So kann BCM auch aussehen:
Die Geschichte zum Screenshot steht dort.
Als Berater würde man so etwas jetzt aufbauschen und ganz schlimm finden. In Wirklichkeit ist es einfach egal, die Website des MDR war ohne Störung nicht wesentlich interessanter.
Archiv der Kategorie: Geschäft
So funktioniert Zertifizierung
Ich hatte hier versprochen, gelegentlich zu erläutern, wie Zertifizierung und Prüfsiegel funktionieren. Jetzt bietet sich eine Gelegenheit. Frau Neudecker von der Zeit hat diesen unscheinbaren Gegenstand ausgegraben, der auf den schönen Namen Peloop hört. Die Leistungsbeschreibung liefert sie gleich mit:
»Im Peloop ist nämlich ein Magnet, der “ein magnetisches Feld rund um die Peniswurzel bildet, dort wo das Blut in den Penis fließt.”
Dann ist darin noch “Turmalin und Germanium” enthalten (öh, sagt der Hersteller), die “negative Ionen absondern”, und “ferne Infrarotstrahlen” gibt das Ding auch noch ab. Ja, klar.
Was all das bewirken soll? Es verbessert “das Blut im Inneren des Penis”.«
Das ist – im Zusammenhang – offensichtlicher Nonsens. Falls das Ding eine nennenswerte Wirkung hat, dann dürfte diese Wirkung allein auf mechanische Einflüsse zurückzuführen sein und nicht auf die oben genannten Eigenschaften oder die leuchtend gelbe Farbe. Das versteht jedes Kind, so es denn mit solchen Sachen spielen darf. Dennoch bietet sich hier ein weites Feld für sorgfältige Prüfungen, die allesamt handfeste, unzweifelhafte Ergebnisse liefern, ohne je die entscheidenden Fragen zu stellen. Und das geht so. So funktioniert Zertifizierung weiterlesen
Nice Try
Wer könnte solch einer Einladung widerstehen?
Ich nicht, und der Klick aufs Werbebanner führte erwartungsgemäß zu einer nur beschränkt seriösen, aber wohl legalen Website.
Black Hat EULA Enforcement
What is the purpose of antivirus companies? They produce tools to detect and remove malicious software on a large number of computers. Their basic process is pretty simple. They collect samples of new malicious software from various sources, including the general public. You, too can send a piece of software to antivirus companies if you suspect it might be malicious. Each sample will be analyzed by the antivirus company. If it really is malicious, a signature will be produced and disseminated to all users of the company’s products through an automated mechanism. After receiving the new signature, antivirus software is capable of detecting the new malicious software and often also stopping it from working in one way or the other.
Sounds innocent, but the bad guys discovered this might be a suitable infrastructure to enforce end-user license agreements. If you rent a botnet and fail to comply with its operators‘ terms, they threaten to forward your bot to antivirus companies. I really like that idea, although I see a couple of pitfalls here, as do the guys who originally reported this.
Leben gefährdet Ihre Gesundheit
Es gibt tatsächlich Helme für Kleinkinder. Nicht für aufm Fahrrad, sondern einfach so. Laufen lernen muss irrsinnig gefährlich sein. (via)
EMD Safety Bracelet
Why don’t we simply shut down terrorists?
(via Δfoxtrot)
Update: Shocking, but False, comments a TSA spokesman.
In einem Wort
Würden Sie diesem Zaun Ihre Haustiere anvertrauen?
ClearSwift, das war wohl nix (oder Ihr seid Spielverderber)
Vor einer Woche hatte mich eine Werbemail der Firma ClearSwift zu diesem Ad-hoc-Test inspiriert. Versprochen war Data Loss bzw. Data Leak Protection und ich wollte wissen, ob der Anbieter schnell merkt, dass jemand über ihn bloggt. Erbeten war eine schnelle Reaktion hier im Blog oder auf anderem Wege. Einen festen Termin gab es nicht, aber eine Woche sollte wohl genügen. Reaktionen gab es keine. Das könnte verschiedene Gründe haben:
- Ich habe das Konzept der angebotenen Lösung nicht verstanden und der ganze Kram hilft gar nicht gegen Blogger, die unerlaubt über die Firma bloggen. Dann stellte sich allerdings die Frage, warum Blogs und Web 2.0 in der Werbung vorkommen.
- Vielleicht hilft die Lösung tatsächlich gegen unerlaubte Firmenblogger, aber nur unter bestimmten Randbedingungen. Sie könnte zum Beispiel erfordern, dass der Blogger aus dem Firmennetz bloggt oder dass Geheimnisse erst registriert werden müssen, damit die Sicherheitstechnik sie entdecken kann. In diesem Fall wäre der Nutzen zweifelhaft, wie diese kleine Demonstration zeigt.
- Oder wir haben es mit Spielverderbern zu tun: sie haben uns gesehen, aber absichtlich nicht reagiert. Das gäbe ein Sehr Gut für die Methodik der Krisen-PR – aber leider ein Ungenügend für Nachdenken, denn in diesem Fall wäre eine Reaktion richtig gewesen.
