Die NSA-Affäre befeuert die Debatte, ob wir nicht über ein Europäisches IT-Großprojekt einen Gegenpol zur Dominanz der Software und Online-Dienste aus den USA aufbauen sollten. Was auf den ersten Blick schlüssig erscheint, blendet leider wichtige Aspekte des Problems aus. Die NSA-Affäre ist ja nicht nur eine Krise des Vertrauens in die USA, sondern auch innereuropäisch haben sich tiefe Klüfte aufgetan. Großbritanniens Schnüffeldienst GCHQ hat u.a. im Auftrag (und mit Geld- und technischen Mitteln) der Amerikaner Europa abgehört und dabei teilweise sogar noch den Datenhunger der NSA überboten. Daher haben die Lobbyisten der Telekom den Begriff "Schengen-Netz" ins Gespräch gebracht, der Großbritannien ausschließen würde. Aber auch das greift zu kurz. Neben "Five Eyes", so wissen wir jetzt, gibt es auch "Nine Eyes", ebenfalls eine Geheimdienst-Kooperation zu Ungunsten der anderen Länder, in der auch Dänemark, Frankreich, die Niederlande und Norwegen mitspielen. Doch nicht nur wir können unseren EU-Partnern nicht trauen! Auch sie können uns nicht trauen. Der Bundesnachrichtendienst betreibt ein Auslandsspionage-Programm im Internet unter dem Namen "Strategische Fernmeldeaufklärung". Der BND ist als Auslandsgeheimdienst gesetzlich verpflichtet, Inländer aus diesem Programm auszunehmen. Aber Inländer bezieht sich auf Deutsche, nicht auf andere EU-Bürger. Alle Argumente, mit denen die US-Regierung die NSA-Machenschaften schönzureden oder zu rechtfertigen versucht, gelten 1:1 auch für den Bundesnachrichtendienst. Wie die Amerikaner haben auch wir auf dem Papier eine parlamentarische Geheimdienstkontrolle -- in beiden Fällen in der Realität nur ein Feigenblatt, da die Dienste lügen und betrügen und sich der Kontrolle aktiv entziehen, wo sie nur können. Die Daten werden auch beim BND angeblich nach einer Weile gelöscht, und wir tun das ja nicht frivol sondern wegen der Terroristen. Auch bei uns findet die Vorauswertung maschinell statt, d.h. die meisten Emails werden nur von Software gelesen, nicht von modernen Stasi-Spitzeln. Für einen Spanier müssen sich diese Ausflüchte aus unserem Mund genau so grotesk und unglaubwürdig anhören wie sich die NSA-Ausflüchte für uns anhören. Aber selbst wenn wir noch weiter gehen und über ein nationales Netz nachdenken, können wir Spionage und Schnüffelei nicht loswerden. Abhörschnittstellen sind gesetzlich vorgeschrieben. Alleine vom BND ist alleine dieses Jahr herausgekommen, dass sie beim Bau von Stuxnet (eine Cyberwar-Terrorwaffe) mitgeholfen haben, dass sie im Inland das Internet nahezu komplett abgehört haben (sie haben dafür die Gesetze "uminterpretiert" und sich das erfolgreich vom Kanzleramt genehmigen lassen), sie haben eine gemeinsame Terrordatenbank mit der CIA geführt und den Bundesdatenschutzbeauftragen gezielt belogen, damit er das nicht herausfindet, sie haben den Amerikanern Koordinaten für ihre Drohnenanschläge, sie setzen die NSA-Software XKeyscore ein und sie haben Schadsoftware sogar gegen ihre eigenen Mitarbeiter eingesetzt. Und das ist nur einer unserer Geheimdienste. Der Verfassungsschutz ist noch übler, wie spätestens seit dem NSU-Ausschuss aktenkundig ist. Gibt es überhaupt einen Ausweg aus dem Spionage-Schlamassel, wenn wir uns in der EU alle gegenseitig nicht mehr trauen können? Ein IT-Großprojekt kann hier nicht helfen, es würde im Gegenteil eher zu einer Zentralisierung der Abhörmöglichkeiten führen. Trotzdem ist es keine per se schlechte Idee. Wir müssen uns aber von der Zielvorstellung verabschieden, dass wir damit etwas gegen die Geheimdienste tun können. Gegen Geheimdienste kann man nur eine Sache tun: sie schließen. Unsere Schulen haben Schimmel an den Wänden und unterrichten mit Büchern aus den 70er Jahren, aber für Geheimdienste werden sinnlos Milliarden verpulvert. Schon aus Austerity-Gründen müssten alle Länder in Europa mal eine Kosten-Nutzen-Analyse der Geheimdienste durchführen und zwangsläufig zu dem Ergebnis kommen, dass die viel kosten und keine sicht- oder auch nur messbaren Erfolge vorzuweisen haben. Dann könnte Europa mit gutem Vorbild vorangehen und alle Geheimdienste zumachen. Das wäre eine historische