Tag: Cybersicherheit

Policy Paper: Digitalpolitik im globalen Systemwettbewerb Herausforderungen für liberale Demokratien

Anfang April erschien mein Policy Paper: „Digitalpolitik im globalen Systemwettbewerb
Herausforderungen für liberale Demokratien“ bei der Friedrich-Naumann-Stiftung für die Freiheit. Es kann hier

kostenlos heruntergeladen werden.

Geopolitik wird zunehmend wieder Thema in der deutschen und europäischen Politik. Der digitale Raum spielt jedoch nur eine untergeordnete Rolle. Die Souveränität Europas und anderer liberaler Demokratien hängt im digitalen Zeitalter von einem freien, offenen und globalen Internet ebenso ab, wie dem Zugang zu Technologien und sicheren, diversifizierten Lieferketten. Anhand von jeweils drei Beispielen soll exemplarisch illustriert werden, wo gefährliche Abhängigkeiten bestehen (Unterseekabel, Normen und Standards, Chips) und welche Rolle private Akteure in der internationalen Digitalpolitik einnehmen (Internet aus dem Weltall durch Elon Musks Starlink, Chinas Huawei und die digitale Seidenstraße, Google und Apple als Gatekeeper für Apps auf Smartphones). Das Papier schließt mit Policy Empfehlungen für die deutsche und europäische Politik.

Read More
Die EU reagiert auf neuste Terroranschläge mit noch mehr Überwachung

Die EU reagiert auf neuste Terroranschläge mit noch mehr Überwachung

Erst der Schock — dann die Panikreaktion. Die abscheulichen Anschläge in Paris, Nizza und Wien lassen die EU in leider gut bekannte Handlungsmuster verfallen: Auf Terror wird mit Einschränkungen unserer Freiheit reagiert, die angeblich mehr Sicherheit bringen. Wie nun bekannt wurde hat der Ministerrat eine Initiative vorbereitet, die die Ende-zu-Ende-Verschlüsselung von Messengerdiensten wie WhatsApp oder Signal aufweichen soll. Unter der deutschen Ratspräsidentschaft wird damit nicht nur noch weiter in unsere Grundrechte eingegriffen. Es wird auch die weltweite IT-Sicherheit unter dem Vorwand des Kampfs gegen den Terror aufs Spiel gesetzt.

“Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung”, forderte schon der ehemalige Bundesinnenminister Thomas de Maizière und sorgte damit für viel Entsetzen bei Bürger- und Menschenrechtlern und IT-Expertinnen. Der gestern bekanntgewordene Vorstoß des Ministerrats folgt genau dieser Losung: Die Betreiber von Messengerdiensten sollen dazu verpflichtet werden, einen Generalschlüssel für den behördlichen Zugriff auf verschlüsselte Kommunikation zu hinterlegen. Genutzt werden soll offenbar die “Exceptional Access”-Methode des britischen Geheimdienstes GCHQ. Dies bedeutet aber, dass die sichere und verschwiegene Kommunikation von uns allen in Gefahr ist. Denn entgegen Verlautbarungen, dass diese Überwachung nur potenzielle Terrorist:innen beträfe, öffnet sie vielmehr ein Einfallstor für jegliche Cyber-Kriminelle oder Spione. Wir erinnern uns: selbst die NSA war nicht in der Lage, ihre genutzten Sicherheitslücken geheim zu halten. Weltweite Cyberattacken (Stichworte: WannayCry und NotPetya) mit Schäden in Milliardenhöhe und die Gefährdung von Menschenleben waren die Folge.

Abgesehen davon, dass Regulierungen dieser Art Auswirkungen auf die Nutzung von Technologie in der ganzen Welt haben, ist die Resolution des Ministerrats eine Einladung an autokratische Herrscher es der Europäischen Union gleichzutun und die Kommunikation ihrer Bürger:innen mitzulesen. Es darf nicht vergessen werden: Privatsphäre ist ein Menschenrecht, das auch in der europäischen Grundrechtecharta verankert ist. Wollen wir andere von unseren Werten überzeugen, so müssen wir hier mit gutem Beispiel vorangehen.

Aber auch das ewige Mantra, dass zusätzliche Überwachungsbefugnisse einen entscheidenden Beitrag zur Verhinderung solcher Terroranschläge beitragen muss endlich ernsthaft infrage gestellt werden. Seit mehr als 20 Jahren, spätestens seit den Anschlägen vom 11. September 2001, wird die diffuse Angst der Menschen dazu ausgenutzt immer neue Eingriffsbefugnisse durchzusetzen. Trotzdem sehen wir uns im Jahr 2020 einer noch komplexeren Sicherheitslage gegenüber und haben noch nicht einmal den Ansatz einer Vorstellung davon, was diese Zugriffsrechte überhaupt genau bringen und wofür wir unsere Freiheiten eingeschränkt haben.

