On open source security

In the current debate about trusting software that uses cryptographic techniques, the position that Open Source software is inherently more trustworthy than commercial software is repeated over and over again. While I personally think that the free software movement has done a great deal to advance the state of computing and is amongst last century’s accomplishments the human race can actually be proud of, I do not follow the reasoning that having the source code to a specific cryptographic product available is any statement about its trustworthiness, particularly in its security or quality of cryptographic processes.

One of the main differences between medium-sized software endeavors in commercial software companies and the open source world is the adherence to processes. Commercial software companies have a rather clear chain of responsibility and defined allocation of resources. This enables them to define specific processes that need to be adhered to in order to build their application. Potentially, this includes various stages of review and validation (from basic design drafts to implementation specifics) or testing (from source-level unit tests to functional tests of parts and ultimately, the full application). Most free software projects don’t have the luxury of developers contributing test suites, or sharp minds having a chance to review design specifications to understand the impact a specific change might have.

Serious testing and quality assurance takes time. The process of software testing is resource intensive (either you need qualified, good testers or you need to have developers who keep the testing suite in sync with the product). And the release schedule needs to accommodate testing; this means longer release cycles, slowing down the total development speed.

Whilst I am not saying that all commercial software vendors do stick to a rigid set of processes that insure their quality, I think that they are in a better situation to actually follow through on such processes if they chose to align themselves with such goals.

Also, as anybody who is involved in computer programming in a serious fashion will gladly tell you, discovering bugs is hard work. It takes dedication (even stubbornness) to hunt through code to find those situations where it doesn’t behave as intended. Many a software product have suffered from delays because there were still critical bugs that had to be resolved. In the same vein, it is even harder to spot changes that are deliberately introduced to thwart specific aspects of the product whilst leaving most everything else intact. It requires very detailed knowledge of the programming language and tools in use, the desirable outcome, deep understanding of the algorithms involved and a good set of tools to validate and verify that things are as expected.

This brings us to yet another new topic: trusting your contributors. What motivates the person to bring about changes to the application? What kind of a skill set do they have, how deep is their understanding of the techniques and tools? Open source projects seldomly do deep background checks on their contributors, or rely on outsider information about the people behind pull requests.

The next topic in that context is trusting your tools. The compiler that you use daily, are you certain that it does not alter your algorithms as it transforms your writings into another format? The libraries that you link against (maybe even dynamically, making yourself trust any further changes in those libraries), what guarantees that you know all their functions, all of their side effects? Who is more likely to invest the significant resources required to build a trusted toolchain?

Of course, having source code available offers a number of options for the users of that software. That includes deep and detailed inspection and audits. But I think the reality is that only very few, very select products are ever placed under such scrunity. And even then, the results can only be applied to one very specific version, in one very specific configuration. Any changes would have to be subjected to a similar regimen to have any significance in establishing the trustworthiness of a codebase.

Would you hazard a guess what the percentage of code is that has been subjected to such scrutiny in the free operating system you’re using? And how do you know you can trust the entity that did those audits?

Unless you have clear answers to both questions, open source software is not more trustworthy than closed source software is. Not less, either. But also: not more.

September 11, 2001

We had looked forward to the vacation. I had something important and big to do: telling my family that we were going to get married.

And then, out of the blue, my wife’s brother called us. We were on the beach, enjoying ourselves. It was a fine day, too. And he said it: Planes flew into the World Trade Center.

We had no further information. All we could come up with where small planes, Cesna or something. And we didn’t really understand why he would call us with that.

And then, we came home to our apartment and saw the news.

I will always remember that room. That apartment. That acute sense of disbelief. Not at all grasping what happened–what lead to that event, or what it would mean to the world.

This must be what history feels like.

Things I don’t quite understand

The fingerprint sensor could indeed be quite a game changer. But I don’t understand why they don’t push into that direction more.

Apple is big on protecting children; Apps carry an age restriction; Mac OS has a rather advanced system of making certain capabilities or websites available over a central function (that is even available over the network). With the advent of the fingerprint sensor, the device now with the most natural ease available identify the person who accesses it and open up certain functions whilst keeping others locked. This makes perfect sense in many ways: dialing rules that let children access only a very small list of numbers, or even give them a button for ‚emergency calls‘ that only lets them call two or three numbers, whilst at the same time transmitting all information it can about that call (GPS position, environmental conditions, what do I know). It could let parents disable access to certain applications or in-app purchases. It could even do time-based things.

And once those functions are available, they could make the phone so much more appealing to enterprise customers, too.

Also, the fingerprint sensor could be so convenient for any app that does encryption. Not making it available at all (and that’s the way I understood the keynote) seems like a strange choice there.

If they’re serious about Siri in the car, why did they not show partners that will use iOS as soon as it’s available? Where are the car manufacturers that are cooperating with Apple on that?

