Safe the Date – 13. Linux-Infotag in Augsburg

18. März 2014

Am kommenden Samstag den 22.03. ist es wieder soweit. Die Open-Source-Enthusiasten Süddeutschlands treffen sich zum 14. jährlichen Linux-Infotag in Augsburg. Die Linux User Group Augsburg (LUGA) e.V. veranstaltet gemeinsam mit der Hochschule Augsburg in der dortigen Fakultät für Informatik ein inhaltlich reichhaltiges Vortragsprogramm sowie eine Begleitausstellung.

Das Programm umfasst in diese Jahr u.a. Themen wie den Einsatz von Open Source in Unternehmen, 3D-Drucken mit offener Hard- und Software, die auf quelloffener Software basierende Bitcoin-Währung sowie Möglichkeiten zur sicheren und unabhängigen Datenverwaltung in der eigenen Cloud. Für Entwickler und Techies gibt es auch Vorträge zu Programmierthemen wie Web Frameworks, Ruby on Rails oder die Nutzung von Wireshark zum Testen selbst gebauter Hardware.

Für ITler, Informatiker, Hacker, Techies und Nerds im süddeutschen Raum fast schon ein Pflichttermin.


Wird hier noch gebloggt?

7. Juni 2013

Hier auf meinem Blog ist schon länger kein neuer Artikel mehr erschienen. Ich habe das Bloggen jedoch nicht aufgegeben sondern nur deutlich eingeschränkt. Denn ich habe mich bereits Ende 2011 dazu entschlossen ein berufsbegleitendes Masterstudium an der FOM Hochschule für Oekonomie und Management aufzunehmen.

Berufsbegleitend zu studieren bringt neben einer vollzeitigen Tätigkeit beträchtlichen Zeitbedarf für Studienaktivitäten aller Art mit sich, wie ich bereits bei meinem ersten Studium erfahren konnte. Daher setze ich Prioritäten und blogge kaum noch. Auch Anfragen zu Produkttests, Artikel für andere Medien, Messekooperationen oder ähnliches kann ich daher zeitlich nicht unterbringen.

Wenn die Dinge plangemäß laufen, werde ich im ersten Quartal 2014 meinen Masterabschluss (M.A.) in IT-Management entgegennehmen und dieses Projekt zu einem erfolgreichen Abschluss gebracht haben. Dann wird es hier voraussichtlich auch wieder mehr zu lesen geben.


FIFF-Jahrestagung 2011 – Dialektik der Informationssicherheit

14. November 2011

Vom 11.-13.11. fand die Jahrestagung des „Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ (FIFF e.V.) in den Räumen der Hochschule München statt. Das Leitthema der 2½ tägigen Veranstaltung war in diesem Jahr „Dialektik der Informationssicherheit — Interessenskonflikte bei Anonymität, Integrität und Vertraulichkeit“. Es ging also um die zahlreichen Interessenskonflikte, die es im Bereich der Informationssicherheit in den Unternehmen, auf politischer Ebene sowie in der Gesellschaft gibt.

Eröffnet wurde die Tagung Freitag abend mit einer Keynote des bayerischen Landesbeauftragten für Datenschutz Dr. Thomas Petri, in der er die Auswirkungen EU-rechtlicher Entwicklungen (bsp. EU-Richtlinie zur Vorratsdatenspeicherung) samt dazugehöriger Rechtsprechung auf das deutsche Datenschutzrecht darstellte. Konkret ersichtlich ist das z.B. an der Debatte über unterschiedliche Wege der Umsetzung („Quick Freeze“ vs. „Mindestspeicherung“) in Deutschland. In wie weit sich per EU-Richtlinie grundgesetzwidrige Gesetze in Deutschland notfalls EU-rechtlich erzwingen lassen, ist auch eine solche Konfliktfrage.

Dem folgte eine Podiumsdiskussion in der Michael George (Bayerisches Landesamt für Verfassungsschutz), Prof. Dr. Rainer W. Gerling (IT-Sicherheits- und Datenschutzbeauftragter der Max-Planck-Gesellschaft), Constanze Kurz (Sprecherin des CCC), Dr. Thomas Petri (Bayerischer Landesbeauftragter für den Datenschutz) und Enno Rey (Geschäftsführer der IT Sicherheitsfirma ERNW) über die Spannungsfelder und Konflikte im Bereich der Informationssicherheit diskutierten.

Am Samstag fanden acht Workshops statt – jeweils vier parallel am Vormittag und vier am Nachmittag. Man konnte also an zweien teilnehmen. Ich entschied mich für die Themen Absicherung mobiler Daten und Endgeräte sowie Kritische Infrastrukturen. Aber auch europäische (IT-)Sicherheitspolitik und -forschung, Faire IT, Facebook und Co und meine Daten im WWW, Rüstung und Informatik und Data-Mining im Internet wurden angeboten.

Das Ergebnis meines Workshops zur Absicherung mobiler Datenträger und Endgeräte fiel eher ernüchternd aus. Prof. Dr. Rainer W. Gerling (IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft in München) stellt kurz gefasst da, dass zwar technisch sehr viel getan werden kann, um mobile Unternehmensdaten vor dem Abhandenkommen zu schützen. Dass aber in vielen Ländern (z.B. der USA) Ermittlungsbehörden ganz offiziell den Auftrag zur Wirtschaftsspionage besäßen. Und in nahezu der halben Welt der Einsatz von Kryptografie und anderen Werkzeugen des technischen Datenschutzes entweder ganz verboten ist oder auf von den jeweiligen Regierungen freigegebene (für deren Geheimdienste unproblematische) Werkzeuge beschränkt sei. Wer das ignoriert, muss mit Problemen bei der Einreise sowie der Beschlagnahmung seiner Geräte rechnen. Idealerweise gibt man Mitarbeitern, die in entsprechende Länder reisen, daher nur frisch aufgesetzte Geräte mit, auf denen nur unkritische, im Prinzip öffentliche Daten liegen. Eine Hashbildung über die Festplatte ermöglicht es Veränderungen (Schadcode) an der installierten Software zu erkennen. Eine gründliche Geräteinspektion einschließlich Wiegen auf einer Präzisionswaage erkennt Veränderungen an der Hardware (z.B. Einbau zusätzlicher Komponenten). Schlussfolgerung: Tagungen auf denen sensible Informationen ausgetauscht werden, sollte man nur in sicheren Rechtsräumen stattfinden lassen. Das schont auch das Reisekostenbudget und grenzt informationstechnische Schurkenstaaten gezielt vom internationalen Informationsaustausch aus.

