Monday, October 10, 2011

De-Mail

Anlässlich der Veröffentlichung der staatlichen Schnüffelsoftware
sollte man sich auch mal andere IT-Projekte der Bundesregierung
angucken.

Besonders die De-Mail sollte man sich hier genauer angucken, da sie
den Brief ersetzen soll.

Warum wurde die De-Mail überhaupt eingeführt? Im Moment kann sich ein
Empfänger einer E-Mail nie sicher sein, dass der Absender auch die
Person ist für die sie sich ausgibt. Es gibt technische Maßnahmen eine
E-Mail digital eindeutig zu signieren, aber zugegeben dieses Vorgehen
setzt schon Sachverstand vorraus und die Programmierer haben es nie so
ganz auf die reihe bekommen das einfach in die E-Mail Programme
einzubauen. Der Sicherheit wäre es sehr zuträglich, wenn alles
automatisch verschlüsselt und unterzeichnet wäre.

Die De-Mail soll hier Abhilfe schaffen. Es können sich Firmen für ein
Zertifikat als De-Mail Provider bewerben. Diese müssen dann gewisse
Sicherheitsstandards einhalten und müssen dafür sorgen, dass sich die
Benutzer wenn sie ein neues Konto anlegen eindeutig
identifizieren. Das kann einerseits durch ein Postident Verfahren
durch die Post passieren, oder durch den neuen E-Personalausweis.

Es gibt eine ganze Reihe von Funktionen die die Anbieter für die
E-Mail bereitstellen müssen, aber die sind für die Sicherheit
ersteinmal uninteressant. Das Sicherheitskonzept sieht vor, dass der
Übertragungsweg verschlüsselt sein soll. Auch die E-Mail lässt sich
verschlüsseln, jedoch muss der Benutzer eins wissen. Wenn er die
Verschlüsselung des Anbieters benutzt, dann wird zwar eine
Verschlüsselung eingesetzt, jedoch nicht so wie es eigentlich für den
Benutzer am sichersten wäre.

Bei einer Verschlüsselung denkt man für gewöhnlich an eine
Ende-zu-Ende Verschlüsselung. Man muss den Kommunikationsweg nicht
vertrauen, da die Nachricht nur durch den Empfänger wieder gelesen
werden kann. Das wird bei der De-Mail nicht eingesetzt. Um es kurz zu
machen, der Anbieter verschlüsselt die Nachricht für den Anwender, das
bedeutet, der Anbieter kennt die Schlüssel und auch die Nachricht im
Klartext. In der analogen Welt wäre das so, als wenn man einen Brief
in den Briefkasten wirft und auf der Post der Brief geöffnet wird und
in einen neuen Umschlag gesteckt wird.

Es ist ganz klar, warum diese Art der "Verschlüsselung" gewählt
wurde. Der Gesetzgeber besteht darauf, wenn jemand seine E-Mail gerne
verschlüsseln möchte, kann er das trotzdem noch zusätzlich machen. Das
ist richtig, aber der Hauptanteil der Benutzer wird dies nicht
machen. So ist es für die Polizei besonders einfach den Schriftverkehr
einer Zielperson trotzdem mitzulesen.

Im neuen Kontext, dass sich der Staat gerne mal die Gesetze so auslegt
wie er es für richtig hält, sollte sich jeder Fragen, ob er die
De-Mail in dieser Form nutzen möchte. Staatliche Überwachung wurde
hier absichtlich Tür und Tor geöffnet. Und wo der Staat einfach an
Daten kommt, wird er diese Möglichkeit auch vollumfänglich
ausschöpfen. Die Rechtmäßigkeit wird immer erst hinterher geprüft und
das auch nur, wenn der Betroffene Zeit, Geld und Kraft hat sich zu wehren.

Über eins sollte man sich auch immer im Klaren sein. Mailprovider, die
über eine bestimmte Anzahl von Nutzern verfügen, müssen sie
staatlichen Ermittlungsbehörden Zugang für eine Überwachung der
Benutzer bieten.

Es spricht jedoch nichts dagegen selber einen Mailserver zu
betreiben.

Sunday, October 9, 2011

#0zapftis

Jetzt ist die Katze aus dem Sack. Der Chaos Computer Club hat die
Software gefunden, mit dem der Staat die Quellen-TKÜ vornimmt. [1]
Zuerst drängt sich die Frage auf, kann der Club sich sicher sein. Fefe
sagt, sie sind sich ziemlich sicher. Und es gibt berechtigte Indizien
die diese These bekräftigen.

Eine zum Beispiel, nachdem die Überwachungsmaßnahme abgeschlossen
wurde, werden die Betroffenen informiert. Das ist zu finden in dem § 20w
Absatz 1 Nummer 6 BKAG und darauf weist auch das FAQ des BMI hin. [2]
Jemand der Abgehört wurde und bei dem dann nichts gefunden wurde, dem
muss mitgeteilt werden, dass der Opfer einer Überwachungsmaßnahme
geworden ist. Ich vermute mal, dann hat jemand seine Daten gesichert,
die Festplatte ausgebaut und dem CCC zugeschickt.

Es gibt aber noch ein weiteres Indiz, dass an der ganzen Geschichte
einiges dran ist. Alle Politiker die sich bis jetzt vor die Kamera
getraut haben, sind nicht der Polizei beigesprungen und haben nicht
betont was für tolle Arbeit die Beamten leisten. Sie haben auch nicht
gesagt, dass es eine ungeheure Unterstellung ist den Beamten und dem
Staat zu unterstellen er würde hier ein Verfassungsbruch begehen und
die Vorgaben des Bundesverfassungsgericht überschreiten.

Selbst Innenpolitische Hardliner in der CDU wie Bosbach, der
Vorsitzender im Innenausschuß ist, hat dem Tagesspiegel gesagt [3]:

Der Vorsitzende des Innenausschusses im Bundestag, Wolfgang Bosbach
(CDU), hat die Sicherheitsbehörden aufgefordert, die Vorwürfe des
Chaos Computer Club (CCC) gegen den “Bundestrojaner” umgehend
aufzuklären.

“Es handelt sich um einen gravierenden Vorgang”, sagte Bosbach dem
Tagesspiegel

Wolfgang Bosbach wird hier nicht wegen seines Eurokurses der Partei
eins auswischen wollen. Denn bemerkenswert ist hier, dass der
Parlamentarischer Geschäftsführer der CDU Peter Altmaier auf Twitter
bis in die späten Abendstunden über das Thema getwittert hat [4]. Und er ist
zumindestens um Aufklärung bemüht. Bei einen der ersten Posts lobte er
die Arbeit des CCC [5], obwohl die bei den Quellen sehr gespart haben.

Das BMI hat sich bei der Pressemitteilung unwissend gestellt und
gesagt, dass das BKA das nicht einsetzt. Das dieser Code vom BKA kommt
hat der CCC auch nie behauptet. Man muss sich auch die
Aufgabenstellung des BKA ins Gedächtnis rufen, es koordiniert bei
nationaler Verbrechensbekämpfung die Landeskriminalämter. Dass heißt,
die Schmutzarbeit wird dann von den Landeskriminalämtern
durchgefühlt. Somit würden diese dann auch eine solche Software zum
Einsatz bringen.

Es ist also sehr gut möglich, dass diese Software von den
Landeskriminalämtern eingesetzt wurde. Die Bundespolitiker haben auf
alle Fälle durch ihre Kommentare klar gemacht, dass aus dieser
Richtung die Länder nicht auf Hilfe hoffen können. Ob das BKA von der
Software weiß steht auf einem anderen Blatt. Wenn sie es wissen, dann
haben sie die Landeskriminalämter ins offene Messer laufen
lassen. Aber so läuft nunmal die Politik.

Eins ist jedoch klar, die Vorratsdatenspeicherung wird es damit noch
schwerer haben. Es macht es auch mal wieder deutlich, dass IT-Projekte
beim Staat zum scheitern verurteilt sind. Jetzt wird erstmal sehr viel
Schmutz ans Tageslicht kommen. Über die Arbeit der LKAs und die
Auslegung der Gesetze.

