blog@netplanet

Und zwar auf dem Boden der Tatsachen. Ganz verstohlen blendete nämlich Twitter gestern Abend auf seiner Website eine kleine Meldung ein:

“Warning! Don’t sign in to fake Twitter.com from a DM.”

Worum es geht, findet man inzwischen im Twitter-Blog, Twitter ist nämlich Opfer von etwas ganz Schnödem geworden: Klassisches Phishing. Sprich: Benutzer bekommen einen Tweet, also eine Twitter-Nachricht, und sollen sich auf der Twitter-Website mit ihren Zugangsdaten neu anmelden. Der beigefügte Link führt aber nicht auf die echte Twitter-Website, sondern auf einen Fake und wer dort seine Zugangsdaten eingibt, hat sie dann ab diesem Zeitpunkt einem Gauner in die Hand gegeben.

Das wirklich Ärgerliche an Twitter ist, dass die Twitter-Folks mit ihrer Sache so richtig schlampig umgehen und die Dummheit der Nutzer mehr als fördern. Der zentrale Schwachpunkt von Twitter – und das macht Phishing von Twitter-Zugangsdaten so richtig interessant – ist die Zugangsdatenverwaltung und die Nutzung der API, also der Programmierschnittstelle zu Twitter. Jeder halbwegs talentierte Programmierer darf nämlich für seine Anwendung die Twitter-API nutzen und damit durchaus schöne Dinge realisieren. TwitPic ist vermutlich einer der populärsten Anwendungen und funktioniert so, dass man auf der Website von TwitPic seine Twitter-Zugangsdaten (!) eingibt. Aber auch so Dienste die identi.ca oder Facebook kennen die Twitter-Zugangsdaten ihrer Benutzer, wenn sie von diesen Diensten aus auch ihren eventuell vorhandenen Twitter-Account befüttern.

Und dabei predigen wir Sicherheitsleute ständig: Gib’ deine Zugangsdaten für einen Dienst niemals auf der Website eines anderen ein! Andere Dienste können gehackt werden, die Betreiber können unzuverlässig sein oder sie können ihren Dienst auch schlicht und einfach irgendwann an jemandem verkaufen, der einfach nur an der Benutzerbasis interessiert ist. Und schon macht es “Puff” und eine ganze Reihe von Zugangsdaten sind irgendwo in der Twilight-Zone.

Es wird höchste, allerhöchste Eisenbahn, dass die Twitter-Entwickler sich nun mal vorrangig um die Sicherheit ihres Dienstes und dem Schutz ihrer Benutzer kümmern. Sichere und halbwegs einfach zu bedienende Authentifizierungsverfahren gibt es, man muss es halt einfach einmal implementieren.

Der Sysadm.in-Oliver aus meiner Oliver-Phalanx schreibt in seinem Blog, dass er beim aktuellen Datenklau der Landesbank Berlin in erster Linie bemängele, dass da Microfiches zum Archivieren genutzt werden. Da er in seinem Blog keine Kommentare zulässt (eine Krankheit, wie ich finde), hier mal eine Antwort von mir:

Microfiches mögen zwar altmodisch sein, sind aber in Sachen Haltbar- und Lesbarkeit jedem eletronischen Datenträgersystem, das derzeit existiert, höchstwahrscheinlich mehrfach überlegen. Bei Microfiches setzt man als Mindesthaltbarkeit (bei korrekter Lagerung) mindestens 400 Jahre an und vor allem ist das Auslesen von Microfiches denkbar einfach – man braucht einfach nur ein optisches Lesegerät. Will man einen bewußten Medienbruch in einem Archivierungskonzept haben, sind Microfiches immer noch unschlagbar in der Langzeitarchivierung.

Es ist schon mehr als atemberaubend, was die britische Labour-Regierung da vorhat. Telekommunikationsanbieter sollen verpflichtet werden, eine Blackbox zu installieren, die nichts weniger tut, als den gesamten Datenverkehr zu scannen und Inhalte bestimmter Dienste auch gleich mal auf Vorrat aufzuzeichnen. Darunter sollen E-Mails und SMS fallen, aber auch Adressen aufgerufener Websites und die Verkehrsdaten geführter Telefongespräche. Sprich: Nichts soll unbeobachtet bleiben und auf unbestimmte Zeit nachvollziehbar gespeichert werden.

