Cory Doctorow, Mitblogger bei „Boing Boing„, einem der meistgelesenen Blogs auf diesem Planeten, sprach beim Elektrischen Reporter über das Internet und seine Auswirkungen auf unsere Gesellschaft, sowie über kommende Bedrohungen für unsere Privatsphäre:
Eine Übersetzung auf Deutsch gibt es bei Siggi Becker.
Der Überwachungswahn einzelner Politiker nimmt auch in Österreich konkrete Formen an. Innenminister Günther Platter (ÖVP) möchte anscheinend durch eine Änderung des Sicherheitspolizeigesetzes das Abhören von Mobilfunktelefonaten ohne irgendeine richterliche Kontrolle ermöglichen. Im Entwurf heisst es: „Ist auf Grund bestimmter Tatsachen anzunehmen, dass eine gegenwärtige Gefahr für das Leben oder die Gesundheit eines Menschen besteht, sind die Sicherheitsbehörden zur Abwehr dieser Gefahr darüber hinaus berechtigt, von den Betreibern im Mobilfunkbereich Auskunft über Standortdaten und die internationale Mobilteilnehmerkennung (IMSI) zu verlangen sowie technische Mittel zur Lokalisierung einer von einem gefährdeten Menschen mitgeführten Endeinrichtung zum Einsatz zu bringen.“
Mit einem so genannten IMSI-Catcher soll dem Handy der Zielperson eine Mobilfunkzelle seines Netzbetreibers vorgegaukelt werden, in das sich dieses einbucht. Der Betreiber des IMSI-Catchers leitet das Gespräch an den richtigen Mobilfunkanbieter weiter und kann dabei alles mithören und mitschneiden. Das funktioniert nach dem Prinzip einer „Man-in-the-middle-Attacke“, wie sie auch beim Phishing eingesetzt wird.
Das Aufspüren vermisster Personen über ihr Mobiltelefon wurde auch schon beim grossen Tsunami-Unglück in Thailand eingesetzt. Mit der Abwehr akuter Gefahren hat dies aber überhaupt nichts zu tun. Oder werden künftig Sicherheitsbehörden die Arbeit von Rettungskräften übernehmen? Anscheinend soll hier der wahre Zweck mit falschen Argumenten verschleiert werden. Deshalb schlägt jetzt Peter Pilz, österreichischer Nationalratsabgeordneter der Grünen, Alarm und auch der Verfassungsdienst des Bundeskanzleramtes steht der Gesetzesänderung kritisch gegenüber. Nach der Behandlung im Ministerrat soll die Novelle schon kommende Woche vom Nationalrat beschlossen werden. Austria hat’s anscheinend besonders eilig. Die Geschwindigkeit, mit der weltweit neue „Sicherheitsgesetze“ durchgepaukt und Überwachungsmassnahmen unter dem Deckmantel der Terrorbekämpfung im Namen der Sicherheit jeglicher rechtsstaatlicher Kontrolle entzogen werden, ist schon beängstigend.
In Deutschland ruft der Arbeitskreis Vorratsdatenspeicherung für den Dienstag, den 6. November 2007 zu bundesweiten, dezentralen Protestaktionen auf. Alle um den Datenschutz besorgten Bürger sollen sich zwischen 17.00 und 19.00 Uhr zu Kundgebungen vor den Rathäusern beziehungsweise den Sitzen der jeweiligen Landesregierungen treffen und gegen die geplante verdachtsunabhängige Vorratsspeicherung von Telefon- und Internetdaten protestieren. Wer sich jetzt nicht gegen den geplanten Überwachungs- und Schnüffelstaat zur Wehr setzt, darf später nicht jammern, wenn er selber zum Opfer wird!
Ausgerechnet der chinesische Netzwerkdienstleister ZTE Corporation forciert eine globale Standardisierung von Abhörschnittstellen und hat dazu bei der International Telecommunication Union (ITU) seine Vorschläge für Next Generation Networks (NGN) eingereicht, um damit die Bedürfnisse von Strafverfolgungsbehörden und Geheimdiensten zu berücksichtigen. Abhörschnittstellen seien heute ein unverzichtbarer Bestandteil von Netzen, heisst in der Argumentation.
