Archiv der Kategorie: Geschäft

Business

Eine Runde TÜV-Bashing

März 18, 2009Geschäft, IT, Risiko, SecurityPrüfsiegel, TÜV, ZertifizierungSven Türpe

Was der TÜV – eigentlich die TÜV, denn unter dieser Dachmarke macht sich ein etwas unübersichtliches Firmengeflecht breit – so alles zertifiziert, wissen aufmerksame Leserinnen dieses Blogs bereits. Die technische Seite habe ich damals nicht explizit diskutiert. Das nimmt mir jetzt ein anderer ab und schafft es bis in den Heise-Ticker mit dem Hinweis: TÜV-Siegel schützt nicht vor Cross Site Scripting. Damit haben wir schon zwei Dinge beisammen, vor denen ein TÜV-Siegel nicht schützt, ausnutzbare Fehler in der Technik und zweifelhafte Geschäftsmodelle. Geht da noch was?

Klar geht da noch was. Vor bekloppten Konzepten schützen TÜV-Siegel nämlich auch nicht. Bekloppte Konzepte, damit meine ich zum Beispiel die Idee, irgendeiner Wald-und-Wiesen-(bzw. Titten-und-Schwänze-)Website zur Altersverifikation ausgerechnet die PIN vom Online-Banking auszuhändigen. Darf’s vielleicht noch eine TAN-Liste sein? Sofortident nennt sich dieses Verfahren und dahinter steckt dieselbe Firma, die sich bereits die Sofortüberweisung nach ähnlichem Schema ausgedacht hat. Technisch gesehen geht die PIN nicht an die Titten-Website, sondern an Sofortident, aber der Sicherheitsgewinn dadurch ist marginal. Und wer pappt sein Siegel drauf? Einer von den TÜVs natürlich:

Formal ist das sicher alles korrekt, der TÜV hat ja nur den Datenschutz (== die Einhaltung gesetzlicher Anforderungen an die Erhebung und Verarbeitung personenbezogener Daten) geprüft und mehr wird nicht behauptet. Das macht es aber noch lange nicht zu einer guten Idee, Leuten beim Pornogucken die Banking-PIN abzuknöpfen. Selbst wenn die Sofortler ihre Technik im Griff haben und sich an ihre Zusicherungen halten, wogegen es derzeit keinerlei Anhaltspunkte gibt, bleiben zwei Probleme. Erstens vermischt das Verfahren, ähnlich wie Giropay, Kontexte, die man besser getrennt hält. Online-Banking und Altersverifikation haben nichts miteinander zu tun und das Online-Banking ist hinreichend sensibel, um dabei zu bleiben.

Zweitens gewöhnt es den eifrigen Nutzer daran, seine Banking-PIN bei allen möglichen Gelegenheiten zu allen möglichen Zwecken einzusetzen. Das kann auch dann zum Problem werden, wenn aus ganz anderen Gründen ein Schaden eintritt, etwa wenn sich der Sofort*-Nutzer eine Schadsoftware einfängt und daraufhin Geld von seinem Konto verschwindet. Wenn die Bank dann erfährt, was ihr Kunde mit seiner PIN so alles getan hat, dürfte ihr Kulanz schwer fallen. Ein TÜV-Siegel macht dann auch keinen Eindruck.

112 €

März 17, 2009Datenschutz, Geschäft, Preisschild, Security, ZahlenspieleÖkonomie, Datenpanne, Hebel, price tagSven Türpe

Der Schaden durch einen Angriff und der Gewinn des Angreifers sind weitgehend unabhängig voneinander. Dass ein Datensatz 57 Cent kostet, sagt deshalb wenig über den Schaden aus, den eine Datenpanne verursacht. Der ist vielleicht viel größer:

»Die durchschnittlichen Kosten einer Datenpanne lagen demnach in Deutschland 2008 bei etwa 112 € pro einzelnem Datensatz. Die Gesamtkosten einer Datenpanne beliefen sich bei den von Ponemon untersuchten Firmen stets im 6-7stelligen Bereich pro Ereignis.«

(Blog zur IT-Sicherheit:
Gibt es eine Rendite der IT-Sicherheit?)

