Aus der Traum

Heute, am 24. September 2021, habe ich jede Hoffnung verloren. Unser Land, unser Kontinent wird in diesem Leben keine Digitalkompetenz mehr erwerben. Wir können es nicht, unsere Kultur und unsere Institutionen lassen nicht zu, dass wir vernünftig mit dem Internet und der IT umgehen.

Warum ich das denke? Während China – gottlob – Bitcoin endgültig verbietet und damit sich wie auch der Umwelt einen großen Gefallen tut, geht Altmaiers Denkmalprojekt Gaia-X den umgekehrten Weg. Blieb bisher nur unklar, was Gaia-X eigentlich erreichen solle und auf welchem Weg, wird nun deutlich, dass das Projekt auf die schiefe Bahn geraten ist: Man hat sich die Blockchain-Token-Spacken vom OCEAN Protocol eingetreten. Und das nicht nur ein bisschen, sondern gleich tief ins – allerdings auch sonst nicht überzeugende – Architekturdokument.

Was Gaia-X soll, erfährt man im Dokument nicht, wohl aber dies:

Screenshot 2021-09-24 at 20.48.55

Szenetypisch lernt man von den OCEAN-Spacken so wenig wie von Gaia-X, wie das alles funktionieren und welche Vorteile es haben könnte. Sie reden viel über ihre Token, wenig über Daten und überhaupt nicht über Probleme, welche die Datenverarbeitung in der Praxis aufwirft. Warum auch, wenn man mit haltlosem Gelaber Minister hinters Licht führen kann?

Es macht keinen Spaß mehr, sich auf diesem Kontinent mit IT zu beschäftigen.

 

Diebstahlsicherung

Nothämmer in öffentlichen Verkehrsmitteln werden gerne geklaut. Das hat zwar keinen Sinn, ist aber ganz leicht und manchem betrunkenen Halbstarken reicht die bloße Gelegenheit. Heute ist mir diese clevere Diebstahlsicherung begegnet: An den Nothammer kommt man erst, nachdem man die Notbremse gezogen hat. Das ist im Notfall kein Hindernis, aber Gelegenheitsdieben verdirbt es den Spaß. Zwar ist es nicht schwer, den Notbremsgriff zu ziehen, doch zieht man damit sogleich die Aufmerksamkeit der Fahrerin auf sich. Das dürfte zur Abschreckung genügen.Notbremsgriffmit Nothammer

Ersatzdroge Blockchaincoin

Warum fallen neben den üblichen Opfern von Anlagebetrügern auch Unternehmen und Politik auf Märchen von den wunderbaren Kryptowährungen und der revolutionären Blockchaintechnologie herein? Vielleicht deshalb, weil sie auf Entzug sind und nach einer Ersatzdroge gieren. Eine These:

Hinter uns liegt der bessere Teil einer dritten industriellen Revolution, getrieben vom Mikrochip als Technik- und vom Internet als Infrastrukturinnovation. Gerade der Siegeszug des Internets in den vergangenen dreißig Jahren hat ähnlich atemberaubende Auswirkungen wie einst die Entstehung von Industriebetrieben und Eisenbahnnetzen oder später die Elektrifizierung. Eine ganze Generation hat sich daran gewöhnt, in schneller Folge mit digitalen Neuheiten beglückt zu werden und mit Investitionen in Digitales fast immer Gewinne zu machen.

Die Digitale Revolution ist noch lange nicht an ihrem Ende angelangt, doch das Tempo hat sich spürbar verlangsamt. Dies löst Entzugserscheinungen bei denen aus, die bisher fette Gewinne einfuhren, und Torschlusspanik bei jenen, die nicht dabei waren und Versäumtes gerne nachholen würden. Beide suchen eifrig nach dem Next Big Thing, um von Anfang an dabei zu sein. Bei den einen kommen dabei müde Geschäftsideen von Taxiplattformen über Elektrotretrollerverleih bis zur Saftplattform Juicero heraus, die anderen hoffen wie die Bundesregierung mit ihrem Schlagwort „Industrie 4.0“ auf eine weitere, vierte industrielle Revolution.

In diesem Klima fällt die Behauptung der Blockchaincoinszene auf fruchtbaren Boden, man arbeite hier an einer revolutionären Technologie, die jeden Moment einen neuen Schub von Innovation und Disruption auslösen müsse. Das kommt ihnen gerade recht, darauf haben sie gewartet, da wollen sie auf jeden Fall dabei sein. Ob bewusst oder zufällig, die Blockchainszene erzählt ihnen genau das, was sie hören möchten. Auf eine echte Revolution zu warten, wie sie sich alle hundert Jahre mal ereignet, dauert ihnen zu lange und es ist ja auch riskant: Was, wenn man dann wieder zu spät dran ist?

Das heißt leider auch, dass das Problem nicht verschwindet, wenn sich der Marktpreis von Blockchaincoins und -token eines Tages ihrem tatsächlichen Wert angleicht. Sie werden sich dann nur ein neues Thema suchen, auf das sie ihre Hoffnungen projizieren können – mit Ökostrom erzeugten Wasserstoff zum Beispiel – und daran weiter träumen. Damit sich das ändert, brauchen wir jetzt mal dreißig Jahre Langeweile und ein paar Rückschläge. Das Gute daran: Während dieser Zeit könnten wir auch unseren Rückstand aufholen.

Gut gemeint

Großen Anteil am schlechten Ruf des Datenschutzes haben die Cookie-Zustimmungsdialoge, ohne die sich kaum noch eine Website ins Netz wagt. Mit wenigen Ausnahmen offen manipulativ heischen sie um Einwilligungen und gehen im Namen des Datenschutzes allen auf den Wecker: den einen, weil ihnen Cookies egal sind, den anderen, weil das Ablehnen Arbeit macht. Weder die einen noch die anderen können ausdrücken, was sie eigentlich sagen wollen.

Vordergründig scheinen die Rollen klar verteilt: hier die wackeren Datenschützer, die Grundrechte verteidigen, dort die gierigen Datenkraken, die diese Rechte nonchalant mit Füßen treten. Mit Dark Patterns, schmutzigen Tricks in der Benutzerführung, führen Websites ihre Besucher zur Einwilligung, deren Wirksamkeit freilich fraglich bleibt. Hin und wieder gehen Datenschutzbehörden dagegen vor, wie vor einiger Zeit in Dänemark.

Doch so klar lassen sich Schuld und Unschuld nicht zuweisen, sonst wäre der Datenschutz dieser Seuche längst Herr geworden. Tatsächlich sehen wir hier eine Wechselwirkung zweier unabhängig voneinander entworfener Systeme, von denen jedes für sich einen Sinn ergibt, die aber nicht aufeinander abgestimmt sind. Das eine System ist das World Wide Web als Plattform für alle möglichen Anwendungen sowie als Ökosystem der Arbeitsteilung und daraus resultierender Beziehungen. Das andere System ist der Datenschutz mit seiner eigenen Vorstellung, wie die Welt funktioniere und zu funktionieren habe.

Bei ausgewogener Betrachtung zeigen sich nicht nur gegensätzliche Interessen, ohne die der Datenschutz als Regelwerk und Kontrollsystem überflüssig wäre, sondern auch Schwächen des Datenschutzes, die zum Problem beitragen: eine nur teilweise Risikoorientierung, Blindheit für die Verhaltensökonomie der Verantwortlichen und Verarbeiter, sowie die Fehlallokation von Zuständigkeiten im Ökosystem.

Die Risikoorientierung des Datenschutzes ist eine gute Idee: Der Aufwand für Schutzmaßnahmen orientiert sich an den Risiken, die aus der Datenverarbeitung erwachsen. So müssen zum Beispiel die Gesundheitsdaten von Millionen Krankenversicherten stärker geschützt werden als die Mitgliederkartei Gesangsvereins. Dazu orthogonal verläuft jedoch die Frage, ob beziehungsweise auf welcher Erlaubnisgrundlage die Daten im Einzelfall überhaupt verarbeitet werden dürfen, denn die Verarbeitung erfordert stets eine gesetzliche oder individuelle Erlaubnis. In dieser Dimension gibt es keine Risikoorientierung, die Verarbeitung personenbezogener Daten kann nicht alleine wegen Harmlosigkeit erlaubt sein. Deswegen fragen uns Websites für jedes Cookie, das sich die Betreiber nicht als unbedingt erforderlich zu deklarieren trauen, nach unserer Einwilligung oder einem eventuellen Widerspruch.

