Homeoffice und Heimunterricht – die wenigsten Bundesbürger hatten vor Corona Ahnung davon, wie das sicher funktioniert. Die meisten Kultusministerien aber leider auch nicht. Dabei ist das Missbrauchspotenzial enorm, und die Risiken für die Privatsphäre sind hoch. Guter Rat kommt von der engagierten Zivilgesellschaft.
Deutsche Verwaltung! Am 17. April empörte sich eine Berliner Lehrerin auf Twitter: „Mal als Lehrerin: Vorgaben vom Senat für #Videokonferenzen: deshalb läuft es in D so grottig mit #Digitalisierung + #homeschooling. Die paar Lehrer*innen, die sich VK zutrauen, lassen es jetzt bleiben“ [1]
Sie garnierte ihren Ausbruch mit dem Foto einer ausgedruckten „Checkliste für Videokonferenzen“ der regionalen Datenschutzbeauftragten der Berliner Schulen.
Ein anderer Twitterer stimmte zwei Tage später ein: „Dieses Schreiben, das an Berliner Lehrer ging, ist ein Skandal. Ja, auch Ämter müssen sich erst einstellen auf die Lage, aber so einen „Cover your ass“-Brief finde ich nicht akzeptabel.“ [3] Auch hier ein anderes Foto desselben Schreibens [4]. Weiter kritisiert er: „Naja, die Schulverwaltung ist aber kein Berater der Lehrer. Sie soll eine klare Ansage machen, welches Tool zu verwenden ist, die Lizenzen dafür kaufen und die Verantwortung übernehmen. Dieses Schreiben dient nicht dem Datenschutz, sondern der Absicherung der Behörde.“
Was steht drin in dem so gescholtenen Schreiben? Unter „Auswahl des Anbieters“ heißt es unter anderem:
- der Dienstleister hat Sitz und Rechenzentrum in der EU;
- der Dienstleister garantiert Datensicherheit;
- der Dienstleister hat datenschutzfreundliche Voreinstellungen: Schüler können ohne individuelle Konten teilnehmen; Gespräche werden nicht automatisch gespeichert; technische Daten (Browser, IP-Adresse, Betriebssystem, Standort …) können anonymisiert gespeichert und nach 48 Stunden gelöscht werden.
Und in den „Hinweisen zur Umsetzung“:
- „Fragen Sie den Anbieter nach einem Vertrag zur Auftragsverarbeitung“,
- „Das Verfahren ist mit seinen Eckdaten gemäß DSGVO zu dokumentieren“;
- Teilnehmer sollen auf „umsichtige Nutzung“ hingewiesen werden;
- Schüler und deren Eltern müssen Einwilligungen abgeben.
Wohlvermerkt: keiner dieser Punkte ist falsch oder unsinnig, im Gegenteil. Aber es ist starker Tobak, dass offensichtlich jeder Lehrer all diese Punkte, die detailliertes Fachwissen technischer und juristischer Art voraussetzen, selbst abarbeiten soll. Zumal nach den Kriterien dieser Liste die bekannten kommerziellen Anbieter wie Microsoft oder Zoom ausscheiden.
Von einer funktionierenden Verwaltung hätte man erwartet, dass sie mittels dieser Kriterien auswählt, welche Systeme und Anbieter verwendet werden können und wie diese gegebenenfalls konfiguriert werden müssen. Das wäre eine echte Hilfe für die Berliner Lehrer gewesen. Kommt noch dazu, dass einige (gute) Lösungen nur funktionieren, wenn man sie auf einem Server installiert, am besten auf einem eigenen. Welcher Lehrer, ja, welche Schule betreibt und administriert denn eigene Server? Stattdessen atmet dies Schreiben den Geist, sich juristisch ins Trockene zu bringen, oder, wie es auf Twitter etwas derber hieß: „Cover your ass“.
Wie unter der Lupe zeigt dieser Vorfall die Probleme der Digitalisierung dieses Landes im Allgemeinen und die von Videokonferenzen im Speziellen.
Andere Bundesländer verhalten sich hilfreicher. In Baden-Württemberg etwa hat das Kultusministerium nach Beratung mit dem Landesdatenschutzbeauftragten allen Lehrern den Sofortnachrichten-Dienst „Threema Work“ kostenlos für den Unterricht bereitgestellt. Im Gegensatz zu anderen Messenger-Diensten ist diese Lösung datenschutzkonform, so ein Bericht von Christiane Schulzki-Haddouti auf heise online. [5]
Man stelle sich nur einmal kurz vor, die Corona-Pandemie und der dadurch verursachte „Lockdown“ hätten dieses Land in den achtziger Jahren des letzten Jahrhunderts getroffen – ohne Internet (die Top-Level-Domain „.de“ gibt es seit 1986). Die modernsten Medien wären das Telefax, die Mobiltelefonie ist gerade im Entstehen, die Löcher in deren Netzen lassen Schweizer Käse vor Neid gelb werden, die wenigen Computer sind aus heutiger Sicht unvorstellbar schwachbrüstig und nicht vernetzt.
