Diskussion Freie Software und Sicherheit  

Leitung Boris Gröndahl  
 
 
 
 

RealVideo: Modem | ISDN 
 
Boris Gröndahl: Ich selbst finde den Punkt besonders interessant, der auch in allen Referaten angesprochen wurde, nämlich die Frage der vertrauenswürdigen Instanzen. Ich fand das auch sehr wichtig, daß Ingo Ruhmann darauf hingewiesen hat, wie notwendig diese vertrauenswürdigen Instanzen einerseits sind, weil die Offenheit von offener Software tatsächlich nur eine Offenheit für eine kleine Gruppe von Experten und für die anderen wiederum nur eine abgeleitete Offenheit ist. Und ich finde zweitens auch ganz wichtig, immer darauf zu gucken, wo sind, wenn wir vertrauenswürdige Instanzen einführen, dann die Interessenlagen. Eine Instanz, die für eine Person oder eine Firma X vertrauenswürdig ist, ist das nicht unbedingt für eine Person oder Firma Y. Der große Moloch NSA, der immer im Zusammenhang mit der Kryptographie als der Ur-Feind gesehen wird, ist für deutsche Privatpersonen vielleicht in Wirklichkeit von geringerer Relevanz als deutsche Stellen, wie das BKA oder der Verfassungsschutz, die das Pendant hier sind. Insofern, denke ich, muß man wirklich sehr genau hingucken, wenn man sich der Frage stellt: Für wen sind welche Instanzen eigentlich vertrauenswürdig und für wen sind sie das nicht? Gut, aber ich sehe schon, da ist viel Diskussionsbedarf.  

Publikum: Herr Soquat meinte, daß Kryptographie in Zukunft nicht mehr so ein Problem darstellen soll, daß es dann eher gestattet ist, Kryptographie zu verwenden. Aber wie sieht es damit aus z.B. für öffentliche Bereiche wie Krankenhäuser, wo die Privatsphäre von Patienten auch gewahrt werden muß, starke Kryptographie und starke Sicherheitsmaßnahmen mehr zu forcieren? Ich arbeite z.B. zur Zeit in einem Krankenhaus, und dort haben die keine Sicherheitsbedenken gegenüber Backdoors, gegenüber schwacher Verschlüsselung und dagegen, daß sie eben mal die ganzen Home-Verzeichnisse der Ärzte an ein Unternehmen weitergeben, damit die für sie eine Spracherkennungs-Software erarbeiten können, wo dann nicht genau gegeben ist, was die mit diesen Daten machen. Da gibt es zwar Datenschutzbeauftragte, die sagen: Wir sind dagegen. Aber sie haben keine richtige Macht, weil die nächsthöhere Instanz sie dann eben ruhigstellt. Da finde ich, sollte mehr forciert werden, auch von der Bundesregierung.  

Hubertus Soquat: Ich bin ihnen sehr dankbar für die Frage. Das zeigt in der Tat die Richtigkeit und die Notwendigkeit der Sensibilisierung. Wie auch mehrfach schon in den anderen Vorträgen angesprochen wurde: Es gibt zu wenig Sensibilität in der Frage des Einsatzes sicherer IT-Technik, und Krypto gehört eben dazu. Wir wollten mit unserem Beschluß diese Signalwirkung setzen. Es ist aber jetzt an den einzelnen Aktivisten in den verschiedenen Wirtschafts- und Industriebereichen, bis hin eben auch zur Verwaltung, nun tatsächlich auch die Schritte einzuleiten, die notwendig sind, um dann im Endergebnis zu der notwendigen Zusatzsicherheit zu kommen, sei es aus betrieblicher Sicht, sei es aus datenschutzrechtlicher Sicht. Also, der Ball liegt nun im Feld der einzelnen Aktivisten.  