Das zeigt, dass das Rechtsverständnis der Chinesen nicht mit unserem kompatibel ist – mit Ausnahme einiger selbsternannter Sicherheitsfanatiker. Deren wahren Absichten und Beweggründe zeigt der äusserst lesenswerte Beitrag „Geschäft mit der Angst“ bei TELEPOLIS.
Sicherheitslücken sollen bewusst in die Netzwerktechnologie der Zukunft miteingebaut werden. Davon profitieren nicht nur Schnüffler im Staatsdienst, sondern auch kriminelle Organisationen würden sich dankbar dieser neuen Schnittstellen bedienen. Der damit verbundene Vertrauensverlust in Computer-Netzwerke würde den sicheren Tod des Internet und der globalen Vernetzung bedeuten. Als Folge davon müsste die Globalisierung neu definiert werden, was zu Neubesetzungen in den Rollen der Mächtigen führen würde. Vielleicht ist das die wahre Absicht, die hinter den Plänen von ZTE steckt.
Prof. Dr. Thomas Hoeren vom Institut für Informations-, Telekommunikations- und Medienrecht an der Universität Münster hat sein Skript „Internetrecht“ aktualisiert (aktuell in der Version September 2007). Darin behandelt er recht umfassend folgende Rechtsaspekte, die im Zusammenhang mit dem Internet von Bedeutung sind:
Weitere Unterlagen zum Thema und ältere Skripts finden sich auf seiner Website an der Uni Münster (http://www.uni-muenster.de/Jura.itm/hoeren/) unter dem Menupfad „Lehre > Materialen“. Für alle, die mit den rechtlichen Seiten des Internet zu tun haben, ist Dr. Hoeren’s Skript ein hervorragender kostenloser Einstieg ins Thema.
Der kalifornische Rechtsanwalt Damian Fernandez hat gegen Apple Klage eingereicht. Vertragsbindung von Apple’s iPhone an die Telefongesellschaft AT&T verstösst seiner Auffassung nach gegen das kalifornische Kartellgesetz sowei den Digital Millennium Copyright Act (DMCA). Wegen des ungesetzlichen und wettbewerbswidrigen Verhaltens von Apple und eben dieser Vertragsbindung, die durch den SIM-Lock technisch „sichergestellt“ wird, sei der Preis des iPhones zu hoch. Deshalb soll die SIM-Sperre nun verboten werden. Für die Klage sammelt er noch weitere Kläger.
Aber auch in Frankreich droht die Markteinführung an dieser exklusiven Vetragsbindung und am SIM-Lock zu scheitern. Apple möchte sich die exklusiven Vermarktungsrechte zudem mit bis zu 30 Prozent der monatlichen Umsätze entlöhnen lassen. Auch in Deutschland könnte der iPhone-Start mit dem Mobilfunk-Anbieter T-Mobile noch platzen.
Da hat jemand in Apple’s Marketing- und Rechts-Abteilung ganz offensichtlich seine Hausaufgaben nicht gemacht. Auch Marktgrössen wie Apple sind vor Schlamperei nicht gefeit.
… dann wird meist einfach durchgewurstelt bis zum bitteren Ende. Und die Letzten beissen die Hunde. Das sind die Tester, welche die zu prüfende Software regelmässig zu spät erhalten, aber trotzdem termingerecht fertig getestet abliefern müssen – einschliesslich der nötigen Korrekturen der Entwickler, versteht sich. Da aber die Erstellung des Prüflings mehr Zeit in Anspruch genommen hat als ursprünglich geplant war, steigt naturgemäss entsprechend auch der Testaufwand proportional, der sich bei finanztechnischer Individualsoftware üblicherweise in der gleichen Grössenordnung wie der Entwicklungsaufwand bewegt. Wenn gegen Ende der Entwicklungszeit die Liefertermine ohnehin schon überfällig sind, wird alles noch schnell-schnell codiert und dann ohne Vortests zur Sicherstellung der Lauffähigkeit und Grundfunktionalität durch den Entwickler an die Tester weitergereicht. Dadurch stecken dann noch mehr Fehler in der Software als wenn sie unter Einhaltung der Regeln der IT-Kunst erstellt worden wäre.
