https://www.faz.net/-gqz-7jscs

Lehren aus dem NSA-Skandal : Der Bauplan für ein sicheres Internet

  • -Aktualisiert am

Jeder spioniert bei jedem: Nicht nur Amerikaner und Briten haben überall ihre Finger im Spiel Bild: dpa

Europa hat die einmalige Chance, ein vertrauenswürdiges Internet aufzubauen. Hier ein Vorschlag, wie wir es schaffen könnten. Geld ist da!

          Die Spähaffäre ist mehr als eine Krise des Vertrauens in Amerika. Auch in Europa haben sich neue Klüfte aufgetan. Großbritanniens Nachrichtendienst GCHQ hat im Auftrag und mit Ausrüstung der Amerikaner Europa abgehört. Die Idee eines „Schengen-Netzes“, das die Telekom vorstellte, würde Großbritannien ausschließen. Aber selbst das griffe zu kurz. Neben den „Five Eyes“ gibt es „Nine Eyes“, ebenfalls eine Geheimdienst-Kooperation, der die Schengen-Staaten Dänemark, Frankreich, die Niederlande und Norwegen angehören.

          Doch nicht nur wir können unseren EU-Partnern nicht trauen, sie können auch uns nicht trauen. Das Spähprogramm des Bundesnachrichtendienstes, die „Strategische Fernmeldeaufklärung“, schließt nur Deutsche aus. Die Argumente, mit denen die amerikanische Regierung das Handeln ihrer Nachrichtendienste rechtfertigt, gelten genauso für die Politik und Dienste hierzulande. Ebenso gilt: Parlamentarische Geheimdienstkontrolle gibt es nur auf dem Papier. Die Dienste entziehen sich den Kontrollen aktiv, wo sie nur können.

          Den Geheimdiensten den Saft abdrehen

          Ein nationales Netz ist kein Mittel gegen Spionage. Denn Abhörschnittstellen sind gesetzlich vorgeschrieben. Der BND selbst hat Gesetze „uminterpretiert“, um das deutsche Internet fast vollständig auszuspähen, er führt gemeinsame Datenbanken mit der CIA, er hilft bei der Koordination amerikanischer Drohneneinsätze und setzt XKeyscore ein. Zudem ist bekanntgeworden, dass der BND beim Bau des Virenprogramms Stuxnet geholfen hat. Sabotage zählt also auch zum hiesigen Geheimdienstprogramm. Selbst eigene Mitarbeiter waren vor der Schadsoftware des BND nicht sicher. Und das ist nur einer unserer Geheimdienste. Der Verfassungsschutz ist noch übler, wie spätestens seit dem NSU-Ausschuss aktenkundig ist.

          Gibt es überhaupt einen Ausweg aus dem Spionage-Schlamassel, wenn wir uns in der EU alle gegenseitig nicht mehr trauen können? Ein IT-Großprojekt kann nicht helfen, es würde eher zu einer Zentralisierung der Abhörmöglichkeiten führen. An sich ist die Idee nicht schlecht. Wir müssen uns aber von der Vorstellung verabschieden, dass wir damit etwas gegen Geheimdienste tun können. Wir sollten daher über ihre Etats diskutieren. Unsere Schulen haben Schimmel an den Wänden, Schüler werden mit jahrzehntealten Büchern unterrichtet. Nachrichtendienste dagegen haben Budgets in Milliardenhöhe. Die Sparprogramme auf der einen, passen nicht zu den Spähprogrammen auf der anderen Seite. Eine Kosten-Nutzen-Analyse käme wohl zu dem Ergebnis, dass den Aufwendungen kaum messbare Erfolge gegenüberstehen. Es wäre eine historische und zivilisatorische Errungenschaft, würde Europa daraus den Schluss ziehen, die Dienste zu schließen. Andere Länder könnten daraus lernen.