I also do not understand why they spread out in three different models that way – but I trust them to understand the market dynamics better than I do.

Meine Fragen

Wer sind potenzielle politische Alliierte — und mit wem will man sich da alliieren?

Wessen Interesse ist es, dass dieser Kampf nicht positiv ausgeht?

Wie kann man den Stillstand konkret aufbrechen? Wir sind ja die Kraft, die sich nach Veränderung sehnt — also müssen wir dafür sorgen, dass der Stillstand nicht die attraktivere Option ist.

Welche konkreten Alternativangebote kann man machen? Kein Handy/Kein Facebook ist ja keine gute Alternative.

Wie kann man die sicherheitspolitischen Mittel zu einer Überprüfung zwingen? Wie kann man dafür sorgen, dass „wir brauchen das“ nicht ausreicht?

Was kann man konkret anderes tun, um auch nicht US-Alternativen für Betriebssysteme etc. zu bringen?

Shaming-Liste: deutsche Anbieter, die auf jeden Fall auch US-Server oder Dienste aus unsicheren Drittstaaten benutzen.

Hintertürchen [Korrigiert]

Ein auf Cryptome gepostetes Dokument, dass Folien aus einer Schulung zum Thema Computerforensik für Gesetzeshüter in USA enthält, hat – neben vielen anderen Details – einen enorm interessanten Bullet Point:

Auf der Folie „What’s a backdoor“ („a method to bypass data encryption or security“) steht:

  • Currently available for major encryption software – Microsoft Bitlocker, FileVault, BestCrypt, TrueCrypt, etc

Quelle: http://cryptome.org/2013/09/computer-forensics-2013.pdf

Korrektur Das Dokument scheint dann doch eher nicht echt; da bin ich wohl einem Hoax aufgesessen.

Konnte man ja nicht wissen

Nein, natürlich hat wahrscheinlich kaum jemand gewusst, wie die globale Überwachung genau funktioniert und wer daran so beteiligt ist. Und natürlich bringen die Details zu all diesen Dingen immer noch Entsetzen hervor. Aber trotzdem, jetzt zu sagen, dass kann ja keiner gewusst haben, ist auch scheinheilig. Denn wenn man verstanden hat, in welchem Umfang die großen Internet-Unternehmen Daten sammeln und diese ja auch offensichtlich nutzen, dann ist es doch nur auf der Hand liegend, dass auch Begehrlichkeiten danach bei den Verbrechensverhinderern (so ja in dem Falle das erklärte Verständnis der Geheimdienste) entstehen. Schon alles gesammelt, vorverarbeitet und elektronisch auswertbar. Und, wenn ich mich nicht irre, ist es ja genau das, was die Ministerin Aigner und die diversen Datenschutzbeauftragten den Unternehmen so vorwerfen: dieser Datenhunger.

Nur jetzt will keiner was gewusst haben?

Bücher, Daten, Internet

Ich bin ein ziemlicher Bücherwurm. Schon während meines Aufwachsens waren mir Bücher wichtig und wert. Ich hatte meine Stammbuchhandlung, die Buchhändler dort kannten mich gut. Von Zeit zu Zeit half ich ein wenig bei technischen Problemen, oder ich durfte Bücher schon mal in Muffins bezahlen. Mein Geschmack, meine Interessen: das war dort alles klar – und siche auch ein Stück weit von den Menschen der Buchhandlung beeinflusst. Ich denke gerne an meine Nachmittage dort zurück. Ich bin mit meiner Netzkarte mit den öffentlichen Verkehrsmitteln hingefahren, habe geschmökert und gequatscht, habe oft Bücher gekauft (Buch nehmen, Geld geben) und bin wieder gegangen.

Ich lese immer noch viel, aber vieles hat sich dabei verändert. Papierbücher kaufe ich immer seltener, und wenn, dann zumeist bei immer dem selben Online-Bücherversender, einem US-amerikanischen Unternehmen. Es gibt auch noch eine große Buchhandlung in der Stadt, in der ich mittlerweile lebe – aber die Sachen bis an die Türe geliefert zu bekommen ist halt doch so bequem. Und ich bin auch ein großer Freund des elektronischen Buches: kein Papier wird verarbeitet und durch die Welt transportiert, der Lesestoff ist innerhalb von Sekunden auf meinen elektronischen Geräten und überhaupt wird die Interaktion mit dem Material eine ganz andere.

Nur: früher, da wusste gerade mal meine Buchhändlerin, was ungefähr für Bücher ich kannte und mochte. Es gab dort wahrscheinlich keine Aufzeichnungen, die über die normale Buchhaltung im Einzelhandel hinausgingen. Gezahlt wurde mit Bargeld, das war es.

