www.fabiankeil.de/blog-surrogat/2015/05/27/freie-software-bei-bayer.html

Freie Software bei BAYER

Nachdem ich letztes Jahr die Kundgebung vor der Hauptversammlung der BAYER AG verpasst habe, war ich dieses Jahr rechtzeitig informiert und durfte Dank der Coordination gegen BAYER-Gefahren auch eine Rede auf der Hauptversammlung halten:

Sehr geehrte Damen und Herren,

mein Name ist Fabian Keil, ich bin freiberuflicher IT-Berater und
Polizei-Erzieher und werde hauptsächlich zum Thema "Freie Software
bei Bayer" sprechen.

Vorweg: sofern ich in meinen Fragen von "Bayer" spreche, meine ich
damit immer auch alle Tochtergesellschaften sowie andere Gesellschaften
und Unternehmen, an denen die BAYER AG und ihre Töchter substantiell
beteiligt sind. Außerdem bitte ich darum, dass meine Fragen samt der
gegebenen Antworten schriftlich zu Protokoll genommen werden.

1) Freie Software bei Bayer

Falls Ihnen der Begriff "freie Software" nicht geläufig sein sollte:

Software wird als freie Software bezeichnet, wenn dem
Anwender die folgenden vier Freiheiten eingeräumt werden:
- Die Software darf zu jedem Zweck ausgeführt werden.
- Die Funktionsweise der Software darf untersucht und an
  die eigenen Bedürfnisse angepasst werden.
- Die Software darf weitergegeben werden.
- Die Software darf verbessert werden und auch die
  verbesserte Version darf weitergegeben werden.

Siehe dazu auch die Website der Free Software Foundation Europe (FSFE).

Im kommerziellen Umfeld wird teilweise der Begriff "Open Source"
verwendet, wenn freie Software gemeint ist, soweit es meine Fragen
betrifft sind die Begriffe aber deckungsgleich.

Freie Software ist nicht zwangsläufig kostenlos erhältlich,
der freie Wettbewerb führt aber in der Regel dazu, dass die
Beschaffungskosten sinken.

Mir geht es bei meinen Fragen jedoch nicht um den Kosten-Aspekt,
sondern um die IT-Sicherheit.

Freie Software ist nicht grundsätzlich sicherer als unfreie
(proprietäre) Software, bei freier Software ist der Anwender
aber in der Lage, den Quelltext auf Sicherheitslücken zu
prüfen oder unabhängige Dritte damit zu beauftragen.

Bei proprietärer Software wird in der Regel kein Quelltext
mitgeliefert und in der Lizenz teilweise zusätzlich verboten,
die Funktionalität der Software basierend auf den Binär-Dateien
zu analysieren (sog. Reverse-Engineering).

Bei kritischer Infrastruktur wie zum Beispiel Industrie-Anlagen,
in denen mit giftigen Chemikalien gearbeitet wird, erscheint mir
daher der Einsatz von proprietärer Software, die nur in Binärform
geliefert wird, grob fahrlässig.

Meine Fragen dazu:

a) In welchem Umfang setzt Bayer bereits freie Software ein?

b) Wird bei Neuanschaffungen darauf geachtet, dass es sich bei der
   beschafften Software um freie Software handelt, oder ist geplant,
   dies zukünftig zu tun? Wenn nicht, warum nicht?

c) Vertreibt Bayer bereits freie Software oder entwickelt an freier
   Software mit? Falls ja, bei welchen Software-Projekte?
   Wenn nicht, warum nicht?

d) Achtet Bayer beim Einsatz proprietärer, also unfreier, Software
   grundsätzlich darauf, dass Bayer zumindest der Quelltext der
   Software vorliegt und von unabhängigen Dienstleistern auf
   Sicherheitslücken geprüft werden kann? Wenn nicht, warum nicht?

e) Führt Bayer grundsätzlich Quelltext-basierte Sicherheitsprüfungen
   durch, bevor Software in Betrieb genommen wird. Fall nicht, warum
   nicht?

f) Vereinbart Bayer mit Software-Zuliefern grundsätzlich Vertragsstrafen,
   falls gelieferte Software nicht den vereinbarten Anforderungen genügt?
   Falls nicht, warum nicht?

g) Verifiziert Bayer, dass mit vorgelegtem Quelltext tatsächlich die
   angeblich dazugehörende Software im Binärformat bitgenau reproduziert
   werden kann? Wenn nicht, warum nicht?

h) Setzt Bayer Software ein, die einer der folgenden freien Lizenzen
   unterliegt: GNU General Public License Version 2 (GPLv2) oder
   Version 3 (GPLv3), GNU Affero General Public License (AGPL)?

i) Gibt es bei Bayer eine Positiv- oder Negativ-Liste von freien Lizenzen?
   Gemeint sind Listen mit denen geregelt wird, welche freie Lizenzen bei
   Bayer eingesetzt werden können bzw. nicht eingesetzt werden sollen?
   Wenn ja, welche Lizenzen sind auf welcher Liste?

2) Datenverarbeitung in den USA

Laut Datenschutzerklärung auf der Bayer-Website werden Nutzer-Daten an
namentlich nicht genannte externe Dienstleister weitergegeben, die auch
im Ausland sitzen können. Als Beispiel werden die USA genannt.

Es wird behauptet, "technische und organisatorische Maßnahmen" würden
sicherstellen, "dass die Vorschriften des Datenschutzes" beachtet werden.
Gemeint sind hoffentlich die deutschen Vorschriften.

a) Durch welche "technische und organisatorische Maßnahmen" glaubt
   Bayer, in den USA gespeicherte Daten vor den dort nicht an deutsche
   Vorschriften gebundenen und offensichtlich nicht mal nach amerikanischen
   Vorschriften einwandfrei agierenden Geheimdiensten wie z.B. der
   NSA schützen zu können?

3) Spenden

a) In welchem Umfang hat Bayer im vergangenen Geschäftsjahr direkte oder
   indirekte Spenden an politische Parteien, parteinahe oder -verbundene
   Gesellschaften oder Gruppen oder auch einzelne Politiker getätigt?

   Bitte gliedern Sie die Summen einzeln auf und zählen Sie auch mittelbare
   Zuwendungen wie z.B. den Erlass von Aufwendungen, Preisnachlässe,
   Vergünstigungen oder Nicht-Berechnung von Leistungen auf.

Abschließend danke ich der Coordination gegen BAYER-Gefahren (CBG),
ohne die ich heute hier nicht sprechen dürfte.

Natürlich begrüße ich es generell, dass auf die von der BAYER AG
ausgehenden Gefahren aufmerksam gemacht wird, die CBG leistet aber
auch noch in anderen Bereichen vorbildliche Arbeit.

Sie hat z.B. vor der letzten Bayer-Hauptversammlung eine Klage
gegen die Kölner Polizei geführt und gewonnen, nachdem sich die
Kölner Polizei als Versammlungsbehörde geweigert hat, die Durchführung
der angemeldeten Kundgebung zu gewährleisten.

Dass sich die Kölner Polizei vor und auf Versammlungen nicht an die
Gesetze hält, passiert leider häufiger, gegen die Kölner Polizei
geklagt wird aber viel zu selten.

Details zu der Klage sowie den Beschluss des Kölner Verwaltungsgerichts
finden Sie auf der CBG-Website.

Vielen Dank für Ihre Aufmerksamkeit.

Die meisten Fragen wurden nicht zufriedenstellend bzw. gar nicht beantwortet, gelohnt hat sich der Besuch aus meiner Sicht trotzdem.

Weitere Reden und Fotos von der BAYER-Hauptversammlung 2015 gibt es bei der CBG.

Update 2015-06-02: Notizen zu den Antworten

Nicht ganz unerwartet weigert sich Bayer, mir die auf der Hauptversammlung verlesenen Antworten auch schriftlich zu geben. Ein Mitarbeiter der Bayer Investor Relations dazu per E-Mail:

Eine Kopie des Protokolls der Hauptversammlung sowie Antworten auf Fragen in der Hauptversammlung stellt Bayer in Einklang mit den aktienrechtlichen Bestimmungen nicht zur Verfügung.

Hier daher meine während der Hauptversammlung gemachte Notizen zu den Antworten:

Im Original waren die Behauptungen wortreicher, der wesentliche Inhalt sollte aber erfasst sein.

Auch wenn Bayer es weder bestätigt noch abgestritten hat, gehe ich auf Basis der Notizen davon aus, dass Bayer hauptsächlich proprietäre Software in Binärform beschafft und keinen Zugriff auf den Quelltext bekommt. Ob wenigstens versucht wird, die Software in Binärform zu analysieren, oder ob man sich bei der Prüfung auf die Sicherheits-Versprechen der Hersteller verlässt, bleibt offen.

Science for a better life: Datenübertragung mit imaginärer Verschlüsselung

Abschließend noch ein hoffentlich nicht repräsentatives Beispiel für die hohe Sicherheit im Bayer-Konzern, über das ich bei der Anfrage nach dem Protokoll der Hauptversammlung gestolpert bin:

[Webformular das eine verschlüsselte Übertragung verspricht aber über http:// kommt]

Bayer nahm den Datenschutz also ernst genug, um eine verschlüsselte Übertragung der personenbezogenen Daten zu versprechen, tatsächlich wurden aber sowohl das Formular mit dem Versprechen als auch die Formular-Daten unverschlüsselt übertragen.

Die für die Sicherheit verantwortlichen Experten gingen sogar noch einen Schritt weiter. Wer versuchte, das Formular durch eine manuelle Adress-Änderung verschlüsselt abzurufen, bekam eine verschlüsselte Umleitung auf das unverschlüsselte Formular:

$ curl --head https://www.investor.bayer.de/de/nc/kontakt/e-mail-formular/
HTTP/1.1 301 Moved Permanently
Date: Thu, 28 May 2015 11:25:57 GMT
Server: Microsoft-IIS/6.0
Location: http://www.investor.bayer.de/de/nc/kontakt/e-mail-formular/
Vary: Accept-Encoding
Content-Type: text/html; charset=iso-8859-1

Dass sich der Server als (proprietärer) Microsoft-IIS/6.0 zu erkennen gibt, obwohl auf der Hauptversammlung den Aktionären angeblich aus Sicherheitsgründen die bei Bayer eingesetzte Software nicht genannt werden konnte, scheint mir etwas inkonsequent.

Nach meinem Hinweis wurde dieses Sicherheitsproblem beseitigt, dazu noch mal ein E-Mail-Zitat:

Nach Rücksprache mit unserem IT-Dienstleister mussten wir leider feststellen, dass tatsächlich temporär die Verschlüsselung außer Kraft gesetzt war. Dies wurde sofort behoben, und die Eingaben im E-Mail-Formular werden nun wieder SSL-verschlüsselt gesendet.

Wie temporär die Verschlüsselung tatsächlich außer Kraft gesetzt war, wie viele Aktionäre von dem Datenleck betroffen waren und ob diese informiert wurden, wird sich hoffentlich in Einklang mit den aktienrechtlichen Bestimmungen auf der Bayer-Hauptversammlung 2016 klären lassen.