Interview mit Harald Lemke: Vertrauen ist kontextabhängig

Herr Lemke, was bedeutet Vertrauen in digitale Kommunikation für Sie? Welchen Stellenwert hat dieses Vertrauen für unsere Gesellschaft?

Harald Lemke: Mein Vertrauen in Kommunikation ist zunächst einmal davon abhängig, in welchem Zusammenhang ich mich bewege. Ich muss das Gefühl haben, dass ich ohne Vorbehalte kommunizieren kann. Vertrauen entsteht nicht erst nach einer Analyse aller Sicherheitsanforderungen, sondern schon vorher als reines Bauchgefühl. Ich muss also entweder ein gutes Gefühl oder wenigstens kein Störgefühl haben, wenn ich mich mit jemandem über bestimmte Inhalte austausche.

Es macht dabei einen Unterschied, ob ich Ihnen ein Interview gebe, ob ich in einem Projekt mit dem Bundeskriminalamt vertrauliche Informationen austausche oder ob ich im höchst privaten Bereich über intime Probleme rede. Ich halte Vertrauen in die Kommunikation gesellschaftlich für außerordentlich wichtig, weil ich glaube, dass eine Gesellschaft nur dann ein subjektives und objektives Gefühl von Freiheit entwickeln kann, wenn die Unbeschwertheit, die mit dem Vertrauen kommt, gegeben ist.

Es gibt Umfragen, die besagen, dass Nutzer kein Vertrauen in digitale Kommunikation haben. Unter welchen Umständen kann denn dieses Gefühl von Vertrauen in der Kommunikation zwischen Staat und Bürger oder Unternehmen und Verbraucher entstehen?

HL: Aus meiner ganz persönlichen Sicht kann ich dieses „kein Vertrauen“ nicht unterschreiben. Bei meiner Kommunikation im geschäftlichen Kontext – als Kunde oder als Endverbraucher mit Unternehmen – habe ich zunächst keine hohe Erwartungshaltung, was Vertraulichkeit und Integrität angeht.

Ich gehe zum Beispiel bei Online- Händlern immer davon aus, dass sie versuchen, den Preis hochzutreiben und das meiste herauszuschlagen. Sie sammeln Daten und kaufen Profile und wissen daher vielleicht, dass sie von mir mehr verlangen können als von einem anderen Kunden, weil ich mehr Geld zu haben scheine. Ich vertraue ihnen zwar nicht, aber ich kann trotzdem mit ihnen Geschäfte machen – weil es zum Beispiel vertragliche Regelungen gibt, an die wir beide uns halten.

Wenn wir einen anderen Kontext wählen – sagen wir mal, Sie wollen medizinische Produkte kaufen.

HL: Darauf kommt es eben an. In dem Moment, wo es um einen Sachverhalt geht, bei dem es auf Vertraulichkeit ankommt, würde ich keinen Online-Händler wählen. Dann würde ich vor Ort in einem Geschäft einkaufen. Nehmen wir ein Medikament, das nahelegen würde, dass ich an einer gesellschaftlich stigmatisierten Krankheit leide. In diesem Fall würde ich in den Nachbarort fahren, um es dort in der Apotheke zu kaufen. Andere Medikamente, bei denen es nicht so sensitiv ist, würde ich auch in einer Internetapotheke kaufen, wenn es sinnvoll ist. Immer wenn es um ein Geheimnis geht, das ich bewahrt haben möchte, würde ich keinem Online- Dienst vertrauen.

Das heißt, Sie wollen in gewissen Kontexten keine digitalen Kommunikationskanäle nutzen, auch wenn Sie dadurch einen höheren Aufwand haben?

HL: Das liegt nicht am Kommunikationskanal, sondern an denjenigen, die dort tätig sind. Im konkreten Beispiel den Internetversandhändlern. Ich traue ihnen heute keine Integrität mehr zu.

Aber wieso trauen Sie der Infrastruktur?

HL: Ich glaube nicht, dass Internet- Service-Provider wie die Telekom oder Vodafone meine Kommunikation mitschneiden und daraus Erkenntnisse gewinnen. Wir haben ein Telekommunikationsgesetz, das verbietet, dass meine Kommunikation aufgezeichnet und analysiert wird. Der Schaden, den eine Telekom hätte, wenn herauskommen würde, dass sie das trotzdem macht, wäre unendlich. Deshalb kann ich mir nicht vorstellen, dass ein Unternehmen an dieser Stelle systematisch Recht bricht. Es gibt natürlich immer die Gefahr, dass irgendein Systemadministrator Unfug treibt, aber das ist vergleichbar mit dem Risiko, dass jemand bei mir einbricht und meine Privatunterlagen stiehlt.