Heute? Ich kann bei amazon mein Kundenkonto der letzten fünfzehn Jahre einsehen, und jedes Buch, dass ich gekauft oder verschenkt habe, ist dort aufgeführt (auch mit der Empfängeradresse, damit es schön klar ist, ob es für mich selbst oder vielleicht doch direkt für jemand anderen war). Ja, ich führe sogar säuberlich zwei Listen dort, welche Bücher mich noch interessieren und die ich wahrscheinlich zu kaufen gedenke. Ich zahle per Lastschrift oder Kreditkarte, also gehen auch da wieder Daten an andere Unternehmen. Und wenn ich dann ebooks auf meinem Kindle lese, wird vermutlich sogar erfasst, wie viel Zeit ich mit welchem Buch verbringe. Auf jeden Fall aber, was ich mir im Buch notiere und welche Passagen ich mir selbst hervorhebe.

Das Bild des lesenden Menschen: in einer ruhigen Umgebung, sehr privat. Aber eben dieses Gefühl von Privatheit trifft überhaupt nicht mehr zu.

Wenige Datensammlungen im Leben geben wohl so viel Ausukunft über einen Menschen als jene die genau dokumentieren, was er oder sie so liest. Und das vor allem von Bequemlichkeit und Zeitersparnis getriebene Kaufverhalten führt dazu, dass das eine enorme Menge an Daten offenlegt. Natürlich gibt es Optionen: ich kann wieder zur kleinen Buchhandlung gehen und dort Bücher kaufen – oder besser gleich in mehreren Buchhandlungen. Leihbibliotheken fallen aus, wenn man vor allem an Datensparsamkeit interessiert ist; mehr als nur kleine Tauschringe wohl auch. Alles, was Ebooks betrifft, ist ja sowieso ausgeschlossen – da ist die Zuordnung letztlich immer möglich.

Ich bin mir nicht sicher, ob Politikern heute diese Zusammenhänge klar und offensichtlich sind. Wenn wir übers Lesen sprechen, denken die an Papierbücher die man im Laden kauft, oder sehen sie den Film über die ganzen Daten vor dem geistigen Auge?

Merkel und der Geltungsbereich des deutschen Rechts.

Als ich das erste Mal das Zitat von Angela Merkel hörte, in dem sie so sehr betonte, dass auf deutschem Territorium auch deutsches Recht gelten müsse, wurde ich sehr, sehr skeptisch. In dieser Abgrenzung, und in dieser Formulierung: da musste irgendwas anderes im Busch sein.

Mittlerweile habe ich die eine oder andere Vermutung, worum es geht; so sind z.B. Anlagen der US-Streitkräfte exterritoriale Gebiete – und natürlich ist sind auch internationale Hoheitsgewässer kein Punkt, an dem deutsches Recht gelten kann.

Wenn man sich z.B. die Deutschlandkarte rund um den Dagger Complex ansieht (und hier ausdrücklicher Dank an @ziromr auf Twitter), so sieht man, dass in nicht mal 5km Entfernung die Firmenzentrale von T-Online liegt. Und auch zum ESOC, dem European Space Operations Centre ,ist es nicht so weit. Es scheint ja relativ klar zu sein, dass im Dagger Complex einiges an NSA-Personal arbeitet. Ein Schelm, wer Böses dabei denkt.

Was Merkel uns also mit diesem Statement über den Geltungsbereich des deutschen Rechtes sagt ist nicht: „In Deutschland muss deutsches Recht gelten!“ sondern viel eher: „Wir können nichts gegen die massive Abhörung deutscher Daten unternehmen.“ Ob die Bundesregierung etwas gegen diese Maßnahmen machen möchte, darüber möge sich jeder selbst seine eigene Theorie bilden. Es würde mich überraschen, wenn wir dazu noch Aussagen bekommen.

Verschlüsselung ist nicht Teil der Lösung, sondern Teil des Problems

Im Rahmen der globalen Internet-Überwachung, die PRISM und Tempora offensichtlich gemacht haben – und wahrscheinlich gibt es doch auch noch andere Programme in anderen Staaten – ist ein Gutteil des Online-Diskurses der Frage gewidmet, wie man sich selbst mit Verschlüsselung schützen kann.

Nach meinem Dafürhalten ist aber der Einsatz von Verschlüsselung keine Lösung des Problems: weder für persönliche Kommunikation noch als Ansatz für die globale Herausforderung.

Was wir bislang gehört haben, geht es bei den Überwachungsprogrammen um Metadaten. Diese werden durch keine Verschlüsselung verschleiert: Empfänger der Nachrichten sind bei derzeit allen Diensten identifizierbar. Auch die Nachrichtenlänge und Nachrichtenfrequenz sind leicht festzustellen. Hier hilft Verschlüsselung nicht.

