Warum das "Euro-Internet" keine Lösung ist

Katrin Heise: Felix von Leitner ist IT-Sicherheitsberater und unter seinem Nickname Fefe viel gelesener Blogger, jetzt hier im Studio – ich grüße Sie ganz herzlich. Schönen guten Tag!

Felix von Leitner: Guten Tag!

Heise: Ein europäisches Internet mit einheitlich europäischem Datenschutz – wäre das eine sichere Alternative zum heutigen Internet?

von Leitner: Ja, das klingt auf jeden Fall gut, aber man muss sich halt fragen, was man damit erreichen will. Und wenn ich mich gegen US-Geheimdienste wehren will, dann hilft das halt nichts, weil die verschiedene Allianzen mit europäischen Geheimdiensten haben, die da mit im Boot wären. Und die können natürlich trotz Datenschutzbestimmungen mithören.

Heise: Das heißt, man würde das eigentliche Problem gar nicht aus der Welt schaffen?

von Leitner: Nein, man zentralisiert es sogar noch. Der Grund, warum viele Leute jahrelang gedacht haben, das Internet kann gar nicht abgehört werden, ist, weil das so eine dezentrale Struktur ist. Das heißt, man kann nicht nur hier abhören und da, sondern man braucht hunderte von Punkten, und da war die Überlegung immer, na ja, das ist so aufwändig und so teuer, das wird sich auch die NSA nicht leisten können. Das haben viele Leute gedacht, und das stimmt halt nicht. Und wenn wir das jetzt zentralisieren und das so machen, dass nur noch an drei, vier Routern innerhalb der EU der gesamte Traffic vorbeikommt, weil wir das halt zentralisiert haben über wahrscheinlich die Ex-Monopolbetriebe, auf so was läuft das ja üblicherweise hinaus, dann hieße es halt, man muss auch nur noch da abgreifen. Und das heißt, man kann für dasselbe Geld mehr Daten mitnehmen oder man hat mehr Geld übrig für die Entschlüsselung der Daten. Also das ist erst mal nicht per se eine Lösung.

Heise: Ich sprach jetzt aber auch von einem einheitlich europäischen Datenschutz.

von Leitner: Natürlich. Das sind immer die Gesetze, an die sich die normalen Leute halten müssen, aber die Geheimdienste sind ja üblicherweise ausgenommen von so was.

Heise: Ein anderes Stichwort in dem ganzen Zusammenhang ist ja das verlorene Vertrauen. Ich meine, für ein einheitliches europäisches, angeblich dann sichereres Internet müsste ja das Vertrauen unter den europäischen Ländern ein sehr großes sein, um das gemeinsam in Angriff zu nehmen.

von Leitner: Ja. Das ist auch genau eines der Kernprobleme. Und der Teil, der daran offensichtlich ist, ist aus unserer Sicht, dass wir den Engländern nicht trauen können, denn da ist jetzt rausgekommen, dass die für die Amerikaner unter anderem uns ausspioniert haben, auch von ihrer Botschaft in Berlin aus. Aber andersherum ist das natürlich genauso. Der BND betreibt ein Programm, das heißt Strategische Fernmeldeaufklärung, und das ist genau dasselbe in Grün, nur halt auf andere Länder. Und wir haben natürlich ein Gesetz, was die einschränkt, damit sie nicht deutsche Bürger abhören, aber da sind auch die anderen EU-Bürger nicht betroffen, also von der Ausnahme. Das heißt, die dürfen dann abgehört werden. Es gibt also im Grunde, wenn man es jetzt aus Sicht eines Drittlandes, wie sagen wir Spanien sieht, gibt es eigentlich keinen Grund, warum die uns trauen sollten. Genauso wenig, wie wir ihnen in der EU trauen können. Und das ist natürlich keine Grundlage, auf der man so was aufbauen kann, eigentlich.

Heise: Gibt es denn eine Grundlage, auf der Vertrauen wieder geschaffen wird? Ich meine, wie stellen Sie sich das vor?

von Leitner: Ja, das ist schwierig. Also der eigentliche Schutz, der letzte, wirkliche Schutz, den man hat, ist, wenn man Ende-zu-Ende-Verschlüsselung hat, das heißt, wenn ich mir mit Ihnen eine E-Mail schreibe, das wir zusammen eine Verschlüsselung aufbauen. Und dann ist es eigentlich egal, wo das langläuft. Alles, was die sehen könnten, ist, dass wir kommuniziert haben. Das ist schlimm genug. Das lässt sich nicht wirklich verhindern. Da gibt es zwar Ansätze, und man kann anonymisieren und so, aber ein wirklich sicherer Schutz ist das nicht.

Aber, was man wirklich erreichen kann, ist, dass der Inhalt der Kommunikation geheim bleibt. Dazu braucht es eben Ende-zu-Ende-Verschlüsselung, und dazu ist der politische Wille leider nicht da. Denn es gibt ja in Deutschland dieses Projekt DE-Mail, was genau das hätte erfüllen können, und die haben eben gesagt, nein, wir machen das in der Mitte entschlüsselbar, und haben das mit Virenschutz begründet. Aber womit man das begründet, ist ja egal – wenn die das in der Mitte entschlüsseln können, dann können es auch die Geheimdienste in der Mitte ausleiten.

