Die Legende von der personalisierten Werbung

Ich habe seit ein paar Wochen einen neuen Fernseher. Mein erster Fernseher mit Internetanschluss. Dabei habe ich etwas Kurioses festgestellt: Wenn ich Videos mit der vorinstallierten YouTube-App ansehe, wimmelt es von Werbung. Rufe ich die Video hingegen mit meinem Handy ab und übertrage sie per Chromecast auf meinen Fernseher sind exakt die gleichen Videos fast werbefrei. Ernsthaft: Es können Wochen vergehen, bis ich einen Werbespot sehe.

Wie kann das sein? Ein Werbeblocker ist nicht involviert. Jeder Part der Kette ist unter der Kontrolle von Google: YouTube, die Apps, Android auf dem Telefon und auf dem Fernseher. Warum bekommme ich also keine Werbung ausgespielt? Nun – die technischen Hintergründe sind mir noch unklar, aber dieses kleine Detail zeigt mir: Die Welt der Onlinewerbung ist weit weniger ausgefeilt, als es immer wieder dargestellt wird.

Personalisierte Werbung ist der ökonomische Pfeiler des heutigen Internets. Und gleichzeitig ist sie ein Mythos: So spricht Apple-Chef Tim Cook zum Beispiel vom „daten-industriellen Komplex“. Mehr als einmal wurde ich etwas in dieser Art gefragt: „Gestern habe ich mich mit Kollegen über Kopfschmerzen unterhalten. Und heute bekomme ich auf Facebook Werbung für Kopfschmerz-Tabletten. Hört Facebook mein Handy ab?“

Auch wenn das theoretisch und sogar praktisch denkbar wäre — die Realität ist doch eine ganz andere. Facebook hört Eure Gespräche nicht ab, weil es schlichtweg keinen Markt dafür gibt. Zumindest heute noch. Überlegt es Euch: Wo immer wir im Internet unterwegs sind, werden wir mit Werbebannern überschüttet. Und wie viel Prozent davon sind wohl tatsächlich auf Euch angepasst? Wenn ihr Euch wirklich jede einzelne Werbung anseht, werdet ihr merken: Erstaunlich wenig. Und die angepasste Werbung wird Euch meist nach den gröbsten Kategorien angezeigt: Kölner bekommen Werbung für Kölner Fußball-Vereine. Frauen bekommen Werbung für die Bikini-Figur. Männer für den Baumarkt. Braucht es dafür tatsächlich einen daten-industriellen Komplex, der uns quer durch das Internet folgt, und dafür Tausende verschiedener Cookies und Skripte einsetzt?

Katzen würden mit Persil waschen

Ein verbreiteter Sinnspruch ist: Wenn ihr nicht für das Produkt zahlt, seid ihr das Produkt. Die wahren Kunden sind also die Werbetreibenden, die versuchen uns ihre Produkte und Dienstleistungen anzudrehen. Denkt mal nach: Wie oft habt ihr beworbene Produkte gekauft? Haben die Werbekunden Euch wirklich voll im Griff? Werbung wirkt. Wie viele würden wohl Persil kaufen, wenn der Name nicht so allbekannt wäre? Aber von der vollkommenenen Gedankenkontrolle sind die Werber weit entfernt.

Die Wahrheit ist: Es gibt zwei verschiedene Werbemärkte. Auf dem einen Werbemarkt wird versucht uns Konsumenten zu überreden Waschmittel, Limonaden und Autos zu kaufen. Dieser Werbemarkt funktioniert leidlich gut. Wenn Du Leuten 15 Mal vorhälst, was sie bei Amazon oder Zalando angesehen und nicht gekauft haben, wird nach einer Weile einer von hundert Kunden doch schwach. Da Onlinewerbung spottbillig ist, rechnet sich das irgendwann.

Der wichtigere Werbemarkt ist jedoch der andere, auf dem den Herstellern der Waschmittel, Limonaden und Autos überredet werden, Werbung zu kaufen. Und man ist versucht zu sagen: Junge, sind diese Leute naiv…! Zum einen fließen Milliarden ihrer Gelder in die Taschen von Betrügern, die keinerlei Absicht haben die Werbung an tatsächliche lebende, atmende Kunden auszuliefern. Zum anderen schlucken die Markenartikler auch die Versprechen der Werbeanbieter, die ihnen die Früchte der Totalüberwachung der Kundschaft versprechen. Immer wieder höre ich Beschwerden von Werbetreibenden, dass die Facebook-Werbung nicht so gut funktionieren soll. Doch wenn man mit Facebook-Werbung angeblich den US-Präsidenten bestimmen kann — wer will da ernsthaft kein Stück von diesem Kuchen?

Aber ihr könnt die Gegenprobe machen. Schaut Euch mal Eure Werbeprofile bei Facebook, Google, Instagram oder Twitter an. Ich habe dies kürzlich bei Twitter getan und war doch sehr erstaunt, was meine Interessen so sein sollen.

Twitter-Werbeprofil

Ich, der Sport-Fan

Twitter erzählt seinen Werbekunden nicht nur, dass ich Formel 1-Fan bin, sondern hat auch ein sehr differenziertes Bild von mir als Fußball-Fan. Viele der Namen, für die ich mich angeblich interessiere, musste ich googeln und es stellte sich heraus: Es sind Profi-Fußballer. Das klitzekleine Problem dabei: Ich bin kein Sportfan. Ich schau mir nicht mal die Schachweltmeisterschaft an. Natürlich kann ich mich durch das Twitter-Profil wühlen und die wildesten Fehleinschätzungen korrigieren — doch wer macht sich schon den Stress? Es ist für beide Seiten einfacher, wenn Twitter mir fußballbasierte Werbung ausspielt, die ich dann ignoriere. Falls Twitter noch einen Werbekunden findet, der Fidget Spinner loswerden will – ich bin Euer Mann. Was in den Profilen nicht steht: „Würde niemals einen VW kaufen“. Denn wozu sollte man den Werbeetat von Volkswagen künstlich beschränken?

Dieses Werbeprofil ist nicht unbedingt mal das Ergebnis böser Absichten. So funktioniert das Geschäft halt. Denn woher glaubt die Werbeindustrie zu wissen, was mich interessiert? Ein Mittel ist die sogenannte „lookalike audience“. Ihr erinnert Euch vielleicht, das Facebook kürzlich einen Skandal hatte, weil sie die Handydaten von Kunden und insbesondere Teenagern über einen Datenfilter leiteten und haarklein auswerteten. Facebook hat dabei kaum ein Interesse an den Teenagern selbst — sie liefern lediglich ein Datengerüst. Leute, die morgens um 5 Uhr auf Snapchat aktiv sind, mögen Frühstückscerealien der Marke X. Wer Signal installiert hat, ist ein Tech-Freak. Wer Verschwörungstheorien teilt, isst zwei Mal mehr Süßigkeiten und hat keinen Fitbit. All diese Beziehungen werden in Datenmodelle gegossen, die dann darüber entscheiden, welche Werbung Dir ausgespielt werden soll. Ob diese Annahmen stimmen, interessiert nicht wirklich — Hauptsache die magischen Kenngrößen, die KPI, stimmen. Irgendwie.

