information-security

Bruce Schneier in Wien: Überwachung hat den Besitzer gewechselt

Michael Mrak

Michael Mrak

6 Min. Lesezeit
Teilen
Bruce Schneier in Wien: Überwachung hat den Besitzer gewechselt

Am 26. Juni 2026 lud epicenter.works zu einem Fireside Chat mit dem US-amerikanischen Experten für Kryptographie und Computersicherheit Bruce Schneier ins traditionsreiche Café Alt Wien. Thomas Lohninger führte durch ein gutes halbe Stunde dichtes Gespräch über Überwachung, Sicherheitsforschung, Staatstrojaner, Cyberwaffen, KI in der Verwaltung, Chatkontrolle und digitale Identität. Wien als Kulisse passte: Lohninger erinnerte an die lange Geschichte der Stadt als Drehscheibe für Spionage, von Metternich bis zu den heute rund 130 Botschaften und einem Strafrecht, das den Betrieb fremder Nachrichtendienste nicht grundsätzlich untersagt, solange er nicht gegen österreichische Interessen läuft.

Schneier zog sich bei der geopolitischen Einstiegsfrage von Lohninger bewusst zurück. Spionage finde überall statt, das sei traditionell europäisch wie global, dazu wolle er sich als Techniker nicht äußern. Inhaltlich wurde es überall dort, wo es um Technik, Recht und gesellschaftliche Folgen ging.

Weg vom Staat, hin zu den Konzernen

Dreizehn Jahre nach Snowden lautet Schneiers Befund nicht, dass sich ein einzelnes Problem verschärft hätte, sondern dass sich der gesamte Charakter der Überwachung verschoben hat. Smartphones und soziale Medien haben dazu geführt, dass nahezu alles, was wir tun, überwacht wird, aber eben nicht mehr primär durch Regierungen, sondern durch Unternehmen. Die staatliche Komponente kommt über die Beziehung zwischen Staat und Konzernen zurück, und die fällt je nach Land unterschiedlich aus: Die US-Regierung kauft Daten bei Facebook und anderen Datenhändlern, China hat ein anderes Verhältnis zu Unternehmen wie TikTok. Das ist schlicht eine Folge davon, dass alles ins Netz gewandert ist. KI verstärkt diesen Trend, weil sie noch durchdringendere Überwachung ermöglicht.

Europäisches und US-amerikanisches Verständnis

Diese Achse durchzieht das gesamte Gespräch und ist für die DACH-Perspektive der interessanteste Teil. Schneier formuliert die Grundlinie grob, aber nach eigener Einschätzung nicht falsch:

Europa ist tendenziell skeptisch gegenüber Überwachung durch Konzerne und deutlich weniger gegenüber staatlicher Überwachung.

Die USA sind umgekehrt sehr permissiv bei kommerzieller Überwachung und misstrauisch gegenüber dem Staat. Diese Differenz ist kein Detail, sondern erklärt mehrere Bruchstellen im darauf folgenden Gespräch.

Bei Government Hacking trennt Schneier scharf zwischen breiter Bevölkerungsüberwachung (Stichwort China, Population Control) und gezieltem Zugriff auf eine konkrete Person mit richterlicher Anordnung. Letzteres hält er im US-Rechtsverständnis für legitim, vergleichbar mit Hausdurchsuchung oder Telefonüberwachung, sofern Kontrollen gegen Missbrauch greifen. Lohninger widersprach hier sichtbar aus europäischer Sicht: Für epicenter.works überschreitet bereits jedes staatliche Hacking die Linie, weil der Staat dafür Schwachstellen zurückhalten statt schließen muss und damit kein Interesse mehr an unserer Sicherheit hat. Hier prallt die amerikanische Logik des kontrollierten Ermittlungszugriffs auf die europäische Logik der Systemsicherheit als Schutzgut.

Dieselbe Differenz zeigt sich bei algorithmischen Entscheidungen. Schneier verweist darauf, dass öffentliche Systeme in einem Land mit solidarischem Gesundheitssystem eher transparent und einsehbar sind, während in den USA dieselben Entscheidungen von Versicherungen und privaten Anbietern intransparent getroffen werden.

Nicht das KI-Sein entscheidet über Fairness, sondern die Opazität, und die hängt stark davon ab, ob ein System öffentlich oder privat betrieben wird.