          Die Kleinen sind flexibler

          Auf der anderen Seite: Was könnte ein europäisches IT-Großprojekt bewirken? Wenn wir nach der Erfahrung mit IT-Großprojekten der öffentlichen Hand gehen, müssten wir sagen: leider nicht viel. Die Gesundheitskarte, die IT-Modernisierung der Bundeswehr, der elektronische Personalausweis und die neue Polizei-Software zeigen, dass alle IT-Großprojekte gleich verliefen. Die Aufträge gingen an Großkonzerne, die mehr Geld für Lobbyisten als für gutes Personal ausgeben. Die Projekte dauern ewig und kosten ein Vielfaches des veranschlagten Budgets. Und sie funktionieren am Ende doch nicht. Unter dem Strich würden mit öffentlichen Geldern ineffiziente Großkonzerne am Lebens gehalten, während innovative kleine Firmen ohne staatliche Förderungen in wirtschaftliche Notlagen getrieben würden.

          Großprojekte führen zudem häufig zu einem Alles-oder-nichts bei Fehlschlägen. Am Ende wird gutem Geld noch viel schlechtes hinterhergeworfen, um nicht alles abschreiben zu müssen. Dieses Dilemma lässt sich umgehen, wenn das Projektmanagement in eigener Hand bleibt. Arbeiten ließe sich in kleinen Modulen, wobei jedes spezifizierte Schnittstellen bieten muss. Wenn die Modulgröße klein genug gewählt wird, lässt sich der Totalverlust eines einzelnen verkraften. In ihrer Gesamtheit ergäben diese Kleinprojekte eine europäische Open-Source-Infrastruktur. Diese Form des Projektmanagements sorgt dank der Spezifikation der Schnittstellen dafür, dass am Ende eine Vielzahl nutzbarer und einzeln verifizierbarer Komponenten entsteht, die zusammen für technologische Souveränität sorgen.

          In Open Source liegt die Zukunft

          Die Ziele lassen sich schon heute formulieren: offene, öffentliche, transparent entwickelte Standards statt proprietärer Lock-in-„Lösungen“; Vertrauenswürdige, nachprüfbare Infrastruktur; Interoperabilität und Verfügbarkeit; kostenlose Nutzung aller Komponenten unter Lizenzen, die ein gemeinsames, modernes Wertesystem für das 21.Jahrhundert kodifizieren. Darunter fallen ein explizites Verbot für den militärischen und geheimdienstlichen Einsatz sowie ein Verbot der Verwendung in Jurisdiktionen mit schwächeren Datenschutz- oder Menschenrechtsbestimmungen. Es ließe sich sogar gesetzlich regeln, dass es strafbar ist, gefundene Sicherheitslücken in dieser gemeinsamen Infrastruktur nicht den Projektbetreibern zu melden. So würde man ausschließen, dass ein Markt für weithin unbekannte Sicherheitslücken entsteht, wie ihn Geheimdienste heute nutzen. Weiterhin sollte die Entwicklung auf eine möglichst breite Basis verteilt werden, damit sich auch das Wissen verteilt. Aus hundert kleinen Firmen könnte ein europäisches Silicon Valley entstehen. Für schwierige Komponenten könnte nach dem Vorbild der Darpa-Challenges in Europa ein Ziel vorgegeben und Preisgeld ausgelobt werden.

          Diese Vorschläge gehen mit weiteren Forderungen einher. Die Abhängigkeit von großen IT-Unternehmen muss beendet werden. Dafür sollten technische Spezifikationen künftiger Projekte offen, maschinenlesbar und kostenlos vorliegen. Das bedeutet, dass nicht nur Binärcodes, sondern auch Baupläne und Quellcodes zu veröffentlichen sind. Dadurch würden unabhängige Qualitäts- und Sicherheitsprüfungen möglich, zudem wäre gewährleistet, dass die Wartung nicht nur vom Hersteller vorgenommen werden kann. Zwanzig Prozent der Budgets sollten explizit für unabhängige Sicherheitsprüfungen zurückgelegt werden. Die Testsysteme zur Sicherheitsüberprüfung sollten von einer anderen Firma hergestellt werden. Die Lizenzbestimmungen würden stets dieselben sein. Patentforderungen müssten explizit ausgeschlossen werden. Diese Regeln sollten auch für Baupläne von Hardware und eventuell verwendete Bibliotheken gelten. Die wichtigen Komponenten sollten mehrfach unabhängig entwickelt werden, um Interoperabilität und Verfügbarkeit sicherzustellen.

