Montag, 25. Mai 2015

In memoriam Douglas Adams

Es war irgendwann in den Osterferien 1984, die Wikipedia behauptet, der 29.4. Ich war mit meinen Eltern in deren Ferienhaus und langweilte mich fürchterlich. Das Ferienhaus war eng, klein, abgelegen im schwäbischen Niemandsland und bot exakt nichts, was einen pubertierenden Teenager auch nur halbwegs interessieren könnte. Selbst meinen C64 hatte ich nicht mitnehmen dürfen. Der Grund des Marianengrabens war im Vergleich ein abwechslugsreicher, reizüberfluteter Ort.

Mitten in die Ereignislosigkeit hinein ertönte auf einmal die Stimme meiner Eltern. Ich solle doch kurz zum Fernseher kommen. Na prima. Bestimmt wird es wieder etwas sein, was die beiden unter dem Begriff "Unterhaltung" missverstehen. "Da läuft gerade was Lustiges", sagten sie. "Irgendwas mit Weltraum. Das ist doch was für dich." Naja, ansehen kann man es sich ja mal. Besser als das dumpfe Nichts eines langen Feriennachmittags in der Einöde war es bestimmt.

Was ich dann sah, sollte mein Leben verändern.

Ich weiß nicht, ob Sie diese Momente kennen, in denen Sie eine Fernsehsendung sehen, ein Buch lesen oder ein Lied hören, und Ihnen sofort klar ist, dass Sie die Welt nie mehr so sehen werden wie zuvor. Ihre Wortwahl ändert sich, Ihr Humor ändert sich, es ist, als hätte sich ein Schalter um- und eine neue Erkenntnisebene in Ihnen freigelegt. So etwa ging es mir, als ich den ersten Teil der BBC-Verfilmung von "Per Anhalter durch die Galaxis" sah.

Die Schauspieler waren schlecht. Die Tricktechnik war schlecht. Die Synchronisation war schlecht. Das merkte ich aber nicht. Was ich sah, waren Computeranimationen von Lexikonseiten, die von Handtüchern sprachen, warum sie so wahnsinnig wichtig sind. Es ging um Vogonen, Babelfische und den gefräßigen Plapperkäfer von Traal. Britischer konnte man das Universum nicht sehen.

Mitte der Achtziger gab es kein Internet. Man konnte nicht auf Youtube herumklicken und Videoclips aus aller Welt bestaunen. Wer nach Großbritannien wollte, musste eine lange Zug- oder Busreise in Kauf nehmen - zuzüglich einer Fährüberfahrt, denn der Bau des Kanaltunnels hatte damals noch nicht einmal begonnen. Verwaschene Kopien von Monty-Python-Filmen wurden wie Goldschätze herumgereicht - sofern man überhaupt wusste. dass es Monty Python gibt. Britischer Humor gelangte nur tröpfchenweise dosiert nach Westdeutschland. Die Meisten kannten England nur aus Edgar-Wallace-Filmen, und die waren tatsächlich in Berlin oder Hamburg gedreht worden. Die BBC-Verfilmung des "Anhalters" war in mehrfacher Hinsicht besonders: Erstens wagte man sich überhaupt an Science-Fiction, zweitens war es nicht eine verstaubte Konserve aus den Sechzigern, drittens war es Humor und viertens kam er aus einem Land, das sich damit auskannte: England.

Selbst heute denken viele Deutsche bei englischem Humor an die krachledernen Werke von "Mr. Bean" oder "Little Britain", und wenn die deutsche Spießerseele am Altjahresabend ihren Klimax erreicht, versammelt sie sich zu "Dinner for One" vor dem Fernseher. Bezeichnenderweise kennt hierzulande praktisch niemand die anderen Werke Rowan Atkinsons, die, in denen er nicht als "Mr Bean" lallt, sondern spricht, und zwar virtuos. Das ist natürlich nicht ganz so leicht zu verstehen wie fliegende Torten.

