Archiv der Kategorie: Geschäft

Business

Open Source staatlich fördern?

In einem Beitrag auf Heise Online plädiert Julia Reda für eine europäische Förderung von Open-Source-Soft- und Hardware. Die Sprunginnovationsagentur pflichtet ihr bei und verweist auf ihr Förderprojekt Sovereign Cloud Stack. Open-Source-Projekte zu fördern, ist eine gute Idee, aber die damit verbundenen Erwartungen erscheinen mir überhöht und nicht klar genug. Open Source soll die Sicherheit verbessern, Europa unabhängiger von großen, ausländischen IT-Unternehmen machen, Alternativen zu erfolgreichen Onlinediensten von Cloud Computing bis Videokonferenzen bereitstellen und Demokratiebewegungen in anderen Ländern unterstützen [Klarstellung dazu]. In diesem Potpourri liegt die Gefahr, sich zu verzetteln und Blütenträume zu fördern.

Open-Source-Produkte nehmen wie ihre kommerziellen Konkurrenten auf der Angebotsseite am Marktgeschehen teil. Zwar kann man sie einsetzen, ohne eine Lizenzgebühr zu zahlen, doch steht die Wahl auf der Nachfrageseite jedem Anwender frei. Vernünftig handelnde Anwender werden sich für diejenige Lösung entscheiden, die gemessen an ihren Bedürfnissen das beste Kosten-Nutzen-Verhältnis verspricht. Repräsentiert das beobachtete Marktgeschehen die Ergebnisse vernünftiger Entscheidungen, können wir die Faktoren analysieren, die zu diesen Entscheidungen beitragen.

Der Markt zeigt immer wieder, dass Open-Source-Anwendungen nur in Nischen konkurrenzfähig sind. OpenOffice, Firefox, Linux als Desktop-Betriebssystem oder der Messenger Signal sind verfügbar, doch ihre Nutzerzahlen bleiben überschaubar, von Marktführerschaft keine Spur. Der Anonymisierungsdienst Tor zielt gar von vornherein auf eine Nische, er ist nur für Randgruppen relevant und für die Mehrheit nicht alltagstauglich. Besser schlägt sich Open-Source-Software dort, wo sie Anwender nicht zu Gesicht bekommen: Als Softwareinfrastruktur in Anwendungen verborgen und in Entwicklerwerkzeugen spielen Open-Source-Projekte wie Linux, die Apache-Projekte, OpenSSL, Eclipse und viele andere eine bedeutende Rolle. Das ist kein Zufall.

Der Markt für Softwareinfrastruktur lässt wenig Raum für dauerhafte Konkurrenz verschiedener Anbieter vergleichbarer Produkte, etwa verschiedener Webserver oder Unix-Kernel. Standardisierung, zum Beispiel von Protokollen, lässt wenig Raum für sinnvolle Produktdifferenzierungen. Zugleich bringen konkurrierende ähnliche Produkte kostspielige Kompatibilitätsprobleme mit sich, die wiederum zu Standardisierungsversuchen führen. Wer einmal Software zwischen verschiedenen Unix-Variantenportiert hat, kann ein Lied davon singen. Auch in der Qualität können sich unterschiedliche Anbieter nicht nennenswert voneinander abheben, weil die Anforderungen an alle dieselben sind.

Jede konzeptionell weitgehend ausentwickelte Komponente nur einmal statt in mehreren unabhängigen Varianten zu pflegen, ist deshalb optimal. Nicht optimal wären jedoch Herstellermonopole, die für das einzige Produkt seiner Art Mondpreise kassieren. Deshalb ist es für alle besser, Komponenten der Softwareinfrastruktur als eine Art Allmende zu behandeln, die allen zur Verfügung steht und alle zur Mitarbeit einlädt. Weil alle davon profitieren, gibt es wenig Förderbedarf. Es ist der Markt, der Open-Source-Software hier zum Erfolg führt. Die Linux-Foundation zum Beispiel wird von großen IT-Unternehmen und der Fondsgesellschaft BlackRock finanziert.

Anders funktioniert der Markt für Anwendungen und anwendungsnahe Dienste, denn sie bieten in vielen Merkmalen Differenzierungspotenzial und damit Raum für Konkurrenz. Deswegen kann man ERP-Systeme von SAP oder von Oracle kaufen, Browser von Google, Microsoft, Mozilla oder Brave, Office-Software von Microsoft oder Google und so weiter. Zu den wichtigen Merkmalen zählt nicht zuletzt der Preis, genauer die Gesamtkosten der Nutzung. Dass sich Open-Source-Alternativen hier selten durchsetzen können, deutet darauf hin, dass sie in der Gesamtsicht nicht das attraktivste Produkt liefern. Besonders deutlich wird dies, wo selbst betriebene Open-Source-Software gegen kommerzielle Anwendungsdienste antreten, etwa Jitsi und BigBlueButton gegen Zoom, aber auch im Vergleich verschiedener Dienste wie Signal gegen WhatsApp.

Von den Verfechtern der OSS-Alternativen gerne ignoriert oder kleingeredet, zeigen sich in vielerlei Hinsicht Defizite. So hinkte Signal im Funktionsumfang WhatsApp hinterher und ging seinen Nutzern auf die Nerven. Selbst gehostete Videokonferenzdienste verursachen Arbeitsaufwand und brauchen eine Vorlaufzeit, bis sie einsatzfähig sind, während man mit Zoom auf der Stelle loslegen kann. Ob man mit den Alternativen wirklich sicherer ist, liegt auch nicht so klar auf der Hand. Wer nüchtern hinschaut, findet die Gründe dafür, dass die Open-Source-Alternativen alternativ bleiben. Daran kann auch OMG-ihr-bezahlt-mit-euren-Daten!!1-Rhetorik bei kostenlos angebotenen Diensten nichts ändern, denn das ist offensichtlich für viele ein fairer Deal.

Analog gilt dies auch für hochwertige Clouddienste a.k.a. Platform as a Service (PaaS). Dort bekommt man für sein Geld nicht einfach Software, sondern eine Plattform, welche die Entwicklung und den Betrieb von Anwendungen erleichtert und den Einsatz von IT-Ressourcen flexibel anpassbar macht. Software ist dafür nur Mittel zum Zweck und die Dienstleistung steckt nicht im Programmcode.

Um es mit den etablierten kommerziellen Anbietern von Anwendungsdiensten und Cloudplattformen aufnehmen zu können, müsste man überlegene Dienste anbieten, ähnlich wie Airbus einst ein fortschrittliches Flugzeug auf den Markt gebracht hat. Open-Source-Software kann dafür Basiskomponenten gemäß dem oben skizzierten Allmendemodell bereitstellen, aber diese Baseline ist alleine gerade nicht konkurrenzfähig, sondern ein allgemein verfügbarer kleinster gemeinsamer Nenner. Den kann man lange fördern, ohne dass er sich je von irgend etwas positiv abhebt.

In keinem der beiden Segmente kann eine großzügige staatliche Förderung von Open-Source-Projekten den Markt umkrempeln. Stattdessen bekäme man künstliche Open-Source-Projekte wie die AusweisApp2 oder die Corona-Warn-App, die zwar Einblicke in den Quelltext und die Entwicklung gewähren sowie Community-Kontakte pflegen, letztlich aber Auftragsarbeiten bleiben. Das heißt nicht, dass es falsch wäre, öffentliche Entwicklungsprojekte so weit wie möglich zu öffnen, aber das bleibe eine eigene Spielart von Open Source.

Die Hoffnung, mit staatlich geförderten Open-Source-Projekten endlich die technologische Lücke von 1969 zu schließen, wird sich nicht erfüllen. Dennoch gibt es Potenziale für sinnvolle staatliche Förderungen. Die Strategien ergeben sich aus den beiden diskutierten Modellen.

Auf dem Gebiet der Softwareinfrastruktur kann der Staat als Stakeholder für wünschenswerte Eigenschaften wie Qualität, Sicherheit und Weiterentwicklung auftreten. Das FOSSA-Projekt der EU passt genau in dieses Muster. Europäische Alternativen und Europäische Souveränität entstehen dadurch jedoch nicht. Im Gegenteil, solange sich IT und Internet im Industriemaßstab eher außerhalb als innerhalb Europas abspielen, handelt es sich tendenziell um ein Geschenk an die Konkurrenz. Bleiben lassen muss man es deswegen nicht, aber mit realistischen Erwartungen herangehen.

Bei den Anwendungen und anwendungsnahen Diensten hat Förderung nur einen Sinn, wenn sie auf konkurrenzfähige Angebote zielt. Open Source wird dabei zum Nebenaspekt, im Vordergrund steht das Produkt aus Anwenderperspektive, das besser und kostengünstiger sein muss. Wer also Zoom oder WhatsApp doof findet, muss objektiv bessere Dienste objektiv preiswerter anbieten (und im Fall von WhatsApp noch mit den unvermeidlichen Netzwerkeffekten fertig werden). Es gibt sogar noch ein Spielfeld, auf dem es eher auf die Software als auf die Dienstleistung ankommt: Webbrowser. Chrome ist zurzeit unangefochtener Marktführer, Mozilla siecht dahin. Ein solide finanzierter unabhängiger Browser mit allem, was daran hängt, bleibt dringend nötig. Nebenbei bekäme man einen Träger für Datenschutztechnik, die uns das unsägliche Zustimmungsgeheische im Web erspart, und könnte bei der Webstandardisierung mitreden.

Keimzelle einer neuen europäischen Informationstechnikbranche wäre auch das nicht, aber es wäre sinnvoll. Im Gegensatz zum Versuch, spezifisch und strategielos das Attribut „Open Source“ zu fördern.

Gefühlte Bedrohung

Pünktlich zum Start der Corona-Warn-App meldet sich der Vorstand des VZBV und warnt davor, „dass Restaurants, Geschäfte oder Flughäfen die Freiwilligkeit der App faktisch aushöhlen, indem sie nur App-Nutzern Zutritt gewähren“. Er hält diese Gefahr für real, doch das ist sie nicht.

Die App-Nutzung zu kontrollieren und daraufhin Kundinnen den Zutritt zu verweigern, ergibt nämlich für Unternehmen keinen Sinn. Solche Kontrollen kosteten doppelt Geld, einmal für die Arbeitszeit der Kontrolleure und einmal in Form verlorener Umsätze der abgewiesenen Kunden. Dem steht kein messbarer Nutzen des Unternehmens gegenüber. Selbst wenn man rein hypothetisch annähme, bei Infektionsfällen im Unternehmen drohe eine vorübergehende Betriebsschließung, bliebe dieses Risiko gering. Zum einen bleiben die Infektionszahlen und damit auch das mittlere Ansteckungsrisiko gering. Maßnahmen zur Pandemiebekämpfung zielen darauf, diesen Zustand zu erhalten. Zum anderen ist bei größeren Unternehmen auch ein Betrieb nicht dasselbe wie das Unternehmen, ein Supermarkt keine Supermarktkette. Doch schon bei Kleinunternehmen stellt sich die Frage: Was hätten etwa die darbenden Gastronomen davon, noch zusätzlich Gäste abzuweisen?

Realistischer erscheinen Kontrollen dort, wo Kontrollen ohne besonderen Aufwand praktikabel sind und Zutrittsbeschränkungen keinen Einfluss aufs Geschäft haben. Dies gilt zum Beispiel für Besuche in Krankenhäusern und Pflegeheimen. Auch hier stellt sich jedoch die Frage nach dem Nutzen. Das bloße Vorhandensein der App auf einem Smartphone sagt wenig aus und selbst der Warnstatus filtert nur diejenigen heraus, die unterwegs gewarnt wurden und es noch nicht bemerkt haben.

Eigentlich gehört das Kontrollszenario auch gar nicht zur Corona-Warn-App, sondern zu den zeitweise diskutierten Immunitätsnachweisen. Dort gehört die Kontrolle zum Konzept, sonst sind sie nutzlos, und die Frage ist berechtigt, unter welchen Bedingungen man sie ausnahmsweise zulassen möchte. Dies ist jedoch kein App-Problem.

Gamifizierter Narzissmus

Mit der Industrialisierung entstanden Massenmedien. Bevor sie um die Gunst ihrer Leser, Hörer oder Zuschauer konkurrieren konnten, mussten sie sich erst einen der knappen Kanäle sichern. Teils hatte das technische Gründe, wie bei Funk und Fernsehen, teils wirtschaftliche, denn das Herausgeben einer Zeitung wie auch der Betrieb einer Rundfunk- oder Fernsehanstalt erfordern Kapital und deshalb einen Mindestumsatz pro Zeiteinheit.

Das Internet hat uns Jedermannmedien wie Twitter, Facebook oder Telegram gegeben. Dort kann jeder an alle senden, die ihm zuhören wollen. Begrenzt ist nur noch die Aufmerksamkeit des Publikums, um die sich alle balgen. Geld verdient dabei zunächst nur die Plattform, und zwar umso mehr, je mehr Aufmerksamkeit sie insgesamt binden kann. Dies gilt für die Werbung, die sich ein Stück vom Kuchen der Aufmerksamkeit abschneidet, ebenso wie für das Risikokapital, das sich eine Zeitlang mit schnell wachsenden Metriken als Gegenleistung begnügt.

Einige Plattformen, allen voran YouTube, geben einen Teil ihrer Einnahmen an ihre Sender weiter und nähern sich damit teilweise herkömmlichen werbefinanzierten Medien wie dem Privatfernsehen und -radio an, erlauben jedoch parallel dazu das unbezahlte Senden. Andere, wie Twitter und Instagram, ermöglichen ihren Nutzern keine direkte Monetarisierung ihrer Reichweite und erlangten Aufmerksamkeit; teils lässt sich diese mit externen Diensten wie Patreon oder der Nutzung als Werbeplattform für eigene Produkte kompensieren. Manche haben nicht einmal ein nachhaltiges Geschäftsmodell, so wie Telegram, das seine letzten Einnahmen mit dem Verkauf selbst erzeugter Blockchain-Token („ICO“) erzielte, bevor die amerikanische Börsenaufsicht dem ein Ende setzte.

