Linux-Infotag 2011 in Augsburg

Gestern fand in den Räumen der Fakultät für Informatik der FH Augsburg der 10. Linux-Infotag, veranstaltet vom Verein der Linux-User Augsburg e.V. (LUGA) statt. Zum Teil parallel in mehreren Räumen wurden unter dem diesjährigen Motto „Leben mit Pinguinen – Freie Software im Alltag“ Vorträge rund um das Thema Linux angeboten. Dabei reichte das Themenspektrum von Angeboten für Einsteiger über solche für Entwickler oder Systemadministratoren bis hin zum Blick auf aktuelle Entwicklungen rund um den Linux-Kernel.  Ich richtete meinen Fokus dieses Jahr auf Vortragsangebote rund um die Themen Projektmanagement, IT-Sicherheit und freie Software im Allgemeinen.

Eröffnet wurde das mehrteilige Vortragsprogramm von Thomas Gleixner mit seiner Keynote zum Thema „Management und Open Source – zwei Welten?“. Darin schilderte Gleixner, der selbst Unternehmer sowie aktiver Linux Kernel-Maintainer ist, das bestehende Konfliktfeld zwischen freier quelloffener Software und sog. „geistigem Eigentum“ (ein Kampfbegriff der Content-Lobby, den viele Manager unkritisch übernommen haben). Gerade unsichere und qualitativ minderwertige Software hat ihren Ursprung häufig darin, dass Firmen versuchen, das Rad zum x-ten Mal neu zu erfinden und eine selbst entwickelte proprietäre Lösung einen anerkannten Standard vorziehen. Da aber keine Firma allein dauerhaft Standards etablieren kann und Kunden sich nur ungern von einzelnen Unternehmen abhängig machen, werden so volkswirtschaftlich Ressourcen in beträchtlichem Umfang verschwendet, die durch unternehmens- und bereichsübergreifende Kollaboration und Kooperation effektiver nutzbar wären. Inzwischen stellen aber immer mehr Unternehmen (z.B. Chiphersteller und Smartphone-Produzenten) fest, dass quelloffene Systeme wie Linux einfacher an neue Gegebenheiten anzupassen sind, Versionswirrwar und Diskontinuitäten bei Produktkomponenten vermieden werden, Lizenzpolitiken anderer Unternehmen nicht mit eingeplant werden müssen. Trotzdem gibt es noch eine weitverbreitete relative Unkenntnis verbunden mit gezielt gestreuten Desinformationen in den Köpfen von Entscheidern in der Wirtschaft, wie Gleixner ausführte. Daneben empfahl er, sich mal die Enduser-Licence-Agreements (EULAs) genauer anzusehen, die kommerziellen Softwareprodukten beiliegen. Das dort enthaltene „Kleingedruckte“ schränkt die Nutzbarkeit einer an sich funktionsfähigen Software rechtlich oft derart ein, dass sie unbrauchbar wird – ein klassischer Fall von „Produktion vom Fließband in den Müllcontainer“. Daneben betonte Gleixner, wie wichtig es sei, dass Basistechnologien wie Betriebssysteme, Netzwerkprotokolle, Datenbanken aber auch Informationen frei und losgelöst von den Interessen Einzelner allgemein und frei verfügbar sind, so dass jeder darauf aufbauend Geschäftsmodelle entwickeln kann, ohne dass ihm andere dreinreden oder ihm durch das Ergaunern leistungsloses „Schutzgelder“ schädigen können (Stichworte Softwarepatente und Patenttrolle).

