Die Auszählung läuft zwar noch, aber ich wage einmal die Voraussage: Wulff ist der nächste Bundespräsident. Zeit, um mit einigen Missverständnissen aufzuräumen:
Erstes Missverständnis: Es ging um Wulff oder Gauck.
Nein, es ging um ein strategisches Gemetzel. SPD und Grüne haben einen großartigen Coup gelandet, indem sie erstens einen Kandidaten aufstellten, bei dem die wenigen selbstständigen Denker im Unionslager den Kopf gegen die Wand hämmerten und sich fragten, warum sie nicht selbst auf diese Idee kamen und gleichzeitig jemanden präsentierten, der für die "Linke" vollkommen inakzeptabel ist. So konnten sie die Union vorführen und gleichzeitig sicher stellen, dass ihrem Kandidat, sollte der unwahrscheinliche Fall eintreten und er gewählt werden, nicht der Makel anhaftet, mit den Stimmen der ungeliebten Konkurrenz ins Amt gehoben worden zu sein. Doch stellen wir uns für einen Moment vor, was passiert wäre, hätte die CDU von Anfang an Gauck aufgestellt. Hätte die SPD auf einen eigenen Kandidaten verzichtet?
Natürlich nicht. Die CDU hätte Ferdinand Lasalle aus dem Hut zaubern können, und die SPD hätte ihn nicht gewählt. Es geht nur darum, herauszufinden, wie gut Merkel ihre Entscheidungen noch durchsetzen kann. Wäre Wulff gescheitert, hätte dies das politische Ende Merkels sowie Neuwahlen bedeutet, und wegen des aktuellen Formtiefs der blaugelben Parteiensimulation wäre der Fortbestand der Koalition zumindest äußerst fraglich gewesen. So weit lässt es natürlich kein CDU-Anhänger kommen, denn noch weniger als Angela Merkel behagt ihren parteiinternen Gegnern der Gedanke, wieder eine Legislaturperiode auf der Oppositionsbank sitzen zu müssen.
Kurz: Hut ab vor dem brillianten Schachzug der SPD, Watschen an alle Parteien, die das höchste Amt dieses Landes für ihre provinziellen Machtspielchen missbrauchen. Wenn der höchste Repräsentant der Bundesrepublik etwas braucht, dann ist es Achtung und Würde - also genau das, was ihm durch dieses Schmierentheater versagt wird.
Zweites Missverständnis: Es kommt darauf an, wer Bundespräsident ist.
Dieses Land hat in seiner Geschichte mehrfach bewiesen, dass es zur Not auch ein paar Jahre ohne Bundespräsident auskommt. Geben wir uns keinen Illusionen hin: Der Amtsinhaber muss vor allem eine gute Schau abliefern: Fähren taufen, Ausstellungen eröffnen, ein schönes Sommerfest geben sowie ab und zu auf dem internationalen Parkett ein paar nette Worte sagen. Das bekam bislang jeder Bundespräsident ganz passabel hin - ja, auch Heinrich Lübke, dessen lustigste Zitate fast vollständig nicht belegt und wahrscheinlich frei erfunden sind. Eine unverzichtbare Funktion, die keinesfalls von einem anderen Verfassungsorgan wahrgenommen werden kann, hat das Amt des Bundespräsidenten nicht inne. Das ist so gewollt und auch sinnvoll, doch dazu gleich mehr.
Drittes Missverständnis: Der Bundespräsident sollte direkt vom Volk gewählt werden.
Nichts gegen direkte Demokratie, von der es leider viel zu wenig in diesem Land gibt, aber sie ist nicht an allen Stellen angebracht. Der Bundespräsident ist ein Beispiel. Kaum einem Amt hat unsere Verfassung weniger Macht und mehr Bedeutung zugedacht. Der Widerspruch ist historisch begründet. In der Weimarer Republik hatte der Reichspräsident eindeutig zu viel Macht und konnte im Zweifelsfall die gewählte Regierung einfach absetzen. In der Bundesrepublik zog man daraus die Konsequenz, die Macht eindeutig auf das Amt des Bundeskanzlers zu konzentrieren. Der Bundespräsident hat zwar formal noch einige Befugnisse, aber die Verfassung lässt ihm bei der Ausübung kaum Spielraum. Was passiert nun, wenn man dieses Amt direkt wählen lässt?
Es hat auf einmal mehr demokratische Legitimation als das des Bundeskanzlers, der nur indirekt gewählt wird. Als Konsequenz könnte der Bundespräsident Machtbefugnisse verlangen, die denen des Bundeskanzlers gleichrangig wären - immerhin repräsentiert er ja direkt den Volkswillen. Nun könnte man auf die Idee kommen, auch den Bundeskanzler direkt wählen zu lassen. Wenn man die Plakate zu Bundestagswahlen sieht, könnte man auf die Idee kommen, dass dies ohnehin geschieht. Das aber widerspräche der Idee, die hinter dem Amt des Bundeskanzlers steht. Hierzu sieht das Grundgesetz in Artikel 65 vor: "Der Bundeskanzler bestimmt die Richtlinien der Politik und trägt dafür die Verantwortung." Das geht allerdings nur, wenn er hinter sich eine Bundestagsmehrheit weiß, was bei einer Direktwahl nicht unbedingt gewährleistet ist. Man müsste schon sehr wild am Grundgesetz herumschrauben, nur um ähnlich den Bundespräsidenten ähnlich wie einen Klassensprecher nach Beliebtheitskriterien wählen zu können.
Viertes Missverständnis: Am Kandidaten Gauck sieht man die Macht des Netzes.
Der großartige Mario Sixtus hat es an anderer Stelle schon geschrieben: Das im Internet veranstaltete Getue um Gauck wird maßlos überbewertet. Zwar gibt es in der Netzgemeinde kaum Unterstützung für Wulff, aber sehen wir die Sache einmal nüchtern: Wie groß ist denn der Anteil der deutschen Internetnutzer, die aktiv für Gauck Partei ergriffen? Er liegt irgendwo im mittleren bis niedrigen einstelligen Prozentbereich. Wir Netzaktivisten fallen seit dem Wirbel um die Piratenpartei immer wieder auf den gleichen Effekt herein: Dadurch, dass wir uns die Inhalte, die wir uns ansehen, selbst auswählen, dadurch, dass wir unseren Umgang im Netz selbst bestimmen, nehmen wir die Realität äußerst selektiv wahr. Wenn bei einer Spiegel-Online-Umfrage 80 Prozent der Stimmen auf die Piratenpartei oder ähnlich hohe Werte auf Gauck entfallen, übersehen wir dabei, dass es immer leichter wird, innerhalb weniger Stunden durch ein paar geschickte Blogartikel und einige Twittermeldungen zigtausende Menschen zum ebenso leichten wie folgenlosen Anklicken einer bestimmten Seite zu bewegen. Erinnern Sie sich noch an die etwa 134.000 Unterschriften unter die Bundestagspetition gegen die Internetzensur? Haben Sie eine Ahnung, wie viele von denen auf diesem Gebiet noch politisch aktiv sind? Erinnern Sie sich noch an die enorme Präsenz, welche die Piraten vor einem Jahr im Netz entfalteten, an das Gefühl der Erleichterung, das viele von uns, mich eingeschlossen, empfanden, weil die diffuse Unzufriedenheit der Netzgemeinde konkrete politische Formen anzunehmen begann? Entsprechen Wahlergebnisse zwischen einem und zwei Prozent auch nur annähernd dem Wirbel, der auch außerhalb des Internet um diese Partei veranstaltet wurde? Wir müssen wohl oder übel zur Kenntnis nehmen, dass wir es in immer kürzerer Zeit schaffen, immer mehr Leute zu immer folgenärmeren Aktionen zu bewegen. Im Prinzip organisieren wir einen Flashmob nach dem nächsten und bemerken nicht, dass inflationär steigende Teilnehmerzahlen an irgendwelchen virtuellen Aktionen in der Außenwelt immer weniger Nachhall entfalten.
An der Grenze der Peinlichkeit lavieren die Versuche, Wulff als eine Art christlichen Taliban hinzustellen. Wulff hat seinen Glauben nie verheimlicht. Auch pflegt er zu Gruppen Kontakt, die evangelikal geprägt sind oder zumindest eine befremdlich offensive Glaubensauffassung vertreten. Der bei Netzbewohnern gern dann einsetzende Beißreflex, wenn jemand eine aus ihrer Sicht irrationale Ansicht vertritt (wie: "Emacs ist besser als vi", "Windows ist besser als Linux", "Die Piraten vertragen keine Kritik" oder "Ich glaube an G'tt"), verstärkt durch eine grundsätzliche Ablehnung gegenüber allem, was nicht total Web 2.0 ist, lässt jedoch in ihren Augen den neuen Bundespräsidenten zu einer Art modernen Kreuzritter werden, gegen den die Eskapaden eines George Bush junior wie reiner Atheismus wirken. Möglicherweise wäre an dieser Stelle ein Blick ins Grundgesetz angebracht. Das nämlich sieht Religionsfreiheit vor, auch für Bundespräsidenten. Das gleiche Recht, das den hier lebenden Menschen zugesteht, so irrationales Zeugs wie einen Gott abzulehnen und statt dessen so offensichtlich wahre Dinge zu glauben wie beispielsweise dass Fußballweltmeisterschaften irgendeinen Sinn ergeben, dass es reicht, alle vier Jahre Zettelchen in Kästen zu schmeißen und damit die Dinge zum Guten zu wenden oder dass es bei "DSDS" um Musik geht, erlaubt es Wulff, Christ zu sein. Man darf ihm dabei ruhig genügend Intellekt zugestehen, als Inhaber eines Amtes, das sehr großen Wert auf Harmonie legt, es nicht zu übertreiben. Man sagt ja den Christen nicht ganz zu unrecht diverse Albernheiten nach, aber es ist meiner Einschätzung nach nicht damit zu rechnen, dass morgen an den Schulen die Schöpfungslehre alternativ zur Evolutionstheorie gelehrt wird und dass die paläontologischen Musseen schließen müssen, weil millonen Jahre alte Saurierknochen laut Bibel nicht existieren können.
