Keine Angst: Das hier wird kein technischer Beitrag! Es geht vielmehr um ein paar grundsätzliche Sachen. Vor allem aber geht es um die Frage: Sicheres Internet – wollen wir das wirklich? Selbstverständlich, klar doch, aber immer – dürfte jetzt jeder antworten. Aber das ist m. E. zu kurz gedacht. Denn ich behaupte, dass wir das im Grunde genommen eigentlich gar nicht wirklich wollen. Wie kann ich das gerade auch angesichts der aktuellen Vorfälle in Neustadt behaupten – zumal doch jeder weiß, wie abhängig wir inzwischen vom Internet sind? Die Erklärung ist ganz einfach. Betrachten wir dazu einmal das Internet.

Wie ist es aufgebaut? Da sind Millionen oder gar Milliarden von miteinander kommunizierenden Computern. Die Computer selbst sind ohne die zugehörige Software nutzlose Blech-Plastik-Kisten. Erst die Software macht aus der Hardware ein nutzbringend einsetzbares Gerät. Die Software: Das sind die Programme, die auf den Computern laufen. Das sind compilierte Codezeilen. Milliarden, Billionen, vielleicht sogar Billiarden davon. Kein Mensch kann das heute noch überblicken. Hinzu kommen Programme, welche ihrerseits andere Programme generieren, Stichworte KI und neuronale Netzwerke. Das sind für Otto Normalverbraucher Black Boxes.

Bleiben wir bei der unüberschaubaren Menge an Codezeilen. Prinzipiell kann jede einzelne davon einen Fehler enthalten, der es einem Angreifer gestattet, unbefugt in den betreffenden Computer einzudringen und sich von dort ausgehend im Netzwerk breit zu machen. Häufig werden solche Schwachstellen aufgedeckt und dann gibt es Sicherheitspatches in Form von Updates. Noch sehr viel häufiger aber bleiben Schwachstellen so lange unerkannt, bis jemand – wer auch immer – sie zufällig einmal findet. Behält der Betreffende sein Wissen für sich bzw. macht es nur einem kleinen, auserwählten Kreis zugänglich und wird eben deswegen das Problem nicht beseitigt, dann haben wir ein Zero-Day-Exploit. Damit kann man unbefugt in Computer und Netzwerke eindringen und die auch lahmlegen.

Hinzu kommen nun noch die Softwareunternehmen selbst. Es ist ein offenes Geheimnis, dass die „Hintertürchen“ in ihre Programme einbauen. Aus deren Sicht mag das sogar sinnvoll sein, denn wenn eine Software – bspw. ein Virenscanner – per Abo vertrieben wird, dann muss auch sichergestellt werden, dass besagtes Programm ab dem Tag X, für den die Rechnung nicht mehr bezahlt worden ist, auch nicht mehr läuft. Nur das verspricht Gewinn; nur so kann man Kunden binden. Oder – Stichwort Staatstrojaner – Vater Staat will, aus welchem Grunde auch immer, Zugriff auf den Rechner erlangen. Wir haben also neben den „natürlichen“ Schwachstellen auch noch bewusst eingebaute Hintertüren.

Alle diese Schwachstellen sind daher ein äußert zweischneidiges Schwert. Dem einen – Staat und Unternehmen – versprechen sie u. U. Gewinne. Für den anderen – den User – können sie eine Gefahr sein. Und für den noch anderen – den unbefugten Angreifer – stellen sie sogar eine Waffe dar. Deswegen werden einige der Schwachstellen immer mal wieder mit Sicherheitspatches beseitigt. Aber nicht alle. Letzteres vor allem deswegen nicht, weil Aufwand und Nutzen in keinem vernünftigen Verhältnis zueinander stehen. Wie ist das zu verstehen? Dazu mal ein Beispiel aus meiner eigenen Praxis.