Das ist nicht wirklich neu – die Pläne hierzu sind schon mehrere Jahre alt – dafür aber nicht weniger erschreckend, weil es schlicht der worst case für eine an sich freie Gesellschaft. Nichts mehr an Telekommunikation soll unbeobachtet bleiben und vor allem soll jedem Teilnehmer klar sein, dass er letztendlich ständig unter Kontrolle ist. Man kann als Außenstehender nichts anderes sagen – das sind chinesische Verhältnisse par excellence.

Dass das auch noch von einer Partei angestoßen wird, die ja eigentlich nicht konservativ ist und das alles auch noch in einem Land mit lausigem Verhältnis zum Datenschutz geschieht, in dem allenhalber ein Geheimnisträger hier und da Aktenordner, CDs und USB-Sticks mit hochsensiblen Daten verliert, ist da nur noch eine bedauerliche Randnotiz.

Viel schlimmer ist, dass es so recht niemanden stören mag. Der klassische Brite befindet sich im Vorraum des Überwachungsstaates und keinen juckt es. Und genau auf diesen Punkt dürften vermutlich eine Menge Innenminister und Schlapphüte, die das aus anderen Ländern heraus interessiert betrachten, höchst interessant finden.

Man muss sich letztendlich auch sehr genau als ISP überlegen, ob man es zukünftig noch vertreten kann, über Provider in Großbritannien zu peeren. In London sitzt einer der größten Peeringpoints, das LINX und traditionell wird ein Großteil des transatlantischen Datenverkehrs über britische Provider abgewickelt. Davor wird man wohl zukünftig ausdrücklich warnen müssen.

Vielleicht sollte man sicherheitshalber auch den Eurotunnel zubetonieren.

Die Codeklopfer des TrueCrypt-Projektes haben wieder fleißig und haben einen neue Version des TrueCrypt-Paketes erstellt. Neben diversen Fehlerkorrekturen sind folgende Neuerungen hinzugekommen:

• Es lassen sich unter Windows Vista und Windows Server 2008 nun auch Nicht-System-Partitionen ohne Datenverlust verschlüsseln.
• Unterstützung von Sicherheits-Tokens und Smartcards.
• Der Bootloader kann so konfiguriert werden, dass er keine Texte anzeigt und sich damit nicht identifiziert. Alternativ kann er mit eigenen Texten bestückt werden.
• Passwörter, die vor dem Booten eingegeben werden müssen, können nun im Treiberspeicher zwischengespeichert werden, so dass diese zum Mounten von TrueCrypt-Volumes (nicht Systempartitionen) genutzt werden können.
• Die Linux- und MacOS-X-Versionen können nun auch eine Windows-Systempartition und komplett unter Windows verschlüsselte Partitionen öffnen, die mit TrueCrypt verschlüsselt wurden.
• Verbessert wurde der Speicherschutz, der durch bestimmte, schlecht designte BIOS-Version gefährtet wurde.
• Verbessert wurde zudem das Verhalten bei der Erstellung einer versteckten Systempartition, da nun nach der Erstellung der verschlüsselten Systempartition die ursprüngliche Partition sicher gelöscht wird.

Heruntergeladen werden kann TrueCrypt, wie immer, auf der Projektseite unter http://www.truecrypt.org/. Und kosten tut es immer noch nichts.

Das US-Militär hat in einem Bericht des 304th Military Intelligence Battalion überraschenderweise erkannt, dass mobil verfügbare Dienste wie Twitter nicht nur für Menschen, sondern auch für Terroristen interessant sein könnten.

Terroristen könnten ihre Bomben per Karte markieren und auslösen lassen oder Demonstranten online über so Dienste wie Twitter Gefolgschaften organisieren. Überhaupt, Twitter macht den Autoren des Berichtes wohl am meisten Sorgen:

Twitter sei bereits, so der Bericht, zu einem beliebten Werkzeug “von Sozialisten, Menschenrechtsgruppen, Kommunisten, Vegetariern, Anarchisten, religiösen Gruppen, Atheisten, politischen Eiferern, Hacktivisten und anderen geworden, um miteinander zu kommunizieren und Nachrichten an ein größeres Publikum zu schicken”. Als aktuelles Beispiel nennt der Bericht den Einsatz von Twitter durch Demonstranten zur Koordierung ihrer Proteste beim Parteitag der US-Republikaner.
[via Golem.de]

Diese Feststellung macht nebenbei deutlich, was für das US-Militär alles subversiv sein könnte… Anarchisten, Kommunisten, Vegetarier… alles sehr gefährliche Leute.

