Hallo zusammen,
heute Abend trafen sich wieder Freundinnen und Freunde Freier Software im Netzladen in Bonn. Diesmal hatte niemand einen Vortrag zur Hand, stattdessen wurde über einige Punkte diskutiert.
==Freie Software und Sicherheit==
Angeregt durch Guido wurde ein Thema aus dem letzten FSFE Newsletter aufgegriffen (der übrigens noch Übersetzer sucht): Der Heartbleed-Bug und die Auswirkungen auf (Freie) Software. - Ein Einführen von Haftung für (proprietäre) Software würde u.U. dazu führen, dass diese einen Vorteil vor Freier Software bekäme - Geld ist eventuell nicht die beste Motivation, um Sicherheitslücken zu finden und zu beheben, Black Hats zahlen im Zweifelsfall mehr - Trotzdem gibt es teilweise Sponsoren für sicherheitsrelevante Software, so z.B. Secunet bei StrongSWAN - Offenlegen des Quellcodes alleine ist keine hinreichende, sehr wohl aber eine notwendige Bedingung für Sicherheit - Die Publicity im Umfeld des Heartbleed-Bugs ist ein Riesenproblem für Freie Software, Entwickler haben sich sehr ungeschickt im Bezug auf Geld geäußert (9000 Eur, keine externen Kosten einbezogen) - Welche Interessen haben Unternehmen, Freie Software zu fördern? - kleine: Vendor-Lock-In vermeiden - große: Zusammentun gegenüber Monopolisten - Staatliche Förderung? - SINA-Box (BSI) - eher wenig, das für andere benutzbar wird - Generell hat das BSI durch die Debatte und das Medieninteresse einen höheren Stellenwert innerhalb der öffentlichen Behörden bekommen - behördenintern teilweise Zertifizierung durch das BSI (z.B. Firewalls), steht jedoch der Ressorthoheit entgegen - BSI bietet auch für Unternehmen eine Zertifizierung IT-Grundschutz an. Diese ist sehr umfangreich und basiert auf proprietären Tools ("GS-Tool" bzw "verynice" (sernet). Lässt sich eventuell als Grundlage für eigene Policy benutzen, damit man nicht aus Versehen wichtige Bereiche vergisst (z.B. "sichere Server" ohne Zutrittskontrolle) - Zertifizierungen verhindern in einigen Bereichen die Entwicklung / den Einsatz Freier Software (z.B. Pharmadatenbank für Ärzte muss jedes Quartal aufwendig und teuer neu zertifiziert werden. Folge: Alle Datenbanken werden von Pharmafirmen entwickelt).
https://en.wikipedia.org/wiki/StrongSwan https://events.ccc.de/congress/2013/Fahrplan/events/5307.html https://www.bsi.bund.de/DE/Themen/weitereThemen/SINA/Systembeschreibung/syst... http://de.wikipedia.org/wiki/SINA-Box
==Heimautomation==
Carsten erzählte kurz von den unterschiedlichen Protokollen und ebenfalls teilweise extrem teuren Lizenzgebühren (vor allem EIB/KNX) im Bereich Heimautomation. Als relativ günstiges System gibt es seit einiger Zeit Homematic (http://www.eq-3.de/), das von RWE gepusht wird, aber auch dies ist eine proprietäre Lösung. Zur Zeit gibt es hier noch einen Wildwuchs an Protokollen, so in etwa wie in der bösen alten Zeit der Netzwerktechnik, als man dachte, man müsse ISO/OSI-Topologien in Perfektion abbilden, aber bloß nicht mit den anderen reden. Seit TCP/IP ist das ja zum Glück Geschichte. Auch in diesem Bereich gibt es Bestrebungen, alle miteinander sprechen zu lassen, z.B. openHAB und 6lowpan. Carsten führte als Beispiel einen Photovoltaik-Wechselrichter des deutschen Marktführers sma an, der zwar auf dem bekannten modbus-Protokoll arbeitet, aber darüber eine eigene proprietäre Soße gießt, so dass man vermutlich entweder auf screen scrapen der Weboberfläche oder langwieriges reverse engineering angewiesen ist. Kritisch an dem ganzen Heimautomationsumfeld ist auch, dass bei vielen Systemen Daten in irgendwelche Clouds gejagt werden, die nicht unerhebliche Rückschlüsse auf das eigene Verhalten zulassen. Das Thema wird voraussichtlich bei einem der nächsten Treffen nochmal abendfüllend behandelt.
