Hallo Kristian und Michael,
On 5/11/20 1:33 PM, Kristian Rink wrote:
Wieso erstaunt? Ich gehöre auch zu "denen", denn ich sage mir: Mit FLOSS-Lösungen von "irgendjemandem" *könnte* ich verlieren, mit Google&Co *habe* ich verloren - jedenfalls unter einer Sicherheitsperspektive, die "post Snowden" darüber reflektiert, vor wem ich wirklich Angst haben sollte.
"Erstaunt" deswegen, weil Sicherheit immer relativ und völlig sinnlos ohne ein klares Bedrohungsmodell ist. Wer ist denn "der Feind"? Wen will ich vor was genau schützen? Was brauche ich *genau*, um diese Bedrohungen zu unterbinden und den Schutz zu erreichen, den ich will?
ich bin auch nach dem dritten Mal Lesen noch verwirrt: War das nicht genau der Fragehorizont, den ich vorher schon bereits mit der Frage, vor wem genau ich wirklich/besser/eigentlich Angst haben sollte, aufgeworfen hatte?
Beispiel: XMPP, siehe [1]. Wir lernen: Auch dort fallen in relevantem und durchaus nicht unerheblichem Inhalt Metadaten an auf den Servern - der durchaus auch administrativ zu missbrauchen wäre und bei dem an vielen Stellen augenscheinlich eher "happy-path" angenommen wird, dass dort schon niemand Unsinn machen wird.
Eine Perspektive dort etwa: Google, Microsoft, ... sind zumindest klare Einheiten mit Rechtsabteilungen, an denen ich mich juristisch abarbeiten kann und die Prozesse und Verantwortlichkeiten haben. Die haben vor allem auch Prozesse und Möglichkeiten, sich ggfs. gegen Übergriffe durch unerwünschte Dritte zu wehren. Was ist mit (nicht negativ gemeint) einem Feld/Wald/Wiesen-Dienstleister, der von drei, vier Individualisten getragen wird? Hat der Prozesse und Transparenz, um ihm begründet zu vertrauen? Wie robust ist der etwa, sich gegen "Befindlichkeiten" auf Zugriff auf die Systeme, Herausgabe von Daten, ... notfalls zu verteidigen? Wie robust hat der seine IT im Griff, um "Durchgriff" gegen seinen Willen zu unterbinden? Wie "idealistisch" ist der wirklich, um nicht im Zweifelsfall doch einzuknicken, wenn ihn "jemand Externes" mit Geld zuschütten will für gewisse Gegenleistungen in einer Situation, in der gerade wirtschaftliche Unebenheiten zu überwinden sind?
Ja, alles schön ung gut, das "happy-path"-Argument lässt sich aber genauso gut umdrehen: Ich soll also im Zweifel besser dem Angebot von IT-Monopolist X vertrauen, weil der ja eine Rechtsabteilung hat, bei der ich mich notfalls beschweren kann? Ein solches Vertrauen in unser Rechtssystem habe ich verloren, tut mir leid. Nach mehrfachen "Rechtsweg-Erfahrungen" als jemand, der sich keine Rechtschutzversicherung leisten kann (was wohl der Mehrheit unserer Gesellschaft so geht), sind juristische Rechte für mich "Eliten-Rechte". Auf dem Papier sieht unser Rechtssystem wunderbar aus - in der Praxis, nunja, ich will nicht zu ausschweifend werden aber meine letzte Beschwerde bei einem größeren Unternehmen zog sich 4 Jahre hin. Danach war mir klar, dass juristische Auseinandersetzungen nur insofern ein evolutionärer Fortschritt sind als das Recht der körperlich Stärkeren dem der materiell und/oder intellektuell Stärkeren gewichen ist. Das Leben ist dadurch vielleicht unblutiger, aber nicht weniger "ernüchternd".
Viele, die zu diesem Thema kommunizieren, argumentieren (zu Recht) mit Snowden und allem Verwandten, aber die Schlussfolgerungen sind mir teilweise zu fragwürdig. Nach wie vor etwa haben wir viel zu wenig Systeme, die wirklich konsequent (Meta)Daten, Nutzernamen, Kommunikation... verschlüsseln. Wir haben viel zu wenig Systeme, die schnelle und verlässliche Kollaboration und Datenhaltung erlauben, ohne Server zu benötigen. Wir haben viel zu wenig echt *vertrauenswürdige* Endgeräte-Systeme (auch bei Linux ist für Jane Doe das Vertrauen letztlich nur "Glauben", nicht "Wissen" oder gar einfache "Verifizierbarkeit" - spätestens "root" darf alles, und eigentlich reicht ein kompromittiertes Paket im Repository, das mit root-Rechten installiert und vielleicht betrieben wird, um verloren zu haben).
Da gehe ich mit, wobei auch die serverlosen Systeme nichts an der Vertrauensfrage ändern, die für mich die wichtigste der gesamten Debatte ist, allerdings nicht in der Form "Wem kann ich noch vertrauen?", sondern: "Wann, weswegen und warum haben wir verlernt, das Vertrauen ineinander derart zu missbrauchen?"
Fernab solcher Reflexionen habe ich in praktischer Weise die Grenze in der "Post-Vertrauens-Gesellschaft" durch die Frage gezogen, wo ich sinnvoll etwas zu zivilgesellschaftlich kontrollierbaren IT-Systemen beitragen kann: Bei Hardware gewiss nicht (weil wir Jahre davon entfernt sind, eigene, offene Hardware produzieren zu können), bei Software durchaus (weil es Freie Software in ausreichender Menge und Qualität gibt - jedenfalls für meine Anforderungen). Ich hoffe, dass die Standards, die wir heute durch FLOSS für Software einfordern, in 20 Jahren auch für Hardware gelten. FLOSS ist für mich der erste Schritt in diese Richtung.
Was nun Dienste im Netz betrifft halte ich es persönlich wie mit der Wahl zwischen einem Apfel, den mir ein Kleingärtner beim Spaziergang durchs Dorf anbietet und dem, was ich im Supermarkt geboten bekomme: Die Angebote im Supermarkt mögen Güte-Siegel in vielfacher Form haben. Wenn ich die Wahl habe gebe ich immer dem Kleingärtner den Vorzug, weil er für die Welt, in der ich leben möchte, auf jeden Fall etwas richtiger gemacht hat als die, die die Füllstoffe produzieren, die ich im Supermarkt bekomme.
On 5/11/20 2:17 PM, Dr. Michael Stehmann wrote:
Du hast dann sicherlich auch weniger Angst vor einem Bankräuber als vor einem Bankgründer ;-) .
In der Tat. Was passiert denn großartig, wenn mir ein Kleinkrimineller das Konto leerräumt? Ja, ich habe ein paar Tage Ärger, bevor mir die Bank das Geld "zurückgeneriert", aber sonst? Wenn es eine Bank, große Institutionen oder Staaten hingegen auf mich abgesehen haben... ohoh, persona non grata zu sein ist bestimmt nicht witzig, siehe Julian Assange.
Gruß Roland