Artikel der Kategorie Allgemein

Netzbegrünung deckt IT-Sicherheits- und Datenschutz Schwachstellen von Ciscos Videokonferenzdienst Webex auf

Spätestens seit der Corona-Pandemie haben Videokonferenzen großflächig persönliche Treffen abgelöst. Während persönliche Treffen in 4 Wänden automatisch durch die Gesetze der Physik eine gewisse Vertraulichkeit des gesprochenen Wortes gewährleisten, müssen Software-Lösungen laufend an aktuellste IT-Sicherheitsstandards angepasst werden, worauf wir bereits in einem vorhergehenden Artikel hingewiesen haben. Wie relevant und konkret die in dem Artikel skizzierten Probleme sind, lässt sich an einem Bericht der Zeit über Cisco WebEx, über die von der Netzbegrünung entdeckte Schwachstelle erkennen. Neben den Versäumnissen bei der Einhaltung von Sicherheitsstandards reißt der Fall aber auch einige grundlegende Fragen über das Verhältnis von Software-Anbietern und Nutzer:innen und auch das Beschaffungswesen von Behörden auf.

Der Fall Cisco Webex

Das größte von der Netzbegrünung gefundene Problem ist, dass bei Instanzen, wie sie beispielsweise auch von der Bundeswehr genutzt werden, die im Hintergrund angelegte Zuordnungsnummern von neuen Meetings nicht zufällig gewählt werden, sondern fortlaufend hoch gezählt werden. Das bedeutet, dass unter Kenntnis eines halbwegs aktuellen Meetings, das beispielsweise öffentlich dokumentiert wurde oder eines persönlichen Meetingraums, schnell weitere Nummern ausprobiert werden können, die dann Informationen über anstehende oder jüngst vergangene Meetings verraten. Sofern von den Nutzenden nicht anders eingestellt, werden Titel des Meetings, Name der Person die das Meeting erstellt hat, Telefoneinwahldaten, Uhrzeiten des Meetings und gegebenenfalls weitere Informationen öffentlich abrufbar. Wenn Nutzende glauben, diese Informationen seien geheim, sofern das Meeting nicht explizit an weitere Personen geteilt wird, laufen sie dabei in ein sehr scharfes Messer, wie der Fall der Bundeswehr zeigt. Es waren viele Meeting-Titel einsehbar, die teilweise explizit im Titel die Klassifizierung „Verschlussachen – Nur für den Dienstgebraucht“ trugen. Alleine die Offenlegung des Titels dürfte in einigen Fällen als kritisch bewertet werden.

Neben den erstellten Meetings verrät Webex auch Informationen über die Nutzer:innen selbst. Sofern nicht anders eingestellt, werden für alle aktiven User einer Webex-Installation öffentlich einsehbare Nutzer:innen-Profile mit ihrem Mailpräfix (z.B. vorname.nachname) angelegt, inklusive Profilbild und einem zugehörigen persönlichen Meetingraum. Da Webex-Kund:innen eigene Domains bzw. Subdomains nutzen, lassen sich so beispielsweise Namens-Kombinationen ausprobieren, um herauszufinden, ob eine Person in der entsprechenden Organisation existiert. Dies konnte die Netzbegrünung beispielsweise bei mehreren Bundesministerien nachvollziehen. In Kombination mit den hochzählenden Nummern war es damit auch bei der Instanz der Bundeswehr möglich, vollständige oder nahezu vollständige E-Maildatensätze zusammenzustellen.

Eine durchaus beliebte Funktion von WebEx ist die Telefoneinwahl
. Sie öffnet aber Tür und Tor für Angriffe. Grundsätzlich – und das ist keine Neuigkeit – sind Telefongespräche nicht verschlüsselt und bieten damit keine ausreichende Sicherheit für vertrauliche Gespräche. Dies gilt besonders im Bereich von Regierungsorganisationen oder Unternehmen, die Industriespionage oder ähnliches fürchten müssen. Erschwerend kommt aber hinzu, dass die Übersichtlichkeit in Meetings deutlich nachlässt, je mehr Teilnehmer:innen über Telefon eingewählt sind. Hinweistöne über hinzugekommene Teilnehmer:innen werden überhört oder man traut sich nicht Nachfragen zu stellen, wenn die Chefin vom Chef mit im Meeting sitzt. Schlimmstenfalls sind alle Teilnehmenden per Telefon eingewählt und können gar nicht sehen, ob weitere Personen in der Konferenz sind. Aus Bequemlichkeit werden dann noch Meeting-Zahlencodes für den Zugang deaktiviert oder sind standardmäßig für manche Typen von Meetings gleich gar nicht aktiviert.

