Wenn Vertreter der Polizei sich über neue Technologien freuen, ist immer Vorsicht angesagt. Wenn sie sagen, die Technik könne helfen, die Unschuld von Bürgern zu beweisen, noch einmal mehr. Genau das behauptete Mark Stokes, Leiter für digitale Forensik bei Scotland Yard, Anfang des Jahres. "Das Internet der Dinge schafft eine neue Form der Spurensicherung", sagte Stokes. Eines Tages könne der vernetzte Kühlschrank seinen Besitzern ein Alibi liefern. Oder Amazons Echo. Oder der smarte Stromzähler im Keller.

Polizei und Behörden haben zunehmend großes Interesse an den Daten, die das Internet of Things (IoT) von seinen Nutzern sammelt. Das wissen auch Frederike Kaltheuner und Millie Graham Wood von der Bürgerrechtsorganisation Privacy International. Auf der re:publica in Berlin beschäftigten sie sich mit der Frage, was eigentlich passiert, wenn das Internet der Dinge vor Gericht gezogen wird – und ob das wirklich nur im Interesse der Bürger ist.

Beispiele dafür, wie vernetzte Geräte in Polizeieinsätzen verwendet wurden, gibt es einige. Im vergangenen Jahr hoffte die Polizei aus Arkansas vergeblich, über einen Echo-Lautsprecher Hinweise in einem Mordfall zu finden. Im April dieses Jahres konnte durch die Daten eines Fitbit-Fitnesstrackers das Alibi eines mutmaßlichen Mörders infrage gestellt werden. In Ohio konnte ein Herzschrittmacher einen Versicherungsbetrug verhindern.

Wenn die Geräte bei der Aufklärung von Verbrechen helfen können, klingt das erst einmal nicht schlecht, sagen Kaltheuner und Graham Wood. Und wer dank seiner vernetzten Überwachungskamera oder des Fitnesstrackers vor Gericht seine Unschuld beweisen kann, dürfte die Option dankend annehmen. Doch was in der Theorie gut klingt, ist in der Praxis komplizierter. Dafür gibt es drei Gründe.

Informationsasymmetrie

Erstens besteht zwischen den Nutzern und den Hersteller der Geräte eine "Informationsasymmetrie", wie es die beiden Mitarbeiterinnen von Privacy International nennen. Die Nutzer und Besitzer bekommen allenfalls einen groben Einblick darüber, wie und welche Daten gesammelt werden. Amazons Echo-Lautsprecher etwa enthält sieben Mikrofone, die ständig zuhören. Zwar werden erst Daten an Amazon übertragen, wenn die Nutzer "Alexa" sagen. Doch um das überhaupt registrieren zu können, müssen die Mikrofone schon vorher aktiviert sein. Viele Nutzer wissen beispielsweise gar nicht, dass immer auch ein kurzer Moment vor der Aktivierung aufgenommen wird.

Zudem bekommen Nutzer häufig keinen Zugriff auf Daten, die sie selbst erzeugen. Im Fall von Echo können sie zwar ihre Anfragen in der verknüpften Smartphone-App sehen und auf Wunsch löschen. Welche Daten aber zusätzlich auf dem Gerät gespeichert werden oder übermittelt werden, wissen sie nicht. Das gilt auch für andere Geräte aus dem Internet der Dinge – von der vernetzten Haarbürste mit Mikrofon hin zum sprachgesteuerten Kühlschrank. Man müsse sich auf die Hersteller verlassen, dass nicht heimlich weitere Daten erfasst werden, sagt Kaltheuner. Und eine endgültige Löschung aller Daten sei häufig unmöglich.

Ungleicher Zugriff

Zweitens könnten diese Informationen auch gegen ihre Besitzer verwendet werden. Nämlich dann, wenn Behörden einen Zugriff haben, den die Nutzer nicht haben. "Ungleicher Zugriff" nennen das Kaltheuner und Graham Wood. Einerseits könnten sich Polizei und Geheimdienste einfach Zugriff durch die Hintertür verschaffen. Viele Werkzeuge der NSA etwa zielen bereits auf die Überwachung von Smartphones ab, doch je beliebter IoT-Geräte werden, desto interessanter dürften diese werden. Teils haarsträubend schlechte Sicherheitsvorkehrungen in vielen vernetzten Geräten machen es Hackern, ob kriminell oder staatlich, einfach.

Andererseits können Behörden aber auch einfach mit einem richterlichen Beschluss zu den Unternehmen gehen. Denn viele Daten sind eben nicht nur auf dem Gerät gespeichert, sondern landen in der Cloud und auf den Servern der Hersteller. Diese müssen entscheiden, wie sie mit solchen Anfragen umgehen, ob sie wohlwollend alle Daten herausrücken, ob sie Beschlüsse anfechten oder zumindest Transparenzberichte erstellen. Für die Besitzer ist es schwierig, solche Anfragen zu stellen und nachzuvollziehen, wer möglicherweise alles Zugriff erhält oder schon erhalten hat.