Mal eben eine neue App runtergeladen, auf Zustimmen geklickt und dann hoffen, dass schon alles sicher sein wird. Digitale Sicherheit ist ja so ein Ding. Die meisten von uns wissen natürlich, dass Passwort 123 kein geeignetes Passwort ist. Aber darüber hinaus rutscht im Alltag dann doch einiges durch. Oder nutzt ihr alle einen VPN-Client und habt überall die Zwei- Faktor-Authentifizierung aktiviert? Ja, digitale Sicherheit ist oft sowas gefühlt Abstraktes, kompliziert und weit weg. Dabei hängt unser Alltag inzwischen ganz schön stark davon ab, und zwar nicht nur, wenn wir unseren Kontostand checken oder private Nachrichten schreiben. Aber was ist eigentlich mit Menschen, deren Lebensrealität ganz anders aussieht als unsere? Menschen, die sich zum Beispiel ein Handy mit der ganzen Familie teilen müssen, die keinen verlässlichen Internetzugang haben oder die aufgrund einer Sehbehinderung ganz andere Wege finden müssen, sich im Netz zu schützen? Für viele von ihnen funktioniert digitale Sicherheit nicht so, wie sie funktionieren sollte, und manchmal funktioniert sie auch einfach gar nicht. Eine Forscherin, die das ändern möchte, ist Katharina Kromholz vom CISPA Helmholtz Zentrum für Informationssicherheit. Sie untersucht, wie IT-Sicherheit für alle Menschen nutzbar werden kann und nicht nur für privilegierte Zielgruppen, für die Technik heute eben oft gebaut wird. Und dafür reist Katharina Kromholz um die Welt, hin zu den Menschen, deren Perspektiven in der Forschung sonst kaum vorkommen. Wie verändert sich dadurch der Blick auf digitale Sicherheit? Und was können wir alle daraus über sichere Technologien lernen und auch für unsere Nutzung von Technologien mitnehmen? Darum geht es in dieser Folge vom Forschungsquartett. Ich bin Caroline Breitschädel, schön dass ihr zuhört. Das Forschungsquartett – Wissenschaft bei detektor.fm in Kooperation mit dem CISPA Helmholtz Zentrum für Informationssicherheit. Auf ihren Forschungsreisen, zum Beispiel nach Pakistan, hat Katharina Kromholz mit Familien gesprochen, die sich ein einziges Handy teilen, mit Influencerinnen, die durch ihre Online-Auftritte echten Gefahren ausgesetzt sind, und mit Menschen, die kaum Zugang zu zuverlässigen Sicherheitsinformationen haben. Ihre Erkenntnis: Digitale Sicherheit kann nur funktionieren, wenn sie nicht nur aus Sicht privilegierter NutzerInnen gedacht wird. Meine Kollegin Esther Stephan hat mit Katharina Kromholz darüber gesprochen, was wir von marginalisierten Gruppen über Sicherheit lernen können und wie Technik aussehen müsste, damit digitale Sicherheit wirklich für alle Menschen weltweit gewährleistet werden kann. Ich weiß, dass Sie sehr viel reisen. Sie haben ja auch eben im Vorgespräch erzählt, dass Sie gerade erst von der Reise zurückkommen. War das dann jetzt auch im Rahmen Ihrer Forschung? Ja, das war im Rahmen meiner Forschung, und ich liebe es ja generell zu reisen, beruflich wie privat. Ich finde es auch immer sehr spannend, neue Kulturen und neue Perspektiven kennenzulernen. Und ich glaube, um Spitzenforschung zu betreiben, sage ich immer meinen Doktorandinnen und Doktoranden, braucht man ein offenes Herz und ein offenes Hirn. Und genau dafür ist es ganz wichtig, die Welt einfach ein bisschen besser kennenzulernen. Und wenn wir jetzt auf diese letzte Reise schauen, worum ging es da? Also, ich war gerade auch in Pakistan, und es ist so, ich habe sehr viele Projekte mit Pakistan. Was mich sehr interessiert, ist, dass da sehr viele Menschen leben, die eigentlich ganz und gar nicht diesem Norm-User entsprechen, der sehr