Archiv der Kategorie: Piratig

Politik und Gedanken dazu.

Kante zeigen

von

Der Vorfall vom Montag hat mir gezeigt, dass es einer grundsätzlichen Werte- und Richtungsdebatte bedarf. Für mich war das Parteiprogramm, insbesondere auch der Abschnitt “Recht auf sichere Existenz und gesellschaftliche Teilhabe” immer gesetzt und zählte zu den Dingen, die wir nicht mehr diskutieren müssen.

Leider musste ich mich durch Bernd Schlömer vom Gegenteil überzeugen lassen.
Mit seinem Zitat auf Spiegel Online hat sich Bernd Schlömer entschlossen, diesen Abschnitt im Parteiprogramm zu ignorieren und Johannes Ponader, sowie alle anderen Menschen, die auch keiner “geregelten Arbeit” nachgehen, zu diffamieren und persönlich anzugreifen.

Die Fragestunde am Montag abend im “Dicken Engel” wurde dazu genutzt die zitierte Aussage als Kurzschluß-Reaktion abzutun. Bernd Schlömer sagte, die Presse hätte Ihn da falsch zitiert und überhaupt habe er das so nicht freigegeben. Jegliche Forderung nach Entschuldigung oder öffentlicher Richtigstellung lehnte er allerdings auch ab.

In der gleichen Fragestunde hat Bernd Schlömer bestätigt, dass er mit der Springer Presse arbeiten würde, denn so wären 80 Millionen potentielle Wähler direkt zu erreichen.

Wenn man jetzt noch berücksichtigt, dass lt. Johannes Ponader das Ende der Spendenaktion Bernd Schlömer bereits bekannt war – ebenso die Tatsache, dass Johannes Ponader hieraus keinen Cent erhielt – ist eine “mir ist der Kragen geplatzt” Argumentation dürftig und nicht nachvollziehbar.Das wäre sie übrigens auch schon ohne dieses Wissen, da die Spendenaktion längst in der Medienöffentlichkeit verschwunden ist.

Ich unterstelle deshalb Bernd, dass er wissentlich einen Vorstandskollegen in der Öffentlichkeit angegriffen und die Grundwerte der Partei ignoriert hat um Wählerstimmen aus dem konservativen Lager zu gewinnen und die PIRATEN als legitime Nachfolger der FDP zu positionieren. (Siehe Zitat Schlömer in den Medien vor einigen Wochen.)

Ein solch kaltblütig-taktisches Verhalten ist schwer nachzuvollziehen, zumal die PIRATEN in meinen Augen auch für einen an Themen orientierten, sachlichen Politikstil stehen sollten. Wir haben gerade erst im Grundsatzprogramm von Schleswig-Holstein (P0203) unseren Politikstil als nicht personenbezogen, diffamierend, nachtragend oder aggressiv bezeichnet.

Wer für die Grundwerte der Partei einstehen will, sollte das nunmehr auch tun – sonst wird er sich am Ende vielleicht die Frage gefallen lasssen müssen “Wie konnte es nur soweit kommen und warum hast DU nichts getan?”

Aus diesem Grund findet Ihr hier ein PAD, in dem ich Fragen an den GESAMTEN Vorstand zu diesem Vorfall sammeln werde und daraus möchte ich einen direkten (nicht einen “öffentlichen”) Brief an den Vorstand verfassen und um Aufklärung bitten.

Parallel hierzu habe ich einen Antrag beim Vorstand (2012-10-15/02)eingereicht, sich mit der Sache zu beschäftigen und vom Bundesvorstand in der Rolle als Landesvorstand ebenfalls den Hintergrund zu erfragen.

https://hu.piratenpad.de/BuBernd
http://wiki.piratenpartei.de/SH:Vorstand/Beschlussantr%C3%A4ge

Related Images:

Dazu haben wir keine Meinung!

von

In der letzten Zeit treffe ich immer häufiger auf eine Gruppe von Menschen, die die Aussage vertreten, dass wir Piraten nicht ernst genommen werden könnten, wenn wir nicht langsam anfangen zu diesem oder jenem Punkt einen Standpunkt zu vertreten. Es wird auch argumentiert, dass uns die Wähler weglaufen würden, da die Leute sich an uns wenden, um von uns Antworten erwarten.

War es in der Vergangenheit so, dass diese Aussage von außerhalb kam, so hat sich die Situation insofern verändert, dass diese Aussage immer deutlicher auch von Mitgliedern der Partei vertreten wird.

“Es genügt nicht keine Meinung zu haben – man muss sie auch vertreten können!”

