Wer will nochmal, wer hat noch nicht? Es scheint in diesen Tagen so, als gäbe es Verhaltensregeln für Open-Source-Projekte gerade irgendwo im Sonderangebot. Nicht nur für den Kernel, sondern auch für GNU, QT und SQlite sind CoCs in Arbeit oder bereits eingeführt.
Klarstellung in Edinburgh
»Nobody is entirely happy with it, but we can live with it.« Linus Torvalds zum CoC
Zunächst hat zum Wochenbeginn Linus Torvalds den selbst auferlegten Code of Conduct für die Kernel-Gemeinde im Rahmen des Open Source Summit in Edinburgh während des Maintainer Summits erklärt, verteidigt und dann dazu aufgerufen, zunächst keine weiteren Änderungen vorzunehmen, sondern zu reagieren wie es die jeweilige Sachlage erfordert. Er habe den CoC in aller Eile und nur nach Absprache mit Freunden eingebracht, weil er vorab Kenntnis des Artikels im New Yorker erhalten habe, der gezielt auf seine verbalen Entgleisungen abstellt.
Greg Kroah-Hartman erwähnte, der vorherige Code of Conflict bereits einige Jahre bestanden habe und lediglich drei eher substanzlose Beschwerden gezeitigt habe. Da fragt man sich doch, wozu der ganze Aufwand nun betrieben wurde? Wegen eines Zeitungsartikels, der ja nicht der erste seiner Art war?
Die Kernel-Entwickler kommen aus allen Ecken der Welt und bringen ihr ethnisches Erbe mit. So können Japaner auf direkte Kritik mit einem starken Gefühl der Scham reagieren. Auch ein noch so guter CoC wird nie auf alle Ethnien eingehen können. Dem Japaner hilft es in dem Fall nicht, wenn die Kritik freundlich vorgetragen wird. Vielleicht fühlen sich potenzielle neue Mitglieder der Kernel-Gemeinde aber eher animiert, den Schritt zu wagen.
Lob für RMS
Den Beweis, dass es auch besser geht, trat dieser Tage Richard Stallman an und gab dem GNU-Projekt nun festgeschriebene Verhaltensregeln. Anders als Torvalds, der sich für seinen Code of Conduct das nicht unumstrittene Contributor Covenant zur Vorlage genommen hatte, schrieb Stallman dem GNU-Projekt die GNU Kind Communications Guidelines auf den Leib. Er setzt auf Verständnis und Einfühlungsvermögen anstatt auf Regeln und Sanktionen. Das brachte ihm in der Community und in der Presse großes Lob ein.
Stallman stellte fest, dass sich neue Entwickler oft von der Teilnahme am GNU-Projekt ausgeschlossen fühlen, da ihnen die Kommunikation als unfreundlich, ablehnend oder rüde vorkommt. Daher sollen sich alle Mitwirkenden in den Diskussionen zum GNU-Projekt künftig bewusst darum bemühen, auf eine Weise zu kommunizieren, die dieses nicht wünschenswerte Ergebnis vermeidet.
Qt entwirft noch
Das Qt-Projekt ist noch nicht so weit, sondern steckt noch in der Entwurfsphase zu einem CoC. Dort heißt es unter anderem: »Wir möchten einen Weg aufzeigen, auf dem wir sicher konstruktive Kritik üben und Widerspruch einlegen können bei Ideen, mit denen wir nicht einverstanden sind, ohne respektlos gegenüber unseren Kollegen zu sein. Und wenn es Fälle gibt, in denen jemand aus diesem Bereich heraustritt, möchten wir einen Weg finden, das Problem friedlich zu lösen.« Auch Qt nimmt sich wie Torvalds das Contributor Covenant in Version 1.4 als Vorlage.
Völlig am Ziel vorbei
Was allerdings den Projektleiter von SQLite geritten hatte, als er seinem Projekt einen CoC mit reloigiösen Forderungen verpasste, fragen sich heute auf Twitter und anderswo viele Leser. Wenn andere Projekte in ihren Richtlinien Tugenden wie Freundlichkeit und Nächstenliebe einfordern, die durchaus Anleihen bei den 10 Geboten machen, orientieren sich die Regeln die D. Richard Hipp für das SQLite-Projekt aufgestellt hat, direkt an den fast 1.500 Jahre alten Regeln von St. Benedict von Nursia.
