Kategorie: Digitalisierung

Skalierbarkeit

Ich schreibe diesen Artikel, weil viele Menschen oft Schwierigkeiten haben zu verstehen, dass andere Situationen entstehen, wenn eine Sache im Kleinen sehr gut funktioniert, aber in der Masse komplett scheitert.

Im kleinen Maßstab gelten andere Gesetze, als in größeren Maßstäben.

Ein einfaches und verständliches Beispiel

Eine Person backt am Tag einen Kuchen und kauft sich dafür ein 50g Backpulver Päckchen. Funktioniert super und alles ist gut. Jetzt soll diese Person am Tag aber 10.000 Kuchen backen. Mehr Personen, größere Räume, mehr Strom .. also einfach mehr Resourcen. Kein Problem.
ABER wenn diese Person immer noch die kleinen 50g Backpulver Päckchen kauft, dann hat sie mindestens 3 Probleme, die extrem schlecht für diese Mengenanforderung skalieren:

  1. Der Kauf von einzelnen 50g Päckchen ist teuer
  2. Der Einkauf und Transport von 50g Päckchen ist ein logistischer Alptraum
  3. Der entstehende Verpackungsmüll der 50g Päckchen sorgt für noch mehr Kosten und Probleme

Ein zweites Beispiel

In einem Schnellimbiss können sich die Kunden die Pommes selbst frittieren. Der Vorgang dauert 5 Minuten. Tolle Idee! Spätestens ab zirka 5-6 Kunden fällt diese Idee in sich zusammen, weil sich die Wartezeit schon auf 30 Minuten summiert. Wenn das Ziel ist viele Portionen Pommes zu verkaufen, dann skaliert diese Idee nicht. Daher gibt es eine Person, die die Pommes frittiert und mehrere Portionen auf einmal.

Skalierbarkeit muss immer mit Wachstum, Optimierung und Effizienz betrachtet werden.
Der Ansatz „Viel hilft viel“ führt in den meisten Fällen zum absoluten Kollaps, oder zu einer undurchbrechbaren Obergrenze.

Was für eine Sache im Kleinen gut funktioniert und wenig Resourceneinsatz bedarf, kann sehr effizient und optimal sein. Aber wenn diese Sache auf einer größeren Skala bzw. in einer anderen Größen-, Verhältnis- und Mengenordnung betrachtet wird, wird es in den meisten Fällen bei gleicher Herangehensweise extrem ineffizient und absolut kontraproduktiv.

Wenn eine Sache skalieren soll, darf nicht „Mehr ist mehr“ angenommen werden, sondern der Vorgang muss komplett neu durchdacht werden.

Und je nachdem, um was es geht, gibt es unterschiedliche Stufen in der Skalierung. So dass ganz unterschiedliche Lösungen gefunden werden müssen je nachdem, wie groß das System für eine bestimmte Anforderung skalieren muss.

Gerade in der IT, die der Inbegriff der digitalen Massenproduktion und -verarbeitung ist, gibt es leider immer noch genügend Betreiber und Entwickler, die große Schwierigkeiten haben dieses Konzept zu verstehen oder wenigstens zu akzeptieren.

Es hilft aber schon immer diesen einen Satz im Hinterkopf zu behalten:

Denk das mal groß!

CCC Congress – 37C3 Unlocked

CC-BY-SA – blinry

Der Chaos Computer Congress findet nun zum 37. Mal statt. Nach der Pandemie wieder physisch und wieder in Hamburg.

Hier ein paar wichtige Links, unter denen viele Infos gefunden werden können

  1. 37C3 Startseite https://events.ccc.de/congress/2023/hub/de/index und https://events.ccc.de/congress/2023/infos/startpage.html
  2. Das Blog https://events.ccc.de/
  3. Fahrplan – Vorträge und Termine https://fahrplan.events.ccc.de/congress/2023/fahrplan/schedule/1.html oder Interaktiver Zeitstrahl. Beim Klick auf eine laufende Veranstaltung wird direkt der Livestream geöffnet https://streaming.media.ccc.de/37c3/schedule … mit einem ultra nervigen Info Popup
  4. Raumplan https://37c3.c3nav.de/
  5. Streaming https://streaming.media.ccc.de/37c3 bzw https://streaming.media.ccc.de/
  6. Mediathek 37C3 https://media.ccc.de/c/37c3/ & Allgemein https://media.ccc.de/
  7. CCC Youtube Kanal https://www.youtube.com/@mediacccde