Dieser Spruch hat tatsächlich eine Wahrheit in sich. Denn plötzlich wird es notwendig zu vertreten, dass wir als Piraten zu einem Thema (noch) keine Meinung haben. Individuelle Meinungen ausgenommen, so ist meines Erachtens Piraten Meinung nur das, was sich aus Basisbeschlüssen ableiten lässt.

Die Weisheit, die unter anderem Tux, der Linux Pinguin, treffend auf den Punkt bringt: “Wenn man keine Ahnung hat, einfach mal Fresse halten!” wird hierbei übersehen. Es wird angenommen, das Parteien Antworten liefern müssten und die Menschen unabdingbar Führung brauchen. Beides scheint gesellschaftlicher Konsens zu sein, der hinterfragt werden sollte.

Sehr leicht werden wir alle in ein Konstrukt aus Zwängen, Notwendigkeiten und allgemeinen Standards gepresst, welches uns die Art mit einer Fragestellung umzugehen vorschreibt und wenig Raum zu alternativen Ansätzen lässt. Die Entschleunigung des Prozesses der politischen Meinungsbildung ist nötiger denn je.

Ich habe einige Male beobachtet, dass die Vertreter dieser Argumentation eher aus einem Gefühl heraus argumentieren. Denn wenn man die genauen Situationen hinterfragt, so führt die Spur oft ins Leere oder endet bei einem Einzelfall, der nur bedingt als allgemeingültig angeführt werden darf.

Zum Beispiel wurde die Einladung zu einer Podiumsdiskussion angenommen, ohne zu klären, ob es bessere Vertreter der Partei für den vorgesehenen Kontext gibt. Als logische Konsequenz tritt das Gefühl des eigenen Versagens in der exponierten Rolle ein, welches dann auf die Partei projiziert wird und sich im Wunsch nach mehr Meinung äußert.

So entsteht das Gefühl, wir könnten nicht ohne Meinung bleiben. Ein Gefühl, dass ich nicht teilen kann. Ich persönlich habe zu vielen Themen keine eigene Meinung, da ich das Thema für mich nicht erarbeitet habe. Es wird bei einigen Themen auch so bleiben. Es gibt auch Themen, denen mehrere Perspektiven inne wohnen und die durchaus ko-existieren können.

Es ist gut, dass wir unsere Lücken sehen. Es zeugt von Größe zu ihnen zu stehen und es ist ein Deutungsfehler hierin eine Schwäche zu sehen.

Related Images:

Fragwürdig: “Schwertliste” der Piraten

von

Die Piratenpartei, genauer Ihre Kandidaten bei Wahlen zum Landesparteitag 2012 in Schleswig-Holstein nutzen eine sog. Schwertliste bei Kandidaturen. Die Idee ist es, dass sich dort Unterstützer des Kandidaten eintragen, auf die der Kandidat im Falle seiner Wahl zurückgreifen kann.

Es gibt durchaus einige Argumente für dieses Konzept, aber ich möchte hier die Gegenargumente, die auf der “Erklärungsseite” zur Schwertliste zu kurz kommen, eingehen.

Hierbei werde ich bewußt Kriegsbegriffe metaphorisch verwenden, denn der Begriff “Schwertliste” hat für mich eine marzialische Dimension. Ich pflege normalerweise sorgfältiger mit Worten umzugehen.

  • Die Schwertliste wird falsch gebraucht / ist grundsätzlich falsch verlinkt

Aus der Beschreibung der Liste: “Eine Schwertliste ist keine Unterstützerliste für eine Kandidatur, sondern für das Amt und Aufgaben, wenn die Kandidatur erfolgreich war.” Was hat also eine Schwertliste bei einer einzelnen Person zu suchen?

  • Eine Schwertliste kommt einem “Schattenkabinett” gleich.

Liest man das Who-is-who einer Schwertliste und korreliert man das mit dem Wissen um Pöstchen und Ziele die einzelnen Krieger verfolgen, so kann man manchmal eine Struktur erkennen, die an den “kölschen Klüngel” erinnert – oder aber zumindest die notwendigen Grundlagen schafft. Durch sein Schwert bietet sich der Kämpfer dem Kriegsherren direkt an, in seinem Namen tätig zu werden. Warum sollte dieser also später öffentlich suchen, wenn er bereits Krieger hat? Kompetenz wäre dann also nicht mehr das Entscheidungskriterium, sondern Hörigkeit oder Gehorsam.

  • Eine Schwertliste ist marzialisch.

