Trustworthy Technology

Die erste Folge unseres Podcasts geht der Frage auf den Grund: Was bedeutet "vertrauenswürdige" Technologie?

von Podcast Team
Lesedauer ca. 13 Minuten

In der ersten Episode sprechen Lukas und Yuliy über den Begriff "Trustworthy Technology". Was heisst es überhaupt Technologie vertrauen und wie kann unser Vertrauen missbraucht werden? Oder ist das Ganze vielleicht auch wieder nur ein neues Buzzword?

Die Episode auf SoundCloud anhören
Jetzt anhören!

Transkript

Lukas: [00:00:08] ... nachher werde ich hier noch fern-diagnostiziert von irgendwem, dass ich starke Vertrauensprobleme habe weil ich das alles falsch definiert habe....

Yuliy: [00:00:14] wäre das nicht ein richtig geiler outcome?

Lukas: [00:00:18] Wunderbar.

Yuliy: [00:00:23] Herzlich Willkommen zur ersten Folge von ImagineOn Air, dem ImagineOn Podcast. Mein Name ist Yuiy.

Lukas: [00:00:29] Ich bin Lukas.

Yuliy: [00:00:31] Heute gehen wir der Frage auf den Grund: Was ist Trustworthy Technology? Da geht es um Vertrauen. Was ist für dich wichtig, wenn nur einer Technologie vertrauen möchtest?

Lukas: [00:00:47] Daten von einer Person, Daten von mir selber, die ich ja wahrscheinlich weitergeben muss für die Benutzung dieser Technologie. Das halte ich für ein Vertrauensthema. Ob man diese Daten an die jeweilige Institution weitergeben möchte der man da gerade seine Daten gibt. Ansonsten spielen sicherlich noch andere Faktoren rein ausser nur den Daten zum Beispiel.

Yuliy: [00:01:18] Für mich geht Vertrauen damit einher, dass ich weiß was ich da eigentlich kaufe und das heißt, dass wenn ich ein Produkt habe, dass ich das Produkt am Ende besitze. Wenn es eine Box ist, dass das was da drin ist nicht eine Black Box ist und ich weiß, okay so funktioniert das.

Lukas: [00:01:43] Aber zumindest auf die Art und Weise wo du wo du sagst du verstehst es zumindest im Ansatz wie es funktioniert.

Yuliy: [00:01:49] Ich würde noch nicht mal behaupten dass es für mich so wichtig ist dass ich weiß wie das funktioniert, sondern dass ich weiß, dass die wenn ich jetzt sage: Okay wenn es um meine Daten geht, ich sage Ich möchte nicht dass meine Daten irgendwo hochgeladen werden, dass das auch genau so passiert. Oder zum Beispiel wenn diese Technologie etwas ist wo zum Beispiel etwas was einfach nur durch zusätzliche Services angereichert wurde und wenn diese Services nicht mehr funktionieren, Beispiel Kühlschrank mit Google-Integration, dass der Kühlschrank noch seine primäre Funktion erfüllt. Das heißt ich kaufe mir in erster Linie einen Kühlschrank und wenn ich ihn nicht mit seinem Namen ansprechen kann dann ist es vielleicht nicht so schlimm aber er sollte immer noch kühlen können.

Das heißt ich kaufe mir in erster Linie einen Kühlschrank und wenn ich ihn nicht mit seinem Namen ansprechen kann dann ist es vielleicht nicht so schlimm aber er sollte immer noch kühlen können.

Lukas: [00:02:40] Spielt da mit rein, dass man bei solchen Sachen bei solchen Zusatzfeatures wie zum Beispiel Google Integration in den Kühlschrank die Wahl hat ob man möchte oder nicht? Also ich denke da zum Beispiel an Smart-TVs. Wan man heute versucht einen Fernseher zu kaufen kriegt man ja quasi nichts mehr ohne Android, Tizen oder wie auch immer die Systeme alle heißen. Ob man das jetzt nun möchte oder nicht weil man vielleicht einfach sowieso schon anderes Equipment hat, dass diese Aufgaben eh schon übernimmt und man sich davon eigentlich auch nicht trennen will man einfach nur einen neuen Bildschirm möchte quasi, kriegt man die heutzutage trotzdem eigentlich fast nur noch mit Smart Features wie zum Beispiel irgendeiner Steuerung oder sowas wo man ja zum Beispiel gar keine Chance hat sich dagegen zu entscheiden oder zumindest nicht wirklich.