Verschlüsselung verführt uns zur Annahme, die Kommunikation sei sicher. Dies muss nicht so sein. Die NSA ist einer der größten Arbeitgeber für Mathematiker weltweit. Aus Zeiten der Verabschiedung des DES (1976) ist bekannt, dass die NSA schon damals der öffentlich bekannten Forschung an Verschlüsselung einige Jahre voraus war – die von ihnen vorgeschlagenen Veränderungen am Algorithmus sicherten ihn gegen Analyseverfahren ab, die zu dem Zeitpunkt in der zivilen Welt noch nicht entdeckt worden waren. Es kann also gut sein, dass wir uns auf Verfahren verlassen, deren Sicherheit nicht mehr gegeben ist.

Und selbst wenn die Verschlüsselung heute noch sicher ist: die NSA speichert sehr, sehr lange. Wer sagt uns denn, dass innerhalb der nächsten dreissig Jahren die entsprechenden Algorithmen – sei es durch hinreichend schnelle Computer, sei es durch Fortschritte in deren Rückrechnung – nicht alle keinen Wert mehr haben? So groß ist die Anzahl der derzeit in den verschiedenen Tools eingesetzten Verfahren nicht.

Ein weiteres Thema ist, dass Verschlüsselung eine komplexe Aufgabe ist, wenn man sie ernst nimmt. Auch wenn wir uns bemühen, die Verfahren so einfach wie möglich zu gestalten und die Programme so benutzerfreundlich wie möglich zu bekommen: eine gewisse Komplexität muss bleiben, wenn die Verfahren ernsthaft genutzt werden sollen. Man denke nur an die Aufgaben, um private Schlüssel einerseits sicher und nur auf Geräten des Benutzers zu halten, andererseits aber auch in Backups zu sichern oder über mehrere Geräte abzugleichen. Von so Themen wie Integration in Webmail ganz zu schweigen – hier stoßen dann Welten zusammen, die nur sehr, sehr schwierig zusammenzuführen sein werden. Durch diese Komplexität wird es aber auch so bleiben, dass Verschlüsselung immer nur einer Minderheit zur Verfügung steht: jenen Menschen, die sich ernsthaft mit diesen Themen auseinandersetzen.

Was die Menschen, die sich stark online bewegen, so sehr stört ist kein technisches Problem; es ist ein politisches. Anstatt sich um technische Lösungen zu kümmern, sollten wir die Energie viel lieber darauf verwenden, uns politische und soziale Lösungen zu überlegen: das ist das Spielfeld, auf dem wir uns derzeit bewegen müssen. Ich sehe gerade keinen anderen Weg, uns der Überwachung der Unterseekabel zu entziehen, als nur möglichst wenig Daten über diese Kabel zu schicken. Das bedeutet: Europa muss sich Gedanken darüber machen, wie es die Abhängigkeiten von den USA als Technologiequelle reduziert. Europa muss sich darüber Gedanken machen, auf welche Weise wir die Internet-Wirtschaft in Europa so stärken können, dass europäischen Benutzern der Zugriff auf europäische Dienste lieber ist, als Unternehmen zu bemühen, die sich dem amerikanischen Recht unterordnen müssen. Denn, machen wir uns doch nichts vor: Europa wird es nicht schaffen, nennenswerten Einfluss auf das Vorgehen der amerikanischen Sicherheitsbehörden zu nehmen. Über keine Verhandlungen, über keine Gesetzgebung werden wir es schaffen, dass FISA-Beschlüsse öffentlich werden, dass die NSA sich gegenüber Ausländern anders verhalten muss oder dass die amerikanischen Unternehmen plötzlich bessere Werkzeuge haben, um sich dem Sicherheitswesen zu widersetzen. Vielleicht ändert sich der Narrativ, den wir hören: das heisst aber noch lange nicht, dass sich fundamental am Vorgehen was ändert.

Die EU muss sich darum bemühen, dass die IT-Industrie in Europa zu einer innovativen, beweglichen und eben auch unabhängigen Branche wird. Erst dann werden wir es schaffen, dass das europäische Recht auch für die europäischen Daten bindend ist.

So ein Blog … 

Da gibt es also einen gelernten Journalisten, der jetzt eine PR Agentur betreibt und der für einen Bundeskanzlerkandidaten einen Blog aufsetzt. Der sich, zumindest auf seiner Referenzen-Liste nicht mit sonderlich innovativen oder auch gar nur im öffentlichen Diskurs stattfindenden Online-Projekten hervortut. Angeblich hat er dafür Spenden in sechsstelliger Höhe von Unternehmern eingesammelt. Und dann hat dieser Mensch die Verve, zu behaupten, dieses Projekt entspräche in etwa dem, was die Kampagne für Barack Obama in den USA online auch schon umgesetzt hat.

