[wilhelmtux-discussion] Argumente fuer Eidg. Datenschutzbeauftragen

S.Aeschbacher s.aeschbacher at bturtle.ch
Mon Jul 15 12:39:11 CEST 2002


Hi
ich hab jetzt mal wieder ein bisschen input und werd das faq mal
ueberarbeiten (das mail wird auch langsam unuebersichtlich ;)


On Thu, Jul 11, 2002 at 11:26:54AM +0200, Daniel Boos wrote:
> On Wed, 2002-07-10 at 13:11, S.Aeschbacher wrote:
> 
> > Ich habe mich noch gefragt in welcher Form wir OpenSource praesentieren
> > wollen, als Verteilkonzept von Software, oder wollen wir konkrete
> > Beispiele geben (was die Sache warscheinlich anschaulicher machen
> > wuerde)?
> 
> Beispiele sind meisten fuer die Leute verstaendlicher.

Wie waers wenn wir eine Beispielsektion einbauen, wo gewisse Freie Produkte
mit den entsprechenden Kommerziellen Produkten vergleichen?

> 
> > Ich finde, zumindest zum Ausarbeiten des Dokuments ist die FAQ Form
> > nicht schlecht geignet, dies kann dann immer noch in einen Fliesstext
> > umgewandelt werden.
> 
> Ja das finde ich eine gute Idee. Machen wir also fuers erste eine FAQ
> und spaeter ein Paper.

OK, dann sollten wir aber noch mehr fragen haben... ;)

> 
> > hab ich mal uebernommen, man koennte evtl noch was ueber die Lizenzen sagen,
> > das liefe aber dann sehr schnell auf eine Eigene Sektion "was ist OpenSource"
> > heraus, da doch einiges dazu zu sagen ist.
> 
> nun da wuerde ich einfach auf eine FAQ- Was ist Open Source verweisen
> und mich nur auf Datenschutz und Open Source konzentrieren.

macht sinn, gibts so was schon von wilhelmtux (oder sonst auf deutsch?)

> 
> > > 
> > > > 	
> > > > Source	Der Code aus dem die lauffaehigen Programme generiert werden
> > > >         (die Bauplaene der Programme), auch Source-Codge genannt
> > > 
> > > Typo: Source-Code
> > > 
> > > Allgemein: Wie waere es von Quellcode anstelle von Sourcen, Source Code
> > > zu sprechen?
> > 
> > Ich muss dir recht geben, wenn wir schon ein deutsches Wort dafuer haben
> > warum es nicht verwenden. Wie machen wir es mit den Begriffen OpenSource
> > und ClosedSource (oder wie man sie auch schreiben will), welche in meinen
> > Augen eher schwer zu uebersetzen sind?
> 
> Da muessten wir uns ueberlegen welches Begriffspaar bei
> NormalbuergerInnen am verstaendlichsten ist:
> 
> Open Source / Closed Source
> Open Source / Propriätere Software
> Freie Software / Geschlossene Software
> ...
> Software / Gebastel >:->

Freie Software / Kommerzielle Software ?

> 
>  
> > > Kann da auch was gesagt werden zur Architektur von gewissen Open Source
> > > Programmen? Einerseits koennte auf grundsaetzliche Designentscheidungen
> > > aufmerksam gemacht werden, welche das System sicher machen. Ich bin
> > > nicht Informatiker, nur wenn ich es richtig verstanden habe, laufen
> > > unter 
> > 
> > Allgemeine Aussagen sind im Bereich Design eher schwer. Architektur
> > spezifische Aussagen kann man fast nur auf einzelne Produkte bezogen
> > machen. Viele gute Konzepte die in OpenSource Betriebsystemen
> > eingesetzt werden stammen von Kommerziellen Systemen (und umgekehrt).
> > Was genau hat dir vorgeschwebt in Punkto Architektur? (du hast deinen
> > Satz nich fertig gemacht ;)
> 
> Versuche mal zu beschreiben was ich meinte, wobei meiner Meinung nach
> hier einige Experten besser draus kommen und mich korrigieren muessten.
> 
> Nun ich wollte sagen, dass bei einigen Open Source Projekten meiner
> Meinung mehr auf Sicherheit geachtet wird. Beispielsweise die strikte
> Trennung von Benutzerrechten. So laufen Server z.B. standardmaessig
> nicht unter root und eine Sicherheitsluecke beim Server betrifft im
> Prinzip nur die Orte wo der Server auch Zugriffsrechte hat. Unter
> Windows ist das oftmals nicht so, bspw. haben mehrere Sicherheitsluecken
> im IIS dazu gefuehrt, dass man gerade auf dem ganzen System root ist.
> Weiters gibt es dann noch so Sachen die ich halt immer wieder erlebe.
> Bei einem Win XP Home bspw. bin ich Standardmaessig root. Ich muss mir
> zuerst die Benutzerrechte wegnehmen, damit ich kein Unheil anrichten
> kann ;-(. Es ist scheinbar auch ein riesiger Aufwand bei Win 2000 die
> Leute daran zu hindern, dass sie nicht die Registry und andere Sachen
> auf dem Computer durcheinander machen. 

