Bad Hersfelder Restrisiken, der Daten-Gau und der "Tsunami der Daten"

Offener Brief an den Bundesinnenminister Hans Peter Friedrich

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Lieber Herr Dr. jur. Hans Peter Friedrich,

seit 3. März sind Sie Bundesminister des Inneren und erst heute komme ich dazu, Ihnen zu Ihrem Aufstieg in den politischen Olymp der Bundesrepublik zu gratulieren. Sie verzeihen mir dieses Versäumnis!?

Der Experte für „krumme Dinger“

Umso ausführlicher möchte ich Sie mit diesem Brief würdigen: Seit 13 Jahren sitzen Sie für die CSU im Bundestag und haben in dieser Zeit in den Untersuchungsausschüssen „Parteispenden“ und „Wahlbetrug“ jeweils als deren stellvertretender Vorsitzender mitgewirkt. Harald Martenstein vom Tagesspiegel würde Sie vermutlich als Experte für „krumme Dinger“ bezeichnen.

Hans-Peter Friedrich. Bild: Henning Schacht. Lizenz: CC-BY-SA-3.0

Da sind Sie im Innenressort genau an der richtigen Schaltfläche: Die Informationsgesellschaft wimmelt nur so vor krummen Dingern und die gilt es aufzuklären. Lückenlos!

Mit der Online-Durchsuchung gegen Umweltsünder?

„Lückenlos“ - das könnte als Bosheit missverstanden werden. Das allerdings weise ich entschieden zurück: Frau Merkel will seit Jahren mit Hilfe der Videoüberwachung Sündern auf die Spur kommen, die „in der 3. Reihe“ parken, andere anrempeln, über den Bürgersteig fahren oder ihren Müll auf der Straße liegen lassen.

Um diese Kriminellen effizient zur Strecke zu bringen, brauchen wir - so die Kanzlerin - zusätzlich die „Online-Durchsuchung und vieles Andere mehr“ (Was hat denn eigentlich illegales Müllentsorgen mit online Durchsuchen zu tun? Geht es Frau Merkel etwa um den den virtuellen Müll auf irgendwelchen Festplatten? Und: War die Online-Durchsuchung nicht ausschließlich zur Verhinderung von Terroranschlägen notwendig?). Weiter sagt Frau Merkel:

Wir werden nicht zulassen, dass technisch manches möglich ist, aber der Staat es nicht nutzt, dafür aber die Verbrecher und Täter [...]

Bad Hersfelder Türchen offenbart Restrisiken

Krumme Dinger sollen mit Hilfe der elektronischen Vollüberwachung aufgeklärt werden. Ein ganz krummes zum Beispiel haben Einbrecher im Landratsamt Bad Hersfeld Rothenburg gedreht: Dort wurden Ende Januar 10 Server geklaut. Ohne jeden Respekt vor amtlicher Datensicherung wurde das Türchen aufgebrochen.

Ich schreibe bewusst „Türchen“: Das Teil, das c't TV im Video gezeigt hat, würde ich womöglich nutzen, um Gartengeräte in einem Wochenendhäuschen zu sichern! (Zum Vergleich: Beim Hessischen Rundfunk werden sogar die Musiktitel in einem Tresor mit zwei unterschiedlichen Schlüsseln weggesperrt. Zum Öffnen müssen beide gleichzeitig benutzt werden.)

Das Dienst-Handy, das bei einem Einbruch eine SMS erhält, wurde übers Wochenende aber nicht beachtet. Und es ist bemerkenswert, dass dies offenbar der zweite Einbruch innerhalb von kurzer Zeit war. Wenig tröstlich: Die Daten seien „verschlüsselt“ gewesen - diese Betonung macht mich stutzig: Bedeutet das jetzt etwa, dass das Türchen nicht einmal abgesperrt war?

