Das Ende der Geheimnisse

Bruce Schneiers erstes Buch über Kryptografie, 2003 erschienen, gilt noch immer als Klassiker. Schneier, Autor, IT-Sicherheitsberater und Internet-Aktivist, mischt sich seit Jahren in die Debatte um Datenschutz und Privatsphäre ein. Der Sicherheitsexperte war einer der wenigen, denen der "Guardian" Einblick in die Snowden-Dokumente gewährt hat.

Ende Juli begann Wikileaks, rund eine halbe Million geheimer Faxe und Dokumente des Außenministeriums von Saudi-Arabien zu veröffentlichen. Da die Regierung von Saudi-Arabien extrem verschwiegen ist und Journalisten nur sehr wenige Einblicke gestattet, begannen Medien auf der ganzen Welt, sich diesem Schatz zuzuwenden – und ihre Enthüllungsgeschichten zu schreiben. Noch ist das, was die saudische Regierung jetzt erlebt, die Ausnahme. Aber es liegt im Trend.

Erst kurz zuvor waren unbekannte Hacker in das Netzwerk des italienischen Unternehmens Hacking Team eingebrochen. Von den Servern der Firma, die unter anderem Überwachungssoftware herstellt und im Verdacht steht, Exportkontrollen für Waffentechnik und Angriffssoftware systematisch unterlaufen zu haben, stahlen die Hacker 400 Gigabyte Daten.

Letztes Jahr wurden Hunderte von Gigabytes von Sony Entertainment gestohlen und im Internet veröffentlicht: Gehaltslisten von Managern, interne E-Mails und Vertragsentwürfe. In diesem Fall war der Angreifer die Regierung von Nordkorea, die Sony für einen Film bestrafen wollte, der ihren "Führer" lächerlich macht. Edward Snowden hat 2013 eine immer noch unbekannte Zahl von Dokumenten gestohlen und sie Reportern zur Veröffentlichung übergeben. Chelsea Manning hat eine dreiviertel Million Dateien aus dem US-Außenministerium erbeutet und sie an Wikileaks weitergeleitet. Auch die Personen, die die arabischen Dokumente gestohlen hat, könnte ein Whistleblower sein. Aber es ist wahrscheinlicher, dass es sich um einen Hacker handelt, der das Königreich bestrafen will.

Immer mehr Organisationen werden zu Opfern. Und zwar nicht von Kriminellen, die Kreditkarten- oder Zugangsdaten wollen, sondern von Angreifern, die Daten stehlen, um sie zu veröffentlichen. Der Jurist und Datenschutzexperte Peter Swire nennt das die "abnehmende Halbwertszeit von Geheimnissen". Es wird einfach immer schwerer, im Zeitalter der Information Geheimnisse zu bewahren.

Es ist viel einfacher, in Netzwerke einzubrechen, als sie zu sichern. Insbesondere die Netzwerke großer Organisationen sind meist sehr kompliziert und voller Sicherheitslöcher. Das bedeutet: Jeder, der die Geheimnisse großer Organisationen stehlen will, wird früher oder später Erfolg haben. Die Veröffentlichung großer Mengen gestohlener Daten auf einen Schlag – der Information Dump – wird immer häufiger vorkommen, weil die Täter verstanden haben, dass diese Methode für zwei Zwecke am besten funktioniert: Rache und Whistleblowing.

Das ist eine schlechte Nachricht für uns, die an den Wert der Privatsphäre glauben. Private E-Mails oder Notizen zu veröffentlichen ist eindeutig verwerflich. Denn in einer freien Gesellschaft sollte es private Rückzugsräume geben. Rückzugsräume, in denen man Dinge sagen und tun kann, die man in der Öffentlichkeit nicht sagen oder tun würde. Aber wenn es um Organisationen geht, hat diese Entwicklung auch Vorteile. Der Niedergang von Geheimnissen bedeutet zugleich den Aufstieg von Transparenz. Und die Transparenz von Organisationen ist lebenswichtig für jede freie und offene Gesellschaft.

Natürlich brauchen sowohl Unternehmen als auch Regierungen Geheimnisse. Aber je offener sie sind, desto besser können wir entscheiden, ob wir ihnen trauen wollen. Auch wenn es legitime Geschäftsgeheimnisse gibt, muss sich das Verhalten von Regierungen und Unternehmen der öffentlichen Kritik stellen. Dazu kommt: Die meisten Geheimnisse sind eigentlich nur für kurze Zeit wertvoll. Wenn es um Vertragsverhandlungen geht, die Entwicklung neuer Produkte oder aktuelle Geschäftszahlen vor der vierteljährlichen Bilanz. Langjährige Geheimnisse, wie das Rezept von Coca-Cola, sind die Ausnahme.

Wenn eine Organisation davon ausgehen müsste, dass alles, was sie tut, in ein paar Jahren öffentlich wird, dann würden die Menschen innerhalb dieser Organisation sich anders verhalten.

Die NSA hätte den Wert ihres weltweiten Überwachungsprogramms gegenüber der öffentlichen Empörung abwägen müssen. Sony hätte darüber nachdenken müssen, ob es wirklich so klug war, weiblichen Angestellten signifikant weniger zu bezahlen als männlichen Angestellten. Die Verantwortlichen von Hacking Team hätten die UN nicht über ihre Lieferungen von Späh-Software in den Sudan belogen. Und sogar Saudi-Arabien hätte sich vielleicht anders verhalten.

Ich möchte damit nicht sagen, dass erzwungene Transparenz grundsätzlich eine gute Sache ist. Die Drohung einer Veröffentlichung kann Menschen zum Schweigen bringen. Auch Menschen in Organisationen brauchen die Freiheit, Dinge zu sagen und zu schreiben, die sie niemals veröffentlichen würden. Beamte im Außenministerium etwa müssen die Möglichkeit haben, ausländische Politiker zu charakterisieren – auch wenn diese Charakterisierung manchmal nicht schmeichelhaft ausfällt. Wenn sie das nicht können, leiden ihre Organisationen darunter.

Dennoch müssen sowohl Regierungen als auch Unternehmen davon ausgehen, dass ihre Geheimnisse eher früher als später gestohlen und veröffentlicht werden. Sie müssen alles tun, um ihre Rechner und Netzwerke zu sichern. Aber sie müssen auch der Tatsache ins Auge sehen, dass die beste Verteidigung möglicherweise darin besteht, nichts zu tun, was auf den Titelseiten der Zeitungen schlecht aussieht. (bsc)