zivilisatorische Errungenschaft, die auch in anderen Ländern die Milliardenbudgets für Geheimdienste weniger einfach zu rechtfertigen machen würde. Wenn wir Geheimdienste außen vor lassen: Was könnte ein europäisches IT-Großprojekt denn bewirken? Wenn wir nach der Erfahrung mit IT-Großprojekten der öffentlichen Hand gehen, dann leider nicht viel. Die Gesundheitskarte, die IT-Modernisierung der Bundeswehr, der elektronische Personalausweis, die neue Polizei-Software, ... alle IT-Großprojekte der Neuzeit verliefen gleich. Die Aufträge gingen an Großkonzerne raus, die mehr Geld für Lobbyisten als für gutes Personal ausgeben, die Projekte dauern viel länger und kosten ein Vielfaches des veranschlagten Budgets und funktionieren am Ende nicht. Unter dem Strich werden so mit öffentlichen Geldern ineffiziente Großkonzerne künstlich am Leben gehalten, während agilere und innovativere kleinere Firmen ohne solche staatliche Förderungen in wirtschaftliche Notlagen getrieben werden und sich am Ende von einem Konzern aufkaufen lassen müssen. Großprojekte führen häufig zu einer alles-oder-nichts-Problematik bei Fehlschlägen, bei der man am Ende mehr gutes Geld dem schlechten hinterher wirft, um nicht die Ausgaben insgesamt abschreiben zu müssen. Dieses Dilemma umschifft man am besten, indem man das Projektmanagement selbst übernimmt und die Arbeit in Form vieler kleiner Module vergibt, die vorher klar spezifizierten Schnittstellen bieten müssen. Die Modulgröße muss dann klein genug gewählt werden, dass ein Totalverlust eines Moduls verkraftbar ist und der Druck minimiert wird, dem Auftragnehmer mehr Geld oder Zeit zu lassen. In ihrer Gesamtheit ergeben diese Kleinprojekte dann eine europäische Open-Source-Infrastruktur. Das Problem wird in kleine, handhabbare Teile aufgeteilt, die einzeln einen klar definierten, überschaubaren Umfang und maschinenlesbar spezifizierte Schnittstellen haben. Das Gesamt- Projektmanagement und die Spezifikation der Schnittstellen sorgt dafür, dass am Ende ein Vielzahl auch in sich nutzbarer und einzeln verifizierbarer Komponenten entsteht, die zusammen für technologische Souveränität sorgen. Um den Fokus nicht zu verlieren, ist eine möglichst konkrete Formulierung der Ziele nötig, die wir mit einem solche Vorstoß erreichen wollen. Hier sind ein paar sinnvolle Zielvorstellungen: - Offene, öffentliche, transparent entwickelte Standards statt proprietärer Lock-in-"Lösungen" - Vertrauenswürdige, nachprüfbare Infrastruktur - Interoperabilität und Verfügbarkeit sicherstellen - Kostenlose Nutzung aller enststehenden Komponenten unter Lizenzen, die ein gemeinsames, modernes Wertesystem für das 21. Jahrhundert kodifizieren: Explizites Verbot für den Einsatz in Militär, Geheimdiensten, Waffensystemen und Verbot der Verwendung in Jurisdiktionen mit schwächeren Datenschutz- oder Menschenrechtsbestimmungen als die in der EU geltenden. - Man könnte noch gesetzlich regeln, dass es strafbar ist, gefundene Lücken in dieser gemeinsamen Infrastruktur nicht den Projektbetreibern zu melden. So würde man ausschließen, dass ein legaler Markt für "0day"-Sicherheitslücken entsteht und z.B. Geheimdienste Lücken für sich behalten können, anstatt sie reparieren zu lassen. - Die Entwicklung auf eine möglichst breite Basis verteilen, damit sich das Knowhow auch verteilt. Hundert kleine Firmen schaffen ein europäisches Silicon Valley, nicht das bisherige Konsortium aus ein paar Großkonzernen. - Für schwierige Komponenten dem Vorbild der DARPA-Challenges folgen: Ziel vorgeben, signifikantes Preisgeld ausloben Und so könnte man die Umsetzung dieser Ziele angehen: - Lock-In vermeidet man, indem die Spezifikationen offen und maschinenlesbar kostenlos für alle einsehbar vorliegen, und die Projektergebnisse Open Source werden. D.h. der Quellcode und Baupläne werden veröffentlicht, nicht nur Binärcode. So sind nicht nur unabhängige Qualitäts- und Sicherheits-Prüfungen möglich, sondern das gewährleistet auch zukünftige Wartbarkeit. - 20% des Budgets explizit für unabhängige Sicherheits-Prüfungen zurücklegen. - Test-Systeme für alle Komponenten jeweils von einer anderen Firma herstellen lassen, unter den selben