Archiv der Kategorie: Forschung

Bonpflicht als Chance

Die Bäcker jammern: Ab Januar 2020 müssen sie zu jedem Einkauf einen Kassenbon erstellen (und zugleich ihre Kassen mit einer manipulationssicheren Protokollierung ausstatten). Das Bundesfinanzministerium antwortet mit dem Hinweis, dieser Pflicht können auch mit der Ausgabe elektronischer Belegen Genüge tun, woraufhin Medien von Lösungen per E-Mail oder Smartphone phantasieren. Dabei könnte alles sehr einfach sein.

Selbst das traditionelle Bäckerhandwerk entdeckt ganz, ganz langsam das elektrische Bezahlen. Das funktioniert heute kontaktlos und bei kleinen Beträgen ohne PIN-Eingabe. Kunden bekommen den zu zahlenden Betrag angezeigt, halten ihre Karte ans Terminal und finden später einen Nachweis auf ihrem Kontoauszug oder ihrer Kreditkartenabrechnung beziehungsweise in den entsprechenden Funktionen ihrer Online-Bank.

In dieses Verfahren ließen sich elektrische Kassenzettel gut integrieren. Aus Nutzersicht handelt es sich um eine detailliertere Version des Verwendungszwecks, der ohnehin übermittelt und angezeigt wird. Eines Tages könnten die für den Zahlungsverkehr eingesetzten Protokolle solch eine Funktion direkt unterstützen. Gegenwärtig tun sie dies vermutlich nicht und Standardisierungsbemühungen in der Finanzwirtschaft dürften etwas länger dauern.

Bis dahin könnte man sich mit einem Verfahren behelfen, das sich aktuelle Versionen des elektronischen Rezepts zum Vorbild nimmt. Bei allen Kartenzahlungen kämen die digitalen Kassenzettel dann in einen Cloudservice, der sie für eine gewisse Zeit, etwa sechs Monate, zum Abruf vorhielte. Käufer erhielten via Abrechnung zu jedem digitalen Kassenbon eine eindeutige, praktisch nicht erratbare Referenznummer, mit der sie ihn aus der Cloud abrufen könnten. Optional könnte man die Kassenbondaten sogar verschlüsseln (dann dürfte man jedoch zum Abruf nicht denselben Schlüssel verwenden wie zum Entschlüsseln).

Als MVP bekämen man also bei Kartenzahlung in der Abrechnung eine Zahlenkolonne zu sehen, mit der wir den Kassenbon abrufen könnten. Mit etwas gutem Willen und nach einigen Jahren Beratung in  verschiedenen Gremien könnte daraus eine Funktion im Online-Banking werden, mit der sich zu jeder Zahlung der zugehörige Kassenzettel abrufen ließe, wahlweise direkt aus der Cloud während der vorgesehenen Speicherdauer dort oder auf Wunsch aus einem automatisch geführten persönlichen Archiv mit selbst gewählter Speicherdauer und nützlichen Verwaltungsfunktionen zum Beispiel zur Erstellung von Steuererklärungen.

So ungefähr dächten wir über dieses Thema nach, wären wir digital auf der Höhe der Zeit. Wir sind es nicht und zahlen bei vielen Bäckern noch bar. Dazu passt der Bon auf Papier.

PS: Einen Monat später sehen das andere ähnlich. (2019-12-17)

PPS: Weitere anderthalb Monate später diskutiert Deutschland weiter über Kassenbons und zunehmend über digitale Lösungen. (2020-01-29)

PPPS: Das Handelsblatt hat herausgefunden, dass die Bonpflicht zu einem Innovationsschub im Handel führt. (2020-01-30)

Schnapsidee: Falschfahrerwarnung als Werbegag in der Radio-App

Der Radiosender Antenne Bayern hat sich von Bosch einen Werbegag für seine App bauen lassen und mir stehen die Haare zu Berge. Es handelt sich um eine neue Funktion in der App des Senders, eine Falschfahrerwarnung. Das noble Ziel: „Keine Verkehrstoten mehr durch Falschfahrer“, doch der Weg erscheint fragwürdig.

Die Warnfunktion besteht offenbar aus zwei Teilen. Der eine erkennt Falschfahrten daran, dass sich eine aktive Instanz der App in der falschen Richtung durch eine Autobahnauffahrt bewegt, und meldet dieses Ereignis an einen Clouddienst. Der andere empfängt Warnmeldungen und gibt sie aus. Nach eigenen Angaben hat man dabei auch an den Datenschutz gedacht. Technisch ist das so weit plausibel und den Datenschutz glaube ich einfach mal ohne Prüfung. Wenig Sinn ergibt jedoch das Konzept insgesamt, wenn als übliche Anforderungen an einen Sicherheitsmechanismus erstens Verlässlichkeit verlangt und zweitens die Anpassung der Technik an den Menschen.

Die Verlässlichkeit scheitert daran, dass sie Warnfunktion in einer Radio-App steckt. Erkannt werden nur Falschfahrer, welche die App benutzen und die Funktion aktiviert haben, gewarnt ebenso nur Nutzer der App mit aktivierter Warnfunktion. Laut den Mediadaten für Antenne Bayern hat die App im Monat knapp 300.000 „Unique User“. Das entspricht etwa der Einwohnerzahl von Bayerns drittgrößter Stadt Augsburg oder weniger als 2,5% der bayerischen Bevölkerung. Gehört ein Geisterfahrer nicht zu dieser Minderheit, warnt auch niemand vor ihm. Nach Angaben von Bosch steckt die Funktion noch in einigen anderen Apps, aber das ändert nichts am grundlegenden Problem, dass Entertainment-Apps kein guter Träger für Sicherheitsfunktionen sind.

Selbst wenn die Warnfunktion auf jedem bayerischen Mobiltelefon aktiv wäre, übersähe sie immer noch ausgerechnet ortsunkundige Auswärtige sowie jeden, der das Telefon zu Hause ließe, dessen Akkuladung zur Neige ginge oder der im Funkloch geisterführe. Umgekehrt hätten Bayern auswärts wenig von der Warnfunktion, nähmen sie per App zwar ihren Lieblingssender mit, begegneten jedoch in der Fremde falschfahrenden Saupreißn ohne App. Man müsste schon gewaltiges Glück in einem nicht sehr wahrscheinlichen Unglück haben, um aus der App überhaupt jemals eine gerechtfertigte und spezifische Warnung zu erhalten.

Nicht verlässlich scheint die App auch im Hinblick auf die Abdeckung relevanter Gefahrensituationen. Geisterfahrer im engeren Sinne können überall auftreten und zur Gefahr werden, wo Straßen getrennte Richtungsfahrbahnen haben und hohe Geschwindigkeiten gefahren werden. Laut Beschreibung erfasst die App nur Autobahnen und lässt damit Bundesstraßen und andere autobahnähnliche Schnellstraßen unberücksichtigt. Darüber hinaus würde mich interessieren, wie das System mit ausgedehnten und unkonventionellen Falschfahrten umgeht. Bei mir vor der Haustür schaffte ein betrunkener Lkw-Fahrer vor einem Jahr eine Geisterfahrt von einem Rastplatz über 21 Kilometer und ein Autobahnkreuz, bevor er gestoppt wurde. Wer nur Auffahrten überwacht, müsste sehr großflächig vor der Gefahr warnen, um alle Betroffenen erreichen zu können.

Unklar bleibt aus der kurzen Erläuterung, wie hoch das Risiko von Fehlwarnungen ist. Merkt es die App oder die Cloud dahinter, wenn etwa ein Bauarbeiter Antenne Bayern hört und sich bei der Arbeit falsch herum durch eine Autobahnabfahrt bewegt? Oder ein Autofahrer, der eine Panne hat und mit dem Händi in der Tasche ordnungsgemäß das Warndreieck aufstellt? Und wie steht es um Manipulationsmöglichkeiten? Was passiert, wenn jemand mit aktiver App in der falschen Richtung neben der Abfahrt herläuft? Wie ist der Clouddienst gegen das Einspeisen falscher Daten aus anderen Quellen als der echten App geschützt?

Daneben stellen sich bei einer solchen Funktion Fragen der benutzergerechten Gestaltung. Falls die App verlässlich warnen könnte, so müsste sie den betroffenen Fahrern – dem Geisterfahrer sowie jenen, denen er entgegenkommt – eine wirksame Warnung übermitteln. Da Geisterfahrten selten sind, wird es sich in der Regel um die erste Warnung dieser Art handeln, die der Fahrer erhält, und dann bleibt keine Zeit zum Nachdenken.

Unter diesen Umständen kommt eigentlich nur eine akustische Warnung mit einer direkten Handlungsanweisung in Frage. Vorbilder dafür liefert jedes moderne Flugzeugcockpit in unmittelbaren Gefahrensituationen. So warnt das Ground Proximity Warning System (GPWS) vor bevorstehendem Bodenkontakt und das Traffic Alert and Collision Avoidance System (TCAS) vor Zusammenstößen mit anderen Flugzeugen. Beide Systeme sagen den Piloten in knappen Worten, was sie tun sollen, denn für alles andere ist keine Zeit. Im Falle des TCAS wird die Anweisung zudem mit dem anderen Flugzeug koordiniert, so dass die Piloten des einen Flugzeugs zum Steigen und die anderen zum Sinken aufgefordert werden. Piloten werden zudem darauf trainiert, mit diesen Warnungen richtig umzugehen. Demgegenüber lenkt eine App auf dem Händi mit einer ungewohnten Warnung eher ab als dass sie hülfe und auf eine situationsabhängige Ausweichanweisung hoffen Betroffene wohl vergebens.

Im Auto und erst recht in einer Radio-App muss man sich außerdem noch Gedanken darüber machen, wie man wirklich wichtige Informationen aus dem Geplapper der Radiomoderatoren, des Navigationsgeräts oder des E-Mail-und-Kurznachrichtenvorlesers heraushebt. Vielleicht ist der Sprachkanal dann doch keine gute Wahl und es wäre besser, den entgegenkommenden Geisterfahrer im Head-Up-Display mit einem größer werdenden roten Punkt zu markieren.

In der vorliegenden Form ist die Falschfahrerwarnung in der Radio-App nichts weiter als ein Werbegag und daran änderte sich wenig, machten möglichst viele Menschen in Bayern mit, wie es sich der Sender wünscht. Eine sinnvolle Warnfunktion müsste Falschfahrten überall verlässlich, aber ohne Fehlarme und Manipulationsmöglichkeiten erkennen und in Gefahrensituationen verbal spezifische, umsetzbare Anweisungen zur Gefahrenabwehr geben. Dazu müsste sie zwingend in die Fahrzeugelektronik integriert sein – Hersteller Bosch sieht dies anscheinend als Alternative zum Smartphone vor – und zur Detektion von Falschfahrten auf absehbare Zeit zusätzlich auf Sensoren außerhalb der Fahrzeuge zurückgreifen. Wäre man darauf nicht angewiesen, könnte man gleich das Entwurfsziel ändern und überlegen, wie man Falschfahrer rechtzeitig stoppt, statt vor ihnen zu warnen.

