(In-)Transparency Rules

Wenn es heute in Sachen Datenschutz und Sicherheit zwischen Naivität und Paranoia, zwischen Begeisterung und „Bremsertum“ nur wenig gesunden Mittelweg gibt, dürfte das nicht zuletzt daran liegen, dass es äußerst schwierig ist, die Konsequenzen der Nutzung einer Software oder eines Services zu ergründen. Der Normalanwender ist völlig überfordert und auch der Profi hat kaum Zeit und Mittel, um eine wirkliche „Technikfolgenabschätzung“ durchzuführen.

Oft bleiben nur Bauchgefühl, Reputation und Werbeversprechen der Anbieter, Resignation oder Verweigerung. In einem solchen Umfeld ist es verständlich, wenn sich Verantwortliche für Datenschutz und Sicherheit Neuem gegenüber skeptisch zeigen – was haben sie denn in der Hand, um eine fundierte Entscheidung zu fällen? Produktivitäts- oder Bequemlichkeitsgewinne sind hingegen offensichtlich. Der Druck, Neues zuzulassen oder sogar aktiv anzubieten, ist daher oft groß. Und das ja nicht immer zu Unrecht: Neues kann schließlich auch sicherer oder datenschutzfreundlicher sein als „traditionelle“ Verfahren und Systeme – oder zumindest durch überwiegende Vorteile trumpfen (s. a. S. 12).

Wäre es nicht prima, wenn Anbieter uns ein – zumindest in Teilen – objektiv nachprüfbares, standardisiertes Profil liefern würden, das umfassend darlegt, was ihr Produkt eigentlich macht? Sprich: welche (Klassen von) Daten erhoben, verarbeitet und gegebenenfalls wohin übermittelt werden, welche Zugriffe notwendigerweise und optional auf Dateisystem (bis auf Ordner- oder Dateiebene) und Netzwerk (Ziel, Protokoll, Inhalte) erfolgen und so weiter – das Ganze weitestgehend unabhängig von den Barrieren natürlicher Sprache und so detailliert, das es sich automatisch mit eigenen (gleichermaßen standardisierten) Policies abgleichen lässt und eventuell eine automatisierte Konfiguration gestattet.

Derartige Daten könnten schon bei der Beschaffung von Diensten und Anwendungen eine (Vor-)Selektion ermöglichen und später Sicherheitssystemen als Blaupause für spezifische Firewallregeln, die Einrichtung passgenauer Sandboxes oder zur Feststellung untypischen Verhaltens dienen – hier setzt dann auch die Prüfung an. Eine Auflistung genutzter Softwarebibliotheken oder Drittanbieterdienste könnte das Complianceund Schwachstellenmanagement vereinfachen – und sicherlich sind noch viele weitere Nutzungsmöglichkeiten denkbar.

Ohne starken Druck eines Schulterschlusses aus Anwender-, Privacy- und Security-Kreisen (oder ein regulatorisches Erfordernis) wird es so etwas aber wohl nie geben – oder es bliebe ein ausgearbeiteter, aber ungenutzter Standard wie die P3P-Spezifikation des World Wide Web Consortium (W3C), die etwas Ähnliches für den begrenzten Anwendungsfall von Datenschutzerklärungen für Websites realisieren wollte. Bleibt die Frage: Was ist uns Transparenz wert und wie können wir sie erreichen?