"Wenn Sie ein Handy haben, sind Sie doch ohnehin schon überwacht" – Seite 1

Oxblood Ruffin, mit bürgerlichem Namen Laird Brown, ist ein kanadischer Hacker, der als Mitglied des Kollektivs Cult of the Dead Cow in den Achtziger- und Neunzigerjahren Kultstatus in der Szene erreichte. Die Gruppe programmierte unter anderem die Software Back Orifice, mit der man in Firmenrechner eindringen und sie aus der Ferne steuern kann. Später setzte Ruffin sich als Hacker und Gründer der Hacktivismo-Bewegung für freie Rede im Internet ein und begleitete verschiedene internetbasierte Menschenrechtsprojekte von Kanada bis nach Tibet.

ZEIT ONLINE: Sie sind ein Veteran der weltweiten Hackerszene und jetzt machen Sie etwas, das man am wenigsten von Ihnen erwarten würde. Sie arbeiten an der Entwicklung von Corona-Apps, also von Überwachungstools, um die weltweite Pandemie einzudämmen.

Oxblood Ruffin: Na, wir Hacker sind gut in Fragen der Computersicherheit, oder? Man will doch, dass die Privatsphäre der einzelnen Leute gewahrt bleibt und trotzdem für die Gesellschaft etwas Nützliches herumkommt. Wie man so etwas macht, wissen wir in der Hacker- und in der Computersicherheitscommunity besser als andere Leute.

ZEIT ONLINE:  Womit genau beschäftigen Sie sich im Moment?

Ruffin: Ich war zuletzt in verschiedenen Projekten und Unternehmen aktiv. Bei einem ging es um einen Beitrag zu der Art von Corona-App, über die im Augenblick alle reden: die automatische Erfassung von Begegnungen von Menschen, die sich später vielleicht als infiziert herausstellen, sodass alle anderen Leute gewarnt werden können. Im Augenblick arbeite ich aber noch an einem Projekt, das solche Apps weiterdenkt: Welche Funktionen könnten die Leute in einer Corona-App noch nützlich finden? Wie kann man sicherstellen, dass sie auch wichtige Gruppen erreicht wie die Senioren oder die Flüchtlinge? Kann man die App so programmieren, dass sie auch auf sehr alten Handys noch gut läuft? Könnte es eine solche App attraktiver machen, wenn sie zusätzliche Funktionen während des Ausbruchs von Epidemien bekäme – etwa einen Klopapier-Finder? In Deutschland wäre das doch in den vergangenen Wochen der Hit gewesen: Die App teilt Ihnen mit, wenn im Supermarkt an der Ecke wieder das Dreilagige angeliefert wird.

ZEIT ONLINE: Sind Hacker nicht eigentlich die Leute, die ungebeten in anderer Leute Computersysteme eindringen? Ihr Kollektiv Cult of the Dead Cow wurde besonders bekannt durch das Programm Back Orifice, das seinerzeit ein unerlaubtes Eindringen in Microsoft-Windows-Computer in großen Konzernen ermöglichte.

Ruffin: Das wird so häufig missverstanden! Wir haben damals ja auch ein öffentliches Interesse bedient. Wir wollten zeigen, dass Microsoft kein gutes Sicherheitsmodell hatte. Die haben darüber tatsächlich eine Menge Geld verloren, und die haben sich nicht gerade bei uns bedankt, aber die ganze Aktion führte bald zu wesentlich sichereren Betriebssystemen von Microsoft. Und die gleiche Gruppe, die damals hinter dem Back Orifice stand, hat später eine Menge Projekte in Richtung Hacktivismus und ethischer Technikentwicklung angestoßen, Menschenrechtsgruppen in vielen Ländern mit einem besseren technischen Verständnis ausgestattet und so weiter.

ZEIT ONLINE: Und jetzt engagieren Sie sich für einen potenziellen Überwachungs-Albtraum: die sogenannte disease surveillance. Die Leute sollen ein Programm auf ihre Handys laden, das dabei hilft, den Ausbruch der Corona-Epidemie genauer zu verfolgen.