Die Frage die sich noch stellt, ist ob es einen Politiker in der
Regierung treffen wird. Hier stehen potentiell drei Namen im Raum.
Der amtierende Innenminister Friedrich (CSU), ihm ist die Polizei und
der Verfassungschutz unterstellt.
Der vorherige Innenminister Thomas de Maizière (CDU), unter seiner
Amtszeit wurden wohl die fraglichen Überwachungsmaßnahmen
durchgeführt. Man darf auch nicht vergessen, er war Innenminister in
Sachsen und hat die Leute ins Amt geholt die dieses Jahr großflächig
die Bevölkerung in Dresden ausspioniert haben.
Und als dritte Person Wolfgang Schäuble (CDU), er hat vor dem
Bundesverfassungsgericht als Innenminister das Urteil zur
Onlinedurchsuchung kassiert. Seine Forderungen waren nämlich Software
einzusetzen, die genau das kann was der CCC jetzt gefunden hat. Auch
darf man nicht vergessen, dass ihm aktuell als Finanzminister der Zoll
unterstellt ist, der die Onlinedurchsuchung auch gerne angewandt
hätte. Es ist auch nicht auszuschließen, dass die Festplatten von
einer Zollüberwachung kommen. Es ist also zwingend eine Stellungnahme
des Finanzministers erforderlich.

Kurzum, ich freue mich auf die kommende Woche, denn wo gehobelt wird
fallen Späne.

Für alle die sich über das Urteil vom Bundesverfassungsgericht von 2008
interessieren, dem kann ich die Zusammenfassung der wichtigsten Punkte
bei Telemedicus empfehlen [6].

Footnotes:
[1]  http://www.ccc.de/de/updates/2011/staatstrojaner

[2]  http://www.bmi.bund.de/SharedDocs/FAQs/DE/Themen/Sicherheit/Datenschutz/Online_Durchsuchungen.html

[3]  http://www.pressemitteilungen-online.de/index.php/bundestrojaner-schnueffelt-mehr-als-vom-verfassungsgericht-zugelassen/

[4]  http://twitter.com/#!/peteraltmaier

[5]  http://twitter.com/#!/peteraltmaier/status/122975344633458688

[6]  http://www.telemedicus.info/article/677-Das-IT-Grundrecht-im-Detail.html

Friday, October 7, 2011

Too big to fail

Die HRE und die Commerzbank haben es deutlich gemacht. Die
Steuergelder die die Banken zu stützen sollten, wurden mit dem
Argument verteilt, dass diese Banken systemrelevant sind.

Systemrelevant, das ist wirklich ein sehr finales Wort. Das ist auch
der Grund, warum es benutzt wurde. Nur langsam sollte man sich die
Frage stellen, ob es für ein System sinnvoll ist ein singlepoint of
failure zu haben.

Wie wäre es in der Natur. Würde leben auf der Erde unmöglich werden,
wenn eine Tierarte ausstirbt? Nein, ganz sicher nicht. Es würde
vielleicht eine schwere Lücke reißen, aber auch die Natur ist nicht
statisch und ein sehr dynamisches Gebilde. Sie passt sich an und füllt
die Lücken. Wie sieht es aus, wenn ein Asteroid auf die Erde stürzt
und den Himmel durch die Staubwolke verdunkelt, würde das Leben
ausgelöscht. Auch hier ist wieder die Antwort nein. Es ist eine
Theorie, dass das schoneinmal passiert ist und die Erde wurde wieder
bevölkert, das Leben ging weiter. Auf dem Meeresboden gibt es
Lebensformen, die als Energiequelle warme Vulkane benutzen, diese sind
nicht vom Sonnenlicht abhängig. Es ist durchaus vorstellbar, dass vom
Meeresboden die Erde erneut besiedelt werden könnte. Nicht in kurzer
Zeit, aber das spielt sowieso keine Rolle.