Verhaltensökonomie versteht der Datenschutz auf der Betroffenenseite, jedenfalls soweit es um Einwilligungen geht. Einwilligungen müssen freiwillig erfolgen und mit etwas Analysearbeit kann man die Freiwilligkeit bezweifeln, wenn Benutzerführungen manipulativ wirken. Weniger Aufmerksamkeit widmet der Datenschutz der Verhaltensökonomie auf Seiten der Verantwortlichen und Verarbeiter. Für sie ist Datenschutz ein Compliance-Problem: Sie möchten ihre Geschäftstätigkeit möglichst ungestört ausüben, müssen dabei jedoch gesetzliche Bestimmungen einhalten und riskieren andernfalls Strafen.

Dies gibt Unternehmen einen Anreiz, mit möglichst geringem Aufwand möglichst umfassend korrektes Handeln zu dokumentieren, um Strafen zu entgehen. Das Heischen um Einwilligungen dient diesem Zweck, es soll dokumentierte Einwilligungen in die beabsichtigte Datenverarbeitung produzieren. Hierin liegt die Ursache manipulativer Gestaltung und mithin teils im Datenschutz selbst, der tatsächlich oder vermeintlich zu wenig Spielraum für die einwilligungsfreie Verarbeitung bietet. Organisationen sind tendenziell ängstlich und neigen dazu, Verantwortung abzuschieben – in diesem Fall auf die Nutzer als Betroffene, die doch bitte selber wollen sollen, was eine Website sollen will.

Zu guter Letzt entspringt die Seuche der Cookie-Einwilligungs-Dialoge auch einer Fehlallokation von Verantwortung im Ökosystem World Wide Web. In Wirklichkeit geht es gar nicht um Cookies, sondern um von Dritten bereitgestellte Dienste, die eine Website einbindet und zu denen deshalb Nutzerdaten fließen. Dazu gehören zum Beispiel Statistikdienste wie Google Analytics, Werbeplattformen, Einbettungen fremder Inhalte sowie technische Unterstützungsdienste.

Die Auswahl unterscheidet sich von Website zu Website, doch letztlich handelt es sich um eine relativ überschaubare Menge von Hintergrunddiensten, denen Nutzer auf verschiedenen Websites immer wieder begegnen. Zum Teil ist das ausdrücklich gewollt, etwa bei Werbeplattformen, die einzelne Nutzer über viele Websites hinweg wiedererkennen und verfolgen möchten. Zwar arbeiten die Hintergrunddienste unabhängig voneinander, aber jeder für sich ist zentralisiert und zusammen bilden sie eine Plattform, derer sich Websites bedienen.

Für den Datenschutz sind jedoch in erster Linie die einzelnen Websites zuständig. Sie tragen die Verantwortung dafür, ihre Besucher über die Datenverarbeitung zu informieren und nötigenfalls deren Einwilligung einzuholen. Das ist gut gemeint – Warum sollten sich Besucher einer Website mit den Zulieferern des Betreibers beschäftigen? – aber es passt nicht zur Struktur des Ökosystems. Da jede Website für sich und ihre Zulieferer verantwortlich ist, fragt auch jede für sich nach: Darf Werbeplattform X dich auf spiegel.de verfolgen? Darf Werbeplattform X dich auf heise.de verfolgen? Darf Werbeplattform X dich auf handelsblatt.de verfolgen?

Nicht Werbeplattform X fragt also nach einer Einwilligung, sondern jede Website, die damit arbeitet. Es gibt auch keine Möglichkeit, einmal festzulegen, dass man nie und nirgends etwas mit Werbeplattform X zu tun haben möchte. Damit aber wird die aktive Bitte um Einwilligung selbst zum manipulativen Dark Pattern, denn sie verursacht beim Nutzer Aufwand pro Website. Schlimmer noch, ausgerechnet bei Verwendung des Private- bzw. Incognito-Modus oder anderer Mechanismen zum Löschen von Cookies wird nicht einmal die Entscheidung pro Website gespeichert. Der Aufwand, sich mit einem Cookie-Einwilligungs-Dialog auseinanderzusetzen, fällt dann sogar pro Website-Besuch an, obwohl man es am Ende immer mit denselben paar Hundert Hintergrunddiensten zu tun hat.

Ganz gleich wie die Einwilligungs-Dialoge im Einzelnen gestaltet sind, die aktive Bitte um Cookie-Einwilligungen pro Website wirkt alleine bereits als Dark Pattern. Nutzerseitig entstehen fortlaufend Verhaltenskosten, die bei Verwendung von Datenschutzmechanismen zunehmen. Mechanismen für eine effiziente Selbstbestimmung über Hintergrunddienste fehlen. Dem Datenschutz ist es bis heute nicht gelungen dieses Defizit zu beheben oder auch nur eine Lösung zu skizzieren. Im Endeffekt besteht der Datenschutz auf Compliance zu Lasten der Betroffenen, weil er zu unbeweglich und sein Horizont zu eng ist.

Unterschätzte Risiken: software-definiertes Eigentum

Juristen unterscheiden aus gutem Grund zwischen Eigentum und Besitz. Mein vor gut einem Jahr geklautes Fahrrad zum Beispiel ist immer noch mein Eigentum, ich besitze es nur nicht mehr. Das Eigentum ist ein Recht, welches sich aus Gesetzen, Verträgen und nötigenfalls Gerichtsbeschlüssen ergibt. Der Besitz, die Verfügungsgewalt ist eine Tatsache, deren Ausprägung rechtmäßig oder unrechtmäßig sein kann. Verleihe ich etwa ein Fahrrad, so gelangt es rechtmäßig in den Besitz eines anderen, während ich Eigentümer bleibe. Gibt der Entleiher das Fahrrad nicht wie vereinbart zurück, sondern unterschlägt es, wird sein Besitz unrechtmäßig.

Solche Begriffe und Unterscheidungen sind über Jahrhunderte gewachsen und haben sich bewährt. Nun ist jedoch die wunderbare Blockchaintechnologie angetreten, unser geachsenes Verständnis von Eigentum und Besitz zu zerreißen. Wie zu erwarten war, geht das in die Hose.

Ihr habt sicher die Geschichte von dem Programmierer gelesen, der ein Passwort vergessen hat. Dieses Passwort gehört zu einer verschlüsselten Festplatte, auf dieser Festplatte ist ein Bitcoin-Wallet gespeichert, an diesem Bitcoin-Wallet hängen quantisierte Blockchain-Ergänzungsprivilegien im Umfang von ungefähr 7.000 Bitcoin und bei den Preisen, zu denen solche Privilegien derzeit gehandelt werden, könnte man sie für ein mittleres Vermögen in echtem Geld verkaufen. Das ist blöd gelaufen und wenn etwas blöd läuft, kann man daraus lernen.

Lektion 1: Verschlüsselung ≠ Sicherheit

Unter den klassischen Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit wird letztere von Security-Laien gerne als Mauerblümchen behandelt. Oft ist Verfügbarkeit wie hier jedoch das wichtigste Schutzziel. Zwischen Verfügbarkeit und Vertraulichkeit muss man meistens abwägen, gerade wenn man Daten verschlüsselt, denn je sicherer die Verschlüsselung ist, desto schwieriger wird es, die Verfügbarkeit sicherzustellen. Ob und unter welchen Rahmenbedingungen Verschlüsselung zur Sicherheit beiträgt, muss man deshalb im Einzelfall anhand einer gründlichen Bedrohungs- und Risikoanalyse herausfinden.

Lektion 2: Software-definiertes Eigentum überfordert

In der von libertären Vorstellungen geprägten Blockchain-Welt ist sich jeder selbst der Nächste. Den Unterschied zwischen Besitz und Eigentum gibt es dort nicht, nur die Verfügungsgewalt über bestimmte Schlüssel („Wallets“). Wie beim guten alten Sparstrumpf unterm Kopfkissen muss jeder selbst für seine Sicherheit sorgen, ohne Unterstützung von Institutionen zu erhalten. Das ist im richtigen Leben anders, da kann man sein Bargeld zur Bank bringen und erhält dafür eine Anspruch auf Auszahlung. Unter Umständen kann man seinen Anspruch sogar noch nach einer Bankenpleite erfolgreich geltend machen, nämlich im Rahmen der Einlagensicherung. Im Vergleich zu einer Bank ist ein Bitcoin-Wallet sehr unbequem, weil es nur Besitz und kein davon unabhängiges Eigentum gibt.