Publikum: Ja, ich möchte Herrn Ingo Ruhmann ansprechen und auch ein wenig in Richtung CCC. Es geht um die Möglichkeit des Prüfens von Open Source. Es gibt beispielsweise im Netz bei *sunsite.edu... eine webbasierte Möglichkeit, sich den Linux Source-Code anzusehen, mit Hyperlinks, die automatisch eingeflochten werden usw. Wäre es vielleicht eine Möglichkeit, Software zu entwickeln, als Source-Reader sozusagen -- das heißt, daß man eine Source unter bestimmten Aspekten lesen kann --, die den Review-Prozeß unterstützt? Wäre das eine Idee, um die Minderheit, die sich die Source angucken und auf Fehler untersuchen kann, möglichst groß zu machen?  

Ingo Ruhmann: Ja, die Idee ist sicherlich gut. Ich denke, wir haben gestern hier schon mehrfach gehört, daß Programmierer nur sehr selten ihre Programme kommentieren. So eine Software würde voraussetzen, daß auch entsprechende Marken im Source-Code enthalten sind. Wenn das, was ich in der theoretischen Informatik gelernt habe, richtig ist, bin ich nur beschränkt der Ansicht, daß man ein Programm entwickeln kann, das das automatisch macht. Das ganze ist kontextsensitiv. Wir sehen es ja beim Jahr 2000 Problem. Da muß irgendeine Person drübergucken. Bzw., eine Person muß in den Source-Code irgendwelche Aufsatzpunkte einbauen, um so eine Analyse zu ermöglichen. Das heißt, wenn, dann muß auch schon der Source-Code in einer Art und Weise gestaltet sein, so etwas zu unterstützen. D.h., wiederum müssen die Programmierer, die sich an Open Source-Arbeiten beteiligen, von sich aus schon so etwas berücksichtigen. Wenn sie sich dazu bereit erklären, ist das sicherlich begrüßenswert.  

Publikum: Das ist wieder so ein Catch 22. Wenn so eine Software existiert, werden wahrscheinlich entsprechende Kommentare für diese Software gesetzt. Wenn die Kommentare nicht existieren, wird auch keine Software dafür geschrieben, oder sehe ich das falsch?  

Andreas Bogk: So eine Software gibt es bereits. Das Mozilla-Projekt hat zwar bis jetzt keinen funktionsfähigen Browser hervorgebracht, aber ziemlich mächtige Werkzeuge, die Code-Verwaltung ermöglichen. Eines dieser Werkzeuge ist ein Programm, das den Source Code annotated darstellt. D.h., man verwendet CVS, um Änderungen am Source Code zu machen. Man ist verpflichtet, wenn man mit CVS eine Änderung macht, einen Log-Eintrag zu machen und wenigstens in zwei Zeilen zu schreiben, was man geändert hat. Und man kann sich dann den Source-Code angucken und sieht jeder einzelnen Zeile an, wer sie geschrieben hat. Man kann sich die Kommentare dazu anzeigen lassen. Ich denke, das ist natürlich auch ein Stückchen Bewußtsein, das da bei den Programmierern geschaffen werden muß, daß Designentscheidungen dokumentiert werden müssen. Und wenn man die Tools, die vorhanden sind, einsetzt, dann ist das auch möglich.  

Publikum: Ich glaube nicht, daß dieses Problem eine technische Lösung hat. Man kann das mit Technik unterstützen, aber man kann es nicht mit Technik lösen. Letzten Endes ist es eine politische Frage. Ich fand das sehr gut, daß der Ingo Ruhmann darauf hingewiesen hat. Letzten Endes entscheidend sind vertrauenswürdige Instanzen oder Institutionen. Wobei man dann politisch darüber diskutieren muß, was Vertrauenswürdigkeit eigentlich konstituiert. Ich sehe hier auch eine Konkurrenz zwischen Vertrauenswürdigkeit auf der einen Seite und auf der anderen Seite Ressourcenverfügung. Diejenigen, die über die Ressourcen verfügen, um so etwas zu machen, sind nämlich vielleicht nicht unbedingt diejenigen, denen wir vertrauen. Wobei da sowohl die staatlichen Instanzen, als auch die Privaten, die diese Ressourcen aufbringen können, vielleicht mit einigen Vorsichtsmarkern zu versehen sind. Zum anderen braucht man da natürlich auch eine Infrastruktur. Was nützt mir das, wenn irgend jemand einen Quellcode zertifiziert hat. Ich möchte aber sicher sein, daß das Produkt, was ich tatsächlich einsetze, auch aus diesem Quellcode kompiliert worden ist. Ich möchte das sogar überprüfen können. Das ist zwar technisch lösbar, aber dafür braucht man eine entsprechende Infrastruktur.  

