Freitag, 21. Juli 2017

Öffentliche IT-Projekte haben es schwer

Mein Kollege Peter Mertens aus Erlangen hat mehrfach darauf hingewiesen, dass IT-Projekte im öffentlichen Bereich mit besonderen Risiken behaftet sind. Er hat mehrere große Projekte analysiert, die gescheitert sind. Dass er dennoch dafür plädiert, alle staatlichen Leistungen, die ein Bürger erhält, in einer riesigen Bundes-Datenbank zu erfassen, kann ich nur seinem tiefsitzenden Bestreben zurechnen, überall möglichst effizient zu handeln. Eigentlich müsste ich es als Fall einer kognitiven Dissonanz einordnen. Mit anderen Worten, er fordert es, obwohl er wissen müsste, dass so etwas den öffentlichen Dienst glatt überfordert.

Obwohl sich dieses Thema noch weiter vertiefen ließe, will ich im Folgenden auf zwei Beispiele von Projekten im öffentlichen Bereich eingehen, die in ihrem Ausmaß wesentlich bescheidener sind. Auch sie haben ganz spezifische Probleme, ihre Ziele zu erreichen. In beiden Fällen habe ich sogar die Beteiligten zusätzlich beschäftigt.

Volksverschlüsselung

Nach dem Snowden- oder NSA-Skandal des Jahres 2013 schrien fast alle Fachkollegen nach effektiver Verschlüsselung des gesamten Internetverkehrs. In meinem letzten Beitrag zum Thema Internet-Sicherheit vom August 2016 hatte ich über eine Initiative der Fraunhofer-Gesellschaft berichtet. Sie trägt den etwas anspruchsvollen Namen Volksverschlüsselung. Schon damals lag es mir auf der Zunge, stattdessen von Volksverdummung zu reden. In meinem Nachtrag vom 29.10.2016 schrieb ich:

Leider muss ich gestehen, dass es mir trotz intensiver Bemühungen nicht gelungen ist, selbst fachlich interessierte Kolleginnen und Kollegen für einen Test der Volksverschlüsselung zu gewinnen. Eine nur minimale Unterstützung durch den Anbieter war nicht zu erhalten.

Hannes Federrath, Vizepräsident der Gesellschaft für Informatik und IT-Sicherheitsexperte von der Universität Hamburg, schrieb im Februar 2017: ‚Initiativen wie die vom Fraunhofer SIT entwickelte Volksverschlüsselung sind nach Auffassung der GI wegweisend. Zum einen erzeugen sie Aufmerksamkeit und tragen zur Verbreitung des Themas bei; sie verfolgen [hoffentlich] einen nutzerzentrierten Ansatz, der nicht nur Schlüsselerzeugung und Zertifizierung, sondern auch den Schlüsselaustausch und die Konfiguration der E-Mail-Programme abdeckt.‘‘

Dass kein besonders nutzerorientierter Ansatz verfolgt wurde, wird in der besagten Stellungnahme der GI exakt ausgeführt. Vereinfacht möchte ich das benutzte Verfahren wie folgt beschreiben. Wer in den Orden aufgenommen werden will, muss ins Kloster nach Darmstadt kommen, und sich dort weihen lassen. Ausnahmsweise geht dies auch, wenn er einem der Darmstädter Missionare auf deren Reisen innerhalb Deutschlands begegnet. Man muss aber seinen Personalausweis einem Ordensmitglied vorlegen. Jemandem andern gegenüber sich zu identifizieren reicht nicht. Selbst der Papst kann da nicht helfen.

In einer Ankündigung für eine Fachmesse im Oktober 2017 in Nürnberg (it-sa) heißt es, ‚dass selbst IT-Sicherheitslaien problemlos [mit der Software] zurechtkommen.‘ Dem kann ich nicht zustimmen. Seit Anfang 2016 habe ich (außer dem Entwickler selbst) einen einzigen Kollegen aus meinem Bekanntenkreis angetroffen, der seine Mails explizit und mittels der Darmstädter Software verschlüsselt. Ohne jede Mühe verschlüsseln alle meine Familienangehörigen schon seit langem einen Teil ihres Datenaustauschs per Internet. Mit ihnen verkehre ich nämlich vorwiegend per Chat-Dienst. Ursprünglich hat nur Threema verschlüsselt, inzwischen tut es auch WhatsApp. Beide machen es Ende-zu-Ende, und nutzergerecht. Beide stammen von privaten Unternehmen. Sie mussten sich im Markt behaupten. Würden Google und Facebook so ähnlich arbeiten wie dieser deutsche Anbieter, hätte die Welt in die letzten 10 Jahren mehr Ruhe gehabt.

Online-Ausweis

Da mein derzeitiger Personalausweis erneuert werden musste, beantragte ich einen neuen mit Online-Ausweisfunktion. Wer weiß, vielleicht spare ich damit einige Behördengänge. Das Amt kassierte dafür 6 Euro. Nach zwei Wochen erhielt ich den so genannten PIN-Brief. Ich ließ den Ausweis abholen und wollte die Online-Funktion aktivieren. Die mitgelieferte Broschüre beschrieb einen Ablauf, den ich nicht nachvollziehen konnte. Die Software, die mir empfohlen wurde, hieß AusweisApp2. Als Hardware kämen spezielle Kartenleser in Frage oder handelsübliche Smartphones.

In der Broschüre hieß es, ich sollte die 4-stellige Transfort-PIN in eine selbstgewählte 6-stellige PIN umwandeln. Die AusweisApp2 wollte aber einen QR-Code von mir. Als ich im Rathaus nachfragte, von welcher App die Transport-PIN akzeptiert wird und woher ich einen gültigen QR-Code bekommen würde, verwies man mich an den Bundesminister des Innern (BMI) in Berlin.

Die erste Antwort, die ich bekam, lautete: Sie benötigen ein Android-Gerät  ̶  Smartphone oder Tablet-PC  ̶  mit passender NFC-Schnittstelle. Außerdem schickte man mir eine ‚Liste kompatibler Smartphones und Tablet-PCs‘ Im begleitenden Text hieß es:

Wir sind guter Hoffnung, dass mit einer neuen NFC-Spezifikation ab Mitte 2017 nur noch Endgeräte produziert werden, die Extended Length unterstützen und somit die Online-Ausweise lesen können. Die Anzahl der geeigneten Endgeräte wird somit sukzessive ansteigen. Testen Sie und teilen Sie uns Ihre Ergebnisse mit! Ihre Rückmeldungen pflegen wir in die Geräte-Übersicht mit ein. Es ist möglich, dass ggf. durch ein Firmwareupdate bei uns als nicht funktionierend gekennzeichnete Geräte doch einsetzbar sind. Melden Sie uns daher gerne, ob Ihr Gerät funktioniert! Teilen Sie uns dazu die genauen Geräteinformationen (Gerätetyp, Firmwareversion) mit. Dies können Sie auch komfortabel über die Funktion „Melden Sie einen Fehler“ in der App erledigen. Alternative zu NFC: Ein für die Online-Ausweisfunktion geeignetes Kartenlesegerät, das Bluetooth unterstützt und somit mit mobilen Endgeräte nutzbar ist, ist der cyberJack wave vom Hersteller Reiner SCT.

Als ich nachfragte, wie es mit Apple-Geräten und speziell meinem iPhone stünde, antwortete ein anderer Mitarbeiter des BMI. Die Software für Apple (IOS-Version) befinde sich gerade im Feldtest. Ich könnte mich an dem Feldtest beteiligen. Man würde mir dann ein Kartenlesegerät zur Verfügung stellen. Das lehnte ich ab. Ich würde lieber ein halbes Jahr warten. Von der AusweisApp2 sollte ich ihm einen Screenshot schicken, der zeigt, wo ein QR-Code verlangt wird. Ich sagte ihm, er brauche die App nur auf den iPhone aufzurufen. Sie könnte nichts anderes als auf dieses Bild zu laufen.

Allmählich bekam ich das Gefühl, wieder 30 Jahre jünger geworden zu sein. Klaus Küspert, dem ich dies erzählte, meinte ich hätte Glück gehabt. ‚Solange er Sie nicht auffordert, ihm mal Ihr iPhone auszuleihen zum Probieren, geht's ja noch‘, meint er. 

Kommentare:

  1. Gerhard Schimpf aus Pforzheim schrieb:

    Der Buchbinder Wanninger von Karl Valentin würde sagen „Saubande dreckerte“.

