802.1X und Radius gegen Wi-Fi Sense auf Win 10-Geräten der lieben Freunde …

Diejenigen unter meine Lesern und Bekannten, die wissen möchten, warum ich neben der Ablehnung der Aushöhlung der Privatsphäre unbedarfter Anwender durch Win 10 auch noch eine besonders kritische Einstellung zum Win10-Feature” “Wi-Fi Sense” vertrete, seien auf folgenden Artikel im Schwester-Blog http://iso-blog.anracom.com hingewiesen:

http://iso-blog.anracom.com/2015/08/13/die-grosse-passwort-sammlung-wi-fi-sense-unter-win-10/

Ich finde es schon ziemlich bemerkenswert, dass die Standard-Installation eines PC-Betriebssystems zu einem Export von sicherheitsrelevanten Passwörtern für Infrastrukturkomponenten auf amerikanische Server führt. Noch interessanter ist, dass ein Password-Sharing über Outlook, Facebook und Skype-Accounts auch in unkontrollierbarer Weise über Dritte und Vierte stattfinden kann, selbst wenn man selbst gar nicht Win 10 benutzt. Siehe hierzu die vielfältigen Links im genannten Artikel. Ich finde, MS hat damit eindeutig eine Grenze des Zumutbaren überschritten.

So, wie es im Moment aussieht, ist jeder Linuxer, der Freunden mit (mobilen) Win 10 Geräten einen Zugriff auf seine WLAN-Infrastruktur gewähren will, jedenfalls gut beraten, die Authentifizierung über 802.1X und einen Radius-Server unter Linux abzuwickeln (WPA2 Enterprise). Angeblich reicht Win 10 die Passwörter in diesem Fall nicht weiter – im Gegensatz zu WLAN-Infrastrukturen mit reiner WPA2 (Personal) Authentifizierung. Dafür, das dies tatsächlich mit einer hohen Wahrscheinlichkeit der Fall ist, spricht jedenfalls die Tatsache, dass ansonsten Sicherheitsinteressen von Firmen berührt wären.

Die strikte Separation eines entsprechenden Gäste-WLAN-Segments vom Rest des Netzes scheint mir zudem angebracht – aber damit erzähle ich sicher nichts Neues.

Da ich relativ viele Bekannte mit Win-Ausstattung habe, die regelmäßig zu Besuch kommen, werde ich daheim wohl einen alten Access Point, der 802.1X unterstützt, reaktivieren müssen. Ist auch ein guter Anlass, sich mal wieder intensiver mit Radius auseinanderzusetzen. So hat etwas Negatives auch wieder eine gute Seite …. und vielleicht ergibt sich aus den gewonnenen Erkenntnissen auch wieder ein Blog-Artikel.

Windows 10 ? Linux !!! … im Namen der informationellen Selbstbestimmung

Manchmal muss man ja mal über den Tellerrand gucken. Für einen Linuxer bedeutet dies einen Blick in Richtung der Hersteller anderer Betriebssysteme – im Besonderen von PC-Betriebssystemen.

Erster Anlass im vorliegenden Fall war, dass eine Bekannte mich fragte, ob sie denn das “kostenfreie” Angebot zum Upgrade ihres PCs auf eine neue Version des Betriebssystems eines bekannten Herstellers wahrnehmen könne und solle. Ich habe ihr geantwortet, dass ich nicht glaube, dass es von kommerziell tätigen Unternehmen irgendetwas kostenfrei gäbe. I.d.R. würde man im Bereich der IT dann mit kommerziell verwertbaren Informationen zu seiner eigenen Person bezahlen. Ansonsten würde ich mich bzgl. des Herstellers nicht kompetent genug fühlen.

Dabei hatte ich gar keine bösen Hintergedanken. Man ist ja von den Großen in der IT-/Web-Branche ja eh’ bereits Einiges gewohnt – und dass wir alle gerade über die sogenannten sozialen Medien dazu beitragen, dass es in wenigen Jahren keine Privatsphäre mehr geben wird, ist unter aufgeklärten Linux-Usern ja auch kaum ein Geheimnis.

Dann kam meine Frau mit ihrem VMware Guest unter Win 7 an und zeigte mir eine Mitteilung, die besagte, dass auch sie zu den Auserwählten gehöre, die ein kostenfreies Upgrade von Win 7 Pro auf Windows 10 Home (!) nutzen könnten. Meine Antwort: kein Bedarf, Win 7 fliegt ja auch in Kürze von unseren virtuellen Systemen runter.

Aber dann meldete sich auch noch einer unserer wichtigeren Kunden … Da wurde ich dann langsam sauer und fing an, eben ein wenig über den Tellerrand ins Internet hinauszuschauen.

Und musste mir die Augen reiben, weil die Verbraucherschützer von Rheinland-Pfalz vor kurzem bereits ein paar nette Kommentare zu dem Thema Windows 10 formuliert hatten, die ich aus dieser Ecke kaum erwartet hätte.

Für jeden, der ein wenig nachlesen will, hier ein paar Links. Jeder mag sich dann selbst seine Meinung bilden:

http://www.computerbase.de/2015-08/windows-10-microsofts-datensammlung-sorgt-fuer-heftige-kritik/
http://www.welt.de/wirtschaft/webwelt/article145054076/Verbraucherzentrale-warnt-vor-Abhoeranlage-Windows-10.html
https://www.verbraucherzentrale-rlp.de/windows-10—Ueberwachung-bis-zum-letzten-klick-1
http://www.zeit.de/digital/2015-08/windows-zehn-verbraucherzentrale-abhoeranlage-datenschutz
http://www.theguardian.com/technology/2015/jul/31/windows-10-microsoft-faces-criticism-over-privacy-default-settings
http://www.computerworld.com/article/2968288/microsoft-windows/windows-10-makes-diagnostic-data-collection-compulsory.html
http://www.telegraph.co.uk/technology/microsoft/windows/11782807/windows-10-privacy.html
http://www.infoworld.com/article/2956715/microsoft-windows/privacy-and-advertising-in-windows-10-both-sides-of-the-story.html
http://www.newsweek.com/windows-10-recording-users-every-move-
358952

