Bernds Blog

Heute bzw. gestern Abend kamen mal wieder ein paar Artikel zum geplanten E-Mail-Dienst des Innenministeriums namens »DE-Mail« in der Onlinepresse.

Kurz gefasst denke ich, dass dieses Projekt das Potenzial hat, sich in eine Reihe unrühmlicher Geldgräber einzugliedern.

Besonders gefallen hat mir der Heise-Artikel dazu. Ich möchte mal etwas pedantisch auf ein paar Abschnitten herumreiten:

Schallbruch teilte auch die Kritik aus dem Bereich der kommunalen Anwender des OSCI-Standards (Online Services Computer Interface) nicht, wonach auf dieser Basis bereits Möglichkeiten zum verschlüsselten E-Mail- und Dokumentenversand über gängige Mail-Adressen bestünden. Dafür bräuchte es bei allen Kommunikationspartnern komplizierte Verschlüsselungsarchitekturen. Beide Seiten müssten auf ihrem eigenen PC einen OSCI-Client installieren, wobei keiner für die Systemsicherheit bürgen könne.

Der neue Dient wird also »sicher«. Absolut sicher. Schließlich verbürgt sich da jemand dafür. Ich frage mich nur: Wer? Wenn ich den Dienst nutze und ein Sicherheits-Problem auftritt. Wer zahlt mir dann eine Entschädigung? Der Bund? Die beteiligten Firmen? Der Vorstandsvorsitzende der verantwortlichen Firma? Oder ist diese Art des Verbürgens vielleicht eher sowas wie: »Wenn es ein Problem gibt, werden wir aber ganz energisch mit dem Zeigefinger fuchteln bis jemand sagt, dass wir das in Zukunft besser machen«?

Zugleich verwies der IT-Direktor auf hohe Kostensenkungseffekte. Wenn allein acht Prozent des derzeitigen Postverkehrs über das neue Verfahren abgewickelt würden, könnten die Absender eine Milliarde Euro Porto sparen. Dieser Summe stünden Aufwendungen für den Aufbau der Kommunikationsinfrastrukturen gegenüber.

Okay, auch wenn wir mal annehmen, dass mit dieser vorsichtigen Formulierung nicht ausgeschlossen werden soll, dass die Milliarde sofort wieder in die Kommunikationsinfrastruktur gepumpt wird, dann verliert die Post also eine Milliarde (in einem nicht genannten Zeitraum, möglicherweise pro Jahr). Diese Milliarde wird dann also als Finanzhilfe wieder investiert weil es dem Konzern dann plötzlich schlecht geht wenn keiner mehr Briefe verschickt. Ergo: Milchmädchenrechnung.

Aber das sind ja Details. Richtig schlecht wird mir dann bei sowas:

Die ganzen Sicherheitsmechanismen sollten beim Provider im Hintergrund ablaufen, um die Nutzung so einfach wie möglich zu machen. So sei dort etwa eine Kontrolle auf Schadsoftware und eine Versandberechtigung, die Integritätssicherung über eine Prüfsumme, die Verschlüsselung über S/MIME und eine Ergänzung von Metadaten durchzuführen.

Bitte nochmal langsam lesen.
Ja, die begründen ihre Sicherheit wirklich damit, dass beim Provider die Daten verschlüsselt werden. Damit der seine Daten dort eintragen kann wird dann vermutlich eine normale end-to-end-Verschlüsellung nicht vorgesehen werden oder wie? Zudem: Schadsoftware? Hieß es nicht eben noch, der Dienst sei spamfrei? Ist er vielleicht nur ein bisschen spamfrei?

Heise Telepolis schreibt heute in einem Artikel über die Möglichkeiten des PIN-Abgriffs bei Lidl folgenden Absatz zur Biometrie:

Ob die von der ebenfalls im Videoüberwachungsskandal verwickelten Edeka-Kette als Lösung propagierten Fingerabdruckbezahlverfahren Abhilfe schaffen, ist mehr als fraglich. Tatsächlichen Sicherheitsgewinn brächte dagegen eine Umstellung auf die Erkennung des individuellen Venenmusters. In Japan wird dieses Verfahren bereits seit geraumer Zeit an Geldautomaten eingesetzt.

