Weblog Tedesca

Sie sind als Nutzer SEARCHENGINE angemeldet.
Dieser Nutzer gehört zur Gruppe Gast und zur Gemeinschaft Gast



Wir denken an 1980

Von Thomas Bez am 24.12.2015

FAZ.NET: Die EU muss handeln <http://www.faz.net/aktuell/politik/ausland/polen-die-eu-muss-handeln-13982997.html>

Das Vorgehen der Nationalkonservativen in Polen lässt Schlimmes befürchten. Extrem eilig haben sie das Verfassungsgericht des Landes ausgeschaltet. Das zeugt von einer eklatanten Missachtung grundlegender demokratischer und rechtsstaatlicher Normen.

Die widerborstigen, konservativen Polen bereiten den Ausbruch aus ihrem Bündnissystem vor. Dessen Machthaber planen dagegen einen Einmarsch, doch was sie in den Jahrzehnten zuvor in anderen Ländern noch mit Panzern erreichen konnten, ist nun nicht mehr möglich. Was in Polen passiert, ist ein sanfter Staatsstreich, und das Kriegsrecht kann daran nichts mehr ändern. Polen fällt als erster Dominostein. Wir wissen das noch alles genau, denn wir waren zwanzig und ziemlich nahe dran. Wir bangten, selbst zum Teil eines Einmarsches zu werden, doch größer als die Angst war die Hoffnung, die Polen verhieß. Nicht einmal 10 Jahre später war es mit dem Ostblock vorbei. Vielleicht macht sich das geplagte Land gerade erneut, nach 1683, 1944 und 1980, um unseren ganzen Kontinent verdient.

 


Da tobt das Leben

Von Thomas Bez am 10.12.2015

Frankfurter Allgemeine Sonntagszeitung, 29.11.2015

Artikel auffindbar im FAZ Archiv <https://fazarchiv.faz.net>

Zwei lesbische Frauen bekommen mit Hilfe eines Samenspenders ein Kind. Doch nach der Geburt will der Mann plötzlich das Sorgerecht. Chronologie eines Albtraums.

Artikel auf FAZ.NET: Wir dachten, er weiß, was er tut <http://www.faz.net/aktuell/gesellschaft/menschen/wenn-der-samenspender-ploetzlich-das-sorgerecht-will-13935728.html>

Da tobt das pralle, saftige Leben am Rande der Gesellschaft, wo sich Verrückte, Übriggebliebene, Leute mit Sternchen und Unterstrichen in ihren sozialen Etiketten und andere Perverse tummeln, sich mit spitzen oder stumpfen Spritzen in sanfter oder rauher Umgebung Körper- oder andere Flüssigkeiten zuführen, an denen sie auf die eine oder andere Weise zugrunde gehen. Das klingt alles immer wie ein Gerichtsbericht aus der Morgenpost und ist, aus beruhigendem bürgerlichen Abstand betrachtet, episch, ergreifend, schaurig und schön. Und wenn das unglückliche Kind oder was immer einmal daraus wird einmal einen hinreichenden geistigen Reifegrad erreichen wird, der es zu einiger Selbstreflexion befähigt, wird es viel zu erklären haben, welcher biologischen und sozialen Konstellation es entsprungen ist, und viel zu erwägen, wo es selbst einmal ankommen möchte im Leben. Dagegen werden die Konflikte der Selbstfindung in unserer Jugend ein Klacks gewesen sein, denn damals war es noch normal, normal zu werden.

 


Nicht noch einmal 20 sein

Von Thomas Bez am 13.06.2015

FAZ.NET: Deine Sprache verrät dich <http://www.faz.net/aktuell/gesellschaft/menschen/software-erkennt-persoenlichkeit-mit-sprachanalyse-13596216.html>

Wie fleißig ist dieser Bewerber? Lügt der Versicherte, der einen Schaden meldet? Eine Software hilft Firmen, solche Fragen zu beantworten.

