Im Zuge der Offenlegung der US- und UK-Abhörprogramme von NSA und GCHQ durch Edward Snowden gab es im großen und ganzen drei Reaktionen:
1. politische Show
2. völlige Ignoranz
3. apokalyptische Technologieresignation
1. Politische Show
Als politische Show bezeichne ich sämtliche Aussagen aus allen(!) politischen Lagern, die das Problem auf diplomatischem Wege lösen (lassen) wollen. Dies ist nicht möglich. Spionage gehört seit je her zum Geschäft und zum Selbstschutz jeder Nation dazu. Jeder spioniert. Jeder wird ausspioniert. Das ist nicht verhandelbar. Skalierungsprobleme sind hier aber vom Vorteil und schützen uns vor einer Spionage-Übermacht: Je mehr Leute Geheimnisträger sind, desto eher werden Geheimnisse an Freund oder Feind verraten oder von diesen abgehört. So groß jetzt die gespielte Empörung auf allen Seiten auch sein mag, die Leaks von Snowden gefährden weder die Sicherheit der USA noch der abgehörten Nationen.
2. völlige Ignoranz
Diese Haltung mag wird vermutlich unterschiedlich bedingt sein: 1. Spionage gehörte zum Alltag des kalten Krieges und bei aller Empörung sind Stasi-Vergleiche bei der aktuellen Situation keinesfalls zutreffend. So denken sicher viele Bürger, dass sie nichts zu verbergen hätten und persönlich davon nicht direkt betroffen wären. 2. Sie sind technisch nicht ausreichend gebildet oder informiert, um aus der Spionage durch befreundete Staaten eine grundlegende technische Anfälligkeit zu erkennen, beispielsweise für kriminelle Dinge. Ob Phishing, Social Engineering, Trojaner…
3. Apokalyptische Technologieresignation
Diese Haltung nehme ich vermehrt in der deutschen Tech-Szene und bei „Bürgerrechts“-Aktivisten war. Ich nehme an, dass sich viele erst im Zuge der aktuellen Skandale mit den technischen Grundlagen des Internets und der möglichen Verschlüsselungstechniken beschäftigt haben. Die Tatsache, dass es vermutlich dank technologischen Fortschritts keine Kryptographiemethode gibt, welche in der heute angewandten Form die nächsten 10 Jahre übersteht, hat viele in Panik verfallen lassen. Anstatt sich also mit dem momentan realistisch möglichen auseinanderzusetzen und dies iterativ zu verbessern, lassen viele nur einen Maßstab gelten: Absolute Sicherheit – oder nichts!
Absolute Sicherheit ist jedoch prinzipbedingt nicht möglich. Weder heute noch in Zukunft. Statt aus diesem Sachverhalt das beste zu machen, wird jede Lösung (die ja nur 99% sicher sein kann) angezweifelt. Einige Leute verfallen gerade in einen paranoiden Wahn/bzw Panik, zweifeln alles und jeden an, fühlen sich verfolgt und ziehen sich evtl. digital zurück.
Fazit:
Das Dilemma fängt meiner Meinung nach bei der fehlenden IT-Kompetenz in unserem Land an und zwar sowohl bei der mangelhaften informationstechnischen Grundbildung an Schulen, aber auch im universitären Bereich. Nichts davon ist auch nur in Reichweite um an der Zukunft des Internets mitzuarbeiten um die vielen existierenden und neuen Probleme zu lösen: Durch intelligente Nutzung oder technologische Veränderung.
Letzteres äussert sich darin, dass beispielsweise keine 5 RFCs (request for comments) existieren, die von Autoren aus Deutschland mitverfasst wurden. Dabei sind diese RFCs die etablierten Standards der IP-Kommunikation und definieren Protokolle, Dienste und die Topologie des Netzes. Es gibt in unserem Land weder Forschungseinrichtungen noch IT-Unternehmen welche an der Zukunft der weltweiten Kommunikationsinfrastruktur durch Kompetenz einflussreich mitentwickeln.
So passiert es, dass im Rahmen der Fraunhofergesellschaft und diverse andere Forschungseinrichtungen zwar jährliche dutzende Informatik-Papers veröffentlicht werden, davon national wie international aber exakt NULL umgesetzt oder akzeptiert werden. Papers werden vermutlich zum Selbstzweck der eigenen akademischen Karriere und der Forschungsgeld-Legitimation verfasst: Sie entsprechen der üblichen wissenschaftlichen Publikationsordnung ohne wirtschaftlich oder technologisch einen nennenswerten Fortschritt zu generieren: Sie landen auch in den USA im Müll und werden von dortigen Unternehmen ebenfalls nicht umgesetzt. MP3 und einige andere Medien-Codecs sind die einzigen mir bekannten Ausnahmen — und das ist schon eine ganze Weile her.