Das kann man so leider nicht sagen, es gibt jenste Software die vom
Sicherheitsdesign her eine pure Katastrophe sind. Auch das UNIX-user
modell ist nich sehr sicherheitsfoerdernd (es gibt aber mittlerweilen
verschieden Projekte die bessere Sicherheitsmechansimen nach Linux
oder BSD bringen wollen).
Auch was die default setups betrifft (default root und so), variieren
die verschiedenen Unices erheblich, so ist ein SuSE z.B. viel offener
als ein OpenBSD.

> 
> > Die Designmethoden von OpenSource-Projekten sind voellig anders als
> > die im Industriellen Umfeld (du hast weiter unten bereits nicht
> > schlechte links dazu gepostet).
> > In gewissen Punkten widersprechen die OpenSource Methoden den gaengigen
> > Grundregeln von Softwaredesign. (z.B. weitgehend fehlende Spezifikationen)
> 
> Wobei hier natuerlich auch die gaenigen Regeln im Softwaredesign
> hinterfragt werden koennten. Ich nehme an, dass diese sich ueber die
> Zeit gebildet haben und fuer eine spezifische Art der Produktionsweise
> von Software in Unternehmen durchaus notwendig ist. Es koennte nun aber
> argumentiert werden, dass dieses Softwaredesign angepasst ist auf die
> spezifische Organisationsstruktur eines Unternehmens. OS Projekte
> scheinen nun auf den ersten Blick anders organisiert zu sein und
> dementsprechend koennte es auch notwendig sein andere Regeln des
> Softwaredesigns zu verwenden. 
> Beispielsweise koennte in Bezug auf die Spezifikation gesagt werden,
> dass diese v.a. dann sehr wichtig ist, wenn die Arbeitsteilung zwischen
> den Teams sehr gross ist und diese gegenseitig keinen Zugriff auf den
> jeweiligen Quellcode haben und nur begrenzt kommunizieren koennen. Bei
> OS Projekte haben aber alle Zugriff auf den Quellcode und auch die
> Diskussionslisten gelten als Ort wo Spezifikationen abgemacht werden.
> Jedoch nicht so im Detail.
> 
> (Sorry bin abgeschweifft und ist vielleicht ein bisschen gewagt) 

Softwaredesign ist noch ein ziemlich unterforschtes gebiet, da gibts
noch seeeeeeehr viel zu tun.
Das Fehlen von Spezifikationen kann man aber nicht wirklich rechtfertigen.
OS Projekte kommen schlussendlich haeufig zu besseren Programmen da:
- Kein Management/Marketing auf ein release draengt, entweder das prog
  ist fertig oder es wird halt noch nicht mitverteilt
- Man hat nicht das beduerfnis alle Paar Jahre das Rad neu zu erfinden
- Es wird trotzdem gut designt (widersprech ich mir da?), vor allem
  scheint es im OpenSource mehr leute zu geben, die sich auf 
  wissenschaftliche Arbeiten abstuetzen als in der Industrie
  (Kryptographie ist ein gutes beispiel dafuer)
- Fehler korrigiert werden

> 
> > > 
> > > 
> > > 
> > > > F: OpenSource wir von Hobby-Programmierern gemacht, kann man da
> > > >    guten und sichere Programme erwarten?
> > > > 
> > > > A: Es mag sein das ein grosser Teil der Programmierer die OpenSource
> > > >    Software schreiben, dies als ihr Hobby tun. Die meisten davon
> > > >    sind aber sehr erfahrene Programmierer die in ihrem Berufsleben
> > > >    auch Programmieren.
> > > >    Die Qualitaet von OpenSource Software ist durchwegs sehr hoch,
> > > >    da die Entwicklung nicht wie in einem kommerziellen Betrieb durch
> > > >    finanzielle Interessen vorangetrieben wird sondern durch die
> > > >    Motivation ein gutes Programm zu schreiben.
> > > 
> > > Dies wuerde ich eventuell ganz weglassen. 
> > > Es beduerfte da naemlich weitere Klaerung. So entwickeln auch Firmen
> > > Open Source Programme oder stellen Personen zur Verfuegung, welche
> > > dafuer programmieren. Weiters sind die Motivationen durchaus komplexer.
> > 
> > Die Antwort die ich gegeben habe ist sicherlich zu allgemein gefasst. Die
> > Frage hoeren wir aber leider noch recht haeufig und sollte in meinen
> > Augen schon beantwortet werden. Genaue Daten ueber wer in welchem Rahmen
> > OpenSource entwickelt habe ich leider keine. Ich glaube aber schon das
> > der groesste Teil eher Hobbymaessig (d.h. ohne Bezahlung) gecoded wird.
> > Evtl muss man halt die Frage umformulieren (ich mach mal n vorschlag
> > im naechsten draft).
> 
> Die Boston Consulting Group hat mal mit OSDN auf Sourceforge ne
> Untersuchung gemacht:
> http://www.bcg.com/media_center/media_press_release_subpage59.asp
> Vortragsfolien: http://www.bcg.com/opensource/BCGHACKERSURVEY.pdf