Die schwarz-gelbe Koalition ist angeschlagen.
Es gibt einen großen Unterschied zwischen der realen Bedeutung eines Ereignisses und dem Buhei, den wir darum veranstalten. Ich bin mir sicher: Sofern Wulff im Amt nicht vollkommen versagt, wird sich schon in wenigen Wochen kein Mensch mehr an die kleinen Holpereien bei seiner Wahl erinnern. Was ist denn eigentlich passiert? Ein paar Wahlleute der Regierungskoalition haben den Zwergenaufstand gespielt, aber sich im alles entscheidenden Moment brav wieder ans Händchen nehmen lassen. Am Ende zählt das Ergebnis, und das sagt, dass Wulff statt der nötigen relativen sogar die absolute Mehrheit hinter sich versammeln konnte.
Möglicherweise ist es einmal Zeit für einen Realitätsabgleich. Nicht nur für die Netzgemeinde - für alle.
Mittwoch, 30. Juni 2010
Freitag, 25. Juni 2010
Gesucht: Donald D. aus E.
Es war ein Informationsstand auf der Sigint 10 in Köln, mehr weiß ich leider auch nicht. Ein netter Mensch tauchte auf, hinterließ am Stand ein paar sehr schöne Aufkleber ungeklärter Urheberschaft und verschwand dann auch wieder. Besonders gut gefällt mir ein Aufkleber, der einen gewissen Donald D. aus E. zeigt, wie er zutiefst angesäuert einen Strand verlässt und dabei sagt: "Pah, träge Masse! Wenn die Tyrannei ihr schmalzgelocktes Haupt erhebt, ist Widerstand die erste Bürgerpflicht." So, wie der Aufkleber aussieht, scheint mir das Zitat tatsächlich der Feder Erika Fuchs' zu entstammen, aber leider bin ich nicht Donaldist genug, um dies mit Sicherheit sagen zu können. Die für gewöhnlich allwissende Müllhalde schweigt sich leider auch zu diesem Zitat aus, was für mich darauf hindeutet, dass irgendein Sigint-Besucher eine sehr schöne Idee, aber keine große Lust auf Ruhm hatte. Mir gefällt das Zitat jedenfalls sehr gut, klingt es doch entschieden weniger sauertöpfisch als das sprachlich in den 30er-Jahren hängengebliebene angebliche Brecht-Zitat: "Wo Recht zu Unrecht wird, wird Widerstand zur Pflicht." Wenn also jemand sagen kann, aus welchem Heft das Donald-Zitat stammt oder wo man an die schönen Aufkleber gelangen kann, wäre ich für einen Eintrag im Kommentarbereich dankbar.
Zeigt her eure Briefchen
"Bild" scheint dem ganz großen Skandal auf der Spur: "Post soll Arbeitslosen-Briefe öffnen", und auf den ersten Blick sieht es tatsächlich so aus, als sei die Bundesagentur für Arbeit diesmal völlig durchgedreht und lasse in den Verteilzentren der Deutschen Post AG grundsätzlich jeden Brief öffnen, den Arbeitslose und Kindergeldempfänger auf den Weg bringen. Liest man den - ich unterstelle: bewusst - missverständlich geschriebenen Artikel genauer durch, versteht man, worum es tatsächlich geht: Statt dass Mitarbeiter der Bundesagentur an sie adressierte Briefe zu Archivierungszwecken selbst einscannen, soll dies bereits im Vorfeld durch die Post geschehen. Das hinterlässt zunächst einmal ein flaues Gefühl, ist aber grundsätzlich in Ordnung, wenn man sich an die Regeln hält.
§ 11 des Bundesdatenschutzgesetzes behandelt ausführlich die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Weniger pompös ausgedrückt regelt er die Situation, dass beispielsweise ein Versandhaus sich auf die Abwicklung des eigentlichen Versands konzentrieren möchte und auch gar nicht Personal und Infrastruktur hat, die Kundendaten vernünftig zu verwalten. Bevor sie also den Praktikanten anheuern, am PC des Chefs mal eben mit PHP und Javascript eine Kundenverwaltung zusammenszuklimpern, geben sie den Auftrag lieber an eine darauf spezialisierte Firma. Damit kann sich das Versandhaus aber nicht bequem zurücklehnen und die Sache als erledigt ansehen. Im Gegenteil: Absatz 1 besagt klar, dass die Verantwortung beim Auftraggeber bleibt. Schadensersatz- und Auskunftsansprüche kann er nicht auf die externe Firma abwälzen. Darüber hinaus verpflichtet ihn Absatz 2 zur besonderen Sorgfalt bei Auswahl der Fremdfirma, genauer schriftlicher Festlegung, wie die Daten behandelt werden müssen, sowie regelmäßigen Kontrollen. Erst in Absatz 3 regelt das Gesetz, dass die Fremdfirma ihrerseits verpflichtet ist, genau so vorzugehen, wie es der Auftraggeber wünscht, aber bei mutmaßlichen Datenschutzverstößen unverzüglich auf diese hinzuweisen.
Natürlich denkt man beim Lesen der "Bild"-Schlagzeile nicht sofort an das Bundesdatenschutzgesetz, sondern an das in Artikel 10 des Grundgesetzes festgelegte Brief-, Post- und Fernmeldegeheimnis. Das ist natürlich nicht außer Kraft gesetzt, bezieht sich in seiner vollen Strenge aber auf private Kommunikation. Beim Umgang mit Behörden und Firmen muss man davon ausgehen, dass Briefe auch von anderen als den direkt Adressierten gelesen werden, allein schon, weil es ja weniger um den konkreten Sachbearbeiter, sondern um den von ihm behandelten Vorgang geht. Als Antragssteller möchte ich in erster Linie mein Arbeitslosengeld haben. Wer genau den Antrag genehmigt und ob er das als Urlaubs- oder Krankheitsvertretung für jemanden erledigt, ist mir so lange egal, wie das Geld pünktlich bei mir eintrifft. Das entbindet die Mitarbeiter zwar nicht von ihrer Pflicht, persönliche Daten diskret zu behandeln, aber Artikel 10 greift hier nicht.
Kurz: Dass die BA Briefe, die sie ohnehin einzuscannen gedenkt, von der Post im Auftrag einscannen lässt, ist rechtlich nicht zu beanstanden. Interessant ist dabei jedoch die Frage, ob dabei mit der nötigen Sorgfalt vorgegangen wird. Immerhin handelt es sich bei den Daten, mit denen die Bundesagentur umgeht, nicht gerade um Kleinigkeiten, sondern tief gehende Einblicke in die persönlichen Verhältnisse der Betroffenen. Derart heikle Informationen wie beabsichtigt von billigen Hilfskräften verarbeiten zu lassen, wirft zumindest starke Zweifel auf, ob hier mit der nötigen Sorgfalt vorgegangen wird. Natürlich werden die Mitarbeiter schriftlich auf Einhaltung des Datenschutzes verpflichtet, aber wer schon einmal in einer Firma gearbeitet hat, die solche Verpflichtungen unterschreiben lässt, weiß, wie so etwas vor sich geht: Da knallt der Vorgesetzte einen hastig fotokopierten Zettel hin, auf dem es vor Verweisen auf Paragrafen nur so wimmelt, raunzt irgendwas von "hier unterschreiben", ist in der Regel weder willens noch in der Lage, Fragen zu dem Wisch zu beantworten und droht gern auch mal mit Rausschmiss, wenn man nicht sofort unterschreibt. Mir sind Fälle bekannt, in denen selbst der betriebliche Datenschutzbeauftragte einfach nicht auf die Bitte von Mitarbeitern reagierte, über die zu unterzeichnende Erklärung reden zu wollen. Glaubt irgendwer, dass auf diese Weise dem Datenschutz auch nur ansatzweise Rechnung getragen wird?
Sie sehen schon: So einfach und reißerisch wie von "Bild" in die Welt posaunt ist die Lage nicht. Zum Glück gibt es auch Journalisten, die es mit sauberer Berichterstattung etwas genauer nehmen und eine erheblich differenziertere Meldung schreiben. Als Ergebnis bleibt: Die geplante Aktion der BA ist rechtlich zwar grundsätzlich in Ordnung, wirft im Detail aber Fragen auf und sollte von der Öffentlichkeit kritisch begleitet werden. In den vergangenen Jahren wurde mit Arbeitslosen zu viel Schindluder getrieben, als dass man hier stillschweigend den Verantwortlichen vertrauen kann.