Yuliy: [00:03:22] Ja das finde ich eigentlich schade, vor allem auch, naja es ist diese alte Debatte wenn du jetzt einen Laptop hast mit einer eingebauten Kamera. Es gibt Leute die verdienen Geld damit Sticker zu produzieren und zu vertreiben die man sich dann über diese Kamera kleben kann. Woher kommt das? Weil eben der Benutzer des Laptops nicht der Firma vertraut. Und zwar wenn die Firma sagt: okay es ist aus - ist es dann wirklich aus ? Und das hat ja auch viel mit Vertrauen zu tun. Das heißt wenn ich "Trustworthy Technology" als Begriff nehme dann ist das etwas wo ich entweder absolut sicher sein kann weil das einfach technisch gesehen... Also wenn ich meine Alexa den Strom entziehe, dann weiß ich Der kann die nichts nach außen senden.

Lukas: [00:04:11] Das hoffst Du, bis rauskommt, dass eine versteckte Batterie eingebaut ist.

Yuliy: [00:04:15] Aber wenn eine Firma durch ihre Praxis dadurch wie sie mir gegenübertritt welche Optionen sie mir lässt beim Benutzen ihrer Produkte kann sie auch Vertrauen gewinnen wo ich sagen kann: Okay wenn die Firma sagt "Wir spionieren euch nicht aus" dann würde ich hier vertrauen und sagen: Okay das klingt vernünftig. Also auf ner globalen Ebene. Wenn wir jetzt irgendwie große Konzerne betrachten ist es da natürlich immer viel schwieriger diese Vertrauensbasis, also für mich persönlich herzustellen, als wenn es jetzt irgendwie so ein kleines Unternehmen ist wo ich vielleicht den Ansprechpartner kenne, der mir das verkauft.

Ich habe einige Berührungspunkte mit dem Bereich Kryptographie und da ist es halt eigentlich fast die größte Sünde die man begehen kann wenn die Sicherheit der Kommunikation darauf beruht dass zwei Seiten sich gegenseitig vertrauen.

Lukas: [00:04:54] Ich finde das mit diesem Vertrauen auch von technischer Seite eine interessante Sache. Ich habe ein bisschen Anhaltspunkte oder "Touch Points" mit dem Bereich Kryptographie gehabt und da ist es halt eigentlich fast die größte Sünde die man begehen kann wenn die Sicherheit der Kommunikation darauf beruht dass zwei Seiten sich gegenseitig vertrauen. Da möchte man die Algorithmen oder die Techniken die es gibt so einsetzen, dass sie gar kein Vertrauen notwendig ist sondern, dass man quasi verifizieren kann zu jeder Steller zu jeder Zeit an jedem Schritt: ist derjenige in dem ich da gerade spreche derjenige dem ich sprechen möchte, sind die Information für diejenigen gedacht... All diese Dinge, Sodass quasi das nicht darauf basiert, dass sich jemand quasi an die Spielregeln Hält sondern sondern dass die Regeln oder die Umstände des Spiels so gelegt sind, dass man sich nicht gegen die Spielregeln verhalten kann weil man ansonsten einfach nicht mitspielen kann, von alleine. Sowas würde ich mir in so einem Technologiesektor der sich an Endbenutzer richtet eigentlich auch wünschen. Man kann sagen der Schritt das Gerät ins WiFi zu holen ist vielleicht dies, aber das ist auch wieder so ein Schritt, das ist halt alles oder gar nichts. Man hat ja nicht die Möglichkeit zu sagen mich interessiert, weiß ich nicht, Google Kalender auf meinem Smart-Fridge. Aber ich möchte nicht dass mein Google Assistent in der Küche das Mikrofon anmacht. Großartig auswählen was davon tatsächlich stattfindet kann man ja an der Stelle nicht.

