«Ganz ehrlich, ich würde die Finger von E-Voting lassen»

Als Zeitvertreib deckt sie Sicherheits­lücken in deutschen Behörden auf: Ein Gespräch mit der Aktivistin Lilith Wittmann über Verwaltungs­murks und warum der Staat viel mehr Entwicklerinnen anstellen sollte.

Von Adrienne Fichter, Patrick Seemann (Text) und Florian Kalotay (Bilder), 01.11.2022

Vorgelesen von Dominique Barth

Die Republik ist ein digitales Magazin für Politik, Wirtschaft, Gesellschaft und Kultur – finanziert von seinen Leserinnen. Es ist komplett werbefrei und unabhängig. Überzeugen Sie sich selber: Lesen Sie 21 Tage lang kostenlos und unverbindlich Probe:

«Ich mache mir grosse Sorgen, wenn Staaten damit beginnen, das Internet national zu regeln»: Lilith Wittmann, Hackerin.

Sicherheits­forscherin, Unternehmens­beraterin, Krawall-Influencerin, Aktivistin: Lilith Wittmann hat viele Hüte auf. Aus dem Nichts tauchte die 27-Jährige mitten in der Pandemie auf und wurde innert kurzer Zeit eine wichtige Stimme zum Thema Digitalisierung in Deutschland: Sie deckte Sicherheits­lücken im CDU-Wahl­kampf auf (und erhielt dafür kein Danke­schön, sondern eine Anzeige). Sie erstellt derzeit aus Tausenden von PDFs ein klickbares Organigramm der deutschen Bundes­verwaltung. Ein solcher Service wäre Aufgabe des Staates, fehlt aber bisher in Deutschland.

Lilith Wittmann kommentiert auf ihrem Blog zynisch und scharf die Fehler der deutschen Bundes­behörden bei Technologie-Prestige­projekten. Sie legt den Finger in die Wunde, indem sie testet, hackt, sucht und sich durch Unmengen von trockenen Verwaltungs­dokumenten ackert.

Ihre Artikel und Tweets legen Resignation nahe: Der Staat kann eigentlich gar keine Digitalisierung. Doch im Gespräch plädiert Wittmann für das Gegen­teil. Ihre Antwort auf gescheiterte Digital­projekte des Staates heisst: noch mehr Staat!

Lilith Wittmann, es ist wohl kein Zufall, dass Sie während der Pandemie bekannt geworden sind. Ein Digital­projekt nach dem anderen wurde aus dem Boden gestampft: Corona-Warn-Apps, Video­konferenz-Software, digitale Schul­plattformen …
Anfang 2021 sprach der Rapper Smudo, das Hip-Hop-Idol meiner Jugend, in einer Talk­show darüber, dass er mit einer App die Pandemie beenden möchte. Er meinte die von ihm lancierte Luca-App, die in Deutschland für das Contact-Tracing eingesetzt wurde. Ich hatte zu dem Zeitpunkt bereits diverse Probleme mit digitalen Produkten zu lösen versucht und dabei vor allem gelernt, dass Apps und Co. gesellschaftliche Probleme eben genau nicht lösen. Darüber habe ich als Antwort auf Smudos Vorhaben getwittert, das führte dort zu Debatten und mündete dann in einer Anfrage der «Zeit». Ich begann, mich mit ähnlichen digitalen Produkten wie der Luca-App zu beschäftigen, und ging mit den Problemen, die ich sah, an die Öffentlichkeit.

Sie bloggen vor allem über staatliche Digital­projekte. Warum der Fokus auf Behörden?
Am Anfang der Pandemie wurde ich von Work4Germany eingeladen, während sechs Monaten in einer Behörde mitzuarbeiten. Work4Germany ist ein Fellowship-Programm, das die Privat­wirtschaft und Bundes­ministerien in Deutschland zusammen­bringen soll. Dort hab ich mich dann mit der Behörden­digitalisierung beschäftigt und kam schnell zum Schluss, dass da vieles broken beyond repair ist. Dies hab ich nach einigen Monaten in einem Blogartikel beschrieben, der einige Reichweite erhielt. Und der dazu führte, dass die Behörde, bei der ich im Einsatz war, diesen vorzeitig beendete.

Mit welcher Begründung?
Sie fanden meine Kritik wohl nicht so gut.