Warum gönnt sich dann der Mensch ein System, wo angeblich ein Ausfall
alles zum erliegen bringt? Dafür gibt es wohl keine rationale
Erklärung. Es macht nur Sinn, um Monopole zu schaffen. Es ist sehr
bezeichnend, dass in den Jahren vor der Finanzkrise 2008 der Aufkauf
von Banken immer häufiger wurde. In Japan schlossen sich Banken
zusammen und bildeten die größte Bank der Welt, die Deutsche Bank war
auf großer Einkaufstour, in England wurde fleißig gekauft und in den
USA sowieso. Alles nur, damit die Banken besser aufgestellt sind und
im internationalen Vergleich nicht ins Hintertreffen geraten.

Das Risiko wurde wohl von allen falsch eingeschätzt, dafür kann man
wohl niemanden einen Vorwurf machen. Aber warum wird es jetzt weiter
zugelassen, dass es systemrelevante Banken gibt? War das nicht das
Problem?

Es hält sich die Meinung, dass man das Risiko streuen kann, wenn man
in vielen Gebieten aktiv ist. Objektiv stimmt das erstmal. Die
Gesamtwahrscheinlichkeit, dass ein Ereignis eintritt wird bei
unabhängigen Einzelwahrscheinlichkeiten multipliziert. Zum Beispiel,
ich verleihe Geld an meine Schwester und an meinen Bruder. Und meine
Schwester arbeitet bei der Sparkasse als Abteilungsleiterin also ist
die Wahrscheinlichkeit, dass ich das Geld wieder bekomme höher als von
meinen Bruder, der vielleicht auch bei der Sparkasse arbeitet aber nur
an der Kasse. Um Zahlen zu nennen, ich lege jetzt fest, dass die
Ausfallwahrscheinlichkeit bei meiner Schwester 0.2 und bei meinen
Bruder 0.4 wäre. Dann wäre die Wahrscheinlichkeit, dass ich garkein
Geld wiedersehe 0.4 * 0.2 = 0.08. Wow, 0.08 und dafür das beide eine
Zehnerpotenz höhere Wahrscheinlichkeit hatten. Das ist aber nur die
Wahrscheinlichkeit, dass die komplette Summe ausfällt. Die
Wahrscheinlichkeit, dass einer der beiden Ausfällt ist davon nicht
betroffen.

Aber halt, es gibt einen sehr wichtigen Aspekt. Man darf die
Wahrscheinlichkeiten nur multiplizieren, wenn die Ereignisse
unabhängig von einander sind. Aber was ist wenn die Sparkasse Pleite
geht? Dann sind beide betroffen, die Ereignisse sind nicht
unabhängig. In dem Fall addiert man die Wahrscheinlichkeiten, dass
heißt 0.4 + 0.2 = 0.6. Das sieht schon ganz anders aus.

Warum erzähl ich das? Na weil Risiken nicht immer von einander
unabhängig sind, wenn sich alles auf ein Monopolist reduziert. Die
Devise sollte hier dezentrale Strukturen sein. Und das gilt für jedes
Unternehmen. Die Staatengemeinschaft sollte sich hier überlegen, warum
man es weiter zulässt, dass die Banken dazu kaufen. Too big to fail
sollte nicht noch einmal zum Argument werden.

Thursday, October 6, 2011

Der Erfolg der Piraten

Um es drastisch zu sagen, die Parteien haben eine dicke Kackwurst in
der Hose, wenn sie an die Piraten denken. Das interessante ist, dass
sie noch nicht verstanden haben, warum diese Leute im Moment so
erfolgreich sind. Schnell kommt da, ja die machen das mit dem Internet
so gut. Achja? Das ist wohl eine dreiste Schutzbehauptung der
Häuptlinge.

Die Internetseite der Piraten ist nicht gerade übersichtlicher als die
der anderen Parteien. Auch erreicht man eigentlich alle Abgeordnete
über deren Kontaktdaten. Der Kontakt dauert zwar vielleicht länger als
über Twitter, aber das spielt überhaupt keine Rolle.

Der Grund ist die Ideologie und Grabenkämpfe der Parteien. Wer sich die
Debatte im Bundestag zum Thema Eurorettung angehört hat, wird
feststellen, dass ein drittel der Redebeiträge darauf abzielt der
anderen Partei die Schuld zu geben. Ja, es muss auch erlaubt sein, auf
die Fehler der anderen hinzuweisen. Wenn es aber um Lösungen geht,
interessiert es erst bei der zweiten Betrachtung wer die Schuld
hat. Es wird Zeit für pragmatische und adaptive Politik.

