert, unzählige andere Softwarefirmen versprechen ähnliche Data-Mining-Leistungen auch für Marketingzwecke.
Ein weißer Fleck war bei allen Auswertungsversuchen bisher die Videoüberwachung. Trotz Versprechen diverser Hersteller von Sicherheitsequipment war es bisher nicht möglich, etwa Personen auf Videos zu erkennen oder auch nur Bildinhalte „durchsuchbar zu machen“. Videoüberwachung ist deshalb im Regelfall eine manuelle Tätigkeit mit zweifelhaftem Erfolg. Wer kann schon nach acht Stunden „auf den Monitor Schauen“ noch die entscheidenden Vorgänge identifizieren? So wird Videoüberwachung meistens erst nachträglich, nachdem etwas passiert ist, genutzt, um etwa anhand einer Videoaufzeichnung einen Tathergang zu klären.
Anders als Texte eignen sich Bilder und insbesondere Bewegtbilder eben nur bedingt für ein automatisches Durchsuchen. Bereits das Auffinden eines bestimmten Videos auf Youtube wird zur Glückssache, wenn man nicht die Begriffe des Titels beziehungsweise aus der Beschreibung kennt. Diese sind nämlich durchsuchbar.
Neue Ansätze der Videoüberwachung – wie sie etwa an der Universität von Kalifornien, Los Angeles verfolgt werden (www.technologyreview.com/computing/25439/?a=f) – schließen diese Lücke, indem sie automatisch Bildinhalte beschreiben und damit durchsuchbar machen. Dazu wird das Bild in einzelne Bildelemente zerlegt. Diese werden anhand einer Datenbank (www.imageparsing.com) identifiziert. Die Aktivität oder Inaktivität der einzelnen Bildelemente wird verfolgt und automatisch in Textform dokumentiert, etwa so: „weißer PKW fährt Richtung …, roter PKW hält an Kreuzung …“ Damit wird das Material der Überwachungskamera durchsuchbar und auswertbar.
Denkt man noch etwas weiter in die Zukunft und geht davon aus, dass sich bereits heute Kfz-Kennzeichen und teilweise bereits auch Gesichter automatisch erkennen lassen, so ergibt sich – bei Vernetzung hinreichend vieler „dokumentationsfähiger“ Kameras – tatsächlich ein Szenario, das einer vollständigen Überwachung nahekommt. Die von verschiedenen Aufsichtsbehörden eingesetzten Kennzeichenscanner, deren zivile Version bereit...