"Sie haben beschlossen, auf den privaten Datenschutz zu verzichten"

"Sie haben beschlossen, auf den privaten Datenschutz zu verzichten"

Wieland Alge spricht über PRISM, die amerikanische Datengier und die diesbezügliche europäische Heuchelei. Denn auch bei uns werde versucht, möglichst viele Daten zu sammeln und die dann möglichst wenig kompetenten Personen zu überlassen. Wird sich nach der Snowden-Enthüllung etwas ändern: Nein, so Alge.

FORMAT: Wie schätzen Sie die NSA-Enthüllungen ein - haben wir den Eisberg gesehen oder war das nur die Spitze?

Wieland Alge: Das ist schon ein großes Stück vom Eisberg, beeindruckend und sehr konkret. Die Reaktionen von Obama und NSA-Chef Alexander haben Bände gesprochen. Jetzt, wo man den Eisberg sieht, wurden sie zu einer Aussage gezwungen. Es ging nicht mehr nur um irgendwelche Gerüchte. Obama sagte, hundert Prozent Privatsphäre und hundert Prozent Sicherheit gehen sich nicht aus. Übersetzt heißt das, sie haben beschlossen zu 100 Prozent auf den privaten Datenschutz zu verzichten.

Ist die Empörung auf EU-Ebene echt?

Alge: Die ist größtenteils gespielt, weil sie auch wunderbar ablenkt von der eigenen Gier nach Daten. Da ist viel Heuchelei mit im Spiel, die europäischen Geheimdienste profitieren ja auch davon. Manche machen uns glauben, dass Europäer nur von Europäern ausspioniert werden dürfen. Wenn ich einen Überwachungsstaat sehen will, muss ich nicht in die USA gehen. Auch bei uns wird versucht, möglichst viele Daten zu sammeln und die dann möglichst wenig kompetenten Personen zu überlassen. Ich habe vor der NSA weniger Angst als vor unseren Behörden. Dass man mit solchen Methoden auch den einen oder anderen Fahndungserfolg hat, steht außer Frage. Die Frage der Verhältnismäßigkeit stellt sich aber doch. Ich tue mir mit der Chuzpe unglaublich schwer, mit der sich Staaten elementarer Bürgerrechte entledigen.

Wird sich etwas ändern, wie sich Whistleblower Snowden das gewünscht hat?

Alge: Ich fürchte nicht. Das zeigt schon die Reaktion Obamas und des NSA-Chefs, wie offensiv sie das Thema angehen. "Wir wollten das so, wir finden das richtig“, ist die Botschaft. "Und wir sollten noch mehr machen.“ Die US-Politberater überlegen sich genau, welche Botschaft sie platzieren. Ich bin pessimistisch, dass das Ruder hier noch einmal herumgerissen werden kann. Der Mehrheit der Menschen ist nicht bewusst, welche Grundrechte wir derzeit aufgeben. Das wird nachhaltig sein. Da gibt es kein Zurück.

Mit Ihren Produkten beliefern Sie auch US-Behörden, etwa den Heimatschutz. Haben die spezielle Anforderungen?

Alge: Eigentlich nicht. Unsere Systeme sind schon sehr standardisiert, die müssen wir nicht mehr groß herrichten. Wir schützen ja vor Spionage und nicht umgekehrt. Man muss sagen, dass die US-Behörden sehr pragmatisch sind. Die kaufen das und setzen es ein. Beim Einsatz der Sicherheitssysteme sind die Amerikaner und Engländer aber viel sensibler als die Europäer. Sie wissen, was sie zu schützen haben. In den USA habe ich niemals gehört, "Ach wissen Sie, welche Daten haben wir denn schon …“. Das war in österreichischen Ministerien eine geläufige Einschätzung.

Die Amerikaner kennen den Wert der Daten, im Guten wie im Schlechten ...

Alge: Wenn die Amerikaner Daten ihrer eigenen Bürger verlieren, rollen Köpfe. Entweder hat der Vorfall Konsequenzen oder man ändert was. In England springt der politische Gegner sofort auf und das tut richtig weh. Die österreichische Reaktion ist meist Achselzucken, keiner ist zuständig.

Sie bezeichnen sich als Veteran der Branche. Von wie vielen Schlachten haben sie gehört, von denen wir nichts wissen?

