IITR Datenschutz Blog

Ideengeschichte des Privacy by Design – Teil 3: Entwicklungswege

06.09.2016

IITR Information[IITR – 6.9.16] Als bis 2001 dies- und jenseits des Atlantiks eine hartnäckige Debatte um die Regulierung und Zähmung von Kryptografie tobte, kam es zu einigen wichtigen Weichenstellungen in der Forschung. Einige Entwicklungstracks konnten bis in die Gegenwart fortgeführt werden, andere wurden bereits in der Vergangenheit in Abstellgleise umgewandelt.

Datenschutz wird zum technischen Standard

Eine erfolgreiche Weichenstellung fand im Rahmen einer mühsamen, aber zähen Standardisierungsarbeit statt: Motiviert vom Volkszählungsurteil des Bundesverfassungsgerichts von 1983 befasste sich beispielsweise der Wirtschaftsinformatiker Kai Rannenberg in seiner Diplomarbeit damit, wie Datenschutz und Sicherheit in das ISO-OSI-Referenzmodell integriert werden können. Es war ein Hack ideeller Art, als der Datenschutz schließlich in einer Privacy-Klasse in den internationalen Common Criteria verankert wurde, die zur Überprüfung der Sicherheit von IT-Systemen weltweit verwendet werden. Rannenberg: „Es ging darum die Kriterien der Unbeobachtbarkeit, Nichtverkettbarkeit und Anonymität und Pseudonymität reinzubringen, die fehlten in den Kriterien.“

Kleine, aber wichtige Stellschrauben wurden in der deutschen Standardisierungsorganisation DIN und dem entsprechenden internationale ISO/IEC-Komitee (JTC 1/SC 27/WG 3) gedreht. Heute hält Kai Rannenberg den von der Deutschen Telekom gestifteten Lehrstuhl für „Mobile Business & Multilateral Security“ an der Universität Frankfurt, wo er sich noch immer federführend mit Standardisierungsarbeiten befasst.

In der Folge mussten sich auch klassische IT-Sicherheits-Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf einmal mit Fragen des Datenschutzes befassen. Die Transparenz ist in den Common Criteria über diverse Vorgaben im Grunde auch enthalten, allein das Kriterium der Intervenierbarkeit fehlt noch. Eine entsprechende Diskussion wird aber derzeit nicht geführt. Die Intervenierbarkeit kann über die Definition von individuellen Schutzprofilen eingebracht werden.

Ein weiterer wichtiger und logischer Schritt war es, als Rannenberg gemeinsam mit dem Sicherheitsforscher Andreas Pfitzmann das Konzept der „mehrseitigen Sicherheit“ entwickelte, wobei Pfitzmann Chaums Begriff „multi party security“ einbrachte, der sich in der Krypto-Community etabliert hatte. Bis dato wurde bei der Überprüfung, ob ein System sicher war, nur die Beziehung zwischen dem Betreiber eines Systems und des Systems betrachtet – nicht aber die Beziehung zwischen System und Nutzer. Bankautomaten beispielsweise wurden dahingehend geprüft, dass sie exakt das geforderte Geld auszahlten. Dabei verlangt der Geldautomat vom Nutzer eine Authentisierung (Karte + PIN), authentisiert sich selbst gegenüber dem Nutzer aber nicht und belegt auch seine eigene Fehlerfreiheit nicht. Damit funktioniert der Angriff über gefälschte oder manipulierte Geldautomaten.

Wendungen und Widerstände

Bis Ende der 90er Jahre wurde Pfitzmann auch vom BSI, das sich damals mit einer Beratung für Bürger im zivilen Bereich aufstellte, immer wieder zu Expertentreffen eingeladen. Mit der guten Beziehung war es jedoch jäh vorbei, als Pfitzmann die nach den Anschlägen vom 11. September geplante Einbeziehung von Fingerabdrücken in Ausweisen massiv kritisierte, da ein massenhafter und unter Umständen manipulativer Gebrauch diese als verlässliches Sicherheitsmerkmal zwangsläufig diskreditiere. Das BSI lud ihn sogar vom BSI-Kongress aus, auf dem Pfitzmann bis dahin ein geschätzter Gast war. Die Politik versuchte damit Pfitzmann auf ein Abstellgleis zu schieben.

Foto: liebeslakritze, Lizenz: CC SA 2.0.
Foto: liebeslakritze, Lizenz: CC SA 2.0.