Sinn und Unsinn von Mobilfunkgeschwindigkeiten, Verträgen & Preisen

StandardNameMax. GeschwindigkeitMax. Download
2GGSM/GPRS55 kBit/s6,8 KB/s
2GGSM/Edge220 kBit/s27,5 KB/s
3GUMTS384 kBit/s48 KB/s
3GUMTS/HSPA+42 MBits5,2 MB/s
4GLTE/3.9G/4G+1.200 MBit/s (1,2 Gbit/s)150 MB/s
5G5G20 Gbit/s2,5 GB/s

Zum Streamen eines HD Filmes reichen 5 MBit/s

Zum Umrechnen der Geschwindigkeit von Bits/s (Bits pro Sekunde) muss einfach nur die Zahl geteilt durch 8 gerechnet werden. Da 1 Byte aus 8 Bits besteht. Das Ergebnis ist die maximal mögliche Downloadrate.

Also 42 MBit/s geteilt durch 8 ergibt 5,2 MB/s maximale Downloadrate.

Ob die maximale Downloadrate erreicht werden kann, liegt an der Qualität und Kapazität der Infrastruktur des Mobilfunkanbieters.

Warum Cookie Banner doof sind

Es gibt sie immer noch: die Cookie Banner. Teilweise seitenweise Erklärungen warum diese 35 Punkte ein oder ausgeschaltet werden können und warum die Seite ohne die Zustimmung nicht angeschaut werden darf. Was dann in den meisten Fällen dann doch geht. Was dann wiederum Fragen aufwirft, für was jetzt eigentlich die Zustimmung erteilt wurde.

Auch gibt es seit längerem eine gesetzliche Regelung, dass manche Optionen nicht als Standard gesetzt sein dürfen, sondern von den BesucherInnen selbst gesetzt werden müssen. Das nennt sich „Opt-In“. Also Optional einschalten. Das Gegenteil heißt „Opt-Out“ und ist in vielen Fällen nicht zulässig.

Für BesucherInnen sehr nervig. Und von Seitenbetreibern auch teilweise illegal. Wie das ZDF mit seinem Cookie Banner, das im zweiten Untermenü den Punkt „Erforderliche Erfolgsmessung“ standardmäßig eingeschaltet hat. Nur weil es nach müssen klingt, ist es dennoch illegal.

Warum gibt es diese Cookie Banner überhaupt?
Sie informieren grob über 2 Dinge.

  1. Die Webseite benutzt ein Cookie für das Login oder die Session (Webshop, Artikel merken)
  2. Die Webseite nutzt externe Resourcen. Zum Beispiel Software oder Dateien, die bei deinem Besuch immer aktuell von anderen Webseiten mitgeladen werden. Bekanntes Beispiel sind die Google Fonts.

Beide Punkte sind bei einem einfachen Besuch einer Webseite ohne Login oder Session nicht notwendig.

Punkt 1 betrifft es, wenn du dich bei einer Webseite anmeldest (Webshop, Webmailer usw), dann wird so etwas natürlich gebraucht. Und hier bekommst du bei deiner aktiven Anmeldung auch die AGBs angezeigt, durchläufst einen Prozess, bei dem dir das irgendwann auffallen sollte, was du da gerade tust.

Punkt 2, das Benutzen von externen Resourcen ist absolut vermeidbar. Und Punkt 2 ist auch meist der Grund für diese ausschweifenden Cookie Banner.

Ein Vergleich aus dem echten Leben, warum Webseiten diese Cookies immer noch setzen.

Du kennst doch bestimmt die Bilder von Stromleitungen, die eher aussehen wie so ein verheddertes Wollknäuel. Im Laufe der Zeit haben sich diverse Leute dazu eingeklinkt und irgendwas davon abgezweigt. Vermutlich wusste keiner so ganz genau, ob das in Ordnung ist, ob das nicht alles überlastet und ob da nicht ein Kurzschluss mit eingebaut wird. Also ein riesiges Chaos von Verbindungen unbekannter Art und keinerlei Chance auf Einschätzung, was da genau passiert und Hoffen, dass es irgendwie gut gehen wird.

Deutlich gesagt entspricht das den Webseiten, die solche Cookie Banner einblenden. Die haben irgendwann angefangen was zu bauen, dann nützliche Funktionen von anderen Webseiten und anderen Programmbibliotheken dazu genommen, dann noch einen Drittanbieter mit rein genommen, ein anderer macht die Auswertung. Zum Schluss bleibt dieser chaotische Haufen von Funktionen, Verbindungen und DrittanbieterInnen und die WebseitenanbieterIn hat komplett den Überblick bzw die Kontrolle verloren, was da eigentlich passiert.

Die „Technologie“ hinter der Webseite sieht aus und „funktioniert“ wie diese chaotischen Stromleitungsknäuels.

Statt dieses Chaos aufzuräumen und mit einer zeitgemäßen Technologie aus diesem Jahrhundert zu ersetzen, werden Schilder (Cookies) mit der Aufschrift „Könnte Strom enthalten – Benutzung auf eigene Gefahr“ aufgehängt.

Würdest du eine Elektrikerfirma für deine Wohnung oder Haus beauftragen, die so agiert und würdest du Gefahr laufen wollen, dass jedes Mal wenn du einen Schalter betätigst du eventuell: einen Stromschlag bekommst oder das Licht in der Küche an oder aus geht oder alle Wasserhähne im Haus auf oder zu gehen oder ein Webcam Livestream von dir auf YouTube läuft oder deine Kreditkartennummer auf Wikipedia veröffentlicht wird, oder ein Bestellung über 25.000 Liter Milch ausgelöst wird?

Cookie Banner sind doof. Aber sie zeigen wunderbar, wie sehr diese Webseite sich um das Besucherwohl beim einem reinen Besuch kümmert.

Viel Cookie = Wir haben die Kontrolle verloren
Kein Cookie = Wir wissen was wir tun

PS: Und nur weil manche Webseiten über „Computers“ oder „Das Internet“ reden, heißt das noch lange nicht, dass sie eine Ahnung davon haben.

Passkey : alter Schuh in neuen zerlöcherten Schläuchen

Seit einiger Zeit wird ein neues „Passwortkonzept“ beworben, womit die alten Passwörter nicht mehr notwendig sind. Über dieses „neue“ Konzept wird viel gesprochen und viel Unsinn verzapft. Daher kurz zusammengefasst, ohne Bullshit und Buzzword Bingo

Passkey nutzt die Kombination aus

  1. Asymmetrischer Verschlüsselung wie GPG
  2. Biometrie, wie Gesicht, Fingerabdruck
  3. Synchronisation über mehrere Geräte

So gut, wie das jetzt werbetechnisch hier aussieht ist es gar nicht. So ganz gar nicht! Oder noch deutlicher

Das Konzept von Passkey ist sehr schlecht!

Ich erkläre und kommentiere diese drei Punkte in dieser Kritik, damit die massiven Probleme einfacher verstehbar werden.

Asymmetrische Verschlüsselung – GPG

Vorneweg: asymmetrische Verschlüsselung ist sehr gut!
Diese Verschlüsselung gibt es für Endverbraucher schon seit 25/30 Jahren z.B. für Email. GPG/GnuPG (GNU Privacy Guard) oder früher auch die kommerzielle Variante PGP eines Anbieters.

  1. Diese Verschlüsselung funktioniert so, dass mit Hilfe der Software ein Schlüsselpaar generiert wird (z.B. 2 Text-Dateien).
  2. Eine Datei enthält den Privaten/Geheimen Schlüssel und eine Datei enthält den Öffentlichen/Public Schlüssel. Zwei unterschiedliche Schlüssel, daher heißt diese Verschlüsselung asymmetrisch.
  3. Den geheimen Schlüssel muss ich beschützen und sicherstellen, dass niemand diesen Schlüssel in die Hände bekommt. Diesen Schlüssel brauche ich, um Daten, die mit dem öffentlichen Schlüssel verschlüsselt wurden, wieder zu entschlüsseln. Dieser geheime Schlüssel darf also niemals meine „Hände“ verlassen.
  4. Ganz im Gegenteil dazu der öffentliche/public Schlüssel. Mit diesem Schlüssel können Daten nur verschlüsselt werden. Nicht entschlüsselt, sondern nur VERschlüsselt werden. Daher kann dieser öffentlich Schlüssel offen verteilt werden, überall gepostet oder irgendwelchen wildfremden Menschen in die Hand gedrückt werden. Das Einzige, was diese machen können ist dann Daten zu verschlüsseln, die nur noch ich mit meinem privaten/geheimen Schlüssel wieder entschlüsseln kann.

Das ist das grundlegende Prinzip von GPG oder asymmetrischer Verschlüsselung.

Biometrie

Auch wenn Biometrie immer wieder in Zusammenhang mit Sicherheit gebracht wird, bleibt es weiterhin absolut falsch.
Folgende Definition ist richtig:

Biometrie = Bequemlichkeit = unsicher

Und auch wenn immer noch auf die Einzigartigkeit von Fingerabdrücken, Augen bzw Iris oder anderen Körpermerkmalen hingewiesen wird, so wird auch immer wieder vergessen, dass wir unsere Fingerabdrücke bei jeder Gelegenheit unzählige Male jeden Tag hinterlassen. Dass unsere Augen, alleine durch die Smartphones zigtausend Mal fotografiert wurden und alle anderen Merkmale, wie Stimme usw überall verfügbar und aufgezeichnet sind.
Biometrie ist Bequemlichkeit und damit das absolute Gegenteil von Sicherheit.

Synchronisation

Synchronisation ist mittlerweile ein allgegenwärtiger Begriff, weil wir viele Geräte besitzen und auf jedem Gerät immer alles auf dem selben Stand halten wollen. Und das möglichst automatisch. Also synchronisieren wir unsere Dokumente, Bookmarks, Bilder, Musik usw über irgendeinen Service. Meist ist es eine Cloud eines externen Anbieters (außerhalb unserer Wohnung, auf der anderen Seite des häuslichen Internetrouters). Das ist bequem. Und wie schon weiter oben geschrieben, ist Bequemlichkeit das Gegenteil von Sicherheit.

Wenn alles zusammen kommt

So, wie passt das jetzt alles zusammen?

GPG oder die asymmetrische Verschlüsselung ist eine super Sache. Sie funktioniert hervorragend und wird auch von vielen Geheimdiensten, Botschaften, JournalistInnen benutzt, um Geheimes erfolgreich geheim zu halten. Bei „geheim halten“ muss es sich dabei nicht um Staatsgeheimnisse handeln, es können auch einfach Dinge sein, die einfach Dritte nichts angehen.

Der geheime Schlüssel soll nun also z.B. auf dem Smartphone, auf einem extra Chip (Hardware) als eine Art Safe gespeichert werden, der mit Hilfe von Biometrie (Gesichtserkennung, Fingerabdruck, usw) aufgeschlossen werden kann. Das an sich ist nochmal eine Abhandlung über vorgetäuschte Sicherheit wert, die aber dieses Thema hier absolut sprengen würde.

Dieser „super extra“ Hardware Safe soll mit dieser Biometrie Technologie aufgeschlossen werden, die jegliche Sicherheit zugunsten von Bequemlichkeit eliminiert.

Das ist ungefähr so, als würden wir die weltbeste Tür gegen Einbrecher einbauen, sie aber dann aus Bequemlichkeit offen lassen, weil uns der Schlüssel zu schwer ist.

Aber es kommt noch schlimmer. Damit es für uns noch bequemer wird und wir auf allen unseren Geräten (Smartphone, Tablet, Computer, Kaffeeautomat) unsere z.B. Bankgeschäfte machen können, soll nun dieser private Schlüssel auf alle diese Geräte synchronisiert werden. Also auf verschiedene Geräte, die alle unterschiedliche Schwachstellen haben können.

UND: die Synchronisation wird über einen externen Anbieter und deren Cloud durchgeführt. Zwar verschlüsselt, aber der Geheime Schlüssel wird unter Umständen mehrfach quer durch die Welt verschickt, in der Cloud eines Anbieters „zwischengespeichert“ oder geBackupt, um dann auf eines unserer Geräte zu speichern. Das unter Umständen vielleicht auch gar nicht über diesen super extra Chip (Safe) verfügt. Der sowieso durch die Biometrie ausgehebelt wird.

Um in dem Bild der weltbesten Tür gegen Einbrecher zu bleiben: Zu unserer nicht mehr sicheren Tür, weil für uns und die Einbrecher bequem, bauen wir jetzt noch mehr solcher Türen in unsere Wohnung ein, die wir offen lassen, damit wir und die Einbrecher von noch mehr Seiten einfacher in die Wohnung kommen.

FAZIT

  1. GPG oder GnuPG bzw asymmetrischer Verschlüsselung ist eine super Sache und wirklich das Sicherste, was schon seit Jahrzehnten genutzt werden kann
  2. Biometrie ist nur Bequemlichkeit und absolut Unsicher
  3. Synchronisation auf mehrere Geräte verringert die Sicherheit zusätzlich und unter Umständen massiv
  4. Synchronisation über einen externen Anbieter oder gar über einen Cloud Anbieter ist das absolute Worst Case Szenario, da der Anbieter den geheimen Schlüssel dann besitzt.
  5. Externe Anbieter haben oft Abkommen mit Diensten, die Zugriff auf diese Daten haben.

So, was aber nun tun um die Passwörter sicher zu halten?
Da hilft leider nur die alte aber immer noch erste Regel der Sicherheit:

Der Grad an Sicherheit ist ausschließlich eine Frage der Höhe des Aufwandes.

Bequemlichkeit ist immer das Gegenteil von Sicherheit und daher ist es gut, sich Gedanken zu machen, wie mit solchen sensiblen Dingen wie z.B. Passwörtern umgegangen wird. Und wem Zugriff darauf gegeben wird.

Ein Anfang ist es sicherlich schon mal GPG zu nutzen und den geheimen Schlüssel selbst zu verwalten und zu sichern. Zum Beispiel in einer einfachen Textdatei. Die natürlich mit GPG verschlüsselt ist und ein komplexes Passwort hat, das wir uns merken und ab und an ändern.

Nützliches & informative Links
  1. Passkey https://de.wikipedia.org/wiki/FIDO2#Passkey
  2. GnuPG https://gnupg.org/
  3. Asymmetrische Verschlüsselung einfach erklärt https://youtu.be/yWrtCtQ7Wno
  4. Gpg4win – Sichere E-Mail- und Datei-Verschlüsselung https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Freie-Software/E-Mail-Verschluesselung/GPG4Win/gpg4win_node.html
  5. Das GNU-Handbuch zum Schutze der Privatsphäre https://www.gnupg.org/gph/de/manual/book1.html
  6. Biometrie wurde vom früheren SPD-Bundesinnenminister Otto Schily forciert und als „sicher verkauft“. Nach seinem Ausscheiden wurde er Aufsichtsratsmitglied in zwei Biometrie-Unternehmen. 1 2 3 4
  7. Synchronisation, Cloud und Serviceanbieter wie Google, Microsoft, Apple, Amazon usw haben regelmäßig (spätestens im Monatsrhytmus) Einbrüche bzw wurden gehackt, oder Totalausfälle bzw Absprachen mit irgendwelchen Diensten, die ihrerseits wieder gehackt werden. 1 2 3 4

Youtube RSS Feeds Kanal und Playlisten

Wer viele Nachrichten und Informationsquellen hat, verliert schnell mal die Übersicht. Da hilft das uralte Konzept der RSS Feeds sehr elegant weiter. Nur weil es alt ist, kann es auch gut sein.

Kanal RSS Feed

Der Kanal RSS Feed ist schnell mit jedem einfachen RSS Feed Addon von Firefox gefunden.

Von meinem Kanal muss nur die Kanal ID oder „channel_id“ gefunden werden, die meist in der URL Leiste steht. Und wenn sie da nicht zu finden ist, dann einfach den Quellcode der Webseite öffnen – bei Firefox einfach Strg+U drücken und mit Str+F nach dem folgenden Text suchen „https://www.youtube.com/feeds/videos.xml?channel_id=„, dann wird automatisch zur richtigen Stelle gesprungen, wo dann auch die gesamte URL steht, wie z.B, diese hier

https://www.youtube.com/feeds/videos.xml?channel_id=UCCQ0claPBEXXt4YP36ewKSQ

Playlist RSS Feed

Bei der Playlist ist es aktuell noch einfacher, die RSS Adresse herauszufinden.
Dazu wird einfach die Playliste aufgerufen und dann steht in der URL Leiste ungefähr so etwas

https://www.youtube.com/playlist?list=PLdIGJzeTcaAcGtRMOStGpGQXGe063oZab

Die Zeichenfolge nach list= ist dabei wichtig.

Jetzt muss nur noch https://www.youtube.com/feeds/videos.xml?channel_id= in https://www.youtube.com/feeds/videos.xml?playlist_id= umgewandelt und die „list=“ ID dran gehängt werden und schon ist der RSS Feed zusammengebaut.
Der sieht dann in diesem Fall so aus

https://www.youtube.com/feeds/videos.xml?playlist_id=PLdIGJzeTcaAcGtRMOStGpGQXGe063oZab

Viel Spaß mit mit euren Nachrichtenquellen und dem RSS Reader!

Digitalisierung in der Öffentlichen Verwaltung

Eigentlich heisst der Vortrag

„WSP.NRW: Vielfältiger Einsatz von Open-Source-Anwendungen in der öffentlichen Verwaltung
Innovation durch Partizipation: Wie vielseitige Open-Source-Technologien die Transformation der öffentlichen Verwaltung vorantreiben“

aber der Einsatz oder Realisierung von OpenSource Software geht praktischerweise gut einher mit der Digitalisierung.

Für Interessierte ein wirklich sehr guter Vortrag, der teilweise mit guten Beispielen in die Tiefe geht und auch zeigt, dass das Problem nicht nur Software ist, sondern sehr viel auch Prozess und Organisationsstandardisierung, die dann wiederum durch Software gestützt wird.

Herzlichen Dank für diesen Einblick ! Und hier der Link zum Vortrag. Oder direkt unten auf das Video aus der Mediathek des CCC klicken und anschauen.