Der Bundesdatenschutzbeauftragte Ulrich Kelber sagte erst kürzlich wieder: Das für eine Demokratie erträgliche Maß an Überwachung ist bereits überstiegen! Trotzdem soll in Deutschland und der EU die verfassungswidrige Vorratsdatenspeicherung wieder eingeführt werden, die Geheimdienste dürfen nun auch offiziell per Staatstrojaner schnüffeln, die neue EU Anti-Terror-Verordnung soll über Uploadfilter funktionieren und die regelmäßige Evaluierung von Sicherheitsgesetzen, die nach dem 11. September 2001 verabschiedet wurden, wurde gerade vom Bundestag aufgehoben.

Der entsetzliche Terroranschlag in Wien hätte verhindert werden können, wenn Sicherheitsbehörden mit den Informationen von Geheimdiensten, die ihnen vorlagen, gearbeitet hätten und diese ernst genommen hätten. Wie so häufig. Es gab auch hier, keinen Mangel an Befugnissen und Information. Wir sehen immer wieder, dass klassische Polizeiarbeit einer gut organisierten und vor allem personell gut ausgestatteten Truppe die größten Erfolge im Kampf gegen den Terror bringen.

Wir sind also auf einem falschen Weg im Kampf um mehr Sicherheit. Unter deutscher Führung scheint die EU diesen nun fortzusetzen. Sie droht dabei aber nicht nur ihre Grundwerte aufzugeben. Sie fällt auch all jenen Menschen in den Rücken, die sich weltweit für Demokratie und Rechtsstaatlichkeit einsetzen. Die Demonstranten, die in Hongkong oder Belarus gegen autokratische Herrschaft, Überwachung und Unterdrückung kämpfen und ihre Freiheit und ihr Leben aufs Spiel setzen, sind angewiesen auf sichere und integre Kommunikation. Die EU kann sich nicht einerseits mit ihnen solidarisieren und ihnen im gleichen Zug die Grundlage für ihren Einsatz entziehen.

Dieser Text erschien gemeinsam mit Dr. Maximilian Spohr zuerst auf freiheit.org.

Read More
Der Cyberkrieg hat längst begonnen

Durch die gezielte Tötung Qassem Soleimanis, dem Kommandeur der iranischen Quds-Einheit, ist das Risiko einer militärischen Eskalation im Konflikt zwischen den USA und Iran gestiegen. Die zentrale Rolle des getöteten Generals in der iranischen Regionalpolitik zwingt die iranische Führung zu einer Antwort. Untätigkeit in dieser Frage käme gerade wegen der vom iranischen Regime in den vergangenen Jahren betriebenen Stilisierung Soleimanis zur Lichtgestalt einem Gesichtsverlust gleich.

Andererseits weiß die iranische Führung spätestens jetzt, welch weitreichende Konsequenzen ihre militärischen Provokationen haben können. Der Tod Soleimanis war eine direkte Folge monatelanger Raketenangriffe pro-iranischer Milizen auf US-Militärstützpunkte in Irak, bei denen am 27. Dezember erstmals ein US-Bürger getötet wurde.

Iran und USA befinden sich bereits seit Jahren in einem Cyberkonflikt

Vor dem Hintergrund der potenziellen Folgen weiterer Anschläge auf US-amerikanische Militärstellungen — Präsident Donald Trump droht bereits mit US-Angriffen auf 52 ausgesuchte iranische Ziele — könnte sich die Islamische Republik auf aus ihrer Sicht weniger provokante Optionen einlassen. Als Alternative zu direkten Militärschlägen auf US-Ziele ist eine Hinwendung zu Cyberattacken plausibel. Ohnehin ist der Konflikt zwischen den USA und Iran bereits jetzt auch ein Cyberkrieg, in dem beide Seiten die digitale Infrastruktur des Gegners ins Visier nehmen.

So wurde im Juni 2019 bekannt, dass Trump als Reaktion auf den Abschuss einer US-Drohne einen Cyberangriff auf eine iranische Geheimdiensteinheit autorisierte. Die Geheimdiensteinheit wiederum plante ihrerseits Attacken auf Öltanker im Persischen Golf. Zur Erinnerung: Bereits unter George W. Bush und Barack Obama setzten die USA auf eine millionenschwere Cyber-Sabotageaktion gegen das iranische Atomprogramm, in deren Zuge der Computerwurm „Stuxnet“ die iranische Urananreicherung erheblich behinderte.