Oliver Rath gab einen Überblick über Projektmanagement im Allgemeinen. Und dessen Unterstützung mit linuxbasierter Software im Speziellen. Und hier zeigte sich auch rasch das Kernproblem: Der Goldstandard im Bereich werkzeugunterstützen Projektmanagements ist Microsoft Project. Auch wenn die große Mehrheit gerade mittelständischer Projektleiter immer noch per Tabellenkalkulation plant. Etwas was  man mit Open Office Calc und Draw ebenso hinbekommt wie mit Excel & co. Etliche Linux-Tools wie z.B. OpenProj, TaskJuggler oder planner können jeweils ein oder zwei Dinge besonders gut, andere aber gar nicht. Es fehlt nach wie vor ein vollwertiges MS-Project-Äquivalent hoher Produktreife, auch wenn OpenProj ein guter erster Versuch war (bis die Entwicklung 2008 eingestellt wurde). Rath trug seinen Vortrag interessant und witzig zugleich vor und wies dabei auf Dinge wie die „größte Lüge der IT“ (Ich mach mal schnell), „die größte Lüge im Projektmanagement“ (Ich bin zu 90% fertig) oder die Probleme der letzten 10% eines Arbeitspaketes hin (in denen sich oftmals die gravierendsten Probleme verbergen).

Zu diesem Themenbereich rechne ich auch die Vorträge von Ulrich Habel (Dokumentation in Open-Source-Projekten) und Sebastian Harl (Verteilte Versionskontrolle mit Git). Denn es war letztlich die OSS-Community, die als Erste global verteilte Entwicklung komplexer Software betrieb. Lange bevor Offshoring und die spezifischen Probleme mit den kulturellen Differenzen zwischen indischen Programmierern und mitteleuropäischen IT-Architekten wirklich zum Branchenthema der international arbeitenden IT wurden. Hierbei sind Systeme zur gemeinschaftlichen Codeverwaltung, Versionierung, zur projektbegleitenden Dokumentation und für Defect-Tracking und Bug-Reporting nahezu unentbehrlich, um räumlich und zeitlich verteilte Zusammenarbeit an einer gemeinsamen Code- und Projektbasis zu ermöglichen. Beispielhaft wären hier Systeme wie Mantis (Bugtracking), GIT (Versionierung) oder die Nutzung von Wikis (Projektdokumentation) zu nennen.

Ingo Blechschmidt gab eine Kurzeinführung in elementare Konzepte der Kryptographie wie kryptographische Primitive (elementare Operationen eigentlich aller Kryptoverfahren), Challenge-Response-Authentifizierung, Zero-Knowledge-Beweise oder die Sicherheitsmechanismen bei „gesalzenen“ Passwörtern. Obwohl das tiefere Verständnis kryptografischer Konzepte eine intensivere Beschäftigung mit deren mathematischen Hintergründen sowie Überlegungen aus den Bereichen Algorithmik und theoretischer Informatik erfordern, machte sein Vortrag Lust auf mehr.

Wer jetzt auf die Vorträge neugierig geworden ist, wird in den nächsten Tagen die meisten Folien bei LUGA in der Programmübersicht als PDF-Download vorfinden.

Parallel zum Vortragsprogramm boten zahlreiche Linux-affine Organisationen Infostände mit aktuellen Projekten an. Und es dürften wohl stapelweise Live-CDs diverser Linux-Distributionen verteilt worden sein. Alles in allem eine sehr interessante Veranstaltung mit vollem Programm, die wohl bei mehreren Hundert Besuchen Anklang gefunden hat.

Zensus 2011 – gehen der Volkszählung die Volkszähler aus?

Die Planungen für die erste große Volkszählung in Deutschland seit dem Jahrtausendwechsel laufen in den damit befassten Kommunen auf Hochtouren. Zunehmend wird jedoch ein Problem immer deutlicher: Der Mangel an Volkszählern, die im Zensusgesetz auch „Erhebungsbeauftragte“ genannt werden. Die Planungen gehen von etwa 100 Befragungen aus, die ein solcher Erhebungsbeauftragte durchführen soll. Bei einer geplanten Erhebungsquote von 10% benötigt man bundesweit somit etwa 82.000 Freiwillige. Allein in der Landeshauptstadt München mit ihren etwa 1,4 Millionen Einwohnern hätte die Stadtverwaltung etwa 1.400 Volkszähler aufzutreiben. Da sich bislang nur etwa 150 Freiwillige dazu bereitfanden, beschloss der Stadtrat kürzlich vermehrt Beschäftigte der Stadtverwaltung dafür zu verpflichten und ihnen einen Teil der erforderlichen Zeit als Arbeitszeit anzurechnen, wie man dem öffentlichen Ratsinformationssystem des Münchner Stadtrats entnehmen kann.