Frank Rieger: Eins der Dinge, die mir da sehr am Herzen liegen, sind die Universitäten. Wenn ich mir so angucke, mit was für Dingen Informatikstudenten in der Regel gefoltert werden, bevor sie dann ihr Diplom bekommen, da könnte man durchaus sinnvollere Bildungsinhalte unterbringen. Unter anderem auch genau ein Kulturtraining, was auch Open Source-Software betrifft. Damit die Leute, die von der Uni kommen, wissen: Okay, wenn ich Open-Source-Software schreibe, dann erfolgt das genau so, und die Kommentare sehen so aus, und man hält sich gefälligst an die RFCs, und erfindet nicht dauernd selber neue. Wenn diese wenigen Grundaspekte an der Universität, statt solcher 'sinnvollen' Dinge wie Miranda, tatsächlich in den Lehrinhalt aufgenommen werden, dann wäre schon viel gewonnen.  

Publikum: Eine Bemerkung an Herrn Ingo Ruhmann: Ich finde, im Zeitalter von World Wide Web und von Usenet ist wahrscheinlich eine Dichtonomie nicht mehr ganz so schlimm zwischen den Leuten, die nur den Binärcode bekommen und Leuten, die wissen, was passiert. Und die andere Frage an den Herrn vom Bundesministerium: Was halten Sie vom Wassenaar-Abkommen und was hat das dann für weitergehende Konsequenzen für die Richtung, die Sie einschlagen wollen in der Politik?  

Ingo Ruhmann: Ich denke, daß jeder, der am Internet hängt, auch ins Usenet gehen kann, noch nicht dafür sorgt, daß die Leute auch wirklich kompetent genug sind sich mit Source-Code rumzuschlagen.  

Hubertus Soquat: Ja, Wassenaar ist natürlich ein zentrales Element in dem Ganzen. Sie haben bei meiner kurzen Präsentation gesehen, daß ich bewußt diesen Punkt nicht so angesprochen habe. Der Beschluß der Bundesregierung zielt in der Tat, um es noch mal ganz deutlich zu machen, auf die freie Verwendung. Sprich also, dieses Element 'Export' ist von dem Beschluß nicht tangiert. Das heißt also, Wassenaar ist in der Welt. Wassenaar ist eine Verpflichtung, der sich die Bundesrepublik unterworfen hat. Es hat durchaus positive erste Ansätze im Dezember letzten Jahres gegeben. Wir sind im Moment dabei, die Umsetzung innerhalb der EU vorzubereiten. Es gab einen ersten Schritt, der den Intra-EU-Handel, also den Handel zwischen den Mitgliedsstaaten, auch schon liberalisiert hat. Und es wird nun im Rahmen der finnischen Präsidentschaft in die zweite Runde gehen. Wo das enden wird, wissen wir noch nicht ganz. Es gibt auch da innerhalb der EU widerstreitende Interessen. Unsere britischen und französischen Freunde sehen die Dinge etwas anders. Das muß sich entwickeln, nicht wahr. Aber ich kann Ihnen versichern, auch bei uns wird natürlich die Intention durchaus aufmerksam verfolgt, die auch andere Länder innerhalb Wassenaar haben, wenn ich über den Atlantik schaue. Die Intention von Wassenaar ist nicht nur als Instrument zu sehen, um den Bösen dieser Welt die schlimmen Dinge vorzuenthalten, sondern Wassenaar, das darf man ja auch nicht verkennen, ist auch ein wirtschaftspolitisches Instrument, das durchaus in dem Wettbewerb der Systeme eine Rolle spielt. Unsere Grundsatzintention ist aber: Der Kryptobeschluß darf durch Wassenaar nicht konterkariert werden.  

