Von Windows zu Linux zu Windows

Ein vor einigen Tagen veröffentlichter und lesenswerter Text beginnt mit dieser Einleitung:

Aus Ärger über Microsoft stieß er den Wechsel der Stadt München auf Linux an. Kaum schied er aus dem Amt des Oberbürgermeisters, wurde Limux rückgängig gemacht. Christian Ude über Seelenmassage von Ballmer und Gates, die industriefreundliche CSU, eine abtrünnige Grüne und umfallende SPD-Genossen.

Der auf diese Einleitung folgende Text behandelt ein Computer-Projekt, nämlich den Umstieg des Betriebssystems von Windows auf Linux, entsprechend auch den Wechsel der Anwendungssoftware von Microsoft Office auf quelloffene Software. Und auf diesen Text möchte ich weiter eingehen.

München befindet sich im Umbruch, auf jeden Fall in Fragen der IT. Bei (heute) über 15.000 PCs ist so etwas eine anspruchsvolle Aufgabe, die auch in der Öffentlichkeit diskutiert wurde, durchaus kontrovers. Die Stadt München ging nämlich den Weg von Windows weg und hin zu Linux, also zu quelloffener Software, was nicht jedem in dieser Welt gefiel. Und so verwunderte es nicht, daß es plötzlich hies "Kommando zurück", man also nach Dreiviertel des Weges wieder weg von Linux und zurück zu Windows ging.

Vor einigen Tagen hat Christian Ude ein Interview gegeben, in dem er seine Sicht der Vorkommnisse darstellte. Aus diesem Interview möchte ich zitieren und eigene Anmerkungen dazu machen. Sofern nicht anders angegeben stammen, die hier Zitate aus dem Interview mit Christian Ude, das Sie hier finden: Münchens Ex-OB Christian Ude im Interview oder "Es gab bei Limux keine unlösbaren Probleme". In allen anderen Fällen gebe ich die Quellen an.

Christian Ude

Christian Ude ist heute Rentner, in seiner beruflichen Zeit war er u.a. Oberbürgermeister von München. Seinen Lebenslauf finden Sie auf dieser Seite der Wikipedia: Christian Ude.

Wäre er nicht in die aktive Politik gegangen, wäre er sicherlich ein guter Kabarettist geworden:

LiMux

Der Wechsel der Software von Windows hin zu Linux betraf nicht nur den Austausch des Betriebssystems sondern auch die Anwendungssoftware, die auf quelloffene Produkte umgestellt werden sollte. Die ersten Schritte dazu gehen zurück in das Jahr 2003. Die Geschichte dieses Projekts können Sie hier nachlesen: LiMux – Die IT-Evolution. Und natürlich gab es für dieses Projekt auch ein entsprechendes Logo¹⁾:

Im September 2017 wurde dann der Beschluss gefasst, wieder zurück auf Windows zu gehen, was im Jahre 2020 abgeschlossen sein soll.

Interview mit Christian Ude

Vor einigen Tagen fand sich in der Zeitschrift Linux Magazin das bereits erwähnte Interview mit Christian Ude, in dem er seine Meinung über den Wechsel von Windows zu Linux und von Linux zurück zu Windows äusserte. Aus diesem Interview möchte ich einige Sätze zitieren und auch kommentieren.

Konkreter Anstoss war eine Diskussion über die Firma Microsoft, die die Stadt München quasi gezwungen hatte, ihre IT-Landschaft ziemlich komplett umzustellen:

Ich habe mich nur maßlos geärgert, dass Microsoft plötzlich den Support zurückzog und die Landeshauptstadt München damit zwang, einen Wechsel zu bezahlen, für den sie sich als Kundin gar nicht aus freien Stücken entschlossen hatte.
....
Sie haben uns als Kunde mit einer fünfstelligen Zahl von Geräten einfach vor die Alternative setzt „Friss oder stirb!“ – friss unseren Wechsel und zahle oder stirb mit alten Geräten, für die es keinen Support mehr gibt.