Digitaler Amtsschimmel

In Deutschland zählt der Beamte traditionell mehr als die Bürgerin, die ihm gegenübersitzt. Einige deutsche Staaten nutzten das mehr aus als andere und gegenwärtig haben wir es vergleichsweise gut, doch ganz gelegt hat sich diese Haltung nie und auch das Internet bleibt davon nicht verschont. Als die Öffentlichkeit in den 1990er Jahren das Internet entdeckte, beschäftigten wir uns erst einmal langwierig mit der Frage, wie rechtsgültige digitale Unterschriften auszusehen hätten. Sie seien Voraussetzung für einen sicheren E-Commerce, hieß es damals. Währenddessen legten andere die Grundsteine für Imperien wie Amazon und Google, neben denen sich unsere Digitalwirtschaft heute klein und hässlich ausnimmt.

Ein Vierteljahrhundert später lässt sich der Misserfolg unserer Strategie kaum leugnen. Einstige Leuchttürme der E-Bürokratie wie die Gesundheitstelematik, der  Personalausweis fürs Internet oder der elektrische Postkutscher DE-Mail mit seinem staubigen Logo stehen als Investitionsruinen im Cyber- und Informationsraum. Doch wir wären nicht die Deutschen, verteidigten wir unsere Bürokratie nicht gegen jede Vernunft verbissen bis in den Untergang.

So kommt das E-Government auch deshalb nicht voran, weil es sich zuerst an den Bedürfnissen der Verwaltung statt an jenen der Bürgerinnen und Bürger orientiert. Nicht Usability und einfacher Zugang für alle stehen im Vordergrund, sondern eGovernment-Dienste sollen in erster Linie der Totgeburt Personalausweis endlich Leben einhauchen. Noch im Jahr 2019 stellt eine sogenannte Digitalstadt – diesen Titel verlieh der Branchenverband Bitkom – stolz ein Serviceterminal vor, das Bürger mit ihrem Personalausweis nutzen können, nachdem sie sich ins Bürger- und Ordnungsamt verfügt haben. Selbst in echten Online-Diensten wie der endlich langsam ins Rollen kommenden Neuwagenzulassung übers Internet macht man den Personalausweis weiter zur Sollbruchstelle.

Bliebe die Vorstellung, Bürgerinnen und Bürger hätten der Bürokratie zu dienen, in den Amtsstuben eingeschlossen, könnte man darüber hinweglächeln. Doch Rechtsvorschriften tragen sie in die Wirtschaft und in unseren Alltag. Hochbezahlte Spezialisten überlegen sich zu Beispiel, wie eine rechtskonforme Kundenlegitimation zur Eröffnung eines Bankkontos oder bei einem Kreditantrag aussehen könne, und die Beschreibung ihrer Lösung liest sich wie eine der Jagd nach dem Passierschein A38. Stolz verweist man darauf, eine Gesetzesänderung habe alles vereinfacht: Immerhin benötige man jetzt keine qualifizierte elektronische Signatur in der Tradition des Signaturgesetzes von 1997 mehr, welche sich in der Breite ebensowenig durchsetzen konnte wie später die eID-Funktion des Personalausweises.

Nutzerorientierte Pragmatiker dächten sich an dieser Stelle vielleicht ungefähr folgendes Verfahren aus: Verlässlich identifiziert werden Bankkunden mit Hilfe Ihres Smartphones und mit Unterstützung ihres Mobilfunkanbieters, der ohnehin Kundenidentitäten vorratsdatenspeichern muss. Alternativ oder zusätzlich kommen bestehende Bankkonten sowie Schufa-Daten als Identitätsquelle in Frage, wie sie zum Beispiel Sofort Ident verwendet. Die Verrenkungen zur Produktion einer digitalen Signatur mit dem Ausweis aber ohne dessen Signaturfunktion könnte man durch ein nutzerfreundliches Protokoll ersetzen. Zum Beispiel könnte die Bank ihren Neukunden die Vertragsunterlagen mit einem integrierten Transaktionscode in Form einer TAN oder eines QR-Codes zuschicken und die Kundinnen und Kunden den Inhalt mit diesem Code bestätigen.

Dem stehen jedoch unnötig rigide Vorschriften im Wege, geprägt von einer langen Tradition der Papiere und Aktendeckel statt von Apps, APIs und Websites, verfasst von alten Männer mit Kugelschreibern statt von jungen Menschen, die etwas vom Internet verstehen. Bis sich daran etwas ändert, werden wir weiter darüber sinnieren, warum die Digitalisierung unaufhaltsam voranschreitet und uns dabei immer wieder abgeschlagen zurücklässt. Vielen scheint das ganz recht zu sein.

Die alten Männer mit Kugelschreibern wissen übrigens viel besser, was sie da tun, als es vielleicht den Anschein hat. Sobald nämlich dem Staat Geld winkt, sind die eben noch so wichtigen Anforderungen auf der Stelle vergessen: Unsere Steuererklärung abgeben und Lotto spielen dürfen wir ohne Ausweis und Unterschrift.

Gute Radwege rentieren sich nicht

TL;DR: Es kommt darauf an, welche Zielgröße man optimiert, Radwegbenutzer oder vermiedene Fahrbahnradler.

Deutsche Twitterspießer nörgeln unter dem Hashtag #runtervomradweg über geparkte Autos und andere Hindernisse auf Radwegen und Radstreifen. Manchmal feiern sie auch das gleichermaßen verbotene und wegen der Sichtbehinderung für vorbeifahrende Radfahrer gefährliche Parken links neben einem markierten Radstreifen als vorbildlich. Das finnische Gegenstück dazu heißt #kuinkesäkeli und seine Anhänger klagen vor allem über Schnee, der auf Radwegen liegen bleibt.

Subjektiv ist der Ärger über vermeidbare Hindernisse leicht nachzuvollziehen, wenngleich zu einem über die Verkehrsbehinderung schimpfenden Tweet immer zwei gehören, nämlich auch derjenige, der erst einmal anhält und ein Foto macht. Hindernisse gehen jedem auf die Nerven, das Ausweichen kann gerade auf Radwegen schwierig bis unmöglich sein und wer bei der Radwegbenutzung einen Sicherheitsgewinn fühlt, sieht sich seiner Dividende beraubt.

Brutalparker und Schneehaufen sind jedoch nicht bloß Ärgernisse des Alltags, sondern auch politisch: Sie stehen uns nicht nur konkret beim Radfahren im Weg, sondern auch im übertragenen Sinne auf dem Weg in ein Fahrradparadies, in dem wir alle gemeinsam die Hyggeligkeit Kopenhagener Radwege genießen, bis der Fahrradstau vorbei ist. Um so mehr stellt sich die Frage, warum niemand etwas tut. Den einen wie den anderen Hindernissen könnte man durch konsequentes behördliches Handeln und den regelmäßigen Einsatz von Räumfahrzeugen beikommen, was jedoch systematisch unterbleibt (Update: siehe auch den Nachtrag am Ende).

Viele Radfahrer in Kopenhagen
Fahrradstau in Kopenhagen (Foto von heb@Wikimedia Commons, CC BY-SA 3.0)

Aufschlussreicher als das Wehklagen über den Verfall der Sitten und fortwährendes Betteln um „mehr, bessere, sichere Radwege“ (neudeutsch: „Protected Bike Lanes“) ist eine ökonomische Analyse. Hinter systematischem Handeln und Unterlassen, gerade von Organisationen und Institutionen, stecken Anreizstrukturen, die dieses Handeln oder Unterlassen fördern. Wer sie nicht versteht, riskiert Überraschungen.

Radaktivisten gehen häufig von einem Einladungsmodell aus. Der Nutzen von Radwegen – am besten eines zusammenhängenden Radwegenetzes – bestehe darin, das Radfahren objektiv und subjektiv sicherer zu machen und damit Menschen zum Radfahren zu bewegen, die sonst das Auto oder den öffentlichen Nahverkehr benutzten würden. Dieser Nutzen steigt zu Beginn am schnellsten, wenn die ersten Radfahrer auftauchen, die nach dem Einladungsmodell sonst gar nicht auf dem Rad säßen. Als frei skizzierter Funktionsgraph sieht das so aus:

Funkitonsgraph der Nutzenfunktiion
Einladungsmodell. Der Nutzen von Radwegen bemisst sich nach ihrer Nutzerzahl, das Nutzenwachstum nach der prozentualen Steigerung.

Der Nutzen n wächst mit der Zahl der Radwegbenutzer r. Der Anstieg erfolgt jedoch nicht linear, sondern er verlangsamt sich um so mehr, je weiter die Zahl der Radfahrer wächst. Begonnen bei 0 verspricht eine geringe Erhöhung Δr1 der Radfahrerzahl zunächst einen im Verhältnis dazu hohen Nutzengewinn Δn1. Demgegenüber fällt der zusätzliche Gewinn Δn2 aus einer weiteren, viel größeren Erhöhung der Nutzerzahl um Δr2 vergleichsweise bescheiden aus. Solch eine Kurve erhält man, wenn man das Nutzenwachstum nach der prozentualen Steigerung bemisst, denn bei kleinen Ausgangswerten ist die Vervielfachung leicht.

Aus der Perspektive dieses Modells müsste man Hindernisse auf Radwegen radikal beseitigen, auch wenn sie, wie Schnee im finnischen Winter, nur wenige Radfahrer betreffen. Weniger radikal ginge man nach dieser Logik gegen überfüllte Radwege vor, denn sie wären kein Problem, sondern Zeichen des Erfolgs. Wie das Foto aus Kopenhagen oben andeutet, ist dies tatsächlich der Fall – der Stau auf dem Radweg wird als nachahmenswertes Vorbild herumgereicht und er ist natürlich etwas ganz anderes als ein Lieferwagen, dem mal drei Radfahrer ausweichen müssen.