Die große Schubladisierung

Die Realität heute ist: Es gibt personalisierte Werbung — sicherlich. Das große Geschäft ist aber ein anderes: Statt die Werbung auf uns anzupassen, werden wir in die größtmöglichen Schubladen einsortiert, die der Werbeindustrie den meisten Profit versprechen. Mann über 40. Handy-Nutzer in Köln. Der Dude, der neulich 20 Minuten auf eine Turnschuh-Werbung gestarrt hat. Schwangere Frau. Schwangere Frau! Ernsthaft, die Werbeindustrie fällt in einen kollektiven Zuckerrausch, wenn sie meint, dass Du schwanger bist. Sie tragen Dich auf Händen und treten dich mit Füßen. Denn das ist der auslösende Mythos der personalisierten Werbung: Die Leute mit den großen Datenbanken wissen früher von einer Schwangerschaft als die Familie selbst.

Personalisierte Werbung ist Realität, aber personalisierte Werbung ist als Mythos viel größer. Der Mythos entscheidet, wer im Internet Geld verdient. Ob Podcasts ein Beruf sind oder Hobby bleiben. Ob unsere Timelines Katzenbilder ausspucken oder Nachricht. Die Realität ist aber: Dahinter steckt meist nur eine riesige Sammlung von Schubladen.

ApplePay – Alltagstauglich, doch kein Selbstläufer.

Da grade ApplePay in Deutschland eingeführt wird, schreiben alle über Bezahlen per Handy. Natürlich mit Vorbehalten. So heißt es auf tagesschau.de:

Richtig alltagstauglich ist mobiles Bezahlen aber noch nicht. „Das fängt schon bei den Grundvoraussetzungen an“, kritisiert Maike Strudthoff, Mobile-Payment-Expertin und Autorin für Digitalthemen. „Kunden brauchen das richtige Handy, nämlich NFC-fähig, und müssen die passende Bank haben, die wiederum eine kompatible Zahlungskarte anbietet. Das ist verwirrend und noch nicht unbedingt für die Masse nutzerfreundlich.“

In meinen Augen ist das falsch. Denn wenn die beschriebene Verwirrung erst einmal geklärt ist — fast jeder in der Zielgruppe hat bereits ein NFC-fähiges Handy — ist die Technik sehr alltagstauglich. Denn gerade im Alltag gibt es die Verwirrung nicht mehr: Wir kramen nicht in Handtaschen und Rucksäcken, welches von zehn Handies wir jetzt benutzen sollen. Und wir müssen auch nicht zwischen fünf verschiedenen Girokonten wählen. Einfach das Handy an die bezeichnete Fläche an der Supermarktkasse halten — fertig. In den viel zitierten Bäckerein müssen wir wohl weiterhin bar zahlen – big deal.

Insbesondere die Geschwindigkeit begeistert. Von alten Supermarktkassen bin ich es noch gewohnt, dass man den halben Einkauf einpacken kann, bis denn endlich der Beleg zum Unterschreiben aus der Kasse gezuckelt kommt. Diese Wartepause ist verschwunden.

Ich glaube dennoch, dass diese Zahlungsmethode nicht plötzlich von allen Deutschen adaptiert wird. Aus zwei Gründen:

Zum einen sind mittlerweile auch Kontokarten der verschnarchtesten Sparkassen mit NFC ausgestattet. Der Geschwindigkeitsgewinn ist also kein Alleinstellungsmerkmal des Handyzahlens.

Zum zweiten: Auch wenn Apple seit einem Jahr unentwegt dafür wirbt, dass sie nie, nie, niemals die Daten ihrer Kunden verkaufen (halt nur einen Milliardendeal mit Google, aber Schwamm drüber) – will man wirklich alle Käufe über Silicon Valley und deren Dienstleister abwickeln? Mit dem Hersteller, der buchstäblich den Puls vieler Kunden erfassen kann?

Datenschutz-Basishygiene

Ein neuer Facebook-Hack macht die Runde. Der Clou dabei: Da die unbekannten Angreifer Zugriffs-Tokens erbeutet haben, könnten sie sich prinzipiell bei allen Diensten einloggen, bei denen sich ein Nutzer per Facebook-Login angemeldet hat. Das reicht von Facebook-eigenen Diensten wie Instagram bis zu der Website der Lokalzeitung. Online-Shops, Dating-Apps, Messenger.

In meinem Fall sind das Null Dienste — zumindest wenn ich nicht grob irregeführt wurde. Denn ich habe mir vor vielen Jahren eine Standard-Routine angewöhnt. Wann immer ich einen neuen Dienst ausprobieren will, ignoriere ich die bequemen Buttons „Log in with Facebook“, „Log in with Google“, „Log in with Twitter“.

So viele E-Mail-Adressen

Stattdessen nutze ich das Einloggen per E-Mail-Adresse. Eigentlich jeder Dienst bietet die Option an — manchmal muss man etwas weiterscrollen, um den alternativen Login-Modus zu finden. Meist reicht es aus, eine E-Mail-Adresse und ein Passwort einzugeben — und man ist drin. Oft muss man seinen Account per Linkklick noch bestätigen, aber so viel Arbeit ist das nun auch nicht.

Meine Basis-Hygiene geht jedoch ein wenig weiter. Ich habe ein Webhosting-Paket, das mir erlaubt quasi unbegrenzt E-Mail-Adressen anzulegen. Wann immer ich einen neuen Dienst brauche, kann ich mir in einer bis zwei Minuten eine neue E-Mail-Adresse anlegen, die dann automatisch zu einer meiner anderen Adressen umgeleitet wird. Ich brauche dazu nicht mal ein neues Passwort.

Warum mache ich das? Nun — eine der beliebtesten Angriffsvarianten ist: Man sucht sich eine bereits gehackte Kundendatenbank und versucht dann mit den Zugangsdaten Zugriff auf andere Dienste zu nehmen. Menschen sind faul und sie können sich nicht unbegrenzt Passworte merken. Zudem ist es eine simple Anti-Phishing-Massnahme. Wenn ich die Nachricht bekomme, dass ich doch dringend mein Passwort für Dienst XYZ ändern soll, dann weiß ich direkt, dass die Nachricht an die falsche Adresse ging.