Fliegende Torten gab es auch beim "Anhalter" nicht, statt dessen das, was in meinen Augen britischen Humor auszeichnet: den Hang zum Absurden, den Plauderton beim Behandeln des Sensationellen und die Überbetonung des Alltäglichen. Dass die galaktische Währung Ningi eine dreieckige Gummimünze mit einer Kantenlänge von 6800 Meilen ist, behandelt das Buch mit der gleichen Selbstverständlichkeit, mit der es erkärt, warum ein alle Sprachen übersetzender Fisch der Beweis für die Nichtexistenz Gottes ist. Den Wert von Handtüchern hingegen sollte man keinesfalls unterschätzen. Die sind wichtig. Was man damit alles anfangen kann!

Ich sah die Serie und wusste: Das Buch dazu muss ich haben. Doch das war nicht so einfach. An den ersten Band kam man noch sehr leicht. Der wurde bei Ullstein verlegt und konnte in jeder Buchhandlung gekauft werden. Sehr viel schwieriger waren die anderen beiden zu diesem Zeitpunkt erhältlichen Bände. Ich brauchte Wochen, um zu begreifen, dass Bücher, die bei Zweitausendeins verlegt wurden, in normalen Buchhandlungen nicht nur nicht zu haben waren, sondern dass man dort nicht einmal von ihnen wusste. In der Stadtbücherei brauchte ich gar nicht erst nachzufragen; nicht, dass ich es nicht versucht hätte.

Man musste die Bücher also bestellen, und auch das war umständlicher als heute, wo man einfach auf die Webseite klickt, die Bestellung abschickt und allenfalls darüber nachdenkt, ob man mit Paypal, Bankeinzug oder Kreditkarte zahlen will. Bei Zweitausendeins brauchte man zunächst das "Merkheft", ein auf dünnem Papier gedrucktes Heftchen mit einem Bestellschein auf der letzten Seite. Den Schein musste man ausfüllen, in einen Briefumschlag stecken und abschicken. Eine Überweisung nahm man damals auch nicht per Online-Banking vor, sondern musste dazu einen Überweisungsschein ausfüllen und den bei der Bank vorbeibringen. Dazu kam, dass die Bände des "Anhalters" einzeln bis zu 20 D-Mark kosten konnten, was damals doppelt bis dreimal so viel Geld war, wie ein normales Taschenbuch kostete. Dafür sahen sie aber auch toll aus: rote, blaue oder grüne Teleskopaufnahmen mit Dutzenden kleiner Comicraumschiffe. Selbst die Schrift war außergewöhnlich: serifenlos und farbig. Das traute sich sonst niemand. Mein Vater schimpfte, das sei typografischer Unsinn, so etwas könne man gar nicht lesen. Natürlich konnte ich.

Irgendwann wollte ich natürlich das englische Original lesen. Noch einmal: Damals gab es kein Amazon. Selbst gute Buchhandlungen hatten nur eine spartanisch ausgestattete Fremdsprachenabteilung, die vor allem Schulbuchklassiker vertrieb. Für Profanliteratur wie den "Anhalter" war da natürlich kein Platz. Bessere Chancen hatte man in den Bahnhofsbuchhandlungen. Die waren zwar noch schlechter sortiert, aber dafür gab es dort auch englische Alltagsliteratur. Das Dumme war nur: Importbücher waren teuer. Sehr teuer.

Meine Ausgabe des "Hitchhikers" kostete 1,95 Britische Pfund, nach damaligem Wechselkurs etwa drei Euro. Das deutsche Preisschild ist inzwischen abgefallen, aber ich bin mir ziemlich sicher, dass englische Bücher immer etwa das Dreifache des umgerechneten Pfundpreises kosteten. Das hört sich zwar aus heutiger Sicht immer noch billig an, aber vor über 30 Jahren waren das absolute Apothekenbeträge. Zum Vergleich: Ein Big Mac kostete unter zwei Euro, und eine ordentliche Pizza bekam man in der Studentenkneipe für zwei bis drei Euro.

Der "Anhalter" stach also heraus. Er war besonders geschrieben, man kam nicht einfach an ihn heran, und billig war er auch nicht. Im Gegenzug eröffnete er eine neue Welt - eine Welt, in der die Zahl 42 unglaubliche Bedeutung hatte (nur wusste niemand genau, welche), eine Welt, in der Kricket eine unanständige Anspielung auf einen gescheiterten Vernichtungskrieg ist, eine Welt, in der man den Sound der Plutonium-Rockband "Disaster Area" am ausgewogensten in einem Betonbunker 37 Meilen von der Bühne entfernt genießt. Ich weiß einen pangalaktischen Donnergurgler zu schätzen und kenne das Geheimnis, wie man das Universum am besten regieren lässt: vom einzigen Wesen, das nicht das geringste Interesse daran hat.

