Mehr Staat fürs Netz

Sollte man Entscheidungen über Krieg und Frieden der Rüstungsindustrie überlassen? Sollten Energieunternehmen die Umweltpolitik steuern? Wohl kaum. Hauptaufgabe von Unternehmen ist es, Gewinne zu generieren. Und dieses Interesse muss nicht immer im Einklang stehen mit den Interessen einer ganzen Gesellschaft. Wenn das Gewinnstreben von Unternehmen Schäden verursacht, dann müssen Regierungen regulierend eingreifen.
Genau das sollten sie auch im Bereich IT und Internet tun, denn schon seit Jahrzehnten handelt die IT-Industrie ganz klar auf Kosten von Sicherheit und Privatsphäre. Bestehende Unsicherheiten in den Basistechnologien hat man nur allzu willig hingenommen. Jeder normale Computer weist nicht nur „ein dreckiges Dutzend“ Schwachstellen auf, die beispielsweise für Spionagezwecke oder von Cyberkriminellen ausgenutzt werden können – sondern es gibt zehntausende Schwachstellen, die sich niemals beseitigen lassen. Das ist ein klassisches Beispiel von Marktversagen, denn der Einbau von mehr Sicherheit hätte der eindrucksvollen Steigerung bei der Leistungsfähigkeit und Geschwindigkeit von Computern im Wege gestanden. Aber weil diese Eigenschaften so wichtig sind und einen schnelleren Markteintritt garantieren, fiel die Entscheidung gegen die Sicherheitsmaßnahmen aus. Die Kosten dieser Nachlässigkeit – nicht für die Industrie, sondern für die Kunden – würden ja erst in ferner Zukunft relevant werden.
Weil Sicherheit in den vergangenen Jahren nie die oberste Priorität genoss, haben wir jetzt mit einem Berg von sicherheitsfeindlichen Pfad­abhängigkeiten zu leben. Einige Computerexperten bezeichnen das – mit gesenkter Stimme und hinter vorgehaltener Hand – als „das Vermächtnis“. Der Bereich der Privatsphäre wurde sogar ganz bewusst vernachlässigt. Denn so wurde aus einem schützenswerten Gut eine Ressource, die angebohrt, abgebaut und wie Goldstaub genutzt werden kann. Man mag vielleicht schockiert sein über die Datenmengen, die die NSA gesammelt hat. Aber niemand hat auch nur eine Ahnung davon, wie viel die in diesem Punkt weit schlimmere Privatindustrie über uns weiß. Es dürfte ziemlich nahe an „100 Prozent“ liegen.

Viel Spaß, wenig Verantwortung

Das ist ein inakzeptabler Zustand, doch jetzt böte sich eine Chance für Korrekturen. Dank der zahlreichen Leaks wissen wir, dass etwas völlig falsch läuft – und das ist eine ganz neue Situation in der Geschichte der IT-Sicherheit. Allerdings stoßen wir schon hier an ein grundsätzliches Problem: Das wichtigste Format internationaler staatlicher Entscheidungsfindung im IT-Bereich, die Internet Governance, wird von der IT-Industrie selbst dominiert, denn es ist als „Multistakeholder“-Prozess angelegt.
Entscheidungsfindungen werden mit großen politischen Konferenzen vorbereitet und durchgeführt, an denen jeder – NGOs, Wissenschaftler, Techniker oder Unternehmen – teilnehmen kann, der ein „berechtigtes Interesse“ an diesem Thema hat. Die diesjährige Großveranstaltung hat mit der „NETMundial“ gerade im brasilianischen São Paulo stattgefunden; auf der Tagesordnung standen wichtige Themen wie Privatsphäre und Sicherheit in der Post-Snowden-Ära und die Entwicklung neuer Modelle zur Regulierung des IT-Bereichs und des Internet. Zu den Teilnehmern gehörten auch wichtige Regierungsvertreter.
Die Befürworter dieses Formats für die Internet Governance sind davon überzeugt, dass es für die anstehenden Aufgaben gut geeignet ist, denn es sei ja integrativ, flexibel und superdemokratisch. Jeder, der zum Internet beiträgt, hat schließlich auch an dessen Weiterentwicklung beteiligt zu sein. In erster Linie geht es um Innovation und Kreativität. NGOs bringen zivilgesellschaftliche Themen ein; die eher langsamen, nicht besonders technikaffinen Staatsdinosaurier sitzen ihre Zeit einfach ab und können die Evolution dieses fabelhaften Wunders von Freiheit und Aufklärung nicht durch lästige Bedenken und politisches Taktieren blockieren. Außerdem gibt es fantastische Partys; die Teilnehmer, so hört man, haben viel Spaß.
Aber ist das alles verantwortungsvoll? Wohl kaum. In einer Situation wie dieser, in der Wohlstand, Sicherheit und Freiheit der Bürger durch immer umfassendere Cyberspionage und Cyberkriminalität bedroht werden, müssten normalerweise Regierungen den Kurs bestimmen und die Interessen ihrer Bürger nachdrücklich vertreten (zumindest in den Demokratien). Aber genau das geschieht eben nicht. Doch da Internet Governance als Multistakeholder-Prozess angelegt ist, fällt die IT-Industrie die meisten Entscheidungen. Der Einfluss von Regierungen oder von Politik überhaupt ist hingegen kaum erkennbar.
Die Industrie ist sehr geschickt darin, Themen zu setzen (woran grundsätzlich nichts zu kritisieren ist), aber eben auch darin, das fehlerbelastete Erbe aus der IT-Entwicklungszeit zu tolerieren oder gar zu fördern und mit unnötigen Verkomplizierungen Ungewissheit in allen übrigen Bereichen zu verbreiten. Genau dafür sind Multistakeholder-Konferenzen der perfekte Mechanismus. Mit welchen Problemen haben wir es also zu tun?