Nachtrag: Die Bundesagentur hat mit einer Pressemitteilung auf die "Bild"-Meldung reagiert. Natürlich muss man die für solche Anlässe übliche Beschwichtigungsrhetorik berücksichtigen, aber selbst danach bleibt vom angeblichen Datenschutzskandal sehr wenig. Insbesondere sieht es so aus, als hätte man sich bei den Mitarbeitern nicht mit der obligatorischen Datenschutzerklärung zufrieden gegeben, sondern sie auch noch einer Sicherheitsüberprüfung unterzogen. Interessant wäre es noch zu wissen, as genau unter dieser Überprüfung steckt und wie die BA das Sicherheitsniveau sicherzustellen gedenkt.
Zweiter Nachtrag: Inzwischen gibt es auch eine offizielle Stellungnahme der Post vor.Auch hier verdichtet sich der Eindruck, dass die "Bild"-Meldung noch viel journalistisches Potential nach oben bietet:
Bereits seit Jahren bieten wir zuverlässig den sogenannten digitalen Posteingangsservice (DiPS) für Banken, Versicherungen und Behörden an. Dabei werden Schreiben, die an den Auftraggeber gerichtet sind, in den DiPS-Stationen per Scan digitalisiert und dem Auftraggeber zur weiteren Bearbei-tung elektronisch zur Verfügung gestellt. Dieses Verfahren ist mit den Datenschutzbeauftragten abgestimmt und erfüllen höchste Sicherheitsanfor-derungen am Umgang mit und Integrität von Daten.
Die DiPS-Stationen sind hoch zugangsgeschützt. Alle Mitarbeiter werden nach dem Sicherheitsüberprüfungsgesetz überprüft. Sie verpflichten sich zusätzlich schriftlich zur Einhaltung des Datenschutzes - und damit auch zur Verschwiegenheit - und müssen natürlich auch das grundgesetzlich geschützte Briefgeheimnis wahren. Zudem befinden sich die Kundendaten jederzeit in einem datengeschützten Kreislauf.
§ 11 des Bundesdatenschutzgesetzes behandelt ausführlich die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Weniger pompös ausgedrückt regelt er die Situation, dass beispielsweise ein Versandhaus sich auf die Abwicklung des eigentlichen Versands konzentrieren möchte und auch gar nicht Personal und Infrastruktur hat, die Kundendaten vernünftig zu verwalten. Bevor sie also den Praktikanten anheuern, am PC des Chefs mal eben mit PHP und Javascript eine Kundenverwaltung zusammenszuklimpern, geben sie den Auftrag lieber an eine darauf spezialisierte Firma. Damit kann sich das Versandhaus aber nicht bequem zurücklehnen und die Sache als erledigt ansehen. Im Gegenteil: Absatz 1 besagt klar, dass die Verantwortung beim Auftraggeber bleibt. Schadensersatz- und Auskunftsansprüche kann er nicht auf die externe Firma abwälzen. Darüber hinaus verpflichtet ihn Absatz 2 zur besonderen Sorgfalt bei Auswahl der Fremdfirma, genauer schriftlicher Festlegung, wie die Daten behandelt werden müssen, sowie regelmäßigen Kontrollen. Erst in Absatz 3 regelt das Gesetz, dass die Fremdfirma ihrerseits verpflichtet ist, genau so vorzugehen, wie es der Auftraggeber wünscht, aber bei mutmaßlichen Datenschutzverstößen unverzüglich auf diese hinzuweisen.
Natürlich denkt man beim Lesen der "Bild"-Schlagzeile nicht sofort an das Bundesdatenschutzgesetz, sondern an das in Artikel 10 des Grundgesetzes festgelegte Brief-, Post- und Fernmeldegeheimnis. Das ist natürlich nicht außer Kraft gesetzt, bezieht sich in seiner vollen Strenge aber auf private Kommunikation. Beim Umgang mit Behörden und Firmen muss man davon ausgehen, dass Briefe auch von anderen als den direkt Adressierten gelesen werden, allein schon, weil es ja weniger um den konkreten Sachbearbeiter, sondern um den von ihm behandelten Vorgang geht. Als Antragssteller möchte ich in erster Linie mein Arbeitslosengeld haben. Wer genau den Antrag genehmigt und ob er das als Urlaubs- oder Krankheitsvertretung für jemanden erledigt, ist mir so lange egal, wie das Geld pünktlich bei mir eintrifft. Das entbindet die Mitarbeiter zwar nicht von ihrer Pflicht, persönliche Daten diskret zu behandeln, aber Artikel 10 greift hier nicht.
Kurz: Dass die BA Briefe, die sie ohnehin einzuscannen gedenkt, von der Post im Auftrag einscannen lässt, ist rechtlich nicht zu beanstanden. Interessant ist dabei jedoch die Frage, ob dabei mit der nötigen Sorgfalt vorgegangen wird. Immerhin handelt es sich bei den Daten, mit denen die Bundesagentur umgeht, nicht gerade um Kleinigkeiten, sondern tief gehende Einblicke in die persönlichen Verhältnisse der Betroffenen. Derart heikle Informationen wie beabsichtigt von billigen Hilfskräften verarbeiten zu lassen, wirft zumindest starke Zweifel auf, ob hier mit der nötigen Sorgfalt vorgegangen wird. Natürlich werden die Mitarbeiter schriftlich auf Einhaltung des Datenschutzes verpflichtet, aber wer schon einmal in einer Firma gearbeitet hat, die solche Verpflichtungen unterschreiben lässt, weiß, wie so etwas vor sich geht: Da knallt der Vorgesetzte einen hastig fotokopierten Zettel hin, auf dem es vor Verweisen auf Paragrafen nur so wimmelt, raunzt irgendwas von "hier unterschreiben", ist in der Regel weder willens noch in der Lage, Fragen zu dem Wisch zu beantworten und droht gern auch mal mit Rausschmiss, wenn man nicht sofort unterschreibt. Mir sind Fälle bekannt, in denen selbst der betriebliche Datenschutzbeauftragte einfach nicht auf die Bitte von Mitarbeitern reagierte, über die zu unterzeichnende Erklärung reden zu wollen. Glaubt irgendwer, dass auf diese Weise dem Datenschutz auch nur ansatzweise Rechnung getragen wird?
Sie sehen schon: So einfach und reißerisch wie von "Bild" in die Welt posaunt ist die Lage nicht. Zum Glück gibt es auch Journalisten, die es mit sauberer Berichterstattung etwas genauer nehmen und eine erheblich differenziertere Meldung schreiben. Als Ergebnis bleibt: Die geplante Aktion der BA ist rechtlich zwar grundsätzlich in Ordnung, wirft im Detail aber Fragen auf und sollte von der Öffentlichkeit kritisch begleitet werden. In den vergangenen Jahren wurde mit Arbeitslosen zu viel Schindluder getrieben, als dass man hier stillschweigend den Verantwortlichen vertrauen kann.
Nachtrag: Die Bundesagentur hat mit einer Pressemitteilung auf die "Bild"-Meldung reagiert. Natürlich muss man die für solche Anlässe übliche Beschwichtigungsrhetorik berücksichtigen, aber selbst danach bleibt vom angeblichen Datenschutzskandal sehr wenig. Insbesondere sieht es so aus, als hätte man sich bei den Mitarbeitern nicht mit der obligatorischen Datenschutzerklärung zufrieden gegeben, sondern sie auch noch einer Sicherheitsüberprüfung unterzogen. Interessant wäre es noch zu wissen, as genau unter dieser Überprüfung steckt und wie die BA das Sicherheitsniveau sicherzustellen gedenkt.
Zweiter Nachtrag: Inzwischen gibt es auch eine offizielle Stellungnahme der Post vor.Auch hier verdichtet sich der Eindruck, dass die "Bild"-Meldung noch viel journalistisches Potential nach oben bietet:
Bereits seit Jahren bieten wir zuverlässig den sogenannten digitalen Posteingangsservice (DiPS) für Banken, Versicherungen und Behörden an. Dabei werden Schreiben, die an den Auftraggeber gerichtet sind, in den DiPS-Stationen per Scan digitalisiert und dem Auftraggeber zur weiteren Bearbei-tung elektronisch zur Verfügung gestellt. Dieses Verfahren ist mit den Datenschutzbeauftragten abgestimmt und erfüllen höchste Sicherheitsanfor-derungen am Umgang mit und Integrität von Daten.
Die DiPS-Stationen sind hoch zugangsgeschützt. Alle Mitarbeiter werden nach dem Sicherheitsüberprüfungsgesetz überprüft. Sie verpflichten sich zusätzlich schriftlich zur Einhaltung des Datenschutzes - und damit auch zur Verschwiegenheit - und müssen natürlich auch das grundgesetzlich geschützte Briefgeheimnis wahren. Zudem befinden sich die Kundendaten jederzeit in einem datengeschützten Kreislauf.