Meine “Waffen” sind die Tastatur, das Wissen, die Sprache und die Logik. Ich lasse mich nicht “zu den Waffen, zu den Schwertern” rufen. Wenn ich schon “kämpfe”, so kämpfe ich mit allen zusammen als Partei, aber nicht als Kommandotruppe innerhalb von Ihr – gegen wen auch? Gegen Extern habe ich durch die Gesamtpartei mehr Einfluß und gegen Intern -wer will das wirklich – wenn man von denen absieht, die ganz offen auf Ihre Clique “stolz” sind?

  • Eine Schwertliste gaukelt Transparenz vor

Erscheint es auf den ersten Blick, dass durch das Lesen der Kämpferliste dem Leser Transparenz (referriert in der Schwertliste) offenbart wird, so ist es lediglich eine Teil-Öffentlichkeit die hergestellt wird. Es gleicht der berühmten freiwilligen Selbstverpflichtung nach dem Motto “Und wenn nicht? Dann nicht!”.
Wer sagt denn, dass die Namen alle stimmen; wer belegt denn, dass es nicht noch andere Schattenkrieger gibt, die sich nicht “formal” outen? Dadurch, dass es die Liste gibt, könnten unbedachte Personen Ihr zuviel Vertrauen schenken.

  • Eine Schwertliste verfälsch,verschleiert und protegiert.

Der Leser einer Schwertliste kann durch die Summe an Kämpfern, durch den gegenwärtigen Rang des Einzelnen, beeindruckt werden. Das kann dazu führen, dass Einfluß auf den Wähler genommen wird und so Fakten in Ihrer Darstellung verfälscht, relativiert oder verschleiert werden.
Speziell der Rang des unterzeichnendes Kämpfers läßt vermuten, dass der Unterzeichner eine Absicht verfolgt, wenn er speziell diesem Kandidaten sein Schwert anbietet.

  • Eine Schwertliste stellt das Vertrauen in die Demokaratie auf eklatante Weise bloß.

Dieses ist mE. das schwerwiegenste Argument. Wenn ich in die Basis, in die Demokratie vertraue, dann hat am Ende der gewählte Kandidat meine Unterstützung. Ergo brauche ich das nicht vorher anzukündigen. Der Umkehrschluß aber ist schlimmer: Was, wenn mein Kandidat nicht gewählt wird, sondern einer, dem ich mein “Schwert” nicht gegeben habe? Bekommt dieser dann nicht meine Unterstützung? Wenn doch, warum dann sein Schwert nur Einem geben? Und als Konsequenz, wenn ich mein Schwert in den Dienst der Partei stelle, so ist die von mir unterschriebene Schwertliste der Mitgliedsantrag. Punkt.

Relativierend, bleibt am Ende zu erwähnen, dass es überall im Leben um Vertrauen geht und das man dem, den man wählt letztenendes auch Vertrauen muss. Das Korrelieren aller Fakten zu einer Person kann immer noch durch das “Bauchgefühl” überstimmt werden. Wir sind Menschen. Wir brauchen immer Einen, der uns sagt, was wir tun sollen. Das ist unser Fehler.

Related Images:

Umfrage: Untergliederungen

von

Hinweis: Diese Umfrage war zuerst im Sync-Forum zu sehen. Dort ist es allerdings nicht möglich abzusztimmen, wenn man kein Benutzerkonto angelegt hat. Deshalb die Umfrage nun auf diese Art. Danke für’s abstimmen… [polldaddy poll=6282773]

Related Images:

IT Risiko der Piraten

von

Risiko ist das, was unser Leben -oft unbewußt- bestimmt. Wenn IT Security “Experten” von Security sprechen, so assoziieren wir unter anderem die Sicherheitsleute, die Zollkontrollen und all das, was wir als Einschränkung unserer Freiheit wahrnehmen – nicht zu letzt die ewigen Passwortprobleme. Der Begriff Security ist folgerichtig negativ belegt. Deshalb habe ich mir angewöhnt statt von Security lieber von Risiken zu sprechen – denn mit dem Begriff verbinden wir wertneutraler eine allgemeine Thematik.

Hinweis vorweg: Ich nehme keinesfalls in Anspruch, den nachfolgenden Text als vollständig und fehlerfrei verkaufen zu wollen. Es ist ein Kompromiss zwischen meinem Interesse das Verständnis in diesem Bereich zu fördern einerseits und der dafür ohne Auftrag aufgewandten Zeit andererseits. Es ist (m)eine Sicht der Dinge und bestimmt nicht die einzig mögliche Sichtweise.