Zu Anfang der 1990er Jahre (Windows 3.0 kam gerade erst auf den Markt) programmierte ich noch kommerzielle Software. Eines dieser Programme („REGAN“ zur Regressionsanalyse) hatte ich nach dreijähriger Entwicklung zwecks Veröffentlichung bei der „CLB Software für die Chemie“ eingereicht, denn es funktionierte mittlerweile gut und zuverlässig. Es wurde nicht angenommen und ich erhielt es zur Überarbeitung zurück. Die Begründung lautete dahingehend, dass es nicht sicher genug gegen Fehlbedienung sei. Was bedeutete das? Wurde eine Zifferneingabe erwartet und hämmerte der Benutzer einen Buchstaben ein, dann verabschiedete sich die Software mit einer Fehlermeldung. Sollte dividiert werden und hackte der User eine „0“ als Nenner in den Rechner, dann war auch aufgrund einer Fehlermeldung („Division by zero“) gleichfalls Feierabend.

Folglich setzte ich mich nochmal dran. Fehlbedienung, was bedeutet das und wie sieht das in der Praxis aus? Meine seinerzeit zweijährige Tochter musste als Versuchskaninchen herhalten. Begeistert und mit Elan patschte sie mit beiden Händchen auf der Tastatur rum! Aha – es sind also alle Tasten außer den gerade für die jeweilige Eingabe benötigten zu sperren und nach erfolgter Eingabe wieder freizugeben. Außerdem musste immer dann, wenn die Möglichkeit bestand, dass der Nenner bei einer Division „0“ sein könnte (aber eben nicht „0,000456…irgendwas“) eine zusätzliche Fehlerbehandlungsroutine die unzulässige Eingabe abfangen. Gesagt, getan und nach nochmal einem weiteren Jahr an Arbeit konnte ich das – aufgrund der Schwachstellenbeseitigung nun doppelt so umfangreiche Programm – nochmal einreichen und erfolgreich vermarkten. Was ich damit sagen will ist: Wenn man alle Schwachstellen beseitigt, dann spielt sich extrem viel Drum und Dran quasi „unter der Haube“ ab, was jedoch mit der grundlegenden Funktionalität nichts mehr zu tun hat – und eben das rechnet sich nun einmal nicht.

Wäre es denn überhaupt grundsätzlich möglich, die unbefugt nutzbaren Schwachstellen zu beseitigen bzw. ihre Nutzung zu verhindern? Ja, das wäre es – rein technisch und theoretisch betrachtet jedenfalls. Aber das würde auch bedeuten, dass zusätzlich noch PEBCAK beseitigt werden müsste. PEBCAK bedeutet „Problem Exists Between Chair And Keyboard“, also übersetzt „das Problem befindet sich zwischen Stuhl und Tastatur“. Gemeint ist – natürlich! – der (mehr oder weniger unerfahrene bzw. leichtsinnige?) Benutzer. Beseitigen kann man den Benutzer selbstverständlich nicht. Aber überwachen. Die Überwachung müsste, damit nichts passiert, ziemlich umfassend sein. Extrem umfassend sogar und damit geben wir unsere Freiheiten auf und ergeben uns in ein auf Angst basierendes System. Außerdem würde eine derartige Überwachung bedeuten, dass jeder einzelne Mensch unbegründet unter einen Generalverdacht gestellt wird. Wollen wir das wirklich? Man kann die Freiheit nicht schützen, indem man sie aufgibt oder zu Tode schützt!

Ein völlig sicheres Internet würde nämlich bedeuten, dass sich alle Informationen uneingeschränkt zurückverfolgen lassen. Das wäre wie Kamera und Mikrofon an jeder Ecke und in jedem Winkel unserer Wohnung. Jegliche Privatsphäre würde aufgegeben werden (müssen). Könnte man eben dadurch jede unserer Bewegungen aufzeichnen und hochrechnen, dann würde das bedeuten, dass man zwar unsere Gedanken (noch) nicht gänzlich lesen, uns aber beliebig leiten und lenken kann. Die Gedanken sind frei? Irrtum – bei einem sicheren Internet garantiert nicht mehr! Mal ganz abgesehen davon könnte es zur Sicherung des Internets durchaus erforderlich werden, die Rechte des Einzelnen u. U. erheblich einzuschränken – und wer will das schon? Deswegen bin ich der Meinung, dass wir ein wirklich sicheres Internet eigentlich gar nicht haben wollen! Wir nehmen stattdessen unsere ureigenen Fehler und Schwächen mit in den Cyberspace und ignorieren die daraus resultierende Problematik.