Was in dem Regelwerk von Hipp unter Punkt 2 als »The Rule« in 72 Regeln festgelegt wird, hat in Richtlinien für Entwickler nichts zu suchen, denn sie grenzen beispielsweise durch ihre Formulierung Atheisten von der Teilnahme aus. Mittlerweile wurden die Regeln von Hipp aufgrund massiver Kritik in den Hintergrund gedrängt und die Mozilla Community Participation Guidelines als Coc für SQLite bestimmt.
CoC von außen motiviert?
Stellt sich noch die Frage, warum gerade jetzt so viele Projekte sich einen CoC geben wollen. Ich vermute mal, dass der Anstoß meist nicht aus den Projekten selbst kommt, sondern von außen von Unternehmen, die den Code des Projekts nutzen, herangetragen wird. Hier wünschen sich die Rechtsabteilungen einen festgeschriebenen Text, auf den sie sich berufen und dessen Umsetzung einfordern kann.
Die am 12. September 2018 erfolgte mehrheitliche Zustimmung des Europaparlaments zur Vorlage zur umstrittenen EU-Copyright-Reform beugt sich den Großkonzernen wie Google, Facebook und Verlagen wie Axel Springer. Der Lobbyismus trägt einen Sieg davon, die fast eine Million Unterschriften allein aus dem deutschsprachigen Raum gegen das Machwerk, dass den Namen Reform nicht verdient, blieben ohne Wirkung.
Im Juli zunächst gescheitert
Eine erste Abstimmung im Juli über die Position des Parlaments zu einem neuen »Urheberrecht im digitalen Binnenmarkt« scheiterte, gestern wurde dann über die insgesamt 252 Änderungsanträge verschiedener Personen, Parteien und Koalitionen entschieden. Das Ergebnis der Entscheidung zum Vorschlag von Verhandlungsführer Axel Voss (CDU) am Mittwoch in Straßburg fiel mit 438 zu 226 Stimmen bei 39 Enthaltungen eindeutiger aus, als das nach der ersten fehlgeschlagenen Abstimmung zu erwarten war. In der Hauptsache geht es um die Artikel 11 und 13 der im Text noch nicht endgültigen Gesetzesvorlage.
Leistungsschutzrecht
Artikel 11 beschreibt ein neues Leistungsschutzrecht, dass die Verlage etwa an der digitalen Nutzung von sogenannten Snippets, Titeln und Anrissen von News und Artikeln von Informationsdiensten wie Google News und ähnlichen Aggregatoren finanziell beteiligen soll. Dabei sollen die Inhalte der Verlage für 20 Jahre lang geschützt bleiben. In der vorliegenden Form würde dies klar die großen Verlage bevorzugen. Nach Recherchen von golem.de würde der Axel-Springer-Verlag bei uns derzeit fast 64 Prozent der Einnahmen erhalten, wogegen für kleine Verlage nur Krumen übrigbleiben würden.
Die Nutzer von sozialen Medien sind von den Maßnahmen nicht betroffen, denn Privatpersonen dürfen weiterhin Inhalte verlinken. Wie das für Blogger aussieht, ist bisher nicht klar definiert. Die Kritik richtet sich hauptsächlich dagegen, dass die freie Verlinkung von Information im Netz infrage gestellt wird.
Upload-Filter
Artikel 13 behandelt die ebenfalls umstrittenen Upload-Filter. Dabei handelt es sich um softwaretechnische Maßnahmen, mit denen Online-Plattformen während des Hochladens von Nutzerinhalten prüfen, ob die Inhalte ein Urheberrecht verletzt. Das soll hauptsächlich große Anbieter betreffen. Ausnahmen soll es etwa für Wikipedia und Dienste wie Dropbox geben.