No Match

Zum Zweiten: Neben dem Geburtsdatum dient die E-Mail-Adresse als Match-Kriterium, um Daten zwischen unterschiedlichen Diensten auszutauschen. Wenn ich zum Beispiel etwas bei einem Versandhändler bestelle, kann er meine Adresse nehmen, um mir auf mich personalisierte Werbung bei Facebook auszuspielen.

Gleichzeitig kann aber auch ein Angreifer diese Daten nutzen. Stellt euch vor, dass alle Dienste, die ihr in den vergangen 15 Jahren genutzt habt und die gehackt wurden, Eure Daten in eine kollektive Datenbank zusammengeworfen haben, die unentwegt von 17jährigen durchforstet wird. Ziemlich beunruhigend, nicht?

Wozu denn anders?

Ich bin nicht paranoid. Glaube ich. Ich schreibe seit über 15 Jahren zu IT-Themen und mache mir nicht allzu viele Illusionen darüber, wie sicher meine Daten sind. Die oben beschriebene Routine habe ich mir nicht angewöhnt, weil ich Facebook und Google für die absolut bösesten Konzerne aller Zeiten halte. Sondern weil ich schlicht keinen Sinn daran sah, meine Login-Daten zu kombinieren.

Wenn ich mir ansehe, welche Dinge mir Google empfiehlt, trotz extensiver Daten aus meinem Google-Account – no, thanks. Netflix wird auch nicht besser, wenn man es mit Facebook kombiniert. Weniger Personalisierung ist zuweilen doch mehr. Und will ich wirklich jedem dauernd mitteilen, welche Musik ich höre?

Die oben beschriebenen Maßnahmen sind auch keine Anti-Hack-Garantie. Mit genug Hirnschmalz kann man wahrscheinlich ein enormes Datenprofil über mich zusammenführen. Aber wer macht sich schon die Arbeit?

Der Preis auf meiner Seite ist gering, aber er existiert. Zum einen ist es ein wenig lästig. Statt den neusten Bilder-/Musik-/Messenger-Service direkt auszuprobieren, sitze ich viele Trends einfach aus. Facebook hat mein Geburtsdatum nicht, also gratulieren mir jedes Jahr sehr wenige Leute zum Geburtstag. Ich bin nicht auf Tinder. Ich kann damit leben.

Missverständnisse zu #efail

Heute morgen hat uns die Electronic Frontier Foundation ganz schön erschreckt, als sie plötzlich verkündete, dass man PGP-Plugins deinstallieren solle. Nachdem ich das zugrunde liegende Papier gelesen habe, das aufgrund der übereilten EFF-Veröffentlichung einen Tag früher als geplant online gestellt wurde, kann ich diese Empfehlung nach wie vor nicht nachvollziehen.

Ja, es sind gravierende Sicherheitslücken. Was die Forscher in ihrem Paper beschreiben, ist ein Aushängeschild für den schlechten Zustand der Verschlüsselungslösungen für Endnutzer. Was mir bei der Berichterstattung allerdings etwas übel aufgefallen ist: Einige Kollegen erzählten eine Geschichte, wonach nun plötzlich ein super-sicheres System zum ersten Mal geknackt worden sei.

Der übliche Einwand darauf ist: Die Verschlüsselung wurde nicht geknackt, sondern nur umgangen. Das trifft auch hier zu. Für den Anwender mag das im Ernstfall wenig tröstlich sein. Aber treten wir mal einen Schritt zurück und sehen, worum es wirklich geht. Eine der Voraussetzungen des heute veröffentlichten Angriffs-Szenarios ist es, dass der Angreifer bereits die E-Mails des Opfers erfolgreich abfangen konnte, und nun dringend noch den Schlüssel braucht. Und sich überhaupt nicht drum schert, dass der Angriff morgen einfachst nachvollzogen werden kann.

Auf deutsch: Edward Snowden sollte heute morgen wirklich nicht Thunderbird mit den untersuchten PlugIns verwenden. Was er wohl eh nicht tat. Die meisten(!) anderen Nutzer sollten sich aber eher Gedanken drum machen, dass sie ihre E-Mail- und Verschlüsselungs-Software updaten und die Voreinstellungen überprüfen.

Eine der wichtigen Lektionen von heute ist: Verschlüsselte Daten sind nur so sicher, wie das System, auf dem sie gespeichert sind und verarbeitet werden. Es hat immer hunderte Wege gegeben und es wird immer hunderte Wege geben, an PGP-verschlüsselte E-Mails zu gelangen, wenn denn der Empfänger seine IT-Systeme nicht wirklich unter Kontrolle hat. Man kann versuchen, auf dem Rechner einen Trojaner zu installieren. Man kann Backup-Daten klauen und drauf hoffen, dass der betreffende seine wichtigen E-Mails, Passworte oder Cache-Daten im Klartext abgespeichert hat. Man kann den Bildschirminhalt und Prozessorenaktivitäten über erstaunliche Entfernungen abhören. Oder schlicht drauf warten, dass irgendjemand den falschen Knopf drückt und einen langen E-Mail-Thread im Klartext versendet. Und, und, und… Die Möglichkeiten der Gegenwehr sind vorhanden, aber nicht unerschöpflich. Um IT-Systeme sinnvoll absichern zu können, muss man einschätzen können, wie sehr und von wem man denn bedroht ist.

Die konkretere Lektion ist: E-Mail-Programme sind nicht so sicher, wie wir es gerne hätten oder bis heute angenommen haben. Jeder sicherheitsbewusste Nutzer sollte mittlerweile gehört haben, dass man E-Mails nicht Daten aus dem Internet nachladen lässt. Denn so fängt man sich nicht nur finstere Verschlüsselungsknacker ein, sondern auch Spammer und Möchtegern-Hacker. Nun haben die Forscher einige Wege gefunden, wie E-Mail-Programme ungewollt nach außen kommunizieren. Einige sind nicht ganz so neu — aber dennoch nicht abgeschafft. Andere waren zumindest weniger bekannt und müssen nun ganz gezielt ausgemerzt werden.

Was mich auch etwas nervt, wie wenig Kontext durch die Skandalisierung transportiert werden konnte. Wenn man ganz laut ALARM!!!! schreit, bleibt halt wenig Platz für Erklärungen. Wenn E-Mail-Programme Informationen nach außen leaken lassen, können Angreifer dies nicht nur dazu nutzen, um verschlüsselte E-Mails zu entschlüsseln. Man kann die gleiche Technik verwenden, um jemanden zu enttarnen, der sich hinter einer vermeintlich anonymen E-Mail-Adresse verbirgt. Man schickt dem Betreffenden eine präparierte E-Mail und wenn er sie öffnet, hat man die IP-Adresse und vielleicht noch zwei bis drei andere Datenpunkte, mit dem man ihn identifizieren kann. Das ist gängige Praxis. Selbst abgefeimteste Profis fliegen so auf. Und wenn weder Gesetzeshüter, noch Geheimdienste die Lücke nutzen: Spammer und Abobetrüger greifen sicher gerne zu.