oft von den Leuten, die Technik gestalten, angenommen wird. Und das ist nämlich genau das große Problem, denn dieser Norm-User, den gibt es nämlich eigentlich gar nicht. Also diese Perspektive, aus der Technik gestaltet wird, ist sehr oft eine Perspektive aus dem eigenen Umfeld, und ganz viele Userinnen und User auf dieser Welt entsprechen aber genau diesem Charakter gar nicht. Und deswegen finde ich Pakistan eben besonders spannend, weil es sowohl kulturell gewisse Herausforderungen gibt. Es ist natürlich leider sehr viel Armut, leider sehr viele Menschen, die auch nicht lesen und schreiben können. Und leider werden aber genau diese Menschen besonders häufig Opfer von Online-Risiken oder von irgendwelchen Online-Angriffen, wo ihnen dann teilweise auch sehr viel Geld aus der Tasche gezogen wird, was für diese Menschen natürlich ganz besonders schrecklich ist. Jetzt auf dieser letzten Reise, was haben Sie da gelernt, wo Sie jetzt sagen würden, hier hat sich jetzt mein Blick auf IT-Security nochmal ein bisschen verändert? Oder sind Sie einfach jetzt schon so oft da gewesen, dass Sie einfach schon total daran gewöhnt sind, was die Menschen Ihnen erzählen? Also, ich bin schon sehr oft da gewesen, und deswegen ist es für mich wirklich schon alles sehr nah eigentlich und sehr bekannt. Aber ich habe zum Beispiel diesmal eine ganz andere Uni besucht in einer ganz anderen Region, wo ich noch nie war. Also in der Region war ich schon, aber auf dieser Uni nicht. Und was mir auch immer ganz wichtig ist, ist, die Wissenschaft und die IT-Sicherheit als verbindendes Element zu sehen, um Kontakt zu knüpfen und eventuell auch junge Wissenschaftlerinnen und Wissenschaftler zu fördern und denen internationale Karriereperspektiven aufzuzeigen. Und das war eigentlich auch der Grund meiner Reise. Also nicht nur die Betreuung laufender Projekte, sondern auch der Start neuer Projekte und Verbindungen mit anderen Universitäten noch einzugehen. Wie sind Sie überhaupt in der IT-Sicherheit gelandet? Also, die IT-Sicherheit liegt mir mittlerweile sehr am Herzen, aber auch das war überhaupt nicht vorgegeben. Also ich hatte in meiner Jugend ganz unterschiedliche – ich erzähle jetzt einfach mal die ganze Geschichte – ganz unterschiedliche Interessen. Also eine Zeit lang wollte ich Arabistik studieren und dann als Korrespondentin für die Medien arbeiten, und dann eine Zeit lang wollte ich Kunst studieren und Industriedesign. Ich habe da wirklich sehr, sehr viele Interessen gehabt. Und ich bin aber dann bei der Informatik gelandet, weil mich einfach Computer sehr fasziniert haben und weil auch Mathematik und dieses logische Denken mir einfach auch liegen. Und dann habe ich Medieninformatik studiert und damals schon sehr viel auch mit dem, was wir heute künstliche Intelligenz nennen, zu tun gehabt. Ein bisschen auch mit Gestaltung von Technik, mit Computergrafik. Und dann bin ich aber so durch ein Praktikum in die IT-Sicherheit gekommen, auch über das Thema Privatsphäre. Und da habe ich mich auch mit ganz unterschiedlichen Themen beschäftigt. Und jetzt bin ich aber in dieser Schnittstelle eben zu Mensch und IT-Sicherheit gelandet, wo ich mich sehr wohl fühle. Ja, Sie haben eben schon erzählt, Sie beschäftigen sich da vor allem ja mit marginalisierten Gruppen und wie eben für diese Gruppen Technik sicherer werden kann. Vielleicht können Sie nochmal umreißen. Sie haben eben schon mal gesagt, das Problem liegt oft darin, dass eben von Normusern ausgegangen wird, die es so tatsächlich nur sehr selten auf der Welt gibt. Welche Gruppen