Sammlung von Newsfeeds

Überschätzte Cyber-Abschreckung: Staatliche „Hack Backs“ sind zum Scheitern verurteilt

netzpolitik.org - vor 12 Stunden 17 Minuten
Cyberwar ist kein Atomkrieg. (Symbolbild) Alle Rechte vorbehalten .loyal das Magazin

Dr. Matthias Schulze ist Wissenschaftler in der Forschungsgruppe Sicherheitspolitik bei der Stiftung Wissenschaft und Politik. Er bloggt und podcastet auf percepticon.de. Dieser Text erschien zunächst unter dem Titel Überschätzte Cyber-Abschreckung als „SWP-Aktuell 2019/A 39“, auch als PDF, EPUB und MOBI. Alle Rechte vorbehalten. Veröffentlichung mit freundlicher Genehmigung von Autor und Stiftung.

In Deutschland wird seit mehreren Jahren über aktive Cyber-Abwehr oder „hack backs“ diskutiert, die darauf ausgelegt sind, offensiv zu wirken. Gegnerische Netzwerke sollen demnach penetriert werden, um Angriffe in Echtzeit zu stoppen, Daten zu löschen oder Rechner zu deaktivieren.

Implizit steckt in der Forderung nach aktiver Abwehr eine weitere Überlegung: Ein Cyber-Angreifer könnte von einem Angriff gegen Deutschland abgeschreckt werden, wenn ihm digitale Vergeltung qua „hack back“ drohe. Mit einem ähnlichen Argument wurde auch der Aufbau des Bundeswehr-Kommandos Cyber- und Informationsraum begründet.

Bislang wurde aber für die deutsche Cyber-Sicherheitspolitik nicht analysiert, ob digitale Gegenangriffe überhaupt zur Abschreckung taugen.

Abschreckung durch Vergeltungsandrohung

Abschreckung ist der potenzielle Gebrauch von Gewalt bzw. deren Androhung, um einen bestimmten Zweck zu erreichen. Abschreckung beruht auf dem Kalkül, dass das Angriffsverhalten (X) eines Angreifers (A) dadurch verändert werden kann, dass der Verteidiger (V) ihm negative Konsequenzen (Y) androht.

Die logische Formel der Abschreckung lautet: Tue X nicht, weil sonst Konsequenzen Y drohen. Die Kosten von Y müssen schwerer wiegen als die Gewinne, die bei einem Angriff X zu erwarten sind.

Diese Form der Abschreckung enthält also immer ein Element des Zwangs und wird daher „deterrence by punishment“ genannt. Sie unterscheidet sich von „deterrence by denial“, die darauf abzielt, durch bessere Härtung von Systemen und Resilienz die Kosten für Angriffe so in die Höhe zu treiben, dass diese nicht mehr lohnend erscheinen.

Wenn nicht anders deklariert, ist im Folgenden immer Abschreckung durch Vergeltungsandrohung gemeint.

Damit Abschreckung funktionieren kann, müssen mindestens drei Bedingungen erfüllt sein:

  1. die Konsequenzandrohung muss klar kommuniziert und für alle Parteien verständlich sein („signaling“).
  2. Beide Akteure müssen möglichst vollständige Informationen über die Fähigkeiten, Intentionen und am besten die Gedankenwelt des Gegenübers haben, um Kosten und Nutzen rational abschätzen zu können.
  3. Die Konsequenzandrohung muss glaubhaft sein, also technisch durchführbar und im Dienste eines politischen Willens.

Erfolgreiche Abschreckung setzt also voraus, dass die Androhung eines Schadens vernehmlich und klar und vor allem glaubhaft kommuniziert wird.

Abschreckung gilt als erfolgreich, wenn A eine Handlung nicht ausführt. Die Kausalität eines Nicht-Ereignisses lässt sich logisch nicht überprüfen. Man kann nie genau sagen, ob es die Gewaltandrohung war, die zur Verhaltensänderung führte, oder ob es dafür andere Gründe gab. Einige halten Abschreckung daher für einen Mythos.

Abschreckung basiert auf der „Rational Choice“-Theorie. Dabei gilt die Annahme, dass Akteure Kosten und Nutzen ihrer Handlung abwägen und rational die weniger kostspielige Handlungsoption auswählen. Daran wird kritisiert, dass Akteure niemals sämtliche objektiven Informationen haben und die Konsequenzen ihrer Handlungen darum nie vollständig abschätzen können.

Ferner handeln sie oft irrational, oder nach Normen oder Gewohnheiten. Abschreckung wirkt nur im Kopf des Angreifers, in den man nicht hineinsehen kann. Sie ist also letztlich ein Ratespiel: „Ich glaube, dass du glaubst, dass ich glaube“ und so weiter. Das logische Problem aller Abschreckungstheorien ist, dass man nie wissen kann, ob Abschreckung tatsächlich wirkt. Das ändert sich erst in dem Moment, in dem sie versagt.

Cyber-Abschreckung

Die Übertragung der Abschreckungsstrategie auf den digitalen Raum wird von Cyber-Sicherheitsforschern als problematisch bewertet.

Im Kalten Krieg galten andere Rahmenbedingungen, nukleare Abschreckung folgt zudem eigenen Prinzipien. In der bipolaren Welt des Kalten Krieges war Abschreckung symmetrisch und wurde von ungefähr gleich starken Akteuren praktiziert, die ihre Motive hinreichend gut einschätzen konnten.

Cyber-Abschreckung ist multipolar und findet zwischen asymmetrischen Opponenten statt. Insofern kann Cyber-Abschreckung leichter versagen und ist somit keine verlässliche Politikoption.

Attributionsproblem

Erfolgreiche Attribution ist die wichtigste Vorbedingung für Abschreckung, da sie einer Schadensandrohung Legitimität und strategisches Gewicht verleiht. Oftmals ist aber nicht klar, wer hinter Cyber-Vorfällen steckt. Folglich lässt sich auch niemand identifizieren, dem Schaden angedroht werden kann. Das Attributionsproblem beschreibt die Schwierigkeit, Cyber-Angriffe einem Akteur zuzuordnen, der seine Absicht zuvor nicht kommuniziert hat und kein Bekennerschreiben hinterlässt.

Dabei betrifft das Attributionsproblem beide Seiten: Wenn A V digital angreift, weiß V nicht automatisch, dass es A war. Wenn V zu einem digitalen Gegenschlag ansetzt, weiß wiederum A nicht notwendigerweise, dass es V war. Es gibt im digitalen Raum kaum ein Ziel, das nur von einem Akteur angegriffen wird. Fehlwahrnehmungen sind daher an der Tagesordnung. Ferner besteht das Risiko, dass Angreifer unter falscher Flagge agieren oder behaupten, für Angriffe verantwortlich zu sein, die sie gar nicht ausgeführt haben.

In sich zuspitzenden geopolitischen Konfliktsituationen wird die Rolle des Attributionsproblems jedoch überschätzt. Wenn zum Beispiel in Südkorea im Zuge einer Episode im Konflikt mit Nordkorea Server geflutet werden, fällt eine Antwort auf die Frage, wem das nutzt („cui bono“), weniger schwer als bei verdeckten Spionageoperationen.

Für effektive Abschreckung muss Attribution allerdings unanfechtbar, genau und unmittelbar erfolgen. Je mehr Zeit zwischen Vorfall und Attribution vergeht, desto weniger legitim ist eine Gegenreaktion des Angegriffenen.

Demonstrationsproblem

Damit A eine Schadensandrohung als glaubhaft bewerten kann, muss ihm das Schadenspotenzial eines zu erwartenden Gegenangriffs bekannt sein. Aus diesem Grund werden auf Militärparaden Waffen vor aller Welt zur Schau gestellt.

Dieses Transparenzprinzip funktioniert aber bei Cyber-Fähigkeiten nicht ohne weiteres. Die Demonstration einer Cyber-Fähigkeit aus Gründen der Schadensandrohung führt oftmals zum Verlust dieser Wirkung. Offensive Cyber-Fähigkeiten folgen dem Gesetz des sinkenden Ertrags: Jede Verwendung einer Fähigkeit führt dazu, dass sie in Zukunft weniger wirksam ist.

Ein niedrigschwelliger „Distributed Denial of Service (DDoS)“-Angriff mag beim ersten Mal erfolgreich sein. Wenn der Angegriffene aber weiß, dass ein erneuter Gegenschlag droht, kann er vorsorglich kritische Systeme vom Netz nehmen oder den schädlichen Netzwerkverkehr umleiten. Daher taugen DDoS-Angriffe nur begrenzt zur Konsequenzandrohung. Bei 0-Day-Kapazitäten, Angriffen also, die auf unbekannten und daher nicht behobenen Sicherheitslücken basieren, existiert das gleiche Problem. Je häufiger sie eingesetzt werden, desto größer ist die Wahrscheinlichkeit, dass sie enttarnt und somit aller Welt zur Verfügung gestellt werden. Mit einem Patch der Sicherheitslücke verliert die Fähigkeit ihre Wirksamkeit.

Das hat zwei Implikationen: 0-Day-Fähigkeiten können nicht glaubhaft demonstriert werden, ohne ihre Wirksamkeit zu gefährden. Sie taugen also nur bedingt zur Gewaltandrohung. Die Ausnahme wäre, wenn ein Angreifer über mehrere verdeckte Punkte für einen Zugriff auf ein gegnerisches System verfügt. Dann ließen sich 0-Day-Angriffe zum „signaling“ nutzen. Zweitens kann ein Verteidiger eine veröffentlichte 0-Day-Fähigkeit umbauen und gegen den Angreifer richten.

Proportionalität und Angemessenheit von Gegenschlägen

Abschreckung versagt, wenn die Gewaltandrohung als nicht glaubhaft bewertet wird und in der Folge Waffen eingesetzt werden. Dabei stellen sich Fragen nach der Proportionalität, Effektivität und Zielgenauigkeit offensiver Cyber-Gegenschlagskapazitäten.

Wie viel objektiver Schaden muss zugefügt werden, damit A die Kosten eines weiteren offensiven Vorgehens als zu hoch einstuft? Woher weiß V, ob A die Bedrohung bestimmter Ziele als besonders schmerzhaft erachtet oder eben nicht? A und V haben dazu unterschiedliche Wahrnehmungen.

Es herrscht kein internationaler Konsens darüber, wie eine proportionale Gegenreaktion aussehen könnte. Insofern besteht die Gefahr, dass das Eskalationsrisiko steigt.

Der Schaden, der durch einen Gegenschlag zugefügt wird, muss angemessen sein. Ist der von V angedrohte Schaden zu groß, steigt die Wahrscheinlichkeit eines erneuten Gegenschlags durch A. In der Politikwissenschaft ist gut erforscht, dass der Einsatz offensiver Mittel zur Vergeltung in der Regel Eskalationsspiralen in Gang setzt, wenn er als unangemessen wahrgenommen wird. Damit wäre Abschreckung gescheitert. Ist der angedrohte Schaden zu gering und somit nicht glaubhaft, wirkt Abschreckung ebenfalls nicht und schlägt wiederum fehl.

Das genaue Maß zu bestimmen ist hochgradig komplex und auch eine Funktion des Attributionsproblems: Je geringer die Chance ist, erwischt zu werden, desto größer muss der von V angedrohte Schaden sein, wenn A davon überzeugt werden soll, dass ein Angriff die potenziellen Kosten nicht wert ist.

Fehlende Kontrollierbarkeit

Die Schadenswirkung von Cyber-Fähigkeiten ist sehr unzuverlässig und nur bedingt zu kontrollieren. Es ist schwierig, Cyber-Fähigkeiten auf ein Ziel zu beschränken und Kollateraleffekte – etwa in unbeteiligten Drittstaaten – zu vermeiden. Das gilt insbesondere in zeitkritischen Situationen.

Die Effektivität und somit das genaue Schadenspotenzial von Cyber-Fähigkeiten lassen sich im Vorfeld oft nur schwer bestimmen. Die Schadenswirkung wird maßgeblich durch die Konfiguration des Zielsystems bestimmt. Insofern ist es häufig nicht möglich, zu antizipieren, wie lange etwa ein Cyber-Gegenangriff ein System lahmlegen kann.

Die große Ungewissheit über die Schadenswirkung von Cyber-Fähigkeiten erschwert deren proportionalen und kontrollierten Einsatz. Dadurch steigt das Risiko von Abschreckungsversagen. Auch Angriffe wie Stuxnet (2010), die mit hohem Aufwand für bestimmte Ziele maßgeschneidert wurden, schossen über das Ziel hinaus. Kollateraleffekte wie bei WannaCry oder NotPetya (beide 2017) sind in Cyber-Konflikten die Normalität. Denn niemand vermag realistisch abzuschätzen, wo bestimmte Systemkonfigurationen noch zum Einsatz kommen.

Andererseits können Schäden wiederum zu präzise kalkuliert werden. Wenn sich zum Beispiel V anschickt, einen Cyber-Angriff auf einen Staudamm durch A mit einem Vergeltungsschlag auf einen Damm von A zu beantworten, kann A diesen vorsorglich vom Netz nehmen. Es ist schwierig, das richtige Maß für eine Schadensandrohung zu finden, die weder zu präzise noch zu vage ist, zumal die Gefahr eines Abschreckungsversagens groß ist.

Zudem steigt in asymmetrischen Kontexten und aufgrund fehlender Kontrollierbarkeit das Eskalationsrisiko. Das lässt Cyber-Fähigkeiten ungeeignet zur Abschreckung erscheinen.

Hoch- und niedrigschwellige Abschreckung

International gibt es keinen Konsens darüber, welche Cyber-Aktivitäten abschreckungswürdig sind (politische vs. wirtschaftliche Spionage vs. Sabotage). Je nach Intensität der Aktivitäten sind die Erfolgschancen für Abschreckung unterschiedlich groß.

Bei hochschwelliger Abschreckung werden gravierende Aktionen unterlassen, etwa der physische Gewalteinsatz oder Cyber-Angriffe auf kritische Infrastrukturen, weil die Kosten als zu scherwiegend bewertet werden. Hierzu gehört das „worst-case“-Szenario eines digitalen Überraschungsangriffs auf strategische Infrastrukturen, bei dem Menschen sterben und hochgradige physische Zerstörung die Folge ist („digitales Pearl Harbor“).

Ein solches Ereignis hat es in der mehr als dreißigjährigen Geschichte von Cyber-Konflikten noch nie gegeben. Der Grund ist, dass dessen Folgen kaum zu bemessen wären und ein Angreifer mit Rückschlagseffekten zu rechnen hätte.

Erstens würde ein solcher Angriff als Gewaltakt nach internationalem Recht bewertet werden und zum Beispiel Akte der (kollektiven) Verteidigung legitimieren. Ein derartiger Cyber-Angriff würde also vermutlich in einen physischen Konflikt eskalieren, weshalb Staaten in Friedenszeiten davon absehen. Zweitens lässt sich aufgrund der interdependenten und hochgradig vernetzten Internetinfrastruktur nicht zuverlässig garantieren, dass eigene Systeme nicht ebenso betroffen wären.

Angesichts dessen haben Staaten kein Interesse daran, solche strategischen Angriffe auszuführen, wenn damit nicht wirklich etwas politisch zu gewinnen wäre. Hier ist eine implizite Norm der Zurückhaltung wirksam, die in verschiedenen internationalen Gremien zu bemerken ist. Abschreckung kann denn auch durch Normen funktionieren, die unangemessenes Verhalten tabuisieren.

Diese Zurückhaltung existiert aber nicht bei niedrigschwelligen Vorfällen, bei denen es nicht zu einem bewaffneten Angriff kommt. Staaten gestalten ihre Cyber-Aktivitäten bewusst so, dass sie unterhalb dieser Schwelle bleiben und insofern nicht eskalierend wirken. In diese Kategorie gehören Cyber-Spionage, hybride Maßnahmen, Cyber-Kriminalität, Hacktivismus und Vandalismus, die einen Großteil aller Cyber-Aktivitäten ausmachen.

Es gilt als unwahrscheinlich, dass Abschreckung bei niedrigschwelligen Vorfällen wirkt, etwa bei Spionage. Die Chance, ungeschoren davonzukommen, ist groß, zumal Staaten an einer Sanktionierung nicht interessiert sind, weil sie selber spionieren.

Nichtstaatliche Akteure

Niedrigschwellige Handlungen begehen auch nichtstaatliche Akteure. Anders als im nuklearen Zeitalter besitzen auch sie offensive Cyber-Fähigkeiten. Das Spektrum der Akteure reicht von Script-Kiddies mit geringen Fähigkeiten über Cyber-Kriminelle mit mittleren Fähigkeiten bis hin zu Cyber-Söldnern mit erheblichen Fähigkeiten. Zudem gibt es sogenannte Proxy-Akteure, die zum Teil unabhängig, zum Teil im Staatsauftrag Ziele angreifen.