Ein weiterer Kontext, der mir deutlich zu kurz kam: Die in Großunternehmen verwendete Verschlüsselung S/MIME schneidet im Papier wesentlich schlechter ab als die OpenSource-Lösung PGP. Und das ist ein großes Problem. Updates für Thunderbird sind schon veröffentlicht, weitere folgen in Kürze und können von Einzel-Nutzern schnell installiert werden. Ein Update der E-Mail-Software und Verschlüsselungslösungen etwa für 100000 Angestellte weltweit auszurollen, ist jedoch etwas, was nicht ganz so schnell passiert.

Auch Kontext: Die Veröffentlichungsstrategie. Der Hashtag #efail — muss das wirklich sein? Er ist zwar schön griffig, aber er transportiert vor allem Häme. Und das ist einfach #facepalm.

Lange Rede, kurzer Sinn: Ich wünschte, wir könnten etwas abgeklärter, und informativer über solche Probleme reden.

„Datenschutz aus dem 18. Jahrhundert“

Die neue Digital-Staatsministerin Dorothee Bär wird grade wegen ihrer unbestreitbaren Kompetenz mit Vorschuss-Lorbeeren überschüttet. Ich weiß ehrlich gesagt nicht so viel über sie. Aber ich bin eben zufällig über ein Interview mit ihr gestolpert.

Da steht aber – wie so oft – der gute alte deutsche Datenschutz davor. Bär: Richtig! Wir brauchen deshalb endlich eine smarte Datenkultur vor allem für Unternehmen. Tatsächlich existiert in Deutschland aber ein Datenschutz wie im 18. Jahrhundert.

Ich weiß, das ist nicht wörtlich gemeint. „Wie im 18. Jahrhundert soll eigentlich nur heißen: „Das ist gaanz, gaaaaanz veraltet“. Und „wie im 18. Jahrhundert“ klingt halt gebildeter, ministerieller. Und doch…

Und doch wünsche ich mir, dass eine Digitalministerin weiß, dass unser Datenschutz ausdrücklich aus dem 20. Jahrhundert stammt. Aus Gründen. Da gab es zum Beispiel ein Regime, das Großkunde von IBM war und damit das staatliche Großprojekt namens Holocaust organisierte. Und dann gab es noch das andere Regime, dessen minutiöse Aufzeichungen über Millionen Bürger immer noch aus Fetzen zusammengesetzt wird. Daher stammt unser Datenschutz. Und wir sind noch im ersten Viertel des 21. Jahrhunderts — also ist das viel zu früh, das 20. Jahrhundert zu vergessen oder es einfach mit kleinen Witzchen beiseite zu wischen.

(Ich würde mir auch wünschen, dass eine Politikerin der Partei, die ein Heimatministerium durchgesetzt hat, ein wenig Kenntnis deutscher Literatur hat. Im 18. Jahrhundert bestand der Datenschutz darin, dass man Geheimnisse besser gut versteckte und wenn es nicht klappte, musste man halt sein Dorf verlassen oder in einen fernen Krieg ziehen.)

Aber ich weiß, das ist nicht wörtlich gemeint. Genau so wie solche Sätze: „Könnten Daten deutscher Patienten mit weltweiten Datenbanken abgeglichen werden, wäre eine Diagnose oft schneller da, als sie zehn Ärzte stellen können.“ Das ist eine Metapher, denn um zehn Ärzte zu sehen, braucht man mindestens ein Jahr.

Da diese Platitüde aber auch der Slogan des neuen Gesundheitsministers ist, können wir uns schon mal drauf einstellen, dass unsere Gesundheitsdaten tatsächlich um die Welt geschickt werden sollen. Drüben über dem Atlantik wurde grade versucht, die Krankenversicherung für Lehrer in West Virginia an ein modernes Programm namens Go365 zu knüpfen. Wer da Fitness-Ziele nicht erfüllt, keinen Fitbit mit sich führt und auch kein automatisiertes Schlaf-Logbuch anlegt, muss halt für die Krankenkasse etwas mehr bezahlen. Das wurde per Streik zwar grade noch verhindert, aber es war halt auch nur der erste Versuch.

Missverständnisse zu Bitcoins und Geld

Grade ist der Hype um die „Cryptowährung“ Bitcoin besonders hoch. Was mir auffällt: Selbst die größten Fans haben einige sehr vage Vorstellungen, was Bitcoin überhaupt ist. Oder was Geld ist. Damit unterscheiden sie sich freilich nicht von den meisten anderen Leuten.

Gerade das Durchbrechen der 10000-Dollar-Marke wird von vielen als unumstößlicher Erfolg der Währung gesehen. Doch eigentlich ist es das nicht — im Gegenteil. Denn Geld ist nicht aus einem Selbstzweck da. Es dient dazu, dass man handeln kann.

Ganz simpel gesagt: Wer das Gut X braucht und dafür seine Arbeitskraft Y anbieten kann, ist dank Geld nicht darauf angewiesen, dass sein Arbeitgeber das Gut X hat, um es dann bei ihm abzuarbeiten. Der Bauer muss dank Geld keinen Autohändler suchen, der Wirsingköpfe gegen Winterreifen eintauscht. Durch ein funktionierendes Geldsystem ist sichergestellt, dass sich Handel an Handel an Handel reiht, so dass möglichst viele Geschäfte gemacht werden können, die — so zumindest das Ziel der Volkswirtschaftslehre — dazu führen soll, dass möglichst viele Güter verteilt werden können. Wer ein Gut X loswerden will, soll möglichst einen zahlungskräftigen Interessenten finden. Wer eine gewinnbringende Idee hat, soll die Gelegenheit bekommen, an das notwendige Kapital zu gelangen.

Die Pizza-Theorie des Geldes

The Coinspondent verlinkte kürzlich einen lustigen kleinen Twitter-Account: @bitcoin_pizza. Hier wird tagtäglich verzeichnet, wie viel 10000 Bitcoins wert sind. Zu diesem Betrag hatte nämlich im Jahr 2010 jemand Pizza gekauft. Hätte er auf den Kauf verzichtet, besäße er heute — theoretisch — den Gegenwert von über 100 Millionen US-Dollar. Für nur acht Jahre ist das eine erstaunliche Rendite bei einem quasi nicht vorhandenem Risiko. Weder Apple-Aktien, noch Amazon-Seedfunding können da mithalten.