Seit ich den "Anhalter" das erste Mal las, habe ich ihn ungezählte Male erneut gelesen. Bei sieben habe ich zu zählen aufgehört. Das Erlebnis, dass sich mit einem Schlag mein gesamtes Weltbild ändert, hatte ich danach natürlich auch noch bei anderen Gelegenheiten, aber selten. Der "Anhalter" ist auf jeden Fall eines prägendsten Erlebnisse meines Lebens.

In diesem Sinne: Happy Towel Day.

Donnerstag, 21. Mai 2015

Sicherheit - von paternalistischen Vollidioten konzipiert

In einem früheren Beitrag hatte ich schon beschrieben, wie IT-Sicherheit ganz bestimmt nicht aussehen sollte. Vor kurzem stieß ich auf ein weiteres Beispiel, das umso verstörender ist, weil sich hier ein Grundproblem der Free-Software-Szene zeigt: Die absolute Ignoranz der Tatsache gegenüber, dass es außer dem eigenen Ego noch irgendein menschengeschaffenes Objekt im Universum gibt.

Es entspricht ungefähr dem Horrorklischee, das man von Krankenschwestern hat: Morgens um 5 ins Zimmer stürmen, Licht mit Flakscheinwerferhelligkeit anschalten, Medikamente - gern auch welche gegen Schlafstörungen - verteilen, Blutdruck messen, Waschen und zehn Minuten später wieder rausstürmen. Fragt man, warum das unbedingt um 5 Uhr stattfinden muss und nicht um 7, zumal vor 10 sowieso nichts weiter passiert, bekommt man fast beleidigt die Antwort, das müsse so sein, "wir" wollen ja schön schnell wieder gesund werden. Das ist natürlich Quatsch. Tatsächlich ist es in ihrem Schichtplan sinnvoll, morgens um 5 mit Wecken und Waschen zu beginnen. Dass ihre Patienten möglicherweise andere Anforderungen haben könnten als der Schichtplan, ist ihnen vollkommen egal, schlimmer noch: Es kommt ihnen nicht einmal in den Sinn

Genau diese, nennen wir es optimischerweise Geisteshaltung legen viele Autoren freier Software an den Tag. Sie haben irgendwann einmal für ihre eigenen Bedürfnisse ein Programm geschrieben und beschlossen, es unter eine freie Lizenz zu stellen. Was ihnen offenbar nicht in den Sinn kam, war der Gedanke, dass es irgendwo im Universum ein empfindungsfähiges Wesen geben könnte, das dumm genug ist, dieses Geschmiere ebenfalls zu verwenden.

Genau das ist aber bei GnuPG passiert. Die Welt brauchte ordentliche Verschlüsselung, und GnuPG lieferte sie. Nun ist das Schreiben sicherer Software, insbesondere von Verschlüsselungssoftware keine Trivialität. Das merkt man spätestens nach Katastrophen wie bei Cryptocat, bei dem ein relativ banaler Programmierfehler über 19 Monate nicht behoben wurde. Heartbleed: drei Jahre. Shellshock: ein Vierteljahrhundert. Zugegeben, die Bash ist keine Verschlüsselungssoftware, aber das Stück Code, das eines der wichtigsten Serverbetriebssysteme seit Jahrzehnten als Standardarbeitsoberfläche verwendet. Die Botschaft ist aber klar: An kritischen Infrastrukturkomponenten bastelt man nicht einfach mal so herum. Mailverschlüsselungssoftware gibt es mehr als man an einem Nachmittag aufzählen kann, aber funktionierende, sichere und auch noch freie Mailverschlüsselungssoftware gibt es nur sehr wenige, und die wenigen Programme setzen großteils auch noch auf GPG auf.

Das ist in erster Linie sogar gut, weil man dann wenigstens einen Standard hat, die Szene nicht ihre Aktivitäten in dutzenden ähnlicher Projekte vergeudet und man sich im Wesentlichen um ein einziges Stück Code kümmern muss. Dumm ist nur, wenn sich dieses eine Stück Code in schlechten Händen befindet.

