Archiv der Kategorie: Politik

Shooting the messenger

Veröffentlicht am von

Aus mehrfach aktuellem Anlass – und nachdem auch die Politik aktuell wieder heult, dass im letzten Jahr wieder massiv gecybert wurde.

Liebe Unternehmen: Bekommt eure Security und vor allem euer Verhalten gegenüber Sicherheitsforschenden endlich mal in den Griff.

Nachdem es bei Golem und Heise zu lesen war und es nicht der erste Fall von „Shooting the messenger“ dieses Jahr war und mir ehrlich gesagt mittlerweile der Kamm ein wenig schwillt, mal (m)eine Meinung und Erfahrung zum Thema Sicherheitsforschung und der Umgang von Unternehmen mit der Thematik.

Der Vollständigkeit halber (und nein, das soll keine Prahlerei sein): ja, auch ich habe schon Sicherheitslücken entdeckt und gemeldet. Details sind sind an der Stelle unwichtig, zur groben Einordnung, zwei Meldungen hatten IIRC einen CVSS-Score von 7,4 und 8,6.

Was ich in der Kommunikation mehrfach beobachten konnte waren folgende Reaktionen in dieser Reihenfolge:

  • „Kann gar nicht sein“
  • „Warum glauben Sie, dass es eine Sicherheitslücke gibt?“
  • „Oh.“
  • (vermutlich hektischer Griff zum Telefonhörer, keine Reaktion – nach längerem Warten und mehreren Rückfragen)
  • „Wir haben es gefixt, bitte prüfen“

Meine Gedanken dazu: Ok, ok, es kann ja jeder daherkommen und Dinge behaupten. Aber selbst mit einer groben Beschreibung was falsch läuft, sollte jemand der/die „security“ in der Mailadresse hat entweder seine Kompetenz nutzen oder entsprechende Ressourcen im eigenen Betrieb aktivieren.

Gleiches gilt für Punkt zwei. Muss man als unbezahlte(r) dritter wirklich immer einen proof of concept darlegen? War bei mir bis jetzt immer der Fall. Leute, es eure Sicherheit. Euer Kapital, eure Verantwortung. Muss man wirklich eure (bitte entschuldigt die Ausdrucksweise aber etwas milderes fällt mir dazu nicht ein) Nase in den Kackhaufen drücken, auch wenn man von weitem schon sieht, dass der einfach nicht auf den Parkettboden gehört?

Das darauf folgende „Oh.“ gibt zwar ein wenig Genugtuung – aber: man im Zweifel Stunden oder gar Tage für etwas aufgewendet, was eigentlich in der verdammten Verantwortung des „zerforschten“ liegt. Seis drum. Man hilft ja gerne.

Selten oder eigentlich eher so gut wie gar nicht habe ich Proaktive Kommunikation von der Gegenseite bekommen. Warum auch: man hat ihr unliebsame Arbeit beschert und nervt dann auch noch damit, wann endlich die ureigensten Probleme gelöst sind.

Und ja, auch der letzte Punkt ist nicht erfunden. „Will review for code and food“. Man muss sich echt wundern, mit welcher Erwartungshaltung manche Menschen durchs Leben gehen. Natürlich werde ich an einer Blackbox bestätigen, dass das Teil jetzt sicher ist, obwohl die Sicherheitslücke im Zweifel nur einen kleinen Schritt zur Seite gemacht hat – und zum Schluss noch „Haftung“ dafür zu übernehmen. Ja ne, is klar Kollege.

Eine andere Beobachtung (allerdings schon ein paar Jahre her): Es kann durchaus schwierig sein jemanden zu erreichen, der/die sich tatsächlich überhaupt verantwortlich für Sicherheit fühlt. Auf Anfragen über Kontaktformulare oder zentrale Mailverteiler wurde nicht reagiert und es war social engineering erforderlich, um einen Kontakt aufzubauen.

Was läuft falsch?

Die für mich markantesten Punkte sind:

  • Es ist erstaunlich schwierig, einen Kommunikationskanal aufzubauen
  • Man muss mehr beweisen als eigentlich nötig wäre
  • Probleme werden heruntergespielt oder die Tragweite verkannt
  • Um die Analogie „Daten sind das Öl des 21. Jahrhunderts“ auszuschlachten: Die Gewinne sind wichtig, aber für eine Tankerhavarie gibt es weder einen Notfallplan noch eine schnelle Eingreiftruppe. Zerstöre Ökosysteme: kann man nichts machen, das bringt der Fortschritt halt mit sich
  • Obwohl man hilft, bleibt man Bittsteller oder ein Störfaktor
  • Es gilt das Schubkarrenprinzip: Es bewegt sich nur was, wenn man schiebt

Grundsätzlich kann man es wie folgt zusammenfassen: Die Erwartungshaltung der beiden Parteien divergiert.

Zugegeben: ich habe den Eindruck, dass es (auch dank DSGVO und den damit verbundenen Strafen) etwas besser geworden ist und auch die Angst vor der Veröffentlichungen etwas größer geworden sind.

Dennoch ist die noch recht junge security.txt Stand Oktober 2021 leider noch nicht so richtig etabliert.