Lektion 3: Software-definiertes Eigentum überfordert doppelt

Nicht nur muss man sich mit einem Bitcoin-Wallet ganz alleine um seine Sicherheit kümmern, man hat es dabei auch noch besonders schwer. Alles hängt am Wallet. Das muss vertraulich bleiben, denn wer Zugriff auf die geheimen Schlüssel bekommt, erhält die Verfügungsgewalt über die am Wallet hängenden Transaktionsprivilegien. Nebenbei braucht man auch noch eine sichere Ausführungsumgebung für Programme, um das sicherzustellen. Ein Wallet muss aber auch verfügbar bleiben, denn sonst kann man selbst nichts mehr damit anfangen. Das alles unter einen Hut zu bringen, ist schwer. Als Bankkunde hat man viel einfacher und bekommt nebenbei noch Service dazu, zum Beispiel Karten, mit denen man bezahlen kann.

Lektion 4: Auf lange Sicht sind wir alle tot. Und Bitcoin et al. auch.

Etwas weniger offensichtlich ist ein weiteres Problem. Bitcoin-Fans erklären oft und gerne, die Gesamtzahl der in der Bitcoin-Community herstellbaren quantisierten Transaktionsprivilegien sei von vornherein auf einen Maximalwert begrenzt. Dies ist jedoch nur die halbe Wahrheit, denn mit jedem verlorenen Wallet gehen, falls die Technik wie spezifiert funktioniert, die daran gebundenen quantisierte Transaktionsprivilegien unwiderruflich verloren. Das tatsächlich verfügbare Volumen an Transaktionsprivilegien („Bitcoins“) nimmt also auf lange Sicht ab, bis keine mehr übrig sind. Geld auf der Bank kann man zum Beispiel problemlos erben, wenn man über die erforderlichen Papiere verfügt. Bitcoin nicht, wenn der Erblasser sei Passwort nicht aufgeschrieben hat. Schreibt er es jedoch auf, riskiert er den Kontrollverlust.

Vielleicht ist es das beste, Bitcoin und alles davon Abgeleitete als Aktionskunst zu betrachten. Dann macht es wenigstens Sinn.

Scheinalternative Anwendungszoo

In Baden-Württemberg laufen einige Vereine und Verbände weiter Sturm gegen den Einsatz von Microsoft-Produkten in Schulen als handle es sich dabei um von Bill Gates persönlich verimpfte atomgetriebene Tunnelbahnhöfe der fünften Generation. Neben ätherischen Ideen wie WeltSchulfrieden, Datenschutz und digitaler Souveränität sowie abstrusen Prägungstheorien führen die Vereine als Argument auch angebliche Alternativen an (PDF):

„Mit Moodle (Lernplattform), BigBlueButton (Videokonferenzsystem), LibreOffice (Bürosoftware), Thunderbird (Mailprogramm) und Nextcloud (Dateiablage und Kooperation) stehen allen Schulen Anwendungen zur Verfügung, die den Funktionsumfang von MS 365 abdecken oder übertreffen.“

Eine Sprecherin des Kultusministeriums zitiert dagegen positive Erfahrungen und findet es „verwunderlich, dass die Verbände in ihrer gemeinsamen Stellungnahme die Bedürfnisse der Schulen und Praktiker vor Ort offenbar nicht zur Kenntnis nehmen und die Realitäten des Alltags verkennen.“ Ich teile ihre Verwunderung nicht, denn die Ansichten der Aktivisten lassen sich zwanglos mit einem engen Erfahrungshorizont erklären. Anscheinend hat keiner von ihnen in den letzten zehn Jahren eine moderne Office-Installation aus der Nähe gesehen.

Wer Microsoft Office hört, denkt zuerst an Word, Excel und PowerPoint. Kein Wunder, denn aus diesen Produkten schnürte Microsoft vor gut drei Jahrzehnten sein erstes Office-Paket. Bis heute sind sie in jeder Version enthalten, doch die Hauptrolle spielen sie nicht mehr. Microsoft Office heißt heute: Outlook und Skype for Business und OneNote und Teams sowie im Hintergrund in einer herkömmlichen On-Premise-Installation Exchange, SharePoint und Active Directory. Und das ist zusammen kein Zoo aus einzelnen Anwendungsgehegen, sondern eine integrierte Lösung, ein digitales Gondwanaland.

Eine Besprechung mit Microsoft Office geht ungefähr so: Zuerst sagst du Outlook, dass du gerne Leute einladen würdest, und suchst dir die Teilnehmer aus dem Adressbuch aus. Dein Adressbuch weiß, wo das Active Directory steht, deshalb findest du da jeden aus deiner Organisation. Outlook schaut dann selbständig in die einzelnen Kalender und schlägt dir Zeiten vor, die allen passen. Du schreibst deinen Einladungstext und klickst auf den Skype-Button, der einen Block mit den Zugangsdaten fürs Meeting in deine Nachricht einfügt. Das ist alles. Kein Wechsel zwischen Programmen, keine mentale Checkliste erforderlicher Fleißarbeiten – du schreibst einfach eine Einladung, der Rest geht mehr oder weniger von selbst. Wenn nicht gerade Pandemie ist und alle zu Hause bleiben, kannst du im Vorbeigehen auch einen freien Besprechungsraum suchen und reservieren.

Genauso unkompliziert legst du aus deinem Kalender einen Notizzettel in OneNote an, entweder für dich alleine oder auf dem Sharepoint-Server für alle. Auf diesem Notizzettel erscheinen von selbst die Metadaten zur Besprechung – Betreff, Datum, Uhrzeit, Teilnehmerliste und so etwas — und dann kannst du oder könnt ihr loslegen und zum Beispiel die Agenda entwerfen. Dir fällt dabei ein, dass du zur Vorbereitung unbedingt noch etwas erledigen musst? Kein Problem, aus OneNote heraus kannst du deine Outlook-Aufgabenliste befüllen und aus der Aufgabenliste kommst du selbstverständlich auch zurück zum Ursprung und ob du deine Aufgabe in Outlook oder in OneNote als erledigt abhakst, bleibt dir überlassen.

Kurz bevor die Besprechung losgeht, meldet sich Outlook mit einer Erinnerung. Daraufhin beginnst du nicht etwa hektisch im Kalender und deiner E-Mail nach den Einwahldaten zu suchen, sondern du klickst einfach den Beitreten-Button im Erinnerungsfensterchen an und setzt dein Headset auf, während Skype for Business die Verbindung aufbaut. Während der Besprechung kommt dann vielleicht mal PowerPoint zum Einsatz oder Excel oder was auch immer man gerade zum Arbeiten braucht. Das Protokoll schreibst du in OneNote, das dir die im Skype-Meeting erschienenen Teilnehmer in der Liste selbständig ankreuzt, damit du dich auf Wichtigeres konzentrieren kannst. Du berichtest im Meeting von einem Telefonat letzte Woche und kannst dich nicht mehr erinnern, wer dich da angeskypet hat? Guckst du Outlook, das merkt sich deine Chats und Anrufe aus Skype for Business.

Du bist oft unterwegs und willst lieber mit dem Smartphone? Dann nimmst du halt Outlook und OneNote und Skype for Business für Smartphones. So wird nicht nur die Cloud als Backend auf einen Schlag plausibel, sondern du bekommst auch noch gratis Office Lens dazu, das dir  Whiteboards und Flipcharts und Visitenkarten und Dokumente nach OneNote fotografiert und sie dabei entzerrt und zuschneidet. Und ja, wenn es sich um Drucksachen handelt, macht OneNote unaufgefordert OCR und du kannst später nach dem Inhalt suchen.

Das, und nicht Word/Excel/PowerPoint, ist ein zeitgemäßes Officepaket: eine integrierte Lösung für die Organisation, Kommunikation und Zusammenarbeit im Arbeitsalltag. Wer ganz oder teilweise im Manager Schedule arbeitet, viele verschiedene Vorgänge im Blick behalten muss oder aufgrund seiner Rolle mit vielen verschiedenen Menschen zu tun hat, erleichtert sich seine Arbeit damit ungemein. Gelungene Integration kommt unauffällig daher, hat jedoch einen großen Nutzen, denn sie beseitigt Reibungsverluste und Hürden. Fürs Wesentliche bleibt mehr Zeit, die Kommunikation und Zusammenarbeit läuft rund.  Dabei habe ich Microsoft Teams mangels eigener Erfahrung damit noch nicht einmal berücksichtigt.

In vielen Unternehmen funktioniert das so. Richtig klar wird einem das vielleicht erst, wenn man es mal selbst erlebt hat – und dann südwestdeutschen Querdünkel von Dateiablagen und LibreOffice schwärmen hört. Solche Alternativen spielen nicht in derselben Liga und auch nicht in der nächstniedrigeren. Google Workspace spielt in derselben Liga, aber das würde ihnen ja genauso wenig gefallen.

Selbstverständlich könnte man sich vornehmen, Ähnliches auf der Grundlage von Open-Source-Software selbst zu entwickeln. Vorher möge man jedoch kurz überschlagen, wie viele Jahre Vorsprung Microsoft und Google haben, wie viele Milliarden an Investitionen in ihren Produkten stecken und wie viele voraussichtlich noch hinzukämen, bevor man sie eingeholt hätte. Fünf Milliarden aus einem Digitalpakt würden dort kein ganzes und auch kein halbes Jahr reichen.

Gewiss, in die Hände von Grundschülern gehört ein digitaler Büroarbeitsplatz nicht. In die ihrer Lehrerinnen und Lehrer dagegen schon und dann bitte ordentlich, nicht als Modell 601S. Lehrerinnen und Lehrer haben nämlich allerlei zu planen, zu kommunizieren und zu organisieren. Gibt man ihnen vernünftige Werkzeuge dafür, können sie sich genau wie Büroarbeiter besser aufs Wesentliche konzentrieren. Ein paar jugendfreie Funktionen wie einfach zu nutzende Konferenzschaltungen für improvisierten Fernunterricht fallen dabei fast von alleine mit ab und vielleicht kann auch die Redaktion der Schülerzeitung etwas mit zeitgemäßen Werkzeugen anfangen. Von mir aus kann die gerne jemand anderes als Microsoft oder Google liefern, wenn es denn jemand anderes kann. Solche Diskussionen müssen aber auf dem Stand der Technik geführt werden und nicht auf der Basis von Fake News. Stand der Technik sind integrierte Lösungen, die Arbeit erleichtern, und nicht zusammengewürfelte Sammlungen halbgarer Me-too-Produkte. Mal schnell für ein paar Euro Open-Source-Software aufzusetzen, die gerade auf der Anwendungsebene oft hinterherhinkt, rettet uns nicht.


P.S. (2021-01-17) Im Golem.de-Diskussionsforum findet User Oktavian diese schöne Metapher:
„Als Bauherr möchte ich ein Haus. Der Bauträger bietet mir ein Haus gebaut nach meinen Wünschen an. Du möchtest mir einen Bagger liefern, Steine, einen Kran und Dachziegel. Daraus kann ich mir bestimmt ein Haus bauen, aber dann brauche ich noch Bauarbeiter, einen Plan, Genehmigungen, ein Grundstück, einen Architekten, einen Statiker und habe das Risiko, dass alles nicht funktioniert. Was glaubst Du wohl, wessen Angebot ich reizvoller finde?“
Und auch sonst dreht sich die Diskussion dort um die hier angesprochenen Punkte.

Kommunikation mit Impfgegnern

Das RKI hat vor kurzem ein Lehrvideo für ÄrztInnen und Gesundheitsfachpersonal veröffentlicht, in dem der Erfurter Psychologe Philipp Schmid über die Kommunikation mit Impfgegnern spricht:

Die beschriebenen Taktiken können auch in anderen Zusammenhängen nützlich sein.

Der Vortrag verweist unterwegs auf eine nützliche Quelle zum Umgang mit Fehlinformation, das Debunking Handbook 2020, das auch auf Deutsch erhältlich ist.

CoronApp-News November 2020

Wir sind jetzt nicht mehr so stolz auf unsere heimische Pandemiebekämpfung wie vor einigen Monaten und blicken mit einer Mischung aus Neid und Abscheu auf jene Länder, die es besser hinbekommen. Deren Erfolgsgeheimnis liegt wohl nicht in besseren Apps, sondern zum Beispiel in konsequenterer Quarantäne. Wie geht’s den Corona-Apps, die uns erlösen sollten?

  • Die Corona-Warn-App wird langsam weiterentwickelt.
    • Seit einigen Tagen ruft sie Benachrichtigungen mehrmals täglich vom Server ab. Unter der Haube wird das zugrundeliegende Exposure Notification Framework weiterentwickelt, so dass es künftig präzisere Informationen liefert.
    • Geplant sind für die nächste Zeit Erinnerungen, falls ein vorliegendes Testergebnis noch nicht geteilt wurde, Informationsangebote in der App als Anreiz, sie regelmäßig zu öffnen (Aber wozu?), eine Kontakttagebuchfunktion sowie nun doch auch eine Funktion zum Check-In in Restaurants etc. per QR-Code. Oder doch nur Links auf externe Angebote, mit denen das bereits geht? Wir werden sehen.
    • Nerds hatten für die Clusterverfolgung auf den Ansatz CrowdNotifier gehofft, doch der ist nur theoretisch geil, weil es in der Praxis auch für Menschen ohne App funktionieren muss, gerade bei Cluster-Ereignissen. Merkt man hat nicht, wenn man nur auf die Technik schaut.
  • Bastler mit Android-Geräten können jetzt eine Version der Corona-Warn-App verwenden, die ohne Google-Services auskommt und die an Googles Appstore vorbei installiert werden kann und muss.
  • Auch diesen Monat gibt es wieder technische Probleme Unannehmlichkeiten. Auf Geräten mit den nicht ganz frischen Android-Versionen 6 bis 7.1 funktioniert die Coroa-Warn-App gerade nicht. Zuvor und unabhängig davon gab es eine Sicherheitslücke im Server-Backend; ein Angreifer hätte darüber eigenen Programmcode einschleusen und auf dem Server ausführen lassen können. Anscheinend hat dies jedoch niemand versucht und alle sind stolz wie Oskar, dass sie die Lücke gefunden und behoben haben.
  • Ein heißes Thema bleibt der bisher wohl geringe Nutzen der App und die Frage, was man dagegen tun könne.
  • Einen Schuldigen haben viele bereits ausgemacht: den Datenschutz, das ungeliebte „Supergrundrecht“. In Wirklichkeit ist es wohl eher die Freiwilligkeit nicht nur der App-Nutzung, sondern auch vieler anderer Maßnahmen bis hin zur Quarantäne, die nicht ausreichend durchgesetzt werden. Die Freiwilligkeit betonen jedoch gerade jene, die auch Kompromisse beim Datenschutz ablehnen. Man mag die Forderung nach Datenschutzlockerungen für ein Zombieargument halten, doch davon verschwindet nicht der berechtigte Eindruck, dass die Corona-Warn-App in erster Linie Daten schützt, aber wenig gegen die Pandemie tut, oder dass die Einschränkung anderer Grundrechte einen leiseren Aufschrei verursacht. Auch sollte sich so eine Diskussion nicht auf die Corona-Warn-App fokussieren, sondern müsste ebenso fragen, wieso wir überhaupt so große Hoffnungen in diese Lösung gesetzt haben oder warum wir andere Länder nicht für Vorbilder halten sollen.
  • Die Forderung nach extremem Datenschutz wird in Bezug auf die Corona-Warn-App gerne damit begründet, er sei für das Nutzervertrauen essenziell und damit Voraussetzung für deren Akzeptanz. Ganz so einfach ist es wohl nicht. Die real existierende Corona-Warn-App wird dennoch wegen Datenschutzbedenken abgelehnt und in Wirklichkeit treiben persönliche Befindlichkeiten die Nutzung oder Nichtnutzung.
  • Seit sich zeigt, dass die Corona-Warn-App keine Wunder wirkt, rückt endlich die – den Sommer über offenbar nicht verbesserteIT-Ausstattung und Organisation der Gesundheitsämter ins Blickfeld. Nun sollen sie doch endlich alle SORMAS bekommen, aber mitten in der zweiten Welle ist ein schlechter Zeitpunkt, um neue Software einzuführen. Hier und da hat man auch selbst etwas entwickelt. Hätte uns doch nur rechtzeitig jemand gesagt, dass es SORMAS gibt, dass digitale Unterstützung der Pandemiebekämpfung verschiedene Formen annehmen kann und dass es auf die Anforderungsanalyse ankommt und nicht auf Architekturideologie.
  • Noch weniger Erfolg als die Corona-Warn-App hat die Datenspende-App des RKI. Dafür war sie schnell verfügbar und wirbelte wenig Staub auf. Eigentlich ein gelungenes Experiment, auch wenn das Ergebnis enttäuscht. Sollten wir öfter machen.
  • Die digitale Einreiseanmeldung ist keine App geworden, sondern eine einfache Website.
  • Mit der Aussicht auf bald beginnende Impfungen kommen auch digitale Impfpässe näher. Besonders die Luftfahrt hat Interesse an leicht und schnell zu prüfenden Impfnachweisen. Da alle Datenschutzaktivisten damit beschäftigt sind, die Corona-Warn-App zu verteidigen, könnte das ohne große Diskussion durchgehen.
  • Zu guter Letzt werden die britischen Apps zur Kontaktverfolgung miteinander vernetzt. Man könnte fast meinen, das Vereinigte Königreich wäre eine kleine EU.

Eigentlich ist also alles wie immer: Digitalisierung und Seuchenbekämpfung verkackt, Datenschutz hochgehalten, und weiterwurschteln. Bis zum nächsten Mal – am 31.12. feiert Covid-19 seinen ersten Geburtstag – wird sich daran wenig ändern.

Scheinalternative Manufaktur-EDV

„Es gibt sie noch, die guten Dinge“, wirbt ein Einzelhändler, der sich auf altmodische, handgefertigte Haushaltswaren spezialisiert hat. Wer es geil findet, einen Tischfernsprecher W 48 – außen Bakelit®, innen solide Nachkriegselektrik, Digitalkonverter separat erhältlich – in sein Wohnzimmer zu stellen oder den Rasen seines Anwesens mit einem handbetriebenen Spindelmäher kurz zu halten, wird dort zu gesalzenen Preisen fündig.

Nüchtern betrachtet ergibt solch ein Kauf wenig Sinn. In derselben Preisklasse bekommt man als Gegenwartstechnik ein Smartphone oder einen Mähroboter und damit viel mehr Leistung für sein Geld. Der bloße Kauf eines altmodischen Manufakturprodukts mag noch wie eine Geschmackssache wirken, in der man sich willkürlich so oder so entscheiden kann. Doch über die Nutzungsdauer betrachtet zahlt man beim Manufakturprodukt verglichen mit seinen zeitgemäßen Nachfolgern fortwährend drauf. Deswegen kaufen Menschen nur dann „die guten Dinge“, wenn ihnen diese Folgekosten egal sind, etwa weil es sich um ein Geschenk mit externalisierten Kosten handelt oder weil sie mit einem Statussymbol unaufdringlich Vermögen demonstrieren möchten.

„Es gibt sie noch, die guten Dinge“, behaupten auch Technik- und Kulturpessimisten, denen der Fortschritt zu schnell fortschreitet und ob das denn nötig sei und nicht am Ende unsere Jugend verdürbe. Die guten Dinge, das sind ihnen Telefonate statt Videokonferenzen, selbst betriebene Open-Source-Anwendungen, Endgeräte und Anwendungen ohne Telemetrie und dergleichen mehr. Der Rest der Welt hat sich derweil an Videokonferenzen gewöhnt, wartet sehnlichst darauf, dass öffentliche Einrichtungen wie Schulen und Ämter endlich in der IT-Gegenwart ankommen, und nutzt selbstverständlich Anwendungen und Plattformen aus der Steckdose.

Die angeblich guten Dinge ähneln ihren Vorbildern aus dem Reich der Haushaltswaren. Wäre das Telefon eine ebenbürtige Alternative zur Videokonferenz, gäbe niemand Geld für Videokonferenzdienste aus. Dass es doch alle tun, liegt daran, dass es sich eben nicht nur um eine Art Bildtelefon handelt, sondern um Anwendungen für multimediale 1:n- und m:n-Kommunikation. Wo das Telefon genügt, greifen Menschen von alleine zu diesem, aber das Telefon kann im Vergleich zur Videokonferenz ungefähr so viel wie ein Tischfernsprecher W 48 im Vergleich zum Smartphone.

Auch Telemetrie und Cloud Computing entspringen nicht etwa einem gemeinen Weltherrschaftsplan amerikanischer Überwachungskapitalisten, sondern schlicht technisch-ökonomischem Fortschritt, der selbst und autark betriebene Anwendungen nach und nach zu einem Thema für die Geschichtsbücher macht. Dahinter steckt ein Prozess der Kommoditisierung, den jede Infrastrukturinnovation durchläuft. Anwendungen wandern im aus denselben Gründen von eigenen Servern in die Cloud, aus denen einst Dampfmaschinen in Kraftwerke und die Inhalte von Sparstrümpfen auf Bankkonten wanderten: Weil es möglich wurde und sich als effizienter erwies.

Die Vorteile sind offensichtlich. Dieses Blog hier zum Beispiel läuft komplett in der Cloud, bei wordpress.com. Ich muss mich um nichts anderes kümmern als die Inhalte: keine Server betreiben, keine Software installieren, keine Updates einspielen, kein Backup machen, nicht nach Einbrüchen aufräumen. Ich muss mir nur mein Passwort merken und, wenn ich es schön haben möchte, jedes Jahr ein paar Euro bezahlen. Alles selbst zu machen, wäre in der Summe teurer bei einem schlechteren Ergebnis, deshalb lasse ich das.

Dass dieses Geschäft funktioniert, liegt an Skaleneffekten: Durch Massenproduktion sinken die Kosten pro Stück. WordPress.com betreibt mein Blog nicht auf dieselbe Weise, wie ich es tun würde, also mit einem dedizierten und individuell administrierten Server, sondern auf einer eine Plattform mit Millionen von Blogs und Benutzern. Die Grenzkosten für ein einzelnes Blog verschwinden praktisch. Deshalb kann wordpress.com jeden Aufwand unterbieten, den ich für die Leistung „funktionierendes Blog“ in derselben Qualität betreiben müsste. Manufaktur ist teurer als Massenproduktion, in der Anschaffung wie im Betrieb.

Der Trend zum Software-Service betrifft nicht nur Anwendungen, sondern auch das, was wir früher Betriebssystem nannten und was heute den Charakter eine Managed Platform hat. Früher baute man seine Computersysteme selbst: schaffte Hardware an, installierte Betriebssysteme darauf und schließlich Anwendungsprogramme, organisierte den Betrieb des teuren Geräts zum Beispiel mit regelmäßigen Datensicherungen und Virenscans. Wer wollte, konnte den Computer später für einen anderen Zweck verwenden, indem er diesen Prozess mit demselben oder einem anderen Betriebssystem und neuen Anwendungen erneut begann.

Heute sind Geräte austauschbar und Betriebssysteme eine Dienstleistung. Wir haben Benutzerkonten bei Apple/Google/Microsoft, die wir mal mit diesem, mal mit jenem Gerät nutzen. Kommt mal ein Gerät weg, tritt man es online aus allen Diensten raus, stellt ein neues hin und macht dort weiter, wo man aufgehört hatte. An der Software der Endgeräte herumzubasteln, macht noch weniger Sinn als ein eigener Anwendungsbetrieb.

Themen wie Telemetrie in Windows und Office oder auch Apples automatischer Sicherheitscheck beim Programmstart, der neulich einen kurzen Aufruhr auslöste, muss man in diesem Kontext betrachten. Es hat keinen Sinn mehr, sich über „nach Hause telefonierende“ Software zu erregen. Der Normalfall ist, dass Software in der Cloud läuft und dort betreut und weiterentwickelt wird; teilautonome Endgeräte werden stattdessen als Näherungslösung so an die Cloud angeschlossen, dass man ihren Benutzern trotzdem Stress mit der Systemadministration ersparen kann. Und das ist gut, denn inzwischen kann man auch Laien einen Internetapparat anvertrauen, ohne ständig auf sie aufpassen zu müssen.

In der konsequentesten Umsetzung bekommt man am Ende einen Thin Client wie Googles Chromebook als Interface zur Cloud, bei dem lokale Anwendungen keine Rolle mehr spielen. Dann bereitet das einzelne Gerät praktisch keinen Administrationsaufwand mehr, weil es nur noch einen Browser booten muss, der durch ein Benutzerlogin an einem Cloudservice personalisiert wird. Damit lässt sich zum Beispiel ein Laptopverleih organisieren, wie ihn die ULB Darmstadt anbietet. Einige sind der Ansicht, dass dies auch für den Schulbetrieb genau der richtige Ansatz sei.

Wer unbedingt in einem Gefühl digitaler Souveränität schwelgen möchte, kann das alles auch nachbauen. Das wird jedoch voraussichtlich ein teures und zeitraubendes Projekt. Man bekommt eben nicht dasselbe, indem man mal schnell einen Linux-Server mit ein paar Open-Source-Paketen aufsetzt, sondern müsste schon das ganze System und dessen Betrieb replizieren und außerdem in die Weiterentwicklung investieren wie ein etablierter Cloudversorger. Das kann man tun, aber es ist nicht die beste Idee, wenn man gerade etliche Jahre verschlafen hat und einen nun auch noch eine Viruspandemie zu schnellem Handeln zwingt. Obendrein hält ein in der Hinterhofwerkstatt aus Subprime-Software zusammengefrickeltes System in Sachen SIcherheit und Datenschutz nicht unbedingt, was seine Verfechter versprechen. So fiel die häufig genannte Videokonferenzsoftware Big Blue Button kürzlich mit langen Reaktionszeiten auf gemeldete Sicherheitsmängel auf. Dort hätte man also nachzuarbeiten.

Es gibt sie noch, die guten Dinge, doch sie sind gar nicht gut, sondern alt, rückständig, umständlich produziert. Dennoch empfohlen werden sie als Scheinalternative von Akteuren, denen niemand die Kosten ihrer Ratschläge in Rechnung stellt, die sich jedoch eigene – nicht-monetäre – Gewinne erhoffen. Datenschutzbeauftragte sollen schnellen Fortschritt in der IT nicht fördern, sondern bremsen und ihre Arbeit beruht auf Gesetzen und Traditionen, welche die Datenverarbeitung unter den Generalverdacht der Grundrechtsgefährdung stellen. Vereinsinformatiker können sich umso wichtiger fühlen, je komplizierter Informationstechnik zu nutzen ist, je exklusiver also ihre Expertise bleibt. Verbraucherschützer benötigen einen Antagonisten, und sei es ein erfundener wie die „Prägung“ von Schülerinnen und Schülern auf Microsoft-Produkte und die angebliche Vermarktung ihrer Verhaltensdaten durch Microsoft. All jene, die tatsächliche Kosten gegen den tatsächlichen Nutzen abwägen müssen, sind mit zeitgemäßen Services besser bedient als mit Manufakturalternativen. Wer nicht möchte, dass deren Anbieter Microsoft oder Google heißen, muss konkurrenzfähige Alternativen als Dienstleistung anbieten und nicht Software zum Selbermachen empfehlen.

A (Trolley Problem) Trolley Problem

Algorithm ethics as a trolley problem:

There is a runaway trolley barrelling down the railway tracks. Ahead, on the tracks, there is a trolley problem waiting. The trolley is headed straight for it, burdening you with an ethical dilemma to decide:

[There is a runaway trolley barrelling down the railway tracks. Ahead, on the tracks, there are five people tied up and unable to move. The trolley is headed straight for them. You are standing some distance off in the train yard, next to a lever. If you pull this lever, the trolley will switch to a different set of tracks. However, you notice that there is one person on the side track. You have two options: (1) Do nothing and allow the trolley to kill the five people on the main track. (2) Pull the lever, diverting the trolley onto the side track where it will kill one person. What is the right thing to do?]

You are standing some distance off in the train yard, next to a lever. If you pull this lever, the trolley will switch to a different set of tracks. However, you notice that there is an equivalent trolley problem on the side track. This other trolley probem will be decided not by you, it will be decided by an algorithm.

You have two options:

  1. Do nothing and allow the trolley to make you the sad hero of a trolley problem.
  2. Pull the lever, diverting the trolley onto the side track where an algorithm will take care of the problem job for you.

What is the right thing to do?

(Trolley problem description based on Wikipedia. Reductio ad absurdum inspired by this tweet.)

CoronApp-News Oktober 2020

Jetzt bleiben wir wieder eine Weile zu Hause, ob bis zum Advent oder bis Ostern, ist noch nicht raus. Viel Zeit zum Lesen:

Die nächste Zusammenfassung gibt es, wenn das Klopapier alle ist.

Digitale Scharlatane

Chatbots gelten den EDV-Experten in deutschen Amtsstuben heute als so modern und zukunftsweisend wie einst die Blockchain-Technologie. Wieder einmal überschätzen sie banale Technik grandios, ohne sich um den Anwendungsnutzen und die Benutzerinteraktion zu scheren. Oder wissen sie, was sie tun und setzen Chatbots aus denselben Gründen auf, aus denen sich Kleinstadtbürgermeister bei feierlichen Eröffnungen neuer Spielplätze oder Radwege fotografieren lassen, nämlich um dabei gesehen zu werden? Immerhin gelten Chatbots in Deutschland als zukunftsträchtige KI, damit zeigt man sich gerne.

Die Bundesverwaltung zeigt sich aus aktuellem Anlass mit dem Chatbot C-19 zum Thema Coronavirus. Nach eigener Aussage hat man weder Kosten noch Mühen gescheut, um dieses zukunftsweisende Technologieprojekt umzusetzen:

„Hinter C-19 steht ein interdisziplinäres Team in den beteiligten Ministerien und Ämtern, beim Beauftragten der Bundesregierung für Informationstechnik und beim IT-Dienstleister des Bundes. Das Team besteht aus Programmiererinnen und Programmierern, Trainerinnen und Trainern, Redakteurinnen und Redakteuren, Softwarearchitektinnen und -architekten, Administratorinnen und Administratoren und weiteren Wegbegleiterinnen und Wegbegleitern sowie Fürsprecherinnen und Fürsprechern, die ihn mit Informationen versorgen, beim Lernen unterstützen und sich um das Wohlergehen von C-19 kümmern.“

Müsste ich raten, wo das Budget herkommt, würde ich auf die KI-Strategie der Bundesregierung tippen, denn die Bundesregierung möchte, dass wir KI-Weltmeister werden, und wenn die Regierung etwas möchte, dann ist das in den Amtsstuben Gesetz. Unter diesen Umständen kann man nicht nicht KI machen und so verspricht man das Blaue vom Himmel:

„In Form eines Chats kann C-19 mit Ihnen ein Gespräch führen und soll Ihnen als Bürgerinnen und Bürgern so den Zugang zu fachlichen Inhalten der Ministerien, Ämter und Institutionen des Bundes erleichtern. Er ist um Antworten nicht verlegen und ist sogar bereit, aus Ihren Fragen mehr zu lernen und seine Wissensbasis zu Corona stetig zu erweitern. Mit C-19 wird ein Prototyp für den Aufbau einer bürgernahen Kommunikation mit Hilfe einer lernenden Technologie entwickelt.“

Nicht nur diesem Anspruch wird C-19 nicht gerecht, sondern auch keinem anderen vernünftigen. Gespräche führen kann der „Chatbot“ schon mal nicht, das überfordert ihn:

screenshot-2020-10-13-at-22.01.21

Am besten füttert man C-19 einfach mit Stichworten wie eine Suchmaschine. Dann verhält er sich auch wie eine Suchmaschine und liefert Ergebnisse:

Screenshot 2020-10-14 at 00.30.30

Eine unmittelbare Antwort auf seine Frage bekommt man selten, auch wenn man eine formuliert, sondern in aller Regel einen Link und dazu einen Sermon unterschiedlicher Länge in schönstem Bürokratendeutsch:

Screenshot 2020-10-14 at 00.03.43

Manchmal bekommt man auch nur den Sermon und keinen Link dazu. Ob es sich auch um eine Antwort auf die gestellte Frage handelt, bleibt dabei Glückssache:

Screenshot 2020-10-13 at 12.20.27

Irgendwann muss auch dem interdisziplinären KI-Projektteam klargeworden sein, dass es sich bei seinem Chatbot in Wirklichkeit um eine banale Websuche handelt. Bietet C-19 weitere Informationen an, kann man direkt aus einem Menü wählen, welches dann – auf dem Umweg über ein inszeniertes Selbstgespräch des Bots – das Ergebnis liefert:

Screenshot 2020-10-13 at 22.03.53

C-19 ist also in Wirklichkeit eine Suchmaschine, die sich hinter einem chatartigen Interface verbirgt, dadurch umständlich zu nutzen ist und ihre Tarnung nur kurz durchhält. Das ist keine Kinderkrankheit, die sich irgendwann gibt, sondern Resultat eines Vorgehens, in dem Benutzerinteraktion und Anwendungsnutzen keine Rolle spielen. Das Entwicklungsziel lautete anscheinend nicht, eine sinnvoll und leicht verwendbare Anwendung, Funktion oder Informationsdarstellung anzubieten, sondern um jeden Preis mit einem Chatbot gesehen zu werden.

