Die heutige Degitalisierung startet mit tiefsinnigen Fragen. Sie stammen aus einer Konversation über ein vermeintlich rein technisches Problem.

„Aber was macht das mit den Menschen?“ Vielleicht ist diese Gegenfrage, wie sich der Einsatz von Technik auswirkt, nicht unbedingt das Erste, was ihr erwarten würdet, wenn ihr einer Expert*in eine vermeintlich ausschließlich technisch geartete Frage stellt.

Es folgten eine zweite ungewöhnliche Frage und ein eindringlicher Appell, die heute immer noch in meinen Gedanken nachhallen. Auch nach Jahren.

„Kann es Menschen Schaden hinzufügen? Dann solltest du das nicht weiter vorantreiben.“

Die Fragen und den Appell habe ich tatsächlich im Gespräch mit einer bekannten Person aus dem Fachbereich der Kryptografie zu hören bekommen. Ganz im Sinne der Privatsphäre sei jetzt nebensächlich, wer genau das war. Die Wahrscheinlichkeit ist aber sehr hoch, dass sehr viele von euch das Werk dieser Person möglicherweise schon genutzt haben.

Im Wesentlichen haben diese Fragen nach der Wirkung von Technik auf Menschen und die Gesellschaft eine Abkürzung aufgezeigt. Eine Abkürzung hin zur eigentlichen Wirkung von Technik. Eine Abkürzung, die so wieder zu mehr Nutzen für alle führen kann.

Digitalisierung wirkt oftmals einfach und logisch. Alles sei durch Daten, Daten und Daten abbildbar und das sei ja auch wichtig für sogenannte Künstliche Intelligenz und Innovation und überhaupt – die Wirtschaft. Zuerst an die möglichen negativen Folgen zu denken und deshalb schon im Design bessere Lösungen mit weniger möglichem Schaden für Betroffene zu schaffen, scheint daher oftmals gar nicht so erstrebenswert. Leider.

Datenketten und Schulabbrüche

Um das mit der Schadensvermeidung besser zu verstehen, bedarf es vielleicht eines aktuellen Beispiels. Vor ein paar Tagen fiel der Spitzenkandidat der Grünen in Baden-Württemberg, Cem Özdemir, mit der Forderung nach einer Schüler-ID auf. Er forderte öffentlich eine eindeutige und dauerhafte Kennnummer für Schüler*innen, die quasi als „Schulabbrecher-Prellbock“ dienen würde. Eine Art Frühwarnsystem, das Alarm schlagen könne, „bevor ein Schüler durch das Raster fällt“.

Aber nicht nur in Baden-Württemberg gibt es Pläne für eine solche Schüler-ID, auch die Bundesregierung möchte das laut Koalitionsvertrag weiter voranbringen. Wie so häufig sind die Ziele von solchen digitalen Vorhaben oftmals im Kern löblich: Weniger Schüler*innen sollen die Schule ohne Abschluss verlassen, es soll bessere Fördermöglichkeiten geben.

Im Koalitionsvertrag steht sehr klar, wie das alles zu schaffen sei: Von einer datengestützten Schulentwicklung und einem Bildungsverlaufsregister ist da die Rede, von einer Schüler-ID, die auch gleich noch mit einer Bürger-ID verknüpft werden soll. Nach einem vermeintlich löblichen Ansinnen – die Schulabbrecherquote senken – folgt eine ganze Menge an potenziellem Schaden: mögliche dauerhafte Stigmatisierung wegen schlechter schulischer Leistungen, Reduktion auf nackte Zahlen bei Ignoranz der oftmals vielfältigen Gründe für schulische Probleme, Objektivierung von jungen Menschen, die immer persönlich anerkannt und wertgeschätzt werden sollten, und so weiter.

Ob eine Schüler-ID überhaupt wirksam ist, ist von der Datenlage her eher eine „entdeckerische, explorative“ Frage. Man müsse erst mal schauen, was sich über ein paar Jahre vielleicht statistisch begleiten lässt, so etwa die Aussage einer Professorin für Mediendidaktik im Breitband-Beitrag zum Thema. Sehr große Fragezeichen, unklare Risiken. Eigentlich sollte man das nicht vorantreiben.