In der Mittagspause traf ich auf Studierende, die an einer Initiative zur Einführung eines Masterabschlusses im Bereich „Informatik und Gesellschaft“ arbeiten und die dazu Einzelaktivitäten an Hochschulen wikiartig zusammentrugen. Das Studienfeld „Informatik und Gesellschaft“ befasst sich mit den sozialen, kulturellen, politischen und individuellen Auswirkungen und Wechselwirkungen von Informationstechnik in einer interdisziplinären Weise. Es hatte seinen Höhepunkt in Deutschland in den 80er Jahren, ist stark an einzelne Persönlichkeiten gebunden, die inzwischen das Pensionsalter erreichen und droht daher langsam „auszusterben“. Zumal viele Universitäten an einem eher drittmittelarmen Forschungsfeld ohne konkrete Beschäftigungsperspektive außerhalb der Hochschulwelt kaum Interesse zu haben scheinen. Andererseits zeigen netzpolitische Debatten rund um digitale Medien, elektronisches Publizieren, Open Access, die Frage des geistigen Eigentums, Plagiate und Langzeitarchivierung oder auch Open Source oder IT-Compliance in Unternehmen die unmittelbare Relevanz des Studienfeldes „Informatik und Gesellschaft“ auf.

Der Workshop zum Thema Kritische Infrastrukturen wurde von Claus Stark (FifF) und Bernhard C. Witt (Sprecher der GI-Fachgruppe Management von Informationssicherheit) geleitet. Sie brachten mir auf kompetente Weise einen Einblick in ein Thema, dass Aspekte der Informationssicherheit mit e-Government und europäischer Sicherheitspolitik verbindet. Bei kritischen Infrastrukturen geht es um Dinge wie Energieversorgung, Verkehrssysteme, Telekommunikation, Ernährung und Gesundheitsversorgung oder auch das Finanzwesen. Ihnen allen ist gemein, dass sie irgendwie zur Daseinsvorsorge gehören, massiv vom Funktionieren informationstechnischer Systeme abhängen und im Falle von Störungen oder Ausfällen rasch negative Auswirkungen auf große Teile der Bevölkerung spürbar wären. Ideale Ziele also für Terrorangriffe oder Sabotage. Das Bundesministerium des Inneren sowie das dem BMI zugeordnete BSI geben einige Einstiegsinformationen zum Thema kritische Infrastrukturen heraus. Wer sich für speziellere Details interessiert, wird jedoch rasch feststellen, dass sich zwar zahlreiche Menschen in diversen Organisationen damit beschäftigen, jedoch durch Geheimschutzabkommen zur Verschwiegenheit verpflichtet wurden. Zu solchen Details zählen u.a. die Ergebnisse der praktisch jährlich mit unterschiedlichen Schwerpunkten stattfindenden LÜKEX-Krisenreaktionsübungen, mit denen das Handeln von Institutionen zur Krisenreaktion und Krisenbewältigung geübt wird. Erkenntnisse aus den Lükex-Übungen werden in einem abschließenden Auswertungsbericht zusammengefasst, der jedoch nicht veröffentlicht wird.

Fachliteratur zum Thema kritische Infrastrukturen ist eher knapp. Institutionellen Austausch, wissenschaftliche Begleitforschung und Debatten in der Fachöffentlichkeit gibt es dazu kaum. Jedoch beschäftigt sich u.a. in der Gesellschaft für Informatik (GI e.V.) im Rahmen der Fachgruppe IT-Sicherheitsmanagement ein Arbeitskreis Kritische Infrastrukturen (AK KRITIS) mit dem Thema.

Beim Schutz kritischer Infrastrukturen hat man im Prinzip ganz ähnliche Probleme wie in der Informationssicherheit generell. Zwar können mit Hilfe von Instrumenten wie Verschlüsselung, Härtung der Systeme und wirksamen Integritätsschutzes gute Schutzniveaus erreicht werden. Aber auch hier können schwache Sicherheitskonzepte, Implementierungsfehler sowie mathematische oder technische Schwächen Grenzen aufzeigen und Lücken für Angreifer reißen.

Der Tag endete mit dem Vortrag von Frau Hansmeier (Sicherheitsbeauftragte eines DAX-Konzerns), die die Konflikte der IT-Sicherheit in Unternehmen bei der Entwicklung und Umsetzung ambitionierter IT-Sicherheitskonzepte. Dazu gehört u.a. der unternehmenskulturelle Konflikt, dass starke Informationssicherheit und regulierter Informationszugang oftmals nur schwer mit einer von Transparenz und Offenheit geprägten Unternehmenskultur zusammengeht. Oder auch Effizienzprobleme, da viele als vertraulich klassifizierte und daher nur wenigen Personen zugängliche Daten dazu führen können, dass es in großen Organisationen redundante Mehrfachprojekte gibt, da sprichwörtlich „die linke Hand nicht weiß was die rechte tut“. Ein Umstand, den ich aus der früheren Arbeit für große Industriekonzerne selbst kenne.

Alles in allem war die „Dialektik der Informationssicherheit“ ein spannendes Themenfeld, zu dem ich gern noch einige Workshops mehr mitgenommen hätte.


Methodentag Projektmanagement 2011

19. September 2011

Was haben Sicherheitslücken, Schwachstellen und andere Qualitätsmängel in IT-Systemen gemeinsam? Sie entstehen durch Dinge, die im Rahmen von IT-Projekten getan oder unterlassen werden. Projektwirtschaft ist bereits seit Jahren die prägendste Form des Zusammenarbeitens im IT-Bereich. Was hier schief läuft, wird sich auf die in den Projekten erstellten Ergebnisse auswirken. Daher ist es auch für IT-Profis mit Tätigkeitsschwerpunkten in den Bereichen Informationssicherheit oder Softwarequalität wichtig, sich regelmäßig mit Trends und Entwicklungen im Bereich des Projektmanagements zu befassen.

