"Paris Call": Über den Mythos vom bösen Hacker

Schwachstellen sind mythische Kreaturen. Es sind Fehler in Soft- oder Hardware, die von – guten wie bösen – Hackern genutzt werden können, um in die damit betriebenen Systeme einzudringen. Allerdings weiß niemand genau, wie viele es davon gibt, wo oder warum, und was alles mit ihnen getan werden kann. Im Dunkel dieses Unwissens werden Mythen gesponnen, die verschiedenen Interessen dienen.

Ein besonders hartnäckiger Mythos hat jüngst einen prominenten Leadsänger rekrutiert. Der „Paris Call for Trust and Security in Cyberspace“ fordert von Strafverfolgern, Nachrichtendiensten und Militärs, dass sie Schwachstellen aufdecken und beheben, anstatt sie zu Kriminalitätsbekämpfung, Spionage und Abschreckung zu nutzen. Der Paris Call wird von dem französischen Staatspräsidenten Emmanuel Macron persönlich getragen, der dazu gehörige Mythos aber hat einen problematischen Ursprung.

Der Schwachstellen-Mythos kann die Freiheit gefährden

Er wird seit Jahren mit mehrstelligen Millionenbeträgen in Stiftungen, Konferenzen und andere Lobbyveranstaltungen vom Silicon Valley genährt. Und von dort wurde auch der „Paris Call“ lanciert. Ein Microsoft-Cheflobbyist aus Brüssel hatte noch kurz vor dem Call bei einem Dinner damit geprahlt, Macron auf seine ideologische Payroll bekommen zu haben. Das Interesse des Valleys ist aber weder Frieden noch Freiheit, es gilt dem eigenen Geld. Cyberangriffe sind schlecht fürs Geschäft. Wo die IT angegriffen werden kann, da wird weniger IT verkauft, da wird skeptischer mit den Heilsvisionen des Valley umgegangen. Und da die IT-Großkonzerne das Schwachstellenproblem technisch nicht in den Griff bekommen, wollen sie einen „Bann“ für deren Nutzung erwirken.

Allerdings kann und muss nachdrücklich hinterfragt werden, ob dieser Schwachstellen-Mythos Sicherheit, Freiheit und Frieden wirklich erhöhen kann – oder diese nicht eher gefährdet. Zuerst etwa lässt sich rein technisch festhalten, dass das Melden von Schwachstellen bislang in keiner Weise die technische Gesamtsicherheit der IT erhöht hat. Die Preise für Angriffe im Graumarkt sind sicher gestiegen, aber selbst bei besten Bemühungen ist davon auszugehen, dass pro normalem IT-System einige zigtausend Schwachstellen bestehen bleiben.

Und die bösen Hacker werden selbstredend immer einige finden und nutzen können, auch wenn es vielleicht länger dauert. Der Verzicht der guten Hacker darauf, Schwachstellen zu nutzen, führt also in keiner Weise dazu, dass die bösen Hacker das auch so halten. Zweitens muss Sicherheit dringend breiter als nur technisch gedacht werden. Wenn die exekutiven Organe der rechtsstaatlichen, freiheitlichen Demokratien hacken dürften, selbstredend unter klaren Regeln, könnten sie Rechtsstaat, Freiheit und Demokratie deutlich besser schützen.

Die mögliche Steigerung der Fähigkeiten von Strafverfolgung, nachrichtendienstlicher Aufklärung und die Erweiterung vor allem nicht-letaler, stärker völkerrechtskonformer militärischer Mittel durch offensive Cybermaßnahmen ist erheblich. Zugleich wäre die Beschränkung solcher Fähigkeiten eine einseitige Maßnahme, die zu stark asymmetrischen Nachteilen gegenüber cybertechnisch aktiveren Staaten oder autoritären Regimen führen würde. Wenig überraschend haben weder die USA, noch Russland oder China sich dem Paris Call angeschlossen. Würde Europa sich einschränken, der Rest der Welt allerdings nicht, wären wir sicherheitspolitisch, diplomatisch aber auch technisch stark beeinträchtigt und blind – und würden immer mehr zum Spielball fremder Mächte.

Die breite Unterstützung des aus der IT-Lobby lancierten Paris Call bezeugt – wieder einmal – das reduzierte Verständnis der Politk fürs Digitale. Die deutsche Politik wäre gut beraten, dem Paris Call und ähnlichen Initiativen skeptischer gegenüberzutreten und die technischen und strategischen Dimensionen gründlicher zu bedenken. Ein Fehltritt, wie gut gemeint auch immer, kann schnell gravierende strategische Nachteile nach sich ziehen und die im Digitalen ohnehin deutlich mächtigeren Verbrechersyndikate oder autoritären Regime noch mächtiger machen.

Sandro Gaycken ist Direktor des Digital Society Institute an der European School of Management and Technology (ESMT) Berlin.

Sandro Gaycken