Die Gründe für den höheren Entwicklungsaufwand sind meist in den vorgelagerten Phasen zu suchen. Ungenaue, unklare und unvollständige Spezifikationen führen zu Fehlern und Mehraufwänden in den nachgelagerten Projektphasen. Entweder hat der Analyst die Sache selber nicht richtig analysiert und verstanden oder er ist nicht in der Lage, die Anforderungen so zu beschreiben, wie sie von den Entwicklern und Testern verstanden werden können und erwartet werden. Der Entwickler setzt die Modelle aus der Analyse in Programmcode um. Das ist Handwerk, das der Kreativität relativ wenig Freiheit lässt. Entsprechend sind die meisten Fehlerursachen auch nicht hier zu suchen.
Es gibt schon seit längerem Standards zur systematischen Beschreibung von Anforderungen und Modellen (z.B. die Unified Modeling Language UML), die aber in der Praxis oft nur pro forma eingehalten werden. Zum Beispiel mag ein Use Case (d.h. die Beschreibung eines Geschäftsanwendungsfalls) auf den ersten Blick aussehen wie einer, inhaltlich ist er aber nicht selten unvollständig und zu ungenau oder beschreibt nicht das, was er eigentlich sollte. Das kennen wir ja aus dem Alltag schon: aussen hui, innen pfui – aussen straffe Haut und volle Brüste, innen Silikon, abgesaugtes Fett und künstlich gelähmte Nervenzellen. Unvermögen mangels Ausbildung oder Unwille zur Kommunikation und Zusammenarbeit zwecks politischer Machtspiele, indem wichtige Informationen bewusst vorenthalten werden? Oder ganz einfach nur Schlamperei? Die Ursachen sind vielfältig. Das Resultat ist aber immer das selbe: Reibungsverluste, Mehraufwände, Terminverschiebungen und eine schlechte Qualität der Software. Und der CIO ist meist viel zu weit von der Materie entfernt, als dass er gezielt den Hebel ansetzen könnte, um die nötigen Veränderungen in der Arbeitskultur und bei den Prozessen zu initiieren und voran zu treiben. Von der Basis her sind solche Veränderungen unmöglich, weil sie einen starken Führer benötigen, der nicht bloss dahinter steht, sondern den Karren selber zieht.
Erst kürzlich las ich in einem Protokoll eines Projektstatus-Meetings (sinngemäss): „Die Situation wurde durch die Parallelisierung von Design und Codierung entschärft“. Das heisst im Klartext: mit der Umsetzung wurde schon begonnen, bevor klar war, was und wie es eigentlich realisiert werden sollte. In der Maschinenindustrie wäre so etwas kaum vorstellbar. Wenn das bloss wieder einmal gut geht …
Der Softwareriese möchte mit „HealthVault“ ins Gesundheitswesen einsteigen und hat auch schon erste Verbündete in den USA gewonnen wie American Heart Association, Johnson & Johnson LifeScan, das NewYork-Presbyterian Hospital, der Klinik-Konzern Mayo Clinic und MedStar Health. Ausgerechnet Microsoft, für die Sicherheit nun wirklich nur ein permanentes Problem darstellt, sollen wir künftig unsere intimsten Gesundheitsdaten anvertrauen? Zum Datenschutz bei HealthVault lässt Microsoft verlauten (in Kurzform): „1. Die Microsoft-HealthVault-Daten werden von Ihnen kontrolliert. 2. Sie entscheiden, was in Ihren HealthVault-Daten gespeichert wird. 3. Sie entscheiden von Fall zu Fall, wer Ihre Informationen sehen und nutzen darf. 4. Wir werden Ihre Gesundheitsdaten nicht für kommerzielle Zwecke nutzen, ohne vorher Ihre Erlaubnis eingeholt zu haben.“ Heisst das, für nicht-kommerzielle Zwecke könnten die Daten ohne Einverständnis einer Person genutzt werden? Mir läuft es kalt den Rücken runter.