Dazu fand ich letzten Samstag auf dem Methodentag Projektmanagement 2011 am Zentrum für Weiterbildung und Wissenstransfer (ZWW) der Uni Augsburg Gelegenheit. Veranstalter waren das pm-forum Augsburg, eine lokale Community mit Fokus auf die Themen Projektmanagement und regionalen Wissenstransfer, in Kooperation mit der Gesellschaft für Arbeitsmethodik e.V. und der GPM, einem Fachverband für Projektmanagement, die Infostände zu ihren Aktivitäten im Bereich Projektmanagement und PM-Zertifizierungen anboten.

Eröffnet wurde die Veranstaltung mit einer Keynote von Erik Händeler zum Thema „Warum der Wohlstand in Zukunft vom Sozialverhalten abhängt“. Darin erläuterte er die Auswirkungen langer Entwicklungsphasen in der Wirtschaft (Kondratieff-Zyklen) und stellte die These auf, der nächste Kondratieff-Zyklus werde die Notwendigkeit zunehmender Kooperation von Menschen zum Gegenstand haben, da der fähige und wissende Mensch als solcher immer knapper werde. Dadurch werde die Bedeutung des Sozialverhaltens, d.h. die Fähigkeit mit anderen Menschen zusammenarbeiten zu können, an Bedeutung weiter zunehmen.

Ich belegte anschließend gemäß aktueller beruflicher Interessen Vorträge zu den Themen Kommunikation im Projekt, Multiprojektmanagement sowie Projektumfeld- und Stakeholderanalysen. Jeweils gehalten von kompetenten Referenten aus dem Umfeld des pm-forums Augsburg. Aber auch Themen wie das Erstellen von Projektstrukturplänen, webbasierte Projektmanagementtools, Präsentationstechniken, Projektkennzahlsysteme, systemische Organisationsaufstellungen sowie das Nutzbarmachen von Lernerfahrungen für Folgeprojekte waren im Angebot, so dass das mir das Auswählen schwer fiel. Zu Vorträgen, die man nicht besuchen konnte, kann man aber immerhin die Zusammenfassung im Tagungsband nachlesen, den jeder Teilnehmer erhielt.

Eine alles in allem runde und stimmige Veranstaltung, die ich gerne wieder besuche, sobald sie wieder stattfindet.


Sind Polizeicomputer wirklich sicher?

4. September 2011

Die Anzahl bekannt gewordener erfolgreicher Angriffe auf die IT großer Unternehmen und staatlicher Institutionen hat seit Jahresanfang „gefühlt“ deutlich zugenommen. Kürzlich hat es auch die Bundespolizei erwischt. Im Juli waren Hacker, die sich selbst der „No Name Group“ zurechnen, in einen Server des Zolls eingedrungen, der als Software-Downloadrechner zur behördeninternen Verteilung von Software-Updates eingesetzt wurde. So konnten sie durch die Einspeisung manipulierter Updates ein verteiltes System zur Ermittlungsunterstützung und Zielverfolgung angreifen und daraus Daten kopieren. Dazu zählten u.a. Bewegungsprofile und Positionsdaten von GPS-Peilsendern an den Fahrzeugen überwachter Personen. Die Hacker stellten diese Daten anschließend ins Internet, die Polizei musste die Nutzung der betroffenen Systeme vorübergehend einstellen und einen außerplanmäßigen Sicherheitsaudit durchführen.

Unklar ist, ob es sich dabei tatsächlich um Daten aus Ermittlungsverfahren handelt, bei denen ein Richter die Überwachung Verdächtiger erlaubt hat. Denkbar wäre zum Beispiel auch, dass die Behörden eine neue Software zur Analyse von Bewegungsprofilen in einem Feldversuch getestet haben, wie Spiegel Online vermutete.

Zwischenzeitlich konnten die intensiv ermittelnden Ordnungshüter mehrere Verdächtige festnehmen, darunter auch der Hacker „Darkhammer“, der sich in der Hacktivistenszene bereits im Zusammenhang mit Hackerangriffen auf NPD-Websites einen Namen machte.

Das wirft die Frage auf, wie sicher die IT-Systeme von Behörden eigentlich sind, die als Folge der Versicherheitsstaatlichung Deutschland immer mehr und immer sensiblere Daten der Bürger beinhalten. So hatten bereits 2010 Hacker Systeme des Zolls angegriffen und mit Trojanern infiziert, was trotz vorhandener Virenschutzsoftware erst Mitte 2011 bemerkt wurde.

Die bereits erwähne Revision der Zollsystem ergab jedenfalls gravierende Mängel, wie es in einem vertraulichen Bericht heißt, der seinen Weg in die Spiegel-Redaktion fand. Veraltete Hardware und Software, nicht vorhandene oder unzureichend ausgelegte Sicherheitssysteme, Mängel im technischen Datenschutz – und das in einem System, welches sensible Daten über verdeckte Ermittler, V-Leute und geheime Operationen enthält.

Neben der Technik fehlt es der Bundespolizei aber wohl auch am qualifizierten Personal. So fehlten an Schlüsselpositionen geeignete Mitarbeiter, die Fehler feststellen und beheben könnten. Dazu aber wären sie, dem Revisionsbericht zufolge aber wegen mangelhafter Systemdokumentation ohnehin kaum in der Lage. Hinzu kämen Defizite im Konfigurations- und Rechtemanagement, in der Zugriffsprotokollierung, in der Handhabung mobiler Datenträger sowie beim Fernzugriff, der über unverschlüsselte Klartextprotokolle abgewickelt würde.

Und so kamen die Prüfer zu dem vernichtenden Ergebnis, dass Hacker nach wie vor in das Polizeinetz eindringen könnten, um dort relativ einfach an geheime Daten gelangen, die Software manipulieren und systemrelevante Einstellungen verändern zu können.

