Friday, 25. April 2008
Wost hischaugst Hoamat
Mit manchen Dingen, die die volkstümliche Tradition so mitbringt, hab ich ja meine Probleme. Aber irgendwie ist dieser Biergarten mit Topfbäumchen im Münchner Flughafen schon so kitschig, dass es wieder passt. So kann auch der schnelle Besucher einen halben Liter bayerische Trinkkultur für nur 2,30 im vorbeifliegen schlucken.
Wenn man sich schon vor dem Terminal 2 rumtreibt, kann man noch einem Relikt einen Abschiedsbesuch abstatten. Der abgesägte Transrapid, schon mit weissblaugerautetem Wappen bemalt, steht da noch rum. Möglicherweise eine letzte Chance, bevor er zurück ins Emsland kommt. Vielleicht haben die Fans auch Glück und die Münchner CSU muss nur ins Vilstal fahren, um sich mal reinzusetzen und die schwebende Ruhe bei den dortigen Oldtimerfreunden geniessen zu können. (Ich habs bei "Quer" gesehn, dass die den Zug haben wollen, der Dingolfinger Anzeiger berichtet ebenfalls. Ich finde, der würde gut zu den schönen Bussen auf der Homepage der Oldtimerfreunde passen).
Köln hat auch ein schönes Terminal. Ausser mit Fotografieren kann man dort die Wartezeit nicht besonders gut totschlagen aber das Knipsen hält einem dort wenigstens die unglaublich aufdringlichen Kreditkartenhaie von American Express vom Leib.
Wenn man sich schon vor dem Terminal 2 rumtreibt, kann man noch einem Relikt einen Abschiedsbesuch abstatten. Der abgesägte Transrapid, schon mit weissblaugerautetem Wappen bemalt, steht da noch rum. Möglicherweise eine letzte Chance, bevor er zurück ins Emsland kommt. Vielleicht haben die Fans auch Glück und die Münchner CSU muss nur ins Vilstal fahren, um sich mal reinzusetzen und die schwebende Ruhe bei den dortigen Oldtimerfreunden geniessen zu können. (Ich habs bei "Quer" gesehn, dass die den Zug haben wollen, der Dingolfinger Anzeiger berichtet ebenfalls. Ich finde, der würde gut zu den schönen Bussen auf der Homepage der Oldtimerfreunde passen).
Köln hat auch ein schönes Terminal. Ausser mit Fotografieren kann man dort die Wartezeit nicht besonders gut totschlagen aber das Knipsen hält einem dort wenigstens die unglaublich aufdringlichen Kreditkartenhaie von American Express vom Leib.
[sprachlicher Hinweis: "Wost hischaugst Hoamat" = "Wo Du hinsiehst: Heimat".
Angeblich hats der Spruch sogar bis in die Tourismuswerbung geschafft, was natürlich doof ist, weil Touris sehen sich ja fast grundsätzlich anderer Leute Heimat an...]
Nachtrag 2.5.: Der alte Transrapid kommt nicht ins Oldtimermuseum, sondern als Innovationssymbol nach Weiden zur Firma Max Bögl, einem Bauunternehmen, das am Transrapidkonsortium beteiligt war.
Saturday, 19. April 2008
Türkische Peaks
Ich hab ja schonmal über unseren Zeitserver hier geschrieben und die Probleme, die die Clients anscheinend damit haben. Jetzt wollte ich mal wissen, wie viele "Kunden" unser Server eigentlich hat. Ein Dump über 24 Stunden brachte Klarheit. Der Trafficverlauf dieses Tages war wie üblich: Eine Grundlast von 1-2 kByte/s und ein paar Peaks mit einigen kByte/s.
Besonders überrascht hat mich die hohe Anzahl verschiedener Clients. 242634 verschiedene IP-Adressen schlugen beim Server auf, ein paar Clients werden sicher mehrfach gezählt, weil sie sich unter verschiedenen IP-Adressen melden, aber allzu gross sollte der Fehler bei einem Tag Messzeit nicht sein.