Bei der Realisierung der Gesundheitskarte in Deutschland und der ELGA in Österreich gibt es bekanntlich auch noch einige technische und organisatorische Probleme zu überwinden. Auch die Kostenfrage ist bisher noch nicht beantwortet. Nicht zuletzt monieren Ärzteverbände immer wieder, dass die Datenschutzproblematik nicht zufriedenstellend gelöst worden ist. Sie sehen dadurch das Vertrauensverhältnis zwischen Arzt und Patient gefährdet schreibt Robert A. Gehring bei golem.de. Auch Detlef Borchers weiss bei heise online nichts Gutes über die Datensammelwut der Krankenkassen zu berichten. Die Krankenkassen nötigen ihre Versicherten zur Abgabe einer „Einwilligungserklärung zur Datenerhebung und Datenweitergabe“ und das verstösst gegen geltendes Recht.
Wenn nun jeder über jeden Daten sammelt und ihn überwacht – der Staat, die Krankenkassen, die Versicherungen, die Banken, der Einzelhandel, die Werbewirtschaft, iTunes, Amazon und nun auch noch Microsoft, dann haben wir die totale Transparenz. Wer sollte da etwas dagegen haben, der selber nichs zu verbergen hat? So viel Totales erinnert mich doch stark einen Gefreiten aus Linz mit einem schmalen Oberlippenbart und einer unverwechselbaren Stimme mit totalem Herrschaftsanspruch. Aber weder ihm und seinen Schergen noch dem Erich und seiner Stasi sind derartige Überwachungsmassnahmen in den Sinn gekommen, wie sie zur Zeit in Planung oder bereits Alltag sind. Alles im Namen der Effizienz und zum Wohle der Menschheit.
Heute fragte mich ein Verkäufer: „Was, Sie haben noch keine CUMULUS-Karte?“ Nein, habe ich nicht – und auch keine Supercard oder sonst eine „Mach-mich-gläsern-Kundenkarte“. Bekommen habe ich schon einige, nur brauchen tue ich keine. Meine Krankenkassenkarte ist aus reinem Kunststoff, hat keinen Chip und speichert keine Daten. Auf ihr steht lediglich meine Versicherungsnummer und die Notfall-Telefonnummer der Krankenkasse. Mehr brauche und will ich nicht. Das kostet fast nichts und verursacht auch keine Datenschutzprobleme.
Einem Urteil des Landgerichtes Berlin vom 6. September 2007 gegen das Bundesjustizministerium zufolge dürfen zu einer Website keine personenbezogenen Nutzungsdaten zusammen mit der IP-Adresse über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert werden. Der klagende Jurist Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung hat die mittlerweile rechtskräftige Entscheidung erwirkt. Die Revision wird nicht zugelassen. Das Landgericht bestätigt damit im Wesentlichen das Urteil des Amtsgerichtes Berlin Mitte vom 27. März 2007.
Über die IP-Adresse seien Aufzeichnungen und Auswertungen des individuellen Nutzungsverhaltens möglich. Dies ist prinzipiell richtig. Richtig ist aber auch, dass dies auch ohne Speicherung der IP-Adresse möglich ist – zum Beispiel über Cookies. Aus datenschutzrechtlicher Sicht richtig problematisch wird es erst, wenn Website-übergreifende Nutzerprofile erstellt werden. Auch dies ist grundsätzlich ohne die IP-Adresse möglich. Bei dynamisch vergebenen IP-Adressen macht ihre Speicherung zu diesem Zweck ohnehin keinen Sinn, weil sie ständig ändert.
Bei all meiner Sorge um den Datenschutz erachte ich dieses Gerichtsurteil als unklug, kurzsichtig und vorschnell, denn es zeigt, dass bei dieser Angelegenheit einige relevante Gesichtspunkte völlig ausser Acht gelassen wurden. Jeder Webserver speichert in seinen Logdaten auch die IP-Adresse jedes Zugriffs defaultmässig mit, womit nun in Deutschland über eine Million Websites illegale Aufzeichnungen über ihre Nutzer führen. Eine Welle von Abmahnungen ist vorprogrammiert und auch der Münchner Rechtsanwalt Günter Freiherr von Gravenreuth wird sicher wieder mit von der Partie sein, wenn er nicht gerade seine Freiheitsstrafe absitzt.