Sie sagen, die Strukturen in Verwaltungen seien oft broken beyond repair. Inwiefern?
Zum einen blockiert die Hierarchie. Die deutsche Verwaltung ist von der Idee her so aufgebaut, dass einzelne Personen jeweils im Rahmen der Vorgaben ihrem nächsten Vorgesetzten zuarbeiten. Wenn du als Expertin etwas schreibst, geht es anschliessend durch sechs Hände nach oben bis zur Ministerin. Auf jeder Ebene wird ein Teil Fachliches heraus­redigiert und Politisches eingebracht.

Es fehlt also an Kompetenz.
Die Verwaltung ist auf Generalisten ausgelegt, dort finden sich primär Juristen und Verwaltungs­wissenschaftle­rinnen. In unserer komplexen Welt brauchen wir aber verstärkt Fachleute für unter­schiedliche Themen. Juristinnen sind nicht zwingend gut darin, digitale Produkte zu managen. Und digitale Services zählen letztlich zu den hoheitlichen Aufgaben des Staates.

In der Schweiz werden IT-Projekte gerne extern beschafft. Mit der Begründung: Wir haben intern kein Know-how und keine Ressourcen. Sie sagen aber, die Antwort auf gescheiterte staatliche digitale Projekte laute: noch mehr Staat!
Ich glaube, dass die digitale Basis­infrastruktur des Staates immer in staatlicher Hand liegen muss. Auch, weil diese ja nie fertig­gebaut ist. Eine externe Agentur zu beauftragen, um ein digitales Produkt zu realisieren, ist also wenig nachhaltig. Denn die Entwickler und Projekt­manager lernen während der Realisation des Projektes hinzu, und dieser Erfahrungs­gewinn sollte anschliessend für die Weiter­entwicklung eingesetzt werden. Wenn stattdessen eine Verwaltungs­juristin ein digitales Projekt bei einer externen Firma in Auftrag gibt, dann findet dieser Lern­prozess bei den Verwaltungs­angestellten nicht statt. Stattdessen begibt man sich in Abhängigkeiten der externen Firma, die das ganze Wissen um Fehler hortet. Der Staat muss daher dringend den Aufbau von interner IT-Kompetenz forcieren.

Können Sie ein Beispiel nennen?
Mir fällt gerade eines aus Deutschland ein: Dort wurde die digitale Lösung fürs Bafög – staatliche Finanz­hilfen für Studierende – viermal implementiert. Die ersten Versionen waren schlicht unbrauchbar, es haperte an vielen Stellen, die Nutzer­führung war miserabel. Man hat viele Millionen Euro verschwendet, indem man die eigentlich gleiche Lösung von unter­schiedlichen externen Firmen jeweils neu bauen liess, bis die vierte dann endlich funktioniert hat.

Was wäre die Alternative?
Es wäre viel besser, in den einzelnen Verwaltungs­einheiten – also in den einzelnen Bundes­ämtern – Entwicklungs­teams aufzubauen, die sich von A bis Z um ein Projekt kümmern können. Diese Teams löst man dann nicht nach dem Launch des Produkts wieder auf, sondern sie können dieses konstant optimieren.

Der Druck auf der öffentlichen Hand ist aber oft gross. Die politische Konkurrenz, Medien und die Öffentlichkeit reagieren schnell kritisch, wenn ein IT-Projekt länger braucht oder, schlimmer, nicht funktioniert. Ist unter diesen Umständen ein Lern­prozess und eine offene Fehler­kultur überhaupt möglich?
Hier ist es wichtig, zu unterscheiden, von welcher Art von Fehlern wir sprechen. Wenn ein digitales Produkt lanciert wird und es bricht dann aufgrund der grossen Nachfrage von Nutzerinnen­seite zusammen, dann gibt es natürlich einen Aufschrei in der Öffentlichkeit und die Medien berichten darüber. Es ist halt auch einfach eine Story. Letztlich ist dieses Problem aber leicht gelöst: Man stellt ein paar zusätzliche Server hin, und die Sache läuft wieder. Es braucht ohnehin Transparenz vonseiten der Verwaltung, aber ein solcher Fehler zählt auch zu denen, die zu verschmerzen sind.

