Wie ein no-spy Siegel funktionieren könnte

Als D64 kürzlich mit der Forderung eines no-spy Siegels für Netzwerk-Hardware an die Öffentlichkeit ging, gab es viel Zustimmung – aber natürlich auch Fragen und Kritik. Auf die alles-quatsch-kann-nie-funktionieren-alles-scheisse Kritik will ich hier nicht eingehen – nur vielleicht dies: Die NSA-Krise ist jetzt fast 2 Jahre alt, und der Schock und die Desillusionierung sitzen tief. Aber ich bin zutiefst davon überzeugt, dass wir etwas tun können – tun müssen – um so langsam wieder in den Aktionsmodus zurückzukehren und unser Netz zurückzuerobern, zumindest soweit es geht und so, dass man wieder leben kann. Und ich glaube, dass es dafür aller Ebenen bedarf – Politik, Technik, Industrie, Zivilgesellschaft, Individuum. Aber einfach nur lamentieren und alles für naiv und blödsinnig halten, was wenigstens versucht gegen den Irrsinn anzugehen, ist keine Option.

Also – es gab ja auch konstruktive Kritik. Die ging vor allem in die Richtung, dass so ein Siegel nicht funktionieren kann. Deshalb möchte ich im Folgenden unsere Überlegungen dazu darlegen, wie es doch gehen könnte. Das ganze ist ein Zwischenstand, aber ausreichend geprüft, um jetzt in die Diskussion gegeben werden zu können.

Vorweg – natürlich glauben wir nicht, die NSA-Spione mit einem Siegel aufhalten zu können. Das wird genausowenig gelingen, wie es mit Verschlüsselung, bilateralen Abkommen und Absichtbekundungen usw. möglich sein wird. Aber wir können ihnen die Arbeit schwer, und den anderen Beteiligten eine Zusammenarbeit so schmerzhaft wie möglich machen. Ausserdem die Aufmerksamkeit für das Thema dauerhaft hoch halten. Schönes Beispiel ist die aktuelle Aufregung um den Netzbetreiber des deutschen Bundestages. Wenn in Ausschreibungen eine no-spy Unbedenklichkeitserklärung (ähnlich wie die Fragebögen zu Scientology z.B.) Standard wäre, hätte Verizon vielleicht trotzdem den Zuschlag erhalten, klar. Aber sowohl der Anbieter als auch die mit der Ausschreibung betrauten Personen hätten ein zusätzliches rechtliches und moralisches Risiko eingegangen, ggf. sogar mit Schadenersatz-Forderungen bewehrt. Und wenn es jetzt zusätzlich noch ein von Thilo Weichert vergebenes Unbedenklichkeits-Siegel gegeben hätte, wäre die Sache noch deutlicher verlaufen – denn ziemlich sicher hätte Verizon Schwierigkeiten gehabt dieses Siegel zu erhalten und andere Netzbetreiber vielleicht nicht.

Also – wie könnte ein no-spy Siegel funktionieren?

Tatsächlich gibt es an verschiedenen Stellen in unserem Wirtschaftsraum ähnliche Mechanismen um die Konformität eines Gutes oder einer Dienstleistung mit bestimmten Standards sicherzustellen – zum Beispiel wenn man ein Auto in die EU einführen und dort absetzen möchte (EWG-Übereinstimmungserklärung). Viele dieser Siegel/Bescheinigungen sind schwach, und manche ihren Namen nicht wert – aber das gilt längst nicht für alle. Zusätzlich gibt es sog. Selbstregulierungsverfahren mit denen ein Industriezweig sich bestimmten Regularien unterwerfen kann um z.B. einer (härteren) gesetzlichen Regelung zu entgehen (deshalb werden diese Verfahren häufig mit dem Gesetzgeber abgestimmt, und von diesem geprüft). Sowohl die EU als auch Deutschland sind in anderen Bereichen sehr wohl in der Lage, Ihre Standards durchzusetzen und bei Nicht-Einhaltung scharf zu reagieren – warum sollte das im Bereich der Netzwerk-Technik nicht möglich sein?