betrifft es denn, die dann eben nicht damit eingeschlossen sind? Eigentlich entsprechen die meisten von uns nicht dieser Normvorstellung, weil diese Normvorstellung natürlich – also wenn wir bedenken, dass jetzt Designer, EntwicklerInnen und so weiter natürlich einer ganz bestimmten, sehr ausgebildeten Gruppe angehören, meistens männlich sind, meistens weiß, meistens in den Vereinigten Staaten zum Beispiel leben, gehören natürlich alle anderen da nicht dazu. Menschen sind sehr vielschichtig. Und auch das Bedürfnis, das Menschen an Technik und IT-Sicherheit haben, ändert sich natürlich im Laufe des Lebens. Ein großer Punkt, der vor allem Pakistan für mich interessant macht, ist, dass wir an und für sich sehr viel englische Sprachkenntnis voraussetzen beziehungsweise voraussetzen, dass man lesen und schreiben kann. Ein Passwort kann ich nur setzen, wenn ich lesen und schreiben kann, natürlich. Und des Weiteren wird natürlich in dieser westlichen Welt oder in den Vereinigten Staaten angenommen, dass ich quasi ein Gerät pro Person habe. Und ganz viele Menschen auf der Welt, vor allem im globalen Süden, wenn man das schon so nennen will, die haben auch nicht die finanziellen Mittel, um ein Gerät pro Person überhaupt zu besitzen. Sehr oft ist es so, dass sich da eine ganze Familie ein Gerät teilt, und dadurch bekommt natürlich plötzlich das Thema Privatsphäre eine ganz andere Bedeutung. Und ich brauche ganz andere technische Maßnahmen, um mich zu schützen. Natürlich auch sowas wie Redefreiheit. Auch das ist etwas – also wir gehen sehr oft davon aus, dass jeder in sozialen Netzwerken sagen kann, was er will. Und wenn man halt mal irgendwas Kontroverseres sagt, dann ist es halt so, dann wird vielleicht diskutiert. Aber am Ende des Tages gibt es ganz viele Userinnen und User, die tatsächlich um ihr Leib und Leben fürchten müssen, wenn sie sich in gewisser Weise äußern. Und wenn dann natürlich durch irgendeinen Datenleck die Adresse von dieser Person rauskommt, dann ist das natürlich ganz besonders kritisch. Also, wenn wir jetzt mal beim Beispiel Pakistan bleiben, wenn Sie da jetzt hinreisen, wie erforschen Sie denn diese Probleme? Also gehen Sie dann ins Gespräch mit diesen Gruppen? Ja, also sehr oft, natürlich ist sehr viel vorbereitende Arbeit notwendig. Also zum Beispiel unsere Arbeit mit Menschen, die nicht lesen und schreiben können und sehr wenig Einkommen haben, da kann natürlich auch ich jetzt als europäische Wissenschaftlerin nicht einfach hingehen und Fragen stellen. Also zuallererst müssen wir mal diese Gruppe ein bisschen besser beobachten, einfach versuchen, ein bisschen Teil dieser Gruppe zu werden. Da arbeite ich natürlich ganz intensiv mit den Universitäten vor Ort zusammen, weil da natürlich auch sehr viele Sprachbarrieren sind. Also nicht nur Sprachbarrieren im Sinne von, ob das jetzt Urdu, Punjabi oder Pashto oder was auch immer ist, sondern auch einfach die Art und Weise, wie man sich ausdrückt. Die soziale Zugehörigkeit, auch das ist natürlich eine Barriere, die wir irgendwie lösen müssen. Und wir können jetzt auch zum Beispiel nicht einfach mit Fragebögen arbeiten oder mit etwas. Also wir müssen wirklich sehr viel Arbeit im Feld machen, um systematisch Daten zu erheben, die dann auch den wissenschaftlichen Kriterien entsprechen. Also das ist mit sehr viel Zeit und aber auch mit sehr viel Einfühlvermögen verbunden. Und was versteht man dann über bestimmte Aspekte hinaus, die man sich jetzt ja vielleicht auch einfach so erschließen kann? Also, Sie haben vorhin dieses Beispiel gehabt, dass