Abschreckung funktioniert nur, wenn Motivation, Interessen, Fähigkeiten und die Kontaktadresse der Opponenten bekannt sind. Bei den zahlreichen nichtstaatlichen „fortgeschrittenen andauernden Bedrohungen“ (Advanced Persistent Threats) fehlt ein Großteil dieser Informationen. Darum lassen sie sich nicht effektiv abschrecken. Theoretisch müsste eine wirkungsvolle Abschreckungspolitik für jeden Einzelnen unter den Tausenden Cyber-Akteuren maßgeschneidert werden. Das ist selbst großen Cyber-Mächten unmöglich.

Aus der Terrorismusforschung ist bekannt, dass Abschreckung durch Vergeltung wenn überhaupt nur gegen Staaten funktioniert, nicht aber gegen nichtstaatliche Akteure. Bei ihnen ist der gegenteilige Effekt zu beobachten: Die Anwendung repressiver Gewalt mit dem Ziel, Terror zu bekämpfen, führt aufgrund der wahrgenommenen Ungerechtigkeiten oft zu mehr Terrorismus.

Gleiches lässt sich im digitalen Raum beobachten. Nicht einmal offensiv-dominante Staaten wie die USA sind in der Lage, Cyber-Angriffe nichtstaatlicher bzw. staatlicher Akteure wie Russland oder China abzuschrecken. Abschreckung nichtstaatlicher Akteure folgt eher der Logik kriminologischer Abschreckung, bei der es darum geht, die Frequenz und Intensität von Vorfällen zu reduzieren, ohne sie jedoch gänzlich verhindern zu können.

Angesichts der Vielzahl nichtstaatlicher Akteure ist die Gefahr groß, dass sie nicht nach rationalen Prinzipien handeln, nach denen Staaten agieren würden. Bei Hackern etwa dominieren nicht notwendigerweise rationale Handlungsmotive, sondern auch kognitive und normative, etwa der Wunsch, Ruhm zu erlangen und Spaß zu haben („Lulz“).

Glaubwürdigkeit und Eskalation

Eine Vergeltungsandrohung muss nicht nur eine möglichst genaue Schätzung der zu erwartenden Kosten bei A induzieren, sie muss auch glaubhaft sein. Wenn A nicht glaubt, dass V, erstens, technisch in der Lage ist, mit digitalen Mitteln genau bemessene Kosten zu verursachen, oder, zweitens, politisch nicht willens ist, die Gefahr einer Eskalation einzugehen, versagt Abschreckung.

Das Glaubwürdigkeitsproblem ist bei Cyber-Konflikten noch größer. Intentionen und politischer Wille sind oftmals unklar, da ein Großteil staatlicher Cyber-Aktivität von Nachrichtendiensten betrieben wird und unter Cyber-Spionage fällt, mit anderen Worten verborgen ist. Das Eindringen in Systeme zu Zwecken der Spionage oder Sabotage kann nicht eindeutig unterschieden werden, so dass hier die Gefahr der Fehlwahrnehmung steigt.

Staaten sind außerstande, ihre relative Cyber-Macht objektiv einzuschätzen. Für Abschreckung im Sinne des „Rational Choice“-Ansatzes sind möglichst vollständige Informationen nötig, zu denen auch die Einschätzung relativer Stärke gehört. Dies scheitert an dem Umstand der Geheimhaltung sowie an der „dual-use“-Natur von Cyber-Fähigkeiten, die sich für offensive und für defensive Zwecke nutzen lassen.

Auch sind nicht alle Staaten politisch dazu bereit, sich auf eine „tit for tat“-Eskalationsdynamik gegenseitiger Vergeltungsschläge einzulassen. Solche Auseinandersetzungen werden in der Spieltheorie als „chicken game“ bezeichnet: Im klassischen Szenario rasen zwei Akteure direkt mit dem Auto aufeinander zu; derjenige, der zuerst ausweicht, ist das „chicken“, der Feigling. In Demokratien unterstützt die Wahlbevölkerung aggressive Außenpolitik in der Regel nicht. Daher hat die Exekutive oft weniger Spielraum, glaubhaft Schaden anzudrohen.

Glaubhaftigkeit hängt allerdings auch von vergangenen Entscheidungen und der Reputation einer Regierung ab. Wenn diese in der Vergangenheit zögerlich auf Aggressionen reagiert hat, sind künftige Schadensandrohungen weniger glaubhaft.

Das Problem bei der schrittweisen Eskalation im Cyberspace ist, dass der Schaden des Vergeltungsangriffs etwas höher sein muss als der des vorausgegangenen Angriffs. Da es schwierig ist, die Proportionalität zu bestimmen, drohen Kollateraleffekte. Unklar ist, wie Eskalationsdynamiken im Cyberspace funktionieren, ob beispielsweise mit digitalen Mitteln eine ähnliche Eskalationsstufe erreicht werden kann wie mit physischen Waffen.

Einige Kommentatoren argumentieren, dass digitale Mittel eher eskalationsbegrenzend wirken, weil physische Effekte schwer zu erzeugen sind und das Schadenspotenzial insofern begrenzter ist. Empirisch betrachtet ist Eskalation das wahrscheinlichste Ergebnis einer Abschreckungspolitik, die auf den Einsatz offensiver Cyber-Mittel setzt.

Abschreckung und „persistent engagement“ in den USA

Der Mechanismus der Abschreckung lässt sich also nicht ohne weiteres auf den digitalen Raum übertragen. Falken und Akteure nationaler Sicherheitspolitik sind jedoch anderer Meinung und glauben daran, dass die Aufbietung starker offensiver Mittel im Zweifelsfall auch viel hilft. Sie plädieren für eine verstärkte Offensive. Obwohl die USA eine formidable Cyber-Macht sind, konnten sie Russland nicht davon abschrecken, mit Cyber-Fähigkeiten Einfluss auf die US-Präsidentschaftswahl 2016 zu nehmen.

Als Reaktion auf dieses Versagen stellte das Pentagon 2018 eine neue Cyber-Doktrin vor. Diese enthält neuartige Konzepte wie „defending forward“, „persistent engagement“ und „preparation of the battlefield“. Die Doktrin gibt dem US Cybercommand einen größeren Spielraum für offensives Handeln, für das keine Autorisierung des Präsidenten mehr erforderlich ist.

Vorwärtsverteidigung („defending forward“) bedeutet, dass Netzwerke nicht mehr im eigenen Umfeld oder Territorium verteidigt werden, sondern auf Systemen potenzieller Angreifer, und das weltweit. Auf diesen Systemen sollen in erster Linie nachrichtendienstliche Erkenntnisse gewonnen werden, um Angriffe frühzeitig zu detektieren.

„Persistent engagement“ meint, gegnerische Cyber-Angreifer dadurch zu binden und zu beschäftigen, dass sie permanent Angriffen amerikanischer Hacker ausgesetzt werden. Gegner sollen ständig amerikanische Eindringversuche abwehren müssen, damit ihnen – so die Theorie – keine Ressourcen mehr für eigene Offensiven bleiben. Da kein anderer Staat über ähnlich große personelle Ressourcen verfüge wie die USA, sollen auf diese Weise die Kosten für Angreifer steigen. In der Doktrin werden eindeutig China und Russland als potenzielle Ziele dieser Maßnahmen genannt.

Die dritte Maßnahme, die in der Doktrin vorgesehen ist, wird mit konkreten Abschreckungseffekten begründet: „die Vorbereitung des Schachtfelds“ („preparation of the battlefield“). Gegnerische Netzwerke sollen penetriert werden, um darin sogenannte Hintertüren oder Logikbomben zu implantieren, die sich in künftigen Konflikten ausnutzen lassen.

Eine Logikbombe ist eine Schadsoftware, die unerkannt in einem Netzwerk lauert, bis sie zu einem späteren Zeitpunkt aktiviert wird. Damit wäre ein konkreter Schaden angedroht. Ein Gegner müsste sich dann stets fragen, ob er alle Angriffsvektoren der Amerikaner enttarnt und eine verborgene Hintertür im eigenen Netzwerk übersehen hat.

Die Verfasser der Doktrin hegen die Hoffnung, dass Angreifer in Anbetracht dieser Unsicherheit von schwerwiegenden Offensiven absehen, etwa gegen kritische Infrastrukturen. Russland reagierte jüngst ungehalten auf die Versuche amerikanischer Hacker, in russische Stromkraftwerke einzudringen, um dort Hintertüren zu platzieren. Der Kreml warnte zudem vor einer Eskalation im Cyber-Bereich. Dies ist ein Indiz dafür, dass die neue Cyber-Doktrin der USA, die noch offensiver ausgerichtet ist als ihre Vorgängerin, Eskalationen befeuert.

„Persistent engagement“ fand im Zuge der Midterm Elections 2018 statt: Ein zentraler Hub niedrigschwelliger russischer Cyber-Aktivität, die Trollfabrik Internet Research Agency in St. Petersburg, wurde temporär lahmgelegt. Allerdings nahm diese kurz danach wieder ihre Tätigkeit auf.

Taktisch mag die Operation ein Erfolg gewesen sein. Ob diese Form der Abschreckung aber strategisch, also langfristig wirkt, kann bezweifelt werden. Es steht zu befürchten, dass andere Cyber-Mächte nun ebenfalls in größerem Maße in die Offensive investieren und mehr Personal ausbilden, um dem „persistent engagement“ standzuhalten.

Das Resultat wäre ein verschärfter Rüstungswettlauf mit dem Ziel, stets mehr Cyber-Kräfte mobilisieren zu können als der Rivale. Die in der Doktrin vorgesehenen Mittel wirken vermutlich kaum gegen mehr als eine Handvoll Opponenten gleichzeitig. Niedrigschwellig agierende Angreifer lassen sich damit auch nicht stoppen.

Wenn alle Cyber-Mächte eine solche Doktrin verfolgen würden und damit anfingen, überall Hintertüren zu platzieren, wäre der globale Cyber-Space hochgradig volatil. Hintertüren sind nicht exklusiv und können potenziell von jedem kundigen Angreifer ausgenutzt werden. Die Kosten einer offensiven Politik wären vermutlich höher als der theoretische Zugewinn an Sicherheit.

Die neue Doktrin geht somit weit über das Konzept der „aktiven Cyber-Abwehr“ der Obama-Ära hinaus. Dieses sah vor, auf Cyber-Angriffe offensiv zu reagieren, aber eben nur, um diese an der Quelle zu stoppen. Das ist auch das Konzept, über das die deutsche Bundesregierung gegenwärtig in einer modifizierten Form nachdenkt.

Abschreckung durch deutsche Cyber-Fähigkeiten

Ob der bloße Besitz deutscher Cyber-Offensivfähigkeiten abschreckende Wirkung hätte, ist zu bezweifeln. Neben all den zuvor geschilderten Problemen der Attribution, der Demonstration, der Proportionalität und Kontrollierbarkeit digitaler Gegenreaktionen fällt es schwer zu glauben, dass Deutschland bereit wäre, in eine Eskalationsdynamik im Cyber-Raum einzutreten.

Die Kultur der Zurückhaltung in der Außen- und Sicherheitspolitik ist nach wie vor stark ausgeprägt. Die Bevölkerung steht einer aktiveren Außenpolitik bzw. der Übernahme größerer Verantwortung kritisch gegenüber. Das gilt insbesondere, wenn es dabei zum Gewalteinsatz kommt, ob nun digital oder physisch.

Deutschland hätte hier also vermutlich ein Glaubwürdigkeitsproblem. Ein starker Opponent würde testen wollen, ob Deutschland politisch bereit ist, zur Abschreckung aktive Cyber-Abwehrmittel einzusetzen und die Konsequenzen einer Eskalation zu ertragen.

Bisher fehlt in Deutschland eine politische Strategie, wie mit einer solchen Situation umgegangen werden soll. Sie müsste für alle relevanten Cyber-Bedrohungen maßgeschneidert werden und die zuvor erwähnten Elemente von Bedrohungskommunikation ebenso enthalten wie Maßnahmen zur Bereitstellung proportionaler und wirkungsvoller Cyber-Reaktionsmittel.

Außerdem müsste der politische Wille gegeben sein, diese Mittel trotz Gefahr der Eskalation einzusetzen. Ob dies dann auch wirken würde, lässt sich in Anbetracht der zahlreichen Probleme anzweifeln.

Solange diese Strategie aber nicht existiert, ist „deterrence by denial“ für Deutschland die bessere Strategie. Diese Schlussfolgerung lässt sich aus den Defiziten der Abschreckung durch Vergeltung herleiten: Diese versagt auch deswegen, weil Ziele zu leicht angreifbar sind. Im Endeffekt ist es für den Angreifer daher immer kostengünstiger, Schwachstellen auszunutzen, als dies nicht zu tun.

Der erste Schritt in Richtung eines wirksamen Abschreckungssystems sollte also sein, die Cyber-Sicherheit und die Resilienz zu steigern, um Cyber-Angriffe kostspieliger zu machen.

Im zweiten Schritt sollten begleitende Maßnahmen der Außenpolitik ausgebaut werden. Es spricht vieles dafür, dass Abschreckung, wenn überhaupt, nur im Konzert mit anderen Maßnahmen funktioniert – im besten Fall im Rahmen eines internationalen Cyber-Regimes, das es aber noch nicht gibt.

Dazu würden internationale Diplomatie, Abschreckung durch Normen oder durch internationale Verflechtung, aber auch durch Regime und Organisationen gehören, die staatliches Verhalten Regeln unterwerfen. Die Bemühungen der Cyber-Außenpolitik sollten in diese Richtung intensiviert werden.

Cyber-Konflikte sind weitgehend unreguliert, etablierte Normen für angemessenes Verhalten und rote Linien gibt es noch nicht. Auch deshalb ist das Risiko groß, dass Abschreckung versagt und eine Eskalationsdynamik auslöst. Deutschland sollte sich also überlegen, ob es sich an diesem Spiel beteiligen will und ob es bereit ist, etwaige negative Konsequenzen zu erdulden.

Cyber-Sicherheit durch Resilienz ist jedenfalls die nachhaltigere Strategie, da sie gegen alle Akteure in gleicher Weise wirkt und nicht maßgeschneidert werden muss.

Abschreckung ist zum Scheitern verurteilt

Die Existenz offensiver Cyber-Fähigkeiten allein wirkt nicht abschreckend, insbesondere wenn nicht glaubhaft vermittelt wird, dass die Bereitschaft besteht, sie auch zu nutzen. Aber selbst dann gibt es genügend Fallstricke, die Abschreckung als ineffektives Politikkonzept erscheinen lassen, dem zu viele Risiken anhaften.

Die Risiken des Abschreckungsversagens sind mannigfaltiger als in der analogen Welt. Abschreckung durch Gewaltandrohung ist mit hoher Wahrscheinlichkeit eine zum Scheitern verurteilte Strategie.

Wenn schon die risikofreudigeren Cyber-Nationen mit ihrer Cyber-Abschreckung scheitern, ist von einer deutschen Cyber-Abschreckungspolitik – aufgrund der traditionellen Zurückhaltung in der Außen- und Sicherheitspolitik – erst recht kein Erfolg zu erwarten.

Solange Deutschland keine Eskalationsstrategie hat und nicht bereit ist, mögliche Konsequenzen einer offensiven Cyber-Abschreckungspolitik zu erdulden und die Bevölkerung darüber zu informieren, sollte davon abgesehen werden.

Stattdessen sollte die deutsche Politik den Fokus weiterhin auf „deterrence by denial“ legen: die Härtung von Systemen und den Aufbau von Resilienz.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

NPP 178: Wenn Algorithmen unabsichtlich diskriminieren

netzpolitik.org - 20 Juli, 2019 - 10:00
Du ja, du nein. Wenn Maschinen versehentlich diskriminieren, müssen Menschen das erkennen und eingreifen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Markus Spiske

Früher war die Sache einfach: Da gab es Versicherungen oder Chefs oder Banken, die gegen Frauen, Schwarze Menschen oder Schwule diskriminierten, weil diese eben Frauen, Schwarz oder schwul waren. Gegen solche offensichtliche Diskriminierung gibt es heute Gesetze – in Deutschland wie in den USA. Ein Verdienst der Civil-Rights- und Frauenbewegungen, die dafür hart gekämpft haben.

Aber was ist mit all den unabsichtlichen Fällen von Diskriminierung, die auftreten können, wenn Maschinen Entscheidungen über Menschen treffen? Wenn etwa der Algorithmus einer Versicherung beim Durchkämmen von Tausenden Datenpunkten als Muster entdeckt, dass Antragsteller in einer bestimmten Facebook-Gruppe wahrscheinlicher Krebs bekommen werden? Oder ein Bewerbungssystem Frauen systematisch aussortiert, weil diese in der Vergangenheit schon schlechte Chancen im Unternehmen hatten? „Proxy Discrimination“ nennt sich dieses Problem: Stellvertretend für eine unbekannte Variable – Geschlecht, Religion oder genetische Veranlagung – sucht sich das System einen anderen Indikator, um Wahrscheinlichkeiten zu berechnen – einen Proxy eben. Die Menschen, die diese Systeme einsetzten, bemerken das oft nicht mal.