Heise: Ein Thema, das sie am Anfang angesprochen haben, das ist die Sicherheit durch Dezentralisierung, oder die angenommene Sicherheit durch Dezentralisierung. Sie sprechen in einem Artikel, der neulich in der „Frankfurter Allgemeine Zeitung“ erschienen ist, von einem europäischen Silicon Valley, was Sie also bevorzugen würden. Wie soll das aussehen, und welchen Vorteil hätte das?

von Leitner: Also, ich hab das konkret nicht gefordert, das war so eine Artikelreihe. Das ist natürlich ein schöner Begriff, so ein Silicon Valley ist sehr positiv belegt. Was man erreichen möchte eigentlich von der Politik her, wenn man ein bisschen in die Zukunft denkt, ist, dass man das Know-how im Land aufbaut und auch im Land ein bisschen verteilt, damit es nicht nur zwei, drei Spezialfirmen gibt, die das möglicherweise können, sondern, wenn wir im Moment einen Router kaufen müssen fürs Internet, so ein Hochkapazitätsrouter, der richtig Durchsatz macht, dann gibt es auf der Welt drei Firmen oder so – es gibt ein bisschen mehr, aber ich verkürze es ein bisschen. Es gibt, sagen wir mal, Cisco, das ist eine US-Firma, Juniper ist eine kanadische Firma, die sind beide zusammen in diesem Five-Eyes-Ding drin. Und der Dritte ist Huawei, das ist eine chinesische Firma. Das heißt, ich kann mir im Grunde aussuchen, von wem ich meine Hintertür haben will.

Und der einzige Grund, warum man jetzt, also der wichtigste Grund aus meiner Sicht, warum man eine solche Initiative in der EU starten würde, ist, damit man hier einen Pol schafft, der zumindest im Inland ist, dass die Technik zumindest aus dem Inland kommt. Dann ist natürlich immer noch das Problem, was man für Daten drüber reitet und was man für eine Software einsetzt. Wenn alle natürlich Windows einsetzen, dann ist natürlich so viel nicht gewonnen, aber irgendwo muss man ja anfangen. Und das war so meine Vision, die ich in dem „FAZ“-Artikel erläutert habe. Dass ich denke, wenn wir was erreichen wollen, dann müssen wir erst mal eine Grundlage schaffen, auf der wir was erreichen können, ohne dass das sowieso schon alles kompromittiert ist, und habe halt ein paar Thesen aufgestellt, was man da an Anforderungen haben wollen würde bei so einem Projekt.

Heise: IT-Sicherheit, unser Thema hier im Radiofeuilleton mit Felix von Leitner alias Fefe. Sie haben es immer wieder gesagt, Skepsis gegen IT-Großprojekte. Warum generell? Ich meine, die von Ihnen bearbeitete Idee des Silicon Valley. Also, Silicon Valley, da denke ich aber inzwischen auch an Großfirmen. Das sind auch nicht mehr die kleinen Krauter.

von Leitner: Richtig. Na ja, man kann sich ja ansehen, wie bei uns IT-Großprojekte so laufen bei uns in Deutschland. Und da gibt es eigentlich viele Beispiele. In dem Artikel hatte ich, glaube ich, vier rausgesucht. Also die Polizei hat eine neue Software gekriegt in den letzten Jahren, die Modernisierung der Bundeswehr, die Gesundheitskarte. Es gibt da viele, und die sind eigentlich alle komplett schiefgegangen. Es hat jeweils mehr gekostet und länger gedauert und hat am Ende die Anforderungen nicht erfüllt. Und das ist eine Sache, die muss man realisieren. Wenn wir jetzt noch ein Projekt machen, genauso, wie wir die anderen Projekte gemacht haben, dann wird das auch genauso enden. Und was ich konkret gegen große Projekte habe, ist eigentlich gar nicht so, dass das Projekt groß sein soll, sondern dass das Projektmanagement im Haus bleiben soll.

Heise: In welchem Haus?

von Leitner: Von der Regierung, die das ausschreibt. Dass man sagt, wenn ich das gesamte Projekt übergebe und das wird dann nichts, dann habe ich ja keine Wahl, dann muss ich denen ja weiter Geld hinterherwerfen. Oder ich habe alles abgeschrieben, was ich da schon investiert habe. Wenn ich aber das Projektmanagement im Hause mache, also in der Regierung, und sage, wir geben nur kleine Teilprojekte raus, und die sind alle klein genug, dass, wenn es fehlschlägt, dann schreibe ich's halt noch mal aus. Sodass es da diesen Erpressungsdruck nicht gibt. Dass ich nicht sagen kann, ja, das tut uns ja leid, aber da müssen Sie halt noch ein bisschen Geld nachwerfen, und dann fixen wir das vielleicht. So läuft das eben bisher.