Das Internet schafft damit einen Raum für Medienprodukte, die vom Narzissmus oder der Agenda der Sender sowie der Einfalt ihrer Gefolgschaft leben. Esoterik und Verschwörungstheorien, die in den letzten Wochen in Form von Demonstrationen aus dem Internet herausschwappten, stellen nur eine Ausprägung diese Modells dar. Dass sich Telegram in diesem Zusammenhang zum Kopp-Verlag unter den Messengern entwickelt hat, dürfte nicht zuletzt fehlenden Reichweitebeschränkungen zuzuschreiben sein.

So im jungen Internet jeder mit wenig Aufwand ein Spammer werden konnte (Stimmt die Zeitform oder gibt es immer noch so viel Spam und ich sehe ihn nur nicht mehr?), kann heute auch jeder ein Massenmedium sein. Er muss dafür nur Zeit investieren und veröffentlichen, was seiner Zielgruppe gefällt. Als Belohnung gibt es Likes, Reshares und manchmal eine „Hygienedemo“ besonders eifriger Anhänger. Etwas Besseres als ein folgsamer Mob kann den Sendern kaum passieren.

Vordergründig funktioniert dieser neue Medienmarkt zwar wie der Alte, der ebenfalls Aufmerksamkeit belohnt, doch fällt das Geld als Regulativ für Inhalte weitgehend weg – auch auf Seiten der Empfänger, die sich nicht mehr auf einige wenige mutmaßlich seriöse Quellen festlegen müssen, sondern sich aus einem Überangebot das herauspicken, was ihnen gerade gefällt. Zugleich verschwimmen die Grenzen zwischen Sendern und Empfängern. Alle machen alles und viele träumen davon, es vom Twitter-Ei zum Like- oder Follower-Millionär zu bringen.

Negative Konsequenzen haben die Jedermannmedien auch dort, wo keine böse Absicht im Spiel ist. Aktuelles Beispiel: Das deutsche Corona-Warn-App-Projekt arbeitet relativ offen auf GitHub. Dort kann jeder in die Dokumentation und den Programmcode schauen, Fragen stellen, Probleme melden und diskutieren. Die Entwickler reagieren darauf professionell und nachvollziehbar, sie sind in einem vernünftigen Maß – um fertig zu werden, muss man manchmal Prioritäten setzen und nicht alles entscheiden die Entwickler selbst – offen für Kritik und Verbesserungsvorschläge. Doch die Arbeitswoche beginnt für sie nach dem Feiertag damit, dass sie am Dienstag halb neun jemand per Twitter anpisst, weil ihm an ihrem Datenbankentwurf etwas nicht gefällt. Die genannten Merkmale stellen wahrscheinlich gar kein großes Problem dar, weil die Datenbank im Fall der Corona-Warn-App ohnehin nur der Koordination dezentraler App-Instanzen dient und die zentral anfallenden Informationen kaum etwas über identifizierbare  Personen aussagen. Trotzdem gibt’s zur Belohnung allgemeines Schulterklopfen. Den Entwicklern will er’s vielleicht später melden.

Dies ist das Resultat einer Plattform, die den Narzissmus ihrer Nutzer gamifiziert hat, um damit Geld zu verdienen. Hier kann jeder ein kleiner Trump sein und sich seine tägliche Dosis Bestätigung aus der eigenen Populismusblase holen. Im kleinen Maßstab ist das kein Problem, doch insgesamt kommen wir vielleicht nicht darum herum, den senderseitigen Aufwand wieder an die Reichweite zu binden und so die alte Trennung zwischen relativ aufwändiger Massen- und billiger Individualkommunikation geringer Reichweite wiederherzustellen.

Bedingte Vorsorge und einseitiges Risikomanagement

Die Coronavirusseuche verlangt nach klugem Risikomanagement. Darüber, wie ein solches aussehe, gibt es verschiedene Auffassungen. Die einen halten enge Beschränkungen des öffentlichen Lebens über längere Zeit für erforderlich und warnen vor schneller Rückkehr zur früheren Normalität. Die anderen verlangen, man müsse die Wirtschaft schnell normalisieren, um größere Schäden zu vermeiden, und dazu Gesundheitsrisiken in Kauf nehmen.

Beide Seiten argumentieren letztlich auf der Grundlage des Vorsorgeprinzips: Man wisse nicht genug, doch sei es besser, anhand der vorliegenden Informationen jetzt Entscheidungen zu treffen, als nicht zu tun, bis Klarheit herrsche. Beiden Seiten feht dieselbe Information, nämlich allerlei Details zum Virus, der davon ausgelösten Erkrankung und künftigen Behandlungsmöglichkeiten. Sie unterscheiden sich nur darin, wie sie Risiken priorisieren. Die einen schauen zuerst auf die Gesundheit und das Gesundheitssystem und wenden das Vorsorgeprinzip darauf an, die anderen legen den Fokus auf die Wirtschaft.

So unangenehm es sein mag, Gesundheit und Menschenleben in Geld umzurechnen, werden wir doch nicht umhinkommen, alle maßgeblichen Aspekte und Folgen der Pandemie wie ihrer Bekämpfung in einem umfassenden Risikomodell zu berücksichtigen und gegeneinander abzuwägen. Das Vorsorgeprinzip liefert keine magische Pille, die einen Ausweg aus der Ungewissheit eröffnet, sondern nur eine Maxime zum Umgang mit unvermeidlicher Ungewissheit.

Nach meinem Eindruck haben bislang die Virologen die Nase vorn, was belastbare Voraussagen angeht. Zwar ist vieles rund um das neue Coronavirus noch nicht geklärt, doch lässt sich die Ausbreitung des Virus anhand plausibler und auf langer Erfahrung beruhender Modelle gut voraussagen. Können Ökonomen ähnlich belastbar die künftige Entwicklung der Wirtschaft vorrechnen?

Unterschätzte Risiken: kaputte Organisationen

Morgen jährt sich zum 25. Mal der Zusammenbruch der Barings Bank. Als verwirrter Einzeltäter gilt Nick Leeson, der als Wertpapierhändler in Singapur vertuschte Verlust anhäufte. Möglich war dies jedoch nur aufgrund einer kaputten Organisation. Die Verhältnisse in der Bank müssen haarsträubend gewesen sein. Leeson hielt seine Kollegen und Manager für Idioten – und hatte damit wahrscheinlich Recht. Die BBC-Doku £830,000,000 – Nick Leeson and the Fall of the House of Barings erzählt die Geschichte:

What Blockchain Really Is

Blockchain is not a technology, it is a meme. The legend of a magical technology about to disrupt everything – e-very-thing! – emerged from an ecosystem of investment fraud, where it was originally used to sell worthless coins and tokens to the gullible. The blockchain legend did not have to make sense to fulfill this purpose, quite to the contrary.

Due to media fascination with the speculative bubble formed by Bitcoin and other crypto-“currencies”, the blockchain legend spilled over into the real business world. It had everything it needed to spread: great promises instilling fear of missing out, explanations one could replicate by memorizing rather than understanding, and holes in just the right places that everyone could fill with their personal visions.

Application proposals, unsurprisingly, revolved around what people experienced in their everyday lives, such as tracking bananas from the farm to the supermarket or making payments. The blockchain legend would have worked just as well with any other alleged use case, as it did not promise any specific advantages compared to actual technology.

As a meme, the blockchain legend can spread only among those who want to believe, or at least accept the proposition that blockchain were a technology. The moment one understands the true nature of blockchain as a redundantly-decentrally spread meme one stops spreading the meme.

Two years have passed since peak blockchain. Fewer and fewer people continue to propagate the meme. I can see the light at the end of the tunnel.

Die letzten Blockchain-Evangelisten

Zum zweiten Mal jährt sich in diesem Monat Peak Blockchain, der Höhepunkt der Krypto„währungs“- und Blockchain-Blase. Für einen kurzen Augenblick unserer Geschichte schien das Zauberwort Blockchain den Deutschen interessanter als die Hipster nährende Süßkartoffel. Seither ließ das Interesse schnell nach, denn dem Hype fehlte die Substanz. Wirklich plausibel war bereits Bitcoin nur als Spekulationsobjekt gewesen, das man wie einst Tulpenzwiebeln eine Blase lang handeln und dann als Wirtschaftsgut vergessen oder irgendwo zwischen Mehl und Kartoffel einsortieren würde. Die als Verkaufsargument für letztlich in beliebiger Anzahl frei halluzinierbare „Coins“ und „Token“ in die Welt gesetzte und gerne nachgeplapperte Legende von der revolutionären Blockchain-Technologie konnte daran nichts ändern.

Trendgraphen für Blockchain und Süßkartoffeln
Die Süßkartoffel wird alles revolutionieren, alles! Bringt den Euro auf die Süßkartoffel!

Bereits 2017, noch auf dem Weg zum Gipfel des Irrsinns, beleuchtete David Gerard in seinem Buch Attack of the 50 Foot Blockchain die Szene und mittlerweile kann man sich auch vom Security-Guru Bruce Schneier oder von gut bezahlten McKinsey-Beratern erklären lassen, was an den Geschichten von Coins, Token, Blockchains und Smart Contracts alles nicht stimmt und warum die Suche nach erfolgreichen Blockchain-Projekten so mühsam ist. Dazu passend hört man von den einst eilig aufgesetzten Blockchain-Projekten mancher Unternehmen heute nur noch wenig mehr mehr als von ihren ähnlich laut angepriesenen und gleichermaßen schlecht begründeten Avatar-Meetings und Gebäudemodellen in Second Life ein Jahrzehnt zuvor. Selbst die noch im Frühjahr vom Gesundheitsminister prämierte Idee einer digitalen Arbeitsunfähgkeitsbescheinigung mit Blockchain verschwand auf dem Weg zum Gesetz leise in der Schublade, denn eine Krankenkasse hatte bereits Jahre zuvor eine ohne Digitalvoodoo funktionierende Lösung entwickelt und getestet. Zu guter Letzt beerdigte auch die Bundesregierung das ihr aufgedrängte Thema, indem sie gesichtswahrend eine Blockchain-Strategie verabschiedete, ohne sich zu etwas zu verpflichten.

Um jetzt noch an der Blockchain-Legende zu stricken, müsste man schon sehr realitätsverdrossen sein, und doch versuchen einige genau dies und schwadronieren vom digitalen Euro, der schnell „auf die Blockchain“ müsse, oder neu ausgeschmückt von einer revolutionären Wundertechnologie nun nicht mehr hinter Bitcoin, sondern hinter dem vorerst ebenfalls gescheiterten Facebook-Projekt Libra. Was sie dazu treibt, bleibt ihr Geheimnis.

Kein Geheimnis bleiben die Nachrichten. So sieht der Präsident der amerikanischen Nationalbank Federal Reserve keinen Bedarf für einen staatlichen Digitaldollar und der venezolanische Petro blieb von Anfang an nur ein Verzweiflungsakt, der dem gebeutelten Land nicht helfen konnte und es vielleicht nicht einmal sollte. Facebooks groß angekündigte Privatwährung Libra harzt, wie man am Sitz der Libra Association in der Schweiz sagen würde, seit sich zeigte, dass Libra von den ursprünglichen Ideen der Krypto„währungen“ weniger deren Architektur denn ihre Ignoranz gegenüber jeder Finanzmarktregulierung übernehmen wollte. Ins Geschäft mit dem Zahlungsverkehr einzusteigen mag für ein Unternehmen wie Facebook attraktiv sein, aber dabei handelt es sich am Ende nur um ein Bankgeschäft wie jedes andere. Technisch braucht man dafür nicht mehr als eine Datenbank und über eine eigene Verrechnungseinheit verfügte mit dem Linden Dollar bereits Second Life – Jahre vor Bitcoin.

Was die ebenso gerne als Kronzeugen angeführten fernen Chinesen treiben, wissen wir im Westen nicht so genau. Vor unserer Haustür hingegen finden wir das lehrreiche Beispiel der schwedischen E-Krone. Unter diesem Arbeitstitel beschäftigt sich die Schwedische Reichsbank mit der Frage, ob sie ein elektronisches Zentralbankgeld herausgeben soll und wie ein solches funktionieren könnte. Die Motivation dazu liegt nicht in der Wundertechnik Blockchain, sondern im elektronischen Zahlungsverkehr, der das Bargeld in Schweden weitgehend abgelöst hat. Während sich die Banken früher Bargeld bei der Zentralbank besorgen mussten, arbeiten sie nun vorwiegend mit Buchgeld, welches sie selbst schöpfen. Damit aber geht der Einfluss der Zentralbank zurück, auf den sich die klassischen Instrumente der Geld- und Währungspolitik stützen.

Die E-Krone steht für die Suche nach einem elektronischen Ersatz, der die Funktion der Zentralbank in die Ära des volldigitalen Zahlungsverkehrs hinüberrettet. Notwendig wird dieser Versuch, weil die Banken dezentral selbständig Buchgeld schöpfen können, eine wirtschaftlich nützliche Funktion, die jedoch beaufsichtigt und gesteuert werden muss. Die E-Krone und Krypto„währungen“ verfolgen mithin gegensätzliche Ziele. Bitcoin und seine Nachahmer traten mit dem Anspruch an, zentrale Instanzen überflüssig zu machen und alle Vorgänge redundant-verteilt abzuwickeln. Heraus kamen dabei Systeme mit gravierenden Mängeln: geringe Leistung und Zuverlässigkeit bei hohem Energieverbrauch, hohes Risiko für Nutzer wegen problematischer Benutzerschnittstellen bei fehlenden Korrekturmöglichkeiten sowie die ökonomischen Folgen ungenügender Aufsicht sind nur einige davon.