Eine bessere Erklärung für die unterlassene Räumung liefert das Verlagerungsmodell. Anders als das Einladungsmodell misst es den Nutzen von Radwegen daran, wie effektiv der übrige Fahrzeugverkehr von Radfahrern befreit wird. Am nützlichsten sind Radwege demnach, wenn kein Radfahrer mehr im Kfz-Verkehr zu finden ist. Für diese Sicht können beispielsweise Unfallzahlen sprechen, die mit sinkendem Anteil der Radfahrer am Fahrzeugverkehr abnehmen, wenn auch nicht unbedingt proportional. Als Funktionsgraph skizziert sieht dieses Modell ungefähr so aus:

Funktionsgraph des Verlagerungsmodells
Verlagerungsmodell: Der Nutzen bemisst sich danach, wie wenige Radfahrer auf der Fahrbahn unterwegs sind, unabhängig davon, was sie stattdessen tun.

Auch hier tritt der höchste relative Nutzengewinn am unteren Rand ein – wer den letzten Radfahrer loswird, bekommt eine Autobahn. Jedoch spielt nun die Ausgangssituation eine Rolle: Je weniger Radfahrer ursprünglich unterwegs sind, desto weniger lassen sich überhaupt von der Fahrbahn weg verlagern, egal wohin, und desto geringer fällt deshalb der maximal erzielbare Nutzengewinn aus. Dabei kommt es nicht darauf an, ob die verlagerten Radfahrer auf einem Radweg wieder auftauchen, auf dem Gehweg, in der U-Bahn oder hinterm Lenkrad eines Autos. Wer gleich eine Autobahn baut, muss übers Radfahren gar nicht erst nachdenken.

Das Verlagerungsmodell kann erklären, wieso Radwege ungeräumt bleiben: Schnee und Brutalparker mögen die Radfahrer stören, doch das ist dem Modell egal, denn das Modell dreht sich um Störungen durch Radfahrer. Die aber bleiben aus: weil die Straße ohnehin nicht ausgelastet ist und den Radverkehr aufnehmen kann, weil es insgesamt nicht genügend Radfahrer gibt, um ernsthaft zu stören (statt nur mit ihrer Anwesenheit die Aufführung von Verletzheitsszenen zu provozieren) oder weil ängstliche Radfahrer auch ohne Radweg fernbleiben und sich das Nutzenmaximum so ganz von alleine und kostenlos einstellt. Und wo sich die Radfahrer ausnahmsweise einmal nicht selbst wegräumen, muss man nicht gleich angemessene Infrastruktur bauen. Etwas Farbe oder ein paar Verbotsschilder kosten viel weniger und erreichen dasselbe.

Nichts sei umsonst, heißt es, doch wenn das Optimierungsziel ist, möglichst wenig Radfahrer auf der Fahrbahn zu haben, dann kommt man sehr günstig weg. Jede Infrastrukturlösung ist viel teurer als das Nichtstun und leistet gemessen an abgewehrten Radfahrern doch nur dasselbe wie Untätigkeit und Verbote. Deswegen könnt Ihr mehr gute und sichere Radwege fordern solange ihr wollt – Ihr werdet sie nicht bekommen, denn sie rentieren sich nicht. Stattdessen muss man das Ziel der fahrradfreien Fahrbahn über den Haufen werfen und einen fahrrad-, fußgänger- und anwohnerfreundlichen Kfz-Verkehr zur Regel machen. Von dieser Basis aus mag man dann überlegen, welche Verkehrswege auch ganz ohne Autos auskommen.

PS: Die L-IZ hat Zahlen zur behördlichen Duldung des Brutalparkens in Leipzig zusammengetragen: Übers Jahr bemerkt das Ordnungsamt dort ca. 2000 Falschparker auf Radverkehrsanlagen, das sind im Mittel fünfeinhalb pro Tag oder im Jahr einer pro dreihundert Einwohner. In der Regel bleibt es dann beim Knöllchen; abgeschleppt wurden von Rad- und Fußverkehrsanlagen insgesamt nur 110 Fahrzeuge in drei Jahren oder drei pro Monat. Die Stadt hat an die 600.000 Einwohner.

Datenschutzzirkus

Schwerin, Marienplatz. Öffentlicher Raum. Kein Ort der Heimlichkeit und der Privatheit. Was hier geschieht, kann jeder sehen. So auch die Polizei, die den Platz mit Hilfe von Videokameras beobachtet. Daran regt sich Kritik: die Aufnahmen werden unverschlüsselt übermittelt.

Die ersten Idee zu einem Recht auf „Privacy“ – Ungestörtheit in einer individuellen Privatsphäre – verdanken wir dem Aufkommen der Fotografie sowie der Presse. Diese damals neue Entwicklung motivierte Samuel Warren und Louis Brandeis 1890 zu ihrem Essay „The Right to Privacy”, der als Wurzel aller nachfolgenden Diskussionen über die Privatsphäre und später über den Datenschutz gilt.

Hundert Jahre später erregte die „Videoüberwachung“ – die Aufnahme, Übertragung und Aufzeichnung von Bewegtbildern insbesondere für polizeiliche und verwandte Zwecke – den Zorn aller Datenschutzaktivisten und daran hat sich bis heute wenig geändert. Aus der Sicht eines Datenschutzaktivisten gehören Videokameras im öffentlichen Raum zu den schlimmsten Dingen, die uns dort begegnen können. Dies gelte sogar für eine bloße Anscheinsüberwachung durch Kameraattrappen, meinen sie, denn Ausgangspunkt ihrer Kritik ist die selten hinterfragte These, selbst eine nur scheinbare Möglichkeit der Fernbeobachtung oder Aufzeichnung verändere auf wundersame Weise das Verhalten der Beobachteten1.

Mit der Realität hat dies wenig zu tun. Wir sind heute allerorten von Kameras umgeben, allen voran jene in unseren Taschenkommunikatoren, gefolgt von anderen Kameras, die zu allerlei Zwecken in der Landschaft hängen. Von nahezu jedem Ereignis mit Nachrichtenwert taucht früher oder später mindestens ein verwackeltes Händivideo auf. Die Erwartung, sich noch irgendwo in der Öffentlichkeit, jedoch nicht vor einem Kameraobjektiv aufhalten zu können, ist absurd.

Ebenso absurd ist die Vorstellung, die allgegenwärtigen Kameras könnten uns manipulieren und unterdrücken. Wäre dem so, hätten wir es nämlich längst bemerkt. Haben wir aber nicht, also stimmt die Vermutung wahrscheinlich nicht. In Wirklichkeit tun Kameras im öffentlichen Raum niemandem weh, denn sie sehen nur das, was Menschen in aller Öffentlichkeit tun.

Mit Ausnahme der Datenschützer versteht das auch jeder und so regt sich zu Recht kaum noch Protest gegen den Kameraeinsatz. Doch so leicht geben sich Aktivisten nicht geschlagen. Für Datenschützer nimmt eine Kamera nicht nur Bilder und Videos auf, sie verwandelt auch den Anblick eines öffentlichen Raums in personenbezogene Daten, die nach Schutz verlangen.

Ob diese Daten aus einer öffentlichen Quelle stammen, spielt dabei keine Rolle, denn alle personenbezogenen Daten gelten dem Datenschutz als gleich schützenswert (mit Ausnahme der besonders schützenswerten Daten, zu denen etwa die Information gehört, dass der Papst und seine Kardinäle katholisch sind). So kommt es, dass Aufnahmen aus dem öffentlichen Raum nach Auffassung der Datenschützer verschlüsselt versendet werden müssen.

Dass dies sinnlos ist und niemanden vor irgend etwas schützt, spielt keine Rolle, denn der Datenschutz schützt Daten und nicht Menschen. Der Sensor einer Digitalkamera verwandelt ungezwungene Öffentlichkeit in ein amtliches Geheimnis.


1 Gedankenexperiment: Jemand geht in eine Bank/Spielhalle/Tankstelle, hält eine Videokamera vor sich und ruft: „Geld her, ich habe eine Kamera!“ – Würde das funktionieren? Wenn ja, warum? Wenn nein, warum nicht?

Sicherheitstechnik gehört nicht ins Gesetz

Die SPD-Bundestagsfraktion hat ein Positionspapier zum IT-Sicherheitsgesetz 2.0 beschlossen. Da stehen einige sinnvolle Forderungen drin, etwa nach Verbesserungen im Opferschutz und bei den zuständigen Behörden. Andere sind Blödsinn, allen voran jene nach einer Verpflichtung von Dienstanbietern zu spezifischen Sicherheitsmaßnahmen wie 2-Faktor-Authentisierung.

Sicherheit sei kein Zustand, lautet ein geflügeltes Wort, sondern ein Prozess. Dies gilt nicht nur für den Betrieb von IT-Systemen, sondern auch für ihre Entwicklung und Gestaltung. Konkrete Ausprägungen von Sicherheitsfunktionen stehen am Ende einer langen Folge von Entwurfsentscheidungen.

Viele dieser Entscheidungen sind das Resultat von Abwägungen zwischen verschiedenen Entwurfszielen auf verschiedenen Gebieten, zum Beispiel Funktionalität, Usability und Usability. Noch mehr Entscheidungen treffen gar nicht die Entwickler selbst, sondern der Markt und der Stand der Technik, der sich ständig weiterentwickelt.

In diesem Kontext einen sinnvollen und lange haltbaren Fixpunkt zu setzen, ist schwierig, und Politiker sind für diese Aufgabe noch weniger qualifiziert als jene, die wenigstens das Problem verstehen. Die besten Lösungen entstehen vielmehr durch fortwährende Evolution.

Ein Beispiel: Die URL-Zeile im Webbrowser begann ihre Karriere vor mehr als einem Vierteljahrhundert als einfaches Eingabefeld für Web-Adressen. Im Laufe der Zeit stellte sich heraus, dass gefälschte Websites für allerlei Angriffe benutzt werden können und man daher gut daran tut, die Benutzer eines Browsers so gut wie möglich bei der Erkennung solcher Täuschungsversuche zu unterstützen.

Dabei müssen gleichzeitig andere Ziele berücksichtigt werden, wenn die URL-Zeile dient weiterhin auch ihrem ursprünglichen Zweck. Über die Jahre haben die Browser-Entwickler gelernt, auf welche Einzelheiten es ankommt und wie man die verschiedenen Ziele gut unter einen Hut bekommt, und daraus Empfehlungen formuliert.

Diese Empfehlungen repräsentieren den aktuellen Stand; die Entwicklung wird weitergehen, die Anforderungen werden sich ändern und man wird für neue Aspekte des Problems neue Lösungen finden. Evolution eben. „Security by Design“ klingt zwar gut, aber Design ist nichts anderes als forcierte Evolution.

Spezifische Entwurfsvorgaben von Gesetzesrang grenzen diese Evolution willkürlich ein. Sie machen aus einem Lern- und Innovationsproblem eine Compliancefrage und eine bürokratische Angelegenheit. Damit erreichen sie genau das Gegenteil des Gewollten: Die Sicherheit erhöht sich nicht, sondern alle sind nur noch damit beschäftigt, gesetzliche Vorgaben einzuhalten, seien sie nun sinnvoll oder nicht.

