Kontrolle über eigene Daten zurückgewinnen

Zuerst veröffentlicht in den Lokalinfo-Zeitungen vom 27. August 2020.

Was es für Geld schon lange gibt, will ETH-Professor Ernst Hafen für persönliche Daten schaffen: eine Bank mit Genossenschaftsmodell als Gegenpol zu den etablierten Internetgiganten.

Noch vor 20 Jahren hätte kaum jemand einem Unternehmen freiwillig mitgeteilt, wie häufig und welche Strecke er oder sie kürzlich gejoggt sei. Heute gibt es dafür Smartphone-Apps, Smartwatches oder Fitnesstracker. Und die persönlichen Fitness-, Gesundheits- oder Ernährungsdaten sind bei Unternehmen oder Krankenkassen heiss begehrt.

Doch Gesundheitsapps und andere haben alle etwas gemeinsam: Egal, wie strikt die Datenschutzerklärungen sind und welche Einstellungen jeder individuell vornehmen kann, die Daten liegen in den Händen von Unternehmen. Nutzerinnen und Nutzer müssen ihnen entweder vertrauen oder auf die Nutzung solcher Angebote komplett verzichten. Letzteres würden wohl viele Privatsphäre-Experten empfehlen.

Forschung soll profitieren

Einen anderen Weg geht Ernst Hafen. Der Professor am ETH-Institut für molekulare Systembiologie will, dass die Bevölkerung die Kontrolle über ihre Gesundheitsdaten behält. Denn für ihn ist klar: Daten entfalten ihr wahres Potenzial erst, wenn sie zusammengeführt werden. Weder Google, Apple, Facebook noch eine Ärztin verfügt über alle Daten, also das Gesamtbild einer Person. Alle haben nur ein Stück vom Kuchen.

«Nur die Bürgerinnen und Bürger selbst können alle Daten zusammenbringen», sagt Hafen. «Aber nicht Internetkonzerne sollen von dieser Zusammenführung profitieren, sondern die Gemeinschaft», so der Biologe. Für Unternehmen sind Daten wie bares Geld. Sie werden gesammelt, ausgewertet, verkauft und für personalisierte Werbung verwendet.

Wer heute eine Studie mit 3000 Teilnehmenden braucht, der muss viel Zeit und Geld investieren. Sind die Daten schon vorhanden, wird laut Hafen beispielsweise die Entwicklung von Medikamenten günstiger, oder es werden Forschungen ermöglicht, die sonst finanziell unattraktiv sind. Der 64-Jährige hat deshalb 2015 mit Gleichgesinnten die Non-Profit-Genossenschaft Midata gegründet. Midata funktioniert wie eine Bank für Daten. Erdacht hat die Technik dahinter Hafens damaliger ETH-Kollege Donald Kossmann, der heute in den USA die Forschungsabteilung von Microsoft leitet. Entwickelt wurde sie zusammen mit der Berner Fachhochschule.

Auf der Internetplattform von Midata kann man seine Daten hochladen. Die Genossenschaft übernimmt die Verwaltung und sucht Partner, welche die Daten nutzen möchten. Firmen sollen für die Nutzung bezahlen. Die Entscheidung, ob Daten genutzt werden dürfen, liegt immer bei den einzelnen Mitgliedern. Sie bleiben Besitzer ihrer Daten. Die Einnahmen werden für die Weiterentwicklung der Midata-Plattform und für Projekte genutzt, beispielsweise in der Forschung, die der Gemeinschaft etwas bringen sollen.

«Ich will Google nichts wegnehmen, aber ich will eine Kopie meiner Daten herunterladen können.»

Ernst Hafen, ETH-Professor

App für Corona-Symptome lanciert
Um die Leute zum Mitmachen zu motivieren, hat Midata verschiedene Projekte lanciert. Eines ist topaktuell und heisst «Corona Science». Bürgerinnen und Bürgern können mit der App ihren Gesundheitszustand und auftretende Symptome einer Covid-19-Erkrankung aufzeichnen. Die gewonnenen Daten werden anonym und allen Interessierten zur Verfügung gestellt. Ein anderes Projekt ist an Pollenallergikerinnen und -allergiker gerichtet. Die Daten werden vom Universitätsspital Zürich verwendet. Mit der Teilnahme an einem der Projekte eröffnen die Nutzenden ein Konto bei Midata. Sie sind damit nicht automatisch Mitglied der Genossenschaft. Ein Genossenschaftsschein kostet 40 Franken. Geld verdienen können Mitglieder nicht: «Wir wollen keine finanziellen Anreize zum Teilen von Daten», sagt Hafen. Wer Geld für seine Daten erhalte, habe einen Anreiz, diese so zu manipulieren, dass sie möglichst wertvoll würden. Das wolle man verhindern.

Schweiz muss Gesetz anpassen
Midata hat aber ein Problem: die Nutzerfreundlichkeit. Bei den Apps muss man seine Symptome selbstständig eingeben, das braucht Disziplin. Wer alle seine Daten in der Datenbank zusammenführen will, muss dies von Hand tun. «Ideal wäre deshalb, wenn es in jeder Software eine Einstellungsmöglichkeit gäbe, die die gesammelten Daten automatisch in die Datenbank legt», sagt Hafen.