Ruffin: Der Begriff disease surveillance ist wirklich sehr unglücklich gewählt. Aber so geht das nun mal. Man dämmt eine Epidemie ein, indem man sehr genau die Träger der Krankheit, die Ansteckungssituationen und die entsprechenden Orte identifiziert. Das muss man tun und zugleich möglichst die Privatsphäre der Einzelnen wahren.

"Die Leute müssen dem Programm vertrauen"

ZEIT ONLINE: Kürzlich hat die Bundesregierung eingelenkt und der sogenannten dezentralen Lösung zugestimmt, bei der die Daten über Begegnungen zwischen den Menschen gar nicht mehr irgendwo zentral gespeichert werden. Ist das schon ausreichend, um die Privatsphäre der Leute zu schützen?

Ruffin: Es wird immer möglich sein, aus bestimmten Daten auch wieder auf einzelne Personen zu schließen. Die Probleme sind besonders groß, wenn viele erhobene Daten auf einen zentralen Computerserver geladen werden, wo sie unter Umständen sogar noch mit anderen Datensätzen abgeglichen werden können. Insofern ist die dezentrale Lösung schon mal besser, aber lückenlose Systeme gibt es nicht. Doch ehrlich gesagt: Wenn Sie ein Handy haben, sind Sie doch ohnehin schon überwacht, mitsamt Ihren Bewegungsdaten und Begegnungen mit anderen Handybesitzern. Handys sind Überwachungsmaschinen. Die Polizei oder die National Security Agency (NSA) kann zum Handybetreiber gehen und wird diese Informationen bekommen, sofern sie sich aus der Politik und von den Gerichten die entsprechenden Genehmigungen besorgen. Ich sehe nicht ganz, wie eine solche Corona-App da noch einen Unterschied macht.

ZEIT ONLINE: In einigen weniger freiheitlich verfassten Staaten läuft das ja schon so. Die programmieren gar nicht erst eine App, sondern versuchen die Ausbreitung des Virus und die Ansammlung von Menschenmengen über diese Metadaten zu ermitteln.

Ruffin: Und eine berechtigte Sorge ist, dass das auch in freiheitlichen Gesellschaften gesellschaftsfähiger wird, das stimmt. In einer Krise wächst die Zustimmung zu den Politikern. Das sehen Sie in Deutschland ja gerade bei Angela Merkel und nach den Terroranschlägen vom 11. September 2001 sahen Sie es in den USA bei den Zustimmungswerten von George W. Bush. Die Leute stimmen dann auch allen möglichen, angeblich notwendigen Veränderungen zu. Und die Politiker haben oft Sicherheitsbehörden im Nacken, die schon lange von einem Ausbau des Überwachungsstaats geträumt haben. In der Krise wittern sie ihre Chance, solche Vorstellungen umzusetzen.

ZEIT ONLINE: Aber bei der Entwicklung dieser Corona-Apps sehen Sie diese Gefahr nicht?

Ruffin: Diese Apps werden im Augenblick ja sehr stark im öffentlichen Raum entwickelt, von akademischen Instituten, gemeinnützigen Organisationen und privaten Unternehmen. Das gefällt mir ganz gut. Es funktioniert besser als eine rein staatliche Entwicklung, schon weil es weniger bürokratisch und letztlich auch offener zugeht.

ZEIT ONLINE: Wieso würde man privaten Unternehmen da vertrauen? Private Entwickler haben in den vergangenen Jahren doch das Internet in eine gigantische Überwachungsmaschine verwandelt, die Googles, Facebooks und Twitters dieser Welt haben eine Art Überwachungskapitalismus geschaffen.

Ruffin: Ja, das stimmt, aber hier ist die Situation ja anders. Ich kenne niemanden in der Szene dieser Entwickler, der zum Geldverdienen mitmacht. Es gibt solche unethischen Leute, die an der Krise Geld verdienen wollen, aber ich glaube, nicht im Umfeld dieser Entwicklung. Der Programmcode für die App soll sogar veröffentlicht werden, sodass man sich vergewissern kann, dass da keine Daten an den Staat, an eine Werbeplattform oder an einen Konzern abfließen. Alle Daten, die letztlich etwas mit Gesundheit zu tun haben, sind natürlich sehr sensibel. Und die Leute müssen dem Programm vertrauen, sonst installieren sie es nicht. Die Installation soll ja freiwillig sein.