Liebe Unternehmen, bitte beachtet:

Sicherheitsforschende…

  • …machen das ggf. in deren Freizeit
    (nicht sie binden eure die Zeit, ihr macht das mit ihrer)
  • …sind nicht die Ursache eurer Probleme
  • …haben euch gegenüber keine keine Verpflichtung oder Bringschuld
  • …haben erst einmal keine persönlichen Vorteile, euch zu helfen
  • …haben kein Interesse, euch ans Bein zu pinkeln
    (sonst würden sie die Lücke gleich woanders verkaufen)
  • …sollten euch nicht erklären müssen, wie ihr es richtig macht
  • …sollten euch nicht den Hintern hinterher tragen müssen
  • …wollen sich nicht und lassen sich nicht gerne verarschen lassen

Herangehensweise

An der Stelle sei hervorgehoben: das sind keine verbindlichen Ratschläge, dafür habe ich weder die Expertise noch eine Autorität. Ein recht interessanten Artikel zum Thema bietet z. B. Heise Online.

Aus meinen bisherigen Erfahrungen halte ich für sinnvoll:

  • Diskretion bewahren
  • Wenn es nicht viel Aufwand ist, bereits ein proof-of-concept vorbereiten – die meisten Unternehmen werden euch nicht glauben. Je schnell man das „Oh“ erreicht, desto besser
  • So früh wie möglich Entdeckungen dokumentieren, auch wie man sich durchhangelt
    • Screenrecordings sind dank OBS mittlerweile sehr einfach zu erstellen und sicher auch schönes Futter, sollte man es beim Congress auf die Bühne schaffen 😉
    • Ist etwas physisches im Spiel: Video möglichst ohne Schnitte um zu zeigen, dass es keinen doppelten Boden gibt
  • Wenn Daten Dritter im Spiel sind: So viel wie nötig, so wenig wie möglich sehen/speichern, möglichst früh anonymisieren. Metainformationen reichen bereits oft für den „Aha-Effekt“
    • Wenn man nicht/schlecht anonymisieren kann: Kryptographie für die Dokumentation verwenden.
  • Zeitlich nachvollziehbar und nicht manipulierbar dokumentieren
    • Hashes von veröffentlichbaren Dokumenationen (Daten Dritter müssen irreversibel geschützt sein) auf nicht verfälschbaren Plattformen (z. B. Twitter) veröffentlichen, dadurch hat man einen Zeitstempel
    • Verschlüsselte Daten in ein öffentliches (z. B. Git) Repo packen
  • Noch vor der ersten Kontaktaufnahme prüfen
    • Wer ist steht einem gegenüber?
      • Gibt es eine Vulnerability-Kultur (Bug bounty-Programme, CVE)
      • Würde man für sie arbeiten wollen?
      • Sind sie schon durch Behandlung von Hackern in Erscheinung getreten?
  • Die erste Kontaktaufnahme gilt zum Aushandeln eines sicheren Kommunikationsweges, keine Details („Ich habe (vermutlich) eine Sicherheitslücke gefunden, bitte senden Sie mir eine verschlüsselte Mail mit Ihren Public Keys an …“)
  • Es kann sinnvoll sein, anonym oder unter Pseudonym an Firmen heranzutreten um Angriffsfläche zu verringern
  • Mit der ersten verschlüsselten Mail die „Spielregeln“ festlegen
    • Freundlich aber bestimmt bleiben („ich will euch nichts Böses, aber ihr müsst etwas machen“)
    • Auch wenn umstritten: CVSS-Score ermitteln und kommunizieren
    • Typ des Disclosures ansagen (Responsible oder Coordinated, siehe auch den oben verlinkten Heise-Artikel)
    • Durchführbaren aber festen Zeitrahmen/Meilensteine festlegen
      • Nicht vertrösten lassen, aber Verzug mit guter Begründung gewähren lassen
    • Konsequenzen beim Verstreichen von Fristen festlegen
      • Zero-Days sind nicht die beste Option
      • Zusammenarbeit mit Plattformen, Benachrichtigung von potenziell geschädigten Partnern/Kunden (nicht im Sinne von Endverbrauchern), Medien
    • Von vorne herein proaktive Rückmeldung des Gegenüber einfordern
    • Wenn es einem wichtig ist: Belohnung aushandeln
  • „Alles was Sie sagen, kann und wird gegen Sie verwendet werden“ gilt für beide Richtungen
  • Security Advisories vor der Veröffentlichung zum Gegenlesen verlangen (eigene Erfahrung: bei einer Stand ziemlich großer Unsinn und wurde trotz deutlichem Hinweis nicht korrigiert)
  • Wenn man zu Meetings eingeladen wird: jemanden im Hintergrund nach Pressemeldungen Ausschau halten lassen
  • Soweit wie sinnvoll möglich kooperieren – es geht um die Sache, nicht um Befindlichkeiten

Nachtrag, Januar 2022:

Die Hacker*innen von zerforschung hatten auf dem rc3 einen guten Talk zum Thema.

Auch wenn ich mich bei ihrem Argument „keine Druckmittel/Erpressung“ in Hinblick auf Konsequzenzen beim Verstreichen von fristen etwas ertappt fühlte, bleibe ich dabei: aufgrund bisheriger Erfahrungen ist ein Mittel, das man in Erwägung ziehen kann – wenn man nicht von vorne herein gemeinsam mit einer Vertrauensperson arbeitet, was je nach „Gewicht“ des Fundes und Breite des eigenen Rückens sehr sinnvoll sein kann.

Wir brauchen mehr Cyber!