Eigentlich hatte ich mit ein paar Tausend Nutzern gerechnet. Anscheinend ist das pool.ntp.org-Projekt doch beliebter als ich dachte. Der Server ist zwar auch bei der Liste der öffentlichen Stratum-2-Server gelistet, aber ich denke, die werden eher wenige Leute verwenden. Der Traffic von ca. 10 GByte/Monat ist jedenfalls seit der Eintragung dort nicht merklich gestiegen.
Die Verteilung der Häufigkeit ist interessant:
Diese hohe Anzahl der Wenignutzer wundert mich ein bisschen. Üblicherweise greifen andere ntp-Server im 1024-Sekunden-Takt zu. Nur die "einfacheren" Systeme zur Synchronisation wie "ntpdate" oder der Client von Windows synchronisieren sich seltener. Anscheinend verwenden doch ziemlich viele die einfachen Systeme statt sich mit einem ntpd zu beschäftigen. Hat ja auch Sinn, ein Rechner ohne besondere Anforderungen sollte mit 1 Synchronisation pro Tag oder pro Woche gut über die Runden kommen, so schlecht sind die eingebauten Uhren schliesslich auch nicht und ein paar Sekunden Abweichung sollte kaum jemand merken. Vielleicht sind viele Clients auch nicht mal echte Rechner, sondern irgendwelche DSL-Router, die sich bei jeder Einwahl mal die Zeit abholen.
Am oberen Ende sieht es grausam aus. Hier dominieren einige wenige Rechner, die völlig sinnlos Anfragen durch die Welt schicken und sich im Minutentakt synchronisieren. Das oberste halbe Prozent der Vielnutzer macht 30% des Traffics aus, 6% verbraucht allein der Spitzenreiter, ein Rechner der Humboldt-Universität zu Berlin, wo sie anscheinend sehr schlechte Rechneruhren sehr häufig synchronisieren müssen. Das ganze sieht nach einem NAT-Gateway für viele Uni-Rechner aus, weshalb auch meine automatische Aussperrung aufdringlicher Clients nicht hinhaut. Möglicherweise verhindert dieses Gateway sogar die Antworten des Servers und die Leute dort profitieren garnicht von ihrer Hartnäckigkeit.
Die Aufschlüsselung nach Ländern ist eher langweilig. Drei Länder bekommen 95% des Traffics ab, der Rest verteilt sich gleichmässig auf die ganze Welt.
Der grosse Anteil deutscher Clients war zu erwarten. Man sucht sich ja wegen der Paketlaufzeit gezielt möglichst nahe Server zur Synchronisation aus, der Pool ist auch "national" organisiert und liefert z.B. unter de.pool.ntp.org eine Liste deutscher Zeitserver aus und unter europe.pool.ntp.org eine Liste europäischer.
Die türkischen Clients überraschen auch nicht gross. Die Türk Telekom verkauft anscheinend DSL-Modems oder Router an ihre Kunden, die auf europe.pool.ntp.org voreingestellt sind. Auf diese Weise spart sich dieser Provider einen eigenen Server für seine Kunden und lässt den Pool für sich arbeiten.
Eigentlich ist die Lastverteilung im Pool gerecht geregelt. Jede Anfrage nach "europe.pool.ntp.org" wird mit einem anderen Satz von 5 IP-Adressen beantwortet, die der Nameserver des Pools aus seiner Liste nimmt. Allerdings fragen die Clients nicht den Nameserver des Pools, sondern einen der Nameserver ihres Providers, der die Frage weitervermittelt und die Antwort für einige Zeit speichert und innerhalb dieser Zeit nicht erneut nachfragt. Die Gültigkeitsdauer der Antwort bestimmt der Poolnamesever, zur Zeit sind dort 20 Minuten eingestellt. Aus Sicht des Poolnameservers ist das vernünftig, er hält sich so die vielen Clients vom Leib und lässt die Nameserver der Provider arbeiten. Genau dafür ist diese Gültigkeitsdauer im Nameservice auch gedacht.