Zur Rettung einer Zentralbank dürften Ansätze, die deren Abschaffung um jeden Preis versuchen und die genau deswegen in der Praxis scheitern, nur wenig beitragen. Stattdessen wird es sinnvoll sein, sich alle plausiblen Vorschläge für digitales Geld von eCash bis zur Geldkarte noch einmal anzuschauen und zu überlegen, wie man diese Entwürfe weiterentwickeln könnte. Bitcoin und Konsorten fallen schon mal raus: Nach Ansicht der Reichsbank handelt es sich dabei gar nicht um Geld (deshalb die Gänsefüßchen im Wort Krypto„währung“). Ob Schweden am Ende jemals eine E-Krone bekommt und wie sie gegebenenfalls funktionieren soll, bleibt vorerst offen. Vielleicht braucht es am Ende auch ganz andere Mechanismen für die Bankenaufsicht und Geldpolitik.

Von den letzten Blockchain-Evangelisten liest man dazu nichts. Sie raunen nur weiter von der Magie der Blockchain und einer großen Zukunft der Krypto„währungen“, die man nicht verpassen dürfe. Wer ihnen noch zuhört, ist selbst schuld.

Denkanstöße zu 5G und Huawei

Seit einiger Zeit tobt ein Streit um die Frage, ob der chinesische Konzern Huawei Ausrüstung für die im Aufbau befindlichen deutschen 5G-Netze liefern dürfen soll. Kritiker argumentieren, Huawei sei von der chinesischen Regierung abhängig und deshalb kein vertrauenswürdiger Lieferant. Kauften unsere Netzbetreiber bei Huawei, seien wir China ausgeliefert, da helfe keine Technik und kein Sicherheitsmanagement. Befürworter hingegen halten die Risiken für beherrschbar.

Die Diskussion krankt daran, dass sie in der Öffentlichkeit vorwiegend auf PR-Niveau geführt wird statt mit handfesten Argumenten. Echte Risikobetrachtungen liest man kaum, stattdessen bleiben die vorgetragenen Bedenken und Argumente ätherisch. Als Beispiel lesen man etwa das Papier Germany’s Preliminary 5G Decision:
Limiting Damage and Learning Lessons der DGAP: Dort fehlt jede nachvollziehbare Risikoeinschätzung und die Autoren fordern, die Entscheidung über den Einsatz nicht  Leuten mit Ahnung von der Materie wie dem BSI , sondern der Politik zu überlassen. So würde man wohl auch argumentieren, arbeitete man als PR-Agentur für einen von Huaweis Konkurrenten.

Aus Sicht des Sicherheits- und Risikomanagements stellt sich jedoch zuerst die Frage, welche Szenarien eigentlich gegeneinander abzuwägen sind und was man gewinnen oder verlieren kann. An einem Kommunikationsnetz interessieren uns unmittelbar seine Verfügbarkeit sowie möglicherweise die Vertraulichkeit der Kommunikation, mittelbar als Voraussetzung dafür die Integrität des Netzes und seiner Komponenten, die jeder Hersteller untergraben kann.

Am geringsten zusätzlich bedroht ist die Vertraulichkeit der übermittelten Inhalte. Dafür verlässt sich ohnehin niemand auf ein öffentliches Netz, sondern wer auf Vertraulichkeit Wert legt, muss ein Protokoll zur Ende-zu-Ende-Verschlüsselung wie z.B. TLS einsetzen. Bei korrekter Anwendung eines solchen Protokolls sind die attraktivsten Angriffe dann solche auf die Software der Endpunkte, insbesondere die Anwendungssoftware.

Ebenso bedeutsam ist, wie wir spätestens seit Snowden wissen, die Vertraulichkeit der Metadaten – wer kommuniziert wann, wo und mit wem? Hier stellen sich Fragen wie:

  • Welchen echten Vorteil brächte der direkte Durchgriff auf den Hersteller Huawei im Vergleich zu einem unabhängigen Akteur, der die Komponenten lediglich analysiert?
  • Welche Informationen könnten die Chinesen ohnehin schon unkompliziert einsammeln, solange sie uns Computer, Smartphones und IoT-Geräte liefern?
  • Inwieweit kann der praktische Betrieb Risiken kompensieren, wenn Spione nicht nur theoretisch, sondern auch praktisch an Daten herankommen müssen und es sich dabei um nennenswerte Datenmengen handelt?
  • Wo und wie würde man die relevanten Daten einsammeln, wenn man keinen besonderen Zugang zur Netztechnik hätte?

Kurz und gut, wie viel leichter hätten es die Chinesen dank Huawei als andere Mächte mit ihren Nachrichtendiensten?

Auch hinsichtlich der Verfügbarkeit stellt sich die Frage nach der Baseline, dem Ausgangsniveau. Angenommen, die Chinesen könnten unsere 5G-Netze jederzeit ausknipsen, wieviel leichter hätten sie es dann als ein anderer Akteur, der etwa Spezialeinheiten mit Sprengstoff losschickt? Die Bahn zum Beispiel hat ab und zu Probleme mit heimischen Terroristen, die aus einer politischen Motivation ganz banal Kabelschächte anzünden und damit großen Schaden anrichten. Was könnten staatlich unterstützte Kräfte zu welchem Preis mit klassischer Sabotage anrichten?

Sähe ich solche Fragen diskutiert, fiele es mir leichter, die ganze Debatte ernst zu nehmen. Alternativ könnten wir die Sicherheit in den Hintergrund rücken und einfach offen über Wirtschaftspolitik reden. Vielleicht wäre es ja aus dieser Perspektive eine gute Idee, europäischen Anbietern den Vorzug zu geben und wenn das jemand nachvollziehbar begründen könnte, hätte ich gar nichts dagegen, dass wir das dann auch tun.

Unterdessen kann sich Bill Gates in Huawei einfühlen, denn Microsoft hatte einst dasselbe Problem: „Wir wurden gefragt, ob Windows irgendwelche NSA-Dinge eingebaut hat“. Ob diese Erinnerung die aktuellen Warnungen vor Huawei glaubwürdiger macht, möge jeder für sich entscheiden.

PS: Bei einer Anhörung des Auswärtigen Ausschusses im Bundestag wiesen Experten darauf hin, dass ein funktionierender Markt und die Vermeidung einer Monokultur wichtig seien für die Sicherheit. (2019-11-11)

PPS: Den Security-Chef der Telekom wollte man lieber nicht anhören. Netzbetreiber wie die Telekom sind gegen den Ausschluss von Huawei, während der Ausschussvorsitzende Röttgen die Beteiligung von Huawei am 5G-Ausbau für schlimmer hält als einen GAU im Kernkraftwerk. (2019-11-12)

Mythos personalisierte Werbung

“There is a rational explanation for everything.
There is also an irrational one.”
Schwa World Operations Manual

Eines der Gebiete, die Laien zur Algorithmenschelte einladen, ist die automatisierte Werbung. Wenn wir – ohne Adblocker – Websites besuchen, wählen geheimnisvolle Algorithmen aus, welche Werbung wir zu sehen bekommen, gespeist von Daten aus Trackern, die uns im Internet auf Klick und Reload verfolgen. Wahre Wunderdinge erzählt man sich von diesen Algorithmen: Sie kennten uns besser als wir selbst, wüssten um unsere Interessen und könnten unsere Kaufentscheidungen mit personalisierter Werbung manipulieren. Die Realität ist oft viel banaler. So geisterte vor Jahren eine Geschichte durchs Netz und die Medien vom Supermarkt mit dem passenden Namen Target, der einer Kundin mutmaßlich aufgrund der Daten aus einem Rabattprogramm à la Payback Werbung für Babysachen nach Hause schickte, bevor sie selbst wusste, dass sie tatsächlich schwanger war. Solche Ereignisse wiederholen sich bis heute, doch wenn die Algorithmen falsch liegen, entpuppt sich das ganze Wunder zum Beispiel als naheliegender Schluss aus den weiterverkauften Daten eines Zyklustrackers nach versäumter Dateneingabe. Auch im ersten Fall dürfte die Erklärung harmlos sein, handelt es sich doch um einen Einzelfall und wir wissen nicht, bei wie vielen Empfängerinnen Target falsch lag.

Das Modell vom algorithmisch durchleuchteten und manipulierten Konsumenten führt vielfach in die Irre. Es unterstellt „den Algorithmen“ Fähigkeiten, die sie so nicht haben, erklärt unerwartetes Verhalten fälschlich als Irrtümer einer Intelligenz und verengt die Vorstellung von Werbung auf personalisierten Druckverkauf von Consumer-Produkten. Aus dieser Perspektive erscheinen Beobachtungen grotesk, wie sie der Journalist Hendrik Wieduwilt machte und belustigt teilte:

Belustigter Tweet über Twitter-Werbung für militärische Transporthubschrauber
Psst, brauchst du Transporthubschrauber? Gute Stoff, NATO nimmt auch!

Was auf den ersten Blick und mit dem Modell der persönlich zugeschnittenen Werbung im Hinterkopf wie eine erheiternde Fehlfunktion wirkt, lässt sich in Wirklichkeit leicht erklären. Die Kaufentscheidung, um die es geht, fällt im Verteidigungsministerium. Seit Anfang des Jahres läuft das Beschaffungsverfahren für einen neuen Transporthubschrauber für die Bundeswehr. Einer der beiden Bieter* ist Boeing mit dem gezeigten Modell Chinook.

Ein wie auch immer gearteter direkter Einfluss dieser Werbung auf die Beschaffungsentscheidung der Bundeswehr ist nicht zu erwarten. Man investiert nicht mehrere Jahre in die Vorbereitung und Abwicklung eines Beschaffungsverfahrens, nur um am Ende die Ministerin nach Bauchgefühl und der am häufigsten gesehenen Anzeige entscheiden zu lassen. Dennoch ergibt die Werbung Sinn, wenn man sie Teil einer Imagekampagne betrachtet, mit der die öffentliche Meinung zugunsten des eigenen Angebots gepflegt werden soll. Welche Wirkung man davon am Ende erwarten kann, sei dahingestellt; schaden wird es nicht, der Öffentlichkeit bekannt zu sein.

Besonders gut zielen muss man mit einer solchen Kampagne nicht, sie soll ja viele erreichen. Eine Portion Targeting wird dennoch im Spiel sein und das versteht man am besten, wenn man es als Ausschluss offensichtlich unsinniger Versuche auffasst.

Henry Ford wird das in verschiedenen Fassungen kursierende Zitat zugeschrieben: „Ich weiß, die Hälfte meiner Werbung ist hinausgeschmissenes Geld, ich weiß nur nicht welche Hälfte.“ Die Chance, mit Werbung bei einem zufällig ausgewählten Individuum eine Wirkung zu erzielen, ist gering, meist viel geringer als fünfzig Prozent. Es gibt kein Geheimwissen, mit dem sich dies grundlegend ändern ließe. Denkt nur daran, wie viel Werbung Ihr Tag für Tag ignoriert, für wie viele Produkte Ihr Werbung erhaltet, die Ihr nie kaufen würdet.

Dennoch lassen sich die Erfolgsquoten einer Kampagne pro Kontakt und damit das Kosten-Nutzen-Verhältnis optimieren, indem man offensichtlich chancenlose Versuche gleich ganz bleiben lässt und die dafür sonst aufzuwendenden Kosten einspart. Im vorliegenden Fall zielt die Kampagne auf Deutschland. Man kann also schon mal auf alle Versuche verzichten, bei denen die Empfänger keinen Bezug zu Deutschland haben. Das ließe sich noch näherungsweise durch die Auswahl der Medien und sonstigen Werbeumfelder erreichen, wie man es früher getan hat und in Printmedien noch tut. Im Internet mit seinen zentralen Werbeplattformen ist man jedoch weniger eingeschränkt und so ließe sich diese Zielgruppenbeschränkung auch dann noch umsetzen, wenn jemand Slashdot oder El País oder eben Twitter besucht.

Je nach Ausrichtung der Kampagne könnte eine weitere Einschränkung sinnvoll sein, nämlich auf relevante Entscheider und Multiplikatoren, also ungefähr höhere Militärs und Verteidigungsbeamte sowie Journalisten und einflussreiche Blogger. Ob das hier der Fall ist, weiß ich nicht. Vielleicht bekommt auch jeder zurzeit Hubschrauberwerbung, ob Journalistin, Militär, Klempnerin oder Katzenbildblogger. Wer wahrscheinlich journalistisch tätig ist, kann Twitter wissen; ob es sich ohne weitere Verknüpfung aus Tracking-Daten herauslesen ließe, weiß ich nicht. Um hingegen jemanden halbwegs verlässlich als, sagen wir, Staatssekretär im BMVg einordnen zu können, wird man ihn de facto persönlich identifizieren oder sich auf seine Angaben verlassen müssen.

So fein müssen Zielgruppen freilich gar nicht immer abgegrenzt werden, auch wenn man zuweilen von Microtargeting liest. Brauchbare Einschränkungen beim Zielen auf Entscheidungsträger könnten Kriterien sein wie: „hat studiert und ist schon etwas älter“, oder „verfügt mutmaßlich über ein monatliches Einkommen von mehr als x-tausend Euro“. Wichtig ist nur, dass man halbwegs verlässlich möglichst große Zahlen derjenigen ausschließt, die man nicht erreichen möchte.

