Psst – nichts verraten – alles geheim

Ich arbeite als Freiwilliger bei dem Projekt OpenStreetMap (OSM) mit. Der Name ist eigentlich auf zweierlei Art und Weise falsch. Zum Einen ist es keine Karte, sondern eine Sammlung georeferenzierter Daten, aus der sich Karten erstellen lassen und zum Anderen ist diese nicht auf Straßen beschränkt. Es werden auch andere Wege, Gebäude, Adressen, Flächennutzung und Orte von Interesse (POIs) also etwa Geschäfte, Schulen oder Postkästen erfasst. Außerdem werden auch andere Infrastrukturen erfasst zum Beispiel Daten zur Stromversorgung und -generierung oder Bahninfrastruktur. Die Datenmenge ist enorm und wird ständig erweitert und aktualisiert. Was nicht gespeichert wird, sind persönliche Daten, also etwa wer wo wohnt.

Dieser Datenschatz wurde von Freiwilligen zusammengetragen und darf frei und kostenlos,unter den Bedingungen der ODbL, verwendet werden. Die Nutzer der Daten werden immer zahlreicher, immer mehr Personen, Gruppen und Firmen entdecken die Möglichkeiten der freien Daten. Leider gibt es auch immer mal wieder Leute oder Institutionen, die meinen, bestimmte Daten müssten aus unterschiedlichen Gründen gelöscht werden. Grundsätzlich für OSM die sogenannte „On-the-Ground“-Regel. Ich solle also nur Daten erfassen, die ich vor Ort überprüfen kann. Für manche Daten, wie etwa Gemeindegrenzen ist das schwierig, aber wenn ich einen Funkmast sehe, dann ist dort ein Funkmast und darf ihn auch erfassen. Und das dort ein Funkmast steht kann jeder Ort sehen, aber es gab schon mal die Bemerkung seitens einer Behörde, wir dürften den Funkmast nicht kartieren, weil der Standort ein Geheimnis sein. Wenn ich den Mast aber aus mehreren Kilometern sehen kann, wie soll das denn bitte schön ein Geheimnis sein?

Überhaupt scheint gerade in Behörden der Eindruck zu entstehen, die Daten gehören dem Beamten höchstpersönlich. Dass alle staatlichen Daten mit Steuergeldern erstellt wurden und dem Wohle der Allgemeinheit dienen sollten, ist noch nicht in viele Amtsstuben vorgedrungen. Bekommt OSM amtliche Daten, stellt sich auch immer wieder fest, daß diese Daten fehlerhaft sind. Wir melden die Fehler natürlich auch gerne an die Behörden zurück, damit die amtlichen Daten der Realität angepasst werden können.

Gerne melden sich auch mal Jäger, die ihre Hochsitze nicht in OSM sehen möchten. Schließlich könnten ja militante Tierschützer, die Hochsitze ansägen. Dass diese „Tierschützer“ die Hochsitze auch ohne OSM ansägen könnten, verstehen diese zumeist älteren Herren wohl nicht.

Haben bestimmte Gruppen keine Lust, mit OSM zusammen zu arbeiten, wir oft fälschlicherweise der Datenschutz vorgeschoben. Ein andere OSMler fragte etwa mal an, ob er eine Liste sämtlicher Apotheken in Schleswig-Holstein bekommen könnte, zum Abgleich der Daten. Diese Liste verweigerte die Apothekenkammer mit dem Hinweis auf den Datenschutz. Was an Anschriften von Apotheken schützenswert sein soll, wurde allerdings nicht erläutert.

Es wird in letzter Zeit auch immer mehr mit dem Argument „Sicherheit vor Anschlägen“ gedroht, um Daten aus der Datenbank entfernen zu lassen.

