[wilhelmtux-discussion] fragekatalog
Markus Jordi
markus.jordi at timak.ch
Mon Jul 8 01:10:03 CEST 2002
Hallo Michael
Nachdem ich mein Mail nochmals gelesen habe, musste ich feststellen,
dass ich wohl ein bischen zu Server bezogen gedacht habe. Entsprechend
möchte ich noch Client-seitig Stellung nehmen
Markus Jordi wrote:
>> hallo,
>>
>> anbei ein fragenkatalog für die neue Homepage (wir arbeiten unter
>> tux.hilogix.com daran, kommentare jederzeit willkommen). ich wäre euch
>> dankbar, wenn ihr euch ein paar fragen herauspickt und beantwortet.
>> manche fragen zielen auf redundante antworten ab. ich werde aber
>> versuchen, aus allen antworten ein konsistentes FAQ-argumentarium zu
>> formulieren.
>>
>> manche fragen sind bewusst blöd oder implizieren für Freie Software
>> negative antworten. sowas gehört meiner meinung aber in ein echtes FAQ.
>>
>> je mehr studien oder dokumentierte vorfälle in den antworten enthalten
>> sind, desto glaubwürdiger wirkt das argumentarium. ansonsten bleibt
>> nur logik.
>>
>> gruss,
>>
>> michi
>>
>> fragenkatalog:
>>
>> Seit dem 11. September wird Überwachung allerorten grossgeschrieben.
>> Steht das in Zusammenhang mit der Frage nach Freier oder proprietärer
>> Software?
Server:
>
>
> Für den Überwachten nicht unbedingt, für den Überwacher schon. Das
> Datenschutzproblem für den Überwachten besteht nicht in der eingesetzten
> Software des Überwachers, sondern beim Verhalten des Überwachers. Der
> Überwacher hat bei Freier Software klar den Vorteil, dass er überprüfen
> kann, was seine Software wirklich genau macht.
Client:
Offiziell wohl nicht, wer weiss aber was die Geheimdienste und andere
Regierungsstellen den Herstellern von weit verbreiteter Standardsoftware
fordern? Es bleibt nur dem Hersteller zu vertauen.
Hier hat OpenSource den Vorteil, dass die Chance für die Entdeckung von
Backdoors oder Überwachungsfunktionen rel. gross ist, jedenfalls wenn es
sich um eine weit verbreitete Software handelt. Um aber sicher zu sein,
dass die installierte Applikation tatsächlich dem gesichteten Source
entspricht, muss der Source selber kompiliert werden.
>
>> Die wichtigsten Softwareprodukte kommen aus den USA. Hat das
>> datenschutzrechlich Bedeutung?
>
>
> Absolut. In Amerika gelten andere, lockerere und wohl fast nicht
> existente Gesetze betreffend Datenschutz.
>
> Hier stellt sich die Frage, was mit Personendaten geschieht, die von
> amerikanischen Firmen in Europa gesammelt werden. Ich gehe einmal davon
> aus, dass diese Daten innerhalb der Firma auch in die USA gelangen. Was
> dort mit diesen geschieht und wie diese dort ausgetauscht werden ist
> sehr schwer zu beobachten oder zu kontrollieren.
>
> Selbstverständlich besteht das selbe Problem auch von europäischen
> Firmen, die weltweit und auch in den USA tätig sind.
Dies gilt sowohl für Client wie auch Server.
>> Das Datenschutzgesetzt verlangt in Art. 7, dass Personendaten durch
>> angemessene technische und organisatorische Massnahmen gegen
>> unbefugtes Bearbeiten geschützt werden müssen. Was ist angemessen?
>
>
>
>
>> Neben der Bearbeitung von Daten ist der Zugriff relevant. Ist das
>> nicht einfach eine Frage der Sicherheit der Firewall?
>
Server:
>
> Ich kenne auch Beispiele, bei denen eine Firewall ein Datenschutzproblem
> nicht verhindert hätte (siehe z.B.
> http://www.symlink.ch/articles/01/09/26/1843211.shtml und
> http://www.symlink.ch/articles/01/10/03/217216.shtml). Solange Leute wie
> im Beispiel Webseiten entwickeln und nicht wissen, was sie (technisch)
> tun (Datensammlungen in frei zugänglichen Verzeichnissen auf dem Server
> anlegen), kann auch eine Firewall die Problematik nicht beheben. Die
> notwendige Fach-Kompetenz der entsprechenden Leute ist 100mal wichtiger
> als eine Firewall.
Client:
Wenn man der Firewall vertraut. Es ist sicher ratsam, dass auf einem
Rechner mit einer Firewall festgelegt wird, welche Applikation und für
welchen Zweck auf das Netzwerk zugreiffen darf. Auch hier gilt: Bei
ClosedSource muss ich vertrauen, bei OpenSource kann ich mich selber
versichern, wenn ich das Bedürfnis habe.
>> Wieso sollte Software von grossen Herstellern unsicher sein? Es liegt
>> doch in ihrem ureigenen Interesse, dass sie das nicht ist?
>
>
> Die erste Frage kann sicher nicht allgemein in die eine oder andere
> Richtung beantwortet werden (Geheimdienst-Geschichten einmal abgesehen).
> Das Problem von gross und klein muss auf die Verbreitung der Produkte
> übertragen werden. Hat ein weit verbreitetes Produkt ein
> Fehler/Sichterheitsproblem ist dies sicher schwerwiegender, als bei
> einem Produkt, das nur vereinzelt eingesetzt wird. Ein grosser
> Hersteller hat das Problem, dass er all seine Kunden erreichen muss und
> dass diese die Anweisung auch befolgen resp. das Wissen haben die
> Anweisungen befolgen zu können.
>
> Meistens hat die Verbreitung auch mit dem "einfachen" und "universellen"
> Einsatz der Software zu tun. Nach dem Motto "oh, das ist Windows, das
> kenn ich" kann mancher fortgeschrittener Anwender ein Windows-Server zum
> Laufen bringen. Dass ein solcher Server dann ein Sicherheits-Emmentaler
> ist, dürfte den meisten wohl nicht bewusst sein, denn Hauptsache das
> Ding läuft und kostet möglichst nichts.
> Oder generell: Diese weit verbreiteten Produkte sind meistens so offen
> nach der Installation, dass die meisten Funktionen ohne viel Fachwissen
> verwendet werden können. Erst wenn diese Installationen sicher gemacht
> werden sollen, wird Fachwissen benötigt. Da wir wissen, dass Fachwissen
> kostet und die installation ja auch ohne Fachwissen funktioniert, können
> wir uns die Kosten sparen.
>
>> Für den Durchschnittsanwender ist Datenschutz eine Sache von Treu und
>> Glauben. Wieso sollte der Einsatz Freier Software ihm hier mehr
>> Sicherheit geben, wenn er selbst mit dem Code nichts anfangen kann?
>
Server:
>
> Für den Durchschnittsanwender bleibt es wohl immer bei Treu und Glauben.
> Es kommt auf den Betreiber der Datensammlung an und nicht auf die
> eingesetzte Software. Ausserdem weiss der Durchnittsanwender meistens
> nicht, was für eine Software eingesetzt wird.
>
Client:
Einer OpenSource kann mehr vertraut werden, weill mehr von einander
unabhängige und unbefangene Leute den Source einsehen können und so die
Chancen sehr gross sind, dass Sicherheitsprobleme oder Backdoors früher
oder später zu Tage kommen. Ist ein solches Problem bekannt, ist es
innerhalb weniger Stunden oder Tage behoben.
>> Wieso sollte man den Herstellern von proprietärer Software nicht
>> vertrauen können? Millionen von Anwendern tun das.
>
>
> Ob die Anwender vertrauen möchte ich in Frage stellen! Die meisten
> setzen sich gar nicht mit der eingesetzten Software auseinander. Wenn
> der Rechner beim Discounter gekauft wird ist ja schon alles drauf und
> alles funktioniert. Und funktioniert etwas nicht oder hat komische
> effekte wird zuerst an sich selber gezweifelt den am Computer.
>
>> Ist man als Anwender nicht vollkommen sicher, wenn man niemals online
>> ist?
>
Serverseitige Spionage:
>
> Ob man online ist, regelmässig seine Cumulus- oder
> C***-Profitkarte-Karte zeigt, mit der Kreditkarte-Karte bezahlt,
> irgendein Unternehmen sammelt immer Daten über seine Kunden. Ob die
> nicht online gesammelten Daten betreffend Datenschutz besser behandelt
> werden als die online erfassten wage ich zu bezweifeln.
>
> Datenschutz ist keine Frage ob online oder nicht, denn auch nicht online
> erfasste Daten landen in einem Netzwerk, dass schlussendlich irgendwie
> und irgenwo mit dem Internet verbunden sein dürfte.
Client:
Viele Normalbenutzer bemerken wohl nicht, welche Programme online gehen
und welche nicht. Die meisten Applikationen mit "nach Hause
telefonieren"-Mentalität testen, ob der Benutzer online ist oder nicht
und verhalten sich entsprechend deffensiv.
>
>> Gibt es Beispiele dafür, dass Softwarehersteller das Vertrauen von
>> Anwendern missbraucht haben?
>
>
> Z.B. die dauernden Lizenzänderungen von Microsoft. Oder auch die
> Default-Einstellungen von Software von eben dieser Firma. Sie werben
> zwar mit den Features für den Persönlichkeitsschutz, die
> Standardeinstellungen sind aber das pure Gegenteil. Das heisst,
> Otto-Normalverbraucher hat von den Schutzmassnahmen kein Nutzen, da
> dieser die Standareinstellungen in den meisten Fällen nicht anfassen würde.
