Heutige Smartphones haben eine ganze Menge guter (Sicherheits-) Eigenschaften – Kapselung von Apps, besonders gesicherte Speicher, häufige Updates, biometrische Sensoren, intensive Aufmerksamkeit der Nutzer:innen et cetera. Daher bringen wir diesen Geräten sowie den umgebenden Ökosystemen viel (überwiegend implizites) Vertrauen entgegen und machen sie gern zum Träger zusätzlicher Sicherheitsfaktoren sowie wichtiger Apps mit Zugriff auf sensible persönliche und geschäftliche Daten – wir gestatten den Geräten, uns quasi ständig zu begleiten und eine Unmenge von Informationen mit und über uns zu generieren.
Wie vielen unterschiedlichen „Playern“ und Systemen entlang der komplexen Lieferketten wir dabei vertrauen (müssen), führen wir uns wohl eher selten vor Augen. Neben den Herstellern und ihren mehr oder minder geschlossenen Systemen kommt mittlerweile eine (vermutlich selbst für die meisten Anbieter) kaum überschaubare Zahl von Entwicklern und Zulieferern hinzu, die zu Hardware, Firmware, Software und Cloud-Services direkt oder indirekt beitragen – noch dazu in und aus einem internationalen Markt mit erheblich divergierenden wirtschaftlichen Begehrlichkeiten, der stetigen Bedrohung durch Cyberkriminelle sowie Einflussnahme durch nationalstaatliche Interessen.
Wenn wir also erfahren, dass Millionen von Smartphones schon kompromittiert ausgeliefert wurden (s. S. 46), sich die Sicherheitsprüfungen der einschlägigen Appstores – wenig überraschend – immer wieder überlisten lassen oder gelegentlich auch mal „ganz normale“ Apps (aka Malware) per Exploit das Handy rooten können, dann sollten das beunruhigende Nachrichten sein. Natürlich lassen sich geschlossenere Ökosysteme, bis hin zu den berühmten „Walled Gardens“, strikter prüfen, aber wehe, wenn sich in solche paradiesischen Monokulturen mit erschwerten unabhängigen Überwachungsmöglichkeiten dann doch etwas einschleichen kann! Ganz abgesehen davon, dass angesichts der allgegenwärtigen Consumerisation auch „Business-Handys“ den allfälligen (mehr oder minder legitimen) Geschäftsinteressen der kontrollierenden Anbieter unterworfen sind, die ja längst nicht mehr nur durch den Verkauf von Hardware ihr Geld machen – und die naturgemäß gegen Fehler, Missbrauch oder nationalstaatliche Begierden ebenfalls nicht gefeit sind.
In meinen Augen liegt eine mögliche Lösung in einem derart verwobenen Interessengeflecht eher in Transparenz und der Einrichtung mehrseitiger Sicherheit als in mehr Abgeschlossenheit und ausschließlicher Prüfung durch „vertrauenswürdige“ Anbieter – hinzu kommt das Erfordernis von Wissen/Awareness sowie Prüf- und Eingriffsmöglichkeiten durch befähigte Nutzer:innen, Communitys sowie Interessenvertreter wie Wirtschaftsverbände, Verbraucherschutz- und Bürgerrechtsinstitutionen oder auch unabhängige (!) Aufsichtsbehörden. Wem auch immer man vertrauen möchte – sollte man nicht die Wahl zwischen mehr als einer Handvoll (über-)mächtiger Tech-Konzerne haben?