Mittwoch, 23. Juni 2010
Leseempfehlung: Akif Sahin
"Akif, du bist zwar Türke und Moslem, aber niemals ein Terrorist." Akif grinst: "Na, endlich begreift es mal jemand." - "Genau. Um deine Plauze kriegst du nie im Leben einen Sprengstoffgürtel geschnallt." So einfach beleidigt man Leute.
Der etwas ernstere Hintergrund ist, dass ich Akif tatsächlich nichts Böses zutraue, was über das Ansehen illegaler Filmkopien bei kino.to nennenswert hinausgeht. Er steht für das, was ich mir unter einem guten Mitbürger vorstelle und ist, auch wenn er das nicht gern hört, perfekt integriert. Er spricht ein breites Hamburgerisch, auf das selbst Dieter Bohlen neidisch wäre, er lacht über ganz ähnlichen Blödsinn wie ich, er sagt jedem, der es hören will und auch gern allen Anderen seine Meinung ehrlich ins Gesicht, und auf sein Wort kann man sich verlassen. Deutsche, was wollt ihr mehr?
Er soll Christ werden, das verlangen wir von ihm. Er soll sich endlich vom Terrorismus distanzieren und zur westlich-abendländischen Tradition bekennen. Man muss ja nur in den Q'ran schauen, sagen wir, und man sehe, was er wirklich will: Mord, Betrügerei und Krieg."Aber in den Städten dieser Völker, die dir der HERR, dein Gott, zum Erbe geben wird, sollst du nichts leben lassen, was Odem hat", "So erwürget nun alles, was männlich ist unter den Kindern, und alle Weiber, die Männer erkannt und beigelegen haben", "Rüstet euch zum Krieg wider sie! Wohlauf, laßt uns hinaufziehen, weil es noch hoch Tag ist!" - Oh, hoppla, das waren jetzt Zitate aus der Bibel, der heiligen Schrift der Christen.
Liebe Mitchristen, haben Sie sich heute schon ordentlich distanziert? Wie stehen Sie zu den Morden der IRA, wie zu den Fundamentalchristen, die Abtreibungsärzte ermorden, wie zu den Kreationisten, die sich dafür einsetzen, dass unseren Kindern in den Schulen beigebracht wird, dieser Planet und alles, was darauf lebt, sei vor 6000 Jahren in einem Akt der Urschöpfung entstanden? Was halten Sie davon, dass Ihre Kirche 350 Jahre brauchte, einen Mann zu rehabilitieren, der behauptet hatte, die Erde drehe sich um die Sonne? Wie stehen Sie zum Herumgeeiere Ihrer Kirche beim Umgang mit der Kindervergewaltigung in ihren Kreisen? Ach, das ist auf einmal etwas ganz Anderes.
Idioten, Asoziale und Mistkerle finde ich überall auf der Welt, dazu brauche ich keine Religion. Nicht der Glaube bringt solche Typen hervor, sondern sie suchen sich einen Glauben, den sie missbrauchen können. Meinen Sie im ernsthaft, ein Bombenschmeißer mutiere schlagartig zum Pazifisten, wenn man ihm seine Religion wegnimmt? Keine Bange, wer sich und andere in die Luft sprengen will, findet dafür immer einen Grund.
Wenn ich wissen will, was religiöse Toleranz ist, gehe ich mit Akif und seinen Freunden in eine türkische Kneipe. Vorher sitzen wir ein paar Stunden in den Räumen seines muslimischen Vereins und unterhalten uns. Alle wissen, dass ich praktizierender Christ bin, keiner sieht mich deswegen schief an oder versucht, mich vom Islam zu überzeugen. Kulturelles und religiöses Miteinander bedeutet, neugierig aufeinander zu sein. Die von meinem Religionsstifter zur Maxime erhobene Nächstenliebe heißt für mich, den Anderen zu akzeptieren und seine Andersartigkeit als Bereicherung zu begreifen. Natürlich hat diese Haltung ihre Grenzen, aber der Islam, wie Akif ihn lebt, liegt deutlich innerhalb.
Es ist ein gern bemühtes Klischee, dass "der Türke" es in diesem Land nie zu mehr als zum Imbissbudenbetreiber und Gemüsehändler bringen wird. Tatsache ist aber, dass in den Bürofluren inzwischen auch reichlich türkische Hochschulabsolventen als Kollegen und Vorgesetzte herumlaufen. Akif ist nicht mehr weit davon entfernt, und sollten Sie einen guten Sysadmin suchen, ist Akif Ihr Mann.
Worauf ich aber die ganze Zeit hinaus wollte: Akif schreibt ein Blog, das Blog eines anatolischen Hanseaten. Er schreibt über alles, was ihm so in den Sinn kommt, mal als Techniker, mal als Muslim und immer als Mensch. Falls Sie Ihre Vorurteile gegenüber Türken und Muslimen pflegen wollen, könnte es hart für Sie werden, weil er sich nicht leicht in Klischees zwängen lässt. Sie müssen nicht immer einer Meinung mit ihm sein, aber seien Sie neugierig.
Der etwas ernstere Hintergrund ist, dass ich Akif tatsächlich nichts Böses zutraue, was über das Ansehen illegaler Filmkopien bei kino.to nennenswert hinausgeht. Er steht für das, was ich mir unter einem guten Mitbürger vorstelle und ist, auch wenn er das nicht gern hört, perfekt integriert. Er spricht ein breites Hamburgerisch, auf das selbst Dieter Bohlen neidisch wäre, er lacht über ganz ähnlichen Blödsinn wie ich, er sagt jedem, der es hören will und auch gern allen Anderen seine Meinung ehrlich ins Gesicht, und auf sein Wort kann man sich verlassen. Deutsche, was wollt ihr mehr?
Er soll Christ werden, das verlangen wir von ihm. Er soll sich endlich vom Terrorismus distanzieren und zur westlich-abendländischen Tradition bekennen. Man muss ja nur in den Q'ran schauen, sagen wir, und man sehe, was er wirklich will: Mord, Betrügerei und Krieg."Aber in den Städten dieser Völker, die dir der HERR, dein Gott, zum Erbe geben wird, sollst du nichts leben lassen, was Odem hat", "So erwürget nun alles, was männlich ist unter den Kindern, und alle Weiber, die Männer erkannt und beigelegen haben", "Rüstet euch zum Krieg wider sie! Wohlauf, laßt uns hinaufziehen, weil es noch hoch Tag ist!" - Oh, hoppla, das waren jetzt Zitate aus der Bibel, der heiligen Schrift der Christen.
Liebe Mitchristen, haben Sie sich heute schon ordentlich distanziert? Wie stehen Sie zu den Morden der IRA, wie zu den Fundamentalchristen, die Abtreibungsärzte ermorden, wie zu den Kreationisten, die sich dafür einsetzen, dass unseren Kindern in den Schulen beigebracht wird, dieser Planet und alles, was darauf lebt, sei vor 6000 Jahren in einem Akt der Urschöpfung entstanden? Was halten Sie davon, dass Ihre Kirche 350 Jahre brauchte, einen Mann zu rehabilitieren, der behauptet hatte, die Erde drehe sich um die Sonne? Wie stehen Sie zum Herumgeeiere Ihrer Kirche beim Umgang mit der Kindervergewaltigung in ihren Kreisen? Ach, das ist auf einmal etwas ganz Anderes.
Idioten, Asoziale und Mistkerle finde ich überall auf der Welt, dazu brauche ich keine Religion. Nicht der Glaube bringt solche Typen hervor, sondern sie suchen sich einen Glauben, den sie missbrauchen können. Meinen Sie im ernsthaft, ein Bombenschmeißer mutiere schlagartig zum Pazifisten, wenn man ihm seine Religion wegnimmt? Keine Bange, wer sich und andere in die Luft sprengen will, findet dafür immer einen Grund.
Wenn ich wissen will, was religiöse Toleranz ist, gehe ich mit Akif und seinen Freunden in eine türkische Kneipe. Vorher sitzen wir ein paar Stunden in den Räumen seines muslimischen Vereins und unterhalten uns. Alle wissen, dass ich praktizierender Christ bin, keiner sieht mich deswegen schief an oder versucht, mich vom Islam zu überzeugen. Kulturelles und religiöses Miteinander bedeutet, neugierig aufeinander zu sein. Die von meinem Religionsstifter zur Maxime erhobene Nächstenliebe heißt für mich, den Anderen zu akzeptieren und seine Andersartigkeit als Bereicherung zu begreifen. Natürlich hat diese Haltung ihre Grenzen, aber der Islam, wie Akif ihn lebt, liegt deutlich innerhalb.
Es ist ein gern bemühtes Klischee, dass "der Türke" es in diesem Land nie zu mehr als zum Imbissbudenbetreiber und Gemüsehändler bringen wird. Tatsache ist aber, dass in den Bürofluren inzwischen auch reichlich türkische Hochschulabsolventen als Kollegen und Vorgesetzte herumlaufen. Akif ist nicht mehr weit davon entfernt, und sollten Sie einen guten Sysadmin suchen, ist Akif Ihr Mann.
Worauf ich aber die ganze Zeit hinaus wollte: Akif schreibt ein Blog, das Blog eines anatolischen Hanseaten. Er schreibt über alles, was ihm so in den Sinn kommt, mal als Techniker, mal als Muslim und immer als Mensch. Falls Sie Ihre Vorurteile gegenüber Türken und Muslimen pflegen wollen, könnte es hart für Sie werden, weil er sich nicht leicht in Klischees zwängen lässt. Sie müssen nicht immer einer Meinung mit ihm sein, aber seien Sie neugierig.