Und so könnte das no-spy Siegel für (Netzwerk-)Hardware funktionieren. Als mit dem Gesetzgeber abgestimmtes Prüfverfahren nach veröffentlichten Kriterien, überwacht und vergeben von unabhängigen, zeritifizierten Dienstleistern und Gutachtern. Beaufsichtigt durch Aufsichtsbehörden, Datenschützer und den Gesetzgeber (der sich z.B. in regelmässigen Anhörungen den Stand von Vertretern der Industrie und der Verbraucherverbände, Bürgerrechtsgruppen etc. vortragen lassen kann). Zusätzlich könnte das Siegel mit den einschlägigen Branchenverbänden abgestimmt und umgesetzt werden, so daß diese ihre Mitglieder auf Konformität einschwören könnten. Das ist übrigens eine der typischen Aufgaben solcher Verbände.

Ein schönes Beispiel für solch ein Verfahren ist die kürzlich europaweit gestartete Selbstregulierung der Online-Werbeindustrie. Im Rahmen dieser Initiative gab es zahlreiche Anhörungen mit den zuständigen Vertretern der EU-Kommission in Brüssel (z.B. hier). Es gab Diskussionen mit Datenschützern (wie z.B. der Artikel29-Gruppe), mit Verbraucherverbänden und mit Technik-Experten. Am Ende einigte sich die gesamte europäische Werbe-Industrie auf verbindliche Regeln für den Einsatz datengesteuerter Werbung, es gibt eine zentrale Opt-Out Seite deren Funktionsfähigkeit regelmässig geprüft wird, ein europaweit standardisiertes Info-Icon mit verbindlichen Inhalten. Und es gibt ein zentrales Beschwerdeverfahren. Die Einhaltung der damit verbundenen Regeln wird regelmässig von zertifizierten Dienstleistern überprüft, und es gibt ein mehrstufiges Mahnverfahren incl. Public-Shaming/Siegel-Entzug um den Forderungen Nachdruck zu verleihen (man kann hier z.B. sehen wie das Public Shaming beim deutschen Werberat funktioniert).

Natürlich ist so ein Verfahren nicht wasserdicht, und Betrug gibt es immer. Aber der Druck sich konform zu verhalten ist enorm (das weiß ich persönlich sehr genau) – zusätzlich gibt es durch den engen Dialog mit den Aufsichtsbehörden und dem Gesetzgeber stets die Drohkulisse einer schärferen gesetzlichen Regelung im Falle eines Scheiterns des Programms.

Ein ähnliches Verfahren könnte für ein no-spy Siegel eingeführt werden – Anbieter solcher Hardware müssten dann in einem Zertifizierungsprozess nachweisen (oder ggf. auch nur deklarieren), dass Ihre Hardware frei von Backdoors oder anderen Spy-Komponenten ist. Dieses würde zusätzlich von unabhängigen Prüfern regelmässig überprüft, die Prüfberichte könnten öffentlich zugänglich sein (ein schönes Beispiel dafür ist das EuroPrise-Datenschutz-Gütesiegel, das u.a. von Thilo Weichert und seinem Team vergeben wird/wurde, Prüfberichte kann man hier einsehen).

Neben der direkten Kontrollfunktion hätte so ein Siegel noch eine weitere Funktion, deren Bedeutung man nicht unterschätzen sollte: Es ginge plötzlich ums Geld, denn schon das Risiko eine Ausschreibung evtl. nicht zu gewinnen, weil man das f**k Siegel nicht hat, kann einiges bewegen. Zusätzlich gäbe es legal-risks, z.B. wenn man die Konformität erklären würde und dabei Falschangaben machte. Wer schonmal in einem grösseren Unternehmen Kontakt mit der Legal-Abteilung hatte, oder gar mit einer Risk-Abteilung und die Konsequenzen von Bedenken solcher Abteilungen in Bilanzen von Unternehmen kennt (Stichwort: Rückstellungen), ahnt, welche Power so ein Siegel im Idealfall entfalten kann.

Also – wir glauben so könnte es funktionieren und werden das Thema entsprechend weitertreiben und mit den entsprechenden Stakeholdern besprechen – auf nationaler aber auch auf EU-Ebene.