Neues Gesetz verbietet die freie Forschung und Lehre zur IT-Sicherheit

Die Freiheit von Forschung und Lehre im Bereich IT-Sicherheit ist Geschichte, das Verbot davon hingegen seit heute Gesetz.

Die Forschungsfreiheit zählt im Zusammenhang mit der Wissenschaftsfreiheit und der Lehrfreiheit zu den bürgerlichen Grundrechten. In Deutschland wird die Freiheit der Wissenschaft, Forschung und Lehre gemäß Art. 5 Abs. 3 des Grundgesetzes (GG) als Grundrecht geschützt.
Quelle: wikipedia und Bundesministerium der Justiz, der Bundesrepublik Deutschland

Ein ganzer universitärer Forschungsbereich wurde jetzt verboten. Um was genau geht es? Folgendes Zitat aus der Pressemitteilung des Chaos Computer Club verschafft Klarheit:

Das Bundeskabinett hat am 20. September 2006 einen Regierungsentwurf zur Änderung des Strafrechts in Zusammenhang mit Computersystemen beschlossen. Dabei soll u. a. Software kriminalisiert werden, die zur Analyse von Sicherheitslücken zwingend erforderlich ist. Der Chaos Computer Club warnt davor, dass die Umsetzung des Entwurfes die Sicherheit von Computersystemen gefährdet. Stattdessen fordert der CCC eine drastische Verschärfung der Strafen für Datenverbrechen.


Quelle: Bart Simpson Chalkboard Generator

Wie Spiegel Online und heise.de jetzt zusammenfassend berichten, hat auch der Bundesrat sämtlichen Rat aller Experten aus Deutschland ignoriert. Stattdessen wird in Kürze durch die Unterschrift des Honorar-Professor der Universität Tübingen, dem Bundespräsidenten Horst Köhler ein neuer Paragraf 202c StGB im Strafrecht in Kraft treten. Dieser verbietet die Nutzung von Software, die zur Analyse von Sicherheitslücken zwingend erforderlich ist. Das Gesetz untersagt selbst Sicherheitsexperten und Wissenschaftlern, Computersysteme mittels entsprechender Software zu untersuchen oder gar zu schützen.

Hartmut Pohl, Professor für Informationssicherheit sagt dazu dem Spiegel: „Dieses Gesetz verbietet, was ich mit meinen Studenten jeden Tag in Übungen und Seminaren mache.“ Ich füge dem hinzu, es verbietet, was ich vor wenigen Wochen gemacht habe, um die E-Learning Lösung EverLearn mit einer sicheren neuen Funktion für vereinfachte Anmeldung zu versehen. Ich habe versucht meine eigene Lösung mit entsprechenden Werkzeugen zu überprüfen.

Ich habe IT nicht nur studiert (Wirtschaftsinformatik) ich praktiziere sie auch und ich habe mich mit den Datenschutzgesetzen genauso beschäftigt, wie mit der Datensicherheit. Das Anschauen eines Datenspeichers wie z.B. einem Browser-Cookie und die Behandlung mit einem Numbercrunching-Tool ist also zukünftig unter Strafe gestellt. Warum hier das Werkzeug und nicht die Daten unter Strafe gestellt werden das bleibt das Geheimnis der politischen Entscheider.

Da fragt man sich unwillkürlich woran es liegt, das eine für Innovation in Deutschland so fatale Entscheidung gefällt werden kann. Eine Antwort findet man wohl nur, wenn man mit den unvoreingenommenen Augen eines Kindes schaut. Einmal hypothetisch gedacht: Wenn mich der Staat morgen nun zu Web 2.0 befragen würde wie man mit IT und Web 2.0 Innovation in Deutschland möglich macht – als Experte wohlgemerkt – wie sollte ich dann antworten? Sollte ich überhaupt antworten? Hat es Sinn sich dazu überhaupt zu äußern, wenn die geballte IT Kompetenz von Deutschland im Bereich Innovation in der IT Sicherheit durch den Staat ignoriert und stattdessen kriminalisiert wird? Welche Rolle spielt die Antwort eines „Experten“ heutzutage überhaupt, wer ist Experte, wer nicht? Ein Experte [Korrektur!] eine Menge Experten, haben Ihre Antwort bereits gegeben. Ich zitiere den CCC:


Eine weitere Antwort ist hier nachzulesen. Das Expertenwissen der White Hats wandert offenbar ab.