Alge: Die Industrie verwendet gerne martialische Ausdrücke, weil das ganze ja auch solche Ausmaße hat. Eine größere österreichische Firma mit Produktion in China hat vor Jahren Störungen in der Kommunikation festgestellt. Wir haben uns das angeschaut und es war völlig offensichtlich, dass die chinesischen Provider jegliche Kommunikation mitschneiden, die rausgeht. Je mehr Verschlüsselungsmethoden wir angewandt haben, umso aggressiver sind die geworden.

Klingt fatalistisch. Muss man als Angegriffener automatisch den Kürzeren ziehen?

Alge: Es gibt am Ende doch Methoden, die es den chinesischen Kollegen dann verleidet haben. Was wir aber über die letzten Jahre gesehen haben, ist eine Entwicklung hin zu gezielten Angriffsmethoden. Die kriminelle Expertise ist da heute echt beängstigend. Gerade wurde das Zitadellen-Netzwerk ausgehoben (Anm. d. Red.: eine halbe Milliarde Dollar Schaden wurde weltweit bei Banken angerichtet), das ja schon lange beobachtet worden war. Teile des Netzwerks sind abgeschaltet, aber dahinter steht eine Industrie, die wirtschaftsgeografische Besonderheiten hat.

Das Netzwerk war, wie meist, über viele Länder verteilt und hatte Banken als Ziel...

Alge: Ich meine etwas anderes. IT-Fähigkeiten aufzubauen, erfordert ein relativ moderates Anfangsinvestment. Gerade den BRIC-Staaten haben Volkswirte massiv dazu geraten, dass die den Sprung vorwärts schneller machen, wenn sie die Abkürzung über das IT-Zeitalter nehmen. Jetzt haben diese Staaten viele IT-Spezialisten ausgebildet, bezahlen aber noch immer das lokale, beispielsweise das brasilianische Gehaltsniveau. Das macht es für Organisationen einfach, sie zu rekrutieren. Denen bietet man ein österreichisches Gehalt, umgekehrt ist das Risiko für den Einzelnen sehr klein. Strafverfolgung findet dort ja nur begrenzt statt. Wenn ich als brasilianischer IT-Spezialist für eine kriminelle Organisation österreichische Firmen angreife, kann mir eigentlich nicht viel passieren. Die brasilianische Polizei hat begrenztes Interesse, jemanden dingfest zu machen, der für Schäden bei der Bank Austria verantwortlich ist.

Beim Bank Austria-Vorfall haben Sie unlängst den proaktiven Umgang der Bank mit dem Angriff gelobt. Es ist nicht das erste Mal, dass so etwas passiert. Wissen Sie von weiteren Vorfällen?

Alge: Sicher. Ich werde aber auch dieses Mal keine Namen nennen. Dass Kundenlisten abgesogen worden sind, gestanden Security-Verantwortliche nach ein paar Bier in den Nuller-Jahren freimütig - das galt damals als ein Kavaliersdelikt. Auch die Erfolgsquoten von Phishing in den ersten Jahren wiesen nicht darauf hin, dass die Systemarchitekturen stabil waren. Es hat immer wieder Erpressungen gegeben, die zunächst Wettplattformen und große Shops betrafen. Dann wurden auch Banken zur Zielscheibe.

Wie liefen diese Erpressungen ab?

Alge: Beliebt waren vorbereitete Settlement Agreements à la "Wir greifen euch an - wenn ihr zahlt, tun wir es nicht. Oder wir schicken ein Phishingmail an eine Million Kunden raus, weil eure Kundendaten haben wir ja schon.“ Der coolste Satz bei der Bank Austria-Geschichte war ja der Kommentar der FMA, das dies der erste gemeldete Angriff dieser Art wäre. Das ist die österreichische "Kultur“. Gibt es hard facts, die beweisen, dass wir schlampiger sind als das Ausland? Ja - wir haben gerade einmal einen einzigen gemeldeten Fall von einem Angriff auf Online-Banking.

Immer wieder lobend erwähnt haben Sie die Schweizer.

Alge: Ich will nicht die Schweizer an sich loben. Das Geschäftsmodell, sich von Steuerflüchtlingen anderer Länder zu ernähren, ist bedenklich. Tatsächlich waren aber etliche Schweizer Banken immer schon einem höheren Risiko ausgesetzt, was ihre Daten betraf. Die Kundenliste der Raiffeisenbank NÖ ist an sich noch nicht besonders wertvoll, in NÖ kriegt man zur Taufe ein Konto. Das ist wie ein Telefonbuch, eine Liste von Namen.

