Die Themen der Veranstaltung WOS 2 kreisten um Kultur, Philosophie, Politik und Wirtschaft in Bezug auf Open Source, digitale Signatur sowie Datensicherheit und Datenschutz. Aber auch die Frage, wie man mit Open Source Geld verdienen kann und wie sich Open Source mit dem "Big Business" verträgt, wurde behandelt. Zudem gab es Panel zum Themenkomplex Open Source und Schulen/Universitäten sowie zum P2P-Journalismus.
Die Besetzung war hochkarätig: Andy Müller-Maguhn vom CCC und Direktor der ICANN, Hubertus Soquat, Referent beim Bundesministerium für Wirtschaft und Technologie (BMWI), Klaus Keus vom BSI, Oliver Passek vom Netzwerk Neue Medien und der Bundestagsfraktion der Grünen als wiss. Mitarbeiter, Hansjürgen Garstka, Berliner Beauftragter für Datenschutz und Akteneinsicht sowie Tom Schwaller, Linux Enterprise Specialist von IBM, waren vertreten.
Im allgemeinen Panel zur Datensicherheit diskutierte Andy Müller-Maguhn mit Hubertus Soquat über allgemeine Fragen zu diesem Thema. Während offene Standards gemeinhin als Garant für mehr Sicherheit im Internet angesehen werden, sagte Müller-Maguhn, dass dies jedoch nicht der Fall sei. Offene Standards wären nur einige von vielen Faktoren, die dazu beitrügen. Auch die Überwachung des Internet sei fraglich, denn "wer überwacht die Überwacher?"
Positiv sei, dass in Deutschland noch nicht alles Mögliche so umfassend wie in den USA an das Internet angebunden sei. Ein Beispiel hierfür wäre die Telemedizin, bei der das Risiko durch unzulässige Eingriffe von Außen einfach zu hoch ist. Daher wäre es fahrlässig, einen derartigen Dienst zu realisieren, so Müller-Maguhn.
Digitale Signaturen
Die Heinrich-Böll-Stiftung und das Netzwerk Neue Medien luden zur kritischen Diskussion über die digitale Signatur. Marit Köhntopp vom Landeszentrum für Datenschutz in Schleswig-Holstein erläuterte kurz neben den allgemeinen Funktionen der digitalen Signatur auch die neueren Sonderformen wie verbindliche Signaturen, blind geleistete Signaturen und Gruppensignaturen.
So können verbindliche Signaturen nur mit Zustimmung des Unterzeichners verifiziert werden. Bei den blind geleisteten Signaturen versucht man die Anonymität zu wahren, indem der Unterzeichner das signierte Dokument dem Besitzer nicht zuordnen kann. Einig war sich die Runde aus acht Vortragenden über die Bedeutung der Pseudonymisierbarkeit der Signatur. So bietet auch der deutsche Zertifikataussteller D-Trust GmbH laut Arno Fiedler als deren Vertreter im Podium eine pseudonymisierte Variante an. Dieses Verfahren ermöglicht eine Signatur, ohne für jeden offensichtlich den eigenen Namen anzugeben. Dennoch kann bei einem Rechtsstreit nachgeprüft werden, wer sich hinter einem bestimmten Pseudonym verbirgt.
Hannes Federrath von der TU Dresden schlug vor, Einmal-Pseudonyme zu verwenden, damit auch die relative Nachvollziehbarkeit von Aktionen Einzelner entfällt. Er sieht die Gefahr der Überwachbarkeit im Internet, da zu viele Spuren hinterlassen werden. Allerdings wies er besonders auf die Bedeutung der "vertrauenswürdigen Systeme" hin, wie sie vom Signaturgesetz gefordert werden, um "qualifizierte Signaturen" erstellen zu können (§17 SigG vom 21.5.2001).
Digitale Signatur und Sicherheit
Seit der Verabschiedung des Signaturgesetzes im Mai dieses Jahres wird vielerorts das Problem der "sicheren Signaturerstellungseinheit", also normalerweise des Endanwender-PCs, diskutiert. Die gilt besonders, seit Bonner Informatiker kurz nach Erscheinen der eTRUST-Mail-1.01- Software der Posttochter Signtrust die Möglichkeit nutzten, ein trojanisches Pferd in das System einzuschleusen. Damit konnte das Team von Prof. Armin Cremer (Bonn) im Juni dieses Jahres die Unsicherheit unter Ausnutzung von Sicherheitslücken im Windows-Betriebssystem nachweisen.