Aktuell macht irgendein Wasserversorger mal wieder ein Fass auf und meint, die Daten zur Lage der Wasserleitungen wären geheim. Sonst könnte ja irgendein böser Mensch was Schlimmes mit den Wasserleitungen machen. Anscheinend scheint der Versorger nicht zu wissen, daß seine Wasserleitungen zwar unterirdisch liegen, man aber trotzdem ganz leicht herausfinden kann wo sie liegen. Überall sind im Boden Absperrventile und Hydranten. Auch bei Tiefbauarbeiten kann man leicht erkennen wo sie liegen. Wer also etwas Schlimmes machen will, kann das auch ganz ohne OSM. Er muß einfach nur selbst die Augen aufmachen.

Vielleicht kann OSM ja auch hier helfen, die amtlichen Daten zu verbessern. Denn auch bei den Versorgern sieht die Datenlage nicht immer gut aus. Wie oft kommt es vor das ein Bagger ein Kabel oder ein Rohr durchtrennt, weil es nirgendwo eingetragen war? Trauriger Höhepunkt war ein Unglück vor einigen Jahren in Itzehoe, bei dem vier Menschen starben, weil ein Bagger eine Gasleitung beschädigte, die auch nicht in den ach so korrekten und ach so geheimen amtlichen Daten erfasst war.

Passwort-Manager

Seit einiger zeit nutze ich einen Passwort-Manager. Damit kann ich die Flut unterschiedlicher Passwörter in Griff kriegen. Bekannterweise soll man ja für unterschiedliche Dienste unterschiedliche Passwörter benutzen, am besten lang und komplex.

Das ist mit einem Passwort-Manager kein Problem. Man kann dort komplexe Passwörter generieren lassen und verschiedene Einträge speichern. Meine Wahl ist auf das Open-Source-Tool KeepPass 1.x gefallen. Es gibt zwar auch die 2.x-Version. Diese läßt sich aber nicht portabel auf einem USB-Stick nutzen.

Die Datenbankdatei mit den Passwörtern mir von Keepass mit AES verschlüsselt. Ich synchronisiere die PW-Datei über mehrere Geräte, damit ich überall den gleichen Stand habe. Damit ich aber Herr über meine Daten bleibe, nutze ich dafür Nextcloud (Nachfolger/Fork von Owncloud) wofür ich einen eigenen kleinen Server betreibe; über den ich übrigens auch Kalender und Kontakte mit der Familie teile. Von proprietären PW-Managern, die ihre Daten auf deren eigenen oder fremden Servern speichern, ist abzuraten.

Natürlich muß die Datei mit einem SEHR guten Passwort geschützt werden. Das ist hier soll nicht das schwächste Glied sein. Denn wer Zugriff auf die entsperrte Datei hat, hat Zugang zu allen gespeicherten Online-Konten.

Bei der Benutzung von KeePass kann man nicht nur Benutzernamen und Passwörter kopieren und in die jeweilige Anwendung einfügen, es gibt es Auto-Type-Befehle, die beides gleichzeitig machen oder noch weitere Felder für den Login ausfüllen.

Leider gibt es immer mal wieder Dienstanbieter, die meinen, man müßte das Einfügen von Daten aus der Zwischenablage aus mir unerklärlichen Gründen sperren. Aktuell ist es Ebay, die so verhindern, daß man starke Passwörter nutzt. Wer weiß, wo man sich mal bei Ebay beschweren kann, bitte Info an mich.


Nachtrag 15.11.16

Das Ebay-Problem ist wohl ein wenig komplexer. KeePass kann zwar Passwörter und Benutzernamen in die Zwischenablage kopieren. Die Autotype-Funktion arbeitet aber anders. Hier werden wohl die Tastaturdrücke simuliert. Um bei Ebay ein neues Passwort einzugeben muß man also die Auto-Type-Sequenz anpassen, daher hier das Einfügen über die Zwischenablage nicht funktioniert.

Außerdem komme ich aber auch mit dem Auto-Type; und natürlich mit den richtigen Zugangsdaten nicht in meinen Account. Nach dieser Prozedur akzeptiert Ebay nicht mal mehr meine manuell eingetippten Login-Daten.