Der vermeintlich löbliche Zweck der Schüler-ID, Schulabbrüche zu verhindern oder Schüler*innen besser zu fördern, schreit geradezu nach Privatsphäre-sensitiven Lösungen, die jedes Mal neue Chancen ermöglichen, sich zu verbessern. Unvoreingenommenheit braucht es hier etwa als wesentliches Merkmal, um Menschen jedes Mal neu gute Chancen zu bieten, zu einem guten Abschluss zu kommen, teils auch ein Leben lang.

Der Zweck schreit nicht nach einer typischen Verwaltungslösung mit mehr Daten und umfassenden Registern, er schreit erst mal nach gar keinen rein digitalen Lösungen. An sich ließe sich die digitalpolitische Diskussion hier schon wieder vollständig abkürzen. Sollte es aber unbedingt eine digitale Hilfslösung sein (müssen), dann müsste dies eine konsequent individuelle, vertrauliche und vergessliche Lösung sein, die Mängel in der schulischen Entwicklung anzeigt. Also eben kein Bildungsregister mit lebenslänglichen IDs, die dann auch noch mit einer Bürger-ID verknüpft werden.

Nichtnutzen und Markterfolg

Allzu oft scheint der ursprüngliche Sinn und Nutzen einer digitalen Lösung vergessen zu werden. Ein Paradebeispiel ist die Digitalisierung des Gesundheitswesens in Deutschland, nicht erst seit der elektronischen Patientenakte „für alle“. Bevor jetzt wieder „der Datenschutz“ als Wurzel allen Übels herhalten muss, sollten wir erst einmal ein paar Jahre in die Vergangenheit schauen: Was war der Auslöser, das Gesundheitswesen in Deutschland zu digitalisieren? Welchen Nutzen wollte man stiften?

Ein wichtiges Ereignis in dieser Genese ist der Lipobay-Skandal von 2001. Dabei wurde der Cholisterinsenker Cerivastatin nach Todesfällen vom Markt genommen. Nach der Untersuchung der betroffenen Patient*innen stellte sich heraus, dass es kaum Aufzeichnungen über Medikamente gab. Damals wurde die Einführung einer Chipkarte vorgeschlagen, um darauf die verordneten Medikamente zu speichern und mögliche Kontraindikationen feststellen zu können.

Der Rest ist dann mehr oder weniger Geschichte, oder wie Detlef Borchers schon 2011 bei heise schrieb: Aus der einfachen Verschreibungsliste erwuchs ein höchst komplexes System, das Deutschland eine „telemedizinische Infrastruktur“ bescheren sollte.

Harter Sprung ins Jahr 2025: An der Digitalisierung des Gesundheitswesens Beteiligte schwärmen davon, dass jetzt die Medikationsliste – diesmal aber wirklich manifest geworden in der ePA für alle – Leben rette. „KI-ready“ sei die ePA jetzt auch, wenn der versprochene Nutzen schon etwas später und die Kosten ein paar unzählige Milliarden Euro teurer geworden sind als die ursprünglich gedachte Medikationsliste.

Auf dem Weg dorthin sind neben diversen Sicherheitsproblemchen, auf die speziell ich jetzt nicht noch mal eingehen möchte, neue Probleme mit der Verfügbarkeit dazugekommen. Ob das elektronische Rezept funktioniert, das vielleicht auch irgendwie zum Nutzen dieser Medikationsliste gezählt werden könnte, ist gefühlt so planbar wie eine Fahrt mit der Deutschen Bahn. Kaum ein Tag ohne Ausfälle und die Zuverlässigkeit des E-Rezepts stellt Apotheken jedes Mal aufs Neue vor Herausforderungen, um die medizinische Versorgung überhaupt sicherstellen zu können.

Erfolgreich sind in der Genese der Digitalisierung des deutschen Gesundheitswesens eigentlich nur Unternehmen gewesen – auch dank dem in der Telematikinfrastruktur zelebrierten Marktmodell. Manche Firmen wie CGM verdienten besonders gut und deren Gründer finanziert jetzt mit dem vielen Geld rechte Newsportale.

Klar, es wäre auch anders gegangen in den 2000er-Jahren. Als nutzenfokussierte Abkürzung: mit eher kartenbasierten, offlinefähigen Anwendungen wie einer gut gemachten Medikationsliste zu starten. Aber der Drang noch mehr Daten, Daten, Daten und Überwachung war schon damals stärker.

Der zweifelhafte „Erfolg“ der Telematikinfrastruktur sollte bei allen digitalpolitischen Vorhaben eine Warnung sein. Eine Warnung, was passiert, wenn ursprüngliche, oft löbliche Ziele immer mehr aufgeblasen werden. Eine Warnung, was passiert, wenn trotz von vielen Seiten vorgebrachter, greifbarer Probleme immer wieder wild drauf los digitalisiert wird.

Gerade der aktuell sehr kritisch angegangene, nervige Datenschutz bietet Handlungsleitlinien wie Datensparsamkeit, Security by Design und Privacy by Design, um immer wieder über eine Abkürzung zum eigentlichen Zweck und Ziel von Digitalisierungsvorhaben zu kommen. Am Ende bleibt immer wieder die eine Frage zentral: Was macht das mit den Menschen?

Die berüchtigte Cybercrime-Bande „Scattered Lapsus$ Hunters“ zieht sich vorerst aus dem kriminellen Geschäft zurück. Das behauptet sie zumindest in einer Stellungnahme, die auf einer der Domains des mittlerweile abgeschalteten Untergrundforums „Breach Forums“ veröffentlicht wurde. Szenekundige halten das Statement für authentisch, doch in sozialen Medien brüstet die Gruppe sich weiter mit Angriffen. Ein besonders vergiftetes Abschiedsgeschenk macht sie Strafverfolgern.

„Wie ihr wisst, waren die letzten Wochen hektisch“, schreiben die unbekannten Verfasser und listen vermeintliche und tatsächliche Opfer auf. Strafverfolger wie Unternehmen verspotten die Autoren und deuten verschiedene bekannte, aber auch unveröffentlichte Datenlecks an. Sie drücken den Angehörigen der inhaftierten Gruppenmitglieder von Lapsus$, Scattered Spider und ShinyHunters aus und kündigen dann an: „Unsere Ziele sind erfüllt, es ist nun Zeit, sich zu verabschieden“. Einige Mitglieder könnten sich jetzt auf den Millionen ausruhen, die durch Erpressung und Sabotage zusammengekommen seien, andere würden weiter forschen.

Tatsächlich erschienen in einem der Social-Media-Kanäle der Gruppe kurz nach der Ankündigung liebevoll mit MS Paint bearbeitete Screenshots offenbar interner Systeme verschiedener US-Behörden. Auch einen Angriff auf die britische National Crime Agency (NCA) deutete das vorerst letzte Posting der Bande an. Offenbar ist ein Teil der Gruppierung noch nicht bereit, den Ruhestand anzutreten.

Dass es sich um ein authentisches Dokument der Gruppe handelt, ist wahrscheinlich. Die Person oder Personen hinter dem Aliasnamen „ShinyHunters“ kontrollierten zuletzt das Untergrundforum BreachForums, das nach mehreren Razzien durch Strafverfolger jedoch mittlerweile geschlossen ist. Um die jüngste Ankündigung zu veröffentlichen, reaktivierte ShinyHunters eine brachliegende Breachforums-Domain – das Pamphlet ist zudem in den als authentisch geltenden Social-Media-Kanälen der Gruppierung verlinkt.

Gewöhnlich gut unterrichtete Insider bestätigten heise security zudem die Authentizität – ShinyHunters selbst äußerte sich auf Anfrage bislang nicht.

Profilierte Cybergang

Die Gruppe, bestehend aus Mitgliedern der Gruppierungen „Scattered Spider“, „Lapsus$“ (Eigenschreibweise: LAPSUS$) und „ShinyHunters“, tat sich in der Vergangenheit immer wieder durch Cyberangriffe, oft mittels Social Engineering, hervor. So stecken sie hinter der Attacke auf die britische Kette Marks & Spencer, die für empfindliche Versorgungsengpässe in deren Geschäften sorgte, das Unternehmen 300 Millionen Pfund und den CTO den Job kostete. Auch Jaguar kämpft mit den Auswirkungen eines mutmaßlichen „Scattered Lapsus$ Hunters“-Angriffs: Vorerst sollen Mitarbeiter in der Fahrzeugproduktion daheimbleiben.

(cku)