Daniel Schwarcz unterrichtet Jura an der University of Minneapolis und beschäftigt sich mit diesen Fragen. Er glaubt: Unsere jetzigen Gesetze gegen Diskriminierung reichen für eine Gegenwart der Algorithmen und Big Data nicht mehr aus. Sie wurden für eine Vergangenheit gemacht, in der es diese Probleme nicht gab. Aber wie müsste ein zeitgemäßes Update für Antidiskriminierung aussehen? Darüber reden wir mit Daniel Schwarcz – per Fernschalte nach Minneapolis.

NPP 178: Wenn Algorithmen unabsichtlich diskriminieren


https://netzpolitik.org/wp-upload/2019/07/NPP178.mp3

NPP ist der Podcast von netzpolitik.org. Hier ist der Link zum Download von NPP 178 als mp3-Datei. Ihr könnt den Podcast auch als OGG-Datei herunterladen oder bei Spotify abonnieren. Wie immer freuen wir uns über Kommentare, Wünsche und Verbesserungsvorschläge. Und wir freuen uns über Bewertungen auf den üblichen Podcast-Portalen, denn mit vielen guten Bewertungen steigt die Sichtbarkeit.

Shownotes:

  • Anya Prince, Daniel Schwarcz: Proxy Discrimination in the Age of Artificial Intelligence and Big Data (Das Paper als PDF)
  • Amazon scraps secret AI recruiting tool that showed bias against women (Reuters)
  • Amazon’s sexist hiring algorithm could still be better than a human (Phys.org)
  • Das Allgemeine Gleichbehandlungsgesetz (AGG) in Deutschland, das die „Benachteiligungen aus Gründen der Rasse (sic!) oder wegen der ethnischen Herkunft, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität“ verhindern soll.
  • Senators are asking whether artificial intelligence could violate US civil rights laws (Quartz)
  • Human Rights in the Age of Artificial Intelligence (PDF von Acces Now)
  • Rede des Ex-Justizministers Heiko Maas vom 3. Juli 2017, in der er ein „digitales Antidiskriminierungsgesetz“ vorschlägt
  • Redlining was banned 50 years ago. It’s still hurting minorities today. (Washington Post)
  • Kritische Reaktionen von Forscher:innen und Aktivisten auf diesem Vorschlag (Zeit Online)

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Netzpolitischer Wochenrückblick KW 29: Für die Polizei ist Alexa auch nur ein Computer

netzpolitik.org - 19 Juli, 2019 - 18:50
Dies ist keine Nickelbrille. CC0 Pixabay

Unser Wochenrückblick wird auch als wöchentlicher Newsletter verschickt. Hier könnt Ihr Euch anmelden.

Zu Beginn ein kurzer Werbeblock: Am 13. September feiern wir in der Volksbühne Berlin mit unserer „Das ist Netzpolitik!“-Konferenz und einer anschließenden Party unseren 15. Geburtstag. Tickets gibt es im Vorverkauf. Noch könnt ihr Einreichungen zum Programm und zur Party machen.

Laut Klickzahlen ist das Thema der Woche für unsere Leserinnen klar Hans-Georg Maaßen. Nun könnte man sagen, Twitter-Trolle besser nicht füttern, lieber alleine lassen – aber es ist eben nicht irgendein Troll, sondern der ehemalige Chef des Verfassungsschutzes, der hier seine wirren Thesen mit Verlinkungen auf rechte Blogs belegt. Was das für den Verfassungsschutz als Behörde bedeutet, beleuchtet und kommentiert Markus Reuter.

Nein, wir wollen keine neuen Berechtigungen zum Abhören von Smart-Home-Geräten, hatten die Innenminister vor einem Monat gesagt. Warum, wird jetzt klar: Weil die Bundesregierung der Meinung ist, dass sie das schon lange darf. Amazon Echo, Google Home und Co. seien eben auch nur Computer, die Polizei behandelt sie genauso wie Smartphones oder Disketten.

Von der Berateraffäre zu den Baustellen in Brüssel

Die EU hat eine bewegte Woche hinter sich: Ursula von der Leyen wurde zur neuen Kommissionspräsidentin gewählt. Wir untersuchen die netzpolitischen Baustellen, vor denen sie in Brüssel nun steht. Ihr bisherigen Leistungen in unserem Ressort sind: Nun ja, sagen wir, sie lassen stark zu wünschen übrig. Die Kollegen von golem.de geben einen ausführlichen Überblick.

Auch ansonsten sind die Meinungen über die Personalie geteilt. Irgendwo zwischen „wahnsinnigem Informationsdefizit“, fließendem Englisch und Französisch, „Tempo“ und „wolkigen Versprechen“ versteckt sie sich. Übrigens: Wer den Namen von von der Leyens Nachfolgerin im Verteidigungsministerium weniger oft lesen möchte , sollte diesem Firefox-Plugin eine Chance geben.

Die Kommission wartet nicht untätig auf ihre neue Präsidentin: Sie arbeitet schon an einem neuen Gesetz für digitale Plattformen, das die rund zwanzig Jahre alte e-Commerce-Richtlinie ersetzen könnte. Momentan sehr vieldiskutierte Themen wie Desinformation und Online-Werbung könnten mit dem neuen Gesetz geregelt werden. Wir veröffentlichen das Arbeitspapier im Volltext.

Einig war sich die Kommission mit dem Parlament: Spionagesoftware sollte beim Export stärker kontrolliert werden. Doch die Mitgliedstaaten haben das im Rat nun abgelehnt. Daniel Moßbrucker berichtet vom Frust der Parlamentarier über den Rat, der sich nach zwei Jahren nur auf das Blockieren einigen konnte.

Für jeden Telekommunikationsanbieter was dabei

Wir hoffen, dass sie jetzt nicht aus Enttäuschung Reinald Krueger zum Vorbild nehmen. Er war zehn Jahre hochrangiger Beamter für die Regulierung von Telekommärkten, bis er letztes Jahr zu Vodafone ging. Die eigentlich strengen Vorschriften für den Wandel zum Lobbyisten nimmt er nicht ganz so genau. Auch die Kommission sieht keinen Regelverstoß, Vodafone freut sich sowieso.

Wohl auch darüber, dass sie Unitymedia übernehmen dürfen. Das hat die Kommission ein Jahr nach der Ankündigung der Pläne entschieden. Das ärgert die Telekom, die diese Woche eine weitere Niederlage hinnehmen musste: Das Oberverwaltungsgericht Nordrhein-Westfalen – oder, wie die Kenner sagen, das OVG NRW – beschied das Aus für das Telekom-Angebot StreamOn in seiner aktuellen Form. Der Streit schwelt bereits seit Jahren, nun bestätigt auch dieses Gericht: StreamOn verstößt gegen die Netzneutralität und EU-Roaming-Regeln.

Burggräben in Berlin

Deutschland arbeitet an der Umsetzung der EU-Urheberrechtsreform. In der Debatte um Artikel 13 hatte die CDU versprochen, sich gegen Uploadfilter in der deutschen Gesetzgebung einzusetzen, dieses Versprechen wird nun getestet: Die nationale Umsetzung beginnt.

Berlin braucht bekanntlich manchmal ein bisschen länger. Diesmal geht es um den lange versprochenen Digitalpakt für Schulen, der Bildungseinrichtungen den Einstieg ins Internetzeitalter erleichtern soll. Erst ein winziger Teil der Fördergelder ist bisher verfügbar. In Berlin kann man sie nicht einmal beantragen.

Dafür mangelt es nicht an Begeisterung für mehr Sicherheit im Regierungsviertel: Vor dem Bundestag soll ein 2,5 Meter tiefer Burgraben gezogen werden. Das eine Absage an Offenheit und Bevölkerungsnähe, wie Markus Reuter kommentiert.

Das Bundesamt für Migration und Flüchtlinge (BAMF) durchsucht mit Künstlicher Intelligenz Anhörungsprotokolle. So sollen „sicherheitsrelevante“ Informationen gefunden werden. Die werden dann mitunter auch an den Verfassungsschutz weitergeleitet.

Gesichtserkennung wurde nicht nur am Berliner Südkreuz getestet, es gibt sie schon länger an Flughäfen. Neu ist, dass jetzt auch Kinder ab einem Alter von zwölf Jahren durch die sogenannten eGates laufen können. Bisher geht das nur bei Flügen über die Grenzen der EU. Eher kurios: Auch die Erfassung von Tiergesichtern boomt weltweit.

Google, Facebook, Amazon: ein Dreiklang

Meredith Whittaker war eine der profiliertesten Google-kritischen Stimmen innerhalb des Konzerns. Seit dieser Woche arbeitet sie dort nicht mehr. Nach Protesten gegen den Umgang mit sexueller Belästigung und die Zusammenarbeit mit dem chinesischen Regime waren schon andere Kritikerinnen regelrecht herausgemobbt worden. Dieser Umgang mit Whistleblowerinnen wirft kein gutes Licht auf Google, schreibt Chris Köver.

Fünf Milliarden US-Dollar klingen nach viel, für Facebook ist die Strafe anscheinend kaum wichtiger als ein per Brief verschickter Poop-Emoji. Der Aktienkurs stieg weiter an, ein „leichter Schlag auf das Handgelenk“ sei die Zahlung, so Kritiker. Alexander Fanta fordert strukturelle Veränderungen.

Auch gegen Amazon läuft in Europa nun ein Wettbewerbsverfahren. Das Unternehmen nutzt Marktplatzdaten anderer Händler, um die eigenen Produkte zu optimieren, glaubt die EU-Kommission. Sie prüft nun ein illegales und wettbewerbswidriges Verhalten.

Immer mehr grundlegende Dienste erfordern, dass die Nutzer ein Smartphone haben und proprietäre Apps installieren. Es könnte sein, dass auch ihr eine App eurer Bank installieren müsst, weil sie euch sonst keine TANs mehr zukommen lässt. Lennart Mühlenmeier kommentiert diese Entwicklung und erklärt, warum das der falsche Weg in die digitale Zukunft ist.

Datenschutz mal ganz praktisch

Meldesperren dürfen kein Luxus sein, fordert die Bremer Datenschutzbeauftragte Imke Sommer. Bisher braucht es einen expliziten Nachweis einer drohenden Gefahr, der auch noch alle zwei Jahre erneuert werden muss. Wir geben zehn konkrete Beispiele, warum leichtere Auskunftssperren dringend notwendig wären. In den Ergänzungen habt ihr noch einige gute Szenarien hinzugefügt. Danke dafür!

Ein einziger Pixel reicht, um E-Mails zu Tracking-Tools zu machen. Wir schildern, wie man dagegen vorgehen kann. Felix Schwenzel gibt bei piqd.de noch einige Hinweise zu personalisierten Links in Newslettern, die auch zuhauf für das Tracking genutzt werden.

Wirklich menschenverachtende Erfassung führt gerade der rechtsradikale italienische Innenminister Matteo Salvini ein: Sinti und Roma sollen erfasst werden, um sie leichter abschieben zu können. Auch Deutschland hat hier eine unrühmliche Geschichte: von der „Landfahrerkartei“ bis zu Personengebundenen Hinweisen mit der Kategorie „wechselt häufig Aufenthaltsort“, deutsche Polizeien erfassen Roma und Sinti mithilfe von Stellvertreter-Kategorien.

netpolitics.org in English

Wir haben diese Woche auch über einige Themen auf Englisch veröffentlicht: Vom Artikel zu Claudio Agostis Forschung zum Facebook-Algorithmus über das Alexa-Gutachten des wissenschaftlichen Diensts bis hin zur Ausweitung der indischen Biometriedatenbank Aadhaar. Auch die Texte zum schon erwähnten Arbeitspapier zur Plattformregulierung und dem Zank über die Exportkontrollen auf Spionagesoftware haben wir übersetzt. So viele werden es wohl nicht jede Woche. Aber falls ihr euren englischsprachigen Freunden am Wochenende mal zeigen wollt, worüber wir berichten: Alle unsere übersetzten Artikel sind unter dem Tag „English“ zu finden.

Wir wünschen ein schönes Wochenende!

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: Passagierdaten, Browserverläufe und ägyptische Zensoren

netzpolitik.org - 19 Juli, 2019 - 18:00
Da sitzt doch eine Taube auf dem Dach gegenüber.

Justizministerin Lambrecht gegen Erfassung von Zug- und Busreisenden (Süddeutsche)
Die neue Bundesjustizministerin Christine Lambrecht (SPD) stellt sich gegen EU-Überlegungen zu einer Ausweitung der Speicherung und Analyse von Analyse von Flugpassagierdaten Reisen per Bahn, Fernbus oder Schiff. Dies gehe über das bestehende PNR-System hinaus und stelle eine weitergehenden Eingriff in die Grundrechte dar, sagt Lambrecht

My browser, the spy: How extensions slurped up browsing histories from 4M users (ArsTechnica)
Ein Datenleck, dass den passenden Namen „DataSpii“ trägt, hat offenbar den Browserverlauf und damit verbundene Daten von rund vier Millionen Menschen exponiert. Ursache des Lecks waren Browser-Extensions des Anbieters NachoAnalytics. Der Vorfall ist in dieser Studie nachzulesen.

How Mada Masr is surviving Egypt’s authoritarianism (Dawn)
Im Interview berichtet einer der Autor:innen von Mada Masr über deren furchtlosen Journalismus als ägyptische Oppositionellen-Website in einem autoritären Regime. Mada Masr berichtet in englischer und arabischer Sprache und muss immer wieder neue Wege finden, staatliche Blockaden ihrer Website zu umgehen.

Mit der Open-Source-Tomate gegen den Klimawandel  (ZDF)
Sunviva heißt die kleine, süße Cocktailtomate. Sie steht unter der Open-Source-Saatgutlizenz und ihre Samen wurden zuletzt von der Stadt Dortmund kostenlos verteilt. Weiter so!

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Asylbehörde sucht mit Künstlicher Intelligenz nach auffälligen Geflüchteten

netzpolitik.org - 19 Juli, 2019 - 16:43
Das BAMF schmückt sich in einem Imagevideo mit dem neuen IT-Labor - inklusive Matrix-Kicker. Alle Rechte vorbehalten Screenshot: BAMF

„KI ist bei uns keine Zukunft, sondern gelebte Praxis“, sagte Markus Richter im Dezember. Richter ist Vize-Chef des Bundesamtes für Migration und Flüchtlinge (BAMF), früher leitete er die IT-Abteilung des Amtes. Die Behörde, selbsternannter Digitalisierungsvorreiter, testet Künstliche Intelligenz in verschiedenen Bereichen: Algorithmen sollen den digitalisierten Posteingang sortieren, sogenannte Profilanalysen durchführen und Klageandrohungen auch in ironisch formulierten Anwaltsschreiben erkennen.

Die Enquete-Kommission des Bundestages zu Künstlicher Intelligenz ließ sich die KI-Vorhaben deutscher Behörden und Ministerien genauer erklären. Wir veröffentlichen die Antworten des Innenministeriums zu KI im Bundesamt für Migration und Flüchtlinge.

Datenweiterleitung an Sicherheitsbehörden

Das BAMF führt derzeit ein Pilotprojekt zur „Profilanalyse“ durch. Laut dem Gruppenleiter für Prozesse und IT wurde die Profilanalyse entwickelt, „um den gesetzlichen Meldeverpflichtungen des BAMF an Sicherheitsbehörden leichter und schneller nachkommen zu können“.

Die Migrationsbehörde meldet zum Beispiel Personen an den Verfassungsschutz, wenn Informationen aus Anhörungen nahelegen, das Antragsteller für den Geheimdienst interessant sein könnten. Das ist etwa der Fall, wenn Verbindungen zu Terrorismus bestehen könnten – sei es als Opfer oder mutmaßlicher Täter. Immer häufiger leitet das BAMF Daten an den Verfassungsschutz weiter: Im Jahr 2015 waren es noch gut 500 Fälle, zwei Jahre später bekam der Verfassungsschutz vom BAMF über 10.000 Hinweise. Wie viele tatsächlich relevante Erkenntnisse das bringt, ist nicht öffentlich bekannt.

Das System wurde mit alten Protokollen trainiert

Mitarbeiter, die freiwillig an der Pilotphase für die Profilanalyse teilnehmen, bekommen von der Software „potentiell relevante Textstellen“ in Anhörungsprotokollen vorgeschlagen. Das System wurde mit „anonymisierte[n] Anhörungsprotokolle[n] aus Asylverfahren“ trainiert.

Wie diese Anonymisierung aussieht, sagt das Innenministerium nicht. Wohl aber, dass Datenschutz ein großes Problem beim Trainieren der Algorithmen ist. Das Training mit Echtdaten sei „nahezu unmöglich“. Sollten nur die Namen und Identifikatoren entfernt worden sein, dürften sich weiterhin Rückschlüsse auf Personen ziehen lassen – schon allein anhand ihrer Fluchtgeschichte.