Eine Entscheidung, getroffen im Staate Washington der USA, mit Auswirkungen und Kosten in München (und nicht nur dort).

Abhängigkeiten

Solche Abhängigkeiten haben wir im IT-Bereich sehr viele. Und nur wenige bewerten diese Abhängigkeiten kritisch:

Wir haben die methodische Abhängigkeit von einem Anbieter kritisch gesehen und auch die Datensicherheit, die ja bei Microsoft sehr umstritten war und in der Fachwelt noch umstritten ist.

Verhandlungen

Um München als Kunden zu halten war die Firma Microsoft zu erheblichen Zugeständnissen bereit, denn das LiMux-Projekt schlug in der Öffentlichkeit grosse Wellen.

Steve Ballmer

Steve Ballmer war einer der ersten Angestellten der Firma Microsoft, er hat dort Karriere gemacht. Zum hier betrachteten Zeitpunkt war er der Geschäftsführer dieses Unternehmens.

Das Intensivste, was ich persönlich erlebt habe, war ein Besuch von Steve Ballmer, immerhin Vizepräsident von Microsoft. Der hat seinen Ski-Urlaub in der Schweiz unterbrochen, um mich zu besuchen.
....
Laufend wurden die um eine Million und noch eine Million und noch eine Million und später ein Dutzend Millionen günstiger als zuvor.

Das Unternehmen Microsoft hatte im Jahre 2003 über 30 Milliarden-$ Umsatz²⁾, war also damals bereits keine kleine Klitsche. Dies zeigt, wie wichtig für die Firma Microsoft die Verhinderung des Projekts LiMux war.

Kosten

Software kostet Geld. Und bei einer Stadt mit einer Verwaltung wie in München sind dies über Zehntausend Computer und entsprechend viele Lizenzen für die Software auf diesen Computern. Und natürlich kann man über Geld reden:

Im Winter 2003 reiste Steve Ballmer, Chef von Microsoft, nach München, um mit Oberbürgermeister Christian Ude über das Angebot seiner Firma in Höhe von 36,6 Millionen US-Dollar und die Nachteile eines Abschieds von Microsofts Betriebssystem zu sprechen. Er senkte den Preis zunächst auf 31,9 und dann auf 23,7 Millionen – sein Angebot wurde jedoch abgelehnt.

Quelle: Wikipedia zu LiMux, Absatz Geschichte. Dort wird verwiesen auf einen Artikel in USA TODAY

Bei der Höhe des Betrags darf man nicht vergessen, daß es nicht um die Weiterführung der Lizenzen ging. In München stand der Wechsel auf eine neuere Version von Windows und der Anwendungssoftware an, wobei vermutlich (mind.) eine Version übersprungen wurde. Dies erklärt die Höhe des Betrages³⁾.

Bill Gates

Bill Gates war einer der Gründer der Firma Microsoft. Zum Zeitpunkt der Verhandlungen zwischen Microsoft und der Stadt München war er der Vorsitzende des Aufsichtsrats. Auch er war in München für Verhandlungen mit dem Ziel, Christian Ude das Projekt LiMux auszureden. Das Gespräch gibt Christian Ude auszugsweise wie folgt wieder:

Christian Ude: „Bitte nehmen Sie zur Kenntnis, es geht uns um die Unabhängigkeit. Wir wollen nicht abhängig sein.“
Bill Gates: „So ein Unsinn, von wem denn abhängig?“
Christian Ude: „Weil Sie schon mal da sind: Von Ihnen natürlich!“
Bill Gates: „Es ist für mich unbegreiflich, das ist Ideologie.“

Sie sehen, daß es in dieser Frage unterschiedliche Sichtweisen gibt.

Digitale Souveränität

Mittlerweile läuft in München der Rückbau der Software auf Windows. Die Abhängigkeit von Microsoft und somit das Thema Digitale Souveränität ist aber in den höheren Ebenen der Politik angekommen:

Datensouveränität ist höchstes Gebot

Beim Digitalgipfel der Bundesregierung in Dortmund hat sich Bundeskanzlerin Merkel für Datensouveränität und europäische Lösungen bei digitalen Infrastrukturen ausgesprochen.