Aus Sicht der 5 einzelnen ntp-Server bedeutet das, dass sie für 20 Minuten die einzig zuständigen Zeitserver für ganz viele Clients eines Providers sind. Falls der Provider nur einen Nameserver hat, müssen sie sogar ganz allein sämtliche Kunden dieses Providers bedienen. Bei Langzeitnutzern als Clients würde das auch nichts machen, die fragen einmal beim booten nach und bleiben dann bei einem bestimmten Server. Die überwiegende Anzahl der "Einmalsynchronisierer" kommt aber dabei als Peak auf diese fünf Server zu.
Bei Kunden normaler Provider fallen diese Lastspitzen fast nicht auf, es kommen ja nicht alle Nameserver aller Provider gleichzeitig auf die Idee, ausgerechnet unseren Zeitserver zu speichern. Lediglich t-online und deutsche Telekom sind überhaupt in der Verteilung der Last zu sehen, weil der magentane Riese für 10% aller deutschen Kunden steht. Ich hab die Zuordnung zum Provider anhand des DNS gemacht, Clients mit eigenem Eintrag in den Nameserver werden also nicht zugeordnet. Viele der Kunden "sonstiger" Provider dürften also in Wirklichkeit zu einem der grossen Provider gehören, so erkläre ich mir jedenfalls die hohe Korrelation "Sonstiger" Provider mit der T-Firma.
Die Türken dagegen scheinen für DSL-Leitungen ein recht starkes Monopol der Türk Telekom zu haben. Und so werden auf einen Schlag die Hälfte aller türkischen DSL-Modems an unseren ntp-Server verwiesen. Die Auswertung der Peaks in den frühen Morgenstunden zeigt recht deutlich die geringen Schwankungen bei den anderen Providern im Vergleich zu den Clients der Türk Telekom.
"Kleinprovider" wie Arcor und Alice haben ebenfalls ihre Spitzenzeiten, die gehen allerdings in der Masse ihres grossen Konkurrenten unter. Ihre Peaks bestehen aus einer handvoll Clients mit ein paar Paketen pro Minute:
Wirklich hoch werden die Berge, wenn zufällig mehrere Nameserver der Türk Telekom auf einen einzelnen ntp-Server zeigen. der Berg um 12 lässt sich jedenfall ganz gut mit einem Nameserver für die erste halbe Stunde und einem zusätzlichen Nameserver für den Rest der Zeit erklären (Einheit der y-Achse ist bei diesen Diagrammen übrigens Pakete/Zehntelstunde)
Wenn man den Traffic allein betrachtet, sollten die türkischen Peaks kein allzu grosses Problem darstellen, ich schreibe hier ja nur über ein paar kByte/s, also keine wirklich interessante Datenmenge. Selbst in Peaks habe ich noch nie über 20 oder 30kByte/s beobachtet. Im Vergleich zum Webserver hier ist das eher wenig, zumal dort die Besucher wesentlich unregelmässiger kommen.
Was aber wirklich ein Problem darstellt ist die grosse Anzahl der Clients. Viele ntp-Server hängen hinter Routern und Firewalls, die in irgendeiner Form speichern, welche Verbindungen gerade aktiv sind, und haben nur begrenzt Platz in ihrer Tabelle offener Verbindungen. Das wäre zwar in vielen Fällen nicht nötig, im Falle von ntp, das das udp-Protokoll verwendet, schon fast unsinnig, wird aber trotzdem so gemacht. In manchen Fällen kann man das auch auschalten, in manchen auch nicht, weil die Firewall einfach an dieser Stelle nicht konfiguriert werden kann oder der Betreuer derselben über die Anzahl der zulässigen Verbindungen nicht diskutieren möchte.
Rechner hinter Firewalls mit knapp bemessenem Tabellenplatz für offene Verbindungen kommen also als Zeitserver für europe.pool.ntp.org nicht in Frage. Sobald deren Tabelle mit z.B. 8000 oder 16000 Verbindungen vollgelaufen ist, stellen die den Betrieb auf allen Internetprotokollen ein und warten erstmal ab. Das stört natürlich ungemein, wenn man die Kiste in erster Linie als Web/Mail/Fileserver betreiben möchte und Zeitservice nur ein Nebenjob ist. Folgerndes Bild zeigt die Anzahl der Verbindungen, die blaue Linie steht für das udp-Protokoll.
