Digitaler Verbraucherschutz durch Aufklärung?

Betrachten wir die Kaufentscheidung für eine Smartwatch. Im Rahmen des vom BMBF geförderten Forschungsprojekts InviDas, an dem auch die GI beteiligt ist, analysierten wir sieben Smartwatches namhafter Anbieter aus der Sicht einer Person, die sich vor dem Kauf über Sicherheits- und Datenschutzmerkmale der Produkte informieren möchte. Bei keinem der Produkte wurden auf den Websites, Verpackungen oder Beipackzetteln Fragen zu Sicherheit und Datenschutz behandelt. Erst während der Einrichtung der zugehörigen Smartphone-Apps fanden sich vereinzelt Hinweise auf Datenschutzerklärungen, welche jedoch meist mehrere Dutzend Bildschirmseiten umfassten und schwer verständlich waren. Eine informierte Kaufentscheidung scheitert bei diesen Produkten an unzureichenden und unverständlichen Informationen seitens der Anbieter. Eine solche Informationsasymmetrie zwischen Anbietern und Nachfragern existiert nicht nur bei digitalen Produkten, sondern beispielsweise auch bei Gebrauchtwagen; dort wurden die negativen Auswirkungen auf den Markt bereits vor Jahrzehnten untersucht (siehe „Market for Lemons“ von George Akerlof, Gabler Wirtschaftslexikon). 

Würde sich die Lage bessern, wenn Verbraucherschutzorganisationen dieses Informationsdefizit durch Aufklärungsangebote schließen oder wir die Anbieter gar durch Gesetze verpflichteten, Hinweise zu Sicherheit und Datenschutz auf die Packung zu drucken? Wahrscheinlich nicht. Unter Unsicherheit entscheiden Menschen oft nicht rational, selbst wenn sie gut informiert sind. Dies gilt insbesondere bei der Bewertung von langfristigen Risiken, vor denen die Sicherheitsmerkmale und Datenschutzmaßnahmen bei einer Smartwatch schützen sollen. Gerade beim Schutz ihrer Privatsphäre weisen wir zahlreiche verhaltensökonomische Schwächen auf (siehe z.B. Acquisti und andere).

Wenig hilfreich ist auch die Tatsache, dass bei Sicherheitsmängeln in Produkten häufig nicht die Hersteller oder Käufer betroffen sind, sondern Dritte, wie Anderson und Moore bereits 2007 feststellten (siehe das gut verständliche Papier auf www.cl.cam.ac.uk). Dieses als „externalisierte Kosten“ bezeichnete Phänomen tritt nicht nur, aber insbesondere bei digitalen Produkten auf. Ein bekanntes Beispiel sind unsichere digitale Videorekorder, die 2016 zum Mirai-Botnetz zusammengeschlossen wurden und erhebliche Internetstörungen verursachten (gute Zusammenfassung bei golem). Solange weder die Hersteller noch die Käufer einen Anreiz haben, sich um ausreichende Sicherheit zu kümmern, werden vorrangig unsichere und die Privatsphäre vernachlässigende Produkte angeboten. Andere Hersteller können am Markt nicht bestehen („adverse selection“).

Abgesehen davon ist Verbraucherschutz durch Aufklärung gerade im Bereich der IT-Sicherheit und des Datenschutzes ein schwieriges Unterfangen. Die Erfahrung zeigt, dass es kaum möglich ist, einfache und universelle Ratschläge zu geben, die sich von Verbraucherinnen und Verbrauchern unmittelbar umsetzen lassen. 

Ein griffiges Beispiel sind etwa die Empfehlungen zur Passwortsicherheit. Durch den Versuch, möglichst einfache Ratschläge zu geben, wurden jahrelang menschenunfreundliche Anforderungen aufgestellt: „mindestens 8 zufällig gewählte Zeichen, nicht aus dem Wörterbuch, bei jedem Dienst ein anderes, alle paar Monate ändern“). Dies führte bei den Nutzenden zu viel Frust – und zu schlechten bzw. schlecht merkbaren Passwörtern. Dass ein recht angenehm einzugebendes, mit dem Diceware-Ansatz erzeugtes Passwort wie „kurort ausdruck besetzen pauschal“ tatsächlich jedoch schwerer zu erraten ist (vier zufällig gezogene Wörter aus einer Menge von 7776 möglichen Wörtern, also 7776 hoch 4 = 3,6 Billiarden Möglichkeiten) als das zufällig erzeugte Passwort „7Gdm-q1x“ (acht zufällige Zeichen aus einer Menge von 82 möglichen Zeichen, also 82 hoch 8 = 2,0 Billiarden Möglichkeiten), dürfte viele überraschen.