Sollten die Deutschen den Zensus etwa ebenso wegboykottieren wollen, wie derzeit die E10-Einführung?

Das Zensusgesetz stellt in § 11 einige Anforderungen an die Erhebungsbeauftragten. Ebenso das Bundesstatistikgesetz in § 14. Sie müssen eine Verpflichtung auf das Daten- und Statistikgeheimnis unterschreiben, dürfen ggf. gewonnene Informationen nicht für andere Zwecke als den Zensus verwenden und dürfen aus Datenschutzgründen nicht in der unmittelbaren Nähe ihrer Wohnung eingesetzt werden. Menschen deren (neben)berufliche Tätigkeit Interessenskonflikte vermuten lässt (z.B. GEZ-Beauftragte, Struktur- und Finanzvertriebler aber auch Beschäftigte der Leistungsabteilungen diverser Sozialbehörden), dürfen nicht als Volkszähler eingesetzt werden.

Was also werden die Verwaltungen tun, wenn sie nicht genügend Volkszähler finden? Grundsätzlich könnten sie Personen auch gegen deren Willen zwangsweise zum Zählen verpflichten. Das Zensusgesetz sieht im bereits erwähnten § 11 eine Möglichkeit der Verpflichtung weiterer Bürger und Bürgerinnen zur Übernahme der Tätigkeit als Erhebungsbeauftragte durch Landesrecht vor. Doch können Zwangsdienstverpflichtete tatsächlich den Anforderungen hinsichtlich Zuverlässigkeit und Verschwiegenheit genügen? Und was wenn sie sich schlicht weigern, die erforderlichen Datenschutzverpflichtungen zu unterschreiben? Werden diese dann durch (grundsätzlich rechtsmittelfähige) Verwaltungsverfügungen ersetzt analog zu den sog. „Eingliederungsvereinbarungen“ der Arbeitsagenturen?

Und was wenn zwangsverpflichtete, dem Zensus eher kritisch gegenüberstehende Zeitgenossen ihr Dasein als Volkszähler dazu nutzen, die Befragten in politische Gespräche über Sinn und Unsinn von Vorratsdatenspeicherung, Schnüffelstaat, Elena, Bürgerrechtsabbau zu verwickeln? Sowie Tipps geben, was dagegen getan werden kann. Oder ihr Zählpensum schlicht nicht schaffen sondern nach genau so vielen Interviews abbrechen, wie sie mit ihrer Freistellung eben hinbekommen? Falls sie nicht vorher krankheitsbedingt ausfallen und ihr Zählpensum vom jemand anders übernommen werden muss, um termingerecht zu einem Ergebnis kommen zu können.

Vielleicht sollte man in der Öffentlichkeitsarbeit zum Zensus auch die Aufwandsentschädigungen (einige Euro pro Interview) deutlicher herausstellen und gezielt Langzeitarbeitslose und Leute in Beschäftigungsmaßnahmen ansprechen.

Interessante Fragestellungen – zumal die Probleme ja oft in den rechtlichen Details stecken und der Teufel oftmals ein Eichhörnchen ist …

Scareware – Mit Nervsoftware abkassieren

Es gibt viele Möglichkeiten, mit Schadsoftware Geld zu verdienen. Eine, die eher auf Trickbetrug, als auf Diebstahl von Daten oder Rechnerkapazitäten hinausläuft, ist sog. „Scareware“. Das ist Software, die den Nutzer verängstigen und verwirren soll, um ihn so zu Handlungen zu verleiten, von denen der Autor profitiert. Wenn man will also automatisiertes Social Engineering.

Das Prinzip ist einfach: Dem surfenden PC-Nutzer wird beispielsweise eine kostenlose Analyse seines Rechners auf Viren angeboten. Kostenlose und gute Virenkiller gibt es ja von mehreren Anbietern. Dazu muss er lediglich ein Programm aus dem Internet herunterladen, installieren und starten. Tut er dieses, so generiert das Programm rasch und mit zunehmender Häufigkeit und Penetranz Warnmeldungen, dass dieser oder jener Virus im System sei und das man möglichst rasch eine kostenpflichtige Sicherheitslösung kaufen, runterladen und einspielen möge. Bis hin zur Unbenutzbarkeit des Rechners, weil fast jeder Vorgang mit diesen Warnmeldungen unterbrochen wird. Folgt man den Hinweisen und lädt das zu bezahlende Update herunter, ist für einige Zeit Ruhe bis es erneut losgeht.