Die Kritik an diesen Filtern bezieht sich hauptsächlich auf deren Unfähigkeit, zwischen rechtsverletzenden und legalen Werknutzungen zu unterscheiden. Dabei werden dann unter Umständen Inhalte rausgefiltert, die aufgrund des Zitatrechts legal sind. Zudem kann die Software beispielsweise Parodien, Satire oder Memes nicht erkennen.
Gefahr von Überwachung und Zensur
Tim Berners-Lee, der Erfinder des WWW sieht zudem die Gefahr, dass aus dem Internet durch Upload-Filter »ein Werkzeug für die automatisierte Überwachung und Kontrolle der Nutzer« werden könnte. Zudem steigt die Macht der großen Konzerne, die noch mehr als bisher bestimmen können, was die Filter passieren darf und was nicht.
Noch ist nichts verloren
Die Festlegung der Europaparlamentarier bedeutet noch nicht, dass die Vorlage Gesetzeskraft erhält. Der weitere Weg führt über die sogenannten Trilogverhandlungen zwischen EU-Kommission und Ministerrat, in dem die Mitgliedsländer vertreten sind. Die Verhandlungen müssen vor den nächsten EU-Wahlen am 23. Mai 2019 abgeschlossen sein.
Sollten Upload-Filter nicht aus der endgültigen Entscheidung ausgenommen werden, so besteht die Möglichkeit, dass sich der Europäische Gerichtshof (EuGH) mit dem Thema befassen muss, da die Filter unter Umständen nicht mit dem Grundgesetz konform sind. Dazu muss aber zunächst die endgültige Ausformulierung der Vorlage abgewartet werden.
Unterschiedliche Einschätzung
Die Einschätzung, ob die Vorlage nächstes Jahr verbindlich in Gesetzesform gegossen wird, sind unterschiedlich. Die Electronic Frontier Foundation (EFF) und Mozilla sehen in ihren Stellungnahmen Chancen, den Kampf doch noch zu gewinnen. Viele Juristen sind dagegen der Meinung, das jetzige Abstimmungsergebnis sei zu eindeutig, um hier noch reelle Chancen auf eine Entscheidung gegen die beiden Artikel zu öffnen.
Jetzt aufzugeben ist in jedem Fall verfrüht, die Zivilgesellschaft muss weiter sichtbar gegen diese Un-Reform bleiben. Das Internet ist bereits heute in einem beklagenswerten Zustand, weitere Zensur und noch mehr Einfluss der Großkonzerne sind nicht kampflos hinnehmbar.
Intels CPU-Sparte hat viele Probleme und es werden nicht weniger. Neben den Prozessorlücken Meltdown und Spectre, die tief im Silizium der Chips sitzen und fast im Wochentakt neue Angriffsvektoren offenbaren, entdecken Forscher auch immer wieder neue Sicherheitslücken in der Management Engine (ME) und der Active Management Technology (AMT). Aus Anwendersicht ist Intels x86-Schiene nichts weniger als eine Sackgasse.
Volle Kontrolle
Genauso wenig wie Meltdown und Spectre aus den derzeit verkauften Prozessorgenerationen entfernt werden kann, genauso wenig wird Intel jemals die Kontrolle über den ausgeführten Code in der ME aufgeben. Die Management Engine (ME), die beim Booten, zur Laufzeit und im Schlafmodus aktiv ist, wird über die permanente 5-V-Versorgung aus dem Netzteil gespeist und ist ein zusätzlicher Mikroprozessor, der in moderne Intel x86 CPUs eingebettet ist. Darin läuft ein Intel-signierter proprietärer Binär-Blob, der unter anderem über ein eigenes Betriebssystem und einen eigenen Webserver verfügt.Die ME hat direkten Zugriff auf das RAM, das Display, die Tastatur und das Netzwerk.
Aufgrund der von der Hardware erzwungenen Code-Signing-Beschränkungen kann sie vom Benutzer nicht verändert oder ersetzt werden. AMD x86 CPUs haben übrigens einen ähnlichen Mikroprozessor, der auf den unverfänglichen Namen »Platform Security Processor«. Er ist auf genau die gleiche Weise abgeschottet.