Tatsächlich ist liegt simple 2-Faktor-Authentisierung alleine sogar schon hinter dem Stand der Technik. Wer sich moderne, das heißt nichtdeutsche Websites oder gar „die Cloud“ anschaut, findet dort ausgefeilte Systeme zum Identitäts- und Rechtemanagement, in denen die unmittelbare Benutzerauthentisierung nur ein Baustein ist.

Einige andere Bausteine sind an der Benutzerschnittstelle zum Beispiel die Verwaltung von Clientgeräten (Funktionen wie: „Alle angemeldeten Geräte abmelden“), Benachrichtigungsfunktionen („Jemand hat Ihr Passwort dreizehnmal falsch eingegeben.“), die Nichtbehinderung von Passwortmanagern sowie Recovery-Funktionen, mit denen Benutzer in verschiedenen Situationen (Passwort vergessen, gehackt, E-Mail-Adresse verändert) wieder Zugang zu ihrem Account bekommen. All diese Bausteine sind sicherheitsrelevant und jeder von ihnen sowie ihr Zusammenspiel unterliegt ebenso wie die Gestaltung der URL-Zeile im Browser der fortlaufenden Evolution.

Gesetzestexte können schon die statische Komplexität des Themas nicht fassen, von der Weiterentwicklung gar nicht zu reden. Konkrete gesetzliche Vorgaben zur Gestaltung von Authentisierungsfunktionen wären schon bei Inkrafttreten des Gesetzes veraltet oder unvollständig. Sogar als rein wirtschaftlich motivierte Marktregulierung taugt der Ansatz wenig: Ausgerechnet heimische Anbieter wie GMX und Web.de tun sich schwer mit der Zwei-Faktor-Authentisierung, während sie bei den Großen aus Amerika längst Standard ist. Ganz ohne Gesetz übrigens.

Ich wäre der Politik dankbar, wenn sie sich auf das Formulieren von User Stories* beschränken und die Technik den ITlern überlassen würden. Glauben Sie mir, meine Damen und Herren, und das möchte ich hier in aller Deutlichkeit betonen: Es ist besser so. Wer die Evolution der Technik wirklich beeinflussen möchte, sollte das indirekt über die Anreize tun.


*) Eigentlich: Anforderungen, aber die Erklärung, warum Lösungsvorschläge schlechte Anforderungen sind, wäre mir hier zu lang geworden.

 

PS: Jemand hat mir dieses Video zum Thema zugespielt, das ich nachträglich im Text mit verlinkt habe.

Nichts zu verbergen – nicht zu diesem Preis

Der Spruch, man habe ja nichts zu verbergen, ist der Lieblingsstrohmann aller Datenschutzaktivisten und Polizeigegner. An ihm arbeiten sie sich ab, um zu zeigen, dass doch jeder etwas zu verbergen habe und demnach auf ihrer Seite stehen müsse im Kampf gegen den jeweilige Datenkraken des Tages.

Nun ist es legitim, für die Beschränkung polizeilicher, geheimdienstlicher und sonstiger Befugnisse einzutreten. Der Nichts-zu-verbergen-Strohmann unterstellt jedoch eine allgemeine individuelle Betroffenheit, um das Strohmann-Argument sodann mit der Annahme einer ebenso universellen Geheimnisträgerschaft zurückzuweisen.

Wo die Schwäche dieses oft replizierten, jedoch selten reflektierten Arguments liegt, wird deutlich, wenn man es sauberer formuliert. Wie auch sonst überall – genauer, außerhalb der bloßen Ideologie – muss man in Sicherheitsfragen Nutzen und Kosten abwägen. Dabei hat jeder Beteiligte und jeder Betroffene seine eigene Sicht; was dem einen schadet, muss dem anderen nicht in gleichem Maße nützen und umgekehrt.

Da wir über Zukunftsaussichten mutmaßen, haben alle Annahmen Wahrscheinlichkeitscharakter und wir rechnen mit Erwartungswerten. Die bekannte Risikoformel – Risiko gleich Eintrittswahrscheinlichkeit mal Schadenshöhe – ist nichts anderes als die Definition eines Erwartungswerts.

Sagt nun jemand, er habe nichts zu verbergen, so bedeutet dies sauber formuliert, er sehe für sich kein hinreichendes Risiko n der diskutierten Maßnahme, welches ihre Ablehnung rechtfertigen würde, sondern einen ausreichenden Nutzen, um sie hinzunehmen. Diese Einschätzung mag im Einzelfall richtig oder falsch sein, doch handelt es sich nicht per se um ein falsches Argument.

In einem funktionierenden Rechtsstaat haben Bürger, die sich nichts zuschulden kommen lassen, wenig zu befürchten. Dafür sorgt nicht in erster Linie Technik, sondern Recht, Gewaltenteilung und das daraus resultierende Institutionengefüge. Dieser Apparat, der die Staatsmacht ausübt und gleichzeitig zügelt, ändert sich nicht fundamental, nur weil einzelne Institutionen wie die Polizei neue Einsatzmittel und -möglichkeiten erhalten.

Es ist deshalb legitim, sich auf den Rechtsstaat und die Demokratie zu verlassen, das eigene wie das gesellschaftliche Risiko aus neuen Einsatzmitteln der Exekutive als gering einzuschätzen und daraus resultierend Vorschläge zu befürworten oder hinzunehmen. Das – oft erfolglos – Zustimmung heischende Strohmannargument, jeder habe etwas zu verbergen, ignoriert die Risikobetrachtung. Es ist deshalb unsachlich, fundamentalistisch und überholt.

Datenschutz mit blinden Flecken

Ein simpler Bewegungsmelder wird zur Überwachung, sobald er in China Bewegung meldet und europäische Medien darüber berichten. Dächten wir über solche Nachrichten aus Fernost nach, statt uns nur in unseren Vorurteilen zu bestätigen, könnten wir etwas über Datenschutz, Überwachung und Erziehung lernen. Doch dann müssten wir uns eingestehen, dass wir mit dem Datenschutz das Pferd von hinten aufzäumen.

Über China kursieren im Westen viele Legenden. Das Land ist weit genug weg, dass es nur wenige gut aus eigener Anschauung kennen, seine Kultur ist uns fremd genug, um uns geheimnisvoll zu erscheinen, und China ist zu bedeutend, als dass man es wie seinen Nachbarn Nordkorea als belanglose Randerscheinung belächeln könnte.

China gilt uns als der Überwachungsstaat schlechthin und Überwachung als Inbegriff des Bösen. Wollen Datenschutzaktivisten einen Teufel an die Wand malen, so greifen sie gerne zu Geschichten vom Social Credit Scoring und der alles überwachenden Kommunistischen Partei. Kulturelle Unterschiede werden dabei ebenso nonchalant verdrängt wie der Umstand, dass unsere Werte und Eigenheiten nicht weniger willkürlich sind als die der anderen.

Wie bei vielen Themen stammt die Berichterstattung aus einem Topf voll wieder und wieder rezitierter Meme, die zwar manchmal ihr Kostüm wechseln, sich im Kern jedoch kaum wandeln. Sie kennen das aus der Blökchain. Darunter mischt sich ein Hang zur Besserwisserei, denn wer wollte ernsthaft dem Datenschutzweltmeister widersprechen, der wir so gerne sein möchten? Zu kurz kommt, was einen Erkenntnisgewinn verspräche: dass man sich im Vergleich verschiedener Kulturen seine eigenen Vorurteile und blinden Flecken bewusst machte.

Ein Beispiel. Die FAZ verbreitet dieses Video mit dem Titel „Überwachung in China: Dusche für ‚Bei-Rot-Geher‘“:

Das Video dauert nur eine Minute und zeigt Mechanismen, mit denen man in China Fußgänger zur Einhaltung der Verkehrsregeln bewegen möchte. Ein Mittel dazu sind Poller an einem ampelgeregelten Übergang, die bei Rot gehende Fußgänger mit einem Bewegungsmelder erkennen und mit Wasser bespritzen. Später erwähnt der Beitrag noch Verkehrskameras an Kreuzungen und eine darauf gestützte Ansprache von Fußgängern über installierte Lautsprecher. Ob es sich jeweils um die üblichen Mittel handelt oder nur um Versuche, erfahren wir übrigens nicht.

Was das Video nicht so deutlich sagt, jeder westliche Datenschutzaktivist jedoch gerne glauben möchte: Hier zeige sich der Chinesische Überwachungsstaat und wir mögen froh sein, über Datenschutzaktivisten und eine EU-Datenschutzgrundverordnung (DS-GVO) zu verfügen. Doch in Wirklichkeit ist die Sache komplizierter. Zum einen gelten die Verkehrsüberwachung und die Ahndung von Verstößen auch hierzulande im Prinzip als legitim, wenn auch deutsche Datenschützer gerne mal eine Totalüberwachung wittern, wo es in erster Linie um die effektive Durchsetzung von Fahrverboten geht. Zum anderen hätte unser Datenschutz mit den im Video vorgestellten Erziehungspollern weit weniger Probleme, als Datenschutzaktivisten lieb sein kann.

Der europäische Datenschutz stellt die Verarbeitung personenbezogener Daten in den Mittelpunkt seiner Bemühungen. Kurz gefasst geht er von der Vermutung aus, je mehr jemand über einzelne identifizierbare Personen wisse, desto problematischer sei dies. Darauf gestützt regelt die Datenschutz-Grundverordnung den Umgang mit solchen Daten und die begleitende Bürokratie. In ihrer eigenen Logik folgerichtig fordert die DS-GVO unter dem Schlagwort „Datenschutz durch Technikgestaltung“ („Privacy by Design“) die Anonymisierung oder Pseudonymisierung personenbezogener Daten, wo immer dies möglich sei. Damit gehe der Personenbezug verloren (Anonymisierung) oder er werde verborgen (Pseudonymisierung), was die Betroffenen der Datenverarbeitung vor negativen Folgen schütze, so die Idee.

Die Beispiele aus dem Video zeigen, wo der Haken liegt. Wir sehen dort situationsbezogene Erziehungsmechanismen: Wer gegen die Verkehrsregeln verstößt und bei Rot über die Straße geht, bekommt sofort negatives Feedback, ähnlich einem abzurichtenden Hund, dessen Ungehorsam sein Herrchen auf der Stelle straft. Man mag diesen Ansatz primitiv finden, doch unterscheidet er sich nur dadurch vom roten Blitz, der auf zu schnelles Fahren oder das Ignorieren einer roten Ampel folgt, dass ihm später kein Schreiben der zuständigen Bußgeldstelle folgt.

