Seit rund einem Jahrzehnt stellt Microsoft die Azure-basierte Cloud-Infrastruktur des US-Verteidigungsministeriums (Department of Defense, DoD) bereit. Eine Recherche der US-Organisation ProPublica enthüllte nun, dass der Konzern dabei wohl grob fahrlässig mit hochsensiblen Regierungsdaten umging: Die Betreuung der Infrastruktur überließ er auch Technikern aus Nicht-US-Ländern – unter anderem aus China. Kontrolliert wurde deren Arbeit offenbar nur oberflächlich aus der Ferne – von sogenannten „Digital Escorts“, US-Bürgern mit entsprechender Sicherheitsfreigabe.

Akute Gefahr gebannt…

Ob dabei Daten ausspioniert wurden oder Schäden etwa durch eingeschleusten Schadcode entstanden, ist bisher nicht bekannt. Unklar bleibt auch die Dimension der Vorgänge, also etwa die Anzahl der involvierten chinesischen IT-Fachkräfte.

ProPublicas Rechercheergebnisse wurden am vergangenen Freitag zunächst von einem Microsoft-Sprecher indirekt bestätigt: Auf X versicherte Frank X. Shaw, dass der Konzern die Beteiligung chinesischer Entwickler an der Betreuung der DoD-Regierungscloud und „verwandter Services“ gestoppt habe. Als Grund für den Stopp nannte er „Bedenken“, die bezüglich der Beteiligung ausländischer ITler aufgekommen seien.

Eine weitere Bestätigung in deutlich drastischeren Worten folgte kurz darauf von US-Verteidigungsminister Pete Hegseth auf X. Er sprach von „billiger chinesischer Arbeit“ („cheap chinese labour“), deren Inanspruchnahme „offensichtlich inakzeptabel“ sei und die eine potenzielle Schwachstelle in den DoD-Computersystemen darstelle. Ab sofort sei China nicht mehr am Betrieb der DoD-Cloud beteiligt, zudem sei eine Untersuchung eingeleitet worden.

Ganz nebenbei machte Hegseth in seiner kurzen Ansprache die Obama-Regierung mitverantwortlich, da diese den ursprünglichen Cloud-Deal ausgehandelt habe. Microsoft wiederum nannte er nicht namentlich; stattdessen sprach er allgemeiner von „einigen Tech-Firmen“. Laut ProPublica ist indes nicht bekannt, ob auch andere für die US-Regierung tätige Cloud-Provider wie Amazon Web Services oder Google Cloud ebenfalls auf Digital Escorts setzen. Auf Anfrage hätten diese sich nicht äußern wollen.

… Grundproblem verkannt

Daraus ergibt sich die Frage, wie es überhaupt zu solch groben Security-Schnitzern kommen kann. Denn eigentlich macht das Federal Risk and Authorization Management Program (kurz FedRAMP) konkrete Vorgaben. Unter anderem besagt es, dass eingesetzte Server nicht nur von qualifiziertem Personal administriert und gewartet werden müssen. Dieses muss auch über eine Sicherheitsfreigabe verfügen, um sicherzustellen, dass verarbeitete, potenziell sensible Daten nicht in falsche Hände geraten. Diese Clearance ist auf US-Bürger begrenzt.

Um die lukrativen Staatsprojekte trotz mangelndem FedRAMP-kompatiblem Personal zu bekommen, hat Microsoft diese Vorgaben offenbar kreativ uminterpretiert: Ausländische IT-Worker übernahmen die eigentliche Arbeit, während „DoD Secret Cleared Escorts“ aus der Ferne die Freigabe übernahmen. Der Workflow laut ProPublica: Der verantwortliche Techniker erklärt grob, welche Arbeiten ausgeführt werden müssen – etwa ein Firewall-Update oder ein Bugfix. Und der Escort als ausführende Instanz übernimmt die vorgegebenen Befehle per Copy & Paste. Er soll diese dabei zwar auch kontrollieren – aber das dürfte in vielen Fällen seine technische Fähigkeiten weit übersteigen, erklärt ProPublica.

