Foto: Mike Minehan/ASW

ASW Bundesverband

„Don’t be evil“

Es ist geradezu erschreckend, wie schnell Menschen Gefahren in Kauf nehmen, wenn es ihr Leben gerade einfacher macht und die Bedrohung abstrakt ist oder irgendwann in der Zukunft liegt. Das ist eigentlich nichts Neues. Raucher verhalten sich ja genauso. Und gerade viele Ärzte rauchen.

Mit der digitalen Welt ist das nicht anders. Millionen Menschen nutzen einen bestimmten Messengerdienst. Der ist bequem. Den nutzen fast alle. Kostet quasi nix. Und dass das Unternehmen mein gesamtes Telefon durchleuchtet, Adressen, Telefonnummern meiner Kontakte abgreift – egal! Egal? Ja, na und? Welcher Schaden entsteht denn dadurch? Sicherlich ist der Schaden nicht ganz so direkt spürbar, wie der, wenn der Zahnarzt mit dem Bohrer abrutscht und einen nicht betäubten Zahn durchlöchert.

Die langfristigen Auswirkungen der digitalen Datenkraken sind jedoch viel weitreichender!

Gutes Unternehmen – böses Unternehmen?

Ein Unternehmen selbst kann nicht gut oder böse sein. Es hat keine Absichten. Intentionen haben Manager, die mit dem Unternehmen etwas Bestimmtes erreichen möchten. Intentionen haben bestimmte Mitarbeiter, die das Unternehmen für ihre Zwecke missbrauchen möchten. Intentionen haben vielleicht Externe, die das Unternehmen von außen manipulieren möchten.

So mag ein Unternehmen von einem guten Geist gegründet worden sein, der den Menschen das Leben einfacher machen möchte, indem alle Informationen des Planeten in diesem Unternehmen zusammenlaufen: Wer sich wo befindet, wie es um den Gesundheitszustand bestellt ist, wer mit wem befreundet ist, was wer wo kauft, Hobbies, Neigungen, Interessen, Kontobewegungen, etc. Damit ließen sich dank Metastudien neue Therapien finden, Menschen könnten besser behandelt werden, Verbrechen wären einfacher aufzuklären, Präventionsarbeit ließe sich optimieren, Ressourcen könnten geschont, Angebote optimiert werden.

Es wäre eine äußerst gefährliche Welt! Je mehr Informationen in einer Hand liegen, desto größer ist das Missbrauchspotenzial. Bereits aus wenigen Daten lassen sich weit mehr Informationen ableiten. Wenn man weiß, wer was kauft, mit wem jemand befreundet ist und welche Artikel/Blogs jemand liest, lassen sich mit erstaunlich hoher Präzision politische Ansichten oder sexuelle Neigungen bestimmen und psychologische Persönlichkeitsprofile erstellen. Vollautomatisiert kann ein autoritäres Regime so beispielsweise seine Feinde identifizieren. Wenn man weiß, wie jemand tickt, lässt sich diese Person auch leichter manipulieren.

Was möglich ist, wird auch gemacht!

Aber wieso sollte jemand mich manipulieren wollen? Wieso sollte sich jemand diese Mühe machen? Zunächst einmal ist das keine Arbeit, keine Mühe. Das „Schöne“ an der digitalen Welt ist, dass solche Dinge vollautomatisiert laufen können. Persönlichkeitsprofile lassen sich über automatisierte Systeme erstellen – und sie werden auch bereits erstellt. Die Frage ist, für was ich diese dann einsetze.

Wenn ich an schlechte Menschen denke – und das tue ich von Berufs wegen – dann ließe sich damit zum Beispiel die politische Meinung beeinflussen. Denken wir an eine Bundestagswahl, bei der sich zwei Spitzenkandidaten gegenüberstehen, die in Umfragen relativ dicht beieinander liegen. Der eine Kandidat steht für das, was der Chef eines Internetkonzerns gut findet. Der andere vertritt eher ein Programm, welches der Konzernchef ablehnt. Nun weiß dieser dank gestellter Suchanfragen, gelesener Blogs, bestellter Waren (wie Bücher) etc., in welchen Regionen (Wahlkreisen) die Menschen – ja sogar ganz genau welche Menschen – wie denken und kann recht gut vorhersehen, in welchen Wahlkreisen die Wahl wie ausgehen könnte. (Das ist keine Science Fiction!) Nun könnte der Internetkonzern-Chef die Ergebnisse der Suchanfragen zu bestimmten politischen Themen in einer anderen Reihenfolge erscheinen lassen: dem ihm nahestehenden Kandidaten positiv gestimmte Berichte weiter vorne, negativere eher auf Seite drei und folgende … Umgekehrt bei dem Kandidaten, den er weniger favorisiert.

