eZürich PolitTalk Digitales Zürich #9 – Sicherheit der Nutzerinnen und Nutzer im Fokus

Die Diskutierenden am PolitTalk Digitales Zürich

Nachdem am PolitTalk im Januar der Frage «Brauchen wir ein Notfallset für digitale Krisen» das Thema digitale Sicherheit aus der Perspektive von Institutionen und Infrastrukturen nachgegangen wurde, standen beim PolitTalk #9 vom 9. Juni die User im Zentrum der Diskussion. Es handelte sich dabei um den ersten PolitTalk, der live gestreamt wurde.

Nach einer kurzen Vorstellungsrunde durch Moderator Beat Glogger steigt Barnaby Skinner, Datenjournalist und Head of Visuals bei der Neue Zürcher Zeitung, mit einer Demonstration ein, die zeigt, welche Sekundärdaten einfach und auf legalem Weg zu einer Person oder einem Thema in wenigen Minuten zusammengetragen werden können. Während Primärdaten beispielsweise durch das Bundesamt für Statistik erhoben werden, bilden Sekundärdaten den Grundstoff für Open Source Intelligence. Dazu gehören die Personendaten, die in den Netzwerken des Internets gesammelt werden können.

Über das OSINT-Framework, das online kostenlos verfügbar ist, trägt Barnaby Skinner Informationen zusammen und macht am Beispiel von Beat Glogger überraschende Verbindungen zu ihm und weiteren Personen sichtbar. Im Vergleich zu Google und anderen bekannten Suchmaschinen durchforsten die Tools, die Skinner benutzt, auch das Deep Web und graben dort Informationen auch auf so genannten Dumps aus, wo gehackte E-Mail-Konten samt Passwörtern sichtbar sind. Die kurze Demonstration provoziert beim Moderator die Frage: «Wovor fürchten sich die Experten am meisten?»

Für Thomas Gresch, TX Group CTO (vormals TA Media) und Login-Allianz, wäre es ein Leck im Passwort-Safe und damit der Zugang zu seinen E-Mail- und anderen Online-Konten. Ähnlich sieht es Katja Dörlemann, Awareness Specialist, Security Universities & Registry Switch, wobei sie mittels Manipulation auf sie als Person getrimmte Fake News als Schreckensszenario beschreibt. Die Vorstellung, dass aufgrund persönlicher Daten entsprechende Inhalte generiert werden, um sein Verhalten zu beeinflussen, findet auch Barnaby Skinner beunruhigend. Vergleichsweise gelassen sieht es Prof. Dr. Florent Thouvenin, Lehrstuhl für Informations- und Kommunikationsrecht, Universität Zürich. Für ihn ist die Sicherheit online generell ein Thema. Was aber persönliche Daten anbelangt, hält der Jurist fest, gibt es kein Eigentum an Daten. Das wird zwar in der Umgangssprache immer wieder thematisiert, aber juristisch gesehen, besteht es nicht. In 90 Prozent der Fälle sind es Unternehmen, die darüber entscheiden, ob Daten bearbeitet werden oder nicht. Der Nutzer wird dazu nicht mehr gefragt.

Covenience gewinnt (fast) immer

In der Diskussion zeigt es sich auch klar, dass wenn es bei den Nutzerinnen und Nutzern um die Wahl zwischen Komfort und Sicherheit geht, die Bequemlichkeit eigentlich immer gewinnt. Diesen Umstand macht sich die Login-Allianz in der Schweiz zu Nutze. Vor einigen Monaten wurde angekündigt, dass sich Interessierte künftig auf den Websites von Ringier, Tamedia, NZZ, CH Media und SRG registrieren müssen. Nach erfolgter Registrierung erhalten die Verlage Angaben dazu, wie sich die Nutzerinnen und Nutzer verhalten und wofür sie sich interessieren. Gemäss Thomas Gresch soll mit den erhobenen Daten die User Experience verbessert werden. Zu dieser zählen gezielte Werbung und auch inhaltliche Vorschläge. Nach 60 Tagen wird die Browsing-History, der Nutzungsverlauf, gelöscht.

Doch wann ist es des Guten zu viel? Für Katja Dörlemann ist die Grenze dort erreicht, wenn der dahinter liegende Mechanismus nicht mehr nachvollziehbar ist und sich für die Betroffenen die Frage stellt: «Warum wird mir dieser Artikel angezeigt?»

