Hadmut Danisch

Ansichten eines Informatikers

Was ist „Sicherheit” ?

Hadmut
14.10.2009 1:16

Und warum sie oft daneben geht.

Nicht nur in den Leserkommentaren zu den vorangegangenen Blogartikeln, sondern auch in meiner beruflichen Praxis treffe ich immer wieder auf Aussagen wie „100%ige Sicherheit ist nicht möglich”. Meistens zur Rechtfertigung irgendeiner nur bedingt bis gar nicht effektiven Lösung, manchmal auch in Verbindung mit Sicherheit nach dem Gulasch-Prinzip: Alles in den Topf, was rumliegt, umrühren, aufkochen. Hauptsache, es schwimmt von jeder Zutat was drin rum und es ist undurchsichtig.

Auch wenn es abgedroschen ist, eine Hauptstolperfalle ist immer noch, daß man im Deutschen sowohl die Betriebs- und Ausfallsicherheit (Safety), als auch die Sicherheit gegen Angriffe (Security) als Sicherheit bezeichnet. Auch wenn man den Unterschied inzwischen kennt, werden viele Aspekte und Eigenschaften oft verwechselt. Hochverfügbare Server und Dienste haben meist nur sehr wenig mit Sicherheit im Sinne von Security zu tun – Spiegelplatten, doppelte Netzteile, selbst redundante Fail-Over-Systeme haben keine oder kaum Auswirkungen auf die Security. Ein Backup-Band wäre beispielsweise eines der wenigen Safety-Mittel, die auch für Security etwas bringen.

Die Verwechslungen sind aber subtiler. Immer wieder wird gefragt, zu wieviel Prozent etwas sicher sei. Oder es wird gesagt, daß man eine nur bedingt sichere Sache akzeptieren müsse, weil es 100% Sicherheit sowieso nicht gibt. Dem liegt ein enormer Denkfehler zugrunde, auch wenn es im Einzelfall mal sinnvoll sein kann, eine solche Aussage zu treffen, um eine normal-verständliche Bewertung vorzunehmen. Richtig ist es nicht.

Eine Prozent-Angabe, ein Bruchteil, setzt voraus, daß es ein festgelegtes Ziel, eine 100%-Marke gibt. Wo soll die sein? Sicherheit ist keine absolute Eigenschaft, sondern bezieht sich immer auf eine bestimmte Bedrohung. Sicherheit gegen Ausspähung von Daten. Sicherheit der Beweisbarkeit eines Vorgangs. Aber nicht Sicherheit schlechthin, und davon 80%. Und selbst wenn es das gäbe, wenn man mit 100% definieren würde, daß der Angriff nicht stattfinden kann: Der Weg dorthin ist kein linearer, stetig steigender Weg, der prozentual messbar wäre.

Der Denkfehler kommt von der Verwechslung mit Safety. Im Safety-Bereich (also Betriebs- und Ausfallsicherheit) hat man eine Verfügbarkeit von 100%, nämlich immer, und als Maß die Zeit oder die Zahl der Belastungen. In diesem Bereich hat man auch aleatorische Größen, die sich durch statistische Betrachtungen erfassen und nach statistischen Regeln verknüpfen lassen. Wenn zwei unabhängige Bolzen mit einer Wahrscheinlichkeit von 10% brechen, dann ist die Wahrscheinlichkeit 1%, daß sie beide brechen. Wenn ich eine Fahrzeugflotte habe, dann weiß ich, wieviel Prozent der Fahrzeuge im Durchschnitt durch Unfall pro Jahr verlorengehen. Die Leute übersehen dabei ein Detail, was man eigentlich auch nur in der Stochastik-Vorlesung lernt: Wenn ein Ereignis – ob nun Bolzenbruch oder Lotto-Gewinn – mit einer Wahrscheinlichkeit x (hier mit irgendeinem Wert deutlich zwischen 0 und 1) eintritt, dann heißt das ja nicht, daß das Ereignis teilweise eintritt. Man kann nicht sagen, ob der Bolzen jetzt bricht oder ob die Lotto-Zahlen gewinnen. Die Wahrscheinlichkeit ist ein Grenzwert, und das Quote von Ereignissen zu Stichproben konvergiert gegen die Wahrscheinlichkeit. Wenn der Bolzen mit einer Wahrscheinlichkeit von 30% bricht, dann heißt das, daß die Zahl der gebrochenen Bolzen sich immer näher an 30% der durchgeführten Versuche/Belastungen annähert, je mehr es davon gibt. Und genau das liegt in der Security nicht vor, dort gibt es (normalerweise) keine gleichartigen Reihen, bei denen man schaut, gegen welchen Grenzwert eine Quote bestimmter Ereignisse konvergiert.

