Die andauernde Erosion des politischen und rechtlichen Schutzes von Freiheitsrechten hat dazu geführt, dass Informations- und Kommunikationsfreiheit und das Recht auf Privatsphäre und Anonymität zunehmend abhängig von technischen Mitteln werden. Digitale Selbstverteidigung hat viele Facetten: Anonymisierungswerkzeuge wie Tor, Ende-zu-Ende-Verschlüsselung wie WireGuard oder Signal, Absicherung von Webseiten-Zugriffen mit LetsEncrypt oder die Werkzeuge für Reproducible Builds, die sicherstellen, dass die Software, die man installiert, auch wirklich aus dem Source Code erstellt wurde, den jemand auf Sicherheitslücken geprüft hat. Dieses Ökosystem an Software und Infrastruktur ist seit den Snowden-Enthüllungen geradezu explodiert.
Viele der Projekte haben eines gemeinsam: Ihre Weiterentwicklung wird durch Mittel der US-Regierung finanziert, oft mit Geldern des Open Technology Fund (OTF). Manche Projekte wie Tor erhalten auch noch Geld vom US-Außenministerium und anderen US-Regierungsstellen. Warum sollte die US-Regierung aber Technologie-Entwicklung finanzieren, die dem Geheimdienst NSA das Leben schwermacht?
Propaganda und Menschenrechtstechnologie
Die Antwort liegt in der Aufgabenstellung der übergeordneten Behörde des OTF, dem US-Regierungssender Radio Free Asia, der seinerseits wiederum Teil der U.S. Agency for Global Media ist. (Update: Der OTF ist inzwischen direkt der USAGM unterstellt.) Seit die Zielländer der US-Propagandasender immer mehr auf Internet-Zensur mit großen Filter-Systemen setzten, ergab sich eine Interessensübereinstimmung von Menschen, die Verschlüsselungs- und Anonymisierungswerkzeuge entwickeln, und US-Regierungsstellen, die ihre Sicht der Dinge durch die Zensur-Firewalls hindurchbringen wollen. Vom OTF geförderte Software wird heute von rund zwei Milliarden Menschen genutzt. Hintertür-Ängsten konnte dadurch begegnet werden, dass die Software als Open Source zur Verfügung steht.
Es war eine merkwürdige Allianz, die natürlich nicht frei von Problemen war und ist. Wer das Geld gibt, bestimmt die Prioritäten, was etwa im Falle von Tor dazu geführt hat, dass lange Zeit mehr Zeit und Aufmerksamkeit darin geflossen ist, Zensur-Firewalls besser zu umgehen als echte Anonymität mit Tor Hidden Services zu verbessern. Die Diskussion darum, dass die Finanzierungsstruktur insbesondere von Tor von US-Regierungsinteressen unabhängiger werden muss, gibt es seit vielen Jahren. Passiert ist in den meisten Projekten nicht viel.
Schließlich ist es auch weitaus bequemer, mit einem Förderantrag die Finanzmittel für die nächsten zwei Jahre zu erlangen, als sich etwa aus Kleinspenden zu finanzieren, deren Zufluss immer Schwankungen unterworfen ist und arbeitsintensive Community-Betreuung erfordert. Davon kann auch netzpolitik.org ein Lied mit vielen Strophen singen. Das Versäumnis, die Finanzierung der Projekte auf eine breitere Basis zu stellen, rächt sich jetzt wahrscheinlich drastisch, wenn Realität wird, was eine personelle Umstellung schon andeutet: Die Trump-Administration hat das gesamte Führungspersonal der Behörden und Organisationen ausgetauscht, aus deren Budgets bisher die Finanzierung der Werkzeuge und Infrastrukturen kam.
Es gibt deutliche Anzeichen dafür, dass die neuen Chefs das Geld lieber an kommerzielle Closed-Source-Projekte aus dem Dunstkreis der üblichen Vertragspartner der US-Militärs geben wollen, die sehr spezifisch auf die Propaganda-Agenda zugeschnitten sind und der NSA nicht lästig fallen werden. Der Protest dagegen folgte auf dem Fuße.
Neuer Finanzierungsansatz
Selbst wenn dieser Angriff der Trump-Regierung gegen die Finanzierung wichtiger Anonymisierungs- und Verschlüsselungslösungen noch abgewehrt werden kann, sollte das drohende Wegbrechen der OTF-Gelder allen eine dringende Mahnung sein, aktiv zu werden, um künftig solche weltweit wichtigen Initiativen breiter aufgestellt zu finanzieren. Die starke Abhängigkeit von den Vereinigten Staaten ist für die Verteidigung der Menschenrechte im digitalen Raum zu einem systemischen Problem geworden. Denn schließlich könnte Donald Trump ein zweites Mal gewählt werden. Auch wenn viele in Europa den Gedanken gern ignorieren mögen, so dürfte eine zweite Amtszeit dieses Mannes einen neuerlichen Kahlschlag für Progressives bedeuten. Und von den Vereinigten Staaten wird bisher viel Geld für Projekte zur Verfügung gestellt, die Menschenrechte und freie Kommunikation unterstützen. Diese Projekte nach einem möglichen Wegfall der US-Finanzierung sterben zu lassen, ist keine Option.