Leute die nicht lesen können, auch Schwierigkeiten haben, ein Passwort zu setzen. Warum ist es dann so wichtig, da noch darüber hinaus mit diesen Menschen ins Gespräch zu gehen? Also, was mir ganz wichtig ist: Ich möchte diesen Menschen eine Stimme geben. Diese Menschen werden sehr oft von der globalen Gemeinschaft und von der Wirtschaft und von der Politik übersehen, und ich möchte diesen Menschen diese Stimme geben. Sehr oft ist es so, dass wir im Rahmen dieser systematischen Erhebungen Ergebnisse haben, wo man sich dann denkt, wie zum Beispiel dieses Beispiel mit dem Passwort, wo man sich denkt, das ist ja doch irgendwie naheliegend. Aber sehr oft – also natürlich im Nachhinein ist es naheliegend. Wenn man das hört, denkt man sich, ist doch logisch. Aber sehr oft ist es eben ohne dieses genaue Hinschauen einfach nicht logisch, weil man sich in diese Situation nicht hineinversetzen kann. Deswegen ist es so wichtig, mit diesen Menschen direkt zu arbeiten. Und was wir auch sehr stark gelernt haben, ist, wie sehr sich zum Beispiel Techniknutzung auch in den sozialen Kontext einbettet. Also da geht es auch sehr viel um Scham, um nicht darüber sprechen, wenn irgendwas passiert. Da geht es darum, dass ich mir keine Hilfe holen kann, wenn ich nicht lesen und schreiben kann. Und es gibt auch lauter solche Aspekte, natürlich, die da auch noch reinfallen, die jetzt nicht unbedingt rein technische Natur sind, sondern natürlich auch eben eingebettet in diesem sozialen Kontext wichtig sind. Und was man nicht vergessen darf, ist, dass das sind jetzt nicht so eine Handvoll Userinnen und User, die das betrifft, sondern das sind tatsächlich Millionen von Nutzerinnen und Nutzern, die in diese Gruppe fallen. Und wenn man bedenkt, die haben jetzt alle Android-Geräte und natürlich keine iPhones, dann ist das natürlich auch ein großer Markt. Weshalb, Gott sei Dank, natürlich jetzt mittlerweile auch die großen Technikkonzerne ein Interesse haben, da hinzugucken und über diese Probleme zu lernen. Aber warum passiert das erst jetzt? Das ist ja ein großer Markt, und jetzt gehen Sie als Forscherin da rein. Aber das könnte ja genauso gut von den Unternehmen kommen. Also, meines Wissens wird das jetzt auch langsam schon gemacht, was ich sehr gut finde. Aber ich glaube, sehr oft ist es ein mangelndes Bewusstsein dafür, dass man die Bedürfnisse von allen Menschen nicht einfach intuitiv versteht, nur weil man selber Mensch ist. Also sehr oft, glaube ich, wird da rangegangen mit: Ja, Menschen haben die und die Bedürfnisse, Menschen wollen das und das und das benutzen. Aber es ist einfach kein Bewusstsein dafür da, dass die Bedürfnisse eben unterschiedlich sind. Und sehr oft ist es so – also da möchte ich jetzt ein ganz anderes Beispiel bringen. Wir arbeiten ja zum Beispiel auch mit Menschen, die nicht sehen können oder nur sehr schlecht sehen können, die natürlich auch mit Technik gewisse Probleme haben in der Interaktion. Und das ist zum Beispiel etwas: Wenn ich mich selber verletze oder selber zum Beispiel mir mein Bein verletze, dann fällt mir vielleicht erst auf, wie nicht barrierefrei die Gesellschaft ist. Und da könnte man natürlich auch sagen: Na ja, ist doch offensichtlich, dass das ein oder andere nicht barrierefrei ist. Aber wenn es mich selber nicht betrifft, nehme ich diese Dinge gar nicht wahr. Und dasselbe gilt natürlich auch für diese anderen Nutzergruppen, die wir eben erst genau erkennen und verstehen lernen müssen. Heißt Sie beobachten aber schon, dass es bei den Unternehmen auch einen Trend dahin gibt, da