Das Problem ist, dass Teile der Verwaltung (und auch der Wirtschaft) zumindest mental immer noch auf genau diesem Niveau sind. „Wir sind technisch kurz hinter der Karteikarte“ schrieben Robert Kiesel und Susanne Vieth-Entus über die Berliner Verwaltung im Tagesspiegel [6].
Nach einer Recherche von Daniel Laufer auf netzpolitik.org übermitteln die deutschen Gesundheitsämter ihre Meldungen über die tagesaktuellen Corona-Fallzahlen teilweise händisch per Fax ans Robert Koch Institut [7].
Immerhin: Berittene Boten scheint es nicht mehr zu geben.
Ungebetener Digitalisierungsschubs
Man kann es auch so sagen, dass das Coronavirus die Welt in eine Zwangsdigitalisierung geschubst hat, so wie Schurken eben kleine Kinder in den Dreck stoßen. Das geschah, Land für Land, mit der Verhängung von Ausgangs- oder Kontaktsperren, der Schließung von Betrieben und Schulen buchstäblich von einem Tag auf den anderen. Die Not zu virtualisieren, was immer geht, war groß, die Neigung, unbesehen jede Lösung einzusetzen, solange sie – und sei es nur halbwegs – funktioniert, war ebenso groß. An IT-Sicherheit und Datenschutz wurde zunächst nicht wirklich gedacht.
Manchmal, wie etwa im Falle der „Corona-App“ haben einige beteiligte Parteien versucht, ihr eigenes Süppchen zu kochen; sie wollten das Primat des Funktionierens bewusst nutzen, um den Datenschutz zu schwächen. Was als Suche nach einer schnellen Lösung verkauft wurde, führte so in Wirklichkeit zu einer Verlängerung der Entwicklung.
Aber auch das oben beschriebene Verhalten der Berliner Datenschützer wird wahrscheinlich nicht zu einer Beschleunigung von digitalem Schulunterricht in der Hauptstadt führen.
Wichtig ist, Funktionieren und IT-Sicherheit und Datenschutz gleichermaßen und gleichzeitig zu beachten, ohne das eine gegen das andere auszuspielen.
Ebenso, wie es auf gesamtstaatlicher Ebene darum geht, das Zurückdrängen der Virusinfektionen, das Funktionieren der Wirtschaft und die Achtung der Grundrechte gleichzeitig im Blick zu haben. Leicht ist das nicht.
Videokonferenzen boomen
Was im allgemeinen Leben die Mundschutzmasken sind, das sind im Technikbereich derzeit Kameras für Computer – sehr schwer zu kriegen. Und das, obwohl viele Geräte wie Notebooks, Tablets und Smartphones schon ab Werk mit Kameras ausgestattet sind.
Die Nutzung von Videokonferenzen boomt. Seit die Leute zu Hause sitzen, ist der Bedarf danach exponentiell angestiegen – der nach Telefonkonferenzen ebenso. Firmen und Behörden brauchen sie ebenso wie Schulen. Auch die meisten Medien setzen sie ein: Journalisten sprechen gern von der „Schalte“. Genutzt werden sie auch im privaten Bereich: Großeltern, Eltern und Kinder kommen so zusammen. Manche Nutzung ist gar keine „Konferenz“ im eigentlichen Sinn: So gibt es Yogastunden, Karateübungen und japanische Teezeremonien via Netz.
Voraussetzung für die Videoschalten sind ausreichend ausgerüstete Computer (neben Kamera und Mikrophon braucht es auch genügend Arbeitsspeicher), eine ausreichend starke Bandbreite der Internetanbindung und eben ein Konferenzprogramm. Falls die Kommunikation abgesichert sein muss, braucht es auch sogenannte Virtual Private Networks (VPN) und entsprechende Server, die ausreichend viele Verbindungen („VPN-Tunnel“) gleichzeitig anbieten können.
An all dem hapert es. Schulen stellen fest, dass es eben nicht in allen Familien einen Computer gibt. Oder vielleicht doch, aber den braucht dann tagsüber ein Elternteil fürs Homeoffice.
