Bericht Fellowshiptreffen Bonn, 2014-05-12

Michael Kesper mkesper at schokokeks.org
Di Mai 13 20:55:34 UTC 2014 

Hallo zusammen,

heute Abend trafen sich wieder Freundinnen und Freunde Freier Software 
im Netzladen in Bonn.
Diesmal hatte niemand einen Vortrag zur Hand, stattdessen wurde über 
einige Punkte diskutiert.

==Freie Software und Sicherheit==

Angeregt durch Guido wurde ein Thema aus dem letzten FSFE Newsletter 
aufgegriffen (der übrigens noch Übersetzer sucht): Der Heartbleed-Bug 
und die Auswirkungen auf (Freie) Software.
- Ein Einführen von Haftung für (proprietäre) Software würde u.U. dazu 
führen, dass diese einen Vorteil vor Freier Software bekäme
- Geld ist eventuell nicht die beste Motivation, um Sicherheitslücken zu 
finden und zu beheben, Black Hats zahlen im Zweifelsfall mehr
- Trotzdem gibt es teilweise Sponsoren für sicherheitsrelevante 
Software, so z.B. Secunet bei StrongSWAN
- Offenlegen des Quellcodes alleine ist keine hinreichende, sehr wohl 
aber eine notwendige Bedingung für Sicherheit
- Die Publicity im Umfeld des Heartbleed-Bugs ist ein Riesenproblem für 
Freie Software, Entwickler haben sich sehr ungeschickt im Bezug auf Geld 
geäußert (9000 Eur, keine externen Kosten einbezogen)
- Welche Interessen haben Unternehmen, Freie Software zu fördern?
   - kleine: Vendor-Lock-In vermeiden
   - große: Zusammentun gegenüber Monopolisten
- Staatliche Förderung?
   - SINA-Box (BSI)
   - eher wenig, das für andere benutzbar wird
- Generell hat das BSI durch die Debatte und das Medieninteresse einen 
höheren Stellenwert innerhalb der öffentlichen Behörden bekommen
- behördenintern teilweise Zertifizierung durch das BSI (z.B. 
Firewalls), steht jedoch der Ressorthoheit entgegen
- BSI bietet auch für Unternehmen eine Zertifizierung IT-Grundschutz an.
Diese ist sehr umfangreich und basiert auf proprietären Tools ("GS-Tool" 
bzw "verynice" (sernet). Lässt sich eventuell als Grundlage für eigene 
Policy benutzen, damit man nicht aus Versehen wichtige Bereiche vergisst 
(z.B. "sichere Server" ohne Zutrittskontrolle)
- Zertifizierungen verhindern in einigen Bereichen die Entwicklung / den 
Einsatz Freier Software (z.B. Pharmadatenbank für Ärzte muss jedes 
Quartal aufwendig und teuer neu zertifiziert werden. Folge: Alle 
Datenbanken werden von Pharmafirmen entwickelt).

https://en.wikipedia.org/wiki/StrongSwan
https://events.ccc.de/congress/2013/Fahrplan/events/5307.html
https://www.bsi.bund.de/DE/Themen/weitereThemen/SINA/Systembeschreibung/systembeschreibung_node.html
http://de.wikipedia.org/wiki/SINA-Box

==Heimautomation==

Carsten erzählte kurz von den unterschiedlichen Protokollen und 
ebenfalls teilweise extrem teuren Lizenzgebühren (vor allem EIB/KNX) im 
Bereich Heimautomation. Als relativ günstiges System gibt es seit 
einiger Zeit Homematic (http://www.eq-3.de/), das von RWE gepusht wird, 
aber auch dies ist eine proprietäre Lösung.
Zur Zeit gibt es hier noch einen Wildwuchs an Protokollen, so in etwa 
wie in der bösen alten Zeit der Netzwerktechnik, als man dachte, man 
müsse ISO/OSI-Topologien in Perfektion abbilden, aber bloß nicht mit den 
anderen reden. Seit TCP/IP ist das ja zum Glück Geschichte.
Auch in diesem Bereich gibt es Bestrebungen, alle miteinander sprechen 
zu lassen, z.B. openHAB und 6lowpan.
Carsten führte als Beispiel einen Photovoltaik-Wechselrichter des 
deutschen Marktführers sma an, der zwar auf dem bekannten 
modbus-Protokoll arbeitet, aber darüber eine eigene proprietäre Soße 
gießt, so dass man vermutlich entweder auf screen scrapen der 
Weboberfläche oder langwieriges reverse engineering angewiesen ist.
Kritisch an dem ganzen Heimautomationsumfeld ist auch, dass bei vielen 
Systemen Daten in irgendwelche Clouds gejagt werden, die nicht 
unerhebliche Rückschlüsse auf das eigene Verhalten zulassen.
Das Thema wird voraussichtlich bei einem der nächsten Treffen nochmal 
abendfüllend behandelt.

http://www.openhab.org/
https://de.wikipedia.org/wiki/6LoWPAN

==Köln - Idee: Freie-Software-Party==

Seit kurzem gibt es ja erfreulicherweise wieder eine Kölner 
Fellowshipgruppe, die sich einmal im Monat trifft.
Johannes berichtete, dass dort die Idee einer Freie-Software-Party 
diskutiert wird. Die Idee ist, ein niedrigschwelliges Angebot in etwa 
ähnlich einer Cryptoparty anzubieten.
Grundideen:
- Wieso Freie Software?
   -> Community, soziale Aspekte, Ethik
   -> Bewusstsein schaffen, Denkanstöße
- GNU General Party License ;)
Die Idee steht noch ziemlich am Anfang und es werden noch Leute gesucht, 
die am Konzept mitarbeiten und das Ganze mit Leben füllen. Eventuell 
fühlen sich ja einige mit Erfahrung in Cryptoparties berufen, mitzumachen.

http://wiki.fsfe.org/groups/Cologne?highlight=%28\bCategoryFellowshipGroup\b%29

==Köln - SFD==

Johannes wurde auch nicht müde, auf den SoftwareFreedomDay hinzuweisen, 
der auch dieses Jahr am 20. September wieder unter anderem in Köln 
gewürdigt wird und für den noch interessante Vorträge gesucht werden.

http://sfd.koelnerlinuxtreffen.de/2014/home/

==Bonner Hacker-/Macherspace==

René und Michael H. von der FH St. Augustin möchten gerne in Bonn einen 
Raum schaffen, in dem auch gehackt, gebastelt, gestrickt, gewerkelt,... 
werden kann. Um möglichst keinen auszuschließen möchten sie nicht so 
gerne das Label "Hackerspace" verwenden, eine endgültige Bezeichnung 
steht jedoch noch nicht fest (Arbeitstitel "epic_namespace").
- Netzladen ist dafür laut Aussage der Netzladenleute eher nicht geeignet
- Diesen Freitag findet ein Treffen in der FH St. Augustin in der 
Fachschaft Informatik statt
- Ziel ist Errichtung eines Vereins (Haftung, Spenden etc.)
- Infrastruktur ist weitgehend noch in der Planungsphase (z.B. Google 
Groups -> eigene Mailingliste)
- Als Ort kommt eventuell die Ermekeilkaserne in Betracht, ansonsten 
vielleicht einer der Hochbunker, die nicht in Wohnraum umgewandelt 
werden können
- Freie Software ist nicht das zentrale Thema, so wie es sich bisher 
darstellt
- Vernetzung mit bestehenden Makern wurde vorgeschlagen (z.B. Dingfabrik 
in Köln)

==Tipps==
Melanie hob zwei Beiträge hervor, auf die sie beim letzten CCC-Kongress 
gestoßen war:
  * 
http://www.bpb.de/shop/buecher/schriftenreihe/174685/ueberwachtes-deutschland
  * "V wie Verfassungsschutz" vom Nö-Theater (habe beim CCC keine 
Aufnahme gefunden, nur hier: http://vimeo.com/50686132)

==Nächster Termin==

Aufgrund des Pfingstmontags am nächsten regulären Termin schlage ich den 
16. Juni als nächsten Termin vor. Einwände / bessere Vorschläge bitte an 
die Liste!

Vielen Dank für Eure rege Teilnahme!
Gruß und bis zum nächsten Mal
Michael

Mehr Informationen über die Mailingliste FSFE-de