Die im Video vorgestellten Erziehungsmechanismen funktionieren anonym. Sie erkennen ein Verhalten und wirken direkt auf die betreffende Person, ohne erst Akten und Datensätze zu wälzen. Überwachung ist das schon, nur eben nicht personen-, sondern situationsbezogen. Nach europäischen Datenschutzmaßstäben wären solche Maßnahmen akzeptabler, sogar korrekter als das hiesige Verfahren mit den namentlich adressierten Verwarnungs- oder Bußgeldbescheiden. Als Datenschutz-Erregungsanlass taugen sie deshalb wenig, sobald man sich einmal von oberflächlichen Analogien und dem üblichen Raunen gelöst hat.

Der Datenschutz schütze nicht Daten, heißt es oft, sondern Menschen, doch wo aus Daten Handlungen werden, oder eben auch nicht, hat er einen großen blinden Fleck. Dem Datenschutz liegt die Unterstellung zugrunde, Daten über identifizierte Individuen führe zu Handlungen und Vorenthalten dieser Daten könne diese Handlungen verhindern. Dies mag in manchen Fällen richtig sein. Gebe ich beispielsweise meine Telefonnummer nur an ausgewählte Personen weiter, so verhindere ich damit jene – mutmaßlich unerwünschten – Anrufe, die sich für den Anrufer so wenig lohnen, dass er dafür weder meine Nummer recherchieren noch zufällig gewählte Nummern nacheinander anrufen würde.

Die smarten Poller aus China jedoch zeigen, dass diese Schlusskette nur manchmal funktioniert. Viel häufiger begegnet uns im Alltag die anonyme Manipulation, der es auf unsere Identität nicht ankommt. Von Glücksspielen über Payback-Coupons bis zur Werbung sind wir ständig interaktiven Beeinflussungsversuchen ausgesetzt, die sich auf alles mögliche stützen, nur nicht darauf, dass jemand möglichst viele explizite Angaben mit unserem Namen assoziiert. Sie funktionieren dennoch.

Ein Spielautomat zum Beispiel manipuliert seine Zielgruppe mit durchschaubarer Psychologie, viel Geld zu verspielen: mit der Illusion zum Beispiel, sorgfältig kalkulierte Gewinnchancen durch das Drücken  von Knöpfen beeinflussen zu können, und mit kleinen Gewinnen zwischendurch, die der Spieler doch nur an den Automaten zurückgibt. Das funktioniert nicht bei allen, aber Spielautomaten ziehen diejenigen an, bei denen es funktioniert. Die Hersteller müssen diese Zielgruppe gut verstehen. Personenbezogene Daten über Spieler brauchen sie hingegen nie.  Sie haben dies mit nahezu allen Formen der Beeinflussung vom Nudging bis zum Betrug gemeinsam.

Das heißt nicht, dass der Datenschutz komplett sinnlos wäre, doch als Mittel zum Risikomanagement und als Freiheitsgarant setzt er häufig am falschen Ende an. Er konzentriert sich auf die Daten und ignoriert tendenziell die Handlungen, während in Wirklichkeit die Handlungen oft ohne jene Daten auskommen, die der Datenschutz im Auge hat. Die Ironie dabei: Der Datenschutz beruft sich auf Grundrechte, allen voran das allgemeine Persönlichkeitsrecht, aber seine Aufmerksamkeit endet, wo Menschen zu bloßen Nummern pseudonymisiert oder wie Tiere dressiert werden.

Der Datenschutz soll, so seine Verfechter, Machtgefälle nivellieren und den Einzelnen davor schützen, zum bloßen Objekt der Datenverarbeitung durch staatliche Stellen oder durch Unternehmen zu werden. Doch sein Fokus auf mit Identitätsbezug gespeicherte Datensätze macht ihn blind für das Handeln der Mächtigen. So wird jeder Staat, der Verkehrsregeln aufstellt, deren Verletzung bekämpfen – dazu ist die Staatsmacht da. Der deutsche Staat tut dies in einem Verwaltungsverfahren gegen eine namentlich benannte Person, der chinesische anscheinend auch durch direkte Erziehung ohne Verfahren.

China ist so gesehen kein Überwachungs-, sondern ein Erziehungsstaat. Dies ist nicht einmal per se falsch, denn verschiedene Kulturen können soziale Probleme verschieden bewerten und lösen und nicht alle europäischen Grundrechte sind auch universelle Menschenrechte. Nach der europäischen Datenschutzlogik jedoch macht China im Video alles richtig und taugt nicht als mahnendes Beispiel.

Statt sich mit Machtverhältnissen und mit Mechanismen der Machtausübung zu beschäftigen, verzettelt sich der institutionalisierte Datenschutz lieber in Diskussionen um technische Details wie Cookies und IP-Adressen. Welche Wirkungen man sich davon verspricht, können die Datenschützer selbst nicht erklären.

Die bekannte Auswüchse, auch die ungewollten und aufgebauschten, wie die auf Fotos gesichtslos gemachten Schulkinder, die verbotene Anscheinsüberwachung mit Attrappen oder die beinahe ihrer Namen auf dem Klingelschild beraubten Mieter sind eine Folge davon. Der formale Datenschutz kann mit wenigen Ausnahmen keinen plausiblen Wirkmechanismus vorweisen, während viele relevante Vorgänge jenseits seines Horizonts liegen. Er schmort deshalb im eigenen Saft.

Erfolgsfaktoren für den Datenschutz durch Technikgestaltung

Die Forderung nach Datenschutz und Sicherheit „by Design“ ist schnell erhoben und gerade nach Sicherheitsvorfällen sieht rückblickend oft alles nach offensichtlicher Schlamperei aus, die man doch einfach hätte vermeiden können. Wer tatsächlich IT-Systeme gestaltet und dabei Datenschutz- und Sicherheitsanforderungen berücksichtigen soll, steht jedoch einigen Problemen gegenüber. Zum Beispiel kann man zu viel Sicherheit anstreben und sich im Ergebnis selbst blockieren, wie es die Entwicklung der Gesundheitstelematik seit ungefähr anderthalb Jahrzehnten vorführt*, oder vor unmöglichen Entscheidungen stehen, weil es zu vielfältigen Wechselwirkungen zwischen Datenschutz und Sicherheit auf der einen und allen übrigen Anforderungen und Entwurfsdimensionen auf der anderen Seite kommt. Beim Datenschutz kommt hinzu, dass anders als bei der Sicherheit Stakeholder und Angreifer zusammenfallen: Der Datenschutz beschränkt Handlungen, von denen Betreiber und Nutzer eines Systems profitieren.

Mit diesen Schwierigkeiten beschäftigt sich der Beitrag „Erfolgsfaktoren für den Datenschutz durch Technikgestaltung“ zur Konferenz „Die Fortentwicklung des Datenschutzes”, die Anfang November 2017 in Berlin stattfand. Er baut auf vorangegangenen Vorträgen (Was kommt nach „Security by Design“? Chancen der Partizipation im Software Engineering 2016 in Kassel und Security by Design? 2017 in Limburg auf. Im Konferenzband zur Tagung konnte unser Beitrag letztlich nicht erscheinen, da der Verlag über eine faire Rechteübertragung hinaus unannehmbare Forderungen an die Autoren erhob und zu Verhandlungen über die Konditionen nicht bereit war.

*) Großprojekte mit vielen Stakeholdern haben allerdings noch weitere Probleme neben dem Thema Sicherheit, an denen sie scheitern können.

CfP: SecSE 2019

The 10th edition of the International Workshop on Secure Software Engineering in DevOps and Agile Development will take place in conjunction with the Cyber Security 2019 conference on June 3-4 2019 in Oxford, UK. The call for papers is already online and plenty of time is left to prepare a paper before the submission deadline in early February. Besides scientific paper submissions the workshop seeks short ignite talks and also industry experience talks.

Important dates:

February 6th, 2019 – Submission Deadline
March 26th, 2019 – Author Notification
April 14th, 2019 – Author Registration/camera-ready
June 3-4th, 2019 – Workshop

Ein frühes Beispiel für „Security Economics“ …

… und die Illustration eines gerne gemachten Denkfehlers verdanken wir den Grenztruppen der DDR:

„Im Frühjahr 1989 stellen Ökonomen der Grenztruppen eine groteske Rechnung auf. Sie teilen die Kosten für die Grenze durch die Summe der Festnahmen und stellen fest, dass jede Festnahme 2,1 Millionen Mark kostet. Der Wert eines durchschnittlichen Werktätigen wird mit 700.000 Mark veranschlagt. Also, folgern sie, ist eine Festnahme dreimal so teuer wie der Verlust eines Werktätigen. Das Resümee lautet nicht: ,macht die Grenze auf‘, sondern: ,macht die Grenze billiger‘.“

Der Denkfehler liegt darin, nur die aktiv abgewehrten Angriffe – Festnahmen bei versuchten Grenzübertritten – zu berücksichtigen. Die größte Wirkung entfaltete die  innerdeutsche Grenze jedoch durch Abschreckung. Die meisten, die ohne Mauer vielleicht in den Westen gegangen wären, versuchten es angesichts der geringen Erfolgsaussichten und hohen Risiken gar nicht erst oder nur auf dem legalen und langwierigen Weg per Ausreiseantrag.

Hinter diesem Denkfehler steckt ein grundsätzliches Problem, mit dem man es immer zu tun bekommt, wenn man die Wirkung von Sicherheitsmaßnahmen messen möchte. Wirksame Maßnahmen führen tendenziell dazu, dass bestimmte Arten von Angriffen insgesamt unterbleiben, weil sie sich nicht mehr lohnen und andere Angriffe oder Ziele attraktiver werden. Wer erfolgreich Sicherheit schafft, kann seinen Erfolg deshalb nicht messen und nachweisen.

Diebstahlschutz durch Technikgestaltung: Metallsparsamkeit

Geländerverzierung kein Metall!
Diebstahlschutz durch Materialwahl und Information

Gegenstände aus Metall werden gerne gestohlen, weil sie sogar als Schrott noch einen Wert haben. Um diesem Risiko zu begegnen, hat man bei der Erneuerung zweier Fußgängerbrücken auf größere Metallteile verzichtet und sie durch ähnlich aussehende alternative Materialien ersetzt. Man könnte analog zur Datensparsamkeit von Metallsparsamkeit sprechen und die Idee ist dieselbe – was nicht da ist, kann nicht geklaut werden. Das Hinweisschild soll vor dem sekundären Risiko schützen, dass jemand nicht so genau hinschaut, bevor der Teile abschraubt.

