[wilhelmtux-discussion] fragekatalog
Markus Jordi
markus.jordi at timak.ch
Sam Jul 6 21:06:09 CEST 2002
Hallo Michael
Ich habe auch schon die Stellungnahme von Mathias gelesen, möchte mich
aber auch noch zu Wort melden.
Generell habe ich Mühe mit der Bezeichnung Freie Software, ich gehe
einmal davon aus, dass Freie Software == OpenSource.
Michael Jaeger wrote:
> hallo,
>
> anbei ein fragenkatalog für die neue Homepage (wir arbeiten unter
> tux.hilogix.com daran, kommentare jederzeit willkommen). ich wäre euch
> dankbar, wenn ihr euch ein paar fragen herauspickt und beantwortet.
> manche fragen zielen auf redundante antworten ab. ich werde aber
> versuchen, aus allen antworten ein konsistentes FAQ-argumentarium zu
> formulieren.
>
> manche fragen sind bewusst blöd oder implizieren für Freie Software
> negative antworten. sowas gehört meiner meinung aber in ein echtes FAQ.
>
> je mehr studien oder dokumentierte vorfälle in den antworten enthalten
> sind, desto glaubwürdiger wirkt das argumentarium. ansonsten bleibt nur
> logik.
>
> gruss,
>
> michi
>
> fragenkatalog:
>
> Seit dem 11. September wird Überwachung allerorten grossgeschrieben.
> Steht das in Zusammenhang mit der Frage nach Freier oder proprietärer
> Software?
Für den Überwachten nicht unbedingt, für den Überwacher schon. Das
Datenschutzproblem für den Überwachten besteht nicht in der eingesetzten
Software des Überwachers, sondern beim Verhalten des Überwachers. Der
Überwacher hat bei Freier Software klar den Vorteil, dass er überprüfen
kann, was seine Software wirklich genau macht.
> Die wichtigsten Softwareprodukte kommen aus den USA. Hat das
> datenschutzrechlich Bedeutung?
Absolut. In Amerika gelten andere, lockerere und wohl fast nicht
existente Gesetze betreffend Datenschutz.
Hier stellt sich die Frage, was mit Personendaten geschieht, die von
amerikanischen Firmen in Europa gesammelt werden. Ich gehe einmal davon
aus, dass diese Daten innerhalb der Firma auch in die USA gelangen. Was
dort mit diesen geschieht und wie diese dort ausgetauscht werden ist
sehr schwer zu beobachten oder zu kontrollieren.
Selbstverständlich besteht das selbe Problem auch von europäischen
Firmen, die weltweit und auch in den USA tätig sind.
> Das Datenschutzgesetzt verlangt in Art. 7, dass Personendaten durch
> angemessene technische und organisatorische Massnahmen gegen
> unbefugtes Bearbeiten geschützt werden müssen. Was ist angemessen?
> Neben der Bearbeitung von Daten ist der Zugriff relevant. Ist das nicht
> einfach eine Frage der Sicherheit der Firewall?
Ich kenne auch Beispiele, bei denen eine Firewall ein Datenschutzproblem
nicht verhindert hätte (siehe z.B.
http://www.symlink.ch/articles/01/09/26/1843211.shtml und
http://www.symlink.ch/articles/01/10/03/217216.shtml). Solange Leute wie
im Beispiel Webseiten entwickeln und nicht wissen, was sie (technisch)
tun (Datensammlungen in frei zugänglichen Verzeichnissen auf dem Server
anlegen), kann auch eine Firewall die Problematik nicht beheben. Die
notwendige Fach-Kompetenz der entsprechenden Leute ist 100mal wichtiger
als eine Firewall.
> Wieso sollte Software von grossen Herstellern unsicher sein? Es liegt doch
> in ihrem ureigenen Interesse, dass sie das nicht ist?
Die erste Frage kann sicher nicht allgemein in die eine oder andere
Richtung beantwortet werden (Geheimdienst-Geschichten einmal abgesehen).
Das Problem von gross und klein muss auf die Verbreitung der Produkte
übertragen werden. Hat ein weit verbreitetes Produkt ein
Fehler/Sichterheitsproblem ist dies sicher schwerwiedgender, als bei
einem Produkt, das nur vereinzelt eingesetzt wird. Ein grosser
Hersteller hat das Problem, dass er all seine Kunden erreichen muss und
dass diese die Anweisung auch befolgen resp. das Wissen haben die
Anweisungen befolgen zu können.
Meistens hat die Verbreitung auch mit dem "einfachen" und "universellen"
Einsatz der Software zu tun. Nach dem Motto "oh, das ist Windows, das
kenn ich" kann mancher fortgeschrittener Anwender ein Windows-Server zum
Laufen bringen. Dass ein solcher Server dann ein Sicherheits-Emmentaler
ist, dürfte den meisten wohl nicht bewusst sein, denn Hauptsache das
Ding läuft und kostet möglichst nichts.
Oder generell: Diese weit verbreiteten Produkte sind meistens so offen
nach der Installation, dass die meisten Funktionen ohne viel Fachwissen
verwendet werden können. Erst wenn diese Installationen sicher gemacht
werden sollen, wird Fachwissen benötigt. Da wir wissen, dass Fachwissen
kostet und die installation ja auch ohne Fachwissen funktioniert, können
wir uns die Kosten sparen.
> Für den Durchschnittsanwender ist Datenschutz eine Sache von Treu und
> Glauben. Wieso sollte der Einsatz Freier Software ihm hier mehr Sicherheit
> geben, wenn er selbst mit dem Code nichts anfangen kann?
Für den Durchschnittsanwender bleibt es wohl immer bei Treu und Glauben.
Es kommt auf den Betreiber der Datensammlung an und nicht auf die
eingesetzte Software. Ausserdem weiss der Durchnittsanwender meistens
nicht, was für eine Software eingesetzt wird.