Löchriger Käse
Die Sicherheitslücken in der ME sind ein Leckerbissen für jeden kriminellen Hacker, denn ein Eindringen in einen Rechner über die ME kann über lange Zeit unbemerkt bleiben. So wird zum Ausnutzen der aktuellen Lücke in der AMT nicht einmal mehr ein Admin-Account benötigt. Der Angriff kann nach Aussagen der Forscher von Positive Technologies ohne jede Autorisierung durchgeführt werden, wenn sich der Angreifer im gleichen Subnetz befindet.
Besorgniserregende Technologie
Als Anwender haben wir wenig bis keine Möglichkeiten, dem Bermudadreick Management Engine zu entkommen. Das hat die polnische Sicherheitsforscherin Joanna Rutkowska, die auch das Betriebssystem Qubes OS entwickelt, bereits 2015 in ihrem Essay Intel x86 considered harmful (PDF) als Fazit dargelegt.
»Wir haben gesehen, dass Intel ME potenziell eine sehr besorgniserregende Technologie ist. Wir können nicht wissen, was alles wirklich in diesem Co-Prozessor ausgeführt wird, der immer eingeschaltet ist und der vollen Zugriff auf den Speicher unseres Hostsystems hat. Wir können ihn auch nicht deaktivieren. Wenn Du denkst, dass dies wie ein schlechter Witz klingt oder wie eine Szene, die von George Orwells Arbeit inspiriert ist, lieber Leser, dann bist Du nicht allein mit diesem Gedanken…«
Joanna Rutkowska, Invisible Things Lab
Ohne ME kein Booten
In den letzten zwei Jahren haben einige Notebook-Hersteller wie Purism, System 76, Dell oder Tuxedo Computers daran gearbeitet, Intels ME zu neutralisieren und – einen Schritt weiter – zu deaktivieren. Das ist ein sehr arbeit-intensives Unterfangen, an dem auch bei Google gearbeitet wird. Grundlegende Arbeit hat hier auch das Team von Positive Technologies geleistet. Die Entfernung gelingt bestenfalls zu rund 90 Prozent und Purism ist mit seinen Librem-Notebooks hier am weitesten fortgeschritten. Wird die ME völlig ausgeschaltet, hindert das den Rechner am Hochfahren. Also müssen einige Module der frühen Bootphase aktiv sein, um den Rechner überhaupt zu starten.
Google gegen ME
Google-Sicherheitsforscher Robert Minnich, der unter anderem auch an Linux Boot arbeitet, geht davon aus, dass es viele Jahre dauern wird, bis die ME völlig unschädlich gemacht werden kann. Da man, ohne Aluhutträger zu sein, davon ausgehen kann, dass ME durch die NSA infiltriert ist, sind das keine rosigen Aussichten. Außerdem ist da noch das in Coreboot vorhandene Intel Firmware Support Package (FSP), das der Entschärfung bedarf.
Träge Masse
Dank der Trägheit der großen Masse der Computeranwender gibt es zu diesem Szenario wenig Alternativen. Genausowenig wie sich die Masse darum schert, welches Betriebssystem auf dem PC läuft, kümmert sie sich darum, wie sehr der Hersteller der CPU sie kontrollieren kann. AMD ist kein Ausweg und ist quasi durch Marktmacht gezwungen, diesen Weg mitzugehen.
Kaum Alternativen zu Intel x86
Alternative Plattformen wie ARM am Desktop existieren quasi nicht, Systeme, die dem Anwender die Kontrolle geben, sind in Preislagen angesiedelt, die sie für den Massenmarkt ungeeignet machen. Dazu gehören etwa Hersteller wie Raptor mit seinen Talos-Mainboards. Hier kommen Power9-CPUs zum Einsatz, die Preise für eine Workstation beginnen bei rund 3.000 Euro. Bleibt eigentlich nur, auf offene Plattformen wie RISC-V zu hoffen, die aber vom Erreichen des Massenmarkts noch viele Jahre entfernt sind. Keine rosigen Aussichten, oder?