Iran hackte Casino-Unternehmen

Auch das iranische Regime hat in der Vergangenheit verschiedene Cyberangriffe gegen die USA und seine Verbündeten durchgeführt. So starteten iranische Hacker 2014 eine Attacke auf das Casino-Unternehmen des irankritischen US-Milliardärs Sheldon Adelson. Auch US-Verbündete sind bereits zur Zielscheibe iranischer Sabotageaktionen geworden. Nach Saudi-Arabien, Kuwait und den Vereinigten Arabischen Emiraten könnten sich diese Aktionen nach der Tötung Soleimanis nun auch auf europäische US-Verbündete ausweiten.

Das iranische Außenministerium hat bereits den Geschäftsträger der deutschen Botschaft in Teheran wegen kritischer Äußerungen einbestellt. Die jüngste Ankündigung der iranischen Regierung, sich in einem weiteren Schritt von Verpflichtungen aus dem Atomabkommen (JCPOA) zurückzuziehen, deutet auf das iranische Kalkül hin, weiterhin Druck auf Europa auszuüben.

Deutschland muss bei IT-Sicherheit aufrüsten

Die aktuelle Bedrohungslage kann sich auch auf Deutschland auswirken, wenngleich sie momentan nicht akut ist. Das zeigt umso deutlicher, wie dringend notwendig es ist, dass Deutschland beim Thema IT-Sicherheit aufrüstet. In den USA warnte man schon mehrfach vor möglichen Cyberangriffen durch iranische Hacker auf Kritische Infrastrukturen (KRITIS) — auch deutsche KRITIS kann ein interessantes Ziel sein.

Es ist daher Zeit, dass die Bundesregierung das IT-Sicherheitsgesetz 2.0 verabschiedet, das deutlich höhere Sicherheitsanforderungen an Kritische Infrastrukturen stellt, diese umfassender definiert, „Infrastrukturen im besonderen öffentlichen Interesse“ hinzufügt und BSI-zertifizierte Mindeststandards für Hardware definiert. Ebenso wichtig sind die drastisch höheren Geldbußen und weiteren Befugnisse des BSI. Für eine wirkliche Durchsetzung von IT-Sicherheit und Vertrauen brauchen wir aber ein vom Bundesinnenministerium unabhängiges BSI.

Konsequent auf defensive Cyberabwehrstrategie setzen

Hackergruppen aus Iran nutzten bereits mehrfach Sicherheitslücken, unter anderem in Microsoft Office, um die USA und ihre Alliierten auszuspionieren. Auch jetzt müssen die USA und ihre Bündnispartner mit Spionageattacken, Datendiebstahl, Distributed-Denial-of-Service-Attacken (DDoS) und den bereits erwähnten Angriffen auf Kritische Infrastrukturen und Desinformationskampagnen rechnen. Ansätze für Propaganda-Aktionen im Netz finden sich bereits. Sie laufen etwa unter dem Hashtag „#hardrevenge“ und können auch für Amerikaner und Amerikanerinnen, Israelis und Israelinnen, Juden und Jüdinnen, sowie Exil-Iranerinnen und -Iraner hier in Deutschland gefährlich werden, wenn Regime-Anhänger hierzulande Anschläge verüben. Es sei an dieser Stelle an das Mykonos-Attentat in Berlin von 1992 erinnert.

Die sich überschlagenden Ereignisse im Nahen und Mittleren Osten, angetrieben vom USA-Iran-Konflikt, verdeutlichen nochmals die Dringlichkeit, mit der sich Deutschland mit der Bedrohung durch Cyberangriffe beschäftigen sollte. Dabei sollten wir ausdrücklich nicht sogenannte „Hackbacks“ in Betracht ziehen, sondern konsequent auf eine defensive Cyberabwehrstrategie setzen. Zudem sollte die Bundesregierung alle ihr zur Verfügung stehenden Mittel der Diplomatie einsetzen, um Iran von Vergeltungsschlägen aller Art abzubringen. Auch von Cyberangriffen.

