Warum Raser Staus verursachen und dennoch nicht schneller ankommen

Vor ein paar Tagen habe ich auf Twitter Bilder und ein Video einer Aktion der Gruppe „Letzte Generation“ gesehen, die mir zu denken gibt: Statt sich an Fahrbahnen festzukleben, besorgten sich Aktivisten zwei Autos und fuhren damit die Autobahn mit 100 km/h entlang und bremsten dadurch den nachfolgenden Verkehr aus.

Das Bild sorgt für Emotionen. Die eine Sichtweise: Da sind zwei Autos, die mutwillig einen Stau verursachen. Die andere Sichtweise: Diese Art der Nötigung ist gerechtfertigt, da wir grade mit einer Kombination von Weltkrisen leben.

Ich habe jedoch eine dritte Sichtweise darauf, eben weil ich in den vergangenen Wochen nach Auslaufen des Neun-Euro-Tickets öfters per Autobahn nach Düsseldorf gefahren bin. Die lautet: Auf dem Bild sind nicht zwei Fahrzeuge, die gegen das Gesetz verstoßen und andere – gefühlt(!) – nötigen, sondern über ein Dutzend.

Während sich die Aufmerksamkeit ganz auf die beiden vorderen PKW konzentriert, betrachte ich eher den hinteren Teil: Nur eine Handvoll von Autos hält klar sichtbar einen Mindestabstand ein. Das deckt sich mit meinen Erfahrungen, die ich auf im Berufsverkehr machte. Sobald es ein wenig voller wird, rücken sich insbesondere auf der Überholspur Autos ganz dicht auf die Pelle.

Raser müssen viel bremsen

Raser erkennt man dann nicht an ihrem Tempo – sondern an ihren ständig aufleuchtenden Bremslichtern. Da sie ständig zu wenig Abstand halten, ist jede Verzögerung ein Notfall, der mit sofortigem Bremsen beantwortet werden muss.

Und jetzt kommt der Clou: Diese Raser sorgen für mehr Staus als sich viele träumen könnten. Stellt Euch einfach eine Reihe von zehn Autos vor, die mit zu geringem Abstand fahren. Das erste Auto bremst ein kleines bisschen. Der nächste Fahrer kann aufgrund der menschlichen Reaktionszeit nicht sofort reagieren, muss also etwas stärker bremsen, um wieder den Abstand herzustellen. Der nächste muss also noch stärker bremsen – und nach ein paar Wiederholungen wird daraus eine Vollbremsung. Ergebnis: Stau aus heiterem Himmel.

Das geschieht zum Beispiel auf der A57 Richtung Düsseldorf seit Auslaufen des 9-Euro-Tickets wieder fast täglich. Dabei versucht die Verkehrszentrale des Landesbetriebs Straßenbaus NRW das zu verhindern und verhängt mittels elektronischer Schilder Tempolimits, mal 100 km/h, mal 80 km/h, selten sogar mal 60 km/h. Würde sich jeder dran halten, gäbe es an den Auf- und Abfahrten keinen Stau und jeder käme schneller an.

Doch da die Pendler ganz genau wissen, dass die Kamerabilder der Verkehrsüberwachung nicht zu Bußgeldbescheiden führen, werden diese Schilder ignoriert. Man hat die Illusion, dass man schneller vorankommt, aber letztendlich brauchen alle länger, sind alle gestresster, zahlen alle mehr Geld.

Die linke Spur gehört mir!

Ein Grund dafür ist die Überzeugung, dass die linke Spur schnellen Autos vorbehalten ist. Laut StVO haben diese Leute natürlich unrecht: Es gibt kein Benutzungsverbot der linken Spur für langsamere PKW. Manchmal gibt es ein Überholverbot für LKW, ganz selten mal eine Mindestgeschwindigkeit. Aber in der Regel darf man auch links 100 km/h fahren, wenn man jemand anders überholt. Solange man beim Spurwechsel aufpasst, niemand anderen zu gefährden, hat der lahme Kleinwagen mit einem Neupreis von 8.000 Euro genauso viel Recht auf die Überholspur wie ein getunter Porsche für 350.000 Euro. Erst nach Abschluss des Überholvorgangs muss man wieder nach rechts wechseln – unabhängig von Preis, Geschwindigkeit und Hubraum.

Das entspricht aber nicht dem Alltagserleben auf der Autobahn. Ein kleiner – allerdings nicht allzu kleiner – Anteil der Autofahrer, besteht auf ihrem nicht existenten Recht, indem sie andere Fahrer einschüchtern wollen. Dazu gehört das zu dichte Auffahren, das in der Regel seinen Zweck erfüllt. Wer im Rückspiegel einen Wagen mit 2,5 Tonnen im Abstand von weniger als einer Autolänge bemerkt, fühlt sich zu recht gefährdet. Kommt dann noch die Lichthupe dazu, hat man es mit einem Fahrer zu tun, der andere absichtlich gefährdet – natürlich möchte man so viel Abstand wie möglich zu solchen Typen haben.

Diese permanente Eigen- und Fremdgefährdung ist nicht nur eine individuelle Entscheidung, sondern ein strukturelles Problem. Dies illustriert zum Beispiel die „Auto Bild“ in einem Artikel vom Juni. Hier wird ein Truck mit besonders aggressiven Design unter anderem mit dieser Bildunterschrift angepriesen:

Bei diesem Anblick im Rückspiegel dürften Vorausfahrende freiwillig Platz machen.

Sprich: Wer dieses Auto kauft, hat sich einen festen Platz auf der Überholspur gesichert. Wenn man das so ausspricht, klingt es natürlich idiotisch. Aber dies ist die Aussage.

Was besonders traurig ist: Dieses Rumgeprotze dient nicht wirklich dem schnelleren Vorankommen. Im Stadtverkehr seht ihr die aggressiven Spurwechsler und Drängler oft an der roten Ampel wieder. Auf einer Autobahn gewinnen sie selten mal einen Kilometer Vorsprung vor den von ihnen Bedrängten. Also gewinnen sie nicht einmal eine Minute.

Wir Menschen sind notorisch schlecht darin, die Zeiteffekte des Gaspedals korrekt einzuschätzen. Wer etwa den Aktivisten vom Anfang über 60 Kilometer nachgefahren ist, statt einen Schnitt von 130 km/h zu fahren, hat weniger als zehn Minuten verloren. Hieraus eine strafbare Nötigung zu konstruieren, wird nicht so einfach sein, wenn man bisherige Urteile berücksichtigt. Ein Großteil der Drängel-Aktionen mit Gefährdung anderer Menschen bringt allenfalls ein paar Sekunden Gewinn. Wir haben es da also in der Regel nicht mit einem Zeitproblem zu tun, sondern mit einem emotionalen Problem.