Certificates for the masses
Sicherheit hat ihren Preis, und in der Regel bedeutet "Preis" in diesem Zusammenhang "handelsübliche Devisen in signifikanten Mengen". Viele Leute scheuen die Investition, weil sie ihnen im Vergleich zum vermeintlichen Risiko zu hoch erscheint. Denken Sie an die billigen Schließzylinder aus dem Baumarkt, mit denen viele Wohnungstüren gesichert sind. Es gibt deutlich bessere, aber eben auch deutlich teurere Systeme, und so fällt bei vielen die Abwägung zwischen dem sicheren finanziellen Verlust durch die Anschaffung einer guten Türsicherung und dem potenziellen Schaden durch eine durchstöberte und ausgeräumte Wohnung zu Gunsten des Einbruchsrisikos aus.
Was Sie mit Ihrer Wohnung anstellen, ist in erster Linie Ihre Sache. Kommunikation im Internet ist eine andere, weil davon immer mindestens zwei betroffen sind. Wenn Sie bei Ihrem Lieblingshändler etwas bestellen, wollen Sie erstens sicher sein, auch wirklich mit ihm zu reden und nicht mit jemandem, der einfach nur Ihr Geld abgreifen will, zweitens wollen Sie, dass Ihre Bestellung in genau der gewünschten Form beim Händler ankommt und dass sich drittens niemand unter Ihrer Identität eine Bestellung erschleicht und dabei Ihr Konto belastet. In Wirklichkeit sind es noch ein paar Anforderungen mehr, aber die Botschaft ist hoffentlich klar: Wenn Sie für sichere Internetkommunikation sorgen, profitieren gleich mehrere Leute.
Die Schwierigkeit ist nur: Wie stelle ich sicher, dass Leute, die sich im realen Leben niemals begegnen werden, trotzdem sicher miteinander reden können? Die Antwort: Indem ich Vertrauen als Währung einsetze.
Welche Eigenschaften hat Währung? Sie ist rar, sie ist attraktiv, man möchte also gern mehr davon haben und ist entsprechend bereit, dafür auch etwas zu leisten. Unter bestimmten Umständen kann sie sich sogar vermehren.
Mit Vertrauen ist es ähnlich. In unsicheren Umgebungen wie dem Internet ist es ein rares Gut, aber viele Leute brauchen vertrauenswürdige Kommunikation und sind bereit, dafür einen gewissen Aufwand zu betreiben. Den entsprechenden Aufwand vorausgesetzt, kann Vertrauen insgesamt auch zunehmen.
Für vertrauenswürdige Kommunikation haben sich zwei Modelle herausgebildet. Im hierarchischen Modell gibt es eine zentrale Stelle, die allgemeines Vertrauen genießt und Leuten, die sich ihr gegenüber identifizieren können, Zertifikate ausstellt. Typische Vertreter dieses Modells sind unter anderem Verisign oder Signtrust. Der Vorteil dieser Methode besteht darin, dass man es mit einer klar umrissenen und überschaubaren Menge solcher Zertifizierungsstellen zu tun hat und diese Liste einfach in jeden Browser integrieren kann. Der Nachteil besteht in den Kosten. Einerseits müssen die Zertifizierungsstellen viel Aufwand betreiben, damit die Menschen ihnen vertrauen. Sie müssen besonders gesicherte Rechenzentren mit besonders strengen Zugangskontrollen betreiben, sie müssen speziell ausgebildete Mitarbeiter haben, kurz: Sie müssen allen Leuten immer wieder zeigen, dass man nicht ohne weiteres an ihre Zertifikate kommt, dass sie jeden erdenklichen Aufwand betreiben, ihr Produkt zu schützen. Das Ganze kostet natürlich viel Geld. Darüber hinaus lassen sie sich auch ihre Oligopolstellung natürlich bezahlen. Im Ergebnis zahlt man pro Jahr zwei- bis dreistellige Eurobeträge, um etwas zu können, was man in der analogen Welt gratis kann: eine rechtsgültige Unterschrift leisten.
Entsprechend gab es schon früh einen alternativen, dezentralen Ansatz, das "Web of Trust". Die Idee dahinter besteht darin, sich gegenseitig die Zertifikate zu unterschreiben und die Glaubwürdigkeit eines Zertifikats dadurch zu steigern, dass dort möglichst viele Leute unterschrieben haben, die man kennt und denen man bereits vertraut. So überzeugend sich die Idee auf den ersten Blick anhört, hat sie doch in der Praxis mehrere Nachteile. Erstens kursieren die unterschriebenen Zertifikate vor allem innerhalb relativ kleiner Gruppen, überschreiten aber selten deren Grenzen. Im Ergebnis kann zwar die Umweltschützergruppe in Erlangen untereinander sichere Mails verschicken, aber wenn sie ihre Mitstreiter in Parchim anschreiben wollen, können sie nicht sicher sein, dass deren Schlüssel tatsächlich echt sind, so lange nicht ein Mittelsmann zu beiden Gruppen gleichzeitig Kontakt hat. Zweitens schwankt die Qualität, mit der beim gegenseitigen Schlüsselsignieren vorgegangen wird. Es sind Fälle bekannt, in denen zufällig die vorgelegten Ausweise vertauscht wurden und die Prüfer Schlüssel beglaubigten, deren Name nicht mit denen des Ausweises übereinstimmte. Drittens lässt sich ein solch dezentrales Netz schlecht in Browser einbinden. Die Nutzer müssen ihr Vertrauensnetz also selber pflegen. Einen einheitlichen und zuverlässigen Weg, die Echtheit eines beliebigen digitalen Schlüssels zu prüfen, gibt es nicht. Selbst der Schlüssel von Bruce Schneier persönlich ist für mich so lange wertlos, wie er keine Unterschrift von jemandem enthält, dessen Identität ich verifiziert habe. Viertens sind unterschriebene Schlüssel ein Eldorado für Datensammler, ermöglichen sie doch die Erstellung eines detaillierten sozialen Netzes.
Es bleiben also zuverlässig aber teuer auf der einen, sowie gratis aber unzuverlässig auf der anderen Seite. Im Ergebnis wurschteln sich viele private und nichtkommerzielle Seiten mit selbstsignierten Zertifikaten durchs Leben, was zwar nichts kostet, aber aus Sicherheitssicht eine äußerst fragwürdige Idee darstellt. Gibt es nichts zwischen den beiden Ansätzen?
Doch, es gibt, und wie es aussieht, wird deutlich, wenn man sich die oben beschriebene Idee mit Vertrauen als Währung in Erinnerung ruft. Wie wäre es, wenn man Vetrauen ähnlich wie eine Währung in Zahlen ausdrückt und wenn es möglich wäre, Vertrauenspunkte ähnlich wie eine Währung zu handeln, nur dass sich die Punkte vermehren, wenn man sie vergibt?
Weiterhin scheint der Ansatz mit einer zentralen Zertifizierungsstelle allgemein anerkannt zu sein. Wenn man es jetzt noch schafft, bei gleichbleibendem Vertrauensniveau den Zertifizierungsaufwand sowie das Haftungsrisiko auszulagern, hat man zwei große Kostenblöcke weniger.
CAcert verfolgt genau diesen Ansatz. Abgesehen von der Unterbringung der Verwaltungsserver lassen sie praktisch alles von Freiwilligen erledigen: Softwareentwicklung und Support, Dokumentation und Austüfteln des Zertifizierungsverfahrens finden ausschließlich durch die Gemeinschaft statt. Selbst der Zertifizierungsprozess ist komplett in den Händen tausender Menschen, die weltweit kostenlos für CAcert arbeiten. Um sicher zu stellen, dass diese "Assurer" genannten Helfer auch korrekt arbeiten, setzt CAcert das oben skizzierte Punktesystem ein. Dieses funktioniert in zwei Abschnitten: Die ersten hundert Punkte erreicht man, indem man sich seine Identität von verschiedenen Assurern bestätigen lässt. Hierzu trifft man sich persönlich und legt zwei von einer staatlichen Behörde ausgestellte Ausweise vor. Akzeptiert werden Führerscheine, Reisepässe und Personalausweise. Je nach Status des Assurers und dessen Eindruck vom Treffen kann man so jeweils maximal 35 Punkte erreichen. Je nach Punktestand kann man sich verschiedene Zertifikate ausstellen. Dies fängt bei einem einfachen Clientzertifikat mit 6 Monaten Laufzeit an, das nicht weiter besagt, als dass die eigene E-Mailadresse auf Gültigkeit geprüft wurde, geht über Serverzertifikate mit 24 Monaten Laufzeit und endet bei Zertifikaten zum Codesignieren, die auf den eigenen Namen ausgestellt sind.
Sobald man durch mehrere Überprüfungen 100 Punkte beisammen hat, steigern weitere Assurances zwar die eigene Glaubwürdigkeit, aber es schlägt sich nicht mehr in Punkten nieder. Statt dessen kann man nach Ablegen einer Onlineprüfung selbst Assurer werden und pro durchgeführter Identitätskontrolle bis zu zwei Punkte bekommen, bis man so auf insgesamt 150 Punkte gekommen ist. Je mehr Punkte man auf diese Weise beisammen hat, desto mehr kann man selbst vergeben. Man fängt bei 10 an und kann sich bis zu 35 steigern.
