Mein Kollege Peter Mertens
aus Erlangen hat mehrfach darauf hingewiesen, dass IT-Projekte im öffentlichen
Bereich mit besonderen Risiken behaftet sind. Er hat mehrere große Projekte
analysiert, die gescheitert sind. Dass er dennoch dafür plädiert, alle
staatlichen Leistungen, die ein Bürger erhält, in einer riesigen Bundes-Datenbank zu erfassen, kann ich nur seinem
tiefsitzenden Bestreben zurechnen, überall möglichst effizient zu handeln.
Eigentlich müsste ich es als Fall einer kognitiven Dissonanz einordnen. Mit
anderen Worten, er fordert es, obwohl er wissen müsste, dass so etwas den
öffentlichen Dienst glatt überfordert.
Obwohl sich dieses Thema noch weiter
vertiefen ließe, will ich im Folgenden auf zwei Beispiele von Projekten im
öffentlichen Bereich eingehen, die in ihrem Ausmaß wesentlich bescheidener
sind. Auch sie haben ganz spezifische Probleme, ihre Ziele zu erreichen. In
beiden Fällen habe ich sogar die Beteiligten zusätzlich beschäftigt.
Volksverschlüsselung
Nach dem Snowden- oder NSA-Skandal des Jahres 2013 schrien fast alle Fachkollegen nach effektiver
Verschlüsselung des gesamten Internetverkehrs. In meinem letzten Beitrag zum
Thema Internet-Sicherheit vom August 2016
hatte ich über eine Initiative der Fraunhofer-Gesellschaft berichtet. Sie trägt
den etwas anspruchsvollen Namen Volksverschlüsselung.
Schon damals lag es mir auf der Zunge, stattdessen von Volksverdummung zu
reden. In meinem Nachtrag vom 29.10.2016 schrieb ich:
Leider muss ich gestehen, dass es mir
trotz intensiver Bemühungen nicht gelungen ist, selbst fachlich interessierte
Kolleginnen und Kollegen für einen Test der Volksverschlüsselung zu gewinnen.
Eine nur minimale Unterstützung durch den Anbieter war nicht zu erhalten.
Hannes Federrath, Vizepräsident der
Gesellschaft für Informatik und IT-Sicherheitsexperte von der Universität
Hamburg, schrieb im Februar 2017: ‚Initiativen
wie die vom Fraunhofer SIT entwickelte Volksverschlüsselung sind nach Auffassung der GI wegweisend. Zum einen
erzeugen sie Aufmerksamkeit und tragen zur Verbreitung des Themas bei; sie verfolgen [hoffentlich] einen
nutzerzentrierten Ansatz, der nicht nur Schlüsselerzeugung und Zertifizierung,
sondern auch den Schlüsselaustausch und die Konfiguration der E-Mail-Programme
abdeckt.‘‘
Dass kein besonders nutzerorientierter
Ansatz verfolgt wurde, wird in der besagten Stellungnahme der GI exakt ausgeführt.
Vereinfacht möchte ich das benutzte Verfahren wie folgt beschreiben. Wer in den
Orden aufgenommen werden will, muss ins Kloster nach Darmstadt kommen, und sich
dort weihen lassen. Ausnahmsweise geht dies auch, wenn er einem der Darmstädter
Missionare auf deren Reisen innerhalb Deutschlands begegnet. Man muss aber
seinen Personalausweis einem Ordensmitglied vorlegen. Jemandem andern gegenüber
sich zu identifizieren reicht nicht. Selbst
der Papst kann da nicht helfen.
In einer Ankündigung für eine Fachmesse
im Oktober 2017 in Nürnberg (it-sa)
heißt es, ‚dass selbst IT-Sicherheitslaien problemlos [mit der Software]
zurechtkommen.‘ Dem kann ich nicht zustimmen. Seit Anfang 2016 habe ich (außer dem Entwickler selbst) einen
einzigen Kollegen aus meinem Bekanntenkreis angetroffen, der seine Mails explizit und mittels der Darmstädter Software verschlüsselt.
