Ein weitaus zentraleres Thema der vier Kongresstage: Datenschutz. Wie lassen sich Jugend- und Datenschutz bei Altersverifikation im Internet vereinbaren? Wie können Gesundheitsdaten in einer via Social Engineering leicht knackbaren elektronischen Patientenakte (ePA) geschützt sein? Warum können die auf Meter genauen Bewegungsdaten von E-Auto-Besitzer:innen genaue Aufschlüsse darüber geben, wer welches Leben lebt? Und wie steht es um die Kontakte von Gefängnisinsassen und die Integrität von Wahlergebnissen? Viele dieser Fragen wurden sowohl unterhaltsam als auch ernüchternd durchleuchtet. Die Enthüllungen zur ePA, dem Volkswagen-Datenleck, aktuell verwendeter Gefängnis- und Wahlsoftware teilen eine Gemeinsamkeit: sogenannte Dark Patterns in der Gestaltung von IT-Systemen und Software. Während Patterns eine Art ‚best practice‘ für die Strukturierung und Wiederverwendbarkeit von Code- und Architekturbestandteilen – aber auch Element der User Experience (UX) – beschreiben, so nimmt der Einsatz von Dark Patterns in den letzten Jahren die Überhand. Sprich: Gestaltungsmuster, die aktiv gegen die Interessen von Anwender*innen arbeiten und sich oft psychologischer Tricks bedienen. Beispiele für solche sind Cookie-Banner, welche unerwünschte Optionen farblich besonders hervorheben und somit salient gestalten. Andere Dark Patterns ergeben sich aus FOMO – ‚fear of missing out‘. Während Datenschützer*innen und erfahrene Entwickler*innen zur Datensparsamkeit raten (also die Absicht verfolgen, Daten nur im erforderlichen Maße zu erheben), so kann die Sorge vor einem zukünftigen Fehlen dieser zu einer unangebrachten Sammelwut führen. Oft führt dies jedoch lediglich zur gesteigerten Kritikalität von Datenlecks und dem damit einhergehenden verlorenen Vertrauen in Unternehmen, die in diese verwickelt sind. [3]

Auch zwischen den Zeilen der Vorträge zu finden waren die zahlreichen Probleme, die in einer in Deutschland verbreiteten und auf Länderebene eingesetzten Wahlsoftware aufzufinden sind. Hinter konkreten Problemen, wie inkorrekt verwendeten Kryptographie-Bibliotheken, steht ein größeres Problem; ein kleiner Markt, der durch den Aufkauf von Konkurrenten in den letzten Jahren weiter verkleinert wurde. [2] Als mittelständisches IT-Beratungsunternehmen, das seit vielen Jahren an Projekten der öffentlichen Hand maßgeblich mitwirkt, ist uns die Bedeutung von gesunder Konkurrenz sehr klar. So sichern wir unter anderem in unseren Kundenteams unabhängige und ehrliche Code-Reviews. Ebenfalls wachsen wir an dem Austausch mit den Kolleg:innen, die ganz andere Hintergründe mitbringen.

Die Digitalisierung der öffentlichen Verwaltungen bringt jedoch auch ihre eigenen Herausforderungen. Besonders wenn entstandene Dienste durch Bürger:innen verwendet werden, werden Aspekte wie Barrierefreiheit oft nicht ausreichend implementiert. Bestandteil von derartigen Transformationen darf kein ‚digital only‘-Ansatz sein, welcher  durch ein verfrühtes Abschalten von analogen Optionen und Fallbacklösungen bestimmte Personengruppen benachteiligt, wie die Expertin für Digital- und Netzpolitik Anne Roth treffend zusammenfasst. [1]

Ein weiteres spannendes, leider immergrünes, Thema war das deutsche Computerstrafrecht. Kontroverser Bestandteil davon ist mit § 202c StGB der sogenannte Hackerparagraph, der den Einsatz von Software für Penetrationstests – aber auch illegitime Systemzugriffe – oft gleichermaßen oder in einem nur schwer zu differenzierenden Ausmaß kriminalisiert. [5] Dadurch ergibt sich auch die Schwierigkeit in der Ausbildung von Expert:innen in der IT-Sicherheit. In dem multikausalen Problem des Fachkräftemangels ist dies zwar nur einer, aber ein wesentlicher Bestandteil.

Zu keinem Zeitpunkt des Chaos Communications Congress machte sich jedoch Hoffnungslosigkeit breit. Vorträge zu Ausmaß und Folgen von Fehlinformationen hatten auch stets eine Zuversicht inne, dass es sich dabei um bewältigbare Probleme handelt. Und auch die rein technischen Vorträge zu dem erfolgreichen Versuch, einen vor Jahren außer Kontrolle geratenen Satelliten wieder unter Kontrolle zu hacken [6], und gelungenen Reparaturen am Euclid-Weltraumteleskop [8] haben eine Begeisterung für die uns zur Verfügung stehenden Werkzeuge ausgelöst.

Auch wenn die vier Tage mit unzähligen und immer parallelen Vorträgen oft ein wenig überwältigend waren, so haben sie doch zu einer großen Wertschätzung für die aktuellen Werkzeuge und ethischen Fragen in der IT-Welt geführt und in mir eine Neugierde und Vorfreude auf den 39c3 ausgelöst.

von Johannes Kasprik, Januar 2025