Zeit für ein Digital Civil Rights Movement
|
Vorab: Meine Freunde und Bekannten kennen mich als
jemanden, der Verschwörungstheorien jeder Art ziemlich abhold ist und mit
größter Skepsis gegenübersteht. Der/die geneigte Leser/Leserin
möge dies bedenken, wenn die folgende Story recht abenteuerlich klingt und
mit Ingredienzien typischer Verschwörungstheorien ausgestattet ist. Am
Schluss der Seite finden sich einige
Verweise auf Seiten mit
umfassenderen Informationen. |
Welche Gefahr droht uns da?
Weite Bereiche unseres täglichen Lebens sind
mittlerweile vom Gebrauch von Computern durchdrungen. Wir kennen Computer als
Geräte,
- die wir frei programmieren können (für mich wie
für Kollegen meines Faches nach wie vor einer der wichtigsten Aspekte),
- mit denen wir beliebige Daten frei verarbeiten
können und denen wir, sofern sie korrekt funktionieren, wichtige
Informationen anvertrauen können, ohne dass diese Dritten zugänglich
werden,
- die uns über das Internet freien Zugang zu
vielfältigen Informationen und offenem Meinungsaustausch geben.
All das wird in Frage gestellt. Bereits in wenigen
Jahren kann jede der genannten Funktionen der Vergangenheit angehören.
Wie kann das passieren?
Kürzlich sind Pläne eines Firmenkonsortiums
bekannt geworden, dem an die 200 – vorwiegend amerikanische – Firmen
aus der Hard- und Softwarebranche angehören. Bemerkenswerterweise
behandelt das Firmenkonsortium seine Mitgliederliste inzwischen als
Verschlusssache, sodass im Netz nur veraltete Listen zur Vefügung stehen
(mehrfach gepostet im unten verlinkten Heise-Forum). Doch schon diese Listen
lesen sich wie ein Who is who der Computer- und Unterhaltungsindustrie. Die von
diesen Firmen repräsentierte Marktmacht ist erdrückend, und wenn wir
als freie Bürger deren Bestrebungen nicht gutheißen, dann ist es
allerhöchste Zeit, etwas dagegen zu unternehmen.
Worum geht es bei diesem Projekt mit dem technisch
klingenden Namen Trusted Computing Platform Alliance (TCPA)? Durch eine
Kombination von Hardware- (so genannter Fritz chip) und
Softwaremaßnahmen soll sicher gestellt werden, dass auf einem Computer
nur noch Programme laufen können, die von einer Zertifizierungsstelle des
Konsortiums (oder einer von
diesem anerkannten) für sicher befunden wurden und ein entsprechendes
Zertifikat erhalten haben. Das wird beim Start des Systems und beim
Programmstart mit Hilfe eines Zertifikats-Servers im Netz kontrolliert. Die
Zertifizierung eines Programms (für dessen Hersteller) wird nicht
kostenlos sein, sondern – diese konkrete Angabe liegt vor – einen
«sechsstelligen Dollarbetrag» kosten.
Weiterhin sollen nur solche Dateien geöffnet werden
können, für die der Benutzer die Berechtigung besitzt. Auch dies wird
durch Kontaktaufnahme des Rechners mit einem Zertifikatsserver im Netz
überprüft.
Der Datenaustausch mit dem Zertifikatsserver wird mit einem
sicheren Verfahren
verschlüsselt.
Wozu dieser ganze Aufwand?
Der vordergründige Zweck dieser Maßnahmen ist,
Raubkopierern von Programmen und Daten (wie urheberrechtlich geschützten
Musikstücken und Filmen) das Handwerk zu legen und weiterhin den Urhebern
(beispielsweise geheimer) Dokumente Kontrolle darüber zu geben, wer mit
diesen Dokumenten was tun darf. Die Bezeichnung für diesen
Anwendungsbereich ist Digital Rights Management (DRM).
Nun liegt es mir fern, für Raubkopierer eine Lanze zu
brechen, aber das Projekt schüttet in so eklatanter Weise das Kind mit dem
Bade aus, dass wohl reichlich Naivität dazu gehört, zu glauben, die
«Nebenwirkungen» seien den beteiligten Firmen unbekannt oder von
diesen nicht beabsichtigt. (Dies umso mehr, als unter den Firmen des
Konsortiums jene für die Qualität ihrer Produkte und ihre
Wahrheitsliebe sattsam bekannte Softwarefirma aus dem Nordwesten der USA ist,
bei der schon oft und gerichtsnotorisch die öffentlich vorgetragenen
Zielsetzungen und tatsächlichen Intentionen, nun ja, stark divergierten.)