Bei den historischen Daten sei bekannt, ob sie einem bestimmten Kriterium entsprechen würden. Übersetzt auf den Anwendungsfall: Könnte den Verfassungsschutz oder andere Behörden die Information interessieren?

Im Pilotbetrieb sollen BAMF-Mitarbeiter die von der KI markierten Textstellen bewerten: Ist der Software-Treffer tatsächlich relevant? Hat das System andere relevante Textstellen übersehen? Mit diesem Feedback soll das System weiter lernen und sich verbessern.

Derzeit mag die Software Ausländer nur nach „Sicherheitshinweisen“ rastern, der Einsatzzweck solcher Systeme lässt sich aber leicht erweitern. Technisch wäre es einfach, auch die „Bleibeperspektive“ der Antragsteller:innen von Computern vorsortieren zu lassen.

Das BAMF hat noch mehr KI-Systeme

Das Innenministerium listet nicht alle KI-Technologien auf, die das BAMF einsetzt: Das BAMF nutzt Software, um Dialekte zu erkennen und Anhaltspunkte dafür zu gewinnen, wo Geflüchtete herkommen. Auch wenn das wissenschaftlich umstritten ist und das BAMF selbst von einer 15-prozentigen Fehlerquote ausgeht. Ein weiteres KI-System analysiert Textnachrichten auf ausgelesenen Smartphones der Schutzsuchenden – auch da geht es um die Sprache, die der Antragsteller nutzt.

Es besteht die Gefahr, dass Entscheidungen über Menschen Maschinen überlassen werden. Das gibt das Innenministerium zu:

Die größten Risiken sieht BAMF in der alleinigen Entscheidungshoheit von Maschinen, so dass im BAMF ausschließlich Assistenzsysteme entwickelt werden, die Mitarbeitende unterstützen, aber niemals die abschließende Entscheidungshoheit besitzen werden.

Dem entgegen steht eine hohe Belastung der Entscheider und sonstiger Mitarbeiter, die dazu verleiten, den vermeintlich neutralen Ergebnissen der Algorithmen zu viel Glauben zu schenken. Das ist bereits vorgekommen. Asylsuchenden wurden falsche Angaben vorgeworfen, ihre Asylanträge zunächst abgelehnt. Außer der Computeranalyse sprach fast alles für ihre Aussagen.

Antworten des Bundesministeriums des Innern, für Bau und Heimat zu Fragen der Enquete-Kommission Künstliche Intelligenz (Teil „KI-Anwendungen im Bereich Migration und Flüchtlinge“) Zu den Fragen 1 bis 7: Anschaffung

Im Bundesamt für Migration und Flüchtlinge werden Methoden der künstlichen Intelligenz in drei Vorhaben angewendet: Im Projekt ZPE (Zentraler Posteingang) sowie in den Projekten EGVP (Elektronisches Gerichts- und Verwaltungspostfach) und im Projekt „Profilanalyse“.

Die Entscheidung wird abhängig von den Einsatzmöglichkeiten und den Vorgaben zur IT-Architektur getroffen. Da es sich um neue Methoden handelt, ist externer Sachverstand sinnvoll. Er wird anlassbezogen eingebunden. Das Bundesamt für Migration und Flüchtlinge (BAMF) wendet Methoden der künstlichen Intelligenz an. Die größten Potenziale sieht BAMF in allen Prozessen, in denen große Datenmengen verarbeitet werden und Mitarbeitende immer nur einen kleinen Ausschnitt bearbeiten, so dass Zusammenhänge und Muster nur schwer zu erkennen sind, Darüber hinaus bietet der Einsatz von KI grundsätzlich Möglichkeiten zur Erhöhung der Verarbeitungsqualität.

Die größten Risiken sieht BAMF in der alleinigen Entscheidungshoheit von Maschinen, so dass im BAMF ausschließlich Assistenzsysteme entwickelt werden, die Mitarbeitende unterstützen, aber niemals die abschließende Entscheidungshoheit besitzen werden. Weiterhin ist für den Einsatz von KI Spezialwissen erforderlich. Im BAMF wurde das Kompetenzzentrum der Fachanalytik implementiert. Die Fachanalytik befasst sich mit der Vorbereitung, Verknüpfung und Analyse von strukturierten und unstrukturierten Daten (Big Data Analyse) zur Erkennung von Mustern, Auffälligkeiten und Zusammenhängen sowie der Prognose künftiger Entwicklungen und erprobt angewandte künstliche Intelligenz.

Innerhalb des Kompetenzzentrums befassen sich Daten-Analysten mit möglichen Anwendungsfällen sowie Projekten und bewerten diese hinsichtlich ihrer Eignung. Die Bewertung umfasst die Aspekte der inhaltlichen und technischen Machbarkeit, sowie die rechtlichen Rahmenbedingungen, die Belange der IT-Sicherheit und die der Personalvertretung. Der Einsatz von Methoden der KI unterscheidet sich nicht grundsätzlich vom Einsatz herkömmlicher IT-Systeme.

Die größten Herausforderungen sieht BAMF in der Einhaltung der datenschutzrechtlichen Rahmenbedingungen, die ein Training von Maschinen mit Echtdaten nahezu unmöglich bzw. extrem aufwendig und damit kosten- und zeitintensiv werden lassen. Dieses trifft auch dann zu, wenn die Datensätze zwar personenbezogene Daten enthalten, diese aber nicht relevant für das Training der Maschine sind.

Teilweise verfügen hervorragende Daten-Analysten über keinen Hochschulabschluss. Das Laufbahnrecht des Bundes bietet zwar flexible Instrumente, die eine Einstellung auch bei Fehlen eines erforderlichen Abschlusses ermöglichen. Aufgrund des strukturellen Mangels an IT-Spezialisten ist es derzeit jedoch für alle Arbeitgeber in Deutschland schwierig, Fachkräfte in ausreichender Anzahl auf dem Arbeitsmarkt zu rekrutieren.

Die gesetzlichen Grundlagen bestehen in den entsprechenden datenschutzrechtlichen Bestimmungen sowie in den der Datenverarbeitung und -analyse zugrundliegenden rechtlichen Bestimmungen der jeweiligen Datenbank, beispielsweise AsylG oder AZRG. In erster Linie besteht Bedarf nach internen Experten oder entsprechenden Budgets für externes Personal. Darüber hinaus ist es wichtig, Experten für den Bereich Datenschutz zu gewinnen.

Zu den Fragen 8 bis 11 Datengrundlage

Im Rahmen des Pilotprojekts „Profilanalyse“ werden anonymisierte Anhörungsprotokolle aus Asylverfahren verwendet. Für die Projekte ZPE und EGVP existieren entsprechende Fachkonzepte sowie Dienstvereinbarungen. In den drei Projekten wurden die Daten und Trainingsdaten sowohl von internem als auch externem Personal geprüft und annotiert, so dass die Qualität sichergestellt werden konnte. Im Pilotprojekt „Profilanalyse“ wurde die Datenmenge von internen Experten der Fachanalytik geprüft und inkrementell erhöht, da die Menge zu Beginn der Pilotierung nicht ausreichend war.

Im Pilotprojekt „Profilanalyse“ werden als Datenbasis für die Modellentwicklung vom Fachbereich Auszüge von historischen Daten aus mehreren Jahren zufällig ausgewählt und stichprobenartig qualitätsgesichert, Bei diesen Daten ist bekannt, ob sie einem Kriterium entsprechen oder nicht. Durch Vergleich mit Statistiken über die Datengesamtheit wird sichergestellt, dass die Datenauszüge repräsentativ sind. Durch Vergleich zwischen verschiedenen Zeitscheiben werden zeitliche Veränderungen berücksichtigt.

Bei der „Profilanalyse“ schlagen Modelle potentiell relevante Textstellen vor. Die Anwender evaluieren diese Vorschläge. Auf diese Weise entstehen laufend weitere Trainingsdaten, die nach einer Qualitätssicherung durch den Fachbereich ebenfalls für das Training und die Aktualisierung der Modelle herangezogen werden.

Im Pilotprojekt „Profilanalyse“ werden für die Modellentwicklung historische Daten mit Hilfe von statistischen Verfahren, wie z.B. Kreuzvalidierung, zufällig in Trainings- und Testdaten unterteilt. Dies erfolgt durch die Modellentwickler selbst. Die fertigen Modelle werden dann durch Experten des Fachbereichs, wo die Modelle im Rahmen des Pilotbetriebes zum Einsatz kommen, anhand gänzlich neuer, noch unbekannter Daten, evaluiert. Bei den Projekten ZPE und EGVP erfolgt die Unterteilung durch die Projektleitung in Zusammenarbeit mit den Testmanagern.

Zur Frage 12 Wahl der Methode

Im Pilotprojekt „Profilanalyse“ wurde dies mit Hilfe eines explorativen Ansatzes durch interne Experten der Fachanalytik, in Abstimmung mit externen Experten evaluiert. Dazu wurden zunächst potentiell relevante Datenquellen identifiziert und mit dem Datenschutz abgeklärt. Anhand von Datenauszügen wurde dann beispielhaft untersucht, ob die Fragestellung, hier Klassifikation von Textstellen, auf Basis der verfügbaren Daten möglich ist.

Dazu wurden verschiedene Arten von Informationen aus den Texten extrahiert und mit unterschiedlichen Verfahren des maschinellen Lernens zu Modellen verarbeitet und beurteilt. Die abschließende Entscheidung haben interne Experten der Fachanalytik, in Abstimmung mit externen Experten auf Basis der erreichten initialen Modellergebnisse vorgenommen.

Zu den Fragen 13 und 14 Evaluierung des trainierten Modells

Im Pilotprojekt „Profilanalyse“ werden Textstellen binär danach klassifiziert, ob sie einem Kriterium entsprechen oder nicht. Als Gütemaße werden Vollständigkeit und Präzision herangezogen. Vollständigkeit ist ein Maß dafür, wie viele der Textstellen, die tatsächlich relevant sind, durch das Modell gefunden werden. Präzision ist ein Maß dafür, ob Textstellen, die durch Modell als potentiell relevant eingestuft worden sind, auch tatsächlich relevant sind.

Der Fachbereich legt fest, welche Güte für die einzelnen Größen erreicht werden soll. Je nach Einsatzgebiet ist es wichtiger, möglichst keinen Treffer zu übersehen (Vollständigkeit) oder möglichst keine Fehlalarme auszulösen (Präzision). In den Projekten ZPE und EGVP erfolgt dies durch Feedback der Nutzer und Analyse der Ergebnisqualität.

Im Pilotprojekt „Profilanalyse“ wird durch die Anwendung verschiedener Methoden eventuellen Diskriminierungen entgegengewirkt. Wie zuvor dargestellt, wurde bereits bei der Auswahl der „Grundwahrheit“ auf einen repräsentativen Ausschnitt der Daten geachtet. Es findet eine stichprobenartige Qualitätssicherung der Trainingsdaten durch Fachbereich und externe Entwickler statt, um zu vermeiden, dass möglicherweise bereits in der Vergangenheit aufgetretene Diskriminierungseffekte durch die Anwendung von maschinellem Lernen unbewusst fortgeschrieben werden.

Bei der Modellerstellung diskutieren interne und externe Fachexperten die möglichen Datenattribute hinsichtlich Diskriminierungsrisiken und verzichten ggf. auf einzelne Attribute. Eine fortlaufende Überwachung mit Hilfe von Fairnessmaßen ist für den Wirkbetrieb der „Profilanalyse“ angedacht. Dazu wird der Fachbereich in Zusammenarbeit mit den internen Experten der Fachanalytik Vorschläge erarbeiten. In den Projekten ZPE und EGVP wird dies durch externe Experten sichergestellt.

Zu den Fragen 15 bis 22 Betrieb

Aktuell befindet sich das Projekt „Profilanalyse“ im Pilotbetrieb. In dieser Phase werden alle Ergebnisse der Anwendung manuell evaluiert und ggf. durch die beteiligten Mitarbeiter des internen Fachbereichs angepasst. Für den späteren Wirkbetrieb ist angedacht, dass Mitarbeiter des Fachbereichs mit Hilfe einfacher Berichte in der Oberfläche der Anwendung, Veränderungen in der Vorhersagegüte der Modelle erkennen können. Fällt die Güte über die Zeit hinweg unter einen definierten Wert, werden die Anwendungsverantwortlichen in Zusammenarbeit mit den internen Experten der Fachanalytik eine Überarbeitung der Modelle anstoßen.

In den Projekten ZPE und EGVP erfolgt dies durch Feedback der Nutzer und Analyse der Ergebnisqualität. Im Pilotprojekt „Profilanalyse“ haben die Anwender sowohl die Möglichkeit Treffervorschläge durch ein Modell abzulehnen (false positives), als auch neue Treffer anzulegen, wo das Modell relevante Stellen übersehen hat (false negatives). Die „Profilanalyse“ ist als unterstützendes System ausgelegt. Alle Daten werden auch durch einen menschlichen Bearbeiter gesichtet, eine Dunkelverarbeitung findet nicht statt.

Für die Projekte ZPE und EGVP ist ein entsprechendes Feedback sichergestellt. Das Fachanalytik-Kompetenzzentrum ist referatsübergreifend personalisiert und besteht aus der Leitung, einem Business-Translator, einem Daten-Analysten und einem Data-Engineer. Im Rahmen der Projekte ZPE und EGVP sind bis zu 4 Personen mit dem Einsatz von KI befasst, verantwortlich ist die Projektleitung.

Im Pilotprojekt „Profilanalyse“ wurden alle Teilnehmenden geschult. Die Schulungen beinhalteten neben Bedien- und Prozesshinweisen des Systems auch grundlegende Informationen zu maschinellem Lernen und künstlicher Intelligenz. Es sollen weiteren Daten-Analysten geschult werden. Bei den Projekten ZPE und EGVP erfolgt die Schulung durch externe Anbieter.

Zu Frage 19: Diese Kontrollfunktion übernimmt die jeweilige Fachseite. Im Pilotprojekt „Profilanalyse“ wurden die Mitarbeitenden gefragt, ob sie an dem Pilotprojekt teilnehmen möchten, das auf Methoden der künstlichen Intelligenz beruht. Nur wer sich bereiterklärt hat, ist auch Teil der Pilotierung. Für die Projekte ZPE und EGVP existiert ein Info-Brief, der im Bundesamt versendet wird. Das Pilotprojekt „Profilanalyse“ ist als unterstützendes System ausgelegt.

Alle Vorschläge des Systems werden durch den Anwender gesichtet und abschließend im Fachbereich beurteilt, übersehene Textstellen können manuell ergänzt werden. Auf diese Weise entstehen kontinuierlich neue Trainingsdaten, die in regelmäßigen Abständen oder ggf. auch ad hoc zu einer Aktualisierung der Modelle herangezogen werden können.

Es wird noch untersucht, in welchen regelmäßigen Abständen eine Modellaktualisierung sinnvoll ist, Für die Projekte ZPE und EGVP erfolgt dies durch die nutzenden Personen. Wie zuvor dargestellt, werden alle Widersprüche im Pilotprojekt „Profilanalyse“ durch Mitarbeiter des Fachbereichs gesichtet. Zeigen sich dabei systematische Fehlentscheidungen, bzw. fällt die Modellgüte insgesamt unter ein definiertes Maß, so wird durch die Anwendungsverantwortlichen des Fachbereichs in Zusammenarbeit mit den internen Experten der Fachanalytik eine Überarbeitung der Modelle angestoßen.

Die neuen Modelle werden darauf getestet, ob sie die zuvor erkannten Fehlentscheidungen mitigieren. Für die Projekte ZPE und EGVP ist dies zu bejahen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Kasachstan zwingt Nutzer zur Installation von Überwachungszertifikat

netzpolitik.org - 19 Juli, 2019 - 15:09
Kasachstan gibt sich gerne modern. Hier die Hauptstadt Nur-Sultan. (Symbolbild) Alle Rechte vorbehalten astana.gov.kz

Kasachstan zwingt Internet-Zugangs-Anbieter, ihre Kund:innen aufzufordern, ein Root-Zertifikat des Staats auf ihren Endgeräten zu installieren. Wer das nicht tut, kann das Internet nicht mehr nutzen. Damit können staatliche Behörden per „Machine-in-the-Middle“ die Transportverschlüsselung TLS aushebeln und so verschlüsselten Internetverkehr analysieren.

Seit Mittwoch werden kasachische Kund:innen auf die offizielle Staats-Website qca.kz weitergeleitet und müssen dort das Zertifikat installieren. Manche Provider leiten Kund:innen auch auf eine eigene Website mit Anleitungen zur Installation für verschiedene Plattformen weiter.