In Abschnitten:

  1. Die Angreifer
  2. Der Angriff
  3. Die Abwehrmaßnahmen
  4. Der Schaden
  5. Die Wahrscheinlichkeit
  6. Das Risiko
  7. Abschließend

Die Angreifer

Grundsätzlich ist jede konkurrierende Interessensgruppe potentieller Nutznießer einer Schadenssituation bei den Piraten. Das heißt folgerichtig, dass eine Vielzahl an Organisationen und Menschen mit den entsprechenden Möglichkeiten Angriffe auf die Piraten durchführen könnten.

Glücklicherweise ist der Großteil dieser Gruppen sehr wohl in der Lage diese Angriffe auf nicht-technischer Ebene, zum Beispiel durch gute Mediennutzung auszuführen. Hierbei muss dann auch seltener die Schwelle zur Illegalität überschritten werden und der Schaden in der Reputation kann sogar längerfristig wirken.

Neben der oben genannten Gruppe von kontroversen Interessensvertretern, gibt es weitere Gefahrengruppen. Zum Beispiel könnten extremistisch-ideologische Einzeltäter sich durch den Erfolg der Partei genötigt sehen, Ihr einen Dämpfer zu verpassen. Auch könnten ambitionierte Datenreisende („Script-Kiddies“) einfach Freude am Versuch haben.

Von ernstzunehmenden Angriffen, die kein kompromittierendes Ziel verfolgen, sondern die Sicherheit von Systemen erproben und verbessern (ethical hacking), könnte ebenfalls eine Gefahr ausgehen, die ich aber persönlich eher als gering einstufen würde.

Der Angriff

Das Dienste durch das Ausnutzen legaler Technologie zu einem Ausfall gebracht werden können ist nicht neu. Ein solcher Angriff ist zwar ärgerlich, aber wenn die Verfügbarkeit der Systeme unproblematisch ist, ist er auch nicht nachhaltig schädlich. Der Ausfall von Diensten zu bestimmten Zeiten (z.B. heiße Wahlkampfphase, großes Live-Event etc.) kann aber sehr wohl zu Schädigungen in der Außenwahrnehmung führen.

Nun aber gesetzt dem Fall, wir haben es mit einem Angreifer oder einer Angreifergruppe zu tun, deren Ziel nicht ein Ausfall der Systeme (deny of service), sondern ein gezieltes Kompromittieren ist. Hierbei kommt es dann gewöhnlich zu einem überlegten Einsatz von vielen Techniken und Methoden. Techniken des Social Engineering (z.B. Spearfishing) genauso wie Netzwerkangriffe (wiretapping, DNS re-route, crafted network packages, etc.) und zero-day Vulnerabilities kommen zum Einsatz. Und, nicht zu vergessen, der Angreifer verfolgt im der ersten Angriffswelle ein Ziel und hat viel Zeit dieses zu erreichen. Er braucht Zugang zu dem System.

Das Vorgehen sähe dabei in etwa so aus:

  1. Informationen über die eingesetzten Systeme sammeln (locations, IP, OS, Apps, extensions, routing etc.)
  2. Informationen über die Menschen dahinter sammeln (Aufgaben, Background, Sicherheitsempfinden, Aufmerksamkeit, Vorlieben, Interessen etc)
  3. Das anzugreifende System wählen (Geringe Wartung, bekannte Vulnerabilities, hoher vermuteter Informationsgehalt, unzureichende Schutzmechanismen)
  4. Angriff ausführen
  5. Hintertür einbauen und Spuren verwischen
  6. Systemdaten kopieren und offline analysieren (logs, Webroots, registry, /etc dir,  pam, history, snmp strings, temp folders etc.)
  7. gefundene Accountdaten und Informationen bei anderen System über den offiziellen Zugriff probieren
  8. Schaden anrichten

Die Abwehrmaßnahmen

Die wichtigste Abwehrmaßnahme ist nicht in der Technologie, sondern im Menschen zu finden. Ein hohes Sicherheitsbewußtsein aller Beteiligten ist DIE Grundvoraussetzung für erfolgsversprechende ernsthafte Gegenmaßnahmen. Hierbei aber muss die Technik helfen. Denn vor jeder Gegenmaßnahme steht das Erkennen eines Angriffs.

Deny of Service Angriffe
Gegenmaßnahmen für eine Teilgruppe der DOS (Deny of service)-Angriffe lassen sich einfach umsetzen (Patching, Kapazitätsplanung). Gegenmaßnahmen für den Bereich der netzwerkbasierten DOS Angriffe sind aber teilweise technologiebedingt nur durch erheblichen Mehraufwand erfolgsversprechend umsetzbar.