Und schließlich bei der Plattformregulierung im Bereich Social Media: Die eigentlich saubere Lösung wäre, die auf Überwachung gebauten Manipulationssysteme selbst zu reparieren. Das werde aber nicht passieren, weil es amerikanische Unternehmen sind und die USA das nicht tun werden. Europa bleibe damit auf halbgare Notlösungen verwiesen.

Whistleblower bleiben Einzelfälle

Auf die Frage, warum es nach Snowden keinen vergleichbaren Fall mehr gab, antwortet Schneier nüchtern: Whistleblower sind seltene Ausnahmen, aus denen sich keine Trends ableiten lassen. Die Kombination aus Zugang und Bereitschaft, dieses Risiko einzugehen, sei extrem selten. Snowden habe in einer einzigartigen Position gesessen. Dass die NSA seither Geheimhaltung und Spionageabwehr verstärkt hat, hält er für plausibel, aber nicht für die Hauptursache.

Man sieht einfach grundsätzlich kaum Whistleblower.

Sicherheitsforschung, Bug Bounties und die KI-Schwachstellenwelle

Hier fiel Schneiers Einschätzung deutlich optimistischer aus als die österreichische Ausgangslage. Sicherheitsforschung funktioniere im Großen und Ganzen, sei akademisch wie unabhängig möglich und geschützt. Als Beispiel nannte er einen Forscher in Deutschland, der schwere Microsoft-Schwachstellen offenlegt und dessen Identität dank deutscher Rechtslage öffentlich nicht genannt werden darf, sehr zum Ärger von Microsoft. Versuche, Forschung zu kriminalisieren, müssten abgewehrt werden, das sei aber eine Verteidigungsaufgabe (Holding Action), kein Grundproblem. Lohninger hielt dem die österreichische Realität entgegen, in der er selbst für die Meldung von Schwachstellen in Gesundheitsdatenbanken unter Ermittlung geriet und in der erst eine Entschließung der Koalition Bewegung in den Schutz von Sicherheitsforschern bringt.

Bug-Bounty-Programme sieht Schneier als weitgehend gescheitert. Sie stehen unter dem Druck KI-generierter Meldungen mit zehn- bis zwanzigfachem Volumen, von denen vieles wertlos ist und kaum geprüft wird.

Schon zuvor seien viele Programme zu Catch-and-Kill verkommen, Meldungen verschwinden im schwarzen Loch, weil genau das im Interesse der Unternehmen liege.

Gleichzeitig verändert KI die Schwachstellenökonomie grundlegend. Er erwartet, dass Open-Source-Projekte mit KI-Werkzeugen hunderte Schwachstellen auf einmal finden und schließen werden (Beispiel: hunderte in einem Firefox-Zyklus behobene Lücken). Das Ergebnis sei am Ende sicherer, der Weg dorthin aber ein massiver Patch-Schub. Er verwies auf die aktuelle Five-Eyes-Erklärung zu Sicherheit im Zeitalter der KI: deutlich mehr und schnelleres Patchen als bisher, im Idealfall innerhalb von Minuten nach Verfügbarkeit eines Patches.

Staatstrojaner und Cyberwaffenhersteller

Firmen wie NSO Group oder Intellexa ordnet Schneier klar als Cyberwaffenhersteller ein, also als Rüstungsindustrie. Sie verkaufen ihre Fähigkeiten an nichtdemokratische Staaten und Diktaturen und tun das straffrei.

Für klassische Rüstungsgüter existieren internationale Kontrollsysteme, so unvollkommen sie sind, für Cyberwaffen fehlen sie weitgehend.

Das hält er für einen Fehler. Viele dieser Firmen operieren überwiegend aus Israel, das ihren Betrieb duldet und sie als außenpolitisches Werkzeug einsetzt, teils auch aus Deutschland und Italien, also durchaus mit EU-Beteiligung. Reguliert gehöre die Branche dringend, schwierig sei das vor allem wegen ihrer internationalen Natur.

KI in Verwaltungsentscheidungen

Anlass war das in Österreich geplante Gesetz, das im September im Parlament debattiert werden soll und Verwaltungsentscheidungen ohne Mensch in der Schleife an große Sprachmodelle übertragen würde, dazu Argentiniens Vorstoß, KI einen Personenstatus zuzuerkennen. Schneier dämpft die Aufregung um das KI-Etikett:

Algorithmische Entscheidungen sind nicht neu. Ob man steuerlich geprüft wird, ob man einen Kredit bekommt, welche Studienzulassung man erhält, all das entscheiden seit Jahrzehnten Algorithmen.

