Freies Krypto-Tool Truecrypt in Version 7.0 erschienen

Die Entwickler des beliebten freien Krypto-Tools Truecrypt haben kürzlich die Version 7.0 herausgebracht. Mit Truecrypt lassen sich Datenträger wie Festplatten und USB-Sticks verschlüsseln sowie verschlüsselte Container-Dateien auf ansonsten unverschlüsselten  Speichermedien anlegen.

Für Besitzer von Rechnern mit bestimmten Intel-Prozessoren, die sog. AES New Instructions verarbeiten können, wird die damit mögliche hardwarebeschleunigte AES-Verschlüsselung unterstützt. Dadurch sind Geschwindigkeitsvorteile im Bereich x4 bis x8 möglich. Truecrypt erkennt automatisch, ob ein solcher Prozessor vorhanden ist.

Truecrypt-verschlüsselte Datenträger können unter Windows mit der neuen Version automatisch angemeldet werden, wenn das richtige Passwort eingegeben wird und der Datenträger passend konfiguriert wurde.

Die Zugriffspfade häufig genutzter Container-Dateien können nun in einem Favorites-Menü gespeichert werden, was den Zugriff vereinfacht.

Ab Windows Vista aufwärts gibt es eine Microsoft-API zur Verschlüsselung der Windows-Auslagerungsdateien. Diese API wird nun von Truecrypt zur Verschlüsselung dieser Dateien verwendet. Für ältere Windows –Versionen nutzte Truecrypt dazu undokumentierte Windows-Funktionen, deren jederzeit korrekte Arbeitsweise nicht sichergestellt war. Um diese Funktion auf ein verlässliches Fundament zu stellen, richteten die Truecrypt-Entwickler entsprechende Anfragen an Microsoft und machten das publik, bis Redmont ein Einsehen hatte und die API standardisierte und offenlegte.

Desweiteren wurde im Rahmen der Produktpflege etliche kleinere Bugs bereinigt und kleinere Verbesserungen vorgenommen.

Truecrypt kann hier kostenlos heruntergeladen werden. Außerdem kann man das Projekt durch Spenden per PayPal unterstützen.

Offener Brief der Piratenpartei an die EU-Kommission und an die deutsche Regierung

Gestern hat die Piratenpartei Deutschland einen offenen Brief publiziert, indem sie kritische Fragen zu ACTA-Geheimabkommen stellt und die Offenlegung der Verhandlungsstände fordert. Auch ich sehe solche Geheimabkommen und Ermächtigungsgesetze – schon vor dem Hintergrund der deutschen Geschichte – sehr kritisch. Daher unterstützte ich das Anliegen der Piratenpartei, indem ich den Brief hier dokumentiere und das Anliegen für meine Leser im Auge behalten werde.

Im Falle des Erfolges würde das ACTA-Abkommen nach meinem bisherigen Kenntnisstand gravierende Auswirkungen auf das IT-Recht, den Datenschutz und die Bürgerrechte in Deutschland haben. Und zwar im negativen Sinne. Zudem würde die IT-Sicherheit wohl endgültig ihre „Unschuld“ verliere, wenn ihre Methoden und Technologien noch mehr als ohnehin schon zur Unterdrückung freier Völker eingesetzt würden.

Sehr geehrte Damen und Herren,

Seit mehr als zwei Jahren verhandeln Staaten und Staatenbünde unter Ausschluss der Öffentlichkeit über das Handelsabkommen ACTA, das Anti-Counterfeiting Trade Agreement. Nur gelegentlich sickern inoffiziell Zwischenergebnisse oder vermeintliche Zwischenergebnisse durch. Erst jüngst hat das Europäische Parlament diese Vorgehensweise kritisiert und gefordert, die Parlamente über den jeweiligen Verhandlungsstand zu informieren. Zu den ACTA-Verhandlungen stellen wir Ihnen im folgenden einige Fragen und bitten Sie um Antworten.

Was sind die Gründe für die Geheimhaltung der ACTA-Verhandlungen? Geheimhaltung ist dann sinnvoll, wenn man eine Strategie plant und seine Gegner darüber im Unklaren lassen will. Die Geheimverhandlungen sind also Ausdruck eines grundsätzlichen Misstrauens gegenüber der Öffentlichkeit, in deren Interesse Sie handeln sollen.

Gleichzeitig begegnen Sie jeglicher Kritik seitens der Bürgerbewegungen mit Unverständnis. Sie zeigen sich verwundert über die Bedenken, die durch die intransparente Verhandlungsführung und das Durchsickern ungesicherter Informationen erst geschürt werden.

Warum fordern Sie mehr Vertrauen in den guten Willen der Verhandlungsdelegationen, wenn Sie selbst nicht bereit sind, den Bürgern ebenfalls Vertrauen entgegenzubringen und den Verhandlungsstand offenzulegen?

Warum weigern Sie sich, den aktuellen Verhandlungsentwurf zu veröffentlichen? Damit könnten Sie doch leicht unsere Befürchtungen entkräften, ACTA verletze Bürgerrechte.

Wir fordern:

•    Der aktuelle Verhandlungsstand muss veröffentlicht werden.
•    Alle betroffenen Gruppen – Politik, Zivilgesellschaft und Industrie – müssen in die Verhandlungen einbezogen werden.
•    Es muss einen Dialog zwischen den ACTA-Delegationen und der europäischen Öffentlichkeit geben. Dieser Dialog muss offen, ehrlich und verständlich sein.

Wir appellieren an Sie: Nehmen Sie die Verantwortung wahr, die Sie gegenüber den Bürgern Deutschlands und Europas haben!

Wir hoffen auf baldige Antwort und verbleiben
mit freundlichen Grüßen

Piratenpartei Deutschland

Ein i-Phone um sie alle zu finden …

… ins Dunkel zu treiben und ewig zu binden“ – so könnte man Tolkins Motto im Herrn der Ringe abwandeln, um Apples Produkt- und Datenschutzpolitik zu beschreiben. OK – das ins Dunkle zu treiben dürfte wohl entfallen. Aber finden und binden sind klar gesetzte Ziele von Apples Geschäftspolitik (und ein Grund dafür, warum mir Ei-Fon und Ei-Päd nicht ins Haus kommen).

So enthält Apples Datenschutzerklärung zum i-Phone einen Passus, der sich in etwa so übersetzen lässt:

„Um standortbezogene Dienste auf Apple-Produkten anzubieten, können Apple und unsere Partner und Lizenznehmer präzise Standortdaten erheben, nutzen und weitergeben, einschließlich des geografischen Standorts Ihres Apple-Computers oder Geräts in Echtzeit. Diese Standortdaten werden in anonymisierter Weise erhoben, durch die Sie nicht persönlich identifiziert werden.“

Offen bleibt allerdings, welche Daten Apple erfasst, in welchen Abständen sie abgegriffen und wie lange sie wo gespeichert werden, an wen Apple sie in welchem Umfang weitergibt und womit man die Daten verknüpft. Und wie diese Anonymisierung genau abläuft (security by obscurity).

Thomas Hoeren, Richter und Professor für Informations-, Telekommunikations- und Medienrecht in Münster, hierzu: „Apple erklärt nicht klar, welche Daten sie eigentlich speichern. Der Nutzer weiß nicht, was wie lange in Verbindung mit welchen anderen Informationen gespeichert wird und wie er widersprechen kann“.

Die Vorgehensweise von Apple kollidiert mit etlichen Vorgaben des deutschen Datenschutzrechts, wie Konrad Lischka auf Spiegel Online erläutert. Da scheint sich gerade ein neuer größerer Datenschutzskandal aufzubauen. Und wieder mal steht ein US-Unternehmen im Zentrum des Geschehens. Apples Methoden erinnern an die umstrittene WLAN-Datenerfassung von Google, mit der sich der Suchmaschinengigant speziell in Deutschland viel Ärger eingehandelt hat. Nur dass es bei Google wohl weniger geplante Absicht als vielmehr Schlamperei bei der Qualitätssicherung in der eigenen Softwareentwicklung war.

Entsprechende Anfragen deutscher Medien an Apple blieben zunächst unbeantwortet. Sich mit der niederen Journaille abzugeben, haben Steve Jobs Hofschranzen schließlich nicht nötig. Als dann aber der US-Kongress nachfasste, kam man nicht mehr aus. So musste man neben etlichen anderen Dingen pikante technische Details einräumen:

•    Ein i-Phone schickt seine per GPS festgestellten Standortdaten an Apple.
•    Es übermittelt zusätzlich die Signalstärken von WLAN-Hotspots und Mobilfunkmasten in der Nähe, so dass sich die Entfernung hierzu und damit die Position des Nutzers genau berechnen lässt.
•    Das wird mit vielen i-Phones wiederholt, so dass sich Crowd-Daten sammeln und Bewegungsprofile über die Zeitachse erstellen lassen.

Quasi die „digitale Fußfessel“ im Handy für den offenen Vollzug des konsumierenden Freigängers.

Konrad Lischka auf Spiegel Online weiter:

Nun informiert Apple mehr als zwei Jahre nach Beginn der W-Lan-Kartografie nicht etwa die eigenen Kunden darüber, wofür ihre Geräte da benutzt wurden. Diese Details erfahren zwei US-Abgeordnete nach einer konkreten Anfrage. Und erst zwei Wochen nach Eingang des Schreibens spielte jemand es dem Internetdienst Cnet  zu. Apple hielt es bisher nicht für notwendig, die eigenen Kunden über die Kartografiefunktion ihrer Telefone zu informieren.

Auch sind neben Apples Mobiltelefonen auch Mac-Rechner mit integriertem WLAN betroffen. Auch sie „telefonieren regelmäßig nach Hause“ und übertragen Nutzerdaten ohne Zutun und Wissen der Anwender. Zwar abschaltbar – aber wer schaltet schon eine Funktion ab, von deren Existenz er gar nichts weiß und mit der er sachlich nicht rechnet?

Dabei wäre gegen solche Datenübertragungen an sich nichts einzuwenden. Wenn sie im Wissen und mit Zustimmung der Nutzer ablaufen würde (bewusst und im Einzelfall – nicht auf Seite 278 irgendwelcher AGBs und Lizenzen) und dem Nutzer einen erkennbaren Zusatznutzen bieten würde. Etwa für Telematikdienste wie Stauwarnungen in Echtzeit anhand von Handykonzentrationen auf Autobahnen. Aber so erscheint es schlicht wie Trickserei. Und dass gerade US-Konzerne oftmals ähnlich vertrauenswürdig sind, wie verurteilte Gauner und Betrüger, dürfte sich immer mehr herumsprechen.

In Anbetracht der Tatsache, dass in immer kürzeren Abständen immer neue mobile Endgeräte auf den Markt geworfen werden, gilt es das Verhalten von Geräteherstellern, Software- und Diensteanbietern und Netzprovidern sorgfältig und mit gebotener Skepsis im Auge zu behalten.  Allzu oft entwickeln die Geräte ein unerwünschtes Eigenleben, mit dem die Nutzer nicht rechnen.

Wache über deinen Laptop auf dass er nicht über dich wachet!

Laptops, Notebooks und Netbooks aktueller Baureihen haben meist eines gemeinsam: Die eingebaute Webcam, um das Gerät für Videochats und ähnliches einsetzen zu können.

Außerdem haben eigentlich alle programmierbaren Geräte, die man an ein Netzwerk hängt noch eine weitere Eigenschaft gemein: Man kann sie fernsteuern.

Nimmt man beides zusammen, so erhält man eine aus der Ferne steuerbare Videoüberwachung für unbedarfte Laptop-Nutzer.

Wie kürzlich bekannt wurde, wurde in Rheinland ein Mann festgenommen, der einen Trojaner entwickelt und an etwa 150 Leute verteilt hatte, mit dem sich die Videokamera eines damit infizierten Rechners aktivieren und so das nähere Umfeld des Rechners ausspähen ließ.  Er hatte die Spähsoftware über soziale Netzwerke an zahlreiche Schülerinnen verteilt, wohl um indiskrete Blicke unter deren Höschen einfangen zu können. Als man ihn festnahm fand man in seiner Wohnung u.a. einen Rechner, auf dem die Videofeeds aus zahlreichen Kinderzimmern einliefen. Ein mit Netzwerken vertrauter Profi war er wohl nicht, da die Ermittler ihn anhand seiner unverschleierten IP-Adresse leicht orten und zurückverfolgen konnten.

Entdeckt wurde das Ganze von IT-Berater Thomas Floß vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD), der auch Vorträge zum Thema Datenselbstschutz an Schulen hält. Eltern hatten ihn um die forensische Untersuchung eines Rechners gebeten, bei dem ihnen ein eigenartiges Betriebsverhalten der Webcam aufgefallen war.

Der Datenschutzverband dazu in einer Pressemeldung:

Der Täter hatte zuvor den Messenger-Zugang eines Mitschülers geknackt und über dessen Profil alle Kontakte aus dessen Adressbuch angeschrieben. Den besonders hübschen Mädchen – ihre Bilder hatte er zuvor in Online-Communities geprüft – schickte er mit Absender des Mitschülers eine als Bildschirmschoner getarnte Schadsoftware. Die erlaubte ihm nicht nur, Bilder und andere Daten von den Rechnern herunter zu laden, sondern auch per Webcam jederzeit in die Zimmer der Mädchen zu sehen.

Ähnliches ist bereits in vergangenen Jahren geschehen. So wurde 2008 ein zypriotischer Hacker zu vier Jahren Haft verurteilt, nachdem er per Webcam-Trojaner junge Frauen über ihre Laptops ausgespäht und sie zudem mit indiskreten Fotos erpresst hatte (um so noch mehr Material zu erhalten). Ein ähnlich gelagerter Fall wurde dieses Jahr in den USA bekannt.

Und zum Jahresanfang 2010 kam heraus, dass in Pennsylvania ein Schulverband mit einer Spähsoftware präparierte Schul-Laptops für die Heimarbeit an Schüler ausgegeben und diese dann zur Ausspähung der Schüler in ihrer Freizeit genutzt hatte. Mit der Folge, dass aufgebrachte Eltern derzeit dabei sind, eine Sammelklage gegen den Schulverband auf den Weg zu bringen.

Daher gilt es insbesondere für die Nutzung mobiler Endgeräte einige Sicherheitsregeln zum Datenselbstschutz zu beachten, die Thomas Floß anhand des aktuellen Falles so zusammenfasst:

„Der nichts ahnende Mitschüler hatte ein zu simples Passwort gewählt, ermöglichte so den Zugang zu den ICQ-Adressen seiner Mitschülerinnen. Die wiederum hatten zu leichtfertig die vermeintlich vom Mitschüler kommende Datei geöffnet. So konnte sich der Trojaner auf den Rechnern breit machen. „Dass über Wochen niemand das Ausspähen bemerkt hat, liegt letztlich daran, dass zu wenig darauf geachtet wird, ob der Rechner noch arbeitet, während man selbst schon nicht mehr daran sitzt“, so Floß. Er empfiehlt allen Kids dringend, den Rechner auszuschalten, wenn er gerade nicht genutzt wird sowie regelmäßig aktualisierte
Virenscanner einzusetzen.

Informationeller Selbstschutz wird daher ein immer wichtigerer Teil der digitalen Alltagskompetenz.

Mailmüll – Das ungelöste Problem

Praktisch jeder, der E-Mail nutzt kenn das Phänomen: Mailmüll in Form unverlangt zugeschickter Mails, in denen versucht wird Pharmaprodukte, Kredite, Penisverlängerungen, sexuelle Dienstleistungen oder was auch immer zu verkaufen. In denen mal mehr, mal weniger geschickt versucht wird, den Leser zu Zahlungen zu verleiten. Oder ihn anderweitig zu übertölpeln. Dafür hat sich im Laufe der Zeit der Begriff „SPAM-Mail“ etabliert, obwohl es fachlich korrekt eher UBE (unsolicited bulk mail) bzw. UCE (unsolicited commercial mail) heißen müsste.

Nach fast jährlich neu vorgenommenen Untersuchungen von Maildiensteanbietern und Sicherheitsexperten macht SPAM inzwischen etwa 95-98% des weltweiten Gesamtaufkommens an E-Mail aus. Gemessen in dafür verbrauchtem Speicherplatz, Datenübertragungskapazitäten, Strom für damit unnütz befasste Rechner sowie verlorene Arbeitszeit kommen jedes Jahr aufs Neue dreistellige Milliardenschäden weltweit für die Handhabung von Mailmüll zusammen.

Dass der Einzelne von uns nicht täglich für jede Nutzmail 90 Müllmails aussortieren muss, liegt daran, dass Maildiensteanbieter heute leistungsfähige und hochentwickelte Filtersysteme einsetzen, die aus der trüben Klärbrühe in den Mailservern informationelles Trinkwasser machen.

Solche Filter analysieren jede Mail noch bevor sie dem Nutzer zugestellt wird, auf eine Vielzahl von Kriterien und geben dann eine Art gewichtete Schätzung ab. Wird dabei z.B. ein vorgegebener Punktwert überschritten ist es Müll, ansonsten eine einwandfreie E-Mail. Die Herausforderung besteht darin, möglichst alle Müllmails zu erkennen aber so gut wie keine gute Mail fälschlich als Müll auszusortieren (false positive). Allerdings gibt es hier wie auch beim Thema Schadsoftware einen Rüstungswettlauf, so dass es immer wieder vorkommt, dass neuartig konstruierte Müllmails trotzdem zugestellt werden bis die Filter seitens der Hersteller aktualisiert wurden und dann auch die neue Art Spam erkennen und filtern können.

Ein weiteres Mittel für die Betreiber von Maildiensten ist das automatisierte Führen von Sperrlisten auf denen Rechner erscheinen von denen aus Mailmüll verschickt wird. Von solchen Müllschleudern werden keine Mails angenommen und weiter verteilt.

Da das Filtern von anderer Leute Mail streng genommen einen Eingriff in das gesetzlich gut geschützte Telekommunikationsgeheimnis darstellt (§ 88 TKG, § 206 StGB), ist der Spam-Filter bei vielen Mailkontenbetreiber eine abschaltbare Option falls man darauf verzichten will (nicht zu empfehlen!). Oder die Spam-Mails werden nicht gelöscht sondern nur in ein spezielles Verzeichnis verschoben. Dort kann der Nutzer der Mailbox bei Bedarf nachsehen, ob nicht versehentlich etwas Nützliches falsch klassifiziert wurde und dort gelandet ist. Webmailanbieter wie z.B. GMX und Web.de arbeiten so.

Die zweite Verteidigungslinie ist oft das Mailprogramm selbst. Zumindest für Nutzer, die ihre Mails auf einen Rechner herunterladen, anstatt sie per Webbrowser zu lesen. In praktisch allen Mailprogrammen sind Spam-Filter eingebaut, die die heruntergeladenen Mails vorfiltern und Müllmails entweder löschen oder in ein separates Verzeichnis wegfiltern. Spam-Filter in Mailprogrammen arbeiten meistens nach einem Verfahren, das Fachleute als Bayes-Algorithmus bezeichnen. Es ist eine Art „lernendes System“, das aus vom Nutzer manuell klassifizierten E-Mails und deren Strukturen rasch lernt, Müllmails von guten Mails zu trennen. Gewissermaßen der „kleine Bruder“ der Filter in den großen Mailservern der Provider.

Doch wo kommen die Spam-Mails eigentlich her? Und wie wird damit Geld verdient?

Einen Bestand aus einer Million ungeprüfter Mailadressen am Datenschwarzmarkt zu erwerben, kostet nur wenige Hundert Euro. In einer ähnlichen Größenordnung liegt das Anmieten eines Botnetzes zum ferngesteuerten Aussenden der Mails. Und auch die Zahlungsabwicklung für solche „Graumarktgeschäfte“ kann so gestaltet werden, dass Ermittler sich äußerst schwer tun, den sprichwörtlichen „Fluss des Geldes“ zurückzuverfolgen.

Gelingt es einem Massenmailversender nur jeden zehntausendsten Empfänger z.B. Viagra vom chinesischen Schwarzmarkt für 50 € zu verkaufen, so hat er mit einer Aussendung 100 Verkäufe mit einem Ertrag von 5.000 € abzüglich der Kosten generiert. Da Spiel lässt sich durchaus wöchentlich mit wechselnden Adressbeständen wiederholen. Natürlich weitab von  jeder Regulierung und jeder Form von Verbraucherschutz, wie wir sie in Deutschland für Fernabsatzgeschäfte, neue Wettbewerbsformen oder die Geschäftsabwicklung im Internet sowie das Dokumentieren der Geschäfte in einer finanzamtsverträglichen Form kennen.

Auch Phishing (password fishing) ist nach wie vor eine beliebte Form des Trickbetrugs im Internet, die das ihre zum Müllmailaufkommen beiträgt. Beim Phishing werden Internetnutzer dazu verleitet, eine Webseite aufzurufen und dort z.B. Identifikations- und Transaktionsdaten für einen Bankkontenzugriff einzugeben. Beispielweise, in dem sie eine Mail erhalten, der entnommen werden kann, dass ihre Sparkasse etwas an ihrem Online-Banking-System umgestellt hätte und daher ein erneuter Login mit PIN, TAN und Bestätigung erforderlich sei, um das Bankkonto weiter nutzen zu können.

Das ist zwar Unsinn und die Banken warnen inzwischen regelmäßig ihre Kunden, dass sie grundsätzlich von sich aus keine Zugangsdaten per Mail abfragen. Aber es funktioniert immer wieder. Waren die Phishing-Mails vor Jahren noch an ihrer meist kruden Orthografie erkennbar, sind sie heute i.d.R. professionell getextet und layoutet und so von einer „offiziellen“ Mail eines Unternehmens kaum zu unterscheiden.

Neben Werbung und Trickbetrug wird mit Spam-Mails auch Schadsoftware verbreitet. Entweder in Form von Links auf präparierte Webseiten, die per Drive-by-Download eingebetteten Schadcode verteilen. Oder als Trojaner versteckt in Dateianhängen. So werden u.a. die bereits erwähnten Botnetze aufgebaut, um sie gegen Entgelt an Dritte vermieten zu können. Spätestens hier wird Spam vom lästigen Problem zur gefährlichen Bedrohung, um das sich auch Verantwortliche für die Informationssicherheit und den Datenschutz in Unternehmen zu kümmern haben.

In vielen Ländern ist das Versenden von Massenmails illegal. In den USA wurde 2007 ein spektakulärer Gerichtsfall ausgeurteilt, in dessen Verlauf ein Mailbetrüger für eine Reihe von Untaten zu einer langjährigen Gefängnisstrafe verurteilt wurde. Auch Bußgelder und Entschädigungsforderungen im Millionenbereich wurden bereits verhängt. Aber viele Länder haben auch schlicht wichtigere Probleme, als sich um Belästigung und Betrug an Ausländern im Internet zu kümmern.

Der Einzelne kann also nicht viel mehr tun als Spam-Filter zu nutzen und deren Filterverhalten hin und wieder zu kontrollieren. Unternehmen können die Müllabfuhr im Mailserver entweder selbst mit einem Kaufprodukt erledigen. Oder das Thema Mailabwicklung und Spam-Filterung ganz oder teilweise an Dienstleister abgeben.

Außerdem kann es sinnvoll sein, mehrere Mailadressen zu haben, von denen man manche „öffentlich sichtbar“ z.B. in ein Web-Impressum oder auf die Firmenhomepage setzt, von wo sie in der Regel rasch auch in den Datenbanken der Mailadresssammler gelangen. Während man andere Mailadressen nur für persönliche Kontakte oder zum Zusammenfassen der Mails anderer Konten verwendet und diese auch nur persönlich weitergibt.

Die Datenübertragungsprotokolle für das Internet, auf deren Technik auch der weltweite Mailverkehr beruht (SMTP – simple mail transfer protocol, DNS – domain name system), stammen aus den späten 70ern als Müllmails noch unbekannt waren, da schon die damals verfügbaren Bandbreiten das Versenden großer Mengen an E-Mail nicht zugelassen hätten. Es gibt neue Protokolle, welche es Spammer erschweren oder gar unmöglich machen würden, Müllmails zu versenden. Doch sie müssten eine bereits bestehende weltweite Infrastruktur ersetzen, um zu funktionieren. Ein Parallelbetrieb mehrerer zueinander inkompatibler Strukturen für E-Mail dürfte schon aus Kostengründen sowie fehlender Nutzerakzeptanz ausscheiden.

Auch die Idee für jede Mail eine Art „Porto“ von einem Cent zu erheben (ggf. erst ab der 50. oder 100. Mail pro Tag und Nutzer), um so das Versenden von Massenmails unattraktiv zu machen , konnte sich aufgrund abrechnungstechnischer Probleme und Akzeptanzprobleme bei den an Pauschaltarifen gewohnten Nutzern nicht durchsetzen.

Ein weiterer Ansatz wäre das in Deutschland vom Staat vorangetriebene Projekt DE-Mail, bei dem aber nicht die Kommunikation sondern das sichere gerichtsfeste Zustellen von elektronischen Einschreiben im Vordergrund steht. Da dazu jedoch absehbar teure, vom Benutzer zu bezahlende Infrastruktur (elektronische Signatur und Zertifikate, Smartcards, Kartenleser usw.) benötigt wird, während der Nutzen eher bei Unternehmen und Verwaltungen liegt, dürfte auch die DE-Mail das Müllmailproblem auf absehbare Zeit nicht lösen.

Wir werden also noch eine ganze Weile lang mit Spam leben müssen.

Offene Standards in der Informationstechnik

Die IT-Beauftragte der Bundesregierung Cornelia Rogall-Grothe, als „Bundes-CIO“ für die IT der Bundesverwaltung zuständig, möchte mit offenen IT-Standards ein Höchstmaß an Interoperabilität und Herstellerunabhängigkeit erreichen. Das erklärte sie der c‘t in deren aktueller Ausgabe 15/2010 man ein entsprechendes Interview findet.

Dazu müssten in Frage kommende IT-Standards vollständig offengelegt sein und  ihre Nutzung darf nicht durch Urheberrechte oder lizenzrechtliche Bestimmungen eingeschränkt sein, so Frau Rogall-Grothe. Davon würden auf Dauer auch Anbieter und Dienstleister profitieren, da niemand zertifizierter Partner eines Herstellers sein müsse, um mit Dritten ins Geschäft kommen zu können.

Offene Standards sind insbesondere im Behördenbereich ein Thema von zunehmender Bedeutung. Dafür gibt es gleich eine ganze Reihe von guten Gründen. Die beginnen damit, dass man Bürger, die am e-Government d.h. dem elektronischen Austausch mit staatlichen Institutionen teilnehmen wollen, eigentlich nicht vorschreiben kann, dass das nur mit ganz bestimmten herstellerabhängigen Technologien funktioniert. Schließlich werden staatliche Einrichtungen von allen Steuerzahlern finanziert, nicht nur von denen die Produkte z.B. von Microsoft, Adobe oder Siemens einsetzen.

Von der öffentlichen Verwaltung wird Transparenz hinsichtlich ihres Wirkens und dem Zustandekommen ihrer Entscheidungen erwartet. Nahezu alles was Behörden tun, ist daher formal rechtlich prüfbar. Dazu gehört auch eine Offenlegung entsprechender Informationen in allgemein verfügbaren Datenformaten. Gesetzliche Informationsfreiheit ist da nur ein Anfang.

In diese Richtung zielt auch die Forderung nach Open Government und Open Data, d.h. offenem Zugriff auf maschinenlesbare Informationen, die im Zuge staatlicher Aktivitäten entstanden sind und die der Allgemeinheit, der diese Informationen ja eigentlich gehören, zur freien Verwendung zur Verfügung zu stellen sind. Beispiele wären z.B. Katasterkarten, Umweltmesswerte oder statistisch aggregierte Daten über die Bevölkerung in Stadtvierteln.

Wichtiger aber wäre noch die Kompatibilität auf Verfahrens- und Datenebene in den Verwaltungen. Da heute noch jede Behörde und jede Kommunalverwaltung mit einer Vielzahl eigener, zum Teil selbst entwickelter IT-Systeme arbeitet, könnten offene Standards sowie die Verpflichtung zu deren Einhaltung die Verwaltungskosten deutlich senken helfen. Bei gleichzeitig verbesserten Werten bezgl. Bearbeitungs- und Reaktionszeiten sowie einer Senkung von Verfahrensfehlern bei der Bearbeitung von Bürgeranliegen. Allerdings ist dafür eine längere Übergangszeit einzuplanen, da die funktionelle Erweiterung oder Neubeschaffung eines behördlichen Fachverfahrens (einer IT-Anwendung) Zeit und Geld kostet, die in Zeiten knapper Kassen erst mal politisch bewilligt und begründet sein wollen.

Offene Standards helfen Herstellerabhängigkeit zu vermeiden. Wer z.B. nur Microsoft-Architekturen oder SAP-Produkte einsetzt, macht sich direkt abhängig von der Produktpolitik und den Preisvorstellungen dieser beiden Softwaregiganten. Da können dann schon mal 80% des jährlichen IT-Budgets einer Firma nur für die Erneuerung von monopolpreisigen Lizenzen draufgehen. Oder eine gerade eben mit Mühe eingeführte und geschulte IT-Infrastruktur muss in absehbarer Zeit verschrottet und ersetzt werden, nur weil der Hersteller das Produkt aus seinem Angebot geworfen hat, Supportverträge nicht mehr verlängert und stattdessen das Nachfolgemodell verkaufen will.

Mit Hilfe offener Standards lässt sich auch die Komplexität heterogener IT-Umgebungen reduzieren, indem man Schnittstellen, Formate sowie den Datenaustausch generell vereinfacht. Und unnötige Komponenten zur Umwandlung von Daten in ein anderes Format ganz streicht, wenn diese Formatumwandlung nicht mehr erforderlich ist. Über längere Zeit gerechnet, können so beträchtliche Beträge an Planungs-, Entwicklungs-, Test-, Betriebs- und Supportkosten eingespart werden.

Eine weitere Möglichkeit zur Reduzierung von Komplexität und Kosten ist der Wegfall von Lizenzen. Jedes wegfallende Lizenzmodell, jede nicht mehr zu verwaltende Lizenz, jede nicht mehr erforderliche rechtliche Prüfung von Lizenzkonditionen, AGBs und sonstiger Vertragsmaterie spart sofort bares Geld. Der Betrieb von Software wie z.B. Lizenzmanagementserver, die keinen produktiven Zweck erfüllt sondern allein der Absicherung fremder Interessen im eigenen Unternehmen dient, kann komplett entfallen.

Viele Hersteller lassen sich in ihren Lizenzen zudem eine Art „Betriebsprüfung“ zusichern, um in den Unternehmen ihrer Kunden die Einhaltung ihrer selbst gesetzten Regeln nachzuprüfen und im Falle der Nichteinhaltung happige Geldforderungen stellen und eintreiben zu können. Dieser unnötige Overhead entfällt beim Einsatz offener Standards und darauf basierender Lösungen ebenfalls.

Daher setzen sich Lobbys aus dem Bereich der Hersteller proprietärer Softwareprodukte zunehmend dafür ein, offene Standards aufzuweichen und zurückzudrängen, wenn es z.B. auf EU-Ebene um Neuregelungen im Bereich offener Standards als Grundlage für vergaberechtliche Festlegungen geht. So wird z.B. aktuell die Neufassung des EU-Rahmenwerks zur Herstellung von Interoperabilität bei E-Government-Diensten (European Interoperability Framework) diskutiert, in der bislang sehr klar gefasste Begrifflichkeiten zur Offenheit von Standards so aufgeweicht werden sollen, dass sich darin auch Positionen von Anbietern proprietärer Technologie sowie der Rechteverwerter unterbringen lassen. Das wäre ein  klarer Rückschritt auf dem Weg zur Offenheit und Anbieterneutralität der öffentlichen Verwaltungen.

Letztlich dürfte die Zulassung von Patent-Kartellen im öffentlichen Sektor auch zu einer indirekten Zustimmung zur umstrittenen Patentierbarkeit von Software ohne demokratische Übereinkunft und ohne Rücksicht auf die Bedenken vieler Europäer darstellen, so der Förderverein für eine Freie Informationelle Infrastruktur (FFII), der die geplante Verwässerung der European Interoperability Framework deutlich kritisiert.

Offene Standards stellen auch bei der Informationssicherheit das Abbild des aktuellen Standes der Technik dar, wie man z.B. im zum Jahresanfang aktualisierten „Kompass der IT-Sicherheitsstandards“, einer von BITKOM und DIN herausgegebenen Übersicht über Standards mit Bezug zur IT-Sicherheit nachlesen kann. In Standards und Normen kommen anerkannte gute Praktiken und erfolgreiche Vorgehensweisen zum Ausdruck. Daher gewinnen auch Forderungen nach einem transparenten Zustandekommen von Normen sowie einem möglichst freien und niedrigschwelligen Zugang zu den Normtexten zum Zwecke der Information und Meinungsbildung an Bedeutung.

Ein Standard kann somit als „offen“ bezeichnet werden, wenn er

• veröffentlich wurde
• kostenlos oder zu akzeptablen Kosten (Schutzgebühr für das Dokument) zur Verfügung gestellt wird.
• ohne weitere Verpflichtungen (z.B. in Form von Lizenzkonditionen) genutzt werden kann und frei von  Rechten Dritter ist.
• auch in Zukunft veröffentlicht und frei nutzbar bleibt.

Was u.a. eine vollständige Offenlegung sowie die Akzeptanz durch ein normgebendes Standardisierungsgremium (ISO, IEEE, DIN usw.) der Fachanwenderschaft voraussetzt.

Ein guter Einstieg in dieses Thema ist das von der bereits erwähnten Bundesbeauftragten für Informationstechnik Frau Rogall-Grothe herausgegebene Werk „Standards und Architekturen für E-Government“ (SAGA) in der derzeit aktuellen Fassung 4.0. Das SAGA-Dokument beschreibt Grundlagen der Standards, Technologien und Methoden für den Einsatz von Informationstechnik in Bundesbehörden und gibt Empfehlungen zur Entwicklung und Pflege von E-Government-Anwendungen der öffentlichen Verwaltung. Es legt Schwerpunkte auf Interoperabilität, Plattformunabhängigkeit und Investitionssicherheit von Softwaresystemen. Ihre wirtschaftliche Relevanz bekommen solche Verwaltungsvorgaben insbesondere dann, wenn sie Eingang ins Vergaberecht finden oder in Vergaben mit einbezogen werden. Denn dann müssen sich Hersteller daran halten, wenn sie Aufträge der öffentlichen Hand akquirieren wollen. Auch das kann ein wirksames Steuerungsinstrument hin zu mehr offenen Standards und wenige „kreativer Inkompatibilität“ sein.

Was bringt ITIL v3 für IT-Sicherheit und Softwarequalität?

Kürzlich nahm ich an einem ITIL-Seminar teil. Ich hab dort meine ITIL v2 Foundation-Zertifizierung aus dem Jahr 2006 auf den aktuellen Stand v3 gebracht. Im Vergleich zu v2 hat sich in der aktuellen Version des ITIL-Rahmenwerks einiges geändert. Was natürlich die Frage aufwirft, wo sich darin Fragen der Informationssicherheit und der Softwarequalität verorten lassen.

Der Kernbegriff von ITIL v3 ist der „Service“. Er steht ganz allgemein für (IT-basierte) Dienstleistungen aller Art, die dem Abnehmer einen konkreten Nutzen bringen, der sich anhand festgelegter Kriterien beschreiben und messen lässt. Eines dieser Kriterien ist die Security, mehrere andere beschreiben dem Kunden zugesicherte (Warranty) Qualitätseigenschaften.

Services werden im Wesentlichen durch standardisierte Prozesse beschrieben, die ITIL v3 in fünf große Bereiche einteilt, die in jeweils einem Handbuch beschrieben sind. Das sind die Service Strategy, das Service Design, der Bereich Service Transition, die Service Operations und das Continual Service Improvement. Zusammen beschreiben sie ein Modell für die prozessorientierte Organisation eines IT-Dienstleisters. Insgesamt bildet der Lebenszyklus von Serviceleistungen den Rahmen der fünf ITIL-Bücher.

Vorab: Das für Qualitäts- und Sicherheitsaspekte wichtige Thema Softwareentwicklung wird bei ITIL nur am Rand gestreift. Zwar benötigen fast alle IT-Services „irgendwie“ und „irgendwoher“ auch Software. Aber mit deren Herkunft wird sich kaum beschäftigt. Dafür gibt es auch aussagekräftigere und zielgenauere Vorgehensmodelle wie SCRUM, Prince2 oder das V-Modell XT.

Die wichtigsten sicherheits- und qualitätsrelevanten Entscheidungen beim Entwurf von  IT-Systemen werden bereits in der Entwurfsphase getroffen. Daher sieht auch ITIL im Buch Service Design die Prozesse Information Security Management, Risk Management und Compliance Management zur Handhabung solcher Fragen vor.

Das Ausrollen neuer IT-Services wird im ITIL-Buch Service Transition durch standardisierte Prozesse mit qualitätssichernden Charakter Service Validation and Testing, Evaluation, Release Management begleitet.

ITIL sieht mit dem Bereich Continuing Service Improvement im gleichnamigen Buch auch eine Form des kontinuierlichen Verbesserungsprozesses (KVP) vor,  wie er als Instrument der Prozessinnovation in der produzierenden Industrie bereits seit längerem etabliert ist. Hier wird mit dem Process Maturity Framework (PMF) auch ein vereinfachtes, am CMMI orientiertes Reifegradmodell für Prozesse im Servicemanagement vorgeschlagen.

Insgesamt bildet ITIL ein Rahmenwerk an Musterprozessen, Modellen und Konzepten zur vielleicht besseren, in jedem Fall aber einheitlicher an  Branchennormen und Best Practice Standards ausgerichteten Organisation von IT-Dienstleistern. Viele Themen wie IT-Sicherheit, Qualitätssicherung und Qualitätsmanagement, Risikomanagement, Compliance, IT-Controlling und IT-Governance werden in ITIL zwar angerissen. Um inhaltlich aber tiefer gehen zu können, wird meist darauf verwiesen entsprechende Standards wie ISO 27.000, IT-Grundschutz, COBIT oder betrieblich etablierte Vorgehensweisen einzusetzen und ggf. anzupassen.

Allerdings hat die konsequente Umsetzung von ITIL, d.h. der Aufbau einer entsprechend strukturierten Organisation auch gravierende Nachteile. ITIL macht IT-Services zu austauschbaren Standardprodukten (Kommodifizierung). Unternehmen betrachten durch ITIL ihre IT zunehmend weniger als Business Partner und mehr als austauschbaren Lieferanten, was den Einfluss der IT-Manager in den Unternehmen auf mittlere Sicht hin schwächen dürfte. Zahlreiche ausgelagerte IT-Abteilungen und IT-Service-Provider zeigen das deutlich. IT-Services geraten unter Preisdruck, da bei austauschbaren Produkten die Umsatzrendite bekanntlich gegen Null geht. Und das läuft Aspekten wie Qualität und Sicherheit entgegen.

Es bleibt also abzuwarten, in wie weit die Einführung von ITIL-Strukturen in den Unternehmen für IT-Sicherheit und Softwarequalität tatsächlich Verbesserungen mit sich bringt. Und was davon beim Kunden ankommt.