Was heißt das nun? Steht dem Angreifer ein Hebel zur Verfügung, wenn er es vor allem auf den Schaden und nicht auf seinen Nutzen abgesehen hat? Oder dient dieser Hebel vor allem dem Verteidiger, der nur den geringen Gewinn des Angreifers unattraktiv machen muss, um einen viel höheren Schaden zu verhindern?

CeBIT

März 3, 2009English, Geschäft, ITbargain, CeBIT, vaporwareSven Türpe

In guter Gesellschaft

Februar 22, 2009Angst, Geschäft, SecuritySven Türpe

Vor einem knappen Jahr wunderte ich mich über fälschungssichere Stifte, die man mir unaufgefordert zugesandt hatte und die seitdem auf meinem Schreibtisch verstauben. Über so etwas wundert sich Bruce Schneier auch. Eine bessere Gesellschaft kann ich mir kaum wünschen.

2 Dollar

Februar 21, 2009Geschäft, IT, Preisschild, Security, ZahlenspieleBotnet, DoS, price tagSven Türpe

Für 57 Cent bekommt man einen Datensatz, zwei Dollar kostet ein Zombie im Netz. Davon braucht man 40 bis 60 für einen kleinen Denial-of-Service-Angriff.

Radfahren ist ja sooo gefährlich

Februar 7, 2009Geschäft, Risiko, Safety, Stammtisch, Studien, ZahlenspieleFahrrad, Helmdiskussion, Unfall, VersicherungSven Türpe

Woher kommt die gern nachgeplapperte Behauptung, Radfahren sei besonders gefährlich? Unter anderem von Leuten, die es besser wissen müssten. Das zeigt uns Ben Goldacre im Guardian sowie in seinem Blog Bad Science. Ihm ist eine Pressemeldung in die Hände gefallen, die einen dramatischen Anstieg der Fahrradunfälle behauptet. Diese Behauptung ist vorurteilskompatibel, aber völliger Blödsinn, wie er nachvollziehbar zeigt. Quelle der Desinformation: ein Versicherungsunternehmen.

Spam verfilmt

Februar 7, 2009Fundbüro, Geschäft, Propaganda, Unterwegs, VideoApotheke, big explosion, excellent formula, sex sells, VideoSven Türpe

(Direktspam)

Unterschätzte Risiken: De-Mail-Bürgerportale

Februar 5, 2009Freundlich zum Nutzer, Geschäft, IT, Nebenwirkung, Phishing, Regierungsviertel, Security, Unterschätzte Risiken, VertrauenBürgerportal, De-Mail, LehrbuchsicherheitSven Türpe

De-Mail: unter diesem seltsamen Namen soll in Zukunft eine sichere Kommunikationsinfrastruktur zur Verfügung stehen. Das sieht zumindest ein Gesetzentwurf vor, den die Bundesregierung gestern verabschiedet hat. Betreiber sollen Unternehmen sein, beaufsichtigt vom BSI, und benutzen sollen es – vorerst freiwillig – wir alle.

Für die herkömmliche E-Mail ändert sich nichts. Zusätzlich zu dieser bewährten Infrastruktur erhalten wir aber die Möglichkeit, die ganzen selten benutzten Sonderfunktionen des Postzeitalters im Netz zu nutzen: Einschreiben, Ausweis zeigen, Porto zahlen. Ja, Porto. Was wir dafür bekommen, ist Sicherheit. Lehrbuchsicherheit, um genau zu sein, das heißt Mechanismen, die formale Probleme formal lösen. Ein realitätsbezogenes Bedrohungsmodell gibt es nicht, sondern man wird Sicherheitsmechanismen aus dem Lehrbuch zusammensetzen zu etwas, das dann vor den Bedrohungen schützt, vor denen die gewählten Mechanismen eben schützen. Was alten Männern mit Kugelschreibern eben so einfällt, wenn sie in einem Wahljahr beweisen wollen, für wie modern sie sich halten. Unterschätzte Risiken: De-Mail-Bürgerportale weiterlesen →