Welche Fehler wiegen schwerer?
Wenn ein Risiko besteht, dass Millionen von Bürger­daten offengelegt werden. Das darf schlicht nicht passieren. Ein solches Risiko lässt sich aber am besten mit dem Aufbau von interner Kompetenz und guten Strukturen für Compliance und IT-Sicherheit auffangen. Grosse Banken kommen zum Beispiel nicht auf die Idee, ein Produkt auf den Markt zu bringen, das eklatante Sicherheits­lücken hat. Bei externen Auftrag­nehmern verliert man durch die Auslagerung auch die Kontrolle über Themen wie Datenschutz.

Die Schweiz startet einen zweiten Anlauf zur E-ID, also für den elektronischen Identitäts­nachweis. Die Bevölkerung lehnte hier 2021 das Outsourcing des Projekts an Privat­unternehmen ab. Nun wird es eine staatliche Lösung geben. Die Schweiz diskutiert für diese den Ansatz der sogenannten self-sovereign identity (SSI), der auch in Deutschland im Gespräch ist. Sie kritisieren den Ansatz, weshalb?
Da stimmt einfach vieles nicht. Nur schon der Begriff: SSI heisst «selbst­bestimmte Identität». Das ist verwirrend, denn der Identitäts­nachweis wird vom Staat definiert und vergeben. SSI meint Folgendes: Eine Bürgerin verfügt über eine staatlich verifizierte digitale Signatur, und diese wird dann in Form einer App auf dem Handy gespeichert. Wenn jetzt ein Online­shop, ein soziales Netzwerk oder eine Behörde online auf diese Signatur zugreifen möchte, erhalten sie bei Bedarf eine digital signierte und notariell beglaubigte Kopie meines Ausweises. Wenn ich also meine Identität zum Anmelden auf einer Website brauche, gebe ich garantiert echte personen­bezogene Daten von mir weiter.

Das würde dann eine eindeutige Klarnamen- und Ausweis­pflicht bedeuten für sämtliche Websites, Platt­formen, Apps …
Genau, das wäre eine radikale Kehrt­wende weg von dem Internet, wie wir es kennen. Bisher haben wir an den meisten Stellen keine garantiert echten personen­bezogenen Daten gebraucht. Es reichen Selbst­angaben, Fantasie­namen oder Pseudonyme, alles andere ist unnötig. Mit SSI wäre das vorbei: Ob man was kaufen, chatten oder streamen möchte – alle diese Dinge könnten je nachdem an eine staatliche Identität geknüpft werden.

Genau vor diesen Szenarien warnen hierzulande gerade die Digitale Gesellschaft oder die Piratenpartei bei der E-ID 2.0, also beim neuen Gesetz zur staatlichen Identität. Soll aber diese Identifizierbarkeit nicht als Schutz­massnahme vor Missbrauch dienen?
Ich sehe keinen Sinn darin, digitale Transaktionen oder Kommunikation an einen staatlichen Identitäts­nachweis zu binden. Das führt schliesslich dazu, dass an vielen Stellen echte staatliche Identitäts­daten gesammelt werden. Und bei der Anzahl an Cyber­angriffen und Hacks, die konstant passieren, führt dies fast zwingend dazu, dass früher oder später echte Identitäts­daten an die Öffentlichkeit gelangen.

Ein Anwendungs­fall für SSI, der oft genannt wird, ist der Online­kauf von Alkohol. So sollen Käuferinnen belegen können, dass sie älter als 18 Jahre sind.
Das erscheint mir ein recht schwacher Anwendungs­fall für die Notwendigkeit einer E-ID. In Deutschland gibt es ein Verfahren, bei dem der Postbote das Alter bei der Zustellung verifiziert. Er checkt dann vor der Tür meinen Ausweis. Das erscheint mir sinnvoll. Das andere grosse Themen­feld bei der E-ID ist Online­pornografie. In Deutschland experimentiert man seit rund 20 Jahren mit Lösungs­ideen, wie die Alters­grenze bei Online­pornos gewährt werden könnte. Bisher sind aber alle Ansätze daran gescheitert, dass man sich dabei früher oder später ausweisen muss und das kaum jemand machen möchte. Wenn man Internet­pornografie mit der E-ID verknüpfen würde, dürften die Konsumenten wieder vermehrt auf unregulierte Platt­formen ausweichen. Es ist darum absurd, dass ausgerechnet die Alters­verifikation im Internet nun der use case für eine staatliche E-ID sein sollte.