Das heißt nicht, dass die Werbewirtschaft nicht alle Daten sammeln würde, die sie kriegen kann, oder dass sie Hemmungen hätte, über jeden einzelnen von uns ein persönliches Dossier anzulegen. Doch die mächtigen  und geheimnisvollen Algorithmen, die uns durch unsere DSL-Anschlüsse gleichsam direkt ins Gehirn schauen und unser Verhalten vorhersagen könnten, diese Algorithmen gibt es nicht.


*) Als einziger Konkurrent tritt der ebenfalls amerikanische Hersteller Sikorsky an und die Ausschreibung war wohl so formuliert, dass auch niemand sonst überhaupt die Bedingungen erfüllen konnte. Angesichts dessen frage ich mich, warum wir bei der Bundeswehr nicht so einen Souveränitätszirkus veranstalten wie für die Cloud, obwohl wir doch auf diesem Gebiet mit Airbus sogar über einen eigenen Kandidaten verfügen.

Trendsport Algorithmenschelte

Warf man Internetkonzernen wie Google und Facebook einst vor allem vor, Datenkraken zu sein, hat heute de Algorithmenschelte den Spitzenplatz unter den Memen der Technikkritik übernommen. Die künstliche Intelligenz stehe kurz vor der Übernahme der Weltherrschaft, raunt es durch die Medien, und niemand verstehe so recht, was sich diese immer mächtiger werdenden Algorithmen dächten. Man müsse ihnen Zügel in Gestalt von Algorithmenethik und Not-Aus-Knöpfen anlegen, damit sie sich richtig entschieden, wenn sie etwa bei der Steuerung eines fahrerlosen Autos zwischen verschiedenen Unfallopfern zu wählen hätten.

Nun ist es gewiss nicht falsch, sich kritisch mit neuer Technik und ihren Anwendungen auseinanderzusetzen. Doch mittlerweile bekommt man manchmal den Eindruck, es sei legitim und notwendig, sich vor Algorithmen und künstlicher Intelligenz zu fürchten wie frühere Generationen vor dem Atomtod. Doch die gegenwärtigen Diskussionen sind geprägt von Missverständnissen, grandiosen Überschätzungen, Motiven aus der Science Fiction sowie modernen Legenden, die sich dank oberflächlicher Plausibilität durch ungeprüftes Nacherzählen verbreiten.

Eine dieser Legenden besagt, der Empfehlungsalgorithmus von YouTube fördere systematisch Schund und Schmutz und ziehe seine Nutzerinnen und Nutzer schnell und tief in extreme Filterblasen. Ich kann diese Erzählung aus eigener Erfahrung nicht nachvollziehen, denn meine persönlichen Empfehlungen sind an Harmlosigkeit kaum zu überbieten.

Ich habe freilich auch nicht die Methode angewandt, mit der die Empfehlungskritiker Belege für ihre These konstruieren: Getreu dem Axiom, dass stets nur die anderen als verstrahlte Manipulationsopfer in Frage kommen, während man selbst erleuchtet sei und alles durchschaue, betrachtet man einen hypothetischen Neunutzer ohne Vergangenheit, der YouTube zum ersten Mal nutzt und sogleich dessen Empfehlungen folgt. Das ist zwar offenkundiger Blödsinn, denn in dieser Situation kann auch das intelligenteste Empfehlungssystem nur raten, doch es liefert die gewünschte Geschichte. Mit Analysen, wie die Beobachtungen zustande kommen, hält man sich dabei nicht auf.

In diese Kerbe haut nun auch die Mozilla-Stiftung mit ihrer Kampagne YouTube Regrets, in der sie Geschichten verstörter Zuschauerinnen und Zuschauer erzählt und Google als Betreiber der Plattform angreift. Die Motivation bleibt unklar, doch konkurrieren Mozilla mit Firefox und Google mit Chrome erbittert um Anteile am Browsermarkt.

Im Zentrum der Kampagne stehen die Statements 28 anonymer YouTube-Zuschauer, die sich mehr oder minder entsetzt zeigen ob der Videos, die ihnen die Plattform empfahl. So empört sich Zeuge Nr. 3, Pferdesportfan, darüber, dass YouTube ihr oder ihm immer wieder Videos kopulierender Pferde anbiete, obgleich man an Pornographie gänzlich desinteressiert sei. Nr. 13 schaute sich Anita Sarkeesians „Tropes vs Women in Video Games“ an und sah sich daraufhin mit Videos des Gamergate-Mobs konfrontiert. Nr. 22 berichtet, nach dem Genuss von Gaming-Videos unvermittelt auf Bongs gestoßen zu sein und vermutet, der Algorithmus habe einen Witz aus einem der Videos aufgegriffen. In einigen Statements wird sogar von Kindern berichtet, die offenbar unbeaufsichtigt vor dem Google-Apparat saßen und die das Programm darin verstört habe.

So weit, so spießig. Als Beitrag zur Erhellung war Mozillas Kampagne vermutlich nicht gedacht, doch illustrieren die verwendeten Statements Missverständnisse und Denkfehler, die populistischer Algorithmenschelte wie dieser zugrunde liegen. Das größte Missverständnis: Es handle sich um komplizierte, geheimnisvolle Algorithmen, die anhand einer Unmenge von Daten unser Innerstes durchleuchteten, um unsere Interessen zu verstehen, und persönliche Empfehlungen für jede Einzelne von uns berechneten.

Tatsächlich verstehen wir Empfehlungssysteme gut. Sie berechnen abstrakte Kategorien – meist andere als ein Mensch bilden würde – in die sie sowohl Nutzer als auch Inhalte einordnen und geben die danach am besten passenden Kombinationen aus. Ihr Weltwissen beziehen sie dabei aus dem beobachteten und statistisch aggregierten Verhalten der Nutzerschar. Schauen sich also viele als Pferdeliebhaber eingestufte Nutzerinnen und Nutzer Filme von kopulierenden Pferden an, wird das Empfehlungssystem diese statistische Assoziation reproduzieren. Von Pferden oder von Kopulation versteht der Algorithmus dabei nicht das Geringste.

Überhaupt dürfte das Empfehlungssystem wenig oder gar keine Informationen über den Inhalt eines Videos berücksichtigen, denn solche sind trotz aller Fortschritte immer noch schwer zu ermitteln, zumal im YouTube-Maßstab, wo in jeder einzelnen Sekunde Videomaterial mit einer Gesamtlaufzeit von mehreren Stunden hochgeladen wird. Stattdessen wird das Empfehlungssystem vor allem oder ausschließlich mit Metadaten arbeiten: Titel und Beschreibungen, Kanäle, Likes und so weiter.

Von unserem Innersten, unseren Interessen versteht das Empfehlungssystem noch weniger als vom Inhalt der Videos, denn es sieht von uns nur das, was wir auf YouTube tun. Auf dieser Grundlage lassen sich keine wirklich persönlichen Empfehlungen geben, wie man sie vielleicht von engen Verwandten oder langjährigen Freunden erhielte. Vielmehr rät YouTube, was uns gefallen könnte, weil es andere mit ähnlichen Sehgewohnheiten angeschaut haben, statt aus seinem riesigen Angebot eine noch willkürlichere Zufallsauswahl zu präsentieren. Die einzige gerechtfertigte Erwartung an ein solches System ist die, dass es nach häufiger Nutzung Empfehlungen präsentiere, die im Mittel etwas weniger unpassend seien eine willkürliche Auswahl. Ganz unschuldig ist die Internetwirtschaft an Überschätzung ihrer Möglichkeiten allerdings nicht, nimmt sie doch den Mund gerne voll und preist den Output recht banaler Software selbst als personalisiert an.

Dem Missverständnis folgt ein Denkfehler, wenn man Algorithmen wie einem Empfehlungssystem Schutz vor Schund und Schmutz oder gar Moral abverlangt. Zum einen können sie dies bei weitem nicht leisten, denn sie betreiben letztlich nur automatisiert eine clevere Statistik, während sich an Fragen von Moral und Ethik Generationen von Philosophen und Theologen die Zähne ausgebissen haben, ohne endgültige Antworten geben zu können. Doch selbst wenn man auf Beschränkungen der Technik keine Rücksicht zu nehmen hätte, vielleicht gar Menschen an ihre Stelle setzte, blieben solche Entwurfsziele problematisch.

Wessen Moral soll „der Algorithmus“ durchsetzen? Ist es richtig, ist es notwendig, Menschen vor dem Anblick kopulierender Pferde zu schützen oder stellt vielleicht die Vermittlung biologischer Allgemeinbildung über die Fortpflanzung der Säugetiere ein höherrangiges Ziel dar? Sollen Empfehlungen Filterblasen verstärken, abschwächen oder ignorieren und gilt die Antwort gleichermaßen für feministische Filterblasen wie für jene des Gamergate-Mobs? Und was sollen wir aus der Tatsache schließen, dass mehrere Statements der Mozilla-Kampagne explizit sagen, man selbst habe den Schmutz natürlich als solchen erkannt, aber andere müssten doch sicher davor geschützt werden?

Das Internet ist ein Spiegel der Gesellschaft. Empfehlungssysteme geben ein Echo, teils auf das Sehverhalten einzelner Nutzerinnen und teils auf kollektives Verhalten. Wie sich diese Faktoren im Einzelnen mischen und ein bestimmtes Ergebnis hervorbringen, mag manchmal so schwer zu durchschauen sein wie die Akustik eines Konzertsaals für jemanden, der schon im Physikunterricht nicht aufgepasst hat. Dies ist jedoch kein Grund, Algorithmen zu verteufeln oder Unmögliches von ihnen zu verlangen. Es handelt sich nur um banale Computerprogramme.

Das heißt nicht, dass es nichts zu diskutieren gäbe. YouTube und andere Plattformen haben die Medienlandschaft verändert und damit auch die Art und Weise, wie gesellschaftliche Diskurse verlaufen. Doch wer die daraus resultierenden Fragen auf Algorithmenschelte verkürzt, setzt an der falschen Stelle an und verliert wichtige Aspekte aus dem Blick. Allen voran ist dies die Finanzierung durch Werbung, die nicht nur klassischen Medien Umsätze genommen hat – deswegen kämpften die Verlage so vehement für ein Leistungsschutzrecht, das ihnen Vor- und den neuen Konkurrenten Nachteile bescheren sollte –  sondern auch die ökonomischen Anreize bestimmt, aus denen die Entwicklungs- und Optimierungsziele der Betreiber und damit Gestaltungsentscheidungen resultieren. Dass wirtschaftliche Abhängigkeit von der Werbung in der Programmgestaltung für eine Gratwanderung zwischen Krawall zur Publikumsbindung und Seichte zur Befriedigung der Werbekundenwünsche führt, kennen wir schon aus dem Privatfernsehen.

Algorithmen sind demgegenüber nur der verlängerte Arm des Unternehmens, das sie einsetzt. Sie bestimmen nicht die Richtung, sondern sie wirken als ausführendes Organ. Ihre Funktion folgt notwendig den Zielen und Prioritäten derer, die sie einsetzen. Wer sich an Algorithmen abarbeitet statt an Unternehmen und ihre Geschäftsmodellen, müsste folgerichtig angesichts des Volkswagen-Skandals, Verzeihung, der Dieselproblematik auch eine Motorenethik fordern. Doch darüber würden wir zu Recht lachen.

PS: Eine gute Vorstellung davon, wie Empfehlungssysteme funktionieren, vermittelt dieser Artikel: How The New York Times is Experimenting with Recommendation Algorithms.
(2019-10-24)

PPS: Eine neue Studie beschäftigt sich mit der Frage, ob man eine eventuelle Radikalisierung auf YouTube überhaupt „den Algorithmen“ zuschreiben kann.
(2019-10-25)

Unterschätzte Risiken: Gütesiegel

Immer wieder wird der Ruf nach mehr Gütesiegeln und Zertifizierung für mehr IT-Sicherheit laut. Nachdem beispielsweise Anfang des Jahres ein Jugendlicher beim Doxxing mehr oder minder bekannter Personen erwischt wurde, fand sich in der unvermeidlich folgenden Wunschliste des Innenministeriums nach neuen Gesetzen und Befugnissen auch die Forderung nach Gütesiegeln für IT-Sicherheit. Reaktion auf den Anlass war dabei wie üblich nur die Erstellung des Wunschzettels; die Idee und Forderung als solche hatte man zuvor bereits in der Schublade liegen.

Für die Wirtschaft sind Gütesiegel attraktiv, weil sie Prüfern Aufträge bringen und Herstellern selten wehtun, vor allem den größeren nicht. Kleine und junge Unternehmen tun sich zuweilen schwer mit der Zertifizierungsbürokratie, große und alte haben dafür ihre Spezialisten oder heuern Berater an. Doch einen Nutzen sollte man von Gütesiegeln nicht erwarten.

Dies hat zum einen inhaltliche Gründe: Es gibt keine kleine, universelle und vollständige Checkliste für IT-Sicherheit, die man in einer Prüfung abhaken könnte. Jedes Gütesiegel braucht einen Kriterienkatalog, damit seine Aussage spezifisch wird. Darauf werden insbesondere die Prüfer bestehen, denn je konkreter ihre Prüfaufgabe beschrieben ist, desto geringer wird das Risiko, dass ihnen später jemand Versäumnisse vorwirft. Doch Sicherheitsanforderungen sind notorisch schwer zu fassen. Der Versuch, sie in Kataloge zu packen, endet entweder mit oberflächlich-unvollständigen Prüfungen wie im Fall des Safer-Shopping-Siegels, oder er bringt Konvolute vom Umfang des Grundschutz-Kompendiums hervor, die noch das unbedeutendste Detail bis hin zur möglichen Verschmutzung eines häuslichen Arbeitsplatzes erfassen.

