Merkel im Internet – altbacken

Unsere Politiker betonen immer wieder wie sie das moderne Medium Internet nutzen, um mit den Bürgern in Kontakt zu treten. Dabei herrscht eine allgemeine ” a dabei” Mentalität. Die Website der Bundeskanzlerin ist ein schönes Beispiel wie unsere Politiker das Web nutzen.  Die Site dient vor allem dazu den Untertanen mitzuteilen, was die Kanzlerin alles Gutes für die Untertanen tut. Es fehlen alle Elemente, die zu einer Interaktion der Bürger mit der Regierungsspitze führen könnten. Die Technik und das Erscheinungsbild sind total veraltet. Anstatt eine bewährte Webplattform zu verwenden, die bei niedrigen Kosten viele Funktionen und hohe Zuverlässigkeit bringt, wird eine selbstgestrickte Plattform verwendet, bei der die geistige und finanzielle Armut  aus allen Nähten schaut. Man spürt direkt, dass man sich eigentlich nur aus Pflichtbewusstsein auf das Web einläßt.

Ganz anders dagegen die Website des Britischen Premierministers Number 10. Zunächst fällt das moderne Erscheinungsbild auf. Aber wichtiger ist der Inhalt. Ein ganz wichtiges Element schon auf der Hauptseite gibt es Angebote zum Mitmachen für die Bürger. Es gibt auch Hintergrundinformation, wie der Betrieb in Downing Street No. 10 läuft. Besonders interessant ist die Seite “How Your Money is Sent”  -  ein Überblick wofür das Geld der Steuerzahler ausgegeben wird. Obwohl die Darstellung sicher noch etwas verbessert werde könnte, würde man sich so eine Übersicht auch für die deutschen Regierungsausgaben wünschen. Transparenz als Regierungsziel gibt es aber bei uns nicht. Hier gilt mehr das Prinzip der “Security thru Obscurity”. Die Downing 10 Website benutzt die kommerzielle WordPress Plattform und wird mit Sicherheit mit weniger als 10% der Kosten der deutschen Website betrieben.

Nun kann man trefflich streiten ob die deutsche Bundeskanzlering oder der britische Premier Minister die bessere Politik macht. Im Internet liegt der Prime Minister eindeutig vorn.

IT Gehälter bei Google, Microsoft, Apple, IBM usw

Die IT Branche ist wahrscheinlich der Zweig in der Industrie, in der Köpfe wichtig sind und Kopfleistung auch honoriert wird. Die großen IT Firmen kämpfen deshalb um die besten Köpfe mit guten Gehältern und häufig auch Aktienoptionen bei neuen Firmen. Der Aufstieg Microsofts kann weitgehend durch die Gehaltspolitik erklärt werden. Gute Entwickler konnten vor 15 Jahren in wenigen Jahren zum Millionär werden. Kein Wunder, dass die besten Leute bei Microsoft Schlange standen. Das Gehaltsniveau der Mitarbeiter z.B. nach 10 Jahren in der Firma (da sind Ingenieure auf dem Höhepunkt ihrer Produktivität) zeigt, wieviel Wert die Firmen auf technische Entwicklung legen.

In der Gehaltsstatistik liegt zur Zeit Google  mit 141 k$ vor Microsoft (127 k$) und Apple (112 k$). Facebook taucht in der 10 Jahres Statistik gar nicht auf, weil es die Firma vor 10 Jahren noch gar nicht gab.  Google liegt mit 23 % über dem Schnitt der IT Industrie und zieht natürlich die besten Mitarbeiter an. Anders als in Deutschland können wirklich TOP Fachleute in USA aber auch mehr als 1 M$ im Jahr verdienen. Mit dem guten Image ist Apple auch mit etwas weniger Geld für gute Leute attraktiv.  Konservative Firmen wie HP (- 5%) und IBM (+ 5%) orientieren sich eher am Durchschnitt (98 k$) und bekommen wahrscheinlich auch durchschnittliche Mitarbeiter. Hier legt man wohl mehr Wert auf Standard Jobs und den Vertrieb.

Die Einstiegsgehälter in USA liegen zwischen 43 k$ (Apple) und  86 k$ (Microsoft) und zeigen, dass die Firmen recht unterschiedliche Modelle für die Gehaltsentwicklung haben. Die Einstiegsgehälter in Deutschland zur Zeit zwischen 38 k€ (54 k€) und 44 k€ ( 63 k$) zeigen schon die etwas geringere Wertschätzung speziell für sehr gute IT Leute in Deutschland. Schaut man sich dann noch die Netto Gehälter in Deutschland an, so sieht man schnell warum sehr gute IT Leute aus dem Ausland nicht unbedingt nach Deutschland kommen wollen.