Leider möchte sich die Behörde nicht über seine Pressemitteilung hinaus zu dem Vorgang äußern: Die Ermittlungen der Polizei sollten nicht behindert werden... Das ist schade - schließlich hatte ich doch eine Reihe von Fragen, die die Arbeit der Strafermittler nicht im mindesten berührten - etwa: Kannte die Verwaltung die IT-Grundschutzkataloge des Bundesamts für die Sicherheit in der Informationstechnik (BSI)? Wurde überhaupt eine Risikoanalyse durchgeführt auf dessen Basis dann hoffentlich ein Sicherheitskonzept entwickelt wurde? Nach welchen Kriterien wurde dann die Hard- und Softwarearchitektur aufgebaut? Mit welchem Algorithmus waren die personenbezogenen Daten verschlüsselt?

Hat der Daten-GAU stattgefunden?

Gemäß §42a BDSG ist ein Verlierer von Daten verpflichtet, dem Betroffenen das mitzuteilen - und zwar unaufgefordert, sonst gibt es nämlich gemäß §43 BDSG saftige Strafen! Solang die Verwaltung nicht damit rausrückt, welche Daten sie sich hat klauen lassen, sollten die 120.000 Einwohner des Landkreises Bad Hersfeld unterstellen, dass es sich um den Größten anzunehmenden Datenunfall (Daten-GAU) handelt. Der Verwaltungsbetrieb läuft jetzt wohl über die Sicherungskopien. Mit anderen Worten: Sämtliche personenbezogenen Daten der Bürger - neben Name und Geburtsdatum auch Fingerabdrücke, lebenslange Steuernummer und viele weitere Informationen – sind vermutlich unterwegs.

Gefälschte Ausweise in den Händen von Terroristen?

Damit ist die Welt insgesamt ein Stück weit unsicherer geworden - schließlich erfreuen sich ihre Daten internationaler Beliebtheit: Vor wenigen Wochen wurden russische Diplomaten aus Irland ausgewiesen, nachdem bekannt wurde, dass die Daten von sechs irischen Bürgen für einen Spionagering in den USA missbraucht worden sein sollen. 2009 wurden in Berlin tausende Blanko-Reisedokumente gestohlen - angeblich für „Terroristen“ in der Türkei.

Falsche Personalausweise in den Händen von Mafia-Organisationen und Terroristen - eine gruselige Vorstellung. Wie war das nochmal? „Wir werden nicht zulassen, dass technisch manches möglich ist, aber der Staat es nicht nutzt“? Wie hat denn Frau Merkel das eigentlich genau gemeint?

Wirtschaftliche Bedrohung

Datensammlungen können nicht nur lebensbedrohliche Wirkung entfalten. Auch die Wirtschaft und der Steuerzahler können sich auf Belastungen gefasst machen. Etwa dadurch, dass falsche Ausweise, Lohnsteuerkarten oder Führerscheine wirtschaftlich missbraucht werden. Damit lassen sich etwa Bafög und Hartz IV erschleichen, Autos zu ausgedehnten Probefahrten ausleihen, Bankkonten eröffnen, oder die Gauner gehen ein wenig im Internet einkaufen (siehe "Bitte liebe Falschparker, seid so nett und meldet Euch!"), natürlich ohne zu bezahlen, Geld aus kriminellen Geschäften kann gewaschen werden oder die gefälschten Ausweise selbst werden verhökert.

So sind australische Pässe 1250 Dollar wert. Wenn den Kriminellen dann die Ideen wider Erwarten ausgehen sollten, verkaufen sie die Daten an Freunde und das Spiel beginnt von Neuem.

