Damit Sie Lösungen nicht suchen, sondern finden ! Damit Sie Lösungen nicht suchen, sondern finden !


 

Öffentliche IT-Projekte:
Transparenz unerwünscht?

Gastkommentar, Linux-Magazin 4/2005

ungekürzte Originalfassung



Korrektur-Hinweis zu diesem Gastkommentar


Weitere Kommentare, Reden, Interviews

"Wissen ist Macht, nichts wissen macht nichts" könnte das Motto manches öffentlichen IT-Projekts gewesen sein -- von der elektronischen Patientenakte bis hin zur flügellahmen ELSTER der Finanzverwaltung. Zwar hat das Vordringen von Open Source in den öffentlichen Bereich fraglos Positives bewirkt, doch dass quelloffene Software nicht nur Freunde hat, liegt ebenfalls auf der Hand: Wer Planungsfehler oder gar Kompetenzdefizite kaschieren muss, der wird den Transparenzgewinn durch Open Source so sehr hassen wie der Leibhaftige das Weihwasser.

Eine wachsende Open-Source-Durchdringung im öffentlichen Bereich gibt es seit Jahren zu vermelden, denn nicht nur die Städte Schwäbisch Hall und München haben Linux auf ihre Fahnen geschrieben. Auch das Bundesamt für Finanzen betreibt seit mehr als fünf Jahren in erheblichem Umfang OSS-basierte Verfahren. Doch wer daraus schließt, "der" öffentliche Dienst habe nun ein Einsehen und schwenke auf Open Source um, täuscht sich gewaltig. Ebenso wie in Großunternehmen gibt es auch hier Inseln, Fürstentümer und Königreiche, deren Souveränität von ihren Potentaten mit Klauen und Zähnen verteidigt wird -- nicht selten wider jede sachliche Vernunft.

Kein Allheilmittel

Um Missverständnissen vorzubeugen: Open Source per se hindert niemanden daran, Konzeptions- oder Programmierfehler zu begehen und ist auch kein Mittel, alle Probleme dieser Welt mit einem Streich zu lösen. Die Offenlegung des Quellcodes und die dadurch möglichen Review-Verfahren können aber helfen, Schieflagen früh zu erkennen und ihnen entgegenzusteuern, und zwar bevor das gesamte Projekt komplett an die Wand gefahren wurde. Doch diese Offenheit ist gnadenlos, und wer etwas zu kaschieren hat, wird sie sich kaum wünschen.

Auf dem CCC-Kongress Ende Dezember 2004 kam ein Fall ans Tageslicht, bei dem man sich ernsthaft fragt, welchen Beitrag Open Source und frühzeitige Review-Verfahren hätten leisten können, um schwere und schwerste Konzeptionsfehler schon im Frühstadium zu erkennen. Der Sicherheitsexperte Thomas Maus hatte in einem Vortrag über gravierende Sicherheitsmängel bei der sogenannten elektronischen Patientenakte ("Padok", "D2D") berichtet, deretwegen seit einiger Zeit auch ein Rechtsstreit anhängig ist.

Vertrauensvorschuss verspielt

Wer die Details liest, reibt sich verwundert die Augen und fragt sich, was für Bastler denn dort wohl am Werke waren. Selbst wenn die Software zwischenzeitlich nachgebessert wurde, ist die Angelegenheit damit noch keineswegs vom Tisch. Zum einen lief die untersuchte Softwareversion mit echten Patientendaten, die sich, einmal freigesetzt, nicht wieder einfangen lassen, und deren Kompromittierung immensen Schaden anrichten kann. Zum anderen sind die festgestellten Mängel laut Maus so gravierend, dass er das gesamte Verfahren als nicht reparierbar einstuft. Ein Blick auf den Vortrag zeigt, dass es bei der Verfahrenskonzeption der elektronischen Patientenakte augenscheinlich bereits am kleinen Einmaleins in puncto Sicherheitskompetenz mangelte. Der Vertrauensvorschuss auf Patientenseite ist auf jeden Fall verspielt und man fragt sich, weshalb man ausgerechnet jenen trauen sollte, die schon im ersten Anlauf keine Hemmungen zeigten, mit fremden Daten ganz besonders leichtfertig umzugehen. Dieses Verhalten ist nicht einmal durch "Probebetrieb" entschuldbar.

Schwer vorstellbar, dass die Entwicklung der Ereignisse bei Einsatz von OSS-Entwicklungsverfahren den gleichen Lauf genommen hätte. Zu klären wäre auch, weshalb das unter anderem auch aus öffentlichen Mitteln alimentierte Fraunhofer-Institut nun ausgerechnet zu proprietären, nicht offenen Verfahren griff, und es drängt sich der Verdacht auf, dass Intransparenz womöglich ganz bewusst eingesetzt worden ist.

Fehlende Einsicht

Von Einsicht zeigt sich allerdings bis heute keine Spur: Laut Spiegel-Meldung wies Mitentwickler Bresser beim IBMT die Vorwürfe zurück, denn seit dem "Schlechtachten" des Herrn Maus sei die Sicherheit "entscheidend verbessert" worden. Nach dieser Logik wäre es dann auch unfair, die Tschernobyl-Verantwortlichen zu kritisieren: Zum einen bezöge sich eine derartige Kritik auf einen alten Stand der Dinge, außerdem ist weder der Leser noch der Autor dieses Kommentars an den Tschernobyl-Folgen gestorben, und zwischenzeitlich ist die Sicherheit ja schließlich entscheidend verbessert worden, indem man den Sarkophag dicht gemacht hat.

Was ich nicht weiß, macht mich nicht heiß

Kaum besser steht es um ELSTER, das von der Finanzverwaltung entwickelte Verfahren zur elektronischen Abgabe der Steuererklärung. Was bei diesem Vogel so gar nicht in die heutige politische Landschaft passt, ist der Umstand, dass der zur elektronischen Abgabe zwangsverpflichtete Bürger zwar Gratissoftware von Vater Staat bekommt -- aber derzeit leider nur für Windows . MacOS- und Linux-Nutzer gucken in die Röhre, denn das laut Ankündigung auf der ELSTER-Website in Java entwickelte COALA lässt sich, von der vollmundigen Ankündigung selbst einmal abgesehen, nirgends finden.

Wie es aussieht, waren bei der ursprünglichen ELSTER-Konzeption Leute am Werk, die womöglich noch nie davon gehört haben, dass man Client-Software auch in Java oder Perl schreiben, und damit dann mehr als nur eine Plattform versorgen kann. O'Reilly führt das mit seinem komfortablen Suchprogramm auf seinem "CD Bookshelf" schon seit den Neunziger Jahren erfolgreich vor, so dass man diese Erkenntnis bereits beim ELSTER-Projektstart hätte nutzen können.

Bei vernünftiger Planung wäre das Windows-Binary der Client-Software "ELSTER-Formular" so überflüssig gewesen wie ein Kropf. Dem Steuern zahlenden Bundesbürger wäre damit die Finanzierung zweier Clients erspart geblieben.

Keinen Anfängerfehler ausgelassen

Obwohl die Vorgehensweise der beamteten IT-Planer ärgerlich ist und man die zur Schau getragene Arroganz kaum glauben mag, offenbart ein Blick in's Detail noch weit Schlimmeres. Dem Verfahren, das die Windows-ELSTER benutzt, fehlt nämlich jeglicher Authentifizierungsmechanismus. Jeder, der Schreiner Müller's Umsatzsteuer-ID-Nummer kennt, kann für ihn ungehindert Steuererklärungen abgeben und ihn beispielsweise durch gefälschte Umsatzsteuervoranmeldungen in Teufel's Küche bringen. Den Vorwurf mangelnder Steuerehrlichkeit wird nämlich der Schreiner widerlegen müssen. Pikanterweise ist für Selbständige die Angabe der USt-ID-Nummer auf eigenen Websites Pflicht, und wer's dennoch nicht tut, fällt früher oder später einem Abmahner zum Opfer.

Auch hier ist anzunehmen, dass bei einem Code-Review durch Dritte schnell aufgefallen wäre, dass schon das zugrunde liegende Verfahren unter Sicherheitsaspekten nicht koscher ist und dringend einer Änderung bedarf. Die Angelegenheit wäre im Frühstadium als Versäumnis erkannt worden, zeitnah behebbar gewesen, und damit gar nicht erst zur Affäre geraten.

Doch vielleicht geht es ja hier um Psychologisches: Man lässt sich nicht gern was sagen -- vor allem dann nicht, wenn's stimmt.


Korrektur-Hinweis:

Entgegen der obigen Darstellung kann die Umsatzsteuer-ID-Nummer nicht für Umsatzsteuervoranmeldungen benutzt werden, sondern ausschließlich die Steuernummer.

Unter Sicherheitsgesichtspunkten ändert dies angesichts fehlender Authentifizierungsverfahren jedoch wenig. Die Steuernummer lässt sich aus Rechnungen entnehmen, sofern das Rechnung-ausstellende Unternehmen über keine Umsatzsteuer-ID-Nummer verfügt und deshalb die Steuernummer angibt. -- Der notwendige kriminelle Aufwand zum Missbrauch des Verfahrens wird also nur geringfügig erhöht.


Eitel Dignatz ist Strategieberater und Inhaber der Münchner Unternehmensberatung Dignatz Consulting.

zum Seitenanfang   Seitenanfang
vorherige Seite   zurück