Im Netz der Dinge

Svenna Triebler über »smarte« Technik und dumme Ideen bei deren Nutzung.

Seit Weihnachten besitze ich einen jener internetfähigen Minicomputer, die helfen, Telefonate weitgehend überflüssig zu machen, dessen ungeachtet aber immer noch Smartphone heißen. Die Chipkarte aus meinem alten Handy habe ich allerdings noch immer nicht in das neue Spielzeug eingesetzt – nicht, weil ich tatsächlich völlig aufs Telefonieren verzichten könnte, sondern weil es sich ungefähr so anfühlt, als sollte ich einen Vertrag mit meinem Blut unterzeichnen.
So ganz im 21. Jahrhundert bin ich also immer noch nicht angekommen. Vielleicht liegt das einfach daran, dass ich inzwischen das dritte der technologischen Lebensalter erreicht habe, die Douglas Adams so beschrieben hat: »1. Alles, was es schon gibt, wenn du auf die Welt kommst, ist normal und üblich und gehört zum selbstverständlichen Funktionieren der Welt dazu. 2. Alles, was zwischen deinem 15. und 35. Lebensjahr erfunden wird, ist neu, aufregend und revolutionär und kann dir vielleicht zu einer beruflichen Laufbahn verhelfen. 3. Alles, was nach deinem 35. Lebensjahr erfunden wird, richtet sich gegen die natürliche Ordnung der Dinge.«
Da die meisten Altersgenossen deutlich unbekümmerter mit ihren Wischtelefonen umgehen, ziehe ich allerdings die Erklärung vor, dass ich einfach misstrauischer, wenn nicht sogar klüger als meine Mitmenschen bin, was den Datenschutz angeht. Und während ich noch damit hadere, der Firma Google mein Bewegungsprofil, Einkaufsgewohnheiten, Fotos etc. anzuvertrauen, gehen andere bereits den nächsten Schritt, nämlich ins Internet of Things (IoT): Sie führen Dialoge mit semi-intelligenten Lautsprechern und steuern darüber ihr Smart Home, an das sie vom Staubsaugroboter bis zur Brotschneidemaschine alles anschließen, was sich mit Chips und Funktechnik ausstatten lässt.
Das freut nicht nur die IT-Unternehmen, die neben dem Geld ihrer Kunden auch noch allerhand Daten von ihnen erhalten, sondern auch Unbefugte. So sorgte im August 2016 das sogenannte Mirai-Botnetz für den Ausfall zahlreicher Onlinedienste wie Twitter, Amazon oder Spotify. Als das Internet wieder störungsfrei lief, konnte man erfahren, dass sich die Schadsoftware nicht auf dem bisher gängigen Weg über PCs von unvorsichtigen Nutzern verbreitet hatte, sondern Sicherheitslücken von Überwachungskameras und anderer internetfähiger Technik ausnutzte.1 Dies war zum einen möglich, weil viele der betroffenen Geräte mit vom Hersteller festgelegten Passwörtern »geschützt« waren – ein offenes Scheunentor für Angriffe aller Art. Aber auch, wo Nutzer das Passwort selbst hätten ändern können, war dies aus Unkenntnis, Gleichgültigkeit oder Faulheit meist schlicht nicht geschehen.
Mit dem Vorfall wurde erstmals eine breitere Öffentlichkeit auf die Gefahren aufmerksam, die in der schönen neuen IoT-Welt lauern. Seitdem vergeht kaum eine Woche, in der nicht von gekaperten oder zumindest unsicheren Gadgets berichtet wird. So entdeckte etwa kürzlich ein österreichischer Sicherheitsforscher eine praktisch offen im Internet herumliegende Kundendatenbank von besonders delikater Natur: In ihr waren Passwörter, Chatverläufe und sogar Fotogalerien der Nutzerinnen eines onlinefähigen Erwachsenenspielzeugs namens »Panty Busters« gespeichert. Der Hersteller hat die Sicherheitslücke inzwischen geschlossen, bevor die Daten in die falschen Hände gelangen konnten – wenn man denn einen Anbieter, der dermaßen fahrlässig mit intimen Informationen umgeht, als die richtigen Hände bezeichnen will.
Man kann sich allerdings auch fragen, warum Leute es überhaupt für eine gute Idee halten, ihre Genitalien per Sextoy ans Internet anzuschließen; die Zusatzfunktionen, mit denen die entsprechenden Gerätschaften angepriesen werden – etwa individuell einstellbare Programme oder die Möglichkeit, jemand anderem die Steuerung zu überlassen – sind jedenfalls nichts, was nicht auch eine herkömmliche Fernbedienung leisten könnte. Und selbst, wenn die Dinger vielleicht Schwung in die eine oder andere Fernbeziehung bringen, lässt sich zweifeln, ob es das wert ist, den privatesten Teil des Lebens ausgerechnet der notorisch indiskreten Technologie anzuvertrauen, die das Internet nun einmal darstellt.