Sehr kritisch zu bewerten ist, dass die On-Premises-Lösung von Webex sehr oft von Institutionen eingesetzt werden, die für sich einen erhöhten Bedarf zum Schutz von Informationen sehen. Dies sollte Cisco, dem Hersteller der Software, bekannt sein. Dennoch ist das Produkt offensichtlich so gestaltet, dass die Nutzer:innen entweder sehr leicht und ohne Verständnis der Konsequenzen falsche Einstellungen auswählen können, oder sogar von vornherein gefährliche Einstellungen ausgewählt sind.

Die besseren Alternativen stehen bereit

Dabei wäre es gar nicht nötig. Open Source Videokonferenz-Lösungen, die in Standard-Einstellungen eine extrem hohe Datensparsamkeit praktizieren, und auch komplett in eigener Infrastruktur betrieben werden können, sind verfügbar. Sie bieten die Möglichkeit hoher IT-Sicherheit und machen Datenschutzanfoderungen zu einer lösbaren Aufgabe.

Bestenfalls können diese, dadurch, dass der komplette Quellcode einseh- und notfalls sogar modifizierbar ist, vollständig an die eigenen Bedürfnisse angepasst werden. Im Gegensatz zu Webex würfelt beispielsweise eine der am häufigsten genutzten Open Source Alternativen für jede Konferenz einen neuen zufälligen Raum-Namen. Und nach Beendigung der Konferenz werden alle Informationen, beispielsweise Chatnachrichten, verworfen. Eine versehentliche Veröffentlichung von Informationen, wie es bei Webex der Fall gewesen ist, wäre durch eine gute Vorauswahl der Standardeinstellungen verhindert worden. Gleichzeitig lässt sich das Sicherheitsniveau beliebig erhöhen, indem beispielsweise für das Anlegen von Konferenzen ein Login erforderlich gemacht wird. Alternativ kann auch der komplette Dienst mit einem Login versehen werden, so dass nur authentisierte Nutzer:innen an Videokonferenzen teilnehmen können.

Falls das notwendige Wissen zum Betrieb einer eigenen Videokonferenz-Lösung innerhalb einer Organisation nicht vorhanden ist, besteht durch eine Open-Source-Lösung immer noch der Vorteil, dass der Dienstleister im Falle der Fälle ausgetauscht werden kann. Für diese Open-Source Alternativen gibt es alleine im deutschsprachigen Raum dutzende Dienstleistungsunternehmen, darunter beispielsweise auch unseren genossenschaftlichen IT-Dienstleister verdigado.

IT-Sicherheit von Open Source und proprietären Lösungen

Augenscheinlich erkennen viele Organisationen an, dass nur mittels On-Premises-Lösungen ein ausreichender Schutz von Informationen gewährleistet werden kann, darunter auch die Bundeswehr. Allerdings greift es zu kurz, einfach nur eine Software auf eigenen Servern zu betreiben. Für einen sicheren und zuverlässigen Betrieb ist es notwendig, dass die betriebene Software verstanden und auch überprüft werden kann. Dies ist nur mit Open Source gewährleistet.

Darüber hinaus haben viele Open-Source-Projekte, gerade weil ihr Quellcode offen ist, ein wesentlich höheres Bestreben, eine von Haus aus sichere Lösung zu sein. In den öffentlichen Ticket-Systemen vieler Open-Source-Projekte lässt sich das Streben nach sicheren Standardeinstellungen in teilweise minutiösen und langwierigen öffentlichen Diskussionen nachvollziehen. Bei vielen proprietären Lösungen scheint Sicherheit ein nachrangiges Ziel zu sein. Es wird vor allem dann nachgebessert, wenn öffentlich Probleme auftauchen. Das beste Beispiel aus der jüngeren Berichterstattung ist Microsoft.