Hier klicken, um den Inhalt von Twitter anzuzeigen.

Wer diese Geschichte hört und selbst Bitcoin besitzt, wird daraus zunächst mal eine Lehre ziehen: Es ist höchst dumm, Bitcoins für den täglichen Bedarf auszugeben. Denn morgen könnte das Geld, das man für schnöden Hunger ausgegeben hat, schon 20 Prozent mehr wert sein. Nächsten Monat: das Dreifache. Vielleicht. Seine normalen Besorgungen erledigt man also mit ganz normalem Geld, die Kryptowährung kommt nur in groben Ausnahmefällen zum Einsatz. Bitcoin ist also prima als Spekulationsobjekt, aber derzeit ein lausiges Geld.

Durch diesen Motivator haben wir auch derzeit keine wirkliche Bitcoin-Ökonomie. Wenn eine Pizzeria ihre Speisen gegen Bitcoin anbietet, muss sie ihre Lieferanten doch weiterhin in Euro bezahlen und auch die Angestellten haben ein Anrecht auf ihr Gehalt in einer Währung, die ihr Vermieter in Rechnung stellt. So kommt der Waren-Geld-Kreislauf nicht wirklich in Schwung. Das Geschäft mit Bitcoin ist daher meist ein Umtausch von Geld zu Geld. Man verdient Bitcoins nicht, man muss sie meist kaufen. Und wer nur Bitcoins einnimmt, muss sie größtenteil wieder verkaufen, um seinen Lebensunterhalt zu bestreiten. Das ist teuer, ineffizient und macht vermeintliche Vorteile der Dezentralität zunichte.

Die hohe Volatilität verhindert auch, dass ein Kreditgeschäft entsteht. Wie viel Prozent Zinsen würdest Du verlangen, um jemandem Bitcoin für ein Jahr zu leihen? 100 Prozent? 300? Das sind keine attraktiven Zinssätze. Stattdessen werden ständig neue Währungen geschaffen, die widerum als Spekulationsobjekte angepriesen werden. Und die meisten Leute, die ihr Geld in ICOs stecken, werden es wohl verlieren. Das vorherrschende Erfolgsmodell derzeit ist: Kaufe früh und finde rechtzeitig vor dem Absturz jemand Dümmeren, der dir die Tokens abkauft. Das mag eine individuelle Erfolgsstrategie sein, insgesamt betrachtet zahlen aber die meisten Leute drauf.

Bitcoin rettet Venezuela nicht

Gestern hatte ich mich in eine kleine Diskussion mit Leuten gestürzt, die tatsächlich der Auffassung waren, dass Bitcoin ein effektives Gegenmittel gegen die Wirtschaftskrise in Venezuela seien. Dies zeigte mir, wie wenig Basis-Zusammenhänge der Ökonomie erkannt werden.

Um die Situation in Venezuela äußerst kurz zu schildern. Hugo Chávez hatte ein sozialistisches Regime geschaffen, das im Wesentlichen darauf beruhte, die gewaltigen Ölgewinne des Landes insbesondere für die Millionen Armen des Landes umzuverteilen. Nun ist Chavez tot, die Ölgewinne großteils verschwunden und das Land in einer so gewaltigen Wirtschaftskrise, dass es selbst für klassische Mittelstandsberufe schwer geworden ist, genügend Nahrung zu erhalten. Ein Symptom für den gewaltigen Niedergang der Wirtschaft ist die Hyperinflation der Landeswährung Bolívar.

In Zeiten von Hyperinflation suchen sich Menschen naturgemäß Ersatzwährungen. Die Regierung in Venezuela hat das jedoch weitgehend verhindert: Der Handel zum Beispiel mit US-Dollar ist streng reglementiert. Die Regierung hat mehrere viel zu niedrige Wechselkurse festgesetzt, die von unterschiedlichen Bevölkerungsteilen in Anspruch genommen werden können. Das ist natürlich eine Einladung für Korruption, für Schwarzmärkte und Kriminelle, die diese künstlichen Wechselkurse ausnutzen und damit Geld verdienen. Der Effekt: Normalbürger kommen nicht an US-Dollar — zumindest nicht in ausreichendem Maße, um ihre Bedürfnisse zu decken. Zudem: Der Dollarstrom kann nicht im Lande bleiben, da viele lebenswichtige Güter nicht mehr im Lande transportiert werden. Und die Importeure können mit dem immer wertloseren Bolívar nicht arbeiten.

Die Realität der Korruption

Natürlich liegt die Idee nahe, dass Bitcoins nun die ideale Lösung sind. So könnte beispielsweise jemand eine große Mining-Operation anwerfen und die Leute mit Bitcoins als Ersatzwährung versorgen. Schließlich weiß doch jeder, dass Energie in Venezuela fast kostenlos ist. Problem daran: Das ist nur die halbe Wahrheit. Zwar werden Energieformen heftig subventioniert, aber auch rationiert. Schon vor anderthalb Jahren hat die Regierung Maduro eine Zwei-Tage-Woche für Staatsdiener eingeführt und dies mit der Energieknappheit begründet. Schon damals sah es so aus, als müsse die Regierung stürzen – wie kann ein Land unter solchen Bedingungen weiter existieren? Die Regierung ist noch im Amt und die Bedingungen sind immer schlimmer geworden. Bitcoin-Farming klappt nicht, wenn man nur stundenweise Strom hat. Und um mit Bitcoins zu bezahlen, braucht man neben Strom auch viele Geräte, die für teure Dollar zu importieren wären.

Um es auf ein Beispiel runterzubrechen, das vielleicht auch Digital-Begeisterte verstehen, die nie Mangel erlebt haben: Wenn genug Leute tatsächlich die kostenlosen Nachladestationen für Elektro-Autos zum Bitcoin-Mining verwenden, werden diese Stationen nicht lange kostenfrei bleiben. Da hilft kein persönlicher Freiheitsdrang – jemand verhält sich asozial, und alle müssen schließlich dafür bezahlen.

Zurück zu Venezuela: Schwarzmarkt-Handel ist nicht unbedingt ein Aufbäumen gegen das Regime. Staatdiener und Militärs verdienen prächtig daran, dass sie wegsehen, wenn sie bei illegalen Geschäften wegsehen oder Güter wie Strom illegal umleiten. Wer meint, dass niemand den Handel mit der dezentralen Währung Bitcoin unterbinden könne, kennt leider — oder: zum Glück — die Realität in autokratischen Regimen nicht. Natürlich lässt sich Schwarzhandel nicht völlig vermeiden. Regierungen können ihn aber verdammt teuer machen. So hat Venezuela sogar die Kontrolle über Bäckereien übernommen. Wer Brot will, muss halt in der offiziellen Währung bezahlen. Oder ein Vielfaches in einer anderen Währung. Und nach Jahren der Misswirtschaft haben nicht mehr allzu viele Menschen die Wahl, ein Vielfaches auszugeben. Und wer es dennoch tut, stützt sogar das System, das den Handel eigentlich verbietet.