Veröffentlicht am von

Was für ein Skandal. Kaum werden Daten von Politikern „gecybert“, „doxed“ und ins Netz geblasen, ist es ein Angriff auf die Demokratie und es müssen Gesetze gemacht, Behörden vergrößert und Qualitätssiegel eingeführt werden.

Was war bei den Datenskandalen zuvor, bei denen primär „normalsterbliche“ betroffen waren? Da hat es offenbar keinen gejuckt, weil einfach niemand von den „wichtigen“ betroffen war!?

Oder was war mit der mehrfach zerlegten Wahlmeldesoftware? War die lausige Security dort nicht viel mehr der Wegbereiter für Angriffe auf die Demokratie? Wo war Cyberhorst da, um Leute einzustellen, die es besser machen und auch noch ein Siegel draufkleben?

Aus dem aktuellen Fall sind nur wenige Details bekannt und werden es wahrscheinlich auch nicht viel mehr werden. Für mich hört es sich aber am ehesten danach an, als hätten viele der betroffenen ihren persönlichen Datenschutz nicht im Griff. Schlechte Passwörter, jeden Mist anklicken und empfindliche Daten auf den Computern anderer Leute (vulgo in der Cloud).

Was helfen uns Gesetze, wenn die Leute noch immer zu blöd sind, sichere und vor allem unterschiedliche Passwörter für unterschiedliche Dienste zu verwenden? Was bringt stärkere Behörden, wenn die Cracker unterm Radar fliegen (well, hackers gonna hack)? Was bringen uns irgendwelche teuren Qualitätssiegel, wenn diese nur Momentaufnahmen sind und man als User keine Chance hat, die Integrität und Unterschiede der untersuchten und präsentierten Software zu prüfen?

Für mich ist alles nur ein verdammtes Strohfeuer, das unser Politiker da gerade anzünden. Und Geldverschwendung obendrein.

Da wäre es vermutlich sinnvoller, einen Internetführerschein und Grundkurse in Sachen Internet- und Datensicherheit einzuführen.

Ich meine klar, jeden kann es mal erwischen – nur wenn man sieht, wie blind manche herumrennen, muss man Angst und Bange sein.

Hierzu eine kleine Anekdote aus meiner Hochschulzeit: eines Tages kam eine Mail vom Rechenzentrum, dass gerade Phishing-Attacken auf Mitglieder der Hochschule liefen, die durch eine fremde gekaperte WordPress-Installation durchgeführt wurde und man auf keinen Fall den Link klicken solle und sich schon gleich gar nicht dort einloggen solle. Auch war ein Muster einer solchen Mail angehängt. Soweit, so gut. Nur war das kein Bild, kein CopyPasta, sondern die Originalmail. Mit funktionierenden Links.

Auf freundlichen Hinweis hat der Admin die Mail dann zurückgezogen und erneut „sauber“ geschickt. Es ist nicht bekannt, wie viele zumindest auf den Link geklickt haben…

Um nun für User einen Unterschied zu machen: Wo es früher noch hieß, dass Passwörter oft geändert werden sollten und kryptisch sein müssen, zum Beispiel, indem man Sätze verendet und Leetspeak o. ä. appliziert – so wird aus dem Satz „Das ist das Haus vom Nikolaus“ das Passwort „DidHvN“ oder „D!d4vN“, hat einer der alt eingesessenen Passwortevangelisten (mir fällt der Name gerade nicht ein) seine damalige Empfehlung korrigiert. Wenn ich mich richtig erinnere ist es besser, einfach den kompletten Satz zu verwenden, „Das ist das Haus vom Nikolaus“. Denn: So ein Passwortcheck ist mein Mastermind, das sagt „Zeichen ist vorhanden aber an der falschen Stelle“, sondern einfach nur „true“ oder „false“. Klar, mit Wörterbuchattacken kann man immer noch arbeiten, aber auch die werden bei langen Passwörtern langsam schwierig; und ja, ein Beobachter hat es bei „korrigierbaren“ Passwörtern auch einfacher und kann sich den Sinn erschließen. Aber da gilt die Regel: Lass dir nicht über die Schulter schauen!

Das Problem an häufigen Passwortänderungen ist, dass sie dann entweder trivial oder unter die Tastatur geklebt werden. Lieber ein anständiges Passwort, das zwar nicht so oft geändert wird aber dafür auch nicht irgendwo notiert wird.

Zum Thema Cloud bin ich immer noch der Meinung: „(wenn überhaupt:) Traue nur einem Computer, den du aus dem Fenster werfen kannst“ und: „Es gibt keine Cloud, es gibt nur Computer anderer Leute“ (ok, war schon oben). Sprich: Man kann nur die Kontrolle über die Daten haben, die man bei sich hat. Seid Datensparsam, lagert Daten im öffentlichen Raum, die auch jeder sehen darf.

Auch müssen sich die Firmen – und da schweife ich mal in Richtung Hacking und Datenlecks ab – endlich mal ändern. Ich hatte es bis jetzt nicht nur einmal, dass auf eine Meldung einer Sicherheitslücke entweder gar nicht oder mit „kann gar nicht sein“ reagiert wurde. Teilweise wurde erst nach einem Proof of Concept Initiative ergriffen. Und dann nicht mit „ja, wir haben ein Problem, wir analysieren es“, sonder mit „wie haben Sie das gemacht??ß?sz?“. Denen hat also nicht der Hinweis „ihr habt da und da ein Problem“ gereicht, sondern brauchten auch noch eine Erklärung.