Mal abgesehen davon, dass es schon wirklich Größenwahn entspricht, einen einzelnen Blog mit einer so zentralen strategischen Komponente – für die wirklich gute Menschen über Jahre gearbeitet haben und über die mittlerweile nun doch das eine oder andere bekannt geworden ist – des Obama-Wahlkampfs zu vergleichen. Dieser Größenwahn wird zwar auch in der finanziellen Dimension klar (ein Blog, der nicht mal ein Jahr laufen soll, und dann ein sechsstelliges Budget?). Nein, was ich nun wirklich nicht verstehe ist, warum das ganze so amateurhaft angegangen wird. Steinbrück muss das Projekt gekannt haben, sonst hätte es doch gar nicht mit seinem Namen starten können. Hat also der Kandidat keinen Kontakt mit seiner Parteizentrale – wo es ja durchaus Kompetenz in diesem Themenbereich gibt? Oder ist ihm so egal, was seine Partei ihm sagt? Wenn Letzteres wahr ist, was sagt das dann über eine potenzielle Regierungsmannschaft auf SPD-Seite aus? Und wenn das ganze auch innerhalb der SPD abgestimmt war – will man dann Steinbrück jetzt verheizen, weil die Wahl dieses Jahr sowieso zu keinem SPD-Bundeskanzler führen kann, sondern nur zu einem Vizekanzler, und das will Genosse Peer ja bekanntlich nicht machen?

Und nicht zuletzt: Will man einen Bundeskanzler haben, der im Thema Medienkompetenz sowohl selbst so ungeschickt wie auch so schlecht beraten ist, wie Steinbrück?

Solange … 

Solange es erlaubt ist, sich mangelnder Empathie zu rühmen; solange es ein Makel ist, ein gewisses Mindestmaß jener Fähigkeit zu besitzen, sich in andere Menschen einfühlen zu können und auch nur eine Idee davon zu haben, was deren Motivation sein könnte – und nichts anderes heisst „Frauenversteher“ ja! – wird dem Sexismus nichts ernstlich im Weg stehen.

Solange Männer glauben, sie könnten Frauen erklären, wie sie zu reagieren hätten oder wie sie etwas zu empfinden hätten, werden sie nie als Gesprächspartner gesehen werden. Wenn sie dabei auch noch in einer strukturell machtvolleren Situation sind, ist die Schwelle zum Gespräch sowieso schon recht hoch.

Solange Männer immer noch glauben, eine Erniedrigung oder Beleidigung seien ein Kompliment, dürfen sie sich nicht wundern, wenn das Gegenüber sich eher beleidigt denn wertgeschätzt fühlt

Solange das Gefühl besteht, dass doch mit etwas mehr Höflichkeit das Problem schon gelöst wäre, ist immer noch nicht angekommen, was das Problem ist.

Sexismus in „Greenbox“

In Tim Mälzers neuem Kochbuch „Greenbox“ findet sich, ziemlich weit vorne, ein Rezept namens „Weiberpasta“. Offensichtlich als Erläuterung für diesen Namen findet sich eine Bemerkung von Herrn Melzer:

Brokkoli gehörte für mich bislang ins Fach der Weibergemüse. Ich werde aber im Alter nicht nur dicker, sondern auch weiser und muss leider feststellen, dass ich über die Jahre echt was verpasst habe.

Dieser Begriff für Brokkoli ist auch nichts Neues, schon im Jahr 2007 findet sich im Standard eine Bemerkung, in der auch die Wortschöpfung Weibergemüse (Artikel in derStandard.at) kritisiert wird.

Da fragt man sich, was das wohl soll – ausser eine Selbstentlarvung sein.

Postbesuch, anno 2013

Ich war gerade auf unserer Post. Das ist die zentrale Postfiliale in einer Stadt mit rund 250.000 Einwohnern, die vor nicht allzu langer Zeit um einen ordentlichen Haufen Geld erneuert wurde. Die eine Inneneinrichtung mit mindestens vier großen Plasmafernsehern hat, die einem Post-Werbefilme vorspielen, während man dort wartet. Ich will jetzt gar nicht darauf eingehen, dass die Post offensichtlich weiß, dass sie ein Problem mit Wartezeiten hat und deshalb dieses Ablenkungsprogramm um viel Geld dort installiert und betreibt – denn ein Wartezeitenproblem hat zumindest diese Filiale erheblich. Nein, es geht mir um was anderes: ich möchte gerne mein Kauf-Erlebnis schildern!

Ich bin also mit einem gemischten Stapel Briefe dahin, weil die per ePostfiliale bestellten Marken noch nicht im Büro angekommen sind und sich schon etwas Ausgangspost gesammelt hatte. Das waren alles normale Umschläge; ein paar davon ins europäische Ausland, ein paar davon schwerer als die normale wir-frankieren-bis-zu-zwei-Blätter-mit-nun-58c-Post. Und eine ordentliche Handvoll normaler Briefe, nicht zu schwer und nicht zu leicht. Ich hatte das schon in schöne, unterschiedliche Päckchen zerteilt, weil ich dachte, dann klappt das mit dem Frankieren schneller.

Nachdem ich dann (es waren nur fünf Leute vor mir in der Schlange! Schnell!) an den Schalter kam, schlief der Frau schon das Gesicht bei der Briefmenge ein. Ich erklärte ihr meine unterschiedlichen Anforderungen … Und dann durfte ich vor ihr am Schalter die Briefe einzeln abzählen, sie zählte mir die Briefmarken ab (35 davon, 10 davon, 3 davon) und ich konnte zahlen.

Ein Gutteil der Marken war nicht selbstklebend, sondern wollte vor dem Aufkleben befeuchtet werden. Weit und breit kein entsprechendes Schwämmchen in der Filiale in Sicht. Also setze ich mich zu den Tischen, die eigentlich für Beratungsgespräche der Postbank gemeint sind – die vor dem Kaffeeautomaten mit dem riesigen, handgeschriebenen „Defekt!“-Schild dran. Dann klebte ich brav meine Marken auf, durfte dann mit dem Stapel zum Postkasten gehen und sie einwerfen.

Gab es da nicht mal so ein Wort von der Servicewüste Deutschland?

Und nochmal: Zeitung.

An nahezu jedem Computer werden wir daran erinnert, dass es eine Zeit gab, in der Tageszeitungen die technologische Entwicklung getrieben haben. Die Schrift „Times New Roman“ hat ihren Namen von ihrem Auftraggeber und ihrer Verwendung: Die London Times lies eine Schrift entwerfen, die auf den damals neu aufkommenden Rotationspressen auch bei höheren Geschwindigkeiten möglichst gut lesbar wiedergegeben werden sollte. Es entbehrt nicht einer gewissen Ironie, dass die ersten weiter verbreiteten Laserdrucker – aus vollständig unterschiedlichen Gründen zwar – zu ähnlichen Faktoren für die Schriftauswahl führten. Nur konnte man sich dann auf die bereits durchlaufene Entwicklung berufen und auf eben jene, 1931 auf den Markt gebrachte Schrift zurückgreifen. Und zu der Zeit, als die Laserdrucker aufkamen, fanden die Verlage die Computer auch noch ein tolles Werkzeug. So ermöglichte das Aufkommen der Photosatz-Systeme es den Verlagen, auf die Dienste von Setzern und Druckern zu verzichten und die Papierausgaben viel kostengünstiger zu produzieren; damals wurden viele Stellen abgebaut und die Struktur der Verlage änderte sich drastisch. Übrigens wurde auch damals schon über den Untergang der Meinungsvielfalt und Medienlandschaft sinniert.

Und heute? Heute ist zwar nicht der Computer für die Verlage das Böse, aber das diese Computer auch als Werkzeug genutzt werden können, um sich auf alternativem Weg Informationen zu beschaffen, das scheint den Entscheidern der Dorn im Auge.

Man muss es sich auch noch mal konkret vor Augen führen: die gleichen Leute, die früher die Zeitung gekauft und gelesen haben, die werden heute von den Verlegern beschimpft, weil sie ja angeblich so sehr einer schrecklichen Gratis-Kultur anheim fallen und nun nicht mehr wissen, was gut und richtig ist.

Die Klage, dass sich unsere Welt beschleunigt hat, ist ja beileibe keine neue mehr. Aber anstatt zu fragen, wie man in einer Zeit, in der „die Nachrichtenlage“ sich manchmal im Halbstundentakt ändert, die Redaktionen aktuelle Nachrichten über diverse Kanäle zu nahezu beliebigen Zeiten auf die Smartphones ihrer Rezipienten schicken, relevant zu bleiben, da wird lieber über den Untergang des Abendlandes philosophiert; man galt einige Zeit schon als mutig, wenn man sich – in Abhängigkeit eines Weltkonzerns, den die deutsche Medienlandschaft genau kein Stück weit interessiert! – mit einer App auf die Tablets mit dem Apfel vorwagte.
Und dann, das Ausbleiben der Werbekunden. Wen überrascht es denn, dass Werbekunden auf ein Medium ausweichen, über das sie ihre relevante Zielgruppe erreichen können, ihre Formate zielgenauer platzieren und auch in anderen Faktoren steuern können und das ihnen eine deutlich bessere Werbewirkungsanalyse erlaubt? Welchen Mehrwert erbringen denn Zeitungen gegenüber dem Online-Markt für ihre Werbekunden, und wie kommunizieren sie den?