Keine ausgefallenen Ideen, bitte!

Erstens sind Regierungen – insbesondere aus den weniger industrialisierten Ländern – kaum in der Lage und daher auch nicht gewillt, dieses Feld zu regulieren. Viele Entscheider sind Regierungsbeamte, die oft eher zögerlich sind, häufig die Abteilungen wechseln und meist eine juristische Ausbildung, aber kaum Qualifikationen in Sachen IT haben, von einer besonderen Affinität zum Thema ganz zu schweigen.
Den meisten Politikern stehen nicht einmal technisch versierte Berater zur Seite. Deshalb verfügen sie beim Thema „Internet Governance“ nicht über Expertenwissen, schon gar nicht, wenn es um die subtileren Fragen der IT-Industrie­politik geht. Weil eine echte Affinität für das Thema fehlt, neigen sie dazu, sich auf externe Empfehlungen zu stützen, die scheinbar auf breitem Konsens beruhen – und stören so nicht den Betrieb mit „abwegigen“ Vorschlägen.
Zweitens legt die IT-Industrie für gewöhnlich fest, was „technisch möglich“ oder „realistisch“ ist und was nicht. Ihre Vertreter sind stolz darauf, dass sie ihre Expertise den technisch nicht Versierten aus der Politik mit leicht verständlichen Erklärungen zur Verfügung stellen können, die das dann dankend als Sammlung neutraler Fakten annehmen. Meist übernehmen sie diese simplen Analogien und Erklärungsmuster sogar fast wortwörtlich. Experten wissen dann sehr schnell, von wem die Politiker gebrieft wurden. Mit einer schlichten Tatsache aber sind die meisten nicht vertraut. Gerade im IT-Bereich ist technisch alles möglich. Eine Technologie, die nicht funktioniert, baut man einfach so um, dass sie funktioniert, selbst, wenn das hohe Kosten verursachen mag und die für das „Vermächtnis“ verantwortlichen Entwickler sich gewiss nicht mit dieser Idee anfreunden können. Aber auf Multistakeholder-Konferenzen kommen solch unkonventionelle Ideen nie auf. Schon aufgrund des „Briefings über technische Möglichkeiten“ reicht der Wissenshorizont von Politikern gewöhnlich gar nicht so weit.
Drittens stehen einige der scheinbar unabhängigen Stimmen, die nicht aus dem Privatsektor stammen, tatsächlich in einer Abhängigkeitsbeziehung zu diesem. Sie benutzen oder mögen dessen Technologien, waren selbst Teil der Industrie oder werden von ihr beschäftigt oder gesponsert. Um das zu erkennen, muss man sich nur auf der NETMundial umsehen. Diese Verbindungen bestehen bei einigen der dort vertretenen NGOs und auch die High Level Working Group scheint nicht ganz unvoreingenommen zu sein. Neben den Regierungsvertretern, die sich dort treffen, gibt es je drei Teilnehmer aus Zivilgesellschaft, Privatsektor, Wissenschaft und Technologie – was ohnehin ein wenig seltsam ist, da man ja mehr als einem dieser Bereiche angehören kann. So sind „Repräsentanten für den Bereich Technologie“ in der Regel entweder in IT-Unternehmen angestellt, Mitarbeiter einer NGO oder Wissenschaftler.
Schaut man genauer auf die beruflichen Hintergründe der Teilnehmer in der High Level Working Group, so offenbaren sich recht fragwürdige Abhängigkeitsverhältnisse. Die Amerikanerin Kathryn C. Brown ist für den Bereich „Technologie“ anwesend, sie gehört dem Advisory Committee to the Congressional Internet Caucus an, ist Senior Vice President Public Policy Development and Corporate Responsibility des Telekommunikationsunternehmens Verizon und auch in der Albright Stonebridge Group vertreten, einer Beratungsfirma, die amerikanische Unternehmen dabei unterstützt, ihr Geschäft im Ausland auszubauen.
Der Ägypter Tarek Kamel, der unter Mubarak „Minister für Kommunika­tion und Informationstechnologie“ war und den Ruf als „Afrikas Mister Internet“ genießt, ist ebenfalls Delegierter im Bereich „Technologie“ und seit August 2012 nicht nur „Senior Advisor“ für den Präsidenten von ICANN (Internet Corporation for Assigned Names and Numbers, diese Organisation koordiniert die Vergabe von einmaligen Namen und Adressen im Internet), sondern er war auch Vorstandsmitglied eines Telekommunikationsriesen.
Und die deutsche Professorin Jeanette Hofmann, unter anderem Gründungsdirektorin des 2011 entstandenen Alexander von Humboldt Instituts für Internet und Gesellschaft am Wissenschaftszentrum Berlin, steht auf der Gehaltsliste von Google. Viele andere haben enge Verbindungen zu der gemeinnützigen Organisation ICANN, die Gerüchten zufolge die USA und die Industrie begünstigen soll.
Es ist nicht gesagt, dass diese Delegierten einfach nur die PR-Strategien von IT-Firmen weiter verbreiten. Aber wir wissen auch nicht, wie unabhängig sie wirklich sind. Ganz sicher bestehen „Abhängigkeiten“ in dem Sinne, dass der Glaube an einige Grundsätze geteilt wird, die der Industrie Vorteile bringen und dass man das „Vermächtnis“ des ursprünglichen und fehlerbeladenen „Internet-Bauplans“ für unabänderlich hält. Sicherlich dürfte es auch Teilnehmer geben, die entweder früheren oder auch potenziellen Geldgebern nicht schaden möchten. Mit oder ohne Absicht macht sich ein Teil eines angeblich so demokratischen Forums zum Handlanger von Industrieinteressen.