Dass Escorts technisch nicht sehr versiert sein müssen, zeigt beispielhaft eine Jobanzeige für einen „DoD Secret Cleared Escort“: „Nachgewiesene Kenntnisse in der Verwaltung von Windows-Servern, Domänenservern, unterstützenden Desktops, Desktop-Anwendungen und Active Directory“ sind dort lediglich als verzichtbare „Nice to Have „-Fähigkeiten aufgeführt. Die verantwortlichen ausländischen Techniker seien ihren Digital Escorts in Sachen fachlicher Expertise oft haushoch überlegen; in der Praxis seien das etwa ausgemusterte Militärs mit Security-Freigabe aber ohne besondere technische Expertise zu Minimallöhnen. „Wir vertrauen darauf, dass das, was sie tun, nicht bösartig ist, aber wir können es nicht mit Sicherheit sagen“, zitiert die Plattform einen von ihr befragten Escort.

Knackpunkt China

Bislang ist nicht klar, wie viele solcher Tandems aus Escort und ausländischen Technikern Microsoft beschäftigt und aus welchen Ländern diese stammen. Auch ist unklar, wie hoch der Anteil der chinesischen IT-Arbeiter daran ist; nicht einmal eine Größenordnung ist bekannt. Nur an denen hat sich die Diskussion jedoch jetzt entzündet und nur die Chinesen wollen Hegseth und Shaw offenbar ausmustern. In einem offenen Brief an das US-Verteidigungsministerium hat US-Senator Tom Cotton jetzt konkretere Informationen zum konkreten Umfang dieses Problems angefordert. Ob diese geliefert und dann auch öffentlich werden, steht auf einem anderen Blatt.

(ovw)

Wikipedia ist die zentrale Sammlung unseres Weltwissens und längst viel mehr als nur eine Enzyklopädie. Gerade bei komplexen und sich dynamisch entwickelnden Themen von großer gesellschaftlicher Relevanz liefert Wikipedia einen Überblick über den Stand der Dinge – und sie erfüllt damit auch eine quasi journalistische Aufgabe, die kein anderes Medium so leisten kann. Hinzu kommt die Bedeutung der Wikipedia und ihrer Schwesterprojekte für die Reihung von Suchergebnissen und als Lieferant von Trainingsdaten für KI-Anwendungen.

Umso erfreulicher ist es, dass Wikipedia diese für demokratische Öffentlichkeit im digitalen Zeitalter essenziellen Aufgaben werbefrei und auf Basis freier Software und Lizenzen erbringt, finanziert über Spenden und unter Mitwirkung von Tausenden von Freiwilligen.

Mit der großen Bedeutung der Wikipedia geht auch eine Verantwortung einher. Und wie nicht nur die jüngste Recherche der FAZ über veraltete Artikel in der Wikipedia gezeigt hat, gibt es auch hartnäckige Probleme, die nach einer Lösung verlangen. Besonders augenscheinlich ist das bei Artikeln über lebende Personen, deren öffentliche Persona maßgeblich und dauerhaft von der Darstellung in der Wikipedia geprägt wird. Gleichzeitig wird explizit davon abgeraten, den eigenen Artikel selbst zu editieren.

Gerade für politische exponierte Personen, für Frauen und People of Color, die ohnehin bei öffentlichen Auftritten regelmäßig mit Hass und Hetze auf Social Media konfrontiert sind, ist es eine Zumutung, sich außerdem noch mit Umgestaltungen und Verfälschungen ‚ihres‘ Wikipedia-Beitrags auseinandersetzen zu müssen. Hier fehlen professionelle Ansprecherpartner:innen, die auch Artikel editieren dürfen, ganz besonders.

Hinzu kommt, dass sogenanntes „bezahltes Schreiben“ in der Wikipedia längst an der Tagesordnung ist. Erforderlich ist hierfür nur die Offenlegung, dass ein Beitrag im Rahmen von bezahltem Schreiben gemäß Nutzungsbedingungen im Auftrag geleistet wurde. Mit anderen Worten, wer sich professionelle Wikipedia-Begleitung durch eine Agentur leisten kann, hat weniger Probleme als jene (Privat-)Personen, die das nicht tun können.

Ebenso hartnäckig wie die Probleme – veraltete Artikel, mangelnde Diversität unter den Freiwilligen und fehlende Ansprechpartner:innen – ist aber die Weigerung von Teilen der Wikipedia-Community, über die Etablierung von hauptamtlichen Redaktionen direkt bei Wikimedia auch nur ernsthaft zu diskutieren. Jüngstes Beispiel ist ein Blogeintrag bei Wikimedia Deutschland, der argumentiert „Warum das Ehrenamt zählt und bezahltes Schreiben keine Lösung ist“.

Im Folgenden möchte ich deshalb die fünf wichtigsten Fragen beantworten, die mir in der Debatte zu von Wikimedia bezahlten Redaktionen immer wieder unterkommen.

Könnte bezahltes Schreiben die Motivation der Ehrenamtlichen schwächen?

Die größte und am häufigsten vorgebrachte Sorge ist Motivationsverlust unter den freiwilligen Autor:innen. So schreibt Hanna Klein im oben verlinkten Blogeintrag:

Wenn andere für dieselbe Arbeit bezahlt würden, könnte das demotivierend wirken – und dazu führen, dass sich weniger Menschen ehrenamtlich beteiligen.

Es ist sicher kein Zufall, dass die gesamte Passage im Konjunktiv formuliert ist. Denn natürlich mag so ein Effekt auf einzelne freiwillige Autor:innen zutreffen. Allerdings spricht eine Vielzahl an Gründen dagegen, dass es sich dabei um eine weitverbreitete Sichtweise handelt. Denn die Gründe, warum Menschen bei der Wikipedia mitarbeiten, sind vielfältig: aus Freude am Schreiben, aus politischer Überzeugung, um Wissen zu teilen oder einfach, um Teil einer Community zu sein. Diese Motive verschwinden nicht, nur weil es auch ein paar bezahlte Redakteur:innen gibt.

Im Gegenteil: Ein Nebeneinander von bezahlten und freiwillig Mitarbeitenden ist in vielen Bereichen völlig selbstverständlich. Und zwar nicht nur in Organisationen wie dem Roten Kreuz, der Tafel oder dem Technischen Hilfswerk, sondern auch in jener Szene, aus deren Mitte heraus die Wikipedia entstanden ist: freie und offene Software. Viele Projekte florieren gerade deshalb, weil bezahlte Entwickler:innen die oft undankbaren, aber notwendigen Aufgaben übernehmen – etwa Bugfixes, Tests, Sicherheitsupdates. So ist es auch bei der (Weiter-)Entwicklung der Mediawiki-Software, auf der Wikipedia selbst läuft. Diese wird ganz maßgeblich durch Entwickler:innen vorangetrieben, die von der Wikimedia Foundation dafür bezahlt werden.

Aber gibt es nicht Forschung, die negative Effekte von Bezahlung auf intrinsische Motivation belegt?

In der Tat gibt es Studien zum sogenannten Crowding-out-Phänomen im Bereich der Motivationsforschung. Wenn Menschen für etwas bezahlt werden, das sie zuvor freiwillig getan haben, kann das ihre intrinsische Motivation untergraben. Das – wenn auch empirisch umstrittene – Lehrbuchbeispiel ist die finanzielle Vergütung für Blutspenden. So sinkt in bestimmten gesellschaftlichen Gruppen die Bereitschaft zur Blutspende, wenn sie als ökonomische Transaktion und nicht als moralische Tugend verstanden wird.

Vor allem als unzureichend empfundene monetäre Anreize wirken sich negativ auf intrinsische Motivation und geleistete Beiträge aus. Es wäre also in der Tat keine gute Idee, sämtlichen rund 6.000 Freiwilligen ein bisschen Geld für ihre Arbeit zu bezahlen. Aber das schlägt meines Wissens nach auch niemand vor. Stattdessen geht es um die Finanzierung von Vollzeitstellen für gezielt ausgewählte Aufgaben, die allein von Freiwilligen derzeit nicht in ausreichendem Maße erfüllt werden.