Wir sind froh, daß wir (1.) Freiberufler sind und sich somit Personaler nicht mehr für uns interessieren, (2.) schuldenfrei sind und in unserem Leben keinen Kredit mehr brauchen werden und sich somit Banken nicht mehr für uns interessieren müssen, (3.) in unserem Alter nicht mehr über das bereits Vorhandene hinaus versicherbar sind und sich somit Versicherungen nicht mehr für uns interessieren müssen. Wir können leider nur hoffen, daß auch der verdammte Staat sich nicht weiter für uns interessiert und sind deshalb (4.) froh, daß unser Berufsleben bald hinter uns liegt und wir in die Einsamkeit der Uckermark ziehen können, um dort möglichst weltfern und unauffällig zu leben. Momentan erlauben wir es uns noch, unseren Score zu gefährden, indem wir öffentlich äußern, was wir von derartiger Technik halten und von Menschen, die gewillt sind, sie einzusetzen.

 


"Tell it to the marines" - zum Zweiten

Von Thomas Bez am 17.05.2015

FAZ.NET: Der mysteriöse Überläufer <http://www.faz.net/aktuell/politik/ausland/amerika/toetung-bin-ladins-der-mysterioese-ueberlaeufer-13594554.html>

Neue Spekulationen über den Tod des einstigen Al-Qaida-Chefs sorgen in Washington für Wirbel. Wie kamen ihm die Vereinigten Staaten auf die Schliche?

"Ein angeblich Unbewaffneter wird angeblich erschossen und dann angeblich als Osama Bin Laden identifiziert. Ein paar Marines und eine Nebenfrau des Oberterroristen sollen dabei gewesen sein. Eine Liveübertragung nach Amerika kam nicht zustande. Wenigstens haben sie Hubschrauberteile in Pakistan zum Beweis ihres Besuches zurückgelassen. Statt ihn lebend nach Guantanamo zu bringen, wo er ihnen am meisten genützt hätte, oder, wenn sie ihn schon erschießen mußten, ihn wenigstens zum wirklichen Public Viewing aufzubahren, wollen sie die Leiche Osama Bin Ladens pietätvoll nach den Regeln seiner Religion umgehend beseitigt haben. Sollte sich Al Qaida in den nächsten Tagen mit einer Videobotschaft eines angeblichen Osama Bin Laden melden, dürfte diese kaum verrauschter sein als das, was Amerika momentan zu melden hat. Wer will denn schon das eine oder das andere glauben? 'Tell it to the marines', sagt man im Amerikanischen." - Das schrieben wir hier vor vier Jahren </weblog/1379234114:48389.html> über diese Räuberpistole.

 


15 Jahre später

Von Thomas Bez am 19.04.2015


Cassola im Mai 2000

Clarissa, Garbo, Lilith und Anna Karenina

Fünfzehn Jahre ist es her, Mai 2000, daß wir das Schienenbild mit Cassola aufgenommen haben. Das World Trade Center in New York stand noch und vor allem war die kleine Industriebahnlinie zwischen Rüdnitz und dem Gewerbegebiet bei Bernau noch nicht abgebaut. In mehrerlei Hinsicht war die Welt also eine andere. Heute zieht sich an dieser Stelle ein breiter Wanderweg durch den Wald, stellenweise durch den alten Bahndamm erhöht.

Auf der Hauptstrecke, weniger Meter daneben, nach Stettin und Stralsund (wir erwähnten sie kürzlich </weblog/1382112626:0.html>, als wir über die Suche nach der Pankequelle berichteten) fährt wenigstens noch ein ICE. Aber wirklich nur einer in jeder Richtung pro Tag zwischen Stralsund und München. Man muß sich schon ein wenig Mühe geben, ihn als Hintergrund für ein Gruppenbild zu erwischen.

Es ist nicht das Schlechteste, am Ende der Welt zu wohnen. Aber was für Fortschritte werden es sein, über die wir hier nach weiteren 15 Jahren werden berichten müssen?