Ich will nur einige der denkbaren Nebenwirkungen aufzählen; schon daraus
dürfte hinreichend deutlich werden, dass sie gegenüber den oben
genannten Punkten weit überwiegen, und zwar auch dann noch, wenn man
berücksichtigt, dass nicht alles Beschriebene im vollen Umfang eintreten
muss – ich beschreibe hier Aspekte eines Worst-case-Szenarios.
- Neben illegalen Raubkopien werden auch die legalen
Privatkopien unmöglich gemacht.
- Der Zugriff auf Datendateien muss kontrolliert werden;
das heißt, dass der Rechner des Nutzers verschlüsselte Informationen
über die Datei an den Zertifizierungsrechner sendet. Bei einer derart
verschlüsselten Datenübertragung am Nutzer vorbei ist auch die
(zumindest teilweise) Übertragung von Dateiinhalten zur
Überprüfung möglich. Das Konsortium kann so Zugriff auf
Nutzerdaten erlangen.
Ergo: Man hat keine Wahl, ob man dem Konsortium
seine Daten zugänglich machen möchte, man muss es. Der Verrat
am Nutzer ist im Computer eingebaut.
- Als Konsequenz: Man ist der Entscheidung des Konsortiums
ausgeliefert, ob das Zertifikat erteilt wird. Schriebe ich also auf einem
TCPA-Rechner einen Text wie diesen, und das Konsortium hätte –
vielleicht nicht unvorstellbar – kein Wohlgefallen daran, so könnte
es (ganz aus Versehen?) passieren, dass ich selbst darauf keinen Zugriff mehr
bekomme oder der Text von meinem Computer gelöscht wird. Oder Sie, liebe
Leserin/lieber Leser, bekommen den Text nicht zu sehen, weil Ihr
TCPA-Computer Ihnen auf Weisung des Zertifikatsservers den Zugriff verweigert.
Als Extremfall: das Konsortium setzt einen anderen Text an seine
Stelle.
M.a.W.: Das Konsortium verfügt über Mittel, die es
ermöglichen, jederzeit die Erstellung, Speicherung und Verbreitung
missliebiger Informationen nach Gutdünken zu unterbinden. Der freie
Meinungsaustausch ist nicht länger gewährleistet. So etwas nennt
man Zensur.
- Das Konsortium erlangt so auch uneingeschränkten
Zugriff auf die Datenbestände in der öffentlichen Verwaltung, auf den
Rechnern von Regierungen und Parlamenten. Da die Verwaltungs- und
Regierungsarbeit von Rechnern durchdrungen ist wie jeder Bereich unseres
Lebens, eröffnen sich subtile Möglichkeiten für eine
etwaige
Einflussnahme auf Verwaltungen und Regierungen – weit
jenseits des Rahmens herkömmlicher Lobbyarbeit.
- Man darf einen Haufen Geld für einen schnellen
Prozessor ausgeben und hat anschließend allenfalls einen Bruchteil der
Rechenleistung für die eigenen Zwecke zur Verfügung – der Rest
der vom Nutzer bezahlten Leistung geht für die
Überwachungsaufgaben des Konsortiums drauf.
Jeder muss für die
Kosten der eigenen Ausspionierung aufkommen.
- Kleine und mittelständische Softwareunternehmen, die
nicht regelmäßig sechsstellige Beträge für die
Zertifizierung ihrer Programme aufbringen können, werden über kurz
oder lang auf der Strecke bleiben.
Es kommt noch schlimmer: Software, die
mit den Geschäftsinteressen des Konsortiums kollidiert, kann durch
Verweigerung der Zertifizierung vom Markt gedrängt werden. (Die
Verweigerung kann auch anders heißen: Sicherheitsprüfung komplexer
als angenommen, dauert länger; Sicherheitsbedenken nicht ausgeräumt,
Test nicht bestanden.)
Konkurrenz wird ausgeschaltet, das Konsortium
vergrößert seine Marktmacht.
- Die in den letzten Jahren sehr erfolgreiche
Open-Source-Software z.B. unter der Gnu Public License (GPL) wird ad
absurdum geführt. Dazu gehört unter anderem das auch von der
großen Redmonder Softwarefirma bereits als ernsthafte Konkurrenz
angesehene Linux. Mit TCPA reicht nämlich die Weitergabe des Quelltextes
nicht mehr aus, um dem Empfänger die Modifikation und Herstellung eigener
lauffähiger Programme zu ermöglichen: zusätzlich müssen
erst einmal die Zertifizierungskosten aufgebracht werden.
Linux und
andere freie Software können mit TCPA stranguliert werden.
- Damit das System wasserdicht ist, darf man keine eigenen
Programme mehr schreiben können, jedenfalls keine solchen mehr, die von
den Ressourcen des Computers umfassenden Gebrauch machen. Genauer: Ein selbst
geschriebenes Programm, das mit TCPA-Programmen koexistieren muss,
beispielsweise weil es mit ihnen Daten austauschen soll oder auf einem Rechner
laufen soll, auf dem gleichzeitig Standardsoftware benutzt wird, könnte
höchstens dann ohne eigene unbezahlbare Zertifizierung auskommen, wenn es
in einer Art hermetisch abgeriegelter «Sandkasten»-Umgebung und
damit im Prinzip auf einem Interpreter läuft, was unweigerlich die
verfügbare Rechenleistung auf einen Bruchteil senkt.
Das macht für
Leute wie mich den Computer weitestgehend nutzlos.
Der Gebrauchswert des
Computers als programmierbares Werkzeug wird verstümmelt.
- Für Programmierer und solche, die es werden wollen,
wird es praktisch unmöglich, systemnahe Programmierung zu
erlernen.
Ausbildung wird verhindert.
Zeit für «DCRM»
Was meine ich damit? Ich bin ein gesetzestreuer Bürger
und habe es nicht nötig, dass mich irgendwelche Firmen unter
Generalverdacht stellen und überwachen. Ich weiß auch ohne die, was
ich zu tun und zu lassen habe.
Ich stamme aus Ostdeutschland und möchte die
Bürgerrechte, die unsere Bevölkerung sich 1989 erkämpft hat,
nicht durch die Hintertür wieder abgenommen bekommen.
Nötiger als Digital Rights
Management ist angesichts der geschilderten Gefahren ein
Digital
Civil Rights Movement.
Die kritische Aufmerksamkeit der Öffentlichkeit muss
auf das TCPA-Projekt gelenkt werden, damit
- jeder beim Kauf von Computern und anderen Geräten
darüber nachdenkt, ob er seine Bürgerrechte einschränken lassen
möchte, und ggf. vom Kauf von TCPA-Hardware rechtzeitig Abstand nimmt, und
- unsere nationalen Regierungen und die EU-Institutionen
veranlasst werden, massiv gegen diese Pläne vorzugehen (hinsichtlich der
USA-Regierung hege ich nicht viel Hoffnung).
Ansätze gibt es:
Listen mit «sauberer»
und «verseuchter» Hardware werden durch die Beiträge
engagierter fachkundiger Mitmenschen zusammengestellt und im Netz
veröffentlicht (vgl. die Links auf Stefan Urbats Seite bei den
Verweisen unten;
das
europäische Kartellamt scheint im Zusammenhang mit allerhand anderen
Wettbewerbsverstößen der Redmonder auch das Palladium-System (deren
Implementation der TCPA-Software) unter die Lupe zu nehmen.
Verschiedenes
Technische Details sind anderswo gut beschrieben, vergleiche
die Verweise. Deswegen
beschränke ich mich hier auf einige grobe Angaben.
Es liegt nahe, die Realisierbarkeit des Vorhabens in Zweifel
zu ziehen. Schließlich werden die Leute doch nicht freiwillig
TCPA-Geräte kaufen, wenn sie damit so in ihren Rechten beschnitten werden.
Man denke bloß an den verbreiteten Widerwillen gegen die Verfolgung von
Internetbenutzern durch Cookies oder an die Versuche vor einigen Jahren,
Internetsurfer durch eine vom Prozessor gesendete Seriennummer zu
identifizieren.