Einfach mal den Fuß vom Gas nehmen

Wer richtig Abstand lässt, spart nicht nur selbst Sprit, sondern auch allen anderen Autofahrern Zeit. Wenn vor mir jemand 100 km/h fährt – zum Beispiel, weil ein Wohnmobil überholt – muss ich in den allermeisten Fällen nicht einmal aufs Bremspedal treten. Ich gehe einfach vom Gas.

Wir brauchen bessere WLAN-Einstellungen

Die Süddeutsche Zeitung berichtet über eine neue Schwachstelle im Kurznachrichtendienst RCS. Darin wird der Angriffsvekor beschrieben:

Um eine solche Falle aufzustellen, brauchen Hacker wenig mehr als einen Laptop. Fake-Hotspots könnten kriminelle Hacker beispielsweise am Flughafen neben einer Airline-Lounge betreiben, um potenziell lukrative Opfer zu finden. Sobald die Zielperson in dem falschen Wlan eine Website aufruft, leiten die Hacker die Anfrage auf eine von ihnen kontrollierte Webpage. Das Opfer kann sich dagegen nicht wehren.

Vielleicht sollten wir dies auch als Sicherheitslücke begreifen. Denn der normale Android-Nutzer hat keinerlei Möglichkeiten, Fake-APs zu erkennen. Schlimmer noch: Das Gerät übernimmt es für ihn, sich in ungesicherte Netze einzuwählen.

Ein Beispiel: Ich habe mich neulich an einem privaten Router eingeloggt, der noch die Standard-Kennung für das WLAN nutzte. „FRITZ!Box 6490“ oder ähnliches. Kurze Zeit später bemerkte ich, dass mein Datenverkehr beim weg durch die Stadt immer wieder mal stockte und dass unvermutet eine WLAN-Verbindung angezeigt wurde. Die Lösung: Mein Handy versuchte sich schlicht bei jedem der Router mit diesem WLAN-ID einzuloggen. Was nicht klappt, da die Netze passwortgeschützt sind. Und es gibt Tausende davon.

Ein Screenshot einer WLAN-Liste

Ich habe vergeblich nach einer Möglichkeit gesucht, dies abzuschalten. Der Android-Dialog zu WLANs bietet jedoch keinerlei Option dafür. Obwohl jeder Router eine eindeutige MAC-Adresse hat, unterscheidet Android nicht. Ich kann mir die MAC-Adresse eines Routers auch nicht anzeigen lassen, um zu entscheiden ob es der richtige ist. Erst wenn ich mich bereits verbunden habe, bietet mir Android an, die Details zu dem Netzwerk nachzulesen. Darunter sind die Geräte-IP, der Verschlüsselungs-Standard und die MAC-Adresse. Damit anfangen kann ich jedoch nichts.

Dabei wäre die Lösung relativ einfach. Neben der Option ein Netzwerk zum Autologin zu wählen oder nachträglich zu löschen, sollten wir auch die Möglichkeit haben, uns nur bei einem bestimmten Router einzuloggen. Natürlich bietet eine MAC-Adresse keinen vollendeten Schutz – ein Hacker kann sie ja beliebig manipulieren. Jedoch kann sie dem Nutzer eine Möglichkeit geben, die Gefährdung wesentlich zu reduzieren.

Neben dem Sicherheit- wäre es auch ein Komfort-Gewinn. So musste ich zum Beispiel die Freifunk-APs aus meiner WLAN-Liste nehmen, weil mir die Datenverbindung immer wieder abhanden kam. Solange eine WLAN-Verbindung erhältlich ist, krallen sich Smartphones daran und lassen den Mobilfunk außen vor. Der Empfang von Freifunk ist jedoch meist schlecht, die Datenrate unterirdisch. Und plötzlich setzen Streams aus, Chat-Nachrichten kommen nicht an, dringende Emails gelangen nicht zu mir.

Lange Rede, kurzer Sinn: wir brauchen bessere WLAN-Einstellungen. Warum hatten wir sie nicht von Anfang an?

Die Legende von der personalisierten Werbung

Ich habe seit ein paar Wochen einen neuen Fernseher. Mein erster Fernseher mit Internetanschluss. Dabei habe ich etwas Kurioses festgestellt: Wenn ich Videos mit der vorinstallierten YouTube-App ansehe, wimmelt es von Werbung. Rufe ich die Video hingegen mit meinem Handy ab und übertrage sie per Chromecast auf meinen Fernseher sind exakt die gleichen Videos fast werbefrei. Ernsthaft: Es können Wochen vergehen, bis ich einen Werbespot sehe.

Wie kann das sein? Ein Werbeblocker ist nicht involviert. Jeder Part der Kette ist unter der Kontrolle von Google: YouTube, die Apps, Android auf dem Telefon und auf dem Fernseher. Warum bekommme ich also keine Werbung ausgespielt? Nun – die technischen Hintergründe sind mir noch unklar, aber dieses kleine Detail zeigt mir: Die Welt der Onlinewerbung ist weit weniger ausgefeilt, als es immer wieder dargestellt wird.

Personalisierte Werbung ist der ökonomische Pfeiler des heutigen Internets. Und gleichzeitig ist sie ein Mythos: So spricht Apple-Chef Tim Cook zum Beispiel vom „daten-industriellen Komplex“. Mehr als einmal wurde ich etwas in dieser Art gefragt: „Gestern habe ich mich mit Kollegen über Kopfschmerzen unterhalten. Und heute bekomme ich auf Facebook Werbung für Kopfschmerz-Tabletten. Hört Facebook mein Handy ab?“

Auch wenn das theoretisch und sogar praktisch denkbar wäre — die Realität ist doch eine ganz andere. Facebook hört Eure Gespräche nicht ab, weil es schlichtweg keinen Markt dafür gibt. Zumindest heute noch. Überlegt es Euch: Wo immer wir im Internet unterwegs sind, werden wir mit Werbebannern überschüttet. Und wie viel Prozent davon sind wohl tatsächlich auf Euch angepasst? Wenn ihr Euch wirklich jede einzelne Werbung anseht, werdet ihr merken: Erstaunlich wenig. Und die angepasste Werbung wird Euch meist nach den gröbsten Kategorien angezeigt: Kölner bekommen Werbung für Kölner Fußball-Vereine. Frauen bekommen Werbung für die Bikini-Figur. Männer für den Baumarkt. Braucht es dafür tatsächlich einen daten-industriellen Komplex, der uns quer durch das Internet folgt, und dafür Tausende verschiedener Cookies und Skripte einsetzt?

Katzen würden mit Persil waschen

Ein verbreiteter Sinnspruch ist: Wenn ihr nicht für das Produkt zahlt, seid ihr das Produkt. Die wahren Kunden sind also die Werbetreibenden, die versuchen uns ihre Produkte und Dienstleistungen anzudrehen. Denkt mal nach: Wie oft habt ihr beworbene Produkte gekauft? Haben die Werbekunden Euch wirklich voll im Griff? Werbung wirkt. Wie viele würden wohl Persil kaufen, wenn der Name nicht so allbekannt wäre? Aber von der vollkommenenen Gedankenkontrolle sind die Werber weit entfernt.