Das alles klingt zunächst etwas kompliziert, hat aber großen Charme: Da man in der Regel bestrebt ist, möglichst schnell die nötigen Punkte beisammen zu bekommen, wird man dazu tendieren, sich von Leuten prüfen zu lassen, die ihrerseits viele Punkte vergeben können. Diese wiederum haben so viel Erfahrung gesammelt, dass sie nicht nur einfach die Ausweise ansehen, ein Formular unterschreiben und dann verschwinden, sondern noch eine Menge erzählen, worauf man achten muss. Welche Sicherheitsmerkmale gibt es bei Ausweisen? Wie verhalte ich mich, wenn mir ein unbekanntes Ausweisdokument vorgelegt wird? Wie führe ich eine Überprüfung bei Minderjährigen durch? Welche formalen Voraussetzungen muss eine Assurance erfüllen? Was darf, was muss, was darf auf keinen Fall notiert werden?
Gerade die erfahreneren Assurer neigen zu Pedanterie, aber genau darauf fußt die ganze Idee: Je penibler die Überprüfungen durchgeführt werden, desto mehr neigen die Anwender dazu, dem System zu vertrauen. Wenn man sich überlegt, dass es bei einigen kommerziellen Zertifizierungsstellen reicht, ein Fax zu schicken und die etwas besseren sich auf das bisweilen äußerst nachlässig durchgeführte Postident-Verfahren verlassen, braucht CAcert keinen Vergleich zu scheuen.
Die Assurer haben auch allen Grund, saubere Arbeit zu leisten: Mit dem Beitritt zu CAcert-Community erklärt man schriftlich, sich der internen Schiedsgerichtsbarkeit zu unterwerfen und im Streitfall mit bis zu 1000 € persönlich zu haften. Dies kann vor allem dann passieren, wenn man nachgewiesen bekommt, nachlässig geprüft zu haben. Das erklärt vielleicht, warum gerade die auf Messen an den CAcert-Ständen sitzenden Assurer sich nicht selten eine halbe Stunde Zeit nehmen, um ein paar Felder auf einem Formular auszufüllen, zwei Ausweise anzusehen und viele bohrende Fragen zu stellen, ob man wirklich genau wisse, worauf man sich gerade einlässt.
Über den ernsthaften Hintergrund hinaus, vetrauenswürdige Kommunikation als Leistung der Community anzubieten, darf man allerdings auch nicht den Punkt vergessen, der die ganzen Gemeinschaftsprojekte am Leben hält: Spaß. Man lernt interessante Menschen kennen und bei dieser Gelegenheit eine Menge darüber, wie Ausweise national und international gehandhabt werden, was sich die ausstellenden Behörden einfallen ließen, um die Sicherheit dieser Dokumente zu gewährleisten und hört eine Menge Döntjes darüber, welche Fantasieprodukte von Vertretern der Staatsmacht schon als gültige Ausweise anerkannt wurden.
Was Sie mit Ihrer Wohnung anstellen, ist in erster Linie Ihre Sache. Kommunikation im Internet ist eine andere, weil davon immer mindestens zwei betroffen sind. Wenn Sie bei Ihrem Lieblingshändler etwas bestellen, wollen Sie erstens sicher sein, auch wirklich mit ihm zu reden und nicht mit jemandem, der einfach nur Ihr Geld abgreifen will, zweitens wollen Sie, dass Ihre Bestellung in genau der gewünschten Form beim Händler ankommt und dass sich drittens niemand unter Ihrer Identität eine Bestellung erschleicht und dabei Ihr Konto belastet. In Wirklichkeit sind es noch ein paar Anforderungen mehr, aber die Botschaft ist hoffentlich klar: Wenn Sie für sichere Internetkommunikation sorgen, profitieren gleich mehrere Leute.
Die Schwierigkeit ist nur: Wie stelle ich sicher, dass Leute, die sich im realen Leben niemals begegnen werden, trotzdem sicher miteinander reden können? Die Antwort: Indem ich Vertrauen als Währung einsetze.
Welche Eigenschaften hat Währung? Sie ist rar, sie ist attraktiv, man möchte also gern mehr davon haben und ist entsprechend bereit, dafür auch etwas zu leisten. Unter bestimmten Umständen kann sie sich sogar vermehren.
Mit Vertrauen ist es ähnlich. In unsicheren Umgebungen wie dem Internet ist es ein rares Gut, aber viele Leute brauchen vertrauenswürdige Kommunikation und sind bereit, dafür einen gewissen Aufwand zu betreiben. Den entsprechenden Aufwand vorausgesetzt, kann Vertrauen insgesamt auch zunehmen.
Für vertrauenswürdige Kommunikation haben sich zwei Modelle herausgebildet. Im hierarchischen Modell gibt es eine zentrale Stelle, die allgemeines Vertrauen genießt und Leuten, die sich ihr gegenüber identifizieren können, Zertifikate ausstellt. Typische Vertreter dieses Modells sind unter anderem Verisign oder Signtrust. Der Vorteil dieser Methode besteht darin, dass man es mit einer klar umrissenen und überschaubaren Menge solcher Zertifizierungsstellen zu tun hat und diese Liste einfach in jeden Browser integrieren kann. Der Nachteil besteht in den Kosten. Einerseits müssen die Zertifizierungsstellen viel Aufwand betreiben, damit die Menschen ihnen vertrauen. Sie müssen besonders gesicherte Rechenzentren mit besonders strengen Zugangskontrollen betreiben, sie müssen speziell ausgebildete Mitarbeiter haben, kurz: Sie müssen allen Leuten immer wieder zeigen, dass man nicht ohne weiteres an ihre Zertifikate kommt, dass sie jeden erdenklichen Aufwand betreiben, ihr Produkt zu schützen. Das Ganze kostet natürlich viel Geld. Darüber hinaus lassen sie sich auch ihre Oligopolstellung natürlich bezahlen. Im Ergebnis zahlt man pro Jahr zwei- bis dreistellige Eurobeträge, um etwas zu können, was man in der analogen Welt gratis kann: eine rechtsgültige Unterschrift leisten.
Entsprechend gab es schon früh einen alternativen, dezentralen Ansatz, das "Web of Trust". Die Idee dahinter besteht darin, sich gegenseitig die Zertifikate zu unterschreiben und die Glaubwürdigkeit eines Zertifikats dadurch zu steigern, dass dort möglichst viele Leute unterschrieben haben, die man kennt und denen man bereits vertraut. So überzeugend sich die Idee auf den ersten Blick anhört, hat sie doch in der Praxis mehrere Nachteile. Erstens kursieren die unterschriebenen Zertifikate vor allem innerhalb relativ kleiner Gruppen, überschreiten aber selten deren Grenzen. Im Ergebnis kann zwar die Umweltschützergruppe in Erlangen untereinander sichere Mails verschicken, aber wenn sie ihre Mitstreiter in Parchim anschreiben wollen, können sie nicht sicher sein, dass deren Schlüssel tatsächlich echt sind, so lange nicht ein Mittelsmann zu beiden Gruppen gleichzeitig Kontakt hat. Zweitens schwankt die Qualität, mit der beim gegenseitigen Schlüsselsignieren vorgegangen wird. Es sind Fälle bekannt, in denen zufällig die vorgelegten Ausweise vertauscht wurden und die Prüfer Schlüssel beglaubigten, deren Name nicht mit denen des Ausweises übereinstimmte. Drittens lässt sich ein solch dezentrales Netz schlecht in Browser einbinden. Die Nutzer müssen ihr Vertrauensnetz also selber pflegen. Einen einheitlichen und zuverlässigen Weg, die Echtheit eines beliebigen digitalen Schlüssels zu prüfen, gibt es nicht. Selbst der Schlüssel von Bruce Schneier persönlich ist für mich so lange wertlos, wie er keine Unterschrift von jemandem enthält, dessen Identität ich verifiziert habe. Viertens sind unterschriebene Schlüssel ein Eldorado für Datensammler, ermöglichen sie doch die Erstellung eines detaillierten sozialen Netzes.
Es bleiben also zuverlässig aber teuer auf der einen, sowie gratis aber unzuverlässig auf der anderen Seite. Im Ergebnis wurschteln sich viele private und nichtkommerzielle Seiten mit selbstsignierten Zertifikaten durchs Leben, was zwar nichts kostet, aber aus Sicherheitssicht eine äußerst fragwürdige Idee darstellt. Gibt es nichts zwischen den beiden Ansätzen?
Doch, es gibt, und wie es aussieht, wird deutlich, wenn man sich die oben beschriebene Idee mit Vertrauen als Währung in Erinnerung ruft. Wie wäre es, wenn man Vetrauen ähnlich wie eine Währung in Zahlen ausdrückt und wenn es möglich wäre, Vertrauenspunkte ähnlich wie eine Währung zu handeln, nur dass sich die Punkte vermehren, wenn man sie vergibt?
