Linux mit Altersverifikation

Mehrere Leser bitten mich, ich solle doch etwas dazu schreiben, dass die Politik gerade fordert, dass alle Betriebssystemhersteller eine Altersverifikation einbauen sollten.

Der Ärger fing damit an, dass der kalifornische Gouverneur Gavin Newsom (links, Demokraten) ein Gesetz unterzeichnete, AB-1043 Age verification signals: software applications and online services, wonach am 1.1.2027 alle Betriebssystemanbieter vor dem Anlegen von Accounts Altersverfikationen der Benutzer durchführen müssen. Selbiges auch in anderen Bundesstaaten wie in Colorado, nur dass es bei Colorado niemanden interessiert, wenn die solche Gesetze machen. Kalifornien dagegen ist (oder war) die US-Softwareschmiede. Und wie immer, wenn es ganz dumm wird, gefällt es der von-der-Leyen-EU.

Technisch

Das ist eine völlig bescheuerte Idee. Und kann nicht zuverlässig funktionieren.

Warum?

Weil es, wenn man es sicherheitstechnisch einordnet, eine Maßnahme der Systemsicherheit ist. Systemsicherheit braucht mindestens zwei Parteien, man kann Systemsicherheit nicht gegen sich selbst betreiben, so wenig, wie man sich selbst verbieten kann, nachts an seinen Kühlschrank zu gehen.

Wenn und solange ich Herr über die Installation bin, kann ich mich nicht selbst zwingen, mich zu überprüfen. Man kann einen Mietwagenverleih zwingen, dass er sich den Führerschein zeigen lässt, bevor er einem ein Fahrzeug aushändigt. Aber man kann nicht jemanden zwingen, seinen eigenen Führerschein zu prüfen, bevor er in sein eigenes Auto steigt.

Deshalb läuft das auf eine Art Enteignung hinaus: Nicht mehr der Eigentümer selbst ist Herr über seinen Computer, sondern das Betriebssystem wird zunehmend zur Dienstleistung von Microsoft oder Apple, die man in Anspruch nimmt. Und damit läuft es dann auf Systemsicherheit hinaus, weil Betreiber und Benutzer dann zwei Parteien und nicht mehr identisch sind.

Technisch betrachtet läuft das auf eine Rückabwicklung des Personal Computers hinaus. Der galt damals als die große Revolution, weil er die alten Strukturen mit MainFrames und Zentralrechnern, an die man per Terminal verbunden war, ablöste. Die modernen Entwicklungen laufen aber darauf hinaus, wieder zu diesen alten Strukturen zurückzukehren. Alles läuft in der Cloud, alles wird zentral betrieben, und Computer sind letztlich nur noch Terminals am Zentralrechner. Seit über 30 Jahren sage und schreibe ich, dass Webbrowser im Prinzip nichts anderes sind, als eine graphisch aufgepeppte Version der alten Blockterminals. Derzeit arbeitet man mit allen Mitteln daran, Computerbenutzer zu Terminalbenutzern zurückzustutzen.

Zur Kinderpornosperre von der Leyens von 2009 hatte ich beschrieben, dass die überhaupt nicht wussten, was DNS ist und wie ein Webbrowser funktioniert, und dass die sich das im Prinzip wie das alte BTX vorstellten: Das Internet bestehe aus monolithischen Webseiten, das DNS sei eine Webseitenschleuder und Internet-Provider so eine Art Webseitenhändler, wie Buchhändler. Hat mit dem Internet nichts zu tun, entspricht aber der Struktur des alten BTX. Und diese Vorstellung verfolgt man, wenn man Gesetze macht.

Und genau da will man hin: Ein staatlich kontrollierter Anbieter stellt nur noch gute Webseiten zur Verfügung. Und der Benutzer konsumiert, was der Anbieter ihm vorsetzt, wie beim ZDF.

Was übrigens dazu passt, dass immer wieder – auch vom World Economic Forum – Druck gemacht wird, dass Menschen keinerlei Eigentum mehr haben, sondern alles nur noch mieten sollen.

Linux

Während das bei starren Betriebssystem wie Windows und MacOS mit ihrem Closed-Source-Ansatz und Anbietermonopol noch halbwegs umsetzbar in dem Sinne sein dürfte, dass es wenigstens so aussieht, als ob, und diese Anbieter auch Kundenaccounts führen, in denen man registriert sein muss, und an die die Accounts zwingend gebunden werden, ist Linux völlig anders gebaut.

Es gibt bei Linux keinen zentralen, zwingend zu durchlaufenden Installationsprozess. Es gibt nicht einmal zwingend Accounts. Man kann in den Installationsprozess nichts einbauen, was man nicht relativ einfach auch wieder ausbauen könnte, zumal wir ja nun 30 Jahre Linux-Distributionen ohne Altersüberprüfung hatten, also genug Wissen, wie man Linux ohne Altersverifikation installiert.

Das ganze System von Linux ist völlig inkompatibel mit der Vorstellung, dass das System da ein Alter verifizieren sollte. Das kann nicht hinhauen.

Debian

Mit Entsetzen nehme ich zur Kenntnis, dass es unter Debian – wo die meisten Entwickler diesen Schwachsinn erwartungsgemäß als Schwachsinn ablehnen – tatsächlich ein paar linke Bekloppte gibt, die „Vorschläge“ machen, wie man das umsetzen könnte:

Wer die Debian-Community kennt, kann sich leicht vorstellen, dass die Entwickler das kalifornische Gesetz – vorsichtig ausgedrückt – ablehnend betrachten.

In den diversen Foren und Mailinglisten geht es in Sachen Altersverifikation aktuell heiß her. Das Spektrum der Diskussion bildet die volle gesellschaftliche Bandbreite ab. Manche Teilnehmer bringen konkrete technische Vorschläge ein, die Debian für eine solche Funktion nutzen könnte. Andere lehnen die Umsetzung strikt ab. Wieder andere sehen im kalifornischen Gesetz leicht zu umgehenden Unsinn, der vor allem die Freiheit regelmäßiger Computernutzer einschränken soll. Um diese gegensätzlichen Positionen zu verstehen, hilft ein genauerer Blick auf die einzelnen Standpunkte.

Pragmatismus über Idealismus

Da ist zunächst die Fraktion derer, die pragmatisch an die Sache herangeht und die Funktion in Linux implementieren möchte. Konkret liegt ein Vorschlag vor, eine Schnittstelle für Altersabfragen in D-Bus zu implementieren. Der Plan sieht so aus: Man erweitert D-Bus um eine Definition org.freedesktop.AgeVerification1, die im Backend über Plug-Ins an staatliche Dienste andocken kann. Auf diese Schnittstelle greifen dann Programme zu, etwa das Werkzeug zur Benutzerregistrierung. Die neue Schnittstelle soll sich vor allem an die existierenden D-Bus-Standards für die AccountsService-Funktion anhängen. Der Vorschlag von Aaron Rainbolt geht tief ins technische Detail. Er beschreibt, wie die Prüfung des Alters abzuwickeln ist, wo auf dem System vermerkt sein soll, welcher Benutzer welches Alter hat, und wie das System diese Daten vor unautorisiertem Zugriff schützt – nämlich indem sie dem Systemverwalter „root“ gehören. So soll eine Balance entstehen: einerseits den gesetzlichen Anforderungen genügen, andererseits verhindern, dass der eigene Computer zu einer Außenstelle der Exekutive wird. Allzu viel Begeisterung löste Rainbolt mit seinem Vorschlag allerdings nicht aus.

Noch die sanfteste Kritik am Vorschlag zielt auf den praktischen Nutzen der gesamten Maßnahme ab.

Das ist so richtig dumm.

Und zwar eine Sorte von Dummheit, die man in der IT leider nicht nur selten sieht: Implementierungswut. Leute machen sich aus Entwicklungswut Gedanken darüber, wie man etwas implementiert, aber nicht, ob das dann überhaupt sicher und sinnvoll ist und nicht außer Funktion gesetzt werden kann, und welchen Schaden man damit anrichtet. Solche Leute richten sehr, sehr viel Schaden an. Ein typisches Beispiel auch dafür, wieviel unfähige Leute heute in der Linux-Community ihr Unwesen treiben. Denn die Daten vor unautorisiertem Zugriff zu schützen, indem sie „root“ gehören, ist eine doppelte Schnapsidee. Erstes ist unter Linux der, der den Computer installiert hat, und dem er gehört, eben auch root. Und zweitens müssen die Daten ja irgendwie genutzt werden. Das kann also nicht funktionieren.

Aber, wie geschon gesagt: Das ist so eine Kategorie von Idioten, die es in der IT schon lange gibt, nämlich Leute, die sich mit ganz vielen APIs und Libraries auskennen und wie wild sofort drauflosentwickeln, aber nicht merken, dass das ganze Ding nicht funktionieren kann.

Das sind diese Leute, die darauf gedrillt sind, jedem Kunden zu liefern, egal was der wünscht, wie bekloppt und untauglich das auch immer sein mag. Und wenn die die Klappe aufmachen, hat man ein Problem, weil der Kunde dann fest glaubt, dass das doch möglich sei, weil „Ihr Mitarbeiter X hat doch gesagt…“. Weil X nicht weiß, wovon er redet.

Was eigentlich dahinter steckt

Genauso wie bei der Altersverifikation von Social Media steckt etwas völlig anderes hinter der Sache.

Es geht nicht um das Alter, sondern es geht darum, dass jeder Account durch eine Verifikation muss. Dass also jeder Computer und jeder Account einzeln bekannt ist, und dass man Menschen, Computer und Accounts eindeutig einander zuordnen kann.

Seit einiger Zeit verfolgen Leute wie Bill Gates das Ziel einer totalen Überwachung. Man will jede einzelne Kommunikation, egal womit an kommunziert, automatisiert per KI überwachen und kontrollieren, ob jemand etwas sagt, was politisch nicht erwünscht ist. Alle Computer sollen dazu komplett überwacht werden.

Und das setzt natürlich voraus, dass man auch weiß, wem ein Computer zugeordnet ist, und natürlich auf alle Daten des Computers zugreifen kann.

Und das ist das Ziel. Es geht nicht um das Alter. Das Alter ist nur Begründungsvehikel. Nochmal der Satz aus dem Artikel oben:

Man erweitert D-Bus um eine Definition org.freedesktop.AgeVerification1, die im Backend über Plug-Ins an staatliche Dienste andocken kann.

„an staatliche Dienste andocken“.

Nicht nur die totale Überwachung, sondern …

Und damit gibt es noch ein andere Falle.

Denn mit einem solchen System wird nicht nur total überwacht, wer auf welchem Computer welchen Account hat. Sondern auch, wem er erlaubt wird.

Wir haben ja schon die Methode des „debanking“.

Und inzwischen werden auch schon Leute samt Familienangehörigen total sanktioniert, weil sie nach Ansicht der EU „russische Propaganda“ schreiben.

Was ist eigentlich, wenn die staatlichen Dienste dann sagen „der ist nicht volljährig!“ oder „den gibt’s gar nicht“ oder „Bestätigung verweigert“?

Der Staat bekommt damit die Möglichkeit, Leuten das Anlegen eines Accounts zu verweigern – genauso, wie die Altersverifikation in den Social Media Leute vom Anlegen von Accounts ausschließen kann.

Zum Debanking kommt dann das Deaccounting.

Und im Ergebnis dient das natürlich dem Ziel und Zweck, jegliche Opposition, jegliche Kritik stillzulegen.

Es kommen üble Zeiten auf uns zu.

Wäre ich Linux – was aufgrund der dezentralen Struktur von Linux nicht geht, aber wäre ich es – wäre die einzige Reaktion, die ich darauf zeigen würde, in den Nutzungsbedingungen einfach zu verbieten, dass Linux in Kalifornien verwendet werden darf. Dann haben sie nämlich ein Problem, weil unzählige Geräte, denen man es nicht ansieht, mit Linux laufen. Es gibt Schätzungen, dass zwischen 90 und 99 bis 100 Prozent der Internet-Server unter Linux laufen.

Im Prinzip nämlich dürfte man damit dann keine Server mehr in Kalifornien betreiben.

Zentralproblem Dummheit

Das Zentralproblem bleibt aber die Dummheit von Politikern, die von nichts eine Ahnung haben, aber über alles entscheiden. Nichts wissen, aber alles besser wissen.