De-Mail und Überwachung

Wenn ich in den letzten Tagen über De-Mail diskutiert habe, kam natürlich immer wieder die Frage auf, wie sicher die Daten vor dem Zugriff von Behörden sind. Jetzt könnte man natürlich grundsätzlich fragen, ob denn wirklich so viele Leute eine Karriere als Drogenschmuggler anstreben, dass sie wirklich sicher vor Überwachung sein wollen. Es ist aber ein Wesen unserer Demokratie (zumindest war es das mal vor 2001), dass jeder Bürger ein Recht auf seine eigenen Daten hat und jeder Bürger Geheimnisse haben darf. Kein demokratisch legimitierter Staat hat dies (bis 2001) angezweifelt.

Aktuell leben wir in einer ständigen Videoüberwachung und sind offenbar grundsätzlich erst einmal verdächtig. Aber das soll nicht unser Thema sein.

Eine Kritik an De-Mail ist immer wieder, dass es sich dabei um „staatliche Schnüffelsoftware“ handelt und die eigenen Daten nicht sicher seien. Oft wiederholt wird die falsche Behauptung, eine Überwachung von De-Mail sei ohne richterliche Anordnung erlaubt. Leider werden hierbei gerne verschiedene Dinge durcheinander geworfen. Hier der Versuch einer Aufklärung (achtung: Keine Rechtsberatung!). Grundsätzlich kann man folgende Dinge unterscheiden:

1. Scans durch Geheimdienste
Was ist das:
Geheimdienste scannen inzwischen den Mailverkehr und filtern nach Stichwörtern. Dabei werden Millionen Mails gescannt.
Relevant für De-Mail Überwachung: Nicht vorhanden.
Begründung:
Mails lassen sich einfach scannen, weil sie meistens unverschlüsselt übertragen werden. De-Mails werden zwischen Kunde und Provider per HTTPS und zwischen den Providern noch zusätzlich per S/MIME verschlüsselt. Daher ist hier ein Scannen nach Stichwörtern nicht möglich.

2. Herausgabe der Kundendaten
Was ist das:
Laut TKG §113 müssen Anbietern Überwachungsbehörden auf Verlangen die personenbezogenen Daten herausgeben. Im Falle von De-Mail wären das also Name, Anschrift, De-Mail Adressen.
Relevant für De-Mail Überwachung: Nicht vorhanden.
Begründung:
Ich weiß, der ein oder andere Leser windet sich gerade vor Schmerzen und will einen bösen Kommentar los lassen. Denn im TKG steht doch schließlich ausdrücklich, dass auch die Zugangsdaten (PIN/PUK) herausgegeben werden müssen. Also ist doch einer Überwachung Tür und Tor geöffnet.
Das ist jetzt ein wenig verwirrend. Aber ursprünglich war es so, dass die Daten herausgegegen werden mussten, die Behörden durften es aber laut Gesetz nicht nutzen. Der Bundesberichtshof hat daher vor einiger Zeit entschieden, dass die Provider daher die Zugangsdaten erst gar nicht herausgeben müssen. Auch hier ist eine Überwachung ohne richterliche Anordnung also nicht möglich.

3. Postfachbeschlagnahme
Was ist das:
Wird bei einem Verdächtigen eine Hausdurchsuchung angeordnet und es stellt sich dabei heraus, dass der Verdächtige auf seinem Rechner keine Mails hat (weil sich diese beim Provider befinden), so kann ein Richter die Die Beschlagnahmung des Postfachs beim Provider anordnen.
Relevant für De-Mail Überwachung: vorhanden. Es wird jedoch ein richterlicher Beschluss benötigt.

4. Überwachung
Was ist das:
Laut z.B. §100a Strafprozessordnung oder dem Gesetz zur Beschränkung des Post- Brief- und Fernmeldegeheimnises können Überwachungsmaßnahmen angeordnet werden. Infos gibt es bei Wikipedia
Relevant für De-Mail Überwachung: vorhanden. Es wird jedoch ein richterlicher Beschluss benötigt.

Fazit: Eine De-Mail Überwachung ist nur nach richterlicher Anordnung möglich. Damit unterscheidet sich De-Mail in diesem Bereich nicht von dem normalen Brief oder dem Telefon.
Durch die Möglichkeit, De-Mails auch End2End zu verschlüsselt (dies wird durch das De-Mail Gesetz aktiv unterstützt), könnte man sogar diese Überwachung verhindern.

Die Jagd nach den besten Köpfen, 2013 Edition

2007 habe ich einige Einträge bzgl. dem immer wieder aufkommenden Thema Mitarbeitersuche geschrieben. Wer sich nicht mehr genau daran erinner kann, hier sind sie:
Die Jagd nach den besten Köpfen Teil 1
Die Jagd nach den besten Köpfen Teil 2
Die Jagd nach den besten Köpfen Teil 3

Auf Grund meiner privaten Situation – als frischgebackener Vater – habe ich mich im Dezember 2012 bei ca.10 Firmen beworben. Ich dachte es sei eine gute Idee, mein Beraterleben aus dem Koffer zu beenden und sich eine „echte“ Stelle zu suchen. Ich halte mich für sehr gut ausgebildet und erfahren. Meinen ersten Arbeitsvertrag aus Softwareentwickler habe ich 1988 unterschrieben. Seit 1996 mache ich Internet-projekte. Mein letztes Projekt hatte ein dreistelliges Millionenbudget. Da müssten potentielle Arbeitgeber doch eigentlich zu finden sein. Ok, ich bin nicht mehr unter 30, aber ich muss auch nicht mehr bei einer hippen, jungen Agentur anfangen (das hatte ich schon früher)

Wenn man die Artikel der letzte Wochen liest, so scheinen die Arbeitgeber ja auch händeringend nach Mitarbeitern zu suchen. Ich persönlich habe bei Bewerbungen in der Vergangenheit immer eine einfach Regel angewendet: Wenn eine Firme den Bewerberprozess nicht im Griff hat, dann hat die viele andere Prozesse auch nicht im Griff.

Wenn man sich jetzt meine Erlebnisse anschaut, dann ist es kein Wunder, dass die Arbeitgeber aktuell solche Probleme haben.

Die Details, von 10 Bewerbungen:
– haben 6 Unternehmen keine Eingangsbestätigung geschickt
– hatten es 7 Unternehmen nicht nötig, mir innerhalb von 3 Wochen zu antworten
– 4 Unternehmen haben auch nach 2 Monaten nichts von sich hören lassen.

5 Unternehmen haben mich dann früher oder später zu einem Interview eingeladen. Von diesen 5 Unternehmen:
– hat ein (!) Unternehmen wirklich versucht, mich im Auswahlprozess fachlich zu prüfen
– haben 3 (nochmal !) Unternehmen mir ein Angebot gemacht, welches finanziell extrem weit unter dem war, was man nach der Stellenausschreibung erwartet hätte.
– genau ein Unternehmen hat sich die Mühe gemacht, und mir eine schriftliche Absage mit sehr netter Begründung (ich war zu teuer …) geschickt.

Alles in allem hatte ich das Gefühl, dass der Bewerberprozess in den meisten Unternehmen sehr viel unprofessioneller war, als ich es noch vor 10 Jahren erlebt habe, als ich nicht selbstständig war, wirklich erstaunlich.

Ach ja: Ich werde nun nach meiner Baby-Pause einer Internet-Agentur als Berater unter die Arme greifen und freue mich schon sehr auf die Aufgabe. Denn die Agentur liegt in der Nähe meiner Wohnung, ist Marktführer in ihrem Bereich, die Leute sind nett und die Arbeit dort macht Spaß.

De-Mail und Neuer Personalausweis und osx

Ich versuche es mal diplomatisch zu formulieren: Die aktuelle Ausweis-App ist Schrott. Auf der anderen Seite wäre es natürlich schön, wenn man seinen Neuen Personalausweis nutzen könnte, um sich damit sicher bei De-Mail anmelden zu können.

Hier eine Anleitung, mit der es bei mir geklappt hat (OSX 10.8.2)

1. Ausweisapp 1.9 herunterladen

Die Ausweisapp findet man hier: Download Ausweis-App

2. Firefox 10ESR

Die Ausweisapp funktioniert mit genau einer Firefox Version. Diese ist massiv veraltet. Unter firefox.org findet man sie nicht mal mehr. Hier der Link:
http://download.mozilla.org/?product=firefox-10.0esr&os=osx&lang=en-US

Jetzt das Archiv öffnen und firefox.app herauskopieren. Ich habe es bei der Gelegenheit in firefox10.app umbenannt.

3. Ggf. Treiber für Kartenleser herunterladen

Es gibt verschiedene Versionen der Lesegeräte. Wer das preiswerteste Gerät ohne Tastatur hat (SCL011), findet die Treiber hier:

http://support.identive-infrastructure.com/npa_downloads.php?lang=0

4. Plugin installieren

Dieser Schritt sollte eigentlich nicht notwendig sein, aber bei mir hat die Ausweis-App das notwendige Plugin nicht installiert.
Dieses Plugin findet man innerhalb der Ausweisapp. also:
– Finder aufrufen und zur Ausweisapp gehen.
– Rechte Maustaste -> „Paketinhalt zeigen“
– Dort findet man nun „Contents->MacOS->mozilla“. Diess Verzeichnis rauskopieren (auf den Schreibtisch z.B.)
– Firefox10 starten
– Tooll->Addons->Plugins. Dann oben rechts „install Add-on from file“
– jetzt „eCardClient_FFxx_OSX.xpi“ aus dem mozilla Verzeichnis auswählen.

… und schon kann man sich per Neuem Personalausweis anmelden. Bei mir hat es mit cosmosdirect und De-Mail geklappt. Allerdings hat die De-Mail Seite fast 30 Sekunden zum Login benötigt.

De-Mail

Heute startet die Telekom De-Mail und ist damit der 2. Anbieter auf dem Markt. In den letzten Tagen und Wochen durfte ich erstaunlich viel Unfug zu diesem Thema lesen. Schade fand ich z.B. das Statement der Piraten. Offenbar hat der Autor doch eher wenig Ahnung vom Thema. Aber das eint ihn mit vielen Fachredakteueren großer Portale.

Hier meine Sicht der Dinge und einige Antworten:

Was ist De-Mail eigentlich?

De-Mail basiert auf einem Gesetz und bietet die Grundlage für eine rechtssichere elektronische Kommunikation.

Gibt es dafür nicht schon das Signaturgesetz?

Auf Basis des Signaturgesetz kann man E-Mails erstellen, welche der Schriftform genügen. Leider hat sich die Geschichte nicht breit durchgesetzt. De-Mail soll nun die Einstiegshürden so niedrig setzen, dass es sich im Massenmarkt durchsetzt.

De-Mail ist aber doch überflüssig. Es gibt doch schon sichere Mails. Warum nutzt man nicht PGP und S/MIME?

Mit PGP kann ich Nachrichten verschlüsseln und sicher stellen, dass Inhalte nicht verändert werden. Dies reicht aber nicht aus. De-Mail bietet zwei sehr wichtige Features:
Zum einen sind Empfänger und Absender eindeutig identifiziert.
Des weiteren gibt es eine Zustellgarantie. Sollte also im schlimmsten Fall der De-Mail Provider eine Nachricht verschlampen, so ist er wohl Schadensersatzpflichtig. Dies ist ein riesen Unterschied zur normalen Mail. Denn Mails können verloren gehen.

PGP oder S/MIME und De-Mail ergänzen sich also prima.

Nochmal PGP Ich habe mein PGG Schlüssel auf dem Heise Stand an der CeBIT zertifizieren lassen. Der Key ist also eindeutig meiner Person zugeordnet!

Schön. Aber wie viele haben es seit 1997 (so lange macht Heise das schon) gemacht? Wie viele nutzen PGP? Sehr, sehr wenig (Untersuchungen sprechen von <5% der Mails die überhaupt verschlüsselt sind). Klar, ich habe das Plugin binne 5 Minuten installiert – aber es hat sich nicht durchgesetzt.

De-Mail ist unsicher!

Na ja, aber nur wenn TLS, S/MIME, HTTPS unsicher sind. Denn das sind (unter anderem) die Standards die De-Mail nutzt

Aber es gibt keine End2End Verschlüsslung!

Es ist keine zwingende Verpflichtung, richtig. Aber natürlich kann man es ohne Probleme machen. Im öffentlichen Adressbuch von De-Mail gibt es sogar ein Feld, in das ich mein S/MIME Zertifikat laden kann.

Duzende Behörden können De-Mails ohne richterliche Verfügung mitlesen!

Nein, können sie nicht. De-Mail unterliegt wie alle Telekommunukationsdienste auch dem TKG. Und dort ist klar geregelt, wie eine Überwachung erfolgen darf. Gerne werden zwei Dinge verwechselt: Die Abfrage der Nutzerdaten und die Überwachung von Inhalten.

Warum sollte ich der Telekom vertrauen?

Musst Du gar nicht. De-Mail Anbieter unterliegen sehr strengen Auflagen und Prüfungen. Alle Rechenzentren müssen nach IT Grundschutz zertifiziert sein. Es gibt Datenschutz-Audits und regelmäßige (jährliche) Überwachungen.

De-Mail ist staatliche Schnüffelsoftware. Ich glaube nicht, dass es da keine geheimen Schnittstellen gibt

Alle De-Mail Spezifikationen sind öffentlich. Ich biete jedem 1.000 EUR, der das Gegenteil nachweisen kann. Wie alle Telekommunikationsdienste unterliegt De-Mail natürlich dem TKG und es gibt Bestimmungen zur Überwachung. Aber das hatten wir ja schon, hier gibt es einige Hürden.

Das ist doch eine Deutsche Insel-Lösung! Wir sind hier in Europa

Jein. De-Mail basiert auf einer EU-Richtlinie welche von vielen Ländern umgesetzt wurde. Unter anderem findet man ähnliche Lösungen wie De-Mail in Österreich, Italien und einigen anderen Ländern. Es ist vermutlich nur eine Frage der Zeit, bis diese Lösung sich zusammen finden.

Geld für eine E-Mail ausgeben? Was für ein Schwachsinn

De-Mail ersetzt keine E-Mail. De-Mail ersetzt das Einschreiben für das ich aktuell 2,60 EUR zahle. De-Mail ersetzt das Fax.
Also spare ich unterm Strich richtig Geld. Und je mehr sich De-Mail im Markt durchsetzt, desto preiswerter wird es vermutlich.

Für Privatkunden ist De-Mail doch uninteressant weil es keine Anwendungsfälle gibt

Kontoauszüge zentral bekommen, Entgeltmitteilungen bekommen, Versicherungen abschließen und kündigen, Verträge abschließen und kündigen. Das Röntgen-Bild vom Krankenhaus an den Hausarzt schicken lassen – soll ich weiter machen?

Ich habe gelesen, dass man De-Mail schlechter gestellt ist, als bei einem Brief, denn eine De-Mail gilt nach 3 Tagen, ein Brief aber nach 3 Werktagen als zugestellt?

Schauen wir doch mal in das Verwaltungszustellgesetz:

1) Bei der Zustellung durch die Post mittels eingeschriebenen Briefes gilt dieser mit dem dritten Tag nach der Aufgabe zur Post als zugestellt (…)

Es gibt also hier keinen Unterschied, zwischen Brief und De-Mail

Na gut, aber wenn ich im Urlaub bin? Was dann?

Dann lese ich meine De-Mails weltweit. Ich habe bislang noch in so ziemlich jeder Ecke der Welt ein Internetcafe gefunden. Und falls die das Argument mit „Ich gebe den Briefkastenschlüssel dem Nachbarn“ kommt: Ich will nicht, das mein Nachbar meine Post liest…

Weitere Fragen direkt zu mir.

Projektrisiko Mitarbeiter

Das größte Projektrisiko sind nicht die schlechten Mitarbeiter. Denn die erkennt man rechtzeitig und kann sie im Notfall aus dem Projekt entfernen. Oder man gibt ihnen eine Aufgabe, die ihren Fähigkeiten und Interessen entspricht. Schlechte Mitarbeiter sind ärgerlich, aber nicht gefährlich

Das größte Projektrisiko sind die mittelmäßigen Mitarbeiter. Denn deren Schwächen erkennt man erst, wenn es schon zu spät ist.

Lebenszeichen – Parallelprojekte

Ganz schön wenig passiert ist.

Das liegt daran, dass ich aktuell eine ganze Reihe von „Parallelprojekten“ habe.

Projekt 1: Hausbau
Wir bauen uns ein Nest. Beim einem der ersten Gespräche habe ich den Bauträger vorgewarnt, dass es Teil meines Jobs als Berater sei, Verträge zu prüfen und zu verhandeln. Ich glaube, er hat das anfänglich nicht ganz so ernst genommen. 4 Wochen und X Vertragsentwürfe später wurde er dann langsam ungeduldig. Der Fairness halber muss ich sagen, dass unser Bauträger einen eigentlich guten Vertrag vorgestellt hatte. Aber wenn man es gewöhnt ist immer den Worst-Case anzunehmen, findet man natürlich noch viele Punkte.
Kleiner Guerilla-PM Tipp: Gerne packt bei ähnlichen Verhandlungen jemand dann einen Spruch wie „Vertrag kommt von vertragen“ aus – totaler Unfug. Ich streite mich lieber im Vorfeld bei Vertragsverhandlungen als das man sich später über Interpretationen streiten muss wenn es darauf ankommt. Im besten Fall legt man den Vertrag nach Abschluss in die Schublade und kümmert sich nicht mehr darum.

Projekt 2: Heirat
Ich habe lange Zeit nie verstanden, warum Leute heiraten. Dann habe ich genau die Frau getroffen und wusste es sofort…
Guerilla-PM Tipp: 1 Jahr Planung? Lasst euch nicht verrückt machen. Wenn man es ruhig angeht, reichen auch 3 Monate zwischen Antrag und Feier.

Projekt 3: Baby
Proje… Blödsinn. Es ist kein Projekt, sondern ein großes Abenteuer und eine sehr spannende Reise. Ende des Jahres geht es los – aber schon jetzt gibt es kaum ein wichtigeres Thema für uns.

Link Tipp: Militärmethoden im Projektmanagement

Gerade bin ich über einen schönen Artikel gestolpert, der Command-and-Control sehr schön erklärt:

The Command and Control form of management is based on military management. Primarily, the idea is that people do what you tell them to do, and if they don’t, you yell at them until they do, and if they still don’t, you throw them in the brig for a while, and if that doesn’t teach them, you put them in charge of peeling onions on a submarine, sharing two cubit feet of personal space with a lad from a farm who really never quite learned about brushing his teeth.

Grundsätzlich gibt es ja viele PM Methoden und Tools, die aus diesem Bereich kommen. Gantt-Charts (z.B. MS-Project) wurden beispielsweise zuerst im 1. Weltkrieg eingesetzt.
Das ist einer der Gründe, warum agile Methoden – welche auf Vetrauen und Eigenverantwortung statt auf Befehl und Gehorsam aufbauen – in vielen Unternehmen nur sehr schwer einzuführen sind…

Die Welt ist sehr, sehr klein

Es gibt eine Regel, die ich immer wieder gerne jedem Junior PM ans Herz lege, der gerade kurz davor ist, einem Marketing-Menschen ein Messer in den Rücken zu rammen: „Man trifft sich immer mehrfach im Leben“.
Also sollte man sich Gedanken machen, wie man gerne in Erinnerung bleibt. Und Menschen neigen zu Vereinfachung. Im Gedächtnis bleibt also nur „mochte ich“, „mochte ich nicht“ „trug immer unmögliche Krawatten“.

Also, die Welt ist klein. Hierzu eine kleine Anekdote:
Nach einer wunderbaren Woche in New York fliege ich mit der ebenfalls wunderbaren Singapore Airlines zurück. Beim einchecken erquatsche ich mir einen Platz am Notausgang – alles perfekt.

Neben mir sitzt ein Deutscher der von der ersten Sekunde an losplappert. Aber gut, 8 Stunden sind eine lange Zeit und wenn man sich dabei unterhalten kann, warum nicht.

Irgendwann fragt er mich, was ich mache. Ich antworte, ich sei selbständiger IT Berater und arbeite aktuell für „großer Konzern“. Seine Reaktion: „Hey, kennst Du denn auch den Andreas (Name von der Redaktion geändert)“. Meine spontane Reaktion auf solche Fragen ist normalerweise „Nein, und die anderen 20.000 Mitarbeiter auch nur flüchtig“.

Tja, tatsächlich saß Andreas jedoch 9 Monate bei mir im Büro.

Amok

Mein Gegenüber versucht neue Anforderungen bei mir unterzubringen. Wir sind kurz vor der Auslieferung, daher ist es natürlich viel zu spät. Mehrere Fristen wurden versäumt. Abgesehen davon hat der gute Mann absolut keine Ahnung von dem Produkt – was ihn aber nicht stört.

Ich: „Sorry, wir haben euch 5 Fristen gesetzt, die ihr alle ignoriert habt. Wir können leider nichts mehr ändern“
Er:“Wir brauchen das aber. Ihr macht doch Scrum. Dann muss das doch geh….

Ich spring mit einem Satz über den Schreibtisch und reiße ihn im Falle vom Stuhl. Mit dem ersten Schlag entferne ich ihm 2 Schneidezähne. Anschließend spanne ich seine Finger in den Aktenvernichter ein. Er wehrt sich, aber keine Chance.
Ich:“Jetzt ein für alle Mal! Agile Vorgehensweise bedeutet nicht, dass man ohne Plan und Regeln vorgeht“. Sein Blut spritzt mir ins Auge, ich ignoriere das aber. „Agile Prozesse basieren auf Eigenverantwortung, klare Rollen und Vereinbarungen. Und daran hält man sich“. Er fängt an zu wimmern. „Außerdem solltest Du mit Deinen 5 Monaten Berufserfahrung einfach mal die Klappe halten und nicht so arrogant rumlaufen. ich habe in den letzten 15 Jahren Projekte gemacht, da träumst Du nur von. Und jetzt weg mit Dir“.

… „en“.
Ich:“Wir prüfen das natürlich“.

Aber manchmal wäre Vorgehen 1 schöner …

Kennzeichen für aktive Scrum-Nutzung

Mein aktueller Kunde führt seit einiger Zeit in einem Unternehmensteil Scrum ein. Anfänglich war ich ein wenig skeptisch, in wie weit ein großer Konzern das schnell umsetzen kann. Bislang war der Konzern eher als Tankschiff denn als Schnellboot unterwegs.

Die Einführung erfolgt sehr schlau. Nicht über Zwang, sondern durch ständige Schulungen, Vorträge und weitere Ermunterungen.

Woran man messen kann, kann es umgesetzt wird? Ganz einfach. Geht man durch die Flure, findet sich in immer mehr Projektbüros ein Scrum Task-Board an einer Wand.
Woran man erkennt, dass es auch gelebt wird? Das Board wird tatsächlich genutzt und zeigt den aktuellen Projektstatus an.

Spannend, dass wirklich physikalische Boards mit Pappkarten genutzt werden und nicht irgendwelche Tools um das alles online zur Verwalten (wo hier eh‘ schon sehr viel JIRA genutzt wird). Aber das deckt sich mit meiner Überzeugung, dass die besten Projektmanagement Tools immer noch Papier und Bleistift sind …