Microsoft hat vor kurzem staatlich unterstützte Hacker dabei ertappt, wie sie die generativen KI-Tools des Unternehmens für Angriffe nutzten. Die Sicherheitscommunity fragte sich nicht, wie die Hacker die Tools nutzten – dass sie das taten, war wenig überraschend –, sondern wie Microsoft davon erfahren hatte. Die naheliegende Schlussfolgerung war, dass Microsoft seine KI-Nutzer:innen ausspionierte und gezielt nach böswilligen Hacker:innen bei der Arbeit suchte.
Einige waren dagegen, das Vorgehen von Microsoft als „Spionage“ zu bezeichnen. Natürlich überwachen Cloud-Anbieter, was ihre Nutzer:innen tun. Und da wir erwarten, dass Microsoft dies tut, sei es nicht fair, das als Spionage zu bezeichnen.
„Es gibt viele Fische im Meer“
Dieses Argument ist beispielhaft dafür, wie sich unsere kollektiven Erwartungen an die Privatsphäre verändern. Um zu verstehen, was hier vor sich geht, können wir von einer überraschenden Quelle lernen: der Fischerei.
In der Mitte des 20. Jahrhunderts stellten Forschende fest, dass die Zahl der Fische im Meer – die so groß ist, dass aus ihr die Redewendung „Es gibt viele Fische im Meer“ entstand – aufgrund von Überfischung rapide abnahm. Ein ähnlicher Rückgang war bereits bei den Walpopulationen zu beobachten, als die Walfangindustrie nach dem Zweiten Weltkrieg viele Arten fast ausrottete. Im Walfang und später in der kommerziellen Fischerei erleichterten neue Technologien den Fang von Meerestieren in immer größeren Mengen. Ökologen, vor allem solche, die im Fischereimanagement tätig waren, begannen zu untersuchen, wie und wann bestimmte Fischpopulationen stark zurückgegangen waren.
Der Wissenschaftler Daniel Pauly erkannte, dass die Forschenden einen großen Fehler gemacht hatten, als sie versuchten, akzeptable Fangmengen zu bestimmen. Sie hatten zwar den Rückgang der Fischbestände erkannt. Aber sie wussten nicht, wie stark der Rückgang war. Pauly stellte fest, dass jede Generation von Forschenden eine andere Ausgangsbasis hatte, mit der sie die aktuellen Statistiken verglich. Und die Ausgangsbasis jeder Generation war niedriger als die der vorhergehenden.
In einer Arbeit aus dem Jahr 1995 nannte Pauly dies das „Shifting Baseline Syndrome“. Die meisten Wissenschaftler gingen von dem Ausgangswert aus, der zu Beginn ihrer Karriere normal war. Gemessen an diesem Maßstab war jeder spätere Rückgang unbedeutend, der kumulative Rückgang aber war verheerend. Jede Generation von Forschenden arbeitete in einem neuen ökologischen und technologischen Umfeld, was den exponentiellen Rückgang unbeabsichtigt verschleierte.
Paulys Erkenntnisse kamen zu spät, um den Verantwortlichen einiger Fischgründe noch zu helfen. Das Meer erlebte Katastrophen wie etwa den völligen Zusammenbruch der Kabeljaubestände im Nordwestatlantik in den 1990er-Jahren.
Sinkende Erwartungen an den Schutz der Privatsphäre
Die Überwachung im Internet und der damit verbundene Verlust der Privatsphäre folgen einem ähnlichen Trend. So wie bestimmte Fischpopulationen in den Weltmeeren um achtzig Prozent zurückgingen, nachdem sie zuvor bereits um achtzig Prozent geschrumpft waren, so sind auch unsere Erwartungen an die Privatsphäre rapide gesunken.
Die Allgegenwart moderner Technologie macht Überwachung einfacher als je zuvor, während sich jede nachfolgende Generation der Öffentlichkeit an den Status quo der Privatsphäre ihrer Jugend gewöhnt hat. Auch uns als IT-Sicherheitsexperten erscheint normal, was zu Beginn unserer beruflichen Laufbahn üblich war.
Früher hatten die Menschen die Kontrolle über ihre Computer und Software funktionierte auch ohne Internetverbindung. Mit Cloud-Software und -Diensten, die man nur nutzen kann, wenn man ständig online ist, hat sich das Blatt gewendet.
Die meisten Anwendungen und Dienste sind inzwischen so konzipiert, dass Nutzer:innen immer online sind und Informationen über ihr Nutzungsverhalten an Unternehmen senden. Infolgedessen glauben alle – sowohl IT-Fachleute als auch normale Nutzer:innen -, dass alles, was sie mit moderner Technologie tun, nicht privat ist. Das liegt aber daran, dass sich die Rahmenbedingungen geändert haben.