Nachtrag 29.11.16

Jetzt funktioniert es bei Ebay wieder.

Wikipedia und die Lösch-Admins

Ich bin Freund von Open Source und freiem Wissen. Projekte wie Wikipedia oder OpenStreetMap sammeln weltweit das Wissen Vieler und stellen es Allen kostenlos und frei zur Verfügung.

Was mich insbesondere bei der deutschen Wikipedia stört, sind die restriktiven Regeln und deren noch restriktivere Auslegung und Kontrolle durch die Admins. Nahezu jeder neue Artikel wird mit einem Löschantrag oder Schnelllöschantrag bedacht. Wer das nicht kennt, der soll sich mal die Liste der aktuellen Löschdiskussionen ansehen. Anscheinend gibt es dort einen Wettbewerb, wer wie schnell die meisten Löschanträge stellt.

Die zwei meist genannten Kriterien für die Löschanträge sind „keine Relevanz“ oder „schlechter Artikel“. Für „Relevanz“ im Sinne der deutschen Wikipedia gibt es einen Haufen Regeln. Fiktionales ist hier überhaupt nicht zugelassen. Für Personen gibt es auch strenge Richtlinien. Das führte 2014 zu der absurden Situation daß, ein Artikel über Lila Tretikov, die damals die Geschäftsführung der internationalen Wikimedia-Foundation (die Oganisation hinter der Wikipedia), gelöscht werden sollte. Tretikov wäre „nicht relevant“. Die Diskussionen über die Relevanz sind teilweise noch recht sachlich. Schlimm sind aber die Diskussionen, über Artikel, die nicht den Qualitätsansprüchen entsprechen. Das ist echt peinlich, was dort in den Diskussionen steht. Daß ein Artikel vielleicht nicht gleich hundertprozentig fertig ist, ist doch normal. Man fängt an und dann wird der Artikel ergänzt und verbessert. Das war auch schon bei den allerersten Wikipedia-Artikeln so. Vor allem vor dem Hintergrund, daß neue Artikel noch wegen angeblich fehlender Relevanz gleich gelöscht werden, kann man die Autoren verstehen, daß sie nicht gleich stundenlang an einem Artikel schreiben, der sowieso bald wieder verschwindet.

Man könnte bei einem neuen Artikel auch aufrufen, diesen zu erweitern, gegen zu lesen und zu korrigieren. Aber man startet lieber eine Lösch-Diskussion.

Warum wundert man sich eigentlich, daß die Artikelanzahl der deutschen Wikipedia nicht nennenswert wächst und die Autorenanzahl sogar abnimmt?

Ich habe das Gefühl, daß OpenStreetMap (OSM) da offener ist. Es gibt wenig, was dort nicht gewünscht ist (z.B. personenbezogene Daten oder sich schnell verändernde Daten). Eine richtige Relevanzdiskussion habe ich bisher noch mitbekommen. Außerdem werden „Neulinge“ oft von anderen Teilnehmern unterstützt, damit diese nicht so viele Fehler machen. Es gibt auch nur eine sehr niedrige Hierarchie. Außer den normalen Usern, gibt noch die „Data Working Group“, die in Konfliktfällen User temporär oder dauerhaft sperren können. Die meisten Sperrungen, die hier einsehbar sind, werden allerdings automatisch aufgehoben, wenn der User die entsprechende „Verwarnung“ gelesen hat.

Indiens eigene Sicht der Welt

Indien ist auf dem Wege freies Wissen zu zensieren. Es sollen nur noch lizenzierte Kartendienste zugelassen sein. Und zwar solche die, die indischen Grenzen so zeigen, wie es die indische Regierung für richtig hält.