Ich sehe das aber sehr skeptisch. Vor der Zeit der elektronischen Datenbanken galten Fingerabdrücke als sehr sicher, ja es galt eigentlich sogar als ausgeschlossen, dass es da Verwechslungen gibt. Trotzdem denken wir heute, nach Beginn des allgemeinen Biometrie-Hype anders darüber. Die in immer größeren Stückzahlen hergestellten Fingerabdruck-Scanner erkennen nicht zuverlässig genug, Fingerabdrücke werden sowohl für die Aufklärung von mehr und weniger schweren Straftaten als auch für Lappalien wie Laptop-Zugangskontrolle verwendet.

Die Aussage von Heise Telepolis kann ich aber aus einem anderen Grund nicht wirklich unterstützen. Hier wird Biometrie empfohlen als Alternative zur anderer Biometrie. Meiner Ansicht nach, stellt sich momentan jede Biometrie als Passwort-Ersatz dar. Ob es gute Passwörter (Venenmuster, Iris-Scan) oder schlechte Passwörter (Fingerabdruck, Gesichtsmetriken) sind, spielt keine Rolle, es sind immer noch Passwörter.

Jedem Computer-Benutzer werden immer wieder 3 wichtige Grundregeln für die Verwendung von Passwörtern mit auf den Weg gegeben (zudem, dass man sich ein sicheres Passwort aussuchen soll):

1. Ändere dein Passwort gelegentlich
2. Sorge dafür, dass niemand dein Passwort herausfinden kann
3. Benutze für unterschiedliche Zugänge auch unterschiedliche Passwörter

Und diese drei Regeln lassen sich mit Biometrie nicht abbilden. Und zwar gleich welche Biometrie man nimmt. Man kann natürlich mehrere Merkmale unterschiedlich kombinieren, aber das ändert nichts am Problem.

Wir haben heute die Situation, dass jemand, der meinen Fingerabdruck reproduziert, damit bei Edeka einkaufen kann. Der CCC veröffentlichte jüngst den Bausatz mit Erklärung, wie man Fingerabdrücke sichert und reproduziert. Dass das ganze dann bei Edeka funktioniert ist ebenfalls bewiesen.

Es wird nicht lange dauern, bis es entsprechende Techniken gibt um Iris- oder Venenmuster zu reproduzieren. Wenn mein Bankkonto dann darüber geschützt ist, sehe ich wenig Handhabe über den Missbrauch, der damit möglich ist. Je sicherer eine Technologie in den Medien beschrieben wird, um so blinder ist das Vertrauen darin.

Die Frage, die ich den Verantwortlichen dabei gelegentlich mal stellen möchte ist: Wenn jemand mein Venenmuster reproduziert (und ich das merke), wie kann ich dann neue Zugangsdaten für mein Bankkonto erhalten?

Jeder, der den Titel dieses Blogpostings oder Teile daraus liest, schreibt oder danach sucht, ist ein Schwerverbrecher, Terrorist, Journalist oder freier Mensch. Egal was davon: Er gehört gefunden, inhaftiert, exekutiert und vor allem überwacht und reglementiert.

So in etwa muss man sich das meiner Meinung nach in der Praxis vorstellen, was EU-Kommissar Franco Frattini momentan ausbrütet.

Golem berichtet:

Der für Justiz und Sicherheit zuständige EU-Kommissar Franco Frattini will prüfen, wie mit technischen Mitteln verhindert werden kann, dass Menschen "gefährliche Worte" wie beispielsweise "Terrorismus" oder "Bombe" im Internet benutzen oder nach diesen suchen.

Mein Vorschlag: Das deutsche Innenministerium soll den angeblich einsatzbereiten Bundestrojaner mit all seinen Eigenschaften (auf jedes System installierbar, nicht entdeckbar, ...) für teuer Geld an die EU verkaufen. Über diesen kann die EU dann jeden identifizieren der solch böse Sachen macht.
Dann kann Herr Schäuble das vorauszusehende Nichtfunktionieren auf die Unfäghigkeit der EU-Ermittler schieben und den Inlandseinsatz klammheimlich abblasen.

