DNIP Briefing #31: Im Archiv

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat.

Inhalte

Datenrettung, die Dritte

Archive und Bibliotheken sind sich gewohnt, in Jahrhunderten zu denken. Denn Teile ihres Datenschatzes werden auch für zukünftige Generationen relevant sein, auch wenn jetzt noch nicht klar ist, was das sein wird.

In den USA sind wissenschaftliche Daten nicht mehr so sicher wie auch schon. Deshalb haben sich dort analoge und digitale Archivare seit einigen Monat in Aufruhr und werden in Europa Kopien dieser bedrohten Daten angelegt (wir berichteten in unseren Briefings).

ArXiv.org ist eine beliebte freie technische Onlinebibliothek mit bald 3 Millionen wissenschaftlichen Fachartikeln, die bereits über 3 Milliarden Male heruntergeladen wurden. Die deutsche TIB (früher «Technische Informationsbibliothek», heute «Leibniz-Informationszentrum Technik und Naturwissenschaften und Universitätsbibliothek») ist die weltweit grösste Bibliothek ihrer Fächer. Diese TIB hat eine Kopie von arXiv.org angelegt, dass sie jederzeit veröffentlichen können, sollte das (US- bzw. cloud-basierte) Original offline gehen. Die TIB motiviert die Schaffung ihres «Dark Archive» wie folgt:

Initiativen wie „Safeguarding Research and Culture“ bemühen sich, bedrohte Forschungsdaten und Websites für die Forschungscommunities und die Nachwelt zu sichern. Die bedrohten Inhalte reichen von den Sozialwissenschaften (zum Beispiel Forschung zu LGBTQIA+-Themen), Medizin (zum Beispiel Impfstoffe) bis zu den Naturwissenschaften (zum Beispiel Klimaforschung). Während Forschung mit Bezügen zu politischen Debatten den offensichtlichsten und schärfsten Repressalien ausgesetzt ist, kann prinzipiell jede Forschung von „Einsparungs-“ und Umstrukturierungsmaßnahmen bedroht sein. Dies zeigt sich zum Beispiel an der geplanten Schließung der traditionsreichen Atomspektroskopie-Gruppe am National Institute of Science and Technology (NIST).

Für eine noch weitergehendere Änderung am Umgang mit akademischen Veröffentlichungen spricht sich Glyn Moody aus: Dass es nämlich noch mehr (peer-reviewed) Möglichkeiten geben muss, mit denen Wissenschaftlerinnen kostenlos ihre Erkenntnisse publizieren können und alle Leser ebenfalls kostenlos darauf zugreifen können (sogenannte «Diamond Open Access»-Journale).

(Wer noch tiefer in die Materie einsteigen will: Die European University Association hat kürzlich einen Bericht zu der Zukunft von Kommunikationsmodellen für die Wissenschaft veröffentlicht.)

Anonymität optional

In gleich zwei Artikeln ging das US-amerikanische Online-Magazine 404 Media letzte Woche auf die schwindende Anonymität sowohl im öffentlichen als auch im digitalen Raum ein. In Developer Builds Tool That Scrapes YouTube Comments, Uses AI to Predict Where Users Live geht es um ein AI-Tool, welches aufgrund der YouTube-Kommentare eines Benutzers Aussagen zu seinem Aufenthaltsort (oder zumindest der Region) wie auch zu seinen sozialen, kulturellen und politischen Aussagen macht. Wie immer bei solchen Artikeln lässt sich nicht ohne weiteres verifizieren, ob das Tool primär fantasiert oder effektiv eine Klassifikation der YouTube-Benutzenden erlaubt. Google weist darauf hin, dass das Tool gegen die Privacy Policies von YouTube verstosse, für allfällige Betroffene dürfte dies allerdings ein schwacher Trost sein. Schützen kann man sich innerhalb YouTube defacto nur, indem man gar nicht mehr erst kommentiert. Bewusst sein muss sich dabei jedoch, dass ähnliche Tools auch auf andere Social Media-Plattformen ausgerichtet sein können, und auch zum Beispiel aus den Posts im Fediverse und in Bluesky Benutzer-Profile erstellt werden können. Es ist ja kein Zufall, dass die USA neu für Visa-Anträge ein Offenlegen von Social Media-Profilen verlangt.