Publikum: Wo wir jetzt zwei Herren der Bundesregierung anwesend haben: Es wurde soviel über Vertrauen geredet. Bei vielen Leuten ist es so, daß wahrscheinlich, was die Sicherheit angeht, das größte Mißtrauen gegenüber den politischen Institutionen herrscht, vor allem gegenüber dem Innenministerium. Was plant die Bundesregierung, um das Vertrauen der Bevölkerung in die Regierung und in die Daten, die man der Regierung zur Verfügung stellt, und in Projekte, die von der Regierung gesponsert werden, aufzubauen? Wie plant man Vertrauen herzustellen, daß die Regierung wirklich verantwortungsbewußt mit der Kryptographie umgeht?  

Ingo Ruhmann: Ich denke, daß das Mißtrauen in staatliche Behörden hier ein bißchen anders zu sehen ist als in den USA, wie das Beispiel Datenschutz ja zeigt. Die Datenschutzbehörden sind hier etabliert. Sie sind funktional. Sie sind auch Elemente des Vertrauens, und zwar für die meisten Bürger, denke ich, das stärkste Element der Vertrauenskultur, die wir in diesem Moment haben. Es geht derzeit im Innenministerium darum, daß BDSG [Bundes-Datenschutz-Gesetz] zu novellieren. Hier hätte man die Möglichkeit, noch etwas nachzulegen. Es wird das BDSG in der nächsten Version so nicht enthalten. Das BDSG soll aber in zwei Jahren noch einmal neugefaßt werden. Und ich denke, wenn man hier eine Diskussion anfängt z.B. zur Stärkung der Datenschützer in dieser Richtung, wäre beiden gedient. D.h., das Vertrauen, das die Bevölkerung z.B. solchen Institutionen entgegenbringt, zu unterstützen dadurch, daß die Datenschützer auch in dieser Richtung kompetenter gemacht werden. Es gibt einige Landesdatenschutzbeauftragte, die hier schon in diese Richtung arbeiten. D.h., nur Mißtrauen gegenüber staatlichen Stellen, das würde ich einfach für zu pauschal halten.  

Frank Rieger: Der Bundesdatenschutzbeauftragte hat sich ja in der Vergangenheit nun nicht wirklich mit Ruhm bekleckert, was seine Tätigkeit betrifft. Und die Landesdatenschutzbeauftragten sind, wenn sie denn technisch kompetent sind, so machtlos, daß man sie eigentlich geflissentlich ignorieren kann, was zumindest die Tätigkeit in der Wirtschaft betrifft. Und die werden von den Behörden in der Regel immer wieder an der Nase herum geführt. Bayern ist das beste Beispiel, mit der Sozialministerien und der Polizeidatei. Also, da die Hoffnung auf die Datenschutzbeauftragten zu setzen, halte ich für eine ziemlich verfehlte Strategie. Weil, die haben einfach keine Lobby in der Regierung, also auch nicht in der neuen Regierung. Und wenn ich mir so angucke, was unser Innenminister da bisher so an Gesetzen durchgebracht hat -- da hätte Schäuble wahrscheinlich kündigen müssen, bevor er solche Gesetze durchgebracht hätte. Insofern mißtraue ich dieser Bundesregierung noch deutlich mehr, -- auch wenn ich mittlerweile ein paar nette Leute in der Bundesregierung kenne und weiß, daß die nicht die falschen Ideen haben --, zumindest den Herschaftsstellen dieser Regierung, als denen der schwarzen Regierung, wo man einfach wußte, daß die evil sind. In der neuen Regierung ist es halt so, daß wir einen rot angemalten schwarzen Innenminister haben. Das hilft uns auch nicht wirklich.  