Die Schweizer haben das bessere „Datenmaterial“?

Alge: Es gibt halt in der Schweiz etliche Banken, wo allein die Liste der Namen, ohne Kontonummer und Betrag, Hunderttausende Euro wert ist. Ich kann eine CD nur mit der Liste der Namen verkaufen ohne irgendwelchen Kontext. Klaus Zumwinkel heißt halt nicht jeder, und nicht jeder der Klaus Zumwinkel heißt, braucht ein Konto in der Schweiz.
Die Schweizer sind ja auch aus der Historie paranoid. Sie glauben, dass ihre Paranoia und ihre Aufrüstung sie vor dem Ersten und Zweiten Weltkrieg beschützt haben. In Österreich glauben wir, dass unter dem Radar zu sein, uns vor dem Atomkrieg bewahrt hat. Richtigerweise haben wir während der Kalten Krieges ja nur so getan, als hätten wir ein Heer. Wo die anderen 24 Monate eingerückt sind und Zig Milliarden ins Material gesteckt haben, reichten bei uns sechs Monate und ein paar Panzer. Das war eine geschickte Strategie. Wir haben im Schnitt nur ein Drittel ausgegeben, von dem was andere ausgegeben haben. Wir gingen die Wette ein, dass der wahre Krieg nicht stattfinden wird. Und gewannen.

Solche Wetten funktionieren in der IT-Security nicht.

Alge: Solche Erkenntnisse scheint sich aber in einigen Hirnen festgesetzt zu haben. „Die Panikmacher mit der Security, alles übertrieben! Wer interessiert sich denn schon für Österreich?“

Bis vor wenigen Wochen schien sich alle Welt vor den Chinesen zu fürchten. Sind die technisch wirklich so genial. Die Amerikaner können da doch locker mithalten.

Alge: Natürlich sind die Chinesen gut aufgestellt. Das sind 1,2 Milliarden, irgendwelche intelligenten gut ausgebildeten Leute findet man leicht. Das ist Statistik. Man braucht ja nicht allzuviele. Wir haben China hochgerüstet. Was wir wirtschaftsstrategisch verabsäumt haben, ist zu begreifen, dass Technologiediebstahl dort nichts Kriminelles ist, sondern Staatsräson. Es ist Teil ihrer Kultur. Das konfuzianische Urheberrecht verpflichtet sie dazu.

Ihr Urheberrecht verpflichtet sie, ist das Ihr Ernst?

Alge: Kleiner Exkurs. Es gibt drei große Urheberrechtskonzepte. Das kontinentaleuropäische, das angelsächsische und das konfuzianische. Das kontinentaleuropäische stellt den Urheber ins Zentrum, das angelsächsische den Verwerter (Copyright) und das konfuzianische den Benutzer. Der Dichter hatte in der Gesellschaft den luxuriösen Status, gefüttert zu werden, deswegen gibt er was zurück. Die Früchte gehören allen. Wenn wir in China etwas fertigen lassen, den lokalen Chinesen aber die genauen Methoden vorenthalten, ist das für sie kriminell. In den letzten 20 Jahren haben wir einen Haufen Technologie, vor allem IT, nach China zum Fertigen verfrachtet und – Überraschung - die Chinesen wissen jetzt wie es geht. Chinesen haben sich die Netzwerk-Technologie ganz speziell angesehen.

Ist die Panikmache vor Huawei, dem größten Telekom-Netzwerkausrüster, angebracht oder US-Propaganda?

Alge: Vor einigen Jahren hat es Huawei-Router gegeben, mit denselben Programmierfehlern, die Cisco (Anm. US-Netzwerkhersteller) ein halbes Jahr vorher hatte. Es ist schwierig Bugs genau so zu programmieren. Die Angst der Amis kann ich schon nachvollziehen.

Was raten Sie europäischen Netzbetreibern. Huawei ist heute praktisch überall drin.

Alge: (nickt nur zustimmend, sagt nichts) Tatsächlich ist es so, dass Firmen, die auf ihre Infrastruktur wirklich schauen, genau deshalb immer zwei- bis dreischichtige Architekturen bauen, um ihre Angriffsfläche zu reduzieren. Unternehmen, die Providerinfrastrukturen nutzen, die aus Kostengründen Huawei drin haben, schicken da aber sicher nichts im Klartext drüber. Selbst wenn ich dem Provider selbst vertraue. Ich vertraue auch keiner Telekom Austria. Die TA könnte von einer Strafverfolgungsbehörde gezwungen werden, mich auszuspionieren. In den AGB steht drin, wir garantieren die Privatheit, außer wir werden von Behörden dazu gezwungen, sie aufzugeben.