Ohne jede Mühe verschlüsseln alle meine Familienangehörigen schon seit langem einen Teil ihres Datenaustauschs per Internet. Mit ihnen verkehre ich
nämlich vorwiegend per Chat-Dienst. Ursprünglich hat nur Threema verschlüsselt,
inzwischen tut es auch WhatsApp. Beide machen es Ende-zu-Ende, und
nutzergerecht. Beide stammen von privaten Unternehmen. Sie mussten sich im Markt behaupten. Würden Google und Facebook so ähnlich arbeiten wie dieser deutsche Anbieter, hätte die Welt in die letzten 10
Jahren mehr Ruhe gehabt.
Online-Ausweis
Da mein derzeitiger Personalausweis
erneuert werden musste, beantragte ich einen neuen mit Online-Ausweisfunktion.
Wer weiß, vielleicht spare ich damit einige Behördengänge. Das Amt kassierte
dafür 6 Euro. Nach zwei Wochen erhielt ich den so genannten PIN-Brief. Ich ließ
den Ausweis abholen und wollte die Online-Funktion aktivieren. Die
mitgelieferte Broschüre beschrieb einen Ablauf, den ich nicht nachvollziehen
konnte. Die Software, die mir empfohlen wurde, hieß AusweisApp2. Als Hardware
kämen spezielle Kartenleser in Frage oder handelsübliche Smartphones.
In der Broschüre hieß es, ich sollte die
4-stellige Transfort-PIN in eine selbstgewählte 6-stellige PIN umwandeln. Die
AusweisApp2 wollte aber einen QR-Code von mir. Als ich im Rathaus nachfragte,
von welcher App die Transport-PIN akzeptiert wird und woher ich einen gültigen
QR-Code bekommen würde, verwies man mich an den Bundesminister des Innern (BMI)
in Berlin.
Die erste Antwort, die ich bekam,
lautete: Sie benötigen ein Android-Gerät ̶ Smartphone oder
Tablet-PC ̶ mit passender
NFC-Schnittstelle. Außerdem schickte man mir eine ‚Liste kompatibler Smartphones und Tablet-PCs‘ Im
begleitenden Text hieß es:
Wir sind guter Hoffnung, dass mit einer
neuen NFC-Spezifikation ab Mitte 2017 nur noch Endgeräte produziert werden, die
Extended Length unterstützen und somit die Online-Ausweise lesen können. Die
Anzahl der geeigneten Endgeräte wird somit sukzessive ansteigen. Testen Sie und
teilen Sie uns Ihre Ergebnisse mit! Ihre Rückmeldungen pflegen wir in die
Geräte-Übersicht mit ein. Es ist möglich, dass ggf. durch ein Firmwareupdate
bei uns als nicht funktionierend gekennzeichnete Geräte doch einsetzbar sind.
Melden Sie uns daher gerne, ob Ihr Gerät funktioniert! Teilen Sie uns dazu die
genauen Geräteinformationen (Gerätetyp, Firmwareversion) mit. Dies können Sie
auch komfortabel über die Funktion „Melden Sie einen Fehler“ in der App
erledigen. Alternative zu NFC: Ein für die Online-Ausweisfunktion geeignetes
Kartenlesegerät, das Bluetooth unterstützt und somit mit mobilen Endgeräte
nutzbar ist, ist der cyberJack wave vom Hersteller Reiner SCT.
Als ich nachfragte, wie es mit
Apple-Geräten und speziell meinem iPhone stünde, antwortete ein anderer
Mitarbeiter des BMI. Die Software für Apple (IOS-Version) befinde sich gerade im
Feldtest. Ich könnte mich an dem Feldtest beteiligen. Man würde mir dann ein
Kartenlesegerät zur Verfügung stellen. Das lehnte ich ab. Ich würde lieber ein
halbes Jahr warten. Von der AusweisApp2 sollte ich ihm einen Screenshot
schicken, der zeigt, wo ein QR-Code verlangt wird. Ich sagte ihm, er brauche
die App nur auf den iPhone aufzurufen. Sie könnte nichts anderes als auf dieses
Bild zu laufen.
Allmählich bekam ich das Gefühl, wieder
30 Jahre jünger geworden zu sein. Klaus Küspert, dem ich dies erzählte, meinte
ich hätte Glück gehabt. ‚Solange er Sie nicht auffordert, ihm mal Ihr iPhone
auszuleihen zum Probieren, geht's ja noch‘, meint er.
Gerhard Schimpf aus Pforzheim schrieb:
AntwortenLöschenDer Buchbinder Wanninger von Karl Valentin würde sagen „Saubande dreckerte“.