R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 3)

Februar 4, 2009eBürokratie, Geschäft, ID, IT, Regierungsviertel, Securitydigitale Signatur, EU, Rechnungssignatur, Technik-Overkill, VernunftSven Türpe

[Teil 1 – Teil 2 – Teil 3 – Teil 4]

Während man beim SmartCard-Workshop die üblichen Visionsschablonen ausmalt, holt die EU-Kommission aus, der rechtsverbindlichen digitalen Signatur einen weiteren Sargnagel einzuschlagen. Wie der Heise-Ticker meldet, möchte die EU-Kommission die Rechnungssignatur kippen.

Die Rechnungssignatur ist eine Regelung aus dem Umsatzsteuerrecht und eine der wenigen realen Anwendungen für rechtsverbindliche Signaturen. Nicht dass man sie technisch brauchte, aber sie ist vorgeschrieben: zum Vorsteuerabzug dürfen elektronische Rechnungen nur verwendet werden, wenn sie digital signiert sind. Entgegen aller großen Hoffnungen hat sich die digitale Signatur als Rechtskonstrukt bislang fast nur in solchen Zwangsanwendungen durchgesetzt. Wer die freie Wahl hat, benutzt sie normalerweise nicht, denn sie ist umständlich und schafft dem Anwender vor allem Nachteile.

Das hat nun auch die EU-Kommission erkannt und festgestellt, dass die zugrundeliegende Richtlinie – die im deutschen Recht verschärft wurde – die Verbreitung elektronischer Rechnungen behindert hat. Dass man mit formaler Sicherheitstechnik die Verbreitung von irgend etwas fördern könnte, wie es die Visionäre gerne unterstellen, ist vielleicht nichts als ein Traum.

PS.: Die Bundesregierung hat gerade die Signaturpleite der nächsten Generation beschlossen. Bürgerportal und De-Mail heißen die Stichworte und über einen späteren Anschlusszwang wird bereits spekuliert.

The Bailout Rap

Februar 1, 2009English, GeschäftSven Türpe

(direct bailout, via Calculated Risk)

What’s the harm?

Januar 25, 2009English, Geschäft, Risiko, SafetySven Türpe

[Get only posts in English]

Nice idea:

»This site is designed to make a point about the danger of not thinking critically. Namely that you can easily be injured or killed by neglecting this important skill. We have collected the stories of over 225,000 people who have been injured or killed as a result of someone not thinking critically.«

(http://whatstheharm.net/)

Thus far their collection comprises »3,284 people killed, 306,068 injured and over $2,815,114,000 in economic damages« caused by pseudoscience, alternative medicine, religion, belief in the supernatural, fears, misinformation and the like. And it’s not always harm that people inflict upon themselves as for instance the section on expert witnesses shows.

Sicherheit durch Nagware?

Januar 13, 2009Freundlich zum Nutzer, Geschäft, IT, Nebenwirkung, Phishing, SecurityAntivirus, Mutti, Nagware, SchockwerbungSven Türpe

Kaum nutzt man mal Muttis Computer, wird einem schlagartig eine Menge klar. Zum Beispiel warum Leute auf zweifelhafte Antivirensoftware hereinfallen. Dass sich plötzlich ein Fenster öffnet und ihnen was verkaufen will, kennen sie nämlich schon: vom kostenlosen Antivirusprogramm, das man ihnen im Seniorencomputerkurs empfohlen hat. Für sich genommen ist Nagware ja harmlos, aber ob Sicherheitssoftware auf dem PC eines IT-Laien der richtige Platz für dieses Marketingkonzept ist?