Dabei sollte Open Source auf keinen Fall mit „kostenlos“ übersetzt werden. Auch quelloffene Software muss programmiert und betrieben werden, wofür ebenfalls Kosten anfallen. Nur fallen diese Kosten nicht in pauschalen Lizenz- oder Nutzungsgebühren an. Stattdessen werden oft die Aufwände bezahlt, die die Dienstleistungsunternehmen bei Updates, Fehlerhebung oder Anpassung der Konfiguration haben. Bestenfalls fallen die Kosten für eine interne IT-Abteilung an. Ein auf Open Source basierendes Finanzierungsmodell kann aber wesentlich ehrlicher sein, da konkrete Leistungen erbracht und vergütet werden. Nach Verkauf einer Nutzungslizenz hat ein Anbieter einer proprietären Lösung keine intrinsische, wirtschaftliche Motivation, ein Produkt laufend zu verbessern, da den anfallenden Kosten keine weiteren Einkünfte gegenüber stehen. Bestenfalls wird eine neue Version des Produkts entwickelt, damit eine neue Lizenz verkauft werden kann.

Ciscos Scherbenhaufen

Ciscos Scheitern gegenüber seinen Kund:innen festigt einmal mehr den schlechten Ruf, den Cisco bereits in IT-Sicherheitskreisen hat. Allen Ingeneur:innen bei Cisco, die an Webex gearbeitet haben dürften, dürfte das architektonische Problem der Enumerierbarkeit der Meeting-IDs bekannt sein. Doch anstatt das Problem in seiner Software zu lösen oder zumindest die Kund:innen ausreichend deutlich vor dem Problem zu warnen, versucht Ciscos Marketing-Abteilung mit dem Stichwort „KI“ und dem grandios klingenden Namen Hypershield ein weiteres, wahrscheinlich teures und wenig Nutzen bringendes Produkt zu verkaufen.

Presseanfragen bitte per E-Mail an backoffice@netzbegruenung.de oder per Telefon an ⁨+49 1512 5377074⁩.

Offener Brief für einen starken und unabhängigen Datenschutz

An die Bundesregierung, insbesondere
die Bundesministerin des Innern und für Heimat, Frau Nancy Faeser,
den Chef des Kanzleramtes, Herrn Wolfgang Schmidt,

An die Fraktionsvorsitzenden der Parteien SPD, BÜNDNIS 90/DIE GRÜNEN, FDP,
Herrn Rolf Mützenich MdB, Frau Katharina Dröge MdB,
Frau Britta Hasselmann MdB und Herrn Christian Dürr MdB,

An die Präsidentin des Deutschen Bundestages, Frau Bärbel Bas MdB

Berlin u.a., den 19.03.2024

Offener Brief

Protest gegen die Beschädigung des Amtes des/der
Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

Sehr geehrte Damen und Herren,
Die Bundesregierung der Bundesrepublik Deutschland hat sich in ihrem Koalitionsvertrag 2021-2025
„Mehr Fortschritt wagen – Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit“ zur Aufgabe
gemacht, den Datenschutz zu stärken. Ihre eigenen Worte lauten auf Seite 104: „Den Rechtsschutz
sowie die Datenaufsicht durch den Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit (BfDI) stärken wir deutlich.“
Die Vorgänge in Bezug auf die Neu- oder Weiterbesetzung des Bundesbeauftragten für Datenschutz
und Informationsfreiheit (BfDI) schaden dem Amt jedoch in noch nie dagewesener Weise. Eine
Unklarheit über die Fortführung der Amtsgeschäfte schwächt den gesamten Datenschutz in Bund und
Ländern. Nichts fügt dem Datenschutz in Deutschland jedoch einen größeren und nachhaltigeren
Schaden zu, als das verheerende Zeichen, dass der BfDI sich bei seinen unabhängigen
Amtsgeschäften nicht sicher vor politischer Sanktion und damit vor politischer Einflussnahme sein
kann. Es entsteht der Eindruck, der bisherige Amtsinhaber könnte sich eine mögliche zweite Amtszeit
nicht durch den Einsatz für die Sache erarbeiten, sondern insbesondere durch politische Gefügigkeit.
So erginge es jedoch auch jeder nachfolgenden Person im Amt der oder des BfDI.