Doch warum ist das so?

Der Kern des Problems dürfte schlicht darin bestehen, dass es der Bundespolizei am Budget für angemessene Ausstattung auf aktuellem Stand der Technik fehlt. Und dass entsprechend qualifizierte Sicherheitsexperten gehaltstechnisch kaum noch in die Tarif- und Besoldungssysteme des öffentlichen Dienstes einzupassen sind, während gleichzeitig Personaleinsparungen und Haushaltskonsolidierungen laufen. Ein Zielkonflikt, der künftig häufiger zu Kollateralschäden in Form gehackter Rechner und abhanden gekommender Behördendaten führen dürfte.


Das Ende von Elena

24. Juli 2011

Vor einigen Tagen wurde es vom Bundesministerium für Wirtschaft und Technologie und dem Bundesministeriums für Arbeit und Soziales offiziell bekannt gegeben: Das Vorhaben „Elektronischer Einkommensnachweis“, kurz Elena wird eingestellt. Die bislang damit zusammengetragenen Datenbestände sollen in absehbarer Zeit gelöscht werden.

Das von Gewerkschaftern und Bürgerrechtlern zunächst nahezu ignorierte, später jedoch mit immer mehr Vehemenz bekämpfte Vorhaben einer Vorratsdatenspeicherung der Sozialdaten aller Arbeitnehmer Deutschlands ist damit erledigt. Offizielle Begründung: Weil die hierfür erforderliche qualifizierte elektronische Signatur in der Breite nicht verfügbar ist.

„Wir sind froh, dass diese Massendatenspeicherung endlich gestoppt wird“, so Sebastian Nerz, Bundesvorsitzender der Piratenpartei. Nach Ansicht der Piratenpartei hätte ELENA gar nicht erst beschlossen werden dürfen. Die elektronische Massenspeicherung ist ihrer Ansicht nach unverhältnismäßig, risikoreich und unnötig.

Grünen-Bundesvorstandsmitglied Malte Spitz sagte der Neuen Osnabrücker Zeitung: „Elenas Ende ist ein überfälliger Schritt. Zu einer solchen Datenkrake, die massiv in die Privatsphäre aller Arbeitnehmer eingreift, hätte es nie kommen dürfen“. Völlig unverhältnismäßig sei die zentrale Speicherung von Informationen zu Gesundheit oder der Teilnahme an Streiks gewesen. Ein echter Lernerfolg, wenn man bedenkt, dass Elena auf die Hartz-Gesetze des rotgrünen Bundeskanzlers Gerhard Schröder zurückführbar ist.

Auch der Berliner Datenschutzbeauftragte Alexander Dix hat sich in einem Interview mit dem RBB-Inforadio zufrieden mit dem Aus für das Elektronische Entgeltnachweisverfahren (Elena) gezeigt. Bei dem Projekt sei „von Anfang an mit Kanonen auf Spatzen geschossen worden“ Der Nutzen habe in keinem Verhältnis zu den entstehenden Kosten gestanden, so die TAZ.

Es zeigt sich einmal mehr, dass viele staatliche IT-Großprojekte, die als Verwaltungsvereinfachung, Bürokratieabbau und modernes e-Government daherkommen, tatsächlich politisch sehr heikel sind, da sie oft genug nicht nur sehr viel Steuergelder verschlingen sondern auch Bürgerrechte einschränken oder abbauen sollen und die politischen Eliten noch mächtiger und noch schwerer kontrollierbar machen.

Doch wie fing bei Elena eigentlich alles an?

Staatliche IT-Projekte können über Jahre laufen. So auch bei Elena, die 2003 während der rotgrünen Schröder-Regierung im Rahmen der Hartz-Gesetze als „Job-Card“ das Licht der Welt erblickte. Es folgten einige Pilotprojekte und 2009 schließlich das Elena-Verfahrensgesetz.

Auch da blieb erst mal alles relativ ruhig, da Themen wie Internetzensur, Vorratsdatenspeicherung, zunehmender Missbrauch des Urheberrechts sowie ACTA, INDECT und weitere die Aufmerksamkeit der netzpolitisch interessierten Öffentlichkeit auf sich zogen.

Als erste begannen die Gewerkschaften damit, sich gegen Elena zu positionieren, als sie in der knapp 50seitigen Beschreibung der verpflichtend abzuliefernden Datenarten u.a. die Meldung von Streiks (getrennt nach zulässig / unzulässig), Abmahnungen und Kündigungsgründen entdeckten. D.h. in der Praxis sollten Personalsachbearbeiter in den Unternehmen heikle Sachverhalte rechtlich einordnen, womit sie sich im Fehlerfall schadensersatzpflichtig gemacht hätten, falls sich daraus für den betroffenen Arbeitnehmer negative Folgen im Umgang mit Behörden (z.B. eine auf falschen Daten beruhende Sperrung von Sozialleistungen) ergeben hätten und die Geschädigten gerichtlich gegen die Datenschlamperei vorgegangen wären.

Gesammelt wurden die Elena-Datensätze bei der Zentralen Speicherstelle (ZSS), einem Rechenzentrum, das bei der Datenstelle der Träger der Rentenversicherung in Würzburg angesiedelt wurde. Die ZSS sollte die Elena-Daten zentral verschlüsselt über Jahre hinweg speichern. Gerade dieses sehr lange Vorhalten umfangreicher Datensatzhistorien war ein weiterer Kritikpunkt, da er für viele sozialversicherungsrechtlichen Vorgänge gar nicht erforderlich ist. Kritische Bürgerrechtler sahen sich an das sog. „Arbeitsbuch“ erinnert, mit dem die Regierung des dritten Reichs ab 1935 die Erwerbstätigkeit ihrer Untertanen steuern und überwachen wollte.