Alle wären fein raus und die Steuerverschwendung wäre auf die ganze EU verteilt.

Ich denke, dass das Innenministerium diesen Vorschlag durch heimliche Bespitzelung meiner Blog-Besucher bestimmt finden wird.

Eben bei Spiegel-Online entdeckt: Weg frei für Rollstuhlfahrer.

Der Artikel beginnt mit dem, was wir beim letzten LUG-Vortrag über OpenStreetMap gelernt haben und macht dann einen heiklen Bruch, indem darauf verwiesen wird, dass das ganze auf Microsoft-PDAs und Microsoft- oder Google-Karten aufbauen soll. Das Programm, dessen Website ich auf die Schnelle nicht finden konnte, soll angeblich umsonst angeboten werden.

Sollte es sich letztlich um freie Software handeln, dann gäbe es endlich einen Ansatz von freier Navigation, das fehlt bisher noch.

Nur, in Ihrer Übereifrigkeit scheinen diese Herrschaften Informatiker übersehen zu haben, dass es mit OpenStreetMap eine Karten-Basis gibt, die sich eigentlich hervorragend eignet um dieses Projekt darauf zu stützen. Vielleicht sollte man denen das sagen? ;-)

Auch würde mich interessieren, ob dieses Programm dann auch einen Brief von Google bekommt, dass man deren Karten bitte nicht verwenden mag.

Hab grade diesen hochinteressanten Artikel auf Telepolis gelesen.

In einem hier nicht näher zu nennenden Web-Forum bin ich grade auf diesen Artikel gestoßen.

Suche managed Server

ca. 150 GB Webspace

linux-Confix

unlimidet Domains oder Accound einschaltbar
Unlimidet Subdomains

Traffic inklusive
unlimidet E-Mail-Postfächer
unlimidet MySQL DB
alles was Mann für Hosting braucht vor installiert. (Php,Mysql,usw.)

unkompliziert über 3. Namen (Ausländische) Domain registrierbar.

unter unlimidet verstehe ich auch genügend !!!


bis zu. 100 €

Als Kritiker von zentralisierten Diensten und sowieso Freund und Verfechter von freiem Datenfluss kann ich natürlich die verbreiteten, proprietären Instant-Messaging-Netzwerke wie ICQ, AIM oder noch schlimmer MSN-Messenger gar nicht gut heißen.

Diese IM-Protokolle gehen alle über einen zentralen Server (ja, ich weiß dass da Cluster stehen), der von jeweils einer Firma betrieben wird und alle Nachrichten die man schickt, können von dieser Firma gelesen und gespeichert werden. Technisch. AOL nimmt sich eben dieses Recht auch in den Nutzungsbedingungen explizit heraus.

Aber zum Glück hat die Free-Software-Gemeinde hier einen guten Gegenvorschlag eingebracht und mit Jabber steht ein System zur Verfügung, das genau diese Krankheit nicht hat. Es ist genau so organisiert wie E-Mail, man hat eine ID in der nicht nur ein Name sondern auch eine Domain enthalten ist und jeder kann (wenn er will) einen Jabber-Server installieren. Es stehen dazu verschiedene freie Varianten zur Verfügung.

Vorteil: Jabber ist sicher. Im Gegensatz zu den meisten anderen IM-Diensten wird bei Jabber (sofern man die Option setzt) alles SSL-gesichert übertragen. Und Jabber ist dezentral. Ich entscheide, wer meine Nachrichten sehen kann. Ich entscheide, wer meine Kontaktliste sieht. Und keiner kann die Liste der Kontakte meiner Kontakte erstellen, solange er nur einen Server einsehen kann, noch nichtmal ich selbst.

Nachteil: Leider ist die Masse der User noch der Meinung, nur was alle haben kann was taugen. ICQ ist einfach "etabliert".

Zum Glück wachsen jetzt nicht, wie vor ein paar Jahren, noch mehr neue Ausgeburten von eigenständigen, proprietären IM-Protokollen. Dennoch gibt es neue Messenger. Und zwar nach Google-Talk nun auch GMX- und web.de-Messenger. Und alle drei bauen auf Jabber auf. Man sieht es nicht an deren Werbung. Aber man kann die Messenger-Funktion mit einem ganz normalen Jabber-Client benutzen.