Deshalb gibt es im Allgemeinen auch keine 30% Sicherheit. Immer erst dann, wenn ein gewisses zufälliges Ereignis reinspielt kann man sowas annehmen. Eine Schwäche in einem Zufallszahlengenerator könnte etwa dazu führen, daß 30% der erzeugten Schlüssel schwach sind. Eine zu kurze Zufallszahl kann dazu führen, daß der Angreifer in x% der Fälle durch Raten reinkommt (eine lange übrigens auch, nur mit kleinerem x). Aber für gewöhnlich unterliegen Angriffe nicht der Reihe unabhängiger Experimente oder Stichproben und haben damit keine Konvergenz. Und damit keine in Prozenten auszudrückende Wahrscheinlichkeit. Der Angreifer schafft’s oder er schafft’s nicht.

Das wirft zunächst mal die Frage auf, wie denn Sicherheit überhaupt definiert ist. Gute Frage.

Vor Jahren habe ich als wissenschaftlicher Mitarbeiter mal in der Literatur danach gesucht. Und nichts gefunden. Jede Menge wissenschaftlicher Bücher über Sicherheit, aber keiner der sagt, was es ist.

In den Vorlesungen wurde damals die klassische Dreiteilung gelehrt: Integrität, Authentizität, Vertraulichkeit. Das hat noch nie so richtig gestimmt und war eigentlich nur ein Hilfskonstrukt der Wissenschaftler. Sicherheit ist das, wozu sie wissenschaftliche Lösungen haben. Krankheiten haben sich nach der bestehenden Medizin zu richten. Weil man in der Wissenschaft lange Zeit den Fehler machte, Sicherheit völlig getrennt von der Realität als akademisch-geistige Sportart anzusehen, an die sich Angreifer doch bitteschön zu halten habe. Die Dreifaltigkeit bekam Risse als Spam und Denial-of-Service-Angriffe aufkamen. Man nahm noch die Verfügbarkeit quasi als ungeliebtes Stiefkind dazu, aber so richtig wurde die nie ein Thema von Kryptographie und Theorie, sondern nur das Eingeständnis, daß das so mit der Dreiteilung nicht so richtig stimmt. Aus andere Ecke kam non-repudiation. Reicht immer noch nicht, denn die Sicherheitsziele von Zero-Knowledge-Beweisen sind auch noch nicht abgedeckt. Die vermeintlich und vorgeblich so exakte akademische Sicherheitswissenschaft hat es nie geschafft, ihren Hauptbegriff halbwegs greifbar zu beschreiben.

Daß diese klassische Dreiteilung nicht stimmt und man sich eigentlich immer noch nicht sicher ist, was Sicherheit eigentlich so genau ist, hier mal die Definition aus ISO 17799 und ISO 27001:

information security
preservation of confidentiality, integrity and availability of information; in addition, other properties such as authenticity, accountability, non-repudiation and reliability can also be involved.

Auf deutsch: Wir wissen’s auch nicht so genau, nicht mal für die Teildisziplin information security. Von Netzwerksicherheit, Systemsicherheit usw. wird da gar nichts definiert.

Die eine der beiden mit Abstand schlechtesten (um nicht zu sagen dümmsten) Definitionen von Sicherheit ist die meines ehemaligen „Doktorvaters” in seinem Versuch, anderer Meinung als ich zu sein:

Hier straft sich der Autor selbst, weil er die in Kapitel 1 gegebenen Begriffe von Sicherheit nicht formal gefaßt hat und somit übersehen hat, dass Security über die formale Spezifikation auch Aussagen über das Komplement einer i. a. rekursiven Menge bedeutet, über das außer ihrer rekursiven Aufzählbarkeit nicht viel mehr bekannt ist. Somit kann die Frage, ob es einen realen oder hypothetischen Angreifer gebe, im Allgemeinen überhaupt nicht beantwortet werden.

