www.fabiankeil.de/blog-surrogat/2015/05/27/freie-software-bei-bayer.html
Nachdem ich letztes Jahr die Kundgebung vor der Hauptversammlung der BAYER AG verpasst habe, war ich dieses Jahr rechtzeitig informiert und durfte Dank der Coordination gegen BAYER-Gefahren auch eine Rede auf der Hauptversammlung halten:
Sehr geehrte Damen und Herren, mein Name ist Fabian Keil, ich bin freiberuflicher IT-Berater und Polizei-Erzieher und werde hauptsächlich zum Thema "Freie Software bei Bayer" sprechen. Vorweg: sofern ich in meinen Fragen von "Bayer" spreche, meine ich damit immer auch alle Tochtergesellschaften sowie andere Gesellschaften und Unternehmen, an denen die BAYER AG und ihre Töchter substantiell beteiligt sind. Außerdem bitte ich darum, dass meine Fragen samt der gegebenen Antworten schriftlich zu Protokoll genommen werden. 1) Freie Software bei Bayer Falls Ihnen der Begriff "freie Software" nicht geläufig sein sollte: Software wird als freie Software bezeichnet, wenn dem Anwender die folgenden vier Freiheiten eingeräumt werden: - Die Software darf zu jedem Zweck ausgeführt werden. - Die Funktionsweise der Software darf untersucht und an die eigenen Bedürfnisse angepasst werden. - Die Software darf weitergegeben werden. - Die Software darf verbessert werden und auch die verbesserte Version darf weitergegeben werden. Siehe dazu auch die Website der Free Software Foundation Europe (FSFE). Im kommerziellen Umfeld wird teilweise der Begriff "Open Source" verwendet, wenn freie Software gemeint ist, soweit es meine Fragen betrifft sind die Begriffe aber deckungsgleich. Freie Software ist nicht zwangsläufig kostenlos erhältlich, der freie Wettbewerb führt aber in der Regel dazu, dass die Beschaffungskosten sinken. Mir geht es bei meinen Fragen jedoch nicht um den Kosten-Aspekt, sondern um die IT-Sicherheit. Freie Software ist nicht grundsätzlich sicherer als unfreie (proprietäre) Software, bei freier Software ist der Anwender aber in der Lage, den Quelltext auf Sicherheitslücken zu prüfen oder unabhängige Dritte damit zu beauftragen. Bei proprietärer Software wird in der Regel kein Quelltext mitgeliefert und in der Lizenz teilweise zusätzlich verboten, die Funktionalität der Software basierend auf den Binär-Dateien zu analysieren (sog. Reverse-Engineering). Bei kritischer Infrastruktur wie zum Beispiel Industrie-Anlagen, in denen mit giftigen Chemikalien gearbeitet wird, erscheint mir daher der Einsatz von proprietärer Software, die nur in Binärform geliefert wird, grob fahrlässig. Meine Fragen dazu: a) In welchem Umfang setzt Bayer bereits freie Software ein? b) Wird bei Neuanschaffungen darauf geachtet, dass es sich bei der beschafften Software um freie Software handelt, oder ist geplant, dies zukünftig zu tun? Wenn nicht, warum nicht? c) Vertreibt Bayer bereits freie Software oder entwickelt an freier Software mit? Falls ja, bei welchen Software-Projekte? Wenn nicht, warum nicht? d) Achtet Bayer beim Einsatz proprietärer, also unfreier, Software grundsätzlich darauf, dass Bayer zumindest der Quelltext der Software vorliegt und von unabhängigen Dienstleistern auf Sicherheitslücken geprüft werden kann? Wenn nicht, warum nicht? e) Führt Bayer grundsätzlich Quelltext-basierte Sicherheitsprüfungen durch, bevor Software in Betrieb genommen wird. Fall nicht, warum nicht? f) Vereinbart Bayer mit