Also, wenn jetzt alle, die Google-Mail, web.de oder GMX nutzen als Instant-Messenger auch noch Jabber nutzen (Hint: GAIM kann auch noch ICQ zusätzlich), dann wird die Welt wieder ein bisschen besser. Einfach E-Mail-Adresse als Jabber-ID benutzen. Dann kann man mit mir (auch E-Mail-Adresse und Jabber-ID gleich) chatten, ohne dass ich irgendwo bei einer Firma einen zentralen Account brauche.

Kleiner Hinweis am Rande: GMX bietet leider keine Transports zu ICQ und anderen Netzwerken, obwohl das technisch natürlich geht. Unser Jabber-Server hat sowas. :) Zudem muss man zumindest bei PSI die Option "Passwort unverschlüsselt übertragen" aktivieren, was mich nicht grade gefreut hat. Wenigstens funktioniert eine SSL-Verbindung.

Obige Aussage sei zur Zeit die Standard-Antwort, wenn man jemanden nach seinen Kontaktdaten fragt, sagen meine Anfis. :)

Dabei habe ich noch nicht mal was dagegen, wenn man seine Nummern nicht mehr auswendig weiß (auch wenn ich meine schon lange nicht mehr genutzte ICQ-Nummer immer noch weiß) sondern irgendwo online abrufbar macht.

Dieser Artikel soll ja noch nicht mal darauf hinaus, dass ICQ ein dreckiges proprietäres Protokoll ist, das erst kürzlich wieder einige freie Clients rausgeworfen hat. Nein, was mich hier stutzig macht ist die Tatsache, dass hier ein gigantisches Netzwerk mit absoluter Selbstverständlichkeit benutzt wird.

Gleich mal die provokante Frage: Sind das bei StudiVZ eigentlich die selben Studenten, die sich vor ein paar Jahren massivst gegen die angekündigte Rasterfahndung gestellt haben?

Die meisten wissen, dass ich alles Web-2.0-alles-muss-mit-allem-verlinkt-sein-Gedöns erstmal extrem kritisch sehe. Blogs und Konsorten sind dezentral gespeichert und damit völlig in Ordnung. Zentralisierte Daten-Sammler wie flickr und del.icio.us bringen bei mir große Alarmglocken in Stellung, kommen aber nahezu ohne personenbezogene Daten aus und sind daher zu legitimieren.

OpenBC / XING ist mir da schon eher ein Dorn im Auge. Ja, ich habe mich dort angemeldet, weil ich davon ausgehe, dass ich darüber eventuell ernsthaft Kontakte knüpfen kann. Es ist auch erstaunlich, wie dieses System es schafft, eine Verbindung zu jedem anderen user über max. 5 Schritte herzustellen. Immer wenn ich irgendwelche Daten dort eingebe, muss ich mich zwingen, das einfach hinzunehmen und denke dann immer an Dinge wie "Es wird angezeigt, dass in den letzten Minuten 5 Leute meine Firmen-Website aufgerufen haben. Da könnte schon auch mal eine Kunde werden." Wohl ist mir aber nicht, wenn ich weiß, dass immer zentral gespeichert wird wann ich welche Seite aufrufe, wann ich nach was suche und wann ich welchen Forumseintrag lese.

StudiVZ ist ebenfalls ein solches "Wir sind alle eine Familie"-Netzwerk, das eigentlich keine wirkliche Daseinsberechtigung hat. Was braucht ein Student? Eine Möglichkeit, an Tipps zu speziellen Aufgaben zu kommen und eine Plattform um Übungsgruppenpartner zu finden. Lassen wir mal die Offline-Variante weg, denn das können Informatiker nicht. Dennoch würde ich hier nie auf die Idee kommen, meinen Übungsgruppenpartner deutschlandweit auszusuchen. Nein, ich sollte an der Uni oder besser gesagt im selben Fachbereich oder gar selben Jahrgang bleiben. IMHO. Interdiszipinären Austausch und Meinungsvielfalt auf bundesweiter ebene regeln Web-Foren.
Die Fachschaft betreibt einen Server mit zumindest mal eine Mailingliste. Ein Forum wäre schnell eingerichtet, gibt es für die Info-I auch schon.
Liebe Studenten: Selbst wenn die StudiVZ-Gründer nur halb so fahrlässig mit den Daten umgehen wie man angesichts der aktuellen Pressemeldungen den Anschein bekommt, versteh ich nicht, wie man dort allen möglichen Geraffel eintragen kann.

