Open Source? Erst ja, dann doch nicht 

Die Schweizer E-ID im Testlauf der Kontrolle

Es hätte so schön sein können: Die Schweiz, ein Paradebeispiel für Transparenz und Bürgerrechte, führt die E-ID ein und alle dürfen mitmachen. Die Geschichte begann mit dem grossen Versprechen: „Open Source“, das war der Plan. Die Bürger sollten nicht nur Nutzer sein, sondern auch mitreden können. Ein digitaler Ausweis, der für alle zugänglich ist, gebaut auf einem offenen Quellcode, den man sich anschauen kann. Ja, wir hätten einen Volkscode, nicht nur einen Staatscode. Vertrauen durch Transparenz, könnte man meinen. Aber das ist, wie das bei vielen politisch motivierten Projekten so ist: viel heisse Luft.

Was wir dann aber erhielten, war der klassische „Bait and Switch“. Der Quellcode, das Herzstück eines wirklich transparenten Systems, bleibt jetzt doch verschlossen, geheim, wie ein mysteriöser Schatz, den nur die Auserwählten finden dürfen. Warum? Sicherheitsgründe, heisst es. Eine geniale Ausrede. So genial, dass man fast applaudieren möchte. Sicherheit über Transparenz und das, während wir gleichzeitig unsere digitale Identität der polizeilichen Behörde anvertrauen. Ach ja, Fedpol hat da noch ein Wörtchen mitzureden. Denn was könnte vertrauenswürdiger sein als eine polizeilich kontrollierte Identität?

Warum der Rückzieher?

Doch die eigentliche Frage lautet: Warum der plötzliche Rückzieher? Warum wurde der ursprüngliche Plan, der Quellcode sollte öffentlich zugänglich sein, plötzlich auf Eis gelegt? Vielleicht hat man sich einfach vorgestellt, dass die Bürger anfangen könnten, den Code zu prüfen und nach versteckten Schwachstellen oder Hintertüren zu suchen. Und solche Dinge sind nicht schwer zu finden, besonders bei Überwachungsmechanismen, die nicht sofort sichtbar sind. Backdoors? Das würde wohl niemand vermuten, oder? Nur die, die sich mit Verschwörungstheorien beschäftigen. Aber mal ehrlich: Wie können wir wirklich sicher sein, dass es sie nicht gibt?

Lasst uns nichts vormachen: Hier geht es eher nicht um Sicherheit, sondern um Kontrolle. Der ursprüngliche Plan, die E-ID als offenes und transparentes System zu gestalten, war eine Täuschung. Man liess uns mit der grossen Verheissung der Open-Source-Initiative in die Falle tappen, um uns dann die Tür vor der Nase zuzuschlagen. Der Quellcode bleibt verschlossen und damit auch die Kontrolle über unsere digitale Identität und die Überwachung auf Jahre hinaus fest in der Hand von ein paar „guten“ Leuten. Und diese „guten“ Leute sind, Überraschung, auch noch diejenigen, die für Sicherheit sorgen wollen. Wie praktisch. Vertrauen durch Geheimhaltung.

Das Märchen von der unsicheren Open Source

Natürlich erzählt man uns ein anderes Märchen: Open Source sei „auf Staatsebene“ unsicher. Klingt gut, ist aber nichts weiter als ein billiger Trick, um Intransparenz zu rechtfertigen. Wer die Kontrolle behalten will, muss uns einreden, dass Offenheit gefährlich sei.

Die Realität sieht anders aus: Windows, das grosse Closed-Source-Flaggschiff, ist seit Jahrzehnten das Lieblingsbuffet für Hacker, weil niemand von aussen in den Code schauen darf und Sicherheitslücken oft jahrelang unentdeckt bleiben. Dagegen läuft Linux, komplett Open Source, auf fast allen Bankservern, Supercomputern und kritischen Infrastrukturen weltweit. Nicht weil es unsicher ist, sondern weil es robust, überprüfbar und vertrauenswürdig ist.

Oder nehmen wir Smartphones: Die vielgepriesenen „Freiheitshandys“ mit GrapheneOS (Open Source, jederzeit einsehbar) sind nachweislich 100 Mal sicherer als das, was uns Google mit Android oder Apple mit iOS vorsetzt. Sicherheit entsteht nicht durch Verschleierung, sondern durch die Möglichkeit zur kontinuierlichen Überprüfung.

Wer also behauptet, Open Source sei ein Risiko, der sagt im Klartext nur eins: „Wir wollen nicht, dass ihr seht, was wir tun.“ Offenheit bedeutet Kontrolle durch die Bürger. Geschlossenheit bedeutet Kontrolle über die Bürger.

Darum gibt es keinen Open-Source-Code

Der Code bleibt verschlossen, und so bleibt auch die Macht über unsere Daten und Identitäten. Wenn der Code öffentlich zugänglich wäre, könnte jeder von uns eine unabhängige Überprüfung vornehmen und schauen, ob sich nicht irgendwo ein paar eigenwillige Algorithmen verstecken, die den Staat mehr über uns wissen lassen, als uns lieb ist.