Die Wahrheit ist: Es gibt zwei verschiedene Werbemärkte. Auf dem einen Werbemarkt wird versucht uns Konsumenten zu überreden Waschmittel, Limonaden und Autos zu kaufen. Dieser Werbemarkt funktioniert leidlich gut. Wenn Du Leuten 15 Mal vorhälst, was sie bei Amazon oder Zalando angesehen und nicht gekauft haben, wird nach einer Weile einer von hundert Kunden doch schwach. Da Onlinewerbung spottbillig ist, rechnet sich das irgendwann.

Der wichtigere Werbemarkt ist jedoch der andere, auf dem den Herstellern der Waschmittel, Limonaden und Autos überredet werden, Werbung zu kaufen. Und man ist versucht zu sagen: Junge, sind diese Leute naiv…! Zum einen fließen Milliarden ihrer Gelder in die Taschen von Betrügern, die keinerlei Absicht haben die Werbung an tatsächliche lebende, atmende Kunden auszuliefern. Zum anderen schlucken die Markenartikler auch die Versprechen der Werbeanbieter, die ihnen die Früchte der Totalüberwachung der Kundschaft versprechen. Immer wieder höre ich Beschwerden von Werbetreibenden, dass die Facebook-Werbung nicht so gut funktionieren soll. Doch wenn man mit Facebook-Werbung angeblich den US-Präsidenten bestimmen kann — wer will da ernsthaft kein Stück von diesem Kuchen?

Aber ihr könnt die Gegenprobe machen. Schaut Euch mal Eure Werbeprofile bei Facebook, Google, Instagram oder Twitter an. Ich habe dies kürzlich bei Twitter getan und war doch sehr erstaunt, was meine Interessen so sein sollen.

Twitter-Werbeprofil

Ich, der Sport-Fan

Twitter erzählt seinen Werbekunden nicht nur, dass ich Formel 1-Fan bin, sondern hat auch ein sehr differenziertes Bild von mir als Fußball-Fan. Viele der Namen, für die ich mich angeblich interessiere, musste ich googeln und es stellte sich heraus: Es sind Profi-Fußballer. Das klitzekleine Problem dabei: Ich bin kein Sportfan. Ich schau mir nicht mal die Schachweltmeisterschaft an. Natürlich kann ich mich durch das Twitter-Profil wühlen und die wildesten Fehleinschätzungen korrigieren — doch wer macht sich schon den Stress? Es ist für beide Seiten einfacher, wenn Twitter mir fußballbasierte Werbung ausspielt, die ich dann ignoriere. Falls Twitter noch einen Werbekunden findet, der Fidget Spinner loswerden will – ich bin Euer Mann. Was in den Profilen nicht steht: „Würde niemals einen VW kaufen“. Denn wozu sollte man den Werbeetat von Volkswagen künstlich beschränken?

Dieses Werbeprofil ist nicht unbedingt mal das Ergebnis böser Absichten. So funktioniert das Geschäft halt. Denn woher glaubt die Werbeindustrie zu wissen, was mich interessiert? Ein Mittel ist die sogenannte „lookalike audience“. Ihr erinnert Euch vielleicht, das Facebook kürzlich einen Skandal hatte, weil sie die Handydaten von Kunden und insbesondere Teenagern über einen Datenfilter leiteten und haarklein auswerteten. Facebook hat dabei kaum ein Interesse an den Teenagern selbst — sie liefern lediglich ein Datengerüst. Leute, die morgens um 5 Uhr auf Snapchat aktiv sind, mögen Frühstückscerealien der Marke X. Wer Signal installiert hat, ist ein Tech-Freak. Wer Verschwörungstheorien teilt, isst zwei Mal mehr Süßigkeiten und hat keinen Fitbit. All diese Beziehungen werden in Datenmodelle gegossen, die dann darüber entscheiden, welche Werbung Dir ausgespielt werden soll. Ob diese Annahmen stimmen, interessiert nicht wirklich — Hauptsache die magischen Kenngrößen, die KPI, stimmen. Irgendwie.

Die große Schubladisierung

Die Realität heute ist: Es gibt personalisierte Werbung — sicherlich. Das große Geschäft ist aber ein anderes: Statt die Werbung auf uns anzupassen, werden wir in die größtmöglichen Schubladen einsortiert, die der Werbeindustrie den meisten Profit versprechen. Mann über 40. Handy-Nutzer in Köln. Der Dude, der neulich 20 Minuten auf eine Turnschuh-Werbung gestarrt hat. Schwangere Frau. Schwangere Frau! Ernsthaft, die Werbeindustrie fällt in einen kollektiven Zuckerrausch, wenn sie meint, dass Du schwanger bist. Sie tragen Dich auf Händen und treten dich mit Füßen. Denn das ist der auslösende Mythos der personalisierten Werbung: Die Leute mit den großen Datenbanken wissen früher von einer Schwangerschaft als die Familie selbst.

Personalisierte Werbung ist Realität, aber personalisierte Werbung ist als Mythos viel größer. Der Mythos entscheidet, wer im Internet Geld verdient. Ob Podcasts ein Beruf sind oder Hobby bleiben. Ob unsere Timelines Katzenbilder ausspucken oder Nachricht. Die Realität ist aber: Dahinter steckt meist nur eine riesige Sammlung von Schubladen.

ApplePay – Alltagstauglich, doch kein Selbstläufer.

Da grade ApplePay in Deutschland eingeführt wird, schreiben alle über Bezahlen per Handy. Natürlich mit Vorbehalten. So heißt es auf tagesschau.de:

Richtig alltagstauglich ist mobiles Bezahlen aber noch nicht. „Das fängt schon bei den Grundvoraussetzungen an“, kritisiert Maike Strudthoff, Mobile-Payment-Expertin und Autorin für Digitalthemen. „Kunden brauchen das richtige Handy, nämlich NFC-fähig, und müssen die passende Bank haben, die wiederum eine kompatible Zahlungskarte anbietet. Das ist verwirrend und noch nicht unbedingt für die Masse nutzerfreundlich.“

In meinen Augen ist das falsch. Denn wenn die beschriebene Verwirrung erst einmal geklärt ist — fast jeder in der Zielgruppe hat bereits ein NFC-fähiges Handy — ist die Technik sehr alltagstauglich. Denn gerade im Alltag gibt es die Verwirrung nicht mehr: Wir kramen nicht in Handtaschen und Rucksäcken, welches von zehn Handies wir jetzt benutzen sollen. Und wir müssen auch nicht zwischen fünf verschiedenen Girokonten wählen. Einfach das Handy an die bezeichnete Fläche an der Supermarktkasse halten — fertig. In den viel zitierten Bäckerein müssen wir wohl weiterhin bar zahlen – big deal.

Insbesondere die Geschwindigkeit begeistert. Von alten Supermarktkassen bin ich es noch gewohnt, dass man den halben Einkauf einpacken kann, bis denn endlich der Beleg zum Unterschreiben aus der Kasse gezuckelt kommt. Diese Wartepause ist verschwunden.

Ich glaube dennoch, dass diese Zahlungsmethode nicht plötzlich von allen Deutschen adaptiert wird. Aus zwei Gründen:

Zum einen sind mittlerweile auch Kontokarten der verschnarchtesten Sparkassen mit NFC ausgestattet. Der Geschwindigkeitsgewinn ist also kein Alleinstellungsmerkmal des Handyzahlens.

Zum zweiten: Auch wenn Apple seit einem Jahr unentwegt dafür wirbt, dass sie nie, nie, niemals die Daten ihrer Kunden verkaufen (halt nur einen Milliardendeal mit Google, aber Schwamm drüber) – will man wirklich alle Käufe über Silicon Valley und deren Dienstleister abwickeln? Mit dem Hersteller, der buchstäblich den Puls vieler Kunden erfassen kann?

Datenschutz-Basishygiene

Ein neuer Facebook-Hack macht die Runde. Der Clou dabei: Da die unbekannten Angreifer Zugriffs-Tokens erbeutet haben, könnten sie sich prinzipiell bei allen Diensten einloggen, bei denen sich ein Nutzer per Facebook-Login angemeldet hat. Das reicht von Facebook-eigenen Diensten wie Instagram bis zu der Website der Lokalzeitung. Online-Shops, Dating-Apps, Messenger.

In meinem Fall sind das Null Dienste — zumindest wenn ich nicht grob irregeführt wurde. Denn ich habe mir vor vielen Jahren eine Standard-Routine angewöhnt. Wann immer ich einen neuen Dienst ausprobieren will, ignoriere ich die bequemen Buttons „Log in with Facebook“, „Log in with Google“, „Log in with Twitter“.

So viele E-Mail-Adressen

Stattdessen nutze ich das Einloggen per E-Mail-Adresse. Eigentlich jeder Dienst bietet die Option an — manchmal muss man etwas weiterscrollen, um den alternativen Login-Modus zu finden. Meist reicht es aus, eine E-Mail-Adresse und ein Passwort einzugeben — und man ist drin. Oft muss man seinen Account per Linkklick noch bestätigen, aber so viel Arbeit ist das nun auch nicht.

Meine Basis-Hygiene geht jedoch ein wenig weiter. Ich habe ein Webhosting-Paket, das mir erlaubt quasi unbegrenzt E-Mail-Adressen anzulegen. Wann immer ich einen neuen Dienst brauche, kann ich mir in einer bis zwei Minuten eine neue E-Mail-Adresse anlegen, die dann automatisch zu einer meiner anderen Adressen umgeleitet wird. Ich brauche dazu nicht mal ein neues Passwort.

Warum mache ich das? Nun — eine der beliebtesten Angriffsvarianten ist: Man sucht sich eine bereits gehackte Kundendatenbank und versucht dann mit den Zugangsdaten Zugriff auf andere Dienste zu nehmen. Menschen sind faul und sie können sich nicht unbegrenzt Passworte merken. Zudem ist es eine simple Anti-Phishing-Massnahme. Wenn ich die Nachricht bekomme, dass ich doch dringend mein Passwort für Dienst XYZ ändern soll, dann weiß ich direkt, dass die Nachricht an die falsche Adresse ging.

No Match

Zum Zweiten: Neben dem Geburtsdatum dient die E-Mail-Adresse als Match-Kriterium, um Daten zwischen unterschiedlichen Diensten auszutauschen. Wenn ich zum Beispiel etwas bei einem Versandhändler bestelle, kann er meine Adresse nehmen, um mir auf mich personalisierte Werbung bei Facebook auszuspielen.

Gleichzeitig kann aber auch ein Angreifer diese Daten nutzen. Stellt euch vor, dass alle Dienste, die ihr in den vergangen 15 Jahren genutzt habt und die gehackt wurden, Eure Daten in eine kollektive Datenbank zusammengeworfen haben, die unentwegt von 17jährigen durchforstet wird. Ziemlich beunruhigend, nicht?

Wozu denn anders?

Ich bin nicht paranoid. Glaube ich. Ich schreibe seit über 15 Jahren zu IT-Themen und mache mir nicht allzu viele Illusionen darüber, wie sicher meine Daten sind. Die oben beschriebene Routine habe ich mir nicht angewöhnt, weil ich Facebook und Google für die absolut bösesten Konzerne aller Zeiten halte. Sondern weil ich schlicht keinen Sinn daran sah, meine Login-Daten zu kombinieren.

Wenn ich mir ansehe, welche Dinge mir Google empfiehlt, trotz extensiver Daten aus meinem Google-Account – no, thanks. Netflix wird auch nicht besser, wenn man es mit Facebook kombiniert. Weniger Personalisierung ist zuweilen doch mehr. Und will ich wirklich jedem dauernd mitteilen, welche Musik ich höre?

Die oben beschriebenen Maßnahmen sind auch keine Anti-Hack-Garantie. Mit genug Hirnschmalz kann man wahrscheinlich ein enormes Datenprofil über mich zusammenführen. Aber wer macht sich schon die Arbeit?

Der Preis auf meiner Seite ist gering, aber er existiert. Zum einen ist es ein wenig lästig. Statt den neusten Bilder-/Musik-/Messenger-Service direkt auszuprobieren, sitze ich viele Trends einfach aus. Facebook hat mein Geburtsdatum nicht, also gratulieren mir jedes Jahr sehr wenige Leute zum Geburtstag. Ich bin nicht auf Tinder. Ich kann damit leben.

Missverständnisse zu #efail

Heute morgen hat uns die Electronic Frontier Foundation ganz schön erschreckt, als sie plötzlich verkündete, dass man PGP-Plugins deinstallieren solle. Nachdem ich das zugrunde liegende Papier gelesen habe, das aufgrund der übereilten EFF-Veröffentlichung einen Tag früher als geplant online gestellt wurde, kann ich diese Empfehlung nach wie vor nicht nachvollziehen.

Ja, es sind gravierende Sicherheitslücken. Was die Forscher in ihrem Paper beschreiben, ist ein Aushängeschild für den schlechten Zustand der Verschlüsselungslösungen für Endnutzer. Was mir bei der Berichterstattung allerdings etwas übel aufgefallen ist: Einige Kollegen erzählten eine Geschichte, wonach nun plötzlich ein super-sicheres System zum ersten Mal geknackt worden sei.

Der übliche Einwand darauf ist: Die Verschlüsselung wurde nicht geknackt, sondern nur umgangen. Das trifft auch hier zu. Für den Anwender mag das im Ernstfall wenig tröstlich sein. Aber treten wir mal einen Schritt zurück und sehen, worum es wirklich geht. Eine der Voraussetzungen des heute veröffentlichten Angriffs-Szenarios ist es, dass der Angreifer bereits die E-Mails des Opfers erfolgreich abfangen konnte, und nun dringend noch den Schlüssel braucht. Und sich überhaupt nicht drum schert, dass der Angriff morgen einfachst nachvollzogen werden kann.

Auf deutsch: Edward Snowden sollte heute morgen wirklich nicht Thunderbird mit den untersuchten PlugIns verwenden. Was er wohl eh nicht tat. Die meisten(!) anderen Nutzer sollten sich aber eher Gedanken drum machen, dass sie ihre E-Mail- und Verschlüsselungs-Software updaten und die Voreinstellungen überprüfen.

Eine der wichtigen Lektionen von heute ist: Verschlüsselte Daten sind nur so sicher, wie das System, auf dem sie gespeichert sind und verarbeitet werden. Es hat immer hunderte Wege gegeben und es wird immer hunderte Wege geben, an PGP-verschlüsselte E-Mails zu gelangen, wenn denn der Empfänger seine IT-Systeme nicht wirklich unter Kontrolle hat. Man kann versuchen, auf dem Rechner einen Trojaner zu installieren. Man kann Backup-Daten klauen und drauf hoffen, dass der betreffende seine wichtigen E-Mails, Passworte oder Cache-Daten im Klartext abgespeichert hat. Man kann den Bildschirminhalt und Prozessorenaktivitäten über erstaunliche Entfernungen abhören. Oder schlicht drauf warten, dass irgendjemand den falschen Knopf drückt und einen langen E-Mail-Thread im Klartext versendet. Und, und, und… Die Möglichkeiten der Gegenwehr sind vorhanden, aber nicht unerschöpflich. Um IT-Systeme sinnvoll absichern zu können, muss man einschätzen können, wie sehr und von wem man denn bedroht ist.

Die konkretere Lektion ist: E-Mail-Programme sind nicht so sicher, wie wir es gerne hätten oder bis heute angenommen haben. Jeder sicherheitsbewusste Nutzer sollte mittlerweile gehört haben, dass man E-Mails nicht Daten aus dem Internet nachladen lässt. Denn so fängt man sich nicht nur finstere Verschlüsselungsknacker ein, sondern auch Spammer und Möchtegern-Hacker. Nun haben die Forscher einige Wege gefunden, wie E-Mail-Programme ungewollt nach außen kommunizieren. Einige sind nicht ganz so neu — aber dennoch nicht abgeschafft. Andere waren zumindest weniger bekannt und müssen nun ganz gezielt ausgemerzt werden.

Was mich auch etwas nervt, wie wenig Kontext durch die Skandalisierung transportiert werden konnte. Wenn man ganz laut ALARM!!!! schreit, bleibt halt wenig Platz für Erklärungen. Wenn E-Mail-Programme Informationen nach außen leaken lassen, können Angreifer dies nicht nur dazu nutzen, um verschlüsselte E-Mails zu entschlüsseln. Man kann die gleiche Technik verwenden, um jemanden zu enttarnen, der sich hinter einer vermeintlich anonymen E-Mail-Adresse verbirgt. Man schickt dem Betreffenden eine präparierte E-Mail und wenn er sie öffnet, hat man die IP-Adresse und vielleicht noch zwei bis drei andere Datenpunkte, mit dem man ihn identifizieren kann. Das ist gängige Praxis. Selbst abgefeimteste Profis fliegen so auf. Und wenn weder Gesetzeshüter, noch Geheimdienste die Lücke nutzen: Spammer und Abobetrüger greifen sicher gerne zu.

Ein weiterer Kontext, der mir deutlich zu kurz kam: Die in Großunternehmen verwendete Verschlüsselung S/MIME schneidet im Papier wesentlich schlechter ab als die OpenSource-Lösung PGP. Und das ist ein großes Problem. Updates für Thunderbird sind schon veröffentlicht, weitere folgen in Kürze und können von Einzel-Nutzern schnell installiert werden. Ein Update der E-Mail-Software und Verschlüsselungslösungen etwa für 100000 Angestellte weltweit auszurollen, ist jedoch etwas, was nicht ganz so schnell passiert.

Auch Kontext: Die Veröffentlichungsstrategie. Der Hashtag #efail — muss das wirklich sein? Er ist zwar schön griffig, aber er transportiert vor allem Häme. Und das ist einfach #facepalm.

Lange Rede, kurzer Sinn: Ich wünschte, wir könnten etwas abgeklärter, und informativer über solche Probleme reden.

„Datenschutz aus dem 18. Jahrhundert“

Die neue Digital-Staatsministerin Dorothee Bär wird grade wegen ihrer unbestreitbaren Kompetenz mit Vorschuss-Lorbeeren überschüttet. Ich weiß ehrlich gesagt nicht so viel über sie. Aber ich bin eben zufällig über ein Interview mit ihr gestolpert.

Da steht aber – wie so oft – der gute alte deutsche Datenschutz davor. Bär: Richtig! Wir brauchen deshalb endlich eine smarte Datenkultur vor allem für Unternehmen. Tatsächlich existiert in Deutschland aber ein Datenschutz wie im 18. Jahrhundert.

Ich weiß, das ist nicht wörtlich gemeint. „Wie im 18. Jahrhundert soll eigentlich nur heißen: „Das ist gaanz, gaaaaanz veraltet“. Und „wie im 18. Jahrhundert“ klingt halt gebildeter, ministerieller. Und doch…

Und doch wünsche ich mir, dass eine Digitalministerin weiß, dass unser Datenschutz ausdrücklich aus dem 20. Jahrhundert stammt. Aus Gründen. Da gab es zum Beispiel ein Regime, das Großkunde von IBM war und damit das staatliche Großprojekt namens Holocaust organisierte. Und dann gab es noch das andere Regime, dessen minutiöse Aufzeichungen über Millionen Bürger immer noch aus Fetzen zusammengesetzt wird. Daher stammt unser Datenschutz. Und wir sind noch im ersten Viertel des 21. Jahrhunderts — also ist das viel zu früh, das 20. Jahrhundert zu vergessen oder es einfach mit kleinen Witzchen beiseite zu wischen.

(Ich würde mir auch wünschen, dass eine Politikerin der Partei, die ein Heimatministerium durchgesetzt hat, ein wenig Kenntnis deutscher Literatur hat. Im 18. Jahrhundert bestand der Datenschutz darin, dass man Geheimnisse besser gut versteckte und wenn es nicht klappte, musste man halt sein Dorf verlassen oder in einen fernen Krieg ziehen.)