 

03
Vor dem Übergang zweimal pfeifen

04

07
Der ICE Stralsund-München

08

10

N 52.709612 E 13.629582

 


Nationalkonservative versus Neoliberale

Von Thomas Bez am 24.03.2015

FAZ.NET: Lucke wehrt sich gegen Rechtsruck <http://www.faz.net/aktuell/politik/inland/der-richtungsstreit-in-der-afd-geht-weiter-13498020.html>

Der Streit in der AfD um die „Erfurter Resolution“ setzt sich fort: Nun meldet sich Parteichef Bernd Lucke kritisch zu Wort. Unterstützung erhält er von Hans-Olaf Henkel, der das Papier in der Frankfurter Allgemeinen Sonntagszeitung als „grotesken Versuch, die AfD zu spalten“ bezeichnet.

Zweifellos ist es wichtig, daß es Lucke gelungen ist, seine Partei auf eine straffere Führung einzuschwören. Die AfD ist damit die erste Neugründung, die Aussichten hat, nicht für lange Jahre in Flügelkämpfen zu versinken wie die Grünen und die Linke. Und vielleicht ist es so, wie Lucke behauptet: daß es in seiner Partei nur 20% Rechtspopulisten sind. (Gemeint die Nationalkonservativen um Gauland.) Die AfD wird aber nicht gewählt, weil sich das Volk nach mehr Wirtschaftsliberalismus sehnt. Da kehren sich die Verhältnisse um: Den 20% "Rechtspopulisten" in der Partei stehen vermutlich 80% des Wählerpotentials der AfD gegenüber, die eine funktionierende nationalkonservative Partei wollen, eine Art deutsche Nationale Front. Wenn Lucke das Potential seiner nationalkonservativen Plattform nicht nutzt und lieber eine Partei der Volkswirte möchte, dann sollte sich die Partei rechtzeitig vor den nächsten Wahlen spalten. Und Henkel? Für den reichen unsere 1000 Zeichen nicht mehr aus, wie scha

 


Freiheit und Verantwortung

Von Thomas Bez am 04.10.2014 mit einem Kommentar

Wir sind für ein paar Tage nach Carwitz bei den Feldberger Seen gefahren. Carwitz ist bekannt vor allem durch Hans Fallada, der hier anderthalb Jahrzehnte lebte, einige prekäre Monate Bürgermeister von Feldberg war und schließlich hier begraben wurde.

Und plötzlich ist die Kälte weg. Eine unendlich sanfte grüne Woge hebt sie auf und ihn mit ihr.

Seit dreißig Jahren kommen wir immer wieder einmal hierher. Vor sechs Jahren <http://www.barnim.net/weblog/1224428505:630762.html> mußten wir unsere Heimfahrt von der Ostsee hier unterbrechen, weil Anna auf dem Spaziergang bei einem Zwischenstop im Moor gelandet war und Herrchen hinterherspringen mußte. In der Unterkunft mit Seezugang, wo wir uns seinerzeit kurzerhand einmieteten, um uns direkt im See vom Gröbsten zu reinigen, sind wir auch diesmal wieder.

Unsere heutige Wiese ist ohne Gebrauch eines Dreikantschlüssels zu erreichen, was bemerkenswert ist, und nicht einmal ein Verbotsschild mußten wir passieren, solche Orte gibt es noch. Seit 30 Jahren fahren wir autonom (das heißt unabhängig, eigenständig), und wir werden auch für den Rest unseres Lebens keiner zentralen staatlichen Instanz erlauben, unser Fahrzeug nach ihren Wünschen zu dirigieren.

Nicht weit von der Wiese steht ein Funkmast, und so haben wir hier sogar Internet und können einen Beitrag schreiben. Wie häufig Anfang Oktober ist das Wetter fabelhaft und für diese Art den Tag zu verbringen genau richtig.

Das Titelthema kommen beschäftigt uns naturgemäß zur Zeit etwas, 25 Jahre nachdem einige von uns ihren vielleicht kleinen, bescheidenen Beitrag geleistet haben, ihre Regierung zum Teufel zu jagen und einen Staat abzuschütteln. Beschäftigt in dem Sinne, daß wir uns fragen, ob die Art von Freiheit, die wir erleben und die wir in den nächsten, sagen wir, 25 Jahren noch erleben werden, jene ist, die wir uns seinerzeit vorgestellt haben.