Um Gesichtserkennung geht es in ICE Is Using a New Facial Recognition App to Identify People. Im konkreten Fall um eine App, welche die US-amerikanische Einwanderungsbehörde verwendet, um Menschen aufgrund ihres Gesichts zu identifizieren. Auch diese Technologie ist im Grunde nicht neu, kam bisher zumindest offiziell primär in mehr oder weniger eng abgrenzbaren Bereichen wie der Zoll-Kontrolle am Flughafen zum Einsatz. Die ICE-App verwendet als Basis für die Gesichter offenbar unter anderem die Bilder, welche bei der Einreise erstellt werden. Hier werden also biometrische Daten, welche für einen spezifischen Zweck gesammelt wurden, in einem anderen weiterverwendet. Datenschützer warnen schon seit Längerem vor solchen Entwicklungen.

Brille als Adblocker

2012 hat Google mit Google Glass eine der ersten Virtual/Augmented Reality-Brillen für die breite Öffentlichkeit vorgestellt (und den Verkauf 2015 wieder eingestellt). Seither haben sich verschiedene Hersteller am Thema versucht und sind mehrheitlich gescheitert (selbst Apple schaffte es nicht, seine Vision Pro-Brille in signifikanten Stückzahlen zu verkaufen). Die einigermassen erfolgreichen Modelle werden primär für Spiele und für die Erwachsenen-Unterhaltung eingesetzt, allgemein ansprechende Use Cases gibt es praktisch kaum. Ein belgischer Entwickler hat die AR-Brille von Snap nun um eine Funktion erweitert, mit welcher sich Werbung im öffentlichen Raum ausblenden lässt. Diese Funktion funktioniert ähnlich wie ein AdBlocker im Browser, erkennt Werbeflächen etc. und überdeckt sie mit einem anderen Bild. Momentan ist das primär eine Spielerei, und dürfte wohl kaum jemanden dazu bewegen, sich eine solche Brille zuzulegen. Und ob die Brillen-Anbieter, welche ja durchaus auch auf Werbeeinnahmen angewiesen sind, solche Apps zulassen, oder ob sie ihre Kontrolle über die jeweilige Plattform dazu nutzen, entsprechende Funktionen zu verbieten, steht noch in den Sternen.

Open Source: Das Finanzdilemma

Ohne Open-Source-Software gäbe es das Internet und «die Cloud» nicht. Zumindest nicht so, wie wir sie kennen. Unzählige Web- und Cloudserver basieren auf dem Open-Source-Betriebssystem Linux und die allermeisten Cloud-Pakete basieren auf unzähligen Open-Source-Softwarepaketen.

Viele Open-Source-Pakete werden von Firmen und ihren Angestellten gepflegt. Oder Firmen geben ihren Mitarbeitenden Zeit, die eine oder andere Stunde ihrer Arbeitszeit für die Verbesserung von Open-Source-Projekten einzusetzen, die in der Firma genutzt werden, weil diese Software der Firma Geld spart. Von einigen Firmen wird das Open-Source-Argument auch genutzt, um gute Leute zu finden oder zu halten.

Aber es gibt auch unzählige Projekte, die von Personen in ihrer Freizeit gepflegt werden. Einige davon haben nur wenige Nutzer und die sind mit der Software zufrieden oder spenden den Softwareentwicklern zwischendurch etwas.

Doch es gibt auch die Softwarepakete, die von Einzelpersonen seit Jahrzehnten gepflegt werden, aber auf denen grosse Techfirmen in unzählige ihrer Produkte eingebaut werden. Nur selten fliesst da Geld und meist nur vernachlässigbar im Vergleich zum Nutzen, den die Firma daraus zieht.

Ein aktuelles Beispiel ist die Softwarebibliothek libxml2, die Software der Wahl, wenn es um die Verarbeitung von XML-Daten geht. Wer XML nicht kennt: Wenn irgendwo Daten ausgetauscht werden, ist oft XML nicht weit; sei es als Arbeitspferd hinter jedem Office-Dokument oder auch auf Webseiten (die Seitenbeschreibungssprache HTML ist ein Ableger von XML).

Seit 25 Jahren wird libxml2 von 1 bis 2 Entwickler in ihrer Freizeit gepflegt. Inzwischen ist sie wegen ihrer Qualitäten in unzähligen Produkten von Apple, Google und Microsoft eine Basiskomponente, vergleichbar mit der sehr eindrücklichen XKCD-Grafik von Randall Munroe.

Nicht nur erhalten die Entwickler so gut wie nichts für ihre Freiwilligenarbeit. Inzwischen ist ihre Software auch zu einem beliebten Ziel für IT-Sicherheitsfirmen geworden, die sich mit dem Finden von mehr oder weniger relevanten Fehlern in der Software profilieren wollen. In einem aktuellen Beispiel will die Sicherheitsfirma möglichst viel Visibilität (was zusätzlichen Aufwand für die Entwickler generiert), sind aber nicht bereit, etwas zur eigentlichen Fehlerbehebung beizutragen.

Die ganze undankbare Geschichte hat Joe Brockmeier bei LWN.net detailliert aufgearbeitet; ab dem 3. Juli ist sie auch für Nicht-Abonnenten frei lesbar.

Es gibt aber auch gute Beispiele:

München, bekannt vom Hin- und Her rund um Linux auf dem Desktop, setzt auf den Servern sehr stark auf Linux sowie Souveränität und damit Open Source. Und tragen auch zu Open Source bei, mit Geld und Arbeit. Und dokumentieren das vorbildlich und übersichtlich. Danke!
NLnet, das niederländische Äquivalent zu Switch in der Schweiz, hat angekündigt, dass sie über ihren «NGI Zero Commons Fund» 62 Projekte fördern, welche die Digitalisierung im öffentlichen Interesse fördern. Finanziert wird dies durch die EU und das Schweizer Staatssekretariat für Bildung, Forschung und Innovation (SBF). Danke auch hier!

Nie mehr Crowdstrike?

Letzten Sommer hat ein Fehler in der Crowdstrike-Sicherheitssoftware weltweit über 8 Millionen Windows-Arbeitsplatzrechnern und -Servern lahmgelegt (DNIP berichtete ausführlich). Da sich viele Sicherheitssoftware sehr tief in das Windows-System (in den sog. Kernel) einnisten musste, ist ein Crash dieser Software dann auch mit einem Crash des gesamten Windows-Systems nach sich zieht. Schon damals hatte Microsoft angekündigt, Schritte unternehmen zu wollen, dass dies nicht mehr vorkommen müsse.

Die letzten Monate hat Microsoft genutzt, um an diesem Versprechen (weiter) zu arbeiten:

Vermeidung: Microsoft hatte schon letztes Jahr Pläne, dass gewisse sicherheitsrelevante Funktionen über standardisierte Interfaces angeboten wird. Dazu war das im Linux-/Cloud-Bereich sehr beliebte eBPF (extended Berkeley Packet Filter) genutzt. Dazu führten sie inzwischen Gespräche mit den Anbietern von Sicherheitssoftware, welche Funktionen konkret nötig seien.
Recovery: Falls jetzt doch irgendwann einmal irgendetwas (was auch immer) ein System daran hindern sollte, normal zu booten, wird es neu den Quick Recovery Mode geben. Dieser bietet eine minimale Betriebsumgebung, gerade gross genug, dass automatische Updates eingespielt werden können und andere Fernadministrationsaufgaben erledigt werden können.

Dies sind wichtige Schritte, insbesondere im Geschäftsumfeld; ob sie in der Praxis dann auch so gut funktionieren, müssen die nächsten Monate und Jahre zeigen.

Ein Wermutstropfen ist aber schon jetzt absehbar: Die Spieleindustrie wird wohl nicht so rasch von ihren kernel-basierten Schutzmechanismen abwenden. Aber zum Glück dürften die auf Geschäftsrechnern eher selten sein.

Und schliesslich:

Dänemark versucht einen neuen Ansatz, um gegen Deepfakes vorgehen zu können. Neu soll im dänischen Urheberrechtsgesetz das Recht am Bild des eigenen Körpers und der eigenen Stimme verankert werden. Auf dieser Basis wäre es Betroffenen dann möglich, rechtlich gegen Plattformen mit Deepfakes wie auch gegen Deepfake-Generatoren vorzugehen. Noch ist das Gesetz nicht in Kraft, und wie so oft wird erst die Gerichtspraxis zeigen, ob es die gewünschte Wirkung erreicht. Aber ein interessanter Weg ist es allemal.
Ich will Open Source-Software schreiben, aber sie soll nicht für «Böses» eingesetzt werden? Das ist der Wunsch vieler freiwilliger Software-Entwickler. Aber das würde die Open-Source-Ideen unterminieren, meint Hartmut Gieselmann in einem Kommentar bei Heise.
Aus Angst vor Automobilzöllen knickt die EU-Kommission unter dem Trump-Druck ein und will jetzt doch nochmals über die Schutzmechanismen gegen Missbrauch unserer Personendaten etc. durch US-Tech-Unternehmen verhandeln.
Nachdem der Bund sich letzten Herbst aus dem Fediverse zurückgezogen hat (DNIP berichtete), sieht das bei Universitäten anders aus. So hat im Februar die EPFL zur Förderung der offenen wissenschaftlichen Kommunikation eine eigene Community («Instanz») für ihre Angehörigen im Fediverse gestartet und heute Dienstag startet das deutsche KIT mit einer eigenen Community für alle Hochschulangehörigen. Und natürlich sind diese Communities – wie im Fediverse üblich – automatisch miteinander und allen anderen vernetzt.
Die österreichische Datenschutz-NGO noyb hat die Dating-App Bumble verklagt, da sie die persönlichsten Informationen ihrer Nutzer:innen ohne ihre Zustimmung an OpenAI schickt.
Nicht nur Hersteller von VoIP-Telefonen kommen auf unvorstellbare Ideen, wenn es um die Umsetzung von IT-Sicherheit geht. Auch Hersteller von WLAN-Weckern scheinen sich nicht einmal grundlegende Sicherheitsüberlegungen zu ihren Geräten machen zu wollen. Ganz abgesehen von der Frage, wieso meine Wecktermine überhaupt auf einem Cloud-Server abgelegt werden müssen.

4 Antworten

Bipox sagt:

1. Juli 2025 um 09:20 Uhr

Diese Abhängigkeit von Repositories / Libraries, die von ganz wenigen Leuten gepflegt werden, wird zunehmend zum Sicherheitsrisiko. Heartbleed und Meltdown lassen grüssen. Trotz Open Source, blieben diese Schwachstellen jahrelang unentdeckt. Im Notfall ist einfach keiner Zuständig.

Wenn ich daran denke, dass ein Grossteil der kritischen Infrastrukturen der Schweiz auf solche Open Source Pakete angewiesen ist und keinerlei Übersicht darüber vorhanden ist, wer wann was aktualisiert, bin ich nicht unbedingt beruhigt.

Antworten
1. Marcel Waldvogel sagt:
  
  1. Juli 2025 um 16:53 Uhr
  Auch ohne Abhängigkeiten hast du viele Sicherheitsprobleme. Die Software, die «in-house» entwickelt wird, hat oft sehr schlechte Qualität. Und keiner muss sich schämen, da die Kunden den Code ja nicht sehen können.
  
  Viele dieser Open-Source-Tools haben zumindest Basisanforderungen an Codequalität, oft (viel) mehr. Anerkenne diese Leistung, insbesondere wenn du Geld damit machst.
  