Hat die Wikipedia überhaupt genug Geld dafür, um Leute für das Schreiben zu bezahlen?

Ja. Die Wikimedia Foundation als Organisation hinter der Wikipedia erhält genug Spenden, um zumindest in den größeren Sprachversionen Redaktionen zu finanzieren. Alleine Wikimedia Deutschland hat 2024 rund 11,7 Millionen Euro an Spenden und 6,2 Millionen Euro an Mitgliedsbeiträgen eingenommen, Tendenz steigend. Inzwischen verfügt der Verein über Rücklagen in Höhe eines Jahresspendenaufkommens von 11,6 Millionen Euro („Noch nicht verbrauchte Spendenmittel“).

Auch wenn ein großer Teil des Spendenaufkommens an die Wikimedia Foundation weitergeleitet wird – deren Nettovermögen inzwischen rund 230 Millionen US-Dollar beträgt -, machen diese Beträge deutlich, dass Geld für die Bezahlung von Redaktionen vorhanden wäre. Und gut möglich, dass die Spendenbereitschaft unter den Leser:innen sogar noch wüchse, wenn das Geld unmittelbarer als derzeit in die Verbesserung der Wikipedia zurückfließt.

Aber ist eine zwanzig- bis dreißigköpfige Redaktion nicht viel zu klein, um Millionen von Artikel zu pflegen?

Natürlich kann und sollen bezahlte Redakteur:innen nicht sämtliche Inhalte der Wikipedia beisteuern. Das würde in der Tat nicht funktionieren, ist aber auch gar nicht notwendig. Wie oben ausgeführt, ist es unwahrscheinlich, dass ein größerer Teil der Freiwilligen sofort die Arbeit einstellt, nur weil es auch ein paar bezahlte Redakteur:innen gibt.

Umgekehrt hätten die Redakteur:innen vor allem die Aufgabe, die Freiwilligen zu entlasten, indem sie ihnen als Ansprechpartner:innen dienen und sich um Dinge kümmern, für die sich keine Freiwilligen finden oder wo verlässliche Verfügbarkeit erforderlich ist, die mit Freiwilligen schwer herzustellen ist. Letzteres betrifft vor allem die oben erwähnten Artikel über lebende Personen.

Welche Aufgabenfelder von hauptamtlichen Redaktionen prioritär bearbeitet werden, sollte natürlich im Austausch mit der Freiwilligen-Community festgelegt werden. Denkbar wäre es, viel besuchte, aber länger nicht bearbeitete Artikel systematisch zu aktualisieren und zu überarbeiten.

Könnte verschärfte Haftung für Inhalte zu Problemen führen?

Schon heute ist es so, dass die Wikimedia Foundation für rechtswidrige Inhalte haftet, sofern sie Kenntnis davon besitzt. An dieser sogenannten „Forenhaftung“ für Beiträge von Freiwilligen würde sich durch bezahlte Redaktionen erst mal nichts verändern. In diesem Zusammenhang ist aber die radikale Transparenz der Wikipedia wieder hilfreich: Weil jede Änderung und Sichtung dauerhaft und transparent nachvollziehbar in der Versionsgeschichte von Wikipedia-Artikeln dokumentiert ist, wäre auch mit bezahlten Kräften keine umfassende Haftung für alle Inhalte in der Wikipedia verbunden.

Klarerweise würde die Wikimedia Foundation aber für Beiträge hauptamtlicher Redakteur:innen sowie für die von ihnen gesichteten Beiträge von Dritten haften. Das gilt aber auch für jedes andere Online-Medium und ist angesichts der Relevanz und Bedeutung der Wikipedia durchaus sinnvoll.

Fazit

Niemand will das Ehrenamt in der Wikipedia abschaffen. Im Gegenteil: Es ist das Fundament, auf dem Wikipedia ruht. Aber genau deshalb braucht es eine Debatte darüber, wie dieses Fundament auch in Zukunft tragfähig bleibt. Das bedeutet auch, darüber zu sprechen, wo gezielte Bezahlung sinnvoll sein kann – nicht als Ersatz, sondern als Ergänzung.

