Förderation und Offene Infrastruktur (Re: FSFE-Matrix-Server)

Kristian Rink mail at zimmer428.net
Mi Okt 9 06:27:18 UTC 2019


Hallo Roland, alle;

Am Dienstag, den 08.10.2019, 23:47 +0200 schrieb Roland Hummel:
> 
> Da stimme ich vollkommen zu, ist aber auch nicht der Punkt, den ich
> meinte. Der von Dir angesprochene Punkt hat eher etwas damit zu tun,
> ob eine Dev-Community der Admin-Community genügend Doku und Tools
> bereitstellt sowie mit ihr ausreichend gut kommuniziert, damit Admins
> die Infrastrukturen möglichst ohne große Hürden betreiben können.
> 

Natürlich. Das setzt aber dann wieder auch "richtige" (qualifizierte,
geschulte) Admins voraus, was "Selbstbetrieb" schwierig macht. Dazu
unten nochmal.



> Gegenargument: Nenn mir einen, der, als E-Mail massentauglich wurde
> (und diverse Provider für ihr Angebot sogar im Fernsehen geworben
> habe), nicht mit der Verwendung von E-Mail klar kam. Es war für jeden
> Menschen, der irgendwie Maus und Tastatur bedienen konnte, intuitiv,
> dass es sich hierbei um ein föderales Netzwerk mit entsprechenden
> Provider- und Client-Freiheiten handelt (also ohne, dass diese
> Menschen explizieren konnten, was die Wörter "föderal", "Client" und
> "Provider" eigentlich bedeuten.

Auch hier: Natürlich. Kein Widerspruch. Aber verschiedene Punkte zu
bedenken:

- Die Menge der Nutzer, die auf E-Mail unterwegs war, ist drastisch
kleiner aus die Menge an Nutzern, die Kanäle wie WhatsApp jetzt
erreicht haben. Ich glaube, man sollte hier trotzdem nicht übersehen
bzw. vernachlässigen, daß WhatsApp, Google, Facebook, Apple, ...
Technologie insgesamt (aus welchen Gründen auch immer) einer deutlich
größeren Menge an Menschen sinnvoll verfügbar gemacht haben als alle
Dienste-Anbieter davor. 


- "Förderiert" und "freie Client-Wahl" in Bezug auf E-Mail hat in
meinem (beruflichen) Umfeld auch in den letzten 5..10 Jahren zunehmend
für Frust gesorgt, weil bestimmte Use Cases, die die Fachanwender sich
gewünscht haben (und die man, mit Verlaub gesagt, in den 2010ern nicht
mehr diskutieren sollte), dort einfach nicht funktioniert haben.
Beispiele: "Verläßlich formatierte" Mails mit fettem Text, farbigem
Text, an den richtigen Stellen eingebundenen Bildern  (etwa für den
Support, der Screenshots mit Hervorhebungen verschickt) und die
*sicher* bei dem Empfänger so aussehen, wie der Absender das wollte.
Illusorisches Unterfangen mit Client-Freiheit und hinreichend
"interpretierbaren" Standards. Oder: Sichere, einfache E2E-
Verschlüsselung, die mit allen denkbaren Randbedingungen (also auch:
mehrere Geräte, verschieden Clients, verschiedene Server zwischendrin)
funktioniert, ohne Rocket-Science zu sein. Kannst Du mit E-Mail getrost
vergessen, mit XMPP ist es mindestens schwierig. Oder (da sind wir eher
bei WhatsApp und den Messengern): Contact Discovery. Ich möchte leicht
und "eingebaut" im Dienst Kontakte, die ich schon anderswo kenne,
erreichen können. 


Ich will hier auch nicht förderierte Systeme per se pauschal
kritisieren. Aus meiner Sicht ist das Problem eher, daß die Vertreter
der etablierten förderierten Systeme "ihre Systeme" mit viel
Enthusiasmus gegen Kritik und Veränderung verteidigen (gern auch mit
Argumenten der Art "was seit den 1980ern funktioniert, kann nicht
schlecht sein") und dabei im Zweifelsfall Anforderungen von Nutzern
bewußt und hart wegdiskutieren, wenn diese nicht in ihre Vorstellung
davon passen, wie die Technologie gebaut ist und funktionieren soll.
Vielleicht braucht es genau dafür Dinge wie Matrix oder Mastodon, die
bestehende Protokolle und darum geschaffene Communities auch bewußt und
hart herausfordern, um diese Fragen zu stellen und zu lösen. So lang
das aber noch nicht passiert ist, wird es für Endnutzer eher schwierig.


> Was die Niedrigschwelligkeit entsprechender Alternativen betrifft,
> zeigt Matrix mit Riot ebenfalls, wie man das eine tun kann, ohne das
> andere zu lassen: Wer absolut keine Ahnung hat oder haben will,
> installiert sich Riot auf dem Smartphone, wird aufgeforder "E-Mail
> oder Nutzername oder Telefonnummer" sowie ein Passwort einzugeben
> (wird also "Telefonnummer" wählen) und ist angemeldet (damit zwar
> nicht aufgeklärt, aber wenigstens schonmal dort, wo er vorzugweise
> sein sollte, also einem föderalen Netzwerk). Dass das Proof-of-
> Concept ist, kann ich insofern bestätigen, weil mein "70+-Umfeld"
> teilweise schneller angemeldet war als ich ihnen die Zugangsdaten für
> die auf meinem Server angelegte Matrix-ID mitteilen
> konnte.

Das stelle ich auch nicht in Frage, aber das meine ich nicht. ;) Mein
Punkt ist eher folgender: Wir haben meinen Schwiegerleuten (Generation
65+) vor einigen Jahren ein Smartphone geschenkt, mit kleinem Internet-
Paket, Signal und Threema. Die Beiden sind technisch gänzlich
uninteressiert, hatten in ihrem Berufsleben nie mit Computern zu tun,
haben das eigentlich eher als Spielzeug betrachtet und dankbar, aber
reserviert aufgenommen. Wir haben gezeigt, wie das zu bedienen ist,
haben ihnen die Telefonnummern all ihrer Bekannten und Kontakte
eingespeichert, und sie haben das Gerät dann und wann genutzt.

Bis zu dem Tag, an dem ihnen ihr anderes Kind WhatsApp dort drauf
installiert hat. Plötzlich haben sie gesehen, daß alle(!) der Kontakte,
zu denen sie Mobilfunknummern haben (Geschwister, Enkel, einige alte
Arbeitskollegen, alte Schulfreunde, ...), darüber erreichbar sind.
Plötzlich haben sie gesehen, daß mindestens die Hälfte von denen
regelmäßig die Welt über Status-Updates an ihrem Leben teilnehmen läßt.
Seitdem ist das Smartphone von "lustiges Spielzeug" zu "integralem
Bestandteil des täglichen Lebens" geworden. Mit Signal (oder auch
Matrix) wäre das ein Werkzeug gewesen, mit dem sie nur mit uns hätten
kommunizieren können. 

Wie waren die Erfahrungen hier bei Deinen "Testkandidaten" mit anderen
Kontakten?




> Okay, da gehe ich mit, allerdings wollte ich darauf hinaus, dass der
> Unwille, noch irgendetwas selbst zu betreiben, meiner Meinung nach
> vor allem daran liegt, dass die rechtlichen Rahmenbedingungen so
> gestrickt werden, genau diesen Unwillen zu erzeugen.

Dort bin ich mir arg unsicher, ehrlich gesagt. Einer der Aufhänger
dieser Diskussion war ja der datenschutzkonforme Betrieb von
Infrastruktur. Ich habe in den KMUs in meinem näheren Umfeld erlebt,
daß gerade die DSGVO sehr viel dafür gesorgt hat, eigene Infrastruktur
als Service "in der Cloud" einzukaufen, weil die interne IT gemerkt
hat, daß sie spätestens mit diesem Gesetz nicht mehr imstande ist, die
Themen, die sie auf dem Tisch hat, rechtssicher zu betreiben. Externer
Dienstleister, AV-Vertrag und Einbindung in die eigene
Datenschutzerklärung ist ein Weg, der sicherer ist und funktioniert.
Andererseits wird, glaube ich, insbesondere und auch hier auf der Liste
niemand die DSGVO als notwendiges Gesetzt in Frage stellen wollen.

Ich sehe drei Punkte zu dem "Selbstbetrieb" als kritisch:

- Zum einen: Wenn ich mir Dinge wünschen könnte, dann hätten wir
insgesamt weniger Infrastruktur, die selbst "betrieben" werden muss,
und mehr tatsächliche P2P-Sachen. Das würde nicht nur rechtlich,
sondern auch technisch die Hürde senken und tatsächlich "individuelle"
Lösungen schaffen. Wenn ich so etwas wie Mastodon oder Matrix nur mit
einem intelligenten Client und einer vergleichsweise "dummen"
Kommunikations-Infrastruktur (die nur verschlüsselte Nachrichten
transportiert) baue, dann könnte ich Systeme wie Mastodon oder Matrix
von Client/Server-Anwendungen zu Anwendungen machen, die vollständig zu
installieren und zu betreiben nicht komplexer ist als das Installieren
einer App. Einige Projekte (Manyverse, Beaker Browser, Patchwork)
machen das ja vor, aber denen fehlt genügend "Kraft" in der
Entwicklung.

- Zum anderen: Vielleicht fehlt uns eine klare, auch "rechtliche",
Architektur, wer welche Dienste wie betreiben soll. Es ist jedem klar,
daß ich, wenn ich gern koche, nicht einfach mein Wohnzimmer öffnen und
Leuten Essen offerieren darf. Dafür gibt es (beginnend mit Hygiene)
klare Vorschriften, die aus gutem Grund Dinge regulieren, die
möglicherweise nicht unreguliert bleiben sollten. Bei IT sehe ich das
durchaus ähnlich: Datenschutz, Umgang mit Propaganda und Beleidigungen,
durchaus auch Umgang mit Urheberrechtsthemen (ganz egal, ob hier
"rechtlich geschützte" Filme kopiert werden oder irgendjemand CC- oder
Copyleft-Content widerrechtlich einsetzt), ... . Für diese Dinge muß
irgendjemand verantwortlich zeichnen. Bei Twitter, Facebook, Google,
... ist das einfach, da gibt es eine Firma dahinter, da greifen die
üblichen Mechanismen. Bei einem rein internen Netz in einer Firma
vermutlich auch. Bei Ansätzen wie einer öffentlichen Mastodon- oder
Matrix-Installation, betrieben von einem Satz lose organisierter
Freiwilliger wird das schon schwieriger. Wen greife ich, wenn im
Fediverse meine Persönlichkeitsrechte in großem Ausmaß verletzt werden?
Wem kann ich auf die Finger hauen, wenn ich in einem Matrix-Chat
wiederholt böse beleidigt und verleumdet werde? Wenn kann ich mir
greifen, wenn irgendjemand in irgendeinem Kanal einige meiner CC-NC-ND-
Fotos modifiziert und mit dummen Sprüchen versehen für rechte
Propaganda verwendet? 

- Zun dritten, finally, wie gesagt: Ressourcen. Wir selbst suchen seit
Jahren einen weiteren Systems Engineer, der imstande ist, Linux-Systeme 
zu pflegen. Der Markt ist derzeit faktisch leer. Wenn Du etwa ein KMU
hast, das in einer Nicht-IT-Domäne unterwegs ist, hast Du, wenn Du über
Selbstbetrieb nachdenkst, plötzlich dieses Thema in seiner ganzen
Breite auf dem Schirm. Du brauchst mindestens zwei Leute dafür, die
gleich gut sind. Du brauchst Arbeitsorganisation, Prozesse,
Verantwortlichkeiten für den Betrieb dieser Infrastruktur. Du brauchst
gewisses rechtliches Wissen, egal wie gering, und Du brauchst
Mechanismen, um auf rechtlich "relevante" Ereignisse reagieren zu
können. Schlimmstenfalls hast Du das gesamte technische Thema noch auf
dem Schirm (Hardware-Kauf, Netzwerk-Anbindung, Server-Administration,
Backup/Recovery, Verfügbarkeit, Grundsicherung, ...), wenn Du selbst
Blech bei Dir betreiben willst. Allein das ist nicht trivial, wenn Du
es neu aufziehst. Schon daran kapitulieren viele Firmen, bzw.,
umgekehrt: Die Idee, Dienste in die Cloud auszulagern und
beispielsweise die eigene E-Mail/Kalender-Infrastruktur abzuschalten
zugunsten von Google Apps For Enterprises oder Office 365, ist eben in
den meisten Fällen keine leichtfertige Entscheidung mit dem Ziel, den
"Datenkapitalisten" das eigene Unternehmen auf dem Silbertablett zu
liefern, sondern eine rein rational-wirtschaftliche Betrachtung mit
Blick auf die eigenen Fähigkeiten und Möglichkeiten. 

Deswegen werfe ich immer wieder die Idee von LibreSaaS[1] ins Rennen.
Ich glaube durchaus an förderierte Systeme, aber ich denke, Self-
Hosting, zumindest im jetzigen Zustand, sollte kein Modell sein, das
wir für eine freie technologische Zukunft als Grundlage und Zielzustand
annehmen...

Viele Grüße,
Kristian


[1]https://dm.zimmer428.net/2018/11/libresaas-revisited/




Mehr Informationen über die Mailingliste FSFE-de