Eine Voraussetzung: Alle, die personenbezogene Daten sammeln, egal ob Supermarkt, Internetkonzern oder Spital, sollen diese auf einfache Art und Weise zur Verfügung stellen. «Ich will Google nichts wegnehmen, aber ich will eine Kopie meiner Daten herunterladen können», erklärt Hafen. Dafür braucht es aber eine gesetzliche Grundlage, das Recht auf Kopie, wie es die Datenschutzgrundverordnung der Europäischen Union vorsieht. Die Schweiz ist noch nicht so weit. Die Revision des veralteten Datenschutzgesetzes steckt im Parlament fest.

Midata muss Vertrauen aufbauen

Eine grosse Frage ist die Sicherheit: Gerade für Betrüger ist eine zentrale gespeicherte Datensammlung interessant. Privatsphäre-Aktivisten raten generell dazu, dafür zu sorgen, dass möglichst keine persönlichen Daten ins Internet gelangen. Das würde aber dem Prinzip der Midata-Genossenschaft widersprechen. «Wichtig sind das Vertrauen und die Reputation der Datenbank», sagt Hafen. Midata investiere in die Sicherheit. «Und wir lassen unser System von Profis prüfen», fügt Hafen an. Auch er habe seine Gesundheitsdaten auf Midata gespeichert. Für ihn sei es dasselbe, wie wenn man sein Geld unter der Matratze verstecke, anstatt es auf die Bank zu bringen. Denkbar wäre, dass in Zukunft etablierte Finanzinstitute wie die UBS oder die Zürcher Kantonalbank ähnliche Dienstleistungen anbieten. Dann könnte man seine Daten über den E-Banking-Zugang verwalten.

«Wir müssen die Leute stärker vom Nutzen überzeugen», sagt Hafen. Die Genossenschaft Midata hat rund 200 Mitglieder. Die Apps wurden über 10 000-mal heruntergeladen. Um aufzuzeigen, wie Midata-Daten für Firmen und Forschung interessant sind, will sich Hafen auf entsprechende Projekte konzentrieren. Darum ist er im Mai als Genossenschaftspräsident zurückgetreten. Wer sein Amt übernimmt, ist offen.

Informationen: www.midata.coop

Cyber attacks can pose a critical threat to hospitals

Foto: Pascal Wiederkehr

Hospitals in Canton Zurich are often the target of cyber attacks. Experts and politicians are therefore concerned about security and patient data. By Pascal Wiederkehr. Translation by Ruth Turin.

During the coronavirus pandemic, hospitals are taking special measures to prevent any suspected cases from coming into contact with unprotected patients. The Department of Health of Canton Zurich even issued a visitor ban. However, a problem that can be solved on-site with security personnel or closed doors is more difficult to monitor in the internet, where umpteen digital doors provide access to hospitals. Companies are not the only popular targets of cyber attacks, hospitals have long been the focus of criminal schemes.

In 2019, Wetzikon Hospital was attacked by the Emotet trojan. A trojan is malware that infiltrates computers and performs unwanted functions, such as the siphoning off of data and passwords. The attack was widely covered in the media at the time, including by Neue Zürcher Zeitung. Research carried out by Rundschau, a program by SRF (Swiss Radio and Television) revealed that other healthcare providers, such as Limmattal Hospital and the Zentrallabor Zürich had also been affected. The attacks had no serious consequences, however, and no patient data were lost.

Minimum standards are needed
Bettina Balmer (Free Democratic Party) and Benjamin Walder (Green Party), both cantonal councillors, submitted a motion on the topic. “Especially in light of increasing digitalization in healthcare, the problem of cyber attacks cannot be underestimated,” they write in their motion. They would like to know, for instance, how many cyber attacks have occurred in hospitals in Canton Zurich in the last few years. They are also asking the Council of State why there are no minimum standards

“Compulsory minimum standards would be a step in the right direction.”

Hernâni Marques, Chaos Computer Club Switzerland

While minimum standards for information and communication strategies (IKT) have been defined by the federal government, they are only recommendations and not specifically intended for hospitals. “If somebody is really bent on launching a malicious attack, it will be extremely difficult to avert it,” says Hernâni Marques. “Compulsory minimum standards would be a step in the right direction” according to the computer linguist who studies encryption software professionally. Indeed, there are even different IT systems being used within hospitals. “In order for systems to be kept up to date, more staff and financial resources are needed,” says Marques, spokesperson for the Chaos Computer Club Switzerland. The hacker organization opposes oversight and advocates data protection in the internet. What is needed, they say, is training for users, as they are a major weak point.

Total security is an illusion
According to Radio Prague, it was only last March that a cyber attack temporarily brought the Brno University Hospital in the Czech Republic to a halt. The hospital became a victim of ransomware. This is where hackers attempt to encrypt data on computers using ransomware and subsequently extort money for decryption. “Typically, ransomware is sent in a mail attachment,” explains Marques. Unsuspecting users open the attachment and the software installs itself independently. “If it is well-designed malware, it always looks for additional devices, jumping from one to the next,” says the IT specialist. The question then is how well the individual systems are separated from one another. “In the worst case, if life-support machines are affected by hacker attacks, even human lives could be at risk,” Marques warns. There is no general reporting obligation for cyber attacks. Wetzikon Hospital set a good example and reported the trojan attack to MELANI, the Reporting and Analysis Centre for Information Assurance. Many companies fear for their reputation, however. “Total security is an illusion, but we have to make systems as secure as possible,” Marques points out. Cyber attacks can pose a critical threat to primary care. 