Das dreisteste, was ich dabei erlebt hatte war dann ein Admin, der mich nach der „Sicherheitsberatung“ und dem Schließen der Lücke durch deren Enwicklungsdienstleister bat, den Fix zu verifizieren. Anhand der Blackbox. Auf meine Antwort, dass das ohne Einblick in die Quellen sinnlos wäre und dass ich ihm keinen Code-Review schenken werde, kam nichts mehr zurück.

Liebe Firmen, nehmt bitte endlich Meldungen zu Bugs und Vulnerabilities ernst und schaut erst einmal selbst nach, wenn ihr Hinweise bekommt! Viele, die etwas entdecken, erwarten keine Gegenleistung, dafür dürft ihr aber nicht erwarten, den A… hinterhergetragen zu bekommen.

Drosselkom

Veröffentlicht am von

Die letzten Tage ist die Telekom (meiner Meinung völlig zu Recht) Ziel diverser Verbalangriffe. Grund, für all die, die hinterm Mond leben: es soll ab 2016 auch für DSL keine richtigen Flatrates mehr geben – ab einem bestimmten Volumen wird gedrosselt.

Knackpunkt: manche Dienste sind von der Drosselung nicht betroffen, wie das IPTV von der Telekom. Ein Verstoß bzw. Vorstoß gegen die Netzneutralität steht im Raum, fefe umreißt die Sache ganz gut.

Was natürlich am interessantesten ist: wie schnell kommt man an die Grenze und wie viel Spaß hat man für sein Geld?

Zumindest beim Anschluss hier wäre noch etwas Luft nach oben: der Datenzähler der Fritzbox zeigt für März knapp 40 GiB an, bei zwei Nutzern und ohne dediziertes IPTV/Filmabo/etc. Genauso wird kein Filesharing betrieben, Onlinespeicher kommt nur sehr sporadisch zum Einsatz. Das ganze bei 6 Mbit/s.

Ein Vier-Personen-Haushalt, bei dem noch ein wenig mehr Multimedia over IP genutzt wird, dürfte die Drosselgrenze also locker sprengen – ohne Filmabo oder sonstige netzlastigen Anwendungen.

Bleibt nur noch die Frage wie viel man von seinem Anschluss hat. Der Einfachheit halber nehme ich einfach mal einen 16 Mbit/s-Anschluss, mit dem man etwa 2 MiB pro Sekunde durch die Leitung würgen kann. Pro Minute 120 MiB und pro Stunde 7200 MiB. Am Tag macht das stolze 168,75 GiB, da kommt die Drosselung schon am ersten Tag, bzw. ist bei den angestrebten 75 GiB nach knapp 10,5 Stunden Schluss.

Ok, der Anwendungsfall ist etwas unrealistisch, ich behaupte einfach mal, dass man bei normalem Surfen mit durchschnittlich 2 Mbit/s unterwegs ist und das – sagen wir einfach mal – 4 Stunden am Tag. Also sozusagen entweder ein Single, dem nach Feierabend langweilig ist oder einer 4-köpfigen Familie, bei der jeder täglich eine Stunde im Netz unterwegs ist.

2 Mbit/s sind immerhin noch 900 MiB/h, also gehen an einem Tag 3600 MiB durchs Kupfer. 75 GiB sind bekanntlich 76800 MiB, nach Division kommen 21 Nutzungatage und sehr genau 5 Minuten raus. Da verhält sich der Internetanschluss wie ein Studentengeldbeutel: die letzten Tage im Monat wir das gegessen, was im Kühlschrank nach hinten geschoben wurde oder zumindest das, was man noch in der Speis findet.

Man kommt auf jeden Fall nicht durch. Klar, wenn man die Zahlen mit dem von uns „versurften“ Volumen vergleicht, ist das etwas unrealistisch, aber es ist ja auch nur grob überschlagen.

Bleibt noch die Frage, wie es denn mit der verstümmelten Leitung in Sachen Auslastung aussieht. Lastet man das oben genannte 16 Mbit/s-DSL voll aus, bekommt man im Monat ( 30.4375 Tage im Schnitt = 2629800 Sekunden) stolze 5136 GiB, erfolgt die Drosselung nach 75 GiB, hat man 38400 Sekunden Volldampf, die restlichen 2591400 Sekunden im Monat hat man 384 kbit/s zur Verfügung. Ergibt 118,62 GiB. Also 193,62 GiB im Monat.

Das sind gerade mal 3,8 % von dem, was theoretisch über die Leitung ginge. Würde man den Anschluss rein nach der Leistung des Internets bezahlen, blieben von den 40 Euro im Monat gerade mal 1,52 Euro übrig.

Na, günstig wäre es auf jeden Fall 😉

(ich hoffe, ich hab mich – um die Uhrzeit – nirgends verrechnet)

Jugendsch(m)utz

Veröffentlicht am von

Die lieben Damen und Herren in Berlin versuchen ja noch immer, das Internet zu einem sichererereren Platz zu machen. Getreu dem Motto „Die Kinder – wer denkt an DIE KINDER!!1!elf“. Jetzt sollen die Betreiber von Internetseiten ihre Inhalt mit Alterskennzeichnungen versehen, die mit Jugendschutzsoftware ausgelesen werden können soll. Abgesehen davon, dass ich nicht besonders viel von solcher Software halte (Jugendschutz und Erziehung ist etwas soziales, nichts technisches) fühlen sich jetzt viele Blogbetreiber in die Enge getriebe.