Komplette Datenprofile sind teurer

Der Sicherheitsspezialist G Data nannte 2009 eine Preisspanne für gefälschte Ausweise zwischen 50 und 2500 Euro. Zum Preis kompletter Identitäten sagt Ralf Benzmüller, Leiter der G Data SecurityLabs:

Eine gesamte Identität wird sicherlich mehr Geld für die Kriminellen einbringen, denn durch die Vernetzung der Daten kann man viele betrügerische Dinge ausführen. Und da sie ja aus einer sicheren Quelle (Behörde) kommen, sind sie besonders wertvoll, da sie verifiziert sind. Damit lassen sich dann natürlich auch, mit genug krimineller Energie Pässe fälschen etc. - Die Möglichkeiten sind hier zahlreich.

Ausweisnummern müssen Interpol gemeldet und Ausweise erneuert werden

Die Pressesprecherin des hessischen Datenschutzbeauftragten hofft, dass es die Diebe nur auf die Hardware abgesehen hatten (das bezweifle ich: Hardware gibt es in jedem Supermarkt - und zwar aktuelle), denn die Daten seien bislang nirgendwo aufgetaucht. Das hingegen glaub ich gern. Die Kriminellen müssen ja erst mal mit dieser riesigen Datenmenge klarkommen und die dazu notwendigen „Geschäftsprozesse“ entwickeln.

Dann aber könnten sie in rauen Mengen auftreten - wenn nicht in Deutschland, dann irgendwo sonst auf dem Globus. Spätestens zu diesem Zeitpunkt sollten Vorsichtsmaßnahmen ergriffen worden sein: So sollten etwa Ausweisnummern in der „stolen and lost travel documents (SLTD)-Datenbank von Interpol gemeldet sein. Im Herbst 2010 enthielt das System 16 Millionen Einträge. Und die betroffenen Bürger brauchen neue Ausweise mit neuen Nummern.

Kann sich eine Bank den Tresor mit Verweis auf die hohen Kosten sparen?

Der Geschäftsführende Direktor des Hessischen Städte- und Gemeindebunds, Karl-Christian Schelzke nimmt den Landkreis in Schutz: Wenn man die Empfehlungen des BSI umsetzen wollte, werde das derart teuer, dass Kindergärten geschlossen werden müssten. Mit Verlaub - nehmen wir mal an, eine Bank würde auf den Tresorraum mit Hinweis auf die Kosten verzichten: Wäre das akzeptabel? Wäre das ein vertretbares „Restrisiko“?

Und: Wenn sich der Staat selbst weigert, seine eigenen Richtlinien zu beachten - mit welcher Begründung können wir dann von einer Krankenkasse oder Versicherung verlangen, das zu tun? Von Ärzten und Steuerberatern ganz zu schweigen!

Mit anderen Worten: Die technische Sicherung der qua Gesetz eingesammelten Daten ist möglich, scheint aber nicht im Fokus staatlichen Interesses zu stehen. Datensicherheit herzustellen, ist offenbar schwieriger als Falschparker „in der 3. Reihe“ per Video zu verfolgen.

Mit der intelligenten Verkehrsüberwachung Reifenprofile in Echtzeit kontrollieren

„Verfolgen“ erinnert mich an das „vieles andere mehr“, das uns Frau Merkel versprochen hat. Spontan fällt mir das EU-Verkehrsprojekt ASSET ein: Seit Januar werden auf der A8 südöstlich von München die Bremsen und das Reifenprofil von LKW während der Fahrt (in Echtzeit!) kontrolliert. Ab wann wird die Technik auch auch auf Nebenstraßen gegen PKW, Motorräder und Mofas eingesetzt?

Schließlich ist doch gerade die Kleinkriminalität häufig auf besonders kleinen Gefährten unterwegs! Ganz wichtig ist auch die Vorratsdatenspeicherung, wie Sie uns just nach Ihrem Amtsantritt haben wissen lassen. Konkret wollen die Innenminister der Union eine "verdachtsunabhängige Protokollierung von Nutzerspuren".

Dabei könnten - immerhin! - „besonders sensible Bereiche“ wie etwa die Telefonseelsorge ausgespart werden. Aha: Wenn demnächst Bad Hersfelder Bürger die Telefonseelsorge benötigen, hätten sie dann wenigstens die Chance, diese Hilfe in Anspruch zu nehmen, ohne dass die Strafverfolger davon Notiz nehmen?