Firefox-Entwickler diskutieren die Maßnahme

Diese Überwachungsmaßnahme wurde als Fehler-Bericht beim Entwickler-Team von Mozilla eingereicht. Die staatliche Maßnahme ist jedoch nicht auf diesen Browser beschränkt. Zur Installation des bösartigen Zertifikates werden jegliche Internetnutzer plattformübergreifend aufgefordert.

Bei Mozilla diskutieren Firefox-Entwickler und Sicherheitsforscher, welche Gegenmaßnahmen praktikabel wären: Einerseits würde ein Sperren des Zertifikates wohl zu einem regionalen Verbot von Firefox führen, andererseits bemängeln Einzelne, dass man Staaten „nicht auf den Schlips treten“ solle.

Kasachstan versuchte es vorher über den offiziellen Weg

Ende 2012 forderte das zuständige kasachische Ministerium Mozilla auf, ein eigenes staatliches Root-Zertifikat in Firefox zu implementieren. Die Entwickler:innen verneinten dies aufgrund vorheriger „Machine-in-the-Middle“-Attacken durch den Zertifikatseigner.

Immer wieder versuchen Akteure, ihre eigenen Zertifikate für bösartige Zwecke hinzuzufügen: Anfang dieses Jahres stellte beispielsweise die IT-„Sicherheitsfirma“ DarkMatter einen solchen Antrag bei Mozilla. DarkMatter sitzt in den Vereinigten Arabischen Emiraten und soll eine Nähe zu staatlich-unterstützten Hackergruppen haben.

Versuch als Gesetz gescheitert

Bereits 2015 versuchte die kasachische Regierung, Nutzer:innen ein staatliches Zertifikat aufzuzwingen. Das damalige Gesetz scheiterte durch Beschwerden und Klagen von Providern, Banken und ausländischen Regierungen. Die rechtliche Lage für die derzeitige Maßnahme bleibt unklar.

Die Bürger:innen der Präsidialrepublik protestieren seit etwa einem Monat mit Unterbrechungen gegen den in ihren Augen korrupten Machtwechsel des Präsidenten. Nachdem Präsident Nasarbajew im Juni überraschend zurücktrat und durch Qassym-Schomart Tokajew abgelöst wurde, beklagen die Vereinten Nationen weitreichende Defizite bei der Meinungsfreiheit und Bürgerrechte. Die derzeitige Attacke reiht sich in diese Repressionswelle ein.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Warum Post, Bank und Co. ihre Kunden nicht zwingen sollten, Apps zu benutzen

netzpolitik.org - 19 Juli, 2019 - 12:57
Hier kannst Du nicht reinschauen: Ein Vorhängeschloss. (Symbolbild, Collage: netzpolitik.org) Gemeinfrei-ähnlich freigegeben durch unsplash.com chris panas

Immer mehr Dienste, die Transaktion-Authentifikations-Nummern (TANs) verwenden, zwingen uns zu Produkten, die unfrei sind. Die Packstationen von DHL kannst Du als Neukunde nur noch mittels App öffnen. Online-Banking ist bei manchen Banken nur noch in Kombination mit der proprietären App möglich. Jede Firma will Dir ihre App andrehen. Und lässt Dir keine Alternative..

Das stellt ein Hindernis für Menschen dar, die nicht mit dem Strom gehen. Menschen, die kein Smartphone haben wollen. Menschen, die nicht jede App auf dem Smartphone haben wollen. Menschen, die nur quellfreie Software auf ihrem mobilen Begleiter und zweiten Gehirn anwenden und trotzdem ein lebenswertes Leben führen. Menschen, die ganz ohne Instagram, Tinder und Co. auskommen, aber trotzdem bequem online Geld überweisen und Pakete abholen wollen.

Das Ausweichen auf den Laptop oder Standrechner könnte in Zukunft unmöglich werden. DHL macht es vor: Von nun an steht für Neukunden nur noch die App zur Verfügung, um eine TAN zum Öffnen des Schließfaches von Packstationen zu erhalten. Ein Unding.

Es gibt mindestens vier Gründe, warum es (quellfreie) Alternativen geben muss.

1. Sie zwingen dich, ein Smartphone zu haben

Um am Leben vollwertig teilnehmen zu können, wirst du gezwungen ein Smartphone zu haben und auch zu verwenden. Dein Nokia 3310 ist zwar schick, aber bitte hol‘ dir jetzt für 100 EUR oder mehr neue Hardware, um ein analoges Postfach zu öffnen. Das Nokia ist zwar immer noch schick, aber Du brauchst ebenso ein Smartphone, um auch mobil oder im Urlaub deine Rechnungen bezahlen zu können. Dazu kommt die soziale Komponente: Nicht jeder kann sich ein Smartphone leisten.

2. Sie zwingen dich, bei Apple oder Google zu sein

Du hast kein iPhone? Oder auch kein Google-Android auf deinem Smartphone? Sondern quellfreie Alternativen? Dann kannst Du das mit dem mobilen Banking oder dem praktischen Paketabholen auch gleich lassen und wieder Überweisungsträger per Post schicken. Quellfreie Alternativen, die auch auf LineageOS oder CopperheadOS laufen und somit im F-Droid-Store landen würden, sind möglich.

3. Sie zwingen dich, dass deine Daten abfließen

Du führst deine Banking-App in deinem Google-Android aus? Warum genau sollte Google eigentlich wissen dürfen, bei welcher Bank Du Kunde bist und was für Eingaben Du in der App tätigst? Was geht es sie an? Dies wäre leicht zu umgehen, wenn die Entwickler der hier genannten Applikationen, oder besser gesagt deren Chefs, auf (Quell-)Freiheit setzen würden. Um nur ein Beispiel zu nennen: mittels One-Time-Passwords mit dementsprechender F-Droid-App.

4. Sie zwingen dich zu proprietärer Software

Du musst nicht blind darauf vertrauen, dass Software-Entwickler schon wissen, was sie tun. Genug Bug-Offenlegungen – auch in der Free Software Community – beweisen: Bei der IT-Sicherheit gibt es noch viel zu tun und viel zu erreichen. Proprietäre Apps – also Software, die Du Dir weder anschauen noch anpassen darfst – gefährden unser aller Freiheit. Wenn nur die Entwickler und deren Chefs wissen, was ihre Produkte tun, bleiben viele dümmer – und unsicherer.

Kundenfreundlichkeit heißt, alle einzuschließen und niemanden zu Dingen zu zwingen, die er oder sie nicht will.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Rex, Erna und Babe: Gesichtserkennung rückt Tieren auf den Pelz

netzpolitik.org - 19 Juli, 2019 - 08:54
Gesichtserkennung geht auch bei Tieren (Symbolbild). Montage: netzpolitik.org Gemeinfrei-ähnlich freigegeben durch unsplash.com Charles

Gesichtserkennung ist eine der problematischsten Technologien überhaupt, denn fast nichts gefährdet unsere Privatsphäre so stark wie die sogenannte intelligente Videoüberwachung. Und während Städte wie San Francisco den Einsatz der Technologie erschweren, deutsche Großflughäfen die biometrische Erkennung auf Kinder ausweiten, alle über FaceApp reden, erhitzt das Thema auch in Indien trefflich die Gemüter. Doch darum geht es hier nicht, denn Gesichtserkennung funktioniert auch bei Tieren.

Weltweit entstehen Firmen, die den Einsatz von biometrischen Tierdaten zu Geld machen wollen. Die Webseite und App „Finding Rover“ verspricht, dass sie verlorene Tiere wiederfindet. Das geht so: Wer einen Hund oder eine Katze gefunden hat, kann ein Bild des Tieres auf die Plattform laden. Gleiches gilt für Menschen, die ihr Tier verloren haben. Sie laden das Foto von Rex oder Mauzi hoch. Mittels Gesichtserkennung soll dann eine Datenbank abgeglichen werden. Gegenüber dem Magazin „Slate“ sagt der CEO und Gründer der Firma, John Polimeno, dass schon 700.000 Tiere in der Datenbank seien.

Haustiere wiederfinden

Finding Rover behauptet, dass seine Technologie 138 Punkte auf dem Gesicht eines Tieres zur Identifizierung nutze und eine Genauigkeit von 98 Prozent habe. Konkurrenten auf dem digitalen Haustiererkennungsmarkt geben ähnliche Trefferquoten an: Es gibt mit PiP und Megvii weitere Unternehmen, die an der Gesichtserkennung von Tieren arbeiten. Megvii ist ein chinesisches Unternehmen, das auch an der rassistischen Gesichtserfassung der uigurischen Minderheit in China beteiligt ist.

In China wird Tier-Gesichtserkennung auch für Pandabären genutzt. Die Technologie soll Wildhütern helfen, einzelne Bären in der freien Wildbahn zu identifizieren. Die Tiere werden bislang an typischen Gesichts- und Fellzeichnungen oder an unverkennbaren Merkmalen wie Narben erkannt.

Einsatz in der Landwirtschaft

Auch der Einsatz in der Agrarindustrie, beispielsweise bei der Erkennung von Schweinen in China oder Kühen in Irland steht auf dem Plan. Den Tieren steht die Komplettüberwachung ins Haus. So will das irische Start-Up Cainthus speichern, wieviel die Tiere essen und trinken, wie warm sie sind und wie sie sich verhalten. Ein indisches Unternehmen mit dem Namen MoooFarm ist im gleichen Marktsegment unterwegs, will die Technik aber auch gegen Versicherungsbetrug einsetzen.

Vielleicht kommt 5G nicht bis zur Milchkanne, aber Gesichtserkennung in den letzten Stall.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Burggraben, Mauern, Zäune: Der Bundestag schottet sich ab

netzpolitik.org - 18 Juli, 2019 - 21:04
Es entsteht unweigerlich der Eindruck, dass der Graben sich auch gegen Proteste der Bürger:innen richtet. Hier eine Protestaktion gegen das Sterben im Mittelmeer. Alle Rechte vorbehalten Nick Jaussi / Zentrum für politische Schönheit

Nach jedem Anschlag heißt es, dass wir unser Leben nicht ändern werden. Dass die Terroristen gewinnen würden, wenn wir etwas ändern. Und jedes Mal ändert sich irgendwo etwas. Unser Leben wird anders. Nun also: ein Burggraben vor dem Bundestag.

2,5 Meter tief und 10 Meter breit soll der Ha-Ha werden. Mit Lachen hat das nichts zu tun, so heißt die Schutzkonstruktion wirklich. Die Planer beteuern, dass man den Graben gar nicht sehen würde, dass er die Sicht sogar verschönere. Doch um Sichtachsen und Ästhetik geht es hier nicht.

Denn der Graben und seine leidlich versteckte 2,5 Meter hohe Mauer senden ein fatales Signal: Das Parlament igelt sich ein. Die Politiker schotten sich ab. Die da oben haben Angst. Und zwar auch vor Bürger:innen, die mit diesem Graben ferngehalten werden.

Sieg der Angstgesellschaft

In Zeiten, in denen die Volksparteien an Vertrauen verlieren und Politikerverdrossenheit zum Rechtsruck führt, ist das Wasser auf den Mühlen all jener, die keine Gelegenheit auslassen, den Bundestag zu verunglimpfen und zu diffamieren.

Überhaupt überschattet das Thema Sicherheit mittlerweile alles. Selbst das Besucherzentrum soll eine eigene Schutz- und Sicherheitszone von sage und schreibe 50 Metern bekommen.

Dieser Graben ist ein Sieg der Angstgesellschaft, eine Kapitulation vor Terroristen und das Gegenteil von Bürgernähe.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: Nackte Wahlkämpfe, bulgarische Daten und ein Blick nach Guantanamo

netzpolitik.org - 18 Juli, 2019 - 18:00
Der Alex sieht aber ganz schön alt aus.

Der nackteste Wahlkampf aller Zeiten (Republik)
Facebook hat mit seinem Archiv für politische Werbung die Geldflüsse in Wahlkämpfen in der Schweiz nachvollziehbarer gemacht. Jedoch agiert der Datenkonzern immer noch nicht völlig transparent, da er den Parteien selbst überlässt, ob sie ihre Ausgaben deklarieren wollen, wie Adrienne Fichter im Online-Magazin Republik festhält. „Mit dem Prinzip der Freiwilligkeit hat sich Facebook taktisch geschickt verhalten. Denn eine Verpflichtung würde wohl im Land der Diskretion das politische Establishment abschrecken“, schreibt Fichter. Google und Twitter verzichten indes völlig auf die Ausweitung ihrer Datenbanken für politische Werbung auf das Alpenland.

In systemic breach, hackers steal millions of Bulgarians‘ financial data (Reuters)
Fünf Millionen Datensätze sind der bulgarischen Steuerbehörde verloren gegangen – Bulgarien hat insgesamt sieben Millionen Einwohner. Der Täter bezeichnet sich selber als russischen Hacker, Gründe nannte er in einer Mail an bulgarische Medien nicht. Der Finanzminister entschuldigte sich öffentlich für das Datenleck.

Amazon is turning advertising into its next huge business — here’s how (CNBC)
Nach Google und Facebook ist Amazon die drittgrößte Plattform für Werbung in den USA. Das Unternehmen baut seine Werbeangebote, zusammengefasst unter dem Namen „Amazon Advertising“, momentan gezielt aus. CNBC bietet nun einen Überblick über die verschiedenen Arten von Werbung, die Amazon auf seiner Plattform anbietet.

A Look Inside the Secretive World of Guantánamo Bay (New York Times)
Die New York Times hat eine Klickstrecke für Euch. Darin enthalten: Neue und aufgrund der Sicherheitsmaßnahmen seltene Aufnahmen von Guantánamo Bay, dem wohl bekanntesten Militärstützpunkt mit Gefangenenlager der USA.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Erfassung der Roma in Italien: „Salvini stößt Türen des Hasses weit auf“

netzpolitik.org - 18 Juli, 2019 - 16:31
Die polizeiliche Erfassung von Sinti und Roma verbirgt sich in bestimmten "personengebundenen Hinweisen". Das Bild zeigt einen Ausschnitt der Kategorien von Sachsens Polizei.

Der rechtsradikale italienische Innenminister Salvini lässt „Lager“ der Minderheit der Sinti und Roma ab jetzt erfassen. Sein Ministerium hat die italienischen Präfekten aufgefordert, innerhalb von zwei Wochen Berichte über Roma, Sinti und andere „fahrende Leute“ vorzulegen. Die Maßnahme gilt als Vorbereitung für großangelegte Abschiebungen. Salvini, der den Plan schon 2018 angekündigt hatte, sorgt damit nicht nur bei Menschenrechtlern für Empörung.

„Mit seinen erneuten Drohungen gegen Sinti und Roma stößt Salvini die Türen des Hasses in Italien weit auf und setzt erneut die Schwächsten der Schwachen in Europa dem Hass der Straße aus, den er selber bei seinen Anhängern immer wieder hervorkitzelt. Alle diese Strategien des Hasses sind Europas unwürdig“, sagte der Vizepräsident des Internationalen Auschwitz Komitees, Christoph Heubner.

Erfassung als erster Schritt weiterer Diskriminierungen

Die Erfassung von Minderheiten hat eine lange und menschenverachtende Geschichte, gilt sie doch als erster Schritt für weitere Diskriminierungen, Maßnahmen und in manchen Fällen sogar Vernichtung. In Deutschland gipfelte die Erfassung im Porajmos, dem Genozid an Sinti und Roma.

Die deutsche Polizei hat über 250 Jahre hinweg eine zentrale Rolle bei der Erfassung und Verfolgung von Sinti und Roma gespielt, heißt es beim Zentralrat Deutscher Sinti und Roma. Laut einer Studie von Markus End über „Antiziganistische Ermittlungsansätze in Polizei- und Sicherheitsbehörden“ sind erste Polizeikategorien für „Zigeuner“ seit dem frühen 18. Jahrhundert belegt. „Spätestens ab 1899 wurde das Konzept der ‚Zigeunerkriminalität‘ auch institutionell angewendet, bis in die frühen 2000er liegen Nachweise dafür vor, dass es weiterhin zur Anwendung kam“, schreibt End.

Polizeiliche Erfassung von Sinti und Roma wird auch in Deutschland praktiziert

In München wurde ab 1899 eine Personenkartei erstellt. Die Vorläuferorganisation von Interpol eröffnete 1936 in Wien eine „internationale Zigeunerzentrale“, deren Daten später in Hände der SS und des Reichskriminalpolizeiamtes gerieten. Die Nationalsozialisten errichteten dann 1938 eine „Reichszentrale zur Bekämpfung des Zigeunerunwesens“, welche maßgeblich an den Deportationen der Sinti und Roma in die Konzentrations- und Vernichtungslager beteiligt war.

Auch nach der Niederlage des Dritten Reiches wurde die antiziganistisch ausgerichtete Praxis der Polizei fortgeführt. 1953 wurde bei der Münchener Polizei nun die „Landfahrerzentrale“ eingerichtet und Dateien weitergeführt. Leitfäden für Polizeibeamte des Bundeskriminalamtes wurden bis in die Siebziger Jahre hinein mit rassistischen Stigmata publiziert.