Strittige Grenzverläufe dürfen nicht gezeigt werden. Damit wäre dann auch OpenStreetMap in Indien illegal. Damit befände sich Indien in bester Gesellschaft. auch China darf nur staatlich genehmigtes Kartenmaterial verwendet werden. Ihr eigenes Koordinatensystem haben sie auch,  GPS ist verboten und Google und Co beugen sich der Zensur Chinas und zeigen nur eingeschränkte, verfälschte und verschobene Daten.

Es gibt ein Leben ohne Google

„Don’t be evil“ lautete mal das Motto Googles. Google wollte nicht nicht zu den Bösen gehören. Mittlerweile ist Google nicht nur das Synonym für die Suche im Internet, sondern auch ein Symbol für die privaten Datenkraken. Google bietet verschiedene Dienste an, die sehr gut mit einander verzahnt sind. Bei jeder Benutzung hinterläßt der Nutzer Datenspuren, die Google zur Personalisierung von Werbung nutzt. Im Grunde genommen ist Google eine riesige Werbeplattform.

Ich versuche ohne Google auszukommen; und auch sonst keine großen Profile im Netz zu hinterlassen. Zur Internetsuche nutze ich z.B. ixquick oder Bing, auch wenn die zu einem anderen Datenriesen gehören. Cookies sind im Browser deaktiviert, oder es werden seitenbezogen Ausnahmen definiert z.B. Sessioncookies für bestimmte Websites.

Als Kartendienst nutze ich natürlich OpenStreetMap, wo ich ja selbst Beitragender bin.

Mein Smartphone läuft zwar unter Android, aber mit CyanogenMod. Die Google-Apps habe ich mir natürlich nicht installiert. Meine Apps beziehe ich aus dem App-Store von FDroid. Die Auswahl ist zwar eingeschränkt, aber alles frei und Open Source. Sollte es eine App dort nicht geben, die mich interessiert, schaue ich auf der Herstellerseite nach und frage gegebenenfalls nach, warum sie keinen direkten APK-Download anbieten.

Ich habe zuhause einen kleinen Server laufen, ein Cubietruck. Auf dem läuft eine Instanz von ownCloud, mit den Plugins calendar und contacts. Auf der Smartphoneseite läuft die Synchronisation über DAVdroid. So kann ich mir mit meiner Frau mehrere Kalender teilen, ohne, daß Dritte darauf Zugriff haben.

E-Mail läuft natürlich auch nicht über Google. Ich habe verschiedene Postfächer bei diversen Freemail-Providern, sowie mehrere Postfächer unter verschiedenen Domains, bei meinem Webhoster. Traum wäre natürlich ein eigener Mail-Server. Der ist aber mangels fester IP-Adresse zu Hause nicht realisierbar.

Ich bin zwar in vielen Foren und Communties unterwegs. Allerdings unter verschiedenen Pseudonymen und mit unterschiedlichen E-Mail-Adressen. Soziale Netze wie Facebook oder WhatsApp nutze ich natürlich nicht. Es ist schon eine Schweinerei, wie Facebook und Co auf Profile von Nichtnutzern bilden können, in dem sie sehen, daß meine E-Mail-Adresse bei A und B in den Adressbüchern steht.

Auch auf Clouddienste verzichte ich größtenteils. Und wenn, dann lade ich dort nur stark verschlüsselte Container hoch. Man sollte sich immer vergewissern, daß die Cloud, eigentlich nur Computer anderer Leute sind.

Völlig ohne Google geht es leider doch nicht. Es gibt es eine Google-Group, die mich interessiert. Um diese zu lesen, habe ich folgendes gemacht. Ich habe mir bei Google einen Fake-Account eingerichtet, der diese Gruppe abonniert hat. Alle Nachrichten werden an einen ansonsten unbenutzen E-Mail-Alias einer der erwähnten Free-Mail-Adressen weitergeleitet. So hat Google keine Informationen über mich. Schreiben ist zar so nicht möglich, war bisher aber auch nicht nötig.

Man sieht, es geht also (fast) ohne Google. Es ist zwar etwas Aufwand. Aber es lohnt sich. Man wird nicht zum Datenlieferanten eines Werbekonzerns und man ist Herr der eigenen Daten. Mal abgesehen von den Transportwegen. Die sind zwar weitestgehend alle verschlüsselt. Aber so ganz sicher kann man sich ja nie sein, wer da alles an der Leitung lauscht oder mitspeichert.

OpenSource-Nutzung von Militär und Geheimdiensten

Beim Beitrag Hackerethik vom CCC-Podcast Chaosradio ging es darum, ob man Nutzung von Open-Source-Software (OSS) durch Geheimdienste und Militär einschränken/verbieten sollte und wie man das machen könnte. Im Grunde genommen ist der Ansatz ja nicht schlecht: Ich habe es etwas geschaffen, was der Allgemeinheit dient, allerdings soll es nicht von „den Bösen“ genutzt werden dürfen.

Da ist aber schon eine große Unklarheit: Wer sind „Die Bösen“? Die Teilnehmer des Podcastes waren überwiegend der Meinung, daß Militär und Geheimdienst dazugehören. Aber auch diese Klassifizierung finde ich schon schwierig. Zählt denn als Militär auch eine Miliz, die gegen einen Diktator kämpft? Will man dieser die Nutzung OSS verbieten? Das muß ja keine Software sein, die direkt in Waffensystemen benutzt wird; das könnte auch einfach eine Bilbliothek sein, die ein E-Mail-Programm nutzt.

Ich bin auch grundsätzlich gegen Gewalt. Ich habe den Wehrdienst verweigert. Bei einem Vorbereitungstreffen wurden auch Fragen gestellt, die man eventuell beim Verweigerungsausschuß zu hören bekommt. Das sind stets Sitautionen, in denen man der einzige ist, der verhindern kann, daß zum Beispiel die ganze Familie/das ganze Dorf getötet werden, in dem man den/die Angreifer mit Waffengewalt davon abhält. Bei einer Weigerung, die Waffe zu benutzen, wird die Situation verschärft. Irgendwann sollte jeder Normaldenkende einsehen, daß es Situationen geben kann, in denen man sich mit Waffengewalt verteidigen muß.

Ich bin der Meinung, daß man freies Wissen nicht einschränken sollte. Jede Einschränkung verhindert Interoperabilität. Wir haben jetzt schon so viele inkompatible freie Lizenzen. Wenn ich etwas für die Allgemeinheit schaffe, dann soll es auch von jedem uneingeschränkt nutzbar sein, deswegen tendiere ich zu Public-Domain bzw. CC0. Wenn das ansonsten weiter denkt, wird es immer mehr Einschränkungen geben. Da gibt es vielleicht jemanden der, verständlicherweise, nicht möchte, daß seine Programme von Neonazis genutzt werden. Ein anderer Entwickler, der in den USA sitzt und generell gegen Moslems ist und sich völlig im Recht sieht, möchte nicht, daß diese seine Programme nutzen. Für einen saudiarabischen Programmierer, sind vielleicht alle westlichen Bürger und Christen die Bösen.

Man sollte solche Bewertungen aus OSS und anderem freien Wissen (Wikipedia, OpenStreetMap) heraus halten. Wenn die NPD mit OSM und meinen dortigen Eintragungen Anfahrtspläne für ihre Demo macht, gefällt mir das auch nicht. Aber so ist das halt bei OpenSource; es ist frei und ich kann, soll und darf nicht die Nutzung, aus irgendwelchen Gründen verhindern.

Ich mache das solange, wie ich überzeugt, das die positive Nutzung überwiegt. Man sollte als Entwickler auch kein schlechtes Gewissen haben, nur weil zum Beispiel ein selbst entwickelter Komprimierungsalgorithmus in einer Überwachungssoftware genutzt wird. Solange man nicht direkt die Steuerung von Atomsprengköpfen programmiert, ist doch alles in Ordnung.