Aus meiner Sicht gibt es keine. Die Türken von unserem Server aussperren ist gemein. Schliesslich ist der einzelne Kunde eines fiesen Providers nicht schuld. Allen Kunden der Türk Telekom die falsche Zeit zu liefern würde gehen, gilt aber als unehrenhaft. So bliebe nur den Nameserver des Providers abzuweisen oder die eigentlich vorgeschriebene Lösung für Firmen, die den Pool nutzen wollen: Speziell für ihn die IP-Adresse eines speziellen Zeitserver als Antwort zu schicken. Der darf dann auch gern in Ankara oder Istanbul stehen.
Für eine freundliche Lösung, die die Kunden nicht im Regen stehen lässt, bräuchte man aber Kontakt zu diesem Provider. Das haben auch schon ein paar Leute aus dem Pool probiert, aber der scheint recht unzugänglich zu sein. Möglicherweise scheitert es auch nur an den mangelnden Sprachkenntnissen.
Die Clients und der Traffic
Besonders überrascht hat mich die hohe Anzahl verschiedener Clients. 242634 verschiedene IP-Adressen schlugen beim Server auf, ein paar Clients werden sicher mehrfach gezählt, weil sie sich unter verschiedenen IP-Adressen melden, aber allzu gross sollte der Fehler bei einem Tag Messzeit nicht sein.
Eigentlich hatte ich mit ein paar Tausend Nutzern gerechnet. Anscheinend ist das pool.ntp.org-Projekt doch beliebter als ich dachte. Der Server ist zwar auch bei der Liste der öffentlichen Stratum-2-Server gelistet, aber ich denke, die werden eher wenige Leute verwenden. Der Traffic von ca. 10 GByte/Monat ist jedenfalls seit der Eintragung dort nicht merklich gestiegen.
Die Verteilung der Häufigkeit ist interessant:
- 30% der Clients haben nur einmal gefragt
- 84% der Clients haben weniger als 6 Pakete verschickt
- 98% der Clients haben maximal 1x/Stunde zugegriffen
Diese hohe Anzahl der Wenignutzer wundert mich ein bisschen. Üblicherweise greifen andere ntp-Server im 1024-Sekunden-Takt zu. Nur die "einfacheren" Systeme zur Synchronisation wie "ntpdate" oder der Client von Windows synchronisieren sich seltener. Anscheinend verwenden doch ziemlich viele die einfachen Systeme statt sich mit einem ntpd zu beschäftigen. Hat ja auch Sinn, ein Rechner ohne besondere Anforderungen sollte mit 1 Synchronisation pro Tag oder pro Woche gut über die Runden kommen, so schlecht sind die eingebauten Uhren schliesslich auch nicht und ein paar Sekunden Abweichung sollte kaum jemand merken. Vielleicht sind viele Clients auch nicht mal echte Rechner, sondern irgendwelche DSL-Router, die sich bei jeder Einwahl mal die Zeit abholen.
Am oberen Ende sieht es grausam aus. Hier dominieren einige wenige Rechner, die völlig sinnlos Anfragen durch die Welt schicken und sich im Minutentakt synchronisieren. Das oberste halbe Prozent der Vielnutzer macht 30% des Traffics aus, 6% verbraucht allein der Spitzenreiter, ein Rechner der Humboldt-Universität zu Berlin, wo sie anscheinend sehr schlechte Rechneruhren sehr häufig synchronisieren müssen. Das ganze sieht nach einem NAT-Gateway für viele Uni-Rechner aus, weshalb auch meine automatische Aussperrung aufdringlicher Clients nicht hinhaut. Möglicherweise verhindert dieses Gateway sogar die Antworten des Servers und die Leute dort profitieren garnicht von ihrer Hartnäckigkeit.
Die Aufschlüsselung nach Ländern ist eher langweilig. Drei Länder bekommen 95% des Traffics ab, der Rest verteilt sich gleichmässig auf die ganze Welt.
- 46% des Verkehrs geht nach Deutschland
- 45% geht in die Türkei
- 4% nach Grossbritanien
Der grosse Anteil deutscher Clients war zu erwarten. Man sucht sich ja wegen der Paketlaufzeit gezielt möglichst nahe Server zur Synchronisation aus, der Pool ist auch "national" organisiert und liefert z.B. unter de.pool.ntp.org eine Liste deutscher Zeitserver aus und unter europe.pool.ntp.org eine Liste europäischer.
Die türkischen Clients überraschen auch nicht gross. Die Türk Telekom verkauft anscheinend DSL-Modems oder Router an ihre Kunden, die auf europe.pool.ntp.org voreingestellt sind. Auf diese Weise spart sich dieser Provider einen eigenen Server für seine Kunden und lässt den Pool für sich arbeiten.
Die Peaks
Eigentlich ist die Lastverteilung im Pool gerecht geregelt. Jede Anfrage nach "europe.pool.ntp.org" wird mit einem anderen Satz von 5 IP-Adressen beantwortet, die der Nameserver des Pools aus seiner Liste nimmt. Allerdings fragen die Clients nicht den Nameserver des Pools, sondern einen der Nameserver ihres Providers, der die Frage weitervermittelt und die Antwort für einige Zeit speichert und innerhalb dieser Zeit nicht erneut nachfragt. Die Gültigkeitsdauer der Antwort bestimmt der Poolnamesever, zur Zeit sind dort 20 Minuten eingestellt. Aus Sicht des Poolnameservers ist das vernünftig, er hält sich so die vielen Clients vom Leib und lässt die Nameserver der Provider arbeiten. Genau dafür ist diese Gültigkeitsdauer im Nameservice auch gedacht.
Aus Sicht der 5 einzelnen ntp-Server bedeutet das, dass sie für 20 Minuten die einzig zuständigen Zeitserver für ganz viele Clients eines Providers sind. Falls der Provider nur einen Nameserver hat, müssen sie sogar ganz allein sämtliche Kunden dieses Providers bedienen. Bei Langzeitnutzern als Clients würde das auch nichts machen, die fragen einmal beim booten nach und bleiben dann bei einem bestimmten Server. Die überwiegende Anzahl der "Einmalsynchronisierer" kommt aber dabei als Peak auf diese fünf Server zu.
Bei Kunden normaler Provider fallen diese Lastspitzen fast nicht auf, es kommen ja nicht alle Nameserver aller Provider gleichzeitig auf die Idee, ausgerechnet unseren Zeitserver zu speichern. Lediglich t-online und deutsche Telekom sind überhaupt in der Verteilung der Last zu sehen, weil der magentane Riese für 10% aller deutschen Kunden steht. Ich hab die Zuordnung zum Provider anhand des DNS gemacht, Clients mit eigenem Eintrag in den Nameserver werden also nicht zugeordnet. Viele der Kunden "sonstiger" Provider dürften also in Wirklichkeit zu einem der grossen Provider gehören, so erkläre ich mir jedenfalls die hohe Korrelation "Sonstiger" Provider mit der T-Firma.
Die Türken dagegen scheinen für DSL-Leitungen ein recht starkes Monopol der Türk Telekom zu haben. Und so werden auf einen Schlag die Hälfte aller türkischen DSL-Modems an unseren ntp-Server verwiesen. Die Auswertung der Peaks in den frühen Morgenstunden zeigt recht deutlich die geringen Schwankungen bei den anderen Providern im Vergleich zu den Clients der Türk Telekom.
"Kleinprovider" wie Arcor und Alice haben ebenfalls ihre Spitzenzeiten, die gehen allerdings in der Masse ihres grossen Konkurrenten unter. Ihre Peaks bestehen aus einer handvoll Clients mit ein paar Paketen pro Minute:
Wirklich hoch werden die Berge, wenn zufällig mehrere Nameserver der Türk Telekom auf einen einzelnen ntp-Server zeigen. der Berg um 12 lässt sich jedenfall ganz gut mit einem Nameserver für die erste halbe Stunde und einem zusätzlichen Nameserver für den Rest der Zeit erklären (Einheit der y-Achse ist bei diesen Diagrammen übrigens Pakete/Zehntelstunde)
Das Problem
Wenn man den Traffic allein betrachtet, sollten die türkischen Peaks kein allzu grosses Problem darstellen, ich schreibe hier ja nur über ein paar kByte/s, also keine wirklich interessante Datenmenge. Selbst in Peaks habe ich noch nie über 20 oder 30kByte/s beobachtet. Im Vergleich zum Webserver hier ist das eher wenig, zumal dort die Besucher wesentlich unregelmässiger kommen.