Schwieriges Terrain. Konkretisieren wir es beim Thema Hunde, wie es sich für Briard-Züchter <http://www.barnim.net> gehört. Das Hunde-Thema hat es heute tatsächlich bis in den Leitkommentar unserer eigentlich durch und durch liberalen Lieblingszeitung <http://www.faz.net> geschafft. Und was müssen wir dort lesen?

Es wäre nicht zu viel verlangt, bundesweit Sachkundenachweise von Tierhaltern zu fordern – nicht nur im Sinne der Gefahrenabwehr [...] Alle Halter hätten durch solche Prüfungen die Chance, sich mit den Änderungen ihres Alltags auseinanderzusetzen, noch bevor sie ein Tier und sich selbst in eine Notlage bringen.

Im Moment wird die Tierhaltung ohnehin schärfer reglementiert: Hundeschulen brauchen nun eine behördliche Erlaubnis, verschiedene Bundesländer erwägen eine Kastrationspflicht für Katzen. Eine neue Aufklärungskultur, mit der man blauäugigen Tierkäufen entgegenwirkt, wäre da nur ein weiterer Schritt – und zwar im Sinne des Tier- und des Menschenschutzes.

(Christina Hucklenbroich, Das Tier als Mensch, FAZ vom 4.10.2014, Seite 1)

So denken Leute ja nicht nur, wo es um Hunde und Katzen geht. Unser Alltag ist bis in seine letzten Verästelungen durchreguliert mit Verboten, behördlichen Erlaubnissen und Registrierungsauflagen, demnächst vielleicht noch Kastrationspflichten, und kaum jemand empört sich darüber. Wir gehen wohl nicht fehl in der Annahme, daß eine Mehrheit in diesem Land das auch noch gutheißt und die um sich greifende Entmündigung "Aufklärungskultur" nennt. Der Wunsch, bloß in Ruhe gelassen zu werden, ist nicht sonderlich ausgeprägt.

Und es ist ja nicht nur so, daß das mal so geäußerte Ideen wären und alles könnte einfach so einfach bleiben wie es ist. Wir haben ja erlebt, wie schnell aus solchen Ideen Landes- und Bundesgesetze werden. Hundeleute sollten auch nicht meinen: "Hier geht es ja nur um Katzen." Der nächste Durchgriff des Staates, der dann Euch betrifft, ist immer nur einen Federstrich entfernt.

Ist das Freiheit oder ist das nicht vielmehr so schlimm wie das, was wir schon einmal hatten? Kein Seitenweg mehr ohne Poller und bald kein Hund mehr ohne "Sachkundenachweis", als ginge es um den Besitz einer Schußwaffe. Verantwortung kann es nur dort geben, wo die Freiheit herrscht, sich selbst für verantwortungsbewußtes Handeln zu entscheiden oder sich eben auch verantwortungslos zu verhalten. Wo die eigene Entscheidung durch ein Gesetz und ein Verbot ersetzt wird, herrscht nicht Freiheit, sondern Diktatur, die kein bißchen weniger übel dadurch wird, daß sie eine Diktatur der vermeintlich Wohlmeinenden ist.

Wird es demnächst nicht mehr ausreichen, daß wir uns als Züchter sorgfältig überlegen, wem wir einen Welpen übergeben? Werden wir die Vorlage eines "Sachkundenachweises" verlangen müssen? Werden wir demnächst als Züchter bei einer Behörde beantragen müssen, daß unsere Hunde oder die Welpen, die wir abgeben, nicht zwangsweise zur Kastration vorgeführt werden?

Wir sind empört und mußten das hier, auf unserer friedlichen, sonnigen Wiese, einmal loswerden.

 

01

02

03

15

17

N 53.290418 E 13.399896

 

Kommentar von Thomas Bez am 10.01.2018 09:27:

Unsere Lieblingszeitung nannten wir die FAZ im Oktober 2014 noch, wenn auch sich unsere frühere Leidenschaft nach zehn Jahren des Abonnements schon etwas abgekühlt hatte. Nach Schirrmachers Tod änderten sich Charakter und Stil der Zeitung noch schneller. Anderthalb Jahre hielten wir noch durch, bis wir ihr 2016 die Leserschaft aufkündigten. Irgend so ein Artikel von Justus Bender war schließlich der Auslöser, uns endgültig von dem Blatt zu trennen.