Attacks happen all the time

Hospitals are frequently the target of cyber attacks. “Attempted attacks on the IT infrastructure of the City of Zurich happen all the time and therefore also on the Waid and Triemli City Hospitals,” their media relations offices explain. This is not only commonplace in the city administration. “So far, the attacks could be averted by our defense systems and security experts,” the city hospitals report.

Attempted attacks on Bülach Hospital occur mainly via mail. So-called port scanner attacks that probe networks for open ports were also discovered. “According to current knowledge, all attacks on our systems could so far be averted,” says Urs P. Kilchenmann, media spokesperson. In 2019, external specialists conducted a comprehensive investigation confirming that there had been no infection by malware. “Security measures at Bülach Hospital have thus far been sufficient to ensure protection, including patient data,” says Kilchenmann.

Zollikerberg Hospital reports similar experiences, saying that their network has not been hacked in the past two years. Untargeted attacks often attempt to obtain information via phishing mails, i.e. false mails, so as to subsequently conduct a targeted attack. The hospital receives multiple such mails every day, of which roughly 90 percent are caught by the spam filter and not delivered to the recipient. The majority of staff are aware of the problem and recognize and delete phishing mails.

However, Zollikerberg Hospital did experience an incident, albeit indirectly. It is co-operator of the Zentrallabor Zürich, which was hacked by the Emotet trojan. “No sensitive data was affected at the Zentrallabor either,” stresses Anke Schramm, who is responsible for marketing and communications at the hospital. “We adhere to the government’s IKT minimum standards and are grateful that such standards exist,” says Schramm.

Owing to the pending motion in the Cantonal Council, the University Hospital Zurich declined to answer any questions.

The English version is a translation of the original in German for information purposes only. In case of a discrepancy, the German original will prevail.

Datenschutz beginnt beim Nutzer

Zuerst veröffentlicht in den Lokalinfo-Zeitungen vom 16. Januar 2020.

Im digitalen Zeitalter muss jede und jeder selber mehr Verantwortung übernehmen: Während die Schweiz um ein neues Datenschutzgesetz ringt, nimmt der Druck auf Tech-Konzerne weltweit zu.

Ein schwieriges Thema hatte der Ständerat vor Weihnachten zu beraten. Behandelt wurde die Totalrevision des bald 30 Jahre alten Datenschutzgesetzes. Der Bundesrat will den Datenschutz an das Internet-Zeitalter und an die Europäische Union (EU) anpassen. Damit sollen laut Bund die Bürgerinnen und Bürger besser geschützt und Wettbewerbsnachteile für Schweizer Unternehmen verhindert werden.

Doch die Vorlage ist umstritten, der Nationalrat hatte sich im Herbst nur knapp für eine abgeschwächte Form ausgesprochen. Für SP und Grüne geht die Revision zu wenig weit. Die SVP ist grundsätzlich dagegen, weil Druck aus der EU ausgeübt werde. Der Ständerat will das Datenschutzgesetz hingegen verschärfen.

«Der Revision fehlte leider von Anfang an eine wirkungsorientierte Zielsetzung», sagt der Datenschutzbeauftragte des Kantons Zürich, Bruno Baeriswyl. Die Datenbearbeiter würden mit bürokratischem Aufwand konfrontiert und der Datenschutz für die betroffenen Personen werde nicht wirklich gestärkt. «Niemand kann sich darüber freuen», so das Fazit von Baeriswyl.

Viele Dienste werten Daten aus
Die Digitalisierung stellt Privatsphäre und Datenschutz vor neue Herausforderungen. Denn Nutzerinnen und Nutzer hinterlassen unzählige Spuren im Netz, die für Internetunternehmen wie Google, Facebook, Amazon & Co. bares Geld sind. Daten werden gesammelt, ausgewertet und für personalisierte Werbung verwendet.

Doch auch die öffentliche Verwaltung bearbeitet viele sensible Daten – etwa im Bereich Strafverfolgung oder im Gesundheitswesen. Und es mischen viele Betrüger mit. Nicht umsonst warnen das Bundesamt für Polizei oder die Kantonspolizei Zürich regelmässig vor neuen Maschen. Die Betrüger passen sich schnell an und profitieren von Sicherheitslücken oder dem laschen Umgang der Nutzenden mit ihrer Privatsphäre.

Für Informatik-Experte Hernâni Marques ist klar: «Eine einfache Lösung gibt es nicht. Am sichersten ist, wenn Daten gar nicht erst ins Internet gelangen.» Er ist Pressesprecher der Hackerorganisation Chaos-Computer-Club. Diese wehrt sich gegen Überwachung und Zensur im Internet. Marques kritisiert, dass Nutzerinnen und Nutzer gerade bei kostenlosen Diensten oft indirekt mit ihren Daten bezahlen. Das lasse sich nur ändern, wenn sie bereit seien, kleine Geldbeträge für Dienstleistungen – sogenannte Mikrotransaktionen – auszugeben. «Den optimalen Preis muss man natürlich zuerst finden. Damit das funktioniert, braucht es einfache, wiederum privatsphärenfreundliche Bezahlsysteme», sagt der Computerlinguist. Ein solches werde gerade von der Berner Fachhochschule getestet – das Bezahlsystem GNU Taler. Es stellt eine Alternative zu Mastercard, Visa, Paypal oder Twint dar.