Das ist natürlich alles Dünnschiss von Leuten, die keine Ahnung haben, wie Twitter funktioniert:

• Über Twitter geheime Nachrichten auszutauschen, ist in etwa so geheim, wie mit einem Megaphon in der Fußgängerzone zu stehen und seine Bankzugangsdaten zu veröffentlichen. Jeder kann praktisch alles mitlesen und die Jungs bei Twitter können generell sowieso alles nachlesen, da sie jeden geposteten Furz aufzeichnen. Über die Suchfunktion lässt sich da sogar für den Laien, also auch für jede US-Behörde, recherchieren.
• Im Zweifelsfall geht man als US-Beamter zu Twitter, legt seinen Ausweis auf den Tisch und eine Verfügung einer passenden Behörde und zwickt Twitter einfach aus – da Twitter ein zentralistisch angelegter Dienst ist, ist die Lösung für den Ernstfall die isolierte Kneifzange.

Um es kurz zu machen: Es ist wichtig für Rechner mit den Betriebssystemen Windows 2000, 2003 Server und XP (weniger kritisch für Vista und 2008 Server, hier aber sicherlich nicht unnütz), die direkt am Internet hängen, also nicht geschützt durch eine Firewall oder durch NAT sind. Der Grund für das Update ist ein kritischer Fehler in der RPC-Implementierung, der für die Übernahme eines Rechners ausgenutzt werden könnte und damit Grundlage für Würmer darstellen könnte.

Das Update wurde für 19 Uhr MESZ angekündigt und ist auch seitdem verfügbar. Ich habe gerade unsere Serverfarm aktualisiert und ganz zuletzt unsere Firewall und die ist genau wieder zu diesem Zeitpunkt oben gewesen, als Kevin Kuranyi sein 3:0 vorbereitet und ausgeführt hat. Da habe ich doch fast gern noch zwei Überstunden geschoben.

Lesen: Microsoft Security Bulletin MS08-067

Na hübsch! Die Australier bekommen einen staatlich vorgesetzten “Cyber-Safety”-Filter vor ihre Internet-Zugänge geschnallt, mit dem Eltern, die ihre Kinder medial nicht erziehen können, zumindest den Computer so einstellen können, dass er Pfui-Content ausfiltert, allerdings lässt sich dieser Filter grundsätzlich nicht ausschalten und filtert auf jeden Fall illegale Inhalte, die in einer staatlich kontrollierten Blacklist geführt wird.

Ursprünglich verkauft wurde das mal an den gemeinen Bürger als System, bei dem ein Opt-Out möglich sei, aber der zuständige “Minister für Breitband, Kommunikation und digitale Wirtschaft” hat befunden, dass sich die Filtertechnik seit den letzten Tests im Jahre 2005 verbessert habe.

So einfach ist das. Ist doch alles nur zum Schutze der Bevölkerung. Niemand kommt zu Schaden, alles bleibt sicher! Man muss als politische Kaste einfach nur dreist genug bleiben, dann klappt das.

Kollege Robert Basic hat in seinem Blog ein interessantes Statement eines so genannten “Web-Gründers”, der seine Sicht auf die aktuelle Krise des Finanzsektors darlegt. Manche Experten gehen ja davon aus, dass mit der Finanzmarktkrise schon sehr bald nicht nur die Banken den anderen Banken nicht mehr trauen, sondern auch anderen Unternehmen, am ehesten nicht den Unternehmen, die kein tragfähiges Business-Konzept darlegen können, eine weit verbreitete Seuche in der Web-Szene.