Demonstration von Sinti und Roma am 28. Januar 1983 anlässlich des 50. Jahrestags der Machtergreifung vor dem Bundeskriminalamt. Gemeinfrei Dokumentations- und Kulturzentrum Deutscher Sinti und Roma

Die im Nationalsozialismus erfolgte Totalerfassung der Sinti und Roma in „Landfahrerkarteien“ und die Kategorisierung als „Landfahrer“ wurde in der polizeilichen Praxis in vermeintlich nicht rassistische „personengebundene Hinweise“ wie „häufig wechselnder Aufenthaltsort“ überführt. In Kriminalitätsstatistiken ist bis in die 2000er-Jahre hinein von „mobilen ethnischen Minderheiten“ oder „mobilen Tätergruppen“ die Rede.

Polizeiliche Kategorie „Häufig wechselnder Aufenthaltsort“

„Personengebundene Hinweise“ (PHW) in Datenbanken dienen offiziell dem Schutz der einschreitenden Polizeikräfte im Arbeitsalltag. Sie erscheinen im Zuge jeder personenbezogenen Datenabfrage im bundesländerübergreifenden Informationssystem der Polizeien (INPOL) oder in den entsprechenden Datenbanken der Länderpolizeien als „Warnhinweis“ für die Einsatzkräfte. Jede Polizistin und jeder Polizist darf die gespeicherten Daten einsehen.

„Die Polizei Baden-Württemberg nutzt die Merkmale „Land- und Stadtstreicher“ und „wechselt häufig Aufenthaltsort“, was als polizeiliches Synonym für Roma und Sinti gilt“, schreibt Christian Schröder in einem Gastbeitrag von 2015 bei netzpolitik.org. Im Jahr 2016 musste der sächsische Innenminister Ulbig in der Antwort auf eine kleine Anfrage (PDF) angeben, dass die sächsische Polizeidatenbank PASS 2.254 Personen mit dem PHW „wechselt häufig Aufenthaltsort“ erfasst hat, in Baden-Württemberg waren im Jahr 2015 mehr als 12.000 Menschen in dieser Kategorie gespeichert.

Bundesregierung gegen ethnische Erfassung

In der Antwort auf eine kleine Anfrage zum Thema aus dem Jahr 2017 (PDF) lehnt die Bundesregierung eine behördliche Erfassung von Personen unter ethnischen Kategorien ab: „Seit dem Ende des Zweiten Weltkrieges werden in der Bundesrepublik Deutschland aus historischen Gründen keine bevölkerungsstatistischen und sozioökonomischen Daten auf ethnischer Basis erhoben. Auch bestehen rechtliche Bedenken hinsichtlich der Erfassung ethnischer Daten.“

Das hinderte das Bundesland Bayern nicht daran, die „Erweiterte DNA-Analyse“ im Rahmen des neuen Polizeigesetzes einzuführen. Die erweiterte Analyse gilt als Einfallstor für eine polizeiliche Erfassung der „biografischen Herkunft“.

Der Zentralrat Deutscher Sinti und Roma kritisierte damals: „Die Debatte um die Zulassung erweiterter DNA-Analysen knüpft unmittelbar an rassistische Diskurse an, durch die spätestens seit dem 11. September 2001 nicht-mehrheitsdeutsche Personen allein aufgrund ihrer tatsächlichen oder zugeschriebenen Herkunft kriminalisiert und weitere stigmatisiert werden.“

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Übernahme von Unitymedia: Vodafone wird für die Telekom zur ernstzunehmenden Konkurrenz

netzpolitik.org - 18 Juli, 2019 - 15:04
Vodafone will Deutschland mehr schnelles Internet bescheren. CC-BY-SA 4.0 Hydro bei Wikipedia

Vodafone darf Unitymedias Kabelgeschäft übernehmen, das hat heute die EU-Kommission bekanntgegeben. Genauergesagt das Kabelgeschäft von Unitymedias Mutterkonzern in Tschechien, Deutschland, Ungarn und Rumänien. Die Entscheidung kommt ein Jahr nach der Ankündigung von Vodafones Übernahmeplänen. Nun kann Vodafone seine Kabelprodukte in allen deutschen Bundesländern anbieten, zuvor war der Konzern in 13 Bundesländern vertreten, Unitymedia in den übrigen.

Damals hatte vor allem die Deutsche Telekom protestiert. Telekoms Vorstandsvorsitzender Tim Höttges nannte das Vorhaben „inakzeptabel“, die größte Befürchtung war eine Monopolisierung des Kabelmarkts.

Vodafone muss das Kabelnetz für Telefónica öffnen

Die EU-Kommission macht Vodafone nun Auflagen, damit „Kunden weiterhin in den Genuss von fairen Preisen, hochwertigen Dienstleistungen und innovativen Produkten kommen“, so EU-Wettbewerbskommissarin Margrethe Vestager. Dazu gehört, dass Vodafone einem Käufer Zugang zum Kabelnetz in Deutschland gewähren müsse. Vodafone bestätigte, dass es nun sein Kabelnetz für Telefónica öffnen werde. Das hatte Vodafone bereits im Mai als Zugeständnis bekanntgegeben. Als die Übernahmepläne bekannt wurden, hatte Telefónica befürchtet, dass durch Vodafones Kabelvorherrschaft und die Dominanz der Telekom ein „Duopol“ entstehen könnte.

Die Telekom will mögliche gerichtliche Prüfung analysieren

Vodafone zeigte sich erfreut und betitelte seine Pressemitteilung euphorisch mit „Jetzt kommt Deutschlands Gigabit-Netz“. 18,4 Milliarden Euro wird den Anbieter die Übernahmen laut seinen Angaben kosten, Ende des Monats soll der Kaufvertrag vollzogen werden.

Die Telekom ist weniger begeistert. Gegenüber dpa sagte ein Sprecher, man sei davon überzeugt, „dass die Auflagen nicht ausreichen, negative Auswirkungen im Bereich der Medien- und Programmvielfalt abzuwenden“. Das Unternehmen prüfe, ob eine „gerichtliche Überprüfung zum Schutz des Wettbewerbs“ geboten sei.

Dass nun Vodafones Kabelanteil wächst, hat auch andere Konsequenzen. Viele der Kunden haben nämlich nicht nur einen TV-, sondern auch einen Internet-Kabelanschluss. Die Zahl von Vodafones Internetkunden soll nun von 6,5 auf 10 Millionen steigen. Der nächstgrößte Betreiber, Pyur, versorgte im Jahr 2018 3,6 Millionen angeschlossene Haushalte. Insgesamt gehen in Deutschland etwa acht Prozent der Festnetzkunden über Kabelanschlüsse ins Internet.

Schon 2018 hatte der Präsident der Bundesnetzagentur Jochen Homann angekündigt: „Wir werden genau hinschauen, ob es irgendwo Regionen oder Lokalitäten gibt, wo das Kabel dann dominant und marktmächtig ist.“ Dann müsse eventuell auch das Kabelnetz reguliert werden: „Da würden wir Vodafone nicht anders behandeln als die Telekom.“

Zu der aktuellen Entscheidung der Kommission hat sich die Bundesnetzagentur noch nicht geäußert. Zuletzt erfuhr Vodafone jedoch wenig Sympathie von der Behörde. Sie belegte das Unternehmen mit einem Bußgeld von 100.000 Euro. Nicht jedoch aus Wettbewerbsgründen, sondern wegen unerlaubter Telefonwerbung.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Bundesregierung: Polizei darf auf Daten von Alexa und Co. zugreifen

netzpolitik.org - 18 Juli, 2019 - 13:06
Für die Regierung sind Smart-Home-Geräte das gleiche wie Smartphones und Rechner. Gemeinfrei-ähnlich freigegeben durch unsplash.com Waldemar Brandt

Im Vorfeld der Innenministerkonferenz machten Gerüchte die Runde: Die Innenminister wollen Zugriff für die Strafverfolgungsbehörden auf Daten aus dem Smart Home, also Amazon Echo und andere IoT-Geräte. Das Dementi kam schnell: Es gehe nicht um neue Befugnisse, sondern um Handlungsempfehlungen zur Sicherung und Auswertung digitaler Daten.

„Wir wollen keine Kinderzimmer überwachen“, beteuerte Seehofer. Niedersachsens SPD-Innenminister Boris Pistorius sagte: „Weder Alexa noch Google Home sollten und dürfen abgehört werden.“ Doch die Bundesregierung sieht das anders.

In der Antwort auf eine Kleine Anfrage der FDP-Bundestagsfraktion schreibt die Bundesregierung, smarte Haushaltsgeräte seien auch nur informationstechnische Systeme, es gebe keinen neuen Regelungsbedarf. Das heißt: Schon heute dürften Aufnahmen von Alexa, Google Home und Daten des gern zitierten smarten Toasters beschlagnahmt, abgehört oder ihre Speicher ausgewertet werden – immer, wenn das bei einem traditionellen Kommunikationsmittel oder Speichermedium oder Gerät auch erlaubt wäre.

Dazu gehören auch Staatstrojaner. Auch wenn immer mit Terrorismus argumentiert wird, wird Kommunikation seit Jahren primär wegen Drogendelikten überwacht.

Was als Kompetenzerweiterung befürchtet war, ist für die Regierung schon Realität

Der Bundesdatenschutzbeauftragte Ulrich Kelber äußerte sich kritisch, als die Meldung von einer möglichen Kompetenzerweiterung aufkam. „Gerade wenn es im Wesentlichen um Informationen, Gespräche oder sogar Videos aus Wohnungen und anderen privaten Orten geht, liegen hierin besonders gravierende Grundrechtseingriffe“, sagte er. Es wäre eine „verfassungsrechtlich bedenkliche“ Ausweitung der polizeilichen Kompetenzen. Nun erweist sich die angenommene Erweiterung als bereits gelebte Rechtsauffassung.

Die Bundesregierung widerspricht Kelber und ist nicht der Meinung, „dass es sich bei den in Rede stehenden vernetzten Geräten um eine neue Geräteklasse handele, die vom bestehenden Rechtsrahmen nicht umfasst sei.“ Dass eine Vielzahl unbeteiligter Personen von den Maßnahmen bei Smart-Home-Geräten betroffen wären, sei auch kein „neues Phänomen“. Doch bei Sprachaufzeichnungen für Alexa könnte jedoch gleich ein ganzes Wohnzimmer betroffen sein, nicht wie bei Telefonüberwachung zwei Gesprächspartner.

In den USA wird bereits mit Alexa ermittelt

In den USA sind bereits Fälle bekannt, in denen Daten aus sogenannten smarten Assistenten für Ermittlungen genutzt wurden. Bereits im Jahr 2017 verlangten Ermittler in Arkansas Zugriff auf Amazon Echo. Amazon weigerte sich zunächst, dann entschied der Beschuldigte selbst, die Daten freizugeben. Etwa ein Jahr später wurde der Konzern von einem Gericht in einem anderen Mordfall dazu verpflichtet, Aufzeichnungen zu einem Verdächtigen herauszugeben.

Der wissenschaftliche Dienst des Bundestages hatte in einem Gutachten Fragen zur Rechtmäßigkeit von Alexa aufgeworfen. Es bestünden vor allem Risiken bei Kindern und Gästen, die nicht wüssten, dass das Gerät sie auch aufzeichnen könnte. Dass das noch nicht alles ist und ihre Daten im Zweifel bei der Polizei landen könnten, dürfte den meisten noch viel weniger bewusst sein.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

EU-Reform der Plattformregulierung: ‚Zensursula 2.0‘ werden wir nicht zulassen!

Deutschland - 18 Juli, 2019 - 10:00

Die Europäische Kommission plant, die E-Commerce-Richtlinie abzuschaffen und durch ein neues „Digitale-Dienste-Gesetz“ zu ersetzen. Details sind nun durchgesickert.

Patrick Breyer, Europaabgeordneter der Piratenpartei, kommentiert:

„Im schlimmsten Fall würden die Pläne der Kommission Online-Plattformen dazu zwingen, als ‚Internetpolizei‘ und ‚Internetzensoren‘ zu handeln. Sie könnten fehleranfällige Upload-Filter fördern, die das Grundrecht auf freie Meinungsäußerung verletzen. Unrealistische Zeitrahmen für die Entfernung von Inhalten würden kleine und mittlere Unternehmen und nicht-kommerzielle Dienste in ihrer Existenz bedrohen. Regierungen, die unsere Online-Aktivitäten ausspähen, würden die Privatheit unserer intimsten Leidenschaften und Schwächen aushebeln.
Im besten Fall könnten jedoch verfehlte nationale Rechtsvorschriften wie das deutsche NetzDG ersetzt und dadurch die freie Meinungsäußerung besser als bisher geschützt werden. Messengerdienste und soziale Netzwerke könnten miteinander verbunden werden, was gut für den Wettbewerb wäre und dem Nutzer eine echte Wahlmöglichkeit einräumt. Das Recht, Internetdienste anonym zu nutzen, könnte erstmals auf EU-Ebene geschützt werden.

Die Meinungsfreiheit, die Wahlmöglichkeiten der Verbraucher, das Recht auf Privatsphäre und die Grundprinzipien eines globalen Internets müssen im Mittelpunkt jeder Regulierung digitaler Dienste stehen. Es geht um unseren digitalen Lebensraum. Die gesamte Internetgemeinde schaut der EU gerade jetzt sehr aufmerksam auf die Finger. ‚Zensursula 2.0‘ werden wir nicht zulassen.“

Hintergrund

Die EU-Kommission will den Geltungsbereich der derzeitigen E-Commerce-Richtlinie ausweiten, um ein Maximum an digitalen Diensten, von ISPs über soziale Netzwerke bis hin zu Werbediensten und mehr, einzubeziehen. Sie fordert eine strengere Haftungsregelung, ähnlich denjenigen, die in der Urheberrechtsreform und der Verordnung über terroristische Inhalte vorgesehen sind. Sie will, dass automatische Filter „transparent“ und „verantwortlich“ gestaltet werden und fordert eine gemeinsame Regelung der Löschung von Online-Inhalten. Die Zusammenarbeit mit Behörden, einschließlich Polizei und Finanzämtern, durch Erleichterung des Zugangs zu Nutzerdaten ist ebenfalls Teil des vorgeschlagenen Textes. Nicht zuletzt erwägt die Kommission die Einrichtung einer öffentlichen Regulierungsbehörde, die für die Überwachung und Durchsetzung der Anwendung des jeweiligen Rechts zuständig wäre.

Von Netzpolitik.org geleaktes Arbeitspapier

Kategorien: Deutschland

Drehtüreffekte: Wie ein EU-Beamter zum Lobbyisten wurde

netzpolitik.org - 18 Juli, 2019 - 07:00
Gemeinfrei-ähnlich freigegeben durch unsplash.com

In Brüssel herrscht derzeit Jobjagdsaison. Mit Start des neuen EU-Parlaments im Juli verloren hunderte Abgeordnete ihren Sitz, im Herbst endet die Amtszeit einiger der 28 Mitglieder der EU-Kommission von Jean-Claude Juncker. Vermutlich sucht sich so mancher Ex-Kommissar und frühere Abgeordnete bald einen neuen Job als Lobbyist – für gutes Geld, versteht sich.

In Brüssel nennt man das Phänomen die „Revolving Door“ – die Drehtüre zwischen Politik, Verwaltung und Industrie. Die Drehtüre ist für Konzerne und Branchenverbände unentbehrlich. Denn die Ex-Politiker und früheren Beamten liefern Insiderwissen und Kontakte.

Als Lobbyisten nutzen sie ihre Beziehungen, um die Ziele einer Firma oder Branche durchzusetzen – gegen die ihrer Mitbewerber oder das öffentliche Interesse. In den USA ist das als „Regulatory Capture“ berüchtigt, als Kapern der Verwaltung durch Konzerninteressen.

Netzregulator geht zu Vodafone

Nicht nur Politiker, auch hochrangige Beamte wechseln gerne die Seiten. Die EU-Kommission setzt in ihren Dienstvorschriften zwar einige Schranken gegen Interessenskonflikte. Etwa dürfen führende Beamte für zumindest ein Jahr nach ihrem Ausscheiden ihre Kollegen nicht lobbyieren und müssen Kontakte an die Behörde melden. Doch in der Praxis hilft das wenig, denn die Kommission greift selten in Jobwechsel ein.

Das illustriert ein aktueller Fall. Der Deutsche Reinald Krueger leitete in der Kommission zehn Jahre lang die Abteilung Märkte in der Generaldirektion Kommunikationsnetze, kurz DG Connect. Im April 2018 ließ er sich beurlauben, wenig später im Oktober wechselte er zu Vodafone.

Die Sache sorgt für Nasenrümpfen. Immerhin: Die Abteilung von Krueger ist für die Regulierung von Telekommärkten zuständig. Sie hilft etwa nationalen Behörden beim Aufbau des 5G-Netzes. Vodafone ist einer der größten Netzbetreiber in Europa. Er liegt mit den Behörden häufig im Clinch, etwa bei der Netzneutralität. Ein Interessenswiderspruch zwischen Beamtenrolle und Lobbyjob scheint vorprogrammiert.