Regierungen haben Verantwortung

Multistakeholder-Konferenzen sind für die Industrie also eine großartige Angelegenheit, denn sie sind ihr automatisch wohlgesonnen. Das ist, als würde tatsächlich die Waffenindustrie und nicht die Politik darüber entscheiden, ob, wann, wo, gegen wen, wie und aus welchen Gründen ein Krieg geführt wird.
Das ist ein inakzeptabler Zustand. Regierungen müssen endlich ihrer Verantwortung nachkommen und eine führende Rolle bei der Weiterentwicklung des Internet einnehmen. Es gäbe ja schließlich zu Recht einen Aufschrei der Empörung, wenn wir alle möglichen Industrien oder Organisationen in unsere Parlamente einladen würden, deren Unabhängigkeit nicht eindeutig gewährleistet ist, um sie dann an wichtigen Entscheidungen teilnehmen zu lassen, die deren eigene Regulierung beträfen. Genau dies darf aber auch in den Bereichen IT, Internet und Internet Governance nicht geschehen, denn auch hier stehen wegen fehlender kluger Regulierungen unser Wohlstand, unsere Freiheiten und unsere Sicherheit auf dem Spiel. Man sollte erkennen: Die IT-Industrie ist der Grund und noch immer ein großer Teil des Problems – und nicht die Lösung.
Regierungen müssen also endlich ihre Regierungsverantwortung wahrnehmen. Aber das kann nicht von alleine geschehen. Die Schwierigkeiten, die Regierungsvertreter im Zusammenhang mit den bisherigen Entscheidungsprozessen ansprechen, müssen zur Kenntnis genommen werden – und man muss versuchen, Abhilfe zu schaffen. Internet Governance mag ein komplexer, teurer und in vielen Bereichen undurchschaubarer Bereich sein. Aber dann müssen der Politik eben mehr Experten und ein größeres Budget zur Verfügung stehen.
Sollten Unternehmen sich gegen eine stärker regulierend eingreifende Politik beschweren, dann muss die Politik darin bestärkt werden, mit Selbstbewusstsein aufzutreten und eine klare Linie zu vertreten, die keine Kompromisse eingeht, wenn es um schützenswerte Rechte für ihre Bürger geht. Es geht nicht an, dass diese Werte und Rechte eingeschränkt werden, nur weil die Industrie es versäumt hat, sich von Anfang an darum zu kümmern. Politiker sollten gerade der IT-Industrie eindeutig vermitteln: Entweder sie hält sich an gewisse Grundregeln – oder sie hat in dem Bereich, in dem diese Regeln gelten, auch keinen Zugang zum Markt.