Die Speicherung der IP-Adresse ist jedoch durchaus sinnvoll aus den folgenden Gründen:
Nach der (meist statistischen) Auswertung der Logdaten des Webservers auf (hoffentlich) anonymer Basis werden die Rohdaten normalerweise schon kurz darauf gelöscht. Eine längerfristige Speicherung bringt ohnehin nichts und generiert nur Kosten für den Speicherplatz. Ausser die Daten werden für die Erstellung von Nutzerprofilen verwendet. Auch wenn diese Profile „nur“ für die zielgenaue Platzierung von Werbebotschaften dienen, stellt diese Art der Verwendung klar einen Missbrauch und eine Verletzung der Privatsphäre dar. Solche Zweckentfremdung gilt es weiter zu bekämpfen.
Wer ein Produkt zu einem äusserst günstigen Preis bei eBay erwirbt, muss nicht automatisch damit rechnen, Hehlerware zu erstehen. Ein Software-Ingenieur hatte im Sommer 2005 Navigationsgerätes mit einem Neuwert von über 2’000 Euro über eBay von einem Powerseller zum Preis von rund 670 Euro erworben. Zu seinem Pech stammte die Ware aus einem Diebstahl. Das Amtsgericht Pforzheim verurteilte den ihn in erster Instanz wegen Hehlerei zu einer Geldstrafe, weil er zumindest billigend in Kauf genommen hätte, dass das Gerät aus einem Diebstahl stammte. Er ging vor dem Landgericht Karlsruhe in Berufung und wurde freigesprochen (Az: 18 AK 136/07). Dem Angeklagten konnte kein Vorsatz nachgewiesen werden und er musste nicht damit rechnen, Diebesgut zu erwerben.
Müsste jeder grundsätzlich damit rechnen, dass er zum potenziellen Hehler wird, nur weil er Ware zu einem sensationellen Schnäppchenpreis erwirbt, würde das Handelsvolumen von eBay in Kürze dezimiert werden. Viele Auktionen starten bei 1 Euro. Stösst eine Versteigerung auf wenig Interesse, kann es durchaus einmal vorkommen, dass eine Ware weit unter ihrem realen Wert den Besitzer wechselt. Glück gehabt. Bei „Sofortkauf“-Angeboten mit sehr niedrigem Preis oder einer Produkt- und Herkunftsbeschreibungen, die auch für Otto Normalverbraucher offensichtlich auf illegale Ware schliessen lassen, ist allerdings Vorsicht geboten. Das ist schliesslich auf dem Flohmarkt auch nicht anders. Wieso nur muss das Recht für das Internet immer wieder neu interpretiert werden? Anscheinend führt die Digitalisierung der Welt bei einigen Juristen immer noch zur allgemeinen Verwirrung und Desorientierung. Wer glaubt, dass er sich im Internet in einer virtuellen Welt bewegt, die eigenen Gesetzmässigkeiten folgt, erliegt einem grundlegenden Irrtum. Auch Second Life ist nur eine Verlängerung der realen Welt auf die Ebene der Bits & Bytes und ein Abbild der realen Welt. Auch die kleinsten technologischen Veränderungen mit gesellschaftlichen Auswirkungen bedürfen eben einer gewissen Zeit, bis wir den natürlichen Umgang mit ihnen lernen und sie zum Bestandteil unseres Alltags werden.
Wenn man in der Informatik-Branche arbeitet, widerfährt einem so mancherlei Kurioses – nicht nur in technischer Hinsicht sondern auch zwischenmenschlich. Diese Erlebnisse sind oft symptomatisch für die gesellschaftlichen Veränderungen durch die Informationsgesellschaft. Um auch Nicht-Informatikern einen Einblick in den „computergesteuerten“ Alltag zu ermöglichen, werde ich künftig vermehrt auch über meine Erlebnisse und gewonnenen Einsichten aus dem Berufsalltag in IT-Projekten berichten. Selbstverständlich erfolgt dies unter Wahrung der Anonymität aller Beteiligten Firmen und Personen. Analogien zum 08/15-Alltag von Otto Normalverbraucher werden für mehr Verständnis und den einen oder anderen Aha-Effekt sorgen.
Zudem werde ich für alle, die sich für IT-Projektmanagement und verwandte Themen interessieren, auch Verweise auf interessante Quellen im Web veröffentlichen. Den Anfang macht der PROJEKTMANAGEMENT BLOG.