Update 8.7.2007
Die Gesellschaft für Informatik e.V. hatte im Verbund mit anderen Kompetenzträgern bereits lange im Vorfeld darauf hingewiesen. Unter anderem in Ihrer Mitteilung „Entwurfsfassung des § 202c StGB droht Informatiker/innen zu kriminialisieren“. Leider erfolgten wohl die letzten Tage intensive technische Wartungsarbeiten an dem Webauftriff der GI, so dass noch keine Stellungnahme zu den neuen Fakten vorliegt, aber darauf bin ich wirklich gespannt.

Update 12.7.2007
Die neue Gesetzeslage durch das Verbot der Forschung zur IT-Sicherheit erscheint vor allem interessant, wenn man einen Vergleich anstellt mit den Zielen des Bundesministeriums für Bildung und Forschung (BMBF). Dort kann man lesen:

Die Sicherheit von Computern und Internet ist für das BMBF ein wichtiger Förderschwerpunkt, denn Softwaresysteme sind heute integraler Bestandteil vieler technischer Anlagen und Geräte, an deren Sicherheit und Zuverlässigkeit höchste Anforderungen gestellt werden. […] Die Sicherheit und Zuverlässigkeit von Computeranwendungen kann sogar lebenswichtig sein. Immer noch ist es schwierig, Computersysteme zu finden, die diesen Anforderungen gerecht werden. Die meisten Systeme offenbaren Unbefugten Daten […]

Dieser Standpunkt des BMBF erscheint völlig korrekt, doch was mir vollkommen unklar ist, ist wie sich das mit der neuen Gesetzeslage vertragen soll, denn ganz konkret widmet sich dieser Standpunkt des BMBF u.a. auch folgenden Schwerpunkten:

IT-Sicherheit, Security

  • Innovative integrierte IT-Sicherheitssysteme für die sichere Erstellung, Installation, Konfiguration und den Betrieb von IT-Systemen, für Persönlichkeitsschutz und Vertrauenswürdigkeit der Systeme und
  • Sicherheit bei neuen IT-Methoden und Techniken wie etwa Ubiquious Computing.

Update 30.7.2007
Die Reaktion. Die Gesellschaft für Informatik hat heute mit einer Antwort in Form eines Memorandums (als PDF downloaden) auf die vielfältigen Vorstöße der unerlaubten und unverhältnismäßigen Datenerfassung reagiert. Ich zitiere einige Forderungen, die meiner Ansicht nach den Kern des Memorandums wiedergeben:

  • Für jedermann leicht erkennbare Kennzeichnung der Überwachung im öffentlichen und privaten Raum.
  • Hinweis für den Bürger unter welchen Voraussetzungen man sich der Überwachung entziehen kann.
  • Öffentlich, entgeltfrei einsehbares (Internet-) Register aller zur Überwachung nutzbaren (unternehmenseigenen und behördlichen) Datensammlungen
  • Abwägung des spezifischen Nutzens jedes einzelnen Überwachungsverfahrens […] mit den entstehenden Kosten.

(via heise.de)
Ich frage mich: Ist diese Liste an Forderungen ein „Denkzettel“ (denn nichts anderes bedeutet Memorandum übersetzt)?

Update 31.1.2009
Eine schöne Kunst-Aktion, die auch prima zu den Maßnahmen der Regierung passt, hat Johannes Kreidler derzeit inszeniert, um die Absurdität der Maßnahmen zu demonstrieren. Mit seiner Aktion „Call Wolfgang“ will er auf die Sinnlosigkeit der Überwachung hinweisen. Sicherheitstools zu verbieten löst genau sowenig Probleme wie Telefone zu überwachen.