Die Europäer und insbesondere die reichen Deutschen müssen sich daher fragen lassen, wie sie sich jetzt und in Zukunft kontinuierlich stärker engagieren, um Infrastruktur und Software-Projekte zu bezahlen, die für die Werte der Menschenrechtskonvention und der EU-Charta ganz konkret technisch Hilfe leisten. Projektmittel müssen aufgestockt und bevorzugt an Initiativen gegeben werden, die Software entwickeln und begleiten, die in anderen Teilen der Welt schlicht Leben rettet und Kommunikation und Weitergabe von Informationen erst ermöglicht.
Weniger Bürokratie
Dabei reicht Geld allein nicht. Das bisher übliche Hamsterrad von Anträgen, Stress mit der Anschlussfinanzierung und auch Unsicherheit mangels Gewissheit der Fortführung von Förderung kann so nicht weitergehen. Es bedarf eines großzügigen europäischen Systems für die unbürokratische, schnelle und kontinuierliche Finanzierung der nicht-kommerziellen Open-Source-Projekte und auch für akademische Forschung, die die Grundlagen für unüberwachte Kommunikation, Netznutzung ohne Tracking und Widerstandsfähigkeit gegen Zensur schaffen. Ein Großteil der Software-Infrastruktur der digitalen Sphäre beruht inzwischen auf Open-Source-Projekten, die allein aufgrund ihres Umfangs und ihrer Bedeutung für viele Menschen nicht mehr als Hobby einzelner Enthusiasten vorangetrieben werden können.
Weil es auf europäischer Ebene wohl zu lange dauert, muss Deutschland hier mit gutem Beispiel vorpreschen. Statt eine Agentur für bessere Cyberwaffen zu päppeln, ist es nötig, eine nichtstaatliche Institution – etwa eine Stiftung – mit Mitteln in der Größenordnung von über hundert Millionen Euro pro Jahr auszustatten. Wer jetzt Schnappatmung bekommt, sollte sich klarmachen, dass diese Summe in etwa einem Jäger90-Kampfflugzeug entspricht, das mittlerweile wohl Eurofighter heißt.
Die einzige Aufgabe dieser Stiftung sollte die Finanzierung von Open-Source-Projekten sein. Mit diesen Mitteln ließen sich sowohl Neu- als auch Weiterentwicklungen und die dringend nötigen fortlaufenden Sicherheits-Audits des Codes endlich hinreichend finanzieren. Die Bürokratie für die Förderung muss so einfach wie möglich gehalten werden, Entscheidungen schnell und unter Einbeziehung der Experten des jeweiligen Fachgebiets fallen und die Struktur auf eine dauerhafte Aufrechterhaltung des Ökosystems ausgerichtet sein.
Im Rahmen beispielsweise des Prototype Fund wurden bereits wertvolle Erfahrungen gesammelt, wie dies geschehen kann. Die Summen waren natürlich sehr viel kleiner, aber die Prozedur der Auswahl ist nachahmenswert. Wichtig ist dabei, dass damit die kleinen Entwickler-Gruppen und Forschungsprojekte gefördert werden, deren Code tatsächlich gerade die Welt zusammenhält und Menschenrechte weltweit in der Praxis schützt. Die Großforschungseinrichtungen sollten nur im Einzelfall bedacht werden, denn sie bezahlen ohnehin schon zig Experten für Mitteleinwerbung und haben zudem oft genug gezeigt, dass sie nur höchst selten praktisch anwendbare Software produzieren – wie gerade beim gescheiterten ersten Versuch der Corona-App wieder einmal bewiesen.
Zwei Fliegen mit einer Klappe
Der Aufbau einer Institution für systematische Förderung von Open-Source-Projekten wird sich praktischerweise auch als wichtiger Wirtschafts- und Standortfaktor erweisen. Open-Source-Code bildet inzwischen die Grundlage für die meisten Technologien, von denen die deutsche und europäische Wirtschaft abhängen. Den Sektor nachhaltig zu stabilisieren und ganz nebenbei die Sicherheit der Komponenten gründlich zu steigern, ist nicht nur unter Menschenrechtsaspekten eine gute Idee. Sie wird auch einen stabilisierenden Faktor in den kommenden Handelskriegen bilden, der für Europa, gerade was den gesicherten Zugang zu wichtigen Technologien angeht, essenziell werden dürfte.
Doch besonders der Kampf für die Menschenrechte ist durch das Versagen der Politik und die Ausbreitung undemokratischer und pseudodemokratischer Herrschaftsstrukturen auf technische Werkzeuge angewiesen. Die Aktion der Trump-Regierung ist der dringende Weckruf, dass Deutschland und Europa nun endlich ihren Teil der Verantwortung übernehmen müssen, damit es diese für viele buchstäblich überlebenswichtige Werkzeuge auch in Zukunft gibt. Sich weiter darauf zu verlassen, dass die Vereinigten Staaten das schon machen werden, ist jedenfalls nicht länger eine Option.
Es gibt eine englische Version dieses Textes.