Ein weiterer wichtiger Aspekt ist aus Sicht von Marques die Abkehr von der heutigen Internet-Infrastruktur. Er plädiert für Peer-to-Peer-Netzwerke, bei denen die Computer untereinander verbunden sind, ohne zentrale Server. Die Kommunikation läuft direkt von einem Computer zum anderen. «Das erlaubt es, von privatwirtschaftlichen Monopolen und rein staatlich kontrollierten Plattformen wegzukommen», ist der Informatik-Experte überzeugt.

Benutzer müssen umdenken
Dass sich alternative Angebote, gerade etwa im Bereich der sozialen Medien, bisher nicht durchgesetzt haben, liegt vor allem an der Marktmacht der grossen Anbieter wie Twitter oder Facebook. Sie haben ein Bedürfnis gestillt – das Bedürfnis, mit Menschen ständig in Kontakt sein und Inhalte teilen zu können. Nur sind sich viele Nutzerinnen und Nutzer nicht bewusst, dass diese Plattformen systematisch Daten sammeln, analysieren und daraus Profile erstellen. «Einschliesslich mit Informationen aus Privatnachrichten, die nicht öffentlich sind», warnt Marques. Es gäbe zwar Alternativen, allerdings sei es schwierig, die Menschen zum Wechsel zu bewegen. Dies natürlich auch, weil man Freunde und Bekannte ebenfalls im grossen Stil vom Wechsel überzeugen müsste.

Grosse Plattformen unter Druck
Doch verloren ist der Kampf für mehr Datenschutz nicht. In diesen Tagen trat im US-Staat Kalifornien der California Consumer Privacy Act in Kraft. Er sei «eine Lightversion» der Datenschutz-Grundverordnung der EU, schreibt die «Republik». Das Gesetz ist ein grosser Schritt, weil sich in Kalifornien die Hauptsitze von Google, Apple und Facebook befinden. «Nicht nur in den USA, sondern weltweit dürften die Regeln damit ein Stück ‹europäischer› werden – also stärker ausgerichtet auf digitale Bürgerrechte», hält Tech-Journalistin und Autorin Adrienne Fichter fest.

Das bestätigt Marques: «Die grossen Social-Media-Plattformen, allen voran Facebook, sind massiv unter Druck.» Dies unter anderem von der EU. Er persönlich verzichte wenn möglich auf alle Google-Angebote. «Diese Firma hat es geschafft, ihre Fühler derart weit auszustrecken, dass sie praktisch jeden Benutzer weltweit überwachen kann», sagt der Computerlinguist. Besonders dann, wenn man Smartphones oder Tablets mit dem Google-Betriebssystem Android benutze und die Privatsphäre-Einstellungen nicht selber anpasse. «Hier ist die kurzfristige Lösung, wann immer möglich Alternativen zu nutzen und jegliches Tracking weitestmöglich auszuschalten», erklärt der Informatik-Experte.

Längerfristig brauche es Systeme, die ohne standardmässige Überwachung – mit Privatsphäre als Voreinstellung – angeboten würden. Hier sollen die Schweiz und Europa gesetzlich entscheidend Einfluss nehmen. «Die Gesellschaft kann die Regeln dafür festlegen, welche Anforderungen ein Produkt erfüllen muss, ehe es auf den Markt kommt», so Netzaktivist Marques. Auch «saftige Bussen» für Datenschutzverletzungen und eine Produkthaftpflicht könnten dazu beitragen, Privatsphäre und Sicherheit zu erhöhen.

Ins gleiche Horn bläst der Datenschutzbeauftragte Bruno Baeriswyl: «Datenbearbeiter müssten verpflichtet werden, ihre Dienstleistungen im Internet auch mit einer datenschutzfreundlichen Lösung anzubieten», sagt Baeriswyl. Die Revision des Schweizer Datenschutzgesetzes sehe nur vor, dass datenschutzfreundliche Voreinstellungen, die die Datenbearbeitungen auf das Notwendige beschränken, vorzunehmen sind. In der Praxis heisst das: Steht in den Allgemeinen Geschäftsbedingungen (AGB) etwas anderes, können Anbieter diese Regelung wieder ausser Kraft setzen. So gesehen haben die Nutzerinnen und Nutzer kaum eine Wahl, weil sie den AGB zustimmen müssen, um Dienstleistungen nutzen zu können.

Digitaler Ratgeber

Der Chaos Computer Club Schweiz hat mit der Digitalen Gesellschaft Schweiz und der «Wochenzeitung WOZ» den Online-Ratgeber «Eine kurze Anleitung zur digitalen Selbstverteidigung» herausgegeben. Er behandelt Grundlagen zu Datensparsamkeit, Passwörtern und Betriebssystemen und präsentiert gute Alternativen – etwa bei Webbrowsern, E-Mail-Anbietern, Onlinespeichern oder Suchmaschinen. digitale-gesellschaft.ch/ratgeber/

Messenger

  • Aussehen und Handhabung von Threema sind an Whatsapp angelehnt. Der Messenger kann aber ohne Angabe der eigenen Telefonnummer verwendet werden. Alle Nachrichten sind verschlüsselt. www.threeema.ch
  • Signal ist eine Gratis-App, die von einer gemeinnützigen Stiftung finanziert wird. Sie kann auch als Alternative zu Skype genutzt werden. Alle Nachrichten und Gespräche werden verschlüsselt. www.signal.org

Passwörter

Ein hinreichend sicheres Passwort sollte möglichst lang sein: Am besten bestehend aus einer zufälligen Folge von Wörtern, die man nirgends findet und sich gut merken kann. Profile auf sozialen Medien sind für Betrügerinnen und Betrüger Quellen, um an Passworthinweise zu gelangen. Will heissen: Auf keinen Fall den Namen des Haustiers, des Ehemanns des Lieblings-Sportclubs oder der Lieblingsband verwenden.