Windows 10 ist, was den Datenschutz und den Schutz der Privatsphäre im Allgemeinen angeht, eine Katastrophe. Microsoft sah sich Monate nach der Veröffentlichung gezwungen, zurückzurudern. Aber der Ruf in dieser Hinsicht ist ruiniert und nur, wer wirklich nichts zu verbergen hat, nutzt guten Gewissens diese Auskunftei.
Aber im Ernst: Auf der anderen Seite der Medaille stehen Linux-Distributionen wie Debian und viele andere, die in ihren Richtlinien die oben genannten Werte als unbedingt schützenswertes Gut ansehen. Irgendwo dazwischen steht Ubuntu, das ja formal auch eine Linux-Distribution ist.
Ubuntu ist fast wie Linux
Formal deshalb, weil es auf Debian aufbaut, sich aber ansonsten meist wenig um Gepflogenheiten der Linux-Community schert. Muss man ja auch nicht, muss aber dann mit der Reaktion der Anwender klarkommen. So erzürnt Mark Shuttleworth immer mal wieder die Gemüter der Gemeinde mit Entscheidungen, die so überhaupt nicht zu Linux und Open Source passen, sondern eher in die Windows-Welt.
Zu nennen sind hier beispielsweise das Amazon-Affiliate-Programm, die inzwischen wieder abgeschafften Smart Scopes, zu deutsch Shopping-Linsen und aktuell mit dem gerade veröffentlichten Ubuntu 18.04 LTS das Abgreifen von Telemetriedaten. Verwerflich daran ist nicht der Wunsch nach Daten über Soft- und Hardware der Anwender, sondern die Tatsache dass der Anwender mit der grassierenden Seuche des Opt-out widersprechen muss, um dem zu entgehen.
Datenschutz ade
Bereits von 2012 bis 2016 hat Canonical grob gegen den Schutz der Privatsphäre verstoßen und damit, trotzt späterer Nachbesserung, das Vertrauen vieler Anwender verspielt. Suchbegriffe, die ab Ubuntu 12.10 in die Suchmaske der Unity-Dash eingegeben wurden, weil Anwender Informationen auf ihrem lokalen Gerät finden wollten, wurden ins Internet ausgeweitet und gerieten zur Produktsuche. Neben Amazon hatte Canonical rund 50 Partner, an die Suchbegriffe weitergegeben wurden, um die Systeme der Anwender zuspammen zu können. Suchte ein Anwender beispielsweise einen bestimmten Song auf seiner Festplatte, so erhielt er zusätzlich Links zu Amazon, die den Song oder andere Werke des Künstlers zum Kauf anboten.
Zu Spyware verkommen
Das ist so weit von Linux entfernt, wie es eben geht. Richard Stallman bezeichnete Ubuntu daraufhin als Spyware. Auch die Electronic Frontier Foundation (EFF) äußerte starke Bedenken gegen die Verwendung der Scopes, wobei wiederum nur der Opt-out die Privatsphäre zurückbrachte. Technisch wurde bei jeder Suchanfrage eine HTTPS-Verbindung zu productsearch.ubuntu.com aufgebaut und die Suchanfrage samt der IP übertragen. Die Antwort von Amazon oder anderen Partnern kam ungesichert über HTTP zurück. Der Aufschrei der Community war nicht zu überhören. Das focht Shuttleworth aber zunächst nicht an, im Gegenteil. Seine Rechtfertigung war mehr als fadenscheinig:
»…Du Vertraust du uns nicht? Ähm, wir haben Root. Du vertraust uns bereits Deine Daten an. Du vertraust darauf, dass wir Deine Maschine nicht bei jedem Update versauen. Du vertraust Debian und Du vertraust einem großen Teil der Open-Source-Community…«
Perfider Vergleich
Besonders der Vergleich mit Debian ist perfid. Debian hat einen Sozialvertrag und kümmert sich aktiv um den Schutz der Privatsphäre. Die einzigen Daten, die Debian gerne von den Anwendern hätte, finden sich in Debian Popularity Contest (Popcon). Damit will Debian feststellen, wie oft ein Paket bei den Anwendern instaliert ist. Debian fragt bei der Installation nach, ob das Paket aktiviert werden soll. Mit Ubuntu 18.04 wird neben dem Abgreifen der Telemetriedaten auch Popcon ungefragt installiert und liefert somit Daten an Canonical. Damit wird obige Einlassung von Shuttleworth aus dem Jahr 2013 endgültig zur Farce. Hier ergibt sich also klar eine Unterscheidung zwischen Ubuntu und Debian und den meisten anderen Distributionen, die nicht auf Ubuntu basieren.