Zuvor hatte es bereits Friktionen im Zusammenhang mit dem AN.ON-Projekt gegeben, das Pfitzmann gemeinsam mit den schleswig-holsteinischen Datenschützern aufgesetzt hatte und das zunächst sogar vom Bundeswirtschaftsministerium gefördert wurde. Im Rahmen des Projekts wurde ein auf David Chaums Mix-Netzen basierender Dienst entwickelt, der anonymes Surfen ermöglichte. Insbesondere Strafverfolger kritisierten das Projekt, da Straftäter es für illegale Zwecke nutzen würden. Schließlich kam es zum Gerichtsverfahren, da das Bundeskriminalamt die Herausgabe von Nutzerdaten forderte – aber vergeblich. Helmut Bäumler erinnert sich: „Wir suchten damals mit dem Projekt gezielt den Konflikt mit der Polizei und fochten das durch.“

Hannes Federrath, der bei Pfitzmann promoviert hatte und heute Informatikprofessor an der Universität Hamburg ist, war für die Umsetzung auf technischer Seite zuständig. Aus seiner Schilderung des Interessenskonflikts wird deutlich, dass es den Technikern nie nur um abstrakte Technik ging. So sagt er: „Letztlich ist es eine Frage, wie wir unsere Gesellschaft gestalten wollen: Freiheit birgt Risiken ­ hierzu zählt auch, dass Kriminelle Straftaten begehen können, die möglicherweise durch den Schutz der Privatheit schwerer aufklärbar sind.“ Andererseits würde es bei einem völligen Verzicht der Bürger auf Privatheit weiterhin Kriminalität geben. Federrath: „Die abschreckende Wirkung von Überwachung ist also begrenzt, zusätzlich werden sich die Menschen unfrei fühlen und wir haben unsere freiheitlich­demokratische Grundordnung aufgegeben.“

Blockaden…

Federrath hatte schon im Rahmen seiner Dissertation (Sicherheit mobiler Kommunikation. DuD Fachbeiträge, Vieweg, Wiesbaden 1999) schmerzlich feststellen müssen, dass eine gute Grundlagenforschung nicht unbedingt eine erfolgreiche Umsetzung nach sich ziehen muss. So hatte er nachgewiesen, dass es technisch auf effiziente Weise möglich ist, mobil zu telefonieren und ohne dabei Standortdaten zu generieren. Die Mobilfunkhersteller waren an dem Konzept jedoch zu keiner Zeit ernsthaft interessiert.

Federrath: „Das Unbefriedigende an diesem Thema war, dass es zu einem Zeitpunkt von mir bearbeitet wurde, an dem gerade die Telekommunikationsüberwachungsverordnung (TKÜV) verabschiedet wurde und alle Netzbetreiber nur eines im Sinn hatten: Wie können wir verhindern, dass nicht wir die Kosten für den Einbau der Überwachungsfunktionen tragen müssen?“ Er argumentierte damals „dass es technisch möglich ist, ein Netz so zu bauen, dass diese Daten, also die Aufenthaltsorte, nicht mehr gespeichert werden müssen, folglich auch nicht mehr herausgegeben werden können, folglich die TKÜV leerläuft. Aber es hat nichts genützt. Ich war halt noch viel zu jung und naiv.“ Die Forschungsergebnisse landeten aus politisch-gesellschaftlichen Gründen auf dem Abstellgleis.

… und Lawinenauslöser

Kryptoforschung kann aber auch unvorhersehbare Wirkungen entfalten. Nachdem Scientologen es 1996 per Gerichtsbeschluss geschafft hatten, den Namen eines Kunden des anonymen Remailers anon.penet.fi zu enthüllen, der vertrauliche Dokumente veröffentlich hatte, überlegte sich der britische Forscher Ross Anderson ein Konzept, das jede Art von „digitaler Bücherverbrennung“ verhindern sollte. Er nannte es etwas unbescheiden „Eternity Service“.

Foto: TCM1003, Lizenz: CC SA 2.0.
Foto: TCM1003, Lizenz: CC SA 2.0.

