Wie digital unabhängig sind die Schweizer Medien unterwegs? Spoiler: Fast null

In Zeiten von erratischen US-Präsidenten die mal schnell Microsoft-Konten in anderen Ländern ausknipsen lassen, wenn ihnen etwas politisch nicht passt, ist die Frage aktueller denn je: wie abhängig sind wir in Europa von amerikanischen Big Tech-Technologien?

Nicht nur der Bund, Kantone und privatwirtschaftliche Firmen sollten diese Fragen diskutieren, sondern auch Redaktionen. Denn die Realität ist: Die meisten Kommunikationsinfrastrukturen von Medienhäusern basieren ebenfalls auf US-Technologien.

Seit 2013 hat Google über 200 Millionen Euro in europäische Medien investiert, hauptsächlich durch Programme wie die Digital News Initiative und später Google News Showcase. Diese Förderungen konzentrieren sich auf technologische Innovationen, journalistische Ausbildung und Infrastrukturprojekte. Über die Rolle von Google als Medien-Mäzen hab ich bereits früher geschrieben.

Meine Kollegen Alexander Fanta und Ingo Dachwitz zeigten in früheren Recherchen für Netzpolitik.org und in einer Studie für die Otto-Brenner-Stiftung auf, wie Google durch diese Förderungen seine Rolle als unverzichtbarer Akteur im Medienökosystem festigt und potenziell die Unabhängigkeit des Journalismus gefährdet. In einer eigenen Republik-Recherche wies ich nach, wie Google die Notlage von Medienhäusern während der Corona-Zeit ausnutzte und unbürokratisch Brosamen von paar Tausend Fränkli an die Kleinverlage verteilte. Der einzige Aufwand dafür: 20 Minuten, um ein Formular auszufüllen und schon erhielten Journalist:innen Cash.

Hier auch ein lesenswerter Ausschnitt mit Tech-Vordenkerin und ehemalige EU-Abgeordnete Marietje Schaake aus dem Branchenmagazin journalist.de:

Sind Medienhäuser bisher zu naiv mit Big-Tech-Konzernen umgegangen?

Viele haben sich weitgehend in die Hände der grossen Technologieunternehmen begeben, Medien machen sich von Tech-Unternehmen abhängig, die sehr mächtig sind. Sie haben sich zu stark auf die Werbemodelle der Techkonzerne verlassen und dass sie über soziale Netzwerke Traffic erhalten, anstatt alternative Plattformen aufzubauen, die stärker darauf ausgerichtet sind, das Publikum bei den Nachrichtenmedien zu halten. Eine kleine Änderung in den algorithmischen Einstellungen der Tech-Unternehmen kann von einem Tag auf den anderen zu einem deutlichen Rückgang der Abrufe fuhren.

Facebook hat in der Vergangenheit die Nähe zum Journalismus gesucht, hat internationale Factchecking-Redaktionen gefördert – kürzlich wurde diese Initiative komplett eingestellt.

Ein kommerzielles Technologieunternehmen hat andere Ziele als der Journalismus. Strategien und Anreize können sich jederzeit ändern. Medien haben sich zu sehr auf den gemeinsamen Erfolg von Journalismus und Suchmaschinen und Social-Media-Plattformen verlassen. Und sie wiederholen jetzt vielleicht bei KI-Unternehmen denselben Fehler.

Die in den 2010er Jahren herrschende Umklammerung durch die Silicon Valley-Konzerne lässt allmählich nach. Wollten gewisse Tech-CEOs ihre Plattformen zur personalisierten Zeitung der Welt umbauen, halten Firmenlenker aus Kalifornien die von ihnen ungeliebten, kritischen Medienhäuser immer mehr auf Abstand.

In den letzten Jahren ist deshalb auch eine deutliche Abkühlung in der Beziehung zwischen Medienhäusern und Tech-Konzernen eingetreten: heute redet in der Medienbranche niemand mehr enthusiastisch von Google News-Initiativen oder Metas Instant Article-Formaten. Und über die Finanzierung von Journalismusfestivals wie in Perugia (die beliebte Konferenz ist wegen des Big Tech-Sponsorings gratis für alle Besucher:innen) wird grosszügig hinweggesehen.

Für die Tech-Konzerne sind die Medien kein wichtiger Garant mehr für lange Verweildauer auf ihren Plattformen. Mit der kritischen Berichterstattung handeln sich die Unicorns aus dem Silicon Valley nur noch Probleme ein. Kein Wunder strafen Meta & Co die Medienhäuser algorithmisch ab und stehen in der ersten Reihe des Demagogen und Medienhassers Donald Trump bei dessen Inaugurationsfeier.

Doch die einseitigen Abhängigkeiten bleiben bestehen.

Denn nebst Suchmaschinen- und Plattformoptimierung für möglichst viele Klicks brauchen die Medien die Infrastruktur der Big Tech-Konzerne auch für ihren redaktionellen Betrieb: für die Dokumentenablage, Kalendereinträge, virtuelle Meetings etc. Auf Knopfdruck – wenn die Tech-CEOs es wollen oder wenn sie einfach Präsidentendekrete umsetzen- können die Schweizer Medien somit ihren Zugriff auf ihre Entwürfe, Quellenmemos, Kalendertermine verlieren, und auch untereinander nicht mehr kommunizieren.

Im «Telefonbuch der Internetdienste und -server», dem Domain Name System (DNS) findet sich auch die Information, welche Mailserver für welche Domains zuständig sind. (Letzte Woche berichteten wir, dass dies von Betrügern für gezielteres Phishing ausgenutzt wird.) Mit dem Tool MXLookup, mit welchem genau diese Mailserver benutzerfreundlich abgefragt werden können, lässt sich schnell ergründen, welche Redaktion welchen Emailservice verwendet. Diese Liste ist absolut nicht vollständig und viele Lokalmedien (die nicht einem Medienkonzern angehören) sind hier nicht berücksichtigt. Hinweise für weitere Medienhäuser werden gerne entgegengenommen.

Mein vorläufiges Resultat, das ich mit Insidergesprächen auch bestätigen konnte: NZZ, Weltwoche, CH Media, Ringier, Tamedia, Republik, SRF, Persoenlich.com, Tsueri, Bajour nutzen Email-Services und/oder Office-Lösungen von Microsoft oder Google.

Warum ist das ein Problem?

Email: das ist für viele Quellen immer noch die wichtigste Anlaufstelle, um mit (Investigativ-)-Journalist:innen in Kontakt zu treten. Wir wissen: Datensouveränität ist mit Google und Microsoft nicht gegeben.

Das heisst also: Die Email-Inhalte und eben auch Quellenprotokolle des Tagi & der NZZ wabern im schlimmsten Fall in den Cloud-Rechenzentren von Microsoft 365 oder Google Workplace for Businesses bei amerikanischen Big-Tech-Unternehmen vor sich hin. Natürlich sind diese schön geschützt gegen kriminelle Hackerbanden. Einer der vielen ausschlaggebenden Gründe für Schweizer Unternehmen und Verwaltungen in Big Tech zu investieren, ist eben nach wie vor die Cybersicherheit.

Aber eben mit Google Workplace und Microsoft 365 ist man nicht geschützt gegen den Cloud Act, gegen FISA, oder gegen die Flausen von Google, Microsoft und Trump. Und wir wissen auch: Google ist sehr «compliant» und kooperativ bei den Zugriffen von Strafverfolgungsbehörden aus aller Welt (auch bei Ermittler:innen der Schweiz, die bei Geltendmachung eines nationalen Sicherheitsrisikos auch Quellenkommunikation abgreifen könnte).

Aber seit der zweiten Trump-Administration hat sich mit den Big-Tech-Unternehmen ein neues Problem dazugesellt: das Unplug-Szenario. Auch die Medien wie NZZ, Weltwoche, Ringier & Co sind den Launen eines bulldozernden US-Präsidenten unterworfen, der nach Belieben ganze Emailkonten und Dokumentenspeichern ausknipsen lässt.

Von der Republik weiss ich (aus erster Hand natürlich): das Tech-Team schaut sich deswegen sowohl für das Hosting der Website republik.ch wie auch in Sachen Mailprovider (vor Google war es noch Hostpoint) mit Hochdruck nach europäischen und Schweizer Alternativen um (leider nicht im Bereich Office-Infrastruktur).

Doch wie sieht es bei den anderen aus? Schaut sich die Konkurrenz nach Alternativen um? Wie schätzen sie die Gefahren ein bezüglich Datenhoheit und Autonomie über ihre Infrastruktur?

Antworten der grossen Medienverlage waren entweder «Nope». Oder: Kein Kommentar.