Laut DSGVO und BDSG handelt die Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der
Ausübung ihrer Befugnisse völlig unabhängig. Sie oder er unterliegt weder direkter noch indirekter
Beeinflussung von außen und ersucht weder um Weisung noch nimmt sie oder er Weisungen
entgegen. Zum Verfahren zur Besetzung der Datenschutzaufsicht führt die DSGVO in Art. 53 aus: „Die
Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten
Verfahrens ernannt wird.“ Ein transparentes Verfahren zur Benennung ist in Deutschland aktuell nicht
vorgesehen. Dieser Umstand wird von Fachverbänden zu recht bemängelt. Die aktuell entstandene
Verunsicherung ist eine unmittelbare Auswirkung dieser fehlenden Transparenz.

Es ist bekannt, dass sich der kommissarisch amtierende BfDI für eine weitere Amtszeit bewirbt. Es
gibt keine Äußerung der Bundesregierung, warum eine nochmalige Benennung nicht geplant ist oder
wer anstelle des amtierenden BfDI der Vorschlag ist. Ein transparentes Verfahren gibt es nicht. Dies
gibt Raum für Spekulationen, die der Person, der Behörde, dem Datenschutz als solchem und nicht
zuletzt auch dieser Bundesregierung selbst schaden.

Die unterschreibenden Organisationen eint die Sorge um die Unabhängigkeit des BfDI und damit um
die Effektivität des Datenschutzes in Deutschland.

Wir fordern die Bundesregierung und den Bundestag auf, den bereits in erheblicher Weise
entstandenen Schaden nach allen Kräften zu begrenzen und schnellstmöglich Klarheit über die
Fortführung zu schaffen. Um die Beschädigung nicht als Dauerzustand fortzusetzen, müssen
außerdem die Weichen für die Stärkung der Unabhängigkeit des Bundesbeauftragten für
Datenschutz und Informationsfreiheit durch das Festschreiben eines transparenten
Benennungsverfahrens gestellt werden.

Mit freundlichen Grüßen

  1. Ann Cathrin Riedel und Teresa Widlok für LOAD e.V.
  2. Caroline Krohn für die AG Nachhaltige Digitalisierung
  3. Padeluun für Digitalcourage e.V.
  4. Lilli Iliev für Wikimedia Deutschland – Gesellschaft zur Förderung Freien Wissens e. V.
  5. Henriette Litta für die Open Knowledge Foundation Deutschland
  6. Bianca Kastl für den Innovationsverbund Öffentliche Gesundheit e.V. (InÖG)
  7. Max Schrems für noyb – Europäisches Zentrum für digitale Rechte
  8. Dr. Stefan Brink für das Wissenschaftliche Institut für die Digitalisierung der Arbeitswelt,
    wida
  9. Christine Regitz für die Gesellschaft für Informatik e.V.
  10. Prof. Dr. Daniel Loebenberger für den Fachbereich Sicherheit – Schutz und Zuverlässigkeit
    der Gesellschaft für Informatik e.V. / Fraunhofer AISEC
  11. Dr. Martin Weigele für den Arbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für
    Informatik e.V.
  12. Elisa Lindinger für SUPERRR Lab
  13. Prof. Dr. Dennis-Kenji Kipker für das cyberintelligence.institute
  14. Matthias Spielkamp für die AW AlgorithmWatch gGmbH
  15. Jennifer Herbert für Netzbegrünung e.V.
  16. Stefan Hügel & Rainer Rehak für das Forum InformatikerInnen für Frieden und
    gesellschaftliche Verantwortung
  17. Chaos Computer Club e.V. (CCC)
  18. Svea Windwehr für D64 – Zentrum für Digitalen Fortschritt
  19. Johannes Näder für die Free Software Foundation Europe e.V.
  20. Frederick Richter, LLM für die Stiftung Datenschutz
  21. Peter Schaar für die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID),
    ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
  22. Tom Jennissen für die Digitale Gesellschaft e.V.
  23. Robert Peter, Weizenbaum Institut e.V.