Die Überraschungseier der Osterhasenpädagogik

Eine Nachricht die gerade mächtig Staub aufwirbelt, hat der ZEIT den Anlass gegeben unter dem Titel Beschämung – ein deutscher Komplex einen Artikel zu verfassen. Er bezieht sich auf den Bericht von Vernor Muñoz, UN-Sonderberichterstatter für das Recht auf Bildung, über die Ungerechtigkeiten im deutschen Bildungssystem. Aber das ist nicht der Punkt, der mich nun gerade sonderlich interessiert hat. Spannend und absolut lesenswert finde ich die Worte von Dr. Wolfgang Edelstein, emeritierte Direktor des Max-Planck- Instituts für Bildungsforschung, die in der ZEIT zu lesen sind. Folgendes Zitat aus dem Zeit-Artikel gibt die Essenz prächtig wieder:

Und warum frönen viele Lehrer immer noch der „Osterhasenpädagogik“, in der sie Wissen verstecken, um ihre Schüler danach suchen zu lassen? Warum nur interessieren sich Lehrer häufig so sehr für die Fehler der Schüler, und zwar nicht, damit diese daraus lernen, sondern um sie ihnen anzukreiden?

In dem Zusammenhang passt ein Interview mit dem Titel „Lernen ist erfolgreich, wenn erfolgreich an Vorwissen angeknüpft werden kann das die Seite Bildung PLUS mit Frau Prof. Dr. E. Stern geführt hat. Denn darin wird in einem weiteren Zitat dem Osterhasen-Prinzip eine klare Absage erteilt:

Der deutsche Schulunterricht ist zu lehrerzentriert. Man spricht auch von der Osterhasenpädagogik: Der Lehrer versteckt das Wissen, und die Kinder müssen es suchen, indem sie Fragen beantworten. Schüler, die wissen, was der Lehrer gemeint hat, kommen gut raus, und der Rest bleibt auf der Strecke.

Besser lernt man, wenn man eigenständig eine komplexe Aufgabe bearbeitet, deren Lösung nicht auf den ersten Blick sichtbar ist. In einem derartigen Unterricht sind Lehrer natürlich stärker gefordert. Einerseits müssen sie sich sehr genau überlegen, welche Aufgaben den Kindern weiter helfen, und andererseits müssen sie sehr nahe an dem Wissen der Schüler sein, damit sie erkennen können, welche Missverständnisse bestimmten Fehlern zugrunde liegen.

Man könnte es auch so sagen: Beim schlechten Unterricht müssen die Schüler herausfinden, was der Lehrer gemeint haben könnte, während beim guten Unterricht der Lehrer herausfindet, was der Schüler gemeint haben könnte und wie man halb Verstandenes in die richtige Richtung lenkt.

Update 7.7.2013
Frieder_Nake_2001Ich habe einen herrlich passenden Kommentar von Frieder Nake im Blogpost von Andrea Back gefunden, der sich auf das Thema „Simplify your Life Long Learning“ bezieht. Darin werden so tolle Werke wie „Lean Brain Management – Erfolg und Effizienzsteigerung durch Null-Hirn“ erwähnt. Und der Herr Nake schenkt mir ein „Hach!“ mit folgendem Bonmot in dem er auf die Postulierung von „[…] mindestens ertrinkt unsereins fast in der Informationsflut […]“ eine Fußnote ergänzt:

Frieder Nake
Liebe Frau Back,

Ihre neuesten fragend-kommentierenden Hinweise auf lesestoff und Positionen provozieren mich doch einmal wieder zu einer komplimentierenden Fußnote eines Lesers Ihrer regelmäßigen Mitteilungen. “Dummheit ist lernbar” leuchtet mir sofort ein, besonders mit der geschwind in die Gedanken eindringenden Interpretation: “… weil sie gelehrt wird”, vielleicht sogar: weil sie “vor allem lehrbar” ist.

Jene Lehrenden, frage ich mich gelegentlich, die der Klagen über die “schlechter” daher kommenden Schüler und Schülerinnen, Studentinnen und Studenten nicht müde werden, dürften eventuell die Quelle einer systematischen Verdummungs-Lehre sein. Denn wie will einer, der (oder die) nicht vom Vertrauen in die Lernenden ausgeht, von ihren Interessen und ihrem Willen, wie will so einer dazu beitragen, dass solche Menschen weitere oder gar bessere Gelegenheiten ergreifen in ihren Lernprozessen?

Dass es eine Kunst ist, nicht zu lernen, liegt gleichfalls nahe. Eine hohe Kunst muss das sein, eine wohl gar unmögliche Haltung. Denn Leben ist nichts als Lernen, soweit Leben ein ständiges Anpassenan Gegenheiten ist, die sich ändern, und also erste Stufe von Lernen. Leben ohne zu lernen kann ich mir schlicht nicht vorstellen, auch wenn ich in meiner eigenen Umgebung immer wieder meine, dieser und jener Kollege könne nun aber, weiß der Teufel, doch endlich mal “etwas begreifen”. Frage ich mich etwas skeptischer, so stelle ich fest, dass nur wieder meine Erwartungen in die Art oder den Inhalt dessen enttäuscht worden sind, was der andere lernt. So scheinen mir viele meiner diesbezüglichen Bewertungen und Urteile kaum mehr zu sein als raffinierte indirekte Formulierungen eigener Vorurteile, projiziert auf andere und mit dem Nimbus der Position eines Lehrers abgegeben.

Sie werden in Ihrer schönen persönlichen Schreibart sich wieder einmal der Informationsflut bewusst, in der Sie wie alle anderen relativ hilflos rudern. Ein sehr unangenehmer Zustand, gegen den kaum jemand weiß, wie das Schwimmen wieder schön werden könnte. Ein Hinweis auf einer Metaebene, der allerdings nicht mehr ist als eben Meta: “Datenflut” scheint mir das zu sein, das Sie und mich von den Füßen holt. Nicht “Informationsflut”. Daten sind das, was herumströmt und immer schneller und mehr. Was Gemeinschaften daraus zu Information werden lassen und Individuen zu Wissen, ist etwas ganz anderes. Es bleibt schön menschlich begrenzt.

Betrachten wir die Daten als Daten, so werden sie uns nicht irritierend um die Ohren geschlagen. Wir bleiben getrost, weil wir wissen, dass schon seit langem die Daten allenthalben und reichhaltig waren. Richtig dürfte allerdings sein, dass sie schnell und schneller kreisen.

Ich darf mich auf Ihre nächste Aussendung von Daten freuen, immer gut gebündelt, ausgewählt, schön in Form gebracht. Da suche ich mir gern heraus, was ich mir zur Information machen möchte.

Beste Grüße,
Frieder Nake

#1Kommentar vom 26. Oktober 2006 um 14:59

Why do I blog this? Ich kann dem Artikel der Zeit insbesondere in Sachen Osterhasenpädagogik nur zustimmen, und da wir ja gerade auf Ostern zusteuern passt das natürlich prima als Wortspiel. Ob man nun für eine Änderung dieses Verhaltens von Lehrern gleich mal das ganze Schulsystem ändern muss ist aus meiner Sicht aber eine andere Frage. Ob nun Osterhasenpädagogik oder Weihnachtsmanndidaktik (Nur wer brav ist gewinnt im System Schule). Der Glaube an Weihnachtsmann und Osterhasen endet ab einem bestimmten Alter ja meistens, vielleicht ist das also nur eine Altersfrage… ich habe gehört die Kinder heutiger Zeit glauben schon in immer jüngeren Jahren nicht mehr an Osterhasen und Weihnachtsmänner. Sieht so aus als würde es eng werden für die Lehrkonzepte die auf diesen Glauben aufbauen. Aus meiner Sicht ist für Osterhasenpädagogik jedenfalls selbst an Ostern die falsche Zeit!