Soziale Netzwerke

  • Ello ist eine werbefreie Plattform. Sie garantiert, dass keine Daten von Nutzerinnen und Nutzern an Dritte weitergegeben werden. www.ello.co
  • GNU Social ist eine Alternative zu Twitter. Der Dienst ist Teil des GNU-Projekts, das geschaffen wurde, um ein Betriebssystem auf Basis von freier Software zu entwickeln. gnu.io/social
  • Twitter-Konkurrent Mastodon setzt auf ein dezentrales Netzwerk. www.joinmastodon.org

Webbrowser

  • Der Browser Mozilla Firefox hat sich dem «sicheren Surfen» verschrieben. Wichtig: Cookies und Cache regelmässig löschen. www.mozilla.org
  • Tor stellt die Verbindung zwischen Nutzer und aufgerufener Seite über drei zufällige Knotenpunkte (Server) her. Daher lässt sich kaum zurückverfolgen, wer auf eine Website zugreift. Wer sich dann aber bei Youtube & Co. anmeldet, verliert die Anonymität wieder. www.torproject.org

Anonym im Netz: Darknet ist nicht nur böse

Zuerst veröffentlicht in «Zürich 2» vom 28. Februar 2019.

Darknet ist der verborgene Teil des Internets und geniesst einen schlechten Ruf. Für Informatik-Experte Hernâni Marques ist jedoch klar, dass es jeder Internetnutzer kennen sollte. Und der Zugang dazu ist nur einen Klick entfernt.

Es ist der verborgene Teil des Internets – das Darknet. Ist es in den Medien, dann selten als positives Beispiel. Wer das Darknet betreten will, braucht ein Programm. Am einfachsten gehts mit dem sogenannten Tor-Browser. Darknet-Seiten tragen nicht die bekannten Endungen wie .ch oder .com, sondern sind über .onion (Englisch für Zwiebel) erreichbar. Eine viel besuchte Darknet-Seite wird von Facebook betrieben, damit die Social-Media-Plattform von Menschen genutzt werden kann, die in autoritären Staaten wie Iran oder Türkei mit Internetzensur leben.

Weil man im Darknet aber viel anonymer unterwegs ist als im öffentlichen Teil des Internets, nutzen es auch Kriminelle. So werden auf elektronischen Marktplätzen beispielsweise Drogen und Waffen angeboten, oder es wird Kinderpornografie ausgetauscht. Darum ermittelt unter anderem die Kantonspolizei Zürich oder das Bundesamt für Polizei im Darknet.

Im Darknet surfen ist legal
Trotzdem ist das Surfen im Darknet keineswegs illegal. Genutzt wird es beispielsweise von Journalisten, Bloggern, Aktivisten, die ihre Privatsphäre wahren müssen oder wollen. Es werden im Darknet ganz gewöhnliche Dienste wie Chats oder E-Mail angeboten.
Einer, der sich mit dem Darknet auskennt, ist Hernâni Marques. Der Informatik-Experte ist Pressesprecher beim Chaos Computer Club Schweiz. Das ist eine Hackerorganisation, die sich politisch gegen Überwachung und Zensur im Internet wehrt und in Zürich einen Treffpunkt hat. Marques plädiert für vollverschlüsselte Netzwerke, bei denen Computern untereinander so verbunden sind, dass eine Abhörung und damit Zensur stark erschwert wird – wie beim Darknet. Heute wickeln die grossen Internetkonzerne ihre Dienste über zentrale Server ab, jede Suchanfrage, jedes E-Mail wird potenziell gespeichert.

«Der Staat darf hierzulande beispielsweise unsere Briefe nicht flächendeckend öffnen, die elektronische Kommunikation darf er jedoch kontrollieren.»

Hernâni Marques, Chaos Computer Club Schweiz

Den Begriff «Darknet» findet Marques nicht gelungen. «Er wird von Überwachungskreisen verbreitet, um es als etwas Schlechtes darzustellen», so der 34-Jährige, der Computerlinguistik an der Universität Zürich studiert hat. Finanziert wurde das Tor-Netzwerk stark von der US-Navy. Tor ist ein Teil des Darknet. Das US-Militär nutzt es auch heute. Denn wer im Internet surft, hinterlässt Spuren, die rückverfolgbar sind. «Das Schweizer Überwachungsgesetz erlaubt es den Behörden, die elektronische Kommunikation zentral zu sammeln.» Mit anderen Worten: Jede Kommunikation im Internet oder mit dem Mobiltelefon kann überwacht werden. «Der Staat darf hierzulande beispielsweise unsere Briefe nicht flächendeckend öffnen, die elektronische Kommunikation darf er jedoch kontrollieren», gibt Marques zu bedenken.

Überwachung ist Normalität
Der Chaos Computer Club Schweiz hatte sich erfolglos gegen das Überwachungs- (BÜPF) und das Nachrichtendienstgesetz (NDG) gewehrt. Noch in den 80er Jahren sei der Aufschrei gross gewesen, als der Bundesrat wissen wollte, wie die Bürgerinnen und Bürger ihren Weg zur Arbeit zurücklegen würden. «Heute ist es normal geworden, dass uns die Behörden überwachen können», bedauert der IT-Experte. Und das hauptsächlich, weil es technisch möglich sei. Dabei ist das in den Augen von Marques für die Behörden kontraproduktiv. «Je mehr Überwachung es gibt, je schneller entstehen alternative Netzwerke, die schwieriger zu überwachen sind.»