Das Elend mit ELENA beendet – jetzt ist die Gesundheitskarte dran

Das in diesem Blog schon im Jahr 2008 vorhergesagte ELENA Desaster ist tatsächlich eingeteten (was nicht zu vermeiden war) und hat letzendlich auch zur Einsicht bei der Regierung geführt – was keinesfalls selbstverständlich ist. Außer hohen Spesen nichts gewesen.

Nun ist es an der Zeit das nächste unsinnige Kartenprojekt, das noch aus Zeiten der rot-grünen Regierung stammt, zu stoppen: die neue elektronische Gesundheitskarte. Genau wie bei ELENA sollen riesige Datenmengen gesammelt werde, die die betroffenen Patienten nicht kontrollieren können und die in von den Ärzten nicht benötigt werden Die Urologen interessieren sich eben meist nicht für die Augen der Patienten!

Siehe auch: Die Gesundheitskarte ist krank
Pinologie der Gesundheitskarte
Vertrauen in die Chipkartenbranche

Facebook Gründer starten neue Firmen

Während es in Deutschland kaum möglich ist, neue IT Firmen mangels Risikokapitals zu gründen, geben sich die technischen Führer nicht damit zufrieden, dem Wachsen ihres Vermögens ruhig zuzusehen. Sie scheiden bei Facebook aus und können es sich auf der Basis ihres erworbenen Vermögens leisten, neue innovative Firmen zu starten. Mit diesem Mechanismus sichert sich die US IT Industrie die weltweite Führung. Ohne erfolgreiche Start Up Firmen in Deutschland kann es auch keinen Schneeballeffekt geben. Für echten wirtschaftlichen Fortschritt genügt es nicht, das Risiko der Bankgeschäfte abzusichern. Das Geld der Bürger wäre besser angelegt, wenn man erfolgversprehende aber risokobehaftete Technologie Start Ups unterstützen würde. Hierfür fehlen aber in Deutschland die Mechanismen sowohl bei den Finanziers als auch bei der staatlichen Förderung. Lieber gibt man das Geld für risikolose Investitionen in überteuerte Solaranlagen mit garantierter (vom Verbraucher bezahlter) Rendite aus.

Basel III und Banking 2.0

Die Banken müssen in Zukunft gemäß der Basel III Regeln, ihre Geschäfte mit mehr Eigenkapital hinterlegen, was in der Regel zu einer Verminderung der Eigenkapitalrendite führt. Überraschend ist dabei, dass die Bankenlobby sich offensichtlich diesmal nicht gegen die Politiker durchgesetzt hat. Allerdings sind die Banker der Politik schon wieder einen Schritt voraus, sodaß sie den verschärften Regeln von Basel III ruhig ins Auge sehen können. Das Business Modell der Banker hat sich speziell im Investmentbanking aber auch im Kundengeschäft gewandlt. Das Geld wird nämlich zu einem geringen Teil wie früher mit der Zinsdifferenz zwischen Kredit- und Anlagezins erwirtschaftet sondern mit allerlei Gebühren für Transaktionen. Das kann man z.B. leicht an den Gebühren von Aktienfonds sehen. Gewinn und Verlust macht der Kunde vielleicht aber Gebühren kassiert die Bank sicher.

Neben den klassischen Börsen sind inzwischen viele Netz basierte Hochgeschwindigkeits Handelssysteme in Betrieb, auf denen munter auf Rechnung anderer gehandelt wird. Klassische Anleihen z.B. bei denen die Bank als Zwischenhändler auftritt (also zunächst Geld der Anleger sammelt und dann dem Unternehmen einen Kredit anbietet) werden zunehmend durch Direktanleihen der Firmen (z.B. Dürr Anleihe ähnlich wie Bundesschätzchen) ersetzt. Die Bank kassiert Gebühren wird aber nicht mit dem Risioko belastet und muss kein Eigenkapital hinterlegen. Das Kreditrisiko tragen dabei direkt die Kreditgeber. Das tun sie aber bei Bankkrediten letztendlich auch. Durch den Verkauf über das Web und eine billige Transaktionsplattform (Börse Stuttgart)  können Kreditgeber ihr Risiko selbst streuen. Das ist für viele Anleger sicher eine sinnvolle Option, nachdem die Banken auch mit extrem niedrigen Zinsen für die Kunden gezeigt haben, dass sie nicht einmal ihre eigenen Risiken managen können und der aufgeblähte Bankenapparat mit hohen Gehältern zu viel Geld der Kunden schluckt. Direktanleihen, die über das Web verkauft werden, sind wahrscheinlich auch der Schlüssel zur Finanzierung junger Unternehmen durch Experten, die sich im Geschäftsfeld der neuen Unternehmen besser auskennen als die Banken und auch bereit sind Risiken einzugehen.