Avira-Eigenwerbung

Ich suche übrigens gerade eine Studentin oder eine Studenten für eine Bachelorarbeit, die sich mit der Frage beschäftigen soll, ob von Antivirus-Software ein Sicherheitsgewinn zu erwarten ist. Details stehen weiter unten in diesem Blog.

Sicherheit durch Nagware? weiterlesen →

S@fer Gambling, TÜV-geprüft

Dezember 14, 2008Geschäft, VertrauenAuktion, Entertainment Shopping, Gütesiegel, ZertifizierungSven Türpe

»Mit TÜV-geprüfter Qualität, Sicherheit und Transparenz ist http://www.swoopo.de in hohem Maße vertrauenswürdig.« Das bestätigt der TÜV Süd mit einem S@fer-Shopping-Zertifikat. Geprüft wurden dafür Usability, Datenschutz und Prozesse beim Händler. Handelt es sich also um einen empfehlenswerten und vertrauenswürdigen Dienst? Kommt drauf an.

Jede Zertifizierung funktioniert so, dass man erst einen Rahmen festlegt und sich dann innerhalb dieses Rahmens anschaut, ob die festgelegten Kriterien erfüllt sind. Anders geht es auch nicht, denn sonst würde die Sache ausufern. Außerhalb des Rahmens liegt beim S@fer-Shopping-Siegel zum Beispiel das Geschäftsmodell. Das Geschäftsmodell von Swoopo erläutert Jeff Atwood in seinem Blog Coding Horror unter dem deutlichen Titel: Profitable Until Deemed Illegal.

Nun, amtlich für illegal befunden hat die Sache bis jetzt offenbar niemand, und von mir aus soll jeder sein Geld lassen wo er mag. Sich bei seiner Entscheidung allein auf hübsche Siegel vom TÜV zu verlassen, ist allerdings keine gute Idee. Man muss schon immer noch nachdenken und verstehen, was man da eigentlich tut. Dank der TÜV-geprüften Transparenz kann ja jeder nachlesen, womit er es zu tun hat.

57 Cent

Dezember 7, 2008Datenschutz, Geschäft, Preisschild, Security, ZahlenspieleÖkonomie, Bankdaten, Modell, SkandalSven Türpe

Schön, dass wir das endlich empirisch geklärt haben. Siebenundfünfzig Cent kostet also ein Personendatensatz mit Bankverbindung.

»Die Bankdaten von rund 21 Millionen Menschen wurden Journalisten offenbar für knapp zwölf Millionen Euro angeboten.« (Welt Online)

Was folgt daraus? Als Wissenschaftler müssen wir uns das in Ruhe überlegen und dann auch noch prüfen, ob unsere Ideen richtig sind. Einige Überlegungen drängen sich auf:

Technischer Datenschutz lohnt sich nur dort, wo viele Datensätze gemeinsam vorliegen oder weitaus detailliertere Informationen gespeichert sind.
Wer mit seinen Basisdaten – Name, Adresse, Telefonnummer, Geburtsdatum, Bankverbindung – so sorglos umgeht, wie wir das immer schon getan haben, liegt damit vollkommen richtig. Dass sich daran jemand 57 Cent verdient, können wir hinnehmen.
Aber (2) ist nur die halbe Wahrheit. Der Schaden des Opfers muss nicht proportional sein zum Gewinn des Angreifers. Über die Schäden wissen wir zu wenig.
Das macht aber nichts, denn (2) begrenzt den Aufwand für Gegenmaßnahmen: wir müssen den Aufwand pro Datensatz nur um höchstens 60 Cent (praktisch wohl weniger) erhöhen, dann lohnt sich die Sache nicht mehr.
Oder die Daten werden dann um 60 Cent teurer und sonst ändert sich nichts.
Aus dem Preis eines einzelnen Datensatzes oder der gesamten Sammlung können wir nicht schließen, wann sich die Nutzung der Daten lohnt. Dazu müssten wir wissen, was damit angestellt wird und welchen Gewinn es verspricht.
Die Umrechnung des Preises auf einzelne Datensätze muss nicht sinnvoll sein. Vielleicht liegt der Wert gerade in der Sammlung.

