Missing Link: Datenschutz, DAUs und Developer – wer darf Software kontrollieren?
Dem normalen Netzbürger muss man etwas Technik zumuten, aber nicht zu viel. Sollten Spezialisten manche Entscheidungen für ihn treffen – oder gar der Staat?
Sollte man Internetnutzern die Wahl lassen, wer für sie DNS-Anfragen beantwortet? Der Streit um eine Art "informed consent" für den Resolver kocht aktuell in der Auseinandersetzung über eine neue Art des DNS-Verkehrs hoch. Tatsächlich steckt dahinter eine Grundsatzfrage: Wie viel Technik darf und muss man dem normalen Netzbürger zumuten und wie viele Entscheidungen sollten die Techies oder gar der Staat für die Nutzer treffen?
Das geht gar nicht, fanden große Netzbetreiber von ComCast bis Deutsche Telekom, dass DNS-Anfragen, die ihre Kunden via Browser absetzen, an einen zentralen DNS-Betreiber sonst wo in der Welt weitergereicht werden. Doch diese Idee hat die Internet Engineering Task Force (IETF) gerade standardisiert. Mozilla plant, das sogenannte DNS over HTTPS (DoH) in der Zukunft zur Voreinstellung des Firefox zu machen, und auch Google kündigte just an, dass man DoH über Googles öffentlichen Resolver 8.8.8.8. zur Verfügung stellt.
Bevor man die DNS-Anfragen der Nutzer an einen globalen DNS-Dienstleister auslagert, müsse man die Nutzer mindestens aufklären, forderte daraufhin eine Reihe von großen Netzbetreibern angesichts der Entwicklung lautstark. Die Weitergabe "per Ordre Mozilla" – oder auch GAFFA – setze eine Einwilligung des Nutzers voraus. Immerhin würden diese Anfragen möglicherweise die eigene Jurisdiktion verlassen und für den Nutzer unerwartet, einen Dritten ins Spiel bringen.
BloĂź nicht den User fragen
Bei der Vorstellung, Endnutzer zu fragen, welchen DNS-Resolver sie gerne hätte, verdrehen viele Entwickler die Augen. Mozilla-CTO Erik Rescorla hält das für keine gute Idee und Dan York von der Internet Society fragte in Prag: "Interessiert das die Nutzer überhaupt?" Basierend auf den Erfahrungen aus dem Web, rechnen Entwickler damit, dass wie bei fehlerhaften Zertifikaten sich die Mehrzahl der Nutzer einfach genervt durchklickt. "Die große Mehrheit der Menschen auf dem Planeten ist nicht in der Lage, den Sicherheitskontext zu verstehen und wird nicht die Disziplin aufbringen, solches Wissen konsistent anzuwenden", meint ein IETF-Entwickler.
Mark Nottingham Vorsitzender der HTTPBIS und der QUIC-Arbeitsgruppe bei der IETF erklärt, dass die Entwickler bei ihrer Arbeit davon ausgehen, dass Nutzer die Effekte und Folgen von Wahlmöglichkeiten, die ihnen in Bezug auf Sicherheitsfeatures angeboten werden, kaum abschätzen können und dies oft auch nicht unbedingt wollen.
Die Gründe dafür sind nach Ansicht der Entwickler vielfältig. Einerseits sind Sicherheit und Privatheit komplexe Fragen. Um sie zu verstehen, muss man sich Zeit nehmen und die Technik zumindest im Ansatz verstehen. Die Effekte der für kurzfristige Vorteile aufgegebenen Sicherheit oder Vertraulichkeit werden außerdem in der Regel mit Verzögerung wirksam. Und schließlich arbeiten Nutzer meist zielorientiert an bestimmten Aufgaben. Daher neigen sie dazu, sich durch alles durchzuklicken, was sich zwischen sie und die Erledigung ihrer Aufgabe stellt.