Dabei ist es nicht einmal die zentrale Verschlüsselungskomponente, die mir Sorge bereitet, sondern die Passworteingaberoutine. Über Jahrzehnte öffnete sich einfach ein Fenster, man klimperte sein Passwort rein, und alles war gut. Bis GnuPG2 kam. Da entschied der Autor, Passworteingabe sei Männersache, da müsse mal was Ordentliches her und schrieb - das genaue Gegenteil: Pinentry.

Pinentry ist ein mieses, kleines, dreckiges, unbenutzbares Stück in Code geronnenen Paternalismus'. Man könnte es mit Hilfe eines kleinen Häkchens in ein benutzbares Stück Software verwandeln, aber dazu weigert sich der Autor seit Jahren.

Was ist geschehen? Im Prinzip hatte der Autor sogar den richtigen Gedanken. Das Eintragen von Passwörtern mittels Copy und Paste ist eine heikle Angelegenheit, weil man darauf vertraut, dass niemand in die Zwischenablage schaut, während dort das Passwort liegt. Entsprechend unterbindet Pinentry Copy und Paste. Das kann ich verstehen. Was ich nicht verstehen kann, ist die Tatsache, dass Pinentry keine Möglichkeit hat, bei Bedarf die Zwischenablage wieder einzuschalten.

Dieses Verhalten ist, wie eingangs schon erwähnt, typisch für die Free-Software-Szene und in meinen Augen einer der Gründe, warum sie nicht schon längst der proprietären Software den Rang abgelaufen hat. Es ist nicht etwa so, dass die Autoren freier Software technisch inkompetent sind. Eher das Gegenteil ist der Fall. Dummerweise ist diese technische Begabung oft gepaart mit einer ans Pathologische grenzenden Unfähigkeit zu zwischenmenschlicher Kommunikation. Die Freie-Software-Autoren sind meist hochintelligente Leute, die sehr lange nachgedacht haben, bevor sie ihren Code schrieben. Was ihnen völlig abgeht, ist die Einsicht, dass man auf der gleichen Datenbasis mit ebenso sauberen Gedankengängen zu anderen Ergebnissen kommen kann. Heraus kommen dann Aktionen wie vor ein paar Jahren, als die FSFE anlässlich des Free Software Days diverse Behörden angeschrieben und zur Verwendung offener Dateiformate aufgefordert hatte. Wohlgemerkt: aufgefordert, nicht gebeten. Ich habe das entsprechende Schreiben gelesen und wusste sofort: So wird das nie was. Statt freundlich auf die Lage hinzuweisen, Optionen zu eröffnen und einzuladen, strotzte das Schreiben nur so von Vorwürfen und Paragraphen, gegen die man mit der Verwendung proprietärer Formate angeblich verstoße. Entsprechend sah auch die Reaktion der Angeschriebenen aus: Bis auf ein Ministerium reagierte niemand, und dieser eine schrieb in kaum verblümter Form: Leck mich, Bubi und komm wieder, wenn du Manieren gelernt hast.

Der Mensch von der FSFE, mit dem ich darüber sprach, war ganz von den Socken. Was sich das Ministerium denn anmaße, so mit ihm zu reden. "Ich weiß nicht, ob du deine eigenen Briefe liest, bevor du sie abschickst", entgegnete ich. "In dem Ton brauchst du nicht damit zu rechnen, dass dir irgendwer vernünftig antwortet." - "Aber ich habe doch nur geschrieben, was wahr ist."

Was wahr ist. Das mag sein, aber dass der Kerl vom Ministerium proprietäre Software möglicherweise nicht etwa einsetzt, um die Welt in den Faschismus zu treiben, dass er vielleicht Vorgaben hatte, oder dass er streng dem uralten Motto "nobody ever got fired for choosing IBM" folgend einfach einen Stapel MS-Office-DVDs bestellt hat, wohl wissend, dass er dann in seiner Abteilung das wenigste Gejammer zu erwarten hat, kam dem FSFE-Menschen nicht in den Sinn.