Ingo Ruhmann: Kommentare dazu spare ich mir jetzt mal. Geantwortet hatte ich auf diese Kontraposition zwischen Staat und Vertrauen. Ich denke, ich habe vorhin klar gemacht, daß es nicht nur staatliche Instanzen sein müssen. Ich habe ja auch den CCC angeführt als vertrauenswürdige Instanz. Ja, sicher. Wichtig ist mir hierbei zu betonen, daß die Idee vertrauenswürdiger Instanzen nicht nur immer gesehen werden sollte, als: 'Wir haben staatliche Knete. Wir haben staatliche Institutionen', sondern auch als Idee der Selbstverantwortung. Die Wirtschaft und private Verbände, sowie die Datenschützer und das BSI als staatliche Beispiele waren eben genannt, aber es gibt auch andere Organisationen, sei es nationaler, sei es internationaler Art. Man muß sich da auch etwas anderes vorstellen. Und man muß nicht immer in den eingefahrenen Bahnen denken. Ich denke, das sollte noch mal klargestellt werden. [Applaus]  

Hubertus Soquat: Guter Vorschlag. Das korrespondiert etwas mit unserer Idee des neuen Dialogs. Und ich möchte sie noch einmal ermuntern. Vertrauen kann nicht verordnet werden. Vertrauen kann auch nicht von staatlichen Stellen verordnet werden. Vertrauen muß wachsen, und dazu muß jeder beitragen. Und ich sage, die Community, die Sie zu einem Teil präsentieren, ist da genauso in einer Verantwortung. Ich muß nun nicht für den Bundesinnenminister reden, das darf ich auch nicht. Ich weiß aber, daß sich in der Tat viele Leute kopfschüttelnd fragen: 'Mein Gott, wie kommt es denn, daß ausgerechnet die Zuständigkeit für Datenschutzbeauftragte bei dem gleichen Minister ist, der auch für Sicherheits- und Strafverfolgerungsbehörden zuständig ist?' Das sind natürlich Fragen, die draußen in der Welt bewegen. Nichtsdestotrotz wird bei diesen Einrichtungen eine sinnvolle Arbeit gemacht und die Herausforderung besteht darin, diese Institutionen in die Pflicht zu nehmen. Und dazu können Sie beitragen mit der öffentlichen Diskussion.  

Andreas Bogk: Ich denke auch, daß man generell betrachtet seiner Regierung durchaus mißtrauen sollte. Ein gesundes Mißtrauen ist immer angebracht. Und ich denke, der Ansatz, der zu einer Lösung kommen sollte, wäre vielleicht eine Open Source-Regierung [Heiterkeit], bei der Entscheidungsprozesse, Intressenlagen usw. öffentlich gemacht werden, um das notwendige Vertrauen auch da zu schaffen. [Applaus]  

Publikum: Herr Soquat hat als einen seiner Eckpunkte genannt die Anerkennung der legitimen Bedürfnisse der Strafverfolgungs- und Nachrichtenbehörden. Ich frage mich, sollte es sich herausstellen, daß das, was die Strafverfolgungs- und Nachrichtendienste als ihre legitimen Bedürfnisse sehen, sich mit alle anderen Eckpunkten ausschließt, wie z.B. Security, sicherer Nachrichtenverkehr, freie Verfügbarkeit der starken Kryptographie, ist die Bundesregierung dann bereit, den Behörden der Justiz und Nachrichtendienste zu sagen: 'Ja leider -- wir können Ihnen nicht helfen?'  

Hubertus Soquat: Ja, ich habe vor kurzem so etwas Nettes gesagt in einem TAZ-Interview. Das wurde mir dann auch schon mal vorgehalten. Das ist nun öffentlich, deshalb kann ich das immer wieder sagen: 'Dann haben sie Pech gehabt', so wurde ich zitiert. Das ist eine etwas despektierliche Bemerkung. Ich gebe das ja zu. Aber uns hilft vielleicht doch der Blick über die Grenzen. Die Franzosen und die Engländer haben ja, wie jeder hier weiß, einen etwas kritischeren Blick auf diese Situation. Die sehen also mit dem einen Satz von Verschlüsselung Probleme für ihre Nachrichtendienste und Strafverfolgungsbehörden. Wir haben in unserem Beschluß ausdrücklich geschrieben, ausdrücklich nachzulesen für jeden, daß da gegenwärtig kein Problem besteht. Und die Nachrichtendienste und die Strafverfolgungsbehörden sind schlicht und einfach nachgeordnete Behörden, die nach unserem Grundgesetz verpflichtet sind, die legitimen Interessen, die der Staat, die die Demokratie generell hat, zu vertreten. Das ist auch im Grundgesetz verankert. Jüngst gab es eine Entscheidung des Bundesverfassungsgerichtes, die auf den ersten Blick die Rechte der Behörden gestärkt hat, aber die ganz wesentlich auch unterstrichen hat, daß es Grenzen gibt, für das Tätigwerden. Da ging es nun um den BMD im speziellen, das dürfen wir nicht vermischen mit anderen Dingen, aber das zeigt: Es gibt einen Verfassungsgrundsatz, der Grenzen aufzeigt, auch für das Tätigwerden der verschiedenen Behörden zum Schutz eines Jeden von uns in diesem Grundgesetzbereich.  

Frank Rieger: Darf ich dazu gleich eine kurze Anschlußfrage stellen? Nach welchen Standards wird denn dieser Bericht nach zwei Jahren bewertet? Bisher ist es so, daß die Sicherheitsbehörden der Bundesrepublik keinerlei Nachweispflicht haben und keinerlei Pflicht zu zeigen, daß die Maßnahmen, die sie da angeordnet haben, erfolgreich waren. In der Bundesrepublik wird pro Kopf der Bevölkerung ungefähr soviel abgehört, wie in China. Und das ist tatsächlich eine Tendenz, von der ich befürchte, daß es in diese Kryptoregulierung durchschlägt, daß nämlich die Strafverfolgungsbehörden einfach sagen: 'Ja, wir hatten eben 25 Fälle, wo wir nicht weiter kamen, weil der Steuersünder seine Platte enkryptet hatte.' Und wenn genau dieselben Standards da durchgehen, und wenn die Landesinnenminister sagen können in ihrer Konferenz: 'Wir werden keine Statistiken über Abhörmaßnahmen und ihren Erfolg veröffentlichen, weil es eine sicherheitspolitisch bedenkliche Tendenz darstellen würde', dann müssen wir uns nicht darüber unterhalten, was in diesem Bericht in zwei Jahren stehen wird.  

Hubertus Soquat: Da müßte jemand vom Bundesinnenminister antworten. Ich weiß nicht. Aber, ich sag es mal so, es wird im Moment überlegt, wie der Bericht zustande kommt. Es muß natürlich entsprechende sachlich fundierte Elemente geben. Ich bin sicher, daß da auch für die Öffentlichkeit -- das ist schließlich ein Bericht der Bundesregierung für das Parlament und damit für die Öffentlichkeit -- entsprechend qualifizierte Aussagen herauskommen.  