Viele Regionen Deutschlands sind nicht mit starken Leitungen ans Internet angebunden, weil die Wirtschaft beim Netzausbau die lukrativen Regionen bevorzugte und die Politik hier viel zu wenig regulierend eingriff. Der Mythos, dass der Markt alles regele, zeigt jetzt seine hämische Fratze. Wer schon gestern benachteiligt war, ist es heute noch mehr.
Und die meisten VPN-Server sind ausgelegt auf Kapazitäten vor der Pandemie. Einige Universitäten haben ihren Studenten die VPN-Nutzung gesperrt, um die eigenen Mitarbeiter, die jetzt im Homeoffice arbeiten müssen, versorgen zu können. Für die Studenten heißt das, dass Datenbanken und Bibliotheken jetzt online unerreichbar sind.
Die digitale Infrastruktur in Deutschland ist mangelhaft. Sie auf ein zeitgemäßes Niveau anzuheben, muss ein wichtiges Projekt von Staat und Gesellschaft werden.
Firmen, die jetzt Lösungen für Videokonferenzen parat haben, können sich über rasant steigende Nutzungszahlen (und gegebenenfalls ähnliche Entwicklungen der Aktienkurse) freuen. Wenig überraschend ist der Sitz der meisten dieser Firmen in den USA. Chinesische und russische Anbieter spielen hierzulande keine Rolle, relevante europäische Firmen in diesem Feld gibt es nicht. Ähnlich wie bei Plattformen, Suchmaschinen und sozialen Netzen klafft in Europa eine Leerstelle.
Allerdings gibt es einige Open-Source-Lösungen, die vielversprechend sind.
So suchen die einen händeringend nach jedem Strohhalm, um sich über Wasser zu halten [Funktionalität], während andere Regeln (vor)schreiben, die weltfremd sind [Datenschutz].
Enorm hohes Missbrauchspotenzial
Dabei ist der Datenschutz enorm wichtig, denn das Missbrauchspotenzial einer Videokonferenz ist sehr hoch. Ausdrücklich nicht gemeint sind die Angriffe, die bisher in der Presse beschrieben wurden: etwa das Mitlauschen in fremden Konferenzen („Lurken“ im Netzjargon), das Aufzeichnen oder Mitschreiben, nicht einmal das „Zoom-Bombing“, bei dem sich Unbeteiligte in Konferenzen zuschalten und dort Hassbotschaften oder Pornos platzieren. Das sind Belästigungen und Störungen, aber keine Gefährdungen.
Das wirkliche Gefahrenpotenzial liegt bei elektronischer Überwachung stets mehr bei den Metadaten als bei den Inhalten.
Selbstverständlich gibt es Besprechungen, deren Inhalte geschützt werden müssen, weil sie geheim sind. Konferenzen von Regierungen, Behörden, der Wirtschaft etwa, ebenso Redaktionskonferenzen von Medien und virtuelle Treffen zivilgesellschaftlicher Organisationen. Sie müssen besonders abgesichert werden, was je nach Anbieter der verwendeten Software unterschiedlich schwer bis unmöglich ist.
Zum Beispiel ist beim Norddeutschen Rundfunk (NDR) die Nutzung der derzeit beliebten Software „Zoom“ per Dienstanweisung verboten. Begründet wurde das mit Verweis auf die vielen bekannt gewordenen Sicherheitslücken des Programms und auch damit, dass gehackte Login-Daten für Zoom-Accounts im Netz auftauchten.
Aber digitaler Schulunterricht, Hochschulseminare oder virtuelle Nachbarschaftstreffen sind in dieser Hinsicht unbedenklich. Sehr wohl betroffen sind aber auch sie vom Sammeln der Metadaten, und das Missbrauchspotenzial ist enorm hoch.
Bei jeder Videokonferenz entstehen Unmengen an personalisierten Videos, die mit Namen, IP-Adressen und weiteren technischen Daten verknüpft sind. Ebenso entstehen Sprachaufnahmen und selbstverständlich auch Kontaktnetze.
Gerade die Videodaten können schnell zu einem Problem werden. Sie wären bestes Rohmaterial für die Produktion von „Deep Fakes“, also gefälschten Videos. Ebenso bilden sie (neben den bereits vorhandenen Daten im World Wide Web und in den sozialen Netzen) einen neuen Fundus für „Facial Recognition“ (automatisierte Gesichtserkennung), die sich gerade zu einem digitalen Flächenbrand entwickelt.