Fedpol wird uns wohl nicht erklären, wie der Code tatsächlich funktioniert und welche Funktionen er verbirgt. Stattdessen werden sie uns weismachen, dass wir keine Fragen stellen sollen, weil sie ja nur unser Wohl im Blick haben. Uns wird weiterhin erzählt, dass wir nichts zu befürchten haben, dass alles sicher und in bester Absicht programmiert wurde. Doch was bleibt am Ende übrig? Der Bürger hat keinerlei Einblick, keine Möglichkeit zur Kontrolle und wird schlichtweg aus dem ganzen Prozess ausgeschlossen.

Wir sollen blind vertrauen, während diejenigen, die das System kontrollieren, in aller Ruhe bestimmen, wie es funktioniert. Und das ist der Punkt: Während uns das Vertrauen in die „Sicherheit“ verkauft wird, bleibt die Wahrheit doch eine ganz andere. Der Bürger bleibt aussen vor, und das ist auch genau der Plan. Die Kontrolle über unsere Daten und unsere Identität liegt nicht in unseren Händen, sondern in den Händen von Behörden, die uns als „sicheren“ Teil eines Systems verkaufen, das uns zunehmend weniger Freiheiten lässt.

Im Grunde ist es ein Skandal

In der Schweiz, einem Land, das für seine Direktdemokratie und Bürgerrechte weltweit bewundert wird, ist das ein echter Skandal. Hier wird uns ein System präsentiert, das Vertrauen verspricht, aber hinter verschlossenen Türen aufgebaut wird. Was passiert, wenn die Menschen aufwachen und merken, dass ihre digitale Identität nicht in den Händen eines unabhängigen, transparenten Systems liegt, sondern fest unter der Kontrolle einer polizeilichen Behörde, die zwar mit der Sicherheit unserer Daten beauftragt ist, aber nicht notwendigerweise mit deren Schutz vor staatlicher Überwachung?

Die Einführung der E-ID ist ein Versuch, den Überwachungsstaat im Kleinen zu etablieren, ohne dass es jemand merkt. Der Plan war, uns langsam zu gewöhnen: Zuerst „Open Source“, dann doch nicht. Das ist der Moment, in dem der gläserne Bürger auf dem Bildschirm erscheint, während wir in dem Irrglauben leben, dass es alles nur zu unserem Besten ist. Und so stehen wir jetzt hier: mit einer E-ID, die uns als moderne, digitale Lösung verkauft wird, aber in Wahrheit nur ein Werkzeug der Kontrolle darstellt.

Vertrauen ist gut, Kontrolle aber offenbar besser

Diese E-ID ist ein schönes Beispiel dafür, wie man den Bürgern das Vertrauen in die Technik so lange füttert, bis sie den Käfig gar nicht mehr merken. Und dann haben wir es, das „digitale Gefängnis“, das keiner so richtig kommen sah. Ein System, das den Bürger nicht befreit, sondern überwacht. Es ist eben nicht immer das, was auf der Packung steht. Und in diesem Fall ist es wohl eher ein Überwachungswerkzeug als ein Bürgerrecht.

Hat vielleicht die EU etwas gegen Schweizer Open Source?

Und hier noch ein Gedanke, den man nicht einfach so beiseite schieben kann: Könnte es sein, dass die EU nicht möchte, dass die Schweiz mit einer Open-Source-Lösung vorangeht? Denn die E-ID muss nicht nur für den Schweizer Markt funktionieren, sondern auch mit der EU-Version von eIDAS kompatibel sein. Und wenn ein Open-Source-System aus der Schweiz ausserhalb der eIDAS-Standards existiert, könnte das die Kontrolle der EU über den digitalen Identitätsmarkt gefährden.

Was, wenn die Schweiz ein Open-Source-System entwickelt, das den Bürgern mehr Kontrolle über ihre Daten gibt, aber gleichzeitig die EU daran hindert, diese Daten zu kontrollieren oder darauf zuzugreifen? Das wäre ein Albtraum für die EU, die bereits auf zentralisierte, nicht-öffentliche Systeme setzt, um Zugriff auf persönliche Daten zu haben.

Könnte es sein, dass die EU nicht nur zur Kompatibilität der Schweiz mit der eIDAS drängt, sondern dass sie auch bewusst gegen Open-Source-Initiativen vorgeht, die der Datenhoheit der EU im Weg stehen? Schliesslich geht es hier nicht in erster Linie um Sicherheit, sondern darum, den Zugang zu persönlichen Daten innerhalb der EU (vielleicht gerne auch der Schweiz) zu sichern und das kann man kaum in einem offenen, transparenten System realisieren, das jeder einsehen kann. Nur mal so als Idee.