Aber ich weiß, das ist nicht wörtlich gemeint. Genau so wie solche Sätze: „Könnten Daten deutscher Patienten mit weltweiten Datenbanken abgeglichen werden, wäre eine Diagnose oft schneller da, als sie zehn Ärzte stellen können.“ Das ist eine Metapher, denn um zehn Ärzte zu sehen, braucht man mindestens ein Jahr.

Da diese Platitüde aber auch der Slogan des neuen Gesundheitsministers ist, können wir uns schon mal drauf einstellen, dass unsere Gesundheitsdaten tatsächlich um die Welt geschickt werden sollen. Drüben über dem Atlantik wurde grade versucht, die Krankenversicherung für Lehrer in West Virginia an ein modernes Programm namens Go365 zu knüpfen. Wer da Fitness-Ziele nicht erfüllt, keinen Fitbit mit sich führt und auch kein automatisiertes Schlaf-Logbuch anlegt, muss halt für die Krankenkasse etwas mehr bezahlen. Das wurde per Streik zwar grade noch verhindert, aber es war halt auch nur der erste Versuch.

Missverständnisse zu Bitcoins und Geld

Grade ist der Hype um die „Cryptowährung“ Bitcoin besonders hoch. Was mir auffällt: Selbst die größten Fans haben einige sehr vage Vorstellungen, was Bitcoin überhaupt ist. Oder was Geld ist. Damit unterscheiden sie sich freilich nicht von den meisten anderen Leuten.

Gerade das Durchbrechen der 10000-Dollar-Marke wird von vielen als unumstößlicher Erfolg der Währung gesehen. Doch eigentlich ist es das nicht — im Gegenteil. Denn Geld ist nicht aus einem Selbstzweck da. Es dient dazu, dass man handeln kann.

Ganz simpel gesagt: Wer das Gut X braucht und dafür seine Arbeitskraft Y anbieten kann, ist dank Geld nicht darauf angewiesen, dass sein Arbeitgeber das Gut X hat, um es dann bei ihm abzuarbeiten. Der Bauer muss dank Geld keinen Autohändler suchen, der Wirsingköpfe gegen Winterreifen eintauscht. Durch ein funktionierendes Geldsystem ist sichergestellt, dass sich Handel an Handel an Handel reiht, so dass möglichst viele Geschäfte gemacht werden können, die — so zumindest das Ziel der Volkswirtschaftslehre — dazu führen soll, dass möglichst viele Güter verteilt werden können. Wer ein Gut X loswerden will, soll möglichst einen zahlungskräftigen Interessenten finden. Wer eine gewinnbringende Idee hat, soll die Gelegenheit bekommen, an das notwendige Kapital zu gelangen.

Die Pizza-Theorie des Geldes

The Coinspondent verlinkte kürzlich einen lustigen kleinen Twitter-Account: @bitcoin_pizza. Hier wird tagtäglich verzeichnet, wie viel 10000 Bitcoins wert sind. Zu diesem Betrag hatte nämlich im Jahr 2010 jemand Pizza gekauft. Hätte er auf den Kauf verzichtet, besäße er heute — theoretisch — den Gegenwert von über 100 Millionen US-Dollar. Für nur acht Jahre ist das eine erstaunliche Rendite bei einem quasi nicht vorhandenem Risiko. Weder Apple-Aktien, noch Amazon-Seedfunding können da mithalten.

Hier klicken, um den Inhalt von Twitter anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Twitter.

Wer diese Geschichte hört und selbst Bitcoin besitzt, wird daraus zunächst mal eine Lehre ziehen: Es ist höchst dumm, Bitcoins für den täglichen Bedarf auszugeben. Denn morgen könnte das Geld, das man für schnöden Hunger ausgegeben hat, schon 20 Prozent mehr wert sein. Nächsten Monat: das Dreifache. Vielleicht. Seine normalen Besorgungen erledigt man also mit ganz normalem Geld, die Kryptowährung kommt nur in groben Ausnahmefällen zum Einsatz. Bitcoin ist also prima als Spekulationsobjekt, aber derzeit ein lausiges Geld.

Durch diesen Motivator haben wir auch derzeit keine wirkliche Bitcoin-Ökonomie. Wenn eine Pizzeria ihre Speisen gegen Bitcoin anbietet, muss sie ihre Lieferanten doch weiterhin in Euro bezahlen und auch die Angestellten haben ein Anrecht auf ihr Gehalt in einer Währung, die ihr Vermieter in Rechnung stellt. So kommt der Waren-Geld-Kreislauf nicht wirklich in Schwung. Das Geschäft mit Bitcoin ist daher meist ein Umtausch von Geld zu Geld. Man verdient Bitcoins nicht, man muss sie meist kaufen. Und wer nur Bitcoins einnimmt, muss sie größtenteil wieder verkaufen, um seinen Lebensunterhalt zu bestreiten. Das ist teuer, ineffizient und macht vermeintliche Vorteile der Dezentralität zunichte.

Die hohe Volatilität verhindert auch, dass ein Kreditgeschäft entsteht. Wie viel Prozent Zinsen würdest Du verlangen, um jemandem Bitcoin für ein Jahr zu leihen? 100 Prozent? 300? Das sind keine attraktiven Zinssätze. Stattdessen werden ständig neue Währungen geschaffen, die widerum als Spekulationsobjekte angepriesen werden. Und die meisten Leute, die ihr Geld in ICOs stecken, werden es wohl verlieren. Das vorherrschende Erfolgsmodell derzeit ist: Kaufe früh und finde rechtzeitig vor dem Absturz jemand Dümmeren, der dir die Tokens abkauft. Das mag eine individuelle Erfolgsstrategie sein, insgesamt betrachtet zahlen aber die meisten Leute drauf.

Bitcoin rettet Venezuela nicht

Gestern hatte ich mich in eine kleine Diskussion mit Leuten gestürzt, die tatsächlich der Auffassung waren, dass Bitcoin ein effektives Gegenmittel gegen die Wirtschaftskrise in Venezuela seien. Dies zeigte mir, wie wenig Basis-Zusammenhänge der Ökonomie erkannt werden.

Um die Situation in Venezuela äußerst kurz zu schildern. Hugo Chávez hatte ein sozialistisches Regime geschaffen, das im Wesentlichen darauf beruhte, die gewaltigen Ölgewinne des Landes insbesondere für die Millionen Armen des Landes umzuverteilen. Nun ist Chavez tot, die Ölgewinne großteils verschwunden und das Land in einer so gewaltigen Wirtschaftskrise, dass es selbst für klassische Mittelstandsberufe schwer geworden ist, genügend Nahrung zu erhalten. Ein Symptom für den gewaltigen Niedergang der Wirtschaft ist die Hyperinflation der Landeswährung Bolívar.