Metallsparsamkeit ist einfach, wenn es wie hier nur um Verzierungen geht, die keinen technischen Zweck erfüllen. In diesem Fall schränken nur wenige andere Anforderungen die Materialwahl ein. Die Verzierungen eines Brückengeländers müssen gut aussehen und den parktypischen Belastungen – Wind, Wetter, Vogelkacke, turnenden Kindern, übermütigen Jugendlichen usw. – widerstehen, das ist alles.

Schwieriger wird die Metallsparsamkeit, wenn das Material weiter Anforderungen erfüllen muss. Ein Fahrrad zum Beispiel lässt sich noch so einfach aus alternativen Materialien fertigen. Ein Fahrrad muss leicht sein, typischen Belastungen standhalten und sich zu Kosten unterhalb des Verkaufspreises fertigen lassen. Zwar lassen sich einige Teile aus alternativen Materialien fertigen, namentlich Rahmen und andere Teile aus kohlenstofffaserverstärktem Kunststoff, aber zu deutlich höheren Kosten und mit weiteren Nachteilen. Ein Fahrrad nur zum Diebstahlschutz  aus alternativen Materialien zu fertigen, kommt deswegen nicht in Frage.

Peak Blockchain

This is Peak Blockchain. You can watch it in the rear-view mirror as it lies behind us, shrinking smaller and smaller until it will disappear on the horizon. I am using Google Trends as my rear-view mirror, which allows some easy and superficial yet striking visual argument.

Google Trends interest graph for the search team “blockchain” from 2004 through March, 2018
Peak Blockchain as seen through Google Trends.

Peak Blockchain took place in December, 2017. Up to that time, starting ca. 2013, search interest grew seemingly exponentially, whereas interest has almost halved in the three months from Christmas, 2017 to Easter, 2018.

Peak Blockchain is the all-time high of attention and perceived importance of the blockchain topic. Some confound Peak Blockchain with the Peak of Inflated Expectations in Gartner’s Hype Cycle, which is followed by the Through of Disillusionment, a Slope of Enlightenment, and eventually the Plateau of Productivity. But make no mistake. Neither is the Hype Cycle a law of nature – some technologies just drop off the graph and die, while others are never discovered by the hypecyclists before they become productivenor is blockchain a real and viable technology trend.

Inflated expectations or rather, exaggerated claims were there many, this much is true in the hype cycle mapping. The blockchain narrative emerged out of the cryptocurrency bubble. When the likes of Bitcoin, Ethereum, and IOTA reached the mainstream, it became simultaneously obvious they had little to do with actual currencies and the nominal value of their tokens was not backed by any economic reality other than that of a speculative bubble.

Everyone saw that so-called cryptocurrencies were bullshit and the speculative bubble was about to burst, yet everyone also wanted to talk about it without looking like an idiot. Out of this dilemma was the narrative born that the first and most notorious of the artificial assets, Bitcoin, might collapse but the technology behind it, blockchain, was there to stay. Not only would the “blockchain technology” thus invented – it had been a mere design pattern until then – survive, it would disrupt everything from the financial industry and digital advertising to crybersecurity (sic!) and photography. For none of this claimed disruptive potential existed the slightest example or explanation, but everyone was keen to ride the mounting wave without being seen as just one of those Bitcoin dorks, and so everyone kept inventing what might happen, somehow, in the future.

Blockchain is only one of several related concepts – others being Bitcoin and cryptocurrencies – that peaked at about the same time:

Google Trends graphy for “blockchain”, “ethereum”, “iota”, and “cryptocurrency”
Peak Cyptocurrency according to Google Trends (no-BTC version).
The previous diagram with b itcoin included
Peak Bitcoin trumps all the other peaks.

In all cases we see the same steep rise followed by an equally steep decline. This observation alone should suffice to convince everyone that nothing is to be expected from blockchains, regardless of what the IBMs and SAPs of this world are claiming after having fallen for the ploy. We saw peaks like this before. Little more than a decade ago, Second Life was the blockchain of its time:

Trend graphs for blockchain and cryptocurrency compared with the one of Second Life
Peak Second Life of 2007.

At that time everyone, including a number of otherwise reputable companies, rushed to stake their claims in the virtual toy world that Second Life really was and is. The gullible and superstitious believed that companies would benefit from possessing real estate in this toy world and that 3D avatars sitting around virtual tables would be the future of business meetings. This was bullshit not only in hindsight. Everyone with the slightest understanding of human-computer interaction and collaborative technology could easily see how Second Life missed just about any point. This did not prevent IBM from betting a few bucks on the future of Second Life and even trying to create an enterprise version of it where company secrets would stay behind a firewall.

Second Life is long forgotten, and rightly so. There never was any real promise in it, there was only a popular (in certain circles) delusion and the fear of missing out that also drives our contemporary bullshit business fad.

Let us look at real technology trends for comparison. They do not peak and then collapse, but rather grow organically. Take cloud computing, for example:

Google Trends graph for “cloud computing.”
Google Trends graph for “cloud computing.”

We see no steep peak here, but rather a mostly linear growth over the course of four years from 2007 to 2011. After climbing to its all-time high, interest decreases slowly and remains at a high level for a long time. Other than Second Life, cloud computing is here to stay.

Another real trend is REST APIs, a way of designing web services that are meant to be accessed by programs rather than users:

Trend graph for REST API
Trend graph for REST API.

We see a mostly steady increase over more than a decade that at some point gained a bit of speed. Again, there is no sudden peak here. As a third example, NoSQL databases started a bit later but otherwise exhibit a similar trend graph:

Trend graph for NoSQL databases
Trend graph for NoSQL databases.

Even topics that had some hype to them and were being discussed by the general public exhibit slower increases and declines if there is substance behind the hype. Take, for example, “big data” and some related terms:

Trend graphs for “big data,” “data science,” and “machine learning.”
Trend graphs for “big data,” “data science,” and “machine learning.”

Real technology trends and topics take time to develop and then they persist or even continue to grow for quite a while. A real technology trend is an evolutionary process. Something gets discovered or invented and turns out useful. People apply the idea and develop it further, which makes it more attractive.

Genuine technology does not suddenly appear like a Marian apparition and disrupt everything within months, nor does interest in it fade as quickly as it would for anything lacking substance after its hollowness became obvious even to its advocates. Peak Blockchain is not the result of a genuine technology trend, but rather the consequence of everyone in a crowd assuring one other of the beauty of the emperor’s clothes when in fact there never even was an empire.

Blockchain is over. Time to ridicule those who jumped on the bandwagon ignoring all obvious warning signs, determined to boost their careers. They will soon exercise their right to be forgotten.

Beschränkter Horizont

Die Forderung nach Ende-zu-Ende-Sicherheit für das besondere elektronische Anwaltspostfach (beA) und andere Dienste geht auf missverstandene Anforderungen und eine eingeschränkte Sicht auf den Lösungsraum zurück. Die missverstandene Anforderung liegt in der Vorstellung, der rechtlicher Schutz der Kommunikation verlange nach technischen Garantien. Die eingeschränkte Sicht auf den Lösungsraum berücksichtigt nur ausgewählte technische Mechanismen, deren Wirkung sie überschätzt, und lässt andere Aspekte des Risikomanagements außer Acht.

✹✹✹

Die Befürworter der Ende-zu-Ende-Verschlüsselung argumentieren, der Schriftverkehr von Rechtsanwältinnen sei besonders sensibel und man müsse ihn deshalb technisch besonders gut vor unbefugter Kenntnisnahme schützen. Die besondere Sensibilität mag man annehmen, wenngleich das beA nicht der Kommunikation zwischen Anwältinnen und ihren Mandantinnen dient, sondern dem Schriftwechsel zwischen Anwältinnen und Gerichten sowie der Anwältinnen untereinander. Jedoch steht die Telekommunikation ganz allgemein unter rechtlichem Schutz durch das Telekommunikationsgeheimnis. Selbst wer sie abhören könnte, darf dies nicht und wird andernfalls verfolgt und bestraft.

Ein wirksamer rechtlicher Schutz macht kann technische Maßnahmen überflüssig machen. Umgekehrt sind individuelle Schutzmaßnahmen dort nötig, wo keine Hilfe zu erwarten ist. Im Alltag verstehen wir das auch und verzichten zum Beispiel meist darauf, unsere leicht verwundbaren Körper besonders gegen Angriffe zu schützen. Wir wissen, dass die Wahrscheinlichkeit eines körperlichen Angriffs gering ist, denn dafür sorgen Polizei und Justiz. Anders verhalten sich etwa Menschen in Kriegsgebieten, die mit solchem Schutz nicht rechnen können.Im Spektrum zwischen diesen Extremen gibt es Mischlösungen, deren Schwerpunkt auf der einen oder anderen Seite liegt. Das Ziel ist letztlich ein akzeptables Restrisiko, ganz gleich mit welchen Mitteln es erreicht wird.

Die Motivation für technische IT-Sicherheit entspringt der eingeschränkten Möglichkeit zur Strafverfolgung im Netz. Zwar gelten Gesetze auch online, doch können sich Täter leichter verstecken und selbst bekannte Täter entgehen der Verfolgung, wenn sie im Ausland sitzen. Ganz ohne Sicherheitstechnik wird ein Anwaltspostfach also nicht auskommen. Allerdings muss man sich sowohl den Schutzbedarf als auch die Sicherheitsstrategie genauer anschauen.

Interessanterweise haben Juristen in dieser Hinsicht realistischere Vorstellungen als Hacker, die perfekte Sicherheit fordern. Juristen gehen ganz selbstverständlich davon aus, dass man Sicherheitsanforderungen nicht überspitzen darf. Das Schutzniveau soll dem alternativer Kommunikationsmittel wie Telefax und Briefpost entsprechen. Auf ein theoretisches Ideal kommt es nicht an. Aus rechtlicher Sicht interessant sind dann rechtliche Implikationen, die sich beispielsweise aus der zeitversetzten Kommunikation ergeben.

Ende-zu-Ende-Verschlüsselung erfüllt keine reale Sicherheitsanforderung, sondern sie strebt ein technisch motiviertes theoretisches Ideal an. Wie ich im vorigen Beitrag erläutert habe, ist dieses theoretische Ideal im realen System kaum zu erreichen. Das ist jedoch kein Problem, da sich die realen Sicherheitsanforderungen am Sicherheitsniveau realer Kommunikationsmittel wie Post, Fax und Telefon orientieren.

✹✹✹

Den Lösungsraum verengt die Forderung nach Ende-zu-Ende-Sicherheit auf scheinbar ideale kryptografische Ansätze. Diese Ansätze sind jedoch nicht nur nicht sinnvoll, wenn man – im Gegensatz zur Gesundheits-Telematik – in endlicher Zeit ein funktionsfähiges System bauen möchte. Es gibt auch Alternativen und Aspekte, von denen die Fokussierung auf das theoretische Ideal ablenkt.