KI-Chatbots sind die jüngste Verkörperung dieses Phänomens: Sie produzieren auf unsere Eingaben hin Output. Hinter den Kulissen aber überwacht und verfolgt ein komplexes cloudbasiertes System diese Eingaben – um den Service zu verbessern und uns Werbung zu verkaufen.
Dass wir alle kollektiv unsere Privatsphäre verlieren, ist auf die Verschiebung der Grundlinien zurückzuführen. Der Oberste Gerichtshof der Vereinigten Staaten hat lange Zeit konstatiert, dass unser Recht auf Privatsphäre davon abhängt, dass wir eine vernünftige Erwartung in Bezug auf unsere Privatsphäre haben. Aber diese Erwartung ist eine schlüpfrige Angelegenheit: Sie unterliegt sich verändernden Grundlinien. So bleibt die Frage: Was nun?
Wir müssen das große Ganze sehen
Fischereiwissenschaftler:innen, die sich des „Shifting Baseline Syndromes“ bewusst sind, betrachten das große Ganze. Sie schauen nicht mehr auf relative Maßstäbe, indem sie zum Beispiel dieses Jahrzehnt mit dem vorangegangenen Jahrzehnt vergleichen. Stattdessen nehmen sie eine ganzheitliche, ökosystemweite Perspektive ein, um ein gesundes marines Ökosystem und eine nachhaltige Fangmenge zu definieren. Die wissenschaftlich abgeleiteten Zahlen werden dann als Grenzwerte festgelegt und von Regulierungsbehörden als Norm übernommen.
Das Gleiche sollten wir im Bereich des Datenschutzes und der Datensicherheit tun. Statt eine sich verändernde Basislinie als Vergleichsmaßstab zu nehmen, müssen wir einen Schritt zurücktreten und das Ideal eines gesunden technologischen Ökosystems zugrundelegen – eines Ökosystems, das das Recht der Menschen auf Privatsphäre respektiert und das es den Unternehmen ermöglicht, die Kosten für die von ihnen erbrachten Dienstleistungen zu decken.
Letztlich müssen wir – wie beim Fischfang – das große Ganze im Auge behalten und uns dabei der sich verändernden Ausgangslage bewusst sein. Dazu bedarf es eines wissenschaftlich fundierten und demokratischen Regulierungsprozesses. Nur so können wir ein Erbe – ob den Ozean oder das Internet – für die nächste Generation erhalten.
Bruce Schneier ist ein US-amerikanischer Experte für Kryptographie und Computersicherheit. Er lehrt an der Harvard Kennedy School und ist Vorstandsmitglied der Electronic Frontier Foundation und von AccessNow. Er ist Autor mehrerer Bücher über Computersicherheit.
Barath Raghavan ist Leiter des Labors für vernetzte Systeme an der University of Southern California. Dort ist er auch außerordentlicher Professor für Informatik an der Virterbi School of Engineering.
Dieser Text ist eine Übersetzung des englischen Original-Artikels, der Anfang Juni unter dem Titel „How Online Privacy Is Like Fishing“ auf https://spectrum.ieee.org erschienen ist. Alle Rechte vorbehalten, mit freundlicher Genehmigung der Autoren.
Sinkende Erwartungen oder Resignation?
Neben der Zunahme von Zensur und Überwachung hat die Kontrolle und Manipulation nicht nur großer Medien, sondern auch von Internetplattformen inzwischen Ausmaße angenommen, die noch vor wenigen Jahren unvorstellbar waren.
Beispiel Chatkontrolle: Staatliche Überwachung wurde früher gerne gerechtfertigt mit der „freiwilligen“ Spende von Daten an Google, Facebook & Co. Was Quatsch war: Google nutzt meine Daten, mir Anzeigen vor zu spielen, die mich im schlimmsten Fall dazu bringen, Geld für Dinge aus zu geben, die ich nicht brauche. Der Staat nutzt inzwischen routinemäßig Daten, um durch früher vom Bundesverfassungsgericht verbotene Praktiken wie Schleppnetzfahndungen oder Data Mining Listen von „Verdächtigen“ zu erstellen, gegen die im besten Fall manuell ermittelt wird, im schlimmsten Fall werden die „Beweise“ für die Anwesenheit an einem bestimmten Ort oder mutmaßlich „unzulässige“ Meinungsäußerungen als Grundlage für Hausdurchsuchungen, Befragungen von Arbeitgeber, Nachbarn und Freunden und Verhaftungen gebraucht. Inzwischen verlieren regelmäßig Menschen ihren Arbeitsplatz wegen Äußerungen im Internet.