    AntwortenLöschen
  2. Klaus Küspert aus St. Leon-Rot schrieb:

    Aufforderung zur Teilnahme am "Feldtest" (sonst ja meist Betatest genannt). Das klingt ja fast wie eine Reserveübung. Sie hätten antworten sollen, dass Sie Weißer Jahrgang sind und andere, Jüngere oder Ältere, angesprochen werden sollten ;-)

    AntwortenLöschen
  3. Da ich davon ausgehen muss, dass nicht alle in meinem Beitrag enthaltenen Spitzen auch von allen Lesern verstanden werden, will ich im Folgenden einige Informationen zum Hintergrund der beschriebenen Situation geben.

    Dass auf der Liste der für die Ausweisfunktion unterstützten Geräte viele völlig unbekannte Firmen angegeben sind, aber nicht der Marktführer, das entspricht einer langen Tradition, mit der man als Ex-IBMer bestens vertraut ist. Was früher IBM war, ist heute Apple. Apple hat den Markt der Smartphones und Tablets erst erschaffen und ist darin wahnsinnig erfolgreich. Apple hat einen hohen Marktanteil und hat auch vom Design her die attraktivsten Produkte. Auch technisch sind sie nicht schlecht. Apple erzielt eine Gewinnmarge und Kapitalrendite, die alle anderen neidisch macht. Wer gerne einen Teil des Kuchens haben will, versucht es mit niedrigeren Preisen. Man riskiert dabei sogar die Verletzung von Patenten, so wie dies Samsung vorgeworfen wird.

    Aus der Sicht eines Nachahmers ist die Hardware an sich der kleinere Teil des Problems. Genau so war es zu IBMs Zeiten. Viele konnten die Hardware billiger bauen, als IBM sie anbot. Das Problem war die Software. So ist es auch heute. Kam damals das amerikanische Justizministerium zu Hilfe, indem es IBM zum Unbundling zwang, so ist es jetzt die Firma Google. Diese Firma hat ein Geschäftsmodell, das ihr die Milliarden nur so hereinspült. Google benutzt dieses Geld, um in alle möglichen anderen Märkte einzudringen und die dort starken Firmen zu bedrängen. Den Markt der Betriebssysteme, den Microsoft mit Windows beherrscht, griff Google an, indem es die Firma Android aufkaufte, die eine Linux-Implementierung besaß. Mit deren Hilfe wurde Microsoft aus dem Markt der Smartphones und Tablettrechner ferngehalten. Da Android ein so genanntes quelloffenes System ist, konnten sich Hunderte kleiner Software-Firmen an Google dranhängen, und für sich Krümmel einsammeln.

    An Apple jedoch scheiterte Google und die Google nachfolgende Meute. Apple hält (so wie einst IBM) Hardware und Software zusammen. Apples Betriebssystem IOS ist proprietär und geschlossen. Es läuft auf allen Geräten von Apple und nur auf diesen. Auf dem IPhone und iPad werden nur Anwendungen akzeptiert, die Apple freigibt. Auf diese Weise konnte Apple das Virenproblem enorm reduzieren, unter dem die ganze Branche leidet.

    Die Firmen, die ihre Dienste der Bundesregierung anbieten, scheinen nur Android zu verwenden. Es kann sogar sein, dass die Bundesregierung den Firmen zur Auflage macht, Android zu verwenden. Das wäre dieselbe Situation wie 1975, als allen öffentlichen Behörden untersagt war, IBM-Rechner zu beantragen, mit zwei Ausnahmen, der Bundeswehr und dem Rehabilitationszentrum Heidelberg. Die Mitarbeiter und Kunden dieser Einrichtungen waren davon entbunden, sich auch noch den Zielen der Industrieförderung zu unterwerfen.

    Wenn heute an Hochschulen oder bei öffentlichen Beschaffungen verlangt wird, so genannte quelloffene Systeme zu bevorzugen, so stecken da weder wissenschaftliche noch technische Gründe dahinter. Es ist reine Propaganda gegen Apple, also gegen den Marktführer. Einem Ex-IBMer kommt diese Masche bekannt vor. Wer glaubte, es sei vorbei, täuscht sich. Alle dürfen wieder leiden, einem höheren Ziel zuliebe.