Die Befürworter der kryptografischen Ende-zu-Ende-Sicherheit kritisieren die Umschlüsselung von Nachrichten in einem Hardware-Sicherheitsmodul (HSM). Bei der Umschlüsselung wird eine Nachricht ent- und mit einem anderen Schlüssel verschlüsselt. Auf diese Weise lassen sich die Zugriffsrechte auf der Empfängerseite von der ursprünglichen Verschlüsselung auf der Absenderseite entkoppeln. So kann man Beispielsweise Vertretern Zugriff auf Nachrichten geben, die bereits vor Beginn der Vertretung vom Absender verschlüsselt wurden.

Dies schaffe einen Single Point of Failure, der das ganze System „extrem verwundbar“ mache, argumentieren die Kritiker. Das ist insofern richtig, als ein erfolgreicher Angriff auf die entsprechende Systemkomponente, ein Hardware-Sicherheitsmodul (HSM), tatsächlich sämtliche Kommunikation beträfe. Solche Angriffspunkte gäbe es freilich auch bei einer Ende-zu-Ende-Lösung noch. Alle Kommunikation ausspähen könnte beispielsweise, wer den beA-Nutzerinnen eine manipulierte Version der Software unterjubelt oder wer in die Produktion der zur Nutzung erforderlichen Smartcards eingreift.

Die damit verbundenen Restrisiken nehmen wir jedoch notgedrungen in Kauf und ergreifen Maßnahmen, um sie zu klein zu halten. So wird man beispielsweise die Smartcard-Produktion durch Zugangskontrollen und Überwachung so gut wie eben praktikabel vor unbefugten Eingriffen schützen. Nichts spricht grundsätzlich dagegen, dies auch für die Umschlüsselung zu tun – deswegen unter anderem das Sicherheitsmodul. Die Fokussierung auf das vermeintliche Allheilmittel Ende-zu-Ende-Verschlüsselung verstellt jedoch den Blick auf solche Maßnahmen, die zum Risikomanagement beitragen.

Falls wir in einem Single Point of Failure ein grundsätzliches Problem sähen und die damit verbundenen Risiken für nicht beherrschbar hielten, müssten wir jedoch nach ganz anderen Wegen Ausschau halten. Wir müssten dann nämlich nach einer organisatorischen und technischen Architektur suchen, welche die Auswirkungen eines einzelnen erfolgreichen Angriffs auf einen Teil des Systems, der Nutzer und der Inhalte begrenzt und verlässlich dafür sorgt, dass der Aufwand für erfolgreiche Angriffe proportional zu ihren Auswirkungen wächst.

Solche Ansätze hätten erst einmal überhaupt nichts mit Kryptografie zu tun, sondern mit Organisationsprinzipien. Man könnte beispielsweise ein Ökosystem verschiedener unabhängiger Lösungen und Anbieter schaffen und die Haftung angemessen regeln.  Angriffe auf einen Anbieter beträfen dann nur dessen Nutzer. Mit DE-Mail gibt es sogar bereits ein solches Ökosystem, welches weitgehend brachliegt und sich nach Anwendungen sehnt.

Auf solche Fragen und Ansätze – deren Nutzen und Notwendigkeit allerdings erst nach einer gründlichen Bedrohungs- und Risikoanalyse klar wird – kommt man gar nicht erst, wenn man eine Abkürzung nimmt und blind die Anwendung bestimmter technischer Entwurfsmuster fordert.

Mit Sicherheit ins Desaster

Als wäre das Desaster um das besondere elektronische Anwaltspostfach (beA) nicht schon schlimm genug, kommen nun auch noch Aktivisten aus ihren Löchern und fordern eine „echte Ende-zu-Ende-Verschlüsselung“.

Kann diesen Cypherpunks mal jemand das Handwerk legen? Eine „echte Ende-zu-Ende-Verschlüsselung“ ist für ein beA technisch eben nicht möglich, sondern als Anforderung das Rezept für ein Desaster.

Unter Laborbedingungen lässt sich gewiss ohne große Schwierigkeiten eine Public-Key-Infrastruktur (PKI) aufbauen und auf beliebig viele Teilnehmer skalieren, so dass jeder mit jedem verschlüsselt kommunizieren kann. So eine Labor-PKI löst aber nur das halbe Problem – und macht es schwer, die andere Hälfte zu lösen, die unter den idealisierten Bedingungen der Laborumgebung keine Rolle spielt.

Drei Teilprobleme, mit denen eine Lösung für die Anwaltskommunikation zurechtkommen muss, sind (1) komplizierte Zugriffsrechte, (2) der Konflikt zwischen Vertraulichkeit und Verfügbarkeit sowie (3) Veränderungen im Zeitverlauf.

  1. Komplizierte Zugriffsrechte
    Anwaltskommunikation ist nicht einfach Kommunikation von Person zu Person. Anwälte haben Gehilfen für administrative Tätigkeiten, die beispielsweise Post holen und verschicken. Diese Gehilfen brauchen ausreichende Zugriffsrechte, um ihre Arbeit zu verrichten, aber sie haben keine Prokura. Anwälte haben außerdem Vertreter für Urlaub, Krankheit usw., die von der Anwältin oder der Rechtsanwaltskammer bestellt werden. Alleine der Versuch, § 53 BRAO in eine PKI und eine Ende-zu-Ende-Verschlüsselung zu übersetzen, dürfte Entwicklern einiges Kopfzerbrechen bereiten.
  2. Vertraulichkeit vs. Verfügbarkeit
    Vertraulichkeit der Anwaltskommunikation ist wichtig, aber zweitrangig. Wichtiger ist die Verfügbarkeit. Fragen des Zugangs von Erklärungen und der Einhaltung von Fristen können einen Rechtsstreit unabhängig davon entscheiden, wer in der Sache eigentlich Recht hätte. Vor allem anderen werden Anwältinnen Wert darauf legen, dass sie unter allen Umständen verlässlich kommunizieren können. Demgegenüber genügt hinsichtlich der Vertraulichkeit oft das Schutzniveau „Telefon“.
  3. Zeitliche Dynamik
    Ein reales System zur Anwaltskommunikation muss nicht zu einem Zeitpunkt funktionieren, sondern über einen langen Zeitraum, währenddessen sich die Welt ändert. Das betrifft neben den offensichtlichen Aspekten – Hinzukommen und Ausscheiden von Nutzern in den verschiedenen Rollen, veränderte Vertretungsregelungen usw. – auch die Technik, zum Beispiel den Schlüsseltausch. Damit muss ein beA unter Berücksichtigung von (1) und (2) zurechtkommen. Darüber hinaus können sich auch gesetzliche Regelungen jederzeit ändern.

Wir brauchen deshalb keine Ende-zu-Ende-Sicherheit, sondern im Gegenteil endlich die Einsicht, dass Sicherheit:

  • sekundär ist und der Funktion nicht vorausgeht, sondern folgt,
  • keine theoretischen Ideale verfolgen, sondern reale Risiken reduzieren soll,
  • nicht durch formale Garantien und einzelne Wunderwaffen entsteht, sondern aus der Kombination verschiedener partieller Maßnahmen resultiert,
  • nicht perfekt sein muss, sondern nur gut genug.

Die Vorstellung, man könne konkurrenzfähige Anwendungen um starke Kryptographie herum konstruieren, ist vielfach gescheitert und diskreditiert. Als um die Jahrtausendwende der Online-Handel wuchs, entwickelte man kryptografische Bezahlverfahren von eCash bis SET – den Markt gewannen jedoch Lastschrift, Kreditkarte, Nachnahme und Rechnung. Das Online-Banking wollte man einst mit HBCI / FinTS sicher machen – heute banken wir im Browser oder auf dem Händi und autorisieren Transaktionen mit TANs und Apps. Das vor gut zwanzig Jahren entstandene Signaturgesetz ist in seiner ursprünglichen Form Geschichte und elektronische Signaturen haben sich bis heute nicht auf breiter Front durchgesetzt.

Wer dennoch weiter an die heile Scheinwelt der Ende-zu-Ende-Sicherheit glauben möchte, der möge sich seine Lösungen von den Experten der Gematik entwickeln lassen. Die kennen sich damit aus und sobald ihr Flughafen ihre Telematikinfrastruktur läuft, haben sie sicher Zeit für neue Projekte.

So ungefährlich ist Radfahren

Zur Helmdiskussion hatte ich hier lange nichts. Eigentlich lohnt das auch nicht, denn wer an den Nutzen eines Fahrradhelms glauben möchte, lässt sich erfahrungsgemäß von Argumenten nicht umstimmen. Doch heute bin ich über eine Zahl gestolpert, die sogar mich überrascht hat, obwohl sie mit meiner Alltagserfahrung kompatibel ist. Der großbritische nationale Gesundheitsdienst (National Health Service, NHS) macht wie so ziemlich jede Krankenkasse Werbung fürs Radfahren und hat in diesem Zusammenhang eine FAQ zur Gefährlichkeit dieser Betätigung zusammengestellt. Darin heißt es unter anderem:

“Official figures taken from the NTS suggest that the general risk of injury from cycling in the UK is just 1 injury per 19,230 hours of cycling.”

Eine Verletzung auf 19 230 Stunden Radfahren, das heißt selbst ein Fahrradkurier muss gute zehn Jahre jeden Arbeitstag acht Stunden unterwegs sein, um sich einmal zu verletzen*. Wer lediglich jeden Tag eine halbe Stunde zu seinem Büro radelt und abends zurück, der braucht sogar Jahrzehnte, um sich einmal zu verletzen. Dass Radfahren so sicher ist, hätte ich trotz vieler unfallfreier Jahre im Sattel nicht erwartet.

*) Ein Arbeitsjahr in einem Vollzeitjob hat ca. 2000 Stunden einschließlich der Urlaubstage.

Application Layer Snake Oil

TL;DR: The author thinks Snowden’s home security app, Haven, is snake oil regardless of the algorithms it uses. Operational security is at least as hard as cryptography and no app is going to provide it for you.

Bogus cryptography is often being referred to as snake oil—a remedy designed by charlatans to the sole end of selling it to the gullible. Discussions of snake oil traditionally focused on cryptography as such and technical aspects like the choice of algorithms, the competence of their designers and implementers, or the degree of scrutiny a design and its implementation received. As a rule of thumb, a set of algorithms and protocols is widely accepted as probably secure according to current public knowledge, and any poorly motivated deviation from this mainstream raises eyebrows.

