"Vertraue niemandem"
"Vertraue niemandem" - so lautet ein Verkaufsargument jener Industrie, die unter dem Schlagwort "Trusted Computing" digitale Sicherheitsprobleme durch eine besondere Computerarchitektur in den Griff zu bekommen versucht. Ganz ohne Vertrauen geht es aber doch nicht.
Jeder Konsument muss selbst entscheiden, welchen Produkten der Hard- und Software-Firmen er vertrauen will und welchen nicht. Die Initiative der Industrie, die sich "Trusted Computing" nennt, geht eigentlich vom Gegenteil aus: Die Benutzer wissen viel zu wenig und müssten vor sich selbst geschützt werden. "Paternalistisches Design" nennen daher einige die Ideen rund um "Trusted Computing", die einst Microsoft mit seinem Betriebssystem Palladium auf dem Markt einführen wollte.
In der Zwischenzeit hat sich die Industrie weitgehend von der Vorstellung verabschiedet, ganze Rechner kontrollieren zu wollen. Das wäre das Ende der freien Software-Entwicklung und der freien Wahl von Programmen, befürchteten noch vor vier Jahren Kritiker wie die Electronic Frontier Foundation.
Aus Palladium wurde Vista
Realistischer erscheint das Modell von einzelnen, abgeschirmten Partitionen, in denen sicherheitskritische Applikationen abgewickelt werden können: Damit will man gewährleisten, dass einem Angreifer nicht gleich der ganze Rechner in die Hände fällt. Die Entwicklungen im Bereich "Trusted Computing" lassen sich auch mit dem Satz zusammen fassen: Aus Palladium wurde Vista, und von den frühen Ideen blieb der BitLocker übrig.
"Vertraue niemandem" - So lautete seit kurzem das Credo mancher Anhänger von "Trusted Computing". Vielleicht aus Ungeduld, weil sich ihr Geschäftsmodell noch nicht durchgesetzt hat, vielleicht weil sie wirklich daran glauben. Doch ohne Vertrauen funktioniert weder die Gesellschaft noch das Bankenwesen und auch nicht die Computerindustrie. Ari Schwartz, Vizepräsident des amerikanischen Zentrums für Demokratie und Technologie, würde die Botschaft etwas anders formulieren: "Seien Sie nicht erstaunt, wenn ihr Vertrauen ausgenutzt wird."
"Keine andere Chance, als zu vertrauen"
Im Internet habe man als regulärer User gar keine andere Chance, als zu vertrauen, sagt Schwarz: "Per definitionem verbinden Sie sich im Internet mit anderen Rechnern. Dabei müssen Sie sehr vielen Menschen vertrauen können: Sie müssen ihrem Provider vertrauen; Sie müssen darauf vertrauen können, dass Ihnen eine Website adäquate Informationen liefert. Sie müssen ihrem Computer und allen Programmen, die sich darauf befinden, vertrauen. Sie müssen darauf vertrauen, dass Sie die richtigen Vorkehrungen für ihre Sicherheit getroffen haben; zu guter Letzt müssen Sie sich auch selbst vertrauen können. Es ist zu einfach zu sagen: 'vertraue niemandem'. Aber ich muss gestehen, manchmal wäre es nicht schlecht, wenn Menschen ein bisschen misstrauischer wären, denn wir wissen, da draußen kommt es zu Übergriffen."
Misstrauen, so Ari Schwartz, sei nicht nur gegenüber sozialen Netzwerken angebracht, bei denen sich am Ende des Tages mit den hinterlegten Daten ein sehr genaues Bild der User zeichnen lasse, sondern auch gegenüber jenen Unternehmen, die mit den Besuchern ihrer Webseiten Geld verdienen wollen.
Provider liefern Daten
Laut dem amerikanischen "Zentrum für Demokratie und Technologie" beliefern in Großbritannien der Provider Britisch Telecom Broadband, das Medienhaus Virigin Media und Carphone Warehouse das Unternehmen Phorm mit Daten. In den USA bezieht NebuAd Daten von Providern, um Userprofile zu verfeinern und damit die Werbeindustrie zu versorgen.
Die Informationen, die dabei ihren Besitzer wechseln, sind schon deswegen brisant, weil ein Service Provider nicht nur im Besitz von Anschrift und Namen seiner Kunden ist, sondern auch über deren Zahlungsmoral bescheid weiß. Inwieweit solche Geschäftsgebaren in Großbritannien illegal sind, darüber wird noch zu verhandeln sein. Fest steht nur, dass die Britische Telekom immer wieder Testläufe mit dem Programm Webwise aus dem Hause Phorm durchführt.