Ach, es gibt noch so viele Faktoren, die ich benennen könnte. Die mangelnde Souveränität des Produkts: wer denn sonst versucht, mehr Kunden für die eigene Qualität zu gewinnen, wenn es um irgendwelche Zugaben wie Wein-Sortiments, Espressomaschinen oder Umhängetaschen geht? Die mangelnde Qualität: wie oft hören wir von handwerklichen Schnitzern von Journalisten; wie sehr sind die Berichte nur oberflächlich und werden den tatsächlichen Fragen nicht gerecht? Diese seltsame Nische in der man es sich bequem gemacht hat, viel zu nah an der Politik: Wo ist denn die tatsächlich kritische Auseinandersetzung, das Erkennen und Aufdecken von Skandalen, die inhaltliche Schärfe?

Ich denke, es wird Zeit für neue Aufbrüche. Vielleicht könnte die Antwort auf die Frage, was denn die Aufgabe von Journalismus ist, präzise und genau ausformuliert, helfen, neue Produkte zu ersinnen oder Fantasien zu entwickeln, wohin die Reise in den nächsten fünf Jahren gehen soll. Und anstatt sich einen großen Gewinn davon zu versprechen, sich mit Apps auf Apple-Produkte zu wagen, vielleicht sollten sich zwei, drei Menschen zusammenfinden und sich fragen: Wie hätte eine Zeitung ausgesehen, wenn Steve Jobs sie sich ausgedacht hätte? Was wären die Faktoren, die eine Zeitung als Produkt aus dem Hause Apple ausmachten?

You can’t outfacebook Facebook.

We all have seen Twitter changing their public face in the last six months. They inhibit clients by third parties, they have strong rules on how to display tweets – in short, they’re turning from a platform company into a product company. Theories as to why they do so all point in the same direction: they’re gearing up to sell ad space wherever they can.

In an abstract sense, they’re trying to do what Facebook has been doing before them. There’s just one important fact not to be overlooked: Facebook has been at this a while longer; they know more about placing ads into streams. Also, I think that Facebook is the more ruthless company; the company that’s more willing to push the boundaries.

I’ve been arguing for a while that you should not consider Facebook an ethical company. I believe that many companies, at the core, embody personality traits of their founders. Everything that I’ve heard and read about Facebook’s founder leads me to the conclusion that ethical behavior is not very high on his list of personal goals. So, that forms my prejudices about Facebook: don’t think that Facebook behaves ethically sound – to their paying customers, to their users and content producers, to their peers in the marketplace.

In turning Twitter into just another platform of algorithmically put together user streams, Twitter is giving up a lot of potential to be just something that works dangerously similar to Facebook. If there is longposts by special users; if there is stuff that Twitter just interjects into your stream – what is the point that differentiates Twitter from Facebook? Why should one go to that platform as opposed to the richer and much more able provider of news streams – considering that it already has established the larger user base, the better analytics and quite a lot of ties to other media outlets?

I’m afraid that within the next year, Twitter will start to muck around with the stream, too. They’ll no longer just show all Tweets chronologically, but rather they’ll help you see topic that is relevant to you. They already do that by e-mail, but I am not hopeful that this isn’t something that will cross over to the API as well.

But given the way Facebook behaves, this is, to my way of thinking, dangerous ground. Or in other words: you cant outfacebook Facebook. They’ll just be faster, have the larger infrastructure and are not particularly interested in having such a direct competitor.

Source Code as an act of communication

Taking from the last longer piece and a very good idea that @codePrincess linked to in a blog post: Code that says what it does. Of course, source code also is a medium of communication between human and human – but the person you are writing for may just be the future you. And just as the user interface is an act of communications, so is your source code.

Do you want to impress the reader with your skills in optimizing, but producing hard that is extremely hard to read? Do you want to be considerate and share a lot of your thought process in your code, or is it better to have the reader guessing as to why you chose a particular road to implementation? Try to be nice to somebody who will have to live with your code later on – it just may be yourself!

Icons from the future

Something that I’d truly like to see is smarter icons, both on iOS and the desktop.

What if your icon were a little, constantly running snippet of JavaScript code that had access to the files within the application that brought it along? That way, the app could store state information for various times the icon needs to change or visualize something. Also, the icon would not just alter an image, it could actually programmatically visualize something – an analog clock that displayed the current time would be an easy exercise for the reader.

I really think the programming world is ripe for an innovation like that.

User Interfaces as an act of communication

Even though we tend to completely forget about that, software quite often is a means of communication between humans. I am not referring to the way the product gets used (and a lot of software nowadays is used for direct human to human communications, be that one-to-one or one-to-many) but rather that the entire user interface of the application – is an act of communication between the developer or development team and the user.

The last few years have seen tremendous progress on understanding what factors influence the experience for the user, and what techniques and tools make an application easier and better to use. Computers as tools have certainly evolved and can be more effectively used. But still, the tendency is to see the application as something detached from the people who design and make it. I do not think this position holds true, and we do ourselves a disservice if we, as producers of software, do not look at the entire communications process in depth.