Weiterhin scheint der Ansatz mit einer zentralen Zertifizierungsstelle allgemein anerkannt zu sein. Wenn man es jetzt noch schafft, bei gleichbleibendem Vertrauensniveau den Zertifizierungsaufwand sowie das Haftungsrisiko auszulagern, hat man zwei große Kostenblöcke weniger.
CAcert verfolgt genau diesen Ansatz. Abgesehen von der Unterbringung der Verwaltungsserver lassen sie praktisch alles von Freiwilligen erledigen: Softwareentwicklung und Support, Dokumentation und Austüfteln des Zertifizierungsverfahrens finden ausschließlich durch die Gemeinschaft statt. Selbst der Zertifizierungsprozess ist komplett in den Händen tausender Menschen, die weltweit kostenlos für CAcert arbeiten. Um sicher zu stellen, dass diese "Assurer" genannten Helfer auch korrekt arbeiten, setzt CAcert das oben skizzierte Punktesystem ein. Dieses funktioniert in zwei Abschnitten: Die ersten hundert Punkte erreicht man, indem man sich seine Identität von verschiedenen Assurern bestätigen lässt. Hierzu trifft man sich persönlich und legt zwei von einer staatlichen Behörde ausgestellte Ausweise vor. Akzeptiert werden Führerscheine, Reisepässe und Personalausweise. Je nach Status des Assurers und dessen Eindruck vom Treffen kann man so jeweils maximal 35 Punkte erreichen. Je nach Punktestand kann man sich verschiedene Zertifikate ausstellen. Dies fängt bei einem einfachen Clientzertifikat mit 6 Monaten Laufzeit an, das nicht weiter besagt, als dass die eigene E-Mailadresse auf Gültigkeit geprüft wurde, geht über Serverzertifikate mit 24 Monaten Laufzeit und endet bei Zertifikaten zum Codesignieren, die auf den eigenen Namen ausgestellt sind.
Sobald man durch mehrere Überprüfungen 100 Punkte beisammen hat, steigern weitere Assurances zwar die eigene Glaubwürdigkeit, aber es schlägt sich nicht mehr in Punkten nieder. Statt dessen kann man nach Ablegen einer Onlineprüfung selbst Assurer werden und pro durchgeführter Identitätskontrolle bis zu zwei Punkte bekommen, bis man so auf insgesamt 150 Punkte gekommen ist. Je mehr Punkte man auf diese Weise beisammen hat, desto mehr kann man selbst vergeben. Man fängt bei 10 an und kann sich bis zu 35 steigern.
Das alles klingt zunächst etwas kompliziert, hat aber großen Charme: Da man in der Regel bestrebt ist, möglichst schnell die nötigen Punkte beisammen zu bekommen, wird man dazu tendieren, sich von Leuten prüfen zu lassen, die ihrerseits viele Punkte vergeben können. Diese wiederum haben so viel Erfahrung gesammelt, dass sie nicht nur einfach die Ausweise ansehen, ein Formular unterschreiben und dann verschwinden, sondern noch eine Menge erzählen, worauf man achten muss. Welche Sicherheitsmerkmale gibt es bei Ausweisen? Wie verhalte ich mich, wenn mir ein unbekanntes Ausweisdokument vorgelegt wird? Wie führe ich eine Überprüfung bei Minderjährigen durch? Welche formalen Voraussetzungen muss eine Assurance erfüllen? Was darf, was muss, was darf auf keinen Fall notiert werden?
Gerade die erfahreneren Assurer neigen zu Pedanterie, aber genau darauf fußt die ganze Idee: Je penibler die Überprüfungen durchgeführt werden, desto mehr neigen die Anwender dazu, dem System zu vertrauen. Wenn man sich überlegt, dass es bei einigen kommerziellen Zertifizierungsstellen reicht, ein Fax zu schicken und die etwas besseren sich auf das bisweilen äußerst nachlässig durchgeführte Postident-Verfahren verlassen, braucht CAcert keinen Vergleich zu scheuen.
Die Assurer haben auch allen Grund, saubere Arbeit zu leisten: Mit dem Beitritt zu CAcert-Community erklärt man schriftlich, sich der internen Schiedsgerichtsbarkeit zu unterwerfen und im Streitfall mit bis zu 1000 € persönlich zu haften. Dies kann vor allem dann passieren, wenn man nachgewiesen bekommt, nachlässig geprüft zu haben. Das erklärt vielleicht, warum gerade die auf Messen an den CAcert-Ständen sitzenden Assurer sich nicht selten eine halbe Stunde Zeit nehmen, um ein paar Felder auf einem Formular auszufüllen, zwei Ausweise anzusehen und viele bohrende Fragen zu stellen, ob man wirklich genau wisse, worauf man sich gerade einlässt.
Über den ernsthaften Hintergrund hinaus, vetrauenswürdige Kommunikation als Leistung der Community anzubieten, darf man allerdings auch nicht den Punkt vergessen, der die ganzen Gemeinschaftsprojekte am Leben hält: Spaß. Man lernt interessante Menschen kennen und bei dieser Gelegenheit eine Menge darüber, wie Ausweise national und international gehandhabt werden, was sich die ausstellenden Behörden einfallen ließen, um die Sicherheit dieser Dokumente zu gewährleisten und hört eine Menge Döntjes darüber, welche Fantasieprodukte von Vertretern der Staatsmacht schon als gültige Ausweise anerkannt wurden.
Samstag, 12. Juni 2010
Antrag auf Zivildienstverweigerung
Der Verteidigungsminister hat die W-Frage gestellt, die Frage nämlich, ob man die faktisch schon lang nicht mehr bestehende Wehrpflicht nicht endlich einmal auch offiziell abschaffen soll, und wie immer, wenn es jemand wagt, "der Kaiser ist ja nackt" zu rufen, verfallen die üblichen Verdächtigen in Reflexhandlungen. Wie könnten sie auch anders? Ein Hirn, das ihre sensorischen Reizungen verarbeitet, ist ja nicht vorhanden.
Da wird wieder die Mär vom Staatsbürger in Uniform beschworen. Die Idee, eine Armee im Volk zu verankern, mag zu Zeiten, in denen ganze Jahrgänge geschlossen in die Kasernen einrückten, noch funktioniert haben, aber heute wird inoffiziellen Zahlen zufolge gerade einmal die Hälfte eines Jahrgangs einberufen, und von denen verweigert ein erheblicher Teil den Kriegsdienst. Faktisch teilt nur noch eine Minderheit der deutschen Männer unter 30 die gemeinsame Erfahrung einer militärischen Grundausbildung.
Die Wahrscheinlichkeit eines Kriegs auf deutschem Boden ist seit dem Mauerfall in den Bereich des Absurden gesunken. Es gibt keine Anforderung mehr, beim drohenden militärischen Angriff eines Nachbarstaats schnellstmöglich alle körperlich halbwegs tüchtigen Männer einzuberufen und mit einer Art Volkssturm Widerstand zu leisten. Heute schicken wir relativ kleine Zahlen von Soldaten in Gegenden, bei denen die meisten erst einmal im Atlas nachsehen müssen, wo sie überhaupt liegen. Es ist schon nicht ganz einfach, diese Leute halbwegs auszubilden und auszurüsten. Für das Herumgealbere mit ein paar Teenagern, die vor allem versuchen, ihr halbes Jahr möglichst schnell abzuhaken, hat man weder Zeit, Geld noch Lust.
Wirklich sinnvoll erscheint den Meisten der Zwangskriegsdienst vor allem durch die, welche ihn nicht leisten wollen und als Zivildienstleistende scheinbar günstige Hilfskräfte im überteuerten sozialen Sektor sind. Allerdings stimmt die Legende vom billigen Zivi nicht. Natürlich muss eine Zivildienststelle lächerlich wenig Geld für ihre Leute zahlen, volkswirtschaftlich aber rechnet sich die Sache nicht. Angefangen von der Musterung über den Verwaltungsakt der Kriegsdienstverweigerung, die Betreuung durch das Bundesamt für den Zivildienst, diverse Seminare, Rüstzeiten und Fortbildungen, bis hin zu Krankenkassenbeiträgen, Kleidungs-, Wohnungs-, Essens- und Fahrtkostenzuschüssen und schließlich dem Abschiedsgeld kosten diese im Vergleich zu einer komplett ausgebildeten Vollkraft nur eingeschränkt leistungsfähigen Hilfsarbeiter mindestens genau so viel, wie wenn man an ihre Stelle gleich einen Profi setzte.
Wirklich sinnvoll an der ganzen Aktion ist vor allem der heilsame Schock, den viele aus relativ intakten Verhältnissen kommende Jugendliche erleiden, wenn sie als Zivis erleben, wie es in den Ecken unserer Gesellschaft zugeht, die wir gerne ausblenden: Wie es ist, wenn in asozialen Umständen heranwachsende Kinder ohne jede Zukunftsperspektive im Jugendzentrum praktisch nur die Zeit überbrücken, bis sie erstmals im Jugendstrafvollzug landen, wie es ist, wenn eine Rentnerin, deren Altersbezüge vom Pflegeheim gepfändet wurden, einsam in einem kargen Zimmer an ihrem Krebsgeschwür vor sich hin verreckt und deren einzige Abwechslung in den halbminütigen Besuchen der Pfleger besteht, die ihr das Essen bringen. Wer diese Bilder gesehen hat, wird vielleicht weiterhin an seiner Managerkarriere basteln, aber er wird hoffentlich auch hellhörig, wenn es um soziale Fragen geht.
Es mag nun sein, dass Leute es sinnvoll finden, für günstige Preise bei Aldi und Lidl Menschen zu töten, aus meiner Sicht sinnvoller ist jedoch die allgemeine Verankerung der Botschaft, dass der soziale Sektor dieses Landes erhebliche Schwierigkeiten hat. Wenn es denn unbedingt so wahnsinnig wichtig sein soll, einen Zwangsdienst aufrecht zu erhalten, warum ändern wir nicht an einer winzigen Stelle die Rechtslage und führen den zwangsweisen Zivildienst ein. Natürlich hat weiterhin jeder nach Artikel 4 Absatz 3 das Recht, den Zivildienst mit dem Eimer aus Gewissensgründen zu verweigern, aber dann möchte ich auch, dass dieser Staat mit solchen Leuten die gleichen albernen Spielchen spielt, die er seit 1956 mit uns Kriegsdienstverweigerern gespielt hat: Gewissensprüfung. Auf zwei eng beschriebenen A4-Seiten soll so ein Schnösel, der sich zu fein ist, in der Großküche der Jugendherberge abzuwaschen, begründen, warum er so spitz darauf ist, Leute totzuschießen. Wenn die Begründung Fragen aufwirft, dann soll er ins mündliche Verfahren. Da soll er dann gefragt werden, wie er sich entschiede, wenn seine Mutter allein auf der Pflegestation in ihrem eigenen Kot läge und er die Möglichkeit hätte, ihr zu helfen oder irgendwo am anderen Ende des Globus mit dem Jeep durch die Wüste zu brettern. Er soll erzählen, wie er dazu steht, dass in Kriegen immer wieder durch angebliche Präzisionsangriffe zivile Einrichtungen getroffen und Unbeteiligte getötet werden, mit Waffen, von denen jede einzelne so viel kostet, dass man dafür etliche Kindergartenplätze finanzieren und vom Rest noch einen Hartz-IV-Empfänger durchfüttern könnte. Er soll begründen, warum der Bundeswehreinsatz beim Oderhochwasser die Notwendigkeit einer Truppe belege, warum man zum Sandsackschleppen unbedingt eine Nahkampfausbildung und zum Wasserpumpen unbedingt ein Maschinengewehr braucht.
Zu guter Letzt lassen wir diese soldatischen Faulenzer unter Bruch des Grundgesetzes auch noch ein Weilchen länger im Zwangsdienst als die Zivis. Irgendeine Begründung wird uns schon einfallen.
Und dann, wenn auch der letzte Idiot begriffen hat, wie absurd dieses System ist, wie fadenscheinig die Begründungen für seine Beibehaltung und wie ideologisch verbohrt ihre Befürworter sind, schaffen wir es endlich ab.
Da wird wieder die Mär vom Staatsbürger in Uniform beschworen. Die Idee, eine Armee im Volk zu verankern, mag zu Zeiten, in denen ganze Jahrgänge geschlossen in die Kasernen einrückten, noch funktioniert haben, aber heute wird inoffiziellen Zahlen zufolge gerade einmal die Hälfte eines Jahrgangs einberufen, und von denen verweigert ein erheblicher Teil den Kriegsdienst. Faktisch teilt nur noch eine Minderheit der deutschen Männer unter 30 die gemeinsame Erfahrung einer militärischen Grundausbildung.
Die Wahrscheinlichkeit eines Kriegs auf deutschem Boden ist seit dem Mauerfall in den Bereich des Absurden gesunken. Es gibt keine Anforderung mehr, beim drohenden militärischen Angriff eines Nachbarstaats schnellstmöglich alle körperlich halbwegs tüchtigen Männer einzuberufen und mit einer Art Volkssturm Widerstand zu leisten. Heute schicken wir relativ kleine Zahlen von Soldaten in Gegenden, bei denen die meisten erst einmal im Atlas nachsehen müssen, wo sie überhaupt liegen. Es ist schon nicht ganz einfach, diese Leute halbwegs auszubilden und auszurüsten. Für das Herumgealbere mit ein paar Teenagern, die vor allem versuchen, ihr halbes Jahr möglichst schnell abzuhaken, hat man weder Zeit, Geld noch Lust.
Wirklich sinnvoll erscheint den Meisten der Zwangskriegsdienst vor allem durch die, welche ihn nicht leisten wollen und als Zivildienstleistende scheinbar günstige Hilfskräfte im überteuerten sozialen Sektor sind. Allerdings stimmt die Legende vom billigen Zivi nicht. Natürlich muss eine Zivildienststelle lächerlich wenig Geld für ihre Leute zahlen, volkswirtschaftlich aber rechnet sich die Sache nicht. Angefangen von der Musterung über den Verwaltungsakt der Kriegsdienstverweigerung, die Betreuung durch das Bundesamt für den Zivildienst, diverse Seminare, Rüstzeiten und Fortbildungen, bis hin zu Krankenkassenbeiträgen, Kleidungs-, Wohnungs-, Essens- und Fahrtkostenzuschüssen und schließlich dem Abschiedsgeld kosten diese im Vergleich zu einer komplett ausgebildeten Vollkraft nur eingeschränkt leistungsfähigen Hilfsarbeiter mindestens genau so viel, wie wenn man an ihre Stelle gleich einen Profi setzte.
Wirklich sinnvoll an der ganzen Aktion ist vor allem der heilsame Schock, den viele aus relativ intakten Verhältnissen kommende Jugendliche erleiden, wenn sie als Zivis erleben, wie es in den Ecken unserer Gesellschaft zugeht, die wir gerne ausblenden: Wie es ist, wenn in asozialen Umständen heranwachsende Kinder ohne jede Zukunftsperspektive im Jugendzentrum praktisch nur die Zeit überbrücken, bis sie erstmals im Jugendstrafvollzug landen, wie es ist, wenn eine Rentnerin, deren Altersbezüge vom Pflegeheim gepfändet wurden, einsam in einem kargen Zimmer an ihrem Krebsgeschwür vor sich hin verreckt und deren einzige Abwechslung in den halbminütigen Besuchen der Pfleger besteht, die ihr das Essen bringen. Wer diese Bilder gesehen hat, wird vielleicht weiterhin an seiner Managerkarriere basteln, aber er wird hoffentlich auch hellhörig, wenn es um soziale Fragen geht.
Es mag nun sein, dass Leute es sinnvoll finden, für günstige Preise bei Aldi und Lidl Menschen zu töten, aus meiner Sicht sinnvoller ist jedoch die allgemeine Verankerung der Botschaft, dass der soziale Sektor dieses Landes erhebliche Schwierigkeiten hat. Wenn es denn unbedingt so wahnsinnig wichtig sein soll, einen Zwangsdienst aufrecht zu erhalten, warum ändern wir nicht an einer winzigen Stelle die Rechtslage und führen den zwangsweisen Zivildienst ein. Natürlich hat weiterhin jeder nach Artikel 4 Absatz 3 das Recht, den Zivildienst mit dem Eimer aus Gewissensgründen zu verweigern, aber dann möchte ich auch, dass dieser Staat mit solchen Leuten die gleichen albernen Spielchen spielt, die er seit 1956 mit uns Kriegsdienstverweigerern gespielt hat: Gewissensprüfung. Auf zwei eng beschriebenen A4-Seiten soll so ein Schnösel, der sich zu fein ist, in der Großküche der Jugendherberge abzuwaschen, begründen, warum er so spitz darauf ist, Leute totzuschießen. Wenn die Begründung Fragen aufwirft, dann soll er ins mündliche Verfahren. Da soll er dann gefragt werden, wie er sich entschiede, wenn seine Mutter allein auf der Pflegestation in ihrem eigenen Kot läge und er die Möglichkeit hätte, ihr zu helfen oder irgendwo am anderen Ende des Globus mit dem Jeep durch die Wüste zu brettern. Er soll erzählen, wie er dazu steht, dass in Kriegen immer wieder durch angebliche Präzisionsangriffe zivile Einrichtungen getroffen und Unbeteiligte getötet werden, mit Waffen, von denen jede einzelne so viel kostet, dass man dafür etliche Kindergartenplätze finanzieren und vom Rest noch einen Hartz-IV-Empfänger durchfüttern könnte. Er soll begründen, warum der Bundeswehreinsatz beim Oderhochwasser die Notwendigkeit einer Truppe belege, warum man zum Sandsackschleppen unbedingt eine Nahkampfausbildung und zum Wasserpumpen unbedingt ein Maschinengewehr braucht.
Zu guter Letzt lassen wir diese soldatischen Faulenzer unter Bruch des Grundgesetzes auch noch ein Weilchen länger im Zwangsdienst als die Zivis. Irgendeine Begründung wird uns schon einfallen.
Und dann, wenn auch der letzte Idiot begriffen hat, wie absurd dieses System ist, wie fadenscheinig die Begründungen für seine Beibehaltung und wie ideologisch verbohrt ihre Befürworter sind, schaffen wir es endlich ab.
Abonnieren
Posts (Atom)