Wenn Politiker über Sicherheits-Technologie sprechen, sind in der Regel deine Menschenrechte in Gefahr.
Tweet this!

Wenn Politiker*innen über Sicherheitstechnologie sprechen, sind in der Regel deine Menschenrechte in Gefahr. Verdachtslose Massenüberwachung, geheime Website-Sperrlisten, mühseliges Sicherheitstheater auf Flughäfen: Angeblich errungene Sicherheit geht mit der Aufgabe von Freiheiten Hand in Hand. Und viele Politiker*innen sind nur zu gewillt, diese immer weiter zu opfern, um kurzfristig den Eindruck zu erwecken: Sie tun etwas, um die Welt vor dem Bösen zu beschützen.

Sicherheit und Freiheit müssen keine Gegensätze sein. Ich will, dass die Europäische Union ihre Energie und ihr Budget in Projekte investiert, die gleichzeitig sowohl den Schutz der Menschen als auch ihre Autonomie steigern. Auf meinen Vorschlag hin enthält das EU-Budget für 2015 einen Schritt in diese Richtung:

€1 Million der 40 Millionen, die die EU für Pilotprojekte bereitstellt, wird zur Verbesserung der Sicherheit von Open-Source-Software aufgewendet werden.

* * *

Software ist überall. Wenn du deine Mutter anrufst, in die Arbeit fährst, Geld von der Bank abhebst oder mit dem Staat interagierst: Überall ist Computercode im Spiel. Software ist das Herzstück unseres technologischen Fortschritts.

Aber jeglicher Code enthält Fehler. Laufend „Bugs“ zu finden und auszumerzen ist ein fester Bestandteil von Softwareentwicklung — man kann nur hoffen, dass das gelingt, bevor ein Fehler zu viel Schaden anrichtet, oder jemand ihn gar für bösartige Zwecke ausnützen kann.

Photo: steve_lynx

Photo: (cc) by-nc-sa steve_lynx
Der meiste Code, der deinen Alltag beeinflusst, ist ein Geheimnis der Unternehmen, die ihn besitzen: Selbst wenn du die nötige Zeit und das nötige Wissen hättest, wäre es dir nicht erlaubt, nachzusehen, was der Code genau tut – und ob er Schwachstellen, oder gar eine geheime Hintertür zu deinen Daten enthält.

Im Gegensatz dazu entsteht mancher Code unter dem Prinzip freier und quelloffener („open source“) Software: Die kollaborative und offene Entwicklungsweise dieser Programme sichert allen Nutzer*innen Freiheiten: Alle können Einblick in den Code nehmen, ihn kopieren, ihn an die eigenen Bedürfnisse anpassen und ihre Änderungen wieder der Allgemeinheit zur Verfügung stellen. Auch du hast sicherlich schon die Produkte solcher Arbeit benützt: Das Handy-Betriebssystem Android (bzw. zumindest große Teile davon), der Internetbrowser Firefox, die Bloggingsoftware Wordpress, der VLC-Mediaplayer und viele andere Applikationen – sowie ein großer Teil der Internetinfrastruktur im Hintergrund (Webserver, Datenbanken, Routingsoftware, usw.) sind open source.

* * *

Die öffentliche Hand sollte die Allgemeinheit bereichern, nicht einzelne Konzerne.
Tweet this!

Ich bin überzeugt: Wo möglich, sollte die öffentliche Hand freie Software einsetzen und unterstützen. Dein Staat sollte sich nicht auf Programmcode verlassen, auf den Geheimdienste mehr Zugriff haben als du. Jegliche Software, für die die Regierung bzw. Verwaltung Geld ausgibt, sollte offen sein: Mit ihren Entscheidungen sollte die öffentliche Hand möglichst die Allgemeinheit bereichern, und nicht einzelne Konzerne.

Eine Studie meiner Fraktion im EU-Parlament, der Grünen/EFA, kam zuletzt zum gleichen Schluss: Um sein selbstgestecktes Ziel „größtmöglicher Transparenz“ zu erfüllen, muss das Parlament „freie Software und offene Standards für alle Systeme und Daten, die es für seine Arbeit einsetzt, verpflichtend machen„.

Leider sind wir von diesem Ziel weit entfernt: Das Parlament setzt aktuell großteils auf proprietäre Software wie Microsoft Outlook – mit fatalen Auswirkungen: Dadurch ist es Abgeordneten beispielsweise fast unmöglich, von ihrer offiziellen Parlaments-Adresse verschlüsselte E-Mails zu senden und zu empfangen. Wie wichtig das wäre, zeigen nicht zuletzt die jüngsten Enthüllungen, dass US-amerikanische und britische Geheimdienste den belgischen Telekommunikationsprovider Belgacom gezielt angegriffen haben.

* * *

Open-Source-Software zu benützen ist eine Vorbedingung für digitale Autonomie und Sicherheit – aber noch nicht genug. Dass die theoretische Möglichkeit besteht, dass alle den Code auf Sicherheitslücken untersuchen können, heißt noch nicht, dass es auch tatsächlich von selbst passiert.