          Eine Frage des Willens, nicht der Ressourcen

          Softwareentwicklung ist, verteilt auf viele kleine Firmen, billiger als in großen Konzernen. Der Aufbau einer Kommunikationsinfrastruktur ist weniger ein Forschungs- als vielmehr ein handwerkliches Problem. Würde in den nächsten zehn bis fünfzehn Jahren ein jährliches Budget von hundert Millionen Euro veranschlagt, ließe sich damit schon eine europäische Open-Source-Infrastruktur aufbauen. Das vorrangige Ziel dabei sind nicht neue Entdeckungen, sondern die Schaffung eines Fundaments für zukünftige Entwicklungen. Dass eine solche Vorgehensweise funktioniert, wissen wir, weil durch sie das Internet entstanden ist. Die Modelle der Großkonzerne sind alle am Markt gescheitert, darunter auch „Too big to fail“-Industriegrößen wie Decnet von der Digital Equipment Corporation (heute Hewlett-Packard) und SNA von IBM. Die Vorschläge für eine neue Infrastruktur liegen auf der Hand. Wir müssen sie nur endlich umsetzen. Die Grundlage unseres digitalen Lebens muss endlich für alle verfügbar, vertrauenswürdig, sicher und frei von unbotmäßiger kommerzieller Profitmaximierung werden.

          Dieser Ansatz ist universell genug, um sowohl für Infrastruktur in der Form von Internet-Routern und Firewalls zu funktionieren als auch für Mail- und Webserver. Bei Cloud-Diensten, als Alternative zu Google-Mail oder Outlook.com, stellen sich allerdings weitere Fragen. Cloud-Dienste bergen Risiken, die über die Sicherheit der eingesetzten Software hinausgehen. Zu viele Menschen vertrauen Diensten, die nicht auf ihren eigenen Servern laufen. Zudem vereinfacht starke Zentralisierung ausländischen Geheimdiensten und inländischen „Bedarfsträgern“ unnötig den Zugriff.

          Nimmt man die Kosten zusammen, sieht man schnell, dass allein Deutschland für den BND jährlich ein Vielfaches dessen ausgibt, was dieses historische Vorhaben kosten würde. Dieser Vergleich bietet sich schon deshalb an, weil die Spionageabwehr Ziel des BND ist. Mit dem Budget des BND haben wir daher eine Summe, die angibt, was Spionageabwehr kosten darf. Das sollte uns der Aufbau einer vertrauenswürdigen Infrastruktur mindestens auch wert sein.

          Weitere Themen

          Topmeldungen

          Brasilien-Star für Bundesliga : Das ist der Bayern-Plan mit Coutinho

          Der Transfer-Coup ist gelungen, Philippe Coutinho ist ein Münchner. Doch wie soll der Brasilianer den Bayern nun am besten auf dem Rasen helfen? Die Vorstellungen der Münchner bei diesem Ein-Mann-Projekt sind klar.
          Unser Sprinter-Autor: Timo Steppat

          F.A.Z.-Sprinter : Eine Ursula-Koalition für Italien?

          In Italiens Regierungskrise entscheidet sich, ob es Neuwahlen gibt, „Fridays for Future“ feiert Geburtstag – und in Brandenburg denkt man über eine Kenia-Koalition nach. Was sonst noch wichtig wird, steht im F.A.Z.-Sprinter.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.