Und nun? Nun sind wir auch nicht schlauer als vorher. Kennt jemand ein Modell, mit dem wir einschätzen können, wie schlimm so ein Datenhandel ist und unter welchen Umständen er sich für wen lohnt?

Ergänzung 2009-01-19: Datendealer kommen mit einer kleinen Geldstrafe davon.

In einem Wort

September 29, 2008Begriffe, Geschäft, In einem Wort, Phishing, VerbotenSven Türpe

Nutzlosbranche

Unterschätze Risiken: Metaepidemien

September 25, 2008Geschäft, Propaganda, Unterschätzte Risiken, ZahlenspieleWir werden alle sterben!Sven Türpe

Wir werden alle sterben, das steht fest. Nur woran? Mal sehen:

»Der Wettstreit um die bedeutendste, tödlichste und sich weltweit am stärksten ausbreitende Epidemie hat mittlerweile selbst epidemische Ausmaße erreicht. (…)«

(Stationäre Aufnahme: Gedrängel auf dem Siegertreppchen)

Unkommentiert

September 23, 2008Forschung, Geschäft, Propaganda, SecurityFraunhofer, TerrorismusSven Türpe

Wegen eines latenten Interessenkonflikts ohne jeden Kommentar: Die Juwelen der Sicherheit

Risiko von IT-Projekten höher?

August 27, 2008Geschäft, Propaganda, WahrnehmungSven Türpe

Roland Berger hat heute eine Studie vorgestellt, die eindeutig nachweist: „20 Prozent aller IT-Projekte werden abgebrochen; jedes zweite dauert länger oder wird teurer als geplant – Imageschäden werden häufig unterschätzt – Mangelndes Risikomanagement ist eine der Hauptursachen für das Scheitern – die Wahrscheinlichkeit des Scheiterns steigt mit Dauer und Komplexität von Projekten.“ Unterschwellig möchte die Mitteilung natürlich glauben machen, dass IT-Projekte unberechenbarer sind als andere und leichter scheitern. Den Gegenbeweis liefert jedoch immer wieder Roland Berger selbst, der auch analoge Großprojekte grandios vor die Wand fahren kann. So geschehen zum Beispiel bei der Effizienzsteigerung in der Bundeswehr, für die Berger seinerzeit satt abkassiert hat. Dass laut Studie „IT-Großprojekte überdurchschnittlich häufig vorzeitig abgebrochen“ werden, ist deshalb vielleicht gar nicht so schlecht – vielleicht spart das dem Auftraggeber Geld.

Nachtrag: Ach ja – „Die Studie basiert auf der jahrelangen Erfahrung der Autoren bei der Steuerung, Restrukturierung und Sanierung großer Projekte.“

Unterschätzte Risiken: Subventionen, Nachlässe, Zuschüsse und Steuervorteile

August 24, 2008Geschäft, Unterschätzte RisikenGeldanlage, Immobilien, Steuersparmodelle, Wohnungen nach Nato-Modell, Zahnärzte-InvestmentSven Türpe

Noch öfter als die Freundschaft hört beim Geld anscheinend der Verstand auf:

»Subventionen sind die beste Voraussetzung, um bei Geldanlagen und Krediten auf Abwege zu geraten. Wenn der Staat mit der Gießkanne über Land zieht und den Bürgern hier Prämien schenkt und dort Steuervorteile gewährt, überlegen die meisten Menschen nicht mehr lange und greifen beherzt zu. (…) Wenn zwischen Kiel und Konstanz irgendwelche Nachlässe oder Zuschüsse winken, bleibt der gesunde Menschenverstand in aller Regel auf der Strecke, und die Verkäufer haben leichtes Spiel, ihre Waren an die Frau oder den Mann zu bringen.«

Das schreibt die FAZ als Einleitung, um danach genüsslich herzuziehen über ein Anlagemodell, das Immobilien, Steuern, Kredite und Aktien so lange verquirlt, bis der Anleger den Überblick über die Erträge und Risiken verliert. Wir merken uns als Faustregel: Steuern sparen ist zu teuer, das können wir uns nicht leisten.

blind, barrierefrei oder einfach blöd?

