Re: Befreiung der Haushalte , der Behörden, ... von Microsoft-Software

[Roland Hummel]

Hallo Kristian und Michael,

On 5/11/20 1:33 PM, Kristian Rink wrote:
>> Wieso erstaunt? Ich gehöre auch zu "denen", denn ich sage mir:
>> Mit FLOSS-Lösungen von "irgendjemandem" *könnte* ich verlieren, mit
>> Google&Co *habe* ich verloren - jedenfalls unter einer
>> Sicherheitsperspektive, die "post Snowden" darüber reflektiert, vor wem
>> ich wirklich Angst haben sollte.
>>
> 
> "Erstaunt" deswegen, weil Sicherheit immer relativ und völlig sinnlos
> ohne ein klares Bedrohungsmodell ist. Wer ist denn "der Feind"? Wen will
> ich vor was genau schützen? Was brauche ich *genau*, um diese
> Bedrohungen zu unterbinden und den Schutz zu erreichen, den ich will?

ich bin auch nach dem dritten Mal Lesen noch verwirrt: War das nicht
genau der Fragehorizont, den ich vorher schon bereits mit der Frage, vor
wem genau ich wirklich/besser/eigentlich Angst haben sollte, aufgeworfen
hatte?

> Beispiel: XMPP, siehe [1]. Wir lernen: Auch dort fallen in relevantem
> und durchaus nicht unerheblichem Inhalt Metadaten an auf den Servern -
> der durchaus auch administrativ zu missbrauchen wäre und bei dem an
> vielen Stellen augenscheinlich eher "happy-path" angenommen wird, dass
> dort schon niemand Unsinn machen wird.
> 
> Eine Perspektive dort etwa: Google, Microsoft, ... sind zumindest klare
> Einheiten mit Rechtsabteilungen, an denen ich mich juristisch abarbeiten
> kann und die Prozesse und Verantwortlichkeiten haben. Die haben vor
> allem auch Prozesse und Möglichkeiten, sich ggfs. gegen Übergriffe durch
> unerwünschte Dritte zu wehren. Was ist mit (nicht negativ gemeint) einem
> Feld/Wald/Wiesen-Dienstleister, der von drei, vier Individualisten
> getragen wird? Hat der Prozesse und Transparenz, um ihm begründet zu
> vertrauen? Wie robust ist der etwa, sich gegen "Befindlichkeiten" auf
> Zugriff auf die Systeme, Herausgabe von Daten, ... notfalls zu
> verteidigen? Wie robust hat der seine IT im Griff, um "Durchgriff" gegen
> seinen Willen zu unterbinden? Wie "idealistisch" ist der wirklich, um
> nicht im Zweifelsfall doch einzuknicken, wenn ihn "jemand Externes" mit
> Geld zuschütten will für gewisse Gegenleistungen in einer Situation, in
> der gerade wirtschaftliche Unebenheiten zu überwinden sind?

Ja, alles schön ung gut, das "happy-path"-Argument lässt sich aber
genauso gut umdrehen: Ich soll also im Zweifel besser dem Angebot von
IT-Monopolist X vertrauen, weil der ja eine Rechtsabteilung hat, bei der
ich mich notfalls beschweren kann? Ein solches Vertrauen in unser
Rechtssystem habe ich verloren, tut mir leid. Nach mehrfachen
"Rechtsweg-Erfahrungen" als jemand, der sich keine
Rechtschutzversicherung leisten kann (was wohl der Mehrheit unserer
Gesellschaft so geht), sind juristische Rechte für mich "Eliten-Rechte".
Auf dem Papier sieht unser Rechtssystem wunderbar aus - in der Praxis,
nunja, ich will nicht zu ausschweifend werden aber meine letzte
Beschwerde bei einem größeren Unternehmen zog sich 4 Jahre hin. Danach
war mir klar, dass juristische Auseinandersetzungen nur insofern ein
evolutionärer Fortschritt sind als das Recht der körperlich Stärkeren
dem der materiell und/oder intellektuell Stärkeren gewichen ist. Das
Leben ist dadurch vielleicht unblutiger, aber nicht weniger "ernüchternd".
> Viele, die zu diesem Thema kommunizieren, argumentieren (zu Recht) mit
> Snowden und allem Verwandten, aber die Schlussfolgerungen sind mir
> teilweise zu fragwürdig. Nach wie vor etwa haben wir viel zu wenig
> Systeme, die wirklich konsequent (Meta)Daten, Nutzernamen,
> Kommunikation... verschlüsseln. Wir haben viel zu wenig Systeme, die
> schnelle und verlässliche Kollaboration und Datenhaltung erlauben, ohne
> Server zu benötigen. Wir haben viel zu wenig echt *vertrauenswürdige*
> Endgeräte-Systeme (auch bei Linux ist für Jane Doe das Vertrauen
> letztlich nur "Glauben", nicht "Wissen" oder gar einfache
> "Verifizierbarkeit" - spätestens "root" darf alles, und eigentlich
> reicht ein kompromittiertes Paket im Repository, das mit root-Rechten
> installiert und vielleicht betrieben wird, um verloren zu haben).

Da gehe ich mit, wobei auch die serverlosen Systeme nichts an der
Vertrauensfrage ändern, die für mich die wichtigste der gesamten Debatte
ist, allerdings nicht in der Form "Wem kann ich noch vertrauen?",
sondern: "Wann, weswegen und warum haben wir verlernt, das Vertrauen
ineinander derart zu missbrauchen?"

Fernab solcher Reflexionen habe ich in praktischer Weise die Grenze in
der "Post-Vertrauens-Gesellschaft" durch die Frage gezogen, wo ich
sinnvoll etwas zu zivilgesellschaftlich kontrollierbaren IT-Systemen
beitragen kann: Bei Hardware gewiss nicht (weil wir Jahre davon entfernt
sind, eigene, offene Hardware produzieren zu können), bei Software
durchaus (weil es Freie Software in ausreichender Menge und Qualität
gibt - jedenfalls für meine Anforderungen). Ich hoffe, dass die
Standards, die wir heute durch FLOSS für Software einfordern, in 20
Jahren auch für Hardware gelten. FLOSS ist für mich der erste Schritt in
diese Richtung.

Was nun Dienste im Netz betrifft halte ich es persönlich wie mit der
Wahl zwischen einem Apfel, den mir ein Kleingärtner beim Spaziergang
durchs Dorf anbietet und dem, was ich im Supermarkt geboten bekomme: Die
Angebote im Supermarkt mögen Güte-Siegel in vielfacher Form haben. Wenn
ich die Wahl habe gebe ich immer dem Kleingärtner den Vorzug, weil er
für die Welt, in der ich leben möchte, auf jeden Fall etwas richtiger
gemacht hat als die, die die Füllstoffe produzieren, die ich im
Supermarkt bekomme.

On 5/11/20 2:17 PM, Dr. Michael Stehmann wrote:
> Du hast dann sicherlich auch weniger Angst vor einem Bankräuber als vor
> einem Bankgründer ;-) .

In der Tat. Was passiert denn großartig, wenn mir ein Kleinkrimineller
das Konto leerräumt? Ja, ich habe ein paar Tage Ärger, bevor mir die
Bank das Geld "zurückgeneriert", aber sonst? Wenn es eine Bank, große
Institutionen oder Staaten hingegen auf mich abgesehen haben... ohoh,
persona non grata zu sein ist bestimmt nicht witzig, siehe Julian Assange.

Gruß
Roland

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20200512/fa9c1767/attachment.sig>