Yuliy: [00:06:25] Naja, wenn man eine Technologie entwickelt bei der z.B. der Assistent lokal funktioniert wo man ein Gerät haben kann, die smarte Mikrowelle mit der man sprechen kann, die aber kein Internet braucht. Das ist nur möglich wenn dieses Feature von vornherein mit diesem Use-Case entwickelt wurde. Das Heißt wenn man es vorher entwickelt mit "wird schon irgendwie klappen" und "Privacy Last", dann wird es so ein Produkt einfach nicht geben, weil es technisch viel schwieriger ist zurückzurudern und dann auf einmal bei dem Produkt die Privacy obendrauf zu tackern. Das heißt diese Bedenken, die wir jetzt äußern oder die Wünsche die wir jetzt äußern, müssen als Grundlage der Entwicklung von seinem Produkt dienen. Nur dadurch kann man überhaupt dieses Ziel erreichen.

Lukas: [00:07:20] Ich ich ich mag diese Idee von dem lokalen Assistenten eigentlich sehr gerne. Ob das jetzt daraus besteht, dass man tatsächlich alles komplett lokal machen kann was einen natürlich in gewisser Weise einschränkt. Man könnte sich vorstellen, dass man es vielleicht so macht, dass die Funktionen für den Voice Assistenten nur in bestimmten Intervallen upgedated werden, wo vielleicht mit dem Update eine neue Capacity kommt wie keine Ahnung: Schlag mir related Filme vor zu dem, den ich gerade schaue oder sowas. Man könnte sich das auch so vorstellen, dass man sagt: der Chip kann den Großteil der Sachen lokal und die Sachen die er nicht lokal kann, für die er keine Antwort hat, die kann er dann weitergeben ans Internet. Es gibt ja jetzt schon quasi eine teilweise Implementation also zum Beispiel mit "Voice" schreiben möchtest, brauchst Du dafür eigentlich keine Internetverbindung. Das kann Android ja mittlerweile einfach so ohne Internetverbindung über die Tastatur mit diesem Diktiergerät. Ich benutze zum Beispiel ganz gerne für den Assistenten für Sachen die einfach irgendwie "Busy-Work" sind wie, keine Ahnung. Ich möchte jetzt ein Timer haben. Da muss ich nicht in die Timer-App gehen und da irgendwie mit 15 Klicks nen Timer erstellen sondern ich es einfach Ich will nen Timer, also sowas wären ja Aufgaben, die man so machen könnte.

Yuliy: [00:08:50] Sobald das Gerät wo der Assistent drauf ist mit dem Internet verbunden ist bist Du wieder in der Vertrauensfrage. Vertraust Du dem Unternehmen wirklich, dass was du da reinsprichst nicht aufgezeichnet und doch noch zu Analysen-Zwecken an die geschickt wird. Ich meine zu Analyse-Zwecken wär ja fein, aber das ist dann noch die viel größere Vertrauensfrage, wenn das Unternehmen sagt wir benutzen die Daten nur für Analyse Zwecke. Ist das wirklich so? Wenn Du Dein Android-Telefon benutzt und Du dairgendwas reindiktierst. Ich könnte mir nicht mehr sicher sein wer da alles hat Zugriff auf diese Daten hat ob das aufgezeichnet wird ob das wer das sind analysiert und was davon nachher mir als Werbung empfohlen wird.

Lukas: [00:09:29] Heißt das dass in der Folge, dass ein Gerät mit Internetanschluss eigentlich niemals zu Trusted Technology gehören darf oder kann?

Yuliy: [00:09:37] Nein, es geht eher darum dass... also Ein Android-Telefon ist ja eine Ansammlung von ganz vielen, vielen Dingen und da sind so viele Variablen im Spiel, dass ich als Softwareentwickler niemals selber das überblicken könnte, ganz zu schweigen von dem normalen Endverbraucher. Das heißt wenn man hier Trust herstellen möchte, dann muss es von Grund auf passieren und bei einfachen Geräten ist es natürlich auch einfacher den Trust herzustellen. Es ist nur so, dass erneut nicht mit Privacy-First designed worden ist und es nachträglich einzubauen... Du hast ja gesehen, wie lange es gedauert hat bis man da überhaupt diese Berechtigungen die man ein- und ausschalten kann eingebaut hat und sogar jetzt ist die Situation nicht wirklich zufriedenstellend.

Lukas: [00:10:22] Und das Internet kann man keine Anwendung entziehen. Das ist mittlerweile quasi ein Grundrecht für alle Anwendungen geworden wo man gar nicht explizit nachfragen muss.

