DNIP Briefing #44: Gute und schlechte Vorsorge

Ein Stethoskop und Nullen und Einsen

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat.

Heute unter anderem über Zensur, vergleichsweise günstige IT-Sicherheit und Abstimmungs-Vorlagen im wörtlichen Sinn.

Vorsorge ist günstiger als heilen

Ein Grund, wieso Unternehmen oft wenig Vorkehrungen gegen Cyberangriffe treffen, ist, dass diese Vorkehrungen kurzfristig mehr kosten als ein als unwahrscheinlich eingestufter Schaden. Und leider bleiben die Kosten eines erfolgreichen Cyberangriffs oft verborgen, da betroffene Unternehmen selten transparent darüber berichten. Im Falle des UK-Autoherstellers Jaguar Land Rover (JLR), bei dem vermutlich eine Supply Chain-Attacke zu einem bisher über einen Monat andauernden Stillstand der Produktionsstrassen führte, lässt sich der Schaden jetzt hingegen beziffern: Die UK-Regierung hat eine Kreditlimite von 1.5 Milliarden Pfund beschlossen, mit welcher das Unternehmen finanziell stabilisiert werden soll.

In Falle von Jaguar Land Rover war nicht nur JLR selbst arg betroffen; auch etliche ihrer Zulieferer stürzten durch den Wegfall der Aufträge und Zahlungen in finanzielle Probleme und ihre Mitarbeiter mussten ohne Lohn auskommen. Die Kreditlimite der britischen Regierung stellt damit zumindest teilweise auch als Signal dar an Lieferanten und Kunden.

Trotzdem zeigt die enorme Höhe trotzdem gut, dass Cyberangriffe ins Geld gehen (oder ein Unternehmen existenziell gefährden) können. Es braucht nicht viel Mut, um zu behaupten, dass jegliche Art von Vorsorge günstiger gewesen wäre.

Zensur hat viele Gesichter

Die Einwanderungsbehörde ICE in den USA geht beim Aufspüren und Abschieben von angeblich illegal im Land verweilenden Migranten in der Ära Trump bekanntermassen alles andere als unzimperlich vor. Seit einigen Monaten gibt es sowohl für iOS als auch für Androids Apps, mit welchen man andere vor diesen ICE-Einsätzen warnen kann. Warnungen, welche dann sowohl den oft fälschlicherweise Verdächtigten eine Chance gibt, sich zu verstecken als auch der Zivilgesellschaft die Möglichkeit verschafft, Präsenz zu markieren. 

Nachdem das amerikanische Justizministerium gegenüber Apple und Google Bedenken bezüglich der Apps geäussert hat, und dabei vor allem ins Feld führte, dass ICE-Mitarbeiter durch die App gefährdet würden, haben beide Anbieter die Apps aus ihren jeweiligen App Stores genommen. Eine eigentliche Rechtsgrundlage gibt es hierzu nicht, sowohl Apple als auch Google begründen den Schritt aber mit Verletzung der App Store-Richtlinien. Zumindest im Fall von Apple erinnert das an eine ähnliche App in Hongkong, welche der Konzern auf «Wunsch» der chinesischen Regierung 2019 aus dem Store entfernte.

Zur Erinnerung: Einer der (mehrfach widerlegten) Vorwürfe der Republikaner an die Biden-Administration war, dass sich diese zu Corona-Zeiten in die Moderation auf Twitter und Facebook eingemischt und unliebsame Inhalte habe unterdrücken lassen. Dieselben Republikaner stören sich aber nicht daran, wenn Generalstaatsanwältin Pam Bondi eine direkte Einflussnahme öffentlich bestätigt: «We reached out to Apple today demanding they remove the ICEBlock app from their App Store.»

Abstimmen nach Schablone F

E-Voting birgt technische, IT-Sicherheits– und demokratische Risiken, wie wir bei DNIP regelmässig berichten. Und erfüllt auch etliche der in die «vote électronique» gesetzten Hoffnungen nicht. So ist es definitiv nicht einfacher als das Abstimmen mit Papier, wie jede:r bestätigen kann, der das schon einmal ausprobiert hat (die eVoting-Testplattform der Post ist leider Stand Montagabend aktuell nicht verfügbar, um es am eigenen Leib zu erfahren). Auch für die Erhöhung der Stimmbeteiligung geht einfacher und mit weniger Demokratie-Risiken, wie der Kanton Schaffhausen in der DNIP-Analyse zweifelsfrei zeigt, seit einem halben Jahrhundert der unbestrittene Stimmbeteiligungs-Spitzenreiter.

Neben technischen gibt es auch ethische Überlegungen rund um das e-Voting, wie Martina Kessler Anfang Jahr aufzeigte. Ein Aspekt davon ist Inklusion. Nachdem es unsere EU-Nachbarländer ohne kommerzielle e-Voting-Interessen schon seit Jahren vormachen, gibt es nun auch in der Schweiz Abhilfe für Blinde und Sehbehinderte: die Abstimmungsschablone. Im Kanton Zürich wird sie an der Eidgenössischen Volksabstimmung vom 30. November erstmals im Pilotbetrieb zum Einsatz kommen.

