Wieso ‘Ich habe nichts zu verbergen’ kein valides Argument ist

Wenn es um Informationssicherheit geht, wer­den immer wie­der Argumentationslinien vor­ge­tra­gen, die dem Thema die Legitimation abspre­chen wol­len. Einer der belieb­tes­ten Sätze ist dabei: “Ich habe nichts zu ver­ber­gen”. Gerne auch in den Ausprägungen “Von mir kann jeder alles wis­sen” oder “Ich habe kei­ne Geheimnisse”. In die­ser Äußerung schwingt ein “…und ich hal­te die Diskussion über­haupt für über­spitzt und über­trie­ben. Geh weg!” mit.

Wir, denen jedoch die Aufklärung und die damit ver­bun­de­ne Achtsamkeit am Herzen liegt, wie reagie­ren wir in einer sol­chen Situation? Natürlich kann man sich dem Thema argu­men­ta­tiv wid­men und dar­stel­len, wel­che Gefahren mit der Vernachlässigung von Privats- und Intimsphäre, oder dem Verlust von Geschäftsgeheimnissen ein­her­ge­hen. Man kann auf George Orwell refe­ren­zie­ren oder die Gratwanderung zwi­schen not­wen­di­ger staat­li­cher Regulierung und dem Verlust von Freiheitsrechten dis­ku­tie­ren. DSGVO hier, Kritische Infrastruktur da. All das kann man tun. Häufig ist der Erfolg jedoch über­schau­bar, da hier zwei Ebenen nicht zusam­men­fin­den — die emo­tio­na­le und die ratio­na­le Ebene.

Ich habe nichts zu ver­ber­gen” ist kein ratio­na­les Argument, das aus einer län­ge­ren Überlegung vol­ler Abwägungen zwi­schen unter­schied­li­chen Positionen ent­stan­den ist. Das kann es gar nicht sein. Es ist eine emo­tio­na­le Äußerung, die unter­schied­li­chen Ursprungs oder unter­schied­li­chen Motiven ent­sprin­gen kann — aber es ist eine emo­tio­na­le Äußerung. Die Erfolgsaussichten wach­sen, wenn die­sem Argument eben­falls auf der emo­tio­na­len Ebene begeg­net wird.

Aber wie schafft man das? Dies kann eine kur­ze Rückfrage nach dem letz­ten Jahresgehalt sein — dürf­te ja kein Problem sein, wenn man das Argument ein­mal ernst nimmt. Es kön­nen jedoch auch Beispiele sein, die das Gegenargument unter­strei­chen und auf emo­tio­na­ler Ebene begeg­nen. Anekdotisch evi­dent zu ant­wor­ten ver­eint zwei Vorteile:

  1. Anekdoten sind greif­bar, bild­haft, machen ein Thema nach­voll­zieh­bar und stei­gern die Betroffenheit.
  2. Anekdoten kön­nen ein Thema auf der emo­tio­na­len Ebene begeg­nen — also auf der glei­chen Ebene, auf der das ver­meint­li­che Totschlagargument vor­ge­tra­gen wur­de.

Drei kur­ze Beispiele, die “Ich habe nichts zu ver­ber­gen” aus­he­beln:

1. Bewusste Datenzweckentfremdung: Der Stabhochspringer Tim Lobinger
Als der Weltklasse-Stabhochspringer Tim Lobinger an Leukämie erkrank­te, ging er offen mit die­ser Situation um und berich­te­te in Interviews über die­se schwe­re Krankheit. Als er ein attrak­ti­ves Angebot über einen neu­en Handyvertrag wahr­neh­men woll­te, wur­de ihm die­ser ver­wehrt. Wie er dem Magazin 'Die Bunte' berichtete mit der Begründung: “ich kön­ne die Mindestlaufzeit auf­grund mei­ner Erkrankung ja wohl nicht erfül­len”. Niemand von uns weiß, wie sich der per­sön­li­che Gesundheitszustand in der Zukunft ent­wi­ckelt. Dass sich aus einer Krankheit unter der Zweckentfremdung per­so­nen­be­zo­ge­ner Daten ein der­ar­ti­ger Nachteil ergibt, so dass Menschen von selbst­ver­ständ­li­chen Kommunikationsmedien aus­ge­schlos­sen wer­den, ist nicht tole­rier­bar. Daten kön­nen also bewusst zweck­ent­frem­det ver­wen­det wer­den.

2. Unbewusste Datenzweckentfremdung: Alexa, wer hat mei­ne Sprachaufzeichnungen?
Durch die DSGVO steht es ja jedem Bürger frei, Firmen danach zu fra­gen, wel­che per­so­nen­be­zo­ge­nen Daten die­se über sie besit­zen. Dieses Recht nach ein amazon.de-Kunde wahr und erhielt ein ent­spre­chen­des Datenpaket. Wie die c´t jedoch zu berichten weiß, waren in die­sem Datenpaket 1.700 Sprachaufzeichnungen ent­hal­ten, mit denen ama­zon echo-Geräte gesteu­ert wer­den inkl. einem Transkript, was ama­zon so alles ver­stan­den hat. Das Problem an die­ser Stelle war, dass die­se Sprachaufzeichnungen gar nicht von der anfra­gen­den Person stamm­ten, die selbst gar kein ama­zon echo-Gerät besitzt. Vielmehr stamm­ten sie aus dem Wohnzimmer, dem Schlafzimmer und dem WC eines ande­ren Kunden. Dadurch, dass die­se Aufzeichnungen jedoch genü­gend pri­va­te Informationen ent­hiel­ten, konn­te der eigent­li­che Kunde, der die­se Sprachbefehle absetz­te, aus­fin­dig gemacht wer­den. Amazon hat­te ihn nicht über die­ses Datenleck infor­miert. Erst auf das Agieren des hei­se-Verlags hin, mel­de­te sich Amazon bei dem Kunden, berich­te­te von einem bedau­er­li­chen Einzelfall und ent­schul­dig­te sich bei dem Geschädigten mit einer kos­ten­lo­sen Prime-Mitgliedschaft und zwei wei­te­ren Echos. Humor haben sie ja.

3. Flächendeckendes Risiko: Smart Meter-Sicherheitslücken
Ein wich­ti­ges Kriterium für den Erfolg von Wohnungseinbrüchen ist die Tatsache, dass die Bewohner gera­de nicht zu Hause sind. Ungestört stö­bern und steh­len — ein Traum für Einbrecher. Ob jemand anwe­send ist, kön­nen Kriminelle auf­wän­dig über die Observation der Zielobjekte her­aus­fin­den, indem sie schau­en, wer wann das Haus ver­lässt und wer wann regel­mä­ßig wie­der­kommt. Ob ein Haus oder eine Wohnung aber gera­de ver­las­sen ist, lässt sich auch über den aktu­el­len Stromverbrauch able­sen. Smart Meter pro­to­kol­lie­ren in der Regel im 15-Minuten-Takt den aktu­el­len Stromverbrauch, wor­aus sich ein sehr guter Verbrauchs-Fingerabdruck gene­rie­ren lässt. Würden die­se Informationen durch Sicherheitslücken in den Geräten jedoch auch Dritten zugäng­lich gemacht wer­den, so hät­ten Einbrecher ein leich­te­res Spiel. Zwei Dinge sind klar. Erstens: Smart Meter haben Sicherheitslücken und sind angreif­bar, was vie­le Beispiele der ver­gan­ge­nen Monate und Jahre zei­gen. Zweitens: Es exis­tiert sei­tens der Stromversorger ein gro­ßes Interesse, Smart Meter flä­chen­de­ckend ein­zu­füh­ren, da so deut­lich Aufwand bei­spiels­wei­se für das Ablesen ein­ge­spart wer­den kann. Es ist also wahr­schein­lich eine Frage der Zeit…

Die Gefahr von Einbrüchen ist nicht abs­trakt son­dern sta­tis­tisch exakt aus­weis­bar. Anekdotisch dar­ge­stellt erreicht die­ses Thema die emo­tio­na­le Ebene und erzeugt Betroffenheit, indem der Gesprächspartner sich selbst fra­gen kann: “Oh, könn­te bei mir das auch pas­sie­ren? Würde ich die­se Daten wirk­lich nicht ver­ber­gen wol­len?”

Eine ganz wich­ti­ge und hin und wie­der lei­der ver­nach­läs­sig­te Säule von awa­ren­ess­bil­den­den Maßnahmen für Informationssicherheit ist also die emo­tio­na­le Ebene. Nur wenn es gelingt, neben dem Wissensaufbau auch Sympathie durch Anschlussfähigkeit, Betroffenheit und Humor her­zu­stel­len, sind ent­spre­chen­de Maßnahmen nach­hal­tig und erfolg­rei­cher. Solch tro­cke­nen Themen eine gewis­se Leichtigkeit und Unterhaltsamkeit zu geben, ist somit kein Nachteil, son­dern nach­weis­bar för­der­lich. Wir zei­gen Ihnen ger­ne wie. Sprechen Sie uns einfach an.