Wer deshalb seine Privatsphäre im Internet wahren möchte, kann den Tor-Browser verwenden. Dieser basiert auf Mozilla Firefox und leitet das Surfverhalten über drei zufällige Knotenpunkte des Tor-Netzwerks durch das Internet. Angeboten werden die Server von Freiwilligen, aber auch von Regierungen. Die Verbindung zwischen dem persönlichen Computer und den einzelnen Knotenpunkten irgendwo auf der Welt, also Stationen, ist mehrfach verschlüsselt. Damit wird Zensur und Überwachung umgangen. Die Nutzer können wie gewohnt im Internet surfen. Zudem schützen sie sich vor personalisierter Werbung. Gleichzeitig ist der Tor-Browser die einfachste Möglichkeit, die versteckten Seiten des Darknet aufzurufen oder Internetsperren zu umgehen. Der Browser ist mit wenigen Klicks installiert und für jeden benutzbar.

Marques empfiehlt aber auch etwas Grundsätzliches: «Datensparsamkeit ist wichtig.» Je weniger eine Person im Internet preisgebe, desto weniger Daten könnten in die falschen Hände geraten.


So schützt man seine Privatsphäre

Der Chaos Computer Club Schweiz hat mit der Digitalen Gesellschaft Schweiz, der Stiftung für Konsumentenschutz und der «Wochenzeitung WOZ» die Broschüre «Eine kurze Anleitung zur digitalen Selbstverteidigung» herausgegeben. Der Ratgeber kann unter www.woz.ch/-7fb9 als PDF kostenlos heruntergeladen werden.

Datensparsamkeit: Weniger ist mehr. Daten, die nicht ins Netz gelangen, brauchen erst gar nicht geschützt zu werden.

Passwörter: Ein hinreichend sicheres Passwort sollte möglichst lang sein: Am besten bestehend aus einer zufälligen Folge von Wörtern, die man nirgends findet und sich gut merken kann.

Sicherheitsupdates: Betriebssysteme sollten stets auf dem aktuellsten Stand gehalten werden.

Surfen im Netz: 
Tor ist der sicherste Browser im Internet. Er basiert auf Mozilla Firefox und kann unter www.torproject.org heruntergeladen werden. Er ist für Windows, Mac und Linux verfügbar. Da die Verbindung zwischen Nutzer und aufgerufener Seite über drei zufällige Knotenpunkte (Server), quasi Stationen im Netz, hergestellt wird, lässt sich kaum zurückverfolgen, wer auf die Website zugreift. Wer sich dann allerdings bei Youtube, Facebook und Co. anmeldet, verliert diese Anonymität wieder.

Suchen: «Duck Duck Go» ist eine eigenständige amerikanische Suchmaschine, die das Suchverhalten nicht speichert. Finanziert wird der Dienst über Spenden und nichtpersonalisierte Werbung. (pw.)

Wie viel Privatsphäre braucht es in der digitalen Zukunft?

Zuerst veröffentlicht in «Zürich 2» vom 31. Januar 2019.

Der Datenschutzbeauftragte des Kantons lud zu einer Podiumsdiskussion mit Experten ein. Konsens herrschte darüber, dass Datenschutz wichtig ist. Doch viele Fragen bleiben unbeantwortet.

Persönliche Freiheit und Privatsphäre sind Grundlagen einer demokratischen Gesellschaft. Doch im Internet kommt sie schrittweise abhanden, wir werden überwacht und manipuliert. Warum das so ist und ob man sich dagegen wehren kann, war Thema in der Reihe Kosmopolitics im Kulturhaus Kosmos am Rande der Europaallee in Zürich. Nur wenige Meter weiter forscht auch Google an der Zukunft.

Anlässlich des 13. Europäischen Datenschutztages trafen sich Bruno Baeriswyl, Datenschutzbeauftragter des Kantons Zürich, Hernâni Marques vom Chaos Computer Club Schweiz, Psychologin Josephine Schmitt und Medienpädagogin Friederike Tilemann. Moderiert wurde das Gespräch von Edgar Schuler, Ressortleiter Analyse beim «Tages-Anzeiger».

Unter den Teilnehmenden, herrschte der Konsens, dass Datenschutz und Privatsphäre im Internet ein wichtiges Gut sind. Ihre Anliegen widersprachen sich nicht, ein gemeinsamer Lösungsansatz war aus der Diskussion aber kaum zu erkennen. Es war, als würde jeder vom eigenen Berg herabpredigen.

Diskutierten gemeinsam im Kosmos über Datenschutz in der digitalen Welt: Der kantonale Datenschutzbeauftragte Bruno Baeriswyl, Psychologin Josephine B. Schmitt. Foto: pw.

Selbstbestimmung ist wichtig
Der kantonale Datenschutzbeauftragte Bruno Baeriswyl sprach hauptsächlich aus der Perspektive des Nutzers: «Wir akzeptieren eigentlich, dass die grossen Player, wie Facebook oder Google, unsere Selbstbestimmung, unsere Privatsphäre verletzen und uns manipulieren.» Wer eine Dienstleistung im Internet nutzen möchte, müsse die Geschäftsbedingungen akzeptieren, ohne das er eine Wahl habe. «In den 1990er Jahre war das Internet das Netz der Freiheit. Heute muss man sagen, es ist das Netz der verlorenen Freiheit.»