Dieser Artikel erschien zusammen mit dem Politikwissenschaftler und Experten für US-Außenpolitik, Dr. Payam Ghalehdar, am 7. Januar 2020 als Gastbeitrag im Tagesspiegel Background Digitalisierung & KI

Read More
Digitale Bildung: Probleme lassen sich nicht lösen, wenn wir nur auf die Schulen schauen. Brauchen wir eine Bundeszentrale für digitale Bildung?

Verbreitung von Desinformation, fehlendes Bewusstsein für Cybersicherheit – bei Problemen im Digitalen fordern wir fast immer eine Sache: mehr Bildung. So weit so richtig. Der Umgang mit (digitalen) Medien, der sichere Umgang im Netz, die Gefahren von Identitätsdiebstahl, Doxing, Social Engineering, usw. müssen dringend Bestandteil schulischer Bildung sein. Vergessen dürfen wir hier auch nicht die beruflichen Schulen und Universitäten. Doch wir machen es uns zu leicht, wenn wir die teils enormen Probleme mit der Verbreitung von Desinformation und menschlichem Fehlverhalten vorm Computer auf “die jungen Leute” abschieben.

Die Generation Y lernte das Netz beim Aufwachsen kennen, die Generation Z wuchs und wächst digital auf. Für die Generation X, die Babyboomer und alle noch älteren hingegen, ist das Netz wirklich Neuland. Das soll gar nicht abwertend gemeint sein, aber sie sind diejenigen, die erst in späteren Lebensjahren gelernt haben, dass Gefahren im Netz lauern können, dass Menschen online deutliche einfacher und im hohem Maße Identitäten stehlen und sie missbrauchen können. Dass nun jeder Informationen erstellen und sie verbreiten kann und es keine Gatekeeper mehr gibt, die alleinig Informationen verbreiten können. Wenn wir also davon sprechen, dass wir uns mit Bildung vor Gefahren im Netz schützen müssen, dann müssen wir auch darüber sprechen, wie wir die breite Masse der Bevölkerung – eben alle, die schon im Arbeitsleben sind, oder bereits wieder aus ihm ausgeschieden sind – erreichen können. Schließlich ist die Altersgruppe von 45 bis 55 Jahre mit 86,8 Prozent die zahlenmäßig stärkste Alterskohorte unter den Erwerbstätigen und die von 55 bis 65 Jahre mit 71,5 Prozent die drittstärkste (Stand 2018). Legt man darüber die Zahlen des Bitkom, die zeigen, dass mittlerweile jeder zweite Arbeitnehmer einen Computer am Arbeitsplatz hat und jeder dritte ein mobiles Gerät mit Internetzugang, verdeutlicht sich nochmal das Problem.

Eine Studie der Universitäten Princeton und New York unter Amerikanern zeigte, dass Nutzerinnen und Nutzer soziale Medien über 65 sieben Mal so häufig Falschmeldungen teilen, als 18- bis  29-Jährige. Die Studie begründet dies mit mangelnder digitaler Medienkompetenz  und einem schlechteren Erinnerungsvermögen. Wenn man nun bedenkt, dass das größte soziale Netzwerk Facebook im Jahr 2017 einen Nutzerzuwachs von 23 Prozentpunkten bei über 60-Jährigen verzeichnen konnte (weltweit) und immer mehr Menschen über 60 WhatsApp nutzen (in Deutschland 52% der über 60-Jährigen, Stand 2017) und Falschnachrichten nicht nur über soziale Netzwerke, sondern insbesondere über Messenger eine zunehmende Verbreitung finden, dann stehen wir vor einer enormen gesellschaftlichen Herausforderung, die eben nicht lediglich mit Konzepten für schulische Bildung in der Zukunft gelöst werden kann.

Und Falschnachrichten in Form von Text sind schon heute nicht mehr das größte Problem. Manipulierte Bilder oder in falschen Kontext gesetzte Bilder grassieren bereits jetzt zu Hauf. Ebenso darf das Manipulationspotential durch Memes, Trolle und dergleichen nicht unterschätzt werden. Doch die viel größere Bedrohung steht mit sogenannten DeepFakes ins Haus: Manipulierte Videos, die Nacktaufnahmen bzw. pornografisches Material vornehmlich von Frauen darstellen, oder Aufnahmen, die mit neuem Ton und damit auch Inhalt unterlegt werden, wobei auch die Mimik des Sprechers verändert wird und so ganz neue, nie getätigte Aussagen entstehen können. Das Missbrauchspotential dieser Technologie ist riesig und der Fall eines verbreiteten manipulierten Video der amerikanischen Kongressabgeordneten Nancy Pelosi und dessen Weiterverbreitung von diversen Politikern unter anderem auf Twitter zeigt, dass Gesellschaften noch nicht bereit sind, für einen Umgang mit dieser Art der Desinformation. Für Ältere, die sich nicht tagtäglich mit digitalen Tools – sei es auch nur zum Spaß – beschäftigen, die demonstrieren, wie Bilder und Videos manipuliert werden können, ist dies ein erhebliches Problem. Jüngere Nutzer kennen dies häufig, und sei es nur durch Filter oder Ähnliches auf Instagram, Snapchat oder TikTok.