Die Aussagekraft jedes Gütesiegels bleibt deshalb beschränkt. Obendrein kann ein Zwang zur Zertifizierung spezifischer Maßnahmen sinnvolle Entwicklungen bremsen oder die Implementierung beziehungsweise Beibehaltung veralteter und unnötiger Funktionen erfordern. Ein aktuelles Beispiel liefert die EU-Zahlungsdiensterichtlinie PSD2 mit ihrer Forderung nach „starker Kundenauthentifizierung“. Sie führte beispielsweise dazu, dass Sparkassenkunden bei Kreditkartenzahlungen im Netz eine Runde durch die schwerfällige App S-ID-Check drehen müssen – und dabei noch nicht einmal die konkrete Zahlung autoriesiert, sondern tatsächlich nur eine komplett nutzlose Zwei-Faktor-Authentifektion zelebriert wird.

Das andere große Problem der Zertifizierung liegt in kontraproduktiven ökonomischen Anreizen, die sich aus den typischen Akteurskonstellationen ergeben. Oft werden Prüfer von den Herstellern oder Betreibern beauftragt und bezahlt, die ein Gütesiegel erwerben möchten. Dies gibt den Prüfer einen Anreiz, die Interessen ihres Auftraggebers zu berücksichtigen, denn wo die Auswahl zwischen mehreren Prüfern besteht, zahlt es sich nicht aus, unter ihnen der strengste zu sein. Wohin solche Fehlanreize in letzter Konsequenz führen, zeigt der Dammbruch von Brumadinho in Brasilien in Januar 2019. Dieser Damm war erst wenige Monate vor seinem Bruch mit 250 Todesopfern trotz bekannter Mängel für sicher erklärt worden. In der Folge diskutiert man jetzt, inwieweit ein vom Betreiber des Damms direkt beauftragter Prüfer objektiv urteilen kann und erwägt, künftig die Aufsichtsbehörden zum Auftraggeber zu machen.

Von Gütesiegeln für IT-Sicherheit dürfen wir daher wenig erwarten. Bestenfalls schaffen sie sie ein paar Arbeitsplätze für Sicherheitsbürokraten, alles darüber hinaus wäre eine Überraschung.


PS: Der Vortrag FreeBSD and the absurdities of security compliance von Eirik Øverby auf der EuroBSDcon gibt Einblicke in die praktischen Schwierigkeiten der Sicherheitszertifizierung. (2019-10-29)

PPS: Der Deutschlandfunk bringt noch einen längeren Beitrag zum Prüfwesen: Der ramponierte Ruf des TÜV-Siegels. (2019-10-30)

Die Blockchain-Legende als Symptom einer Pluralismuskrise

Während sich Berlin und Brüssel um Fake News und Social Bots sorgen und der Spiegel in seinen Reihen einen verwirrten Einzelfaker aufspürt, spielt sich vor unseren Augen die größte Fake-News-Krise des frühen 21. Jahrhunderts ab: die Legende von der wunderbaren Blockchain-Technologie, die alles revolutioniere. Entstanden als Behauptung windiger Geschäftemacher, schaffte sie es mittlerweile in Zeitungsartikel, auf Wahlplakate, in Koalitionsverträge sowie ins Abendprogramm der ARD. Treiber dieser memetischen Krise sind nicht die üblichen Verdächtigen – Putins Trollarmeen, horizontbeschränkte Wutbürger und Protonazis sowie Facebook, Twitter und Google – sondern gesellschaftliche Systeme, die emergent-kollektiver Bullshitterei zunehmend wehrlos gegenüberstehen.

Texttafel als Fernsehbild
Screenshot aus der Sendung Börse vor acht der ARD vom 17.12.2018. Im Anschluss an einen Bericht über hohe Kursverluste sogenannter Kryptowährungen verkündete die Moderatorin die nicht mehr taufrische Geschichte von der Blockchain-Technologie hinter den sogenannten Kryptowährungen, die eine Zukunftstechnologie sei.

Banale Technik

Die Blockchain gibt es tatsächlich. Sie ist allerdings keine Technologie, sondern eine IT-Architektur. Ausgangspunkt war das virtuelle Spekulationsgut Bitcoin, das auf dem Finanzmarkt gerade eine Wertberichtigung erfährt. Da sich Zufallszahlen auch mit einer guten Geschichte kaum verkaufen lassen, kombinierte Bitcoin kreativ mehrere Entwurfsmuster: (1) eine Protokolldatei aus kryptografisch verketteten Einträgen, so dass Manipulationen erkennbar werden und nur das Anhängen neuer Einträge zulässig ist, (2) die redundante Speicherung dieser Datei bei jedem Teilnehmer, (3) ein Verfahren zur (technischen) Konsensbildung darüber, welche Inhalte in welcher Reihenfolge an die Datei angehängt werden, (4) künstlich erzeugten Rechenaufwand als Voraussetzung für die Teilnahme, um Manipulationen der Konsensbildung zu verteuern, sowie (5) eine Lotterie, welche die Teilnahme an der Konsensbildung gelegentlich belohnt.

Im Wesentlichen handelt es sich bei einer Blockchain um eine Protokolldatei mit kryptografischer Integritätssicherung. Die übrigen Elemente benötigt man nur deshalb, weil man diese Protokolldatei nicht in der üblichen Weise zentral auf einem Server im Internet führt, sondern – ohne erkennbare technische Motivation – auf eine solche Instanz verzichten möchte. Später kam die Idee der „Smart Contracts” hinzu. Das sind Programme, die mit Protokolleinträgen als Ein- und Ausgaben arbeiten und selbst protokolliert sind.

Kein plausibler Nutzen

Ein Protokollierungsmechanismus, der aufgrund willkürlicher Entwurfsentscheidungen unnötig ineffizient ist, soll also die Cyberdigitalisierung revolutionieren und Krebs heilen. Wirklich Neues jedoch kann man damit gar nicht anfangen. Verlässliche Protokolle kennt die Menschheit, seit die ersten Hieroglyphen in Ton geritzt wurden. Auch Erzählungen von Smart Contracts wirken  nur noch halb so beeindruckend, wenn man erst einmal das kontaktlose Bezahlen mit Karte oder Telefon ausprobiert hat. Viel smarter als eine Kreditkarte mit Chip werden Verträge in diesem Leben voraussichtlich nicht mehr

Dass es in der Praxis zudem eher auf Pragmatik ankommt als auf starke Kryptografie, konnten wir gerade in Deutschland mehrfach schmerzhaft lernen, etwa angesichts des einst in seiner Bedeutung hoffnungslos überschätzten Signaturgesetzes oder der Investitionsruine eGK. Unterdessen kaufen wir seit inzwischen Jahrzehnten alles Mögliche im Netz ein und das funktioniert prima ohne ein zentrales Transaktionsregister.

Dementsprechend vage bleiben die Verheißungen der wunderbaren Blockchain-Technologie durch sämtliche Nachrichten hinweg. Zwar betonen alle, welch eine Revolution sich gerade vollziehe, doch der Aufforderung: „Show, don’t tell“ folgt niemand. Erfolgreiche Projekte findet man nicht einmal, wenn man sie aktiv sucht und als mögliche künftige Anwendungen werden wie im Bildschirmfoto oben vor allem solche aufgezählt, die es längst gibt, nur eben funktionierend statt mit Blockchain. Da hilft auch die Umbenennung in Distributed Ledger Technology nicht.

Das konnte man alles sehen und wissen, schon lange, wenn man ab und zu nach Antworten auf naheliegende Fragen gesucht hat: Wie soll das funktionieren? Hat das mal jemand ausprobiert? Wie hat man das Problem bisher gelöst? Was wird besser, was schlechter, wenn man eine Blockchain-Lösung baut? Handelt es sich überhaupt um ein Problem, für dessen Lösung jemand Geld ausgeben würde? Viele haben es auch gesehen und gewusst und die Blockchain-Promoter belächelt, seit Jahren schon, denn überzeugende Details enthielt die Geschichte nie, dafür viele phantasievolle Ausschmückungen des immergleichen Grundgerüsts, und zuletzt sprachen auch harte Daten gegen die Vermutung eines echten Technologietrends.

Bullshitblase

Gescheitert sind an der Legende von der Blockchain jedoch gesellschaftliche Teilsysteme, denen die Einschätzung von Wahrheit und Relevanz obliegt: die Medien, die Wissenschaft und in der Folge auch die Politik. Eine lose Allianz aus Geschäftemachern, Konzernen,  Wissenschaftlern und Wissenschaftsorganisationen sowie Journalisten bildet eine Blökchain, in der alle einander auf die Schulter klopfen und versichern, wie prächtig und revolutionär des Kaisers neue Blockchain sei – während ringsum alles in Chor ruft, da sei nicht mal ein nackter Kaiser.

Foto: Schafe bilden eine Blökchain

Als schwarze Schafe, welche die Legende in die Welt setzten, fungierte zum einen die ICO-Szene, zum anderen Konzerne mit Innovationsdefiziten. Die ICO-Szene entwickelte sich aus der Erkenntnis, dass sich das Bitcoin-Modell beliebig vervielfältigen lässt, und der Idee, solche Kopien herzustellen und aus diesem Anlass „Token“ an risikobereite Investoren zu verkaufen. Im Gegensatz zum oberflächlich ähnlichen IPO eines Startups erwerben die Investoren dabei keine Unternehmensanteile, sondern sie investieren lediglich in die Hoffnung, jemand könne ihnen in Zukunft ihre Token abkaufen, warum auch immer, und dafür einen höheren als den ursprünglichen Preis zahlen.

Gleichzeitig sahen einige Konzerne eine Gelegenheit, sich innovativ zu geben und ihren an sich langweiligen und schwer unterscheidbaren Produkten und Dienstleistungen Alleinstellungsmerkmale anzudichten – eben die Blockchain-Technologie, welche danke Bitcoin-Blase und ICO-Meldungen im Gespräch war. Das ist nicht ungewöhnlich; man denke etwa an die Second-Life-Blase vor etwas mehr als zehn Jahren mit ähnlichem Verhalten teils derselben Akteure. Wenn ein Konzern laut darüber redet, so etwas zu tun, dann sind Nachahmer nicht weit, und so behaupten heute viele alte Unternehmen, irgendwas mit Blockchain zu tun. Zugute kommt ihnen dabei der Blökchain-Mechanismus – sie müssen nur in den Chor derer einstimmen, die von der goldenen Blockchain-Zukufnft schwärmen, und sie sind in diesem Chor herzlich willkommen.

Überforderte Institutionen

Bis hierhin handelt es sich um legitime Spekulation und PR im eigenen Interesse, um ganz normalen Kapitalismus, der bestimmungsgemäß funktioniert. Normalerweise stehen diesen Akteuren und ihrem Handeln jedoch als Korrektiv Systeme mit Objektivitätsanspruch gegenüber, etwa die Medien und die Wissenschaft. Diese Systeme sind bislang allen offensichtlichen Zeichen zum Trotz an der Legende von der Blockchain-Revolution gescheitert.

Für die Medien ist die Geschichte von der Blockchain ein gefundenes Fressen. Medien mögen Geschichten, selbst wenn sie falsch sind. Gleichzeitig steckt die Presse seit Jahren in der Krise, ihre Auflagen sinken ebenso wie die Werbeeinnahmen und vom einstigen Geschäft mit den Kleinanzeigen sind höchstens noch die Trauerfälle in der längst woanders produzierten Lokalzeitung übrig. Ein Thema ernsthaft und kritisch zu recherchieren, auch wenn keine spektakuläre Enthüllung als Belohnung winkt, kann man sich kaum noch leisten. Recherchiert man weniger gründlich, verfängt man sich jedoch fast zwangsläufig in der Blökchain. Die sichtbarsten und zugänglichsten Experten sind dann jene, auf deren Agenda die Blockchain-Promotion steht und sie verbreiten selbstverständlich ihre Legende.

Ist dies oft genug geschehen, wird die Politik aufmerksam. Was es mit einem Schlagwort wirklich auf sich hat, interessiert dort erst einmal weniger, solange es als Code für Fortschritt und Modernität oder sonst irgendeinen ätherischen Wert brauchbar scheint. So landete die Blockchain erst in den Wahlkämpfen der FDP und alsbald auch im Koalitionsvertrag der aktuellen GroKo. Das nationale und kontinentale Trauma, in der IT- und Internetwirtschaft hoffnungslos den Anschluss verloren und sich stattdessen in Datenschutz-, Ethik- und Sicherheitsdebatten verzettelt zu haben, bereitet inzwischen reale Schmerzen. Man sucht händeringend nach dem Next Big Thing™, bei dem man endlich mal die Nase vorn haben möchte, und läuft deshalb jedem sich abzeichnenden Trend hinterher. So wandert die Legende weiter in die real existierende Forschungsförderung. Ähnliches spielt sich auf europäischer Ebene ab.

Dies wiederum führt die Wissenschaft an die Blökchain heran. Was mancher noch für eine hehre Wahrheitssuche hält, ist über weite Strecken längst zu einem Geschäft geworden, in dem jene als die Erfolgreichsten gelten, welche die höchsten Fördersummen akquirieren und verbrauchen. Von dort ist folglich zur Blockchain-Legende kaum ein kritisches Wort zu hören, solange man mit Fördermitteln für dieses Thema rechnet. Im Gegenteil, seit sich der Thementrend abzeichnet, produziert man eilig Thesenpapiere, Experten und Labore, um sich für den Kampf ums Geld in Position zu bringen und so auszusehen, als hätte man die Blockchain beinahe miterfunden. So stimmen Wissenschaftler und Funktionäre in den Chor ein, der von einer goldenen Blockchain-Zukunft schwärmt, denn alles andere wäre sehr dumm, wenn Geld für Blockchain-Projekte winkt.