Hernâni Marques vom «Chaos Computer Club», einer Hackervereinigung, die sich für Privatsphäre und Informationsfreiheit einsetzt, sah das Problem grundsätzlicher Natur: Er wehrte sich gegen ständige Überwachung. «Das Internet ist eine Fehlkonstruktion in der jetzigen Form.» Er plädierte für Peer-to-Peer-Netzwerke, bei denen die Computer untereinander verbunden sind, ohne zentrale Server. Die Kommunikation läuft direkt von einem Computer zum anderen. Bekanntes Beispiel ist das «Darknet», welches wegen krimineller Aktivitäten in Verruf geraten ist. Es wird aber auch dazu genutzt, damit sich Nutzer vor Zensur- und Überwachungsmassnahmen schützen können.

Medienpädagogin Friederike Tilemann und Hernâni Marques vom Chaos Computer Club Schweiz. Foto: pw.

Einen pädagogischen Ansatz wählte Friederike Tilemann, Medienpädagogin an der Pädagogischen Hochschule Zürich. Kinder bräuchten Schutz vor den Gefahren, aber auch Kompetenzen im Umgang mit dem Netz. Sie müssten lernen, ihre Privatsphäre zu schützen – und die Privatsphäre der anderen. Dazu hat die Hochschule zusammen mit dem Datenschutzbeauftragten ein Lehrmittel für Vier- bis Neunjährige veröffentlicht.

«Es ist nicht das Internet, was böse ist», sagte Psychologin Josephine Schmitt, die über Radikalisierung und extremistische Online-Propaganda forscht. «Es kann einfach wahnsinnig leicht für böse Zwecke missbraucht werden.» Schmitt blieb sonst im Gespräch etwas aussen vor. Die Teilnehmer kratzten bei den Inhalten des Internets nur an der Oberfläche.


Neues Lehrmittel zum Thema Datenschutz für Kinder
Medienkompetenz bedeutet mehr, als zu wissen, wie man ein Tablet bedient oder in den sozialen Medien Sicherheitseinstellungen anpasst. Aus diesem Grund sollen an Zürcher Schulen neue Unterrichtsmaterialien zum Einsatz kommen, die sich dem Thema Datenschutz und Privatsphäre annehmen. Diese wurden am Montag an einer Medienkonferenz vorgestellt.  
Entstanden ist das Lehrmittel «Geheimnisse sind erlaubt» in Zusammenarbeit mit der Pädagogischen Hochschule Zürich (PHZH) und dem Datenschutzbeauftragten des Kantons Zürich. Die Unterrichtsmaterialien richten sich an vier- bis neunjährige Kinder. Die Selbstbestimmung über die eigenen Daten sei ein Grundwert einer freien Gesellschaft, findet Bruno Baeriswyl, kantonaler Datenschutzbeauftragter. Die sozialen Medien würden zu einem Verlust von Transparenz führen. «Man weiss nicht mehr, was mit den eigenen Daten geschieht. Man verliert auch die Selbstbestimmung», sagte Baeriswyl. Je früher Kinder also wissen würden, wie sie ihre Privatsphäre im digitalen Zeitalter schützen können, desto besser.
 
Trickfilm führt ans Thema heran
Das neue Lehrmittel ist laut Heinz Rhyn, Rektor der PHZH, zumindest im europäischen Raum bisher einmalig. Rhyn nannte es ein «besonders gelungenes und wichtiges Instrument». Kinder lernen, weshalb es wichtig ist, gewisse Dinge für sich zu behalten und die Privatsphäre anderer zu respektieren. Sie erfahren, dass Regeln, die für die analoge Welt gelten, auch in der digitalen Welt angewandt werden können. «Es geht nicht um Fragen von Passwörtern oder Big Data, sondern um die Sensibilisierung für Privatsphäre», erklärte Medienpädagogin Friederike Tilemann.  
Ein Trickfilm soll für die jüngsten Kinder einen Zugang zum Thema schaffen. Kinder ab sieben Jahren werden über ein Wimmelbild angesprochen, das einen Pausenhof zeigt. Es sind Szenen zu sehen, hinter denen sich Geheimnisse verstecken. Zu jeder Szene gibt es einen Text und eine Audiodatei, die an die Themen Datenschutz und Privatsphäre heranführen. Die Schülerinnen und Schüler lernen, dass Geheimnisse in der Regel zu wahren sind, es aber Geheimnisse gibt, bei denen sie auch Erwachsene ins Vertrauen ziehen sollten. In weiteren Lektionen kommt der Umgang mit fremden Daten wie Fotos zur Sprache.
Die Unterrichtsmaterialien erscheinen im April als E-Book kostenlos zum Download. Ab Herbst fliessen sie in die Lehrerausbildung an der PHZH ein. In den nächsten zwei Jahren sollen unter dem Titel «Selbstbestimmt digital unterwegs» weitere Lehrmittel erscheinen. (pw.)

Reformation bei Daten gefordert

Zuerst veröffentlicht in «Zürich 2» vom 31. Mai 2018.

Das Turmgespräch mit dem Thema «Seele in der digitalen Arbeitswelt» lief in eine andere Richtung, als der Titel hätte vermuten lassen. Dafür entwickelte sich mit dem ehemaligen ETH-Präsidenten Ernst Hafen eine lebhafte Diskussion rund um elektronische Daten und Privatsphäre.