Sicherheitsrisiken bei der Nutzung von Videokonferenzdiensten wie WebEx, Zoom, MS Teams, etc.

In den letzten Tagen liest man viel über Sicherheitsbedenken im Bereich Videokonferenzen. Wir möchten gerne etwas Aufklärungsarbeit leisten und zeigen, wie man seine Organisation auf einem hohen Niveau absichern kann.

Dabei wollen wir insbesondere die vielfältigen Vorteile einer On-Premise Lösung, also eine auf beliebigen Servern (selbst) installierbaren (und damit dezentralen) Software beleuchten.

Ein wichtiges Thema ist der Standard der IT-Sicherheit. Also die Absicherung der Server-Systeme gegenüber Angreifer*innen. On-Premise Lösungen bieten dabei einen großen Vorteil. Die Organisation, die eine Software auf ihrem Server installiert oder ihre IT-Partner damit beauftragt, kann das Maß an IT-Sicherheit der Server selbst bestimmen. Das wird nicht von Plattformanbietern wie z.B. den US-Firmen Cisco, Microsoft oder Zoom festgelegt, sondern vom Betreiber der Software auf dem Server. Das kann eine interne IT, ein IT-Partner oder ein beliebiges IT-Dienstleistungsunternehmen sein. Sowohl die Entscheidungsgewalt als auch die Vorgaben können komplett in der eigenen Organisation liegen. Die IT-Sicherheit entspricht dann den eigenen Standards. Diese können deutlich höher angesetzt werden, als sie ein Anbieter, der seine Software mit hohen Margen vertreiben und geringen Kosten betreiben möchte, in der Praxis wählen würde. Das Budget für IT-Sicherheit bestimmt dann die eigene Organisation, nicht die Plattformanbieter.

Dazu kommt, dass die Datensicherheit und der Standort der Server und damit der Speicherort der Daten bei On-Premise Lösungen frei gewählt werden kann. Das ermöglicht Standorte, die von EU-Firmen betrieben werden, was zum einen aufgrund der DSGVO den Sicherheitsstandard schon grundlegend höher ansetzt und zum anderen wird sichergestellt, dass Daten nicht schon aufgrund von Verpflichtungen der Serverbetreibenden in die Hände von Geheimdiensten oder andere staatlichen Akteuren gelangen.

Anders als Unternehmen wie Microsoft (mit Teams) gerne behaupten, betrifft der Serverstandort aber oft nur einen Teil des Datenverkehrs. Die meisten Plattformanbieter verwalten beispielsweise Anmeldedaten zentral (außerhalb von Europa) und bieten damit wieder einen neuen Angriffspunkt. So kann es beispielsweise für einen Geheimdienst oder andere staatlichen Akteure von großem Interesse sein, wie ein*e Teilnehmer*in heißt, um dann gegebenenfalls gezielt Meetings mit dieser Person abzugreifen (z.B. Minister*innen). Aber bereits die IP-Adresse kann eine Filterung möglich machen. Für den Zugriff auf diese Daten gelten dann nämlich in allererster Linie die länderspezifischen Regelungen des Speicherorts.

Positiv im Datenschutzbereich ist es außerdem zu bewerten, dass bei einer on-premise Lösung datensparsam gearbeitet werden kann. Das Datensparsamkeitsprinzip im Umgang mit Kommunikationsdaten macht es überhaupt erst möglich, sich nicht von Grauzone zu Grauzone am Rande der DSGVO zu bewegen. Die Plattformanbieter hingegen versuchen durch Zustimmung zu Datenverarbeitungen und jeder Menge Datenschutzkosmetik darüber hinwegzutäuschen, wie niedrig der Standard an vielen Stellen ist.