Entscheidend sei nicht, ob KI im Spiel ist, sondern die Transparenz: Können wir die Systeme einsehen, sind sie offen, prüfbar, auditierbar, gibt es Widerspruchs- und Beschwerdewege, sind sie im Zweifel auf Nicht-Schaden ausgelegt. Unter diesen Bedingungen seien solche Systeme demokratietauglich und teils sogar fairer als menschliche Sachbearbeitung, etwa wenn ein Rechner jede Steuererklärung oder jede Umweltverträglichkeitsprüfung kontrollieren kann statt nur Stichproben. Sein bevorzugtes Muster: Der Computer übernimmt die Triage und markiert Anomalien, der Mensch macht die eigentliche Analyse. Schlecht werde es dort, wo Systeme intransparent und auf Profitmaximierung getrimmt sind, wie beispielsweise bei US-Versicherern. Das sei dann aber ein Gesundheits- und kein KI-Problem. Kurzformel: weniger fragen, ob es eine gute Idee ist, mehr darauf achten, wie gut es umgesetzt wird.

Chatkontrolle und Verschlüsselung

Die Auseinandersetzung um Client Side Scanning ist für Schneier nur die jüngste Runde eines Konflikts, der seit den frühen Neunzigern in jedem Jahrzehnt neu aufflammt. Die Begründung wechselt, der Lösungsansatz bleibt: In den Neunzigern waren es Entführer, in den 2000ern Terroristen, 2026 sind es Kindesmissbraucher. Die eigentliche Metafrage laute immer gleich: Wer entscheidet, ob du einen sicheren Kommunikationskanal haben darfst, du oder der Staat.

Client Side Scanning lehnt Bruce Schneier ab, weil es Sicherheit auf den Geräten gezielt bricht, in einer Welt, in der wir sie nötiger brauchen denn je.

Dieselben Chats nutzen Abgeordnete, Polizei, Richterinnen, Vorstände und, in einem Europa voller Kernkraftwerke, auch deren Betreiber. Der Konflikt sei Sicherheit gegen Sicherheit: Braucht die Polizei dieses Werkzeug zur Aufklärung von Straftaten, und braucht die Gesellschaft sichere Kommunikation zum Schutz vor Kriminellen und teils fremden Regierungen. Bislang komme die Polizei ohne Bruch der Verschlüsselung gut zurecht.

Digitale Identität und Altersverifikation

Hier rät Schneier zu großer Aufmerksamkeit. Dass soziale Medien Kindern schaden, sei real, das sei die Krankheit. Das Problem: Ein Account lässt sich leicht verifizieren, der Mensch dahinter kaum. Altersverifikation funktioniere praktisch nicht, weil Eltern das Alter ihrer Kinder ohnehin falsch angeben und Kinder Accounts und Passwörter der Eltern nutzen. Eine aktuelle Studie zur australischen Regelung zeige genau das, etwa jedes fünfte Kind ist weiterhin auf den Plattformen. Das Argument vom Kindeswohl sei für Politiker schwer abzulehnen, die Therapie aber oft schlimmer als die Krankheit, unter anderem weil sie Anonymität und unbeobachtete Teilhabe im Netz beschädigt.

Die saubere Lösung wäre, die überwachungsbasierten Manipulationssysteme im Bereich Social Media zu reparieren, das aber sei mit amerikanischen Plattformen und ohne US-Handeln nicht in Sicht.

Übrig bleibe ein Feld aus schlechten Lösungen und blockierten Optionen.

Fazit für die DACH-Praxis

Schneiers roter Faden ist die Verschiebung der Überwachung vom Staat zu privaten Plattformen und die Frage, wer über Sicherheit und Einsehbarkeit von Systemen verfügt. Für die europäische Compliance- und Datenschutzperspektive ist der Kontrast zur US-Sicht der eigentliche Ertrag des Abends: Wo die USA gezielten staatlichen Zugriff bei privater Überwachung tolerieren, setzt Europa auf Systemsicherheit, Verschlüsselung und nachprüfbare öffentliche Algorithmen. Diese kulturelle Differenz ist kein Randthema, sondern die Konfliktlinie hinter Chatkontrolle, Staatstrojaner-Gesetzen, automatisierten Verwaltungsentscheidungen und Altersverifikation. Wer in der DSGVO-Welt arbeitet, sollte sie kennen, weil fast jeder dieser Vorstöße an genau dieser Stelle entschieden wird.

Weiterlesen