Warum es ausgerechnet Blog-Betreiber sind: keine Ahnung. Sie schreien, dass sie nun alle Blogeinträge mit dem Kennzeichen versehen müssen. Blödsinn, schreibt Udo Vetter im lawblog und revidiert einen Tag später teilweise.

Auf der Seite des fliegenden Spaghettimonsters, ähh der „Freiwillige[n] Selbstkontrolle Multimedia-Dienstanbieter“ gibt es eine kleine FAQ zur Sache.

Wie dem auch immer sei, die Unsicherheit bleibt weitestgehend bestehen. Zum Glück aller Webseitenbetreiber bietet jugendschutzprogramm.de einen Generator für PICS-Label an.

Da eigentlich keine Beschreibung so richtig auf hobbyelektronik.org passt, habe ich einfach mal auf „Allgemein ab 12“ geklickt.
Was heißt eigentlich „Sex-Seite Normal“? Gibt’s auch unnormale – und warum sollte man „Verbotene Inhalte“ danach kategorisieren? Damit es die Staatsanwaltschaft einfacher hat?

Wie auch immer, weiter im Text. Nacktheit: Gelten Schaltungen ohne Gehäuse auch als nackt?

Sexualisiertes Material: ähh, nein. Das wär vielleicht was für Dave L. Jones vom eevblog, der Schaltungen gerne mal als „pornographic“ oder mit „sex on a stick“ bezeichnet.

Bei Gewalt könnte man den (nun in Rente geschickten) Panasonic-Zapper zumindest als Folter von Menschen bezeichnen. Ansonsten bestehen zumindest gegenüber Bauteilen und Schaltungen eindeutige Gewaltdarstellungen ;-)…

Sprache – „Gotteslästerung oder Flüche“, „Moderate Kraftausdrücke“ – HELL FUCKING YEAH!

Öhm – was ist „Potenziell Gefi-umgedrehtes Fragezeichen-einhalb-hrdendes“?
[x] „Inhalte, die Angstgefühle, Einschüchterung, Horror oder Psychoterror verursachen“
[x] „Inhalte, die Kindern schlechtes Vorbild sind: Inhalte, die Kindern beibringen oder sie ermutigen, schädigende Handlungen vorzunehmen oder gefährliche Handlungen nachzuahmen“

Da hier im Blog niemand kommentiert (es aber möglich ist!) und in der Wiki nur gespammt wurde:
[x] „Benutzergenerierte Inhalte wie Chat-Rooms und Message Boards (moderiert)“

Bei der Zusammenfassung ist es noch am ehesten Kunst, auch wenn es oft doch recht wenig damit zu tun hat.

Damit wäre die Jungendschutzbeschreibung eigentlich schon fertig. Ich warte aber trotzdem mal die nächsten paar Wochen ab, da sich bis zum 1.1.2011 sicherlich noch ein bisschen bewegen wird…

Atom-Atom!

Veröffentlicht am von

Mit der verabschiedeten Laufzeitverlängerung ist mal wieder eine große Debatte mit noch größeren Demonstrationen losgebrochen. Gleichzeitig wurde nun bekannt, dass in den verschiedenen Endlagern entweder schon mehr als gedacht drin ist oder dass sie undicht o.ä. sind, was den Demonstranten noch mehr Rückenwind gibt.

Ich finde zwar gut, dass diese Leute für ihre Meinung einstehen, halte aber den Ausstieg aus der Atomenergie für zu früh. Denn: Momentan gibt es einfach noch keinen adäquaten Ersatz für die 17 Reaktoren. Für jedes abgeschaltete Atomkraftwerk müssen mehrere Kohlekraftwerke zugeschaltet werden. Nun ratet mal, wo mehr CO2 rauskommt… (ironisch an der Sache: durch die Verbrennung von Kohle kommt mehr radioaktives Material in die Luft, als beim Betrieb eines AKWs). Regenerative Energiequellen sind leider noch kein Ersatz für AKWs. Das Problem ist u. a., dass die Energieabgabe zu undefiniert ist, was in unserem Stromnetz relativ unnütz ist. Der Wind fängt leider nicht an zu wehen, wenn wir unser Schnitzel braten wollen, ähnlich ist es mit der Sonne. Zum Ausgleich müssten Pumpspeicherkraftwerke Tag und Nacht die Last im Netz ausgleichen.

Zweifel an der Nachhaltigkeit habe ich auch an Photovoltaik-Anlagen. Ohne die staatlichen Zulagen amortisiert sich (für Kleinbetreiber wohlbemerkt) so etwas nach vielleicht 20 Jahren. Der Witz ist jedoch, dass die Panele nach ca. 25 Jahren deutlich an Effizienz nachlassen, von notwendigen Reparaturen noch gar nicht gesprochen. Dann kommt noch die Netzeinspeisung: Zwar wird diese vom Staat subventioniert, allerdings ist es eine Milchmädchenrechnung. Die Kosten dafür werden direkt wieder im Strompreis und Steuern umgelegt. Aber auch aus technischer Hinsicht ist die Einspeisung nicht gerade das Gelbe vom Ei: die Wandler liefern oft keine richtige Sinusform, speisen nicht symmetrisch ein und natürlich nur dann, wenn die Sonne scheint. Da freut sich das EVU. Achja: Lustigerweise sind Solarzellen dann am ineffizientesten, wenn man es eigentlich am wenigsten erwarten würde: Hohe Temperaturen drücken den Wirkungsgrad bisweilen ziemlich stark. Nun einmal kurz raten, wann die Temperaturen auf vorwiegend dunklem Material am höchsten sind…

