Russischer Code im europäischen Tresor
Ein europäischer Anbieter von Passwortverwaltungssoftware hat nach einer der Redaktion vorliegenden Information seine Ursprünge und laufenden Aktualisierungen mit einem staatlich zertifizierten russischen Unternehmen geteilt. Die Angabe beruht auf einer einzelnen Quelle und ist bislang nicht unabhängig bestätigt. Die Terminal Tribune veröffentlicht sie dennoch — mit dem ausdrücklichen Vorbehalt, dass eine Überprüfung aussteht, und mit der ausdrücklichen Aufforderung an das Unternehmen, zu antworten.
Die Größenordnung lässt sich derzeit nicht beziffern. Nicht die Zahl der Nutzerinnen und Nutzer ist hier der Gegenstand, sondern die Beschaffenheit der Verbindung. Wenn ein Passwortverwalter — verstanden als digitales Tresorprogramm, das Master-Kennwörter, Kontenzugänge und private Sicherheitsnotizen speichert und verschlüsselt — seinen Quellcode, seine Architektur und seine laufenden Updates einer Firma anvertraut, die im russischen Rechtsraum sitzt und dort über eine staatliche Zertifizierung verfügt, dann verlässt das Vertrauen, das europäische Kundinnen und Kunden ihm entgegenbringen, einen Raum, in dem es prüfbar ist.
Passwortverwalter sind keine gewöhnlichen Anwendungen. Sie bewahren die digitalen Schlüssel zu Bankkonten, E-Mail-Postfächern, Patientenportalen, Steuererklärungen, privaten Dokumenten. Wer einem solchen Dienst vertraut, vertraut ihm nicht nur seine Daten an, sondern die Ordnung seines digitalen Lebens — und, entscheidender, die Methode, mit der diese Ordnung gesichert wird. Eine Aktualisierung, die nach außen geht, geht mit dem Bauplan.
Die Bezeichnung „staatlich zertifiziert" hat im europäischen Kontext eine andere Bedeutung als im russischen. In der Europäischen Union steht sie am Ende eines Prüfprozesses, der Schutz und Compliance dokumentiert. In der Russischen Föderation steht sie am Anfang einer Beziehung zwischen Unternehmen und Staat: Sie bescheinigt die Eignung, in einem Markt zu arbeiten, der von Regulierungsbehörden kontrolliert wird, welche wiederum Sicherheits-, Verteidigungs- und Nachrichtendienststellen unterstehen. Eine solche Zertifizierung setzt Einblick voraus — in den Code, in die Abhängigkeiten, in die Aktualisierungswege. Dies ist eine strukturelle Feststellung, kein Vorwurf.
Europäische Bürgerinnen und Bürger haben nach der Datenschutz-Grundverordnung ein Recht darauf zu erfahren, wer ihre Daten verarbeitet und an wen sie weitergegeben werden. Bei einem Passwortverwalter ist die Frage prekärer als bei den meisten anderen Anwendungen, weil hier nicht nur Inhalte geschützt werden, sondern die Bauanleitung des Schutzmechanismus selbst. Eine Weitergabe von Code oder Update-Paketen ist keine Datenweitergabe im klassischen Sinne. Sie ist eine Weitergabe der Fähigkeit, ein System zu verstehen — und, mit der Zeit, möglicherweise zu kompromittieren. Ob dies geschieht, ist eine andere Frage. Ob es geschehen kann, ist die, die hier steht.
Die Terminal Tribune fordert das betroffene Unternehmen auf, den Umfang der Weitergabe offenzulegen, die Identität der russischen Partnerfirma zu benennen und die Vorkehrungen darzulegen, die getroffen wurden, um sicherzustellen, dass die ausgetauschten Inhalte keine Rückschlüsse auf Anwenderinnen und Anwender oder deren Tresorstrukturen erlauben. Leserinnen und Leser, die Hinweise auf vergleichbare Verbindungen geben können, werden gebeten, sich an die Redaktion zu wenden. Quellenschutz wird zugesichert.
Ich habe in Genf Verträge gesehen, in denen Sätze standen wie „die Vertragsparteien gewährleisten ein angemessenes Schutzniveau". Ich habe Männern die Hand gegeben, die diese Sätze unterschrieben hatten und gleichzeitig Vorgänge deckten, die sie nicht hätten decken dürfen. Die Handschuhe, die ich trage — auch beim Schreiben — sind nicht gegen Kälte. Sie sind gegen das, was bleibt, wenn man zu oft gesehen hat, wie Vertrauen gemacht wird, bevor es bricht.
Die Frage, die am Ende bleibt, ist nicht die nach dem Motiv. Die Frage ist die nach dem Wissen. Wer in Köln, Lyon oder Tallinn morgens sein Master-Kennwort eingibt, um eine Rechnung zu bezahlen oder seinem Arzt zu schreiben, hat ein Recht darauf zu wissen, ob die Software, die er benutzt, ein Siegel trägt, das er nicht öffnen kann. Bis dieses Siegel offen auf dem Tisch liegt, gilt: misstraue dem Vertrag, den du nicht lesen kannst. Vertraue dem Code, den du einsehen kannst. Und wenn du nichts einsehen kannst — frage, bevor du den Schlüssel drehst.