Wer sich nur ein wenig mit Interaktionsdesign beschäftigt, kommt schnell darauf, dass der Austausch wohlformulierte Sätze in natürlicher Sprache selten der geeignetste, einfachste  Modus der Mensch-Maschine-Interaktion ist. Eingaben werden nicht einfacher, wenn man ganze Sätze tippt, sondern anstrengender; diese Anstrengung bleibt vergebens, wenn der Computer am Ende doch nur auf Stichworte reagiert oder schlechte Antworten gibt.

Ausgaben müssen knapp und prägnant sein und dürfen wesentliche Informationen nicht in nutzlosem Rauschen verstecken. Styleguides für Benutzerschnittstellen sind deshalb voll von Empfehlungen, wie man Rauschen entfernt. Schon die Frage: „Möchten Sie mehr erfahren?” ist als Beschriftung eines Buttons zu lang, „Mehr erfahren“ oder auch nur „Mehr“ spart allen Zeit. Selbst bei kürzeren Texten sorgt die Chatdarstellung für eine geringe Informationsdichte auf dem Bildschirm und bietet keine Möglichkeit, alle relevanten Informationen oder eine übersichtliche Aufstellung derselben auf einen Schlag auf den Schirm zu bekommen.

Mit Vorteilen hat man sich diese Defizite nicht erkauft. C-19 lässt selbst offensichtlichste Gelegenheiten zur Interaktion ungenutzt. Erklärt etwa jemand der Suchmaschine, einige Symptome einer Infektion zu verspüren, böten sich Rückfragen nach weiteren Symptomen sowie umfassende, klare Verhaltensmaßregeln an. Doch so weit wollte niemand denken:

Screenshot 2020-10-13 at 22.37.00

Was stattdessen herauskommt, wenn man tatsächlich nützliche Informationen sinnvoll verfügbar machen möchte, die Benutzerinteraktion ausgehend von diesem Ziel gestaltet und über die erforderliche Designkompetenz verfügt, demonstriert Google. Dort muss man nicht einmal seine Anfrage selbst zu Ende tippen, sondern bekommt nach wenigen Wörtern den passenden Fortsetzungsvorschlag:

Screenshot 2020-10-13 at 12.30.17

Dessen Auswahl liefert ein sorgfältig aufbereitetes Ergebnis: Verhaltensmaßregeln in wenigen einfachen Hauptsätzen ohne ein überflüssiges Wort oder in Stichpunkte, Verweise auf weitere Informationen sowie leichter Zugang zu Antworten auf ähnliche Fragen, alles übersichtlich aufbereitet mit einer hohen Informationsdichte und schnell zu erfassen.

Screenshot 2020-10-13 at 12.31.35

Wer etwas allgemeinere Stichwörter als Suchbegriffe eingibt, bekommt so viel Information, wie sich auf einer Bildschirmseite unterbringen lässt:

Screenshot 2020-10-13 at 22.52.54

Auch auf die unspezifische Symptomschilderung liefert Google zwar keine Rückfrage, aber eine passende Antwort:

Screenshot 2020-10-13 at 22.56.15

Hinzu kommt, dass Google jeder kennt und dass das bis auf einige zwanghafte Nonkonformisten auch jeder dort sucht, während man vom Chatbot C-19 der Bundesverwaltung nur zufällig erfährt. Mich hat das Randgruppenmedium Twitter auf C-19 aufmerksam gemacht.

C-19 ist nutzlos. Der Chatbot ist keiner, seine Gestaltung lässt keine kompetenten Bemühungen um Nutzen und Usability erkennen und mit der Suchmaschine Google sind wir besser bedient. Das wird sich auch nicht ändern, wenn man weiter am Bot herumbastelt, denn der gewählte Ansatz ist nicht fortschrittlich, sondern unsinnig und kein Stück nutzerorientiert. Zu befürchten ist jedoch, dass man noch lange daran herumbasteln wird, aus denselben Gründen, aus denen man damit begonnen und sein Scheitern nicht bemerkt hat.

Kein Wunder, dass es mit der Digitalisierung der Verwaltung so schleppend vorangeht, wenn maßgeblichen Akteuren das Immunsystem gegen Scharlatanerie fehlt. Wir sind nicht mehr nur digital rückständig, wir verlieren langsam den Kontakt zur Realität. Zwischen dem „Chatbot“ der Bundesverwaltung und einem sinnvoll gestalteten User Interface nach dem Stand der Kunst liegen Welten und sie liegen nicht hinter, sondern vor dem Bot. So wird das nichts mit der digitalen Souveränität.

PS (2020-10-21): Wenigstens die Erfahrungen mit Karl Klammer alias Clippy sollte man kennen, wenn man was mit Chatbots machen möchte.

Attack Scenario ≠ Threat

The below video gives an example of what some people would call a threat model. For all I can tell the video leaves out some detail but is otherwise accurate. Why does it appear hilarious or silly rather than reasonable?

As a joke the video exploits a mismatch between the sensible, even verifiable analysis it presents and the ridiculous assumptions it implies. If this attack scenario manifested itself it would play out pretty much as presented. However, the implied very narrow and specific mode of operation – firing cannon rounds at computers – does not correspond with the behavior of any reasonably imaginable threat agent. Any agent with the capability to deploy main battle tanks is facing a wide range of possible uses and targets. Shooting individual personal computers remains not only far from being one of the more profitable applications of this capability, but guarantees a negative return. The cost is high and destruction of specific, low-value items promises rather limited gains. There are also much cheaper methods to effect any desired condition on the specific type of target, including its complete destruction.

While the attack scenario is accurate, it lacks, therefore, a corresponding threat that would produce actual attacks. Such a threat would exist, for example, if the assumed target were other main battle tanks rather than personal computers.

Open Source staatlich fördern?

In einem Beitrag auf Heise Online plädiert Julia Reda für eine europäische Förderung von Open-Source-Soft- und Hardware. Die Sprunginnovationsagentur pflichtet ihr bei und verweist auf ihr Förderprojekt Sovereign Cloud Stack. Open-Source-Projekte zu fördern, ist eine gute Idee, aber die damit verbundenen Erwartungen erscheinen mir überhöht und nicht klar genug. Open Source soll die Sicherheit verbessern, Europa unabhängiger von großen, ausländischen IT-Unternehmen machen, Alternativen zu erfolgreichen Onlinediensten von Cloud Computing bis Videokonferenzen bereitstellen und Demokratiebewegungen in anderen Ländern unterstützen [Klarstellung dazu]. In diesem Potpourri liegt die Gefahr, sich zu verzetteln und Blütenträume zu fördern.

Open-Source-Produkte nehmen wie ihre kommerziellen Konkurrenten auf der Angebotsseite am Marktgeschehen teil. Zwar kann man sie einsetzen, ohne eine Lizenzgebühr zu zahlen, doch steht die Wahl auf der Nachfrageseite jedem Anwender frei. Vernünftig handelnde Anwender werden sich für diejenige Lösung entscheiden, die gemessen an ihren Bedürfnissen das beste Kosten-Nutzen-Verhältnis verspricht. Repräsentiert das beobachtete Marktgeschehen die Ergebnisse vernünftiger Entscheidungen, können wir die Faktoren analysieren, die zu diesen Entscheidungen beitragen.