Yuliy: [00:10:29] Und In gewissen Sinne ist natürlich die Abwägung: Persönlichkeitsrechte gegenüber Bequemlichkeit. Aber wenn die Software oder die Hardware die ich benutze mit diesen Prinzipien designed worden ist, dann ist es doch eine ganz andere Ausgangssituation wo man dieses Gespräch hat, anstatt das was wir jetzt haben wo man täglich über Datenleaks hört und Audiodaten von irgendwelchen aufgezeichneten Gesprächen irgendwo anders hingeleitet werden als sie eigentlich hin sollen und so weiter.

Lukas: [00:11:01] Wie stellst du dir den Vorgang des vom Aufbauen von Vertrauen von bestimmten Herstellern vor? Also ein neuer Hersteller kommt und sagt: Ja wir haben jetzt ein neues Produkt das hat irgendetwas was potenziell viel über dich verraten kann von mir aus eine Kamera und Mikrofon. Na sowas. Was muss der Hersteller tun so grob umrissen, um irgendwie so ein bisschen dein Vertrauen für sich zu gewinnen. Also sagen wir mal, klar wenn der Hersteller jetzt eine ewig lange Historie von guten oder oder im Gegensatz dazu schlechten Projekten ist das natürlich ein Einflussfaktor klarer sagen wir mal das fehlt sagen wir mal das gibt es nicht.

Yuliy: [00:11:39] Das ist eine interessante Frage. Das erste was mir da einfällt ist OpenSource. Das heißt wenn es darum geht zum Beispiel dass ich meinem E-Mail-Programm vertraue, dass es nicht meine E-Mails schreibt oder was auch immer. Also z.B. Proton Mail macht es ja so, dass die Mail verschlüsselt komplett bis zum Endnutzer kommt und erst auf dem Endgerät entschlüsselt wird. Das heißt die Server-Software ist bei den Closed Source. Aber die Client-Software ist OpenSource. So kann man nachvollziehen was denn da überhaupt passiert. Oder Beispielsweise auch Telegram macht das auch. Dass die die Clients als Open-Source zu Verfügung stellen, so dass Leute eben nachschauen können was da genau passiert. Das ist ein Beispiel. Ich weiß das ist nicht in allen Bereichen und für alle Produkte so möglich, aber das ist erstmal etwas wo das Unternehmen Offenheit zeigt was einfach ein Grundsatz dafür ist dass man Vertrauen schafft. Eine andere Sache ist, dass mir das Gerät am Ende auch gehört, also das heißt es wird nicht kaputt gehen oder nicht mehr funktionieren wenn der Service abgestellt ist. Ich habe das Recht es zu reparieren. Ich habe das Recht es zu untersuchen.

Lukas: [00:12:55] Das Wäre ja quasi Garantien die das Unternehmen von Anfang an oder von vornherein geben müsste. Es Müsste quasi nicht beweisen dass es das tun würde sondern dir würden an der Stelle Garantien reichen?

Yuliy: [00:13:05] Natürlich wenn das Unternehmen... also, wir können nicht in die Zukunft sehen. Wenn das Unternehmen aber dann beschließt die Garantien die es versprochen hat zu brechen, dann ist das eine ganz andere Situation als wenn da niemals drüber gesprochen wurde und auf einmal werde ich verklagt weil ich irgendwie den Data Flow von meinem Google Home analysiert habe.

Lukas: [00:13:28] Mein Punkt ist oder worauf ich hinaus möchte ist quasi bevor Trusted Technologies eventuell zu einem neuen Buzzword wird wo man einfach Sticker auf Dinge drauf klebt und sagt :Ja da brauchen Sie sich jetzt keine Sorgen mehr zu machen, dass das natürlich irgendwo in der Natur der Dinge liegt, dass man ein bisschen Vertrauen entgegenbringen muss und dass das quasi eine Interaktion ist die auf gegenseitigem, ich will nicht unbedingt sagen Respekt, aber sowas in der Art basiert. Das Sollte man dabei wahrscheinlich nicht aus den Augen verlieren. Das man quasi etwas vorstrecken muss um etwas zurückzubekommen und nicht dass es einfach heißt:. Dieses Gerät ist zertifiziert durch irgendeine zentrale Stelle die sich... naja.

Yuliy: [00:14:13] Naja, der Weisheit letzter Schluss ist ja immer Auditing aber der Aufwand der theoretisch notwendig ist um so komplexe Systeme zu auditieren und vor allem... Ich meine wenn es jetzt zum Beispiel um die Spracherkennungs Software von Amazon geht da gibt es schon allein Limitierungen dadurch dass sie ja nicht irgendwie alles verraten dürfen. Die haben ja auch Firmengeheimnisse was mit ihrer Technoogie zu tun hat. Das kann dich insofern so weit bringen dass Du sagst: okay, die Daten sicher die Daten, die Daten sind anonymisiert, die Daten werden nicht an Dritte weiter oder unberechtigte Personen weitergegeben. Das ist im Endeffekt ist das die größte und beste Garantie, die man bekommen kann. Aber ich glaub nicht, dass das für alle Produkte wo das relevant ist, realistisch ist. Das heißt der erste Schritt wäre auf jeden Fall das Unternehmen selber sich aktiv damit auseinandersetzt und dann auch selbst...

Lukas: [00:15:20] ...die Schritte einleitet. Dazu dass es überhaupt dazu kommen kann, dass man Vertrauen aufbaut.

Yuliy: [00:15:31] Das Unternehmen muss selbst aktiv werden und wenn das Unternehmen selbst von sich aus sagt: Okay wir wollen Trustworthy Technology herstellen und den und den Kriterien, dann ist das schon mal ein sehr guter Anfang...

Lukas: [00:15:46] m-hm.

Yuliy: [00:15:46] Fassen Wir zusammen: was haben wir Kriterien für die Technologie festgestellt.

Lukas: [00:15:56] Ich habe es nicht mitgeschrieben.

Yuliy: [00:15:58] Ich weiß dass gesagt ist, dass es Dir wichtig ist, dass du Kontrolle über deine Daten hast. Dass Du weißt was mit denen gemacht wurde. Ich spinn das jetzt mal ein bisschen weiter, dass du weißt wo sie sich befinden und wie man sie löschen kann.

Lukas: [00:16:17] Ja und wir haben darüber gesprochen, dass man die Möglichkeit hat diese Sachen optional zu machen also seine Daten quasi... also dass man Kontrolle darüber hat ob man oder in welchem Ausmaß man Daten weitergeben möchte. Wir haben darüber gesprochen, dass einem die Hardware gehört oder das Gerät das man gekauft hat gehört, das man das Recht hat es zu reparieren daran selber ein Audit durchzuführen. Also man das Gerät gekauft, deswegen ist man selber im Recht, damit zu tun was man für sinnvoll hält mit diesem Gerät.

Yuliy: [00:16:50] Und dass man auch nicht abhängig ist von den externen Services die vielleicht nicht mehr existieren wenn das Unternehmen in zwei Jahren pleite ist und ich den Kühlschrank aber noch ein paar Jährchen länger benutzen möchte.

Lukas: [00:17:02] Und die Hoffnung dass irgendwann vielleicht die Technologie existiert wo das Ganze nicht mehr auf irgendeinem impliziten Vertrauen stattfinden muss sondern quasi dass man es nach bestimmten Kriterien designt und wenn es nicht nach diesen Kriterien designt wird, dann funktioniert es so einfach nicht. Das es also quasi offensichtlich ist, dass diesem Gerät nicht zu vertrauen ist aber das bleibt ja die Wunschvorstellung.

Yuliy: [00:17:25] Und die letzte Sache die wir besprochen haben ist dass man eben auch vertrauen dem Unternehmen gegenüber haben kann, wenn das Unternehmen selber Schritte einleitet, "Trustworthy " zu werden über verschiedene Auditing Verfahren aber auch über explizite Privacy Policies, die bestimmte Dinge nicht zulassen und wenn sich das Unternehmen selber zu diesem Credo bekennt und dementsprechend die Produkte entwickelt ist das schon ein großer Schritt in Richtung Vertrauen.

Lukas: [00:18:02] Ja.

Yuliy: [00:18:02] Und. ..off Air.

Lukas: [00:18:02] Auf Wiedersehen.

Mehr Insights