stimmt, die hab ich auch schon mal gesehen, mal gucken was man da raus
ziehen kann fuer die frage

> 
> > > > F: Was passiert mit meinen Daten, wenn der/die Programmierer meines
> > > >    Programmes das Projekt einstellen?
> > > > 
> > > > A: Das einstellen eines Projektes kann im OpenSource wie im
> > > >    industriellen Umfeld genau so passieren. Die Konsequenzen eines
> > > >    eingestellten Software-Projektes sind vielfaeltig und koennen
> > > >    Probleme beim Betrieb einer Informatik-Infrastruktur bringen.
> > > >    Bei einem ClosedSource Projekt ist man als Anwender darauf
> > > >    angewiesen, das eine andere Firma das Projekt aufkauft und es
> > > >    weiterbetreibt.
> > > >    Bei OpenSource liegen alle noetigen Materialien vor, so das
> > > >    jederman das Projekt weiterfuehren kann.
> > > 
> > > Hier stellen sich meiner Meinung zwei Fragen, welche auch getrennt
> > > behandelt werden sollten. Einerseits geht es um die Daten selber und
> > > anderseits um das Programm. 
> > > Bei Daten ist die Loesung die Verwendung offener Standards, welche auch
> > > auf anderen Systemen verwendet werden koennen. Ermoeglicht auch, dass
> > > verschiedene Programme fuer die selben Daten verwendet werden koennen
> > > und wir wollen ja, dass es viele Programme gibt und nicht wie aktuell
> > > nur ein Word.
> > > Zu den Programmen stimmt deine Argumentation.
> > 
> > Da ein Programm der Verarbeitung von Daten dient haengen beide Fragen
> > zusammen. Offene Standards helfen, sobald die Daten in einer neuen
> > Software verwendet werden soll (d.h. ein Format-Konverter muss geschrieben
> > werden).
> > Solange die aktuelle Software ausreichend ist, sollte eher die
> > Weiterexistenz der Software betrachtet werden. 
> 
> Ist es denn nicht moeglich ein Dateiformat unabhaengig vom Programm zu
> haben? D.h. bei Datenstrukturen unabhaengig von einer spezifischen
> Software zu konzipieren. Dies verhindert naemlich Monokulturen. HTML
> kann ja auch mit den unterschiedlichsten Programmen erstellt werden.
> E-Mails werden auch mit den unterschiedlichsten Programmern geschrieben.
> Waere mitunter nicht auch ein Ziel eben gerade zu verhindern, dass jedes
> Programm ein eigenes Dateiformat hat und Daten abhaengig von Programmen
> sind. Es geht hier um die Nachhaltigkeit der Daten, auch wenn die
> Programme verschollen sind oder jemand das Programm nicht hat. Zudem
> foerdert es die Transparenz. Wenn unsere Regierung alle ihren Daten in
> offenen Formaten haben, dann koennen wir als "BuergerInnen" auch besser
> kucken, was der Staat so macht (in DE unter dem Begriff "glaeserner
> Staat").  Dabei sollte nicht zuerst noch ein Konverter geschrieben
> werden.

Ja und Nein ;)
Offene Datenformate sind in meinen Augen zwar immer sinnvoll, es gibt aber
jenste spezialanwendungen, in denen es nur sehr wenige verschiedene Programme
gibt und die alle alles ander machen.
Solange es um Texte (.doc huestel keuch) et al. geht, muss man auf offene
Standards verlangen, ein Tool das Spektralanalysen von Infrarotaufnahmen
von Sternen macht, sollte eher das Tool selbst Offen sein (da es sonst
kaum tools gibt die so was machen).
Das thema koennen wir aber in nem anderen thread diskutieren ;)

> 
> > Offene Standards sind kein Privileg von OpenSource Projekten, so ist
> > z.B. xml ein offener Standard, wurde aber von rein kommerziellen
> > Firmen entwickelt.
> 
> > Wie weit soll die Diskussion zu offenen Standards hier gefuehrt werden?
> denke wir sollten uns schon auf den datenschutz konzentrieren.

ja

Gruss

Stefan