Nikolaus Forgó, Professor für Technologierecht an der Universität Wien, listet im Gastkommentar fünf Bereiche auf, wo es genauer hinzusehen gilt.

Die Ausspähung von Mobiltelefonen zahlreicher Staatschefs, Regimekritiker und Journalisten mit der NSO-Software Pegasus sorgt international für Aufsehen.
Foto: Getty Images

So wie es (für uns) nur eine Erde gibt, gibt es auch nur ein Internet. Was für Heidi Müller oder Franz Maier im Internet gefährlich ist, ist auch für Angela Merkel oder Emmanuel Macron riskant. Wer also will, dass Angela und Emmanuel sicher sind, muss das auch für Heidi und Franz wollen.

Man muss nicht in Informatik promoviert haben, um diese einfache Wahrheit zu verstehen. Trotzdem kommt es immer mal wieder, so hat man den Eindruck, zu Erweckungserlebnissen, wenn sich diese Binsenweisheit erneut in Erinnerung ruft. Sie tat dies zum Beispiel, als Deutschland im Zuge der Snowden-Affäre lernen musste, dass die "Überwachung der gesamten Telekommunikation" tatsächlich die gesamte Telekommunikation meint – und damit auch das Handy von Angela Merkel.

Ähnliches passiert jetzt wieder, wenn Emmanuel Macron sich veranlasst sieht, sein Mobiltelefon als Reaktion auf die "Pegasus-Affäre" zu wechseln. Dabei ist die Affäre gar keine Affäre, sondern eher eine "never-ending story", sind doch die Gerüchte rund um Pegasus und das israelische Unternehmen, das die Software entwickelt, Jahre alt. Und sind doch – bei aller Wichtigkeit eines Staatsoberhauptes – die Folgen für hunderte (tausende? hunderttausende?) Regimekritiker oder Journalisten, deren Systeme wohl ebenfalls kompromittiert wurden, vielleicht schwerer wiegender als ein Präsidentenhandy, sodass seit Jahren Anlass bestanden hätte, etwas zu tun.

Unsichere Software

Das Thema ist so alt wie die Informatik selbst: Von Beginn an konnte man – leider – nicht davon ausgehen, dass Software "sicher" ist – und bis heute wird dieser Zustand gleichsam als Naturgesetz akzeptiert: Während überall sonst Produkthaftung, öffentlich-rechtliche Vorgaben, Verschuldenshaftung, ein ganzes Instrumentarium an weiteren rechtlichen Folterwerkzeugen und vor allem eine (kulturell allerdings unterschiedlich ausgeprägte) Fehlerintoleranz dafür sorgen, dass der Mikrowellenherd nicht explodiert, Züge pünktlich fahren oder ein Haus nicht zusammenbricht, haben wir uns in der Informatik daran gewöhnt, dass es ganz normal ist, dass ein Rechner (oder ein Handy) die eigenartigsten Dinge tut, ohne dass man wüsste, warum.

Mit dem Internet wurde das noch schlimmer, denn da wurde eine weitere Binsenweisheitsproblematik schlagend: Wir wissen im Internet nicht, wer unser Gegenüber ist und ob es aufrichtig ist. Malcolm, der bösartige "man in the middle", ist immer schon da – manchmal ist er ein einfacher Krimineller, manchmal ein staatlicher Geheimdienst und manchmal ein Unternehmen, das ein "legitimes" Geschäft machen möchte, indem es "Intrusion-Software" veräußert.

Sicherheitslücken schließen

Man kann einiges sehr Einfaches und sehr Allgemeines aus diesen Affären – immer wieder aufs Neue – lernen:

Erstens, Staaten müssen, wie überall sonst auch, bemüht sein, sicherzustellen, dass wir uns sicher bewegen können – auch und gerade im Internet: Das bedeutet, Sicherheitslücken müssen umgehend geschlossen, massenhafte Datenansammlungen von Beginn an vermieden werden – schwarze und graue Märkte, auf denen Sicherheitslücken gehandelt werden, müssen ausgetrocknet und nicht gar auch noch durch Staatsankäufe befördert werden.

Zweitens, Staaten halten sich, wie wir spätestens seit James Bond wissen, eher selten gern an Gesetze anderer Staaten, wenn es um ihre eigenen Interessen geht. Deswegen muss das Problem (auch) völkerrechtlich und unter Einbeziehung der IT-Industrie angegangen werden.

Privatisiertes Hacken

Dabei darf man, drittens, nicht so naiv sein, zu glauben, man könne die erforderliche "digitale Souveränität" rechtlich herbeischreiben, wenn man nichts Eigenes zu bieten hat. Wir brauchen auch deshalb, endlich, in Europa und in Österreich, IT-Innovation und IT-Kompetenz, die international kompetitiv sind, und nicht stattdessen noch viele weitere Papiere, in denen dies versprochen wird.

Viertens, Staaten sind zunehmend dazu übergegangen, die für sie geltenden, strengeren Anforderungen durch eine "Privatisierung der schmutzigen Arbeit" zu unterwandern: Eine ganze Industrie – von der Videoüberwachung bis zum Drohnenhersteller – ist entstanden, deren Proponenten als Privatunternehmen privatwirtschaftlich agieren und dabei agiler sind als die Staaten selbst, weil sie rechtlich großzügiger behandelt werden als der Staat und dann aber doch sogleich ihre Produkte an Staaten veräußern. Dieses privatwirtschaftlich verfasste Hacking im staatlichen Auftrag muss klarer analysiert, gefasst und reguliert werden.

Nur Bekenntnisse

Fünftens, vor allem: Man muss besser verstehen, was überhaupt passiert ist und noch geschehen kann. Dazu braucht es Kompetenz – in der Forschung und auch in den Behörden. Im aktuellen Regierungsprogramm steht zum Themenkomplex neben den üblichen Phrasen ("Internet ist kein rechtsfreier Raum") dann ja auch zu Recht die Ankündigung "Schaffung eines staatlichen Cybersicherheitszentrums" und "Schaffung der dafür notwendigen Rechtsgrundlagen". Hat davon aber schon jemand gehört?

Und kann man sich, dieses Zentrum hierzulande in einer Form vorstellen, die es dann mit, sagen wir, den USA, China, Russland aufnehmen kann? Oder auch einfach nur mit Frankreich oder Deutschland, die entsprechende Zentren und Strategien natürlich längst haben? (Nikolaus Forgó, 29.7.2021)