Facebook hat einmal in einem kleinen Feldversuch die Kommentare der Freunde anders angeordnet und konnte im Vergleich zu einer Kontrollgruppe Verhaltensänderungen feststellen. Eigentlich kein überraschendes Ergebnis.

Überraschend ist die unglaubliche digitale Naivität. Sicherlich haben wir auch früher Zeitungen gelesen, die politisch gefärbt waren. Aber hier wusste man, was einen erwartet. Und wer sich die FAZ kaufte sah zumindest noch den Titel der SZ.

Heute bekommen wir Informationen durch einen Filter – ohne diesen zu hinterfragen. In einem Interview sagte ein Google-Mitarbeiter, die Menschen würden durch die Google- Brille intelligenter, denn darüber könnten sie mehr Informationen erlangen. Eine geradezu obskure Auffassung von Intelligenz. Intelligenter werden die Suchmaschinen, die noch mehr Informationen über uns verarbeiten können. Die allermeisten Menschen haben noch nicht begriffen, welche Macht hinter den Daten liegt. Kredite werden bereits heute zum Teil vergeben aufgrund von Berechnungen, die sich aus Daten aus dem Netz ergeben. Was kauft der Mensch und wo? Wie viele Freunde hat er bei Facebook? Hat er Blogs? Was schreibt er da? Wer sind seine Facebook-Freunde?

Reale Bedrohung für Unternehmen

Was bedeutet das für Unternehmen und ihre Sicherheit? Wenn Suchmaschinen so viel über Einzelpersonen wissen, was wissen sie dann über Unternehmen? Wo sucht der Einkäufer nach möglichen Lieferanten? Wird nach Lösungen über IT-Probleme nicht mit derselben Suchmaschine gesucht? Was macht die Entwicklungsabteilung, wenn sie neue Ideen hat und Impulse aus dem Netz sucht? Werden Firmeninterna an eine private E-Mail-Adresse geschickt, von einem Anbieter, der alle E-Mails samt Anlagen mitliest (steht sogar in den Geschäftsbedingungen)? Wenn geheime Verhandlungen mit potenziellen Partnern geführt werden oder neue Märkte erkundet werden, nimmt man dann ein Handy mit, dessen Software eventuell den Standort weitergibt? Und die Kontaktdaten der neuen Partner werden auf einem Handy gespeichert, das diese Daten gleich ausliest und weiterleitet – per App, die genau das in ihren Geschäftsbedingungen auch ankündigt?

Was passiert dann mit all den Daten? Hat da vielleicht doch jemand Zugriff darauf und Interesse daran? Und vielleicht nicht nur Positives im Sinn? Ein Unternehmen muss sich der Gefahr bewusst sein, dass ein einziger, fremder Konzern weiß, mit welchen Themen es sich beschäftigt, wie die Mitarbeiter ticken, wer eventuell nach neuen Jobs sucht, wo sich die Mitarbeiter aufhalten etc. Ein fremder, reicher, mächtiger Konzern weiß praktisch alles über einen. Unausweichlich? Es gibt nicht nur Suchmaschinen, die keine Datenschnüffler sind. Der flächendeckende Einsatz von TOR würde ebenfalls helfen.

Der Kampf, wer die meisten Daten sammeln kann, ist noch lange nicht zu Ende geführt. Mit sogenannten Chatbots geht ein Internetgigant jetzt in eine neue Offensive. Apps sind von gestern. Unternehmen sollen gewissermaßen ihre App in die des Internetgiganten einbauen. Das macht es für die Unternehmen so schön bequem, so schön billig. Für die Konsumenten ist es auch viel einfacher. Sie brauchen dann ja nur noch die eine App, den einen Dienst, wo sie sowieso schon Mitglied sind, wie alle ihre Freunde. Nehmen wir einen Lieferdienst, der einen solchen Chatbot für sich nutzen möchte. Der Internetriese, der seine Plattform zur Verfügung stellt, dürfte vermutlich ganz genau wissen, welche Kunden was wann beim Lieferdienst bestellen. Er weiß natürlich auch, was seine Mitglieder sonst so alles bei anderen bestellen. Dass diese Datenkrake damit über seine Nutzer bald mehr weiß als irgendwer sonst auf diesem Planeten, einschließlich Arbeitgeber, beste Freunde, Eltern, Ärzte, ist logische Folge. Und wenn man bedenkt, was sich daraus dann so alles ableiten lässt … Nicht auszudenken, was ein Mensch mit bösen Absichten so alles damit anstellen könnte. Zum Glück arbeiten in der IT-Welt nur gute Menschen.