Ich hab auch ein bisschen Probleme mit großen Firmen insgesamt. Also gerade im Silicon Valley kann man das ganz gut sehen. Das ist einer der größten Profitträger der Vereinigten Staaten, das Silicon Valley. Und auch, ebenfalls in Kalifornien, die Unterhaltungsbranche, also Filme. Die zusammen machen einen Großteil der Profite in den USA aus. Und Kalifornien ist aber eines der verschuldetsten Länder. Wie kommt denn das? Das kommt meines Erachtens daher, dass man sagt, wenn man so große Firmen hat, dann haben die eine ganz andere Verhandlungsposition dem Staat gegenüber. Die können damit drohen, dass sie rausgehen, oder die können Produktion ins Ausland schieben oder die können irgendwelche Steueroasentricks anwenden. Und diese Art von Tricks steht halt kleinen Firmen nicht so zur Verfügung, und die sind auch eher bereit, ihre Steuern zu zahlen. Und daher schlage ich vor, dass man versucht, auch, um das Know-how besser zu verteilen, dass man eben diese kleinen Module auch auf kleine Firmen verteilt und möglichst darauf achtet, so eine Basis aufzubauen.

Heise: Über das Thema Dezentralisierung gab es dann im Zuge dieser Reihe in der „Frankfurter Allgemeinen“ auch ein Gespräch zwischen dem Telekom-Chef René Obermann und dem Chaos-Computer-Club-Sprecher Frank Rieger. Da ging es um Dezentralisierung der Netze zum Beispiel. Und da hat Obermann am Schluss sich sehr skeptisch geäußert, woher in dieser kapitalintensiven Branche, wenn da fragmentierte Netze sind, das nötige Geld eigentlich für Investitionen kommen soll. Denn eine gewisse Größe ist notwendig. Das ist ja ein Argument, das man Ihrem eben Gesagten auch entgegenbringen kann.

von Leitner: Ja, das stimmt natürlich. Kapital ist notwendig. Das muss eben von der Regierung kommen, wenn wir möchten, dass das am Ende allen zugute kommt. Das ist auch so ein Problem: Wenn wir bisher Forschungsprojekte ansehen, dann fließt das zwar an irgendwelche Unis, aber das funktioniert dann mit Drittmittelkooperation der Industrie, und die Patente am Ende landen bei der Industrie. Das heißt, es ist zwar mit Steuermitteln bezahlt worden, aber die Profite landen nicht beim Steuerzahler. Dem Obermann, da muss man jetzt sehen, dass der eben der Telekom-Chef ist. Was soll der sagen? Soll der sagen, na klar, das geht, kein Problem, Sie können unser Haus zumachen? Das geht natürlich nicht. Gerade bei den Netzen, die er da anspricht, sehe ich das sehr skeptisch. Die Statistiken sind relativ deutlich, ich hab da mal was rausgesucht. Die Prognose von denen war pro Jahr so was wie 18 Milliarden Profit, und davon geben sie dann aus zehn Milliarden für den Netzausbau. Das ist zwar ein großer Haufen, aber wir reden von Profit, also nachdem die Gehälter gezahlt sind. Das heißt, die geben nicht mal – ich würde ja so ein, „Ach ja, wir geben ja so viel Geld aus“, würde ich ja wirklich verstehen, wenn es wirklich substanziell wäre, wenn die überleben können nur so gerade durch die hohen Gelder, die sie nehmen. Aber so ist es halt nicht. Die spielen Milliardengewinne ein, verteilen die unter ihren Aktionären, und die Netze, gerade die Netze in Deutschland, sind eben hauptsächlich Kupfernetze, die mit Steuermitteln bezahlt worden sind. Also das ist nicht so, dass die Telekom jetzt hier die großen Ausbauten gemacht hat. Haben Sie auch, aber die Substanz kommt vom Steuerzahler.

Heise: Die Quintessenz, wenn ich Sie richtig verstehe, es läuft aber darauf hinaus, dass die Regierung, die Politik Herr im Hause bleiben soll, formulieren soll und quasi das Ganze in die Hand nehmen.

von Leitner: Genau. Also die ganze Erpressbarkeit und der Grund, warum diese großen Projekte hauptsächlich scheitern, ist einfach, dass es zu wenig Reaktionsoptionen gibt. Wenn das Projekt gegen die Wand läuft und ich als Projektauftraggeber das sehe, dann habe ich nur die Möglichkeit, es entweder abzubrechen oder mehr Geld hinterherzuwerfen. Und dann sieht man ja wie beim Berliner Flughafen jetzt auch, das läuft immer gleich, das wird dann halt verlängert und da wird mehr Geld hinterhergeworfen.

Heise: Sagt Felix von Leitner, IT-Sicherheitsberater und Blogger alias Fefe. Ich danke Ihnen ganz herzlich für den Besuch hier im Studio!

von Leitner: Gern geschehen!