Was  nun?

So hat sich quer durch die Gesellschaft eine Blase gebildet, in der die Legende von der wunderbaren, alles revolutionierenden Blockchain-Technologie durch wechselseitige Bestätigung und Bekräftigung am Leben erhalten wird, während man sich gegen Kritik und Zweifel durch Ausschluss der Kritiker immunisiert. Schuld daran sind weder Putins Trollarmeen noch die bösen Internetplattformen, sondern die Verhältnisse in wichtigen Teilsystemen unserer Gesellschaft sowie deren Zusammenwirken. Wo alle einander nachhaltig dieselbe offensichtlich halbwahre Geschichte nacherzählen, fehlt es an öffentlichem Widerspruch und mithin an Pluralismus.

Von ihrem gegenwärtigen Leitthema wird sich diese Fake-News-Blase bald verabschieden, weil es darüber kaum noch Neues zu erzählen gibt und sich die alte Legende abnutzt, wenn vorzeigbare Erfolge weiter ausbleiben. Doch die Strukturen und Mechanismen dahinter werden bleiben und sie werden neue Themen finden, mit denen sie uns ebenso lange und intensiv auf die Nerven gehen werden. Wir müssen uns deshalb fragen, mit welchen Mitteln wir künftig Nachrichten, Weltbilder und Kritik produzieren möchten und was wir ungenierter Bullshitterei entgegensetzen können.

Ein Hoffnungsschimmer

Andererseits sehe ich nicht so schwarz, wie es hier im Text vielleicht scheint, sondern ich glaube daran, dass sich die Wahrheit auf lange Sicht doch durchsetzt. Gegenwärtig kommt ein Hauch von Realismus in der Berichterstattung an und wenn das Rückzugsgefecht so weitergeht, lassen wir das Thema Blockchain vielleicht bald hinter uns. Es wird auch Zeit.

Texttafel als Fernsehbild
Immerhin hat die wunderbare Blockchain-Technologie inzwischen auch in der Berichterstattung Nachteile. Nun fehlt nur noch die Erkenntnis, dass sie an diesen Nachteilen gescheitert ist.

 

Nur eine Frage der Zeit?

„Es ist nur eine Frage der Zeit, bis etwas passiert“ – diese Vorhersage liegt immer richtig. Irgendwann wird irgend etwas passieren, worin der der jeweilige Gegenstand verwickelt ist, ganz gleich ob es sich um Atombomben oder um Trinkwasser handelt. Kein Wunder also, dass der Plakettenkonzern TÜV mit einer Variante dieses Spruchs versucht,  sich das neue Geschäftsfeld der Sicherheit von Windkraftanlagen zu erschließen. Gewiss wird es irgendwann einmal zu einem Ereignis kommen, bei dem Menschen durch ein unglückliches Zusammentreffen mit einer Windkraftanlage zu Schaden kommen.

Aus der bloßen Möglichkeit folgt jedoch noch lange nicht die Notwendigkeit, etwas dagegen zu tun. Für sinnvollen Schutz muss man Risiken betrachten und nicht nur bloße Möglichkeiten. Der Unterschied: Risikobetrachtungen berücksichtigen die Häufigkeit bzw. Wahrscheinlichkeit von Ereignissen und deren Schadenshöhe. Auf dieser Grundlage lässt sich diskutieren, wie schwer eine Gefahr wiegt und welcher Aufwand für welche Risikoreduktion angemessen erscheint. Die prinzipielle Möglichkeit hingegen bleibt stets erhalten, so dass mit Ausnahme des Totalausstiegs keine Maßnahme je genug ist.

Fielen beispielsweise Jahr für Jahr im Mittel fünf Windräder um und eins davon erschlüge Menschen, so ließe sich diskutieren, ob wir als Gesellschaft dieses Risiko tragen oder ob wir etwas tun, um es zu reduzieren. Könnte man mit einer Plakettenpflicht erreichen, dass nur noch halb so viele Windräder umfielen und entsprechend seltener Menschen zu Schaden kämen, so handelte es sich vielleicht um einen guten Deal. Jedoch erreichen die tatsächlichen Risiken bei weitem nicht jene, die dieses hypothetische Szenario unterstellt. Die Produkte des Plakettenkonzerns bleiben daher an diese Stelle voraussichtlich nutzlos, denn es gibt kaum ein Potenzial zur Risikoreduktion.

Geht es um Windräder, so liegt alles klar auf der Hand. Alltagserfahrung und gesunder Menschenverstand genügen für eine fundierte Einschätzung.

In der Cybersicherheit zeigt sich eine ähnliche Situation: Mahner drängen die Gesellschaft, mehr für die Cybersicherheit zu tun, um zunehmenden Bedrohungen nicht hilflos ausgeliefert zu sein. Die Einschätzung solcher Forderungen fällt jedoch viel schwerer. Auf der einen Seite hat ein wohlgenährter sicherheitsindustrieller Komplex das Interesse, Gefahren möglichst groß erscheinen zu lassen. Auf der anderen Seite kommt es tatsächlich zu spektakulären Angriffen mit beträchtlichen Schäden. Stehen wir vor der Cyberapokalypse oder werden wir wie im vergangenen Vierteljahrhundert auch in Zukunft vor allem die Segnungen des Internets genießen, ohne große Schäden zu erleiden?

In beide Richtungen lässt sich argumentieren, ohne dass man mit Alltagswissen entscheiden könnte, wer Recht hat. Das Internet ist weit komplexer als ein Windrad oder auch ein ganzes Stromnetz.Zu welchen Angriffen es kommt, hängt nicht nur von Sicherheitslücken ab, sondern auch von den Zielen und Interessen der Angreifer, die solche Lücken ausnutzen – oder eben auch nicht. Informationen über Angriffe bleiben häufig im Verborgenen, so dass niemand weiß, was wirklich passiert. Stattdessen nimmt man gerne die argumentative Abkürzung von bekannten oder vermuteten Verwundbarkeiten zu einem Worst-Case-Szenario eines Angriffs, dessen Eintreten „nur eine Frage der Zeit“ sei.

Tatsächliche Ereignisse wie der der NotPetya-Befall beim Konzern Maersk mit geschätzten 300 Millionen Dollar Schaden liefern scheinbar den Beleg: Man tue zu wenig für die Cybersicherheit und wenn der Markt dies nicht von sich aus ändere, müsse man regulierend eingreifen. Unterschlagen wird dabei freilich, dass gerade Konzerne durchaus ernsthaft in Sicherheit investieren – „Big Tech“ sowieso, aber auch zum Beispiel Siemens, wo man die Wirkung des Stuxnet-Schocks an der Zahl der gemeldeten Verwundbarkeiten pro Jahr ablesen kann.

Dass der Markt beim Thema Sicherheit gänzlich versage, kann man angesichts dessen kaum behaupten. Unternehmen können es sich nicht leisten, ihre Sicherheit zu vernachlässigen. Mit wenigen Ausnahmen können sie es sich jedoch auch nicht leisten, mehr als nötig und wirtschaftlich vertretbar in Sicherheit zu investieren. Allen Eventualitäten vorzubeugen ist nicht realistisch, deshalb werden stets Risiken bleiben und es wird zu Vorfällen kommen. Selbst bei großen Schäden wie im Fall von Maersk kann es am Ende die günstigste Lösung sein, das Risiko zu tragen statt es vorbeugend abzuwehren. Jedenfalls ist es nicht per se falsch, so zu entscheiden, oder zumindest nicht falscher als im Fall des psychisch kranken Germanwings-Piloten, der mit dem von ihm herbeigeführten Absturz einen ähnlich hohen Schaden verursachte und der aufgrund von Sicherheitsmaßnahmen zur Terrorabwehr von seinen Opfern nicht daran gehindert werden konnte.

Mag sein, dass in bestimmten Konstellationen regulierende Eingriffe nötig sind. Für Sicherheit schlechthin gilt dies jedoch nicht, denn wo reale Schäden entstehen, gehen sie mit Anreizen zur Risikoreduktion einher.

(Inspiriert von einer Diskussion auf Google+.)

Ein frühes Beispiel für „Security Economics“ …

… und die Illustration eines gerne gemachten Denkfehlers verdanken wir den Grenztruppen der DDR:

„Im Frühjahr 1989 stellen Ökonomen der Grenztruppen eine groteske Rechnung auf. Sie teilen die Kosten für die Grenze durch die Summe der Festnahmen und stellen fest, dass jede Festnahme 2,1 Millionen Mark kostet. Der Wert eines durchschnittlichen Werktätigen wird mit 700.000 Mark veranschlagt. Also, folgern sie, ist eine Festnahme dreimal so teuer wie der Verlust eines Werktätigen. Das Resümee lautet nicht: ,macht die Grenze auf‘, sondern: ,macht die Grenze billiger‘.“

Der Denkfehler liegt darin, nur die aktiv abgewehrten Angriffe – Festnahmen bei versuchten Grenzübertritten – zu berücksichtigen. Die größte Wirkung entfaltete die  innerdeutsche Grenze jedoch durch Abschreckung. Die meisten, die ohne Mauer vielleicht in den Westen gegangen wären, versuchten es angesichts der geringen Erfolgsaussichten und hohen Risiken gar nicht erst oder nur auf dem legalen und langwierigen Weg per Ausreiseantrag.

Hinter diesem Denkfehler steckt ein grundsätzliches Problem, mit dem man es immer zu tun bekommt, wenn man die Wirkung von Sicherheitsmaßnahmen messen möchte. Wirksame Maßnahmen führen tendenziell dazu, dass bestimmte Arten von Angriffen insgesamt unterbleiben, weil sie sich nicht mehr lohnen und andere Angriffe oder Ziele attraktiver werden. Wer erfolgreich Sicherheit schafft, kann seinen Erfolg deshalb nicht messen und nachweisen.

Making Sense of Blockchain Mania

A spectre is haunting the Internet – the spectre of blockchain. Some claim it to be a disruptive technology, others think it is bullshit. In favor of the bullshit point of view the blockchain narrative lacks convincing use cases and looks like a solution in search of problems. On the other hand, a number of reputable companies seem to believe that this blockchain thing does somehow matter. Are we witnessing a mass delusion or is there more to it?

In a recent post, Peak Blockchain, I argued that that blockchain craze has a lot in common with the way Second Life, an online 3D toy world, was being hyped and then forgotten a little more than a decade ago. Perhaps there is more to this analogy than just the way attention rises and then drops in both cases, blockchain and Second Life. A real but boring trend may lure behind the exciting (at least to some) surface and its catchy name.

Second Life reached its peak of attention during the first half of 2007. Conceptually it never made sense: Except for certain types of computer games and some special-purpose applications, 3D worlds rarely make for usable user interfaces. Just imagine having to browse the shelves of a virtual 3D library instead of just googling or having to use an on-screen replica of a good old typewriter to write a letter instead of using a word processor – a user interface should support relevant task rather than needlessly replicate constraints of the physical world.

Despite the obvious flaws of Second Life as a tool and platform for anything, many well-known companies fell for the hype and built experimental presences in this virtual world. At least one of them, IBM, went even further and attempted to turn Second Life into a collaboration support business. Was everyone crazy?

Not entirely. The 3D toy environment of Second Life was merely the bullshit version of a real trend. Around 2007 the web had evolved from a distributed hypertext system into an interactive application platform (“Web 2.0”). Blogs had appeared on the scene (e.g., WordPress – 2003, wordpress.com – 2005). Cloud computing was on the rise, although nobody called it so yet (e.g., Google Docs/Sheets/Slides – 2006, Dropbox – 2007). Social networks and media were evolving (Myspace – 2003, Facebook – 2004, Twitter – 2006). While Second Life itself did not make much sense, it symbolized in its over-the-top manner what was going on as a proxy instance and gave it a name.

Looking at the recent blockchain mania from this angle, today’s trend-behind-the-craze might be the automated interaction of networked artifacts in emergent systems of systems. The evolution of the Internet has not stopped after turning all our computers, tablets, phones, and watches into cloudtop devices, user interfaces to (collections of) services that reside on the network.

Today we are moving toward an Internet of Things (IoT) where thing means anything that is a computer without looking like one. Networked computers come in a variety of shapes today. At home we find entertainment devices streaming audio and video into our living rooms, voice assistants that let us talk to the Internet, and home automation letting us control anything from lights to heating through our smartphones. Then there are connected and increasingly, autonomous cars as well as charging infrastructure for electric vehicles. Manufacturing equipment from machines and robots to entire factories continues to be automated and networked, as does agriculture.

Trend graphs showing search interest over time
Search trends for “blockchain” (blue) and “IoT” (red) over the past five years

Technically these cyber-physical systems are networked computers as we know them. However, they consist of increasingly autonomous entities forming emergent systems of (semi-)autonomous systems. On the one hand, autonomy is the key feature in cases like autonomous driving or autonomous robots. On the other hand, many IoT devices lack traditional user interfaces and their ability to interact with users in other ways than over the Internet remains rather limited.

As a consequence, IoT devices need the capability to interact with cloud services and with each other without requiring human intervention and perhaps also to make transactions autonomously. For example, one blockchain application that has been mentioned is charging of autonomous electric cars – a car buying electricity from a charger. This interaction must be secure, whatever this may mean in the particular case, and there is no such thing as a PGP key signing party for IoT devices.