Laut Bericht von Focus freute sich Vodafone in einer internen Mitteilung über die „große Erfahrung“ Kruegers. Er bringe „unglaubliche Kenntnisse und Fähigkeiten im Bereich der Regulierung ein“. Krueger soll demnach bei Vodafone den Cheflobbyisten in Brüssel ersetzen, Markus Reinisch.

Inzwischen trägt Krueger den Jobtitel „Public Policy Development Director“. Er verantwortet etwa die Strategie Vodafones zu Künstlicher Intelligenz und ist ein öffentliches Aushängeschild des Konzerns.

Reinald Krueger Alle Rechte vorbehalten Screenshot/Key4Biz

Die Kommission macht Krueger für seine neue Rolle strenge Auflagen. Kommissar Günther Oettinger sagte dem Parlament, der ja bloß beurlaubte Beamte sei schriftlich erinnert worden, keine vertraulichen Information aus seiner Beamtenzeit auszuplaudern.

Die Auflagen schreiben vor: Krueger darf nicht bei der Kommission lobbyieren. Auch darf er an keinen Meetings mit Ex-Kollegen aus DG Connect teilnehmen und keinen beruflichen Kontakt zu ihnen halten.

Auf der selben Bühne wie der Ex-Chef

Krueger legt die Vorschriften großzügig aus. Ende April organisiert Vodafone eine Debatte zum „Internet der Dinge“ in Brüssel. Der Konzern lädt Kommissionsbeamte ein, darunter auch Mitarbeiter von DG Connect. In der ersten Reihe sitzt Reinald Krueger.

Am Tag darauf fliegt der beurlaubte Beamte nach Portugal, um bei einer Verbraucherschutz-Konferenz zu sprechen. Thema ist die „Zukunft der Digitalpolitik aus Konsumentensicht“. Auch frühere Kollegen von Krueger aus der Kommission sind anwesend.

Im Juni ist Krueger bei einer Konferenz für europäische Regulierungsbehörden in Riga. Der Ex-Beamte debattiert dort das Thema Telekommärkte. Die Einführungsrede zur Diskussionsrunde mit Krueger hält der oberste Chef bei DG Connect, Generaldirektor Roberto Viola.

Trotz Lobbyverbot auf derselben Bühne wie der Ex-Chef stehen? Reinald Krueger möchte dazu nicht Stellung nehmen. Sein Arbeitgeber Vodafone reagierte nicht auf die Anfrage von netzpolitik.org.

Die Kommission hält Kruegers Auftritte für keinen Regelverstoß. Eine Sprecherin verwies auf die Definition von Lobbying im Rechtstext zum Transparenzregister. Als Lobbyistentätigkeit zählt der Text das Organisieren von Veranstaltungen auf, nicht aber die Teilnahme.

„Ziehen wir diese Definition in Betracht, ist das bloße Halten einer Rede, die Teilnahme an einer Diskussionsrunde oder an einer frei zugänglichen und öffentlichen Veranstaltung, bei der Kommissionsbeamte unter den Teilnehmern sein könnten, keine Verletzung der Auflagen von Herrn Krueger“, schrieb die Sprecherin an netzpolitik.org.

Auf unsere Nachfrage betonte die Sprecherin, Viola habe außerdem nicht zeitgleich mit Krueger auf der Bühne gestanden. „Herr Viola gab seinen Einführungsvortrag und verließ unmittelbar danach die Bühne. Er blieb nicht für die Diskussionsrunde.“

Lobbywächter sind skeptisch

Raphaël Kergueno von Transparency International hält Kruegers Verhalten dennoch für bedenklich:

„Wenn wir der derzeitigen Definition im Transparenzregister folgen, dann könnte das potenziell als Regelbruch angesehen werden. Wir glauben, dass die zuständige Behörde sich den Fall ansehen sollte, wenn man die frühere Position [Kruegers] und seine jetzige bei Vodafone bedenkt.“

Lobbywächterin Margarida Silva kritisiert die Haltung der Kommission. „Es ist schon für sich genommen höchst besorgniserregend, dass ein leitender EU-Beamter sich eine Auszeit nehmen darf, um zur Lobbyabteilung eines großen Konzerns zu stoßen“, sagt Silva, die für die NGO Corporate Europe Observatory arbeitet.

„Darüber hinaus kommt er auch noch damit durch, die schwachen Schutzmaßnahmen dagegen ohne Konsequenzen zu verletzen“, erklärt Silva. „Es ist Zeit dafür, dass es die EU-Kommission ernst damit meint, ihre eigenen Ethikregeln durchzusetzen.“

Die vom Europäischen Parlament eingesetzte Europäische Obmbudsfrau Emily O’Reilly sieht das grundsätzlich ähnlich. Die Kommission brauche einen „robusteren Zugang“ bei Drehtürwechseln. Ex-Mitarbeitern müsse auch mal eine neue Tätigkeit untersagt werden, um Interessenskonflikte zu verhindern, klagte O’Reilly in einem im Februar erschienenen Bericht.

700 Drehtürfälle im Jahr

In Brüssel sind Drehtürwechsel häufig. Die EU-Kommission prüft jedes Jahr rund 700 mögliche Fälle von Interessenskonflikten wegen externer Tätigkeiten von Kommissionsmitarbeitern.

„Es ist ziemlich klar, dass Brüsseler Anwaltskanzleien und Lobbyfirmen großen Wert darauf legen, Leute mit Erfahrung in den EU-Institutionen anzuheuern und zu bewerben“, betont Ombudsfrau O’Reilly.

„Das mag Bedenken über Interessenskonflikte wecken, bei denen unangemessener Nutzen aus Zugang [zu Ex-Kollegen] und vertraulichen Informationen gezogen wird, um im Interesse externer Arbeitgeber oder Klienten beim Lobbyieren früherer Kollegen aus der EU-Beamtenschaft zu helfen.“

Kurz: Geld erkauft Einfluss.

Barrosos Lobby-Kommission

Drehtürrotationen gibt es bei jedem Kommissionswechsel. 2014 ging Kommissionschef José Manuel Barroso nur zwei Monate nach Ende seiner Amtszeit zur Investmentbank Goldman Sachs, um nunmehr gegen statt für eine Regulierung der Finanzmärkte zu arbeiten.

Barroso setzte ein fragwürdiges Vorbild: Drei Jahre nach seinem Ausscheiden arbeiteten nicht weniger als sechs seiner Kommissarinnen und Kommissare für Konzerne mit Eintrag im Lobbyregister der EU, wie die NGO Transparency International in einem Bericht aufzählte.

Die Wettbewerbs- und spätere Digitalkommissarin Nellie Kroes berät etwa seit Ende ihrer Amtszeit die Finanzbranche und den Taxikonzern Uber, auch sitzt sie im Vorstand des Softwareherstellers Salesforce.

Datenschutz und Urheberrecht sorgten für große Lobbyschlachten in der EU. Das macht die Digitalkonzerne Google und Facebook zu zwei von Europas fleißigsten Lobbyisten – und zu beliebten Arbeitgebern.

Google ist aus Sicht von Lobbywächtern einer der aktivste Konzerne in Brüssel. 203 Mal trafen sich Google-Lobbyisten mit der Kommission, mehr als jede andere Firma im offiziellen Lobbyregister. Von sieben Google-Leuten, die darauf als Lobbyisten gemeldet sind, arbeiteten zumindest zwei früher im EU-Parlament.

Facebook hat sogar elf akkreditierte Lobbyisten. Der Konzern heuert auf höchster Regierungsebene an: Seit Herbst 2018 arbeitet der britische Ex-Premier Nick Clegg als globaler Policy-Chef des Konzern.

Die nächsten fünf Jahren sind unter Kommissionspräsidentin Ursula von der Leyen einige große Lobbykämpfe zu erwarten, etwa in Klimafragen, der Handelspolitik oder in der Netzpolitik. Ex-Politiker und Beamte im Sold der Industrie könnten darin eine entscheidende Rolle spielen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: Rote deutsche Autos, Heimatapotheken und Masturbationsverzicht

netzpolitik.org - 17 Juli, 2019 - 18:00
Sonne. Wolken. Sonne. Wolken. Sonne.

Newsletter saugen persönliche Daten — und alle machen mit (Felix Schwenzel auf piqd)
Interneturgestein Felix Schwenzel dreht auf piqd unseren Artikel vom vergangenen Wochenende zum Thema Email-Tracking weiter. Zurecht weist er daraufhin, dass das von uns erklärte Pixel-Tracking nur einen Teil der täglichen Analyse von Newsletter-Abonnenten ist. Er erklärt die Methode des Link-Tracking, bei der Absender mittels personalisierten Links in Newslettern genau nachvollziehen können, wer wann auf welche Links klickt. Und auch er hat einen Tipp parat, wie man sich dagegen wehren kann.

Cat videos, online porn branded ‚an ecological disaster‘ (Euractiv)
Masturbieren, bis die Erde brennt: Ein französische Thinktank will errechnet haben, dass Videostreaming für ein Prozent der globalen Klimagase verantwortlich ist. Ein Viertel aller gestreamten Videos gehe allein auf Kosten der Pornografie. Damit steuern wir auf einen neuen historischen Höhepunkt zu: Autoerotische Strangulation sorgte über die Jahrhundert für eine ganze Reihe von toten Prominenten. Aber wer hätte gedacht, dass mal die ganze Menschheit der Onanie zum Opfer fällt?

Despite High Hopes, Self-Driving Cars Are ‘Way in the Future’ (New York Times)
Die Autoindustrie und Technologiefirmen setzen regelrechte Erlösungshoffnungen in selbstfahrende Autos. Doch die verbreitete Erwartung, bis 2021 serienmäßig autonome Fahrzeuge auf den Straßen sehen, dürfte etwas verfrüht gewesen sein. Die derzeit getestete Technologie schaffe Standardsituationen, sei aber dem wenig voraussehbaren echten Straßenverkehr meist nicht gewachsen, sagten Branchenexperten der New York Times. Überspitzt lässt sich zusammenfassen: Selbstfahrende Autos funktionieren nur dann wirklich, wenn auch alle anderen Verkehrsteilnehmer Computer sind.

Inside AfD Instagram 4: Dalai Lama, Klimafaktencheck (Volksverpetzer)
Die AfD Esslingen versucht auf Instagram, den Dalai Lama für ihre Propaganda zu nutzen und fabuliert von neuen Atomkraftwerken. Frederik Mallon nimmt auf Volksverpetzer die Instagram-Meinungsmache des Ortsverbands auseinander. Mit roten Autos, deutschen roten Autos!

Bundeskartellamt erwirkt für Händler auf den Amazon Online-Marktplätzen weitreichende Verbesserungen der Geschäftsbedingungen (Bundeskartellamt)
Die deutschen Kartell-Aufseher haben den Amazon dazu gebracht, seine Bedingungen für Händler auf dem Marketplace zu verbessern. Der Konzern muss nun etwa Fristen einhalten, wenn er Accounts der Händler kündigen will und sich auch vor deutschen Gerichten verantworten. Bisher mussten die Händler den umständlichen Weg über Luxemburg gehen.

Schutz für deutsche Apotheken, Schelte von der EU? (Zeit Online)
Gesundheitsminister Jens Spahn will lieber Apotheken um die Ecke als Online-Arzneimittelhändler. Dafür will er mit dem verbieten, dass die Versandapotheken Rabatte anbieten, die in Deutschland nicht möglich wären. „“Gesetzesentwurf zur Stärkung der Vor-Ort-Apotheken“ nennt er das Projekt. Das ist nicht ganz unkompliziert, denn das Vorhaben clasht mit EU-Regeln.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Amazon und das „nächste große Ding“: EU-Kommission eröffnet Wettbewerbsverfahren gegen den Konzern

netzpolitik.org - 17 Juli, 2019 - 12:52
Margrethe Vestager prüft Amazon Alle Rechte vorbehalten European Union, 2018

Amazon macht, was auch viele Supermärkte machen. Der Onlinehändler verkauft Produkte von anderen Anbietern, zugleich macht er ihnen jedoch mit eigenen Produkten Konkurrenz. Amazon nutzt die fremden Angebote nach Einschätzung der EU-Kommission geschickt für sich: Der Konzern analysiere, was sich gut verkauft, und zieht dann nach.

Die EU-Kommission hält das für problematisch. Sie eröffnete heute formell eine Untersuchung möglicher wettbewerbswidriger Verhaltensweisen durch Amazon. Die Wettbewerbswächter der Kommission wollen prüfen, ob und wie die Nutzung der Daten, die Amazon als Einzelhändler über die Marktplatzhändler sammelt, den Wettbewerb beeinträchtigt.

Verträge und Algorithmen im Visier

„Wir müssen sicherstellen, dass große Online-Plattformen diese Vorteile nicht durch wettbewerbswidriges Verhalten aushebeln“, sagte EU-Wettbewerbskommissarin Margrethe Vestager laut einer Pressemitteilung. Im Visier stehen die Standardvereinbarungen zwischen Amazon und Marktplatzhändlern, aber auch der Empfehlungsalgorithmus für Waren.

Voruntersuchungen in dem Fall liefen schon seit einigen Monaten. Die Wettbewerbsbehörden einiger Mitgliedsstaaten, darunter Deutschland, Österreich und Italien, beschäftigen sich bereits seit längerem mit Amazon.

Die EU-Kommission verhängte in den vergangenen Jahren bereits Milliardenstrafen gegen Google und Apple. Kommissarin Vestager baute sich damit einen Ruf als Gegenspielerin der Digitalkonzerne auf.

Das Verfahren gegen Amazon sei ein wichtiger Schritt und eine „Botschaft gegen die großen Techgiganten“, sagte Wettbewerbsjurist Andrea Collart der Financial Times. Gefühlt sei Amazon so stark in vielen Märkten vertreten, dass der Konzern fast zu groß sei, um reguliert zu werden. „Die Durchsetzung des Wettbewerbsrechts ist die Schleuder, mit der David Goliath besiegt“, sagte Collart.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

India expands its controversial biometrics database Aadhaar

netzpolitik.org - 17 Juli, 2019 - 12:42
The biometrics programme has been expanded for ten years. (Image edited by netzpolitik.org)

The Indian parliament has approved an expansion for the controversial biometrics programme Aadhaar. It will allow companies to access the database to authenticate their users‘ identities. The country’s Supreme Court had prohibited this, but the new regulation lifts the ban.

Through Aadhaar, Indians are registered with fingerprints as well as photographs of face and iris. According to a study by the think tank IDinsight, 1.2 billion people were already enrolled last year. Privacy activists criticize the program and the ten year legislative process.

„Mandatory authentification“

According to the Supreme Court, identification by Aadhaar should not be mandatory. However, the new law includes „mandatory authentication“:

Notwithstanding anything contained in the foregoing provisions, mandatory authentication of an Aadhaar number holder for the provision of any service shall take place if such authentication is required by a law made by Parliament.

Future laws could thus simply bypass the Supreme Court judgment, privacy activists say. The opposition MP Shashi Tharoor tried to introduce a ban of Aadhaar authentication by private companies into the law. However, this ban was „shouted down“ before the expansion was passed. The government of party of prime minister Modi, who supports Aadhaar, enjoys an absolute majority in the Indian lower house.

Court considers new petition

Activists have filed a petition against the new expansion at the Supreme Court:

The impugned ordinance creates a backdoor to permit private parties to access the Aadhaar eco-system, thus enabling State and private surveillance of citizens, and the impugned Regulations permit the commercial exploitation of personal and sensitive information which has been collected and stored for state purposes only.

The new law also violates last year’s judgment, the petition says. The Court has now issued a notice to the Aadhaar authority UIDAI to seek its response to the accusations.

The finance minister also proposed making PAN, an identification number required for filing income tax, and Aadhaar number interchangeable: „Everywhere where you’re required to quote the PAN instead you can just do Aadhaar – and even if you don’t have a PAN, there is no problem.“

This plan is now being put into effect. But: All PANs which have not been connected to an Aadhaar number by August 31st will be invalidated. The aim is the elimination of non-genuine PANs, said a civil servant.

Demands not taken into account

The time-limited 2016 law was first extended by decree in March before parliament now approved its extension and expansion. Such decrees are properly intended for emergencies, criticizes AccessNow – that Aadhaar was so urgently needed has not been proven until today.

In 2017, the Indian net activist Nikhil Pahwa published a list of demands for Aadhaar. At the top: Registration should never become mandatory, not even – like in an Indian joke – „voluntary, but mandatory“. Services that cover a large part of the population should always offer an alternative.