„Facial Recognition“ wird zur Gefahr, und das nicht nur in autoritären Staaten, sondern für offene Gesellschaften in Demokratien. Zum einen durch die immer weitere Verbreitung privater und staatlicher Videoüberwachung, zweitens durch die immer bessere Technik der Gesichtserkennung und drittens durch die Erschließung neuer Bildquellen.
Erst im Februar wiesen Presseberichte auf die zweifelhaften Praktiken der US-amerikanischen Firma Clearview hin, die Ermittlern die Recherche in ihrer Gesichtsdatenbank anbot. Die Bilder stammten aus dem „Scraping“ (zu Deutsch „Auskratzen“) sozialer Netze wie Twitter, Facebook, Youtube und anderen. Die Ermittler äußerten sich begeistert über die Qualität der Recherchen. Nun sind Ermittler qua Beruf keine Bürgerrechtler. Letztere, etwa die European Digital Rights Initiative (EdRI) oder Privacy International, begleiten das Thema seit längerem kritisch.
Durch die stark anwachsende Nutzung von Videokonferenzen könnte jetzt ein neuer Datenpool entstehen. Noch gibt es keine Hinweise dafür, aber die eiserne Regel der Überwachung lautet: Was an Überwachungsmaßnahmen technisch möglich und finanzierbar ist, das geschieht auch.
Für die entstehenden Datenpools an Sprachdateien und Kontaktnetzen gilt das gleichermaßen. Konkrete Hinweise gibt es nicht, aber das Potenzial ist da.
Umso misslicher, dass die kommerziellen Anbieter solcher Systeme meist in den USA residieren. Edward Snowden, der 2013 die weltweite Cyberüberwachung der NSA enthüllte, warnt schon lange, Firmen mit physischer Beziehung (Firmensitz oder Serverstandort) zu den USA zu meiden. Und europäische Datenschützer fordern immer wieder, Anbieter müssten Firmensitz und Serverstandort in der EU haben, damit Daten nach der DSGVO geschützt werden. Nur sind die eben rar, was erneut eine Schwäche Europas offenbart. Die digitale Abhängigkeit von den USA ist zu groß und zu blauäugig.
Kann man Videokonferenzsoftware überhaupt nutzen?
Kann man vor diesem düsteren Hintergrund von möglicher Überwachung und Datenmissbrauch überhaupt Videokonferenzen durchführen? Ja, das ist durchaus möglich, aber eben nicht mit jedem am Markt angebotenen System.
Das Vertrackte ist allerdings, dass die entscheidenden Unterscheide nicht zu sehen sind – eine Videokonferenz sieht halt aus wie eine Videokonferenz, das eine System kann dies besser, das andere jenes. Angaben von Herstellern sollte man sowieso stets misstrauen.
Die entscheidenden Fragen sind:
- Wo ist der Sitz des Anbieters?
- Wo stehen die genutzten Server? 3. Wird die Kommunikation Ende-zu-Ende verschlüsselt?
Aus diesem Blickwinkel sind die Open-Source-Lösungen im Vorteil, wenn man sie auf einem eigenen Server betreiben kann, denn dann bleibt man auch selbst Herr der Daten.
Hilfe finden, richtig entscheiden
Verschiedene Seiten haben sich mittlerweile zum Thema Videokonferenzen geäußert, zunehmend werden auch Testberichte veröffentlicht. Deren Schwerpunkt liegt jedoch meist auf dem Funktionsspektrum der Angebote.
Übersichten über Videoschalten gibt es viele, hier drei als Beispiel.
Die beste (mir bekannte) ist die „Comparison of web conferencing software“ aus der englischsprachigen Wikipedia. Hier sind die meisten Angebote aufgelistet und nach umfangreichen relevanten Kriterien bewertet. [8] Die Liste der deutschsprachigen Wikipedia ist deutlich weniger aussagekräftig.
Vom Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) der TU Dresden stammt eine (kurze) „Übersicht über Videokonferenzdienste“. Sie beruht auf eigenen Tests, also Praxiserfahrung. [9]
Recht umfangreich ist auch der „Videoconferencing Guide“, er vergleicht aber nur die Funktionalität der Angebote, weder Sicherheits- noch Datenschutzfragen. [10]
Nützliche technische Einschätzungen gibt es zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Gut verständlich und sehr empfehlenswert ist die Anleitung vom BSI für Bürger: „Trotz Corona die Enkel sehen – Videotelefonie leicht gemacht“ [11]. Ebenso zu empfehlen, aber eher für Fachleute geeignet, ist das vom BSI herausgegebene „Kompendium Videokonferenzsysteme (KoViKo)“ [12]. Die aktuelle Version 1.0.1 reflektiert den Stand der Technik bis April 2020 und stellt diesen auf 173 Seiten dar. Konkrete Empfehlungen für einzelne Programme werden darin nicht gemacht.