Alles klar? Sicherheit ist, wenn man gar nicht weiß, ob es Angreifer gibt. Sicherheit sagt überhaupt nichts, außer daß es eine rekursiv aufzählbare Menge sein soll. Die transitive Hülle irgendeiner Relation oder Operation. Die wesentlichen Eigenschaften dieser Definition sind:

  1. Es ist so und in dieser (vom Autor herausgerissenen) Aussage reiner Blödsinn, weil man damit selbst ein – eigentlich offenkundig – unsicheres System nicht als unsicher erkennen kann, und man sich fragen kann, welches Verständnis von Sicherheit dahinterstecken muß, wenn es keinen Angreifer gibt.
  2. Es sagt überhaupt nicht, was Sicherheit sein soll. Man definiert etwas ohne jemals zu definieren.
  3. Die Definition beruht (s.u.) auf Zuständen eines Systems. Die gibt es in der Kommunikations- und Informationssicherheit aber nicht.
  4. Es ist geklaut. Und zwar schlecht geklaut. Aus der Beschreibung des Bell-LaPadula-Systems. Einfach etwas aus dem Zusammenhang gerissen. Die Aussage im Bell-LaPadula-System bezog sich nicht auf Sicherheit allgemein, sondern auf Systemsicherheit. Und es wurde nicht Sicherheit, sondern die Zustände des Systems beschrieben. Es war auch keine allgemeine Aussage, sondern bezog sich nur auf Bell-LaPadula und verwandte Systeme. Die Autoren hatten nie im Sinn, eine allgemgültige Definition aufzustellen. Man muß höllisch aufpassen wo der, der eine Definition behauptet, sie geklaut hat ohne den Kontext zu verstehen.
  5. Bell-LaPadula war nicht sicher.
  6. So schlecht und unbrauchbar die Definition als Verallgemeinerung ist, es ist die mir bisher einzig bekannte Definition von Sicherheit, die von einem deutschen Gericht rechtskräftig für richtig gehalten wurde.

Eine andere, auf den ersten Blick deutlich schlauere Definition findet sich im Buch „Computer Security” von Dieter Gollmann:

  1. There is no single definition of security.
  2. When reading a document, be careful not to confuse your own notion of security with that used in the document.
  3. A lot of time is being spent (and wasted) in trying to define unambiguous notations for security.

Das ist natürlich listig (listig von List, nicht von Liste). So schreibt man sogar dann etwas schlaues hin, wenn es selbst auch nicht weiß. Immerhin scheint es zu belegen, daß es keine allgemeine Definition von Sicherheit geben kann, sondern Sicherheit immer (nur) das ist, wovon der andere gerade redet. Kann das vielleicht sein, daß die Wissenschaft hier jede Menge Papier über Sicherheit produziert, jede Menge Sicherheitswissenschaftler ernennt und beruft, und dabei nicht mal weiß, was Sicherheit überhaupt ist?

Kann es sein, daß es Sicherheit, oder sagen wir mal IT-Sicherheit als definierbaren Begriff gar nicht gibt? Sicherheit ist, wenn irgendwer Geld damit verdient, weil irgendwer anderes vor irgendwas Angst hat?

Das ist so absurd nicht. Es entspricht der Beobachtung, die ich damals in der Spam-Bekämpfung bei der IETF gemacht habe, wo man großen Wert darauf legte, daß man Spam nicht mit einer einfachen K.O.-Methode aus der Welt schafft, sondern schön an dem Geschäft festhält, daß der Kunde regelmäßig Filterregelsätze kaufen muß. Es entspricht auch einer Äußerung des damailigen BSI-Präsidenten, wonach laut Auffassung der Bundesregierung Sicherheit ist, wenn die Umsätze in der Sicherheitsbranche steigen. Dialektisch könnte man das Gegenteil sagen, nämlich daß Unsicherheit herrschen muß, wenn die Branche steigende Umsätze hat.

Ich schulde dem Leser noch die andere der beiden dümmsten Definitionen von Sicherheit, die mir je untergekommen sind. Auch diese zweite stammt von deutschen Professoren. Das heißt, es ist eigentlich nicht einmal eine Definition, sondern eine Nachplapper-Phrase, die man aber im Hochschulbereich gar nicht so selten findet, und die immer dann verwendet wird, wenn in akademischer Wortschäumerei die besondere Qualität von Sicherheit unterstrichen werden soll. Es ist der Begriff der „garantierten Sicherheit”. Die einen verlangen sie als unbedingte Voraussetzung, die anderen behaupten, nur sie könnten sie bieten. Dabei ist der Begriff – jedenfalls in der Informatik – ein Widerspruch in sich. Denn Garantieren heißt nicht, wie der Gebrauch der Phrase suggeriert, daß es sich um eine zwangsläufige, erzwungene Sicherheit handelt, sondern gerade das Gegenteil. Garantieren heißt, daß man für etwas bürgt und damit haftet, wenn es ausfällt. Eine garantierte Sicherheit ist eben keine bewiesene, verlässliche, oder eben 100%ige Sicherheit, denn wenn sie nicht ausfallen könnte, müßte ja keiner dafür garantieren. Wenn ich Garantie auf eine Waschmaschine bekomme, heißt das ja auch nicht, daß sie konstruktionsbedingt nicht kaputt gehen kann, sondern daß der Hersteller die Reparaturkosten zahlt, wenn sie doch kaputt geht. Garantierte Sicherheit als akademischer Schwafelbrennstoff? Nicht nur. Aus betriebswirtschaftlich-juristischer Sicht kann es durchaus als Teil von Sicherheit gelten, wenn man einen hat, der im Schadensfall haftet. Nur in der Informatik hat es nichts verloren.

Es ist tatsächlich gar nicht so einfach, sie zu definieren.

Meine Sichtweise auf die Sicherheit:

Sicherheit ist nicht eine Disziplin der Kryptographie, wie fälschlich oft behauptet wird, sondern umgekehrt. Sicherheit ist eine Disziplin, die sich aus Bereichen der Entscheidungs- und der Spieltheorie zusammensetzt. Spieltheorie deshalb, weil es einen Gegner gibt, und das eigene Verhalten von dem des Gegners abhängt.

Sicherheit heißt, im Teilbereich der Entscheidungstheorie die beste Entscheidung zu treffen und im Teilbereich der Spieltheorie die beste Strategie zu wählen.
Sicherheit ist die Optimierung der Entscheidungen und der Spielstrategie. Im Rahmen dessen, was der Gegner, der Angreifer als Verhaltensmöglichkeiten (eigenen Strategien) hat, das eigene Verhalten optimal zu wählen.

Dabei gibt es unterschiedliche Arten von Sicherheit, die unterschiedlichen Spielen/Spielregeln entsprechen und die unterschiedliche Entscheidungen und Strategien nach sich ziehen:

Beweissicherheit (100%-Sicherheit, wenn man so will)
Ein Spiel ohne Kostenfunktion, bei dem der Gegner gewinnt und das Spiel endet, wenn er ein Ziel einmal erreicht und die eigene Entscheidungswahl und Spielstrategie so gewählt werden müssen, daß der Gegner das Ziel nicht erreichen kann.
Betriebswirtschaftliche Sicherheit
Ein Spiel mit Kostenfunktion, bei dem der Gegner sein Ziel auch mehrfach erreichen kann, weil das Spiel nicht sofort abbricht. Bestimmte eigene Handlungen haben Kosten, und wenn der Gegner sein Ziel erreicht, entstehen ebenfalls Kosten. Das Ziel ist die Minimierung der Kosten.

Und damit gibt es im Prinzip beliebig viele unterschiedliche Sicherheiten, nämlich so viele, wie es Spielregeln gibt. In der Theorie kann man ganz verrückte Spielregeln auswählen. Zero-Knowledge-Beweise, bestreitbare Sicherheit usw. könnte man beispielsweise als Spiele mit besonderen Spielregeln betrachten. In der Realität sind die Spielregeln durch echte Kosten, Recht usw. vorgegeben.

Betriebswirtschaftliche Sicherheit kann deshalb auch heißen, daß man gar nichts tut, nämlich wenn jeder eigene Zug teurer ist als der zu erwartende Schaden durch den Gegner. Ein Beispiel dafür ist das Telebanking, bei dem wirksame Methoden gegen Phishing erheblich teurer wären als den Schaden durch Phishing hinzunehmen und ihn als Bank auf Kulanz zu übernehmen (oder darauf zu spekulieren, daß er an den Kunden hängen bleibt). Das zweite Spiel bedeutet nicht, daß man einen Angriff verhindert. Es heißt, daß man die eigene Verhaltensweise auswählt, mit der man am Ende unter den verschiedenen Verhaltensweisen des Angreifers am Ende des Spiels den höchsten Kontostand (= die geringsten Kosten) hat. Damit kommen auch das Risk-Management und das normale Security-Business ins Spiel, das nicht unbedingt heißt, den Angriff zu verhindern, sondern aus allen zur Verfügung stehenden Handlungsweisen diejenigen auszuwählen, die – unter entscheidungs- und spieltheoretischer Berücksichtigung des zu erwartenden Verhaltens des Gegeners – das beste Ergebnis versprechen. Disziplinen wie Kryptographie usw. dienen letztlich nur dazu, mehr Auswahl an Verhaltensweisen zu schaffen.

Im Wissenschaftsbereich wird fast immer nur das erste Spiel ohne Kostenfunktion gespielt, weil man das für die einzige Art von Sicherheit hält. In der Realität ist meistens die zweite Art relevant, weshalb die Wissenschaft so weit von der Realität weg ist.

Bei Systemen wie De-Mail tritt nun ein besonderes Problem auf. Man redet von Zustellsicherheit und Sicherheit wie beim Brief, und meint damit implizit das erste Spiel der beweisfesten Sicherheit. Der Anbieter wird aber aufgrund seiner Ausrichtung das zweite Spiel spielen, nämlich die Optimierung des Kostenergebnisses, was natürlich auch irgendwo die Bürgerakzeptanz und Schadensersatzpflichten, und deren Einfluß auf das Ergebnis berücksichtigen wird. Trotzdem kann man mit der Strategie für Spiel 2 das Spiel 1 nicht gewinnen.


11 Kommentare (RSS-Feed)

Ari
14.10.2009 11:11
Kommentarlink

Interessante Sichtweise. Da eröffnen sich neue Gedankenwelten bei der Sicherheit, von der unser Bundesinnenminister gerne spricht. Denn auch da geht es um Security, nicht um Safety.


EinePerson
14.10.2009 12:08
Kommentarlink

Exzellenter Artikel.
Die Einteilung sehe ich ganz genauso. Allerdings ist die beweisfeste Sicherheit die einzige, wobei Kryptographen und Informatiker und theoretische-Sicherheit-Forscher überhaupt dazu beitragen können. Den Rest kann auch ein Betriebswirt.


Hadmut
14.10.2009 12:38
Kommentarlink

Naja, Betriebswirtschaft alleine reicht nicht, man muß schon viel Ahnung von Technik und Informatik haben.

Aber der Meinung, daß das Groß-Thema Sicherheit bei den Kryptologen falsch aufgehoben ist, bin ich schon länger. In der Grundrichtung bin ich Deiner Meinung.

Das Problem dabei ist eben auch, daß man es leider den Informatikern und meist den Kryptologen überläßt festzulegen, was Sicherheit eigentlich ist. Und das richtet sich dann nach deren Interessen.


pepe
14.10.2009 13:42
Kommentarlink

> Im Wissenschaftsbereich wird fast immer nur das erste Spiel ohne
> Kostenfunktion gespielt, weil man das für die einzige Art von
> Sicherheit hält.

Unter welchen Umstaenden werden in der Wissenschaft denn reale Systeme untersucht, wo sich konkrete Aussagen ueber Kosten treffen lassen? Erst wenn man im Rahmen eines Projektes ein System analysiert und Sicherheitsmechanismen vorschlaegt kann man diesen Aspekt beruecksichtigen. Erst wenn ich weiss, ob/wer/wie revocation benutzt wird, kann ich sagen welcher Algorithms oder welches Design hier sinnvoll sind und das gegen die Deployment-Kosten abwaegen. Solange das nicht klar ist kann man eben nur allgemein Paper ueber neue Algorithmen/Designs schreiben und dort die Kostenrelation zu anderen Loesungen besprechen.

Deswegen ist das aber noch lange nicht sinnlos. Ohne allgemeine Betrachtungen zu Algorithmen/Designs, deren Performance in Hinblick auf verschiedene Angriffe und relative Kosten muss der Ingenieur diese Probleme staendig aufs neue Loesen statt sich um die Integration und o.g. Kostenoptimierung kuemmern zu koennen. Egal ob der Ingenieur dabei in der Industrie oder Wissenschaft arbeitet.

Das gleiche trifft natuerlich auf die Arbeit von Kryptographen zu, nur dass diese eben einen Layer darunter arbeiten.