Was aber wirklich ein Problem darstellt ist die grosse Anzahl der Clients. Viele ntp-Server hängen hinter Routern und Firewalls, die in irgendeiner Form speichern, welche Verbindungen gerade aktiv sind, und haben nur begrenzt Platz in ihrer Tabelle offener Verbindungen. Das wäre zwar in vielen Fällen nicht nötig, im Falle von ntp, das das udp-Protokoll verwendet, schon fast unsinnig, wird aber trotzdem so gemacht. In manchen Fällen kann man das auch auschalten, in manchen auch nicht, weil die Firewall einfach an dieser Stelle nicht konfiguriert werden kann oder der Betreuer derselben über die Anzahl der zulässigen Verbindungen nicht diskutieren möchte.
Rechner hinter Firewalls mit knapp bemessenem Tabellenplatz für offene Verbindungen kommen also als Zeitserver für europe.pool.ntp.org nicht in Frage. Sobald deren Tabelle mit z.B. 8000 oder 16000 Verbindungen vollgelaufen ist, stellen die den Betrieb auf allen Internetprotokollen ein und warten erstmal ab. Das stört natürlich ungemein, wenn man die Kiste in erster Linie als Web/Mail/Fileserver betreiben möchte und Zeitservice nur ein Nebenjob ist. Folgerndes Bild zeigt die Anzahl der Verbindungen, die blaue Linie steht für das udp-Protokoll.
Die Lösung
Aus meiner Sicht gibt es keine. Die Türken von unserem Server aussperren ist gemein. Schliesslich ist der einzelne Kunde eines fiesen Providers nicht schuld. Allen Kunden der Türk Telekom die falsche Zeit zu liefern würde gehen, gilt aber als unehrenhaft. So bliebe nur den Nameserver des Providers abzuweisen oder die eigentlich vorgeschriebene Lösung für Firmen, die den Pool nutzen wollen: Speziell für ihn die IP-Adresse eines speziellen Zeitserver als Antwort zu schicken. Der darf dann auch gern in Ankara oder Istanbul stehen.
Für eine freundliche Lösung, die die Kunden nicht im Regen stehen lässt, bräuchte man aber Kontakt zu diesem Provider. Das haben auch schon ein paar Leute aus dem Pool probiert, aber der scheint recht unzugänglich zu sein. Möglicherweise scheitert es auch nur an den mangelnden Sprachkenntnissen.
Wednesday, 16. April 2008
Bundesspam
Die Süddeutsche hat auch schon nützliche Hinweise für die Bevölkerung, wie sie sich gegen Schäubles Trojanische Pferde schützen kann. Irgendwie schon lustig, vermutlich gibt es keine andere polizeiliche Ermittlungsmassnahme, die derart fleissig von den Medien sabotiert wird. Finde ich zwar schön, aber warum sollten Leute gegen den Bundestrojaner Schutzmassnahmen ergreifen, die bisher auch nichts dagegen hatten, ominösen Botnetzbetreibern ihre Rechner zur Verfügung zu stellen?
Manchmal frag ich mich nur, wo die von der Süddeutschen ihre Computerratgeber herhaben... Da steht dann
Die Installierung von Firewalls ist prinzipiell nur sinnvoll, wenn mehrere Computer vorhanden sind, da das Schutzprogramm nicht auf dem zu schützenden System laufen soll.
Und der Leser fragt sich, was wohl mit einem einzelnen Rechner ist, der geschützt werden soll und das Schutzprogramm dennoch nicht auf ihm laufen soll...
Ein bisschen stimmts aber. Firewalls helfen nicht gross gegen typische Holzpferde der Feinde. War ja der Witz an der Sache damals in Kleinasien, dass die Trojaner das Pferdchen der Griechen selbst in die Stadt holten, da half auch keine stabile Stadtmauer. Was natürlich kein Argument gegen Stadtmauern und Firewalls an sich ist. Kluge Belagerungsopfer hätten halt das Tor zugelassen.
Am schönsten finde ich
dagegen hilft nur eines: keine unbekannten Anhänge öffnen. Der Initiator des Gesetzes, Innenminister Wolfgang Schäuble, sagt selbst: "Ich öffne grundsätzlich keine Anhänge von E-Mails, die ich nicht genau einschätzen kann." Gute Mail-Dienste haben einen Spam-Schutz eingebaut.
Also ich glaube ja auch nicht, dass die Zahl von "höchstens 10 Fälle" stimmt, die unser BKA-Präsident gerne angibt. Aber dass der Bundestrojaner als nächste Spamwelle nach Casino, Aktien und Medikamenten über uns schwappt, glaube ja nichtmal ich. Aber gut, dass wir "Spam" auch noch im Artikel untergebracht haben, klingt fachkundig.
Ausserdem öffnet Schäuble seine Mails nicht selbst, der sagt das nur so um halt auch mitzureden. Die werden ausgedruckt, in der Poststelle des Ministeriums auf Sprengstoff und Anthrax untersucht und dann erst dem Vorzimmer vorgelegt.
Neuland
Unsere Landesjustizministerin ist froh über den Kompromiss zwischen Zypries und Schäuble zum Bundestrojaner. Natürlich geht er ihr nicht weit genug, aber das liegt in der Natur der Sache. Besonders unzufrieden ist sie mit der Einschränkung, dass der Bundestrojaner wirklich übers Netz kommen soll, wie es sich eben für einen richtigen Trojaner gehört. Millionenfach haut das ja auch ganz gut hin, aber vermutlich will die Ministerin nicht nur den unbedarften Teil der Computernutzer infizieren. Sie findet jedenfalls:Wenn es zur Installation eines Trojaners unbedingt notwendig ist, etwa zur Überwindung einer Firewall, muss auch das - selbstverständlich mit Genehmigung eines Richters - geschehen können. Auch in der einschlägigen Entscheidung des Bundesverfassungsgerichts finden sich keine Anhaltspunkte dafür, dass zur Vorbereitung einer Online-Durchsuchung keine Wohnung betreten werden darf. Hier wird man nachbessern müssen.
[Anmerkung: Man beachte die Wortwahl, da steht wirklich "Trojaner", nicht "forensisches Programm" oder "Online-Datenerhebung". Sicher ein Versehen der Schlussredaktion, keinesfalls das Zeichen einer neuen Offenheit...]
Ich glaub, sie kann beruhigt sein, die SPD ist in dieser Angelegenheit schon so weit umgefallen, dass ein kleiner Einbruch bei "allerdringendsten Fällen" wie z.B. "Terrorismus" oder "Kinderpornographie" (das zieht immer, wer will da schon "Nein, ist nicht rechtstaatlich" sagen) sicher noch genehmigungsfähig wird. Spätestens wenn sich herausstellt, dass die Programmierer des BKA keine Viren schreiben können, die sie zielgerichtet über Internet auf den Computern wirklich interessanter Leute platzieren können und die schöne online-Durchsuchung damit einfach nicht hinhaut.
Ausserdem muss man den Bundesrichtern einfach Zeit lassen. Für die ist das ja auch alles Neuland. Bisher war für die das Konzept einer "heimlichen Durchsuchung" ausserhalb des Spitzelmilieu der Geheimdienste praktisch unbekannt. Nur für das Urteil zum Grossen Lauschangriff haben sie den Einbruch zur Installation der Wanze kurz beurteilen müssen und als Teil des Grundrechtsbruchs qualifiziert.
