Re: OT Vertrauen, Strukturen, Technologie (Re: Befreiung der Haushalte , der Behörden, ... von Microsoft-Software)

[Roland Hummel]

Hallo Kristian,

On 5/13/20 7:11 AM, Kristian Rink wrote:
> Meine Frage zielte darauf ab, das etwas rationaler anzugehen, wie ich
> geschrieben hatte. Also:
> 
> 
> - Welche Daten von mir liegen bei wem?
> 
> - Welche "dritte Partei" bekommt schlimmstenfalls Zugriff auf diese Daten?
> 
> - Was wären im schlimmsten Fall die Konsequenzen für mich, wenn das
> passiert?
> 
> - Wie wahrscheinlich ist, dass das passiert?

ich hätte natürlich alle detaillierteren Fragen voranstellen können, die
mir seit 2013/Snowden so kamen, aber das wäre mindestens nicht im Sinne
derer gewesen, die hier auf jedes Bit gucken (müssen). ;)
Davon abgesehen sind wir uns wohl einig, dass eine etwas weiter
gestellte Frage nicht gleich weniger rational ist. Jedenfalls meine ich,
mich spätestens seit 2014 durchaus rational mit der Snowden-Thematik zu
befassen, beginnend mit einer Veranstaltungsreihe an der HU Berlin,
deren Ergebnisse in https://doi.org/10.18452/13663.2 flossen - was keine
Leseempfehlung sein soll, da für meinen ersten "Öffentlichkeitsbeitrag"
viel zu ambitioniert und fürchterlich umgesetzt, aber zumindest ein
Indiz dafür, dass ich hier durchaus das eine oder andere gelesen habe,
um mir eine ansatzweise fundierte Meinung gebildet zu haben.

> Einer der aus meiner Sicht negativen Aspekte aus den
> Snowden-Enthüllungen ist, dass es in weiten Teilen der Bevölkerung eine
> vergleichsweise pauschale, schlecht greifbare Angst vor einem
> "böswilligen Dritten" gibt, die nie wirklich hinterfragt wird. In meinem
> näheren Umfeld erlebe ich das gerade als ein "Element", das recht
> obskuren Verschwörungstheorien Auftrieb verschafft. Deswegen fände ich
> es gut, diese Themen durchaus mal im Detail zu betrachten.

Uh, jetzt wird es unschön. Einigen wir uns darauf, dass wir gegenseitig
keine "Verklammerungstaktiken" auf uns anwenden? Du kontextualisierst
mich gerade in eine Ecke, mit der ich nichts zu tun habe. Die
Snowden-Thematik hat für mich mit der Gates/Corona-Thematik jedenfalls
absolut nichts zu tun.

>> Ja, alles schön ung gut, das "happy-path"-Argument lässt sich aber
>> genauso gut umdrehen: Ich soll also im Zweifel besser dem Angebot von
>> IT-Monopolist X vertrauen, weil der ja eine Rechtsabteilung hat, bei der
>> ich mich notfalls beschweren kann? 
> 
> Ich sagte auch nicht, dass es *leicht* ist. Aber ich sagte, dass es
> *geht. 

Auch diesen Satz kann ich exakt so auf den "digitalen Kleinkriminellen"
ohne Rechtsabteilung anwenden, dem ich auf den Leim gegangen bin. Du
wirst jetzt evtl. denken "na dann viel Spaß dabei" und ich denke mir,
wieviel Spaß ich hatte, bei großen Unternehmen meine Rechte geltend zu
machen.

> Siehe etwa Datenschutz und Twitter vs. "Mastodon/Fediverse": In
> ersterem Fall gibt es *eine* Firma, *eine* Organisation, die man im
> Zweifelsfall greifen und vor den Kadi zerren kann. In zweiterem Fal ist
> das ein Zusammenschluss von lose organisierten Individuen, die Dinge
> tun; unter Umständen erreichst Du nicht einmal alle Leute, die Du im
> Falle eines Missbrauches belangen müsstest, weil Du nicht weißt, wer
> hinter den Systemen steht.

Nehmen wir doch mal das "Fediverse" aus Geheimdiensten, das sich über
"room 641a" ergibt. Macht es einen Unterschied, dass ich diese Instanzen
juristisch adressieren kann? Ganz ehrlich: Da rechne ich mir mehr Erfolg
zu, wenn ich die Polizei gegen Fediverse-Servicebtreiber X, Y und Z
einschalte.

> Das Thema "Struktur/Rechtsabteilung" hat aber noch einen anderen Aspekt:
> Was glaubst Du, wer für Übergriffe durch "unerwünschte Dritte" ein
> leichteres Ziel ist - ein großer Konzern mit Strukturen und idealerweise
> transparenten Prozessen, in die in der Regel > 1 Mensch involviert sind?
> Oder ein Individuum, das allein und eigenverantwortlich einen Dienst pro
> bono betreibt?

