[wilhelmtux-discussion] fragekatalog

Sam Jul 6 21:06:09 CEST 2002

Hallo Michael

Ich habe auch schon die Stellungnahme von Mathias gelesen, möchte mich 
aber auch noch zu Wort melden.

Generell habe ich Mühe mit der Bezeichnung Freie Software, ich gehe 
einmal davon aus, dass Freie Software == OpenSource.

Michael Jaeger wrote:
> hallo,
> 
> anbei ein fragenkatalog für die neue Homepage (wir arbeiten unter 
> tux.hilogix.com daran, kommentare jederzeit willkommen). ich wäre euch 
> dankbar, wenn ihr euch ein paar fragen herauspickt und beantwortet. 
> manche fragen zielen auf redundante antworten ab. ich werde aber 
> versuchen, aus allen antworten ein konsistentes FAQ-argumentarium zu 
> formulieren.
> 
> manche fragen sind bewusst blöd oder implizieren für Freie Software 
> negative antworten. sowas gehört meiner meinung aber in ein echtes FAQ.
> 
> je mehr studien oder dokumentierte vorfälle in den antworten enthalten 
> sind, desto glaubwürdiger wirkt das argumentarium. ansonsten bleibt nur 
> logik.
> 
> gruss,
> 
> michi
> 
> fragenkatalog:
> 
> Seit dem 11. September wird Überwachung allerorten grossgeschrieben. 
> Steht das in Zusammenhang mit der Frage nach Freier oder proprietärer 
> Software?

Für den Überwachten nicht unbedingt, für den Überwacher schon. Das 
Datenschutzproblem für den Überwachten besteht nicht in der eingesetzten 
Software des Überwachers, sondern beim Verhalten des Überwachers. Der 
Überwacher hat bei Freier Software klar den Vorteil, dass er überprüfen 
kann, was seine Software wirklich genau macht.

> Die wichtigsten Softwareprodukte kommen aus den USA. Hat das 
> datenschutzrechlich Bedeutung?

Absolut. In Amerika gelten andere, lockerere und wohl fast nicht 
existente Gesetze betreffend Datenschutz.

Hier stellt sich die Frage, was mit Personendaten geschieht, die von 
amerikanischen Firmen in Europa gesammelt werden. Ich gehe einmal davon 
aus, dass diese Daten innerhalb der Firma auch in die USA gelangen. Was 
dort mit diesen geschieht und wie diese dort ausgetauscht werden ist 
sehr schwer zu beobachten oder zu kontrollieren.

Selbstverständlich besteht das selbe Problem auch von europäischen 
Firmen, die weltweit und auch in den USA tätig sind.

> Das Datenschutzgesetzt verlangt in Art. 7, dass Personendaten durch 
> angemessene technische und organisatorische Massnahmen gegen 
> unbefugtes Bearbeiten geschützt werden müssen. Was ist angemessen?

> Neben der Bearbeitung von Daten ist der Zugriff relevant. Ist das nicht 
> einfach eine Frage der Sicherheit der Firewall?

Ich kenne auch Beispiele, bei denen eine Firewall ein Datenschutzproblem 
nicht verhindert hätte (siehe z.B. 
http://www.symlink.ch/articles/01/09/26/1843211.shtml und 
http://www.symlink.ch/articles/01/10/03/217216.shtml). Solange Leute wie 
im Beispiel Webseiten entwickeln und nicht wissen, was sie (technisch) 
tun (Datensammlungen in frei zugänglichen Verzeichnissen auf dem Server 
anlegen), kann auch eine Firewall die Problematik nicht beheben. Die 
notwendige Fach-Kompetenz der entsprechenden Leute ist 100mal wichtiger 
als eine Firewall.

> Wieso sollte Software von grossen Herstellern unsicher sein? Es liegt doch 
> in ihrem ureigenen Interesse, dass sie das nicht ist?

Die erste Frage kann sicher nicht allgemein in die eine oder andere 
Richtung beantwortet werden (Geheimdienst-Geschichten einmal abgesehen). 
Das Problem von gross und klein muss auf die Verbreitung der Produkte 
übertragen werden. Hat ein weit verbreitetes Produkt ein 
Fehler/Sichterheitsproblem ist dies sicher schwerwiedgender, als bei 
einem Produkt, das nur vereinzelt eingesetzt wird. Ein grosser 
Hersteller hat das Problem, dass er all seine Kunden erreichen muss und 
dass diese die Anweisung auch befolgen resp. das Wissen haben die 
Anweisungen befolgen zu können.

Meistens hat die Verbreitung auch mit dem "einfachen" und "universellen" 
Einsatz der Software zu tun. Nach dem Motto "oh, das ist Windows, das 
kenn ich" kann mancher fortgeschrittener Anwender ein Windows-Server zum 
Laufen bringen. Dass ein solcher Server dann ein Sicherheits-Emmentaler 
ist, dürfte den meisten wohl nicht bewusst sein, denn Hauptsache das 
Ding läuft und kostet möglichst nichts.
Oder generell: Diese weit verbreiteten Produkte sind meistens so offen 
nach der Installation, dass die meisten Funktionen ohne viel Fachwissen 
verwendet werden können. Erst wenn diese Installationen sicher gemacht 
werden sollen, wird Fachwissen benötigt. Da wir wissen, dass Fachwissen 
kostet und die installation ja auch ohne Fachwissen funktioniert, können 
wir uns die Kosten sparen.

> Für den Durchschnittsanwender ist Datenschutz eine Sache von Treu und 
> Glauben. Wieso sollte der Einsatz Freier Software ihm hier mehr Sicherheit 
> geben, wenn er selbst mit dem Code nichts anfangen kann?

Für den Durchschnittsanwender bleibt es wohl immer bei Treu und Glauben. 
Es kommt auf den Betreiber der Datensammlung an und nicht auf die 
eingesetzte Software. Ausserdem weiss der Durchnittsanwender meistens 
nicht, was für eine Software eingesetzt wird.

> Wieso sollte man den Herstellern von proprietärer Software nicht vertrauen 
> können? Millionen von Anwendern tun das.

Ob die Anwender vertrauen möchte ich in Frage stellen! Die meisten 
setzen sich gar nicht mit der eingesetzten Software auseinander. Wenn 
der Rechner beim Discounter gekauft wird ist ja schon alles drauf und 
alles funktioniert. Und funktioniert etwas nicht oder hat komische 
effekte wird zuerst an sich selber gezweifelt den am Computer.

> Ist man als Anwender nicht vollkommen sicher, wenn man niemals online ist?

Ob man online ist, regelmässig seine Cumulus- oder 
C***-Profitkarte-Karte zeigt, mit der Kreditkarte-Karte bezahlt, 
irgendein Unternehmen sammelt immer Daten über seine Kunden. Ob die 
nicht online gesammelten Daten betreffend Datenschutz besser behandelt 
werden als die online erfassten wage ich zu bezweifeln.

Datenschutz ist keine Frage ob online oder nicht, denn auch nicht online 
erfasste Daten landen in einem Netzwerk, dass schlussendlich irgendwie 
und irgenwo mit dem Internet verbunden sein dürfte.

> Gibt es Beispiele dafür, dass Softwarehersteller das Vertrauen von 
> Anwendern missbraucht haben?

Z.B. die dauernden Lizenzänderungen von Microsoft. Oder auch die 
Default-Einstellungen von Software von eben dieser Firma. Sie werben 
zwar mit den Features für den Persönlichkeitsschutz, die 
Standardeinstellungen sind aber das pure Gegenteil. Das heisst, 
Otto-Normalverbraucher hat von den Schutzmassnahmen kein Nutzen, da 
dieser die Standareinstellungen in den meisten Fällen nicht anfassen würde.

Z.B. die BSA hat in Deutschland vor einigen Monaten Warnbriefe 
verschickt. Die Adressdaten hatte diese von den Mitgliederfirmen 
gesammelt, sprich, diese haben die Daten ohne Wissen oder zumindest 
Bewusstsein der Kunden einem dritten weitergegeben.

> Wie kommen grosse Softwarehersteller an die Daten ihrer Kunden?
> 
> Welche Daten sammelt bspw. Microsoft über die Anwender? 

Wer weiss das schon? Z.B. sind die Daten für die Registrierung einer 
Software oft verschlüsselt. Da können so viele Informationen auch in 
kurzer Zeit übertragen werden, dass der Empfänger z.B. Informationen 
über die History im Browser, über die Installierte Software und was auch 
immer ich auf einem Rechner mache, sammeln kann. Der Fantasie ist hier 
wohl keine Grenzen gesetzt, der Beweisbarkeit wohl eher.

> Werden über statistische Informationen hinaus Daten von Unternehmen 
> gesammelt? Kennt der Hersteller meines Betriebssystems meine Festplatte?

Bei einem Windows-Rechner mit Standleitung zum Internet gehe ich einmal 
davon aus. Aber ich kann mir auch vorstellen, dass Firmen wie Apple oder 
Sun nicht besser sind, nur wer kann das beweisen? Das Problem betrifft 
aber nicht nur die OS-Hersteller, sondern auch die Hersteller von 
Applikationen, denn auch diese können die selben Daten sammeln. Welche 
Informationen z.B. bei einem täglichen Virenscanner-Update den Rechner 
verlassen darf wohl auch hinterfragt werden.

> Wie merkt man als normaler Anwender, dass Daten versendet werden, 
> ohne dass man es will?

Gar nicht, wenn er mit einem Standard-Rechner aus dem Supermarkt online 
ist. Meistens weiss der Anwender ja nicht einmal, was die vielen schönen 
Lämpchen am Modem bedeuten.

> Wenn offener Quellcode sicherer sein soll, warum setzt man Freie Software 
> nicht überall ein, wo der Datenschutz relevant ist?

Nun, freie Software garantiert keinen Datenschutz. Wenn ich mein 
Unternehmen seriös mit guten Datenschutz betreiben will, kann ich mit 
Open Source-Software sicherstellen, welche Daten von meinen Rechner 
verschickt werden und ob die von mir eingesetzte Software mein Vertauen 
geniessen soll oder nicht. Praktisch muss ich jedoch die Frage in den 
Raum stellen, wer hat schon die Resoucen und das Wissen den gesamten 
Source der eingesetzten Software nach Problemstellen zu durchsuchen?

> Gibt es Freie Software, die in Sachen Funktionalität und 
> Anwenderfreundlichkeit proprietärer Software die Stirn bieten kann?

OpenOffice, Mozilla

> Gibt es Anwendungsbereiche, wo Freie Software proprietäre Produkte 
> nicht substituieren kann?

Software für Spezialgebiete, für die sich keine Entwickler intressieren 
oder wenn ein Softwarehersteller für die Funktion seiner Software 
geradestehen muss (Flugindustrie, Medizin, Steuerung von Anlagen mit 
gefährdung von Mensch und Umwelt,...).

> Gibt es Anwendungsbereiche, wo proprietäre Produkte Freie Software 
> nicht substituieren können?

Netzwerk und Kommunikation. Bei der Kommunikation müssen sich mind. 2 
Partner vertauen. Je offener eine Kommunikations-Software ist, desto 
grösser ist deren Sicherheit, da mehr Augen deren Code durchkämmen. Dies 
gilt wohl jedoch nur für Code von grossen und relevanten Software-Projekten.

> Gibt es Beispiele für den konsequenten Einsatz Freier Software bei grossen 
> Firmen oder Instituionen der öffentlichen Hand?

----

Bei all diesen Fragen und Antworten bleibt aber der Datenschutz 
Vertrauenssache => der Benutzer muss dem Betreiber vertauen.

Gruss
Markus