Die Konsequenz daraus ist, dass wir mit einem unsicheren Internet leben bzw. sogar leben müssen. Warum auch nicht, solange es funktioniert? Aber genau an der Stelle wird’s dann auch wieder haarig. Stell‘ dir vor, du hast ein Auto vom Typ „alte Rostschlurre mit zahllosen Macken“. Längere Strecken fährst du mit dem Teil vorsichtshalber sowieso schon lange nicht mehr, aber um Einkäufe o. ä. im regionalen Umfeld zu machen – dafür reicht’s gerade noch, so das Ding denn mal beim x-ten Versuch anspringen sollte. Falls es das nicht tut, dann hast du immer noch deinen „Plan B“ in der Hinterhand, nämlich dein Fahrrad mit Anhänger. Das zu benutzen ist zwar unbequemer und schweißtreibender, aber in der Not frisst der Teufel bekanntlich Fliegen. Jetzt stell‘ dir vor, das unzuverlässige Auto entspräche dem Internet und dein Fahrrad alter, analoger Technik in Verbindung mit altem Wissen. Sollte das eine ausfallen, dann kannst du jederzeit auf das andere zurückgreifen.

Leider aber funktioniert genau das in unserer Gesellschaft keineswegs, denn wo das Geld angebetet wird, da bleibt der „Plan B“ auf der Strecke. Das Internet durchdringt heute schon alle Gesellschaftsbereiche – von der Logistik über Strom- und Wasserversorgung, Verkehrssteuerung, Medizin bis hin zur Unterhaltung. Kein Strom: Was machst du? Kein Handynetz: Was machst du? Kein Wasser: Was machst du? Wenn das Festnetztelefon ausfällt wäre es wichtig, ein analoges Notfallnetz in petto zu haben. Das aber gibt’s nicht mehr weil es zu teuer war. Wenn der Strom ausfällt kannst du dir keine Tiefkühlpizza warm machen und wie funktionierte doch gleich das Kochen nur mit dir weitestgehend unbekannten Zutaten und anderen Heizquellen? Ist dir noch bekannt wie du Wasser aufbereiten oder Lebensmittel für den Eigenbedarf anbauen, ernten und konservieren kannst? Wie du Berechnungen ohne Computerunterstützung durchführen kannst? Das ließe sich jetzt endlos weiter führen!

Wenn unsere selbsternannte „Elite“ eine Digitalisierung der Gesellschaft beschwört, dann ist daran zunächst einmal nichts auszusetzen. Man verwendet ein unsicheres System eben so lange, wie es funktioniert. Man nutzt das o. e. Auto, so lange das noch läuft. Wenn das System irgendwann nicht mehr funktioniert, dann greift man zur Alternative, zu Plan B. Im o. e. Beispiel also zum Fahrrad. Was geschieht aber, wenn man diesen Plan B dem schnöden Mammon geopfert hat, wenn man also das Fahrrad in Einzelteile zerlegt und die gewinnbringend verscheuert hat? Wenn also – um auf unsere „ach so fortschrittliche“ Gesellschaft zurück zu kommen – das alte Wissen verloren gegangen ist und aus Kostengründen keine Alternative mehr existiert? Dann hat man die Arschkarte. Dann hat man einen gesellschaftlichen Kollaps, der hätte verhindert werden können. Aber welcher neoliberale Politclown macht sich das schonmal bewusst? Oder, anders ausgedrückt: Wenn man bei dem lautstarken Ruf nach digitaler Kompetenz nur die eine Seite der Münze betrachtet, ist das dann nicht geradezu ein Beleg für Kompetenzlosigkeit?