Quelle: Digitalgipfel in Dortmund vom 29. Oktober 2019

Diese Erkenntnis führt aber nicht dazu, daß in München jetzt vielleicht doch wieder über Linux nachgedacht wird.

Die Abhängigkeit von ausländischen Unternehmen (und in diesem Fall von einem US-amerikanischen Unternehmen) bleibt bestehen. Aktuell gab es folgenden Hinweis:

Microsoft warnt vor Support-Ende des Server 2008, rät zum Cloud-Umzug

Ab dem 14. Januar stehen Nutzer des Server 2008 und 2008 R2 nackt da: Microsoft stellt den Support für beide Betriebssystem ein.

Quelle: Heise Online vom 15.11.2019

Auch hier wird die Entscheidung für eine Aktion in den USA in einem privaten Unternehmen getroffen, die vielfältige Auswirkungen in Deutschland hat. Und Microsoft bietet auch gleich eine Lösung des entstehenden Problems an, natürlich das eigene Produkt.

Wiesbaden

Die Abhängigkeit von Produkten des Unternehmens Microsoft ist auch in der Stadtverwaltung und -politik Wiesbadens gegeben. Sieht man in der Stadtpolitik diese Abhängigkeit? Welche im Stadtparlament vertretene Partei stellt eine entsprechende Forderung auf? Mir ist da nichts bekannt.

Wäre ein Projekt "Umstieg der Software von Windows auf Linux" in Wiesbaden möglich? Ich denke nicht, denn bei der Behäbigkeit der Stadtverwaltung und der Stadtpolitik würde es teuer, schlecht und nie fertig. Ausserdem fehlt der politische Wille dazu.

Nachtrag

Mittlerweile geriert sich Microsoft als der größte Fan von Linux:

Beginning with Windows Insiders builds this Summer, we will include an in-house custom-built Linux kernel to underpin the newest version of the Windows Subsystem for Linux (WSL)

Quelle: Microsoft will ship a full Linux kernel in Windows 10

Wenn Sie schon Linux haben wollen, dann kaufen Sie das doch bitte bei uns.



Anmerkungen:

1) Zu finden hier

2) Quelle: Statista

3) Siehe Software kostet Geld

"Verschlüsselung ist zu aufwändig"

So sagt man und so hörte ich es vor kurzem, und zwar im Ausschuss für Bürgerbeteiligung und Netzpolitik des Stadtparlaments. Dieser Aussage möchte ich widersprechen und einen Weg vorschlagen, der zu diesem Ziel führt, aber einfach zu gehen ist.

In der Stadtpolitik gibt es das Stadtparlament, in das durch eine Wahl, zuletzt 2016, insgesamt 81 Bürger entsandt wurden. Da nicht jede Frage im Parlament diskutiert und entschieden werden kann, werden Ausschüsse gebildet. Einer dieser Ausschüsse beschäftigt sich mit den Fragen Bürgerbeteiligung und Netzpolitik. Die letzte Sitzung dieses Ausschusses fand am 22. Oktober 2019 statt. In dieser Sitzung wurde ein Antrag diskutiert, aus dem ich zitieren möchte:

Digitale Überstellung der Magistratsunterlagen und Sitzungsvorlagen

Zurzeit erhalten die Stadtverordneten wöchentlich mindestens die nichtöffentlichen Unterlagen per Bote zugestellt, dafür fährt der Bote einmal die Woche quer durch Wiesbaden. Durch eine digitale Überstellung aber können wir CO2 und kostbare Ressourcen wie Wasser beispielsweise, einsparen, die bei der Herstellung von Papier benötigt werden.

