Archivbild von Bundeswirtschaftsminister Sigmar Gabriel (SPD) beim nationalen IT-Gipfel 2014. © Axel Heimken/dpa

"Jede mit dem Internet der Dinge verbundene Identität muss technisch geschützt werden. Das heißt, jedes mit dem Netz verbundene Gerät ist mit einem kryptografisch gesicherten Hardwarezugang auszustatten", heißt es in dem Eckpunktepapier. Gemeint ist ein Chip in jedem Gerät, auf dem eine Identifikationsnummer so gespeichert ist, dass sie durch Software nicht verändert werden kann. Wenn zwei Geräte im Netz miteinander kommunizieren, seien es Handys, Maschinen oder Kühlschränke, dann sollen sie vorher zwingend ihre Identität austauschen, sollen sich also gegenseitig sagen, wer sie sind. Das Papier argumentiert: Nur wenn stets klar sei, wer mit wem rede, könne das Internet der Dinge gesichert werden.

Grundsätzlich ist es richtig, dass in einer vernetzten Welt sichergestellt werden muss, dass immer die richtigen Geräte miteinander kommunizieren. Eine Maschine beispielsweise, die selbstständig Bauteile im Lager bestellt, muss die richtigen Daten an die richtige Stelle senden. Doch Fachleute bezweifeln, dass es sinnvoll ist, dafür jedem elektronischen Ding einen Nummernstempel einzubrennen. 

"Eine generelle gegenseitige Identifizierung aller Geräte erscheint – auch und gerade aus Datenschutzsicht – nicht sinnvoll", sagt Jan Schallaböck. Er hat lange für das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein geforscht und arbeitet in einer Fachgruppe der internationalen Organisation ISO mit, die sich mit der weltweiten Standardisierung von Identitätsmanagementsystemen beschäftigt. "Wenn eine Ampel ein Rot-Signal ‘kommuniziert’, heißt das nicht, dass die Ampel jeden kennen muss, an den sie das Signal sendet."

"Ein gesetzlicher Zwang für eine hardwaregestützte Identifizierbarkeit aller Objekte im Internet der Dinge bedeutet nichts anderes, als dass diese immer und überall eineindeutig zuordenbar sind", sagt Konstantin von Notz, der netzpolitische Sprecher der Grünen-Fraktion im Bundestag. Die Bürger wären von einem solchen Plan direkt betroffen, ist er überzeugt. Für den vermeintlichen Sicherheitsgewinn würde hier der Datenschutz geopfert werden.

"Der Text versucht, das Problem der Sicherheit von Internet-of-Things-Komponenten als Sprungbrett für eine universelle staatliche Geräte-ID zu benutzen, die ein Überwachungsalptraum wäre", sagt Frank Rieger, einer der Sprecher des Chaos Computer Clubs. "Dabei wird das eigentliche Problem überhaupt nicht angegangen: die Softwarebasis der Internet-of-Things-Geräte ist genauso schlecht wie die in unseren Computern und Telefonen. Hier muss durch Schaffung einer Marktdynamik für mehr Sicherheit angesetzt werden."

"Eindringen von Hackern wird ausgeschlossen"

Ohnehin stellt sich die Frage, welchen Sicherheitsgewinn der Chip bringen soll. In dem Papier heißt es, mithilfe des Identitätschips könne verhindert werden, dass die Kommunikation zweier Geräte von außen beeinflusst wird. "Ein Eindringen von unberechtigten Dritten, z.B. Hackern, wird damit ausgeschlossen." 

Wer sich mit Computersicherheit beschäftigt, dürfte von so viel Chuzpe überrascht sein. Bislang wurde noch jedes technische System geknackt. Nur, weil irgendwo ein Kryptochip eingebaut ist, wird es nicht unmöglich, das Gerät dazu zu bringen, Dinge zu machen, die es nicht tun soll. In EC-Kartenterminals in Geschäften werden beispielsweise längst Kryptochips eingebaut. Trotzdem können sie manipuliert werden. Denn die Terminals enthalten noch viele andere Chips und Systeme, die Lücken haben – weswegen sich auch stark gesicherte Technik missbrauchen lässt, wie Sicherheitsanalysten immer wieder belegen. Außerdem können auch Identitätschips Lücken, Fehler oder unerkannte Schwachstellen besitzen. 

Der Chip solle aber nicht nur als Ausweis dienen, heißt es in dem Papier. Er solle auch so etwas wie ein Wächter sein. Er müsse so programmiert werden, dass er jeden Zugriff auf das Gerät verbietet, den der Hersteller nicht wünscht. "Es muss bereits hardwareseitig unveränderlich implementiert sein, dass vernetzte Geräte nur konkret definierte Funktionen ausführen können. So muss durch den Einsatz von Secure Elements (also bestimmten Hardwarekomponenten) sichergestellt sein, dass unabhängig von der verwendeten Software, ein Missbrauch des Gerätes und seiner Funktionen ausgeschlossen ist." 

Solche technischen Gefängnisse zu bauen, ist keine neue Idee. Digital Rights Management heißt das euphemistische Schlagwort dazu, die Verwaltung von Nutzungs- und Zugriffsrechten. Die Musikindustrie bemüht sich seit Jahren darum und auch Buchverlage versuchen, ihre Kunden mit fest installierten Nutzungsbeschränkungen zu gängeln. Das iPhone ist ebenfalls ein Beispiel für diese Art der Kontrolle. Darauf läuft nur Software, die der Hersteller Apple erlaubt hat. Andere Programme zu installieren, ist sehr schwer. Nicht umsonst heißen die Umgehungsmethoden, mit denen das möglich wird, Jailbreak – Gefängnisausbruch. Die aber belegen, dass ein solcher Ausbruch immer möglich ist. Im Zweifel, indem man den Identitätschip aus dem Gerät herausbricht. 

Der Chip würde Innovation behindern

Für Harald Summa, den Geschäftsführer des Internetbranchenverbandes eco, ist die Idee des Chips vor allem ein Weg, um Innovation zu behindern. Grundsätzlich sei es sinnvoll, IT-Sicherheit zu stärken, sagt er. Der Ansatz dieses Vorschlags aber sei dazu eher nicht sinnvoll. Denn die Identitätschips sollen nach dem Willen des Eckpunktepapiers durch eine staatliche Organisation zertifiziert werden. Das aber kann dauern. Ganz zu schweigen von den Kosten, überall neue Geräte einzuführen. 

Summa sagt: "Sollte das Vorhaben in dieser Form realisiert werden, bedarf es eines exorbitanten technologischen und finanziellen Aufwandes für die Entwicklung als auch beim Einsatz, der Umstellung und dem Betrieb. Das würde sich bedenklich auf alle Unternehmen in Deutschland auswirken, die IT-Systeme in irgendeiner Form einsetzten beziehungsweise betreiben." Für den IT-Standort Deutschland sei das sicher "kontraproduktiv". 

Dieser Ansicht sind auch Vertreter großer deutscher Unternehmen. Das Wirtschaftsministerium hat den Plan mit verschiedenen diskutiert, begeistert war niemand darüber, weder IT-Firmen noch Maschinen- oder Autobauer. Leider will sich niemand öffentlich dazu äußern.

"Innovation in diesem Bereich ist zweifellos dringend nötig", sagt Konstantin von Notz. "Keinesfalls darf aber für ein mehr an technischer Sicherheit, unsere Privatsphäre und der Persönlichkeitsschutz aufgegeben werden." Wer Fortschritt bei der Sicherheit wolle, müsse nachweisen, wie der verfassungskonform und für die Bürger selbstbestimmbar umgesetzt werden könne.