Mit dem „intelligenten Bevölkerungsscanner“ das Leben komplett zurückspulen?

„Nutzerspuren“ entstehen nicht nur beim Telefonieren: Verdächtig könnte auch sein, wer die falschen Freunde hat, bei Facebook die falschen Sprüche hinterlässt, bei Amazon die falsche Lektüre oder Filme kauft oder sich auf dem Bahnhof zu lang und/oder zu weit von seinem Gepäck entfernt: Derlei verdächtiges Verhalten will zumindest der Bevölkerungsscanner namens INDECT erkennen (siehe Bevölkerungsscanner liebäugelt mit Supercomputer).

Wer einmal dieses wunderschöne 3Sat-Video gesehen hat, bekommt zumindest eine ungefähre Vorstellung davon, wofür die vielen Datenmonster - von ASSET bis Zensus 2011 - notwendig sind: Die Superdatenbank INDECT frisst alles. Und würde bei seiner Einführung alle Menschen unter Generalverdacht stellen, an deren Daten es herankommt.

Damit kann dann vermutlich eines Tages das Leben eines jeden Bürgers in Europa mit beliebiger Detailtiefe wie ein Video-Band zurückgespult werden. Damit ließe sich dann auch feststellen, wer in Hintertupfingen Zigarettenkippen auf die Straße wirft. Technisch möglich wäre das.

Werden wir elektronisch regiert, damit Ordnungswidrigkeiten geahndet werden können?

Ich beginne zu verstehen, weshalb Transaktionen mit der Verwaltung künftig bevorzugt online abgewickelt werden sollen und weshalb die Digitalisierung des kompletten Gesundheitswesens unbedingt erforderlich ist: Je mehr Dienstleistungen elektronisch abgewickelt werden, desto mehr personenbezogene Daten sind verfügbar, desto besser können Ordnungswidrigkeiten aller Art verfolgt werden.

Und das ganze andere Zeugs mit dem „e“ vorne dran - wie das elektronische Wirtschaften oder Lernen - steht dieser Entwicklung auch nicht im Weg. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alexander Dix fasst in dem 3Sat-Video zusammen:

Die Beschreibung des Projekts INDECT versammelt schon ein regelrechtes Horrorszenario.

Er befürchtet die Verschwendung von Steuergeldern, wenn die Belange des Datenschutzes nicht angemessen berücksichtigt würden. Letztendlich kann die Politik wohl mit einer neuerlichen Bauchlandung vor dem Bundesverfassungsgericht rechnen (siehe "Der Staat muss das Urteil in der Tiefe durchdringen").

Steuerfahndung per Data-Mining

Auch das liebe Geld - und dessen Ströme - will intelligent beobachtet sein. So analysiert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit Hilfe des „Intelligent Miners“ Finanzdaten, um damit Insiderhandel und Marktmanipulationen aufzudecken. Im Jahre 2004 seien der BaFin aufgrund der Meldepflichten aus dem Wertpapierhandelsgesetz (WpHG) rund 500 Millionen Datensätze übermittelt worden. Finanzlexikon.de schreibt, der Intelligent Miner fasse Datensätze, die sich im Handelsverhalten ähneln, zu sogenannten Clustern („Klumpen") zusammen. Auffälligkeiten im Handelsverhalten und Abweichungen im Vergleich zu den anderen Marktteilnehmern ließen sich so leicht erkennen.

Oder der Handel im Internet von Privaten an Private: Viele Menschen betreiben Onlinehandel aus dem heimischen Wohnzimmer und glauben, sie wären damit vor dem Fiskus sicher. Diese Vorstellung könnte sich leicht als falsch herausstellen: Zum einen handelt „gewerbsmäßig“ (und damit steuerpflichtig), wer nachhaltig, selbstständig und mit Gewinnerzielungsabsicht handelt. Zum zweiten durchforsten die Finanzbehörden mithilfe der Suchmaschine „Xpider“ täglich 100.000 Webseiten auf steuerlich relevante Vorgänge. Was davon letztlich „gewerbsmäßig“ ist, wird im Zweifel vor dem zuständigen Finanzgericht geklärt werden müssen.

Da kann man nur hoffen, dass die Verwaltung die Daten speichernden Festplatten nicht wieder auf dem Flohmarkt anbietet oder die Ergebnisse ihrer Ermittlungen gleich im Internet veröffentlicht.

Facebook-Nutzer generieren 'Tsunami der Daten' für Sicherheitsbehörden

Die Politik ist sich der Macht der Daten wohl bewusst: 2007 haben sich die Innenminister Europas auf Anregung Ihres Vor-Vorgängers Wolfgang Schäuble zur „Future Group“ zusammengeschlossen.

In einem „Konzeptpapier zur öffentlichen Sicherheit in einer vernetzten Welt“ schreiben (PDF) die Damen und Herren:

Der Tsunami der Daten wird durch das Online-Verhalten beschleunigt. Soziale Netze wie MySpace, Facebook und SecondLife - und tatsächlich alle Formen von online Aktivität - verursachen riesige Mengen an Informationen, die den Sicherheitsbehörden dienlich sein können.

Jeder hinterlässt künftig ein Zigfaches an Spuren - überall und jederzeit

Im Folgenden beschäftigen sich Ihre Kollegen mit der Zukunft:

Die Bürger hinterlassen bereits viele digitale Spuren mit ihren Bewegungen. Eins jedoch ist klar: Die Anzahl dieser Spuren (und die detaillierten Informationen, die sie enthalten) wird sich höchstwahrscheinlich innerhalb der nächsten zehn Jahre um ein Zigfaches steigern. Von jedem Objekt, das eine Person benutzt, jede Transaktion, die sie unternimmt, und nahezu überall, wo sie hingeht, wird es digitale Aufzeichnungen geben. Das bedeutet für die Sicherheitsorgane reichlich Information und liefert riesige Möglichkeiten für effektive und produktive Sicherheitsanstrengungen.

Hoffen wir mal, dass die Behörden wenigstens fähig sind, die Hardware auf der das Alles gespeichert ist ordnungsgemäß aufzubewahren.

Analogien zur Kernenergie

Lieber Herr Dr. jur. Hans Peter Friedrich - ich habe in diesem Brief mehrfach Vokabeln verwandt, die uns ansonsten aus der Debatte um die Kernenergie wohlbekannt sind. Das war kein Zufall. Die Parallelen sind erheblich:

  1. Genau wie die radioaktive Strahlung lassen sich einmal abhanden gekommene Daten nicht wieder einfangen. Dabei ist es egal, ob diese Daten in die Hände unberechtigter Behörden/Unternehmen oder in die von Kriminellen gefallen sind.
  2. Der Betroffene hat - lebenslänglich! - mit persönlichen, finanziellen und gesundheitlichen Schäden zu rechnen - und falls Terroristen im Spiel sind auch Dritte!
  3. Die Hardware kann unbeschädigt sein, obwohl der Daten-GAU stattgefunden hat
  4. Auch Verwandte können in Mitleidenschaft gezogen werden.

Bedrohliche Kontrollsucht

Lieber Herr Dr. jur. Hans Peter Friedrich: Die Falschparker „in der dritten Reihe“ bedrohen mich nicht im Geringsten. Und INDECT kommt spätestens in Karlsruhe zu Fall. Bedrohlich empfinde ich die Kontrollsucht des Staates und seine Bereitschaft, im Windschatten vermeintlicher Terrorbekämpfung die Menschen beliebigen Risiken auszusetzen.

Mit freundlichen Grüßen

Joachim Jakobs

nach oben