Ist das nicht ein Argument dafür, dass noch sehr viel mehr Aufklärung notwendig ist? Daran bestehen Zweifel. In einer 2017 veröffentlichten Studie wurden 231 IT-Security-Fachleute gefragt, was die wichtigsten Sicherheits- und Datenschutzempfehlungen seien, die sie Laien geben würden (research.google). Das Ergebnis ist eine Liste von 152 Ratschlägen – von „Systemupdates einspielen“ über „immer misstrauisch sein“ und „Linux verwenden“ bis „immer starke Passwörter setzen“. Interessant: In der Studie wurden auch Nutzerinnen und Nutzer nach den ihrer Meinung nach wichtigsten Maßnahmen gefragt – und in vielen Fällen schätzten sie die Wichtigkeit völlig anders ein als die Fachleute. 

Aufklärung kann auch schaden: Informierte bzw. geschulte Menschen machen unter Umständen öfter Fehler. So stellte sich in einer im Jahr 2019 veröffentlichten Studie heraus, dass Haushalte, in denen Firefox, Antiviren-Software und ein Passwort-Manager zum Einsatz kamen, öfter von Schadsoftware infiziert waren als andere (dl.acm.org) – und eine groß angelegte Studie zur Effektivität von Phishing-Trainings ergab, dass diejenigen Mitarbeitenden, die ein Phishing-Training durchlaufen hatten, öfter auf Phishing-Links klickten (arxiv.org). Es gibt sogar Hinweise dafür, dass Verbraucherinnen und Verbraucher völlig rational handeln, wenn sie Sicherheitsempfehlungen ignorieren (microsoft.com).

Die Komplexität der Technik ist hoch und nicht einmal Fachleute sind sich einig, welche Fakten und welche Handlungskompetenzen wichtig und richtig sind. Diese Situation gibt es auch in anderen Situationen, etwa bei Fragen zur gesunden Ernährung oder Finanzanlagen. Auch in diesen Feldern gibt es Versuche zur besseren Aufklärung – mit überschaubarem Erfolg, wie sich beispielsweise an den Unzulänglichkeiten der Lebensmittelampel („Nutriscore“) zeigen lässt, die hier nicht näher ausgeführt werden sollen. Ob sich Nutzungsentscheidungen für digitale Produkte durch Kennzeichnung und zusätzliche Informationen (wie dem „Basisinformationsblatt“ bei Finanzanlagen) verbessern lassen? Auf jeden Fall ist das ein schwieriges Problem, in dem noch viel Grundlagenforschung möglich ist.

Was ließe sich kurzfristig tun? Unmittelbar hilfreich wäre fachkundige Beratung zu konkreten Produkten, am besten durch neutrale Stellen. Die einschlägigen Behörden halten sich damit allerdings zurück, etwa weil sie zur Neutralität verpflichtet sind und nicht in den Markt eingreifen dürfen. Beratung findet daher bislang häufig durch engagierte Privatpersonen statt – und durch nichtkommerzielle Angebote wie Privacy not Included, Mobilsicher und ToS;DR.

Schlecht informierte oder irrational agierende Verbraucherinnen und Verbrauchern sind allerdings nur ein Teil des Problems. Die eigentliche Ursache für Sicherheitsmängel und unzureichenden Datenschutz sind schließlich die Anbieter. Viel gewonnen wäre schon damit, die geltenden rechtlichen Anforderungen konsequent zu verfolgen – womit Aufsichtsbehörden und Verbraucherzentralen aber bis auf weiteres überfordert sind. 

Wünschenswert wären auch mehr anlassunabhängige Kontrollen. Bisher werden diese vor allem von Wissenschaftlerinnen und Wissenschaftlern im Rahmen ihrer Forschungsarbeit durchgeführt, wodurch immer wieder Mängel aufgedeckt werden. Allerdings fehlt es vielen Hochschulen und Mitgliedern der wissenschaftlichen Community an Möglichkeiten zur zielgruppenorientierten Öffentlichkeitsarbeit – und gerade der wissenschaftliche Nachwuchs ist erheblichen rechtlichen Risiken ausgesetzt, wie beispielsweise ein Fall aus dem Jahr 2018 zeigt (heise).

Angesichts der unzureichenden Ressourcenausstattung bei den Aufsichtsbehörden sollten wir jedenfalls nicht den Kopf in den Sand stecken – wenn wir den Verbraucherschutz auf die Verbraucher abwälzen, dann machen wir es uns zu leicht!

Dieser Beitrag stammt aus unserem Newsletter GI-Radar, der alle zwei Wochen erscheint und viele weitere spannende Einblicke in die Informatik bietet. Alle Ausgaben gibt es hier zum Nachlesen. Der Text wurde von Dominik Herrmann, Herausgeber des GI-Radars, verfasst.