Die Browser-Entwickler leiten daraus den Ansatz ab, ihre Plattformen kontinuierlich auf Sicherheit und Vertraulichkeit zu trimmen, ohne den Nutzer zu fragen – dabei aber, etwa bei Google, durchaus mit der Idee, das eigene Anzeigengeschäft zu perfektionieren. Die Klagen von Netzbetreibern darüber, dass Verkehr an ihnen vorbeigeleitet beziehungsweise verschlüsselt über ihre Kanäle geht, halten sie entgegen: Der lokale Netzwerkbetreiber, nicht zuletzt der Netzbetreiber "on the fly" unterwegs, ist nicht zwangsläufig vertrauenswürdig. Ist es ein zentraler DoH-Provider, von dem der Nutzer nichts weiß, lautet die Gegenfrage. Vielleicht würde ja mancher Nutzer, mindestens solange er im eigenen Heimnetz ist, doch seinem lokalen Provider den Vorzug geben. Hier liegt das Problem: soll man den Nutzer fragen, und wie? Den Nutzer vor die Wahl zu stellen, konterkariert – so warnen viele Entwickler bei der IETF – die Denke, dass ein sicherer Default ohne Ausnahmen die beste Lösung ist.
Vertraulich kommunizieren ohne Krypto-Kenntnisse
Es dem Nutzer einfach machen, so viel wie möglich zu verschlüsseln, ist das erklärte Konzept der Schweizer Stiftung pretty Easy privacy (pEp), die seit mehreren Jahren an "schlüsselfertigen" Lösungen für sichere Email arbeitet. "Wir sind der Ansicht, dass es – ähnlich wie bei Messengern oder HTTPS – nicht zumutbar ist, dass User sie sich erstmal mit Schlüsseln oder Kryptografie näher beschäftigen müssen, um das Recht auf Privatsphäre zu haben", erklärt Stiftungsrat Hernâni Marques.
Die pEp-Suite, die es bereits für mehrere Betriebssysteme und vor allem als integrales Tool in neuen Firefox-Versionen gibt, übernehmen Schlüsselerzeugung, Schlüsselaustausch mit Partnern, Synchronisierung mit anderen Geräten und signalisieren dem Nutzer jeweils, wie sicher die ausgetauschten Nachrichten sind.
Muss der Nutzer all diese Dinge selbst übernehmen, werde gerade beim Messaging wie auch bei der E-Mail Verschlüsselung nach wie vor kaum angenommen. Ein Beispiel dafür, wie zäh es vorangeht, wenn Nutzerinitiative gefragt ist, sind für Marques Angebote wie Telegram. Obwohl es nur eines einmaligen Opt-ins durch den Nutzer bedürfe, kommunizieren die meisten Telegram-Nutzer ungesichert. Auch pEp kann trotz vieler Mühe für Installations- und Bedienungsfreundlichkeit größere Nutzerzahlen vor allem seit der Einbindung in den Firefox-Browser vorweisen. Von rund 400.000 Firefox-pEp-Nutzern sprach man im vergangenen Jahr.
Ganz ohne einen informierten Nutzer geht es auch bei solchen Konzepten nicht. Trotz des eindeutigen Bekenntnisses zum "Privacy by Design and Default"-Konzepts, auch pEp-Nutzer müssen sich um die Aktualität der Software kümmern. Man rate zu Backups und Geräteverschlüsselung, sagt Marques außerdem. Denn für die Benutzerfreundlichkeit hat man sicherheitstechnische Kompromisse gemacht: Die bei OpenPGP übliche Passphrase braucht es nicht mehr. Das heißt andererseits: Wer sein Gerät verliert, liefert sich dem Finder aus. Der kann E-Mails oder Messages lesen und der pEp-Schlüssel ist futsch. Absolute Sicherheit bietet pEp auch insoweit nicht, als in der ohne weiteren Aufwand laufenden opportunistischen Variante der Schlüssel des Gegenübers nicht überprüft wird.
Die pEp-Suite versucht, dem DAU auch das Einfach nahe zu bringen: durch Ampelfarben, rot für "misstraut", gelb für "opportunistisch", grün für "abgesichert". "Es ist wichtig", sagt Marques, "dass sich der Nutzer nicht in totaler Sicherheit wähnt."