Das sind also zwei Faktoren, die Ihnen das Vertrauen geben: einmal das Gesetz und einmal die Reputation des Unternehmens.

HL: Genau.

Wie bewerten Sie Gütesiegel und Zertifikate, die anzeigen, dass Kommunikation gewissen Sicherheitsstandards entspricht? Können sie zusätzliches Vertrauen schaffen?

HL: Ich bewerte sie relativ hoch. Ich weiß als Ingenieur, Informatiker und informierter Mensch, dass hundertprozentige Sicherheit ein Wunschtraum ist. Es kann sie nie geben. Also geht es darum, sicherzustellen, dass der Aufwand, die Sicherheitsvorkehrungen zu brechen, möglichst hoch ist. Trotzdem bleibt ein Risiko: Wer genug Geld, Ressourcen und Zeit hat, kann diese Mechanismen überwinden.

Mit Qualitätsanforderungen kann dieser Aufwand so hoch getrieben werden, dass zumindest kriminelles Verhalten von Einzelpersonen oder sogar Organisationen so erschwert wird, dass sie sich lohnendere Ziele suchen. Organisationen, bei denen Geld keine Rolle spielt oder die aufgrund ihrer Rahmenbedingungen keinen echten Verfolgungsdruck haben – also zum Beispiel Nachrichtendienste –, sind natürlich trotzdem in der Lage, die Sicherheitsbarrieren zu überwinden. Mit dieser Vorstellung habe ich meinen Frieden gemacht, sonst würde ich paranoid werden. Das ist zwar nichts, was mich glücklich macht, aber ich habe mich arrangiert.

Brauchen wir höhere verpflichtende Standards und eine Haftung, wenn ein gewisses Mindestmaß an Sicherheitsstandards nicht eingehalten wird?

HL: Wir haben mit den europäischen Auflagen wie beispielsweise der eIDAS-Verordnung schon einen Satz an Normen an der Hand, mit denen man Kommunikationssysteme entwickeln und betreiben kann, die ein hinreichendes Maß an technischer und organisatorischer Sicherheit bieten. Es wird sich über die nächsten Jahre erweisen: Gibt es dafür eine ausreichende Zahlungsbereitschaft? Eins muss jedem klar sein: Sicherheit muss ich bezahlen, entweder mit Aufwand, mit Geld oder in der Regel mit beidem.

Das führt dann zur Frage, ob es überhaupt einen Markt für Vertrauen und Sicherheit gibt. Ich bin da nicht mehr ganz so sicher. Viele Verbraucher sparen sich krank und verkaufen ihre Seele, wenn sie dabei ein paar Cent sparen können. Im Übrigen verkauft jeder meiner Bekannten, der sich WhatsApp installiert, auch ungefragt meine Kontaktdaten. Diese Bedenkenlosigkeit macht mich schon manchmal zornig. Ob Standards wie eIDAS in dieser Welt erfolgreich sind, hängt deshalb sehr davon ab, ob es genügend Bereitschaft gibt, für sie zu bezahlen. Mein Vertrauen in die digitalen Dienste würde erheblich steigen, wenn wir alle etwas mehr Sorgfalt und Geld für digitale Sicherheit aufwenden würden.

Harald Lemke

Foto: Deutsche Post AG

Harald Lemke

Harald Lemke ist seit Juli 2010 Sonderbeauftragter für E-Government und E-Justice bei der Deutsche Post AG. Er gehörte der Enquetekommission Internet und digitale Gesellschaft an, ist Vorstandvorsitzender im Verein zur Selbstregulierung der Internetwirtschaft (SRIW e.V.), Mitglied im Verein Nationales E-Government Kompetenzzentrum (NEGZ e.V.) sowie Mitglied des Beirats des Deutschen Instituts für Vertrauen und Sicherheit im Internet (DIVSI). Von 2003 bis 2008 arbeitete er im Range eines Staatssekretärs als CIO für Hessen. Zwischenzeitlich war Lemke Berater für McKinsey & Company. 2002/2003 arbeitete er als IT-Direktor des BKA in Wiesbaden und war dort u. a. zuständig für die Einführung von INPOL-neu.