Unity 8 anyone?
2014 wurde angekündigt, die Scopes würden als Opt-in gestaltet. Dazu hieß es, mit der kommenden Version 8 von Unity finde eine Desktop-Suche standardmäßig nur noch Daten auf dem heimischen PC. Erst nach der selektiv möglichen Aktivierung der Scopes könne auch bei diversen Anbietern gesucht werden. Wie wir heute wissen, kam Unity 8 nie und die Umstellung auf Opt-in kam erst mit Ubuntu 16.04 LTS. Lediglich die Amazon-Linse wurde bereits mit 14.04 umgestellt. Wenn man also einrechnet, dass Ubuntu 14.04 LTS noch bis April 2019 unterstützt wird, so fungierte Ubuntu sieben Jahre lang als Spamschleuder für rund 50 Canonical-Partner, sofern sich der Anwender nicht aktiv dagegen entschied.
Richtlinien nur auf Englisch
Dieses Verhalten ist in den Richtlinien von Canonical festgelegt und somit rechtlich legitimiert. Die aktuell gültige Fassung dieser nur auf Englisch vorliegenden Privacy Policy stammt von 8. Februar 2016, also wenige Monate vor dem Erscheinen von Ubuntu 16.04. In der Einleitung heißt es:
Deine Privatsphäre ist uns wichtig. Diese Richtlinien beschreiben die Informationen, die wir von Dir sammeln – und was wir damit machen.
Für mich klingen die Richtlinen dann aber eher so, als seien unsere Daten wichtig für Canonical und nicht unsere Privatsphäre. Die Richtlinien, die ausdrücken sollen, wie ernst unsere Privatsphäre genommen wird, beginnen meist mit »Wir werden nicht…« und enden in »…außer es ist wirklich notwendig.« Da wissen wir doch gleich, woran wir sind.
Etwas weiter unten wirds dann deutlicher:
Canonical kann nicht personenbezogene Informationen sammeln, wie sie typischerweise von Webbrowsern und Servern zur Verfügung gestellt werden, wie z.B. Browsertyp, verweisende Seite, Datum und Uhrzeit der Anfrage eines jeden Besuchers. Unser Ziel bei der Erfassung nicht personenbezogener Daten ist es, besser zu verstehen, wie Besucher unsere Websites und Dienstleistungen nutzen.
Das nennt man heutzutage Tracking. Jeder tut es – keiner will es. Das Werbemodell des Internets basiert immer stärker darauf und es ist zum Scheitern verurteilt. Entweder es werden neue Modelle umgesetzt oder das Internet, wie wir es wollen, stirbt, Canonical hält es aber für angemessen, an diesen Praktiken mitzuwirken. Fehlerreports werden versendet und erlauben die Identifikation des sendenden Rechners. Je mehr Daten generell gesammelt werden, desto eher lasssen sich Profile zusammensetzen. Das Senden der Fehlerreports lässt sich einfach in /etc/default/apport abstellen.
Für die OnlineKonten innerhalb Ubuntus existiert eine eigene Richtlinie, die das Ablegen von authentifizierenden Cookies sanktioniert.
Der Abschnitt über die Suche in der Dash birgt auch brisante Festlegungen. Zu Beginn wird auf die ab 16.04 abgeschaltete Ausweitung der Suche über den lokalen Rechner hinaus eingegangen. Sollte der Anwender sich aber mit der ausgeweiteten Suche einverstanden erklären, gilt folgendes:
Mit der Suche in der Dash stimmst Du der Erfassung und Verwendung Deiner Suchbegriffe und Deiner IP-Adresse durch Canonical und ausgewählte Dritte zu.