Was passiert mit dem Lieferdienst? Nun, ein Gutteil seiner Geschäftsdaten liegt bei einem Konzern, der jederzeit die finanziellen Mittel hat, ein Konkurrenzangebot auf den Markt zu werfen, und ihn zu verdrängen. Mehr sei dazu nicht gesagt.

Eine Frage der Perspektive

Bürger und Unternehmen begeben sich gerade ganz freiwillig in eine Abhängigkeit und liefern Großkonzernen eine Macht über sich selbst, wie man es kaum zu denken gewagt hätte. George Orwells 1984 erklingt dagegen wie eine harmlose Gutenacht-Geschichte. Bei dem Ausmaß an Möglichkeiten, die einzelnen Internet-Konzernen bereits heute zukommen, hätte ein Stasi feuchte Augen vor Glück bekommen.

Die Bedrohung der Unternehmen findet auf einer extrem gefährlichen Ebene statt. Im Fokus sind nicht einfach nur die Geschäftsdaten der Unternehmen, Kunden und Patente. Die weitreichenden Abschöpfungsmöglichkeiten lassen ein präzises Bild Ihres Unternehmens auf allen Ebenen zeichnen. Was denken die Mitarbeiter, wie ist die Stimmung im Unternehmen, welche Strategien verfolgen die einzelnen Geschäftsbereiche, was werden künftige Partner und Geschäftsfelder sein, wo investieren Sie morgen? Aber auch: Was denken die Kunden? Welche Probleme haben Ihre Kunden mit den Produkten? Und welche Alternativen ziehen sie in Betracht? Wer verfolgt dieselben Strategien wie Sie? Und wie sind Ihre Konkurrenten aufgestellt? Kommen neue Konkurrenten dazu? Die notwendige Technik wäre da, um diese Informationen zusammenzutragen und auszuwerten. Damit ließe sich beispielsweise für die wichtigsten Wirtschaftszweige Deutschlands eine Analyse erstellen, wie unsere Top-Unternehmen hier aufgestellt sind, welche Zukunftschancen sie haben, und wie man sie gegebenenfalls am besten angreifen müsste.

Muss man sich deswegen Sorgen machen? Nach eigenen Aussagen wollen die „Digital-Konzerne“ ja nichts Böses. Aber was ist schon böse? Und ist das nicht immer auch eine Frage der Perspektive?

Jan Wolter, ASW-Geschäftsführer

Foto: Pixaby

IT-Sicherheit

IT-Sicherheit 2018: Paukenschläge und Trommelwirbel

Was haben Totenscheine, Diplomatie und Wahlkampf mit IT-Sicherheit zu tun? Bernd Schöne gibt im exklusiven IT-Jahresrückblick für Sicherheit.info Antworten.

Facebook-Chef Mark Zuckerberg im Festsaal des Bayerischen Hofs. IT-Magnaten begegnen Staatspräsidenten auf Augenhöhe.
Foto: Bernd Schöne

Veranstaltungen

IT-Sicherheit dominiert Münchner Sicherheitskonferenz

Die Zeiten, als Politiker auf der Münchner Sicherheitskonferenz noch über Atomwaffen stritten, scheinen vorbei zu sein. Dieses Jahr dominierte jedenfalls das Thema IT-Sicherheit.

Foto: Adobe Stock/Andrey Popov

Protective Intelligence

Ganzheitlicher Schutz gefährdeter Personen

Die Nachfrage zur Sicherheit von Personen im analogen und digitalen Umfeld steigt – seien es Unternehmer, Politiker oder andere Prominente, die Schutz für sich und ihre Familien suchen. Der moderne Personenschutz stützt sich dabei neben den bekannten Instrumenten auf das „Protective Intelligence“.