Beispiele:

Beispielsweise arbeitet der US-Anbieter zoom mit der Telekom zusammen, um den Anschein einer lokalen Verarbeitung zu erwecken. Davon sollte man sich nicht täuschen lassen. Wenn man beispielsweise lmu-munich.zoom-x.de in seinen Browser eingibt, wird man schnell merken, dass die eigentliche Domain weiterhin lmu-munich.zoom.us ist, hinter der sich ein amerikanischer Server befindet.

 

Bei Cisco WebEx vom Wirtschaftsministerium sieht es ähnlich aus:

Anstatt die Daten auf eigenen Servern zu verarbeiten, greifen entsprechende Organisationen dann gerne auf Auftragsdatenverarbeitungsverträge mit den Unternehmen zurück. Damit gibt die Organisation die Verantwortung für die Datenverarbeitung ab. Das löst rechtliche Bedenken für die Organisationen, den User*innen bringt das aber
keinen Millimeter zusätzlichen Datenschutz. Die Datenhoheit, dass die Organisation selbst entscheiden kann, was sie löscht oder speichert, geht komplett verloren. Übrig bleiben im besten Fall rechtliche Absicherungen, im schlechtesten schön formulierte Beteuerungen.

Aber die Nutzung von on-premise Produkten ist nur eine Komponente. Eine weitere stellt die Nutzung von quelloffener Software dar. Das bedeutet, dass der Programmiercode, aus dem die Software erstellt ist, offen einsehbar ist. Bei quelloffenem Code sind schlechte Sicherheitsstandards, wie z.B. die Nutzung veralteter Frameworks oder ähnliches sofort sichtbar. Aber auch im Detail können IT-Sicherheitsexpert*innen dann beurteilen, ob eine Software hohe oder niedrige Sicherheitsstandards anwendet.

Ob die Bundeswehr von Cisco eine WebEx-Variante zur Verfügung gestellt bekommt, die wirklich hohen Sicherheitsanforderungen genügt, ist von außen nicht beurteilbar. Es ist nicht davon auszugehen, dass Cisco für die Bundeswehr den Quellcode offenlegt. Dabei ist der Quellcode essenziell dafür, wie z.B. die Teilnahme an Konferenzen so abgesichert wird, dass es nicht die Gefahr von ‚unsichtbaren‘ Teilnehmer*innen gibt.

Auch wenn Open-Source Software oft schon eine Entwicklungs-Community mitbringt, die auch ein hohes Sicherheitsbewusstsein hat, gibt es ergänzend dazu eine Möglichkeit, die closed-source Systeme nicht bieten. Man kann als Organisation Erweiterungen oder Weiterentwicklungen beauftragen und auch hier wieder selbst aktiv Einfluss auf den Sicherheitsstandard nehmen. Davon profitiert dann nicht nur die eigene Organisation, sondern letztlich alle Teile der Gesellschaft, die in Berührung mit dem Tool kommen.

Auch die Abhängigkeiten von Plattformanbietenden oder -betreibenden entfallen bei quelloffener Software. Plattformen zwingen die Käufer*innen zu zentralen Supportanbieter*innen – in der Regel die Entwicklungsfirma selbst. Auch kann das Geschäftsmodell jederzeit angepasst werden. Eine Software, die gestern noch eine Kaufversion war, kann bereits morgen auf ein Abomodell umgestellt sein. Die alte Version wird wiederum dadurch unbrauchbar gemacht, indem keine Sicherheitsupdates mehr zur Verfügung gestellt werden. Bei quelloffenen Systemen hingegen können Anbieter*innen und Implementierungs-Partner*innen unabhängig von der Software gewählt werden – und bei Bedarf ausgetauscht werden.

Zusammenfassend lässt sich festhalten, dass durch den Einsatz von on-premise Open-Source-Systemen die Nutzer*innen bzw. die einsetzenden Organisationen einen hohen Gestaltungsspielraum im Bezug auf Datenschutz, Transparenz und Sicherheit haben. Der Betrieb von Kommunikationssoftware im Sinne der DSGVO ist damit möglich und die Vorgaben, die die DSGVO macht, werden bei on-premise Open-Source-Systemen zu lösbaren Aufgaben anstatt wie bei Platformanbieter*innen wie WebEx, Zoom oder Teams zu Hindernissen, die durch rechtliche Grauzonen und Verbraucher*innentäuschung kaschiert werden sollen.