Tagesaktuell informieren kann man sich auch im Internet, wenn man weiß, wo man suchen muß, und etwas zwischen den Zeilen lesen kann, was wir damals glücklicherweise in der DDR gelernt haben. Zur Erbauung halten wir seitem diverse Monats-, Zweimonats- und Vierteljahreszeitschriften, aber wir vermissen schmerzlich eine intelligente, konservative Tages- oder Wochenzeitung auf dem deutschen Markt.

 


Positionsbestimmung

Von Thomas Bez am 30.08.2014

"Stützen der Gesellschaft" auf FAZ.NET: Die Zwangskollektivierung des Reichtums <http://blogs.faz.net/stuetzen/2014/05/09/die-zwangskollektivierung-des-reichtums-4426>

Lenin hätte seine Freude an diesen Pauschalurteilen: Wenn Amateursoziologen Klassengrenzen festlegen, werden alle feinen Unterschiede weggesäubert.

Am leichtesten hat es der Misanthrop in dieser Welt, der niemandem etwas beweisen muß, weil er (fast) alle verachtet. Aber Misanthropie kann man nicht lernen, man muß eine Begabung dafür haben. Snob zu sein steht dagegen jedem offen. Es braucht dafür nicht einmal ein gewisses Minimum an Wohlstand, sondern eben so viel, daß man sich frei fühlt, was eine subjektive Angelegenheit ist. Aber teure Schuhe muß man unbedingt tragen.

Ja, wir können die Heerscharen derer bedauern, die es niemals nimmer auch nur zum Snob bringen werden. Gewürm, das sich durch die Erde frißt und selbst zerfressen ist von Gier. So weit, so gut.

Ihre Position zur Alternative für Deutschland kann man aber nicht teilen. Nicht daß wir meinten, uns jetzt schützend vor diese Partei stellen zu müssen, denn wo andere eine Altherrenpartei erkennen, über die sie sich mokieren dürfen, sehen wir etliche gestandene Leute, die eigentlich nichts mehr beweisen müssen. Lucke, Gauland und Henkel sind keine politischen Emporkömmlinge, sondern sind auch schon in ihrem ersten Leben jemand gewesen, anders als Lindner, Gabriel, Merkel oder Roth. (Wobei Lindner wenigstens mal eine Firma in den Sand gesetzt hat.)

Als Misanthrop und Kulturpessimist könnten wir sogar beipflichten, daß die Existenz von Deutschland überbewertet wird. Aber dann wird mir doch irgendwie weh bei dem Gedanken, daß unser schönes Land als Verwertungsmasse für höhere Kapitalinteressen gedacht ist. Wo ist denn die Alternative zur Alternative für Deutschland? Die Alternative zur Alternative ist eben das "Unfreiversklavenhandlungsabkommen" (Danke für das Wort, köstlich!), das all die anderen, die sich in der Mitte tummeln, unbedingt wollen. (TTIP, vermindert um das Chlorhühnchen, dann geht es schon.)

Und wie sieht denn Ihr Europa aus, Don, durch das Sie so gern gondeln, vom Tegernsee bis nach Sizilien und an die Riviera? Es ist das Europa der 60er Jahre, welches wir in Ihren Schilderungen erkennen, nicht das Turboeuropa des 21. Jahrhunderts. Sie könnten daraus natürlich ganz andere Schlußfolgerungen ziehen, als wir dies tun, aber als Sympathisant linksliberal-grüner Positionen sind Sie bislang auch nicht aufgefallen.

Man kann sie alle zu Recht verachten ("Die Clique, die klatscht, ist das gleiche Kaliber wie die Clique, die pfeift, die einen sind von rechts dumm, die andern sind von links dumm" - Gottfried Benn), aber als Blogger, der etwas auf sich hält, sollte man seine Fraktion benennen können. Wie dem auch sei, zum Abschluß wollen wir das Kompliment loswerden, unter Snobs sozusagen, daß wir uns über Niemandes Beiträge so gern und genußvoll ärgern wie über die Ihren.