Wegen der viel gravierenderen Auswirkungen lagen die Anforderungen für Datensammlungen durch den Staat viel höher als bei Google & Co. Früher.
Denn inzwischen lassen sich Regierungen immer mehr mit völlig überzogenen Druckmitteln – x % vom Weltjahresumsatz – ausstatten, um Druckmittel zu haben, damit Internetplattformen „freiwillig“ zensieren, ihre Nutzer überwachen und sogar – der belgische Vorschlag zur Chatkontrolle – Hintertüren in ihre Plattformen einbauen, damit Regierungen ihre Bürger besser überwachen können.
Ohne jede Kontrolle: Weil Plattformen und Bürger ja „freiwillig“ zugestimmt und so jeden Schutz durch Gesetze und Gerichte aufgegeben haben.
Sinkende Erwartungen oder Resignation?
Das bekannte Internet war m.E. von Beginn an als Aquarium konzipiert, in seiner Gesamtheit etwa so komplex und verstanden wie einzelne, höher entwickelte Lebewesen, daher hinkt ein Vergleich der gegenwärtigen Cyberspaces mit realen Ökosystemen m.E. deutlich.
Wären denn analog zu Andeutungen im obigen Text Indexierungen von Machwerken nach Quotenregeln z.B. auf zu wenig botmäßig politisierende Schriften i.O. ?
Der Vergleich des Internets mit dem Meer krankt meiner Ansicht nach an zwei Details.
1. Wir fragen die Fische nicht ob sie gefangen werden wollen, wir nehmen uns das Recht heraus.
2. Im Internet sind alle Menschen die Fische!
Und so wenig wie ein Fisch den man fragen könnte ob er gefangen, getötet und verzehrt werden wollte dem zustimmen würde so wenig kann und darf man von einem Menschen Erwarten das er der Aufgabe seiner Privatsphäre zustimmte.
Aber ebenso wie man Fische mit Ködern fängt werden Menschen mit „Kostenlosen“ Diensten eingefangen und es wird gern verschleiert das die von ihnen generierten Daten dabei der Preis für die Nutzung sind.
Was die ganze Sache m.E. wieder mal auf einen Punkt reduziert: Wollen wir für Privatsphäre Geld ausgeben? Oder geht’s auch ohne – aber dann: WIE?
So lange das Geschäftsmodell daraus besteht alle Daten die Nutzer generieren zu verkaufen, oder die Analyse des Verhaltens zu verkaufen, oder anhand der Analyse Passende Werbeplätze zu verkaufen – so lange sehe ich da keine Wirkliche Besserung in Richtung mehr Privatsphäre.
Und „passenderweise“ sehe ich unter diesem Artikel einen Spendenaufruf für Netzpolitik.
Funktioniert das?
Im Artikel ging es allerdings um Ähnlichkeiten bzgl. Shifting Baselines. Sie nennen weitere… z.B. implizit das Schwimmen im Medium und das nicht gefragt werden. Ja, die DSGVO gibt es, aber es wurde viel dafür getan, dass es irrelevant ust., u.a. Auswertung durch Behörden und Dienste.
Nachtrag: Die Einzig Zielführende Alternative die mir einfällt ist Werbung komplett zu verbieten. Denn damit bricht das gesamte Überwachungs-Ökosystem mit dem Internet-Nutzer konfrontiert sind in sich zusammen.
Hey, ich hab nicht gesagt das dies Leicht wäre. Aber wenn man mal überlegt… dann blieben als einzige Überwacher nur noch Staatliche Akteure übrig – oder Kriminelle. Klingt für mich nach einer Verbesserung und einem Sinnvollen Grund dazu. Da Hackertools verboten sind kann man 2. leichter finden und weg sperren und beim Staat… Hmm Ja. Der sollte Angst vor UNS haben, und nicht wir vor IHM! Obwohl das genau die Rechtfertigung für die erwünschte Totalüberwachung sein könnte oder? Jetzt geht das vermutlich mehr im Grundrauschen der Tracking-Mafia unter.
Warum soll das nicht leicht sein? Einfach machen!
Die Wirtschaft wird es halt treffen. Bürger würden bestimmt gerne keine Werbung haben, nicht nur im Briefkasten.
Politiker sind halt nur zu feige, Werbung zu verbieten. Lobbyismus lässt grüßen.
Tracking „für Werbung“ verschwimmt längst mit staatlicher Aktion, bis zu Spionage und Mord.
Das geht nicht weg, wenn man es nicht verbietet.