«Es braucht wenig, um das Vertrauen in den Staat und die Demokratie zu verlieren. Wir sollten das nicht mit digitalen Spielereien gefährden.»

Neben der E-ID ist E-Voting einer der digitalen Dauer­brenner, zumindest in der Schweiz. Hierzulande wird es wahrscheinlich ab 2023 möglich sein, digital zu wählen und abzustimmen. Was denken Sie darüber, ein Fortschritt?
Ganz ehrlich, ich würde die Finger davon lassen. Wir sind gerade in vielen Bereichen an einem Kipp­punkt der Demokratie angelangt, faschistische Kräfte gibt es überall. Es braucht wenig, um das Vertrauen in den Staat und die Demokratie zu verlieren. Wir sollten das nicht mit digitalen Spielereien gefährden. Denn: Wir wissen seit Jahren, dass man beispiels­weise Wahl­computern alleine nicht vertrauen kann und dass Transparenz und Integrität von Wahlen so nicht sicher­gestellt werden können. In Deutschland und in der Schweiz haben wir mit der Briefwahl eine wunderbare «Technologie», die ziemlich sicher ist und ziemlich schwer grossflächig anzugreifen ist, ohne dass es auffällt.

In der EU ist gerade der Begriff «digitale Souveränität» der grosse Renner. Die Staaten möchten komplett digital unabhängig werden.
Ich bin in einem globalen Internet aufgewachsen und mache mir grosse Sorgen, wenn Staaten damit beginnen, das Internet national zu regeln. Das sind dann Ideen wie: «Wir machen zwar Open Source, aber eigentlich nur für uns.» Da klingen dann schnell mal nationalistische Vibes durch. Es ist natürlich von öffentlichem Interesse, den Daten­schutz zu erhöhen. Dieser Schutz darf aber nicht darin münden, digitale Mauern zu bauen und Nationalismen zu bedienen.

Apropos Open Source, gerade die staatliche Förderung von freier, quell­offener Software könnte doch Vorteile haben?
Sicher hat es Vorteile, wenn der Staat in Software für die Zivil­gesellschaft investiert. In Deutschland haben wir beispiels­weise den Sovereign Tech Fund, aus dem viele Millionen Euro in deutsche Open-Source-Projekte fliessen. Der Staat sollte sich dabei einfach nicht von Stereo­typen leiten lassen, sondern sich dafür einsetzen, global bessere und gut regulierte Technologien zu haben und im digitalen Raum arbeits­teilig zu arbeiten und gut kooperieren zu können.

Sie untersuchen ja mit dem Hackerinnen-Kollektiv Zerforschung immer wieder staatliche Apps, wenn ihr gerade Zeit und Musse dafür findet. Manchmal sind die gefundenen Lücken derart krass, dass man sich fragt: Wieso hat da vor euch niemand mit professioneller Brille draufgeschaut?
Vermutlich haben wir es hier mit einem strukturellen Versagen zu tun. Die Unter­nehmen brauchen einen sogenannten Pentest, um live gehen zu können. Das heisst, es werden IT-Systeme der Firma legal und gewollt gehackt. Ein bezahlter Pen­tester möchte aber unter Umständen gar nicht zu viele Schwach­stellen finden, weil man ja wieder mal einen Auftrag haben möchte und seinen Auftrag­geber nicht verärgern will. Ausserdem ist ein guter Pentest recht aufwendig. Und eigentlich ist das, was wir als Kollektiv in unserer Freizeit tun, eher unkompliziert. Wir schalten einen man-in-the-middle proxy und schauen mal, welche Daten da so fliessen.

So einfach klingt das jetzt aber nicht.
Natürlich hilft es, dass wir seit Jahren auf diese Art Systeme testen und entsprechend Erfahrung haben. Die grund­sätzlichere Frage ist aber gerade bei unseren «Fund­stücken», ob wir das als Zivil­gesellschaft überhaupt machen sollten oder ob die vielen Tests und Sicherheits­prüfungen nicht eher eine staatliche Aufgabe wären. Momentan reparieren wir halt etwas, was der Staat einfach nicht professionell hinbekommt.

Sie sind sich immer noch nicht sicher, ob die Republik etwas für Sie ist? Dann testen Sie uns! Für 21 Tage, kostenlos und unverbindlich:

seit 2018

Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz

kontakt@republik.ch
Medieninformationen

Der Republik Code ist Open Source