Software-Zuliefern grundsätzlich Vertragsstrafen, falls gelieferte Software nicht den vereinbarten Anforderungen genügt? Falls nicht, warum nicht? g) Verifiziert Bayer, dass mit vorgelegtem Quelltext tatsächlich die angeblich dazugehörende Software im Binärformat bitgenau reproduziert werden kann? Wenn nicht, warum nicht? h) Setzt Bayer Software ein, die einer der folgenden freien Lizenzen unterliegt: GNU General Public License Version 2 (GPLv2) oder Version 3 (GPLv3), GNU Affero General Public License (AGPL)? i) Gibt es bei Bayer eine Positiv- oder Negativ-Liste von freien Lizenzen? Gemeint sind Listen mit denen geregelt wird, welche freie Lizenzen bei Bayer eingesetzt werden können bzw. nicht eingesetzt werden sollen? Wenn ja, welche Lizenzen sind auf welcher Liste? 2) Datenverarbeitung in den USA Laut Datenschutzerklärung auf der Bayer-Website werden Nutzer-Daten an namentlich nicht genannte externe Dienstleister weitergegeben, die auch im Ausland sitzen können. Als Beispiel werden die USA genannt. Es wird behauptet, "technische und organisatorische Maßnahmen" würden sicherstellen, "dass die Vorschriften des Datenschutzes" beachtet werden. Gemeint sind hoffentlich die deutschen Vorschriften. a) Durch welche "technische und organisatorische Maßnahmen" glaubt Bayer, in den USA gespeicherte Daten vor den dort nicht an deutsche Vorschriften gebundenen und offensichtlich nicht mal nach amerikanischen Vorschriften einwandfrei agierenden Geheimdiensten wie z.B. der NSA schützen zu können? 3) Spenden a) In welchem Umfang hat Bayer im vergangenen Geschäftsjahr direkte oder indirekte Spenden an politische Parteien, parteinahe oder -verbundene Gesellschaften oder Gruppen oder auch einzelne Politiker getätigt? Bitte gliedern Sie die Summen einzeln auf und zählen Sie auch mittelbare Zuwendungen wie z.B. den Erlass von Aufwendungen, Preisnachlässe, Vergünstigungen oder Nicht-Berechnung von Leistungen auf. Abschließend danke ich der Coordination gegen BAYER-Gefahren (CBG), ohne die ich heute hier nicht sprechen dürfte. Natürlich begrüße ich es generell, dass auf die von der BAYER AG ausgehenden Gefahren aufmerksam gemacht wird, die CBG leistet aber auch noch in anderen Bereichen vorbildliche Arbeit. Sie hat z.B. vor der letzten Bayer-Hauptversammlung eine Klage gegen die Kölner Polizei geführt und gewonnen, nachdem sich die Kölner Polizei als Versammlungsbehörde geweigert hat, die Durchführung der angemeldeten Kundgebung zu gewährleisten. Dass sich die Kölner Polizei vor und auf Versammlungen nicht an die Gesetze hält, passiert leider häufiger, gegen die Kölner Polizei geklagt wird aber viel zu selten. Details zu der Klage sowie den Beschluss des Kölner Verwaltungsgerichts finden Sie auf der CBG-Website. Vielen Dank für Ihre Aufmerksamkeit.
Die meisten Fragen wurden nicht zufriedenstellend bzw. gar nicht beantwortet, gelohnt hat sich der Besuch aus meiner Sicht trotzdem.
Weitere Reden und Fotos von der BAYER-Hauptversammlung 2015 gibt es bei der CBG.
Nicht ganz unerwartet weigert sich Bayer, mir die auf der Hauptversammlung
verlesenen Antworten auch schriftlich zu geben.
Ein Mitarbeiter der Bayer Investor Relations
dazu per E-Mail:
Eine Kopie des Protokolls der Hauptversammlung sowie Antworten auf Fragen in der Hauptversammlung stellt Bayer in Einklang mit den aktienrechtlichen Bestimmungen nicht zur Verfügung.