 


Was wir aus Heartbleed lernen könnten

Von Thomas Bez am 14.04.2014


Nachlässigkeit und Disziplin

Wie kann es sein, daß ein junger Bursche die Sicherheit des gesamten Internet aushebelt?

Es gibt Programmierfehler, die Leute trotz und zuweilen wegen aller Klugheit machen, Denkfehler eben. Und es gibt ausgesprochen dumme Fehler, die aus der Vernachlässigung der Pflicht zu bedenken, was man gerade tut, resultieren. Eine Speicherkopieroperation, die durchgeführt wird ohne den Anfangszeiger und die Länge des Kopierbereiches genau zu prüfen, ist solch ein dummer Fehler. Das sollte man einmal gelernt haben, sofern man die Grundlagen gelernt hat. Aber wer am Silvesterabend 2011 nichts besseres zu tun hat als die Heartbeat-Funktion fertig zu programmieren und für die Veröffentlichung freizugeben, sollte erst noch mal einen Blick ins Leben tun statt das Internet fahrlässig kaputt zu machen.

Wir nennen es also Nachlässigkeit und unterstellen nicht, daß der Entwickler von der NSA gekauft wurde, aber ausschließen kann man das auch nicht. Es ist auch absolut irrelevant, denn daß die NSA für Hintertüren bezahlt, ist bereits bekannt, und daß sie diese Sicherheitslücke von Anfang an genutzt haben muß, werden wir gleich darlegen. Zuvor aber noch ein paar Überlegungen, was für Umstände solchen Programmierer-Nachlässigkeiten Vorschub leisten. Die oft gehörte Diskussion um Wert oder Unwert der Sprache C, die Pufferüberläufen und falschen Speicherzugriffen tatsächlich Vorschub leistet, ist zwar nicht unberechtigt, verfehlt aber das Thema. Auch in C kann man diszipliniert programmieren.

Als wir in den 1980er Jahren Informatik studierten, war es noch nicht allgemein üblich, bereits mit gewissen Programmierkenntnissen die Ausbildung zu beginnen. So spielte das Handwerkliche am Anfang des Studiums noch eine beträchtliche Rolle. Und dieses Handwerk wurde am Beispiel längst vergessener Sprachen wie Pascal, Modula und gar Ada vermittelt. Solche streng typisierten Sprachen haben einen wichtigen didaktischen Effekt, denn sie zwingen zu Disziplin im Durchdenken eines Problems wie in der programmatischen Umsetzung. Auch nach unserem Umstieg auf die Sprache C, die nun einmal zum Standard geworden ist, was man akzeptieren muß, war unser Bewußtsein dafür geschärft, was man in C anrichten kann, wovor einen andere Sprachen von Hause aus besser schützen.

Typische Fehler

Worin bestand der Heartbleed-Fehler nun? In der Funktion tls1_process_heartbeat wird eine vom Angreifer gemeldete Payload-Länge kritiklos übernommen:

hbtype = *p++;
n2s(p, payload);
pl = p;

und danach werden die vermeintlichen Daten in die Antwortnachricht kopiert:

buffer = OPENSSL_malloc(1 + 2 + payload + padding);
bp = buffer;
*bp++ = TLS1_HB_RESPONSE;
s2n(payload, bp);
memcpy(bp, pl, payload);

Der eigentlich empfangene Datenpuffer ist jedoch viel kürzer. Daher lautet die Korrektur:

hbtype = *p++;
n2s(p, payload);
if (1 + 2 + payload + 16 > s->s3->rrec.length)
    return 0; /* silently discard per RFC 6520 sec. 4 */
pl = p;

Es überrascht nicht besonders, daß sich hier gleich drei typische Programmierfehler treffen:

  • Feldgrenzen nicht prüfen
  • Eingabewerte nicht auf Wertevorrat, Format und/oder Plausibilität prüfen
  • uninitialisierte Variable oder Pufferspeicher verwenden

Wir wollen uns aber hier nicht über einen armen Entwickler lustig machen. Qualitätssicherung ist dafür da, Fehler zu eliminieren, und um Qualitätssicherung soll es hier gehen.