    AntwortenLöschen
    Antworten
    1. Klaus Küspert schrieb:

      Bei dem Thema "IBM an deutschen Hochschulen" etwa in den 1970er Jahren muss man nach meinem Wissen o. Erinnerung berücksichtigen ("ohne Gewähr"):

      In der Informatikausbildung (also Fachbereichen Informatik) war in der Tat IBM kaum vertreten, sondern etwa Siemens u. a. Die Universitätsrechenzentren hatten aber teils durchaus IBM. Betriebswirte und Ingenieure etwa bekamen ihre Programmierausbildung dort ebenfalls. Damals also Programmierung in Cobol und Fortran betreffend. Ich habe in Erinnerung, dass die TU Berlin eine (vermutlich seltene) Ausnahme darstellte: Da wurden auch die Informatiker am IBM System ausgebildet. Ob das ein Fachbereichs- oder Universitätsrechner war, weiß ich nicht mehr.

      Was SRH (Fachhochschule Heidelberg) anbelangt: Sie bildeten in der Tat ihre Studenten, auch Informatiker, bis in die 1990er primär am IBM System aus. Sie schauten auch ganz stark: Was wird in der Praxis nachgefragt? Was verlangen konkret die Stellenanzeigen der Wirtschaft? So fielen dann mit Hardware- und Softwareentscheidungen für die Ausbildung. Sicher kein blöder Gedanke für eine stark praxisorientierte Einrichtung und deren Ausbildung. Als Stiftungshochschule waren sie zudem wahrscheinlich nicht öffentlichen Vergaberegularien bei Beschaffungen unterworfen.

      Löschen
    2. Ein Nachtrag von Klaus Küspert: Behörden - also außerhalb des Hochschulbereichs - waren damals ebenfalls durchaus mit IBM ausgestattet. So etwa für das Land Hessen die Hessische Zentrale für Datenverarbeitung (HZD), wo in den 1970ern alles auf IBM Plattform lief. Ich war dort zweimal Sommerpraktikant und somit nah dran. Für andere Bundesländer galt das teils auch. NRW behaupte ich z.B. mal. Genaue prozentuale Verteilung kenne ich natürlich nicht.

      Löschen
  4. Hartmut Wedekind aus Darmstadt schrieb:

    Mein 2015 verstorbener Betriebssystemkollege Fridolin Hofmann (Erlangen) sagte mir einmal: Es gibt „end-to-end“-Sicherheit aus dem Aspekt der Betriebssysteme nur, wenn man wie folgt vorgeht: Von der Tastatur geht es in eine vom Netz abgesetzte Verschlüsselungsmaschine. Der verschlüsselte Text kann dann in einem zweiten Durchgang von der Maschine ins Netz eingegeben werden. Bedenke, sagte er: Das Betriebssystem ist Herr über alles, auch über die Tastatur.

    AntwortenLöschen
    Antworten
    1. Unser ehemaliger Kollege Hofmann hatte natürlich Recht. Man kann die Tastatur mit Tricks umgehen, etwa indem man Daten über einen Scanner eingibt.

      Löschen
    2. Hartmut Wedekind ergänzte:

      Beim iOS meines iPhones bekomme ich keine Viren, beim Windows 7 von Microsoft (Weltmarktanteil 47%) aber regelmäßig. Schlussfolgerung: Die Windows–Leute sind Schlampen.

      Löschen
    3. Mein Vergleich bezog sich auf Smartphones und Tablets. Hier konkurrieren IOS und Android. Windows ist kaum präsent. Die Android-Leute nehmen das Virenproblem einfach nicht ernst. Man löst es, indem man nicht mehr darüber redet. Todschweigen ist das Umkehren einer Hype. Wo kein Geld zu holen ist, da gibt es auch keine Hypes,

      Löschen
  5. Ich komme kaum noch aus dem Staunen heraus. Soeben las ich die offizielle Ankündigung der Volksverschlüsselung. Für die Wallfahrt nach Darmstadt gibt es jetzt einen Termin pro Monat, immer für zwei Monate im Voraus bekannt. Es gibt zwei Möglichkeiten, um sich diese physikalische Wanderung zu ersparen, z.B. für Reisemuffel und Gehbehinderte. Sie werden es kaum glauben: (a) einen Account bei der Telekom einrichten oder (b) die Online-Ausweisfunktion verwenden.

    Nach etwa 30 Jahren bei der Telekom habe ich vor zwei Monaten mein Telekom-Konto (Lösung a) aufgelöst. Leistung und Konditionen waren für mich inakzeptabel geworden. Seit zwei Wochen versuche ich die Online-Ausweisfunktion zu aktivieren (Lösung b). Das Projekt war lehrreich, aber erfolglos (siehe oben).

    AntwortenLöschen