However, reasonable choices of encryption algorithms and crypto protocols alone does not guarantee security. The overall application in which they serve as building blocks needs to make sense as well in the light of the threat models this application purports to address. Snake oil is easy to mask at this level. While most low-level snake oil can be spotted by a few simple patterns, the application layer calls for a discussion of security requirements.

Enter Haven, the personal security app released by Freedom of the Press Foundation and Guardian Project and associated in public relations with Edward Snowden. Haven turns a smartphone into a remote sensor that alerts its user over confidential channels about activity in its surroundings. The intended use case is apparently to put the app on a cheap phone and leave this phone wherever one feels surveillance is need; the user’s primary phone will then receive alerts and recordings of sensed activity.

Haven is being touted as “a way to protect their [its users] personal spaces and possessions without compromising their own privacy.” The app allegedly protects its users against “the secret police making people disappear” and against evil maid attacks targeting their devices in their absence. To this end, Haven surveils its surroundings through the smartphone’s sensors for noise, movement, etc. When it detects any activity, the app records information such as photos through the built-in camera and transmits this information confidentially over channels like the Signal messenger and Tor.

Alas, these functions together create a mere securitoy that remains rather ineffective in real applications. The threat model is about the most challenging one can think of short of an alien invasion. A secret police that can make people disappear and get away with it is close to almighty. They will not go through court proceedings to decide who to attack and they will surely not be afraid of journalists reporting on them. Where a secret police makes people disappear there will be no public forum for anyone to report on their atrocities. Just imagine using Haven in North Korea—what would you hope to do, inside the country, after obtaining photos of their secret police?

Besides strongly discouraging your dissemination of any recordings, a secret police can also evade detection through Haven. They might, for example, jam wireless signals before entering your home or hotel room so that your phone has no chance of transmitting messages to you until they have dealt with it. Or they might simply construct a plausible pretense, such as a fire alarm going off and agents-dressed-as-firefighters checking the place. Even if they fail to convince you, you will not be able to react in any meaningful way to the alerts you receive. Even if you were close enough to do anything at all, you would not physically attack agents of a secret police that makes people disappear, would you?

What Haven is trying to sell is the illusion of control where the power differential is clearly in favor of the opponent. Haven sells this illusion to well pampered westerners and exploits their lack of experience with repression. To fall for Haven you have to believe the  premise that repression means a secret police in an otherwise unchanged setting. This premise is false: A secret police making people disappear exists inevitably in a context that limits your access to institutions like courts or media or the amount of support you can expect from them. Secret communication as supported by Haven does not even try to address this problem.

While almost everyone understands the problems with low-level snake oil and how to detect and avoid it, securitoys and application layer snake oil continue to fool (some) journalists and activists. Here are a few warning signs:

  1. Security is the only or primary function of a new product or service. Nothing interesting remains if you remove it.
  2. The product or service is being advertised as a tool to evade repression by states.
  3. The threat model and the security goals are not clearly defined and there is no sound argument relating the threat model, security goals, and security design.
  4. Confidentiality or privacy are being over-emphasized and encryption is the core security function. Advertising includes references to “secure” services like Tor or Signal.
  5. The product or service purports to solve problems of operational security with technology.

When somebody shows you a security tool or approach, take the time to ponder how contact with the enemy would end.

Verdient „cyber“ so viel Aufmerksamkeit?

Millionen Euro
Schäden durch Cybercrime (2016) 51
Jahresetat des BSI (2016) 89
Schäden durch Fahrraddienbstahl (2014) 100
Jahresetat des BSI (2017) 107
Schaden durch NotPetya bei Maersk 170…256
Schaden durch organisierte Kriminalität (2016) >1.000
Schäden durch Ladendiebstahl 2.000
Schäden durch Wirtschaftskriminalität (2011) 4.100
Rundfunkgebühren (2015) 8.131
Verkehrsinfrastrukturinvestitionen (2016) 12.296
Schaden aus Cum-Ex- und Cum-Cum-Betrug (kumuliert) 31.800
Verteidigungshaushalt (2017, inkl. CIR) 37.005
Bürokratiekosten der Wirtschaft pro Jahr 45.140
Unbelegte Cyberschadensdrohung von Bitkom und Verfassungsschutz 50.000
Googles weltweiter Umsatz (2016) 79.450
(89.460 $)
Jährlicher Umsatzverlust durch schlechte Führungskräfte 105.000
Umsatz im Lebensmitteleinzelhandel (2016) 176.000
Bundeshaushalt (2017) 329.100
Bruttoinlandsprodukt (2016) 3.124.364
(3.466.639 $)

Cyberzeilen sind fett markiert. Zu jeder Zahl ist die Quelle verlinkt. Ich aktualisiere die Tabelle ab und zu mit weiteren Angaben.

Can Penetration Testing Trigger Change in Development Teams?

Software penetration testing has become a common practice in software companies. Penetration testers apply exploratory testing techniques to find vulnerabilities, giving developers feedback on the results of their security efforts—or lack thereof. This immediate benefit is mostly uncontested, although it comes with the caveat that testers find only a fraction of the present vulnerabilities and their work is rather costly.

Security experts commonly recommend that developers should respond to the results of a penetration test not merely by fixing the specific reported vulnerabilities, but rather analyze and mitigate the root causes of these vulnerabilities. Just as commonly, security experts bemoan that this does not seem to happen in practice. Is this true and what prevents penetration testing from having an impact beyond defect fixing?

Studying Software Developers

We studied this question by observing a product group of a software company over the course of a year. The company had hired security consultants to test one of its products for security defects and subsequently train the developers of this product. We wanted to know how effective this intervention was as a trigger for change in development. To this end we conducted two questionnaires, observed the training workshop, analyzed the contents of the group’s wiki and issue tracker, and interviewed developers and their managers.

The product group in our study comprised several Scrum teams, development managers, and product management. Scrum is a management framework for agile software development. Scrum defines three roles—Development Team, Product Owner, and Scrum Master—and artifacts and ceremonies for their collaboration. The Development Team is responsible for and has authority over technical matters and development work; the Product Owner is responsible for requirements and priorities; and the Scrum Master facilitates and moderates their collaboration.

The participants of our study appreciated the penetration test results as feedback and the training workshop as an opportunity to learn. They managed to address the particular vulnerabilities reported by the consultants. They also felt that security needed more attention in their development work. Yet, after addressing the vulnerabilities uncovered by the penetration test, they returned to their familiar ways of working without lasting change.

Analyzing our observations through the lens of organizational routines, we found three key factors inhibiting change in response to the penetration test and training: successful application of existing routines, the organizational structure of roles and responsibilities, and the overall security posture and attitude of the company.

(1) Existing Routines

To address the immediate findings of the penetration test, our developers used an existing bug-fixing and stabilization routine. Defect reports arrive asynchronously and sometimes require quick response; developers therefore commonly dedicate some—variable—percentage of their working time to defect fixing in response to reports. The penetration test fed the team dozens of new defects at once, but developers hat a routine to deal with it. Moreover, management tracked the number of open defects, so that the sudden increase raised attention and created pressure on the team to get this number down.

Feature development, on the other hand—where change would have to occur—remained mostly unaffected. Feature development followed the process of Scrum and the penetration test neither had a specific impact here nor did it feed requests or ideas into this routine.

(2) Organizational Structure

Following the ideas of Scrum and agile development, a strong division of labor and responsibilities characterized the organizational structure in the setting of our study. Product management and product owners were responsible for the direction of the development work, whereas development teams enjoyed a certain autonomy in technical questions. This structure worked as a social contract: managers expected developers to take care of security as a matter of quality and developers were keen to deliver the features requested by management. However, the penetration test had little impact on the manager’s priorities beyond the pressure to reduce the number of open defects. The developers thus found themselves in a situation where security was not explicitly required and additional security work could not be justified.

(3) Business Role of Security

Finally, security had limited perceived importance for the business of the studied company, which thus far had not experienced any public security disaster and did not actively sell security. The company therefore lacked a security narrative that could have been used to justify security efforts beyond defect fixing. This, together with the inherent low visibility of security and insecurity, shaped priorities. Product managers knew that features sell their products—new features are easy to show and explain, whereas security improvements are not. Security was perceived as contributing little to the success of the product and the company, making it a low-priority requirement.

Our study points to some of the complexities of managing software development and of triggering change by interventions. While it would be tempting to assign blame to a single factors, such as agile development or negligent management, the problem is really more complicated. Organizational structures and routines exist and they are shaped by business needs. Scrum, for example, is highly beneficial for the studied company. One might even ask whether the company’s dealing with security is a problem in the first place. Are they perhaps doing the right thing for their market and customers?

Our Paper:

A. Poller, L. Kocksch, S. Türpe, F. A. Epp; K. Kinder-Kurlanda: Can Security Become a Routine? A Study of Organizational Change in an Agile Software Development Group. Proceedings of the 2017 ACM Conference on Computer Supported Cooperative Work and Social Computing (CSCW’17), February 25–March 1, 2017, Portland, OR, USA.
DOI: 10.1145/2998181.2998191

CfP: 3rd Workshop on Security Information Workers (WSIW 2017)

There will be another edition of WSIW this year and it will be part of SOUPS again, which is in turn co-located with the Usenix Annual Technical Conference. WSIW is concerned with  all kinds of security information work and the people doing such work, like developers, administrators, analysist, consultants, and so on. We were there last year with early results of our penetration testing in software development study. If the subject of your reseach is security work, please consider submitting to WSIW.

CfP: https://www.usenix.org/conference/soups2017/call-for-papers-wsiw2017

Workshop website: https://usec.cispa.uni-saarland.de/wsiw17/

Submissions due: 2017-05-25

Vortrag: „Security by Design?“

Triggerwarnung: work in progress

Vergangene Woche durfte ich auf dem 1. IT-Grundschutztag 2017 zum Thema Security by Design? vortragen. Das Leitthema der Veranstaltung war Application Security und ich habe passend zu unserer Forschung einen Blick auf die Softwareentwicklung geworfen. Sichere Software ist leicht gefordert, aber die Umsetzung im Entwicklungsalltag bereitet Schwierigkeiten: In frühen Phasen der Entwicklung kämpft man mit Ungewissheit und es ist schwer, Entscheidungen zu treffen; später weiß man mehr, aber die Veränderung wird schwierig – nicht nur technisch, sondern auch in den Strukturen und Routinen des Entwicklerteams.

Der Vortrag entstand aus einer früheren Fassung, die ich gemeinsam mit Andreas Poller auf dem Workshop „Partizipatives Privacy by Design“ im vergangenen Oktober in Kassel gehalten habe. Aus Andreas’ Vortrag auf der CSCW’17 habe ich mir auch Slides geborgt.

Wer die Tonspur zu den Slides hören möchte: einfach fragen.