Dabei sind Hacker und Datendiebe nur die eine Hälfte des Problems, die andere sind die Onlinedienste selbst. Dass man für den »kostenlosen« Zugang zu Sozialen Medien mit seinen Daten zahlt, mit denen die Plattformen die Werbeindustrie versorgen und ihre eigenen Algorithmen füttern, hat sich mittlerweile herumgesprochen. Mit dem Internet of Things verhält es sich nicht anders: So wurde Amazons »smarter« Lautsprecher Echo im vergangenen Jahr mit dem Negativpreis »Big Brother Award« bedacht, weil das Unternehmen Gespräche dauerhaft speichert, um die Spracherkennung zu verbessern – was Amazon sonst noch so mit den Daten macht, bleibt Firmengeheimnis. Ähnlich bedeckt hält sich der Onlineversand bei den Verkaufszahlen; man darf allerdings von einer ähnlichen Größenordnung ausgehen wie beim Konkurrenten Google, der angibt, im letzten Quartal 2017 rund 6,5 Millionen seiner eigenen mitdenkenden Lautsprecher verkauft zu haben. Es gibt also offensichtlich genug Menschen, denen die Bequemlichkeit und/oder der Besitz eines Hightech-Statussymbols wichtiger ist als Datenschutzbedenken.
Diese Einstellung zur IT-Sicherheit ist offenbar auch dort verbreitet, wo man es besser wissen sollte. So wollte das Unternehmen Strava eigentlich nur Werbung für seine gleichnamige Fitness-App machen, als es Anfang des Jahres eine sogenannte Heat Map veröffentlichte, auf der zu sehen ist, wo überall auf der Welt das Programm beim Laufen, Radfahren oder Schwimmen eingesetzt wird. Unter anderem offenbarte die Karte dabei auch beliebte Joggingrouten rund um Standorte im Jemen, in Somalia und der Sahelzone, die von Sicherheitsforschern (und zweifellos auch von interessierten Geheimdiensten) problemlos als geheime US-Militärstützpunkte identifiziert werden konnten. Die Soldaten, die den Fitnesstracker nutzten, waren offenbar davon ausgegangen, dass die Einstellung »Daten anonymisiert übermitteln« genug Sicherheit biete. Nun konnten sie zwar nicht ahnen, dass Strava auf die tolle Idee mit der Karte kommen würde, aber auch das unterstreicht nur die Lektion, die man aus diesem Vorfall ziehen sollte: Man kann nie wissen, was ein Anbieter mit den Informationen macht, die man ihm überlässt.