Ähnlich ist es mit Pinentry. Generell ist es bestimmt eine gute Idee, aus Sicherheitsgründen Copy und Paste von Passwörtern zu unterbinden, aber trotz jahrelanger Bitten einen Knopf "Ich weiß, was das bedeutet, aber jetzt lass mich trotzdem die Zwischenablage verwenden" nicht zu implementieren, ist einfach übergriffig. Wenn ich von der Community einen mittleren fünstelligen Dollarbetrag pro Jahr fordere, um mein Projekt fortführen zu können, ist es eben nicht mehr nur mein Projekt. Ich werde von dieser Community bezahlt, um ein Produkt zu schreiben, mit dem sie arbeiten kann, und wenn die Community einen "I-know-what-I-do"-Knopf haben will, dann habe ich den zu liefern, auch wenn es meinen persönlichen Sicherheitsabwägungen nicht entspricht. Das Geld zu kassieren, Leistung zu mit der Begründung  zu verweigern, man wisse besser, was für andere richtig ist, grenzt schon an Unverschämtheit.

"Ja, aber er hat doch recht. Die Zwischenablage ist hoch gefährlich, und wenn da eine Schadsoftware mitliest, dann, dann - werden wir bestimmt alle sterben, wenn nicht sogar noch mehr."

Ich schreibe es mal für Leute mit einem IQ unter 70: Welchen Teil des Satzes: "Mein System ist infiziert" habt ihr nicht verstanden? Wenn ihr befürchten müsst, dass Schadsoftware eure Zwischenablage ausliest, wird diese Schadsoftware potenziell auch eure Tastaturanschläge mitlesen und euren Bildschirminhalt abfotografieren können. Wenn ihr befürchten müsst, dass euer System verseucht ist, solltet ihr es nicht benutzen, egal wozu. Die Zwischenablage zur Verbotszone zu erklären und sich dann sicher zu fühlen, ist etwa so idiotisch, wie die Laptopkamera zuzukleben. Das mögen Maßnahmen sein, die Laien einen gewissen Schutz bieten, aber spätestens wenn ich mit Profis spreche, kann ich davon ausgehen, dass die im Zweifelsfall schon wissen, warum sie bestimmte Risiken eingehen wollen. Im Gegenteil: Wenn ein gestandener Admin in meinem Projekt auftaucht und ich auf seinem Rechner einen Kameraaufkleber sehe, bekommt er von mir keinen Netzwerkzugriff. Wenn jemand mit einem Tagessatz von 2000 € seinem eigenen Rechner nicht einmal so weit über den Weg traut, um auszuschließen, dass Schadcode seine Kamera unter Kontrolle hat, sollte er sich nicht anmaßen, die IT-Sicherheit meines Unternehmens verbessern zu wollen - ganz davon abgesehen, dass er damit gerade einmal die Kamera als Angriffsvektor auschließt, das Mikrofon aber offen lässt und erst recht nicht verhindert, dass ein Programm seine komplette Platte liest.

Was ist mit körperlich Behinderten, die Schwierigkeiten mit dem Eintippen langer Passwörter haben? Sollen die ihr Passwort für alle schön hörbar ins Mikrofon schreien? Was ist mit alten Menschen, die Schwierigkeiten damit haben, sich viele und komplizierte Passworte zu merken? Ist Computersicherheit das Privileg intelligenter Mittdreißiger mit intakten Händen? Haben Alte und Behinderte kein Recht auf sichere Kommunikation?

Wissen Sie, worauf das Sperren der Zwischenablage bei Pinentry hinaus läuft? Dass die Leute ihre privaten Schlüssel mit einbuchstabigen Passwörtern versehen, am besten alle gleich "a". Vielleicht kommt in der Folge der Pinterest-Autor dann auf die Idee, das Programm mit einem Passwort-Meter zu versehen, am besten mit einer ganz tollen Policy, die 20 Zeichen Mindestlänge, davon keins doppelt, mit mindestens drei, höchstens fünf Sonderzeichen aus einem Nicht-ASCII-Zeichensatz plus Wörterbuchfilter, der nach zehnminütiger Prüfung alle Passworte zurückweist, bei denen auch nur ein Teilstring in irgendeinem Wörterbuch zu finden ist. Damit wäre doch der feuchte Traum der Sicherheitsoberlehrer wahr geworden: Supersichere Software, die außer einem elitären Zirkel selbstbefriedigter Nerds kein Mensch nutzt.