Doch die Industrie hat ja schließlich auch dazugelernt
und wird nicht wieder so mit der Tür ins Haus fallen. Zunächst werden
die Maschinen mit abgeschaltetem TCPA verkauft, dann zwangsweise die
Betriebssysteme aufgerüstet, und eines schönen Tages, wenn der
Marktanteil dieser Systeme groß, genug ist, das System zentral aktiviert
und damit der Sack zugemacht (so genannte Salamitaktik...).
Die ersten Computer mit dem Überwachungschip sind
bereits im Verkauf, nämlich die neueste Generation der Thinkpad-Notebooks
von IBM.
In den Lizenzbedingungen der neuesten Betriebssysteme der
Redmonder Firma sind bereits vom Nutzer zu akzeptierende
Abtretungserklärungen enthalten, die der Firma das Recht zu
Betriebssystemänderungen ohne Einwilligung des Kunden einräumen. Die
Zwangsregistrierung und die sukzessive Einführung des
Abonnements-Lizenzmodells können ebenfalls als vorbereitende Schritte
für die umfassende Einführung des «verräterischen
Rechners» angesehen werden.
Kann man das Ganze nicht einfach abschalten? Am Anfang
bestimmt. Falls es später auch noch gehen sollte, dann wird man die
Nachteile tragen müssen: kein Zugriff auf irgendeine Datei, die auf
TCPA-Systemen erzeugt wurde, damit ggf. kein E-Mail- und Internetzugang. In den
USA drohen möglicherweise auch
strafrechtliche
Konsequenzen.
Ich betone, dass nach
heutigem Kenntnisstand davon auszugehen ist, dass dieses System
tatsächlich realisierbar und mit angemessenem Aufwand unumgehbar ist.
Insbesondere soll der Datenaustausch zwischen dem Computer und dem
Zertifikatsserver verschlüsselt erfolgen. Verwendet wird ein mathematisch
fundiertes Verschlüsselungsverfahren (RSA mit Schlüssellänge
2048 Bit), das noch für längere Zeit unknackbar sein dürfte.
(Ich weiß, wovon ich rede. Das kriegen auf absehbare Zeit die
größten existierenden Rechner nicht hin, und auch hochmotivierte
Hacker haben so schnell keine Chance.)
Es ist denkbar und vorgesehen, dass Zertifizierungsserver
nicht nur vom Konsortium selbst bzw. seinen Mitgliedsfirmen, sondern auch von
weiteren Firmen oder Institutionen betrieben werden können. Allerdings
kann das ganze System nur dann funktionieren, wenn diese Zertifizierungsserver
einander gegenseitig kennen und ihre Zertifikate gegenseitig akzeptieren.
Andernfalls müsste nämlich jedes Programm einer dem Konsortium
angehörenden Firma den «fremden» Zertifikaten misstrauen und
folglich die Zusammenarbeit mit den vom anderen Server zertifizierten
Programmen verweigern.
Dadurch ist es letztlich unerheblich, wieviele
Zertifikatsserver es gibt und von wem diese betrieben werden. Dem Nutzer tritt
das gesamte Zertifizierungsnetzwerk als ein verflochtenes System entgegen. Die
marktbeherrschende Stellung von Konsortiumsfirmen für Betriebssysteme und
eine Anzahl wichtiger Anwendungsprogramme hat zur Folge, dass in diesem
Netzwerk das Konsortium die Fäden sicher in der Hand hält.
In den USA sind Gesetzesprojekte in Arbeit, die Digital
Rights Management (DRM) und damit voraussichtlich TCPA für Computer
zwingend vorschreiben sollen. Computer ohne TCPA wären dann in den USA
illegal (im Gegensatz zu Schießeisen...).
Die Idee, die Spionagevorrichtung zwangsweise und
serienmäßig in alle Rechner einzubauen, erinnert mich im
Übrigen fatal an die Telefone in Rumänien zur Ceaucescu-Zeit. Ich
kann diese Information nicht nachprüfen, aber es heißt, damals wurde
die «Wanze» bereits werksseitig eingebaut.
Zurück zu Martin Welks
Homepage
E-Mail: dr.welk@gmx.net
Rechtlicher Hinweis: Für den Inhalt der Seiten, auf die durch Links
von dieser Homepage aus verwiesen wird und die nicht mein Copyright tragen,
kann ich keinerlei Verantwortung übernehmen, insbesondere auch nicht
für die dort enthaltenen Verweise.
© Martin Welk 31.10.2002
(überarbeitet und ergänzt 19.11.2002, 8.12.2002) |