Code Review

Fehler wie diese kann ein geübter Code Reviewer bereits durch Betrachten des Codes finden. Ein Aufruf von memcpy ist ein Signal, daß man hier besonders genau hinsehen muß. Und wenn sie der erste Reviewer nicht findet und der zweite auch nicht, dann ist es vielleicht der zehnte. Solche Suche ist durchaus sinnvoll, bevor richtig getestet wird, es kostet halt scheinbar ein wenig mehr.

In den IT-Abteilungen der Industrie, zumindest der Industriezweige, die eine regulatorische Verpflichtung auf Sicherheit haben, herrschte ab dem Morgen des 8. April große Hektik. Erst einmal alle betroffenen Systeme identifizieren, Hunderte oder gar Tausende von Servern patchen, neue Zertifikate bereitstellen, das alles mit den Eigentümern der Anwendungen koordinieren... Der Zirkus wird noch ein paar Tage gehen. Wieviel das wohl kostet? Hätten Unternehmen dieses Geld in ihre IT besser investieren können?

(Ironischerweise sind in diesem Fall Unternehmen besser dran gewesen, die ihre Systemsoftware nicht so oft aktualisieren. Das kann aber nicht als Regel gelten. Zumal es nicht die Regel sein sollte, mit der Aktualisierung zwei Jahre zu warten, und das war im Fall von Heartbleed die Zeitspanne, die auch durchaus länger hätte ausfallen können.)

Die NSA beschäftigt garantiert Code-Reviewer in großer Zahl, die für nichts anderes bezahlt werden und auf nichts anderes gedrillt sind als solche Fehler zu finden. Auch Unternehmen, die Exploits sammeln und verkaufen, suchen bestimmt jede Änderung in sicherheitskritischer Software ab, also im Betriebssystem (zum Beispiel Linux), Systembibliotheken (zum Beispiel OpenSSL), Middleware (zum Beispiel OpenVPN) oder sicherheitskritischen Anwendungen (zum Beispiel Apache). Am 1. Januar 2012 wurde OpenSSL mit dem Heartbleed-Fehler veröffentlicht und wir wetten, daß diejenigen, die von unveröffentlichten Fehlern am meisten profitieren, ihn im Februar schon kannten. Diese Leute sind zu schlau, um nicht längst diese wundervolle Methode Angriffsvektoren zu sammeln entdeckt zu haben.

Open Source

Mit Open Source geht das besonders einfach und günstig, weil jeder die Software bekommen kann und jede Änderung im Detail herausfinden kann. In dieser Hinsicht ist Open Source noch deutlich verwundbarer als proprietäre Software, deren Quellcode nie an die Öffentlichkeit kommt. Dazu kommt die immer größere Verbreitung. Bald wird sich ein Angriff auf Open Source noch mehr lohnen als ein Angriff auf Windows.

Das ist kein Argument gegen Open Source. Open Source gibt allen, die das wollen, die Möglichkeit, Fehler zu finden. Die Anwender verlassen sich aber zu sehr auf Open Source. Es steht ja vermeintlich eine große Gemeinde dahinter, die jede Zeile Code fünfmal rumdreht, bevor sie sie freigibt. Irrtum – es stehen immer weniger dahinter, als man denkt.

Die Wahrheit ist doch: Kaum ein Mensch in der Open Source-Gemeinde außer dem Autor sieht sich ein Stück Code noch einmal genauer an, sofern es nicht ein aufsehenerregendes neues Kernel-Feature betrifft. Warum sollte das auch jemand tun? Etwas Eigenes zu schreiben macht Spaß und man kann sich damit einen Namen machen, sogar außerhalb der Gemeinde, wenn man sehr gut ist. Wozu sollte sich auch jemand fremden Code ansehen, da es schließlich nicht bezahlt wird und schon garnicht Aufmerksamkeit und Ehre einbringt. So kann ein katastrophaler Fehler zwei Jahre überleben.