Was kann ich stattdessen nutzen?

Grünen Parteimitgliedern empfehlen wir die Nutzung von meet.gruene.de

Wir stellen aber auch anderen grün-nahen Organisationen unseren Dienst konferenz.netzbegruenung.de zur Verfügung.

Wenn du für deine Organisation eine eigene Lösung haben möchtest, kannst du dich gerne an support@verdigado.com wenden.

Mitgliederprozess

Wer ist die netzbegrünung?
Die netzbegrünung – Verein für grüne Netzkultur setzt sich seit 2006 dafür ein, „das Netz“ und BÜNDNIS 90/DIE GRÜNEN näher zusammenzubringen. Dabei setzen wir auf Open Source, um Sicherheit, Schutz und Digitale Souveränität zu stärken. Viele der Tools, die die Parteimitglieder von BÜNDNIS 90/DIE GRÜNEN regelmäßig in ihrem Parteialltag nutzen, gehen auf die Initiative unserer Mitglieder zurück. Beispielsweise das Antragsgrün, die Wolke oder der Sharepicgenerator. 2019 haben wir eine Genossenschaft gegründet, die unsere etablierten IT-Projekte seitdem verwaltet und supported.

Warum ein Mitgliederprozess?
Die dadurch frei gewordenen Kapazitäten wollen wir nutzen, um wieder zur Ideenschmiede und Experimentierwerkstatt zu werden, die Dinge einfach mal ausprobiert und unkompliziert verwirklicht. Gleichzeitig wollen wir raus aus der Bubble und Menschen einbinden, die nicht die gleiche IT-Affinität wie wir selbst besitzen. Unser Anspruch ist es, uns auch an gesamtgesellschaftlichen Diskussionen und Entwicklungen rund um den digitalen Raum und die Kultur im Netz zu beteiligen. Wir setzen dabei auf unsere Mitglieder, denn Wandel gelingt am Besten, wenn er aus unterschiedlichen Perspektiven gestaltet wird.

Wie soll das konkret ablaufen?

  1. Mitgliederbefragung – bis 24. Februar 2024
    WAS WÜNSCHEN SICH UNSERE MITGLIEDER?
    Seit der BDK 2023 bewerben wir den Mitglieder- und Erneuerungsprozess der netzbegrünung offensiv und versuchen so, möglichst viele Perspektiven einzubinden. Mit unserer ersten digitalen Mitgliederversammlung 2024 gehen wir den nächsten Schritt und starten eine breit angelegte Mitgliederbefragung, um das Fundament für unsere weitere Arbeit zu legen. Den Fokus richten wir dabei auf Grundwerte, politische Handlungsfelder sowie Beteiligungsmöglichkeiten.     Den Link zur Mitgliederbefragung erhaltet ihr per Mail sowie über unseren Mitgliedschannel in der chatbegrünung: #netzbegruenung-mitglieder.
  2. KickOff Veranstaltung: Positions- und Zielbestimmung (Mitgliederöffentlich) – am 14. März 2024
    WARUM TUN WIR WAS WIR TUN? | WIE SEHEN WIR UNS SELBST?
    Erste Ergebnisse der Mitgliederbefragung wird der Vorstand der netzbegrünung auf einer Klausurtagung auswerten. Anschließend wollen wir diese auf einer mitgliederöffentlichen KickOff-Veranstaltung zur vorläufigen Positions- und Zielbestimmung debattieren.
  3. Gesprächsreihe mit Beteiligten und Betroffenen (Mitgliederöffentlich) – TBA
    WAS ERWARTEN ANDERE VON UNS?
    Die vorangegangene Debatte werden wir Beteiligten und Betroffenen (z.B. LAG & BAG Digitales und Medien, Landes- & Bundesvorstand, Digitalpolitiker*innen oder auch anderen Digitalverbänden) zugänglich machen, um mit ihnen zu besprechen, was sie von einem grünnahen Digitalverband erwarten und welche Kooperations- und Entwicklungsmöglichkeiten sie sehen.
  4. Workshop: Wohin und wie weiter? (Mitgliederöffentlich) – TBA
    WELCHE LEHREN ZIEHEN WIR AUS DEN GESPRÄCHEN? WELCHE ZIELE SETZEN WIR?
    Anschließend blicken wir auf unsere KickOff-Veranstaltung zurück und erarbeiten anhand der Rückmeldung von Beteiligten und Betroffenen, welche Ergänzungen oder Streichungen notwendig sind. Daraus leiten wir ein Selbstbild und eine Zielbestimmung ab.
  5. Operationalisierung (Mitgliederöffentlich)
    WIE WOLLEN WIR ARBEITEN?
    Abschließend leiten wir aus Selbstbild und Zielbestimmung Konsequenzen für unsere tagtägliche Arbeit ab. Dazu werden wir in Themenblöcken diskutieren, welche strukturellen, inhaltlichen und die Öffentlichkeitsarbeit betreffenden Veränderungen und Anpassungen notwendig sind.