Das Problem hat man ja praktisch mit jedem Provider. Was kann man tun?

Alge: Man kann zumindest einmal alles verschlüsseln. Diese Technologie ist ja in einem großen Ausmaß verfügbar. Es hat sich auch einiges verbessert. Google-Manager haben mir kürzlich gesagt, dass sie bald keine Klartextabfragen mehr haben werden. Die stellen jetzt auf verschlüsselte Kommunikation um, weil diverse Angriffsmethoden drauf setzen, wie man beim Surfen beschissen werden kann. (Anm. Cross Site Scripting). Es ist eine sehr subtile Methode, wie man immer wieder zu Daten kommen kann, die einem keiner geben wollte. Die https-Verschlüsselung ist zwar kein Allheilmittel, aber verschiedene Angriffe gehen halt schon viel schwieriger.

Darauf basieren ja ganze Geschäftsmodelle, Daten die keiner geben wollte, die aber im Kontext erst so richtig wertvoll werden ...

Alge: Was auch mit erzwungener Verschlüsselung abgestellt werden kann, ist Hotspot-Sniffing. Die ganzen Twitter- und Facebook-Vorfälle der letzten Jahre waren fast alle darauf zurückzuführen. Das war populär unter den bösen Buben. Man setzt sich auf einen Kaffee zu Starbucks und hatte danach mindestens fünf Twitter-Accounts.

Die Leute geben dem Komfort den Vorzug vor der Sicherheit.

Alge: Ja immer. Zuerst das Coole, dann der Komfort, die Sicherheit kommt erst dann, wenn es unvermeidllich ist, sich mit der Bedrohung auseinanderzusetzen. Wie beim Auto. Das erste Auto mit 200 km/h gab es 1906! 50 Jahre später kommt der Sicherheitsgurt, fast 100 Jahre später der Airbag. Autos sind irgendwann standardisiert worden, damit waren sie gut zu regulieren.

Sie haben den Anwender einmal als Feind Nr. 1 tituliert, wenn es um Sicherheit geht.

Alge: Früher war der Feind der unbeholfene tolpatschige User. Zwischen 2005 und 2010 herrschte eine trügerische relative Ruhe. Die hatte damit zu tun, dass die Benutzer eingesehen hatten, dass ihre Tolpatschigkeit gefährlich ist. Die IT-Abteilung hat gesagt was gut für einen ist. Wenn man nicht drucken konnte, hat man sich von den IT-Mitarbeitern anhören können, „du hast keine Berechtigung“. Völlig absurd. Seit wann entscheiden Patchkabel-Sortierer, wo und was ich drucken darf. Dann ist das iPhone und iPad gekommen. Mit diesen Dingen fingen die User an, die Illusion aufzubauen, es ja eh zu können. Meine Mutter glaubt auch, sie ist Admin auf ihrem iPad.

Die Zeit des Anbetens der IT-Abteilung ist vorbei...

Alge: Die IT hat ihre Glaubwürdigkeit verloren. Das war ein Paradigmenwechsel. Das geht nicht mehr retour. Das ist wie der Witz über die Osttiroler, wenn die einmal draußen sind, gehen die nicht mehr zurück. Die Nuller Jahre waren IT-mäßig eine Art Überwachungsstaat. Es war keine aggressive Gewaltdiktatur, sondern eher benevolent. Diese Ära ist nun zu Ende und, nach mehreren Jahren glauben die User, sich emanzipieren zu können. Das Dumme ist, gescheiter sind sie nicht geworden.

Wird die EU jemals einen vernünftigen Datenschutz aufsetzen können? Angesichts der Lobbyschlacht hat man jetzt erst einmal auf die lange Bank geschoben.