Keine Ersatzwährung

Um aus einer Hyperinflation herauszukommen, benötigt man gewöhnlich eine neue Währung. In Deutschland war dies beispielsweise die Rentenmark, in Brasilien der Real. In Venezuela wird es nicht Bitcoin sein.

Zum einen: Das Blockchain-System wäre sofort überlastet, wenn jeder Brotkauf eines Landes in der Blockchain abgelegt werden müsste. Zum zweiten: Als Land, das aus einer Wirtschaftskrise kommt, wäre es eine verdammt unkluge Wahl sich an eine Währung zu hängen, die international als Spekulationsobjekt gesehen wird. Wenn sich der Bitcoin-Kurs mal wieder verdoppelt – was mit einer gewissen Wahrscheinlichkeit passieren wird — müssten sich dann auch die Preise der venezulanischen Exporte wieder verdoppeln oder die Export-Güter in einer endlosen Preisspirale nach unten immer weiter nach unten angepasst werden – das Ausbluten des Landes ginge schlichtweg weiter. Zudem ist es für ein Land, das hoffentlich grade eine Autokratie überwunden hat, eine verdammt schlechte Idee ein Geldsystem einzuführen, das sämtliche Kontenbewegungen für jeden offen ausstellt. Neue Autokraten würden diese Möglichkeit, die Ausgaben der Bevölkerung komplett zu kontrollieren, vermutlich dankbar und ohne Skrupel ausnutzen.

Kurzum: Wer mit Bitcoin Millionen oder vielleicht nur Tausende verdient hat, kann sich freuen. Ein anderes oder gar besseres Währungssystem hat er jedoch noch lange nicht geschaffen.

Über Backdoors

Grade ist ein erbitterter Streit zur Frage ausgebrochen: Gibt es in WhatsApp eine Sicherheitslücke, die es dem Facebook-Tochterunternehmen ermöglicht, Nachrichten mitzulesen?

Ausgelöst hat den Streit ein Artikel des Guardian, der in einem Artikel sehr alarmistisch auf diese vermeintliche „Backdoor“ aufmerksam macht.

Jeder Leser wird bei dieser Überschrift denken, es gehe um einen der Vorfälle, wie wir sie in der jüngsten Vergangenheit immer wieder gesehen haben: Geheimdienste und/oder Verbrecher haben eine Sicherheitslücke entdeckt und können massenhaft auf Botschaften zugreifen. WhatsApp hatte da bekanntermaßen eine unrühmliche Vergangenheit.

Doch im Artikel selbst sind die Vorwürfe deutlich schwächer.

However, WhatsApp has the ability to force the generation of new encryption keys for offline users, unbeknown to the sender and recipient of the messages, and to make the sender re-encrypt messages with new keys and send them again for any messages that have not been marked as delivered. The recipient is not made aware of this change in encryption, while the sender is only notified if they have opted-in to encryption warnings in settings, and only after the messages have been re-sent. This re-encryption and rebroadcasting effectively allows WhatsApp to intercept and read users’ messages.

Versandte Nachrichten nicht betroffen

Sprich: Es geht erstens um eine theoretische Lücke, die nach bisherigen Informationen nicht in der Praxis ausgenutzt wurde. Es geht zweitens nur um das Abfangen nicht-versandter Nachrichten — sind die Nachrichten einmal beim Empfänger eingetroffen, würde WhatsApp auch weiterhin in die Röhre schauen. Und drittens: Der skizzierte Angriff verläuft nicht unbemerkt.

Die vermeintliche Lücke ist auch alles andere als neu. Es handelt sich um ein Verhalten der App, das seit Beginn der End-zu-End-Verschlüsselung bei WhatsApp besteht und seit damals auch öffentlich dokumentiert ist. Ich hatte mich im vergangenen Jahr für die Website mobilsicher.de mit der WhatsApp-Verschlüsselung auseinandergesetzt und wusste daher von dem vermeintlichen Problem. Ich wäre jedoch nie auf die Idee gekommen, dies eine „Backdoor“ zu nennen.

Es gibt nämlich zwei ungleich größere Probleme mit dem Sicherheitsversprechen von WhatsApp. Das erste und wichtigste: Die Software ist closed-source und daher nicht unabhängig überprüfbar. Das zweite: Bei der Ende-zu-Ende-Verschlüsselung hat WhatsApp eine wichtige Warnmeldung in der Voreinstellung deaktiviert. Wenn ein Nutzer seinen privaten Schlüssel ändert, wird der Nutzer nur informiert, wenn er diese Warnmeldung einschaltet.

Verschlüsselung ist unbequem, closed source ist unsicher

Um etwas Kontext zur Bewertung der vermeintlichen Lücke zu geben, muss man sich in Erinnerung rufen, was Ende-zu-Ende-Verschlüsselung überhaupt bedeutet: Beide Seiten der Kommunikation haben private und öffentliche Schlüssel. Die privaten Schlüssel werden auf dem Smartphone erzeugt und bleiben auch dort. Die öffentlichen Schlüssel werden von WhatsApp an die Kommunikationspartner verteilt. Diese Konstruktion ist an sich ziemlich sicher, hat aber auch viele praktische Nachteile. So kann man sich nicht einfach mit einem neuen Handy einloggen und auf alle seine bisherigen Nachrichten zugreifen — dazu muss man schon das alte Nachrichtenarchiv auf dem alten Gerät exportieren und auf dem neuen Gerät importieren. Man kann auch nicht mal eben den gleichen Messenger auf Tablet und Smartphone gleichzeitig benutzen. Um WhatsApp auf dem Desktop zu nutzen, wird der Browser mit dem Handy verbunden, das die Ver- und Entschlüsselung der Nachrichten übernimmt.

Die WhatsApp-Entwickler musste sich auch einem speziellen Problem widmen: Was passiert, wenn ein Kommunikationspartner sein Handy verliert oder es plötzlich defekt ist? Typischerweise dauert die Beschaffung eines Ersatzgeräts einige Zeit. Es gibt nun zwei Alternativen: Entweder werden alle Nachrichten, die an das alte Gerät geschickt werden, für immer unlesbar gemacht. Die zweite Alternative: WhatsApp speichert Nachrichten auf dem Handy des Senders, bis sie tatsächlich vom Empfänger auf seinem neuen Gerät empfangen werden können. Signal entschied sich für die erste Variante, das mehr auf Usability getrimmte WhatsApp jedoch für die zweite Alternative.

Dutzende Angriffs-Möglichkeiten

Nun könnte WhatsApp tatsächlich auf die Idee kommen, den Key eines Gesprächspartners heimlich auszutauschen und so die unversandte Nachrichten an ihn abzufangen. Für jede Nachricht müsste WhatsApp einen neuen Schlüssel ausstellen und damit rechnen, dass dies auf dem Smartphone des Senders angezeigt wird. Wahrscheinlich würde die Kommunikation nach kurzer Zeit zusammenbrechen, da die Kommunikation bei WhatsApp durch eine ganze Reihe Keys abgesichert ist und das resultierende Chaos durch ständigen Austausch das Protokoll überfordern würde. Wenn sich WhatsApp zu einem solchen Schritt entschlösse, wäre diese Methode unnötig kompliziert und bemerkenswert ineffektiv. WhatsApp verwaltet schließlich das Adressbuch seiner Nutzer. So könnte das Gespräch auf einen alten Blackberry umgeleitet werden, dessen WhatsApp-Client noch keine Ende-zu-Ende-Verschlüsselung unterstützt. Natürlich würde auch hier der Alarm ausgelöst, aber das würde die vom Guardian beschriebene Attacke ja auch.

WhatsApp könnte in seine Clients auch eine echte Backdoor einbauen — es ist schließlich Closed Source. Die Facebook-Tochter könnte überhaupt das ganze Adressbuch eines Nutzers durch NSA-Kontakte ersetzen, worauf sich die NSA-Agenten als die echten Gesprächspartner ausgeben. Für staatliche Angreifer gar bieten sich noch mehr Optionen. Von der simplen Malware, die Screenshots von jeder Kommunikation macht, bis zur gefälschten SIM-Karte, die dem Attackierten seine Telefonnummer entzieht.

Kurzum: Man mag das Verhalten von WhatsApp eine „Sicherheitslücke“ nennen, wenn man möchte. Es ist aber die geringste Stufe von Sicherheitslücke, die man sich in der Praxis vorstellen kann. Eine Backdoor ist es nicht.

Wo sind die Ergebnisse?

Liebe Geheimdienste,

ihr wiederholt gebetsmühlenhaft, dass es vollkommene Sicherheit nicht gibt. Doch wenn man sich ein bisschen den Teppich anhebt, sieht man, dass ihr in den letzten Jahren vollkommene Kontrolle angestrebt habt. SIM-Karten, Viren in der Festplatten-Firmware, Industriespionage, Big-Data-Analysen ganzer Bevölkerungen. An der Politik vorbei und erst recht am Bürger vorbei.

Nundenn. Schwamm drüber. Wir können Euch eh nicht zur Verantwortung ziehen. Seien wir praktisch. Nennen wir es ein Experiment. Die ganzen Überwachungsbefugnisse, die ihr immer wieder fordert und nur zu 90 Prozent bekommt, habt Ihr Euch heimlich zu 99 Prozent gesichert. Wir sehen also heute das Ergebnis, wenn jeder Politiker auf der ganzen Welt immer nur „Ja“ zu euch gesagt hätte.

Und was ist das Ergebnis? ISIS taucht aus dem Nichts auf und setzt die lustigen kleinen Gadgets ein, auf die ihr Eure kleinen lustigen Wanzen installiert habt, und lockt Teenager in den Krieg. Knastbrüder — und zwar exakt die Sorte, die ihr so gerne im Auge habt –  marschieren mit automatischen Waffen durch europäische Städte. Flugzeuge verschwinden und irgendjemand in einem Wohnzimmer in Großbritannien wertet Luftbilder aus, um ein wenig mehr Infos zu bekommen als durch die Propagandakanäle dringt. Und 14jährige in Syrien filmen, was wir sonst nie erfahren würden.

Mal ehrlich: Ist das Experiment gelungen? Seid ihr mit den Ergebnissen wirklich so zufrieden? Meint ihr wirklich, ihr habt mehr vorzuweisen als — verzeiht die Metapher — einen Großflughafen ohne Passagiere und Eröffnungsdatum? War es das, ist es das wirklich wert?

Bad Data

Es ist eine von vielen Stories, die heute zum Thema big data verbreitet werden. Spotify weiß, welche Musik läuft, wenn Du Sex hast. Ach was? Leute speichern Playlists unter Titeln wie „Sex“ oder „Love“ ab und schon hat der mächtige Cloud-Anbieter einen Blick in unser Schafzimmer geworfen. Denn wie einst Kästner fomulierte: „Wer zu Bett geht, pflanzt sich auch schon fort!“

Sorry, aber das ist kein big data, das ist big bullshit. Als Spotify-User kann ich versichern: Die Cloud hat keinerlei Ahnung, welche Musik ich mag und was ich dabei mache. Ich muss schon mindestens zehn Titel vorgeben, damit Spotify annehmbare Vorschläge auf die Playlist setzt. Das kann auch ein besoffener 20-jähriger, der nicht weiß, auf welcher Party er grade gelandet ist und plötzlich vor dem iTunes-Computer sitzt. Spiel die Titel, die jeder kennt. Wenn sich jemand beschwert, klick weiter. Unterdessen empfiehlt mir Spotify die tolle Schunkel-Karnevals-Playliste. Go figure.

Schubladendenken und Golden Oldies

Ich will nicht leugnen, dass Facebook, Google und Co eine Menge über mich herausfinden können. Simples Beispiel: Ich hab Facebook nie gesagt, dass ich heterosexuell bin. Trotzdem bekam ich lauter Single-Frauen-Dating-Scams angezeigt. Aber das war auch schon die höchste Annäherung, die Facebook an mein persönliches Interessenprofil geschafft hat. Ich musste über ein halbes Jahr jeden einzelnen Anbieter von Dating-Apps mehrfach als unerwünscht wegklicken, damit das endlich aufhörte.

Nach den ersten drei unerwünschten Anbietern hätte die allwissende Facebook-Cloud erkennen können: Der Torsten mag keine Dating-Apps. Doch warum sollte Facebook das machen? Die Dating-Börsen bezahlen gut, dass ihre Werbung angezeigt wird. Und wenn Facebook vermeintliche Interessenten streicht, dann werben die Börsen halt im Fernsehen.

Heute zeigt mir Facebook im wesentlichen Werbung für Produkte an, die ich mir vorher schon auf Amazon angesehen habe. Und für einen Kabel-Anbieter, der meine Wohngegend nicht bedient. Ab und zu eine Werbung für Autos — und ich werde in den kommenden fünf Jahren keinen Neuwagen kaufen — oder für Eigentumswohnungen in Monschau. Damit verdient Facebook ein paar Euro im Jahr. Die Inserenten haben das Geld jedoch rausgeschmissen.