Pragmatisch: Die Leute wollen Lösungen sehen und ihnen ist es erstmal
egal, welche Partei sie schickt. Sollte der Lösungsansatz zum Erfolg
führen, wird die Presse und das Volk das schon mitbekommen.

Adaptiv: Die Gesellschaft ist nie statisch, Gesetze werden von den
regierenden mit dem Anspruch auf Ewigkeit gemacht. Das ist einerseits
Fundamental, da man sich auf das Gesetz verlassen muss. Aber in
Deutschland werden Gesetze die schlecht sind und das Ziel verfehlen
selten und dann viel zu spät korrigiert.

Ein Beispiel, das Gesetz um im Internet eine Sperrinfrastruktur
aufzubauen war ein solches schlechtes Gesetz. Man hat gemerkt, dass
von der Leyen (CDU) kein blassen Schimmer von diesem so genannten
Internet hat. Wolfgang Schäuble (CDU) hat dann beiläufig gesagt, bei
diesem Gesetz wurden viele handwerkliche Fehler gemacht. Das ist
eigentlich eine Bankrotterklärung an eine politische Befähigung der
beteiligten. Dennoch hat es wieder Jahre gedauert, bis das Gesetz
abgeschafft wurde.

Warum die Politik in einigen Fällen schnell (Bankenrettung oder
Atomausstieg) und in anderen Fällen so langsam reagiert, ist für die
Menschen überhaupt nicht ersichtlich.

Auch ist es nicht ersichtlich warum ein gewählter
Bundestagsabgeordneter in seiner gewählten Amtszeit ein Buch schreibt
und es gegen Eintritt eine Lesung veranstaltet, wie es Peer Steinbrück
von der SPD macht. Der Mann wurde gewählt, um Politik für Deutschland
zu machen und nicht um Bücher zu schreiben und sich dann entlohnen zu
lassen, wenn er sich mit dem Volk trifft.

Nur zu Erinnerung dieser Mann möchte gern Kanzlerkandidat werden. Die
Bürger sind ihm wirklich egal. Seine Ideologie ist in dem Fall klar, er
mag die Macht und das Geld. Politik für Deutschland? Wohl kaum.

Werden die Piraten es besser machen? Wird sich zeigen, ich denke ehr
nicht, bei den Piraten gibt es bestimmt auch Leute die sich von Geld
und Einfluss verführen lassen, aber durch ihre Transparenz könnten sie
ein Korrektiv schaffen, welches die Medien nicht mehr in der Lage sind
auszufüllen.

Die Medien haben schon Probleme zu erklären was es mit dem
Rettungschirm aufsich hat und stürzen sich lieber dankbar auf den
Streit zwischen Bosbach und Pofalla. Das ist zwar eine wichtige
Meldung, dass der Pofalla ein unfähiger Politiker ist. Aber das Thema
so ausführlich zu beleuchten und die Mechanismen des Rettungsschirm
auszublenden ist sträflich.

Der Regierungssprecher lobte Twitter, weil er damit Nachrichten machen
kann und nicht auf Journalisten angewiesen ist diese abzudrucken. Das
eine Partei mit Transparenz und Twitterfeed zur eigenen
Nachrichtenagentur wird, ist ein weiterer Beweis dafür, dass die
deutsche Presselandschaft kaputtgespart und ausgedünnt ist. Jetzt
können Bürger selber der Wahrheit auf den Zahn fühlen, eines
Journalisten bedarf es nicht mehr.

Rechtes Gedankengut in der Gesellschaft

Ich habe jetzt ein paar Wochen gewartet bis ich mich zu dem Thema rechte
Gewalt äußere. Ich werde auch nicht auf aktuelle Themen
eingehen. Darüber wird genug geschrieben und spekuliert. Wer einen
äußerst qualifizierten Gesprächspartner in Bezug auf Terrorismus sucht
kommt ohnehin nicht umher Kontakt mit Elmar Theveßen aufzunehmen.