Nur: Es war zu keiner Zeit echte Schadsoftware auf dem Rechner. Dem Nutzer wurde lediglich vorgegaukelt, er hätte ein Problem. Das Problem kam erst mit dieser Art von Trickbetrug auf seine Festplatte. Das Prinzip der Scareware setzt auf den eher unmündigen, arglosen und neugierigen Nutzer, der viel ausprobiert und die oft eher kryptischen Meldungen inhaltlich nicht hinterfragt. Im schlimmsten Fall hat der Nutzer durch das Installieren der Scareware auf seinem Rechner erst vormals noch nicht vorhandene Sicherheitslücken aufgerissen. Schließlich läuft das Programm in aller Regel mit den (meist recht weitreichenden) Rechten des Benutzers und hat vollen Zugriff auf seine Daten.

Das Prinzip ist nicht wirklich neu. Heise Security berichtete bereits 2008 darüber.

Linux-Anwender sind hier, wie oftmals bei Schadsoftware außen vor, da sich deren Entwickler meist auf das deutlich verbreitetere Windows-Ökosystem konzentrieren.

Ein typischer Vertreter dieser Gattung von Nervsoftware ist „System Tool 2011“, eine Art Trojaner, der sogar als Drive-by-Download allein durch ungeschütztes Surfen im Internet seinen Weg auf die lokale Festplatte finden kann. Der aber auch von interessierten Nutzern oftmals gezielt runtergeladen und installiert wird.

Bis zu 100 Infektionen meldet das Tool bereits nach dem ersten Prüflauf. Allerdings existiert davon keine tatsächlich. Dafür wird man von System Tool rasch zum Bezahl-Dialog geführt, um die fiktiven Schädlinge sowie sein reales Geld loszuwerden. Mit ca. 50 $ für eine 24-Monatslizenz ist man dabei.

Richtig dreist wird die Scareware, wenn sie zur „Ransomware“  (ransom: Lösegeld) mutiert und Teile der Datenbestände des Benutzers löscht, verschlüsselt oder auf andere Art unbrauchbar macht – bis er diese durch Bezahlung einer Gebühr per Kreditkarte ins Ausland wieder auslöst.

Letztlich hilft da nur die Installation eines „richtigen“ Schutzprogramms gegen Schadsoftware aller Art. Es bringt i.d.R. Filter und Signaturen mit, die solche, auch PUPS („possibly unpopular software“) genannten Programme, erkennen und entfernen können.

Außerdem lohnt es sich, sich an die „12 Geboten der sicheren Computernutzung“ zu erinnern und nichts, das zum Ausprobieren aus dem Internet runtergeladen wurde, auf seinem Arbeits-PC zu installieren. Wer es sich gar nicht verkneifen kann, sollte hierfür einen isolierten Testrechner oder eine virtuelle Maschine innerhalb einer gesicherten Virtualisierungsumgebung verwenden.

Zensus 2011 – die nächste große Volkszählung rollt an

In den kommenden Wochen wird etwas geschehen, dass es in Deutschland seit 1987 nicht mehr gab: Volkszählungsbeauftragte werden mit Fragebögen ausschwärmen, um im Rahmen einer „Zensus 2011“ genannten Volkszählung per Fragebogen und Interview Daten zu sammeln.

Mit dem der Volkszählung zugrunde liegenden Zensusgesetz wird die EG-Verordnung 763/2008 in deutsches Recht umgesetzt. In ihr verpflichteten sich die EU-Mitgliedsstaaten, in regelmäßigen Abständen Volkszählungen durchzuführen und dabei bestimmte Daten an das Statistische Amt der Europäischen Union (EuroStat) zu übermitteln.

Die letzte große Volkszählung (geplant für 1983, verzögert durch Verfassungsklagen letztlich bis 1987) führte zu enormen zivilgesellschaftlichem Protest und endete letztlich von dem Bundesverfassungsgericht, dass den Staat in seine Schranken wies und das Recht auf informationelle Selbstbestimmung als Ausprägung des Art 2 GG ausformulierte.

Grundsätzlich sind Volkszählungen eine gute und in gewissen Abständen auch notwendige Angelegenheit. Sie dienen dazu Entscheidungen in Politik und Verwaltung mit Daten und Fakten zu untermauern. So sind z.B. gerade im kommunalen Bereich Entscheidungen über den Ausbau von Infrastrukturen, die Priorisierung knapper Mittel oder die Gestaltung von Bebauungsplänen davon abhängig, über relativ aktuelle Zahlen bzgl. Größe und demografischer Verteilung der Bevölkerung zu verfügen.

Aus diesem Grund wird auch seit 1957 jährlich eine „kleine Volkszählung“, der sog. Mikrozensus durchgeführt, bei der etwa 1% der Bevölkerung nach dem Zufallsprinzip ausgewählt und befragt wird.

Allerdings verfügte der Staat zu keiner Zeit über so viele und so genaue Informationen (sowie die Möglichkeiten zu deren Verarbeitung) wie heute. Die Qualität politischer Entscheidungsfindung wurde dadurch jedoch gerade nicht verbessert. Auch weiterhin sind politische Entscheidungsprozesse oftmals von Beratungsresistenz, dem Ignorieren gegebener Fakten, der Fehlinterpretation bzw. dem parteipolitisch / ideologisch motivierten Hinbiegen von Sachverhalten sowie ganz allgemein von Dummheit, Faulheit und Ignoranz den Betroffenen gegenüber geprägt. Ein Mehr an Informationen führt bei gleichbleibenden politischen Strukturen und Personalien also nicht zu Verbesserungen. Politische Problemherde wie das Zugangserschwernisgesetz, Stuttgart 21 oder das E10-Desaster belegen das in erschreckender Regelmäßigkeit.

Umgekehrt können Volkszählungen, die zu sehr umfangreichen Datenbeständen führen, auch Tür und Tor für Missbräuche aller Art führen. Denn nur solche Datenbestände, die überhaupt entstanden sind, können abhandenkommen oder gegen die Interessen der Betroffenen verwendet werden. Insbesondere Daten, das persönliche Leben der Gezählten, deren ethnische / sexuelle / politische / gesundheitliche / finanzielle / religiöse / weltanschauliche Orientierung betreffend, sind da als heikel zu betrachten. Nicht umsonst sieht das Bundesdatenschutzgesetz dafür im § 3a die Prinzipien der Datensparsamkeit und der Datenvermeidung vor. Und deklariert im § 3 Abs. 9 Informationen über „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“ von Menschen als besonders schützenswert.

Es darf durchaus bezweifelt werden, dass die so zusammengetragenen Datenbestände vor Hacker-Angriffen, Diebstahl, Missbrauch und Datenverarbeitungsfehlern hinreichend geschützt werden können. Insbesondere da ja z.B. gerade die deutsche Regierung mit Plänen wie Elena, dem Beschäftigtendatenschutzgesetz oder den Plänen zur Vorratsdatenspeicherung eine fast schon kriminell zu nennende Leichtsinnigkeit bei solchen Fragen an den Tag legt.

Als die Nationalsozialisten mit gezielten Deportationen jüdischer Mitbürger begannen, profitierten sie davon, dass sie aufgrund ihrer gründlichen Volkszählungen und einer gut funktionierenden Verwaltung über ein für damalige Verhältnisse sehr gut gepflegtes Personenstandsregister und zahlreiche andere (damals noch analoge) Vorratsdatenspeichertöpfe wie z.B. das Arbeitsbuch, das Gesundheitsstammbuch, eine Meldepflicht, die Volkskartei sowie Personenkennziffern verfügten.

Im Gegensatz zur Volkszählung 1987 hat der Zensus 2011 bisher kaum mediale Beachtung gefunden. Was auch daran liegt, dass er relativ aufwandsarm organisiert wurde. Nur ca. 10% der Bevölkerung werden tatsächlich einen „Erhebungsbeauftragten“ zu sehen bekommen. Allerdings ist für bestimmte Personengruppen, an denen der Staat ein besonderes Interesse hat, eine Vollerhebung geplant. Dazu zählen u.a. Immobilieneigentümer sowie Bewohner sog. „sensibler Sonderbereiche“ wie Notunterkünfte, Flüchtlingslager, psychiatrischer Kliniken sowie Gefängnisse. In diesen Sonderbereichen sollen die Daten jedoch nicht von deren Bewohnern sondern stellvertretend von der Anstalts- bzw. Lagerleitung erhoben werden.

Wer vorab einen Blick in die Fragebögen werfen will, kann dies hier tun.

Sehr viele Informationen werden statt durch Direkterhebung aus diversen, bei Behörden geführten Datenquellen, wie etwa dem Einwohnermelderegister, dem Anschriften- und Gebäuderegister oder den Daten der Arbeitsagenturen abgezogen. Das ist streng genommen illegal, da diese Daten zum Zeitpunkt ihrer Erfassung ja mit einem datenschutzrechtlichen Zweckbezug belegt wurden. Daher hat sich der Gesetzgeber in Form des Zensusvorbereitungsgesetztes (ZensVorbG) eine Rechtsgrundlage als Erlaubnis geschaffen, die es ihm ermöglicht, diese Daten zweckzuentfremden.

Dies ist auch einer der Hauptkritikpunkte der Zensusgegner wie z.B. dem Arbeitskreis Vorratsdatenspeicherung. Denn wenn sich der Staat einmal einen Persilschein für den Datenzugriff ausstellt, kann er es jederzeit wieder tun. Daneben sehen sie etliche Detailfragen als ungeklärt bzw. kritikwürdig an.

Zumal auch Gruppen am Zensus 2011 ein Interesse haben, an welche die statistischen Ämter überhaupt nicht gedacht hatten. So empfahlen z.B. einige NPD-Landesverbände engagierten Mitgliedern, sich als Freiwillige für das Volkszählen zu melden. Denn dabei könnte man im Rahmen der Interviews so einiges über die Mitmenschen erfahren, was sich auch für die Parteiarbeit vor Ort verwenden lässt. Auch für andere Gruppierungen wie z.B. Scientology, Strukturvertriebe oder Trickbetrüger ist der Zugang zum Bürger per Zensus eine überlegenswerte Sache – Social Engineering von Staats wegen sozusagen. Zumal die Kommunen, welche die Volksbefragung durchführen, den persönlichen Hintergrund der Freiwilligen nicht näher hinterfragen oder prüfen.

Während die Befragten zwar verpflichtet sind, am Zensus teilzunehmen, müssen sie den Interviewern keine Fragen beantworten und diese auch nicht in ihre Wohnung lassen. Man kann sich stattdessen auch die Fragebögen aushändigen lassen und den Interviewer weiterziehen lassen.

Allerdings können die Erhebungsbeauftragten schon von sich aus den Wert der erhobenen Daten deutlich schmälern. Den sie dürfen beim Nichtantreffen der zu Befragenden auch Familienangehörige, Minderjährige und Nachbarn befragen. Von den Volkszählern dürfen auch Informationen erfasst werden, die z.B. über die Wohnung von außerhalb aus in Erfahrung zu bringen sind. Da können schon mal Dichtung und Wahrheit durcheinanderkommen.

Trotz der grundsätzlichen Sinns, den ich in Volkszählungen erkennen kann, verbleibt eine gute Portion Skepsis, da ich der Politik fast jeden Unsinn zutraue und sie bereits etliche Male grundsätzlich sinnvolle Dinge nach allen Regeln der Kunst gegen die Wand gefahren hat.

Das scheint auch dem Gesetzgeber bewusst gewesen zu sein, weswegen er auch einen Auskunftszwang sowie ein Bußgeld von bis zu 5.000 € (§ 23 BStatG) bei dessen Verweigerung vorgesehen hat. Er traut dem Volke anscheinend ebenso wenig wie umgekehrt.