Eines darf in der Diskussion natürlich  nicht unerwähnt bleiben, dass AKWs auch nicht unbedingt sauber sind. Irgendwas muss natürlich mit den alten Brennstäben gemacht werden. Bis vor ein paar Jahren durften sie noch wiederaufbereitet (sprich: recycelt) werden, mittlerweile müssen sie lt. Regierungsvorgaben verbuddelt werden. Wo war Greenpeace da? Ist es denen lieber, dass radioaktives Material in einen alten Salzstock zweifelhafter Dichte geworfen wird, anstatt einen Teil des Zeugs nochmal abzuschwächen?

Natürlich ist es auch möglich, dass alles schief geht und eine Kernschmelze passiert. Viele denken da immer noch an Tschernobyl zurück. So ein Unfall (oder die Verkettung idiotischer Umstände) ist in westlichen Reaktoren in dieser Form nicht möglich. Unsere Reaktoren schalten sich im Fall eines Kontrollverlusts selbst ab, indem der Moderator für die Kernspaltung verdampft. Klar hat man dann auch ein Problem, allerding dürfte es nicht gleich in der Verstrahlung sämtlicher Nachbarländer enden. Auch die Sicherheitsbedenken eines „kontrollierten Flugzeugabsturzes“, sprich eines terroristengelenkten Großraumgeschosses werden meiner Meinung nicht richtig weit gedacht. Eine Maßnahme wäre das Einnebeln des Meilers. Klar, man verliert dadurch das exakte Ziel vor Augen, aber wie sieht es mit nicht so ortskundigen Terroristen aus? An einem ansonsten nebelfreien Tag dürfte ein komplett in Nebel eingehülltes Areal eher ein dickes rotes Kreuz auf der Landkarte als ein Verschleierungsversuch sein. Ok, die Wahrscheinlichkeit, dass direkt das Reaktorgebäude getroffen wird, ist geringer. Trotzdem stelle ich mir als eher kontraproduktiv vor, wenn ein größerer Airbus oder eine Boing unsachgemäß in einem der Gebäude eines AKWs landet. Zudem: Wer sagt denn, dass es ein Flieger sein muss? Es könnte genauso eine GPS-gestützte Boden-Boden-Rakete sein. Die dürfen im Gegensatz zu einem Passagierjets zwar abgeschossen werden aber haben wir die hierfür nötige Infrastruktur?

Abgesehen davon finde ich es irgendwie lustig (oder eher perfid), dass die Protestierenden bei Castor-Transporten dem Behälter recht nahe sind und immer wieder versuchen, den Zug aufzuhalten. Was diese anscheinend nicht wissen: Obwohl der Behälter dicht ist, strahlt er nach außen trotzdem ein bisschen. Durch ihre Aktionen sorgen sie (überspitzt gesagt) für das, was sie eigentlich verhindern wollen: die Verstrahlung von sich selbst und der Umwelt.

Die einzige Lösung, die ich mir momentan als Lösung für das Energieproblem vorstellen könnte, ist die immer wieder vorgestellte aber (soweit ich weiß) noch nicht angefangene Groß-Solaranlage in eine der Wüsten. Diese soll später mit der Sonnenenergie eine Flüssigkeit erhitzen, die eine Turbine treiben soll. Bei Nacht soll das System aus Speichern betrieben werden. Die genauen Details kenne ich leider nicht, allerdings soll die Anlage bei entsprechender Größe einen Großteil des Energiebedarfs (Grund- und Mittellast) von komplett Europa abdecken können. Bleibt zu warten, was daraus wird.

Bluff?!

Veröffentlicht am von

Hat unser allseits beliebter Herr Schäuble die Steuerhinterzieher-CD eigentlich schon gekauft?

Auch wenn man mit den Informationen jede Menge Verbrechern dingfest machen könnte, bleibt der Kauf illegal. Klar ist es ein Dilemma, aber als Gesetzesgeber sollte man sich doch nicht über seine eigenen Regeln stellen.

Aber irgendwie scheinen die lieben Herren und Damen im Bundestag eher die Worte ‚Legal‘ oder auch ‚egal‘ in dem Wort ‚illegal‘ zu lesen.

Was ich allerdings begrüßen würde – Herrn Schäuble traue ich die Cleverness allerdings nicht zu: bluffen.
Was beim Poker klappt, sollte gegenüber Betrügern doch auch klappen.

Momentan scheint es ja relativ viele Selbstanzeigen bei den Steuerhinterziehern zu geben. Deren Angst kann man durch die Zusicherung des Kaufs der Daten noch weiter anschüren und immer wieder nachtreten.

Wenn man davon ausgeht, dass man genug Selbstanzeigen hat, kann man den Bluf auffliegen lassen. So nach dem Motto ‚ihr habt uns reingelegt, euch ists genauso ergangen‘.

Moralisch zwar etwas verwerflich, aber nicht illegal – und sind wir ehrlich: ich traue mittlerweile keinem Politiker mehr zu, die Definition von Moral zu kennen.