Dumbness of the Crowd: Consensus vs. No-Compromises

There’s some sexappeal in the concept of the „Wisdom of the Crowd“. It promises you only need to have enough people building a crowd to get a wise solution! But what kind of problems are fitting to this concept of problemsolving? Kathy Sierra has now thought about this in detail and put up a really thought provoking blogpost entitled „The Dumbness of Crowds“. What will result if you would let the crowd design e.g. a product can be seen if you boot up your windows operating system. Its a system designed by consensus, it was designed the „Swiss Army Knife Way“.

I think wisdom will appear, as soon as the unique efforts of every individual are summed up to complement something. So the wisdom is lying in the very individual effort. Dumbness will establish as soon as the unique effort will become meaningless by amplification or consenus. So, from my perspective it is amplification of the already known versus complementing the already known with a different approach in hope for „the best unique effort takes it all“-consensus.
An example may improve the understanding of this:

If there is a family in a car leaving their home for a holliday trip, there is ONE person doing the steering of the car. The clasic wisdom of the crowds concept suggests that you should have FOUR drivers. but this would mean e.g. steering the car to the left to introduce some overtaking-maneuver and at the same time slowing the car down (because perhaps one person descides to cancel its opinion about overtaking). Driving a car using wisdom of the crowd seems to result in 100% chaos.
In contrast to this rather chaotic approach to problemsolving having ONE driver and THREE passengers which instead complement the driving process e.g. by planning the next stop for coffee or figuring out the best route around some traffic jam would complement the driving-process. Another solution would be to just give all the other three passengers an automobile, too. But this solution needs more energy and promotes individualization even more.

So the praised „Wisdom“ may also be better known as the „Too many cooks spoil the broth.“-approach. Problems arise as soon as the CROWD needs to take responsibility for its actions. WHO is responsible for the results the consensus will bring? In case of one driver of the car the situation is easy: it is the driver who is responsible. But as soon as we have four drivers, who is responsible for the – though consensus-based – car-crash then? The same position is taken by Jason Lonsdale who commented „an individual best achieves optimal stupidity on those rare occasions when one is both given substantial powers and insulated from the results of his or her actions“. Also user Gray comments in the same direction „My preference is the ‚Director-as-Dictator‘ model; where there is a good design team, a lot of different ideas brought to the table, but that energy is harnessed and focused by the Director, who (along with great power) also has ultimate responsibility.“ Did he mention the responsibility question here? I think it is all about responsibility.

The naive „Wisdom of Crowds“ approach results in NO ONE taking responsibility for action. That’s why it will fail! It seems to be a different situation, if we have a crowd in search for direction, so an indifferent crowd for example. In a case where no efforts are made the slightest effort will be in the position of „the best unique effort takes it all“-consensus immediately. This is what we admire in social groups of animals (like ants) which operate in swarm structures. There the group/swarm steers itself as soon as some kind of „the best unique effort takes it all“-consensus is reached. Perhaps the basic effect which drives the socalled „Wisdom of Crowds“ is more some kind of „Storytelling of Crowds“ because everyone now is able to tell (at least to distribute) a story. All these told stories influence us and therefore steer us in a way. (triggering blogpost found via weiterbildungsblog)

Why do I blog this? I think there are no easy solutions for what kind of problem may ever arise. The promise of the crowd is not delivering. The opposite is true, it seems dangerous to not complement but equalize efforts of individuals. At the same time responsibility cannot be shared among a crowd. As soon as you cannot identify who is responsible, risky actions will happen, which won’t happen if someone would have been uniquely identifieable. We see this also in political descisions (e.g. german VAT-increase in 2007) and science-projects everyday. One nice example of a „Frankenproduct“ seems to be the consensus-built swiss army knife versus a no-compromise-machete (see images above).