Der Vertreter des BSI, Klaus Keus, meinte dazu, dass das nur möglich gewesen sei, da die Forscher direkten Zugriff auf das System hatten. Seiner Meinung nach wäre der Angriff über das Internet nicht möglich gewesen. Diese Behauptung stieß jedoch auf allgemeines Kopfschütteln. Denn man denke nur an den Fall des Microsoft Hacks vom 27.10.2000, bei dem ein Trojaner zum Ausspionieren des internen Netzes von Microsoft über das Internet eingesetzt wurde.
Hier kommt die Bedeutung der gesamten Kette der IT-Sicherheit zum Tragen - von der untersten Hardware-Ebene über das Betriebssystem bis hin zu den Anwendungen. Das schwächste Glied in der Kette bestimmt die Sicherheit des gesamten Systems. Nach Meinung von Hannes Federrath von der TU Dresden, gibt es zurzeit noch keine "bezahlbaren" vertrauenswürdigen Systeme für den Massenmarkt.
Weitere Probleme im Zusammenhang mit der digitalen Signatur wurden von Oliver Passek von den Grünen angesprochen. Seiner Meinung nach dürften auf einer zur Signatur eingesetzten Chipkarte nicht "zu viele" Daten über den Inhaber der Karte enthalten sein. So stellt er Informationen zur Bonität der Anwender auf der Karte in Frage und sieht es als kritisch an, dass es einmal zu einer "Karte für alles" kommen könnte. Auch soziale Aspekte kommen Passek zufolge in der Debatte zu kurz. Er fragte, ob man wirklich den Fingerabdruck als biometrische Authentifizierungshilfe wolle.
Digitale Signatur in fünf Jahren Standard?
Zum Abschluss äußerte Arno Fiedler von der Zertifizierungsstelle D-Trust seine Zukunftsvision, wonach sich die digitale Signatur in fünf Jahren durchgesetzt haben wird. Dahingegen vertrat Klaus Keus vom BSI die Ansicht, dann werde es gar keine derartigen Chipkarten mehr geben, und die digitale Signatur werde sich hauptsächlich auf Anwendungen im B2B- Bereich beschränken. Laut Keus müsse das Vertrauen, das hier eine so große Rolle spielt, auch jenseits von Politik und Technik aufgebaut werden. Zudem gehe es darum, eine "digitale Spaltung" der Gesellschaft zu vermeiden, also die Spaltung in Anwender und Nicht-Anwender. Marit Köhntopp vom Datenschutzzentrum vermutet, dass es in Zukunft im Bereich der digitalen Signatur deutlich sicherer zugehen wird.
Hannes Federrath stimmte mit Klaus Keus vom BSI darin überein, dass die digitale Signatur im B2C-Bereich auch in fünf Jahren kaum an Bedeutung gewinnen wird, da es hierfür keinen Markt gebe. Seiner Meinung nach wird die sonstige Nutzung digitaler Signaturen dann aber so normal sein wie der heutige Einsatz des HTTPS-Protokolls zum Absichern von Webseiten.
Den Anonymisierungsdiensten gibt er dagegen kaum Zukunftschancen, da das staatliche Interesse zu sehr dagegen gerichtet sei. Er glaubt an ein "Ende der Privatheit". Diesen Einschätzungen stimmte auch der Vertreter des CCC, Andreas Lehner, zu.
Informationsfreiheit - Blick in den Aktenschrank
Zum Thema Informationsfreiheit diskutierten Hansjürgen Garstka, Berliner Beauftragter für Datenschutz und Akteneinsicht, Birthe Köster, Referentin für Grundsatzfragen des Informationszugangs beim unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein, und Manfred Redelfs, bei Greenpeace zuständig für Recherche.
Zentrales Thema war die kürzlich vorgenommene Einführung neuer Gesetze der Bundesländer Berlin, Schleswig-Holstein und Brandenburg zur "Informationsfreiheit". In Berlin nennt sich das Gesetz tatsächlich auch Informationsfreiheitsgesetz, kurz IFG, vom Oktober 1999. Über seinen Zweck heißt es dort in §1:
"Zweck dieses Gesetzes ist es, durch ein umfassendes Informationsrecht das in Akten festgehaltene Wissen und Handeln öffentlicher Stellen unter Wahrung des Schutzes personenbezogener Daten unmittelbar der Allgemeinheit zugänglich zu machen, um über die bestehenden Informationsmöglichkeiten hinaus die demokratische Meinungs- und Willensbildung zu fördern und eine Kontrolle des staatlichen Handelns zu ermöglichen."