Sonntag, 3. Mai 2015

Vom Versuch, den BND totzuflauschen

Deutschlands Datenschutzszene ist im Aufruhr. Kaum ein Tag vergeht, an dem keine weitere Meldung auftaucht, an welches Gesetzt sich der BND diesmal nicht gehalten hat. Rücktrittsforderungen werden laut. Der Innenminister müsse seinen Hut nehmen. Doch damit nicht genug. Der Fisch stinke vom Kopfe her, sagen die ganz Radikalen. Die Kanzlerin habe zu gehen.

Gequirlte, auf kleiner Flamme gekochte und mit Papierschirmchen verzierte Bullenexkremente.

Mit Verlaub, was soll dieses auf maximale Duckmäuserei optimiertes Pseudorevoltieren? Was soll sich ändern, wenn der Innenminister, meinetwegen gar die Kanzlerin ihren Posten verliert? Wahrscheinlich träumen die SPD-Fans, dass es in diesem Fall zu Neuwahlen kommt, in deren Verlauf die SPD den längst überfälligen Regierungswechsel schafft, und dann, ja dann -

wissen wir doch schon längst was kommt. Weil wir gesehen haben, was passiert, wenn man die SPD ins Kanzleramt lässt. Haben Sie schon vergessen, wie Rot-Grün nach dem 11. September 2001 gleich bündelweise grundgesetzwidrige Anti-Terror-Gesetze beschloss, die dann mühsam vom Bundesverfassungsgericht wieder gekippt werden mussten? Von welcher Partei ist doch gleich Sigmar Gabriel, der gerade so lautstark für die Vorratsdatenspeicherung trommelt, dass selbst die CSU nicht mehr mitkommt? Merkel mag Herumwurschteln auf Industrieniveau gehoben und dafür die politische Quittung verdient haben, am unkontrollierten Treiben des BND wird sich durch ihren Sturz nichts ändern. Glauben Sie wirklich, in Pullach säße man betreten im Konferenzraum und sagte: "Ja, Mensch, wenn die Merkel nicht mehr da ist, dann müssen wir uns ja wirklich mal am Riemen reißen"? Natürlich nicht. Schauen Sie doch einmal in die Geschichtsbücher. Der BND hat nicht erst seit Kanzlerin Merkel ein Problem damit, sich an deutsche Gesetze zu halten. Der BND hat ein strukturelles Problem, seit er 1946 als Nazi-Nachfolgeorganisation gegründet wurde. Da gibt es keine Stellschrauben, keine Detailverbesserungen, und dann läuft der Laden wieder, sondern:

Der BND ist eine verfassungsfeindliche Organisation und gehört aufgelöst.

Oh, das ist jetzt aber böse. So etwas sagt man aber nicht. Nein, wer in Deutschland so richtig bürgerrechtsbewegt ist, der gibt den Kampfdackel und fordert - bitte festhalten - die "Zurückführung der Etat-Mittel des Bundesnachrichtendienstes für den Bundeshaushalt 2016 auf den Stand von 2012" Uiuiui, das ist aber mutig. Warum nicht gleich noch mit genauem Tag und Uhrzeit? Da wird der BND bestimmt vor Angst schlottern. Mit dem Mini-Etat vom Jahr 2012, da kann man nämlich ganz bestimmt nicht gegen Grundrechte verstoßen, neinein, da muss man sich benehmen.

Für die geistig etwas simpler Gestrickten: Es gibt nicht ein bisschen Grundrechtsbruch. Entweder verstößt man dagegen oder nicht, und das geht auch mit wenig Geld. Ich will übrigens auch nicht, dass die Bundesrepublik keinen Geheimdienst unterhält - obwohl das ein durchaus interessanter Gedanke wäre. Ich will nur, dass wir den von Grund auf verkorksten Haufen von BND abschaffen und statt dessen mit komplett neuem Personal eine Organisation aufbauen, die nicht jedes Mal bei der Bundeszentrale für politische Bildung neue Grundgesetze bestellt, wenn das Klopapier alle ist.

Natürlich weiß ich auch, dass meine Forderung illusorisch ist, aber das ist die Forderung nach Merkels Rücktritt auch. Im Gegensatz dazu bestünde aber beim Neuaufbau eines demokratisch fundierten Geheimdienstes wenigstens die Chance auf eine wirkliche Änderung.