Wie also umgehen mit dieser Problematik? Wie so oft: es gibt kein Patentrezept. Es ist aber dringend angebracht, dass sich Politik, Zivilgesellschaft und auch Unternehmen mit dieser Problematik auseinandersetzen. Unternehmen sollten ein eigenes Interesse daran haben, dass ihre Mitarbeiter lernen, Desinformation und DeepFakes von echten Informationen zu unterscheiden. Verbreiten Mitarbeiter solche, kann das nicht nur dem Ansehen des Unternehmens schaden, es schadet auch der Sicherheit des Unternehmens, wenn Mitarbeiter dubiosen Informationen trauen und sich womöglich Schadsoftware einfangen. Die Politik könnte hier mit der finanziellen Förderung entsprechender Fortbildungen unterstützen.

Bildung ist aber auch ein staatlicher Auftrag. Warum also nicht über eine Bundeszentrale für digitale Bildung, analog zur Bundeszentrale für politische Bildung nachdenken? Thematisch gäbe es hier weitaus mehr, als die Themen Desinformation und Cybersicherheit. Datenschutz bzw. der Umgang mit Daten wird immer essentieller. Von den Datenspuren durch surfen im Netz bis hin zum Umgang mit den eigenen, hochsensiblen Gesundheitsdaten. Vom Verständnis über Algorithmen bis hin zu Künstlicher Intelligenz. Themen gäbe es genug und ihre Bedeutung nimmt rasant zu.

Finnland hat dies schon erkannt und führt umfassende Bildungsmaßnahmen durch. Das Land hat durch die Grenze zu Russland schon seit Jahrzehnten mit Desinformationskampagnen zu kämpfen und daher eine ganzheitliche, nachhaltige Strategien entwickelt, um Finnlands Bürgerinnen und Bürger dagegen zu immunisieren. Manipulation durch Desinformation wird hier als ein gesamtgesellschaftliches Problem gesehen, gegen das man bereits im Kindergarten, aber auch und vor allem in späteren Lebensjahren vorgehen muss. “It’s not just a government problem, the whole society has been targeted. We are doing our part, but it’s everyone’s task to protect the Finnish democracy,” sagt zum Beispiel Jussi Toivanen, der Erwachsene in Finnland unterrichtet. Doch auch bei der breiten Aufklärung über Künstliche Intelligenz ist Finnland Vorreiter. Ein Pilotprojekt sollte ein Prozent der Finnen Grundlagen über Künstliche Intelligenz vermitteln.Die ersten Teilnehmerinnen und Teilnehmer wurden zufällig ausgewählt. Das Thema wurde digital und niedrigschwellig vermittelt, sodass es jede und jeder verstehen kann. Der Ansatz dahinter: wenn Menschen die Prinzipien von Künstlicher  Intelligenz verstehen, haben sie weniger Angst vor ihr und mehr Interesse an dessen Nutzung und damit auch der Ausgestaltung. Das Vorhaben ging auf. Heute ist der Kurs für jeden zugänglich und kostenlos nutzbar. Unternehmen und der Staat nutzen ihn, um Mitarbeiterinnen und Mitarbeiter fortzubilden, aber auch das Interesse unter den Bürgerinnen und Bürgern, die bisher keinen beruflichen Bezug zum Thema hatten, ist enorm. Ein wichtiger Schritt für Finnlands Ziel, Europas Nummer eins in der KI-Forschung zu werden.

Eine ähnliche Bildungsstrategie braucht es auch für Deutschland, denn die Probleme werden nicht weniger. Bei unserem EU-Partner können wir dafür genügend Inspiration und Lösungsansätze finden. Wichtig ist nur, dass sowohl Politik, als auch Zivilgesellschaft und Unternehmen anerkennen, dass fehlende digitale Bildung kein Problem von jungen Menschen ist, sondern von uns allen.

Dieser Artikel erschien zuerst bei der Friedrich-Naumann-Stiftung für die Freiheit.

Photo by Nicole De Khors from Burst

Read More