Bei uns im IRC-Channel kam übrigens schon die Vermutung auf, das auf der CD nur Rick Astley ist. Wäre der wohl teuerste Rickroll aller Zeiten 😉

Parteicheck

Veröffentlicht am von

Irgendjemand hat vor der letzten Bundestagswahl einen simplen Parteicheck durchgeführt. Dabei hat der „Prüfer“ die Internetseiten der Parteien durch den W3C-Validator gejagt.

Ich habe es für diese Wahl heute (24.09.09) wiederholt. Zusätzlich habe ich geschaut, welches CMS (wenn durch den Quelltext ermittelbar) verwendet wurde und ob Tracker eingesetzt wurden. Zusätzlich habe ich geprüft, wie die Seite ohne Stylesheets aussieht.

Die Liste der Parteien habe ich 1:1 von der Bundeszentrale für politische Bildung übernommen (auch in der Reihenfolge)

Partei geprüfte Seite Errors Warnings CMS Tracker Barrierefrei
SPD www.spd.de/start/portal/start.html 0 0 ? eTracker ja
CDU cdu.de 12 5 RedDot? nein nein
FDP www.fdp-bundespartei.de/fdp 447 443 ? nein ja
DIE LINKE die-linke.de 7 0 TYPO3 nein ja
GRÜNE www.gruene.de 8 0 TYPO3 nein ja
CSU www.csu.de/partei/index.htm 0 0 ? nein ja
NPD npd.de 58 4 ? nein ja
REP www.rep.de 71 35 ? nein ja
FAMILIE www.familien-partei-deutschlands.de/cms 55 95 ? nein jein
Die Tierschutzpartei www.tierschutzpartei.de 77 8 ? nein nein
PBC www.pbc.de 121 89 TYPO3 nein nein
MLPD www.mlpd.de 23 0 ? nein jein
BüSo www.bueso.de 192 0 ? urchin ja
BP landesverband.bayernpartei.de 220 0 WordPress 2.1.3 nein jein
PSG www.gleichheit.de/website 21 0 Joomla! 1.5 nein jein
ZENTRUM www.zentrumspartei.de 146 10 ? urchin jein
ADM www.adm-partei.de 46 3 ? nein nein
CM www.christliche-mitte.de 208 0 Joomla! 1.5 nein ja
DKP www.dkp-muenchen.de 107 7 ? nein nein
DVU www.die-rechte.info/wordpress 98 33 WordPress 2.8.4 nein jein
FWD www.freie-waehler-deutschland.de 16 0 TYPO3 nein ja
ödp www.oedp.de 17 3 Drupal nein jein
PIRATEN www.piratenpartei.de 71 12 Drupal? nein ja
RENTNER www.rentner-partei.com/index2.html 49 8 ? nein nein
RRP www.rrp-bund.de 12 0 ? urchin jein
DIE VIOLETTEN die-violetten.de 4 0 Joomla! 1.5 urchin jein
Volksabstimmung www.demokratie-durch-volksabstimmung.de 30 5 ? nein nein

die BP haben ein jein verdient, da die Bilder auf der Seite wirklich extrem groß waren; PSG hat eine Abwertung bekommen, da sich viel Text in den Bildern befinden.

Bei ZENTRUM, DVU und der ödp gab es ein „jein“, da die Barrierefreiheit nur teilweise gegeben ist. Bei „DIE VIOLETTEN“ gab es ein jein, da kaum Inhalt vorhanden ist.

Wortwaage

Veröffentlicht am von

Vorhin musste ich in den Nachrichten folgendes von unser aller Lieblingsfamilienministerin hören – es ging um „Kinderschutz“-Software für’s Internet.

Hier geht es darum, dass Eltern zum Beispiel Filtersysteme finden – die ausgereift sind – die sie auf die PCs ihrer Kinder laden können, damit die Kinder nur auf kindgeschützte Seiten kommen. Man würde ’n Kind ja auch nicht an einer vielbefahrenen Straße spielen lassen – ohne Aufsicht.

Mehr als Kopfschütteln fiel mir dazu nicht ein.

Das Thema Kinderschutz-Software ist sowieso müßig, da es wohl die meisten Kinder nicht als „sinnvollen“ Schutz, sondern als nervige Barriere sehen bzw. als Herausforderung wahrnehmen, die Software zu umgehen. Zudem dürften viele Eltern allein mit der korrekten Installation und dem Absichern gegen die Deinstallation schlichtweg überfordert sein – und einen Fachmann holt man sich deswegen auch nicht in’s Haus.
Problematischer ist aber vermutlich, dass sich die Eltern ich (falscher) Sicherheit wiegen und ihre Verantwortung an ein Stück Software abgeben. Das ist grundlegend falsch. Mich haben auch schon Eltern gefragt (nachdem ihr Spross sich Gigabyteweise jugendgefährdendes Zeug heruntergeladen hat), ob und welche ich Software empfehlen könne.

Die Antwort lag weder in Soft- noch in Hardware: Mit dem Kind darüber reden, Grenzen aufzeigen, Medienkompetenz beibringen und – wenn’s nicht anders geht – misstrauisch sein. Also regelmäßig den Verlauf im Browser durchsehen bzw. einfach mal auf der Festplatte schauen, was da so drauf ist. Bei jüngeren Internetbenutzern (bei denen obiges noch nichts bringt): dabei sein und am besten keinen Rechner (mit Internet) im Kinderzimmer.