Einen vorläufigen, ausführlich formulierten Zeitplan findet ihr auch hier.

#BDK23 – Bei der netzbegrünung tut sich was!

Unser Flyer zur Bundesdelegiertenkonferenz von Bündnis 90/Die Grünen:

Wer wir sind:
Wir sind die netzbegrünung. Eigentlich mögen wir Papier nicht so gerne, aber das hier ist wichtig:

Wir setzen uns seit 2006 dafür ein, „das Netz“ und Bündnis 90/Die Grünen näher zusammenzubringen. Dabei setzen wir auf OpenSource, um Deine Sicherheit, Deinen Schutz und Deine Souveränität zu stärken. Viele der Tools, die Du regelmäßig in Deinem Parteialltag nutzt, gehen auf die Initiative unserer Mitglieder zurück. Beispielsweise das Antragsgrün, die Wolke oder der Sharepicgenerator. Mehr dazu auf der Rückseite.

Seit 2014 gibt es uns auch ganz offiziell als Verein. Das hat es uns ermöglicht, bestehende Services auszubauen und weiter zu professionalisieren. 2019 haben wir dabei den letzten großen Schritt gewagt und eine Genossenschaft, die verdigado, gegründet. Diese supported und verwaltet seitdem etablierte Projekte – z.B. das Antragsgrün.

Was wir vorhaben:
Jetzt, da wir unsere bewährten IT-Projekte bei der verdigado in guter Hand wissen, wollen wir uns als Verein neu aufstellen. Wir wollen wieder zur Ideenschmiede und Experimentierwerkstatt werden, die Dinge auch einfach mal ausprobiert und unkompliziert verwirklicht. Dabei hilft uns unsere jahrelange Erfahrung bei der praktischen Umsetzung von IT-Projekten.

Gleichzeitig wollen wir raus aus der Bubble. Daher nehmen wir nicht nur die Bedürfnisse der Mitglieder von Bündnis 90/Die Grünen in den Blick, sondern haben den Anspruch auch gesamtgesellschaftliche Diskussionen und Entwicklungen rund um den digitalen Raum und die Kultur im Netz zu gestalten.

 

Weshalb wir Dich dafür brauchen:
Wir können nur gemeinsam Großes bewegen und Wandel gelingt am besten, wenn er aus unterschiedlichen Perspektiven gestaltet wird.  Deshalb brauchen wir Dich!

Wir vertrauen auf das bewährte OpenSource-Prinzip und hoffen, dass möglichst viele engagierte Menschen mitgestalten, wie es gemeinsam weitergeht.

Dafür brauchen wir Deine Skills! Ob Du alleine oder mit ein paar Freund*innen ein Digitalprojekt anstoßen und umsetzen willst und dafür Unterstützung brauchst, oder Dich an bestehenden Projekten beteiligen willst – bei uns bist Du richtig.

Du erarbeitest und diskutierst gerne netzpolitische Forderungen, organisierst gerne Veranstaltungen oder hast Lust unsere Website neu zu designen? Dann brauchen wir Dich erst recht.

Jetzt Mitglied werden!