In Bezug auf diese Dritten heißt es dann:
Informationen darüber, wie unsere ausgewählten Drittparteien Ihre Informationen verwenden können, finden Sie in deren Datenschutzrichtlinien.
Wie bei Facebook
Darauf folgt die Liste der über 50 Partner. Aha, ich soll also die Richtlinien von über 50 Unternehmen studieren. Danke, aber verdammt nochmal, nein danke. Das erinnert doch alles fatal an Facebook und Cambridge Analytics. Wir verkaufen mal eben eure Daten, was Dritte dann damit tun, interessiert uns doch nicht. Im Abschnitt »Access« geht es dann darum, wer Zugriff auf vom Anwender zur Verfügung gestellter Daten oder solcher, die Canonical über ihn gesammelt hat, erhält:
Die Informationen, die Du uns zur Verfügung stellst, werden auf Computern gespeichert und können von unseren Mitarbeitern innerhalb und außerhalb Großbritanniens und an Dritte, einschließlich Auftragnehmer und Unternehmen innerhalb der Canonical-Gruppe, für die in dieser Datenschutzrichtlinie dargelegten Zwecke, d.h. um Dir Produkte oder Dienstleistungen bereitzustellen, oder wie anderweitig mit Dir vereinbart, abgerufen oder weitergegeben werden. Du erkennst an, dass es notwendig sein kann, dass Deine Daten von diesen Parteien verarbeitet werden und dass sie an jemanden weitergegeben werden können, der uns in einem anderen Land, auch außerhalb des Europäischen Wirtschaftsraums, eine Dienstleistung erbringt, und Du stimmst einer solchen Verarbeitung und Übermittlung zu. Wenn es notwendig ist, Deine persönlichen Daten außerhalb des Europäischen Wirtschaftsraums zu übermitteln, werden wir alles daran setzen, dass die Person, an die wir die persönlichen Daten weitergeben, diese mit dem gleichen Schutzniveau behandelt wie wir.
Deine Daten werden übereignet
Zu guter Letzt dann noch das i-Tüpfelchen: Sollte Canonical verkauft werden oder mit einem anderen Unternehmen zusammengehen, so gehen die Daten an den neuen Besitzer oder Partner über. Erinnert sich noch jemand an das immer mal wieder geschürte Gerücht, Microsoft wolle Canonical übernehmen? Und bestimmt könnte es noch schlimmer kommen.
Gegen Telemetriedaten ist grundsätzlich nichts zu sagen, sie können Entwicklern helfen, Produkte im Sinne der Anwender zu verbessern. Aber es sollte -und das nicht nur unter Linux – klar sein, dass das immer per Opt-in zu geschehen hat und nicht umgekehrt. Klar erhält Canonical so weniger Daten. Aber der Schutz der Privatsphäre hat dabei immer das höchste Gut zu sein, nicht der Wunsch nach Daten.
Ubuntu Community-Edition?
Auch andere große Unternehmen, die mit Linux arbeiten haben ähnliche Richtlinien, die sie gesetzlich absichern. Dazu gehören beispielsweise Red Hat und SUSE. Doch hier gibt es einen entscheidenden Unterschied: Besagte Unternehmen trennen ihre kommerziellen Angebote und die dem privaten User zugewandten kostenfreien Angebote wie etwa Fedora oder openSUSE ab und übergeben sie der Community zur Entwicklung. Dann kann man auf solch rigide Richtlinien verzichten. Vielleicht ist das auch der Weg, den Canonical gehen sollte, um aus der Schusslinie zu kommen. Realistisch betrachtet ist Ubuntu doch sowieso völlig aus dem Fokus geraten, seit Canonical nennenswerte Umsätze in den Bereichen Server und Cloud macht. Oder wie seht ihr das?
Es ist hinlänglich bekannt, dass das Ausstellen von TLS-Zertifikaten für die Certificate Authorities (CA) eine Lizenz zum Gelddrucken ist. Zudem ist auch hinlänglich belegt, dass die CAs, die eigentlich besonders vertrauenswürdig sein sollten, nicht immer nach den Regeln spielen. Gerade erst verlor Symantec als CA das Vertrauen von Google, da sich die CA nicht an fundamentale Regeln des Kontrollgremiums CA/Browser Forum gehalten hatte. Symantec verkaufte die Zertifikatssparte daraufhin an DigiCert, eine der ganz großen CAs.