> Wieso sollte man den Herstellern von proprietärer Software nicht vertrauen
> können? Millionen von Anwendern tun das.
Ob die Anwender vertrauen möchte ich in Frage stellen! Die meisten
setzen sich gar nicht mit der eingesetzten Software auseinander. Wenn
der Rechner beim Discounter gekauft wird ist ja schon alles drauf und
alles funktioniert. Und funktioniert etwas nicht oder hat komische
effekte wird zuerst an sich selber gezweifelt den am Computer.
> Ist man als Anwender nicht vollkommen sicher, wenn man niemals online ist?
Ob man online ist, regelmässig seine Cumulus- oder
C***-Profitkarte-Karte zeigt, mit der Kreditkarte-Karte bezahlt,
irgendein Unternehmen sammelt immer Daten über seine Kunden. Ob die
nicht online gesammelten Daten betreffend Datenschutz besser behandelt
werden als die online erfassten wage ich zu bezweifeln.
Datenschutz ist keine Frage ob online oder nicht, denn auch nicht online
erfasste Daten landen in einem Netzwerk, dass schlussendlich irgendwie
und irgenwo mit dem Internet verbunden sein dürfte.
> Gibt es Beispiele dafür, dass Softwarehersteller das Vertrauen von
> Anwendern missbraucht haben?
Z.B. die dauernden Lizenzänderungen von Microsoft. Oder auch die
Default-Einstellungen von Software von eben dieser Firma. Sie werben
zwar mit den Features für den Persönlichkeitsschutz, die
Standardeinstellungen sind aber das pure Gegenteil. Das heisst,
Otto-Normalverbraucher hat von den Schutzmassnahmen kein Nutzen, da
dieser die Standareinstellungen in den meisten Fällen nicht anfassen würde.
Z.B. die BSA hat in Deutschland vor einigen Monaten Warnbriefe
verschickt. Die Adressdaten hatte diese von den Mitgliederfirmen
gesammelt, sprich, diese haben die Daten ohne Wissen oder zumindest
Bewusstsein der Kunden einem dritten weitergegeben.
> Wie kommen grosse Softwarehersteller an die Daten ihrer Kunden?
>
> Welche Daten sammelt bspw. Microsoft über die Anwender?
Wer weiss das schon? Z.B. sind die Daten für die Registrierung einer
Software oft verschlüsselt. Da können so viele Informationen auch in
kurzer Zeit übertragen werden, dass der Empfänger z.B. Informationen
über die History im Browser, über die Installierte Software und was auch
immer ich auf einem Rechner mache, sammeln kann. Der Fantasie ist hier
wohl keine Grenzen gesetzt, der Beweisbarkeit wohl eher.
> Werden über statistische Informationen hinaus Daten von Unternehmen
> gesammelt? Kennt der Hersteller meines Betriebssystems meine Festplatte?
Bei einem Windows-Rechner mit Standleitung zum Internet gehe ich einmal
davon aus. Aber ich kann mir auch vorstellen, dass Firmen wie Apple oder
Sun nicht besser sind, nur wer kann das beweisen? Das Problem betrifft
aber nicht nur die OS-Hersteller, sondern auch die Hersteller von
Applikationen, denn auch diese können die selben Daten sammeln. Welche
Informationen z.B. bei einem täglichen Virenscanner-Update den Rechner
verlassen darf wohl auch hinterfragt werden.
> Wie merkt man als normaler Anwender, dass Daten versendet werden,
> ohne dass man es will?
Gar nicht, wenn er mit einem Standard-Rechner aus dem Supermarkt online
ist. Meistens weiss der Anwender ja nicht einmal, was die vielen schönen
Lämpchen am Modem bedeuten.
> Wenn offener Quellcode sicherer sein soll, warum setzt man Freie Software
> nicht überall ein, wo der Datenschutz relevant ist?
Nun, freie Software garantiert keinen Datenschutz. Wenn ich mein
Unternehmen seriös mit guten Datenschutz betreiben will, kann ich mit
Open Source-Software sicherstellen, welche Daten von meinen Rechner
verschickt werden und ob die von mir eingesetzte Software mein Vertauen
geniessen soll oder nicht. Praktisch muss ich jedoch die Frage in den
Raum stellen, wer hat schon die Resoucen und das Wissen den gesamten
Source der eingesetzten Software nach Problemstellen zu durchsuchen?
> Gibt es Freie Software, die in Sachen Funktionalität und
> Anwenderfreundlichkeit proprietärer Software die Stirn bieten kann?
OpenOffice, Mozilla
> Gibt es Anwendungsbereiche, wo Freie Software proprietäre Produkte
> nicht substituieren kann?
Software für Spezialgebiete, für die sich keine Entwickler intressieren
oder wenn ein Softwarehersteller für die Funktion seiner Software
geradestehen muss (Flugindustrie, Medizin, Steuerung von Anlagen mit
gefährdung von Mensch und Umwelt,...).
> Gibt es Anwendungsbereiche, wo proprietäre Produkte Freie Software
> nicht substituieren können?
Netzwerk und Kommunikation. Bei der Kommunikation müssen sich mind. 2
Partner vertauen. Je offener eine Kommunikations-Software ist, desto
grösser ist deren Sicherheit, da mehr Augen deren Code durchkämmen. Dies
gilt wohl jedoch nur für Code von grossen und relevanten Software-Projekten.
> Gibt es Beispiele für den konsequenten Einsatz Freier Software bei grossen
> Firmen oder Instituionen der öffentlichen Hand?
----
Bei all diesen Fragen und Antworten bleibt aber der Datenschutz
Vertrauenssache => der Benutzer muss dem Betreiber vertauen.
Gruss
Markus