Verallgemeinerung und Modellbildung auf verschiedenen Ebenen sind essentiell um das Gebiet aus der “Kunst” in den Bereich des “gezielten Designs” zu bringen. Der Prozess ist natuerlich noch lange nicht abgeschlossen und wird es vielleicht nie sein, aber ohne diese Arbeit duerftest du dir wie die Leute im Mittelalter regelmaessig selbst ueberlegen wie du jetzt eine Nachricht “geheim” uebermitteln kannst oder wie du dafuer sorgst dass niemand deine Unterschrift faelschen kann. Oder, einen Layer tiefer, darfst du dir dann selbst ueberlegen ob ein bestimmter Blockcipher fuer dein Protokoll geeignet ist.(Man erinnere sich nur an das WEP Debakel).


Hadmut
14.10.2009 17:51
Kommentarlink

Es spricht ja gar nichts dagegen, wenn die Hochschulforschung nur einen Teilaspekt betrachtet.

Gefährlich ist, wenn sie sich erstens anmaßt, das Alleindefinitionsrecht über Sicherheit zu haben, und zweitens (insbesondere im Rahmen von Gutachten und Prüfungen) alles andere als falsch hinzustellen.


yasar
14.10.2009 17:55
Kommentarlink

Apropos 100% Sicherheit.

Im Editorial der ix, die heute im Briefkasten lag, kommt dieser Begriff auch vor – im Zusammenhang mit Wahlen bzw. elektronischen Wahlmaschinen.

🙂


n.laus
15.10.2009 8:50
Kommentarlink

Der Artikel hat mir sehr gut gefallen und mir eine interessante Sichtweise eröffnet – Danke! Vielleicht solltest du mal ein Buch über Sicherheit schreiben…

OT: Hast du eigentlich nach deinem Gerichtsurteil mit den “verschwundenen” Tonmitschnitten aufgegeben oder geht es noch weiter?

OT2: *ich* finde es nervig, dass ich jetzt 2 Blogs von dir lesen muss/soll – hätte es eine Unterkategorie nicht auch getan?


Hadmut
15.10.2009 18:51
Kommentarlink

@n.laus:

Danke für das Lob. Falls ich mal Zeit für sowas hab, könnt ich ja mal anfangen und schauen, was rauskommt.

Aufgegeben habe ich nicht, aber das Oberverwaltungsgericht fand, daß das in Ordnung ist, wenn Richter die Protokolle fälschen und die Bänder verschwinden lassen. Berufung nicht angenommen, Sache rechtskräftig beendet, Fall tot. Aber ne Verfassungsbeschwerde habe ich noch anhängig.

Die Unterkategorie in den Blogs hatte ich ja. Aber trotzdem haben sich die Themen zu sehr gestört, die Blogs waren nicht abgrenzbar. Ab und zu will ich halt auch mal irgendwas lustiges oder alltägliches schreiben, und damit verschreckt man Leute, die ein bestimmtes Thema suchen. Bringt auch nichts, wenn Leute auf ein nach einer Person genanntes Blog kommen und in einer Mischung verschiedener Themen nicht erkennen, worum es da (alles) geht. Deshalb habe ich das ausgelagert und im Header gleich klargestellt, was das Thema ist. Ist besser so. Sorry, wenn das erhöhten Verfolgungsaufwand bringt, aber das war einfach zu durcheinander.


n.laus
15.10.2009 21:27
Kommentarlink

Noch einmal OT (sorry): Ist das wirklich schon rechtskräftig, wenn die Verfassungsbeschwerde noch läuft? Wann ist denn bei der Verfassungsbeschwerde mit Fortschritt zu rechnen? Schreibst du rechtzeitig was dazu im Blog? Ich verfolge deinen Fall schon sehr lange mit großem Interesse (bin Dipl. Inf. – Uni KA…). Auch wenn ein Urteil zu deinen Gunsten dem Ruf der Uni KA schaden würde und dadurch auch indirekt mir, bin ich auf deiner Seite und finde gut was du machst. Ich habe so ein bisschen das Gefühl, dass du inzwischen innerlich schon aufgegeben hast – ich hoffe aber, dass ich mich täusche und das nicht der Fall ist und dass das Bundesverfassungsgericht dir weiter helfen wird (und falls nicht gibts ja noch den europäischen Gerichtshof für Menschenrechte… 😉 ).