Heartbleed explanationEine anschauliche Erklärung, wie „Heartbleed“ funktioniert hat

Letzten April wurde ein Bug in einer wichtigen Verchlüsselungssoftware gefunden, die u.A. sicherstellt, dass niemand dein Onlinebanking überwachen und manipulieren kann. Der „Heartbleed„-Fehler war seit März 2012 unentdeckt gewesen. Im September wurde dann eine noch überraschendere Entdeckung gemacht: Eine Kernkomponente der meisten Open-Source-Betriebssysteme enthielt seit 1989 eine „Shellshock“ getaufte Schwachstelle, die all die Jahre von Angreifer*innen ausnützbar war.

heartbleedKlar ist: Es werden mehr Ressourcen benötigt, um Software, auf die unsere IT-Infrastruktur aufbaut, auf solche Sicherheitslücken zu untersuchen und sie zu schließen. Die Europäische Union ist die ideale Verwaltungsebene für diese Investition, von der nicht nur ihre eigenen Behörden und die aller Mitgliedsstaaten profitieren, sondern auch die Allgemeinheit.

* * *

Die EU darf ihr Budget nur für Zwecke aufwenden, die gesetzgeberisch festgelegt wurden. Es gibt nur eine Ausnahme: Ein kleiner Teil des Budgets ist für sogenannte „Pilotprojekte und vorbereitende Maßnahmen“ reserviert – für neue Ideen, die noch nicht von konkreten Gesetzen abgedeckt sind.

„Kontrolle über und Qualität von Software-Code — Prüfung freier und quelloffener Software“ heißt das Pilotprojekt, das mein Kollege Max Andersson von den schwedischen Grünen und ich vorgeschlagen haben. Nach erfolgreichen Verhandlungen sind im Budget für 2015 nun 1 Million Euro dafür vorgesehen, unter der Ziffer 26 03 77 02 (Seite 776). Das Projekt, mit dessen Durchführung die EU-Kommission betraut ist, besteht aus drei Teilen:

  1. Wie soll geprüft werden? Eine Studie wird die bewährtesten Verfahren für Sicherheits-Audits und Qualitätsprüfung identifizieren. Dazu werden bestehende Prozesse in der EU-IT mit Vorbildern in der Debian Open-Source-Community verglichen.
  2. Was muss geprüft werden? Es wird eine vollständige Liste aller Open-Source-Software erstellt, die die EU-Institutionen derzeit einsetzen.
  3. Erste Erfahrungen: Beispielhaft wird besonders wichtige Software überprüft, die sowohl in der EU, als auch in der Bevölkerung im Einsatz ist.

Wenn das Projekt erfolgreich ist, kann es als Pilotprojekt fortgesetzt werden (maximal ein weiteres Jahr) oder in eine „vorbereitende Maßnahme“ münden, die dann bis zu 3 Jahre läuft — und schlußendlich regulärer Teil des Budgets werden. Zum Vergleich: Was 2004 als Pilotprojekt zur Anti-Terror-Sicherheitsforschung begann, wurde später ein siebenjähriges, mit €1,4 Milliarden dotiertes Projekt im Rahmenprogramm für Forschung und Entwicklung.

Ich werde mein Bestes geben, damit dieses Projekt ein ähnlich folgenschwerer erster Schritt wird — hin zu Sicherheitsforschung, die deine Freiheiten ausweitet, statt sie einzuschränken.

Soweit dies durch das Gesetz möglich ist, hat der Schöpfer auf das Copyright und ähnliche oder Leistungsschutzrechte zu seinem Werk verzichtet.

My name is Julia, I'm the Pirate in the European Parliament.

I'm fighting to make copyright in the EU unified, progressive and fit for the future. Will you join me?

6 Kommentare

  1. 1
    Arno Nebauer

    Guten Tag,

    mich würde interessieren, ob im Zusammenhang mit CETA und TTIP auch Urheberrecht und Softwarepatente nach amerikanischem Muster durch die Hintertür eingeführt werden sollen.

    Gibt es dazu bereits Erkenntnisse?

    Vielen Dank,
    Arno Nebauer

  2. 2
    Linuxkumpel

    Ich bin gespannt auf das Ergebnis. Dein Newsletter hält mich ja dann auf dem Laufenden.

  3. 3
    WinstonSmith

    sage statt „sollte“ muss. Dann kommen wir einen Schritt weiter.

  4. 4

    Sehr gut! Dann führt doch gleich TextSecure und Signal als Kommunikationmittel für alle Abgeordneten ein und unterstützt diese Projekte durch Audits und Serverstrukturen.
    Verschlüsselung muss für alle in Europa einfach zugänglich und sicher werden.

  5. 5

    Interessant wäre noch, was mit den Daten aus dem Audit geschieht…
    Werden diese dann veröffentlicht (und am Besten auch beworben) oder verschwinden sie einfach nur mit anderen Forschungsaufträgen und sonstigen Unterlagen in einer Akte (am besten noch – da es die Sicherheit betrifft – mit VS-Vermerk)?

  6. 6

    Auf jeden Fall eine begrüßenswerte Initiative.