Dabei wurden in der Diskussion Vergleiche mit den USA gezogen, wo schon seit den 60er Jahren ähnliche Möglichkeiten bestehen. Manfred Redelfs berichtete dabei über seine Erfahrungen als Rechercheur für Greenpeace. Seine Hauptkritikpunkte an heutigen Verfahren sind: keine festgelegten Bearbeitungsfristen, nur Klagemöglichkeit nach Ablauf von drei Monaten ohne Resultat, sowie die hoch angesetzten Bearbeitungskosten und dass auch im Falle einer Ablehnung der Einsichtnahme einige hundert Mark an Kosten für den Antragsteller entstehen.
In den USA hingegen gebe es spezielle Beamte für derartige Informationsbegehren. Die Bearbeitung sei dort kostenlos und sehr schnell. Darüber hinaus sei die Beweispflicht in den USA umgekehrt wie in Deutschland: Die Behörden müssten nachweisen, dass das Geheimhaltungsinteresse überwiegt, wenn sie einen Antrag ablehnen wollen. Berühmtes Beispiel sei die Führung des Kampfmittelfolgen- Prozesses nach dem Golfkrieg, bei dem so Informationen zur Anklage gesammelt werden konnten. Hansjürgen Garstka sieht ebenfalls das Problem der hohen Kosten. Er sprach sich daher für die Einführung eines Pauschalbetrags aus.
Unklarheit herrschte in der Runde über die Möglichkeit einer "Selbstbedienung" der Bürger am "Aktenschrank": Während Birthe Köster darauf hinwies, dass es in Schleswig-Holstein möglich sei, über das Internet Daten bei den Behörden abzurufen, lehnte Garstka dies ab. Er sieht den Datenschutz für Unbeteiligte zu sehr gefährdet, wenn sich jeder Bürger selbst in den Behörden-Datenbanken umsehen könnte.
Freie Software - Bewegung und Business
Donald K. Rosenberg, Präsident von Stromian Technologies, stellte die Frage: Ist "Big Business" gut oder schlecht für Open Source? Er antwortete selbst mit einem klaren "Ja" bezüglich eines positiven Einflusses. Seiner Meinung nach gelte das Argument, Linux sei nur etwas für "kleine" Installationen, nicht mehr, seit viele Firmen inklusive IBM viel Geld in die Weiterentwicklung von Linux steckten. Er sieht persönlich vor allem sehr gute Chancen für Linux- und Open-Source-Projekte im Bereich der Software-Anpassung und allgemeiner Dienstleistungen.
Tom Schwaller, Linux Enterprise Specialist bei IBM, vertritt die Ansicht, dass jede Firma ihre eigene, individuelle Lösung für sich finden muss, um am Markt ein erfolgreicher Anbieter für Open Source zu werden.
Georg Greve, Präsident der Free Software Foundation (FSF) Europa erklärte in seinem Vortrag die nicht unerheblichen Unterschiede zwischen freier Software und Open Source. Während Open Source zunächst nur die Offenlegung des Quellcodes beschreibt, geht freie Software weiter: Hier greift das Lizenzmodell der FSF, die "GNU Public License". Neben der Quelloffenheit und prinzipiellen Kostenlosigkeit geht es hier um die Offenhaltung der Software und um die freie Weitergabemöglichkeit für alle, ohne Unterschied. GPL-Software darf aber auch verkauft, verschenkt und verändert werden. Allerdings fallen Projekte, die GPL-Software verwenden, automatisch unter die GPL.
IBM und Open Source
In einem weiteren Plenum diskutierten Fritz Teufel, bei IBM Deutschland zuständig für Patentwesen und Urheberrecht, und Daniel Probst, Wirtschaftstheoretiker der Uni Mannheim über das Thema Software-Patente. Daniel Probst stellte den allgemeinen Nutzen von Software-Patenten stark in Frage, während Fritz Teufel diese vehement verteidigte. Er beschrieb dazu die Lizenzpolitik von IBM als besonders offen. IBM sieht sich sowohl als Freund von Open Source als auch von Software-Patenten. So nimmt IBM jährlich mehr als eine Milliarde US-Dollar durch Lizenzen ein, inklusive der Technologietransfers.
Zudem ging Tom Schwaller noch auf das Engagement von IBM bezüglich Linux ein. Er stellte beispielhafte Projekte wie Grid-Computing unter Linux, die Linux-Armbanduhr und ein Linux-Auto von Alphaworks mit Sprachsteuerung vor. Dazu baue IBM weltweit ein Netz von Linux-Zentren auf. Auch forciere IBM die Enterprise-Fähigkeiten von Linux und stärke damit dessen Glaubwürdigkeit.
Insgesamt waren die Organisatoren mit der Veranstaltung zufrieden. Zwischen 500 und 600 Besucher wurden gezählt. Geplant ist, in zwei Jahren den nächsten WOS-Kongess durchzuführen. (fkh)