Ich finde es jedoch mal wichtiger zu hinterfragen woher diese Haltung
kommt, oder wovon sie gestützt wird. Ersteinmal rechtes Gedankengut,
wo beginnt das. Beginnt das bei der Äußerung, dass eine Religion nicht
zu Deutschland gehört, wie es unser derzeitiger Innenminister von der
CSU bei seinem Amtsantritt verkündet hat? Oder beginnt es erst da,
wenn ein Ausländer verprügelt wird. Hat eine Person schon rechtes
Gedankengut verinnerlicht, wenn sie eine Wohnung zu vermieten hat, sie
aber Menschen mit anders klingenden Namen ab wimmelt?

Die Frage läßt sich nicht so einfach beantworten. Wie auch, seit
Jahren haben wir keine öffentlich geführten Diskussionen zu dem
Thema. Und wenn das Thema erinnert der Diskussionstil an
Mittelalterliche Rhetorik.

Leute die das Gefühl haben, dass Ausländer ihnen die Arbeitsplätze
wegnehmen oder der potentielle Partner mit einer anderen Person
durchbrennt, werden seit Jahrzehnten belächelt und abgestempelt. Wenn
man Leute alleine läßt und nicht argumentativ mit ihnen über ihre
Probleme redet, dann ist das doch kein Wunder.

Eine Diskussion in den Medien läuft immer nach dem gleichen Schema
ab. Rechte Leute sind böse. Ja, das sind sie vielleicht. Wenn man aber
solche Argumente bringt, dann muss man sie begründen. Was auch nicht
schwierig ist, aber es wird nicht mehr gemacht. Es wird einfach
gesagt, dass es so ist, wie das früher gesagt wurde, dass die Erde
eine Scheibe ist. Menschen sind nicht dumm, sie bilden sich Ihre
eigene Meinung, wenn sie aber immer nur Schlussfolgerungen zu hören
bekommen und nicht die Argumente oder in die Diskussion einbezogen
werden. Dann wird sich garnichts ändern.

Wer hat Schuld? Das ist einfach: Alle Medien, alle Parteien und alle
religiösen Vereinigungen. Wenn man extremistisches Gedankengut
nachhaltig entgegenwirken will, dann muss man sich auch auf
Diskussionen in alle Richtungen einlassen. Es gehört nunmal dazu, dass
unterschiedliche Leute verschiedene Ansichten haben. Es wird immer
Nationalisten geben, entweder im CSU Scharfspelz oder in Gruppen wie
der NPD.

Nach der Wahl im Mecklenburg-Vorpommern kam die NPD wieder über die 5%
Hürde. Alle anderen Parteien haben sich dann darüber aufgeregt, dass
das ja nicht sein kann. Damit beleidigt man nur die Protestwähler. Man
kann sich über den Fakt aufregen, aber dann muss man auch Fragen
warum. In dem Wahlprogramm für die Bundestagswahl 2009 fordert die NPD
zum Beispiel unnötige Tierquälerei auf Transporten. Was jetzt eine
Notwendige Tierquälerei ist weiß ich nicht, auf alle Fälle hat die NPD
hier ein Problem erkannt und macht sich darüber Gedanken. Auf der
anderen Seite fordert sie in ihrem Programm, dass das Waffenrecht für
Deutsche gelockert werden sollte.

Das Wahlprogramm bietet also alleine schon genug Ansatzpunkte sich
kritisch mit der Partei auseinander zu setzen. Aber dazu müssen die
Parteien wieder vor Ort anzutreffen sein und sich um die lokalen
Probleme kümmern.

Die Volksparteien werden das kaum noch leisten können. Sie verlieren
jährlich Mitglieder und bekommen kaum neuen Nachwuchs. Warum sollte
ich als junger Mensch in eine Partei eintreten, wo meine Meinung
sowieso den Interessen der Großspender untergeordnet ist.

Eins steht jedoch fest, wer schlechte Kommunalpolitik betreibt, darf
sich nicht wundern, wenn er vom Souveränen die Quittung dafür
erhält. Der Prozentbalken der extremen Parteien ist ein Gradmesser des
Unvermögens der etablierten Parteien.