Nun ist es nicht gerade so, dass ich “Web-Gründern” wirklich sehr viel dabei vertrauen würde, wenn sie mir etwas über die Weltwirtschaft daherposaunen. Ein Absatz hat es mir aber sehr angetan, was mir sofort zeigt, dass da jemand schreibt, der von der Materie überhaupt keine Ahnung hat:

“Ich denke, Online kann von der ganzen Krise seehr profitieren. Unternehmen müssen einsparen, wodurch sich gute Chancen fürs Web ergeben: Warum MS Office für meine 200 Mitarbeiter kaufen, kann doch Google Docs oder Zoho nutzen? Warum teure Exchange Server, wenn Gmail das auch kann? Warum eigene Server Farmen, wenn ich Amazon outsourcen kann? Warum teure TV Kampagnen mit TKPs von (ka, schätz einfach ma) 20 Euro, wenn ich im Web targetisiert meine Zielgruppe ansprechen kann? Etc etc etc du weißt schon, was ich meine…”

Wer auch immer der ominöse Interviewpartner war – es ist in der Tat gut für ihn, dass er namenlos bleibt. Allein schon der Gedanke, dass das vielleicht ein Betreiber eines Webportales sein könnte, der auf diese Weise seine Kundendaten “oursourced”, läßt mir spontan die Fußnägel nach innen wachsen, weil es hanebüchen daneben ist und das gleich mit vielen Argumenten:

• Unternehmen sparen, wenn sie einsparen müssen, zu allererst am Personal ein, weil das in den meisten Firmen den größten Ausgabeposten darstellt. Eine komplette Exchange-Infrastruktur gibt es schon zum Monatsgehalt eines gutbezahlten Ingenieurs und zudem wird die EDV grundsätzlich auf mehrere Jahre hin abgeschrieben, so dass EDV-Kosten für Office und Collaboration in einem Unternehmen kein großes Thema sind, wenn man als Workstations nicht gerade die letzten Pfeifer kauft, keinen Servicevertrag beihat oder sich nicht erstklassig übers Ohr hauen lässt. Zudem gibt es praktisch für jede Hard- und Software die Möglichkeit von Mietkäufen bis hin zur eingesetzten Software, so dass sich die Ausgabenstruktur für wirklich alle Eventualitäten anpassen lässt.
• Unternehmenskritische, möglicherweise geheimzuhaltende Daten bei externen Dienstleistern outzusourcen, deren Sicherheitslage nicht zu kennen und dabei auch noch zu wissen, dass die Daten voraussichtlich außerhalb Deutschlands liegen, ist nicht nur moralisch ein Problem, sondern kann ein richtig handfester Straftatsbestand werden. Kundendaten müssen nachweislich sicher vor Zugriff Dritter sein und jedes Sicherheitsaudit wird spätestens bei der Frage enden, wo denn die Unternehmensdaten liegen, wenn die Antwort “bei Google” heißt. Der Gesetzgeber stellt Datenmißbrauch (zu Recht) verhältnismäßig empfindlich unter Strafe.

… hält unser Staat gelegentlich eigentlich seine Bürger? Eine von Staatswegen zur Verfügung gestellte E-Mail-Box mitsamt Mailadresse, mit der der Benutzer eindeutig identifiziert werden kann und mit der er dann auch sicher mit Behörden kommunizieren kann. Und mit der der Benutzer dann auch privat mailen können soll. Ach? Und mit der dann die Behörden auch weniger Zettelkram ausfüllen müssen, wenn sie mal nachschauen wollen, was der Bürger da so mailt?

Aus drei Sichten ist das Projekt “De-Mail” – so der Projektname – eine Karikatur, über die ich tagelang schrill lachen könnte:

1. Zu viele externe Dienstleister sind mit im Boot. Beispiel: Was hat die Deutsche Telekom für einen Ruf im Datenschutzsektor gerade?
2. Der Staat hat für die sichere Authentifizierung die Elektronische Signatur in Gesetz und Recht gegossen, die technisch einwandfrei funktioniert, mit viel Mühe auch funktioniert – nur mit den meisten Behörden nicht, weil diese technisch nicht ausgestattet sind. Geschweige denn dem Umstand, dass genügend Finanzbeamte keine Ahnung haben, wie man eine Rechnung mit qualifizierter elektronischer Signatur eigentlich prüft.
3. “Datensafes” von Bürgern haben nichts beim Staat zu suchen. Aber wirklich gar nichts. Es gibt auch keinen technischen Grund hierfür, denn es gibt freie Verschlüsselungssoftware, es gibt die Möglichkeit, verschlüsselte Daten redundant auf verschiedene Datenträger abzulegen.
4. Der Staat soll es gefälligst unterlassen, mit viel Marketing-Blub den Bürger dazu zu überreden, seine Privatsphäre freiwillig dem Staat zu offenbaren.