  Heartbleed und Meltdown sind zwei sehr andere Probleme:
  1. So wurde Heartbleed sehr schnell gefixt, das Problem lag aber bei den «Konsumenten» dieser Software, die oft nicht updaten wollten.
  2. Die Meltdown-Klasse von Problemen sind Hardwareprobleme der (kommerziellen) Chiphersteller. Diese müssten eigentlich von diesen gefixt werden (und sie arbeiten auch fleissig daran). Aber Hardware-Patches sind ganz schwer zu verteilen, wie Intel schon einmal aufwändig feststellen musste. Deshalb versuchen die Betriebssyteme, Compiler und Browser dieser Welt (Open Source oder nicht), diese Probleme in Software abzuschwächen.
  Es sollte einfach klar sein, dass
  - auch diese «kostenlosen» Tools froh sind um Motivation und Unterstützung,
  - wenn du dir die Mühe machst, einen Bug zu finden, um daraus dann PR für dich zu generieren, sei doch auch gleich so nett und mache einen Vorschlag, wie man den Bug beheben könnte (denn das andere ist für den freiwilligen Entwickler sehr demotivierend).
  Antworten
Rolf Wilhelm sagt:

1. Juli 2025 um 11:08 Uhr

Mal wieder ein Flashback bei mir:
Warum sind die Bluescreens bei Windows so berücktigt? Weil es um Crashes von Kernel-Mode-Drivers geht.
Warum ist Windows dafür scheinbar so anfällig?
Weil entweder für Windows NT 3.51 oder NT 4.0 (also: 1995 oder 1996, ich weiss es nicht mehr genau) die Entscheidung gefällt wurde, aus Performance-Gründen die Grafiktreiber in den Kernel zu verschieben. Und weil explizit die Hersteller von Grafikkarten ihre Treiber eher „agil“ entwickeln und Fehler dort dann eben schnell mal zu einem Bluescreen führen, wurde das damals plötzlich sehr relevant. Und, da muss ich ausnahmesweise Microsoft mal in Schutz nehmen: Eigentlich war Microsoft da nicht wirklich für verantwortlich, sondern die Hersteller der relevanten Treiber.

Für die jung geborenen: Windows NT war die Basis für Windows 2000 und damit für XP, 7, …

Funfact: Als nicht-Gamer, der keinen Bedarf für spezielle Grafikkarten/Chips hat habe ich schon gefühlt seit Jahrzehnten keinen Bluescreen bei mir selber mehr erlebt. Ausnahme: ein defekter Memory-Riegel hat auch mal dafür gesorgt. Zu Recht.

Antworten
1. Marcel Waldvogel sagt:
  
  1. Juli 2025 um 18:49 Uhr
  
  Ja, es ist eine Kombination mehrerer Faktoren: Anfangs gab es für viele Spezialfunktionen (Sicherheitsfunktionen, Gerätetreiber) nur die Möglichkeit, diese im Kernel zu implementieren, z.T. geerbt von MS-DOS her (wo es diese Trennung gar nicht gab). Und viele Gerätehersteller hatten ihre Software mit der heissen Nadel gestrickt; auch weil dieses Modell für sie neu war.
  
  Zur Geschichte der Sicherheitsfunktionen im Windows-Kernel und den Wünschen, aus dem Kernel herauszukommen, habe ich letztes Jahr anlässlich des CrowdStrike-Crashes geschrieben.
  
  Antworten

Schreibe einen Kommentar Antworten abbrechen

Weitere Beiträge

Vogt am Freitag: There’s an app for that

Reto Vogt 27. Juni 2025

Der Bundesrat gönnt sich für seine Regierungskommunikation eine eigene App. Kolumnist Reto Vogt sieht Licht und Schatten. Und eine Parallele.

Bild eines Yealink-Telefons, auf dessen Display das Spiel Doom läuft

Yealink-VoIP-Telefone: Insecurity by Design

Marcel Waldvogel 25. Juni 2025

Was würdest du sagen, wenn dein Telefon dich abhören würde? Ok, es hört dich nicht selbst ab. Aber es geht