Probing Angriffe
Bezeichne ich als halbherzige Angriffsversuche mit Hilfe von vorgefertigten Tools durch mehr oder weniger begabte ambitionierte Datenreisende. Schutz bietet in den meisten Fällen schon das Einhalten von Grundsätzen der IT Sicherheit.

Ernsthafte Angriffe
Zunächst steht zu befürchten, dass ernsthafte Angriffe über einen längeren Zeitraum unentdeckt bleiben – können. SIEM Systeme sind hier ein wichtiges Mittel, um zeitnahe Reaktionen zu ermöglichen.

Ebenso ist zu befürchten, dass IT durch Dritte auf den Angriff hingewiesen wird. Ein Szenario, welches leider häufiger beobachtet werden kann. Die Folgen in so einem Falle sind ins Besondere in Bezug auf die Außenwirkung zu bedenken.

Die Abwehr- und Schutzmaßnahmen, die ergriffen werden, müssen sauberen Prozessen folgen. Sie sind nicht nur technischer Natur (Border defense, Firewalls, DMZ, Intrusion Prevention, Content Filtering, Access Control, Patching, Hardening, Encryption etc) sondern im gleichen Maße auch organsatorischer Natur (dicsretionary vs. madatory access control, double proof, need-to-know, least-privilege, job-rotation, accreditation, etc.).

Grundsätzlich spielt sich die Abwehr von Angriffen auf mehreren Ebenen ab. Ähnlich wie eine Zwiebel mit Ihren Schichten, folgt das defense-in-depth Konzept dem Ziel, das Eindringen durch viele Schutzschichten zu erschweren.

Der Schaden

Die technische Infrastruktur der Piraten ist robust. Sie ist von Profis vernetzt und dezentral. Ein kurzfristiger Ausfall der Systeme führt wahrscheinlich nicht zu direkten finanziellen Einbußen, da kein Verkaufsgeschäft betrieben wird.

Für eine politische Organisation ist aber das Schadenspotential besonders im Bereich der Reputation zu suchen. Als Piratenpartei behaupten wir unter anderem Kernkompetenzen im Bereich Datenschutz, Transparenz und dem Internet allgemein. Ein Schaden, der also in diesen Bereichen entsteht wirft zwangsläufig die Frage nach der eigenen Kompetenz auf. Ein Sicherheitsunternehmen, bei dem eingebrochen wird, ist genauso fraglich, wie der KFZ Mechaniker, dessen PKW dauerhaft kaputt ist.

Besonders schwer wiegt ein Schaden, der durch Offenlegung von personenbezogenen Daten entstehen könnte, da es erklärtes Parteiziel ist, diese besser zu schützen (siehe SPD Hack im April 2012).

Dieser Schaden ist schwer zu bemessen und hängt auch mit der Publizität des Vorfalls zusammen. Ebenso spielt die Art der vorfallsbezogenen Kommunikation eine größere Rolle bei der Schadensbegrenzung.

Merke:
IT Schäden sind interdisziplinär! Der Pressesprecher, der Vorstand und die Fraktion müssen genauso im Boot sein, wie die betroffenen Mitglieder.

Die Wahrscheinlichkeit

In der IT Security besteht der Konsens, dass es die Frage, ob man angegriffen wird, nicht gibt. Die Frage muss lauten WANN man angegriffen wird. Die Wahrscheinlichkeit wie häufig und in welcher Intention ein Angriff erfolgt,  lässt sich unter anderem aus einer fundierten Gefahrenanalyse ableiten. Hierfür stehen aber zu wenig Informationen zur Verfügung und es würde in diesem Kontext zu weit führen. Die Frage der Wahrscheinlichkeit eines Angriffs muss deshalb unbeantwortet bleiben.

Das Risiko

In der IT Security kann man Risiken kalkulieren. Allgemein gilt die Formel:

Risiko = Auswirkung * Wahrscheinlichkeit

Das Risiko in unserem Fall ist schwer zu beziffern, da die Auswirkungen, der Schaden, schwer zu belegen ist. Auch um die Wahrscheinlichkeit zu fixieren fehlen ausreichend Informationen und Fakten. Leider kann dadurch auch die Frage nach dem tatsächlichen Risiko nicht beantwortet werden und vieles verbleibt im Bereich wilder Spekulationen. Deshalb ist es mir nicht möglich zu einer belastbaren Risikoabschätzung zu kommen.

Abschließend

Ziel dieses Artikels sollte es auch eher sein, zum Nachdenken anzuregen. Ich freue mich über jedes Feedback und bin gerne bereit etwas ausführlicher zu werden… 😉

Und: Danke, dass Du bis zum Ende gelesen hast!

Related Images: