Ein erfahrener Nutzer beurteilt jedes Internet-Nutzungsszenario sorgsam
von Richard StallmanFirmen bieten EDV-Nutzern nun verführerische Möglichkeiten an, andere deren Daten aufbewahren zu lassen und deren Datenverarbeitung zu übernehmen. Mit anderen Worten, Vorsicht und Verantwortung in den Wind zu schießen.
Diese Firmen sowie ihre Stimmungsmacher nennen diese Datenverarbeitungspraktiken gerne Rechnerwolke ‚Cloud Computing‘. Sie wenden denselben Ausdruck auch auf andere gänzlich verschiedene Szenarien an, wie etwa beim Mieten eines entfernten Servers, den Begriff so breit und nebulös machend, dass nichts Bedeutungsvolles damit gesagt werden kann. Wenn es irgendeine Bedeutung hat, kann es bloß eine bestimmte Haltung gegenüber der EDV sein: eine Haltung, in der nicht sorgfältig darüber nachgedacht wird, was ein vorgeschlagenes Szenario zur Folge hat oder welche Risiken es birgt. Möglicherweise soll sich die Wolke, von der sie sprechen, im Bewusstsein des Nutzers bilden.
Um diese Wolke durch Klarheit zu ersetzen, beschreibt dieser Artikel mehrere verschiedene Produkte und Dienste, die sehr verschiedene Nutzungsszenarien beinhalten (bitte verstehen Sie das nicht als Rechnerwolke) und die charakteristischen Probleme, die sie aufwerfen.
Lassen Sie uns zuerst mögliche Problematiken klassifizieren, die ein Nutzungsszenario anschneiden kann. Allgemein sollen zwei Arten von Problemen betrachtet werden. Ein Problem ist die Behandlung Ihrer Daten und das andere ist die Kontrolle Ihrer Datenverarbeitung.
Innerhalb der Behandlung Ihrer Daten können verschiedene Probleme unterschieden werden: ein Dienst könnte Ihre Daten verlieren, sie ändern, sie jemand anderem ohne Ihr Einverständnis zeigen und/oder es Ihnen schwer machen, die Daten zurückzubekommen. Jedes dieser Probleme ist leicht nachvollziehbar; wie wichtig sie sind, hängt davon ab, um welche Art von Daten es sich handelt.
Beachten Sie, dass eine US-Firma (oder eine Tochtergesellschaft von ihr) auf Wunsch des FBI verpflichtet ist beinahe alle Daten, die sie über einen Nutzer hat, zu überreichen, ohne gerichtliche Anordnung, aufgrund des USA Patriot Act, dessen verdreherischer Name so orwellsch ist wie seine Vorschriften. Wir wissen, dass ‑ obwohl die Anforderungen, die dieses Gesetz an das FBI stellt, sehr locker sind ‑ das FBI sie systematisch verletzt. Senator Wyden sagt, dass, wenn er öffentlich sagen könnte wie das FBI das Gesetz dehnt, wäre die Öffentlichkeit darüber sehr wütend. Europäische Unternehmen könnten gut die Datenschutzgesetze ihrer Länder verletzen, wenn sie diesen Firmen Daten anvertrauen.
Die Kontrolle Ihrer Datenverarbeitung ist die andere Seite des Problems. Rechnernutzer verdienen Kontrolle über ihre Datenverarbeitung zu haben. Leider haben die meisten von ihnen solch eine Kontrolle durch den Einsatz proprietärer (nicht freier) Software aufgegeben.
Bei Software gibt es zwei Möglichkeiten: entweder der Nutzer kontrolliert die Software oder die Software kontrolliert den Nutzer. Den ersten Fall nennen wir Freie Software, frei wie in Freiheit, weil die Nutzer effektive Kontrolle über ihre Software haben, wenn sie bestimmte, essenzielle Freiheiten haben. Wir nennen es auch frei, um zu betonen, dass dies eine Frage der Freiheit, nicht des Preises ist. Der zweite Fall ist proprietäre Software. Windows und MacOS sind proprietär; genauso wie iOS, die Software im iPhone. Solch ein System kontrolliert seine Nutzer, und eine Firma kontrolliert das System.
Wenn ein Unternehmen derartige Macht über Rechnernutzer hat, wird es diese wahrscheinlich ausnutzen. Kein Wunder, dass Windows und iOS bekannt dafür sind, Spionagefunktionen zu besitzen, Eigenschaften die den Nutzer beschränken sollen sowie Hintertüren. Wenn Nutzer vom „Gefängnisausbruch“[*] des iPhones sprechen, räumen sie ein, dass dieses Produkt dem Nutzer Fesseln anlegt.
Wenn ein Dienst die Datenverarbeitung für den Nutzer erledigt, verliert der Nutzer die Kontrolle über diese Datenverarbeitung. Wir nennen diese Praxis Software als ein Dienst oder SaaS, und es ist mit dem Ausführen eines proprietären Programms mit Spionageeigenschaft und einer Hintertür äquivalent. Es sollte definitiv vermieden werden.
Nachdem die möglichen Probleme klassifiziert wurden, betrachten wir, wie sie verschiedene Produkte und Dienste erheben.
Betrachten wir zunächst iCloud, einen kommenden Apple-Dienst, dessen Funktionalität (nach entsprechender Vorabinformation) sein wird, dass Nutzer Informationen zu einem Server kopieren und darauf später von woanders zugreifen oder Nutzer von dort aus darauf zugreifen lassen. Dies ist nicht Software als ein Dienst, da keinerlei Datenverarbeitung des Nutzers übernommen wird, damit entsteht dieses Problem nicht.