Der Markt zeigt immer wieder, dass Open-Source-Anwendungen nur in Nischen konkurrenzfähig sind. OpenOffice, Firefox, Linux als Desktop-Betriebssystem oder der Messenger Signal sind verfügbar, doch ihre Nutzerzahlen bleiben überschaubar, von Marktführerschaft keine Spur. Der Anonymisierungsdienst Tor zielt gar von vornherein auf eine Nische, er ist nur für Randgruppen relevant und für die Mehrheit nicht alltagstauglich. Besser schlägt sich Open-Source-Software dort, wo sie Anwender nicht zu Gesicht bekommen: Als Softwareinfrastruktur in Anwendungen verborgen und in Entwicklerwerkzeugen spielen Open-Source-Projekte wie Linux, die Apache-Projekte, OpenSSL, Eclipse und viele andere eine bedeutende Rolle. Das ist kein Zufall.

Der Markt für Softwareinfrastruktur lässt wenig Raum für dauerhafte Konkurrenz verschiedener Anbieter vergleichbarer Produkte, etwa verschiedener Webserver oder Unix-Kernel. Standardisierung, zum Beispiel von Protokollen, lässt wenig Raum für sinnvolle Produktdifferenzierungen. Zugleich bringen konkurrierende ähnliche Produkte kostspielige Kompatibilitätsprobleme mit sich, die wiederum zu Standardisierungsversuchen führen. Wer einmal Software zwischen verschiedenen Unix-Variantenportiert hat, kann ein Lied davon singen. Auch in der Qualität können sich unterschiedliche Anbieter nicht nennenswert voneinander abheben, weil die Anforderungen an alle dieselben sind.

Jede konzeptionell weitgehend ausentwickelte Komponente nur einmal statt in mehreren unabhängigen Varianten zu pflegen, ist deshalb optimal. Nicht optimal wären jedoch Herstellermonopole, die für das einzige Produkt seiner Art Mondpreise kassieren. Deshalb ist es für alle besser, Komponenten der Softwareinfrastruktur als eine Art Allmende zu behandeln, die allen zur Verfügung steht und alle zur Mitarbeit einlädt. Weil alle davon profitieren, gibt es wenig Förderbedarf. Es ist der Markt, der Open-Source-Software hier zum Erfolg führt. Die Linux-Foundation zum Beispiel wird von großen IT-Unternehmen und der Fondsgesellschaft BlackRock finanziert.

Anders funktioniert der Markt für Anwendungen und anwendungsnahe Dienste, denn sie bieten in vielen Merkmalen Differenzierungspotenzial und damit Raum für Konkurrenz. Deswegen kann man ERP-Systeme von SAP oder von Oracle kaufen, Browser von Google, Microsoft, Mozilla oder Brave, Office-Software von Microsoft oder Google und so weiter. Zu den wichtigen Merkmalen zählt nicht zuletzt der Preis, genauer die Gesamtkosten der Nutzung. Dass sich Open-Source-Alternativen hier selten durchsetzen können, deutet darauf hin, dass sie in der Gesamtsicht nicht das attraktivste Produkt liefern. Besonders deutlich wird dies, wo selbst betriebene Open-Source-Software gegen kommerzielle Anwendungsdienste antreten, etwa Jitsi und BigBlueButton gegen Zoom, aber auch im Vergleich verschiedener Dienste wie Signal gegen WhatsApp.

Von den Verfechtern der OSS-Alternativen gerne ignoriert oder kleingeredet, zeigen sich in vielerlei Hinsicht Defizite. So hinkte Signal im Funktionsumfang WhatsApp hinterher und ging seinen Nutzern auf die Nerven. Selbst gehostete Videokonferenzdienste verursachen Arbeitsaufwand und brauchen eine Vorlaufzeit, bis sie einsatzfähig sind, während man mit Zoom auf der Stelle loslegen kann. Ob man mit den Alternativen wirklich sicherer ist, liegt auch nicht so klar auf der Hand. Wer nüchtern hinschaut, findet die Gründe dafür, dass die Open-Source-Alternativen alternativ bleiben. Daran kann auch OMG-ihr-bezahlt-mit-euren-Daten!!1-Rhetorik bei kostenlos angebotenen Diensten nichts ändern, denn das ist offensichtlich für viele ein fairer Deal.

Analog gilt dies auch für hochwertige Clouddienste a.k.a. Platform as a Service (PaaS). Dort bekommt man für sein Geld nicht einfach Software, sondern eine Plattform, welche die Entwicklung und den Betrieb von Anwendungen erleichtert und den Einsatz von IT-Ressourcen flexibel anpassbar macht. Software ist dafür nur Mittel zum Zweck und die Dienstleistung steckt nicht im Programmcode.

Um es mit den etablierten kommerziellen Anbietern von Anwendungsdiensten und Cloudplattformen aufnehmen zu können, müsste man überlegene Dienste anbieten, ähnlich wie Airbus einst ein fortschrittliches Flugzeug auf den Markt gebracht hat. Open-Source-Software kann dafür Basiskomponenten gemäß dem oben skizzierten Allmendemodell bereitstellen, aber diese Baseline ist alleine gerade nicht konkurrenzfähig, sondern ein allgemein verfügbarer kleinster gemeinsamer Nenner. Den kann man lange fördern, ohne dass er sich je von irgend etwas positiv abhebt.

In keinem der beiden Segmente kann eine großzügige staatliche Förderung von Open-Source-Projekten den Markt umkrempeln. Stattdessen bekäme man künstliche Open-Source-Projekte wie die AusweisApp2 oder die Corona-Warn-App, die zwar Einblicke in den Quelltext und die Entwicklung gewähren sowie Community-Kontakte pflegen, letztlich aber Auftragsarbeiten bleiben. Das heißt nicht, dass es falsch wäre, öffentliche Entwicklungsprojekte so weit wie möglich zu öffnen, aber das bleibe eine eigene Spielart von Open Source.

Die Hoffnung, mit staatlich geförderten Open-Source-Projekten endlich die technologische Lücke von 1969 zu schließen, wird sich nicht erfüllen. Dennoch gibt es Potenziale für sinnvolle staatliche Förderungen. Die Strategien ergeben sich aus den beiden diskutierten Modellen.

Auf dem Gebiet der Softwareinfrastruktur kann der Staat als Stakeholder für wünschenswerte Eigenschaften wie Qualität, Sicherheit und Weiterentwicklung auftreten. Das FOSSA-Projekt der EU passt genau in dieses Muster. Europäische Alternativen und Europäische Souveränität entstehen dadurch jedoch nicht. Im Gegenteil, solange sich IT und Internet im Industriemaßstab eher außerhalb als innerhalb Europas abspielen, handelt es sich tendenziell um ein Geschenk an die Konkurrenz. Bleiben lassen muss man es deswegen nicht, aber mit realistischen Erwartungen herangehen.

Bei den Anwendungen und anwendungsnahen Diensten hat Förderung nur einen Sinn, wenn sie auf konkurrenzfähige Angebote zielt. Open Source wird dabei zum Nebenaspekt, im Vordergrund steht das Produkt aus Anwenderperspektive, das besser und kostengünstiger sein muss. Wer also Zoom oder WhatsApp doof findet, muss objektiv bessere Dienste objektiv preiswerter anbieten (und im Fall von WhatsApp noch mit den unvermeidlichen Netzwerkeffekten fertig werden). Es gibt sogar noch ein Spielfeld, auf dem es eher auf die Software als auf die Dienstleistung ankommt: Webbrowser. Chrome ist zurzeit unangefochtener Marktführer, Mozilla siecht dahin. Ein solide finanzierter unabhängiger Browser mit allem, was daran hängt, bleibt dringend nötig. Nebenbei bekäme man einen Träger für Datenschutztechnik, die uns das unsägliche Zustimmungsgeheische im Web erspart, und könnte bei der Webstandardisierung mitreden.

Keimzelle einer neuen europäischen Informationstechnikbranche wäre auch das nicht, aber es wäre sinnvoll. Im Gegensatz zum Versuch, spezifisch und strategielos das Attribut „Open Source“ zu fördern.