Der Kunde ist der Feind

Lug und Trug lauern überall. Qualitätsprüfungen an Tankstellen sollen sicherstellen, dass aus den Zapfsäulen reines Benzin in der richtigen Menge strömt, und ein Sicherheitssiegel garantiert, dass die Tankstellenbesitzer keine Manipulationen vornehmen. Dasselbe gilt für die Registrierkassen und Waagen in Ihrem Supermarkt.

Grundsätzlich kann man annehmen, dass ein Betrüger „rational“ handelt: Er wird nicht mehr für den Betrug aufwenden, als er dadurch gewinnen kann. Die Kosten des Betrugs sind das Risiko, erwischt zu werden, multipliziert mit der daraus resultierenden Strafe (Geldbuße, Reputationsverlust). Hinzu kommen die Ausgaben für die Technik, die dazu notwendig ist, die Sicherheitsmaßnahmen zu umgehen. Wenn es allerdings um Software geht, eröffnen sich ganz neue Möglichkeiten. Das grundlegende Prinzip jeder Software lautet: „Wenn dies passiert, dann tue das, ansonsten tue jenes“. Mit einem solchen Werkzeug können Betrüger viel raffinierter vorgehen und sind auch schwieriger zu erwischen. Man kann einer Software beispielsweise sagen: „Wenn die Möglichkeit besteht, dass du gerade geprüft wirst, sei ehrlich, ansonsten kannst du munter vor dich hin betrügen“.

Dies stellt unsere gegenwärtigen Kontrollmechanismen vor gravierende Herausforderungen: Ein einarmiger Bandit aus einem Casino in Las Vegas beispielsweise könnte ständig seinen Standort ermitteln, und wenn er merkt, dass er auch nur in die Nähe des Prüfzentrums der Kontrollbehörde gebracht wird, spielt er fair – ansonsten hätte er die Anweisung, den Casinobetreibern oder Automatenherstellern (oder beiden) mit einer Vielzahl fauler Tricks zusätzliche Millionen in die Kassen zu spülen.

Solche Systeme ermöglichen aber nicht nur diese naheliegenden Betrugsmanöver, sondern auch raffiniertere Manipulationen. Die Glücksspielkontrollbehörde von Nevada bestimmt zwar, wie viel Gewinn ausgeschüttet werden muss, aber nicht das Design der Automaten. So können die Hersteller ihre Automaten programmieren, dass es öfter so aussieht, als hätte man „beinahe gewonnen“ (eine Zitrone und zwei Kirschen anstatt der drei Kirschen, mit denen man den Jackpot gewinnt). Der Automat lässt einen also glauben, man hätte nur um Haaresbreite verloren.

Aber mit Software sind noch viel gefährlichere Betrügereien möglich. Von den Maschinen eines Händlers übers Ohr gehauen zu werden ist eine Sache – wenn man ein Unternehmen betreiben will, muss man Inspektionen und Zufallskontrollen in Kauf nehmen. Aber was, wenn man von seinem persönlichen Eigentum betrogen wird? Der berühmteste Fall ist wohl der Dieselskandal, der Volkswagen Milliarden gekostet hat (und immer noch kostet). Volkswagen hatte mehrere Dieselmodelle so manipuliert, dass der Motor erkennen konnte, wenn er einer Abgasinspektion unterzogen wurde, und dementsprechend weniger Schadstoffe ausstieß (was einen höheren Spritverbrauch zur Folge hatte). Im Normalbetrieb schaltete der Motor dagegen in einen sparsameren, aber auch umweltschädlicheren Modus. So konnte man die Fahrzeuge den Prüfungsinstanzen gegenüber als schadstoffarm, den Testern und Käufern dagegen als spritsparend präsentieren – warum sich entscheiden, wenn man alles haben kann!

Dieser Betrug kostete Menschenleben. Allerdings ging es hier „nur“ darum, staatliche Kontrollbehörden hinters Licht zu führen – bei Software-Betrug ist es auch möglich unabhängige Forschungsinstanzen zu täuschen. Ein prominentes Beispiel aus jüngster Zeit ist die Wannacry-Ransomware-Epidemie. Wannacry ist eine alte Schadsoftware, die auf unterschiedliche Weise angreifbare Hosts identifizieren und infizieren kann. Wenn sie sich einmal auf einem Rechner festgesetzt hat, verschlüsselt sie die darauf befindlichen Daten und verlangt im Austausch für den Entzifferungsschlüssel Lösegeld in der Kryptowährung Bitcoin. Im Frühsommer 2017 erlebte Wannacry eine Wiedergeburt, als die Virulenz der Software durch Kombination mit einer von der NSA gestohlenen Cyberwaffe dramatisch erhöht wurde.

Nur Tage später wurde dem Spuk durch die Entdeckung eines in die Software eingebauten „Notausschalters“ ein Ende gemacht: Sobald Wannacry einen neuen Rechner übernommen hatte, versuchte das Programm, sich mit <iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com> zu verbinden – und wenn es unter dieser Adresse einen Webserver erreichte, schaltete es sich sofort ab. Indem ein findiger Mensch diese Domain reservierte und einen Webserver dafür einrichtete, gelang es ihm, Wannacry zu stoppen. Auf der Stelle. Weltweit.

Jetzt kann man sich natürlich fragen, weshalb die Kriminellen überhaupt einen solchen „Notausschalter“ in ihre Software eingebaut hatten. Die Antwort lautet: um zu betrügen.

Die größte Gefahr für ein Programm wie Wannacry besteht darin, dass ihm vorgegaukelt wird, es hätte einen Computer infiziert, bei dem es sich in Wahrheit aber um einen sogenannten Honeypot handelt: ein virtuelles System, also ein Computerprogramm, das so tut, als wäre es ein Computer. Ein virtuelles System steht unter der vollständigen Kontrolle desjenigen, der es betreibt. Mit diesem an den Film Inception erinnernden Trick kann jede Aktivität der Schadsoftware genau beobachtet werden. Die Malware wird in eine virtuelle Welt gelockt, die sie nicht von der Realität unterscheiden kann. Diese abgeschotteten virtuellen Systeme sind außerdem in der Lage, so zu tun, als wären sie das gesamte Internet. Wenn die auf diese Weise in die Falle gelockte Schadsoftware versucht, Verbindung mit einem Webserver aufzunehmen, antwortet das virtuelle System anstatt dieses Servers, gibt sich als eine übergeordnete Instanz aus und versucht, dem Schädling seine Geheimnisse zu entlocken.

Wannacry wurde mit dem Ziel programmiert, zu erkennen, wenn es einem Honeypot auf dem Leim gegangen ist. Sobald die Software eine erfolgreiche Verbindung zu einer nichtexistenten Domain herstellen konnte, wusste sie, dass sie in einer Laborumgebung steckte und man versuchte, ihr auf die Schliche zu kommen. Erhielt Wannacry also eine Antwort von <iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com>, zog sich das Programm in ein verschlüsseltes Schneckenhaus zurück. Als man diese Domain tatsächlich registrierte, dachte jede Wannacry-Kopie auf der Welt, sie wäre in einem Honeypot-System gefangen und schaltete sich ab.

Wannacry war der Vorläufer einer neuen Generation von Betrug – dem an einer unabhängigen Prüfungsinstanz. Stellen Sie sich vor, dass die für einen Dieselmotor zuständige Software nicht mehr die staatlichen Umweltbehörden (die die Macht haben, Milliardenstrafen zu verhängen), sondern die Autotester betrügen soll, indem sie in einen abgasintensiven, aber spritsparenden Modus schaltet, sobald der Wagen auf der Teststrecke der Auto Bild steht. Ansonsten aber werden weniger Abgase ausgestoßen und mehr Kraftstoff verbraucht.

So etwas geschieht bereits. MSI und Asus – zwei namhafte Grafikkartenhersteller – wurden bereits des Öfteren dabei ertappt, Testern Musterexemplare mit Software geschickt zu haben, die weit über der empfohlenen Betriebsgeschwindigkeit operierte (ein Verfahren, das als „Übertakten“ bezeichnet wird). Diese Grafikkarten waren während des Tests blitzschnell. Das wirkte sich zwar negativ auf die Lebensdauer aus, doch das bekamen die Tester nicht mehr mit, weil sie die Musterexemplare dann schon längst wieder an den Hersteller zurückgegeben hatten. Die Fachjournalisten bescheinigten den Karten höhere Geschwindigkeiten als die der Konkurrenzprodukte, die Käufer bezahlten gutes Geld dafür und wunderten sich schließlich, warum sie nicht die versprochene Leistung bekamen.

Der Betrug kann aber noch viel tiefgehender sein. Vielleicht haben Sie schon einmal gehört, dass Druckerpatronen falsche Füllstände melden, damit Sie sie wegwerfen und eine neue kaufen, obwohl noch jede Menge (überteuerter) Tinte darin ist. Aber das ist nur die Spitze des Eisbergs. 2015 veröffentlichte HP ein falsches Sicherheitsupdate, das von einem echten nicht zu unterscheiden war. Millionen Nutzer installierten unwissentlich ein geheimes Zusatzprogramm mit einer langen Zündschnur: Nach sechs Monaten überprüften die damit infizierten Drucker, ob die Patronen nachgefüllt oder von einem Drittanbieter hergestellt worden waren, woraufhin Geräte, auf die das zutraf, die Arbeit einstellten.

Eine Unverschämtheit, aber nichts anderes ist von einer Firma zu erwarten, die Produkte und Dienstleistungen mit extrem hohen Gewinnmargen anbietet: Sie führt Krieg gegen ihre Kunden. Je günstiger diese wegkommen, desto weniger Profit macht der Hersteller. Kein Wunder, dass der Kunde als Feind angesehen wird, den man entweder austricksen oder dazu zwingen muss, neue Softwareversionen zu installieren (wie etwa die „Updates“ von iTunes oder Kindle, die ursprünglich vorhandene Funktionen deaktivierten) oder ausschließlich vom Hersteller abgesegnete Produkte zu verwenden.

Auch die Handybranche führt seit Langem Krieg gegen ihre Kunden. Solange die Mobilfunkbetreiber noch die vollständige Kontrolle über die Handys hatten, war es nur möglich, das Netz zu wechseln, indem man sich ein neues Telefon kaufte. Apple wehrte sich erfolgreich dagegen, indem es seine Smartphones mit dem firmeneigenen App-Store verknüpfte. Wenn man nun einem iPhone-Benutzer Software verkaufen wollte, musste man dreißig Prozent der durch diese App generierten Einnahmen an Apple abführen. Andere Betreiber banden ihre Kunden an sich, indem sie ihnen Handys mit modifizierten Android-Versionen andrehten, wodurch man gezwungen war, die Apps ausschließlich im Store des Anbieters zu kaufen.

Was mit Druckern seinen Anfang nahm und sich auf Handys ausbreitete, ist heute allgegenwärtig: in „smarten“ Thermostaten (für die es keine App gibt, um die Temperatur herunterzuregeln, wenn der Energieversorger ein paar Grad höher schaltet), Traktoren (für die man keine Ersatzteile von Fremdanbietern kaufen darf) oder Autos (die man nicht mehr von einer unabhängigen Werkstatt reparieren lassen darf). Und so weiter.

Bei allen diesen Betrügereien gilt der Besitzer des Geräts als Feind der Firma, die es hergestellt oder verkauft hat, der kleingehalten, getäuscht oder dazu gezwungen werden muss, ausschließlich im Interesse der Shareholder zu agieren. Zu diesem Zweck werden Programme und Prozesse entwickelt, die ihre wahren Absichten weder den Kunden noch ihren Fürsprechern (wie etwa Produkttestern oder Forschern) offenbaren.

Es gibt immer mehr dieser Geräte, die sich mit ihrer Funktionsweise an ihrem Benutzer orientieren. Wenn sie annehmen, sich in einer Testsituation zu befinden, verhalten sie sich anständiger und gesetzestreuer als sonst. Das ist eine schockierende und zutiefst beunruhigende Entwicklung, die uns ins finsterste Mittelalter zurückführt – in eine Zeit vor der Aufklärung, vor der Etablierung wissenschaftlicher Standards und Qualitätssicherung, als die Forschung noch das Gebiet der im Geheimen tätigen Alchemisten war.

Die mittelalterlichen Alchemisten waren bestenfalls mittelmäßige Labortechniker, und es gab auch keine Kollegen, die sie auf die Fehler in ihren Experimenten hätten hinweisen können. Ohne objektive Prüfung der Versuchsanordnung wundert es nicht, dass dasselbe Experiment jedes Mal zu einem anderen Ergebnis führte. Ohne Kontrollmechanismen waren die Alchemisten also dazu verdammt, sich für diese vorgebliche Unberechenbarkeit der Natur irgendwelche Erklärungen auszudenken. Und da sie nun mal fehlbare Menschen waren, waren ihre Erklärungen obendrein von menschlicher Hybris durchdrungen. So gelangten die Alchemisten zu dem Schluss, dass die Welt verflucht war, dass Gott oder der Teufel nicht wollten, dass sie hinter ihre Geheimnisse kamen. Dass sich die Welt neu ordnete, wenn sie gerade nicht hinsahen, damit sie undurchschaubar blieb. Engel bestraften jeden, der zu nahe an die Sonne flog, und Teufel blendeten diejenigen, die die Herrlichkeit Gottes schauen wollten.

Daran hat sich im 21. Jahrhundert nicht viel geändert, scheint es. Nichtmenschliche Lebensformen – Kapitalgesellschaften – infizieren die Grundlagen unserer „smarten“ Häuser und Städte mit Apparaten, die je nach Benutzer und abhängig von ihrer Umgebung einer unterschiedlichen Physik gehorchen. Marcelo Rinesi vom Institute for Ethics and Emerging Technologies nennt die moderne Computerwissenschaft „angewandte Dämonologie“.

Hinzu kommt, dass die Gesetze des letzten Jahrtausends den Dämonen des 21. Jahrhunderts in die Hände spielen. Nach US-amerikanischem Gesetz können Verstöße gegen die von den Firmen aufgestellten Nutzungsbedingungen sogar mit Freiheitsstrafen geahndet werden. Sich unter falscher Identität bei einer Website anzumelden, um herauszufinden, ob sie sich je nach Benutzer anders verhält, stellt unter Umständen eine Straftat dar (nachzulesen in den kleingedruckten Nutzungsbedingungen, die jeder sofort wegklickt). Außerdem ist es strafbar, die digitalen Sperren zu umgehen, die Zugang zu einem urheberrechtlich geschützten Werk gewährt. Da jede Software unter das Urheberrecht fällt und jedes smarte Gerät Software enthält, steht jeder, der seinen Traktor so modifiziert, dass er den Vergaser eines Fremdherstellers einbauen kann, sein Handy so modifiziert, dass er Apps von unabhängigen Anbietern installieren kann, oder sich ein Programm herunterlädt, mit dem er Generika in seiner implantierten Insulinpumpe verwenden kann, mit einem Bein im Knast.

Die Versuchung, diese hinterlistigen Dämonen in der Betriebssoftware aller möglichen Apparate zu verstecken, ist groß – und dazu kommen obendrein noch die Gesetze, die es verbieten, die Dämonen auszutreiben. Aber es regt sich Widerstand. Ein von der Amerikanischen Bürgerrechtsunion ACLU angestoßenes Gerichtsurteil hat dazu geführt, dass es für Forscher und Wissenschaftler künftig Ausnahmen von diesen Gesetzen gibt. Und auch die Electronic Frontier Foundation kämpft mit juristischen Mitteln gegen diese Gesetzgebung.

Diese Gesetze abzuschaffen ist der erste Schritt zur Wiederherstellung eines Zustands, in dem uns unsere Habseligkeiten wieder als Eigentümer behandeln. Betrügerischen Firmen droht die Todesstrafe – also die Zerschlagung. Wenn das Risiko, erwischt zu werden, niedrig ist, sind hohe Strafen die beste Prävention gegen dunkle Machenschaften. Sonst hat man irgendwann einen Toaster, der kein Brot von Drittherstellern akzeptiert, und einen Geschirrspüler, der nur lizenziertes Geschirr wäscht.

Bessere Computer zu erfinden wird die Probleme der Welt nicht lösen. Und Computer, die hinter unserem Rücken gegen uns arbeiten und uns als Feinde betrachten, schon gar nicht.

Cory Doctorow ist Schriftsteller, Journalist und Internet-Ikone. Mit seinem Blog, seinen öffentlichen Auftritten und seinen Büchern hat er weltweit Berühmtheit erlangt. Sein Roman „Walkaway“ ist im Shop erhältlich. Zuletzt erschien bei Heyne seine Novelle „Wie man einen Toaster überlistet“ (im Shop).