Publikum: Ich möchte zunächst das Ritual einführen, daß sich auch die Fragenden vorstellen. Ich bin Daniel *Rieg vom Linux-Verband LIVE. Ich habe eine Anmerkung zu einem Thema, das bisher am Rande auf einigen Panels aufgetaucht ist, aber das ich im Bereich Sicherheit, aber auch grundsätzlich für Open Source-Software für wichtig halte: Das ist die Frage der Software-Patente. Es gibt klare Bestrebungen, die US-Software-Patente nach Europa zu übertragen. Es gibt parallel dazu schon eine laufende Rechtsprechung und eine Praxis bei den Patentämtern, Software-Patente zuzulassen. Und in diesem Zusammenhang ist GNU-PG vielleicht ein sehr gutes Beispiel, um zu zeigen, wo Software-Patente hinführen. Denn GNU-PG kann auch kein RSA, eben so wie PGP 6, weil RSA in den USA patentrechtlich geschützt ist. Wir haben das Problem im Sicherheitsbereich, daß das ein Thema ist, wo Firmen tätig sind, denen die Möglichkeiten von Patentschutz sehr gut bekannt sind. Also wir haben die Möglichkeit, Paßworteingaben anhand von Wörterbüchern zu überprüfen. Das ist patentrechtlich in Deutschland sogar geschützt über ein paar Tricks. Und das ist ein Punkt, der zunehmend die Zukunft der Open Source-Software gefährdet, und wo ich einfach noch einmal die Vertreter der Bundesregierung darauf aufmerksam machen möchte. Ich weiß, dafür ist eigentlich das Justizministerium zuständig, aber ich denke, es müssen sich die gesamte Bundesregierung und auch die Open Source Community und die verschiedenen Firmen klar gegen Software-Patente aussprechen. Sie müssen diese Übernahme der US-Patente verhindern, sonst haben wir mit Open Source-Software keine lange Zukunft. [Applaus]  

Publikum: Eine Frage an den Vertreter vom Wirtschaftsministerium: Und zwar haben wir heute einhellig von allen gehört, daß freie Software ein Grundbaustein von Sicherheitstechnologie ist und das Wichtigste überhaupt. Gestern haben wir einheitlich gehört, daß freie Software nur in der Freizeit entsteht, zumindest zu 80%. Und ich wollte mal ganz gerne fragen, wie sich die Bundesregierung eigentlich vorstellt, daß so ein elementares Wirtschaftsgut nur von ein paar Hobbyprogrammieren in ihrer Freizeit erledigt wird? Welche Unterstützung kommt beispielsweise vom Staat gerade für solche Leute, die im Grunde genommen nichts mit ihrer Software verdienen können?  

Hubertus Soquat: Erstens Patente: In der Tat ein großes Problem. Die bisherige Konstellation der Patente ist ein zentrales Element und Instrument marktwirtschaftlicher Aktivität und ist von uns so befördert worden im nationalen und auch internationalen Rahmen. Ich sehe die Problematik für Open Source ganz klar. Lösungen sehe ich im Moment noch nicht, aber wir müssen möglicherweise die Diskussion da noch einmal unter neuen Gesichtspunkten führen.  

Zweiter Punkt: Frage nach wirtschaftlicher Unterstützung. Ich glaube, es ist nicht nur -- das habe ich auch heute und gestern schon gelernt -- eine kleine Freizeitaktivität einiger weniger Freaks, sondern es ist mittlerweile sehr viel mehr. Es ist mittlerweile schon ein insgesamt wirtschaftliches Element. Wenn Sie denken, wieviele Server im Web- und Internetbereich auf Open Source laufen. Was mit weiteren Aktivitäten von Distributoren und anderen hinzukommt, ist schon wirtschaftliche Aktivität. Wie wir das weiter unterstützen, dazu diente gerade ein Gespräch, das gestern hier mit Experten stattgefunden hat, das auch der Forschungsminister begleiten wird. Das müssen wir sehen. Ich kann aus unserem kleinen Bereich IT-Sicherheit aber sagen, wir werden mit Sicherheit die Frage der Sensibilisierung der Öffentlichkeit für, und das heißt pro Open Source aufgreifen und forttreiben. Das kann ich hier zusagen. Ob wir zu konkreter Förderung des GNU-PG-Projektes kommen, müssen wir sehen. Aber der gute Wille, glaube ich, bei den Beteiligten in unserer Ecke ist vorhanden. [Applaus]  