August 6, 2008Fundbüro, Geschäft, Hackmeck, WahrnehmungSven Türpe

Letzte Woche hat mich ein Kollege auf einen hübschen Dienst aufmerksam gemacht. Wer ein Captcha gelöst haben möchte, der kann das ganze an www.captchakiller.com schicken, die machen aus kleinen JPEGs hübsche kleine ASCII-Zeichenfolgen. Wer jetzt denkt, das Ding sei ein böser Helfer der Spammer, die ihre Robots damit durch die Captcha-Kontrolle bringen wollen, um Webseitenbetreiber in diversen Formen zu belästigen, der irrt. Auf der Seite steht’s, die machen das nur wegen den Blinden, die den Captchas ansonsten völlig hilflos gegenüberstehen – also ganz im Zeichen der Barrierefreiheit. Quote: „CAPTCHA Killer is 100% focused on increasing accessibility on the Internet.“ Deshalb haben die Gutmenschen wahrscheinlich auch das Mädchen engagiert, das im häßlichen T-Shirt, aber ohne Höschen die Seite ziert. Auf der Seite tut sich aber seit vergangenem Sommer nicht mehr viel. Der werte Leser möge selbst entscheiden, ob die Blinden doch andere Mittel und Wege gefunden haben, um Captchas zu lösen, oder ab die Macher an einer besonderen Art der Wahrnehmungsstörung leiden.

Kontinuitätsmanagement

Juli 11, 2008Geschäft, SecurityBCMSven Türpe

So kann BCM auch aussehen:

Videotext im Internet — MDR-Text im Internet

Die Geschichte zum Screenshot steht dort.

Als Berater würde man so etwas jetzt aufbauschen und ganz schlimm finden. In Wirklichkeit ist es einfach egal, die Website des MDR war ohne Störung nicht wesentlich interessanter.

So funktioniert Zertifizierung

Juli 9, 2008Geschäft, Testlabor, Wahrnehmung, WerkbankGütesiegel, Helmdiskussion, Markt, Prüfsiegel, Standards, Testlabor, ZertifizierungSven Türpe

Ich hatte hier versprochen, gelegentlich zu erläutern, wie Zertifizierung und Prüfsiegel funktionieren. Jetzt bietet sich eine Gelegenheit. Frau Neudecker von der Zeit hat diesen unscheinbaren Gegenstand ausgegraben, der auf den schönen Namen Peloop hört. Die Leistungsbeschreibung liefert sie gleich mit:

»Im Peloop ist nämlich ein Magnet, der “ein magnetisches Feld rund um die Peniswurzel bildet, dort wo das Blut in den Penis fließt.”

Dann ist darin noch “Turmalin und Germanium” enthalten (öh, sagt der Hersteller), die “negative Ionen absondern”, und “ferne Infrarotstrahlen” gibt das Ding auch noch ab. Ja, klar.

Was all das bewirken soll? Es verbessert “das Blut im Inneren des Penis”.«

Das ist – im Zusammenhang – offensichtlicher Nonsens. Falls das Ding eine nennenswerte Wirkung hat, dann dürfte diese Wirkung allein auf mechanische Einflüsse zurückzuführen sein und nicht auf die oben genannten Eigenschaften oder die leuchtend gelbe Farbe. Das versteht jedes Kind, so es denn mit solchen Sachen spielen darf. Dennoch bietet sich hier ein weites Feld für sorgfältige Prüfungen, die allesamt handfeste, unzweifelhafte Ergebnisse liefern, ohne je die entscheidenden Fragen zu stellen. Und das geht so. So funktioniert Zertifizierung weiterlesen →

Sicher ist sicher?

Ängste, Risiken, Vorsorge und unser gestörtes Verhältnis zur IT