Blockchains and cryptocurrencies are unlikely to solve any of the pertinent problems, but the problems are real: transactions between devices, managing access to continuously produced machine data, keeping manufacturing instructions under control while getting them where they are being needed, and so on. I suspect this is the grain of truth in blockchain mania. At some point everyone will drop the burnt term but continue to work on the actual problems and actual solutions.

Peak Blockchain

This is Peak Blockchain. You can watch it in the rear-view mirror as it lies behind us, shrinking smaller and smaller until it will disappear on the horizon. I am using Google Trends as my rear-view mirror, which allows some easy and superficial yet striking visual argument.

Google Trends interest graph for the search team “blockchain” from 2004 through March, 2018
Peak Blockchain as seen through Google Trends.

Peak Blockchain took place in December, 2017. Up to that time, starting ca. 2013, search interest grew seemingly exponentially, whereas interest has almost halved in the three months from Christmas, 2017 to Easter, 2018.

Peak Blockchain is the all-time high of attention and perceived importance of the blockchain topic. Some confound Peak Blockchain with the Peak of Inflated Expectations in Gartner’s Hype Cycle, which is followed by the Through of Disillusionment, a Slope of Enlightenment, and eventually the Plateau of Productivity. But make no mistake. Neither is the Hype Cycle a law of nature – some technologies just drop off the graph and die, while others are never discovered by the hypecyclists before they become productivenor is blockchain a real and viable technology trend.

Inflated expectations or rather, exaggerated claims were there many, this much is true in the hype cycle mapping. The blockchain narrative emerged out of the cryptocurrency bubble. When the likes of Bitcoin, Ethereum, and IOTA reached the mainstream, it became simultaneously obvious they had little to do with actual currencies and the nominal value of their tokens was not backed by any economic reality other than that of a speculative bubble.

Everyone saw that so-called cryptocurrencies were bullshit and the speculative bubble was about to burst, yet everyone also wanted to talk about it without looking like an idiot. Out of this dilemma was the narrative born that the first and most notorious of the artificial assets, Bitcoin, might collapse but the technology behind it, blockchain, was there to stay. Not only would the “blockchain technology” thus invented – it had been a mere design pattern until then – survive, it would disrupt everything from the financial industry and digital advertising to crybersecurity (sic!) and photography. For none of this claimed disruptive potential existed the slightest example or explanation, but everyone was keen to ride the mounting wave without being seen as just one of those Bitcoin dorks, and so everyone kept inventing what might happen, somehow, in the future.

Blockchain is only one of several related concepts – others being Bitcoin and cryptocurrencies – that peaked at about the same time:

Google Trends graphy for “blockchain”, “ethereum”, “iota”, and “cryptocurrency”
Peak Cyptocurrency according to Google Trends (no-BTC version).
The previous diagram with b itcoin included
Peak Bitcoin trumps all the other peaks.

In all cases we see the same steep rise followed by an equally steep decline. This observation alone should suffice to convince everyone that nothing is to be expected from blockchains, regardless of what the IBMs and SAPs of this world are claiming after having fallen for the ploy. We saw peaks like this before. Little more than a decade ago, Second Life was the blockchain of its time:

Trend graphs for blockchain and cryptocurrency compared with the one of Second Life
Peak Second Life of 2007.

At that time everyone, including a number of otherwise reputable companies, rushed to stake their claims in the virtual toy world that Second Life really was and is. The gullible and superstitious believed that companies would benefit from possessing real estate in this toy world and that 3D avatars sitting around virtual tables would be the future of business meetings. This was bullshit not only in hindsight. Everyone with the slightest understanding of human-computer interaction and collaborative technology could easily see how Second Life missed just about any point. This did not prevent IBM from betting a few bucks on the future of Second Life and even trying to create an enterprise version of it where company secrets would stay behind a firewall.

Second Life is long forgotten, and rightly so. There never was any real promise in it, there was only a popular (in certain circles) delusion and the fear of missing out that also drives our contemporary bullshit business fad.

Let us look at real technology trends for comparison. They do not peak and then collapse, but rather grow organically. Take cloud computing, for example:

Google Trends graph for “cloud computing.”
Google Trends graph for “cloud computing.”

We see no steep peak here, but rather a mostly linear growth over the course of four years from 2007 to 2011. After climbing to its all-time high, interest decreases slowly and remains at a high level for a long time. Other than Second Life, cloud computing is here to stay.

Another real trend is REST APIs, a way of designing web services that are meant to be accessed by programs rather than users:

Trend graph for REST API
Trend graph for REST API.

We see a mostly steady increase over more than a decade that at some point gained a bit of speed. Again, there is no sudden peak here. As a third example, NoSQL databases started a bit later but otherwise exhibit a similar trend graph:

Trend graph for NoSQL databases
Trend graph for NoSQL databases.

Even topics that had some hype to them and were being discussed by the general public exhibit slower increases and declines if there is substance behind the hype. Take, for example, “big data” and some related terms:

Trend graphs for “big data,” “data science,” and “machine learning.”
Trend graphs for “big data,” “data science,” and “machine learning.”

Real technology trends and topics take time to develop and then they persist or even continue to grow for quite a while. A real technology trend is an evolutionary process. Something gets discovered or invented and turns out useful. People apply the idea and develop it further, which makes it more attractive.

Genuine technology does not suddenly appear like a Marian apparition and disrupt everything within months, nor does interest in it fade as quickly as it would for anything lacking substance after its hollowness became obvious even to its advocates. Peak Blockchain is not the result of a genuine technology trend, but rather the consequence of everyone in a crowd assuring one other of the beauty of the emperor’s clothes when in fact there never even was an empire.

Blockchain is over. Time to ridicule those who jumped on the bandwagon ignoring all obvious warning signs, determined to boost their careers. They will soon exercise their right to be forgotten.

Massenhafte Individualmanipulation ist viel zu teuer

Der aktuelle Skandal um Facebook und Cambridge Analytica ist gar nicht so neu. Die Geschichte von der psychometrischen Wahlkampfbeeinflussung geistert schon länger durch die Medien. Ganz knapp lautet die Erzählung: Jemand verwendet Daten aus Quellen wie Facebook, um Persönlichkeitsprofile von Wählern zu erstellen, und nutzt diese Profile zur gezielten Beeinflussung.

Das ist eine wunderbare Gruselgeschichte, aber nicht besonders plausibel. Zweifel an der Effektivität wurden bereits vor einem Jahr laut und auch im Zuge der aktuellen Diskussion sieht so mancher mit Ahnung mehr Angeberei als reale Fähigkeiten. Zu recht, denn die Geschichte von der Manipulation durch Persönlichkeitsprofile passt besser zu naiven Vorstellungen als zum real existierenden Internet. Sie ergibt ökonomisch keinen Sinn.

Individuen wählen bereits ohne Nachhilfe aus den verfügbaren Informationen diejenigen aus, die zu ihrem Weltbild passen. Bestätigungsfehler nennt man das – wir richten unsere Überzeugungen nicht nach rational abgewogenen Argumenten, sondern wir legen uns zu unseren Überzeugungen die passenden Argumente zurecht und ignorieren, was ihnen widerspricht. Diesen Effekt könnt Ihr beispielsweise in jeder Diskussion über Fahrradhelme beobachten, wo nie jemand seine Ansichten ändert. Das ist natürlich in dieser Form etwas übertrieben, denn nicht alle Ansichten sind fest gefügt und etwas Spielraum für erfolgreiche Überzeugungsarbeit bleibt.

Wenn sich jeder zu seinem Weltbild die bestätigenden Inputs sucht und inkompatible Aussagen verwirft, gibt es keinen Grund, Kampagnen aufwändig an individuelle Ansichten und Vorlieben anzupassen. Man kann einfach alle mit allen Botschaften in allen möglichen Versionen zuschütten, selbst wenn man eigentlich nur auf ein paar Zweifler und Wankelmütige zielt. Nichts anderes geschieht in einem klassischen Wahlkampf oder auch bei herkömmlicher Werbung.

Dass man dennoch bei jeder Werbung, ob politisch oder nicht, eine Optimierung durch Targeting versucht, hat vor allem einen ökonomischen Hintergrund. Ein Werbekontakt, der von vornherein ohne Erfolgschance beibt, weil das Ziel am Inhalt kein Interesse hat, ist rausgeworfenes Geld. Man wird deshalb versuchen, absehbar überflüssige Werbekontakte zu vermeiden.

Bei einem Plakat am Straßenrand geht das nicht. In den herkömmlichen Medien kann man sich an der Demografie der Konsumentinnen orientieren und seine politische Werbung wahlweise in der FAZ, der taz, dem Neuen Deutschland oder dem Bayernkurier schalten und damit grob verschiedene Zielgruppen ansprechen. Außerhalb der Politik tun Zeitschriftenverlage nichts anderes als zielgruppenspezifische Werberahmenprogramme zu gestalten, etwa Computermagazine für Anfänger, Fortgeschrittene und Profis, Automagazine, Sportzeitschriften (getrennt nach Sportarten) und so weiter.

Absehbar überflüssig ist statistisch gesehen alle Werbung – die Reaktionsraten bleiben, Optimierung hin oder her, verschwindend gering. Das dürfte ähnlich auch für Beeinflussungsversuche gelten, die im Gewand von Nachrichten oder Gerüchten daherkommen (Test: Wer von Euch ist so leichtgläubig, dass er sich von plumpen Fake News beeinflussen ließe?). Weiter optimieren als mit einer groben Zielgruppensegmentierung lässt sich herkömmliche Werbung jedoch kaum, ohne dass der Aufwand zu groß würde.

Das Internet erlaubt in dieser Situation einen neuen Optimierungsansatz. Man kann hier mit geringen Kosten nahezu alle ansprechen – und aus den Reaktionen in Form von Klicks ersehen, wer für welche Ansprache anfällig ist. Cormac Herley hat sich unter dem Gesichtspunkt der IT-Sicherheit mit solchen Ansätzen beschäftigt und unter anderem dieses Paper veröffentlicht: „Why do Nigerian Scammers Say They are from Nigeria?“. Darin beschreibt er am Beispiel der Betrugsmasche der Nigeria Connection genau diesen interaktiven Ansatz. Die Betrüger streuen breit ihre absurde Geschichte von herrenlosen Millionen, die man außer Landes bringen wolle, und beschäftigen sich dann einzeln mit den wenigen Trotteln, die blöd genug sind, darauf einzugehen.

Der Schlüssel zum Erfolg ist hier die Interaktion. Man durchleuchtet nicht ganz viele Menschen, um dann auf die passende Weise mit ihnen zu reden, sondern man versucht es bei allen und lernt aus den Reaktionen.

Mit einer ähnlichen Methode kann man Werbung gezielter verbreiten und ihre Erfolgsraten – im Rahmen der bescheidenen Möglichkeiten – optimieren. Dazu misst man, welche Werbung in welchem Kontext (Website, Inhalt, Nutzergruppe, Uhrzeit usw.) wie oft angeklickt wird, und optimiert die Auswahlkriterien anhand dieser Daten. Werbenetze tun so etwas, optimieren aber nicht stur die Klickrate, sondern ihre daraus resultierenden Einnahmen.

Dabei müssen sie gar nicht besonders persönlich werden. Im Gegenteil, über einzelne Nutzer erfährt man auch aus all ihren Facebook-Daten zu wenig, um individuelle Voraussagen über so ungewisses Verhalten wie die Reaktion auf eine Werbung oder Nachricht vorhersagen zu können. Hingegen erfährt man aus der wiederholten Einblendung einer Anzeige in verschiedenen Situationen nach und nach, unter welchen Umständen diese Anzeige häufiger oder weniger häufig Reaktionen hervorruft.

Ökonomisch nicht plausibel ist demgegenüber die Vorstellung, man könne ohne weiteres zwei Elemente kombinieren: die Skalierbarkeit einer Massenansprache mit sehr geringen Kosten pro Einzelfall und die individuelle Beeinflussung nach ausgefeilten Kriterien. Unabhängig davon, welche Daten ein Laden wie Cambridge Analytica über Menschen hat, kann er nicht zu geringen Kosten Millionen individuell zugeschnittener Botschaften entwerfen. Andererseits braucht man die ganze schöne Psychometrie überhaupt nicht, wo man Reaktionen messen und sie statistisch mit vielfältigen Parametern in Beziehung setzen kann. Deswegen ist die Erzählung von der massenhaften individualisierten Manipulation ökonomischer Blödsinn.

Mit Sicherheit ins Desaster

Als wäre das Desaster um das besondere elektronische Anwaltspostfach (beA) nicht schon schlimm genug, kommen nun auch noch Aktivisten aus ihren Löchern und fordern eine „echte Ende-zu-Ende-Verschlüsselung“.

Kann diesen Cypherpunks mal jemand das Handwerk legen? Eine „echte Ende-zu-Ende-Verschlüsselung“ ist für ein beA technisch eben nicht möglich, sondern als Anforderung das Rezept für ein Desaster.

Unter Laborbedingungen lässt sich gewiss ohne große Schwierigkeiten eine Public-Key-Infrastruktur (PKI) aufbauen und auf beliebig viele Teilnehmer skalieren, so dass jeder mit jedem verschlüsselt kommunizieren kann. So eine Labor-PKI löst aber nur das halbe Problem – und macht es schwer, die andere Hälfte zu lösen, die unter den idealisierten Bedingungen der Laborumgebung keine Rolle spielt.

Drei Teilprobleme, mit denen eine Lösung für die Anwaltskommunikation zurechtkommen muss, sind (1) komplizierte Zugriffsrechte, (2) der Konflikt zwischen Vertraulichkeit und Verfügbarkeit sowie (3) Veränderungen im Zeitverlauf.