Dadurch erübrigt sich auch meine Schlüsselfrage an jeden Bankberater: “Erklären sie mir bitte in drei Sätzen warum sie auf mein Geld besser aufpassen können als ich?” Bisher habe ich noch nie eine überzeugende Antwort erhalten.

Neuer Personalausweis – Sicherheitsexperten beim Chaos Computer Club?

Der Chaos Computer Club ist bei den Medien und inzwischen auch bei der Politik als Instanz, wenn es um Computersicherheit geht, anerkannt. Dabei finden die Experten vom Chaos Computer Club immer wieder technische Schwachstellen, die dann medienwirksam in Zeitungen und Fernsehen platziert werden. So verdienstvoll das Wirken des Chaos Computer Clubs auch für die Öffentlichkeitsarbeit für Computer Sicherheit ist, so unsinnig sind häufig die technischen Analysen.

Beim neuen Personalausweis wird bemägelt, dass z.B. der PIN von einem Trojaner auf dem PC abgegriffen werden kann, wenn der PIN auf der PC Tastatur eingegeben wird. Der CCC empfiehlt deshalb einen teuren Chipkartenleser mit eingebauter Tastatur für die PIN Eingabe. Damit lässt sich das größte Sicherheitsrisiko “Digitale Unterschrift unter illegales Dokument” aber nicht lösen. Das größte Risiko sind dabei genau wie heute Abzocker Websites, die den Kunden Dokumente unterschreiben lassen, die sie nicht verstanden oder nie angezeigt bekommen haben. Dafür braucht es keinen Trojaner auf dem PC. Mit einem Trojaner kann man natürlich dem Benutzer beliebige Dokumente zum Unterschreiben unterschieben.

Bei der digitalen Identifikation, die auch mit dem neuen Personalausweis möglich sein soll, ist das Problem meist nicht beim Benutzer sondern auf der anderen Seite – beim Anbieter .

Sicherheit kann man generell nur mit kompletten Systemen erreichen, bei denen alle Komponenten vom Antrag über die Ausgabe, Nutzung und Vernichtung sowie die Hardware- und Softwarekomponenten aufeinander abgestimmt sind.  Sinnvoll werden die Systeme auch dann automatisch nicht. Wie wollen denn die deutschen Behörden mit in Deutschland ansässigen Ausländern kommunizieren, die gar keinen deutschen Personalausweis haben oder die sich in ihrem Heimatland gegen geringe “Gebühr”  einen neuen Ausweis ausstellen lassen können. Unvergessen ist der Fall des griechischen Professors an der Technischen Hochschule in Stuttgart auf dessen Pensionierung sich schon alle freuten. Als er aus dem Urlaub in Griechenland zurück kam, war er plötzlich vier Jahre jünger und verharrte weitere vier Jahre auf seinem einträglichen Posten.

PS Tip: falls die Behörden unentgeltlich einen Chipkartenleser verteilen, sollte man unbedingt zugreifen. Den kann man nämlich sehr gut für sinnvolle private Anwendungen nutzen. Ich verwende z.B. seit über zehn Jahren einen Plug&Play Chipkartenleser und eine sichere private Chipkarte um Benutzernamen, Passwörter, Kontonummern usw zu speichern und auf verschiedenen Rechnern zu nutzen.

Nachtrag am 9.12.2010: Inzwischen gibt es kostenlose (von der Bundesregierung mit 24 Mio € gesponsert) Chipkartenleser für den Personalauseis z.B. in der DVD Ausgabe 26/2010 von Computer Bild. Den sollte man sich unbedingt besorgen. Von Computer Bild gibt es dafür eine einfache gesicherte Speicherkarte für Benutzernamen, Passwörter und sichere Notizen. Das ist sicherheitstechnisch nicht gerade eine hochsichere Lösung aber sehr praktisch.

Löblich ist, dass die Bundesregierung zumindest den Versuch unternimmt einige nutzbare Funktionen für den neuen Ausweis anzubieten. Das Sponsoring von Lesern und der Vertrieb über eine Consumer Zeitschrift ist durchaus sinnvoll. Ob das aber ausreicht die Zusatzfunktionen des neuen Personalausweises populär zu machen, wird man sehen. Eines der Hauptprobleme ist, das erst in 10 Jahren alle Deutschen einen solchen Ausweis haben. EU Bürger und andere Ausländer sowie Kinder bleiben aber auch dann außen vor.