Natürlich wird auch eine Wikipedia mit bezahlten Redaktionen nie fehlerfrei, vollständig oder fertig sein. Das kann und soll auch nicht das Ziel sein. Aber mit bezahlten Kräften ließen sich die größten und seit Jahren ungelösten Probleme der Wikipedia zumindest ein wenig lindern.

Statt also jegliche Form von spendenfinanziertem Schreiben pauschal abzulehnen, wäre es sinnvoller, darüber zu diskutieren, auf welche Weise Spendengelder am effektivsten zur Verbesserung der Wikipedia investiert werden könnten – und wo auch weiterhin besser primär auf ehrenamtliche Mitarbeit gesetzt werden sollte. Pilot- und Testprojekte in einzelnen ausgewählten Sprachversionen würden sich dafür anbieten.

Eine ergebnisoffenere Diskussion der Frage von spendenfinanzierten Autor:innen würde der auf ihre Offenheit so stolzen Wikipedia-Community gut zu Gesicht stehen.

Microsoft gibt keine Garantie, dass EU-Daten nie an die US-Regierung weitergegeben werden: Das sagte Anton Carniaux, Chefjustiziar von Microsoft France, bei einer Anhörung vor dem französischen Senat des Parlaments aus. Konkret ging es um Daten, die Microsoft von der Union des Groupements d’Achats Publics (UGAP) erhält, der zentralen Beschaffungsstelle des öffentlichen Sektors für Schulen, Rathäuser und kommunale Verwaltungen. Auf die Frage, ob der Konzern niemals deren Informationen an die US-Regierung ohne ausdrückliche Zustimmung der französischen Behörden übermitteln würde, antwortete Carniaux, dass er das unter Eid nicht garantieren könne.

Auskunftsersuchen muss formell korrekt sein

Allerdings fügte er hinzu, dass die Situation noch nie eingetreten sei. Carniaux führte aus, dass Microsoft Informationsanfragen der USA nur dann ablehnen könne, wenn sie formal unbegründet sind. Entsprechend würde Microsoft die Gültigkeit aller Anfragen sehr genau überprüfen – die US-Regierung könne keine Anfragen stellen, die nicht genau definiert sind. Doch bei korrekten Anfragen müsse Microsoft auf jeden Fall seiner Verpflichtung nachkommen und die angefragten Daten weitergeben. Der Konzern wolle ferner die betroffenen Kunden hierüber informieren, müsse bei den US-Behörden jedoch erst um eine Erlaubnis hierzu bitten.

Offensichtlich geht die Bedeutung der Äußerungen von Carniaux in der Anhörung über den Rahmen der UGAP und Frankreich hinaus: In der gesamten EU herrscht Unsicherheit über den Einsatz von US-Cloud-Diensten – neben Microsoft ist insbesondere das Geschäft großer Hyperscaler wie Amazon AWS betroffen. Im Visier der Kritiker stehen der CLOUD Act und der Patriot Act, die der US-Regierung unter anderem Auskunftsersuche gegenüber Cloud-Anbietern ermöglichen. Befürchtet werden allerdings nicht nur Datenübermittlungen, sondern Maßnahmen bis zur Abschaltung von Cloud-Diensten in der EU.

Vertrauenswerbung und Open-Source-Konkurrenz

Hyperscaler wie Amazon bauen daher in Europa neue Tochtergesellschaften auf, die Unabhängigkeit gegenüber dem US-Mutterkonzern versprechen. Technisch sei eine Weitergabe von Daten gar nicht möglich, lautet das Versprechen von AWS. Microsoft will hingegen die Cloud-Infrastruktur direkt beim Kunden installieren, damit Dienste wie M365 vollständig unter dessen Kontrolle bleiben. Die Wartung der Systeme geschieht weiter durch Microsoft, allerdings durch hiesige Mitarbeiter. Wie erfolgreich diese Souveränitätsversprechen sind, ist aber fraglich: Anbieter wie Nextcloud erleben seit Jahresbeginn eine deutlich höhere Nachfrage.

Die öffentliche Anhörung von Carniaux findet sich hier als Transkription. Sie fand am 10. Juni statt.

(fo)