Hier daher meine während der Hauptversammlung gemachte Notizen zu den Antworten:
- Bayer bezieht seine Software von großen kommerziellen Anbietern.
- Bei Bayer gelten hohe Sicherheitstandards.
- Aus Sicherheitsgründen wird die eingesetzte Software nicht namentlich genannt.
- Es wurden noch keine Aktivitäten staatlichen Ursprungs beobachtet.
- Alle sicherheitsrelevanten Tätigkeiten sind zusammengefasst.
- Es wird nur Software eingesetzt, die vom Hersteller bezogen wird.
- Jede Software wird geprüft.
- Vertragsstrafen werden vereinbart.
- Bayer verbreitet keine freie Software.
- Bayer gibt keine direkten Geldspenden an Politiker oder Kandidaten für politische Ämter.
- Namentlich nicht genannte Organisationen, in denen Bayer vertreten ist, spenden an namentlich nicht genannte Politiker.
Im Original waren die Behauptungen wortreicher, der wesentliche Inhalt sollte aber erfasst sein.
Auch wenn Bayer es weder bestätigt noch abgestritten hat, gehe ich auf Basis der Notizen
davon aus, dass Bayer hauptsächlich proprietäre Software in Binärform beschafft und
keinen Zugriff auf den Quelltext bekommt. Ob wenigstens versucht wird, die Software
in Binärform zu analysieren, oder ob man sich bei der Prüfung
auf
die Sicherheits-Versprechen der Hersteller verlässt, bleibt offen.
Abschließend noch ein hoffentlich nicht repräsentatives Beispiel für die hohe Sicherheit im Bayer-Konzern, über das ich bei der Anfrage nach dem Protokoll der Hauptversammlung gestolpert bin:
Bayer nahm den Datenschutz also ernst genug, um eine verschlüsselte Übertragung der personenbezogenen Daten zu versprechen, tatsächlich wurden aber sowohl das Formular mit dem Versprechen als auch die Formular-Daten unverschlüsselt übertragen.
Die für die Sicherheit verantwortlichen Experten gingen sogar noch einen Schritt weiter. Wer versuchte, das Formular durch eine manuelle Adress-Änderung verschlüsselt abzurufen, bekam eine verschlüsselte Umleitung auf das unverschlüsselte Formular:
$ curl --head https://www.investor.bayer.de/de/nc/kontakt/e-mail-formular/ HTTP/1.1 301 Moved Permanently Date: Thu, 28 May 2015 11:25:57 GMT Server: Microsoft-IIS/6.0 Location: http://www.investor.bayer.de/de/nc/kontakt/e-mail-formular/ Vary: Accept-Encoding Content-Type: text/html; charset=iso-8859-1
Dass sich der Server als (proprietärer) Microsoft-IIS/6.0 zu erkennen gibt, obwohl auf der Hauptversammlung den Aktionären angeblich aus Sicherheitsgründen die bei Bayer eingesetzte Software nicht genannt werden konnte, scheint mir etwas inkonsequent.
Nach meinem Hinweis wurde dieses Sicherheitsproblem beseitigt, dazu noch mal ein E-Mail-Zitat:
Nach Rücksprache mit unserem IT-Dienstleister mussten wir leider feststellen, dass tatsächlich temporär die Verschlüsselung außer Kraft gesetzt war. Dies wurde sofort behoben, und die Eingaben im E-Mail-Formular werden nun wieder SSL-verschlüsselt gesendet.
Wie temporär
die Verschlüsselung tatsächlich außer Kraft gesetzt war
, wie viele Aktionäre von dem
Datenleck betroffen waren und ob diese informiert wurden, wird sich hoffentlich
in Einklang mit den aktienrechtlichen Bestimmungen
auf der Bayer-Hauptversammlung 2016 klären lassen.