http://www.openhab.org/ https://de.wikipedia.org/wiki/6LoWPAN
==Köln - Idee: Freie-Software-Party==
Seit kurzem gibt es ja erfreulicherweise wieder eine Kölner Fellowshipgruppe, die sich einmal im Monat trifft. Johannes berichtete, dass dort die Idee einer Freie-Software-Party diskutiert wird. Die Idee ist, ein niedrigschwelliges Angebot in etwa ähnlich einer Cryptoparty anzubieten. Grundideen: - Wieso Freie Software? -> Community, soziale Aspekte, Ethik -> Bewusstsein schaffen, Denkanstöße - GNU General Party License ;) Die Idee steht noch ziemlich am Anfang und es werden noch Leute gesucht, die am Konzept mitarbeiten und das Ganze mit Leben füllen. Eventuell fühlen sich ja einige mit Erfahrung in Cryptoparties berufen, mitzumachen.
http://wiki.fsfe.org/groups/Cologne?highlight=%28%5CbCategoryFellowshipGroup...
==Köln - SFD==
Johannes wurde auch nicht müde, auf den SoftwareFreedomDay hinzuweisen, der auch dieses Jahr am 20. September wieder unter anderem in Köln gewürdigt wird und für den noch interessante Vorträge gesucht werden.
http://sfd.koelnerlinuxtreffen.de/2014/home/
==Bonner Hacker-/Macherspace==
René und Michael H. von der FH St. Augustin möchten gerne in Bonn einen Raum schaffen, in dem auch gehackt, gebastelt, gestrickt, gewerkelt,... werden kann. Um möglichst keinen auszuschließen möchten sie nicht so gerne das Label "Hackerspace" verwenden, eine endgültige Bezeichnung steht jedoch noch nicht fest (Arbeitstitel "epic_namespace"). - Netzladen ist dafür laut Aussage der Netzladenleute eher nicht geeignet - Diesen Freitag findet ein Treffen in der FH St. Augustin in der Fachschaft Informatik statt - Ziel ist Errichtung eines Vereins (Haftung, Spenden etc.) - Infrastruktur ist weitgehend noch in der Planungsphase (z.B. Google Groups -> eigene Mailingliste) - Als Ort kommt eventuell die Ermekeilkaserne in Betracht, ansonsten vielleicht einer der Hochbunker, die nicht in Wohnraum umgewandelt werden können - Freie Software ist nicht das zentrale Thema, so wie es sich bisher darstellt - Vernetzung mit bestehenden Makern wurde vorgeschlagen (z.B. Dingfabrik in Köln)
==Tipps== Melanie hob zwei Beiträge hervor, auf die sie beim letzten CCC-Kongress gestoßen war: * http://www.bpb.de/shop/buecher/schriftenreihe/174685/ueberwachtes-deutschlan... * "V wie Verfassungsschutz" vom Nö-Theater (habe beim CCC keine Aufnahme gefunden, nur hier: http://vimeo.com/50686132)
==Nächster Termin==
Aufgrund des Pfingstmontags am nächsten regulären Termin schlage ich den 16. Juni als nächsten Termin vor. Einwände / bessere Vorschläge bitte an die Liste!
Vielen Dank für Eure rege Teilnahme! Gruß und bis zum nächsten Mal Michael
Michael Kesper mkesper@schokokeks.org wrote:
heute Abend trafen sich wieder Freundinnen und Freunde Freier Software im Netzladen in Bonn. Diesmal hatte niemand einen Vortrag zur Hand, stattdessen wurde über einige Punkte diskutiert.
Besten Dank für den ausführlichen Bericht.
Angeregt durch Guido wurde ein Thema aus dem letzten FSFE Newsletter aufgegriffen (der übrigens noch Übersetzer sucht): Der Heartbleed-Bug und die Auswirkungen auf (Freie) Software.
- Ein Einführen von Haftung für (proprietäre) Software würde u.U. dazu
führen, dass diese einen Vorteil vor Freier Software bekäme
Das wäre sicher möglich, wenn die Gesetzesänderungen nicht von Lobbyisten formuliert werden, halte ich das aber für unwahrscheinlich.
Ich sehe derzeit leider auch keine große Nachfrage nach Software-Haftung.
- Die Publicity im Umfeld des Heartbleed-Bugs ist ein Riesenproblem für
Freie Software, Entwickler haben sich sehr ungeschickt im Bezug auf Geld geäußert (9000 Eur, keine externen Kosten einbezogen)
Kann das jemand von Euch näher ausführen?
- Generell hat das BSI durch die Debatte und das Medieninteresse einen
höheren Stellenwert innerhalb der öffentlichen Behörden bekommen
Aus meiner Sicht hatte das BSI auch schon früher einen (viel zu) hohen Stellenwert innerhalb der öffentlichen Behörden.
- behördenintern teilweise Zertifizierung durch das BSI (z.B.
Firewalls), steht jedoch der Ressorthoheit entgegen
- BSI bietet auch für Unternehmen eine Zertifizierung IT-Grundschutz an.
Falls sich das in letzter Zeit nicht geändert hat, wird der Auditor dabei allerdings direkt vom Prüfling bezahlt und beauftragt und hat kein wirtschaftliches Interesse an einer gründlichen Prüfung, die das BSI aber sowieso nicht verlangt.
Die "Zertifizierung" kostet natürlich trotzdem viel Geld, das dann eventuell für sinnvolle(re) Maßnahmen fehlt.
Fabian
On 14.05.2014 11:42, Fabian Keil wrote:
Angeregt durch Guido wurde ein Thema aus dem letzten FSFE Newsletter aufgegriffen (der übrigens noch Übersetzer sucht): Der Heartbleed-Bug und die Auswirkungen auf (Freie) Software.
- Ein Einführen von Haftung für (proprietäre) Software würde u.U. dazu
führen, dass diese einen Vorteil vor Freier Software bekäme
Das wäre sicher möglich, wenn die Gesetzesänderungen nicht von Lobbyisten formuliert werden, halte ich das aber für unwahrscheinlich.
Für die Fehler- oder Mangelhaftigkeit proprietärer Software wird derzeit schon gehaftet.
Für Individualsoftware nach Werkvertragsrecht und für Standardsoftware nach Kaufvertragsrecht. (Für Freie Software übrigens nach Schenkungsrecht).
Fraglich ist lediglich, ob es auch eine Haftung des Herstellers nach dem Gesetz über die Haftung für fehlerhafte Produkte (Produkthaftungsgesetz - ProdHaftG) gibt. Zweifel ergeben sich aus der Frage, ob Software eine bewegliche Sache Produkt) im Sinne des § 2 ProdHaftG ist. Dies wird zum Teil zumindest für Standardsoftware bejaht.
Eine weitere Frage ist, wann eine Software mangel- bzw. fehlerhaft ist.
Hier wird darauf hingewiesen, dass zumindest keine etwas umfangreichere oder komplexere Software fehlerfrei sei. Der Erwerber müsse daher ein gewisses Maß an Fehlern in Kauf nehmen.
Problematisch ist schließlich auch der Nachweis eines Fehlers oder Mangels.
Gruß Michael (St.)
Hi Michael,
dankeschön für den Bericht.
* Michael Kesper mkesper@schokokeks.org [2014-05-13 22:55:34 +0200]:
==Heimautomation==
[...]
Das Thema wird voraussichtlich bei einem der nächsten Treffen nochmal abendfüllend behandelt.
Ein Update zu dem Thema würde mich auf jeden Fall interessieren.
Viele Grüße Matthias
hi Michael,
* Michael Kesper mkesper@schokokeks.org [2014-05-13 22:55:34 +0200]:
==Köln - SFD==
Johannes wurde auch nicht müde, auf den SoftwareFreedomDay hinzuweisen, der auch dieses Jahr am 20. September wieder unter anderem in Köln gewürdigt wird und für den noch interessante Vorträge gesucht werden.
Hat den sonst schon jemand Pläne für den SFD? Ich weiß, dass in Berlin die Belug gerne etwas organisieren würde. Evtl. zu F-Droid.
Viele Grüße Matthias
* Michael Kesper mkesper@schokokeks.org [2014-05-13 22:55:34 +0200]:
==Köln - Idee: Freie-Software-Party==
Seit kurzem gibt es ja erfreulicherweise wieder eine Kölner Fellowshipgruppe, die sich einmal im Monat trifft. Johannes berichtete, dass dort die Idee einer Freie-Software-Party diskutiert wird. Die Idee ist, ein niedrigschwelliges Angebot in etwa ähnlich einer Cryptoparty anzubieten. Grundideen:
- Wieso Freie Software? -> Community, soziale Aspekte, Ethik -> Bewusstsein schaffen, Denkanstöße
- GNU General Party License ;)
Die Idee steht noch ziemlich am Anfang und es werden noch Leute gesucht, die am Konzept mitarbeiten und das Ganze mit Leben füllen. Eventuell fühlen sich ja einige mit Erfahrung in Cryptoparties berufen, mitzumachen.
http://wiki.fsfe.org/groups/Cologne?highlight=%28%5CbCategoryFellowshipGroup...
Soll das auch als Installationsparty gemacht werden, oder primär, um die Ideen zu vermitteln?
Für solche Veranstaltungen nicht vergessen, dass ihr Material von uns bestellen könnt, oder auf https://fsfe.org/contribute/spreadtheword.en.html auch die Druckvorlagen findet um selbst etwas zu drucken (für Deutschland ist bestellen nicht sehr teuer für uns).
Viele Grüße Matthias
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Am 22.05.2014 15:43, schrieb Matthias Kirschner:
- Michael Kesper mkesper@schokokeks.org [2014-05-13 22:55:34
+0200]:
==Köln - Idee: Freie-Software-Party==
Seit kurzem gibt es ja erfreulicherweise wieder eine Kölner Fellowshipgruppe, die sich einmal im Monat trifft. Johannes berichtete, dass dort die Idee einer Freie-Software-Party diskutiert wird. Die Idee ist, ein niedrigschwelliges Angebot in etwa ähnlich einer Cryptoparty anzubieten. Grundideen: - Wieso Freie Software? -> Community, soziale Aspekte, Ethik -> Bewusstsein schaffen, Denkanstöße - GNU General Party License ;) Die Idee steht noch ziemlich am Anfang und es werden noch Leute gesucht, die am Konzept mitarbeiten und das Ganze mit Leben füllen. Eventuell fühlen sich ja einige mit Erfahrung in Cryptoparties berufen, mitzumachen.
http://wiki.fsfe.org/groups/Cologne?highlight=%28%5CbCategoryFellowshipGroup...
Soll das auch als Installationsparty gemacht werden, oder primär, um die Ideen zu vermitteln?
Das versuchen wir gerade genauer zu definieren. Die Zielgruppen und der Ablauf befindet sich noch in der pre Alpha .
Grüße
Malte