Die öffentlichen Sitzungsunterlagen sollten ohnehin nur noch digital und nur in Ausnahmefällen in Papierform überstellt werden. Dieses Vorgehen sollte dann auch auf die nichtöffentlichen Unterlagen für Stadtverordnetenversammlung und Magistrat ausgeweitet werden.

Eindeutige Identifizierungsverfahren wie verschlüsselte E-Mails, digitaler Personalausweis oder mit durch Passwort geschützte Bereiche gibt es bereits. Auch eine Lösung mit eigenen Tablets ist denkbar.

Quelle: Antrag 19-F-20-0020

Die Unterlagen werden z.T. per Mail an die Stadtverordneten versandt, ansonsten gedruckt ausgeliefert. Laut Antrag sollten künftig alle Unterlagen per Mail versandt werden.

In der Diskussion dieses Antrags wurde im Ausschuss das Argument vorgebracht, daß verschlüsselte Mails für viele Stadtverordnete zu aufwändig seien. Allerdings sei die Lieferung der gedruckten Unterlagen über Boten auch nicht unproblematisch, da diese Unterlagen teilweise einfach in den Briefkasten gesteckt oder vor die Haustür gelegt werden, wo sie entwendet werden können. Auch die Entsorgung der Papiere über eine übliche Papiertonne ist nicht im Sinne der Vertraulichkeit oder der Geheimhaltung.

Schreiben und Empfangen verschlüsselter Mails

Ich widerspreche obiger Aussage. Es ist nicht aufwändig, Mails zu verschlüsseln und danach zu versenden bzw. verschlüsselte Mails zu empfangen und für den korrekten Empfänger auch lesbar zu machen. In einem früheren Text hatte ich dies schon einmal beschrieben. Dazu hatte ich die Bedienung des Mailprogramms beim Erstellen einer Mail als auch beim Empfang einer Mail dargestellt, jeweils für eine verschlüsselte und eine unverschlüsselte Mail. In beiden Fällen habe ich die einzelnen Schritte nebeneinander abgebildet, um die Unterschiede in der Bedienung herauszuarbeiten. Sie finden diesen Text hier: hQEMA5FkqPE4rOofAQf9Ek0j/4zaCtlFhAHHvDPyPGipKIvCkVmDFgHE01AXhaSF.

Bitte schauen Sie sich diese Zusammenstellung erneut an. Sehen Sie in meiner Darstellung einen Unterschied bei der Erstellung einer Mail? Oder beim Empfang einer Mail? Ich sehe dort keinen Unterschied zwischen verschlüsselter und unverschlüsselter Mail. Für die Verschlüsselung der Mail wird keine Taste zusätzlich gedrückt und auch kein Button zusätzlich angeklickt, entsprechend gilt dies auch für die Entschlüsselung der Mail. Die Bedienung ist identisch, zumindest ist das so auf meinem PC. Bei anderen Betriebssystemen oder einem anderen Mailprogramm kann dies anders sein, dürfte aber nicht allzu weit von meiner Darstellung abweichen.

In der Vergangenheit habe ich in einem Projekt verschlüsselte Mails mit einer Person ausgetauscht, ohne diesen Vorgang der Ver- bzw. Entschlüsselung zu bemerken, d.h. die Mails wurden ver- bzw. entschlüsselt, ohne daß mir dies auffiel. Und somit halte ich die Verschlüsselung von Mails nicht für aufwändig, sondern für zumutbar, in der Bedienung eines Mailprogramms ist dies ganz einfach.

Ich will aber jetzt nicht die Forderung nach Verschlüsselung aller Mails aufstellen, obwohl ich diese Forderung für vernünftig und notwendig halte. Ich beziehe mich auf den Antrag im Ausschuss und will einen Weg aufzeigen, der in Richtung Verschlüsselung der Mails geht, aber einfach umzusetzen ist.