Pahwa also demanded that biometric information should not be used for authentication by government authorities or companies: „I can’t emphasize this enough. Biometric information is a permanent identifier, and can be easily compromised.“

Google search for pregnancy data

That compromising is not theory, but practice: There is a long list of data breaches. In 2017, at least 130 million Aadhaar numbers, associated with 100 million bank accounts and data such as name, age and gender were accessible in the state of Andhra Pradesh on government sites. Next year, it was a database for pregnancies: Abortions, risk assessments and bank accounts were freely accessible on the internet, linked to Aadhaar numbers.

The websites were also indexed by search engines, so entries could simply be found by googling names or addresses.

These breaches were largely stopped, regional authorities reacted quickly by protecting data and even turning off pages completely. But at the national level, the situation is somewhat different.

In January, a journalist had access to all UIDAI data – for a price of 6.50 euros. With over a billion compromised users, it is likely to be one of the largest data leaks of all time. A UIDAI filing with the police followed within four days – against the journalist.

Privacy yes, but not for poor people

Last year, a government spokesperson said in parliament that „as on date, no incident of data breach has been reported“. And still in February, a UIDAI spokesperson said that reports about data breaches were „misleading“ and „completely devoid of any substance or truth“.

In a prior Aadhaar process, a government official said in 2017 that the right for privacy was an „elitist“ concept. Poor people don’t care for the protection of their data, he said, but for food, shelter and clothing. The court ruled at the time that there was a fundamental right to privacy.

The IDinsight survey, conducted in poor areas, also came to a different conclusion: more than 96 percent of respondents said that it was important for them to know if and how the government used their data.

„A lot of personal information is on Aadhaar… there is no reason to link everything. Why should I share my day to day life with the government?“, said a resident of Mumbai in the „Privacy on the Line“ report.

Agency to regulate itself

The newly passed law provides for a fine of 10 million rupees – around 130,000 euros – for breaches of data protection regulations. For every day that the violation continues, a further million rupees is added. The Aadhaar agency is to be responsible for investigating cases and determining fines.

„This can be ineffective given the dual purpose for a single organization, raises potential conflicts, and is not ideal given the complexity of regulatory requirements,“ the authors of the IDinsight study write. Instead, they call for an „independent, competent, and fully authorized data protection regulator“, who can enforce the regulations of a strong data protection law.

Data protection law on hold

India does not currently have a data protection law, even though activists like Pahwa have been demanding one for a long time. Last week, opposition MP Shashi Tharoor described data protection as a national security issue and criticized that the responsible minister had already announced such a law for the last session of parliament. Since 2017 there has been a drafting committee – it receives advice from the same think tank as the Aadhaar draft.

And thus, the draft Data Protection Act, published „like the finale of an exasperatingly long-drawn out TV series,“ provided that data could be processed without the consent of the data controllers if this happened for „the exercise of any function of the State authorised by law for the provision of any service or benefit to the data principal“. Translation: The provisions don’t apply to Aadhaar, which was originally intended for social welfare.

Originally for social welfare

Biometric authentication was meant to ensure that social assistance – especially food allocations – were distributed to the right recipients. With more and more expansions, the project became the data giant it represents today.

According to the government, Aadhaar is a phenomenal success in welfare: 11 billion euros were saved by biometrics and digitization between 2014 and 2018, mostly by eliminating double, false or erroneous entries in social welfare databases. Additionally, the introduction of Aadhaar caused very positive developments in drought areas, says the Economic Survey for the last financial year.

According to activists, this is wrong: the data for the survey is cherry-picked, their evaluation guided by wrong assumptions. Instead, aid measures ordered by the Supreme Court, such as the provision of late wages, improved the situation in the affected areas, they say.

Millions of mistakes

And the figure of eleven billion euros of savings are probably also a bit too optimistic, write the authors of the IDinsight survey: Neither has the government published the underlying data, nor has it clarified if only non-genuine beneficiaries were excluded from receiving welfare. And the exact value of the Aadhaar system is extremely hard to calculate anyway.

And then there is the other side of the coin: The mistakes in the system. Nine percent of the respondents reported that their records contained errors such as wrongly spelled or transcribed names. Only six percent of respondents reported errors with traditional ID methods.

Researchers believe that the true error rate is higher: „a respondent would likely only report the error if it has led to service denials or other issues.“ But it is not the access to a website that is at stake here, not even the access to bank accounts – but to food.

Important for food allocation

In Rajasthan, India’s largest state, 51 million people live in rural areas. Of those, almost ten percent receive assistance under the Public Distribution System. More than two percent of the rural population were excluded from the program each month in the summer of 2017, even though they were entitled to it – because of Aadhaar.

This means that an estimated 1.2 million people did not receive food due to authentication errors, missing connections to central servers or power outages.

There have already been reports of starvation deaths in families who were unable to collect their food allocations due to Aadhaar errors.

„At least 27 are directly linked with the inability to exercise the new ID system,“ said the human rights hero Dr. Usha Ramanathan at the Kultursymposium in Weimar last week. „This can’t be a way on which any country should proceed.“

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was Ursula von der Leyen mit der Netzpolitik der EU vorhat

netzpolitik.org - 17 Juli, 2019 - 10:21
Von der Leyen versucht das Parlament von sich zu überzeugen, das hat sie knapp geschafft. CC-BY 2.0 European Parliament

In ihren öffentlichen Anhörungen war die bisherige deutsche Verteidigungsministerin maximal vage, wenn es um netzpolitische Fragen ging. Auch ihre Leitlinien für die Kommissionsarbeit der nächsten Jahre enthalten wenige Details. Doch die 28-seitige Zusammenfassung ihrer Prioritäten gibt einen Eindruck davon, welche Projekte Ursula von der Leyen als neue Kommissionspräsidentin vorantreiben oder beginnen will.

Nicht wenige davon sind relevant dafür, was in den nächsten Jahren netzpolitisch passieren wird. Viele Sachen sind bereits in Arbeit, von der Leyens Zeitpläne sind dennoch ambitioniert.

Digitalsteuerpläne nochmal angehen

Frankreich hat sie vor Kurzem beschlossen, in der EU ist sie vorerst gescheitert – nicht zuletzt am Bremsen des deutschen Finanzministers Olaf Scholz. Ziel war eigentlich, große Digitalkonzerne gerechter zu besteuern. Bisher ziehen diese sich nämlich aus der Verantwortung, indem sie ihre Firmensitze in – für sie günstige – Länder wie Irland verlegen, im Rest der EU jedoch trotzdem ihre Dienste anbieten.

Derzeit diskutieren auf globaler Ebene etwa die G20-Finanzminister über eine Lösung. Das kann dauern, doch ewig will von der Leyen nicht auf eine weltweite Lösung warten. Sollte bis Ende 2020 keine Einigung erzielt sein, „sollte die EU alleine handeln“.

Regeln für „digitale Dienste“

Ob es um die schon verabschiedete Urheberrechtsrichtlinie geht, die vor abschließenden Verhandlungen stehende Anti-Terror-Richtlinie oder die jüngsten Ideen der EU-Kommission für neue e-Commerce-Regeln: Bestrebungen, Plattformen stärker zu regulieren und zu verpflichten gibt es viele.

Die Kommission will mit einem neuen „Gesetz über digitale Dienste“ bessere Haftungs- und Sicherheitvorschriften erreichen. Laut einem Arbeitspapier, das wir veröffentlicht haben, geht es unter anderem darum, wie Anbieter mit illegalen Inhalten umgehen müssen. Ein weiterer Vorschlag ist, Dienste mit Interoperabilitätsregeln dazu zu verpflichten, ihren Nutzerinnen einen unkomplizierten Übergang zu anderen Plattformen zu ermöglichen. Außerdem könnten neue Uploadfilter drohen.

Gemeinsame Standards für 5G-Netze

Europa sei bei Telekommunikationsstandards führend, das will von der Leyen ausbauen, „indem wir gemeinsame Standards für unsere 5G-Netze entwickeln“. Konkreter wird sie nicht, das kann vieles bedeuten.

Eine Richtung könnte sein, die Forderung der EU-Polizeiagentur Europol anzugehen, den Sicherheitsbedarf bei 5G zu decken – also Abhörschnittstellen einzubauen. Das ist jedoch schon im Gange, das Bundesamt für Verfassungsschutz und andere EU-Behörden haben laut einem Bericht von heise.de bereits Einfluss auf die Standardisierungsgremien ausgeübt.

Neue Technologien vorantreiben und regulieren

„Blockchain-Technologie, Hochleistungsrechentechnik, Quanteninformatik, Algorithmen und Instrumente für den Datenaustausch und die Datennutzung“ – darin soll investiert werden, heißt es in den Leitlinien. Gleichzeitig sollen Normen für diese „neue Generation von Technologien“ festgelegt werden, die global gelten sollen.

Die EU steckt schon heute viel Geld in Blockchain-Projekte und hat diverse Austausch- und Arbeitsgruppen wie eine Beobachtungsstelle und ein Forum für die Blockchain-Technologie gegründet. Im Förderprogramm Horizon 2020 sollen bis Ende nächsten Jahres 340 Millionen Euro in Blockchainprojekte fließen. Kryptowährungen beschäftigen die EU vor allem bei der Finanzregulierung. Seit 2016 arbeitet eine Task Force der EU-Kommission an Regulierungsvorschlägen. Durch Facebooks Ankündigung einer eigenen Kryptowährungen Libra wird das Problem dringlicher und die Regulierer aktiver.

Besondere Aufmerksamkeit von der Leyens bekommt sogenannte Künstliche Intelligenz. In den ersten 100 Tagen will sie bereits Regeln zu „menschlichen und ethischen Aspekten“ vorschlagen. Das ist nicht viel Zeit, selbst wenn die EU-Kommission bei einer Expertengruppe bereits Empfehlungen in Auftrag gegeben hatte, die im Juni vorgestellt wurden.

Die Experten fordern sowohl Milliardeninvestitionen als auch rote Linien, unter anderem gegen die „unverhältnismäßige und massenhafte Überwachung von Individuen“ etwa durch Videoüberwachung kombiniert mit Gesichtserkennungsverfahren. EU-Kommissarin Mariya Gabriel kündigte an, dass die Kommission die Empfehlungen innerhalb eines halben Jahres prüfen werde und bis Anfang 2020 konkrete Vorschläge machen könnte. So lange will von der Leyen offenbar nicht warten.

Umgang mit Daten

Chancen nutzen, Risiken minimieren. Von der Leyens Ankündigungen, wie man mit immer mehr Daten umgehen kann, beschränkt sich auf Allgemeinplätze. Um „Potenzial freizusetzen“ müsse man einen Weg finden, Daten auszutauschen und zu nutzen. Natürlich unter hohen ethischem, Datenschutz- und Sicherheitsstandards“. Als Vorbild nennt sie die Datenschutzgrundverordnung.

In der EU-Pipeline wäre da zum Beispiel noch die ePrivacy-Verordnung, die Nutzer vor Werbetracking schützen soll. Momentan schleppt sich der Prozess schwerfällig, eine schnelle Verabschiedung erscheint unrealistisch. An der Kommission liegt das aber nicht, die Einigung stockt derzeit bei den Mitgliedstaaten.

Digitalkompetenz für alle

Bildung mit digitalen Materialien, offen zugängliche Online-Kurse und mehr Digitalkompetenz für Jung und Alt. Klingt erstmal gut, einen konkreten Plan der Kommission dafür gibt es bereits seit Januar 2018. Darin sind Ziele wie eine schnelle Breitbandanbindung für Schulen bis zum Jahr 2025 formuliert, oder gezielte Förderung von Open-Science-Projekten und Arbeiten mit offenen Daten.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

10 Beispiele, warum Auskunftssperren kein Luxus für wenige sein dürfen

netzpolitik.org - 17 Juli, 2019 - 07:37
Es gibt viele Gründe, die eigene Adresse nicht preisgeben zu wollen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Aditya Joshi

Nur bei einer „Gefahr für Leben, Gesundheit und perönliche Freiheit“ kann man bei den Einwohnermeldeämtern eine Auskunftssperre beantragen, so steht es im Bundesmeldegesetz. Wer die Adresse eines anderen erfragt, muss dafür nicht mal Gründe nennen. Wer verhindern will, dass seine oder ihre Adresse einfach so an andere Privatpersonen weitergegeben wird, muss in Deutschland schon einiges auffahren.

Die Bremer Datenschutzbeauftragte Imke Sommer will das gerne ändern. Sie plädiert dafür, das Melderecht anzupassen und die Hürden für eine Auskunftssperre zu senken. Die Adresse des ermordeten Kasseler Regierungspräsidenten Walter Lübcke, der mehrere Morddrohungen erhielt, war bekannt und auf der rechten Website PI-News nachzulesen.

Aber nicht nur offen gegen Rassismus engagierte Politiker wie Lübcke sind auf solche Auskunftssperren angewiesen. Wir haben zehn realistische Szenarien gesammelt, die zeigen: Wenn die eigene Adresse für jeden derart leicht zu erfahren ist, dann hat das Konsequenzen für Menschen, die einem Risiko ausgesetzt sind.

  1. Du bist investigative Journalistin und recherchierst zu rechten Netzwerken, der Identitären Bewegung und der AfD. Du willst gerne weiter ruhig in deinem eigenen Bett schlafen können. Doch dein Name steht auf diversen Listen mit politischen Gegnern, die in der Szene kursieren.
  2. Dein Ex-Freund steht nachts regelmäßig vor deiner Haustür, obwohl du dich schon vor Monaten getrennt hast. Um ihm zu entkommen, wechselst du sogar den Job und ziehst in eine neue Stadt. Aber ohne Auskunftssperre wirst du auch so keine Ruhe finden, denn er kann deine neue Adresse jederzeit problemlos herausbekommen.
  3. Du bist Gerichtsvollzieher und stehst regelmäßig ohne Vorankündigung vor der Tür anderer Leute, um ihren Fernseher, ihre Armbanduhr oder ihr Auto zu pfänden. Kein Job, in dem man sich besonders beliebt macht, manche der Leute reagieren aggressiv. Ein pauschales Recht auf eine Auskunftssperre hast du trotzdem nicht.
  4. Du bist Ärztin und siehst es als deine Pflicht, ungewollt schwangeren Frauen mit einem professionellen Schwangerschaftsabbruch zu helfen. In deiner Kleinstadt nimmt außer dir niemand mehr Abbrüche vor, also tust du es. Dass deswegen regelmäßig radikale Abtreibungsgegner:innen vor deiner Praxis demonstrieren, nimmst du in Kauf. Aber wenigstens zu Hause möchtest du noch deine Ruhe haben.
  5. Du bist Jüdin und schreibst eine Kolumne über deine alltäglichen Erfahrungen mit Antisemitismus in Deutschland. Auf Social-Media-Plattformen bekommst du dafür Dinge zu lesen, die du gleich wieder für die nächsten zehn Kolumnen verwerten kannst. Auch Leser:innenbriefe und E-Mails erreichen dich. Das nimmst du alles in Kauf, du hast damit gerechnet. Zu Hause willst du aber keinen unangekündigten Besuch von diesen Menschen.
  6. Du stehst in der Öffentlichkeit, bist Manager eines bekannten Unternehmens und äußerst dich offen gegen den Umgang mit Seenotretterinnen und den Geretteten. Du bekommst Drohungen, der „nächste Lübcke“ zu sein. Wo du arbeitest, weiß jeder, aber dort gibt es einen Sicherheitsdienst. So wie gerade bei Siemens-Chef Joe Kaeser. Wo du mit deiner Familie lebst, soll niemand erfahren.
  7. Du bist in einer streng religiösen Familie aufgewachsen und konntest dort deine Homosexualität lange nicht ausleben. Deshalb bist du nach Berlin gezogen und hast alle Verbindungen zu deiner Familie und der religiösen Gemeinschaft abgebrochen. Du möchtest selbst entscheiden, ob und wann du den Draht wieder aufnimmst und unter keinen Umständen gefunden werden.
  8. Du bist vor Jahren aus deinem Heimatland geflohen, weil du dort wegen deiner Religionszugehörigkeit verfolgt wurdest. Bis heute suchen Menschen von damals nach dir. Einige leben inzwischen auch in Deutschland.
  9. Du bist als Jugendlicher auf die schiefe Bahn geraten und hast mit einer Gang den Kiez aufgemischt. Aussteiger werden dort gar nicht gern gesehen. Für ein Zeugenschutzprogramm kommst du nicht in Frage, aber du möchtest trotzdem mit der Vergangenheit abschließen und in Ruhe leben.
  10. Du arbeitest als Polizeibeamtin für den Bundesgrenzschutz an einem großen deutschen Flughafen und führst dort täglich Personenkontrollen durch. Einigen der Kontrollierten gefällt es gar nicht, wenn du sie oder ihr Gepäck durchsuchst, vor allem, wenn etwas gefunden wird und sie Konsequenzen zu tragen haben. Du willst sie später nicht ohne Uniform vor deiner Haustür wiedertreffen.

Wenn Ihr weitere Beispiele habt, freuen wir uns auf Ergänzungen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs
Inhalt abgleichen