Hadmut
15.10.2009 21:59
Kommentarlink

Ja, ist rechtskräftig. Verfassungsbeschwerden sind kein Rechtsmittel des Instanzenwegs und hemmen die Rechtskraft nicht. Die Erfolgsaussichten sind sehr gering, sogar ein ehemaliger Verfassungsrichter sagte mal, daß Verfassungsbeschwerden formlos, kostenlos und aussichtslos seien. Trotzdem haben ab und zu mal Leute Erfolg. Mal sehen.

Höre ich mich an, als hätte ich innerlich aufgegeben?

Ich will es mal so sagen: Ich bin da völlig desillusioniert. Die letzten 10 Jahre, in denen ich mich mit der Hochschulkorruption befasst habe, waren eigentlich viel interessanter und aufschlussreicher als alles, was ich an der Uni getan habe.

Das Thema Hochschulkorruption an sich finde ich immer interessanter, aber auch bedrohlicher. Ich sehe da eigentlich nur noch Murks, Schwindel, Korruption. Und es wird immer schlimmer.

Es ist aber weder rechtlich möglich, noch habe ich großartig Lust, mehr Zeit und Energie in dieses Promotionsverfahren zu versenken. Ich glaube nicht mehr daran, daß an deutschen Universitäten noch irgendwas läuft, was mit wissenschaftlicher Redlichkeit zu tun hätte oder daß es da noch seriöse Promotionen gibt. Es hat sich auch gezeigt, daß die Professoren in Karlsruhe zu allem fähig, aber zu nichts imstande sind. Bei wem sollte man da noch promovieren? Die haben doch alle zusammen nicht genug Grips, um eine Dissertation in meinem Thema zu bewerten, und haben das auch noch selbst vor Gericht als Argument vorgetragen. Wenn man sich deren Berufungsverfahren ansieht, wird das auch klar, das kann nicht zu befähigten Professoren führen. Ein weiterer Streit brächte also nicht viel als sich mit Gewalt eine neue Promotionsrunde an einer Universität zu erstreiten, die zur Promotion nicht in der Lage ist.

Inzwischen bekomme ich zunehmend den Eindruck, daß der Doktor oder gar der Professor inzwischen nur noch die Bestätigung ist, daß man am Korruptionszirkel mitzuspielen bereit und aufgenommen worden ist. Ich habe inzwischen das Gefühl, daß es seriöser und ehrlicher ist, da nicht mitzumachen.

Ich glaube, daß dieses Land gerade irreversibel in der Korruption versinkt und das eine Begleiterscheinung eines generellen sozialen, wirtschaftlichen und moralischen Abstiegs ist. Ich glaube nicht, daß von diesem Land in 20-30 Jahren noch viel übrig ist. Mir haben die Haare zu Berge gestanden, als ich in Peking gesehen habe, in welchem irren Tempo uns die Chinesen überholen.

Ich glaube nicht, daß in 20-30 Jahren noch irgendwer Deutschland braucht. Die Wirtschaftslage ist miserabel, wir überschwemmen von arbeitsunfähigen Leuten, die Fachkräfte wandern ab, Regierung, Wirtschaft und Wissenschaft versumpfen in Korruption. Auswandern wäre der persönliche Ausweg.

Eine Folge meiner Erkenntnisse aus diesem Uni-Streit und der Beobachtung der explodierenden Hochschulkorruption und des Forschungsbetrugs ist, daß ich gar nicht mehr versuche, irgendetwas nach wissenschaftlichen Gepflogenheiten zu schreiben oder in wissenschaftlichen Medien zu veröffentlichen.

Zumal sich zunehmend zeigt, daß ich mit meinem Blog (bzw. jetzt zwei Blogs) einen wesentlich höheren Impact Factor erziele als mit wissenschaftlichen Journals, die sowieso keiner liest.

Das ganze Wissenschaftssystem wird sich überleben und in der Unwichtigkeit versinken. Meiner Einschätzung nach wird das gerade von Blogs und deren Quervernetzung und -zitierung abgelöst. Ist auch viel schneller.


Jens
22.10.2009 0:00
Kommentarlink

“Die Erfolgsaussichten sind sehr gering”

Statistisch gesehen. Für die einzelne (ggf. berechtigte) VB gilt das nicht unbedingt.