Lizenzbestimmungen - Die Lizenzen erlauben kostenlose Nutzung, Patent- und andere Schutzrechtforderungen sind explizit ausgeschlossen -- nicht nur für die Software-Projektkomponenten, sondern auch für Baupläne für die Hardware und für eventuell genutzte Bibliotheken. Implementierungen können nicht durch die Hintertür Lizenzgebühren erzeugen, indem sie lizenzpflichtige Komponenten voraussetzen. - Alle wichtigen Komponenten mehrfach unabhängig entwickeln. Das schafft Interoperabilität und Verfügbarkeit, vermeidet leichter angreifbare Software-Monokulturen und schafft für den Notfall eine Rückfall-Möglichkeit Softwareentwicklung ist, verteilt auf viele kleine Firmen, viel billiger ist als in großen Konzernen. Der Aufbau einer Kommunikationsinfrastruktur ist weniger ein Forschungs- als ein handwerkliches Problem. Wenn man über 10-15 Jahre jährlich 100 Millionen Euro als Budget veranschlagt, könnte man damit die Software- und Spezifikationsseite einer solchen Infrastruktur aufbauen. Das vorrangige Ziel ist ja nicht, große neuartige Entdeckungen zu machen, sondern erstmal ein Fundament für zukünftige Entwicklungen zu schaffen. Der schwierigste Teil bei dieser Art von Modularisierung ist die Frage, wo die Spezifikationen herkommen sollen. In der Industrie werden Spezifikationen und Standards häufig von Lobbyisten von Firmen geschrieben. Die frisieren die Anforderungen dann so, dass die Patente ihrer Auftraggeber greifen, oder dass ihr Auftraggeber zufällig genau die passende Technologie bereits in der Schublade zu liegen hat. Diese Schritte kann man sich bei dem vorliegenden Problem der Kommunikationsinfrastruktur sparen, indem man auf die bestehende Internet-Standards zurückgreift. Das Nicht-Greifen von Patenten und sonstigen Schutzrechten muss man dann eben gesetzlich verankern, für die paar Fälle, in denen das nicht schon anderweitig ausgeschlossen ist. Die vorgeschlagene Methodologie funktioniert. Das wissen wir, weil sie im Wesentlichen der Methodologie entspricht, mit der das Internet entstanden ist. Gegenmodelle mit dem traditionellen Großkonzern-Entwicklungsmodell gab es mehrere, aber sie sind alle am Markt gescheitert -- inklusive "too big to fail"-Industriegrößen wie DECNET von der Digital Equipment Corporation (heute HP) und SNA von IBM. Eigentlich liegen all diese Vorschläge auf der Hand. Wir müssen sie nur endlich so umsetzen, damit die Grundlage unseres digitalen Lebens endlich den Status als für alle verfügbar, vertrauenswürdig, sicher und frei von unbotmäßiger kommerzieller Profitmaximierung erhält. Mittelfristig muss auch ein Konzept her, wie man Standards nicht nur umsetzt sondern selber definiert. Insbesondere bei der Datenverschlüsselung ist da Not am Mann, weil der bisherige de-facto-Standardsetzer hier NIST ist, eine Institution der US-Regierung, die in technischen Dingen auf die NSA hört. Dieser Ansatz ist universell genug, um sowohl für Infrastruktur in der Form von Internet-Routern und Firewalls zu funktionieren, als auch für Mail- und Webserver. Bei Cloud-Diensten wie Alternativen zu den Google-Mail oder Outlook.com stellen sich allerdings noch weitere Fragen. Man kann (und sollte) zwar die Software mit der oben skizzierten Methode entwickeln, aber Cloud-Dienste bergen generell Risiken, die über die Sicherheit der eingesetzten Software hinaus gehen. Viele Menschen werden hier hoffentlich grundsätzlich keinen Diensten vertrauen, die nicht auf ihren eigenen Servern laufen, an ihrem eigenen Internet-Anschluss. Und das ist auch gut so. Durch zu starke Zentralisierung vereinfacht man ausländischen Geheimdiensten und inländischen "Bedarfsträgern" den Zugriff unnötig. Wenn man die Kosten zusammenrechnet, sieht man schnell, dass alleine Deutschland für den Bundesnachrichtendienst jährlich ein Vielfaches dessen ausgibt, was dieses historische Vorhaben kosten würde. Dieser Vergleich bietet sich schon deshalb an, weil die Spionageabwehr ja Ziel des BND ist. Beim BND-Budget haben wir daher einen Wert, auf den wir als Gesellschaft geeinigt haben, was uns die Spionageabwehr wert ist. Soviel sollte uns der Aufbau einer vertrauenswürdigen Infrastruktur mindestens auch wert sein.