Look at your own experience as a user of software; I’m sure you can come up with examples of software that treat you well: considerate, polite, helpful, playful. But just as well, there’s bad examples I am sure you quickly find: obnoxious, arrogant, dysfunctional apps. Probably, the people who authored the interface and their talent to interact with other humans are not so different from their works.

User Experience designers are using Personae as a tool already; envisioning typical users and how they would go about interacting with the product. If you envision those people already, think about how you would interact with them. Consider yourself as sitting with them in a meeting or on a date, wanting to solve a problem together (and that could be the one that the application you are writing is to solve) or trying to have a good time with them. A good conversation.

Conversations and communications as a paradigm for user interfaces has another interesting implication: that of cultural bias and presumptions. This can be everything from not being able to use language-specific diacritical marks in foreign software products and lack of internalization for date and money fields to a lack of sensitivity in problematic areas (a classical example being country flags used as a selector for language localization). There are certainly other ways that we can look at this, like gender or ethnical presumptions in software – most stuff we interact with still is designed by white men.

So if we apply concepts that we know about human communications to software products, can we gain new insights or develop even better applications? Hopefully. We certainly have a new tool chest available: a lot of research has been done on interpersonal communications and relationships. We would do well to take that to heart and apply it to our work.

Eine Notiz zum Apple Event

Ich gebe es zu: wie so viele andere Apple-Fans saß auch ich um kurz nach 19 Uhr vor meinem iPad und sah mir den Livestream an. Ich wollte hören und sehen, was Apple denn nun eigentlich anzukündigen und zu zeigen hat; hatte meine eigenen Theorien was zu sehen sein würde und was nicht, und entzog mich nicht der gespannten Aufregung der Online-Welt, die das Spektakel schon vorher generiert hatte.

Und dann saß ich da an unserem Esstisch, das iPad vor mir und Phil Schiller erzählte über das wunderbare neue MacBook, das da kommt.

„Du hörst Dir da jetzt nicht wirklich an, wieviel Pixel das Ding hat?“ fragte meine Liebste im vorbeigehen, als sie die entsprechende Folie der Präsentation sah. „Was kann ich denn dafür, was der Mann da in seine Präsentation getan hat!“ wollte ich schon in einem Reflex sagen, grummelig ob der Störung sowohl des Genusses, als auch darüber, dass der Moment, auf den ich mich schon gefreut hatte, so entzaubert wurde. Aber bevor ich das tun konnte, wurde mir klar: sie hat recht. Egal, was da in der Produktpräsentation als nächstes erzählt würde, was sich da noch alles entfalten könnte, vom Niveau her bliebe es dabei: wieviele Pixel das Ding hat, wieviel RAM, welche tollen Performance-Werte, was auch immer.

Wie hohl doch so eine Veranstaltung ist. Welch riesiger technischer und organisatorischer Aufwand da getrieben wird, um letztlich: Nichts mit Inhalt. Nichts von Bedeutung.

Die globale Tupperparty.

Features I’d love to see in an ADN client

I’ve dipped my toes in to the waters of app.net (I’m @Konrad there) and must say that I quite enjoy the experience. Quite a bit of resourceful individuals also frequent that venture, so the ecosystem is coming along nicely—the number of new clients to try is increasing rapidly, and new things are being tried out. Exciting times.

Picking up from an old post of mine and putting into words a few ideas I have been carrying around for a while now, I am going to start a list of features that I would love to see in an ADN client. I wouldn’t mind if they also showed up in Twitter clients, but I’m not so hopeful that innovation will continue in that space.

  • intelligent username references. I’d love to see if the @-notated links in messages indicated whether I already follow a user or not; this could so very easily be achieved with color-coding the link, or giving them little icons.
  • Make interactions asynchronous wherever that is possible. I am not so particularly curious as to when the client stars a message that I am looking at. I’d much rather it remembers my intention to do so and tries until it succeeds over reporting back to me that it was currently impossible. To my tastes, it could just as well pretend that the starring has already happened even if it hasn’t—so colorcode the stars when it’s just a local change queued no be sent out.
  • Queues, lists, whatever: right now, I have two distinct uses of starring postings. One is to let others know I particularly liked something, the other is a reminder for me to look at something again — googling it, following up to it, looking at a book reference. I would so much like to be able to seperate the two things; having the stars for the outside communication and something like a flag for myself.
  • [Added Nov 15] Timestamps on when the post was written. I think it makes quite a bit of sense to know what the local time of day was for the author of the post and less for me, the reader. So having a way to see what time the author wrote the post at would be quite grand.

I’m sure other things will come to mind eventually. And I am even more convinced other people will come up with more interesting, more clever and just better ideas. But I just had to write this up!

random notes of a professional geek