In guten Daten ist kein Geschäft

Google ist nicht wesentlich mehr an mir interessiert. Bei Google+ werden mir die doofsten Verschwörungstheorien und die schmalzigsten HDR-Fotografien in die Timeline gespült. Einer der erste Kategorien der YouTube-Startseite ist „Erneut ansehen“, die mir Videos empfiehlt, die ich schon angesehen habe. Wiederholungen als Erfolgsmodell, Olden Goldies. Der Rest bezieht sich auf eine simple Titelauswertung. Ich habe ein Video mit Jim Fallon gesehen? Hier sind weitere Video im Fallon.

Das Interesse von Google an meiner Person ist weitgehend erschöpft, wenn mein Werbeprofil ausgefüllt ist. Welcher Altersgruppe gehöre ich an? Welche vermarktbare Themengebiete interessieren mich? Welche Sprache spreche ich und in welcher Metropolregion lebe ich? Genauer wird es nicht. Dabei könnte Google dank GPS genau wissen, wo ich tatsächlich einkaufe. Doch wer sollte Google dafür bezahlen?

Es ist ein Paradoxon: Facebook, Google und Co wollen mich mit Daten möglichst genau erfassen. Doch ihr Geld verdienen sie damit, mich möglichst ungenau zu kennen. Sonst könnte man mir ja nichts verkaufen. Über mein Datenprofil wird ein Weichzeichner gelegt, der mich unkenntlich macht. Ob privat-kommerziell oder staatlich: Die Technik mag big data sein, das Geschäftsmodell ist aber bad data.

Big government

Gerade im staatlichen Bereich ist der Umgang mit big data oft noch schlimmer. Denn hier gibt es nicht einmal die Kontrolle durch den Markt der Werbekunden. Bestes Beispiel sind die berühmten No-Fly-Listen und die Einreisekontrollen an Flughäfen. Eine von vielen Anekdoten kam diese Woche an die Öffentlichkeit: Ein Niederländer wird als Verdächtiger eingestuft und gleich zweifach verhört und durchsucht, weil er sein Einreiseformular aus Jordanien bearbeitet habe. Wahrscheinliche Erklärung: die US-Behörden haben die IP-Adresse falsch zugeordnet.

Was diesen Vorfall von Tausenden ähnlicher Vorfälle unterscheidet: Die Behörden ließen sich in die Karten sehen, was denn der Verdachtsmoment gewesen sein mag. Eine formelle Überprüfung, warum die Grenzschützer daneben lagen, wird es wohl nicht geben. Ein Reisender ist als Risiko eingestuft worden, in der Statistik wird ein Niederländer als potenzieller Terrorist auftauchen, sodass der Austausch von Fluggastdaten unbedingt notwendig erscheint. Der Fahndungs-Fehlschlag war aus statistischer Sicht ein Erfolg.

Wer viele Daten hat, so heißt es oft, hat heute die Macht. Doch mächtiger ist, der die Daten auslegen kann, wie es ihm grade in den Kram passt.

They just won’t stop

Es ist der übliche Weg eines Skandals: Eine Verfehlung wird aufgedeckt, der Betreffende wehrt sich vielleicht für eine Viertelstunde, fühlt sich falsch verstanden, beschuldigt seine Gegner — schließlich muss er aber doch Abbitte leisten und verspricht Besserung. Leute werden entlassen, Verhaltenskodizes aufgestellt, Gesetze geschrieben. Sie bringen vielleicht nichts, aber der Skandal bekommt seine Genugtuung.

Im Falle NSA, GCHQ und BND passiert dies nicht. Niemand wird entlassen, niemand gelobt Besserung, Gesetze werden nicht umgeschrieben. Es bemüht sich nicht einmal jemand wirklich. Zumindest niemand, der tatsächlich die Möglichkeit hat, etwas zu ändern.

Die G-10-Kommission mag es nicht so sehen, aber für mich ist mittlerweile klar: die parlamentarische Kontrolle der Geheimdienste funktioniert nicht. Allein schon aus demokratisch-technokratischer Sicht: Dass sich der NSA dem GCHQ mal eben 100 Millionen Pfund zukommen lässt und die Haushaltspolitiker beider Seiten des Atlantiks merken nichts davon — das ist eine rote Karte. Das Budgetrecht des Parlaments ist eine Keimzelle der Demokratie. In Deutschland wurde der Absolutismus durch die Bürokratie abgeschafft, nicht durch Revolutionen. Dass Parlamente den Königen das Haushaltsrecht entzogen, war das Ende der meisten Könige in Deutschland.

Abseits dieser formal-kalten Argumentation gibt es ein Problem: Wir können dem Skandal keine Gesichter geben außer das des Werkvertrags-Verräters Edward Snowden. Wo sind die Opfer der NSA, der Spionage. Die nach Schnellkochtöpfen googelnden Mittelständlerfamilien sind es schon mal nicht. Khaled al-Masri, der vom CIA entführt wurde? Vielleicht. Aber wer kennt noch al-Masri und will mit ihm zu tun haben? Die Hunderttausenden, die an Flughäfen schikaniert werden, weil sie auf nicht einsehbaren Listen standen? Vielleicht. Aber was ist etwas Unbequemlichkeit am Flughafen, wenn es um Sicherheit geht?

Sicherheit — das ist ein ambivalentes Schlagwort. Die einen meinen damit Anschlagsverhinderung und die Gewissheit, dass der ADAC auch morgen noch seine Schutzbrief-Verpflichtungen erfüllt. Sicherheit heißt für andere, dass der Staat nicht durch ihr Privatleben wühlt. Doch wer das Privatleben wirklich durchwühlt, sind die gar nicht so geheimen Polizeibehörden, wie zum Beispiel der Fall Andrej Holm zeigt. Der NSA observiert nicht, der NSA schickt keine V-Männer, die andere zu Straftaten ermutigen, der NSA dreht der Polizei eine lange Nase. Wie sich Polizisten derzeit vorkommen müssen, denen man die Vorratsdatenspeicherung — aus guten Gründen — versagt hat, kann man sich vorstellen. Wo ist das Verfassungsgericht, wenn es um NSA geht? Nirgends. Wer wird klagen? Und wogegen konkret?

Es läuft doch alles nach Gesetz. Irgendein Gesetz. Irgendwo. Die das Gesetz beschlossen, kennen es vielleicht nicht — egal. Die Dienste haben vielleicht nicht recht, aber sie haben das Recht. Sie müssen sich nicht schämen, müssen nicht Abbitte leisten. Sie müssen sich nicht ändern. Denn niemand zwingt sie.