Doch das Eternity-Konzept zeigte ganz anders als gedacht seine Wirkung: Es inspirierte die Entwicklung von Peer-to-Peer-File-Sharing-Systemen, die schließlich die gesamte Musikindustrie ins Wanken bringen sollten. Anderson rückblickend: „Manchmal fühlte ich mich wie ein Skifahrer, der eine Lawine ausgelöst hat und dann mit grauenvoller Faszination beobachtet, wie sie ins Tal donnert.“ Weithin unbekannt ist, dass Jahre später auch Wikileaks sein System auf dem „Eternity Service“ aufsetzte. Mit der Veröffentlichung der diplomatischen Depeschen erfüllte das Eternity-Konzept dann wieder seinen ursprünglichen Zweck, womit es andere Ketteneffekte auslöste.

„Bescheidene Menschen“

„Wir sind alle bescheidene Menschen“ ist ein Satz, den man als Medienvertreter immer wieder von den verschiedensten Akteuren hören kann – seit Jahren. Das ist möglicherweise wahr, aber wohl eher kokett. Denn über die Wirkung und die Bedeutung seiner Arbeit ist sich jeder bewusst so wie jedem auch das schwierige politische Umfeld klar ist. Die meisten haben eine höchst persönliche Motivation für ihr Engagement.

Borking etwa wurde durch die Erfahrungen der deutschen Besetzung der Niederlande im Zweiten Weltkrieg geprägt: „Weil wir exzellente Registraturen hatten, konnten viele Menschen während der Besetzung ganz leicht selektiert werden“, sagt er und „das soll nie mehr passieren können.“ Dass ausgerechnet niederländische und deutsche Datenschützer einen derart großen Anteil bei der Entwicklung von Privacy by Design hat, lässt sich sicherlich auf diese historischen Erfahrungen zurückführen.

Die Nationalsozialisten setzten für statistische Aufgaben aller Art Hollerith-Lochkarten-Maschinen von IBM ein, unter anderem auch in den Niederlanden. Die Genfer Filiale sah IBM damals als „Clearingstelle zwischen den lokalen Organisationen in verschiedenen Ländern und der Zentrale in New York“. Der Historiker und Buchautor Edwin Black sagt, IBM habe “hauptsächlich durch ihre deutsche Tochtergesellschaft Hitlers Programm der Judenvernichtung zu einer technologischen Mission (gemacht), die das Unternehmen mit erschreckendem Erfolg durchführte”.

Die öffentliche Zurückhaltung der Datenschutz-Pioniere im Web und Social Media ist nicht etwa damit zu begründen, dass die Bedeutung von Social Media in Datenschutzkreisen nicht erkannt wurde. Das Gegenteil ist der Fall: Die Geschichte der Kryptografie und des Datenschutzes ist gespickt mit Rückschlägen. Geht man öffentlich zu forsch voran, riskiert man durch Fehlschläge an Reputation zu verlieren. Oder man wird allzu rasch zurückgepfiffen und ausgebremst. So lehnte etwa ein Experte es ab den ENISA-Bericht über Privacy by Design für diese Serie zu kommentieren, da „wenn die Bedeutung des Berichts öffentlich erkannt werden würde, die Lobbyisten nur umso hartnäckiger versuchen würden, ihn zu relativieren“.

Auch der nicht zu negierende Kollegenneid kann bremsende Wirkung haben. Helmut Bäumler etwa freute sich zwar darüber, dass er 2001 in meinem Buch „Datenjagd. Eine Anleitung zur Selbstverteidigung“ oft zitiert wurde. Er fürchtete aber, dass das Eifersucht hervorrufen könnte, die ihm das Leben schwermachen würde. Deshalb hätte er sich noch mehr gefreut, so sagte er mir, wenn ich auch seine Kollegen öfter nach ihrer Meinung gefragt hätte. Auch Bäumler zählt zu den „bescheidenen“ Menschen: Bis heute hat er keine Homepage und keinen Social Media-Account, obwohl auch er immer noch die Debatten verfolgt.

Zu seinen letzten publizistischen Aktivitäten zählt übrigens die Rezension eines Buchs über „Gärten, Parkanlagen und Kommunikation”. In der Toskana widmet er sich bis heute dem Anbau von Oliven und Wein – und – wie auch früher, nur auf einer anderen Ebene – dem Beseitigen schwerer Steinbrocken.

Autorin:
Christiane Schulzki-Haddouti

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Beitrag teilen:

7 Kommentare zu diesem Beitrag:

EinDSB

Vielen Dank für diese erhellenden, großartigen Ausführungen. Der Autorin seien möglichst viele interessierte Leser gewünscht...

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif