Einwände

Teil XI: Ende des Internet?

Aber, aber... höre ich schon die Leute mehr oder weniger anonym aus dem Ipv4- und künftigen IPv6-Adressraum stottern. Ich will jetzt einige der typischen Einwände gegen die von mir erläuterten Themen ansprechen. Ich werde diesen Abschnitt zweifellos um andere Punkte erweitern, die sich bei der entstehenden Debatte ergeben.

Das widerspricht der Meinungsfreiheit

Historisch gesehen wurden die Gesetze in Bezug auf Meinungsfreiheit bei jedem neuen Medium verändert. Wurde ein neues Medium eingeführt, so hat man diese Gelegenheit beim Schopf gepackt, Regelungen durchzusetzen, die bei einem früheren Medium noch inakzeptabel erschienen.

Fernsehen und Rundfunk sind fast immer stärkeren inhaltlichen Beschränkungen unterworfen gewesen als Printmedien und Sprache. Kommerzielle Äußerungen (Werbung) werden nicht als "Rede" angesehen und sind in vielerlei Hinsicht reguliert. Viele ziviliserte Länder schränken die politische Rede ein, insbesondere wenn es Wahlkampagnen betrifft. Und natürlich schränken viele "sich entwickelnden" Länder den politischen Diskurs stark ein, was einer Gründe ist, warum sich in diesen Ländern eben so wenig entwickelt.

Amateurradiosender werden durch ihre Regierungen lizenziert, der Inhalt ihrer Sendungen wird kontrolliert und reguliert. Bei einer Übertretung der Befugnisse ist ein Entzug der Lizenz die Konsequenz. Heutzutage ist das Internet noch eher wenigen Regularien unterworfen, aber ihm ist wenig zu eigen, was es immun gegenüber zukünftigen Regularien machen würde.

Vor 1912 gab es auch für das Radio in den Vereinigten Staaten keine Einschränkungen. Jeder konnte eine Radiostation gründen und alle Inhalte auf jeder beliebigen Frequenz senden - dem heutigen Internet ziemlich ähnlich. Aber seit 1912 durften diese Amateurradiosender nur noch auf einer Wellenlänge von 200 Metern (1.5 Mhz) senden, was die Reichweite ihrer Sendungen erheblich limitierte. 1917 kappte die Regierungen allen Amateurradiosendern die Verbindung; gleiches galt für kommerzielle Sender. Bis zum Ende des Ersten Weltkrieges war es für einen US-Bürger illegal, einen funktionierenden Radiosender oder -empfänger zu besitzen. Amateursender wurden während des Zweiten Weltkrieges geschlossen, während kommerzielle Sender die Erlaubnis erhielten, weiter zu senden. Keine dieser Entscheidungen würde im Sinne von "Freedom of Speech" erfolgreich angefochten. Die Regulierung des Radiospektrums wurde in Illinois 1926 aus Handelsgründen durch ein Regionalgericht zurückgenommen, im Jahr 1927 mit dem Radio Act jedoch schnellstens wieder etabliert).

Obowhl die Vereinigten Staaten eine der längsten Traditionen und der stärksten Garantien für die "Redefreiheit" haben, konnte dies die Regulierung neuer Medien nicht aufhalten können. Der Digital Millenium Copyright Act (DMCA ist ein aktuelles Beispiel dafür, wie die technischen Möglichkeiten, Information zu verbreiten, restriktiver Gesetzgebung unterworfen wurden. Man beachte beispielsweise die detaillierten Beschreibungen für den Kopierschutz bei analogen Videoaufnahmen in §1201(k). Es gibt keinen Grund anzunehmen, dass vergleichbare staatliche Auflagen für die dort beschriebenen Technologien aufgrund der Einschränkung der "Redefreiheit" für ungültig erklärt werden würden. Die meisten der zivilisierten Länder haben eine längere Tradition, wenn es um den Einfluss der Regierungen auf die Telekommunikation sowie die entsprechen Gesetze geht, so dass sie auch dementsprechend auch nicht bereit wären, einer Ausweitung dieser Gesetze auf das Internet zu widersprechen.

"Das verletzt mein von der Verfassung geschützte Recht auf Anonymität"

Sie haben kein von der Verfassung oder anderweitig geschütztes Recht auf Anonymität! Als ein Mitglied einer zivilisierten Gesellschaft sind Sie für Ihre Taten verantwortlich. Die Gesellschaft schreibt in vielen Bereichen des Lebens eine Verantwortung zu, inklusive der Möglichkeit, den Verantwortlichen ausfindig machen zu können.

Man darf auf dem Highway weder ohne Nummernschild noch ohne Führerschein und einer Registrierung für sein Auto fahren, was den Strafverfolgern auf Verlangen auch auszuhändigen ist. Man kann keine Rufnummernunterdrückung nutzen, wenn man Notrufnummern wählt. Strafverfolger können eine Liste der Nummern erhalten, die man gewählt hst, wenn dies gerichtlich angeordnet wird. Man kann auch keinen Amateurradiosender betreiben, ohne eine von der Regierung zugewiesene "Call Sign" zu besitzen. Man kann auch kein Konto eröffnen, eine Kreditkarte erhalten oder an der Börse teilnehmen, wenn man nicht seine Steuernummer vorlegt. Im Rahmen der gesetzlich legitimierten Strafverfolgung werden Aufzeichnungen aller finanziellen Transaktionen der jeweiligen Person den entsprechenden Behörden vorgelegt und somit dem Bankgeheimnis enthoben. Nichts von alledem stellt eine Innovation dar, die erst kürzlich entdeckt wurde - all dies ist bereits seit Jahrzehnten so und hat bisher keinen öffentlichen Aufschrei in Bezug auf verfassungsrechtlich gewährte Rechte verursacht.

Anonymität ist dort, wo es sie gibt, manchmal eine Eigenschaft, die automatisch zu einer Technologie gehört und der nachträglichen Restriktion unterliegt. Diese Restriktion kann auf technischem Wege erfolgen (Rufnummernanzeige) oder durch Gesetze, die entsprechend auch Sanktionen bei Nichtbeachtung beinhalten (wie bei Nummernschildern an Kraftfahrzeugen oder "Call Sings" für Radiosender).

In vielen Fällen kann Anonymität auch durch die Gesellschaft gewährt werden, wenn sich dies als vorteilhaft erweist. Hilfsgruppen, deren Mitglieder fürchten, dass man ihre Identität aufdeckt, können die Rufnummernanzeige unterdrücken. Das gleiche Prinzip finden wir im Internet, wo Seitenbetreiber sich entschließen können, die Identität ihrer Besucher zu schützen, indem sie keine Logfiles führen und nicht auflisten, wer mit welchem Zertifikat Zugang erhielt. Sie können aber, falls erforderlich, denjenigen den Zugang verweigern, die Zertifikate missbraucht haben - oder auch anderen Besuchern.

Anonymität ist, sofern sie nicht einfach die Konsequenz technischer Einschränkungen ist, ein Privileg, dass die Gesellschaft unter bestimmten Umständen gewährt. Anonymität ist jedoch kein Recht.

"Schlaue Menschen werden stets das System austricksen!"

Unabhängig von der kristallklaren Reinheit des Designs ist eine Technologie immer nur so gut wie seine Implementierung. Wenn wir also die unrühmliche Geschichte der Informationstechnik in Bezug auf die Implementierung von Sicherheit betrachten, so gibt es Grund genug zu glauben, dass es eine Vielzahl von Löchern geben wird, durch die die Nutzer - egal, ob nun aus betrügerischer Absicht heraus oder einfach wegen der Herausforderung - schlüpfen werden. Aber auf lange Sicht wird dies keine Rolle spielen.

Tatsächlich ist es doch so: Eine Menge schlauer Köpfe zu haben, die versuchen, das System zu untergraben, ist eine fabelhafte Methode, um Löcher zu finden und zu stopfen.

Es wird ja nicht so sein, dass alles über Nacht passiert. Wir werden nicht schlafen gehen, während alles noch wie im Jahr 1999 ist, um dann aufzuwachen und zu bemerken, dass die ganzen Technologien für das Trusted Computing und das Sichere Internet Technologien eingerichtet worden sind. Der Prozess wird ähnlich einer Evolution vor sich gehen. Er wird Übergangslösungen für die enorme, bisher existierende Internetbasis bieten und wahrscheinlich ein Jahrzehnt oder länger benötigen, um komplett realisiert zu werden. Auf diesem Weg wird es eine Vielzahl von Zwischenschritten und Übergangsmechanismen geben, die alle ihre eigenen Grnezen und Angriffsflächen aufweisen. Doch langsam aber sicher wird die Schraube angezogen werden.

Die Erfahrung, die wir mit den Piratenkarten für das Bezahl-Satellitenfernsehen gemacht haben, ist ein Beispiel für diese Entwicklung. Frühere Verschlüsselungsverfahren für das analoge Fernsehen wurden mit relativ simplen Mitteln umgangen. Da durch den Fortschritt der Mikroprozessortechnologie auch die Rechenleistung der "Settop-Boxen" vervielfacht wurde, entstanden auch entsprechend viele sichere Verschlüsselungsmethoden. Aber jede fand ihr Gegenstück in den wiederum schlaueren Piratenkarten.

Mit der heutigen Generation des digitalen Fernsehens ist das Spiel jedoch mehr oder minder vorbei. Für eine winzige Fraktion der "supertechnologischen Elite" mag es noch möglich sein, sich gegen das aktuelle Modell zu verteidigen, aber selbst dann ist der Verlust für die Sender unerheblich. Hinzu kommt, dass die Möglichkeit, bei Bedarf neue Firmware in die Settop-Boxen der Abonnenten zu überspielen, es den Sendern ermöglicht, jede Sicherheitslücke gleich nach Entdeckung zu schließen, ohne die teure Hardware ersetzen zu müssen. Beim digitalen Fernsehen ist die Decoderkarte des Abonnenten lediglich ein Zertifikat, das das passende Konto identifiziert und in vielen Fällen mit dem Maschinenzertifikat des Empfängers/Decoders verknüpft ist, in dem sie genutzt wird.

So wird die Sicherheit ihren Einzug ins Internet halten. In den frühen Implementierungen werden Bugs gefunden und ausgenutzt werden. Man wird diese Bugs fixen, neue Exploits werden gefunden und wieder gefixt werden. Dies wird sich so lange wiederholen, bis die Zahl der Internetnutzer, die in der Lage ist, die neuen Technologien zu umgehen, so gering geworden ist, dass sie schlichtweg ignoriert werden kann. Bis dahin wird die Gesetzgebung zusätzliche Abwehrmittel für jene schaffen, die versucht sind, ihre Identität zu verschleiern oder zu fälschen, schließlich gibt es ja auch Strafen für diejenigen, die in anderen Bereichen des Lebens falsche Identitätsnachweise erbringen.

Die Möglichkeit, Zertifikate für Programme, die als unsicher deklariert wurden, zurückzuziehen, wird die Nutzer dazu zwingen, regelmäßige Upgrades vorzunehmen und die Mittel bereitzustellen, die nötig sind, um Sicherheitslücken gleich nach der Entdeckung zu schließen, unabhängig davon, wie weit die unsicheren Programme bereits verbreitet sind. Wird ein Zertifikat zurückgezogen, so wird sich dies nicht auf einen Rechner auswirken, der niemals ans Netz angeschlossen ist, aber solch ein Rechner kann weder selbst Sicherheitslücken ausnutzen noch kann er selbst von anderen ausgenutzt werden.

"Keine Übertragung ohne ein Zertifikat" ist nur ein falscher Alarm! Wie ließe sich dies wirklich durchsetzen?

In dieser Serie habe ich absichtlich die Details darüber außen vor gelassen, wie ein solches Sicheres Internet Zertifikate für die Identifikation von Paketen verlangt, die es senden soll, und wie die erforderliche Validierung sowie der direkte (end-to-end) Austausch von Identität und Autentifizierungsinformation vor sich gehen soll. Man kann sich vorstellen, dass eine solche Validierung ausgeführt wird, sobald sich ein lokales Netzwerk beispielsweise ans Internet anschließt, wenn also ein Nutzer Verbindung mit seinem ISP aufnimmt. Im Interesse der Skalierung würde man sich wünschen, die potentiell kostspieligen Operationen wie Zertifikat- und Signaturvalidierung so eng wie möglich an die Endpunkte des Netzes (die einzelnen Clients) heran zu bringen. Trusted Computing-Plattformen mögen als sicher genug erachtet werden, um diese Funktion in den Rechnern der Endnutzer zu übernehmen. Dadurch wird aber auch das Risiko einer Umgehung dieser Technik größer.

Unabhängig davon, wie und wo die Validierung erfolgt, denke ich, wir können uns einig darüber sein, dass ein solches Konzept möglich ist. Nicht zuletzt auch, weil eine durch ein Zertifikat validierten und verschlüsselten Verbindung für eine beliebige Internettransaktion sich nur geringfügig davon unterscheidet, sich per SSH auf ein entferntes System einzuloggen und somit eine sichere Verbindung zwischen den Maschinen herzustellen.

Micropayment wurde schon oft ausprobiert und ist bereits einige Male gescheitert. Warum sollte es also dieses Mal funktionieren?

Micropayment ist nun wirklich keine neue Idee. Ted Nelson hat die feinkörnige Art der Bezahlung in Bezug auf Urheberrechtstantiemen bereits vor mehr als dreißig Jahren als einen integralen Teil von Xanadu beschrieben. Allerdings erfolgten in Xanadu die Tantiemen als ein Aufpreis zu den Grundgebühren, die fällig wurden, um das Xanadu-System zu nutzen. Diese Tantiemen wurden dem Urheberrechtsinhaber dann durch Xanadu zugeführt.

In den 90ern wurde eine Vielzahl von Micropayment-Systemen lanciert, von denen man sich das große (digitale) Geld während der Explosion des E-Commerce erhoffte. Trotz der cleveren Namen wie Digicash, Millicent und Cybercoin war keines dieses Systeme erfolgreich. Wenn Micropayment nun schon während des großen DotCom-Fiebers nicht ankam, warum sollten wir damit rechnen, dass es im Zusammenhang mit dem sicheren Netz anders sein wird?

Ich glaube, es gab zwei prinzipielle Gründe dafür, dass sich die Micropayment-Systeme bisher nicht durchsetzen konnten. Erstens waren sie zu wenig in die Architektur des Web und der Browser integriert, um genügend Transparenz aufzuweisen. Ein Micropayment-System, das komplett in das Sichere Internet integriert ist, wird automatisch Zahlungen vornehmen, wenn der Nutzer auf einen "Pay per View"-Link klickt. Eine weitere Aktion des Nutzers ist nicht notwendig, sofern die Gebühr unterhalb seines Schwellenwertes liegt. Für den Nutzer unterscheidet sich das bisherige Lesen von "freien Inhalten" von dem zukünftigen Modell nur dadurch, dass er in einem kleinen Fenster des Browsers sieht, wie die Gesamtsumme, die er für Inhalte zahlt, sich langsam erhöht. Falls er keine automatische Zahlung der kostenpflichtigen Inhalte wünscht, setzt er einfach seine Zahlungsschwelle auf Null.

Abgesehen von dieser engen Verzahnung mit dem Browser unterscheidet sich ein Micropayment-System nicht von PayPal, die Gebühren für Transaktionen und das Minimum für Zahlungen sind ungleich geringer. Würde man wegen einer Zahlung von 0.0001 Euro für eine Webseite PayPal bemühen müssen, so würde man schnell entscheiden, dass man diese Webseite gar nicht benötigt. Legitime Bedenken in Bezug auf Betrug grenzen die Möglichkeiten der heutigen Micropayment-Systeme ein, ohne Mitarbeit des Nutzers zu funktionieren. Im Sicheren Internet wird Micropayment sicher genug sein, um völlig automatisch zu funktionieren, sofern die Zahlung unterhalb des vom Nutzer festgelegten Schwellenwertes liegt. Dies wird durch die Zertifikate möglich, die die Micropayment-Börse verlinkt, und durch die Verschlüsselungstechniken, die jeglichen Traffic betreffen.

Ein zweiter Grund für das Versagen des Micropayment ist das sogenannte "Soviet Story Syndrom" (Sowjetisches Ladensyndrom). In der Sowjetunion konnten Arbeiter eine hübsche Summe in Rubeln als Lohn ausbezahlt bekommen, was ihnen allerdings nicht so viel nutzte, da es wenig Geschäfte gab, in denen Rubel angenommen wurden. Jemand, der bisher Micropayment nutzen wollte, machte oft die gleiche Erfahrung: Wenn er sein E-Cash (E-Geld) ausgeben wollte, hatte er aber kaum Möglichkeiten, dies auch zu tun, da nur wenige Firmen sich der Micropayment-Börse angeschlossen hatten und entsprechende Zahlungen akzeptierten.

Man braucht sich nur selbst zu fragen: Wäre PayPal so erfolgreich geworden, wenn nicht die eBay-Nutzer ihre Zahlungen durch eben diesen Dienst hätten vornehmen können? Sobald das Sichere Internet und DRM etabliert sind, wird eine Vielzahl von Angeboten im Netz verfügbar sein, die bisher nicht online zu finden waren - allein aus dem Grunde, dass man sich vor der Piraterie fürchtete. Diese Angebote werden größtenteils kostenpflichtig sein. Das wird die "Regale" der Geschäfte mit Gütern füllen, die man durch Micropayment erwerben kann. Nutzer werden Micropayment nicht deshalb annehmen, weil es "cool" oder neu ist, sie werden es annehmen, weil sie Dinge kaufen wollen, die auf diese Weise zu erwerben sind. Das gleiche Prinzip findet man bei eBay, die weitaus mehr Kunden zu PayPal schicken als umgekehrt. Die Akquirierung von PayPal ist ein Indikator für diese Symbiose.

Sobald es eine Vielzahl von Gütern gibt, die durch Micropayment zu kaufen sind, wird eine Micropayment-Börse ein praktikables Geschäft sein. Und sobald mehrere Börsen mit verschiedenen Strategien und Betriebsarten lanciert werden, rechne ich damit, dass sich der Markt so lange bereinigt bzw. festigt, bis es genauso viele Micropayment-Börsen gibt wie heutzutage Kreditkartenarten (und dass sie ebenso untereinander austauschbar sind). Tatsächlich werden die Kreditkartenfirmen höchstwahrscheinlich am Ende die überlebenden Micropayment-Börsen besitzen.

Sie können all das sicherlich nicht vertreten!

Well, duh ... natürlich nicht! Aber dies ist der Weg, den wir gehen werden, wenn wir den Kurs nicht wechseln - und zwar bald. Jede einzelne Technologie, die ich in diesem Artikel beschreibe, ist entweder bereits in einer begrenzten Form bereits implementiert oder ihr Einsatz wird geplant oder sie wird aktiv entwickelt. Viele dieser Technologien sind sogar vorteilhaft, wenn sie klug genutzt werden. Aber lediglich panglossianische Optimisten werden das Missbrauchspotential nicht sehen.

Jede dieser Technologien kann leicht verkauft werden: entweder an Individuen, bei denen man auf die offensichtlichen Vorteile setzt ("Nie wieder SPAM!", "Sicheres Surfen im Netz für Ihre Kinder!"), oder an die Gesetzgeber, die in einer Position sind, diese Technologien wegen ihres spürbaren sozialen Nutzens entsprechend zu forcieren ("Schluss mit Terrorismus im Internet!", "Torpediert die Copyright-Piraten!", "Lasst und die Kinderpornographen aufspüren und ihre Kunden einsperren!").

Während der letzten zwei Jahre, in denen ich mit zahlreichen Leuten diese Themen diskutiert habe, war ich erstaunt darüber, wie wenige von ihnen doch bemerkten, wie gut die Puzzlesteinchen zusammenpassen - und das genauso unvermeidlich, wie ich sie kommen sah. Sobald ich dann das Ende, das ich mir ausmalte, erklärte, welches ich hoffentlich in diesem Artikel vermitteln konnte, war die allgemeine Reaktion Schock und Angst. Dies erst recht, wenn ich erklärte, wie jedes einzelne Puzzlestück bereits entwickelt oder sogar implementiert wurde.

Ich habe mit Verschwörungstheorien nichts am Hut. Die meisten der Menschen, die die Technologien, die der Digitalen Imprimatur zu Grunde liegen, befürworten oder etablieren, meinen es gut und glauben wirklich, dass ihre Arbeit den momentanen Zustand, der an einem oder mehreren der spezifischen Probleme krankt, verbessern wird. Aber wenn es um Technologien geht, so ist das Ergebnis oft mehr als nur die Summe aller Teile. Man kann weitaus mehr Schaden durch Bombenbau und Isotopentrennung anrichten als durch die Nutzung der beiden zusammen. Wird es, obgleich die vielen, die in diesen Technologien involviert sind, noch nicht das komplette Bild sehen, dadurch sicherer zu behaupten, dass niemand es kann oder können wird? Wenn ein langsam kahl werdender Programmierer im Schweizer Hinterland dieses Bild zusammen puzzeln kann, ist es dann wirklich so eine sichere Idee, darauf zu wetten, dass niemand derjenigen, die die Verantwortung dafür tragen, es kann? Nie im Leben. Nie in unserem Internet.

Dächte ich, dass auch nur die geringste Möglichkeit bestünde, die Ankunft der Digitalen Imprimatur oder ihre Wahrscheinlichkeit dadurch zu reduzieren, dass dieser Artikel nicht veröffentlicht wird, dann würden Sie ihn jetzt nicht lesen. Aber ich denke nicht, dass dem so ist. Ehrlich gesagt bin ich davon überzeugt, dass die einzige Hoffnung für die Erhaltung des Internet, wie wir es kennen, darin liegt, so viele technisch gebildete Menschen wie möglich zu warnen - so schnell wie möglich. Sie müssen darüber informiert werden, wohin wir gehen und welche Konsequenzen es mit sich bringen wird, wenn wir diesen Endpunkt erreichen.

Wie auch in meinem Artikel Unicard habe ich den größten Teil dieses Artikels wie ein verführerisches Verkaufsgespräch für die Technologien, die ich fürchte, gestaltet. Denn genau auf diese Weise werden sie an jene verkauft werden, deren Freiheit sie letztendlich einschränken. Um diesen Argumenten entgegen zu treten, müssen wir uns bewusst werden, wie überzeugend sie sein können, wenn sie lediglich im Licht ihrer offensichtlichen Vorteile präsentiert werden.

Übersetzt von Twister/Jürgen Buchmüller