Digitale Signatur

Wenn ich Ihnen eine Mail schicke, dann erhalten Sie den Text meiner Mail plus einen Anhang, eine Datei mit Namen signature.asc. Diese Datei hat möglicherweise folgenden Inhalt:

Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----

iQEzBAEBCAAdFiEEsaohL+LGwOEubvH8u0ak6IBR2OgFAl21YDQACgkQu0ak6IBR
2OjYJwf/XdM7WFEztqZHhmHqmAtySwxFnWCjETaKb9TUdNyEhVzCAIDHvzNezyey
TyfkLgAyD0GwqEJ9dDAnKEF1Qz6JUi9jWqxbB9x2Q4S46gxdM+AcRwuDQLo6CErF
DX9cB8fhtXwC38c7mxcWGAzWpvG1u8Wr6UXUzIgKg6/z5lSti5BOfzEcBsTtoZz5
yi1V8LgMJAe0FVSlI/q+jdQDWe435xdYqhlS/ZSluMgOQCXWdA1KWI55Ux9nCcDN
T4TJhzE45jCGWKzj2m++mvI2RiywXG3ozx2kFf6LMZnl0MNKCmambaVSmZ803pb/
GArM8m8ZPd78LUCyXXam1WyoruZFfA==
=IakL
-----END PGP SIGNATURE-----

Quelle: Digitale Signatur einer von mir versandten Mail

Diese kryptischen Zahlen und Buchstaben stellen eine Digitale Signatur dar. Mit diesem Buchstaben-/Zahlensalat kann man zwei Fragen beantworten, sofern das Mailprogramm entsprechend eingerichtet ist:

• Stammt diese Mail wirklich von mir (d.h. vom angegebenen Absender)?
• Wurde der Inhalt dieser Mail auf dem Transportweg verändert? D.h. habe ich diese Mail in dieser Form geschrieben?

Die Einführung einer solchen digitalen Signatur ist der erste Weg zur Verschlüsselung der Mails. Und eine solche digitale Signatur wird ohne eigenen Eingriff erzeugt und an die Mail angehängt. Insbesondere kann man eigenständig sein Mailprogramm so einrichten, daß es für ausgehende Mails eine solche digitale Signatur erzeugt und zusammen mit der Mail verschickt. Es müssen nicht alle Beteiligte am Mailverkehr ihre Mailprogramme entsprechend aufrüsten.

Hintergrund

Verschlüsselung und Entschlüsselung beruhen auf mathematischen Theorien. Keine Angst, ich werde Sie hier nicht mit Mathematik belästigen, aber ein wenig möchte ich doch dazu schreiben.

Die modernen Verfahren beruhen auf 2 Schlüsseln, einem Schlüsselpaar. Ein Teil des Paares wird als privater Schlüssel bezeichnet, der andere Teil als öffentlicher Schlüssel. Den privaten Schlüssel müssen Sie unbedingt sicher verwahren, Sie dürfen diesen Schlüssel auf keinen Fall aus der Hand geben. Den öffentlichen Schlüssel geben Sie bitte großzügig weiter.

Für die Erstellung eines solchen Paares gibt es etliche Programme, sowohl für Windows als auch Apple und natürlich auch für Linux. Weiterführende Erläuterungen zu diesem Thema finden Sie u.a. hier: Einfach erklärt: E-Mail-Verschlüsselung mit PGP.

Noch einmal, zum mitschreiben: der private Schlüssel muß geheim bleiben.

Schritte

Meine Argumentation geht in Richtung Verschlüsselung aller Mails. Aber ich will diesen Weg in Teilschritte unterteilen und diese nachfolgend darstellen. Meine Forderung an die Stadtpolitik lautet dann: Geht den ersten Schritt. Ich beziehe mich auf obigen Antrag und stelle somit die Forderung: Alle vom Büro des Stadtparlaments ausgehenden Mails werden von nun an mit einer digitalen Signatur versehen.

Aber zu den einzelnen Schritten, die ich nur verkürzt darstellen möchte.

Schritt 1

Zu Beginn erstellt man das Schlüsselpaar und richtet das Mailprogramm entsprechend ein. Optional kann man den öffentlichen Schlüssel frei verteilen, z.B. über einen Keyserver.