http://www.polygon.com/2015/7/31/9075531/windows-10-privacy-how-to
https://www.reddit.com/r/Windows10/comments/3f38ed/ guide_how_to_disable_data_logging_in_w10
http://lifehacker.com/what-windows-10s-privacy-nightmare-settings-actually-1722267229
http://arstechnica.com/information-technology/2015/08/windows-10s-privacy-policy-is-the-new-normal/
http://www.rt.com/usa/311304-new-windows-privacy-issues/
http://www.computerbase.de/2015-08/kommentar-windows-10/
http://www.sueddeutsche.de/digital/windows-vertrauter-spion-1.2594765
http://www.techrepublic.com/article/windows-10-violates-your-privacy-by-default-heres-how-you-can-protect-yourself/
http://www.zdnet.com/article/how-to-secure-windows-10-the-paranoids-guide/
http://betanews.com/2015/07/31/the-real-price-of-windows-10-is-your-privacy/
http://www.france24.com/en/20150804-windows-10-microsoft-privacy-spying-internet-data-collection-backlash
http://www.heise.de/ix/meldung/Windows-10-Gefaehrlicher-Zertifikats-Wirrwarr-2776810.html
http://www.kuketz-blog.de/kommentar-windows-10-datenschutz-geht-anders/

 
Der wichtigste Link ist vermutlich aber folgender zum “MS Privacy Statement” :

 
Und bitte nicht vergessen, bei jedem der im “Privacy Statement” genannten Punkte – besonders aber bzgl. des Punktes “Personal Data We Collect” auf “Learn More” zu klicken! Erst dann offenbart sich die ganze Vielfalt der erfassten Daten …. bis hinunter auf die Ebene von Mail-Texten, Kontakten und PC- wie Internet-Aktivitäten jeder Form. Flankiert wird das Ganze durch passende “Service Agreements”:

 
Hmmm …, das alles gilt also im Falle einer STANDARD-Installation von Windows 10 Home. Das bedeutet glassklar:

“NO PRIVACY by design” unter Win 10. Oder anders formuliert: Der Respekt vor privaten Daten ist bei MS nicht mehr der Standard.

Mit Interesse habe ich ferner zur Kenntnis genommen, dass das Privacy Statement für ganz unterschiedliche MS Produkte (Windows, Skaype, Outlook, Bing, …) – also vermutlich jeweils separat – gilt. Das allein wirft interessante Fragen auf: Konfiguriert man z.B. Win 10 Home nachträglich – soweit das überhaupt möglich ist – für den Schutz privater Daten, so heißt
das womöglich noch lange nicht, dass die Speicherung von Mailtexten auf MS Servern in den USA im Falle der Nutzung von Outlook (oder des aktuellen Mail-Ablegers) verhindert würde.

Das Akzeptieren des Service Statement ist ferner obligatorisch. Das ist deshalb interessant, weil darüber das weitgehende Datensammeln auch bei Abwahl einiger Datentransferoptionen der Win 10 Home Edition für MS abgesichert wird. Siehe:

 
Eine entsprechende – für normale Anwender/Admins nutzbare – Option zur vollständigen Unterbindung diagnostisch relevanter Daten findet sich offenbar nur in der Enterprise Version von Windows 10. In der Windows 10 PRO und Home Versionen sind dagegen wohl risikobehaftete Klimmzüge über die Registry erforderlich:

 
Siehe beim letzten Link auch die vielfältigen Kommentare …

Das Ganze bedeutet im Klartext: im Falle von Firmen-Lizenzen bietet Win 10 offenbar andere, weitergehende Optionen zum Schutz von PC-Nutzungs- und “privaten” Daten an als im Falle des privaten Einzelanwenders, der dafür sein Upgrade aber kostenlos bekommt.

So wird über das Service Statement für den normalen Home Nutzer indirekt relevant, was MS unter “diagnostischen Daten” subsummiert. Es lese jeder selbst unter den obigen Links nach …

Erstes Fazit:
Arme Win 10 Home User … natürlich gibt es unter Win 10 Optionen, um die Datensammelwut auch nach einer Standardinstallation einzugrenzen. Aber durch die Gültigkeit des Privacy Statements über das reine Windows auf andere MS Produkte (Skype, Outlook, Bing, …) hinaus UND über den Zwang zum Akzeptieren des Service Statements entkommt der Win 10 Home User einer weitgehenden Verwertung von Daten zur Interaktion mit dem System und auch privaten Daten nicht vollständig.
Und wer sagt mir eigentlich bei einem Closed Source System, das Daten verschlüsselt in die USA überträgt, ob das Klicken von irgendwelchen Checkboxen auch das bewirkt, was da versprochen wird ….

Hinweise, dass die Deaktivierung bestimmter Datentransferoptionen letztlich wenig nutzt, sind hier beschrieben:
http://thehackernews.com/2015/08/windows-10-privacy-spying.html

Weitere “Features” von Win 10 Home
Ein weiteres “interessantes” Feature des kostenfreien Windows 10 Upgrades ist ferner der dann nachfolgende Zwang zum Update:

 
Hinzu kommt ferner eine fundamentale Richtungsänderung zur Behandlung von sicherheitsrelevanten Passwörtern für Wi-Fi-/WLAN-Systeme, zu denen ein Win 10 Gerät Verbindung aufnimmt. Solche Passwörter werden bei unbedarfter Nutzung von Win 10 Home auch auf MS Server transferiert. Und nicht genug damit: Outlook, Skape, Facebook-Kontakte des Win 10 Home Users werden u.U. in die Lage versetzt, dieses Passwort für das WLAN zu nutzen as

Konatkte Siehe zu diesem speziellen Thema
Die große Passwort-Sammlung … Wi-Fi Sense unter Win 10

Zweites Fazit:
Im Summe zeigt nun also der Marktführer für PC-Betriebsysteme mal wieder als Letzter der Großen im IT-Business – dafür aber umso ausgeprägter -, wohin die Reise geht:

Der Nutzer soll den Zugang zu IT- und Internet-Ressourcen künftig nicht mehr mit Geld, sondern mit der Aufgabe seine Privatsphäre bezahlen. Die Kontrolle über den Update-Status der eingesetzten Closed Source Software wird ihm dabei zusätzlich entzogen – selbst wenn dies, wie in einem der genannten Artikel beschrieben, auch mal zu Endlosschleifen führen kann. Will man eigentlich mit solcher “Zwangs-Technik” für Unmündige leben?

Privatsphäre ist wichtig – auch und gerade im Zeitalter des Internets !
Viele Vertreter unserer Eliten (Unternehmer, Politiker, …) reden von der Verantwortung für die kommenden Generationen. Da geht es oft um Geld, Schulden, Umwelt, Klimakatastrophe, Flüchtlingsströme, Bevökerungswachstum etc. etc.. Dass aber die von uns z.T. mitentwickelten Anwendungen fürs Internet diesen Generationen gerade die letzten Schlupfwinkel fürs “Private” stehlen, kommt vielen – gerade SW-Entwicklern – erst langsam zu Bewusstsein.

Die bittere Wahrheit ist: Es braucht für die Aufgabe der Privatsphäre gar keine Geheimdienste …. die voranschreitende, für den Anwender angeblich “kostenfreie” Verschmelzung der Betriebssysteme mit Cloud- und Internet-Diensten genügt dazu völlig …

Dass mit dieser aktuellen Entwicklung der IT gerade die elementaren Fundamente und Grundpfeiler der Demokratie untergraben werden, wird leider nur von wenigen Aufrechten klar gesagt, die dafür im besten Fall als altmodisch bezeichnet werden. My home is my castle – das wahr einmal …. Dabei hatte ich im bayerischen Sozialkundeuntericht vor nunmehr fast 40 Jahren noch gelernt, dass Freiheit und Demokratie mit dem Respekt vor der Freiheit, der Meinung und eben auch der Privatsphäre anderer Menschen beginnen …. die moderne Übersetzung für IT-Belange heißt: Respekt vor der “informationellen Selbstbestimmung”. Die Erfinder von Win 10, Facebook, etc. haben den wohl völlig verloren …. wenn sie ihn denn jemals hatten …

Ich bin deshalb gerne konservativ und meinetwegen auch altmodisch. Und ich nutze deshalb Linux, seine Sicherheitsfeatures und bei Bedarf Tor zum Browsen …. und die sogenannten Cloud-Segnungen und die sog. “sozialen” Medien der Vernichter von Privatsphäre im Internet können mir weiterhin gestohlen bleiben …… egal von wem und unter welcher Version ….. ob unter Android, iOS oder eben Win 10 ….

Ceterum censeo:
Die Schlacht um ein freies Internet – im Sinne freier Individuen mit geschützter Privatsphäre, die selbst entscheiden, wann und was sie an Informationen freigeben – wird gerade zig millionenfach verloren. Das Internet und seine Dienste müssen
deshalb eigentlich neu erfunden werden und zwar exakt nach dem Grundsatz “privacy by design” – von den elementaren Protokollen bis hin zu komplexen Anwendungen. Lasst uns im Sinne der Bewahrung von Demokratie für die nächsten Generationen also endlich damit anfangen …. Das passende Betriebssystem als Grundlage gibt es dafür Gott sei Dank ja schon ….

Wer nun noch wissen möchte, ob Windows 10 denn neben seiner Datensammelwut auch etwas Vernünftiges, z.B. an SW- und Bedienkomfort auf dem Desktop, anbieten könne, der möge folgenden Artikel eines Linux-Anwenders, der Win 10 tatsächlich mal ausprobiert hat, lesen:

Tja, dazu passt dann abschließend noch die Einschätzung in folgendem Artikel:

 

Münchens LIMUX und ein Editorial des Linux-Magazins

Eine Bekannte hat mich im September diesen Jahres fast schadenfroh darauf aufmerksam gemacht, dass das LIMUX-Projekt der Stadt München in Gefahr sei. Verwiesen hat sie in diesem Zusammenhang auf einen Artikel in der SZ:
http://www.sueddeutsche.de/muenchen/muenchner-stadtverwaltung-von-microsoft-zu-linux-und-zurueck-1.2090611

Auch wenn inzwischen im Magazin Linux-User und in anderen Zeitungen “Entwarnung” gegeben wurde, lohnt es sich dennoch, sich etwas ausführlicher mit dem Vorgang zu befassen. Ein Grund unter mehreren ist für mich die Art und Weise, wie in diesem Fall von einem nicht ganz unwichtigen Linux-Befürworter mit Kritik an einem Linux-Desktop umgegangen wurde. Aus meiner Sicht wurde – wie zu oft – zu schnell abgebügelt. Dabei bleiben dann valide Punkte auf der Strecke, und man kocht schön weiter im eigenen Saft. Ist ja auch bequemer so …

Aber der Reihe nach.

Eine Diskussion zum LIMUX-Projekt mit IT-Professionellen in meinem Bekanntenkreis verläuft meist so,

  • dass Linux-Befürworter das Desktop-Projekt der Münchner Stadtverwaltung als Beleg dafür heranziehen, dass Linux sehr wohl auch am Arbeitsplatz und nicht nur auf Servern einsetzbar sei,
  • dass Linux-Skeptiker dagegen den Nutzen und die Einsparungen bezweifeln,
  • dass Linux-Skeptiker grundsätzlich nicht glauben, dass die betroffenen Anwender zufrieden sind und sie dafür gerne belastbare Belege sehen würden.

Dabei sind die Linux-Skeptiker – meist Leute, die täglich mit Windows arbeiten und oft auch eine frustrierende Erfahrung mit dem Versuch einer eigenen Linux-Installation hinter sich haben – in der erdrückenden Überzahl. (Das sind natürlich trotzdem nette Menschen …). Repäsentatives, belastbares Material zu Kosten und User-Zufriedenheit im Umgang mit Linux-Desktops legen beide Seiten in der Regel nicht vor. Und nur selten werden die Anforderungen an einen modernen Desktop in der Arbeitswelt und die erforderlichen Applikationen als Grundlage einer sachlichen Diskussion spezifiziert.

Die SZ-Nachricht platzte ins Ende der Sommerpause. So ging das Thema in der interessierten Öffentlichkeit zunächst fast unter. In der kurz darauf erschienenen Ausgabe 10/14 des Linux-Magazins, in dem das LIMUX-Projekt auch schon in der Vergangenheit (trotz vieler Verzögerungen und Probleme) vielfach gelobt wurde, platzierte man LIMUX auf Platz 11 unter den größten 20 “Tops” der Linux-Geschichte.

Generell ist festzuhalten, dass das LIMUX-Projekt in den deutschen Postillen der Linux-Welt immer wieder als Vorzeige-Projekt dargestellt und positiv kommentiert wurde. So wurde im Linux-Magazin oder in der Schwester-Zeitschrift Linux-User mal der Fortschritt des Rollouts auf geplante ca. 15000 Arbeitsplätze positiv gewürdigt oder der wohltuende Einfluss von Ubuntu auf das Projekt hervorgehoben.

Nach genauem Studium der jeweiligen Artikel fällt auf, dass das SW- und Applikationsangebot des LIMUX-Desktops auch in der Fachpresse so gut wie nie spezifiziert oder diskutiert wurde. Auch als Linux-Befürworter fragt man sich zwangsläufig, wieviel die Autoren eigentlich über den wahren Leistungsstand des LIMUX-Desktops im Vergleich z.B. zu einem aktuellen KDE 4.x-Linux-Desktop in einer dazu passenden leistungsfähigen Serverlandschaft recherchiert hatten. Siehe zu aktuellen Spekulationen bzgl. dieses offenen Punktes etwa
https://debianforum.de/forum/viewtopic.php?f=15&t=150995. Überhaupt ist die Frage zu stellen, welcher Maßstab eigentlich zur Bewertung des Erfolges eines SW-Rollouts heranzuziehen wäre – die Tatsache, dass der Rollout für die geplante Useranzahl gelungen ist, reicht alleine vielleicht nicht. So wäre u.a. die weiterführende Frage zu
stellen:
Was zeichnet eigentlich das LIMUX-Anwendungsangebot im Verhältnis zu den Bedürfnissen von Verwaltungsangestellten aus ?

Es verwundert wenig, dass in einem faktenarmen Diskussionsumfeld bei den Linux-Skeptikern angesichts der SZ-Meldung ein Schuss Schadenfreude zu spüren war. Aber schon früher kam offene Kritik – manchmal sogar aus einer Ecke, wo zumindest ich das zuletzt erwartet hätte (http://www.silicon.de/41595329/ob-kandidatin-kritisiert-limux-projekt-in-muenchen/). Auf der anderen Seite machen es sich die Linux-Befürworter zu leicht, wenn sie den Erfolg von LIMUX oftmals ausschließlich am Projektverlauf festmachen. Wenn dann plötzlich Kritik an der Leistungsfähigkeit auftaucht, ist man eher überrascht.

Wie reagierten nun publizistische Vertreter der Linux-Community auf die Kritik der Münchner Bürgermeister?

Ein Editorial im Linux-Magazin

Im Linux-Magazin 11/2014 bezog als einer der Ersten Chefredakteur Jan Kleinert Stellung:

In seinem Editorial “Ende der Fahnenstange” werden der Münchner OB und einer der Bürgermeister als “Außerirdische” karikiert, die nicht verstünden, um welch komplexe Technik es sich bei den eingeführten Systemen handeln würde. LIMUX wird dabei salopp mit “IT einer 1,4 Millionen Stadt” gleichgesetzt. Herr Kleinert verweist ferner darauf, dass ein Tablet-PC (oder gar ein Handy) nur wenig komplexe Aufgaben zu verrichten habe und deshalb (im Gegensatz zu einem Desktop?) eine gute Usability bieten könne. Ferner sei Sicherheit (“Funktionssicherheit”) beim Tablet-PC nur mäßig relevant (?!?). Kleinerts Text impliziert weiter, dass Linux in der Verwaltung einer Millionenstadt natürlich wesentlich mehr und Fundamentaleres leisten müsse – er rekuriert dabei nach meiner Ansicht in völlig unangebrachter Weise auf das extreme Beispiel der Steuerung von Brennstäben in Reaktoren. Damit sollte wohl das Spektrum an IT-Anwendungen und Technologie aufgezeigt werden. Bei der sensiblen Reaktorsteuerung kämen ja auch nicht moderne Usability-Kriterien zum Tragen. Die von einem der aktuellen Münchner Bürgermeister vorgebrachte Kritik, dass er zu Hause unter Linux nicht mal einen mobilen E-Mail- und Kalender-Client zur Verfügung habe, erscheint im Kontext der Gedankenführung des Editorials dann natürlich fast kleingeistig. Das Wesen der IT bestehe im Gegensatz zur geäußerten Kritik an LIMUX eben im Kompromiss zwischen Komplexität, Funktionssicherheit und Innovation. Aha!

Alles also nur eine fachlich unfundierte, politische Welle der neuen Stadtregierung? Vorgebracht von voreingenommenen Linux-Skeptikern? (Zu denen manche gerade die Bürgermeister zählen; s. http://www.linux-magazin.de/NEWS/Microsoft-Fan-Muenchens-neuer-OB-Reiter-will-in-Sachen-Limux-neue-Loesung-finden, http://www.heise.de/open/meldung/Muenchner-Buergermeister-sieht-deutliche-Schwaechen-bei-LiMux-2391735.html, http://www.golem.de/news/limux-kopf-einziehen-und-ueber-verschwoerung-tuscheln-1412-110908-4.html).

Ich habe dazu eine andere – und durchaus kritischere – Meinung als der ansonsten von mir sehr geschätzte Herr Kleinert. Denn selbst wenn man den von ihm geforderten Kompromiss als Basis für die Bewertung einer bereits in die Jahre gekommenen IT-Lösung heranziehen würde, könnte man die Kritik der Bürgermeister ja so deuten, dass die LIMUX-Lösung unter den vielen technischen Möglichkeiten womöglich gerade nicht den optimalen Kompromiss darstellt. Und das führt dann zu einer Fragestellung, bei der
auch Herr Kleinert mit Sicherheit einige Mühe hätte, eine faire und vor allem fundierte Antwort zu finden.

Im Gegensatz zu den professionellen Linux-Meinungsmachern erlaube ich mir ferner, den Verdacht zu hegen, dass sich in den zitierten Äußerungen der Bürgermeister (neben einer evtl. politisch begründeten Neuausrichtung der IT-Politik der Stadt München) eine vielleicht nicht nur positive Erfahrung der inzwischen vielen Anwender bei der Landeshauptstadt München ihren Weg bahnt. Auch wenn wir das als Linux-Anhänger natürlich nicht gerne hören mögen. Denn vielleicht hat ja gerade die Einführung von etlichen sich schnell entwickelnden und lange Zeit keinesfalls fehlerfreien Linux-Anwendungen (wie etwa das wohl auch unter LIMUX genutzte Thunderbird, Open- bzw. Libreoffice sowie etliche KDE-Applikationen) oder gar ein Mangel an integrierten Anwendungen die gewohnte “Funktionssicherheit” aus Sicht der Anwender beeinträchtigt ?

Je mehr ich im Laufe der vergangenen 2 Monate darüber nachdachte, desto mehr ärgerte mich eigentlich das Editorial von Herrn Kleinert, dessen Aufmacher im Linux-Magazin und dessen kritische Begleitung aktueller Ereignisse im Linux- und IT-Umfeld ich ansonsten wirklich sehr schätze. Das sei ausdrücklich gesagt!

Der Grund meines Ärgers ist die Pauschalisierung bei der Abqualifizierung von vermeintlich unbedarften Nutzern, die schnell als eingefleischte Linux-Skeptiker entlarvt werden. Aber müssen wir uns als Linux-Befürworter nicht gerade der Kritik dieser Leute stellen ? Nicht nur bei Herrn Kleinert kommt leider viel zu oft das Muster zum Tragen, sich selbst mit Verweis auf die Inkompetenz und die Vorurteile anderer konsequent an der kritischen Betrachtung eventuell ausgeblendeter Fakten und Hintergründe zu hindern.

Warum ist das Editorial des Linux-Magazins wenig hilfreich?

Die Haltung des Editorials im Linux-Magazin verdient aus meiner Sicht deutliche Kritik :

So geht der Leitartikel des Linux-Magazin bezeichnenderweise nicht darauf ein, dass es sich beim LIMUX-Projekt und dem zugehörigen Rollout primär um Desktop-Technologie handelt. Ob die funktioniert, können die Betroffenen – darunter auch die Bürgermeister – ja womöglich doch aus eigener Anschauung beurteilen. Denn was ein moderner Desktop an Mindestfunktionalität bieten kann oder muss, erfahren sie nicht nur im eigenen täglichen Umgang mit der bereitgestellten Funktionalität. Nein, sie sehen Beispiele für andere Lösungen selbstverständlich auch an den Arbeitsplätzen anderer Verwaltungsorganisationen. Oder erleben im persönlichen Kontakt, welche Möglichkeiten andere Bürgermeister und Verwaltungsangestellte mit deren dienstlichen, mobilen Devices nutzen können. Und dann könnte es ja zumindest theroretisch möglich sein, dass der Vergleich für den einen oder anderen betroffenen Münchner Anwender aus guten Gründen negativ für LIMUX ausfällt – nicht nur bei oberflächlicher Betrachtung.

Der direkte Vergleich mit anderen Benutzeroberflächen wartet beim normalen Anwender zudem meist zu Hause – in Form von Windows-PCs, modernen Smartphones, Tablet-PCs … Trotz aller berechtigten Sicherheitsfragen – der moderne Linux-Desktop muss sich an der von anderen Systemen gebotenen Usability messen lassen. (Wobei ich keine Zweifel habe, dass ein aktueller Linux-Desktop dabei sehr gut abschneiden würde, wenn denn im Rahmen der finanziellen Möglichkeiten das Beste aus dem Desktop und den im Hintergrund zu nutzenden Serverdiensten herausgeholt würde).

Warum Herr Kleinert das Anliegen eines Managers (und als solchen sehe ich einen Bürgermeister unter anderem), einen mobilen E-Mail- und Kalender-Client mit Anbindung an einen städtischen Mailserver nutzen zu wollen, übel nimmt, verstehe ich nun überhaupt nicht. Das ist aus meiner Sicht zunächst ein völlig (!) berechtigtes Anliegen – ebenso wie der Abgleich der mobilen Devices mit Client-Applikationen am Arbeitsplatz oder
bestimmten Inhalten bestimmter Server. Typischerweise erledigt man diese Aufgaben an einem Windows-Arbeitsplatz über eine Groupware-Anwendung. Nun dürfte auch Hrn. Kleinert nicht verborgen geblieben sein, dass gerade dieser Bereich eine Schwachstelle so mancher Opensource-Group- und Kollaborations-Software darstellt. Aber stellt er die für eine sachliche Bewertung erforderliche Frage, was LIMUX denn in diesem Bereich an Lösung anbietet?

Dass man im Zuge einer Umsetzung der genannten Ansprüche Sicherheitsaspekte bedenken und dem User Kompromisse abnötigen muss, versteht sich von selbst. Aber Schritt 1 ist, die Anforderung des Users ernst zu nehmen und dann (u.a.) zu fragen, was eine durch Linux geprägte IT-Landschaft benötigt, um diese Anforderung so optimal wie möglich umzusetzen. Dabei ist natürlich mehr zu betrachten als nur der Desktop – jedoch in anderer Weise, als Herr Kleinert das tut. Ich komme darauf weiter unten zurück.

Es stimmt zwar – und da stimme ich Hrn. Kleinert zu :
Ein moderner Desktop allein stellt heute auch schon ein recht komplexes System dar – erst recht, wenn man seine Interaktion mit unterstützenden Server-Systemen in Betracht zieht.

Aber es gilt auch:
Die Einsetzbarkeit eines Desktops und dazu gehöriger Komponenten im täglichen Business bewerten zu können, liegt sicherlich nicht außerhalb des Beurteilungsvermögens der Anwender. Und ist nicht grundsätzlich gerade der Anwender selbst die letzte Instanz, die man im Zusammenhang mit Desktop-Funktionalität ernst nehmen sollte?

Ich finde es einfach kontraproduktiv, wenn Anwender, die sich in ihrer täglichen (mobilen) Arbeit nicht hinreichend durch die IT unterstützt fühlen und dies in ihrer amtlichen Funktion auch äußern, in der Linux-Presse nicht ernst genommen werden. So ist es zwar wohlfeil und einfach, Kritiker von LIMUX oder anderer Linux-Desktop-Varianten in eine bestimmte Ecke zu stellen – sinnvoller wäre es aber, zu recherchieren und sich offen damit auseinanderzusetzen, welche Resonanz denn der LIMUX-Desktop bei seinen ca. 15000 Anwendern wirklich erfahren hat und ob es nicht auch an der einen oder anderen Stelle berechtigte Kritik am Leistungsumfang geben mag. Davon könnte man dann vielleicht etwas lernen und der eigenen Augenwischerei gerade im Interesse von Linux ein Ende setzen. Und man muss das viel systematsicher angehen als der wohlgemeinte Versuch der PC-Welt (http://www.pcwelt.de/ratgeber/LiMux__Wohin_steuert_Linux_in_Muenchen_-Windows-Ersatz-8920737.htmls).

Nur weil die Stadt München sich vor langer Zeit aus sicher guten Gründen für einen Linux-Desktop entschieden hat, ist dies nicht mit einem Qualitätsurteil zu Linux gleichzusetzen. Zumal die Einsparung von Lizenzkosten und die Reduktion von Abhängigkeiten bei der Einführung sicher ebenso wichtige Motive waren wie eine hinreichende Anwenderfreundlichkeit.

Nebenbei: Typischerweise gehört die Gruppe der professionellen Linux-Desktop-User – wie Herr Kleinert – nicht zur Gruppe der Angestellten in der öffentlichen Verwaltung. Sonst wäre das LIMUX-Projekt ja gar nichts Außergewöhnliches. Es darf daher mit Fug und Recht bezweifelt werden, ob gerade Herr Kleinert die Anforderungen eines Bürgermeisters an eine Desktop- oder Laptop-Oberfläche (im Zusammenspiel mit Mobilität und anderen mobilen Devices) richtig einordnen kann.

Spekulationen statt Fakten zum LIMUX-Desktop

Ich hatte selbst Gelegenheit und in gewisser Weise auch das Privileg, täglich über mehrere Jahre mit dem Linux-Desktop der Landeshauptstadt München arbeiten zu dürfen. Ich hatte und habe allerdings keine Einsicht in Interna des LIMUX-Projektes und zugehörige Entscheidungen. Deswegen halte ich mich bzgl. einer Kommentierung des LIMUX-Projektes und des Rollouts der zugehörigen Systeme insgesamt explizit zurück. Auch die Entscheidung der
Verantwortlichen für eine bestimmte Desktop-Variante will und mag ich im Moment überhaupt nicht in Frage stellen.

Als erfahrener Linux-Anwender hatte ich selbst auch nie ernsthafte Probleme, mit dem Desktop im Rahmen der angebotenen Möglichkeiten zu arbeiten. Aber: Ich habe mich so manches Mal nach den Möglichkeiten meiner eigenen (frei-) beruflich und professionell genutzten Linux-Desktops und -Notebooks innerhalb der für sie spezifisch ausgelegten Netzwerk-, Server- und Groupware-Umgebung gesehnt. Und dabei musste ich beim LIMUX-Einsatz nicht mal mobil arbeitsfähig sein wie die jetzigen Bürgermeister.

Auf Details der angebotenen Lösung mag ich hier aus guten Gründen nicht eingehen. Bezeichnend finde ich allerdings für die gesamte Diskussion, dass bei den Linux-Befürwortern erst in letzter Zeit zum Leistungsvermögen von LIMUX spekuliert und recherchiert wurde:
https://debianforum.de/forum/viewtopic.php?f=15&t=150995 und dort den Beitrag von MrGerardCruiz oder
http://www.pcwelt.de/ratgeber/LiMux__Wohin_steuert_Linux_in_Muenchen_-Windows-Ersatz-8920737.html

Nehmen wir mal an, die in den oben genannten Links diskutierten Punkte würden zutreffen. Würde man eine integrierte Groupware-und Daten-Abgleich-Funktionalität, wie ich sie aus meinem eigenen Linux-Umfeld und anderen Installationen seit nunmehr einem Jahrzehnt von Lotus-, Open-Xchange, Zarafa oder auch Kolab-Lösungen in ganz praktischer Form kenne, nicht vermissen? Speziell an einem Verwaltungsarbeitsplatz? Hallo Hr. Kleinert, genau das kritisieren die Bürgermeister im Rahmen ihres technischen Verständnisses!
(Von Workflow-Vernetzung und der mobilen Nutzung von Kollaborationsdiensten unter Portallösungen wie Liferay will ich erst gar nicht reden …)

Dazu käme – soweit zutreffend sicher aus wohlüberlegten Gründen – ein Client, der schon 2009 in seiner Konfiguration gegenüber damals aktuellen “KDE 4”-Clients angestaubt wirken musste. Und was das Linux-Magazin nicht erwähnt: Ubuntu als neuer Unterbau würde dem Anwender nur begrenzt etwas nutzen, wenn man darauf z.B. eine eigene (Trinity-basierte) KDE-3.5-Oberfläche aufsetzte und – soweit die von der PC-Welt durchgeführten Interviews denn zuträfen – entsprechend veraltete Client-Software anböte.

Sicher, man kann sich als Linux-Anwender damit arrangieren – toll und überzeugend wäre eine solche Lösung aber noch lange nicht.

Aus meiner langjährigen eigenen Erfahrung mit dem manchmal schwierigen Update- und Upgrade-Management einer professionell genutzten Linux-KDE-Umgebung möchte ich allerdings auch Folgendes klar zum Ausdruck bringen:

An dem Vorhaben, eine eigene Linux-Desktop-Distribution für viele User auf Dauer zu managen, kann man sich in der Praxis die Zähne ausbeißen. Gerade weil das Innovationsmoment unter Linux so extrem hoch ist. Das Bedürfnis nach durchgehender Stabilität der Desktop-Umgebung UND ihrer vielfältigen Anwendungen sieht in einem großen Unternehmen mit tausenden von Standardarbeitsplätzen nun wirklich ganz anders aus als an privaten Linux-Arbeitsplätzen oder an Linux-Arbeitsplätzen für hochqualifizierte, flexible Entwickler und Linux-Fans.

Aus meiner Meinung, dass das Qualitätsmanagement unter Linux im Sinne einer Langzeit-Stabilität von Desktops und der von Hrn. Kleinert beschworenen “Funktionsstabilität” ihrer Anwendungen schlecht funktioniert und dass hier u.a. die Distributoren in der Rolle eines zwischengeschalteten QM-Managements völlig versagen, habe ich schon mehrfach keinen Hehl gemacht. [Auf der Server-Seite bietet sich mir dagegen ein viel positiveres Bild – im Fokus steht hier aber Desktop-Technologie].

Die Aufgabe, auf Dauer eine stabile Linux-Desktop-Umgebung bereitzustellen, würde aus meiner Sicht jedes größere
Unternehmen vor enorme Herausforderungen stellen. Insofern kann man den Schwierigkeitsgrad der Aufgabe, vor der die Verantwortlichen der Stadt München standen gar nicht überschätzen und Fundamentalkritik wäre völlig unangebracht. Vielmehr sollte sich die Linux-Community selbst mal fragen, was man für stabile Linux-Desktops in Großunternehmen und in der öffentlichen Verwaltung eigentlich an Qualitäts- und Stabilitätsmanagement aufbauen müsste. Obwohl gerade im KDE-Bereich in den letzten Jahren vieles sehr viel besser geworden ist, glaube ich dennoch, dass das Innovationsinteresse der Entwickler noch nicht hinreichend mit Stabilitätsinteressen der Anwender und vielleicht auch professioneller SW-Firmen, die gerne kommerzielle Anwendungen für einen Linux-Desktop entwicklen wollen, in Einklang gebracht wurde.

So gesehen, ist die Tatsache, dass der LIMUX-Desktop tatsächlich auf Tauende von Arbeitsplätzen ausgerollt werden konnte, eher eine hervorragende Leistung der Münchner IT-Verantwortlichen und Projekt-Manager.

Man sieht: Der Erfolg oder Mißerfolg eines Linux-Desktop-Projektes hängt vom angelegten Maßstab ab. Und genau da verläuft die Diskussion auch bei den Linux-Befürwortern jenseits einer sachlichen Grundlage.

Ein moderner Linux-Desktop muss sich selbstverständlich auch für einen Bürgermeister als Anwender mit besonderen Anforderungen bewähren

Trotz des formalen Abschlusses des LIMUX-Projektes gilt mit Sicherheit: Gerade ein Desktop muss sich im Alltag erst bewähren. Erst recht in der Welt der Verwaltung und den dortigen Ansprüchen an kontrollierte Arbeitsflüsse. Hierzu zählt in einer modernen arbeitsteiligen Welt übrigens auch die (von den Bürgermeistern kritisch gewürdigte) Austauschbarkeit der Arbeitsergebnisse mit den Anwendungen anderen Verwaltungen und nicht zuletzt auch mit den elektronischen Systemen der betrofenen oder interessierten Bürger.

So ist also auch ein Bürgermeister – egal welcher politischen Richtung – ein Anwender mit berechtigten Bedürfnissen. Aus Sicht der fachlichen und technischen Ansprüche (Mobilität, verschiedene Clients, Home Office, Sicherheitsbedürnisse) sogar ein hochinteressanter:

Als intern und extern vielfach geforderter, mobiler Mensch bedarf er in seiner Arbeit an PCs, Laptops, Smartphones, Tablet-PCs der technischen Unterstützung durch so schöne Dinge wie Web-Services, Portallösungen, Web-Clients für Groupware-Lösungen, VPNs etc.. Und wenn wir uns einige der Worte mal in ihrem technischen Gehalt ausmalen, dann entdecken wir etwas ganz Banales, aber für ein Desktop-Einführungsprojekt wie LIMUX etwas Grundlegendes, das im Zusammenhang mit der vorgebrachten Kritik von größerer Bedeutung sein könnte:

Die Einführung eines Desktops allein genügt für ein funktionierendes, modernes Linux/LIMUX-Environment in der Verwaltung womöglich gar nicht …. man braucht dann auch ein geeignetes Portfolio an anpassbaren Serverdiensten, eine hinreichend (segmentierbare) Netzwerk- und Infrastruktur sowie eine Vielzahl von Security Appliances, mit deren Hilfe man von außen und innen initiierte Interaktionen mit (Server-) Systemen in sicherer Weise abwickeln kann.

Aber wird dieser wichtige, vielleicht entscheidende Punkt im Editorial von Herrn Kleinert aufgegriffen? Nein! Dabei könnte man gerade an diesen Aspekt die Frage knüpfen, woran es denn wohl liegen mag, dass die Bürgermeister und andere Anwender nicht von mobilen Geräten aus einen hinreichenden Zugriff auf bestimmte Daten bekommen. Denn vielleicht liegt es ja gar nicht am Linux-Desktop – vielleicht liegt es an Sicherheitsfragen im Zusammenhang mit einer ggf. (z.Z. noch) unzureichenden Netzwerk-, Server- und vor allem (serverbasierten) Dienste-Infrastruktur? Vielleicht haben wir es mit einer Desktop-Einführung zu tun, zu der die weitere Infrastruktur erst noch nachgezogen werden muss? Aus welchen (vielleicht durchaus berechtigten) Gründen auch immer?
n
Möglicherweise ist ja ganz generell eine hinreichende serverbasierte Dienste-Landschaft eine notwendige Voraussetzung für die erfolgreiche Ablösung von Windows-Desktops und/oder zugehöriger Desktop-Anwendungen, die der Anwender in der Verwaltung benötigt? Vielleicht könnte man aus den Erfahrungen mit LIMUX wichtige Schlüsse für die Vorbereitung anderer Linux-Desktop-Projekte in ähnlicher Größenordnung ziehen?

Der technisch unbedarfte städtische Anwender des Linux/Limux-Desktops spürt ggf. nur : Mir fehlt was. Er sieht nicht unbedingt die Ursachen – aber seine Ansprüche sollten doch zumindest ernst genommen werden. Denn erst dann kann man sich sinnvoll auf die Suche nach den Ursachen der Defizite begeben und diese Ursachen auch bewerten. Der karikierende Verweis auf Außerirdische nutzt jedenfalls gar nichts und bringt weder die Linux-Kritiker noch Befürworter einen einzigen Schritt weiter.

Eine ausführliche Analyse der Anwender-Erfahrungen mit dem LIMUX-Desktop im Zusammenhang mit der der sonstigen Infrastruktur könnte dagegen im Interesse von Linux helfen, die Frage zu klären, was die erfolgreiche Einführung eines im modernen Büro-Alltag arbeitstauglichen Linux-Desktops eigentlich an Voraussetzungen in der Netzwerk- und Server-Umgebung sowie an Serverdiensten erfordert. Auch die Verwaltung der Stadt München könnte hier mit einer offenen Darstellung der Fakten zur Versachlichung und Verbesserung der Diskussion beitragen – und im Gegenzug Hilfestellung der Linux-Community (z.B. der OSB Alliance) bekommen. Aber dazu müssten alle Seiten die vorgebrachte Kritik ja erstmal ernst nehmen…

So muss man sich doch auch als Linux-Befürworter fragen, wieso es eigentlich erst Ende 2013/Anfang 2014 – also viele Jahre nach dem Beginn des LIMUX-Projektes – zu einer Entscheidung für eine einzuführende Groupware kam (http://www.linux-magazin.de/NEWS/Limux-und-Kolab-Auch-die-Muenchner-Groupware-wird-Open-Source, http://www.heise.de/ix/meldung/Muenchen-entscheidet-sich-fuer-Open-Source-Groupware-Kolab-2123512.html). Und erzähle mir bitte keiner, es ginge an einem modernen Verwaltungsarbeitsplatz unter Linux auch ohne Groupware und ein breites, gegliedertes und technisch abgesichertes Serviceangebot auch für mobile Clients …. Ja, es geht auch ohne. Aber wäre das eine zeitgemäße Lösung?

Eine faire Diskussion muss auch die umgebende Server- und Netzwerk-Infrastruktur einbeziehen

Der LIMUX-Rollout konzentrierte sich – meines beschränkten Wissens nach und sicher aus guten Gründen – auf einen managebaren Client. Aber damit Linux am Arbeitsplatz wirklich angenehm wird, bedarf es sicherlich noch ganz anderer, flankierender und massiver Maßnahmen im Server- und Infrastruktur-Bereich. Den Status solcher Zusatzmaßnahmen bei der Stadt München kennen wir alle nicht – aber man kann und darf sie im Sinne einer fairen und weiterführenden Bewertung einer Linux-Desktop-Einführung und der Kritik daran nicht ausblenden. Genau einen solchen Hinweis hätte ich u.a. vom renommierten Linux-Magazin erwartet.

Wie wichtig eine Betrachtung des Server-Umfeldes und der dort laufenden Services für die in der Kritik stehenden Desktop-Anwendungen ist, offenbarte auch für IT-Laien der vor kurzem aufgetretende Mail-Zwischenfall. Siehe:
http://www.golem.de/news/e-mail-ausfall-in-muenchen-und-wieder-wars-nicht-limux-1412-111129-3.html

Gewiss, man kann nicht alles auf einmal angehen – und Innovation bedarf des wohlabgewogenen Kompromisses. Da hat Herr Kleinert recht. Angebote für mobile Devices bringen zudem enorme Sicherheitsrisiken mit sich. Aber das
LIMUX-Projekt lief und läuft ja nun auch schon viele, ja inzwischen sehr viele Jahre. Und gerade deshalb darf man die aktuelle, späte Kritik betroffener Anwender – und seien es Bürgermeister – nicht vom Tisch wischen. Gerade als Linux-Befürworter! Oder man verpasst endgültig die vorhandenen Chancen für die Zukunft mit Linux an den Arbeitsplätzen einer sich ständig modernisierenden Verwaltung.

Dass hinreichende, solide und userfreundliche Lösungen für Verwaltungsarbeitsplätze unter Linux möglich sind, stelle ich am allerwenigsten in Zweifel. Ob die Kritik am LIMUX-Projekt berechtigt ist und wo ggf. die Ursachen liegen, muss man deshalb im Interesse von Linux und weiteren Desktop-Projekten sehr sorgfältig und unter Einbeziehung von IT-Prozessen, die über den Desktop hinausreichen, analysieren. Danach ist aufzuzeigen, wie man evtl. Defizite innerhalb der sicher hinreichenden Möglichkeiten von Linux systematisch beheben kann. In diesem Sinne waren die kritischen Beiträge der Bürgermeister zu LIMUX eher wertvoll – und keineswegs “außerirdisch”.

Ich bin jedenfalls gespannt auf das Ergebnis der in Auftrag gegebenen Analysen. Herr Kleinert hoffentlich auch ….