Um dem Titel dieses Posts gerecht zu werden: warum spricht Frau von der Leyen vom „PC ihrer Kinder“? Ein eigener PC (mit Internetanschluss) für den Nachwuchs macht meiner Meinung erst Sinn, wenn genügend Medienkompetenz und vertrauen diesbezüglich vorhanden ist.

Im letzten Satz ihres Statements hat die gute Frau meiner Meinung einen richtigen Patzer gemacht: „ohne Aufsicht“. Ehm? Also ich würde meine Kinder nicht einmal MIT Aufsicht an einer vielbefahrenen Straße spielen lassen. Irgendwann wird man doch mal kurz abgelenkt und schon der Nachwuchs rennt auf die Straße. Ich würde nicht damit leben wollen, mein Leben, das Leben meines Kindes und nicht zuletzt das des Autofahrers zu zerstören, nur weil man sein Kind an der Straße spielen lässt.

Mir ist schon klar, dass unsere Familienministerin in jeder Hinsicht nur Gutes will, aber anscheinend fehlt ihr ein bisschen der Weitblick bei dem, was sich sagt und macht.

Und jetzt ab in die Wuthöhle!

Zensursula von der Laien

Veröffentlicht am von

Was haben wir denn da für naiv-dumme Menschen in der Regierung?

Dass Kinderpornographie ein wirkliches Problem ist, steht außer Frage – aber warum wird das Thema mit so einer großen Naivität und Starrsinnigkeit angegangen?
Die meisten Politiker kennen sich nur wenig oder gar nicht mit dem Internet auskennen, ist mittlerweile bekannt. Dass sie sich aber mit ihren Vorstellungen und ohne wirklichen Expertenrat durchsetzen wollen, ist meiner Meinung wesentlich schlimmer.

Heute wurde der Regierungsentwurf für die Internetsperren beschlossen. Entgegen dem Versprechen/Versprecher von der „Familienministerin“ sollen jetzt auch die IPs der Besucher der Sperrseite protokolliert werden dürfen. Nur welcher Pädophiler wird sich darum scheren? Jemand, der weiß, dass er ins offene Messer laufen könnte, wird es tunlichst vermeiden, solche Seiten ohne entsprechende Mittel zu besuchen.

Cleverer wäre es gewesen, wenn die Seiten bis zu einem bestimmten Punkt angezeigt werden würden und im Hintergrund schon eine Protokollierung läuft. Das wäre zwar noch illegaler, dafür nicht ganz so offensichtlich, wie ein Bildschirmfüllendes Stopp-Schild. Zudem hätte man richtiges Beweismaterial, dass der verdächtige wirklich auf der Suche nach illegalem Material war und nicht durch einen falschen Klick den Ermittlern in die Hände gefallen ist.

Zudem sind die Sperren wirklich mit wenigen Mausklicks zu umgehen. Wem hilft’s? NIEMANDEM. Weder den Missbrauchsopfern noch den Ermittlern noch irgendwelchen Politikern, die den Erfolg auf ihre Fahnen schreiben wollen.

Was auf jeden Fall bleibt sind die Täter und die haben andere Mittel und Wege, ihre „Ware“ auszutauschen. Sei es über Peer-2-Peer-Netzwerke, Usenet oder per direktem Kontakt, das Internet dürfte im Gegensatz zu den anderen Verbreitungswegen nur ein Bruchteil sein. Was mehr Sinn machen würde, wäre eine bessere internationale Zusammenarbeit bzw. Druck auf und durch die EU sowie Menschenrechtsorganisationen.

Pädophile werden es aufgrund der Internetzensur nicht weniger, viel wichtiger ist es, offensiver bei den Verbreche(rn) zu handeln, ein Gegenbeispiel konnte man gestern auf Spiegel Online lesen. Da wurde dem Pfarrer, der sich selbst für unschuldig hält, immer wieder der Rücken freigehalten – sowohl von der Kirche als auch von Gläubigen.

Wie es weiter geht möchte ich eigentlich gar nicht wissen. Heute Kinderpornos, morgen kritische Internetseiten und übermorgen „the great Firewall of China Germany“. Den ersten Stein haben wir die ja schon gesetzt und die Republikfeinde können dank VDS gleich ermittelt und eingebuchtet werden.

Frank macht Klicktracking!

Veröffentlicht am von

Über SZ-Online bin ich vorhin auf die Internetseite von Frank-Walter Steinmeier gestoßen.

Ja mei, über den Inhalt kann man streiten, was mir aber aufgefallen ist: Bei jedem Klick (egal wohin) stand in der Statuszeile von meinem Browser kurz „Verbinden mit www.etracker.de…“ – huch, was passiert denn da?

Ein Blick in Firebug zeigte etwas mehr:

fwsetrack

So sieht das also aus, er will also genau wissen, was seine potentiellen Wähler wollen^Wmachen.

In den Videos wirkt er fast wie in der Parodie von Switch Reloaded, irgendwie etwas unmotiviert und unvital – wollen wir den wirklich als Kanzler?

Irgendwie lustig fand ich das Zitat:

Wenn es ums Internet geht, frage ich auch gerne mal meine Tochter.

Irgendwie kann ich mir das vorstellen, abends am Esstisch…

Du, $name_tochter, wie drucke ich nochmal die Seite vom Spiegel aus?