Von der IT-Privatwirtschaft muss man gar nicht erst anfangen: Die Telekom mag zwar kommerziell in einigen Ländern erfolgreich sein und auch durch ihre Herkunft als Ex-Staatskonzern eine „Technologie-Bank“ sein, wirklich innovativ ist sie bis heute nicht. Sie arbeitet nicht an IP-Standards mit, verlässt sich auf die Innovationen der Netz-Zulieferer aus den USA oder China (Huawei). Sie entwickelt keine neuen innovativen Technologie- und Geschäftsmodelle die international Bestand haben und eben nicht als Marketing-Show oder Rohrkrepierer nach wenigen Jahren wieder eingestellt werden.
SAP, Siemens, 1&1 und co. sind Legacy-Tanker deren innovativere Software-Abteilungen längst im Ausland angesiedelt sind: Bangalore, Osteuropa, Valley.
Das führt dazu, dass man als Nutzer oder Unternehmer in Deutschland keine technologische Alternativen zu US-Konzernen hat: Weder bekommt man die Services von einem Unternehmen in Deutschland noch gibt es hier Nachfrage nach kompetenten Fachkräften: Da nahezu 95% der deutschen IT-Systeme auf Java basieren und auch ein vermutlich ähnlich hoher Anteil an Hochschulen fast ausschliesslich Java als Grundlage für die Softwareentwicklung heranzieht, ist ein weiteres Puzzlestück: Anstatt die richtige Technologie für den richtigen Job auszuwählen, hat man um das Jahr 2000 den Java-Hype gefressen und bis heute nicht korrigiert. Das mag für die führenden Universitäten mittlerweile nicht mehr gelten, aber an Dualen-Provinzfachhochberufsschulen hat sich nichts daran geändert. So sind meiner Praxiserfahrung nach vermutlich 90% der Informatik-Absolventen in Deutschland nicht in der Lage nur mit dem Uni-Informatik-Wissen kompetitiv zu arbeiten. Das liegt nicht an den Absolventen sondern an der Ausbildung am Informatik-Alltag weit vorbei. Ein solider, kompetenter, lösungsorientierter Umgang mit den Problemen des Netzes, mit Sicherheitstechnik und Nutzerkompetenz fehlt.
Das HPI in Potsdam scheint eine rare Ausnahme zu sein, dort werden auch neueste Inhalte vermittelt und Wege jenseits etablierter Pfade eingeschlagen.
Eine technologieoffenere, weitreichendere Ausbildung, würde innovative und agile Entwicklung von neuen Produkten und Services in Deutschland ermöglichen, sodass man nicht alternativlos auf US-Dienste zurückgreifen muss (die prinzipiell als untrusted anzusehen sind).
Hallo Roland,
rfc6571 ist nur einer der mir spontan einfällt und an dem die Telekom beteiligt war. Es gibt auch noch ein paar weitere.
Gruß
Claus
Okay, aber Du musst schon eingestehen, dass es sich um eine sehr geringe Anzahl von größtenteils irrelevanten RFCs handelt. Also Definitionen die zwar als Standard bezeichnet aber keinerlei Verbreitung gefunden haben. Fraunhofer hat auch an 1-2 RFCs mitgearbeitet, die sich mit DRM/Kopierschutz beschäftigt haben. Glücklicherweise auch ohne eine Relevanz.
Für mich relevant sind Protokollverbesserungen auf TCP/IP-Ebene, im Routing, bei SMTP oder gerade sehr aktuell: HTTP 2.0 — Hier ist meines Wissens niemand aus Deutschland beteiligt.
Lutz Donnerhacke vom CCC hat meines Wissens noch eine OpenPGP-RFC veröffentlicht, die aber auch keine Akzeptanz im Netz gefunden hat.
Zuerst muss man ein Problem lösen — dann daraus ein RFC erarbeiten – und dann technisch, politisch und durch gute Referenz-Implementationen für eine Verbreitung sorgen. Das schafft in Deutschland keiner.
Sorry, aber die sind mit nichten irrelevant und eingesetzt werden sie auch und dass nicht nur bei der T. Ich wuerde sogar behaupten das der o.a. defacto bei dem Grossteil der weltweit „echten“ Carrier eingesetzt wird.
Ein weiterer Grund ist sicherlich auch die Tatsache das Hersteller direkt „mit im Boot“ waren und das ist in meinen Augen auch ein Grund, warum viele andere RFCs „scheitern“.
Wie entsteht denn heute ein RFC im Carrier Bereich ? Variante A: Entweder entwickelt der Hersteller ein Feature (proprietaer?) und versucht es seinem Kunden zu verkaufen. Das ist mit Risiko verbunden und sobald der Kunde auch noch eine dual Vendor Strategie, dann hat er schon verloren und bleibt auf dem Ding sitzen. Variante B: Der Kunde moechte ein bestimmtes Feature worauf die verschieden Abteilungen der Hersteller erst einmal unterschiedlich antworten. Der Vertrieb fragt erst einmal nach einem Business Case und ist dem ganzen gegenueber positiv eingestellt. Die Software Fraktion der Hersteller sagen, proprietaer ? Never ever, wir machen nur RFC konform und keine Sonderlocken.
Einzige mir bisher bekannte Ausnahme sind die Asiaten, wobei das vermutlich an deren Kultur liegt. Das funktioniert dort auch nur solange wie deren Arbeitskraft so preiswert ist.
Fuer RFCs im Hosting Bereich HTTP 2.0, SMTP etc. waeren meiner Meinung nach doch erst einmal die Hoster und die OS Entwickler gefragt, oder nicht ?
Sehe ich nicht so. Man muss nur die Teilnehmerliste vom jüngsten IETF-Meeting (in Berlin) anschauen, dann weiss man schon welche deutschen Firmen/Organisationen (oder deren Mitarbeiter) überhaupt mitwirken. Das ist alles sehr überschaubar:
https://www.ietf.org/registration/ietf87/attendance.py
rfc6571 ist „informational“, also kein „Proposed Standard“. Man kann sich die ganzen RFCs via ftp runterladen und dann einfach nach Firmen, Namen oder Orten suchen. Das habe ich vor ein paar Monaten mal gemacht.
Zu HTTP 2.0, SMTP und co:
Deutschland hat sehr viele große Hoster, inklusive der Telekom, Telefonica und Vodafone. Diese Unternehmen sind aber nicht aktiv an der Entwicklung beteiligt. Neben rein technischen Aspekten kommen hier viele Dinge aus Privacy/Interception, „US-Root-Recht“ und Verschlüsselung auf die Tagesordnung. Wenn das in den USA nichts zählt oder „kein Problem“ darstellt, dann wird das beschlossen.
Am Ende jammern deutsche Wissenschaftler, Politiker und CCC-Spezialexperten wieder über die „Kaputtheit“ von Verschlüsselungssystemen die einen „trust root“ besitzen oä. und Fraunhofer darf wieder ein „Alternatives Internet“ für die Mülltonne entwickeln (= Kohle beziehen).
Unternehmen wie United Internet/1&1, Deutsche Telekom, SAP und Co. aber auch öffentlich finanzierte Forschungseinrichtungen machen da gerade einen super schlechten Job, setzen auf Technologien und Vorgehensweisen aus den späten 90ern, verpassen hier wieder mal den Anschluss.
Die Telekom mit ihrer pseudo-ConsumerCloud und „deutschem Internet“ macht sich absolut lächerlich, die Hosting-Tochter Strato hat jeden Anschluss an Cloud-Computing verpasst. Weder haben sie „einen Deal“ mit Amazon, noch sind sie an industrieübergreifenden Projekten wie OpenStack beteiligt. Die Möglichkeiten Geld zu verdienen werden immer seltenen, derweil freuen sich Dropbox, Amazon AWS, Twillo und co.
Selbst Sipgate, einst ein großer Revoluzzer gegen die Deutsche Telekom, hat technologisch nichts weiter zu bieten als XML-RPC. Da wurde seit Jahren nichts mehr geschraubt. Twillo hingegen rollt den Markt auf als Lieferant für darauf aufbauende TK-DIenste und ist mittlerweile auch in einigen europäischen Ländern aktiv. Deutschland folgt sicher bald.
Nur mit IP-only Anschlüssen ohne weitere Dienste wird die Telekom, aber auch jeder Mitbewerber in Deutschland nie wieder Geld verdienen können. Die Chance liegt darin, eigene Mehrwertdienste auf dieser Basis zu entwickeln und diese weltweit zu vermarkten, anstatt sich zum einfachen „IP-Paketdienst“ abstempeln zu lassen.