Die Hersteller von kostenbewehrten Distributionen wie Red Hat oder SuSE haben hier noch schwerer versagt, denn sie sind an diesem Geschäft mit finanziellen Interessen beteiligt. Ein Fehler dieser Größenordnung in einer kommerziellen Distribution sollte die Frage aufwerfen, warum man hier jemanden für etwas bezahlt, was dieser auch nur umsonst bekommen und offensichtlich nicht verbessert hat.

Die Verantwortung der Industrie

Wir haben gesehen: Auf der Produzentenseite von Open Source sitzen nicht die Leute, die von intensiver Qualitätssicherung profitieren. Das ist nicht verwerflich, sondern hat schlichte ökonomische Gründe. Die Benutzerseite muß hingegen, statt viel schönen Code schön kostensparend (nämlich für lau) einzusetzen, in Qualitätssicherung investieren.

Der private Linux-Anwender hat keine Chance, vor jedem Update die Software zu prüfen, die zu installieren er im Begriff steht. Wer sich Linux statt Windows auf seinem PC installiert, riskiert dabei auch nicht viel. Und ob vielleicht eine Milliarde Facebook-Paßworte kompromittiert wurden oder die Email-Paßworte einer halben Nation von GMX- oder Googlemail-Benutzern, ist auch von geringer Relevanz. Eine Industrie aber, die von der Sicherheit ihrer Informationen abhängt, ob Maschinenbau oder Finanzindustrie, dürfte es sich nicht erlauben, Open Source-Software ungeprüft in die Produktion zu übernehmen. Das könnte eines Tages als Verletzung von Sorgfaltspflichten angesehen werden.

Wenn Unternehmen, die untereinander nicht im Wettbewerb um Softwaresicherheit stehen, dabei kooperieren würden, wären die Mehrkosten für die Beteiligten sogar marginal, der Gewinn an Sicherheit aber enorm. Heartbleed könnte der Anfang eines Umdenkens in der Industrie sein, und das wäre uns allen zu wünschen.

Umsonst gibt es nichts.

 


TTIP ist eine Verschwörung

Von Thomas Bez am 23.12.2013

Amerika hat einen langen Atem, wenn es um die Dienstbarmachung der Welt für seine Interessen geht. Seit sechzig Jahren betreibt Amerika die Gleichschaltung Europas in der Europäischen Union. Jetzt ist es soweit, daß die europäische Exekutive als krönenden Abschluß eine ebenso lange konzipierte Verschwörung umsetzt: TTIP (Transatlantic Trading and Investment Partnership).

Keinen im Volk interessiert das, keiner versteht, was TTIP ist. Einige Beispiele:

Verbraucherschutz: TTIP ist die flächendeckende Einführung der Grünen Gentechnik von Monsanto in Europa.

Umweltschutz: TTIP ist die Perforierung des europäischen Bodens durch globale Energiekonzerne, um Erdgas zu fracken, Kohlendioxid zu verpressen oder Windräder hineinzupflanzen.

Datenschutz: TTIP ist die Verschwörung von NSA und Google gegen Europa.

Das Volk hat zu diesen Dingen nichts mehr zu sagen, denn wenn die Regierung den Volkswillen respektiert, wird sie dafür vor nichtdeutschen Gerichten auf Schadenersatz verklagt werden.

Die EU-Kommission hat im November auf einem "informal meeting with Member States representatives" folgende Direktive ausgegeben: "Making sure that the broad public in each of the EU Member States has a general understanding of what TTIP is (i.e. an initiative that aims at delivering growth and jobs) and what it is not (i.e. an effort to undermine regulation and existing levels of protection in areas like health, safety and the environment)."

Allerdings: Wachstum und Arbeitsplätze entstehen nicht im produktiven Mittelstand, der im angelsächsischen Wirtschaftsmodell ohnehin ein Fremdkörper ist. Das Wachstum internationaler Konzerne wird garantiert, die zum geringsten Teil uns gehören, und Arbeitsplätze entstehen irgendwo - nur nicht hier.

Unsere Regierung ist aufgefordert, bei dieser Desinformationskampagne mitzuwirken, und sie tut es bereits. Auch der EP-Präsident Martin Schulz, Sozialdemokrat, kämpft für TTIP.

Es lohnt zu lesen, was George Monbiot vom Guardian über TTIP schreibt.