Vor ein paar Tagen war es wieder so weit. Bürgerrechtsgruppen warnen davor, sich an diesen Tests zu beteiligen und weisen darauf hin, dass Webwise nicht mehr Schutz gegen Online-Betrug bietet als herkömmliche Webbrowser, sondern sich damit genauere Daten über die User erheben lassen.
Bedenken im Kongress
"In den USA sind wir davon überzeugt, dass dies illegal ist", sagt Schwartz: "NebuAd sagt, dass sie mit zehn Prozent des Marktes zusammenarbeiten. Aber nachdem sich Juristen anfingen dafür zu interessieren und Kongressmitglieder Bedenken anmeldeten, hat sich NebuAd zumindest von zwei der drei größten Firmen, von denen sie anscheinend ihre Daten beziehen, getrennt."
Nichts zu unternehmen und allein darauf zu vertrauen, dass im Netz schon alles gut gehen werde, reicht jedoch nicht aus. Darauf Bedacht zu nehmen, dass Virenprogramme up to date sind, ist zumindest ein Anfang für ein wenig mehr Sicherheit im Netz. Aber gegen die Datensammelwut mancher Unternehmen schütze das wenig, meint Ari Schwartz.
Cookies löschen
Dagegen kann sich ein User heute nur wehren, indem er sich über den Wert seiner persönlichen Daten im Klaren ist und beim Schließen des Browsers auch seine Cookies löscht. Jene kurze Textinformation, die ein Server auf dem Client-Rechner ablegt, um später Informationen über den User zur Verfügung zu haben. Allerdings sind nicht alle Cookies bösartig und nicht alle sind sichtbar: Sogenannte "Flash Cookies" können nicht mehr unter dem Menüpunkt "Voreinstellungen" im Browser eingesehen werden, sondern werden in den Tiefen des Speichers abgelegt.
Immer mehr private Rechner im Visier
Besorgniserregend ist auch die Tendenz, dass immer mehr Übergriffe im Netz nicht mehr Regierungs-, Banken- oder Firmenserver betreffen, sondern die Rechner von Privatpersonen. Bemerkbar macht sich das vor allem in Skandinavien, denn dort ist die Anbindung an Breitbandnetze weit verbreitet.
"Always on" führt dort dazu, dass immer mehr private Rechner Ziel von Übergriffen werden. Private Rechnersklaven mutieren so zu Handlangern von kriminellen Machenschaften. Die offiziellen Besitzer bekommen davon meist wenig mit. Sie bemerken nur, dass irgendetwas "anders" ist und der Computer nicht mehr so funktioniert wie zuvor.
Milliarden-Dollar-Problem
"Laut Konsumentenberichten wurden deswegen in den USA 2005 eine Million Computer entsorgt", meint Schwarz: "Das ganze wurde zu einem 6,2-Milliarden-Dollar-Problem. Erst nachdem diese Zahl bekanntwurde fing der Markt an sich zu verändern: Auf Werbefirmen, die derartige Dinge unterstützten, wurde Druck ausgeübt; es kam zu Strafverfolgungen und die Sicherheitssoftware wurde verbessert. Das hat das Problem zumindest halbiert. Letztes Jahr konnte die Schadenssumme zumindest halbiert werden: auf 3.1 Milliarden Dollar."
Gesetzliche Regelung in Schweden
In Europa läuft die Diskussion ein wenig anders. In Schweden, so Markus Bautsch von der Stiftung Warentest, gibt es ein Gesetz, das Provider dazu verpflichte, Besitzer von infizierten Rechnern zu informieren und sie so lange vom Netz zu nehmen, bis sie ihre Rechner von Viren und Trojanern gesäubert hätten.
Bereits 2003 nahm der schwedische Internet-Provider Telia "fremdbestimmte" Rechner vom Netz, weil darüber massenhaft Spams verschickt worden waren. Unproblematisch ist dieses Verfahren nicht. Es fängt schon damit an, dass bei so manchen Provider der HelpDesk nur über eine Mehrwertnummer erreichbar ist und Kundendienstzentralen chronisch unterbesetzt sind.
Für Markus Bautsch ist dieses Modell trotzdem überlegenswert, um das wachsende Problem mit Viren, Trojanern und Spyware her zu werden. Schweden übernimmt im Juli 2009 die EU-Ratspräsidentschaft. Ob die Regierung ihren Vorsitz genauso wie jetzt Frankreich dazu nutzen wird, um ihre Gesetze und Vorstellungen über ein geordnetes Leben im Internet durchzusetzen, bleibt abzuwarten.
Mehr dazu am Sonntag um 22.30 Uhr im Ö1-Magazin "matrix".
(matrix | Mariann Unterluggauer)