Klaus Küspert aus St. Leon-Rot schrieb:
AntwortenLöschenAufforderung zur Teilnahme am "Feldtest" (sonst ja meist Betatest genannt). Das klingt ja fast wie eine Reserveübung. Sie hätten antworten sollen, dass Sie Weißer Jahrgang sind und andere, Jüngere oder Ältere, angesprochen werden sollten ;-)
Da ich davon ausgehen muss, dass nicht alle in meinem Beitrag enthaltenen Spitzen auch von allen Lesern verstanden werden, will ich im Folgenden einige Informationen zum Hintergrund der beschriebenen Situation geben.
AntwortenLöschenDass auf der Liste der für die Ausweisfunktion unterstützten Geräte viele völlig unbekannte Firmen angegeben sind, aber nicht der Marktführer, das entspricht einer langen Tradition, mit der man als Ex-IBMer bestens vertraut ist. Was früher IBM war, ist heute Apple. Apple hat den Markt der Smartphones und Tablets erst erschaffen und ist darin wahnsinnig erfolgreich. Apple hat einen hohen Marktanteil und hat auch vom Design her die attraktivsten Produkte. Auch technisch sind sie nicht schlecht. Apple erzielt eine Gewinnmarge und Kapitalrendite, die alle anderen neidisch macht. Wer gerne einen Teil des Kuchens haben will, versucht es mit niedrigeren Preisen. Man riskiert dabei sogar die Verletzung von Patenten, so wie dies Samsung vorgeworfen wird.
Aus der Sicht eines Nachahmers ist die Hardware an sich der kleinere Teil des Problems. Genau so war es zu IBMs Zeiten. Viele konnten die Hardware billiger bauen, als IBM sie anbot. Das Problem war die Software. So ist es auch heute. Kam damals das amerikanische Justizministerium zu Hilfe, indem es IBM zum Unbundling zwang, so ist es jetzt die Firma Google. Diese Firma hat ein Geschäftsmodell, das ihr die Milliarden nur so hereinspült. Google benutzt dieses Geld, um in alle möglichen anderen Märkte einzudringen und die dort starken Firmen zu bedrängen. Den Markt der Betriebssysteme, den Microsoft mit Windows beherrscht, griff Google an, indem es die Firma Android aufkaufte, die eine Linux-Implementierung besaß. Mit deren Hilfe wurde Microsoft aus dem Markt der Smartphones und Tablettrechner ferngehalten. Da Android ein so genanntes quelloffenes System ist, konnten sich Hunderte kleiner Software-Firmen an Google dranhängen, und für sich Krümmel einsammeln.
An Apple jedoch scheiterte Google und die Google nachfolgende Meute. Apple hält (so wie einst IBM) Hardware und Software zusammen. Apples Betriebssystem IOS ist proprietär und geschlossen. Es läuft auf allen Geräten von Apple und nur auf diesen. Auf dem IPhone und iPad werden nur Anwendungen akzeptiert, die Apple freigibt. Auf diese Weise konnte Apple das Virenproblem enorm reduzieren, unter dem die ganze Branche leidet.
Die Firmen, die ihre Dienste der Bundesregierung anbieten, scheinen nur Android zu verwenden. Es kann sogar sein, dass die Bundesregierung den Firmen zur Auflage macht, Android zu verwenden. Das wäre dieselbe Situation wie 1975, als allen öffentlichen Behörden untersagt war, IBM-Rechner zu beantragen, mit zwei Ausnahmen, der Bundeswehr und dem Rehabilitationszentrum Heidelberg. Die Mitarbeiter und Kunden dieser Einrichtungen waren davon entbunden, sich auch noch den Zielen der Industrieförderung zu unterwerfen.
Wenn heute an Hochschulen oder bei öffentlichen Beschaffungen verlangt wird, so genannte quelloffene Systeme zu bevorzugen, so stecken da weder wissenschaftliche noch technische Gründe dahinter. Es ist reine Propaganda gegen Apple, also gegen den Marktführer. Einem Ex-IBMer kommt diese Masche bekannt vor. Wer glaubte, es sei vorbei, täuscht sich. Alle dürfen wieder leiden, einem höheren Ziel zuliebe.