„Warum sollte die US-Regierung aber Technologie-Entwicklung finanzieren, die dem Geheimdienst NSA das Leben schwermacht?“
So verständlich dieser Gedanke auch sein mag, so vernebelnd ist er auch. Ich denke, es gibt Konsens soweit, dass staatliche Institutionen der Kategorie 3-letter-agencies weder altruistisch noch geleitet von humanitären Erwägungen ihr Geld verteilen. Doch sollte so ein Eindruck nach außen hin entstehen, ist das weder schädlich noch unbeabsichtigt. Man darf sicher sein, dass großer Wert darauf gelegt wird, dass nach Geldfluß ein Nutzen entsteht, größer wird oder weiterhin besteht.
Das Tor-Projekt wurde unterstützt, weil es gebraucht wurde und weil es für US Institutionen nützlich war. Solange der Nutzen für die USA größer war als für die Gegner, die ebenfalls Tor benützen können ist die US-Dominanz noch in Ordnung. Die USA haben schon vor Trump alles konsequent beendet, was nicht mehr nützlich für sie war. Historiker kennen lange Listen von von unterstützen Rebellen nach 1945 rund um die Welt, die mit viel Geld und auch Waffen versorgt wurden und von einem Tag auf den anderen verblutend im Regen kalt stehen gelassen wurden, übrigens auch in Teilen Osteuropas.
Es ist durchaus eine Chance für diverse Projekte, wenn sie sich nicht mehr direkt US-Geldgebern verpflichtet sehen müssen. Wer das eine oder andere Projekt braucht, wird es anstelle alter Finanziers gerne unterstützen.
Die Optimisten unter uns hoffen, dass im Januar die Möbelpacker am Weißen Haus vorfahren. Sollte dies nicht eintreten, sollten sich bis dahin einige Leute Gedanken darüber machen, wie resistent sie im IT-Bereich gegen etwaige US-Sanktionen aufgestellt sind.
Wie kommt man zu dem Fazit, dass die Corona Warn App gescheitert ist? Ich finde, dass das Projekt einen sehr guten Schritt in die richtige Richtung darstellt. Es zeigt, das Open Source eine gute Alternative ist. 5 mio Downloads sind schon ordentlich nach einer Woche.
Is‘ ja auch nur’n Frontend für ein proprietäres Backend. Meh.
Leider ist die Corona-App nun ja nicht *wirklich* Open-Source, denn der tatsächliche Kern der App ist hinter einer API verborgen, die nicht einsehbar ist, und von Google+Apple zur Verfügung gestellt werden. Das was gemeinhin „Corona-App“ genannt wird ist nur eine Fassade dafür.
Wie auch im Text steht, bezieht sich dieses Scheitern auf den „gescheiterten ersten Versuch der Corona-App“, gemeint ist hier also die Initiative PEPP-PT um Chris Boos, die nicht umgesetzt wurde, siehe https://de.wikipedia.org/wiki/Corona-Warn-App#Zentraler_Ansatz
Die EU verteilt über ‚Horizon 2020‘ schon mal etwas, zB. an die ‚Next Generation Internet‘ Initiative, auf NGI.eu. Lt. Portalseite mittlerweile 239 gesponsorte Projekte, 1062 Anträge, aus 35 Ländern. Alles in allem ziemlich top notch, was ich so gesehen habe. Hier ein NGI-Interview mit ‚Delta Chat‘ Mail-Messenger Entwickler Holger Krekel.
https://www.ngi.eu/blog/2020/06/18/whos-ngi-holger-krekel-with-delta-chat-bot/
Warum dauert das auf EU-Ebene zu lange? Dort gibt es doch bereits einen Fonds, der Sicherheitsaudits für Open Source-Projekte finanziert: EU-FOSSA 2. Diesen Fonds stärker auszustatten und auch mehrjährige institutionelle Förderungen (im Gegensatz zu spitzabgerechneten, unflexiblen Projektförderungen) zu ermöglichen, wäre nicht schwierig.
Unbefristete Förderungen widersprechen der Logik öffentlicher Haushalte und sind zwar für die Projekte bequem, aber inhaltlich nicht angemessen. Was passiert denn, wenn ein Projekt technisch einfach überholt ist oder die Software gar nicht mehr genutzt wird? Läuft dann die Förderung trotzdem weiter? Wenn nicht, müsste ja irgendjemand die Stecker ziehen können und kann damit deutlich mehr Druck ausüben, als bei einer planbaren Förderung über x Jahre.
Im Lichte neuester Vorschläge:
1. Kann eine Behörde oder ein Dienst jetzt, um an einen mutmaßlichen Kriminellen heranzukommen, mich hacken oder abhören o.ä., um an meine privaten Schlüssel heranzukommen, um an die Zielperson durch Verkehrsumleitung ein trojanisiertes Patch auszuspielen? [Ich würde IT an den Nagel hängen, und nur noch Kreatives veranstalten, bis das auch komplett in Konzernhand ist. IDK, vielleicht „mit Kacke malen“ als Politikimitat.]
2. Vielleicht bald auch bei Ordnungswidrigkeiten?