Auch Datenschützer äußern sich aus ihrer Perspektive zu dem Thema. Lesenswert ist eine siebenseitige Broschüre des unabhängigen Landeszentrums für Datenschutz Schleswig-Holsteins: „Datenschutz: Plötzlich Videokonferenzen – und nun?“ [13]
Und vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gibt es eine Liste mit „Leitfragen zur Beurteilung von Angeboten“. [14]
In beiden Texten gibt es zwar sinnvolle Kriterien, jedoch keine konkreten Empfehlungen für Software. Die kommen allerdings aus der engagierten Zivilgesellschaft, zum Beispiel vom Bielefelder Datenschutzverein DigitalCourage. Die Spezialisten haben ihre Empfehlungen unter dem Titel „Videokonferenzen müssen keine Datenschleudern sein“ veröffentlicht [15]. Schon die Überschrift macht klar, dass die kommerziellen Angebote gar nicht erst getestet wurden – nur freie Software wurde untersucht. Nach mehrfachen Tests spricht DigitalCourage für drei Programme „eine klare Empfehlung aus“. Das sind „Jitsi Meet“ [16], „BigBlueButton“ [17] und „Nextcloud Talk“ [18]. Alle drei werden kurz vorgestellt, auf Vorteile und auch auf Nachteile wird hingewiesen.
Fazit: Es ist möglich, Videokonferenzen zu organisieren, die funktionieren, die sicher sind und die die Privatsphäre nicht ramponieren. Die Technik ist da. Was es braucht, ist der Wille, sie sinnvoll zu nutzen.
Fußnoten
[1] https://twitter.com/LauraKroschewsk/status/1251180667691565058
[2] https://pbs.twimg.com/media/EV0WLS0WsAM3Ig6?format=jpg&name=large
[3] https://twitter.com/pavel/status/ 1251792163991695360
[4] https://twitter.com/pavel/status/ 1251792163991695360/photo/1
[5] https://www.heise.de/newsticker/meldung/Schulsoftware-Threema-ja-Zoom-und-Microsoft-Office-365-eher-nicht-4711961.html
[6] https://www.tagesspiegel.de/berlin/ berliner-verwaltung-mangelhaft-digitalisiert-wir-sind-technisch-kurz-hinter-der-karteikarte/25717260.html
[7] https://netzpolitik.org/2020/gesundheitsaemter-in-der-coronakrise-ein-unvollstaendiges-bild/
[8] https://en.wikipedia.org/wiki/Comparison_of_web_conferencing_software
[9] https://tu-dresden.de/zih/dienste/videokonferenz
[10] https://videoconferencing.guide/
[11] https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/videotelefonie-einfach-erklaert.html;jsessionid=B208AC8B7FFFDA558FE32B785FE836C3.2_cid369?nn=6598006
[12] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf
[13] https://www.datenschutzzentrum.de/uploads/it/ULD-Ploetzlich-Videokonferenzen.pdf
[14] https://www.bfdi.bund.de/DE/Datenschutz/Datenschutz-Corona/Kommunikation/Inhalt/Beurteilung_Angebote_Messenger.html
[15] https://digitalcourage.de/digitale-selbstverteidigung/videokonferenzen-muessen-keine-datenschleudern-sein
[16] https://jitsi.org/jitsi-meet
[17] https://bigbluebutton.org/
[18] https://nextcloud.com/de/talk/
Albrecht Ude
Ähnliche Beiträge
Neueste Beiträge
Drei Fotografen fotografieren ein Dorf
„70 Jahre Dorfleben in Bildern, 70 Jahre von drei Fotografen, ein Dorf“, so steht es im Klappentext. Es geht um Berka, ein Dorf in Thüringen, um den Müller Ludwig Schirmer, der als Amateurfotograf das Dorfleben in den 1950er- und 1960er-Jahren in Schwarz-Weiß-Fotos eingefangen hat und…
Der Osten bleibt anders
35 Jahre nach dem Fall der Mauer erleben wir hitzige Diskussionen über Ostdeutschland und das Verhältnis zwischen Ost und West. Und dennoch gibt es in dieser Debatte keine Verständnisfortschritte, schreibt der Soziologe Professor Steffen Mau in seinem neuesten Buch „Ungleich vereint“, das im Juni 2024…