Rückschritte bei der Digitalen Souveränität

Google hat angekündigt, dass auf Android-Geräten ab nächstem Jahr nur noch Applikationen von registrierten Entwicklern laufen werden, um Android-Geräte und -User sicherer zu machen. Auch ein alternativer App-Store soll kein Weg darum herum mehr sein.

Was auf den ersten Blick wie ein guter Schritt klingt, könnte der Todesstoss werden für offene und vertrauenswürdige Open-Source-Software-Plattformen wie F-Droid. Das Team hinter F-Droid überprüft die eingelieferte Software in mehreren Schritten:

  • Macht die Software etwas, was der Nutzerin möglicherweise nicht gefallen könnte (sie tracken, zwangsweise auf gewisse Dienste «Lock-in»-en etc.)?
  • Macht die Software auch genau das, was sie laut dem Quelltext auch tun sollte? Ist ihre Arbeitsweise also nachvollziehbar?

Aus diesen Gründen übersetzt F-Droid alle Applikationen selbst, bevor sie auf der Plattform zum Download angeboten werden. Diese Qualitäts- und Sicherheitsprüfung wäre unter der angekündigten Google-Policy nicht mehr möglich, beklagt sich F-Droid in einem detaillierten Blog-Eintrag.

F-Droid beklagt auch, dass sie es schaffen würden, sichere Software zu verteilen, während Google trotz bestehender Pfichtregistrierung auf ihrem Store regelmässig Malware oder andere Software mit niederen Absichten verteile. Und ganz besonders bei Datenschutz mehr als nur ein Auge zudrücke.

Googles Schritte würden also kaum zu mehr Sicherheit beitragen, welche nicht schon anderweitig erreichbar wäre, dafür aber die Rolle von Google als Gatekeeper stärken, obwohl Apple an dieser Stelle gerade zurückgepfiffen wird.

Übrigens hätte Google jenseits der App-Store- und Entwickler-Kontrolle noch viele Möglichkeiten, seine Geräte sicherer zu machen: Beispielsweise das Betriebssystem stärker gegen Angriffe durch Applikationen oder Extern schützen, wie das beispielsweise der auf Sicherheit getrimmte Android-Ableger GrapheneOS macht oder Sicherheits-Patches schneller umzusetzen. Oder durchzugreifen, wenn Applikationen unbehelligt hunderte von anderen Applikationen ausspionieren. Oder ihre Nutzer:innen ausspionieren. Und nein, damit ist nicht das besondere Übel der Spyware gemeint.

Und schliesslich:

  • Über die UK-Regeln zur Alterskontrolle im Internet (bzw. zum Schutz Minderjähriger) haben wir im Sommer schon geschrieben. Diese Regeln haben nun einen weiteren bekannten Internet-Dienst aus UK vertrieben. Die Bilder-, GIF- und Meme-Sharing-Plattform Imgur hat ihr Angebot in UK eingestellt, nachdem die Behörden Bussen wegen Nicht-Erfüllung der gesetzlichen Anforderungen angekündigt hatten.
  • Über ein Handyverbot an Schulen wird unter anderem auch in der Schweiz diskutiert. Eine eher unerwartete Folge eines solchen Verbots hat sich jetzt in den USA gezeigt: Da die Schüler:innen in Portland während dem Unterricht kein Handy mehr zur Verfügung habe, musste die Zwei-Faktoren-Authentisierung (2FA) für den Zugriff auf die Google-basierten Schulsysteme abgeschaltet werden. Dies führte innert kurzer Zeit zu einer starken Zunahme von erfolgreichen Phishing-Angriffen auf die Schüler-Konten. Die Schulverwaltung schob dabei die Schuld zumindest teilweise auf die Schüler:innen ab, denen sie Wiederverwendung von Passwörtern auf verschiedenen Plattformen unterstellte. Die Digitalkompetenz der Schulkinder wird auf diese Weise jedenfalls nicht erhöht.
  • Ach ja: Habt ihr euer Backup schon gemacht (und getestet, ob es auch tut?) sowie 2FA überall aktiviert, insbesondere bei eurem Mailprovider? Jetzt wäre ein guter Zeitpunkt dafür. Wie übrigens schon unzählige Male zuvor …

Zitat der Woche

«Oh! Das gefällt mir!», sagt der Alte. «Um vergessen zu können, was es vergessen soll, darf das System nicht vergessen, was es vergessen muss! […]»

Marc-Uwe Kling zum Recht auf Vergessenwerden und die Datenschutzimplikationen dazu. Hier auf Seite 164 seines Buches «QualityLand 2.0» (2020). Übrigens: Die beiden Bände (2017, 2020) nehmen viele digitalpolitische Themen der heutigen Zeit und der nahen Zukunft humorvoll und spannend aufs Korn.

dnip.ch mit Deiner Spende unterstützen

Wir wollen, dass unsere Inhalte frei verfügbar sind, weil wir es wichtig finden, dass möglichst viele Menschen in unserem Land die politischen Dimensionen der Digitalisierung erkennen und verstehen können.

Damit das möglich ist, sind wir auf deine Unterstützung angewiesen. Jeder Beitrag und sei er noch so klein, hilft uns, unsere Aufgabe wahrzunehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge