Hannes Federrath: Wir hatten zunächst schon immer vermutet, dass da viel abgeschöpft wird. Die Überraschung war eigentlich, dass es in diesem Ausmaß passiert und dass diese Daten auch so langfristig gespeichert werden können. Also, dass Daten bei Internetserviceprovidern abgeschöpft werden, war auch eine Überraschung. Denn es ist zwar klar, dass natürlich amerikanische Firmen patriotisch sein werden und dem amerikanischen Staat helfen werden, aber dass sie auch in diesem Ausmaß mitgeholfen haben bei der Überwachung, das war schon wirklich überraschend.

Schmitz: Seit wann wissen Sie denn, dass beispielsweise die kostenlosen Geschäftsmodelle von Google und Co. nicht nur über Werbeeinkünfte auf den jeweiligen Seiten kalkuliert sind, sondern auch über den Verkauf von diesen vielen Nutzerdaten, die ja jeder hinterlässt, wenn man diese kostenlosen Plattformen benutzt?

Federrath: Das ist eigentlich ein alter Hut. Denn es ist so, dass eben Internetmarketing im Wesentlichen darauf beruht, dass Nutzer kostenlos Dienste nutzen und mit ihren Daten bezahlen, also mit ihren Interessensdaten bezahlen. Und dann gibt es ein Netzwerk hinter Google. Viele Werbefirmen beispielsweise sind verbunden mit Google, aber eben auch mit anderen Anbietern wie Yahoo zum Beispiel, sammeln die Daten über Benutzer, können die verketten und haben damit ein sehr genaues Profil des normalen Internetbenutzers.

Surfe ich also auf der einen Webseite, wird mir beispielsweise Werbung eingeblendet; surfe ich auf einer anderen Webseite, wird mir auch Werbung eingeblendet, und es ist heute noch nicht mal mehr notwendig, dass der Werbeanbieter ein und dieselbe Firma ist, denn die stecken letztendlich alle unter einer Decke, verketten also die Daten, denn sie wissen: Erst durch diese riesige Datenflut, die auch bewältigt werden kann heute aufgrund von Big Data, Analyse-Algorithmen, ist es eben möglich, den Kunden besonders gläsern zu machen. Darauf beruht das Geschäftsmodell.

Schmitz: Haben sich die Gesellschaften, haben wir uns mit dem Ausverkauf unserer Daten in weiten Teilen abgefunden, weil jeder nur die alltagspraktischen Vorteile des Internets und des Mobilfunks sieht? Oder haben Sie den Eindruck, dass sich jetzt ein Widerstand aufbaut, ein ernst zu nehmender Widerstand, und Datensicherheit zunehmend eingefordert wird? Eine Forderung, die dann aber auch relevante Maße annimmt?

Federrath: Ich glaube, dass das Bewusstsein der Menschen da ist, aber noch nicht die Gefahr erkannt wird. Man weiß sehr wohl, dass diese Daten gesammelt werden, und es ist natürlich auch verständlich, dass man sagt: Welches Problem soll ich denn damit haben? Jeder muss einkaufen, ob im Internet oder im Laden! Entscheidend ist aber, dass diese Daten für die Ewigkeit da sind und eben auch für die Ewigkeit verknüpft werden können, zum Beispiel auch Veränderungen über die Zeit erkennbar sind. Wenn ich mich beispielsweise als Kunde weiterentwickele und früher bestimmte Produkte gekauft habe, dann ist es vielleicht erkennbar, dass der Trend hingeht zu anderen Produkten, wenn ich zum Beispiel mehr Geld habe. Und das weiß unter Umständen schon der Werbeanbieter vorher. Der Mensch ist also in gewissem Sinne zwar sich seiner Beobachtbarkeit sehr bewusst, zieht aber daraus nicht die Konsequenzen, weniger Daten im Netz zu lassen. Denn es ist eben einfach wahnsinnig angenehm, mal schnell im Internet was nachzuschauen. Das ist das große Problem. Der normale Mensch weiß eigentlich gar nicht so recht, dass die Daten eben alles andere als flüchtig sind.

Schmitz: Sie haben gerade schon eine Hauptgefahr skizziert, eben dass die Daten langfristig vorhanden bleiben und damit Rückwirkungen auf das Verhalten des Einzelnen zu vermuten sind. Welche Gefahren gibt es darüber hinaus?

Federrath: Es gibt eine relativ alte Studie, bei der man allerdings nicht genau weiß, ob sie wirklich seriös war. Aber es wird behauptet, dass zum Beispiel alleine aus dem Surfverhalten einer Schwangeren, die selbst noch gar nicht weiß, dass sie schwanger ist - was ja praktisch innerhalb der ersten zwei bis drei Wochen nach der Empfängnis der Fall sein muss -, dass alleine aus dem Surfverhalten einer solchen Frau schon erkennbar ist, dass sie möglicherweise schwanger ist, mit einer hohen Wahrscheinlichkeit. Das heißt, wir können möglicherweise, ähnlich wie nonverbale Signale, auswertbar sind für Experten, aus dem Surfverhalten sozusagen auch nonverbal, aber auf jeden Fall digital bestimmte Informationen auswerten über Menschen, die von sich selbst noch gar nicht wissen, dass sie zum Beispiel einer bestimmten Gruppe von Personen angehören. Man muss solche Studien immer mit großer Vorsicht betrachten, aber Tatsache ist, dass das gesamte Verhalten des Menschen, das sich letztendlich in der digitalen Welt irgendwann abspielen wird, vor allem wenn man mobile Geräte ständig bei sich trägt und nebenbei damit auch seinen Aufenthaltsort immer preisgibt, das gesamte digitale Leben ein Abbild des normalen physikalischen Lebens irgendwann sein wird. Und das ist eigentlich etwas, das müssen wir noch viel bewusster machen.