Durchsuchungen dagegen kennen sie eher als öffentliche Darbietungen: Mit massig Autos in der Einfahrt, erschreckten Verdächtigen und Familien, aufgebrochenen Türen, kistenschleppenden Beamten, unparteiischen Zeugen und wenns gegen Vorstände grosser Staatsunternehmen geht auch gern mit vorheriger Einladung an die Presse. Die Vorstellung, dass das in der modernen Zeit auch ohne den Verdächtigen, ohne Zeugen und ganz ohne Kontrolle des Ablaufs geht, ist ihnen einfach noch fremd.
Monday, 14. April 2008
Die Maus erklärt das Dritte Siegel
Früher, als die Welt noch jung und die Gesellschaften noch sehr einfach gestrickt waren, hatte man natürlich auch keine rechte Vorstellung von Ökonomie. Wenn sich die frühen Christen zum Beispiel eine apokalyptische Inflation vorstellten, war das nicht die Folge ungeschickter Geldmengenpolitik oder eines ungünstigen Verhältnis von Angebot und Nachfrage, sondern ein Engel hat schlicht ein Siegel gebrochen und die Teuerung ritt einen schwarzen Gaul:Und da es das dritte Siegel auftat, hörte ich das dritte Tier sagen: Komm! Und ich sah, und siehe, ein schwarzes Pferd. Und der daraufsaß, hatte eine Waage in seiner Hand. Und ich hörte eine Stimme unter den vier Tieren sagen: Ein Maß Weizen um einen Groschen und drei Maß Gerste um einen Groschen; und dem Öl und Wein tu kein Leid!
Auch noch im 17. Jahrhundert hält man Teuerung, Krieg und Seuchen für den Ausdruck göttlichen Wirkens:
Ach Jupiter! deine Mühe und Arbeit wird besorglich allerdings umsonst sein, wann du nicht wieder, wie vor diesem, die Welt mit Wasser oder gar mit Feur heimsuchest. Dann schickest du einen Krieg, so laufen alle böse verwegene Buben mit, welche die friedliebende fromme Menschen nur quälen werden; schickest du eine Teurung, so ists eine erwünschte Sache vor die Wucherer, weil alsdann denselben ihr Korn viel gilt; schickest du aber ein Sterben, so haben die Geizhälze und alle übrige Menschen ein gewonnen Spiel, indem sie hernach viel erben; wirst derhalben die ganze Welt mit Butzen und Stiel ausrotten müssen, wann du anderst strafen willt.
Abhilfe gegen einen Zusammenbruch des Wirtschaftssystems gab es also ausser beten nicht. Dafür hatte man ein schönes praktisches Weltbild und musste nicht lange nach Schuldigen für z.B. eine Bankenkrise suchen.
Heute ist man natürlich wesentlich weiter. Aufgeklärte Politiker, beraten von Wirtschaftsweisen, wissen genau, wie Ökonomie funktioniert. Abhilfe schaffen heisst nicht mehr beten und hoffen, sondern präventiv einfach mehr Sendung mit der Maus sehen. Zumindest unsere Kanzlerin hält diesen Rat für uns alle bereit:
Merkel sagte, für alle Bürger sei es wichtig, ein besseres Verständnis für die Kapitalmärkte zu entwickeln. Seit langem erkläre die „Sendung mit der Maus“ (ARD) sehr gut, wie eine Kaffeemaschine oder ein Fahrrad funktioniere: „Heute müssten wir aber auch eine Sendung für Finanzprodukte haben, also ein besseres Verständnis der heutigen Kapitalmärkte.“
Und sie hat recht. Nicht auszudenken, wie viele Kaffeemaschinen uns um die Ohren fliegen würden, wenn nicht die Entwickler dieser Küchengeräte sonntags vom WDR aufgeklärt würden. Und wie unsicher unser Verkehr, wenn die Ingenieure nicht intensiv von der Maus und dem Elefanten geschult würden.
Aber wie kriegen wir die Vorstände und Aufsichtsräte der Grossbanken vor die Glotze?
Andererseits, wenn der Ministerpräsident von Sachsen gewusst hätte, dass ein bisschen Kinderprogramm sein Amt retten könnte, er hätte mehr Zeit mit seinen Enkeln verbracht...