Befremdliche Anfrage
Was jetzt allerdings im Nachgang der Symantec-Affäre über Zertifikats-Wiederverkäufer Trustico bekannt wurde, lässt die Haare zu Berge stehen. Der Geschäftsführer hat laut einem Bericht von DigiCert vor einigen Tagen den Widerruf von rund 50.000 Zertifikaten von Symantec, GeoTrust, Thawte and RapidSSL eines bestimmten Zeitraums beantragt, die Trustico als Reseller ausgestellt hatte, da diese kompromittiert seien. Man wolle diese Zertifikate an die CA Comodo übertragen.
Tatbestand erfüllt
DigiCert teilte daraufhin mit, ein solcher Massenwiderruf sei nur möglich, wenn die Zertifikate kompromittiert seien. Daraufhin übersandte der Trustico-Geschäftsführer über 23.000 private Schlüssel per E-Mail an DigiCert, womit der Tatbestand der Kompromittierung klar erfüllt war. Das Schlüsselwort hier ist natürlich »privat«, aber dazu kommen wir noch. Ob hier Vorsatz oder einfach nur Unfähigkeit am Werk war ist unklar.
Schaden beim Kunden
Dadurch war DigiCert nun gezwungen, die Zertifikate, zu denen diese Schlüssel gehörten, innerhalb von 24 Stunden zu widerrufen. So verlangen es die Regeln des CA/Browser Forums. Später gab der Trustico-CEO an, die Kompromittierung sei bereits infolge der Tatsache gegeben, dass Google den ehemals von Symantec ausgestellten Zertifikaten mit der im März erwarteten Veröffentlichung vom Googles Browser Chrome 66 nicht mehr vertraue. DigiCert stellt klar, das sei nicht der Fall. Als Nachfolger von Symantecs CA stelle man allen betroffenen Kunden kostenfrei Ersatz-Zertifikate zur Verfügung. Sowohl eine Stellungnahme von Trustico als auch deren Webseite zum Erstellen von Zertifikaten sind derzeit wegen Server-Überlastung nicht zu erreichen.
Laientheater
Was ist hier nun schiefgelaufen, außer das ein offensichtlich von den Anforderungen an seinen Job völlig überforderter Geschäftsführer massenweise private Schlüssel per Mail versendet? Schiefgelaufen ist, dass er diese privaten Schlüssel gar nicht erst hätte haben dürfen. Private Schlüssel sollten den Rechner, auf dem sie erstellt wurden, nicht verlassen, denn sonst sind sie nicht mehr privat. Deshalb wird immer ein Schlüsselpaar erstellt, das neben dem privaten auch einen öffentlichen Schlüssel enthält.
Schlimmer gehts nimmer
Das Geschäftsmodell von Trustico sieht allerdings vor, die Schlüssel im Browser auf der Webseite der CA zu erstellen bevor die Anfrage nach Ausstellung eines Zertifikats getätigt wird. Die dabei erzeugten privaten Schlüssel hat Trustico offensichtlich abgegriffen und (nach eigenen Aussagen) auf einem nicht mit dem Netz verbundenen Rechner gespeichert, um einen späteren eventuellen Widerruf zu vereinfachen. Schlimmer gehts nimmer. Wer so fundamental Regeln mißachtet, sollte nicht als CA tätig sein dürfen.
Edit: 2. März 12:45
Es geht doch noch schlimmer. Wie Golem heute berichtet, fand sich auf der Webseite von Trustico eine Möglichkeit für eine Script-Injection-Attacke, mit der man Code mit Root-Rechten ausführen konnte. Auf Twitter wurden Fotos von solchen Angriffen gepostet, die über das Eingabefeld zur Domain-Verifizierung ausgeführt wurden. Entgegen der Aussage im Bericht von Golem ist die Webseite wieder online.