Schmitz: Nun werden die Nutzerdaten durch zahllose Kanäle rund um den Globus, auch in den Äther, ins All geschickt und wieder zurück zur Erde. Sind überhaupt technische Schutzverfahren vorstellbar? Und wenn ja, welche?

Federrath: Das erste und einfachste Schutzverfahren, das, glaube ich, jeder kennen sollte, ist: ausschalten. Es gibt nicht immer die Notwendigkeit, online zu sein. Man kann das Gerät einfach mal komplett ausschalten und hinterlässt damit überhaupt keine Datenspuren. Will man aber online sein, dann hilft mindestens Verschlüsselung. Verschlüsselung ist heute leider nicht so einfach einsetzbar, wie man sich das wünschen würde, auch als Informatiker und Techniker, denn die meisten Anwendungsprogramme, vor allem auf mobilen Geräten, unterstützen die Verschlüsselung noch nicht gut genug. Aber ich würde prophezeien, in den nächsten fünf Jahren wird sich das hoffentlich ändern. Ein weiterer wichtiger Punkt ist das Löschen von Cookies. Cookies sind kleine Datensätze, die heimlich auf dem Rechner gespeichert werden. Das gilt genauso fürs Mobiltelefon. Und diese kleinen Datensätze, die sollte man regelmäßig löschen. Der Vorteil ist, dass die Datenspur, die man gelegt hat gewissermaßen, sich dann verliert, wenn eben diese Cookies weg sind. Und dann gibt es natürlich Techniken, die noch einen deutlichen Schritt weiter gehen, man könnte Anonymisierungssysteme einsetzen, das sind meistens sogenannte Proxys, also zwischengeschaltete Server im Internet, sodass man das Ziel nicht direkt aufruft, sondern zunächst an einen solchen Proxy die Daten sendet, und der sendet die dann weiter im eigenen Namen. Damit verwischt sich die Spur, es ist gewissermaßen nicht mehr möglich, die gesamte Kommunikationsstrecke zurückzuverfolgen.

Schmitz: Aber Herr Federrath, der NSA-Skandal hat uns doch gezeigt, dass die Algorithmen in den USA so schlau sind, dass sie alle anderen umlaufen, austricksen, übersetzen, entschlüsseln können! Wird die elaborierte IT-Branche führender Staaten nicht immer schneller sein als die nachgeholten Sicherheitssysteme?

Federrath: Das ist nicht ganz richtig, dass NSA und andere Nachrichtendienste wirklich alles können. Erstens ist es so, dass die meisten Risiken im Bereich der Verschlüsselung weniger auf der Algorithmen-Ebene sich abspielen, also, die Algorithmen, die verwendet werden, die mathematischen Vorschriften sind nach wie vor sicher, auch NSA kann solche Vorschriften nicht knacken. Das Problem ist eher die Anwendungssoftware, die ist schlecht programmiert, da muss sich was tun. Das nützt zwar am Ende dem Endbenutzer nichts, wenn er einen guten Algorithmus in einer schlechten Software hat, das gebe ich schon zu, aber es ist eben zumindest mal wichtig, nicht in Fatalismus zu verfallen und zu behaupten, die NSA oder andere Nachrichtendienste könnten ja sowieso alles entschlüsseln und alles mitlesen und wir könnten uns gar nicht schützen.

Schmitz: Wer müsste denn für die Datensicherheit im digitalen Zeitalter vorrangig sorgen, außer jeder Einzelne, der weniger sich im Internet aufhalten kann? Aber ist es die Politik, ist es die Wirtschaft, die auch vielleicht Geld verdienen kann daran, dass man sicherere Systeme aufbaut? Aber was muss geschehen?

Federrath: Wir neigen ja etwas dazu, immer die Schuld bei anderen zu sehen. Aber wir müssen zunächst auf uns selbst achten. Also, unsere Daten selbst schützen, sparsam sein beispielsweise. Man muss nicht bei Facebook jedes Bild hochladen. Und dann ist natürlich wichtig, dass wir die - wie wir sagen - Medienkompetenz stärken, also der Einzelne wirklich auch weiß, was er tut, wenn er im Netz unterwegs ist. Es beginnt also gewissermaßen im Schulalter, im Kindesalter, den jungen Menschen beizubringen, dass die technischen Möglichkeiten eben auch im Hintergrund Möglichkeiten bieten. Und dann ist natürlich wichtig, dass die Politik versteht, dass sie bestimmte Zweige fördern muss. Jetzt wäre mal wieder an der Zeit, mehr Geld auszugeben für datenschutzfreundliche Techniken, für besseren Datenschutz. Und wenn Sie allein das Hickhack auf EU-Ebene sehen, um die neue Datenschutzgrundverordnung, also ein Gesetz, das europaweit gelten soll und unseren Datenschutz verbessern soll, dann sehen Sie auch, dass in der Politik noch nicht das Bewusstsein angekommen ist, dass man eben auch was bewirken kann durch Gesetze.