Bei der nächsten Mail aus dem Büro des Stadtparlaments an die Stadtverordneten wird das Mailprogramm die entsprechende Digitale Signatur für diese Mail erzeugen und zusammen mit dem Mailtext versenden. Der Empfänger bemerkt dies vermutlich nicht, d.h. er sieht keinen Unterschied zu einer Mail ohne Signatur.

Alle folgenden Schritten sind vorerst optional.

Schritt 2

Manche Mailprogramme zeigen an, daß an diese Mail eine entsprechende Signatur angehängt ist. Dieser Hinweis könnte so aussehen:

Diese Sicherheitsprüfung durch das Mailprogramm kann man aktivieren. Dazu lädt man (= Empfänger der Mail) den öffentlichen Schlüssel des Absenders (folgt man meiner Forderung wäre dies der öffentliche Schlüssel des Büros des Stadtparlaments) in sein Mailprogramm. Damit kann das Mailprogramm die entsprechenden Prüfungen vornehmen und das Mailprogramm zeigt dies so oder so ähnlich an (Beispiel aus meinem früheren Text):


Sie sehen die Hinweise auf die Korrektheit der Signatur. Ausserdem zeigt das Bild an, daß diese Mail verschlüsselt übertragen wurde.

Schritt 3

In diesem Schritt kommt die Verschlüsselung ins Spiel: Jeder Teilnehmer am Mailverkehr erzeugt sich sein eigenes Schlüsselpaar, richtet sein Mailprogramm entsprechend ein (privater Schlüssel) und gibt seinen öffentlichen Schlüssel weiter.

Schritt 4

Sobald ich den öffentlichen Schlüssel eines Partners habe und diesen Schlüssel meinem PC mitgeteilt habe, wird mein Mailprogramm die Mails an diesen Partner verschlüsselt versenden.


Dies können natürlich alle Bürger machen, dies ist nicht auf die Stadtpolitik beschränkt.

Forderung an die Stadtpolitik

Meine Forderung in Richtung Stadtpolitik lautet: Mails der Stadt Wiesbaden erhalten eine digitale Signatur. Man beginnt mit den Mails des Büros des Stadtparlaments an die Stadtverordneten, sammelt auf diesem Wege Erfahrungen mit der digitalen Signatur (und weitet diese Aktion in einigen Monaten auf alle Mails der Stadt Wiesbaden aus).

SPAM

Ich will einen weiteren Grund angeben, warum die Stadt Wiesbaden eine digitale Signatur an jede Mail anhängen muß.

Sie haben sicherlich schon einmal eine SPAM-Mail erhalten. Darin wird für irgendein Wundermittel geworben, sei es Potenzmittel oder Reichtum oder ...

Früher waren solche Mails leicht identifizierbar, aber leider lernen die Betrüger dazu und diese Mails werden immer besser, d.h. man kann sie kaum von echten Mails unterscheiden. Dazu ein Beispiel: Eine Bekannte erhielt vor einigen Jahren einmal eine "Telekom-Rechnung", die überaus echt aussah, es aber nicht war. Laut Mailtext hat sie im vergangenen Monat für über 250€ telefoniert, die Details dazu fände sie in der angehängten Aufstellung. Leider hat sie auf den Anhang geklickt, d.h. sie wollte die angehängte Rechnung öffnen. Es passierte danach nichts, zumindest nichts erkennbares. Danach konnte man Ihr Notebook vergessen, es war so langsam, daß man nicht mehr damit arbeiten konnte. Es stellt sich später heraus, daß ihr Notebook fleissig Mails verschickt hat, d.h. dieses Notebook wurde als SPAM-Schleuder missbraucht.

Wie kann man sich dagegen wehren? Gibt es ein Mittel, um die Echtheit einer Mail zu überprüfen? Kann man prüfen, ob eine Mail wirklich vom angegebenen Absender kommt? Ja, das kann man, das geht über eine digitale Signatur.