Überall werden Daten gesammelt – sei es von Internetkonzernen wie Google oder Facebook, digitalen Lernplattformen oder Gesundheitsapps. Bei vielen kostenlosen Angeboten zahlen die Nutzerinnen und Nutzer indirekt mit ihren Daten, indem sie diese oft unbewusst zur Nutzung freigeben. Verschiedene Anbieter verfügen über persönliche Daten von jeder Person. Doch erst die Zusammenführung all dieser Daten entwickelt ihr wahres Potenzial. So zumindest die Quintessenz aus dem Turmgespräch zum Thema “Seele in der digitalen Arbeitswelt” unter dem Hauptthema “O Seele, wo bist du”.
Jeweils am 20. des Monats diskutieren Gäste im Turm des St. Peters eine Stunde lang. Moderiert wird der Anlass von David Guggenbühl, Vizepräsident der Kirchenpflege St. Peter in Zürich.

“Digitale Leibeigenschaft”
Schnell zeichnete sich an diesem Abend ab, dass das Thema “Seele in der digitalen Arbeitswelt” zu eng gefasst war. St.-Peter-Pfarrer Ueli Greminger sorgte am Anfang für die Einordnung: In der Reformation habe Martin Luther von der babylonischen Gefangenschaft gesprochen. Dabei ging es um die Fremdbestimmung durch Rom. Greminger stellte damit den Bezug zur Gegenwart und zur digitalisierten Welt her.
“Heute sind wir nicht mehr von Rom abhängig, sondern von grossen Datenkonzernen”, urteilte Ernst Hafen. “Wir zahlen mit unseren Daten”, so der ETH-Professor. Früher sei die Kirche das Subjekt und der Mensch das Objekt gewesen. Sie habe gesagt, was man glauben müsse. Heute seien die Menschen das Objekt von Internetkonzernen. “Wir müssen die Kontrolle über unsere Daten zurückverlangen können”, sagte Hafen – quasi eine Reformation 2.0. Er sprach von “digitaler Leibeigenschaft”.

Bank für Daten gegründet
2012 hatte der Biologe den Verein “Daten & Gesundheit” mitgegründet. Der Zweck des Vereins ist, die Debatte über die Sammlung und Verwendung von individuellen medizinischen Daten in der Schweiz voranzubringen. Das Ziel: Schaffung von genossenschaftlichen Datenbanken, also Organisationen, bei denen man seine elektronischen Daten, ähnlich wie bei einem Finanzinstitut, lagern kann. Eine solche baut er aktuell auf, sie nennt sich “midata.coop“. “Das hat nichts mit Coop zu tun”, fügte er augenzwinkernd an.

Recht auf Kopie der Daten
Die Idee dahinter ist, dass die Menschen ihre elektronischen Daten an einem sicheren Ort speichern – und selber darüber verfügen können. Anfänglich soll der Fokus vor allem auf Gesundheitsdaten liegen. Bürgerinnen und Bürger sollen die vorhanden elektronischen Daten über sich zusammenführen. “Google weiss mehr über mich, als mein Hausarzt, aber nie so viel wie ich, weil ich die Daten zusammenführen kann”, erklärt Hafen das System. Der Wert der Daten steige durch die Ansammlung. Je mehr Daten eine solche “Datenbank” hat, je interessanter werden die Inhalte – auch für die Forschung. Kurz gesagt: Wer die Daten hat, hat auch die Macht darüber. Doch dafür muss laut Hafen eine Grundvoraussetzung erfüllt sein: Das Recht, eine Kopie der Daten zu erhalten, die von Organisationen oder Privaten über die eigene Person erhoben wurden. Die neue Datenschutzverordnung der Europäischen Union würde dieses “Recht auf Kopie” ermöglichen. Für eine ähnliche Regelung in der Schweiz will sich Hafen starkmachen – wenn nötig mit einer Volksinitiative.

Laura Greminger, die im Bereich Denkmalpflege arbeitet, zeigte sich skeptisch: “Ist es nicht auch eine Gefahr, wenn alle Daten an einem Ort gespeichert werden?” Das sei die gleiche Argumentation, wie wenn man das Geld im Garten vergrabe, statt zur Bank zu bringen, antwortete Hafen. “Es gibt keine absolute Sicherheit.” Die Reputation der “Datenbank” sei deshalb das A und O.

“Fast etwas Apokalyptisches”
Obwohl die Anwesenden grundsätzlich den Argumenten für das Recht auf Kopie zuzustimmen schienen, sorgten sie sich um etwas grundsätzlicheres: “Was nützt es, wenn man das Recht auf Kopie hat, die Konzerne aber immer noch die Daten?” Doch darauf fand die Runde keine abschliessende Antwort.

Die Eigenverantwortung, was mit diesen Daten passiere, sei ein zentrales Element, so Hafen. “Den Leuten ist nicht bewusst, dass man aus einem kleinen bisschen Daten schon viel herausfinden kann”, warf Kevin Schawinski, Astrophysiker und ETH-Professor, ein. Er erwähnte den Social Score in China, ein auf verschiedene Datenbanken zugreifendes Bewertungssystem, mit dem beispielsweise die Kreditwürdigkeit eingeschätzt oder die Reiseerlaubnis beschränkt wird. “Die Technik können wir nicht aufhalten, aber man kann die Entwicklung steuern”, fand Alex Hansen, Korrektor und Textchef.

www.turmgespraeche.ch