Einfach eine nur noch skandalöse Entwicklung, die die Bundesregierung da mit ihrer IT-Offensive an den Tag legt. Und da wundert man sich über die Politikverdrossenheit und darüber, dass immer mehr Bürger offenkundig nicht mehr zwischen demokratischen und radikalen Parteien unterscheiden können.

Immerhin, es gibt Proteste, beispielsweise bei der Financial Times Deutschland, beim Uwe im LawBlog, beim Holger im Reizzentrum.

Schon immer einmal gefragt, wie eigentlich eine Suchmaschine entscheidet, welche Seite zu einem bestimmten Stichwort relevant ist und welche nicht? Du denkst, das macht die Programmlogik einer Suchmaschine? Die berühmte Blackbox mit den vielen, ultrageheimen Algorithmen?

Ich bin da inzwischen ketzerisch und sage: Eine Suchmaschine macht nur das grobe Ranking, also nur eine grobe Auswertung, welche Seite zu einem bestimmten Stichwort relevant ist und welche nicht. Die Feinarbeit machen die Logikmodule, die am ehesten verstehen und entscheiden können, um was es in einer Web-Seite geht, nämlich die Nutzer der Suchmaschine. Wie meinen?

Wer sich den Quelltext einer x-beliebigen Ergebnisseite einer Suchmaschine anschaut, wird zunächst augenscheinlich erstaunt über die Effizienz der Ergebnisseite sein: Google schafft es in drei Zeilen – von der die dritte Zeile allerdings mehrere tausend Zeichen lang ist, in der Regel mindestens 15.000 Zeichen. Vom reinen HTML-Code kommt so eine Ergebnisseite auf eine Größe von 24 bis 27 Kilobytes. Es lohnt sich jedoch allemal, sich so eine Ergebnisseite einmal näher anzuschauen und sich auch mal die Mühe zu machen, so eine Seite lokal abzuspeichern, die Zeilenumbrüche manuell einzufügen und sich das mal anzuschauen, was zwischen HTML-Tags und CSS-Definitionen noch alles dabei ist, nämlich ein gehöriges Stückchen JavaScript, der es in sich hat.

Fangen wir aber von vorne an: Du gehst auf die Startseite von Google, gibst ein Suchwort an, lässt dir die Ergebnisse anzeigen. Wenn nun der nicht ganz dumme Nutzer auf einen der zehn Linkvorschläge mit dem Mauspfeil fährt, sieht er in seinem Browser unten in der Statuszeile für gewöhnlich die Zieladresse des Linkvorschlages:

Also, denkt sich der nicht ganz so dumme Nutzer, ist das ein einfacher Hyperlink zur Zielseite, ohne jegliche Hintertüre. Ist es das? Der Quellcode des Linkes spricht eine leicht andere Sprache:

<a href="http://www.netplanet.org/adressierung/subnetting.shtml" class=l onmousedown="return clk(this.href,'','','res','6','')">netplanet - Adressierung im Internet - IP-<<em>Subnetting</em></a>

Interessant an diesem Anchor-Tag ist der zusätzliche Parameter “onmousedown”, denn dieser Parameter besagt, dass ein Browser, bei dem die JavaScript-Ausführung aktiviert ist, bei einem Klick auf den Link nicht die Zielseite anspringen soll, die im Parameter “href” angegeben ist, sondern das tun soll, was im Parameter “onmousedown” angegeben ist. Sprich: Das, was in der Statuszeile des Browsers angegeben ist, nämlich die Adresse der Zielseite, ist in erster Linie Maskerade, denn sie soll zwar vortäuschen, dass ein Klick auf den Link direkt zur Zielseite führt, das tut sie aber nicht.

Denn in Wirklichkeit wird mit dem onmousedown-Parameter die JavaScript-Funktion “clk” aufgerufen, die im HTML-Head der Suchergebnisseite eingebettet ist und aus den in der Klammer beinhalteten Seiten- und Aufrufparametern einen URL erzeugt und aufruft. Und dieser sieht im Beispiel so aus. Zur besseren Übersichtlichkeit habe ich die einzelnen Parameter, die übergeben werden, untereinander geschrieben, stellt euch das als einzige, lange Zeile vor, die euer Webbrowser da im Hintergrund unbemerkt aufruft:

http://www.google.de/url?
sa=T&
source=web&
ct=res&
cd=6&
url=http%3A%2F%2Fwww.netplanet.org%2Fadressierung%2Fsubnetting.shtml&
ei=i4DrSPTpBJOa7QW98JXCDA

Interessant sind hierbei die Parameter “url”, der die Adresse der eigentlichen Zielseite enthält, der Parameter “cd”, der den Rank des Suchergebnisses enthält, und der Parameter “ei”, der eine google-interne ID darstellt, die auch auf der Suchergebnisseite verwendet wird.

Dieser gesamte URL wird dann per GET-Anfrage vom Browser abgeschickt, enthält jedoch als Ergebnis nicht etwa die Zielseite (die liegt ja logischerweise nicht bei Google), sondern einen Redirect auf die Zielseite, hierzu dient der Inhalt aus dem Parameter “url”. Der Browser schickt also seine Anfrage dann direkt an den Webserver mit der Zielseite und der Nutzer hat die Illusion, dass er mit dem Klick auf das Suchergebnis direkt dorthin gekommen wäre.

Mit diesem Aufruf rundet Google also seinen Suchabfragenablauf ab, der dann wie folgt aussieht:

1. Nutzer geht auf die Suchmaschine, gibt ein Suchwort ein.
2. Die Suchmaschine antwortet mit Suchergebnissen.
3. Nutzer klickt (mit einem javascript-aktivierten) Webbrowser auf einen Link in den Suchergebnissen.
4. Der Link führt eine JavaScript-Funktion auf, die einen URL generiert.
5. Der Webbrowser ruft diesen generierten URL, der zum Webserver der Suchmaschine führt, mit einer GET-Anfrage auf.
6. Der Webserver der Suchmaschine erhält die Anfrage und liefert als Ergebnis einen Redirect auf die eigentliche Zielseite.
7. Die Suchmaschine wertet die Entscheidung des Nutzers aus.

Ergebnis für Google ist, dass sie aufgrund der google-internen ID die Suchergebnisse direkt mit dem vom Nutzer angeklickten Link verbinden können. Die Jungs wissen also nicht nur, mit welchen Suchbegriffen der Nutzer sucht, sondern auch, auf welches Ergebnis der Nutzer dann in den Suchergebnissen klickt. Und damit ist der wichtigste Teil der Kette gelegt, von der die meisten Nutzer glauben dürften, dass es sie gar nicht gibt.

So, und jetzt denken wir das mal alles gut durch und binden diesen Ansatz im Falle von Google in den gesamten Lebenslauf einer Informationsrecherche ein: Der Nutzer sucht per Google zu einem bestimmten Stichwort eine Ressource und bekommt auf der Suchergebnisseite zehn Vorschläge. Er klickt auf einen Vorschlag, Google bekommt dies mit. Gefällt dem Nutzer dieser Vorschlag, wird er höchstwahrscheinlich keinen weiteren Link mehr anklicken, die letzte Rückmeldung zu einer Anfrage ist also möglicherweise die “gute” Antwort gewesen. Wenn das ein Nutzer macht, ist das nicht sehr aussagekräftig. Wenn es zehn Leute machen, schon eher. Wenn es Millionen Menschen machen, wird das aufregend gut.

Man kann das aber noch weiterspinnen, denn Google ist ja nicht nur die Suchmaschine, sondern Google ist ja auch Google Analytics oder Google AdSense. Der rote Ariadnefaden zieht sich so also nicht nur im Webbrowser des Nutzers, sondern auch auf den Servern von Google, die so – wenn man jetzt mal davon ausgeht, dass sie Daten miteinander verknüpfen können.

Und nun passt auch alles schlartig zusammen, wie in einem perfekten Puzzle – man muss lediglich ein paar Schritte zurücklaufen und das ganze Bild sehen: Die Inhalte, die Google indexiert, sind ihnen letztendlich schnurz, ihnen kommt es auf das Suchen an. Darum auch ein eigener Browser, der haargenau jeden einzelnen Suchschritt nach Hause sendet und vor allem den schnellsten JavaScript-Renderer weit und breit an Bord hat.

Na, geht es noch? Wir können jetzt nämlich noch ein gehöriges Stück weitergehen und tatsächlich anfangen, Google zu verstehen, warum sie nicht einfach alles nachbauen, was draußen existiert, sondern gern bestehende Erfolgsprojekte wie Blogger.com, YouTube, Keyhole (Google Earth) und wie sie alle heißen, einkaufen: Sie wollen lernen und mitschreiben, wie der Nutzer denkt, sucht und vor allem – findet.

Deshalb meine sicherlich heißen und nicht ohne weiteres fundierbaren Thesen:

1. Moderne Suchmaschinen sind im Grunde genommen schlicht dumm. Sicherlich können Computer heute nahezu perfekt die menschliche Sprache nachahmen, Handgeschriebenes in Echtzeit fast fehlerfrei auswerten und so tun, als ob sie intelligent auf die Inputs eines Menschen reagieren würden. Sie können aber nach wie vor nur so tun.
2. Moderne Suchmaschinen sind die eigentlichen Meister des Web 2.0, unter diesen eigentlichen Meistern ist Google der Großmeister. Sie versuchen erst gar nicht, die Inhalte vollständig selbst zu sortieren, sondern lassen das den Nutzer nebenher machen. Nicht finden ist sexy, sondern suchen.
3. Für eine Suchmaschine ist der suchende Mensch Kunde und Lieferant zugleich. Behandle ihn zuvorkommend und verkaufe ihm das als den Way of Life, denn die Suchmaschine braucht ihn zwingend.
4. Eine gute Suchmaschine muss Medienbrüche tun, muss tatsächlich auch für Medieninhalte verfügbar sein, für Mails, für Musik, Bilder und Videos auch für gedruckte und umständlich eingescannte Bücher, für abfotografierte Straßen, für wissenschaftliche Arbeiten, für Inhalte jeglicher Art, die Menschen suchen. Denn nur von denen, die suchen, wird gelernt.
5. Google lässt nahezu stoisch immer verlautbaren, dass sie zwar zwangsläufig Daten sammeln, aber nicht daran interessiert sind, die Privatsphäre des Nutzers zu beeinträchtigen. Möglicherweise kann man ihnen diesen Satz sogar abnehmen, da sie, nach meiner Theorie, tatsächlich gar nicht unbedingt am “Big Picture” Interesse haben, sondern am eher kurzen Leben einer Informationsrecherche, von Anfang bis Ende.

Und da wir gerade bei den Momenten der ketzerischen Thesen sind, fällt mir zu diesem Thema spontan ein Satz von Morpheus aus dem Film “The Matrix” ein, für den ich jahrelang eine passende Bedeutung gesucht und nun wohl auch gefunden habe:

“In uns haben die Maschinen eine Energiequelle gefunden, die ihren Bedarf mehr als deckt. Sie haben Felder angelegt, Neo, endlose Felder. Menschen werden nicht länger geboren, wir werden gezüchtet. Ich habe lange Zeit nicht daran geglaubt, bis ich die Felder mit meinen eigenen Augen gesehen habe. [Ich sah, wie sie die Toten in Flüssigkeit auflösen und damit die Lebenden intravenös ernähren.] Und als ich dastand und die erschreckende Präzision sah, wurde mir die Wahrheit schlagartig bewusst: Was ist die Matrix? Kontrolle. Die Matrix ist eine computergenerierte Traumwelt, die geschaffen wurde, um uns unter Kontrolle zu halten. Für sie sind wir nicht viel mehr, als das:

Der Ausgang aus der Matrix ist umfassend, möglicherweise etwas unkomfortabel, aber dafür kinderleicht umzusetzen: JavaScript im Webbrowser deaktivieren.