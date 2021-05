Die Aufregung um Facebook, die vor drei Jahren zu einem Einbrechen des Aktienkurses um 60 Milliarden US-Dollar führte und das Management um Gründer Mark Zuckerberg in Panik versetzte, ist in mehrfacher Hinsicht interessant. Nicht nur, weil vieles, was damals hochkochte, im Wesentlichen seit Jahren bekannt war. Die Geschichte ist vielschichtig.

Neben Quasi-Geheimdiensten – die Mutter der im Zentrum des Skandals stehenden britischen Agentur Cambridge Analytica, SCL, hat ihr Handwerkszeug der psychologischen Kriegsführung in Pakistan und Afghanistan entwickelt – und kunterbunten Whistleblowern (Christopher Wylie) waren ultrarechte Strippenzieher (Steve Bannon), vorgebliche Wissenschaftler (Aleksandr Kogan) und, man möchte fast sagen: wie immer, angebliche Kreml-Verbindungen am Plot beteiligt.

Kolumne: Patch me if you can Er hat eine Schwachstelle für Risiken und über Cyber schreiben: Im Hauptberuf Sicherheitsforscher bei der HiSolutions AG, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Vorfälle und allgemeingültige Wahrheiten der Informationssicherheit aus. Neben neuen erscheinen hier auch bereits in der iX abgedruckte Artikel – stets mit einem augenzwinkernden Update zur aktuellen Lage der Security.

ISO Guidelines for Cybersecurity

Sparen wir uns für den Moment alle politische Spekulation und versuchen wir, das damals Vorgefallene nüchtern mit dem Handwerkszeug der Security zu analysieren. Dafür nützlich sein kann die ISO 27032. Der sonst ziemlich überflüssige Standard mit dem Titel „Guidelines for Cybersecurity“ enthält ein Bild, das die relevantesten Begriffe, Konzepte und Denkfiguren der IT-Sicherheit sehr anschaulich darstellt:

Die Abbildung aus ISO 27032 veranschaulicht die wichtigsten Kategorien und Beziehungsgeflechte der IT-Sicherheit – nützlich auch für die Analyse von Datenskandalen.

Das damalige Facebook-Fiasko lässt sich mit diesem methodischen Hintergrund wie folgt durchdeklinieren: Stakeholder sind bei jedem Wirtschaftsunternehmen – denn ein solches ist Facebook zweifelsohne – mindestens Eigentümer und Kunden. Also Zuckerberg samt seiner„VCs“ (Wagniskapitalgeber) und wir alle? Nicht ganz. Da Facebook-Nutzung im Wesentlichen kostenlos ist, sind Nutzer (bei Facebook „Mitglieder der Community“ genannt) keine Kunden!

Die Businessweisheit „Wenn du nicht für das Produkt bezahlst, bist du selbst das Produkt“ trifft hier in besonderem Maße zu (wie Facebook alle Nutzer analysiert, zeigt ein Artikel auf Gizmodo). Die entscheidenden Stakeholder sind daher neben Zuck & Friends vor allem die wahren Kunden, also die Werbetreibenden, sowie unter „ferner liefen“ „Dritte“ wie die Nutzer (als Datenquelle und steuerbare Konsumentenherde) und möglicherweise weitere Stellen wie Regulierer, siehe unten.

Kollidierende Interessen

Welche Werte (Assets) gilt es zu schützen? Für die Eigentümer ist das klar der Börsenkurs, für die Werbenden ihr ROI (Return on Investment). Für die Nutzer stehen mehrere Werte auf dem Spiel: vor allem Teilhabe am sozialen (Online-)Leben und informationelle Selbstbestimmung.

Neben den üblichen potenziellen Angreifern (alle Arten von Cyberkriminellen) sind längst weitere Schattenwelten sichtbar geworden, die politisch Einfluss nehmen wollen und dafür nicht zimperlich in der Wahl ihrer Mittel sind. Außer SCL hatten Hunderte weitere mehr oder weniger zwielichtige Firmen große Datenmengen aus Facebook abziehen können.

Neben die abstrakte Bedrohung „Datenschutzproblem“, die überall vorkommt, wo personenbeziehbare Informationen verarbeitet werden, ist also eine neue getreten: die der massenhaften, gezielten, schwer zu bemerkenden Manipulation von Meinungen. Bei Facebook und Co. stellt sich die Frage, ob dies eigentlich Bug oder Feature ist, soll die ganze Sache doch im Fall der Werbung auf ökonomischer Ebene genau so funktionieren.

Wie alle großen Tech-Player investiert auch Facebook seit Jahren kräftig in Sicherheitsmaßnahmen. So sind angeblich bis zu 20.000 Mitarbeiter allein mit „Security“ (in all ihren diversen Aspekten) beschäftigt. Damit schienen viele klassische Probleme ganz gut im Griff, modulo des üblichen Katz-und-Maus-Spiels mit den Angreifern – Facebook war bis vor wenigen Jahren kaum mit großen „Breaches“ in den Schlagzeilen gewesen. Das neue Problem der tief greifenden Persönlichkeitsanalyse und Wahlbeeinflussung ist jedoch ein ganz anderes und noch lange nicht gelöst.

Paarungszeit für Datenkraken

Nun droht die nächste Eskalation des Themas „unkontrollierbare Datenkrake“: Facebook ist entgegen früherer Beteuerungen dabei, die Datenschätze des sozialen Netzwerks und der Tochter WhatsApp zu vereinen, um die Auswertungsmöglichkeiten (und den Börsenwert) noch einmal deutlich zu pushen. Zwar wurde dies, jedenfalls für die fast 60 Millionen Nutzer:innen in Deutschland, von den hiesigen Datenschutzbehörden noch einmal gestoppt – und zwar mit explizitem Hinweis auf die Gefahr politischer Manipulation. Doch nun liegt die Entscheidung auf EU-Ebene.

Wir müssen uns entscheiden, wie ernst wir es mit der Verteidigung demokratischer Verfahren und Werte meinen – auch wenn wir dadurch „coole“ und „nützliche“ Tools und Spielereien verlieren.

Das Risiko bestimmt sich bekanntermaßen als Produkt von möglicher Schadenshöhe im Worst Case und Eintrittswahrscheinlichkeit. Dass in der Zukunft systematische Versuche der Manipulation politischer Entscheidungsprozesse die Regel sein werden, darf man getrost annehmen. Die Schadenshöhe hingegen ist schwer zu beziffern. Hat SCL für Trump oder AggregateIQ für den Brexit den entscheidenden Ausschlag gegeben? Sicher ist, dass das Vertrauen in unsere demokratischen Prozesse allein von geschickten Manipulationsversuchen gestört wird. Und dass Facebook es mit seinem Targeting für Angreifer günstig macht, die maßgeblichen Individuen mit den optimal perfiden Fehlinformationen zu bombardieren.

Gefährliche Naivität

Dies wird nicht mit ein paar mehr Security-Maßnahmen zu lösen sein. Denn die eigentlichen Schwachstellen in dem Skandal liegen auf einer anderen Ebene: unverdientes Vertrauen der Facebook-Manager in ihre Partner, Naivität gegenüber „wissenschaftlichen“ Methoden und Akteuren sowie unser aller Unbedarftheit gegenüber den Gefahren von Data Analytics.

Etwas mehr Selbstregulierung wird nicht ausreichen, Pandoras Büchse wieder zu schließen. Die Medien gehören zu Recht zu den kritischen Infrastrukturen und sind geeignet zu schützen, weil Angriffe auf sie das Zusammenleben gefährlich stören können. Facebook und Co. sollten daran gemessen und entsprechend behandelt werden. (ur)