Nichts spricht gegen Regulierung

Natürlich haben die Befürworter des Multistakeholder-Modells einige Argumente parat, die sie gegen eine solche „Regulierungswut“ ins Feld führen. Dazu gehört: „Die ihrem Wesen nach langsamen und komplizierten Regulierungsprozesse ersticken Innovationen im Keim.“ Falsch. Regulierungen sind einfach nur eine neue technische Spezifikation für eine andere Art von Innovation. Wenn das nicht gewünscht wird, dann wird es eben jemand anders machen und neue Märkte werden entstehen. Das wäre sogar die bessere Variante.
Verschiedene Argumente werden immer wieder angeführt, etwa folgendes: „Es sollten die internetaffinen Leute entscheiden, was in diesem Bereich geschieht, denn andere verstehen ihn einfach nicht gut genug.“ Nun, internetaffine Leute verstehen für gewöhnlich nicht-internetaffine Leute nicht besonders gut. Dennoch sollten diese mitbestimmen dürfen, denn es sind die Bürger, die entscheiden sollen, nicht nur einzelne Menschen.
Eine andere Spielart dieses Arguments lautet: „Technische Laien sollten einfach die Finger von Angelegenheiten lassen, die sie nicht verstehen.“ Nur vertreten die meisten Technik-Experten eben auch Eigeninteressen oder sind mitverantwortlich für fehlerhafte Grundlagen. Wem die technische Expertise fehlt, dem müssen eben unabhängige, technisch versierte Berater zur Seite gestellt werden.
Und weiter: „Das Internet ist zu komplex, um es zu ändern.“ Nur der Tod ist eine unabänderliche Tatsache, sonst nichts. Und wenn man mit den Änderungen schon beginnt, dann sollte wohl gelten: Dieses Mal dürfen sie ruhig weniger komplex angelegt sein. „Aber hat das Internet nicht trotz des makelbehafteten ‚Vermächtnisses‘ bemerkenswert gut funktioniert?“ Nein, hat es nicht. Es ist unsicher und infiltriert unsere Privatsphäre. Und es ist die Industrie, die dafür verantwortlich zeichnet.
Und noch ein Argument, das oft zu hören und politisch betrachtet sicherlich ernst zu nehmen ist: „Überließe man die Regulierungen den Regierungen, dann gewönnen autoritäre Regime die Oberhand.“ Auch das ist falsch. Autoritäre Regime werden mit ihrer regionalen Version des Internet sowieso machen, was sie wollen, egal wie oft man sie bittet, den Zugang zum Netz nicht einzuschränken. Das chinesische Regime ist wohl – und vermutlich völlig zu Recht – überzeugt, dass es ins Wanken geraten könnte, ließe es ein völlig unkontrolliertes Netz zu.
Jedes Land wird das Netz so regulieren, wie es ihm gefällt. Es ist eine Tatsache, dass ein „Splinternet“ entsteht, und Multistakeholder-Konferenzen mit Festivalcharakter werden daran nichts ändern. Ganz im Gegenteil befördert dieser „Multistakeholderism“ das Splinternet sogar. Denn manche Länder mit ernsteren Sicherheitslagen fühlen sich missverstanden und schlecht beraten in Multistakeholder-Umgebungen. Sie suchen ernsthaftere und vertraulichere Foren, um ihre Probleme zu diskutieren. Nun dürften aber ausgerechnet Länder, die ohnehin eine autoritäre Kontrolle des Netzes bevorzugen, geneigt sein, diesem Wunsch nachzukommen.
Auch politisch ist es sinnvoller, Einschränkungen im Netz im nationalen und regionalen Kontext entgegenzuwirken und nicht „pauschal“. Eine globale Regulierung, der sich auch Diktaturen verpflichten, ist ohnehin unwahrscheinlich, solange viele Entscheidungen in der Internet Governance eine größere Übereinstimmung oder sogar einen Konsens erfordern und repressive Standards den westlichen Demokratien nicht aufgedrückt werden können.
„Multistakeholdertum“ ist weder notwendig noch klug. Leider hegen die wenigsten Teilnehmer an Multistakeholder-Konferenzen Zweifel an diesem Format, erscheint es doch so nett, verantwortungsvoll, so demokratisch und einfach. Aber das ist eine Täuschung. Und weil Cyberspionage und Netzkriminalität sich rasant weiterentwickeln, der Bürger zum gläsernen Menschen wird und unsere bürgerlichen Freiheiten zur Makulatur werden, ist es sogar eine sehr gefährliche Täuschung.

Dr. Sandro Gaycken 
arbeitet am Institut für Informatik der FU Berlin und ist Experte für Sicherheit im Internet.