Klaus Küspert schrieb:
LöschenBei dem Thema "IBM an deutschen Hochschulen" etwa in den 1970er Jahren muss man nach meinem Wissen o. Erinnerung berücksichtigen ("ohne Gewähr"):
In der Informatikausbildung (also Fachbereichen Informatik) war in der Tat IBM kaum vertreten, sondern etwa Siemens u. a. Die Universitätsrechenzentren hatten aber teils durchaus IBM. Betriebswirte und Ingenieure etwa bekamen ihre Programmierausbildung dort ebenfalls. Damals also Programmierung in Cobol und Fortran betreffend. Ich habe in Erinnerung, dass die TU Berlin eine (vermutlich seltene) Ausnahme darstellte: Da wurden auch die Informatiker am IBM System ausgebildet. Ob das ein Fachbereichs- oder Universitätsrechner war, weiß ich nicht mehr.
Was SRH (Fachhochschule Heidelberg) anbelangt: Sie bildeten in der Tat ihre Studenten, auch Informatiker, bis in die 1990er primär am IBM System aus. Sie schauten auch ganz stark: Was wird in der Praxis nachgefragt? Was verlangen konkret die Stellenanzeigen der Wirtschaft? So fielen dann mit Hardware- und Softwareentscheidungen für die Ausbildung. Sicher kein blöder Gedanke für eine stark praxisorientierte Einrichtung und deren Ausbildung. Als Stiftungshochschule waren sie zudem wahrscheinlich nicht öffentlichen Vergaberegularien bei Beschaffungen unterworfen.
Ein Nachtrag von Klaus Küspert: Behörden - also außerhalb des Hochschulbereichs - waren damals ebenfalls durchaus mit IBM ausgestattet. So etwa für das Land Hessen die Hessische Zentrale für Datenverarbeitung (HZD), wo in den 1970ern alles auf IBM Plattform lief. Ich war dort zweimal Sommerpraktikant und somit nah dran. Für andere Bundesländer galt das teils auch. NRW behaupte ich z.B. mal. Genaue prozentuale Verteilung kenne ich natürlich nicht.
LöschenHartmut Wedekind aus Darmstadt schrieb:
AntwortenLöschenMein 2015 verstorbener Betriebssystemkollege Fridolin Hofmann (Erlangen) sagte mir einmal: Es gibt „end-to-end“-Sicherheit aus dem Aspekt der Betriebssysteme nur, wenn man wie folgt vorgeht: Von der Tastatur geht es in eine vom Netz abgesetzte Verschlüsselungsmaschine. Der verschlüsselte Text kann dann in einem zweiten Durchgang von der Maschine ins Netz eingegeben werden. Bedenke, sagte er: Das Betriebssystem ist Herr über alles, auch über die Tastatur.
Unser ehemaliger Kollege Hofmann hatte natürlich Recht. Man kann die Tastatur mit Tricks umgehen, etwa indem man Daten über einen Scanner eingibt.
LöschenHartmut Wedekind ergänzte:
LöschenBeim iOS meines iPhones bekomme ich keine Viren, beim Windows 7 von Microsoft (Weltmarktanteil 47%) aber regelmäßig. Schlussfolgerung: Die Windows–Leute sind Schlampen.
Mein Vergleich bezog sich auf Smartphones und Tablets. Hier konkurrieren IOS und Android. Windows ist kaum präsent. Die Android-Leute nehmen das Virenproblem einfach nicht ernst. Man löst es, indem man nicht mehr darüber redet. Todschweigen ist das Umkehren einer Hype. Wo kein Geld zu holen ist, da gibt es auch keine Hypes,
LöschenIch komme kaum noch aus dem Staunen heraus. Soeben las ich die offizielle Ankündigung der Volksverschlüsselung. Für die Wallfahrt nach Darmstadt gibt es jetzt einen Termin pro Monat, immer für zwei Monate im Voraus bekannt. Es gibt zwei Möglichkeiten, um sich diese physikalische Wanderung zu ersparen, z.B. für Reisemuffel und Gehbehinderte. Sie werden es kaum glauben: (a) einen Account bei der Telekom einrichten oder (b) die Online-Ausweisfunktion verwenden.
AntwortenLöschenNach etwa 30 Jahren bei der Telekom habe ich vor zwei Monaten mein Telekom-Konto (Lösung a) aufgelöst. Leistung und Konditionen waren für mich inakzeptabel geworden. Seit zwei Wochen versuche ich die Online-Ausweisfunktion zu aktivieren (Lösung b). Das Projekt war lehrreich, aber erfolglos (siehe oben).