Wie wird iCloud mit den Daten des Nutzers umgehen? Zum Zeitpunkt dieses Schreibens wissen wir es nicht, können aber anhand dessen spekulieren, was andere Dienste machen. Apple wird vermutlich in der Lage sein, diese Daten anzusehen, für eigene Zwecke und der anderer. Wenn dem so ist, werden Gerichte diese mittels einer Auskunftsanordnung an Apple (nicht an den Nutzer) erhalten können. Das FBI könnte sie sogar ohne eine gerichtliche Auskunftsanordnung bekommen. Film- und Plattenfirmen bzw. ihre Prozessmühlen können diese ebenfalls einsehen. Der einzige Weg ‑ wie das vermieden werden könnte ‑ ist, wenn die Daten vor dem Hochladen auf dem Rechner des Nutzers verschlüsselt und, nachdem der Zugriff erfolgt ist, auf dem Rechner des Nutzers entschlüsselt werden.
Im besonderen Fall von iCloud führen alle Rechnernutzer Apple-Software aus, so dass Apple sowieso die totale Kontrolle über ihre Daten hat. Im Frühjahr 2011 wurde eine Spionagefunktion in der iPhone- und iPad-Software entdeckt, was dazu führte, vom „SpyPhone“ zu sprechen. Apple könnte in der nächsten „Verbesserung“ eine andere Spionagefunktion einführen, und nur Apple würde davon wissen. Wenn man töricht genug ist, ein iPhone oder iPad zu benutzen, macht iCloud die Sache vielleicht nicht noch schlimmer, aber das ist keine Empfehlung.
Betrachten wir nun Amazon EC2, einen Dienst, bei dem ein Kunde einen virtuellen Rechner mietet (gehostet auf einem Server in einem Rechenzentrum von Amazon) der macht, was auch immer der Kunde darauf programmiert hat.
Diese Rechner führen das GNU/Linux-Betriebssystem aus und die Kunden erhalten die Möglichkeit, die zu installierende Software auszuwählen, mit einer Ausnahme: Linux, die Komponente auf unterer Ebene (oder Betriebssystemkern) des Systems. Kunden müssen eine der Linux-Versionen auswählen, die Amazon anbietet; sie können nicht ihre eigene erstellen und ausführen. Aber sie können den Rest des Systems ersetzen. So erhalten sie fast ebenso viel Kontrolle über ihre Datenverarbeitung, wie sie mit ihren eigenen Rechnern haben würden, aber nicht ganz.
EC2 hat einige Nachteile. Einer ist ‑ da Nutzer nicht ihre eigene Versionen des Linux-Betriebssystemkerns installieren können ‑ die Möglichkeit, dass Amazon etwas böses oder lediglich unangenehmes in die von ihnen angebotenen Versionen eingebracht hat. Aber das kann in Anbetracht der anderen Mängel nicht wirklich von Bedeutung sein. Ein anderer Mangel ist, dass Amazon die ultimative Kontrolle über den Rechner und darauf befindlicher Daten hat. Eine staatliche Institution könnte all diese Daten von Amazon unter Strafandrohung zugänglich machen lassen. Wenn man diese Daten daheim oder im Büro hätte, würde eine staatliche Institution dieses Datenmaterial unter Strafandrohung verlangen müssen und man würde vor Gericht die Chance haben, die Auskunftsanordnung anzufechten. Amazon mag es vielleicht auch gleichgültig sein, die Auskunftsanordnung in Ihrem Namen anzufechten.
Amazon stellt Bedingungen auf, was man mit diesen Servern tun kann und kann den Dienst einstellen, wenn Handlungen analysiert werden, die damit in Konflikt stehen würden. Amazon braucht überhaupt nichts zu beweisen, praktisch kann man abgeschnitten werden, sollte man als ungelegen betrachtet werden. Wie WikiLeaks herausfand, hat der Kunde keine Handhabe, sollte Amazon die Fakten verzerren, um ein fragwürdiges Urteil zu fällen.
Betrachten wir nun Google ChromeOS, eine Variante von GNU/Linux, die noch in Entwicklung ist. Entsprechend dem, was Google anfangs sagte, wird es freie Software sein, zumindest das Grundsystem, doch die Erfahrung mit Android lässt vermuten, dass es auch mit unfreien Programmen kommen wird.
Die Besonderheit dieses Systems, seinem Zweck, war Nutzern zwei grundlegende Funktionen zu verweigern, die GNU/Linux und andere Betriebssysteme anbieten: Daten lokal speichern und Anwendungen lokal ausführen. Stattdessen wurde ChromeOS so konzipiert, dass Nutzer ihre Daten auf Servern speichern müssen (normalerweise Google-Server, schätze ich) und diese Server ebenfalls ihre Datenverarbeitung übernehmen lassen. Dieses ruft unmittelbar beide Problematiken in ihrer ausgeprägtesten Form hervor. Der einzige Weg, wie ChromeOS wie geplant etwas werden könnte ‑ das Nutzer akzeptieren sollten ‑ ist, wenn sie eine modifizierte Version des Systems installieren, die die Funktionen lokaler Datenspeicherung und lokaler Anwendungen wiederherstellt.
Vor kurzem habe ich gehört, dass Google diese Entscheidung überdacht hat und jene lokalen Möglichkeiten wieder integrieren könnte. Wenn das so ist, könnte möglicherweise nur ChromeOS etwas sein, was man in Freiheit nutzen kann ‑ wenn es die vielen anderen Probleme vermeidet, die wir heute in Android beobachten.
Wie diese Beispiele zeigen, bringt jedes Internet-Nutzungsszenario jeweils unterschiedliche Problematiken mit sich, und diese müssen basierend den Besonderheiten beurteilt werden. Vage Aussagen, wie jede mögliche in Bezug auf Rechnerwolke formulierte Aussage, können nur in die Quere kommen.
Erstveröffentlichung in The European Business Review.