Ich ziehe den Publikums-Joker und frage ...Yahoo! ;)

>> Fernab solcher Reflexionen habe ich in praktischer Weise die Grenze in
>> der "Post-Vertrauens-Gesellschaft" durch die Frage gezogen, wo ich
>> sinnvoll etwas zu zivilgesellschaftlich kontrollierbaren IT-Systemen
>> beitragen kann: Bei Hardware gewiss nicht (weil wir Jahre davon entfernt
>> sind, eigene, offene Hardware produzieren zu können), bei Software
>> durchaus (weil es Freie Software in ausreichender Menge und Qualität
>> gibt - jedenfalls für meine Anforderungen). 
> 
> Wenn Du aber das und das mit der "Post-Vertrauens-Gesellschaft" wirklich
> so ernst und schwarz/weiß meinst, wie es ankommt, dann darfst Du getrost
> aufhören, IT zu nutzen. Was nützt zivilgesellschaftlich kontrollierbare
> Software, wenn die Hardware, die Netzwerk-Ausrüstung, ..., auf der diese
> Software läuft, fest proprietäre und intransparent sind?

...unter Sicherheitsperspektive überhaupt nichts. Mir geht es aber nicht
um "mehr Sicherheit", sondern um "mehr Freiheit". Die
Sicherheitsdebatten finde ich nicht nur auf Grund der Tatsache, dass
FLOSS hier kein Mindest-Kriterium ist, sinnlos, sondern auch, da stimme
ich Dir vollkommen zu, weil wir als Zivilgesellschaft die digitale
Infrastruktur(technik) gar nicht mehr kontrollieren können. Meine
Hoffnung ist hier wie gesagt lediglich, dass sich die FLOSS-Debatte
irgendwann gesellschaftlich in eine "Open Hardware-Debatte" übersetzt
(begleitet von einer grundlegenden Gesellschaftskritik, was unser
Wirtschaftssystem betrifft, daher danke für die Debatte im anderen Zweig
dieser Diskussion zu "Software Libre").
Das "schwarz/weiß"-Denken zu nennen geht mir auch etwas zu sehr eine
Richtung, sich gegenseitig zu "derailen".

> Über den
> Umstand, dass FLOSS nur allzu oft Sponsoring und Beiträge von
> Herstellern proprietärer Software und Dienste beinhaltet, reden wir hier
> gar nicht erst.

Geschenkt - ich will gar nicht wissen, welche "Code-Abgründe" sich hier
auftun. Nenn es naiv, aber ich klammere mich momentan daran, dass der
Umstand, Code untersuchen zu *dürfen* zumindest einen qualitativen
Unterschied bedeutet im Vergleich dazu, es nicht zu dürfen. Und ja, mir
ist bewusst, dass ich im juristischen Bereich den qualitativen
Unterschied nicht mehr sehe, weil mich die Realität hier mehrheitlich
enttäuscht hat.

> Das Minimum, was man in einer "Post-Vertrauens-Gesellschaft" will, ist
> strenge Verschlüsselung aller Daten, die auf Hardware sind, die in
> irgendeiner Form mit Netzen in Berührung kommt, und vermutlich reicht
> dann nicht mal das - weil es erfordern würde, dass man der Qualität und
> Unbrechbarkeit der Verschlüsselung vertraut (wovon dann nicht auszugehen
> ist).

Ne, wäre nicht meine Argumentation, weil dann Messenger wie WhatsApp
kommen und sagen "hier habt ihr die Signal-Crypto, also alles gut". Das
"Minimum" wäre für mich FLOSS als zwar allein nicht ausreichendes, aber
notwendiges Kriterium für eine ansatzweise plausible Sicherheitsdebatte
(womit Freiheit aber vor Sicherheit kommt, nicht andersrum).

> Ich seh das im Moment anders: Vertrauen ist immer relativ. Ich muss
> abwägen, wem ich wie weit vertraue, und mich auf dieser Basis
> entscheiden, wie viel über mich ich demjenigen offenlege. Im Analogen
> wie im Digitalen.

Da sind wir uns einig. Du wägst halt "pro" in die eine Richtung ab, ich
in die andere. Wir beide müssen dann mit den Konsequenzen leben. Ich in
diesem Fall damit, dass mich der Kleingärtner eventuell mit dem Apfel
vergiftet, weil ich ihm schon jahrelang auf die Nerven gegangen bin,
ohne es gewusst zu haben.

> Ich kauf' mein Gemüse und auch meine Kartoffeln auch gern auf dem Dorf
> beim Bauer nebenan, weil ich den lieber unterstützen möchte als
> Agrar-Konzerne und industrielle Landwirtschaft. Und ich *weiß*, dass der
> kein Bio-Bauer ist, dass er mit Düngemittel und Pestiziden arbeiten
> muss, weil er sonst nicht ansatzweise so viel Ertrag haben könnte, um
> auch nur mit einer schwarzen Null aus dem Jahr zu gehen. Auch hier ist
> die Welt nicht schwarz/weiß, gibt es verschiedene Prioritäten, nach
> denen man optimieren kann...