Alge: Der Erstentwurf, der 2012 vorgelegt wurde, ist von den meisten Experten bejubelt worden. Wir haben sogar versuchen müssen unsere Emotionen im Zaum zu halten. Es waren die Kernpunkte drin, die wir seit Jahren gefordert haben. Beispielsweise dass die Meldepflicht für alle gilt, auch für Behörden. Der Begriff des Dateneigentums ist sehr viel präziser und kontinentaleuropäischer geworden. Meine Daten gehören mir und nicht dem Verwerter. Ich kann sie wieder zurückfordern, da ich das Eigentum nicht aufgeben kann. Was absehbar war, dass von allen möglichen Seiten Elemente dieser Richtlinie torpediert werden würden. Von Datenverwerterseite verstehe ich ein paar Sachen sogar, weil die technische Umsetzbarkeit so schwierig ist. Das Recht auf Vergessen, also die Löschung, ist schwer in Gesetz zu gießen, wenn man sie dann nicht exekutieren kann. Das Löschen widerspricht ein paar anderen IT-Prinzipien, zum Beispiel den Back-ups, der Vorschrift zur Aufbewahrung.

Die Grundidee ist ja, wie Professor Mayer-Schönberger sie auch formuliert hat, dass ab einem bestimmten Zeitpunkt mit meinen Daten kein Geschäft mehr gemacht werden darf.

Alge: Das ist durchaus zu befürworten. Aber zurück zu den Lobbyisten. Eine besonders merkwürdige Taktik ist, Österreich sagt, wir sind für den Datenschutz, aber bitte nicht für KMU. Wie bitte? Wem ist das eingefallen? Ob jemand Daten hat, ist doch nicht die Frage der Firmengröße sondern der Größe und Art der Daten. Als nächster kommt die Forderung, das Ministerium, das muss auch nicht drinstehen, das sind ja die Guten. Aber die haben die meisten Bürgerdaten. Das ganze wird eine Art Lackmus-Test werden, ob auf EU-Ebene eine Entscheidungsfindung möglich ist, die reifer ist als die österreichische Politik derzeit oder ob Brüssel Österreich-infiziert ist. Wenn das der Fall ist, wird das so ausgehen, dass KMU ausgenommen sind, dass das Datensammeln doch möglich ist, und die Behördenfragen lokal entscheiden werden können, Klientelpolitik halt.

Sie sind ja von Berufswegen schon paranoid, bei welchen digitalen Verrichtungen fühlen Sie sich eigentlich noch sicher?

Alge: Ich fühle mich nie sicher, aber manchmal ist es mir wurscht.

Wann denn?

Alge: Ich habe irgendwann akzeptiert, dass ich selber oder Teile von mir eine öffentliche Person sind. Viele Dinge von mir sind mir nicht wichtig, die empfinde ich nicht mehr als privat. Da hat mir auch die TGKK dabei geholfen, meine Sozialversicherungsnummer nicht mehr als privat zu empfinden. Ich habe mich vor kurzem auch breitschlagen lassen, mich politisch zu betätigen, damit wird man ganz automatisch öffentlich.

Wo war der Knackpunkt, wo Sie sich gesagt haben, jetzt ist es mir egal.

Alge: In den letzten zwei, drei Jahren. Ich bin ein Facebook-Späteinsteiger und habe dann ein Jahr lang auf Facebook versucht möglichst wenig Spuren zu hinterlassen.

Was für sich ein Widerspruch ist.

Alge: Ich habe festgestellt, dass Leute mit mir kommunizieren wollten und mich dann auch aufgefordert haben, es zu tun. Und ich habe mich totgestellt. „Wir wissen, dass du paranoid bist, aber du verhälst dich wie ein sozialer Krüppel.“ War die verständliche Reaktion. Jetzt mach ich eine Meldung, wenn mir am Flughafen fad ist, dann schreiben mir sechs Leute und sagen „Macht nichts, trink ein Bier.“ Und ich freue mich darüber. Auch etwas kindisch, aber akzeptierter.

Wo ist die Grenze?

Alge: Ganz egal wird es mir nie sein. Ich werde nie wieder ein ganz normaler Mensch sein.

Zur Person: Der 43-jährige Tiroler ist promovierter theoretischer Physiker, machte sich 1999 mit Kollegen aus dem Universitätsumfeld selbständig. Seine Security-Firma "phion“ wurde mit ihren Enterprise Firewalls bekannt. 2009 wurde phion vom US-Unternehmen Barracuda Networks übernommen. Alge ist dort EMEA-Chef. Barracuda betreut 150.000 Firmenkunden in 80 Ländern, hat über 1.000 Mitarbeiter. 1,5 Milliarden Mails "sichert“ Barracuda täglich.

Wirtschaft

Mateschitz und Benko checken bei Checkrobin ein

Technik

Twitter verschärft Regeln gegen Hetze und Gewaltandrohungen

Wirtschaft

Druck auf Booking.com wegen Preisklauseln