Ingo Ruhmann: Die beiden letzten Fragen zeigen für mich deutlich, daß es hier um ein Umbruchphänomen geht. Patente als Schutz von geistigem Eigentum ist eigentlich ein Kennzeichen alter Ökonomie. Das Freie-ins-Netz-Stellen von Software kennzeichnet neue Ökonomie. Wir werden heute Nachmittag davon noch hören. Hier tut sich einiges, auch ökonomisch. Und die Frage: Wie leben die Leute? ist eine Sache, die sich in Zukunft neu stellen wird. Das kann der Staat nicht lösen. Der Staat kann nur gucken -- wie z.B. das Internet entstanden ist durch Arbeit an Universitäten, d.h freie Infrastruktur für diese Leute --, ob man hier in so einer Form Unterstützung leisten kann. Aber jetzt alle Open Source-Programmierer zu Uniangestellten zu machen, das ist natürlich auch widersinnig. Letztendlich bleibt daraus nur die Schlußfolgerung, daß diese ganze Entwicklung genau beobachtet werden muß, nicht unter den technologischen Aspekten allein, sondern auch unter gesellschaftlichen und ökonomischen Aspekten.  

Andreas Bogk: Ich finde die Rolle der Universitäten in diesem Zusammenhang auch sehr interessant. Zum einen, die Informatikausbildung legt noch keinen gesteigerten Wert auf die Sicherheit. Wenn ich mir angucke, 95% aller Sicherheitsprobleme sind Buffer Overflows. Das sind wirklich triviale Fehler. Sowas muß einem an der Universität beigebracht werden, daß man auf solche Feinheiten achtet. Zum zweiten halte ich auch Universitäten für einen ziemlich wichtigen Ort, an dem Open Source-Software geschrieben wird. BSD ist an einer Universität entstanden. TCP/IP wurde an Universitäten entwickelt usw. Nun haben wir in Deutschland die prekäre Situation, daß auch an den Universitäten Software entwickelt wird, die Universitäten aber nicht verpflichtet sind, diese zu veröffentlichen. Wenn in den USA mit staatlichen Mitteln Software entwickelt wird, dann muß der Source-Code veröffentlicht werden, dann muß das Ergebnis allen zu Gute kommen. Das ist in Deutschland nicht so. Das ist auch ein Punkt, der, meines Erachtens, geändert werden sollte. [Applaus]  

Frank Rieger: Eine Sache, die bisher noch nicht angesprochen wurde, die mir sehr am Herzen liegt: Der Staat kann schon eine ganze Menge tun für Open Source-Software, indem er nämlich die Haftbarkeit von Herstellern für Hintertüren so drastisch verschärft, daß es keine anderen Möglichkeiten mehr gibt, als Sicherheitsprodukte Open Source zu machen. Und eine Deklarierungspflicht für Hintertüren auf Produkte von Softwareherstellern läßt sich, denke ich mal, im deutschen Maßstab durchsetzen. Es wird vielleicht ein bißchen Ärger mit der EU geben, den kann man aber wahrscheinlich ausstehen. Und das würde richtig viel bewegen. Dadurch würde das, was sowieso schon üblich ist bei kleineren Firmen, alles, was Krypto und Security ist, Open Source zu machen, auch für große Firmen bindend und verpflichtend werden, und könnte tatsächlich eine ganze Menge bewegen. Also, da denke ich, könnte man vielleicht mit dem Justizministerium noch ein bißchen kungeln. [Applaus]  

Boris Gröndahl: Das war jetzt zum Schluß noch ein klarer Auftrag ans Forschungsministerium, und ein klarer Auftrag ans Wirtschaftsministerium.  
 

(Transkription Katja Pratschke)