>
> Z.B. die BSA hat in Deutschland vor einigen Monaten Warnbriefe
> verschickt. Die Adressdaten hatte diese von den Mitgliederfirmen
> gesammelt, sprich, diese haben die Daten ohne Wissen oder zumindest
> Bewusstsein der Kunden einem dritten weitergegeben.
>
>> Wie kommen grosse Softwarehersteller an die Daten ihrer Kunden?
>>
>> Welche Daten sammelt bspw. Microsoft über die Anwender?
>
>
> Wer weiss das schon? Z.B. sind die Daten für die Registrierung einer
> Software oft verschlüsselt. Da können so viele Informationen auch in
> kurzer Zeit übertragen werden, dass der Empfänger z.B. Informationen
> über die History im Browser, über die Installierte Software und was auch
> immer ich auf einem Rechner mache, sammeln kann. Der Fantasie ist hier
> wohl keine Grenzen gesetzt, der Beweisbarkeit wohl eher.
>
>> Werden über statistische Informationen hinaus Daten von Unternehmen
>> gesammelt? Kennt der Hersteller meines Betriebssystems meine Festplatte?
>
>
> Bei einem Windows-Rechner mit Standleitung zum Internet gehe ich einmal
> davon aus. Aber ich kann mir auch vorstellen, dass Firmen wie Apple oder
> Sun nicht besser sind, nur wer kann das beweisen? Das Problem betrifft
> aber nicht nur die OS-Hersteller, sondern auch die Hersteller von
> Applikationen, denn auch diese können die selben Daten sammeln. Welche
> Informationen z.B. bei einem täglichen Virenscanner-Update den Rechner
> verlassen darf wohl auch hinterfragt werden.
>
>> Wie merkt man als normaler Anwender, dass Daten versendet werden, ohne
>> dass man es will?
>
> Gar nicht, wenn er mit einem Standard-Rechner aus dem Supermarkt online
> ist. Meistens weiss der Anwender ja nicht einmal, was die vielen schönen
> Lämpchen am Modem bedeuten.
>
>> Wenn offener Quellcode sicherer sein soll, warum setzt man Freie
>> Software nicht überall ein, wo der Datenschutz relevant ist?
>
>
Server:
> Nun, freie Software garantiert keinen Datenschutz. Wenn ich mein
> Unternehmen seriös mit guten Datenschutz betreiben will, kann ich mit
> Open Source-Software sicherstellen, welche Daten von meinen Rechner
> verschickt werden und ob die von mir eingesetzte Software mein Vertauen
> geniessen soll oder nicht. Praktisch muss ich jedoch die Frage in den
> Raum stellen, wer hat schon die Resoucen und das Wissen den gesamten
> Source der eingesetzten Software nach Problemstellen zu durchsuchen?
>
Client:
Der Normalanwender ist sich die Problematik nicht bewusst und
intressiert sich auch nicht darum. Er empört sich nur, wenn ein
Missbrauch, wie z.B. mit Dialer, weit bekannt werden. Die Ursache kann
er nicht erkennen, da er das notwendige Fachwissen für die korrekte
Einschätzung der Problematik nicht hat.
>> Gibt es Freie Software, die in Sachen Funktionalität und
>> Anwenderfreundlichkeit proprietärer Software die Stirn bieten kann?
>
>
> OpenOffice, Mozilla
>
>> Gibt es Anwendungsbereiche, wo Freie Software proprietäre Produkte
>> nicht substituieren kann?
>
>
> Software für Spezialgebiete, für die sich keine Entwickler intressieren
> oder wenn ein Softwarehersteller für die Funktion seiner Software
> geradestehen muss (Flugindustrie, Medizin, Steuerung von Anlagen mit
> gefährdung von Mensch und Umwelt,...).
>
>> Gibt es Anwendungsbereiche, wo proprietäre Produkte Freie Software
>> nicht substituieren können?
>
>
> Netzwerk und Kommunikation. Bei der Kommunikation müssen sich mind. 2
> Partner vertauen. Je offener eine Kommunikations-Software ist, desto
> grösser ist deren Sicherheit, da mehr Augen deren Code durchkämmen. Dies
> gilt wohl jedoch nur für Code von grossen und relevanten
> Software-Projekten.
>
>> Gibt es Beispiele für den konsequenten Einsatz Freier Software bei
>> grossen Firmen oder Instituionen der öffentlichen Hand?
>
>
> ----
>
> Bei all diesen Fragen und Antworten bleibt aber der Datenschutz
> Vertrauenssache => der Benutzer muss dem Betreiber vertauen.
>
>
>
Sorry für diese Nachlieferung.
Gruss
Markus