Die nächste IT Dummheit: De-Mail

Nachdem so ziemlich alle Projekte der Regierung mit Sicherheitsrelevanz (Gesundheitskarte, Pass, Ausweis, Elena) entweder gescheitert oder dem Bürger nur zusätzliche Kosten gebracht haben, hat sich die deutsche IT Sicherheitsbranche wieder was Neues ausgedacht – De-Mail zum rechtssicheren und vertraulichen Austauch von elektronischen Dokumenten. Das ist genau was der Internet Gesellschaft noch gefehlt hat, die bisher problemlos Milliarden von elektronischenen Mails und  Rechnungen ohne Einmischung von Bürokraten und selbst ernannten Kontrolleuren versendet und empfangen haben. Firmen und Privatpersonen, die vertrauliche Informationen austauschen wollen, können das heute mit Standardsoftware, auf die kein Auge der BSI gefallen ist, problemlos tun. Dabei wird die Nachricht beim Absender verschlüsselt und beim Empfänger entschlüsselt. Hierfür muss man als Absender auf den öffenlichen Schlüssel des Empfängers zugreifen. Das ist inder Regel kein Problem, da sich die Zahl der Personen und Firmen mit denen man vertrauliche Nachrichten austauscht, in Grenzen hält. Firmen, die aber vertrauliche eMail an sehr viele Kunden verschicken wollen, haben aber ein Problem, da sie den öffentlichen Schlüssel der Kunden kennen müssen. Um dieses Problem bei De-Mail bei De-Mail zu vermeiden, wird die Firmenpost an den De-Mail Betreiber (z.B. Deutsche Post) mit dem öffentlichen Schlüssel des De-Mail Betreibers verschlüsselt, anschließend mit dem geheimen Schlüssel des DE-Mail Betreibers entschlüsselt und mit dem öffentlichen Schlüssel des Kunden verschlüsselt und dem Kunden zugeschickt. Für Firmen und Kunden hat das den Vorteil, dass sie nur den öffentlichen Schlüssel des De-Mail Anbieters kennen müssen. Dafür sind sie aber komplette von dem De-Mail Anbieter abhängig und müssen sich darauf verlassen, dass ihre eMail wirklich vertraulich behandelt wird. Das ist aber kein wesentlicher Unterschied zum heutigen Verfahren, bei dem die Vertraulichkeit durch den eMail Anbieter gewährleisttet wird.  Das versprochene Plus der “Rechtswirksamkeit” ist aber ein Danaer Geschenk.

Wie immer, bei von oben initiierten Programmen, hat man die Vorteile für die Bürger schlichtweg vergessen. Dadurch gibt es auch zum Glück keine langfrisitge Finanzierung für das Projekt. Nur ein völlig bescheuerter Bürger wird sich bei einem De_Mail Anbieter registrieren lassen, damit ihm jeder Internetgauner “rechtswirksame” Rechnungen und Mahnungen ohne Portokosten zuschicken kann. Beim Faldversuch in Friedrichshafen, wurde z.B. die gesicherte Zusendung des monatlichen Gehaltszettels als Schlüsselanwendung erprobt. Ich frage mich, wie die Gehaltszettel bisher verteilt werden. Eine sinnvolle Funktion wäre die rechtmäßige Kündigung von im Internet abgeschlossenen Verträgen. Dafür muss man meist heute noch einen Papierbrief schreiben. Das dient aber nicht der Rechtssicherheit sondern ist ein Trick der Industrie, die Kündigung für die Verbraucher zu erschweren. (Nichts läßt sich leichter fälschen als der Absender un die Unterschrift bei einem Brief!) Hier müsste man einfach eine Verbraucherschutz Klausel erlassen, dass jeder Vertrag, der im Internet mit einem simplen Mausklich geschlossen werden kann, auch  im Internet gekündigt werden kann.

Rechtssicher sind Dokumente eigentlich nur, wenn sie von einem amtlichen Notar beglaubigt werden. Wer’s nicht glaubt kann sich die vielen Gerichtsprotokolle ansehen, bei denen es um gefälschte Dokumente und gefälschte Unterschriften geht. Auch das Briefgeheimnis ist eine Fiktion, wenn schlechtbezahlte “Postboten” die Post in Abfallbehältern entsorgen oder Landtagsabgeordnete in Baden-Württemberg ihre vertrauliche Post nach dem Lesen in einen Papiercontainer auf die Straße stellen.  Schon im Altertum und im Mittelalter wurden Briefsiegel gebrochen und wieder repariert – besonders die Klöster haben da exzellente Technologie entwickelt.

Das Interesse der Betriebe an De-Mail wird sich wohl auch in Grenzen halten, da sie ja auch heute problemlos im In- und Ausland mit beliebiger Sicherheitsstufe und ihrer Standard Email Software (Microsoft Exchange, Thunderbird u.a.)  können.  Damit wird wohl die De-Mail wie ähnliche Projekte, nachdem die Forschungsgelder ausgegeben wurden, in der Versenkung verschwinden. RIP