29. Juli 2021

«Wir sind erleichtert, dass das E-ID-Gesetz abgelehnt wurde»

Blog-bild-08-09

Interview // Polizeimassnahmen- Gesetz, E-ID-Gesetz, E-Voting: Immer wieder mischt sich der Chaos Computer Club in wichtige politische Debatten ein, wenn er das Recht auf Privatsphäre und Informationsfreiheit bedroht sieht. Wir haben mit Vorstandsmitglied Hernâni Marques über die politische Lage und den Stand der Cybersicherheit in der Schweiz gesprochen.

Herr Marques, in Deutschland hat sich der Chaos Computer Club in den letzten 40 Jahren zu einer wichtigen gesellschaftlichen Stimme im Kampf gegen Cyberkriminalität, für Datensicherheit und digitale Bürgerrechte entwickelt. Wie sehen Sie die Organisation heute in der Schweiz aufgestellt, was sind ihre Ziele?
Die Ziele des Schweizer CCC ähneln denen des deutschen CCC. Wir fordern zukunftsfähige Digitalisierung dort, wo es Sinn macht. Grundsätzlich beschäftigen sich unsere Mitgliederinnen und Mitglieder mit eigenen Projekten und tauschen sich an öffentlich zugänglichen Treffen über Computertechnik aus. Wir betreiben Erfahrungsaustausch und debattieren über die gesellschaftlichen Auswirkungen der Computerisierung, die mittlerweile die gesamte Gesellschaft erfasst hat. Nicht selten wird dabei das Recht auf Schutz von Privatsphäre – in der Schweiz in Art. 13 Bundesverfassung festgehalten – grob missachtet. Wenn das passiert, wehren wir uns mit öffentlichen Interventionen und setzen uns für eine Kurskorrektur vonseiten der Politik ein. Wir nehmen an Veranstaltungen wie Podiumsdiskussionen teil, helfen bei der Ergreifung von Referenden und der Lancierung von Volksinitiativen oder machen durch das Demonstrieren von Angriffen auf Risiken aufmerksam. Kurz: Wann immer der Staat oder Konzerne das Recht auf Privatsphäre oder Informationsfreiheit beschneiden, werden wir aktiv. Mittlerweile kommt es häufiger vor, dass wir von politischen Institutionen eingeladen werden, uns an Vernehmlassungen zu beteiligen, was wir in der Regel tun, um Schwachpunkte bei Gesetzgebungen aufzuzeigen. Wichtig bei aller CCC(-CH)-Arbeit ist, dass wir faktisch korrekt bei technischen Themen bleiben, auch wenn unsere Stellungnahmen und Interventionen nicht immer emotionslos bleiben. Das hängt damit zusammen, dass wir unsere Prinzipien – in unserer Hackerethik festgehalten – mit Leidenschaft verteidigen. (Für Hackerethik siehe Link am Ende des Interviews.)

Welche politischen Initiativen und gesellschaftlichen Entwicklungen beobachten Sie derzeit? Was macht Ihnen Sorge, was macht Ihnen vielleicht sogar Mut?
Am meisten Sorgen bereitet uns die ständige Ausweitung des Überwachungsstaates wie jüngst das Polizeimassnahmengesetz, das angeblich dazu dienen soll, Terrorismus zu bekämpfen. Tatsächlich droht damit eine Fichierung weiter Teile der politisch aktiven Bevölkerung. Seit der Fichenaffäre, welche die Schweiz Ende der 1980er Jahre in Aufruhr versetzte, sollten wir eigentlich wissen, dass das eine schlechte Idee ist. Fast eine Million Personen wurden als potenziell gefährlich für die Schweiz eingestuft.

Was sind im Augenblick die Schwerpunkte Ihrer Arbeit? Sind konkrete Aktionen geplant?
Sicherlich werden wir uns an der Vernehmlassung zur Wiederaufnahme der elektronischen Stimmabgabe, dem sogenannten E-Voting, beteiligen. Wir wollen verhindern, dass E-Voting in der Schweiz erneut praktisch zum Einsatz kommt. Hier überwiegen die Risiken einer Digitalisierung auf absehbare Zeit masslos, weil der Kern der direkten Demokratie betroffen ist.

Unter anderem in der Zeitschrift «megafon» haben Sie sich bereits im Dezember 2019 entschieden gegen das «Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz)» ausgesprochen. Sind Sie mit dem Abstimmungsergebnis nun restlos glücklich, und wie geht es weiter mit einer digitalen Identität für die Schweizer Bürgerinnen und Bürger?
Es ist gut, dass die Stimmbevölkerung das Gesetz abgelehnt hat. Es hätte privaten Dritten zu viele Möglichkeiten gegeben, Identitätsdiebstahl auf zentralisierte Weise zu betreiben. Falls eine neue E-ID kommt, muss diese so dezentral wie möglich aufgebaut sein und den Nutzern die Möglichkeit geben, frei zu entscheiden, welche Daten geteilt werden. Auch wäre eine Beschränkung auf den Bereich E-Government sinnvoll.

Wie schätzen Sie die digitale Sicherheitslage von Schweizer Unternehmen allgemein ein?
Durch die massive Digitalisierung ist praktisch jedes Unternehmen angreifbar: Es ist weniger eine Frage der Möglichkeit, sondern des Aufwands, den man investiert, einen Angriff auszuführen. Je nach Bereich ist die Angriffswahrscheinlichkeit sehr hoch, wie der Angriff auf die RUAG erneut gezeigt hat.

Wie beurteilen Sie den verstärkten Trend hin zu Cloud-Technologien? Bringt das den Unternehmen ein Plus an Sicherheit durch professionell betriebene Rechenzentren, oder überwiegt das Risiko, die wichtigen Daten in fremde Hände zu geben?
Man sollte bei Möglichkeit private und geschäftsrelevante Daten auf Plattformen betreiben, die man selber kontrolliert. Diese sollten dann aber auch professionell administriert werden, um Angriffsflächen zu minimieren. Nur bei öffentlich gedachten Daten macht es aus Sicht von Privatsphäre und Sicherheit Sinn, diese Dritten zu überlassen.

Unser Leben ist inzwischen stark digital geprägt. Wie halten Sie es persönlich mit Facebook, Twitter oder WhatsApp? Wie sollen wir als Gesellschaft diesen Diensten begegnen?
Wichtig bei der Nutzung von Social-Media- Plattformen ist das Bewusstsein, dass alle veröffentlichten Inhalte ewig gespeichert sind. Man sollte sich also genau überlegen, was man teilt und was nicht. Aus Gründen der Sicherheit und der Privatsphäre rate ich davon ab, Details des eigenen Lebens auf diesen Plattformen zu teilen, da diese Puzzlestücke für erfolgreiche Angriffe einschliesslich Identitätsdiebstahl sein können. Bei WhatsApp sollte man zumindest wissen, dass das gesamte Kontaktbuch und konkrete Interaktionsnetzwerke Facebook bekannt sind. Was die inhaltliche Verschlüsselung der Nachrichten anbelangt mangelt es an Transparenz: So ist nicht restlos klar, ob Dritte über den «USA PATRIOT Act» nicht trotzdem gezielt an Nachrichten herankommen. Blindes Vertrauen ist also fehl am Platz.

Welches Endgerät ist der Hauptangriffspunkt, und wie schützt man es? Wird die Angriffsfläche durch das «Internet of Things» noch grösser?
Sehr einfache Angriffspunkte sind Endgeräte, die keine Updates mehr erhalten. Vor allem der Android-Bereich ist davon betroffen. Beim Kauf sollten Nutzer also darauf achten, dass für das neue Gerät langfristiger Support zur Verfügung steht. Die meisten Attacken finden aber weiterhin als Phishing-Angriffe statt, bei denen Nutzer dazu gebracht werden, Inhalte anzuklicken oder Anhänge aufzumachen. Neben einer gesunden Skepsis helfen bei Phishing- Angriffen authentifizierte Kommunikationskanäle – Kanäle also, die kryptografisch abgesichert und geprüft sind. Zwar ist dies je nach Medium nicht immer ganz einfach, doch die zunehmende Automatisierung kann hier Abhilfe verschaffen.


Hernâni Marques
Hernâni Marques

Hernâni Marques ist Computer-linguist, Soziologe und Neuro-informatiker und Mitglied im Stiftungsrat der pΞp foundation. Er hilft mit, technische Werk-zeuge zu erstellen, Privatsphäre wieder herzustellen und setzt sich politisch für Privatsphäre, Meinungsäusserungs- und Informationsfreiheit ein.