ein gewisses Bewusstsein zu haben? Gott sei Dank, ja. Und am Ende des Tages – also wenn ich mit solchen Unternehmen spreche, dann sage ich: Also natürlich sage ich Ihnen jetzt und auch aus meiner wissenschaftlichen Perspektive will ich einfach ganz ohne jegliche wirtschaftliche Interessen diesen Menschen eine Stimme geben, weil ich mir denke, diese Bedürfnisse sind genauso wichtig wie die aller anderen Menschen. Aber wenn ich jetzt mit Technikkonzernen spreche, dann sage ich natürlich auch immer: Ja, das ist ein großer Markt. Das sind viele Menschen, die von Technik abhängig sind. Das ist natürlich auch finanziell für diese Unternehmen sehr interessant. Und das heißt umgekehrt, für Sie als Forscherin liegt der Vorteil dann darin, dass Sie das unabhängig betreiben können, ohne diese wirtschaftlichen Interessen im Hintergrund. Ganz genau. Also das ist auch der Grund, warum ich Wissenschaftlerin geworden bin, weil ich habe mich immer für die großen Herausforderungen, die die Gesellschaften mit Technik haben, interessiert. Und ich habe mir immer gedacht, ich möchte diese großen Probleme lösen, die vielleicht für die Wirtschaft oder die Politik zu schwierig, zu unsicher im Ausgang sind und so weiter. Und ich habe dieses Privileg, dass ich mit Steuergeld finanziert, ganz unvoreingenommen an diese Probleme herangehen kann und wirklich aus purer Überzeugung für die Menschheit daran an Lösungsansätzen arbeiten kann. Wenn wir jetzt mal den Blick ein bisschen nach vorne richten, wie müsste denn dann digitale Sicherheit künftig gestaltet werden, damit sie im besten Fall natürlich universell funktioniert, also zum Beispiel auch für Menschen mit Behinderung, Menschen in Regionen mit weniger Ressourcen, um jetzt mal bei den Beispielen zu bleiben, die wir bisher hatten? Also am Ende des Tages glaube ich, brauchen wir mehr Partizipation und globale Zusammenarbeit. Ich glaube, wir müssen uns global viel besser vernetzen, um Produkte zu gestalten, um Technik zu gestalten, die vielen Userinnen und Usern zugute kommt. Gerade bei der IT-Sicherheit ist es so, wir sprechen da sehr oft irgendwie vom schwächsten Glied in der Kette oder – also da gibt es ja verschiedene Paradigmen, denen man da folgen kann. Und wenn man jetzt dieses schwächste Glied in der Kette annimmt, dann sagt mir das natürlich im Umkehrschluss, dass wenn ich die Population mit den größten Bedürfnissen im Gestaltungsprozess berücksichtige, profitieren am Ende des Tages alle anderen Userinnen und User auch. Katharina Kromholz, vielen Dank. Ich danke Ihnen für das angenehme Gespräch. Digitale Sicherheit hat also nicht nur mit Technik zu tun, sondern vor allem auch ganz viel mit Menschen und damit, wie unterschiedlich ihr Alltag, ihre Möglichkeiten und ihre Risiken sein können. Erst diese verschiedenen Perspektiven helfen dabei, Technologien besser und gerechter zu machen. Und wenn Systeme für besonders verletzliche Gruppen funktionieren, dann profitieren am Ende alle davon. Vielen Dank an Katharina Kromholz für ihre Einblicke in ihre Forschung und vielen Dank an Esther Stephan für das Gespräch, die Recherche und das Skript. Das war’s für diese Folge vom Forschungsquartett. Wenn euch die Episode gefallen hat, dann freuen wir uns über eine Bewertung, zum Beispiel bei Spotify oder Apple Podcasts. Ich bin Caroline Breitschädel und ich sage Danke fürs Zuhören. Passt gut auf euch auf und bis nächste Woche. Das Forschungsquartett – Wissenschaft bei detektor.fm in Kooperation mit dem CISPA Helmholtz Zentrum für Informationssicherheit.
Foto: CISPA/Tobias Ebelshäuser