Antwort der NZZ:

Im Rahmen unserer IT- und Cybersicherheitsstrategie entwickeln wir unsere IT-Infrastruktur laufend weiter und stellen so sicher, dass die eingesetzten Applikationen und Technologien unseren Anforderungen in Bezug auf Kriterien wie Zuverlässigkeit, Sicherheit und Datenschutz entsprechen. Den Einsatz einzelner Produkte kommentieren wir grundsätzlich nicht. 

Antwort von Blick:

Nein, es gibt keine derartigen Überlegungen.

Antwort von Tamedia:

Wir beobachten die langfristigen oder situativen geopolitischen, marktbezogenen oder branchenbezogenen Entwicklungen im Bereich der IT Provider kontinuierlich, geben aber keine weiterführenden Auskünfte dazu.

Antwort von CH Media:

Ein Provider-Wechsel ist nicht geplant.

Nun gut: für viele Medienschaffende sind Google und Microsoft nicht die Hauptgefahr Nr. 1 in ihrem Threatmodell. Gemeint ist mit Threat Model die grösste Bedrohung für Journalist:innen und ihre Arbeit – und wie man sich technisch, rechtlich oder organisatorisch dagegen schützt.

Für die meisten Politikjournalist:innen ist dies vermutlich eher der Schweizer Staat. (Auch in meinem Fall sind die Schweizer Behörden die grössere Gefahr, was die Einhaltung des technischen Quellenschutzes angeht).

Daher sind Schweizer IT-Unternehmen, die Email- und Office-Lösungen anbieten, nur bedingt die bessere Variante für den Datenschutz. Denn die Firmen sind dem BÜPF (Bundesgesetz zur Überwachung des Post-und Fernmeldeverkehrs) und dem NDG (Nachrichtendienstgesetz) unterworfen, sie müssen auf Anfrage der Ermittler:innen alles an Bestandesdaten ausliefern, was vorhanden ist. Mit dem revidierten VÜPF wäre die Nutzung von Schweizer Diensten das grösste Risiko für den Quellenschutz (Hintergrund: die revidierte Verordnung verlangt die Identifikationspflicht für Email, Cloud, Hosting, Messenger-Apps ab 5000 Nutzer:innen)

Dennoch gilt hier natürlich das Schweizer Datenschutzrecht (das nicht endlose Datensammlungen zulässt wie in den USA) und auch der Schweizer Gerichtsstand.

Die WOZ, die Recherche-Kollektiv Reflekt und WAV nutzen Schweizer Provider für ihre Emailkonten.

Würden sie bei einem revidierten VÜPF auf einen ausländischen Anbieter wechseln?

Reflekt und WOZ antworteten, dass man sich mit dem Thema noch genauer befassen müsste. Je nachdem kommt es ja gar nicht soweit, denn die verschärfte, revidierte VÜPF könnte wieder verworfen werden.

Eine Antwort dazu erhielt ich auch vom WAV:

«Das müssten wir auf jeden Fall prüfen. Fakt ist jedoch, dass wir auch schon jetzt Ende-zu-Ende Verschlüsselung nutzen wo möglich um uns vor Überwachung und Zugriff auf unsere Daten ohne Einwilligung zu schützen.»

Luca vom Recherchekollektiv WAV

Das WAV-Recherchekollektiv und auch die WOZ gewinnen auf jeden Fall den nicht-repräsentativen „Wettbewerb der digitalsouveränsten Redaktion“. Denn sie nutzen eine eigene Nextcloud-Instanz für den redaktionellen Betrieb und verwalten darauf wirklich alles selbst. Das WAV-Kollektiv will die technische Architektur so aufsetzen, dass auch Behörden im Fall von Zugriffsanfragen nix erhalten.

(Übrigens auch wir von DNIP.ch betreiben unsere eigene Nextcloud-Instanz).

Das ist natürlich mit einem grossen Aufwand verbunden und bedingt natürlich IT-Know-How in House (danke an Marcel an dieser Stelle).

Warum ist der autonome Betrieb wichtig? Das WAV erklärt es so:

Für uns war von Anfang an klar: Wir wollen, soweit möglich, die Hoheit über unsere Daten behalten, unsere Arbeit dadurch nicht in die politische und finanzielle Abhängigkeit grosser Unternehmen stellen und letzten Endes auch Software mit freiem und damit unabhängig verifizierbarem Quellcode nutzen. Dadurch fiel die Wahl für eine Storagecloud bei uns auf eine selbst gehostete Nextcloud-Instanz. Mit Überwachungspraktiken wie der Kabelaufklärung sehen wir zudem bei unserer Arbeit die Kontrolle über den Datenspeicherort und -verkehr als Teil der Verantwortung im Umgang mit vertraulichen Inhalten und/oder Personendaten gegenüber unseren Quellen und journalistischen Partner:innen.

