Wenn die Lizenzfalle zuschnappt

In der Wirtschaftskrise wird mehr aufs Geld geschaut und daran gearbeitet, Kosten zu senken. Beispielsweise was Lizenz- und Supportverträge angeht. Als SAP Ende letzten Jahres eine generelle Erhöhung seiner Supportpreise bei den Kunden durchdrücken wollten, mauerten diese und stellten zahlreiche SAP-Projekte erst mal zurück, so dass SAP am Ende (vorerst) darauf verzichten musste.

Umgekehrt sind nicht wenige Firmen bzgl. ihrer eingesetzten Software unter- oder überlizenziert. Im ersten Fall drohen saftige Strafzahlungen an den Lizenzanbieter,  im zweiten wird Geld unnötig zum Fenster rausgeworfen. Hintergrund sind die immer komplizierter und intransparenter werdenden Lizenzbestimmungen, die Softwareanbieter ihren Kunden aufnötigen. In manchen Fällen erreichen diese bereits die Komplexität der Cross-Border-Leasing-Finanzmodelle, mit denen sich zahlreiche deutsche Kommunalverwaltungen verzockt haben.

Da werden mal Benutzer, mal Prozessoren, mal Geräte, mal Instanzen virtualisierter Systeme und so manches andere noch herangezogen, um zu entscheiden, wann eine weitere Teil-, Voll- oder Premiumlizenz eines Produktes zu zählen ist. Es fehlt generell an Einheitlichkeit und Systematik, weil alles frei vereinbar und damit letztlich eine Frage der Marktmacht ist.

Im Arbeitsrecht werden unklare Klauseln in Arbeitsverträgen regelmäßig von den Gerichten verworfen. Auch das Mietrecht und das Verbraucherkaufrecht sorgen durch eingebaute „Hygieneregeln“ dafür, dass Schlamperei und Schlitzohrigkeit beim Abfassen von Verträgen nicht zur Übervorteilung der Vertragspartner genutzt werden können.

Aber in den althergebrachten Grundsätzen des Immaterialgüterrechts ist das anders. Hier hat das Winkeladvokatentum nahezu völlige Narrenfreiheit. So manches Lizenzabkommen sollte man ohne Rechtsabteilung und Prozesskostenversicherung erst gar nicht unterschreiben. Und auch in scheinbar klaren Verträgen, kann gerade das, was nicht drinsteht, später zu Problemen führen.

Und so sichern sich viele Softwarehersteller mittlerweile das Recht zu Audits, d.h. Betriebsprüfungen auf rein privatrechtlicher Grundlage bei ihren Kunden durchzuführen. Und ähnlich wie bei der Steuerprüfung wird dabei häufig was entdeckt. Meist das Lizenzen nicht richtig gezählt wurden und daher teure Vertragsstrafen und Nachlizenzierungen anstehen. Sogar Strafanzeigen kann dies nach sich ziehen, auch wenn dann wohl bald darauf ein Wechsel der betroffenen Software anstehen dürfte.

Die Business Software Alliance (BSA), ein Verband von weltweit tätigen Softwareherstellern, der das Themen Urheberrecht verfolgt, strengt zunehmend entsprechende Prozesse gegen Unternehmen an, die es beim Thema Lizenzmanagement schleifen lassen. Mit Erfolg: Alleine in Deutschland haben Unternehmen 2007 an die BSA mit 2,8 Millionen Euro durch den Einsatz unlizenzierter Software so viel an Schadenersatz und Lizenzkosten bezahlen müssen wie nie zuvor.

Die Zahlen könnten in diesem Jahr weiter steigen – bedingt durch die wirtschaftlich angespannte Lage. So gehen nach einer Studie der britischen Federation Against Software Theft 78% der befragten britischen Manager davon aus, dass die Unternehmen jetzt Kosten einsparen wollen, indem sie beim Thema Softwarelizenzen ein Auge zudrücken.

Doch auch anders herum wird ein Kostenrisiko daraus. Lizenzmanagement ist nach Einschätzung einschlägiger Toolanbieter ein ungeliebtes Thema in den IT-Abteilungen deutscher Unternehmen. Ebenso notwendig wie verhasst, wird es oft auf die lange Bank geschoben. Mit der Folge, dass Jahr für Jahr Millionensummen für überlizenzierte Software zum Fenster hinausgeworfen würden.

Um dem abzuhelfen, greifen Unternehmen zu Lizenzmanagement-Tools, welche den Bestand an installierter Software inventarisieren, mit den vorhandenen Lizenzen abgleichen sowie unternehmensweite Nutzungsanalysen ermöglichen. Auch wenn dabei rasch Fragen des Datenschutzes und der Mitbestimmung (Arbeitnehmerüberwachung) tangiert sein können. Und das ganze Problem zudem überhaupt erst durch die Vielfalt an Lizenzen entsteht.

Eine grundsätzliche Lösung dieses Problems gibt es nicht. Die Lizenzproblematik lässt sich aber auf mehreren Wegen begrenzen.

Zum einen durch ein sorgfältig organisiertes und aufeinander abgestimmtes Lizenz- und Vertragsmanagement. Zum anderen durch den vermehrten Einsatz von Open-Source-Produkten, bei denen die Anzahl der genutzten Installationen sowie die Art und Weise des Gebrauchs lizenzrechtlich keine Rolle spielt.

Letztlich lässt sich so auch auf Softwarehersteller mehr Druck ausüben, zu transparenteren und fairen Lizenzbedingungen zu kommen, in den Bereichen, in denen der Einsatz von Kauflizenz-Software auch weiterhin notwendig ist.

Neues Hoeren-Skript zum Internetrecht

Der bekannte IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster, hat eine neue Fassung des Skripts Internetrecht vorgelegt. Die neue Ausgabe liegt auf den Seiten des Instituts für Informations-, Telekommunikations- und Medienrecht der Universität Münster zum kostenfreien Download als PDF-Datei (3,1 MB) bereit.

Obwohl „Skript“ für dieses umfassende, knapp 550 Seiten starke Standardwerk zum deutschen IT- und Internetrecht eigentlich heftig untertrieben ist.

In der nun zwölften Version des Standardwerks zum deutschen IT-Recht wurden nach Hoerens Angaben aktuelle Rechtsprechung im Umfang von etwa 200 neuen Urteilen eingearbeitet sowie die neue Gesetzeslage berücksichtigt. Auch mit der aktuellen Debatte über neue Richtlinien und Gesetze – etwa in Sachen Datenschutz oder Internet-Haftung – beschäftigt sich der Text. Darüber hinaus wurde das Skript um neue Probleme wie Phishing und Pharming ergänzt während von der technischen Entwicklung überholte Themen wie Dialer gestrichen wurden.

Abzocke im Online-Spiel – können virtuelle Güter gestohlen werden?

Microsoft gab kürzlich bekannt, mit Hilfe seines „Malicious Software Removal Tool“ im Februar etwa 981.000 Installationen eines Trojaners namens Win32/Taterf gefunden und beseitigt zu haben.

(s.a. Fundstücke bei Microsoft – Das Malware Protection Center)

Dieser späht gezielt Passwörter und Login-Daten für kostenpflichtige Onlinespiele wie z.B. World of Warcraft aus. Solche Daten lassen sich im Anschluss dazu verwenden, wertvolle weil nur schwer zu erlangende Ausrüstungsgegenstände der Spielercharaktere zu entwenden. Was zunächst etwas seltsam klingt ist bereits seit Jahren Realität. Und stellt die ermittelnden Polizeibehörden nach dem Eingang entsprechender Anzeigen oft vor gewisse rechtliche Probleme.

Virtuelle Werte können echte Sachwerte für Menschen bedeuten. Insbesondere wenn sie z.B. für echtes Geld erworben oder im Verlauf eines zeitintensiven bezahlten Spiels erspielt wurden.

So sieht dass auch die Polizei in Bochum, die aktuell den ersten Fall von Cyber-Diebstahl Deutschlands zu bearbeiten hat, der zur Anzeige gebracht wurde. Dort ist man sich darüber bewusst, dass man einen potentiellen Täter nicht wirklich wegen Diebstahls wird belangen können. Denn § 242 Abs. 1 Strafgesetzbuch (StGB) definiert den Diebstahl als Entwendung einer fremden beweglichen Sache. Das wird bei virtuellen Gegenständen ziemlich schwer.

Was aber durchaus vorliegen könnte ist ein Computervergehen auf der Linie von Datenausspähung und -veränderung. Laut § 303a StGB ein Vergehen, welches mit Geldstrafen oder bis zu zwei Jahren Haft geahndet werden kann.

Hinzu kommt: Besteht überhaupt ein Unterschied darin, ob jemand z.B. bei einem Online-Pokerspiel um Geld betrogen wird oder in einem Fantasy-Spiel um geldwerte virtuelle Gegenstände? Abgesehen davon, dass letzteres legal ist, ersteres als Geldspiel nicht.

Bisher gibt es in Deutschland jedenfalls noch keinen Fall, in dem jemand wegen Diebstahls virtueller Gegenstände belangt worden wäre.

In anderen Ländern hat sich die Rechtslage zum Cyberdiebstahl bereits weiter entwickelt. In Japan wurde 2005 ein chinesischer Täter, der in einem Rollenspiel einen virtuellen Raubzug veranstaltet hatte, zumindest verhaftet. Auch wenn es letztlich nie zu einem Prozess kam.

2007 klage in den USA gleich eine ganze Gruppe von Teilnehmern der virtuellen Welt Second-Life gegen einen Cyber-Dieb. Hier endete hier die Klage mit einem außergerichtlichen Vergleich.

Und 2008 machte ein niederländisches Gericht Schlagzeilen mit einer ersten Verurteilung wegen virtuellen Diebstahls. Zwei minderjährige Täter wurden zu einer Strafe in Form von Sozialstunden verurteilt, weil sie einen Jungen zur Übergabe virtueller Gegenstände genötigt hatten. Das Gericht nutzte den Tatbestand der Nötigung, um so eine Strafe zu ermöglichen. Virtueller Diebstahl ist auch im Strafrecht der Niederlande noch unbekannt.

Dagegen wurden in Südkorea, einem Land mit sehr hoher Nachfrage nach Online-Spielen, bereits mehrere Verurteilungen wegen virtueller Diebstähle ausgesprochen.

Und wie ermittelte nun die Polizei in Bochum? Sie kontakteten die Betreiberfirma des Spiels. Die verweist bisher nur auf ihre Allgemeinen Geschäftsbedingungen, in der die Haftung für virtuelle Schäden durch technische Probleme ausgeschlossen wird. Ob allerdings der Diebstahl durch andere Spieler als „technisches Problem“ durchgeht ist noch offen.

Auch die EU beschäftigt sich bereits mit dem Thema. Die EU-Organisation European Network and Information Security Agency (Enisa) hat Ende 2008 einen Bericht über Datenschutzprobleme und zunehmende Kriminalität in Onlinewelten (PDF, 2,7 MB) veröffentlicht, der diese als Problem thematisiert, das konkrete finanzielle Schäden verursacht. Die ENISA bemängelt, dass virtuelle Gegenstände in zu wenigen EU-Ländern überhaupt rechtlich zu schützen wären: Ein Copyright darauf gäbe es nirgendwo, ein Eigentumsrecht an etwas real nicht Existentem wiederum wäre schwer durchsetzbar.

Wir erleben einmal mehr, wie sich Gesetzgebung und Rechsprechung im Zeitablauf weiter entwickeln. Zumal das Thema eines der „großen Issues“ des Internets betrifft: Die Neufassung des Eigentumsbegriffs in einer vernetzten Welt, worüber ja auch im Zusammenhang mit Tauschbörsen, Filesharing und Immaterialgüterrecht diskutiert wird.

Bis dahin bleibt es in erster Linie den Nutzern von Onlinespielen selbst überlassen, sich gegen Diebstahl und Trickbetrug wie etwa  Versprechen der Vervielfältigung von Items, Hochstapelei, manipulierte Austauschgeschäfte oder Diebstahl ganzer Accounts zu schützen.

Gulli.de: Online-Gamer in Gefahr

Spiegel.de: Abzocke in Online-Spielem, Ich zieh dich ab!

Spiegel.de: Diebstahl im Onlinespiel, Polizei fahndet nach Phönixschuhen

Link: Microsoft Malware Protection Center

Link hinzugefügt (Sicherheitspraxis): Microsoft Malware Protection Center

Unabhängigkeitserklärung des Cyberspace

Als Reaktion auf einen Plan zur Einschränkung von Bürgerrechten,  den „Telecommunication Reform Act“ der US-amerikanischen Regierung hat der amerikanische Autor, Bürgerrechtler und einer der Gründer der Electronic Frontier Foundation, John Perry Barlow Anfang Februar 1996 seine „Unabhängigkeitserklärung des Cyberspace“ verfasst und auf dem damaligen Weltwirtschaftsforum in Davos verkündet. Die Internetgemeinde hatte die Reform der Clinton-Administration wegen der in ihr angelegten Zensurvorgaben kritisch aufgenommen; die „Blue Ribbon Campaign“ war eine ihrer Reaktionen. Barlows Unabhängigkeitserklärung gilt heute als Symbol technoliberaler Politikvorstellungen.

Ich dokumentiere diesen an sich zeitlosen Text hier, da er angesichts des kontinuierlichen Abbaus von informationellen Rechten durch den Staat eine erschreckende Aktualität besitzt.

Unabhängigkeitserklärung des Cyberspace

von John Perry Barlow

Regierungen der industriellen Welt, Ihr müden Giganten aus Fleisch und Stahl, ich komme aus dem Cyberspace, der neuen Heimat des Geistes. Im Namen der Zukunft bitte ich Euch, Vertreter einer vergangenen Zeit: Lasst uns in Ruhe! Ihr seid bei uns nicht willkommen. Wo wir uns versammeln, besitzt Ihr keine Macht mehr.

Wir besitzen keine gewählte Regierung, und wir werden wohl auch nie eine bekommen − und so wende ich mich mit keiner größeren Autorität an Euch als der, mit der die Freiheit selber spricht. Ich erkläre den globalen sozialen Raum, den wir errichten, als gänzlich unabhängig von der Tyrannei, die Ihr über uns auszuüben anstrebt. Ihr habt hier kein moralisches Recht zu regieren noch besitzt Ihr Methoden, es zu erzwingen, die wir zu befürchten hätten.

Regierungen leiten Ihre gerechte Macht von der Zustimmung der Regierten ab. Unsere habt Ihr nicht erbeten, geschweige denn erhalten. Wir haben Euch nicht eingeladen. Ihr kennt weder uns noch unsere Welt. Der Cyberspace liegt nicht innerhalb Eurer Hoheitsgebiete. Glaubt nicht, Ihr könntet ihn gestalten, als wäre er ein öffentliches Projekt. Ihr könnt es nicht. Der Cyberspace ist ein natürliches Gebilde und wächst durch unsere kollektiven Handlungen.

Ihr habt Euch nicht an unseren großartigen und verbindenden Auseinandersetzungen beteiligt, und Ihr habt auch nicht den Reichtum unserer Marktplätze hervorgebracht. Ihr kennt weder unsere Kultur noch unsere Ethik oder die ungeschriebenen Regeln, die unsere Gesellschaft besser ordnen als dies irgendeine Eurer Bestimmungen vermöchte.

Ihr sprecht von Problemen, die wir haben, aber die nur Ihr lösen könnt. Das dient Eurer Invasion in unser Reich als Legitimation. Viele dieser Probleme existieren gar nicht. Ob es sich aber um echte oder um nur scheinbare Konflikte handelt − wir werden sie lokalisieren und mit unseren Mitteln angehen. Wir schreiben unseren eigenen Gesellschaftsvertrag. Unsere Regierungsweise wird sich in Übereinstimmung mit den Bedingungen unserer Welt entwickeln, nicht Eurer. Unsere Welt ist anders.

Der Cyberspace besteht aus Beziehungen, Transaktionen und dem Denken selbst, positioniert wie eine stehende Welle im Netz der Kommunikation. Unsere Welt ist überall und nirgends, und sie ist nicht dort, wo Körper leben.

Wir erschaffen eine Welt, der alle betreten können ohne Bevorzugung oder Vorurteil bezüglich Rasse, Wohlstand, militärischer Macht und Herkunft.

Wir erschaffen eine Welt, in der jeder Einzelnen an jedem Ort seine oder ihre Überzeugungen ausdrücken darf, wie individuell sie auch sind, ohne Angst davor, im Schweigen der Konformität aufgehen zu müssen.

Eure Rechtsvorstellungen von Eigentum, Redefreiheit, Persönlichkeit, Freizügigkeit und Kontext treffen auf uns nicht zu. Sie alle basieren auf der Gegenständlichkeit der materiellen Welt. Es gibt im Cyberspace keine Materie.

Unsere persönlichen Identitäten haben keine Körper, so dass wir im Gegensatz zu Euch nicht durch physische Gewalt reglementiert werden können. Wir glauben daran, dass unsere Regierungsweise sich aus der Ethik, dem aufgeklärten Selbstinteresse und dem Gemeinschaftswohl eigenständig entwickeln wird. Unsere Identitäten werden möglicherweise über die Zuständigkeitsbereiche vieler Eurer Rechtssprechungen verteilt sein. Das einzige Gesetz, das alle unsere entstehenden Kulturen grundsätzlich anerkennen werden, ist die Goldene Regel. Wir hoffen, auf dieser Basis in der Lage zu sein, für jeden einzelnen Fall eine angemessene Lösung zu finden. Auf keinen Fall werden wir Lösungen akzeptieren, die Ihr uns aufzudrängen versucht.

In den Vereinigten Staaten habt Ihr mit dem „Telecommunications Reform Act“ gerade ein Gesetz geschaffen, das Eure eigene Verfassung herabwürdigt und die Träume von Jefferson, Washington, Mill, Madison, Tocqueville und Brandeis beleidigt. Diese Träume müssen nun in uns wiedergeboren werden.

Ihr erschreckt Euch vor Euren eigenen Kindern, weil sie Eingeborene einer Welt sind, in der Ihr stets Einwanderer bleiben werdet. Weil Ihr sie fürchtet, übertragt Ihr auf Eure Bürokratien die elterliche Verantwortung, die Ihr zu feige seid, selber auszuüben. In unserer Welt sind alle Gefühle und Ausdrucksformen der Humanität Teile einer umfassenden und weltumspannenden Konversation der Bits. Wir können die Luft, die uns erstickt, von der nicht trennen, die unsere Flügel emporhebt.

In China, Deutschland, Frankreich, Russland, Singapur, Italien und den USA versucht Ihr, den Virus der Freiheit abzuwehren, indem Ihr Wachposten an den Grenzen des Cyberspace postiert. Sie werden die Seuche für eine Weile eindämmen können, aber sie werden ohnmächtig sein in einer Welt, die schon bald von digitalen Medien umspannt sein wird.

Eure in steigendem Maße obsolet werdenden Informationsindustrien möchten sich selbst am Leben erhalten, indem sie − in Amerika und anderswo − Gesetze vorschlagen, die noch die Rede selbst weltweit als Besitz definieren. Diese Gesetze würden Ideen als nur ein weiteres industrielles Produkt erklären, nicht ehrenhafter als Rohmetall. In unserer Welt darf alles, was der menschliche Geist erschafft, kostenfrei unendlich reproduziert und distributiert werden. Die globale Übermittlung von Gedanken ist nicht länger auf Eure Fabriken angewiesen.

Die zunehmenden feindlichen und kolonialen Maßnahmen versetzen uns in die Lage früherer Verteidiger von Freiheit und Selbstbestimmung, die die Autoritäten ferner und unwissender Mächte zurückweisen mussten. Wir müssen unser virtuelles Selbst Eurer Souveränität gegenüber als immun erklären, selbst wenn unsere Körper weiterhin Euren Regeln unterliegen. Wir werden uns über den gesamten Planeten ausbreiten, auf dass keiner unsere Gedanken mehr einsperren kann.

Wir werden im Cyberspace eine Zivilisation des Geistes erschaffen. Möge sie humaner und gerechter sein als die Welt, die Eure Regierungen bislang errichteten.

Davos, Schweiz, 8. Februar 1996
(Deutsche Übersetzung von Stefan Münker)

s.a. Heise.de und ripfiles.e-workers.de

Projekt QuaMoCo plant deutsches Gütesiegel für Softwarequalität

Ein Konsortium aus Forschungseinrichtungen und Unternehmen will in den kommenden drei Jahren einen Qualitätsstandard für Software-Produkte in Deutschland erarbeiten. Das erklärte Ziel: Künftig soll die Leistungsfähigkeit und Wirtschaftlichkeit von Software bewertbar und nachweisbar werden.

Das wäre auch längst an der Zeit. Noch immer gelten im Softwaresektor laxe Regeln zur Produkthaftung, die wir in anderen Bereichen wie etwa im Automobilbau, bei Lebensmitteln oder Elektrogeräten nicht akzeptieren würden.

Auch aus Sicht der IT-Sicherheit wäre eine höhere und zudem messbare Softwarequalität wünschenswert. Die meisten Sicherheitslücken gehen auf Mängel in verbreiteten Programmen zurück, weshalb regelmäßiges Patchen und Nachbessern mittlerweile sogar als Zeichen für ein aktuelles Sicherheitsniveau gilt. Man stelle sich vor: Ein BMW gelte als besonders verkehrssicher, wenn er einmal monatlich in die Werkstatt gebracht und auf schadhafte Teile gecheckt wird.

Jetzt soll ein Gütesiegel „Made in Germany“ für Software etabliert werden. In dem Projekt QuaMoCo (Software-Qualität: Flexible Modellierung und integriertes Controlling) arbeiten Unternehmen, Forschungseinrichtungen und die TU-München zusammen.

QuaMoCo nimmt sich dabei andere Branchen zum Vorbild: Dort haben sich Kriterien für die Qualitätsprüfung und detaillierte Normen bewährt, deren Einhaltung zum Teil sogar gesetzlich vorgeschrieben sind. Obgleich die Software-Industrie zentrale wirtschaftliche Bedeutung hat, fehlen hier ähnliche Ansätze.

Selbst gemeinhin akzeptierte Richtlinien fehlen. Existierende standardisierte Rahmenwerke für Softwarequalität, wie die ISO 9126 (Gebrauchstauglichkeit) bzw. ISO 25000 (Softwareprüfung und –zertifizierung), kommen bislang nicht zur vollen Wirkung, da sie in der Praxis aufgrund ihrer Allgemeinheit oft nicht direkt einsetzbar sind, sowie teilweise auf Kriterien basieren, deren Bedeutung in Bezug auf Geschäfts-, Projekt- und Produktziele unklar sind. Unternehmen behelfen sich häufig mit eigenen Qualitätsrichtlinien, die jedoch selten einen befriedigenden Grad an Vollständigkeit und Widerspruchsfreiheit bieten. Dieser Mangel an bindenden Normen für Software schadet so mittelbar vielen Branchen.

An dieser Ausgangslage orientiert sich das QuaMoCo-Projektteam: Angestrebt wird ein Software-Qualitätsstandard mit einem hohen Detaillierungsgrad. „Informatiker erhalten konkrete Richtlinien für ihren Entwicklungsprozess, um die Qualität von Software – wie Zuverlässigkeit, Sicherheit oder Wartbarkeit – nachweisbar sicherzustellen“, so Manfred Broy, Informatikprofessor an der TU München.

Eine besondere Herausforderung dürfte bei diesem Vorhaben in der Vielfalt bereits existierender Arten von Software liegen. Sie reicht von eingebettete Systemen, Mainframe-Anwendungen, Spielen, Büroanwendungen bis hin zu hoch-sicherheitskritischen Steuerungssystemen in Kraftwerken oder Rechenzentren. Und von monolithischen Legacy-Systemen bis zu Web 2.0 Applikationen.

Im QuaMoCo-Projekt soll daher ein Basis-Qualitätsstandard entwickelt werden, der durch beispielhafte, bereichsspezifische Subsstandards ergänzt werden soll.  Also letztlich eine Sammlung von Standards, bestehend aus einem „Hauptwerk“ und zahlreichen Anhängen und Untergliederungen für Detailbereiche. „Wir realisieren das für Standard-Software, Individual-Software, Informationssysteme und eingebettete Systeme. So wird unser Qualitätsstandard sehr flexibel einsetzbar. Und gleichzeitig müssen alle Qualitätsanforderungen vollständig integriert sein. Diesen Spagat müssen wir leisten“, so Broy hierzu.

Das Bundesministerium für Bildung und Forschung (BMBF) fördert QuaMoCo im Rahmen des Förderprogramms „IKT 2020“ mit 3,7 Millionen Euro. Der Eigenanteil der Industriepartner beläuft sich auf rund 2,2 Millionen Euro. Außerdem planen die industriellen Partner über das Projektvorhaben hinaus, weitere finanzielle Mittel in die Erforschung von Softwarequalität zu investieren. Letztlich in ihrem eigenen Interesse.

Der entwickelte Qualitätsstandard wird von den industriellen Projektpartnern in den eigenen Unternehmen sowie in Beratungsprojekten angewandt und soll darüber hinaus auch über ein Web-Portal einer breiten Öffentlichkeit zur Verfügung gestellt werden (in der technischen Regulierung ein eher unübliches Vorgehen). Die akademischen Kooperationspartner sollen eine nachhaltige Verbreitung der Ergebnisse zudem durch Anwendung in der Forschung und insbesondere in der Ausbildung zukünftiger Software-Ingenieure an den Hochschulen ermöglichen.

Darüber hinaus erlaubt ein fundierter und verbindlicher Qualitätsstandard in Kombination mit einem entsprechenden Konformitätsprüfungsverfahren, für Softwareprodukte ein Gütesiegel „Made in Germany“ zu etablieren, das in anderen Branchen seit langem zur weltweit erfolgreichen Vermarktung der Produkte beiträgt. Um diesen Erfolg in den Bereich der Softwareentwicklung zu übertragen und die benötigte Verbindlichkeit zu erreichen, soll im Rahmen des QuaMoCo-Projektes eine Normierung des Standards durch geeignete Gremien (z.B. ISO oder DIN) vorbereitet werden.

Software-Qualitätsmanager, Testmanager und IT-Prüfer sollten dieses Projekt im Auge behalten. Ebenso alle, die sich mit Sicherheitslücken in Programmen befassen.

QuaMoCo-Projektseite an der TU-München

Silicon.de: Deutsche Software erhält Gütesiegel

Die Blondine vorschicken

Die Debatte um Netzsperren und Netzzensur zur Blockade politisch unerwünschter Inhalte am Beispiel der Kinderpornografie geht weiter. Nachdem der CCC den Vertragsentwurf der Regierung veröffentlichte, welcher die Grundlage für das Sperren von kinderpornografischen Angeboten im Internet bilden soll, wird der Entwurf in der Öffentlichkeit diskutiert. Neben der Frage, ob die Strafverfolger des BKA Internetprovider mittels einer Änderung der allgemeinen Geschäftsbedingungen (AGB) zur Sperrvorrichtung zwingen können, steht auch die Frage nach der technischen Wirksamkeit im Vordergrund. Techniker aller am Entwurf beteiligten Parteien, die nicht genannt werden wollen, verwehren sich gegen den Vorwurf, ein untaugliches System zu konstruieren. Vielmehr greift die Politik ihrer Ansucht nach mit ihren Vorstellungen ungeachtet der Technik ein.

Die dazu diskutierten Systeme zur Sperrung von Inhalten anhand ihrer URL, Domain oder IP-Adresse durch Eingriffe in die DNS-Server der Provider sind schließlich leicht zu umgehen. Einfach indem man in seinem Browser einen anderen DNS-Server einstellt. Weltweit gibt es genug DNS-Server außerhalb des Einflussbereichs deutscher Ministerien.

Gerade Vertreter des Familienministeriums, die anscheinend ohne nennenswerte informationstechnische Grundbildung auskommen müssen, argumentieren dann immer wieder mit „In Norwegen geht’s doch auch“ um technischen Vorbehalte zu entkräften. Das ist zwar falsch (auch in Norwegen funktioniert das globale DNS-System nicht anders als im Rest der Welt), wird aber frei von jeglicher Kompetenz dann doch gerne übersehen.

Inzwischen bemerken auch die Provider aus dem Ablehnen ihrer Einwände durch die Politik ebenso wie aus den laufenden Verweisen auf das norwegische System, dass es lediglich darum geht, einem außenpolitischen Druck typischer Zensurländer wie Australien, Norwegen, Schweden oder Finnland etwas entgegenhalten zu können, bei dem es egal ist, ob es funktioniert. „Hier sollen in aller Eile Barrikaden unter der Flagge Kinderpornos errichtet werden, weil so am wenigsten Widerstand zu erwarten ist und man außerdem die Blondine vorschicken kann, die damit Wahlkampf macht“, lautet das Fazit eines Beteiligten dieser informellen Gespräche gegenüber heise online.

Der wirksamen Bekämpfung der Kinderpornografie leistet man so einen Bärendienst. CCC-Sprecher Andy Müller-Maguhn hierzu: „Eine Ausblendung problematischer Inhalte durch Sperrverfügungen wie von Frau von der Leyen vorgeschlagen würde bedeuten, dass die Taten und die Täter der Wahrnehmung und auch der Strafverfolgung entzogen werden. Staatliche Defizite bei der Verfolgung dieser Straftaten löst man aber nicht dadurch, dass man die Darstellung der Delikte ausblendet“

Eine statistische Auswertung der Filterlisten aus der Schweiz, Dänemark, Finnland und Schweden ergab, dass sich mehr als 96% der dort gesperrten Server in westlichen Ländern, vor allem den USA, Australien, Kanada und den Niederlanden befinden. Es ist in keiner Weise plausibel, dass diese Server und ihre Betreiber nicht auf dem Wege der internationalen Kooperation der Strafverfolgungsbehörden aus dem Verkehr gezogen werden können. Offenbar mangelt es hier an politischem Willen, entsprechende Prioritäten zu setzen und die nötigen Ressourcen bereitzustellen. Die Argumentation, man käme an die Täter ja nicht heran und müsse deshalb zu Zugangsbehinderungen greifen, entspricht jedenfalls nicht den Tatsachen.

Gegenwind bekommt der Zensurplan von der Leyen’s inzwischen auch von renommierten IT-Rechtsexperten wie Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster. Von Hoeren ist IT-Rechtlern auch als Verfasser des „Hoeren-Skripts“, einem mehrere Hundert Seiten starken kostenfrei herunterladbaren Standardwerk zum deutschen IT- und Internetrecht bekannt.

Er hat die vom Bundesfamilienministerium und Bundeskriminalamt (BKA) gewünschte Vereinbarung über die Erschwerung des Zugangs zu kinderpornografischen Inhalten im Internet als haltlos bezeichnet. „Der vorliegende Vertragsentwurf ist in fast allen Bereichen juristisch sinnlos und nicht durchsetzbar“, erklärte der Informationsrechtler gegenüber der Vereinigung CareChild. Es sei höchst zweifelhaft, ob eine entsprechende Übereinkunft nach den Regeln des Verwaltungsverfahrensgesetzes überhaupt geschlossen werden dürfe, Dass die propagierten „Sperren“ mit einfachsten Mitteln zu umgehen sind, ist hinlänglich bekannt.

Auch sieht Hoeren gravierende staatsrechtliche Probleme in der Übernahme der Verantwortung für Vermögensschäden Dritter durch das BKA für den Fall einer irrtümliche Sperrung von Webseiten. Eine derartige Haftung, bei der es um erhebliche Summen gehen kann, darf das Bundeskriminalamt laut dem Juristen gar nicht übernehmen. Er werte den Vertragsentwurf daher im Falle seiner Verwendung „lediglich als symbolisch, aber juristisch irrelevant“. Der eigentliche Vertragsgegenstand, die technische Sperrung durch eine Umleitung von Webadressen über das Domain Name System (DNS), sei ferner sowieso wirkungslos“ wie Hoeren zusammen mit anderen Experten bei einer parlamentarischen Anhörung erläuterte.

Inzwischen hat sich eine „Arbeitsgruppe Access Blocking“ gebildet, in der Regierungsvertreter mit Vertretern der Provider und der Internetindustrie sowie weiteten Fachleuten über Mittel und Wege zur Etablierung einer Netzzensur beraten. Schon der Name sagt klar aus, dass es nicht (mehr) um Kinderpornos geht, sondern dass die deutsche Politik einen stärker kontrollierenden Einfluss auf die Inhalte des Internets wünscht.

CareChild.de: Bundestagsgutachten bestätigt CareChild-Kritik an Filter für Kinderpornografie

Heise.de: Rechtsprofessor kritisiert Vertragsentwurf für Kinderporno-Sperren

Heise.de: Websperren gegen Kinderporno – Zank um Technik und Recht

Chaos Computer Club: Ausblendung von problematischen Inhalten schützt nur die Täter

Telekom gründet Datenschutzbeirat

Bei der Telekom beginnt man Konsequenzen aus den Datenschutzskandalen des letzten Jahres zu ziehen. Der im Oktober 2008 durch den Vorstandsvorsitzenden René Obermann angekündigte Datenschutzbeirat wurde gegründet. Künftig soll er vierteljährlich tagen und Vorstand sowie Aufsichtsrat der Telekom in datenschutzrelevanten Themen beraten. Dazu zählen u.a. der Umgang mit Kunden- und Mitarbeiterdaten, Datenschutzaudits, die IT-Sicherheit sowie die Auswirkungen neuer gesetzlicher Regelungen im Datenschutzbereich.

Das klingt zunächst mal nicht allzu verbindlich.  Und tatsächlich besteht bei Beiräten, die es ja in vielen Firmen gibt, stets das Risiko, dass sie zu Herrenclubs und Labergremien für Frühstücksdirektoren verkommen.

Zu den vierteljährlichen Sitzungen des Datenschutzbeirates werden allerdings  Vertreter der Aufsichtsbehörden Bundesnetzagentur und des Bundesdatenschutzbeauftragten sowie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit eingeladen. Sie sollen wohl externes Know-how zu Technik und Recht mit einbringen und relevante politische Entwicklungen verdeutlichen.

Der Datenschutzbeirat soll künftig über datenschutzrelevante Vorgänge in der Telekom informiert werden und zudem von sich aus Themen aufgreifen. Die Deutsche Telekom wird im Beirat unter anderem durch Dr. Manfred Balz, Vorstand Datenschutz Recht und Compliance, repräsentiert. Dem „obersten Aufseher für Recht und Ordnung“ also, denn solche Compliance-Vorstände gibt es mittlerweile in fast jedem DAX-Konzern, nachdem die Haftungsregeln für Manager bereits vor Jahren deutlich verschärft wurden.

Zu den Mitgliedern des Beirats gehören zahlreiche Politiker und Juristen, darunter Wolfgang Bosbach, MdB, Rechtsanwalt und stellvertretender Vorsitzender der CDU/CSU-Bundestagsfraktion, Dr. Michael Bürsch, MdB, seit November Koordinator für Datenschutzfragen in der SPD-Bundestagsfraktion sowie Peter Franck vom Chaos Computer Club (CCC) und Prof. Dr. Hansjörg Geiger, Honorarprofessor für Verfassungsrecht an der Johann-Wolfgang-Goethe-Universität in Frankfurt.

Das sogar der stark bürgerrechtsorientierte CCC einen Vertreter in diesen Beirat entsendet,  macht deutlich, dass es der Telekom offenbar Ernst zu sein scheint, nötige strukturelle Veränderungen vorzunehmen, um so verloren gegangenes Vertrauen wieder zurückzugewinnen.

Telekom.de: Pressemitteilung Datenschutzbeirat konstituiert

Update zur Netzzensur

Inzwischen hatte Bundesfamilienministerin von der Leyen wohl Zeit, sich mit den gesammelten Argumenten der Fachwelt zum Thema Netzzensur zu befassen. Sie bezeichnete sie schlicht als „unterirdisch“ bzw. „absoluten Nonsens“. Und weiter: Aussagen wie „Wir wollen das“ und „Ich kämpfe auf allen Fronten, um das zügig voranzubringen“ bzgl. Netzsperren, möglichst schnell und ohne formale Rechtsgrundlage, machen klar, dass von der Leyen die Argumente der Fachwelt zu ignorieren plant und ihr Ding ohne Rücksicht auf Verluste durchziehen will.

Gleichzeitig veröffentlichte der Chaos Computer Club einen Vertrag, mit dem Internet-Provider zur Sperrung von Webseiten verpflichtet werden, die ihnen das BKA auf einer geheimzuhaltenden Sperrliste zur Verfügung stellt. Die rechtliche Grundlage auf der das  geschehen soll, bleibt weiter unklar, weil inexistent.

„Der hier vorliegende Versuch des Bundesinnenministers, eine ´freiwillige´ Vorzensur ohne gesetzliche Grundlage zu schaffen, ist ungeheuerlich. Flankiert durch die Bundesfamilienministerin von der Leyen wird hier das Thema Kinderpornographie instrumentalisiert, um eine Zensurautomatik für Internetseiten einzuführen. Mit dem vorliegenden Vertragsentwurf wird nicht nur deutlich, dass das Bundesinnenministerium offenbar überhaupt kein Interesse an einer Strafverfolgung gegen die Täter hat, sondern eine geheime Infrastruktur für das Zensieren von Internetseiten plant“, sagte CCC-Sprecher Andy Müller-Maguhn.

Technisch soll die „Erschwerung des Zugangs“ durch die Umsetzung der Sperrlisten des BKA durch die Provider umgesetzt werden. Die betroffenen Domains, bei denen das BKA festgestellt hat, dass diese kinderpornografisches Material im Sinne von § 184b des Strafgesetzbuches (StGB) beinhalten oder den Zugang hierzu vermitteln, sollen innerhalb von sechs Stunden durch die Provider gesperrt werden. Warum das BKA nicht sofort durch polizeiliche Ermittlungsarbeit gegen die auf der Zensurliste gelisteten Urheber derartiger Materialien vorgeht, bleibt völlig unklar. Vielleicht weil die kontinuierlichen Stellenkürzungen bei Polizei und Justiz ein solches Vorgehen gar nicht erst erlauben würden.

Andy Müller-Maguhn weiter: „Es wird deutlich, dass das Bundesinnenministerium mit dem Thema Kinderpornographie und der Flankierung durch Familienministerin von der Leyen offenbar einen Bereich herausgesucht wurde, mit dem am ehesten gesellschaftliche Akzeptanz für Sperrmaßnahmen erreicht werden kann. Wenn aber eine solche Infrastruktur erst einmal vorhanden ist, wird eine Ausweitung auf andere Themenbereiche – seien es sogenannte terroristische Propaganda oder Verstöße gegen Urheberrechtsbestimmungen – ein Leichtes sein“.

CCC.de: Chaos Computer Club veröffentlicht Vertrag zur Internetzensur – BKA-Sperrliste soll geheim bleiben

Spiegel.de: Von der Leyen hält an Web-Filter fest

Heise.de: Familienministerin kämpft an allen Fronten für Kinderporno-Sperren

Gutachter wenden sich gegen Netzzensur

Der Deutsche Bundestag verfügt über eine kaum bekannte Einrichtung: den wissenschaftlichen Dienst. Seine Aufgabe ist es, die Abgeordneten bei ihrer politischen Arbeit in Parlament und Wahlkreis durch Fachinformationen sowie Analysen und gutachterliche Stellungnahmen zu unterstützen. Inhaltlich decken seine elf Fachbereiche das gesamte Spektrum der Rechtsgebiete und Politikfelder ab.

Dieser wissenschaftliche Dienst kam kürzlich in einem Gutachten zu Bundesfamilienministerien van der Leyen verfolgten Plänen zur Netzzensur zu der Ansicht, dass durch diese Pläne die Kommunikationsfreiheit nach Artikel 5 des Grundgesetzes  gefährdet würde. Es bestehe die Gefahr, dass Internet-Provider, die „Geldbußen befürchten müssen, weil sie bestimmte Inhalte nicht hinreichend ausfiltern können“, auch „Inhalte sperren, die an sich unbedenklich sind“. Damit würden „private Unternehmen zu einer Art Zensurstelle, die darüber entscheidet, welche Informationen zu den Bürgern gelangen können und welche nicht, ohne dass die gleichen rechtsstaatlichen Vorkehrungen gegen einen Missbrauch dieser Macht bestehen würden wie gegenüber staatlichen Einschränkungen der Kommunikationsfreiheit“.

Aus dem gleichen Grund fordern die betroffenen Provider von der Politik klare Rechtsgrundlagen statt informeller Gespräche am grünen Tisch. Ihnen ist die Netzzensur an sich egal. Aber sie wollen weder auf den Kosten der dafür erforderlichen zusätzlichen Infrastruktur sitzenbleiben. Noch wollen sie das rechtliche Risiko von Schadensersatzklagen tragen, falls mal Amazon, e-Bay oder ein DAX-Konzern versehentlich auf eine Kinderporno-Sperrliste geraten.

Geschlampt wird bekanntlich überall, warum also nicht auch beim Aufstellen von Sperrlisten. Zudem ist noch nicht klar, wer überhaupt die rechtliche Gesamtverantwortung über das Ganze Verfahren übernehmen soll und worin die Rechtsmittel von Leuten bestehen, die fälschlicherweise auf eine Sperrliste geraten sind. In diese Kerbe schlägt auch ein Positionspapier des Bundesverbands Digitale Wirtschaft (BVDW).

Auch ist schon jetzt absehbar, das es rasch zahllose Begehrlichkeiten geben wird, missliebige Inhalte wie z.B. politisch radikale Seiten, Tauschbörsen und Filesharing-Angebote, kritische Kommentierungen von Regierungsaktivitäten, Abtreibung, Sterbehilfe, religiöse Streitthemen etc.  aus dem Netz zu kehren. Die dann anstehenden juristischen Konflikte dürften die Rechtsabteilungen der Provider überfordern.

Die Politik, allen voran Ministerin van der Leyen will aus eben diesen Gründen das ganze Verfahren von der Aufstellung von Sperrlisten (geheim, Zustandekommen unklar) über deren Weitergabe an Provider (intransparent) bis zur Umsetzung (geheim) so unverbindlich und intransparent wie möglich halten.

Ulrich Sieber vom Max-Planck-Institut für ausländisches und internationales Strafrecht in Freiburg hält in einem weiteren Gutachten zum Thema nur „punktuelle und begrenzt wirksame Maßnahmen“ für rechtlich möglich – dies sei jedoch nur symbolische Politik ohne tatsächlichen Effekt.  Ein Argument, dass vor allem von Bürgerrechtlern, dem CCC und der Piratenpartei ebenfalls in die Debatte eingebracht wird. Eine wirkungsvollere nationale Abschottung erfordert nach Sieber grundsätzliche gesetzliche Neuregelungen. Hierfür sei eine Grundsatzdiskussion über technische Konzepte und Möglichkeiten zur „Territorialisierung des Internet“ in freiheitlichen Gesellschaften notwendig. Dabei geht es darum, das Internet technisch so umzugestalten, dass sich darin territoriale Grenzen, Zeitzonen usw. abbilden lassen. Eine effektive Sperrpolitik gegen illegale Inhalte im Internet, die über punktuelle Maßnahmen hinausgehe, betrachtet Sieber als  „zum Scheitern verurteilt“.

Geht es nach dem Willen der Innenminister in den europäischen Mitgliedstaaten, soll mittelfristig eine EU-weite Meldestelle für kriminelle Aktivitäten im Internet geschaffen werden. Über diese Stelle wäre dann eine europäische Regelung zu finden, wie Internet-Angebote mit kinderpornographischen Inhalten blockiert oder geschlossen werden können. In Diskussion ist dazu eine gemeinsame schwarze Liste. Auch hier sind die technischen Verfahren sowie die Risikotragung offen.

Daher lehnen  Bürgerrechtler den ganzen Ansatz der technischen Sperrung ab. Sie fordern stattdessen, dass gegen einschlägige Verbrechen verstärkt per Ermittlung und Fahndung vorgegangen wird. Beispielsweise indem man Kinderporno-Domains in den USA oder EU-Staaten zum Betreiber zurückverfolgt, Server beschlagnahmt und illegal erwirtschaftete Gelder einzieht. Hier gibt es noch viel Handlungsbedarf. Denn wer Sperrlisten mit EU-Domains aufstellen kann, könnte auch deren Betreiber zur Verantwortung ziehen lassen. Heute wird das noch viel zu selten gemacht, obwohl die Verfahren zur grenzüberschreitenden Kooperation der Polizeikräfte und Staatsanwaltschaften gerade in den letzten Jahren deutlich verbessert wurden.

Dumm nur, dass man damit das Problem wahrscheinlich abschließend aus der Welt schaffen würde. Dann aber steht es nicht mehr als Rechtfertigung für Einschränkungen der Bürgerrechte und den weiteren Ausbau des Überwachungsstaates zur Verfügung.

Heise.de: Gutachten sieht rechtliche Bedenken gegen Internet-Sperren

Heise.de: Die EU auf dem Weg zu Internetsperren