In Zeiten von Hyperinflation suchen sich Menschen naturgemäß Ersatzwährungen. Die Regierung in Venezuela hat das jedoch weitgehend verhindert: Der Handel zum Beispiel mit US-Dollar ist streng reglementiert. Die Regierung hat mehrere viel zu niedrige Wechselkurse festgesetzt, die von unterschiedlichen Bevölkerungsteilen in Anspruch genommen werden können. Das ist natürlich eine Einladung für Korruption, für Schwarzmärkte und Kriminelle, die diese künstlichen Wechselkurse ausnutzen und damit Geld verdienen. Der Effekt: Normalbürger kommen nicht an US-Dollar — zumindest nicht in ausreichendem Maße, um ihre Bedürfnisse zu decken. Zudem: Der Dollarstrom kann nicht im Lande bleiben, da viele lebenswichtige Güter nicht mehr im Lande transportiert werden. Und die Importeure können mit dem immer wertloseren Bolívar nicht arbeiten.

Die Realität der Korruption

Natürlich liegt die Idee nahe, dass Bitcoins nun die ideale Lösung sind. So könnte beispielsweise jemand eine große Mining-Operation anwerfen und die Leute mit Bitcoins als Ersatzwährung versorgen. Schließlich weiß doch jeder, dass Energie in Venezuela fast kostenlos ist. Problem daran: Das ist nur die halbe Wahrheit. Zwar werden Energieformen heftig subventioniert, aber auch rationiert. Schon vor anderthalb Jahren hat die Regierung Maduro eine Zwei-Tage-Woche für Staatsdiener eingeführt und dies mit der Energieknappheit begründet. Schon damals sah es so aus, als müsse die Regierung stürzen – wie kann ein Land unter solchen Bedingungen weiter existieren? Die Regierung ist noch im Amt und die Bedingungen sind immer schlimmer geworden. Bitcoin-Farming klappt nicht, wenn man nur stundenweise Strom hat. Und um mit Bitcoins zu bezahlen, braucht man neben Strom auch viele Geräte, die für teure Dollar zu importieren wären.

Um es auf ein Beispiel runterzubrechen, das vielleicht auch Digital-Begeisterte verstehen, die nie Mangel erlebt haben: Wenn genug Leute tatsächlich die kostenlosen Nachladestationen für Elektro-Autos zum Bitcoin-Mining verwenden, werden diese Stationen nicht lange kostenfrei bleiben. Da hilft kein persönlicher Freiheitsdrang – jemand verhält sich asozial, und alle müssen schließlich dafür bezahlen.

Zurück zu Venezuela: Schwarzmarkt-Handel ist nicht unbedingt ein Aufbäumen gegen das Regime. Staatdiener und Militärs verdienen prächtig daran, dass sie wegsehen, wenn sie bei illegalen Geschäften wegsehen oder Güter wie Strom illegal umleiten. Wer meint, dass niemand den Handel mit der dezentralen Währung Bitcoin unterbinden könne, kennt leider — oder: zum Glück — die Realität in autokratischen Regimen nicht. Natürlich lässt sich Schwarzhandel nicht völlig vermeiden. Regierungen können ihn aber verdammt teuer machen. So hat Venezuela sogar die Kontrolle über Bäckereien übernommen. Wer Brot will, muss halt in der offiziellen Währung bezahlen. Oder ein Vielfaches in einer anderen Währung. Und nach Jahren der Misswirtschaft haben nicht mehr allzu viele Menschen die Wahl, ein Vielfaches auszugeben. Und wer es dennoch tut, stützt sogar das System, das den Handel eigentlich verbietet.

Keine Ersatzwährung

Um aus einer Hyperinflation herauszukommen, benötigt man gewöhnlich eine neue Währung. In Deutschland war dies beispielsweise die Rentenmark, in Brasilien der Real. In Venezuela wird es nicht Bitcoin sein.

Zum einen: Das Blockchain-System wäre sofort überlastet, wenn jeder Brotkauf eines Landes in der Blockchain abgelegt werden müsste. Zum zweiten: Als Land, das aus einer Wirtschaftskrise kommt, wäre es eine verdammt unkluge Wahl sich an eine Währung zu hängen, die international als Spekulationsobjekt gesehen wird. Wenn sich der Bitcoin-Kurs mal wieder verdoppelt – was mit einer gewissen Wahrscheinlichkeit passieren wird — müssten sich dann auch die Preise der venezulanischen Exporte wieder verdoppeln oder die Export-Güter in einer endlosen Preisspirale nach unten immer weiter nach unten angepasst werden – das Ausbluten des Landes ginge schlichtweg weiter. Zudem ist es für ein Land, das hoffentlich grade eine Autokratie überwunden hat, eine verdammt schlechte Idee ein Geldsystem einzuführen, das sämtliche Kontenbewegungen für jeden offen ausstellt. Neue Autokraten würden diese Möglichkeit, die Ausgaben der Bevölkerung komplett zu kontrollieren, vermutlich dankbar und ohne Skrupel ausnutzen.

Kurzum: Wer mit Bitcoin Millionen oder vielleicht nur Tausende verdient hat, kann sich freuen. Ein anderes oder gar besseres Währungssystem hat er jedoch noch lange nicht geschaffen.

Über Backdoors

Grade ist ein erbitterter Streit zur Frage ausgebrochen: Gibt es in WhatsApp eine Sicherheitslücke, die es dem Facebook-Tochterunternehmen ermöglicht, Nachrichten mitzulesen?

Ausgelöst hat den Streit ein Artikel des Guardian, der in einem Artikel sehr alarmistisch auf diese vermeintliche „Backdoor“ aufmerksam macht.

Jeder Leser wird bei dieser Überschrift denken, es gehe um einen der Vorfälle, wie wir sie in der jüngsten Vergangenheit immer wieder gesehen haben: Geheimdienste und/oder Verbrecher haben eine Sicherheitslücke entdeckt und können massenhaft auf Botschaften zugreifen. WhatsApp hatte da bekanntermaßen eine unrühmliche Vergangenheit.

Doch im Artikel selbst sind die Vorwürfe deutlich schwächer.

However, WhatsApp has the ability to force the generation of new encryption keys for offline users, unbeknown to the sender and recipient of the messages, and to make the sender re-encrypt messages with new keys and send them again for any messages that have not been marked as delivered. The recipient is not made aware of this change in encryption, while the sender is only notified if they have opted-in to encryption warnings in settings, and only after the messages have been re-sent. This re-encryption and rebroadcasting effectively allows WhatsApp to intercept and read users’ messages.

Versandte Nachrichten nicht betroffen

Sprich: Es geht erstens um eine theoretische Lücke, die nach bisherigen Informationen nicht in der Praxis ausgenutzt wurde. Es geht zweitens nur um das Abfangen nicht-versandter Nachrichten — sind die Nachrichten einmal beim Empfänger eingetroffen, würde WhatsApp auch weiterhin in die Röhre schauen. Und drittens: Der skizzierte Angriff verläuft nicht unbemerkt.

Die vermeintliche Lücke ist auch alles andere als neu. Es handelt sich um ein Verhalten der App, das seit Beginn der End-zu-End-Verschlüsselung bei WhatsApp besteht und seit damals auch öffentlich dokumentiert ist. Ich hatte mich im vergangenen Jahr für die Website mobilsicher.de mit der WhatsApp-Verschlüsselung auseinandergesetzt und wusste daher von dem vermeintlichen Problem. Ich wäre jedoch nie auf die Idee gekommen, dies eine „Backdoor“ zu nennen.

Es gibt nämlich zwei ungleich größere Probleme mit dem Sicherheitsversprechen von WhatsApp. Das erste und wichtigste: Die Software ist closed-source und daher nicht unabhängig überprüfbar. Das zweite: Bei der Ende-zu-Ende-Verschlüsselung hat WhatsApp eine wichtige Warnmeldung in der Voreinstellung deaktiviert. Wenn ein Nutzer seinen privaten Schlüssel ändert, wird der Nutzer nur informiert, wenn er diese Warnmeldung einschaltet.

Verschlüsselung ist unbequem, closed source ist unsicher

Um etwas Kontext zur Bewertung der vermeintlichen Lücke zu geben, muss man sich in Erinnerung rufen, was Ende-zu-Ende-Verschlüsselung überhaupt bedeutet: Beide Seiten der Kommunikation haben private und öffentliche Schlüssel. Die privaten Schlüssel werden auf dem Smartphone erzeugt und bleiben auch dort. Die öffentlichen Schlüssel werden von WhatsApp an die Kommunikationspartner verteilt. Diese Konstruktion ist an sich ziemlich sicher, hat aber auch viele praktische Nachteile. So kann man sich nicht einfach mit einem neuen Handy einloggen und auf alle seine bisherigen Nachrichten zugreifen — dazu muss man schon das alte Nachrichtenarchiv auf dem alten Gerät exportieren und auf dem neuen Gerät importieren. Man kann auch nicht mal eben den gleichen Messenger auf Tablet und Smartphone gleichzeitig benutzen. Um WhatsApp auf dem Desktop zu nutzen, wird der Browser mit dem Handy verbunden, das die Ver- und Entschlüsselung der Nachrichten übernimmt.

Die WhatsApp-Entwickler musste sich auch einem speziellen Problem widmen: Was passiert, wenn ein Kommunikationspartner sein Handy verliert oder es plötzlich defekt ist? Typischerweise dauert die Beschaffung eines Ersatzgeräts einige Zeit. Es gibt nun zwei Alternativen: Entweder werden alle Nachrichten, die an das alte Gerät geschickt werden, für immer unlesbar gemacht. Die zweite Alternative: WhatsApp speichert Nachrichten auf dem Handy des Senders, bis sie tatsächlich vom Empfänger auf seinem neuen Gerät empfangen werden können. Signal entschied sich für die erste Variante, das mehr auf Usability getrimmte WhatsApp jedoch für die zweite Alternative.

Dutzende Angriffs-Möglichkeiten

Nun könnte WhatsApp tatsächlich auf die Idee kommen, den Key eines Gesprächspartners heimlich auszutauschen und so die unversandte Nachrichten an ihn abzufangen. Für jede Nachricht müsste WhatsApp einen neuen Schlüssel ausstellen und damit rechnen, dass dies auf dem Smartphone des Senders angezeigt wird. Wahrscheinlich würde die Kommunikation nach kurzer Zeit zusammenbrechen, da die Kommunikation bei WhatsApp durch eine ganze Reihe Keys abgesichert ist und das resultierende Chaos durch ständigen Austausch das Protokoll überfordern würde. Wenn sich WhatsApp zu einem solchen Schritt entschlösse, wäre diese Methode unnötig kompliziert und bemerkenswert ineffektiv. WhatsApp verwaltet schließlich das Adressbuch seiner Nutzer. So könnte das Gespräch auf einen alten Blackberry umgeleitet werden, dessen WhatsApp-Client noch keine Ende-zu-Ende-Verschlüsselung unterstützt. Natürlich würde auch hier der Alarm ausgelöst, aber das würde die vom Guardian beschriebene Attacke ja auch.

WhatsApp könnte in seine Clients auch eine echte Backdoor einbauen — es ist schließlich Closed Source. Die Facebook-Tochter könnte überhaupt das ganze Adressbuch eines Nutzers durch NSA-Kontakte ersetzen, worauf sich die NSA-Agenten als die echten Gesprächspartner ausgeben. Für staatliche Angreifer gar bieten sich noch mehr Optionen. Von der simplen Malware, die Screenshots von jeder Kommunikation macht, bis zur gefälschten SIM-Karte, die dem Attackierten seine Telefonnummer entzieht.

Kurzum: Man mag das Verhalten von WhatsApp eine „Sicherheitslücke“ nennen, wenn man möchte. Es ist aber die geringste Stufe von Sicherheitslücke, die man sich in der Praxis vorstellen kann. Eine Backdoor ist es nicht.

Wo sind die Ergebnisse?

Liebe Geheimdienste,

ihr wiederholt gebetsmühlenhaft, dass es vollkommene Sicherheit nicht gibt. Doch wenn man sich ein bisschen den Teppich anhebt, sieht man, dass ihr in den letzten Jahren vollkommene Kontrolle angestrebt habt. SIM-Karten, Viren in der Festplatten-Firmware, Industriespionage, Big-Data-Analysen ganzer Bevölkerungen. An der Politik vorbei und erst recht am Bürger vorbei.

Nundenn. Schwamm drüber. Wir können Euch eh nicht zur Verantwortung ziehen. Seien wir praktisch. Nennen wir es ein Experiment. Die ganzen Überwachungsbefugnisse, die ihr immer wieder fordert und nur zu 90 Prozent bekommt, habt Ihr Euch heimlich zu 99 Prozent gesichert. Wir sehen also heute das Ergebnis, wenn jeder Politiker auf der ganzen Welt immer nur „Ja“ zu euch gesagt hätte.

Und was ist das Ergebnis? ISIS taucht aus dem Nichts auf und setzt die lustigen kleinen Gadgets ein, auf die ihr Eure kleinen lustigen Wanzen installiert habt, und lockt Teenager in den Krieg. Knastbrüder — und zwar exakt die Sorte, die ihr so gerne im Auge habt –  marschieren mit automatischen Waffen durch europäische Städte. Flugzeuge verschwinden und irgendjemand in einem Wohnzimmer in Großbritannien wertet Luftbilder aus, um ein wenig mehr Infos zu bekommen als durch die Propagandakanäle dringt. Und 14jährige in Syrien filmen, was wir sonst nie erfahren würden.

Mal ehrlich: Ist das Experiment gelungen? Seid ihr mit den Ergebnissen wirklich so zufrieden? Meint ihr wirklich, ihr habt mehr vorzuweisen als — verzeiht die Metapher — einen Großflughafen ohne Passagiere und Eröffnungsdatum? War es das, ist es das wirklich wert?