Wie gesagt: Von schwarz/weiß-Vorwürfen würde ich hier gerne absehen.
Wenn meine Argumente nicht überzeugend sind, ist das völlig okay. Am
Ende entscheidest Du aber auch nur mit "ja" oder "nein" und bist damit
genauso "binär" wie ich angeblich "schwarz/weiß".
Mit "der Kleingärtner macht für mich auf jeden Fall etwas richtiger" war
jedenfalls genau das gemeint, was Du beschreibst. Was bei meiner Aussage
das Wort "richtiger" bedeutete, sollte jede*r selbst entscheiden, aber
ich dachte, das sei im Kontext des FLOSS-Vergleichs klar.

> 
> 
>> On 5/11/20 2:17 PM, Dr. Michael Stehmann wrote:
>>> Du hast dann sicherlich auch weniger Angst vor einem Bankräuber als vor
>>> einem Bankgründer ;-) .
>>
>> In der Tat. Was passiert denn großartig, wenn mir ein Kleinkrimineller
>> das Konto leerräumt? Ja, ich habe ein paar Tage Ärger, bevor mir die
>> Bank das Geld "zurückgeneriert", aber sonst? Wenn es eine Bank, große
>> Institutionen oder Staaten hingegen auf mich abgesehen haben... ohoh,
>> persona non grata zu sein ist bestimmt nicht witzig, siehe Julian
>> Assange.
>>
> 
> Zum einen siehe oben: Wie wahrscheinlich ist das? Geh davon aus, dass,
> wenn Du ein Julian Assange bist und es Institutionen oder ein Staat auf
> Dich abgesehen hat, Du in *jedem* Fall ein ernstzunehmenes Problem hast.

Nun, da Du fragst: Anfang Januar organisierte ich
https://hu.berlin/HackingJustice/ und einer meiner Kollegen meinte einen
Tag später zu mir, beim Verlassen der Fakultät von einer Person mit der
Frage "Und Sie gehören wohl zu den Organisatoren?" angesprochen worden
zu sein. Man hat mir gesagt, die 68er-Generation wisse, dass solche
Fragen von einer ganz bestimmten Institution kommen, die sich gerne
"unters Volk" mischt, wenn die zivilgesellschaftlichen Veranstaltungen
nicht ganz so "systemkonform" sind. Das muss nichts heißen, aber war für
mich ein Indiz, dass "soetwas" ganz schnell gehen kann. Wäre an der HU
Berlin auch nicht das erste Mal (s. Andrej Holm).

> Darüber hinaus widerspricht Deine Argumentation zum Kleinkriminellen vs.
> "Bank" ("ein paar Tage Ärger") zu 100% Deiner Herangehensweise oben, mit
> der Du meinen "happy path" zerlegt hast. Das, was Du hier ausführst, war
> nämlich im Blick auf die Konzerne und den Verweis auf deren
> Rechtsabteilung *exakt* mein Standpunkt. ;)

Dem kann ich nicht ganz folgen: Bei einem Kleinkriminellen habe ich ein
paar Tage Ärger, wenn er mir das Konto leerräumt, weil jede Bank das bei
halbwegs plausibler Argumentation sofort regelt (denn mit ihr habe ich
mich ja nicht angelegt, sondern bin quasi ihr "Schützling"). Wenn ich
mich hingegen mit einer großen Institution anlege, meinetwegen auch
einer Bank, habe ich unter Garantie wochenlang Ärger und darf mich von
einem Kundenbarter zum nächsten hangeln, der dann immer nicht weiß,
worum es geht (zuletzt erlebt bei der Frage, warum und mit welchem Recht
bei einer Auslandsüberweisung auf die andere Seite der Erde bei jeder
"Zwischenstation" gefühlt 5€ abgezogen wurden - wobei ich da meiner
Erinnerung nach sogar einen "Fünfer" zurückbekommen habe, weil die
Ziel-Bank "plötzlich" einsah, dass das der "virtuelle Wegzoll" in diesem
Ausmaß nun tatsächlich etwas zu weit ging, das aber "sicher nur ein
Versehen war", man für meine Geduld danke und so weiter und so bla - das
ist aber genau der Weg, den theoretisch zwar alle gehen können, 99% dies
aber nicht tun werden, weil solche "Michael Kohlhass"-Aktionen am Ende
ein Kosten/Nutzen-Verhältnis haben, das so viel Freude bereitet wie der
Beschwerdeweg selbst, der sich nach "langsamer, qualvoller
Erstickungstod" anfühlt).

Gruß
Roland

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20200514/dd8151d9/attachment-0001.sig>