ZEIT ONLINE: Sie sprechen vom Open-Source-Prinzip, aber werden ausgerechnet die datenschutzbesorgten Deutschen einer solchen App vertrauen, bloß weil sie theoretisch den riesig langen Programmcode irgendwo im Internet einsehen könnten? So viele programmierkundige Menschen gibt es ja nun nicht, aber damit die App gut läuft, müssten etwa 60 Prozent der Bevölkerung sie installieren.

Ruffin: Je transparenter der Prozess ist, desto besser. Es wäre auch sicher gut, wenn Experten von Gruppen wie dem Chaos Computer Club eine Chance bekämen, den Programmcode zu testen, und dann zu sagen: "Wir haben alles untersucht und für okay befunden. Natürlich haben wir ein paar Bedenken hier und da, aber bis jetzt sieht es überwiegend gut aus."

"Eine erste Antwort auf ein neues Problem"

ZEIT ONLINE: Außerdem müssen die Leute noch davon überzeugt werden, dass die App überhaupt funktioniert, damit sie sie installieren und dauerhaft nutzen.

Ruffin: Naja, diese Apps sind keine perfekte Lösung, sondern eine erste Antwort auf ein neues Problem. Wir müssen schauen, wie gut das alles funktioniert. Die Technologie muss weiterentwickelt werden. Dazu gehört zwingend, das nötige Vertrauen in Sachen Privatsphäre aufzubauen. Aber das ist es nicht allein. Die Entwickler müssen sich auch intensiv mit den Gesundheitsdienstleistern austauschen und sehen, welche Daten und welche Datenaufbereitung dort am nützlichsten wird. Später müssen wir an den Punkt kommen, wo solche Apps auch nach der Corona-Krise weiterhin installiert bleiben.

ZEIT ONLINE: Nach der Krise? Warum?

Ruffin: Das wird ja nicht die letzte Epidemie gewesen sein. Hier in Europa ist uns das vielleicht noch nicht ganz klar, aber wenn Sie davon in Südasien mit den Leuten reden – die verstehen sofort, was Sie meinen. Dort haben sie laufend irgendwelche Ausbrüche von Krankheiten, die sich schnell verbreiten.

ZEIT ONLINE: Wenn wir uns daran gewöhnen, dass unsere Bewegungsdaten und unsere Begegnungen laufend von solchen Apps erfasst werden, rennen wir da nicht auf dystopische Zustände zu?

Ruffin: Das ist alles denkbar. Man muss ja nur mal in die Länder schauen, wo eine technische Kultur ohne liberale demokratische Werte entwickelt wird, etwa in China. Das ist alles irre dort! Haben Sie das Video auf YouTube gesehen, wo eine alte Dame auf der Straße von einer Drohne wieder nach Hause geschickt wurde? Mit den neuen Techniken, Überwachungskameras überall, Gesichtserkennung, 5G-Netzen mit Abermillionen neuer vernetzter Sensoren überall wird das noch schlimmer werden. Also ja: Missbrauchsgefahren gibt es immer, man muss aufpassen damit.

ZEIT ONLINE: Mit den Missbrauchsgefahren durch Staaten.

Ruffin: Nicht nur das, es wird auch private Akteure geben, die Betrug oder Erpressung auf der Basis solcher Daten betreiben. Wir sind jetzt im Krieg gegen eine Pandemie, und jeder Krieg bringt seine Profiteure hervor, oder? Und ja, natürlich sind neue Arten staatlichen Missbrauchs durch solche Apps denkbar, Überwachung und Kontrolle. Wenn Sie als Regierung mal nicht wollen, dass Leute sich einem bestimmten Ort nähern, oder dass sie sich überhaupt in großen Mengen versammeln, dann machen Sie über die Apps eben klar: Achtung, da besteht ein hohes Infektionsrisiko!

ZEIT ONLINE: Klingt schon dystopisch genug.

Ruffin: Schlimme Dinge sind vorstellbar, aber deswegen müssen sie noch lange nicht passieren. Vielleicht kommen wir aus der Sache nicht nur infektionsfreier heraus, sondern auch mit einem geschärften Sinn für freiheitliche Bürgerrechte. Schon weil wir jetzt solche erregten Debatten über die Corona-App führen.