Nun dürfte es um das Sicherheitsbewusstsein von mutmaßlichen Elitesoldaten immer noch besser bestellt sein als um das von uns Normalverbrauchern; insbesondere mit dem Aufkommen der Smartphones hat sich eine äußerst lockere Einstellung zur Privatsphäre breitgemacht. Hätte man einer Bewohnerin der 1980er von einer Zukunft erzählt, in der jeder Mensch einen Taschencomputer mit sich herumträgt, der permanent seinen Standort verrät, von staatlichen Stellen als Abhörgerät benutzt werden kann und dessen Funktionen die Nutzer dazu bringen, freiwillig noch mehr von sich preiszugeben, hätte sie das wohl als schlechten Abklatsch klassischer Dystopien à la »1984« abgetan. Vor allem aber hätte sie sich wohl schwer vorstellen können, dass die Leute Bedenken mit dem Standardsatz »Ich habe nichts zu verbergen« beiseitewischen, während sie das nächste Selfie samt Ortsangabe auf Instagram hochladen (oder ihre bevorzugten Vibrator-Rhythmen der Cloud anvertrauen).
Wer keinen Begriff von Privatsphäre hat, gesteht diese auch anderen nicht zu, und auch hier leistet das Internet der Dinge Vorschub. Vielfach handelt es sich schlicht um Überwachungstechnik, etwa im Fall der erwähnten Kameras, die vom Mirai-Botnetz gekapert wurden. Eine wichtige Zielgruppe dabei sind überbesorgte Eltern: Kinder tragen heutzutage elektronische Fußfesseln – pardon, Armbanduhren, die ans elterliche Handy melden, wenn der Nachwuchs den erlaubten Bewegungsradius überschreitet; im Kinderzimmer zeichnen »Hello Barbie« und andere als Puppen getarnte Spionagegeräte auf, was die Kleinen ihnen so erzählen – für die Eltern zwei Jahre lang abrufbar, für den Hersteller außerdem dank Spracherken-nungssoftware auf marketingrelevante Stichworte hin analysierbar.
Auch VW hatte eine tolle Idee: Da immer wieder Kinder durch seine Produkte zu Schaden kommen, die naheliegende Lösung – weniger Autos auf den Straßen – aber nicht im Interesse des Konzerns liegt, hat er unter dem Namen »Schutzranzen« eine Schultasche mit Sender entwickeln lassen, die Autofahrer warnen soll, wenn sich Kinder in der Nähe befinden2 (und natürlich wiederum Eltern eine Überwachungsmöglichkeit bietet). Immerhin stieß ein geplanter Test an zwei Wolfsburger Schulen aber auf so große Datenschutzbedenken, dass das Projekt vorerst auf Eis gelegt wurde.

Um nun nicht in den Verdacht zu geraten, dass meine Einstellung gegenüber all diesen Entwicklungen vielleicht doch nur meinem technologischen Lebensalter geschuldet ist, sei abschließend eingeräumt, dass nicht alles gefährlicher Unfug ist, was diese moderne Technik so mit sich bringt. Im Zuge der Energiewende etwa wird es immer wichtiger, den Verbrauch den natürlichen Schwankungen von Wind und Sonne anzupassen, und da ist so ein Smart Home schon nützlich, das die Waschmaschine dann einschaltet, wenn gerade besonders viel Strom ins Netz eingespeist wird. Und auch das barrierefreie Wohnen dürfte dank schlauer Haushaltstechnik immer komfortabler werden. Vielleicht erreiche ich also noch das vierte, von dem mit nur 49 Jahren verstorbenen Douglas Adams leider nicht mehr postulierte Lebensalter: so alt und klapprig, dass die Vorbehalte gegenüber dem neumodischen Zeug zurücktreten hinter der Möglichkeit, das Licht auf Zuruf einzuschalten und den Kühlschrank die Einkäufe erledigen zu lassen. Ich werde Sie auf dem Laufenden halten.

[1] Nachdem zunächst die üblichen Verdächtigen, also »russische Hacker«, hinter dem Angriff vermutet wurden, stellten sich später drei US-Studenten in Alaska als Schuldige heraus. Deren Ziel war auch gar nicht, weltweites Chaos zu verursachen, sondern eine Attacke auf gegnerische Server des Spiels »Minecraft«, außerdem allerdings auch elektronische Schutzgelderpressung – sie hatten geplant, Hosting-Providern für eine Gebühr Schutz vor ihren eigenen Angriffen anzubieten, wie sie vor Gericht gestanden.
[2] Es handelt sich, nebenbei bemerkt, um eine weitere Variante des beliebten »victim blaming«, wie man es etwa auch von der Forderung nach einer Helmpflicht für Radfahrer kennt. Wer keinen trägt, ist demnach halt selbst schuld, wenn er von einem Raser über den Haufen gefahren wird.