  1. Komplizierte Zugriffsrechte
    Anwaltskommunikation ist nicht einfach Kommunikation von Person zu Person. Anwälte haben Gehilfen für administrative Tätigkeiten, die beispielsweise Post holen und verschicken. Diese Gehilfen brauchen ausreichende Zugriffsrechte, um ihre Arbeit zu verrichten, aber sie haben keine Prokura. Anwälte haben außerdem Vertreter für Urlaub, Krankheit usw., die von der Anwältin oder der Rechtsanwaltskammer bestellt werden. Alleine der Versuch, § 53 BRAO in eine PKI und eine Ende-zu-Ende-Verschlüsselung zu übersetzen, dürfte Entwicklern einiges Kopfzerbrechen bereiten.
  2. Vertraulichkeit vs. Verfügbarkeit
    Vertraulichkeit der Anwaltskommunikation ist wichtig, aber zweitrangig. Wichtiger ist die Verfügbarkeit. Fragen des Zugangs von Erklärungen und der Einhaltung von Fristen können einen Rechtsstreit unabhängig davon entscheiden, wer in der Sache eigentlich Recht hätte. Vor allem anderen werden Anwältinnen Wert darauf legen, dass sie unter allen Umständen verlässlich kommunizieren können. Demgegenüber genügt hinsichtlich der Vertraulichkeit oft das Schutzniveau „Telefon“.
  3. Zeitliche Dynamik
    Ein reales System zur Anwaltskommunikation muss nicht zu einem Zeitpunkt funktionieren, sondern über einen langen Zeitraum, währenddessen sich die Welt ändert. Das betrifft neben den offensichtlichen Aspekten – Hinzukommen und Ausscheiden von Nutzern in den verschiedenen Rollen, veränderte Vertretungsregelungen usw. – auch die Technik, zum Beispiel den Schlüsseltausch. Damit muss ein beA unter Berücksichtigung von (1) und (2) zurechtkommen. Darüber hinaus können sich auch gesetzliche Regelungen jederzeit ändern.

Wir brauchen deshalb keine Ende-zu-Ende-Sicherheit, sondern im Gegenteil endlich die Einsicht, dass Sicherheit:

  • sekundär ist und der Funktion nicht vorausgeht, sondern folgt,
  • keine theoretischen Ideale verfolgen, sondern reale Risiken reduzieren soll,
  • nicht durch formale Garantien und einzelne Wunderwaffen entsteht, sondern aus der Kombination verschiedener partieller Maßnahmen resultiert,
  • nicht perfekt sein muss, sondern nur gut genug.

Die Vorstellung, man könne konkurrenzfähige Anwendungen um starke Kryptographie herum konstruieren, ist vielfach gescheitert und diskreditiert. Als um die Jahrtausendwende der Online-Handel wuchs, entwickelte man kryptografische Bezahlverfahren von eCash bis SET – den Markt gewannen jedoch Lastschrift, Kreditkarte, Nachnahme und Rechnung. Das Online-Banking wollte man einst mit HBCI / FinTS sicher machen – heute banken wir im Browser oder auf dem Händi und autorisieren Transaktionen mit TANs und Apps. Das vor gut zwanzig Jahren entstandene Signaturgesetz ist in seiner ursprünglichen Form Geschichte und elektronische Signaturen haben sich bis heute nicht auf breiter Front durchgesetzt.

Wer dennoch weiter an die heile Scheinwelt der Ende-zu-Ende-Sicherheit glauben möchte, der möge sich seine Lösungen von den Experten der Gematik entwickeln lassen. Die kennen sich damit aus und sobald ihr Flughafen ihre Telematikinfrastruktur läuft, haben sie sicher Zeit für neue Projekte.

Investitionsruine eGK

Die Digitalisierung schreitet unaufhaltsam voran. In der Zeit, die wir seit den ersten Konzepten für den Aufbau unserer hochsicheren und hochverfügbaren Telematikinfrastruktur für das Gesundheitswesen nach Konzepten aus den frühen nuller Jahren verbraucht haben, verbreiteten sich draußen unter anderem:

  • Windows Vista, 7, 8 und 10
  • UMTS und LTE
  • Smartphones, Tablets und Smart Watches
  • Cloud Computing auf allen Schichten von IaaS bis SaaS
  • Site Reliability Engineering und Chaos Engineering
  • API Management
  • Agile Methoden und DevOps
  • Big Data, Machine Learning und KI
  • Stuxnet und andere Cyberwaffen

Auch kamen und gingen der neue Personalausweis, DE-Mail, das beA sowie die Piratenpartei.

Bekäme man das Gesundheitskartennetz zusammen mit dem Berliner Flughafen eines Tages doch noch fertig – was würde man dann mit dieser hoffnungslos veralteten Technik tun?

So ungefährlich ist Radfahren

Zur Helmdiskussion hatte ich hier lange nichts. Eigentlich lohnt das auch nicht, denn wer an den Nutzen eines Fahrradhelms glauben möchte, lässt sich erfahrungsgemäß von Argumenten nicht umstimmen. Doch heute bin ich über eine Zahl gestolpert, die sogar mich überrascht hat, obwohl sie mit meiner Alltagserfahrung kompatibel ist. Der großbritische nationale Gesundheitsdienst (National Health Service, NHS) macht wie so ziemlich jede Krankenkasse Werbung fürs Radfahren und hat in diesem Zusammenhang eine FAQ zur Gefährlichkeit dieser Betätigung zusammengestellt. Darin heißt es unter anderem:

“Official figures taken from the NTS suggest that the general risk of injury from cycling in the UK is just 1 injury per 19,230 hours of cycling.”

Eine Verletzung auf 19 230 Stunden Radfahren, das heißt selbst ein Fahrradkurier muss gute zehn Jahre jeden Arbeitstag acht Stunden unterwegs sein, um sich einmal zu verletzen*. Wer lediglich jeden Tag eine halbe Stunde zu seinem Büro radelt und abends zurück, der braucht sogar Jahrzehnte, um sich einmal zu verletzen. Dass Radfahren so sicher ist, hätte ich trotz vieler unfallfreier Jahre im Sattel nicht erwartet.

*) Ein Arbeitsjahr in einem Vollzeitjob hat ca. 2000 Stunden einschließlich der Urlaubstage.

Application Layer Snake Oil

TL;DR: The author thinks Snowden’s home security app, Haven, is snake oil regardless of the algorithms it uses. Operational security is at least as hard as cryptography and no app is going to provide it for you.

Bogus cryptography is often being referred to as snake oil—a remedy designed by charlatans to the sole end of selling it to the gullible. Discussions of snake oil traditionally focused on cryptography as such and technical aspects like the choice of algorithms, the competence of their designers and implementers, or the degree of scrutiny a design and its implementation received. As a rule of thumb, a set of algorithms and protocols is widely accepted as probably secure according to current public knowledge, and any poorly motivated deviation from this mainstream raises eyebrows.

However, reasonable choices of encryption algorithms and crypto protocols alone does not guarantee security. The overall application in which they serve as building blocks needs to make sense as well in the light of the threat models this application purports to address. Snake oil is easy to mask at this level. While most low-level snake oil can be spotted by a few simple patterns, the application layer calls for a discussion of security requirements.

Enter Haven, the personal security app released by Freedom of the Press Foundation and Guardian Project and associated in public relations with Edward Snowden. Haven turns a smartphone into a remote sensor that alerts its user over confidential channels about activity in its surroundings. The intended use case is apparently to put the app on a cheap phone and leave this phone wherever one feels surveillance is need; the user’s primary phone will then receive alerts and recordings of sensed activity.

Haven is being touted as “a way to protect their [its users] personal spaces and possessions without compromising their own privacy.” The app allegedly protects its users against “the secret police making people disappear” and against evil maid attacks targeting their devices in their absence. To this end, Haven surveils its surroundings through the smartphone’s sensors for noise, movement, etc. When it detects any activity, the app records information such as photos through the built-in camera and transmits this information confidentially over channels like the Signal messenger and Tor.

Alas, these functions together create a mere securitoy that remains rather ineffective in real applications. The threat model is about the most challenging one can think of short of an alien invasion. A secret police that can make people disappear and get away with it is close to almighty. They will not go through court proceedings to decide who to attack and they will surely not be afraid of journalists reporting on them. Where a secret police makes people disappear there will be no public forum for anyone to report on their atrocities. Just imagine using Haven in North Korea—what would you hope to do, inside the country, after obtaining photos of their secret police?

Besides strongly discouraging your dissemination of any recordings, a secret police can also evade detection through Haven. They might, for example, jam wireless signals before entering your home or hotel room so that your phone has no chance of transmitting messages to you until they have dealt with it. Or they might simply construct a plausible pretense, such as a fire alarm going off and agents-dressed-as-firefighters checking the place. Even if they fail to convince you, you will not be able to react in any meaningful way to the alerts you receive. Even if you were close enough to do anything at all, you would not physically attack agents of a secret police that makes people disappear, would you?

What Haven is trying to sell is the illusion of control where the power differential is clearly in favor of the opponent. Haven sells this illusion to well pampered westerners and exploits their lack of experience with repression. To fall for Haven you have to believe the  premise that repression means a secret police in an otherwise unchanged setting. This premise is false: A secret police making people disappear exists inevitably in a context that limits your access to institutions like courts or media or the amount of support you can expect from them. Secret communication as supported by Haven does not even try to address this problem.

While almost everyone understands the problems with low-level snake oil and how to detect and avoid it, securitoys and application layer snake oil continue to fool (some) journalists and activists. Here are a few warning signs:

  1. Security is the only or primary function of a new product or service. Nothing interesting remains if you remove it.
  2. The product or service is being advertised as a tool to evade repression by states.
  3. The threat model and the security goals are not clearly defined and there is no sound argument relating the threat model, security goals, and security design.
  4. Confidentiality or privacy are being over-emphasized and encryption is the core security function. Advertising includes references to “secure” services like Tor or Signal.
  5. The product or service purports to solve problems of operational security with technology.

When somebody shows you a security tool or approach, take the time to ponder how contact with the enemy would end.

Verbraucherschutz ist auch nur Populismus

Der Deutschlandfunk nahm die Pleiten von Air Berlin und Monarch Airlines zum Anlass, mit Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv), über verfallende Flugtickets zu sprechen. Er fordert eine Pflicht zur Insolvenzversicherung, wie sie seit Jahren für Pauschalreisen gilt, und begründet seine Forderung so:

»Weil hier die Politik und auch die Flugbranche seit Jahren ihre Hausaufgaben nicht gemacht haben. Weil wir nicht wie bei Pauschalreisen zum Beispiel eine Insolvenzversicherung haben. Sprich: Der Kunde, der früh die Tickets schon bezahlt hat, bevor er eine Leistung bekommen hat, ist zurzeit der Depp. Er steht da ohne eine Leistung und verliert sein Geld, seine Urlaubsfreude. Das ist einfach nicht in Ordnung. Das ist Politik- und Marktversagen.«

(DLF: Fluglinien-Pleiten und Verbraucher – Airlines sollten Insolvenzversicherung anbieten)

Das ist populistische Kackscheiße. Versicherungen sind sinnvoll gegen existenzbedrohende Risiken, die sie auf ein Kollektiv umlegen. Deswegen sollte jeder ein Haftpflichtversicherung haben, Hausrat muss man abwägen und Händi-, Fahrrad- oder Reiserücktrittsversicherungen sind sinnlos.

Schäden, für die man anderen ersatzpflichtig ist, kann man leicht versehentlich verursachen, und wenn etwa Menschen verletzt werden oder Gebäude niederbrennen, wird es teuer. Das ist ein klarer Fall für eine Versicherung, die für besonders riskante Fälle wie den Betrieb von Kraftfahrzeugen sogar vorgeschrieben ist. Ebenfalls unverzichtbar ist eine Krankenversicherung, denn Krankheitskosten können schnell das Vermögen übersteigen und sparen lässt sich daran schlecht.

Eine Hausratversicherung ist schon nicht mehr so eindeutig nötig. Wer zu Hause keine Wertsachen hortet und ausreichende liquide Reserven hat, kann selbst dem Totalverlust seines Hausrats, etwa durch einen Brand,  vergleichsweise gelassen entgegensehen. Natürlich wäre so etwas ärgerlich, aber eben doch zu verschmerzen. Für andere mag eine Versicherung attraktiv sein, weil sie weniger Reserven haben oder ihr Hausrat einen höheren Wert.

Komplett unnütz sind Kleinkramversicherungen gegen ärgerliche, aber überschaubare Schäden: Händiverlust, Fahrraddiebstahl, Hochzeitsrücktritt und so weiter. Solche nach oben begrenzten Risiken kann man selbst tragen und man kommt im Mittel auch nicht günstiger davon, wenn man sie versichert. Diese unnützen Versicherungen versprechen den Versicherern jedoch ein gutes Geschäft und man bekommt sie allerorten aufgeschwatzt.

Vor schlechten Geschäften, mit denen uns Versicherer bei ungenügender Gegenleistung Geld aus der Tasche ziehen, sollten uns Verbraucherschützer wie Klaus Müller eigentlich warnen und manchmal tun sie das auch. Die Forderung nach einer Zwangsversicherung einzelner Risiken passt dazu nicht und die vorgebrachten Argumente sind so fadenscheinig, dass man sie leicht gegen die Forderung wenden kann:

»Ich finde, 100.000 Einzelfälle sind schon eine ganze Menge.«

(ebd.)

Das sind sie in der Tat – aber eben auch dann, wenn man ihnen für jeden Flug ein paar Euro extra aus der Tasche zieht, ob sie wollen oder nicht. Politik- und Marktversagen wäre es, mich zum Kauf einer Leistung zu nötigen, die ich nicht will und die auch keinen berechtigten Interessen meiner Mitmenschen dient.