Luca vom Recherchekollektiv WAV

Auch die WOZ hat sich sehr bewusst gegen amerikanische Big Tech-Abhängigkeit entschieden:

«Wir setzen bewusst auf Dienstleister, die unabhängig von Big Tech operieren. Das gilt sowohl für Mails als auch für interne Infrastruktur (Dokumente, Kalender, Videokonferenzen).»

Lorenz von der WOZ

Fazit

Die Wahl des richtigen Providers im Office-Bereich ist selten eine Schwarz/Weiss-Entscheidung für Redaktionen, manchmal hat man auch die Wahl zwischen Pest und Cholera.

Die amerikanischen Big Tech-Firmen sind jedoch aus verschiedenen Gründen ein NoGo geworden (Datensouveränität, funktionale Abhängigkeiten, mangelnder Quellenschutz). Sie sollten das Hauptsubjekt jeder seriösen kritischen politischen Medienberichterstattung sein und nicht die Technologie-Partner von Redaktionen.

Nur Medienhäuser, die ihre eigenen Abhängigkeiten zu minimieren versuchen, sind damit auch glaubwürdig gegenüber ihrer Leserschaft. Dass die grossen Medienverlage keinen akuten Bedarf sehen für einen Wechsel von Email, Kommunikation und Hosting, ist ein absolutes Armutszeugnis.

Aber auch die Schweizer Überwachungsgesetze werden immer mehr zum Handicap für Redaktionen.

Momentan plädiere ich deswegen für einen europäischen Anbieter wie Mailbox.org, Standort Deutschland mit DSGVO-Einhaltung und durchgängiger, benutzerfreundlicher Verschlüsselung. Das kostet etwas, aber die technischen Standards sprechen für eine solche Lösung (wenn man kein eigenes Knowhow hat). Interessanterweise nutzt die Innerschweizer Lokalzeitung Zentralplus.ch auch einen deutschen Mailanbieter. Bewusst auch, um zu vermeiden, dass Daten in den USA landen.

„Wir hosten nicht nur unsere Mails, sondern auch die Webseite von zentralplus in Deutschland. Die Wahl hätte damals aber auch auf die Schweiz fallen können, um offen zu sein. Wichtig war uns jemand, der den Datenschutz einhält und unsere Daten möglichst nicht ausserhalb Europas landen.“

Christian Hug, CEO von Zentralplus.ch

In diesem Artikel ausgespart habe ich den Umgang der Medienkonzerne mit dem künftigen Zero Click-Internet (dem aktuellen Trend Informationen direkt in der Suchmaschine oder bei der Plattform zu sehen, ohne auf externe Webseiten klicken zu müssen) und den KI-Modellen wie Gemini, ChatGPT und Perplexity.ai. Zu einem gewissen Grad lässt sich dies selber steuern, wie wir in einem früheren Beitrag aufgezeigt haben.

Ansonsten empfehle ich Journalist:innen für einen strategischen Umgang mit den datengefrässigen KI-Sprachmodellen von OpenAI, Google & CO den lesenswerten Beitrag von Reto Vogt im Fachmagazin «Schweizer Journalist:in».

Zu guter Letzt noch einen Hinweis in Sachen Quellenschutz:

Gute Standorte der IT-Unternehmen können gewisse Risiken etwas «mitigieren». Wichtiger ist immer noch die Art der Verschlüsselung (Ende zu Ende-verschlüsselt, so dass auch der Betreiber der Infrastruktur nicht mitlesen kann) und auch das Design der technischen Infrastruktur insgesamt (wie beim WAV Kollektiv und bei der WOZ der Fall).

PGP – ein Verschlüsselungsverfahren, mit dem man E-Mails so absichern kann, dass nur der gewünschte Empfänger sie lesen kann und niemand sie unbemerkt verändern kann – hilft hier zwar den direkten Zugriff auf den Mailinhalt einzuschränken. Aber PGP durchgängig pannenfrei zu verwalten, ist einfach absoluter „Pain“ für jeden durchschnittstechaffinen Medienschaffenden.

Daher ist allen Whistleblower:innen geraten nur via Ende-zu-Ende verschlüsselten Messengern mit Journalist:innen zu kommunizieren. Im Klartext: Threema oder Signal.

Und zwar: IMMER.