Nahezu alle zwangsabgefragten Elena-Daten können in irgendeiner sozialrechtlichen Fallkonstellation zur Beurteilung der Umstände des Einzelfalls erforderlich sein, weshalb der Datenkatalog im Laufe der Zeit eher dicker statt dünner wurde. Jedoch besteht diese Erforderlichkeit in keiner Weise für alle Arbeitnehmer. Wer absehbar nie Kindergeld beantragen wird oder über den Einkommensgrenzen für den Wohngeldbezug liegt, für den müssten auch keine entsprechenden Daten abgefragt werden. Daher kritisierten Datenschützer wiederholt den fehlenden konkreten Zweckbezug sowie die Missachtung des Prinzips der Datensparsamkeit.

Auch warum solche Daten umfassend und mit zahlreichen, schwer zu entdeckenden Mängeln in der Datenqualität behaftet, in einer staatlichen Vorratsdatenbank gespeichert werden müssten, wenn man sie doch im Einzelfall bei tatsächlichem Bedarf und aktuell bei denen erheben könnte, die etwas Konkretes von den Leistungsbehörden wollen, erschloss sich den technisch versierteren Kritikern nicht unbedingt. Zumal es den Betroffenen bis zuletzt aufgrund konzeptioneller Mängel im Betriebskonzept der zentralen Stelle nicht möglich war, von ihrem datenschutzrechtlichen Auskunftsrecht Gebrauch zu machen. Denn die Daten wurden zwar verschlüsselt übermittelt und gespeichert. Doch die Karten mit den Schlüsseln zum Auslesen und Entschlüsseln der Datengabe es nicht, geschweige denn einen Onlinezugriff über den der einzelne Beschäftige seinen eigenen Datensatz hätte kontrollieren können. Eine Kontrollmöglichkeit für den Arbeitnehmer war schlicht nicht vorgesehen.

Zuletzt schlossen sich mittelständische Wirtschaft, Medien und Kommunen dem Widerstand gegen Elena an. Der Wirtschaft hatte man Bürokratieabbau und Kostensenkungen versprochen. Heraus kamen beträchtliche Mehraufwände und Kostensteigerungen in der Personalverwaltung sowie bei den umfangreichen Pflichtdatenablieferungen. Sowie oftmals technische Probleme bei der Datenkommunikation mit der ZSS. Und die Kommunalverwaltungen, welche sowohl Arbeitgeber als auch zuständige Behörde für etliche Sozialleistungen sind, klagten bald über die Notwendigkeit, teure Fachverfahren und zusätzliche IT-Projekte stemmen zu müssen, ohne dass vorher geklärt wurde, wer am Ende dafür zahlen soll.

Der zunehmende Druck sorgte im Zusammenhang mit Ministerwechseln und Zuständigkeitsänderungen dafür, dass das Elena-Projekt bereits im Oktober 2010 ins Straucheln kam und schließlich 2011 gestoppt wurde.

Allerdings kündigte das Bundesarbeitsministerium bereits an, sich mit der Frage zu befassen „wie die bereits bestehende Infrastruktur des ELENA-Verfahrens und das erworbene Know-how für ein einfacheres und unbürokratisches Meldeverfahren in der Sozialversicherung genutzt werden“ könnte. Das bedeutet allerdings, dass die von den Kritikern thematisierten problematischen Vorstellungen aus den Köpfen der Politiker immer noch nicht verschwunden sind, wie auch Bettina Hammer auf Heise.de kritisiert.

Denkt man an die diversen Ministerrochaden im Merkel-Kabinett, so ist es gut möglich, dass aufmerksame Beobachter des netzpolitischen und e-governmentalen Lebens in Deutschland bald auf ähnliche Vorhaben stoßen werden und dann erneut mit ihrer Argumentation beginnen müssen, weil sich die Verantwortlichen nach dem „Vogel-Strauß“-Prinzip ahnungslos geben werden.

Zumal das Elena zugrundeliegende Gesetz noch nicht vom Bundestag abgeschafft wurde und damit erst mal weiterhin Gültigkeit besitzt. Und daher auf http://www.das-elena-verfahren.de, einer Website der Deutschen Rentenversicherung Bund, die auch die ZSS betreibt, zu lesen ist: „Das Verfahren ELENA wird erst dann eingestellt und die gespeicherten Daten werden erst dann gelöscht werden, wenn es hierfür eine entsprechende gesetzliche Grundlage gibt.“


Erneuter Hackerangriff auf NPD-Websites

1. Juni 2011

Hacker haben in den letzten Tagen etliche Websites der Nationaldemokratischen Partei Deutschlands (NPD) gehackt sowie sich Zugang zu parteiinternen Daten verschafft und diese veröffentlicht.

Die diversen Websites der NPD zählen zu den Lieblingszielen der hackenden Besucher des alljährlich zu Jahresende in Berlin stattfindenden Chaos Communication Congress. Fast jedes Jahr werden beträchtliche Mengen an Arbeitszeit der freischaffenden Sicherheitsexperten der NPD „gespendet“ um deren Systeme durch kreatives Penetration Testing u.ä. auf Sicherheitslücken durchzuprüfen. Daher sollten die NPD-Rechner inzwischen eigentlich zu den bestgeprüftesten und gehärtesten Parteiservern in Deutschland zählen.

Das dem wohl eher nicht so zu sein scheint, stellte kürzlich die Hackergruppe „No Name Crew“ unter Beweis. Sie drang in Dutzende Websites der NPD ein und konnte sogar parteiinterne Datenbanken kopieren und diese zusammen mit etlichen anderen NPD-Dokumenten auf ihrer eigenen Website zur gefälligen Begutachtung bereitstellen.

Besonders heikel: Die Hacker der „No Name Crew“ haben eine Liste von angeblichen NPD-Spendern veröffentlicht. Darin werden über 400 Personen mit Namen und Adresse aufgelistet, die der rechtsextremen Partei in einem allerdings nicht genannten Zeitraum Geld gespendet haben sollen.

Allerdings distanzierte sich die Hackergruppe von der Antifa und den Aktivisten der Gruppe „Anonymous“, nachdem zunächst vermutet wurde, dass die Angreifer aus dem Umfeld antifaschistisch geprägter Polithacker kommen würden. Publicity ist den Hackern der „No Name Crew“ jedoch gewiss – berichteten doch neben Insiderseiten wie Gulli.com auch u.a. Spiegel Online, die Sueddeutsche oder auch Welt Online über den NPD-Hack. „Ich weiß, dass ich mit meiner Aktion auf ein breites Interesse der Öffentlichkeit stoßen werde“, so der Anführer der Truppe, der sich selbst „Darkhammer“ nennt.

Und in der Tat: Der Hack dürfte die NPD wie der sprichwörtliche Hammer aus der Dunkelheit getroffen haben. Denn derzeit scheint der Provider der NPD („naweko – Agentur für Neue Medien“, eine Firma, die dem Landesvorsitzenden der NPD Saarland, Frank Lanz gehört) immer noch mit Schadensbegrenzung beschäftigt zu sein. Die Defacements der gehackten Seiten wurden vom Netz genommen und etliche der betroffenen NPD-Domains sind nicht mehr erreichbar. Ob die NPD sicherheitstechnisch nachbessert, werden wir wohl spätestens im Dezember erfahren, wenn der nächste Chaos Communication Congress stattfindet.

Allerdings weiß man bei allen Skandalen und Aufregerthemen, welche die NPD betreffen ja letztlich nie so genau, was davon auf die braune Truppe selbst zurückführbar ist und wo der Verfassungsschutz die Hände mit drin hatte. Zudem bleibt abzuwarten, ob die NPD Strafanzeige erstatten und staatsanwaltliche Ermittlungen in der Sache anstreben wird.


Kommt jetzt das Ende des Internetsperrengesetzes?

7. April 2011

Gut gemeint ist im Ergebnis oftmals das Gegenteil von gut gemacht. Das musste auch die CDU und speziell deren ehemalige Bundesfamilienministerin „Zensursula“ von der Leyen erfahren. Diese wollte sich 2009 im Zuge des anstehenden Wahlkampfes mit einem Gesetz zur Bekämpfung der Kinderpornografie hervortun, ignorierte dabei aber jede Form von fachlichen Erkenntnissen hierzu und war sich sogar nicht zu schade, in der laufenden politischen Diskussion falsche Behauptungen und manipulierte oder bewusst falsch interpretierte Statistiken zu verbreiten.

Letztlich war der politische Druck so groß, dass die Regierung das Gesetz zwar in Kraft setzte, aber auf dessen Vollzug verzichtete. An sich ein sehr merkwürdiges Verfahren, da geltendes Recht nicht einfach per Verfügung außer Kraft gesetzt werden kann. Will man ein Gesetz nicht mehr, so muss man es auf dem gleichen Weg wieder abschaffen, auf dem man es in die Welt gesetzt hat: per Parlamentsbeschluss im Bundestag.

Das zumindest hat die Regierung vorgestern im Kabinett beschlossen. Das „Zensursula“-Gesetz ist damit möglicherweise bald Geschichte.

Ausschlaggebend war die an sich banale Erkenntnis, dass es effektiver ist, Kinderpornografie zu löschen anstatt nur den Zugriff darauf mit z.T. leicht zu umgehenden Filtern zu erschweren. Zumal sich die meisten Internet-Provider kooperativ zeigten und gemeldete Funde zügig von ihren Servern putzten. Schließlich ist Kinderpornografie fast weltweit illegal und daher leicht in den jeweils verwendeten vertraglichen Vereinbarungen mit Kunden so einzuordnen, dass die Provider sie ohne Bedenken hinsichtlich zu erwartender Klagen der Kunden löschen können.

Zumal etwa 80% der weltweit verbreiteten Kinderpornografie gar nicht über öffentlich zugängliche Websites angeboten wird. Stattdessen werden geschlossene Benutzergruppen, Chatrooms, Tauschbörsen und andere Formen des klandestinen Datenaustauschs genutzt, die einen hohen Grad an Anonymität gewährleisten und die mit einfachen Filtersystemen so gut wie gar nicht zu beeinträchtigen sind. Da ist schlicht gute alte Polizeiarbeit gefragt: fahnden, forschen, ermitteln, festnehmen, anklagen. Und inzwischen lese ich ja auch alle paar Monate, dass Polizeiermittler den einen oder anderen Kinderpornoring ausheben. Das sind dann auch größere Schläge gegen die „Szene“, die es ermöglichen Täter realweltlich zur Verantwortung zu ziehen und Bestände an kinderpornografischem Material endgültig zu vernichten (einschließlich aller Sicherheitskopien). Das ist allerdings auch eher unpopulär, unspektakulär und ungeeignet zur politischen Profilierung.

Andererseits ist der Regierung nahezu alles zuzutrauen. Gut möglich, dass das Thema Internetzensur über den Umweg EU wieder in den politischen Prozess eingebracht wird. Das geschah bereits in der Vergangenheit öfter, wenn es darum ging unpopulären Vorhaben den Weg zu ebnen, für die man auf demokratischem Wege keine Mehrheiten bekam oder für die niemand persönlich geradestehen wollte. Aktuelle Beispiele dafür sind die Ergebnisse der ACTA-Verhandlungen oder die „Censilia“-Debatte.

Und auch Bundesinnenminister Friedrich (CDU) dürfte aufgemerkt haben. Will er doch unter dem euphemistisch gewählten Begriff der „Mindestspeicherfrist“ die vom Bundesverfassungsgericht verworfene Vorratsdatenspeicherung wieder einführen. Da es ihm hierfür aber an Sachargumenten mangelt, fallen die entsprechenden Verlautbarungen regelmäßig eher pöbelnd und klagend aus.

Auch im Rest der CDU werden zunehmend Forderungen nach der Verlängerung und Verschärfung bürgerfeindlicher sog. „Antiterrorgesetze“ laut. Mit der Orientierung an der freiheitlich-demokratischen Grundordnung nehmen es solche Politiker meist nicht ernster als Teile der NPD (die wenigstens offen zu ihrer Kritik an der FDGO stehen).

Zumindest eine Erkenntnis ist bei eigentlich allen Parteien inzwischen angekommen: Netzpolitische Themen sind heikel und können nicht mehr einfach weggedrückt werden. Sie zu ignorieren kostet die etablierten Parteien bei Wahlen inzwischen regelmäßig die letzten paar Prozentpunkte, die für eine auskömmliche Positionierung bei Koalitionsverhandlungen benötigt werden. Und kleine, rein klientelistisch orientierte Parteien wie die FDP drohen gar ganz in der Versenkung zu verschwinden. Obwohl wir den Fall des Zensursula-Gesetztes mit Sabine Leutheusser-Schnarrenberger einer bürgerrechtlich profilierten FDP-Politikerin zu verdanken haben.

So gesehen haben z.B. die Piraten schon jetzt einen beträchtlichen Einfluss auf die Gestaltung der politischen Landschaft in Deutschland. Obwohl sie noch weit davon entfernt sind, eigene Abgeordnete in den Bundestag oder in Länderparlamente entsenden zu können.


Linux-Infotag 2011 in Augsburg

27. März 2011

Gestern fand in den Räumen der Fakultät für Informatik der FH Augsburg der 10. Linux-Infotag, veranstaltet vom Verein der Linux-User Augsburg e.V. (LUGA) statt. Zum Teil parallel in mehreren Räumen wurden unter dem diesjährigen Motto „Leben mit Pinguinen – Freie Software im Alltag“ Vorträge rund um das Thema Linux angeboten. Dabei reichte das Themenspektrum von Angeboten für Einsteiger über solche für Entwickler oder Systemadministratoren bis hin zum Blick auf aktuelle Entwicklungen rund um den Linux-Kernel.  Ich richtete meinen Fokus dieses Jahr auf Vortragsangebote rund um die Themen Projektmanagement, IT-Sicherheit und freie Software im Allgemeinen.

Eröffnet wurde das mehrteilige Vortragsprogramm von Thomas Gleixner mit seiner Keynote zum Thema „Management und Open Source – zwei Welten?“. Darin schilderte Gleixner, der selbst Unternehmer sowie aktiver Linux Kernel-Maintainer ist, das bestehende Konfliktfeld zwischen freier quelloffener Software und sog. „geistigem Eigentum“ (ein Kampfbegriff der Content-Lobby, den viele Manager unkritisch übernommen haben). Gerade unsichere und qualitativ minderwertige Software hat ihren Ursprung häufig darin, dass Firmen versuchen, das Rad zum x-ten Mal neu zu erfinden und eine selbst entwickelte proprietäre Lösung einen anerkannten Standard vorziehen. Da aber keine Firma allein dauerhaft Standards etablieren kann und Kunden sich nur ungern von einzelnen Unternehmen abhängig machen, werden so volkswirtschaftlich Ressourcen in beträchtlichem Umfang verschwendet, die durch unternehmens- und bereichsübergreifende Kollaboration und Kooperation effektiver nutzbar wären. Inzwischen stellen aber immer mehr Unternehmen (z.B. Chiphersteller und Smartphone-Produzenten) fest, dass quelloffene Systeme wie Linux einfacher an neue Gegebenheiten anzupassen sind, Versionswirrwar und Diskontinuitäten bei Produktkomponenten vermieden werden, Lizenzpolitiken anderer Unternehmen nicht mit eingeplant werden müssen. Trotzdem gibt es noch eine weitverbreitete relative Unkenntnis verbunden mit gezielt gestreuten Desinformationen in den Köpfen von Entscheidern in der Wirtschaft, wie Gleixner ausführte. Daneben empfahl er, sich mal die Enduser-Licence-Agreements (EULAs) genauer anzusehen, die kommerziellen Softwareprodukten beiliegen. Das dort enthaltene „Kleingedruckte“ schränkt die Nutzbarkeit einer an sich funktionsfähigen Software rechtlich oft derart ein, dass sie unbrauchbar wird – ein klassischer Fall von „Produktion vom Fließband in den Müllcontainer“. Daneben betonte Gleixner, wie wichtig es sei, dass Basistechnologien wie Betriebssysteme, Netzwerkprotokolle, Datenbanken aber auch Informationen frei und losgelöst von den Interessen Einzelner allgemein und frei verfügbar sind, so dass jeder darauf aufbauend Geschäftsmodelle entwickeln kann, ohne dass ihm andere dreinreden oder ihm durch das Ergaunern leistungsloses „Schutzgelder“ schädigen können (Stichworte Softwarepatente und Patenttrolle).

Oliver Rath gab einen Überblick über Projektmanagement im Allgemeinen. Und dessen Unterstützung mit linuxbasierter Software im Speziellen. Und hier zeigte sich auch rasch das Kernproblem: Der Goldstandard im Bereich werkzeugunterstützen Projektmanagements ist Microsoft Project. Auch wenn die große Mehrheit gerade mittelständischer Projektleiter immer noch per Tabellenkalkulation plant. Etwas was  man mit Open Office Calc und Draw ebenso hinbekommt wie mit Excel & co. Etliche Linux-Tools wie z.B. OpenProj, TaskJuggler oder planner können jeweils ein oder zwei Dinge besonders gut, andere aber gar nicht. Es fehlt nach wie vor ein vollwertiges MS-Project-Äquivalent hoher Produktreife, auch wenn OpenProj ein guter erster Versuch war (bis die Entwicklung 2008 eingestellt wurde). Rath trug seinen Vortrag interessant und witzig zugleich vor und wies dabei auf Dinge wie die „größte Lüge der IT“ (Ich mach mal schnell), „die größte Lüge im Projektmanagement“ (Ich bin zu 90% fertig) oder die Probleme der letzten 10% eines Arbeitspaketes hin (in denen sich oftmals die gravierendsten Probleme verbergen).

Zu diesem Themenbereich rechne ich auch die Vorträge von Ulrich Habel (Dokumentation in Open-Source-Projekten) und Sebastian Harl (Verteilte Versionskontrolle mit Git). Denn es war letztlich die OSS-Community, die als Erste global verteilte Entwicklung komplexer Software betrieb. Lange bevor Offshoring und die spezifischen Probleme mit den kulturellen Differenzen zwischen indischen Programmierern und mitteleuropäischen IT-Architekten wirklich zum Branchenthema der international arbeitenden IT wurden. Hierbei sind Systeme zur gemeinschaftlichen Codeverwaltung, Versionierung, zur projektbegleitenden Dokumentation und für Defect-Tracking und Bug-Reporting nahezu unentbehrlich, um räumlich und zeitlich verteilte Zusammenarbeit an einer gemeinsamen Code- und Projektbasis zu ermöglichen. Beispielhaft wären hier Systeme wie Mantis (Bugtracking), GIT (Versionierung) oder die Nutzung von Wikis (Projektdokumentation) zu nennen.

Ingo Blechschmidt gab eine Kurzeinführung in elementare Konzepte der Kryptographie wie kryptographische Primitive (elementare Operationen eigentlich aller Kryptoverfahren), Challenge-Response-Authentifizierung, Zero-Knowledge-Beweise oder die Sicherheitsmechanismen bei „gesalzenen“ Passwörtern. Obwohl das tiefere Verständnis kryptografischer Konzepte eine intensivere Beschäftigung mit deren mathematischen Hintergründen sowie Überlegungen aus den Bereichen Algorithmik und theoretischer Informatik erfordern, machte sein Vortrag Lust auf mehr.

Wer jetzt auf die Vorträge neugierig geworden ist, wird in den nächsten Tagen die meisten Folien bei LUGA in der Programmübersicht als PDF-Download vorfinden.

Parallel zum Vortragsprogramm boten zahlreiche Linux-affine Organisationen Infostände mit aktuellen Projekten an. Und es dürften wohl stapelweise Live-CDs diverser Linux-Distributionen verteilt worden sein. Alles in allem eine sehr interessante Veranstaltung mit vollem Programm, die wohl bei mehreren Hundert Besuchen Anklang gefunden hat.


Zensus 2011 – gehen der Volkszählung die Volkszähler aus?

21. März 2011

Die Planungen für die erste große Volkszählung in Deutschland seit dem Jahrtausendwechsel laufen in den damit befassten Kommunen auf Hochtouren. Zunehmend wird jedoch ein Problem immer deutlicher: Der Mangel an Volkszählern, die im Zensusgesetz auch „Erhebungsbeauftragte“ genannt werden. Die Planungen gehen von etwa 100 Befragungen aus, die ein solcher Erhebungsbeauftragte durchführen soll. Bei einer geplanten Erhebungsquote von 10% benötigt man bundesweit somit etwa 82.000 Freiwillige. Allein in der Landeshauptstadt München mit ihren etwa 1,4 Millionen Einwohnern hätte die Stadtverwaltung etwa 1.400 Volkszähler aufzutreiben. Da sich bislang nur etwa 150 Freiwillige dazu bereitfanden, beschloss der Stadtrat kürzlich vermehrt Beschäftigte der Stadtverwaltung dafür zu verpflichten und ihnen einen Teil der erforderlichen Zeit als Arbeitszeit anzurechnen, wie man dem öffentlichen Ratsinformationssystem des Münchner Stadtrats entnehmen kann.

Sollten die Deutschen den Zensus etwa ebenso wegboykottieren wollen, wie derzeit die E10-Einführung?

Das Zensusgesetz stellt in § 11 einige Anforderungen an die Erhebungsbeauftragten. Ebenso das Bundesstatistikgesetz in § 14. Sie müssen eine Verpflichtung auf das Daten- und Statistikgeheimnis unterschreiben, dürfen ggf. gewonnene Informationen nicht für andere Zwecke als den Zensus verwenden und dürfen aus Datenschutzgründen nicht in der unmittelbaren Nähe ihrer Wohnung eingesetzt werden. Menschen deren (neben)berufliche Tätigkeit Interessenskonflikte vermuten lässt (z.B. GEZ-Beauftragte, Struktur- und Finanzvertriebler aber auch Beschäftigte der Leistungsabteilungen diverser Sozialbehörden), dürfen nicht als Volkszähler eingesetzt werden.

Was also werden die Verwaltungen tun, wenn sie nicht genügend Volkszähler finden? Grundsätzlich könnten sie Personen auch gegen deren Willen zwangsweise zum Zählen verpflichten. Das Zensusgesetz sieht im bereits erwähnten § 11 eine Möglichkeit der Verpflichtung weiterer Bürger und Bürgerinnen zur Übernahme der Tätigkeit als Erhebungsbeauftragte durch Landesrecht vor. Doch können Zwangsdienstverpflichtete tatsächlich den Anforderungen hinsichtlich Zuverlässigkeit und Verschwiegenheit genügen? Und was wenn sie sich schlicht weigern, die erforderlichen Datenschutzverpflichtungen zu unterschreiben? Werden diese dann durch (grundsätzlich rechtsmittelfähige) Verwaltungsverfügungen ersetzt analog zu den sog. „Eingliederungsvereinbarungen“ der Arbeitsagenturen?

Und was wenn zwangsverpflichtete, dem Zensus eher kritisch gegenüberstehende Zeitgenossen ihr Dasein als Volkszähler dazu nutzen, die Befragten in politische Gespräche über Sinn und Unsinn von Vorratsdatenspeicherung, Schnüffelstaat, Elena, Bürgerrechtsabbau zu verwickeln? Sowie Tipps geben, was dagegen getan werden kann. Oder ihr Zählpensum schlicht nicht schaffen sondern nach genau so vielen Interviews abbrechen, wie sie mit ihrer Freistellung eben hinbekommen? Falls sie nicht vorher krankheitsbedingt ausfallen und ihr Zählpensum vom jemand anders übernommen werden muss, um termingerecht zu einem Ergebnis kommen zu können.

Vielleicht sollte man in der Öffentlichkeitsarbeit zum Zensus auch die Aufwandsentschädigungen (einige Euro pro Interview) deutlicher herausstellen und gezielt Langzeitarbeitslose und Leute in Beschäftigungsmaßnahmen ansprechen.

Interessante Fragestellungen – zumal die Probleme ja oft in den rechtlichen Details stecken und der Teufel oftmals ein Eichhörnchen ist …


Follow

Erhalte jeden neuen Beitrag in deinen Posteingang.

Schließe dich 127 Followern an