Man vertraut also einer zwielichtigen Firma, die definitiv mit Marketing-Daten (wenn auch ggf nur anonyme) Geld scheffelt, mehr als dem Staat? Nein, ich mag Rasterfahndung auch nicht leiden. Aber wenn schon sowas, dann bitte staatlich kontrolliert.

Aber gut, wir haben informationelle Selbstbestimmung, jeder kann überall eintragen was er will. Besser wär's trotzdem, wenn die Benutzer dann nicht immer und überall voraussetzen würden, dass jeder andere das auch nutzt.

Bastian Sick (»Zwiebelfisch«) erklärt im jetzt nicht mehr ganz taufrischen Zwiebelfisch-Artikel einige Anglizismen bzw. Amerikanismen und schließt mit diesem Satz:

Aber wenn der frühe Vogel bereits Sinn macht, dann wird am Ende des Tages auch Halloween für jedermann etwas meinen.

Besonders aufschlußreich finde ich den Abschnitt über Bambi. Jetzt weiß ich endlich warum so viele Leute denken, bei uns gäbe es Hirsche, nur weil es Rehe gibt.

Nochmal für alle Bambi-aufgeklärten Stadtkinder: Reh (Gattung »Trughirsche«) ist Reh (»Ricke« oder »Geiß« und »Bock«) und Hirsch (Gattung »Echte Hirsche«) ist Hirsch (»Kuh« und »Hirsch«). Rehe gibt es überall, Hirsche gibt es (in Deutschland wild lebend nur Rothirsche) nur in Reservaten/Nationalparks. Im Schönbuch beispielsweise.

Heute bin ich um 18:39 Uhr an der BG-Unfallklinik in den heranfahrenden Bus der Linie 5 eingestiegen, wohl wissend, dass der bis zum Sand durchfährt (bei WHO zur Linie 2 wird).
Bei WHO habe ich zur Sicherheit (man kennt ja die Tübinger Busse) einen der einsteigenden Fahrgäste gefragt, ob es sich um die Linie 2 handelt. Die Antwort war "Nein, das hier ist die Linie 4".

Wow, gut dass ich gefragt habe. Also raus, nochmal auf die Anzeige am Bus geschaut. Tatsache, Linie 4. Da der Fahrer noch etwas gewartet hat, hab ich nochmal auf dem Fahrplan geschaut. Es gibt aber um auch nur ungefähr diese Zeit keinen Bus der von Linie 5 zu Linie 2 wird. Er müsste dann grade 20 Minuten Verspätung haben.
Also kurze Rückfrage beim Fahrer, ob er wirklich als Linie 4 weiterfährt.

Der Fahrer steigt aus, zeigt auf die Leuchtanzeige außen und fragt mich "Was steht da, bitte?". "Linie 4" sage ich. Ein strafender Blick ist die Antwort.
Ich sage noch so ganz locker als Abschluß: "Hätte ja sein können, in Tübingen steht manchmal etwas falsches außen drauf." Der Fahrer kommt wieder heraus, kramt in seinem Geldbeutel und streckt mir eine Münze hin: "Danke dass Sie mir das gesagt haben, das wusste ich nicht. Hier, können Sie sich einen Kaffee dafür kaufen." Ich bin verwirrt und winke ab.

Fahrer dreht sich um, setzt sich an seinen Platz. Türen gehen zu, Fahrer drückt nochmal auf seinen Knöpfen rum. Die Anzeige ändert sich von Linie 4 zu Linie 2 und der Bus fährt ab.

Krass, oder?