Florent Thouvenin erinnert daran, dass Werbung seit jeher als manipulativ eingeschätzt wurde und die Menschen lernen mussten, damit umzugehen. Jetzt sind wir im digitalen Zeitalter wieder an diesem Punkt angelangt. Der Jurist warnt vor dem Wunsch, alles im Rahmen des Datenschutzrechts zu regulieren, denn das Gesetz «denkt» nicht nach, ob es der Kunde beispielsweise schätzt gezielte Werbung zu erhalten oder wie er vor Manipulationen zu schützen sei.

Mehr Aufklärung tut Not

Wie komplex die Situation sich in Zusammenhang mit digitalen Lösungen präsentieren kann, zeigt das Beispiel der Tracing-App, die helfen soll, eine zweite Corona-Welle zu verhindern. Auf der einen Seite dienen die erhobenen Daten der Warnung vor einer möglichen Ansteckung durch eine Person, mit der man kürzlich in Kontakt war. Auf der anderen Seite können die gesammelten Informationen auch missbraucht werden, wie dies in den USA die Polizei kürzlich tat, um Demonstranten zu identifizieren und zu verfolgen, die an den «Black Lives Matter»-Protesten teilgenommen hatten. Wie Bürgerinnen und Bürger vor einem solchen Hintergrund abwägen sollen, ob sie sich für oder gegen die Nutzung einer Tracing-App entscheiden, ist alles andere als einfach.

Das Beispiel der Tracing-App hat aber noch etwas anderes gezeigt: Die Macht von Firmen wie Google und Apple, die de facto dem Schweizer Staat diktiert haben, wie diese App zu gestalten ist und unter welchen Bedingungen sie ihre Schnittstellen zur Verfügung stellen werden. Dieser Mechanismus und die Machtballung werfen für Florent Thouvenin Fragen auf.

In Anbetracht der Komplexität der Thematik darf die Verantwortung nicht allein auf die Bürgerinnen und Bürger abgeschoben werden, waren sich die Anwesenden einig. Doch in vielen Fällen fehlt schlicht das Wissen über die Folgen des Online-Verhaltens oder die Nutzung von alltäglichen technischen Hilfsmitteln wie Passwort-Safes. Deshalb tut Aufklärung Not.

Für Katja Dörlemann könnte dies in Form einer vertrauensvollen Anlaufstelle geschehen, eine Art MELANI (Melde- und Analysestelle für Informationssicherung des Bundes) für jedermann und -frau. An diese Stelle könnten sich Personen mit Fragen wenden, wenn der Computer «nicht mehr richtig tut» zum Beispiel als Folge einer Phishing-Attacke. Weiter sehen Dörlemann und Gresch die Schulen in der Pflicht, die Medienkompetenz der Schülerinnen und Schüler zu fördern, damit nicht länger Passwörter wie «1234» eingesetzt werden und die Nutzung eines separaten Browser fürs E-Banking eine Selbstverständlichkeit werden wie auch die Zwei-Faktoren-Identifikation beim Login ins E-Mail-Programm.

Auch auf einer politischen Ebene wurde mehr Aufklärung gefordert beispielsweise beim Thema «E-Voting». Sowohl Thomas Gresch, als auch Barnaby Skinner halten das System für zu komplex und deshalb knackbar. Verschiedene Staaten verfügen über Heerscharen von Hackern, die E-Voting-Systeme angreifen und manipulieren können. Sich davor zu schützen, ist praktisch unmöglich. In diesen Belangen liege die Verantwortung beim Staat. Er hat die Bürgerinnen und Bürger nicht nur aufzuklären, sondern muss auch für sichere Wahlmöglichkeiten sorgen, die nicht von Dritten manipuliert werden können. Darum sollte mit E-Voting nicht vorgeprescht werden, wie dies aktuell geschehe.

Erstmals fand der PolitTalk, der wiederum in Zusammenarbeit mit dem Staatslabor, der Digital Society Initiative der Universität Zürich durchgeführt wurde, nicht vor Publikum statt, sondern wurde Corona-bedingt live gestreamt. Die Aufzeichnung können Sie hier abrufen.

Der nächste PolitTalk findet im Januar 2021 statt.

Kontakt

Amt für Wirtschaft und Arbeit – Standortförderung

Für dieses Thema zuständig: