OT Vertrauen, Strukturen, Technologie (Re: Befreiung der Haushalte , der Behörden, ... von Microsoft-Software)

[Kristian Rink]

Hallo Roland;

Am 12.05.20 um 23:03 schrieb Roland Hummel:

>> "Erstaunt" deswegen, weil Sicherheit immer relativ und völlig sinnlos
>> ohne ein klares Bedrohungsmodell ist. Wer ist denn "der Feind"? Wen will
>> ich vor was genau schützen? Was brauche ich *genau*, um diese
>> Bedrohungen zu unterbinden und den Schutz zu erreichen, den ich will?
> 
> ich bin auch nach dem dritten Mal Lesen noch verwirrt: War das nicht
> genau der Fragehorizont, den ich vorher schon bereits mit der Frage, vor
> wem genau ich wirklich/besser/eigentlich Angst haben sollte, aufgeworfen
> hatte?


Meine Frage zielte darauf ab, das etwas rationaler anzugehen, wie ich 
geschrieben hatte. Also:


- Welche Daten von mir liegen bei wem?

- Welche "dritte Partei" bekommt schlimmstenfalls Zugriff auf diese Daten?

- Was wären im schlimmsten Fall die Konsequenzen für mich, wenn das 
passiert?

- Wie wahrscheinlich ist, dass das passiert?


Einer der aus meiner Sicht negativen Aspekte aus den 
Snowden-Enthüllungen ist, dass es in weiten Teilen der Bevölkerung eine 
vergleichsweise pauschale, schlecht greifbare Angst vor einem 
"böswilligen Dritten" gibt, die nie wirklich hinterfragt wird. In meinem 
näheren Umfeld erlebe ich das gerade als ein "Element", das recht 
obskuren Verschwörungstheorien Auftrieb verschafft. Deswegen fände ich 
es gut, diese Themen durchaus mal im Detail zu betrachten.


> Ja, alles schön ung gut, das "happy-path"-Argument lässt sich aber
> genauso gut umdrehen: Ich soll also im Zweifel besser dem Angebot von
> IT-Monopolist X vertrauen, weil der ja eine Rechtsabteilung hat, bei der
> ich mich notfalls beschweren kann? 

Ich sagte auch nicht, dass es *leicht* ist. Aber ich sagte, dass es 
*geht. Siehe etwa Datenschutz und Twitter vs. "Mastodon/Fediverse": In 
ersterem Fall gibt es *eine* Firma, *eine* Organisation, die man im 
Zweifelsfall greifen und vor den Kadi zerren kann. In zweiterem Fal ist 
das ein Zusammenschluss von lose organisierten Individuen, die Dinge 
tun; unter Umständen erreichst Du nicht einmal alle Leute, die Du im 
Falle eines Missbrauches belangen müsstest, weil Du nicht weißt, wer 
hinter den Systemen steht.

Das Thema "Struktur/Rechtsabteilung" hat aber noch einen anderen Aspekt: 
Was glaubst Du, wer für Übergriffe durch "unerwünschte Dritte" ein 
leichteres Ziel ist - ein großer Konzern mit Strukturen und idealerweise 
transparenten Prozessen, in die in der Regel > 1 Mensch involviert sind? 
Oder ein Individuum, das allein und eigenverantwortlich einen Dienst pro 
bono betreibt?



> Fernab solcher Reflexionen habe ich in praktischer Weise die Grenze in
> der "Post-Vertrauens-Gesellschaft" durch die Frage gezogen, wo ich
> sinnvoll etwas zu zivilgesellschaftlich kontrollierbaren IT-Systemen
> beitragen kann: Bei Hardware gewiss nicht (weil wir Jahre davon entfernt
> sind, eigene, offene Hardware produzieren zu können), bei Software
> durchaus (weil es Freie Software in ausreichender Menge und Qualität
> gibt - jedenfalls für meine Anforderungen). 

Wenn Du aber das und das mit der "Post-Vertrauens-Gesellschaft" wirklich 
so ernst und schwarz/weiß meinst, wie es ankommt, dann darfst Du getrost 
aufhören, IT zu nutzen. Was nützt zivilgesellschaftlich kontrollierbare 
Software, wenn die Hardware, die Netzwerk-Ausrüstung, ..., auf der diese 
Software läuft, fest proprietäre und intransparent sind? Über den 
Umstand, dass FLOSS nur allzu oft Sponsoring und Beiträge von 
Herstellern proprietärer Software und Dienste beinhaltet, reden wir hier 
gar nicht erst.

Das Minimum, was man in einer "Post-Vertrauens-Gesellschaft" will, ist 
strenge Verschlüsselung aller Daten, die auf Hardware sind, die in 
irgendeiner Form mit Netzen in Berührung kommt, und vermutlich reicht 
dann nicht mal das - weil es erfordern würde, dass man der Qualität und 
Unbrechbarkeit der Verschlüsselung vertraut (wovon dann nicht auszugehen 
ist).


Ich seh das im Moment anders: Vertrauen ist immer relativ. Ich muss 
abwägen, wem ich wie weit vertraue, und mich auf dieser Basis 
entscheiden, wie viel über mich ich demjenigen offenlege. Im Analogen 
wie im Digitalen.


> 
> Was nun Dienste im Netz betrifft halte ich es persönlich wie mit der
> Wahl zwischen einem Apfel, den mir ein Kleingärtner beim Spaziergang
> durchs Dorf anbietet und dem, was ich im Supermarkt geboten bekomme: Die
> Angebote im Supermarkt mögen Güte-Siegel in vielfacher Form haben. Wenn
> ich die Wahl habe gebe ich immer dem Kleingärtner den Vorzug, weil er
> für die Welt, in der ich leben möchte, auf jeden Fall etwas richtiger
> gemacht hat als die, die die Füllstoffe produzieren, die ich im
> Supermarkt bekomme.
> 

Ich kauf' mein Gemüse und auch meine Kartoffeln auch gern auf dem Dorf 
beim Bauer nebenan, weil ich den lieber unterstützen möchte als 
Agrar-Konzerne und industrielle Landwirtschaft. Und ich *weiß*, dass der 
kein Bio-Bauer ist, dass er mit Düngemittel und Pestiziden arbeiten 
muss, weil er sonst nicht ansatzweise so viel Ertrag haben könnte, um 
auch nur mit einer schwarzen Null aus dem Jahr zu gehen. Auch hier ist 
die Welt nicht schwarz/weiß, gibt es verschiedene Prioritäten, nach 
denen man optimieren kann...



> On 5/11/20 2:17 PM, Dr. Michael Stehmann wrote:
>> Du hast dann sicherlich auch weniger Angst vor einem Bankräuber als vor
>> einem Bankgründer ;-) .
> 
> In der Tat. Was passiert denn großartig, wenn mir ein Kleinkrimineller
> das Konto leerräumt? Ja, ich habe ein paar Tage Ärger, bevor mir die
> Bank das Geld "zurückgeneriert", aber sonst? Wenn es eine Bank, große
> Institutionen oder Staaten hingegen auf mich abgesehen haben... ohoh,
> persona non grata zu sein ist bestimmt nicht witzig, siehe Julian Assange.
> 

Zum einen siehe oben: Wie wahrscheinlich ist das? Geh davon aus, dass, 
wenn Du ein Julian Assange bist und es Institutionen oder ein Staat auf 
Dich abgesehen hat, Du in *jedem* Fall ein ernstzunehmenes Problem hast. 
Darüber hinaus widerspricht Deine Argumentation zum Kleinkriminellen vs. 
"Bank" ("ein paar Tage Ärger") zu 100% Deiner Herangehensweise oben, mit 
der Du meinen "happy path" zerlegt hast. Das, was Du hier ausführst, war 
nämlich im Blick auf die Konzerne und den Verweis auf deren 
Rechtsabteilung *exakt* mein Standpunkt. ;)

Viele Grüße,
Kristian