Kommentar: Was wirklich neu ist an Tempora und Prism

Nachhaltigkeit bezieht sich, so höre ich immer wieder, nicht nur aufs Ökologische, sondern auch auf soziale und ökonomische Zusammenhänge. Deshalb erlaubt sich nachhaltige IT nun einmal einen Kommentar zu aktuellen datenschutzrechtlichen Enthüllungen und Debakeln, sprich Prism 1, Prism 2 und Tempora. Die Freundinnen eines rein ökologischen Nachhaltigkeitsbegriffs mögen es verzeihen.
Derzeit wird viel darüber geredet, was wirklich neu ist an Tempora und PRISM. Neu ist zum einen: Während Echelon in den Neunzigern noch gelindes Erstaunen auslöste, tun Tempora und Prism das wohl nur noch bei denen, die eigentlich am ehesten davon wissen sollten: bei Presse, Medien und pflichtschuldigst empörten Politikern. Noch kein Durchschnittsmensch im meinem Bekanntenkreis war in irgendeiner Hinsicht überrascht über die Enthüllungen. „Das war doch klar“, „Das ist nun mal so“, „Sollen sie doch, die können mit den vielen Daten sowieso nichts anfangen“, das sind drei sehr häufige Standardantworten. Festzustellen ist also: Bürgerinnen haben sich seit den Neunzigern von ihren Bürgerrechten verabschiedet und schon so sehr an den Gedanken gewöhnt, keinerlei Privatsphäre mehr zu haben, dass sie das in der Regel nicht mehr verwundert. Und das ist eine echte Innovation.
Tatsächlich lassen sich die Spuren dieser Haltung bis zu Echelon zurückverfolgen. Viele ahnten oder wussten, dass es so was gab. Und nachdem es mehr oder weniger bekannt war, machten sich viele einen Spaß daraus, einfach am Anfang jedes noch so harmlosen Telefonats die Worte Bombe, Terror oder Ähnliches zu sagen, und erst dann das wirkliche Gespräch zu beginnen. Wir fanden das witzig.
Da gab es aber noch kein Big Data. Und hier kommt das zweite Neue: Neu ist nämlich nicht, dass alles Mögliche abgehört wird, sondern dass man dank neuartiger Technologien, die es erst wenige Jahre überhaupt gibt, Möglichkeiten hat, diese Datenmassen nahezu größenunabhängig so zu analysieren, dass man tatsächlich Antworten auf alle möglichen legalen oder auch illegalen Fragen erhält. Das hatte man vor 2001 noch nicht, und deshalb stimmte auch die Vorstellung, dass man in dem riesigen Daten-Heuhaufen ohnehin nichts finden konnte und wenn man etwas fand, dieses garantiert nicht richtig mit anderen Informationen korreliert wurde.
Das gilt heute nicht mehr. Die Big-Data-Technologien machen es möglich, jeden noch so riesigen Datenhaufen mit beliebigen anderen Datenhaufen in Verbindung zu setzen und haargenaue Schlüsse bis hinab auf die Ebene von Einzelpersonen zu ziehen. Das mag in Hinblick auf die Terrorfahndung segensreich sein, ansonsten ist es aber nur erschreckend. Und insofern sollten auch die Verfechter der Leck-mich-am-Arsch-Haltung („Ich mache ja nichts Böses, warum sollte ich Angst vor den Datensammlern haben?“) ihre Haltung nochmal gründlich überdenken. Denn Daten geraten gern einmal in Hände, für die sie anfänglich nicht gedacht waren. Das zeigen täglich Berichte über Datenlecks, Steuer-CDs (ausnahmsweise segensreich für die Zivilgesellschaft), Kreditkartenbetrügereien etc. Und irgendjemand betreibt im digitalen Untergrund wahrscheinlich längst für Geld auf Zeit anmietbare Analysesysteme, sprich: Big Data, mit dem einzigen Ziel, dass Untergrundakteure etwas herausfinden können, das dann dazu dient, Cyber-Betrügereien oder Schlimmeres am Rest der Menschheit zu verüben. Die Zeit der undurchsichtigen Heuhaufen ist vorbei. Deshalb muss Transparenz über alle Überwachungsvorgänge auf dem Gesetzeswege erwirkt werden, am besten weltweit, und wenn das nicht geht, dann wenigstens in Europa.
Dem würde es, sorry BITKOM und BDI, auch gut tun, wenn es eine Meldepflicht für Cyber-Angriffe gäbe. Dass BITKOM dagegen ist, kann man ja irgendwie noch nachvollziehen. Denn schließlich sind die Produkte der in BITKOM vertretenen Firmen, also IT-Systeme samt Software, Angriffsziel und (bei erfolgreichen Angriffen) untaugliches Verteidigungsmittel in einem. Dass aber die übrige Industrie sich vorbehalten möchte, was sie meldet und was nicht, ist schon merkwürdig. Man stelle sich vor, die Ermittlung bei Diebstahl, Betrug oder Raubüberfällen wäre ins Ermessen des Beraubten oder Betrogenen gestellt. Das entspricht so ungefähr den Rechtsvorstellungen des Industrieverbandes und damit eher denen des wilden Westens als denen eines zivilisierten Landes, wo jede Untat ihren Richter finden muss.