Zum Mitspielen hätte man übrigens überhaupt keine Sicherheitslösung gebraucht, weil es ja Google gibt und Google gern Benachrichtigungen zu beliebigen Anfragen verschickt. Jeder, der auch nur eine Spur von Eitelkeit zu seinem Wesen zählt, hat einen Google Alert auf seinen Namen bestellt. Tja.
Schon wieder: Sicherheit in der Werbung
Indien hat zwar gerade nicht so viel Internet, macht aber dennoch mit Werbung auf sich aufmerksam:
Schön, dass ihnen Sicherheit wichtig ist, aber eigentlich sollte es selbstverständlich sein, dass ich wenigstens über die Originalkopie meiner Daten die Kontrolle behalte.
Im übrigen fühle ich mich jetzt ganz und gar nicht sicherer, sondern ich frage mich vielmehr, ob ich dieses Banner nicht vielleicht nur deshalb sehe, weil ich mich vorhin in einem indischen Blogkatalog herumgetrieben habe. Kann aber nicht sein, wie sich nach kurzem Nachdenken herausstellt, denn das war auf einem anderen Computer. Oder kann es doch? Vielleicht will ich es so genau lieber gar nicht wissen.
Mal schnell getestet: Data L{oss|eak} Prevention von Clearswift
Aus meiner SpamInbox:
»Stellen Sie sich vor, Ihre Finanzabteilung versendet versehentlich vertrauliche Business-Pläne an einen externen Emailverteiler, ein verärgerter Mitarbeiter verrät im Online-Chat Firmengeheimnisse oder ein anderer verschickt im Namen Ihres Unternehmens unseriöse Emails an Ihre Kunden.«
Tja, was mache ich denn dann? Die Mail, aus der dieses Zitat stammt, empfiehlt mir, mich rechtzeitig über die Produkte und Dienstleistungen der schreibenden Firma zu informieren. Ich würde ja einfach die Finanzabteilung feuern, wenn sie sich das so redlich verdient; verärgerten Mitarbeitern rechtzeitig genügend Angst machen; und die unseriösen E-Mails selber verschicken, um sie später dementieren zu können und so zweimal billig Aufmerksamkeit zu bekommen. Statt dessen soll ich mich also über MIMEsweeper informieren und darüber, was man im Web 2.0 damit so alles verhindern kann.
Da ich solche Probleme nicht habe und meine Hauptbeschäftigung darin besteht, die Sicherheit von allem möglichen zu testen und zu bewerten, tue ich genau das: testen. Mal schnell getestet: Data L{oss|eak} Prevention von Clearswift weiterlesen
Vorsicht DachHai!
Die Eigenheimbesitzer unter unseren Leserinnen und Lesern warnt Dexheimer Inside vor den DachHai und erklärt, was im Falle einer Begegnung zu tun ist. Die gute Nachricht daran ist, dass man den DachHai leicht erkennt, die schlechte, dass er trotzdem oft genug sein Fressen findet und nicht ausstirbt.
Scareware
Die Masche ist bekannt: irgendwo im Netz stößt man auf eine Website, die einen kostenlosen Sicherheitscheck verspricht. Dazu lädt man sich ein Program herunter und führt es aus. Dieses Programm findet tatsächlich eine Reihe von Sicherheitsproblemen oder behauptet das jedenfalls. Und es hört mit dem Behaupten gar nicht mehr auf, denn das Opfer soll auf jeden Fall die »Vollversion« kaufen, von der es heißt, sie könne die gefundenen Probleme beseitigen.
Seit es diesen Betrug auch für den Mac gibt, hat er sogar einen schönen Namen: Scareware.
Klimaglaube und Medienwirkung
69 Prozent der Deutschen erwarten eine Klimakatastrophe, meldete Spiegel Online im Sommer 2006. Inzwischen dürften es noch einige mehr sein, denn 2007 war das Klima ein Dauerbrenner in den Medien. Ein Musterbeispiel gelungener Risikokommunikation auf der Grundlage wissenschaftlicher Erkenntnisse?
Keineswegs. Wie wir aus einer anderen Umfrage wissen, sind 70% der Deutschen religiös. Siebzig Prozent unserer Mitbürger glauben also alles, wenn es nur gut genug verpackt ist. Die Kunst des Verpackens aber haben die Medien so weit perfektioniert, dass es sogar Wissenschaftlern unheimlich wird, die eigentlich keine Angst vor den Medien haben und sich auch schon mal mit der Achse des Guten anlegen.
Was auch immer die Wissenschaft herausfindet oder diskutiert, für die Medien ist es bestenfalls ein Anlass zu eigenen Geschichten. Ganz gleich ob man Katastrophiker, Skeptiker, gleichgültig oder etwas anderes ist, die Mainstream-Medien sind eine ganz schlechte Quelle zur Meinungsbildung. Ob wir tatsächlich ein Problem haben oder nicht und wie sicher oder unsicher die Prognose ist, wird man dort nicht erfahren. Wer eine seriöse Risikoschätzung braucht, muss sich selbst mit den Klimaforschern und ihren Kritikern auseinandersetzen. So viel Zeit muss sein.
Kommerzieller Jugendschutz
Alvar Freude hatte einen Anlass, sich mit jugendschutz.net zu beschäftigen. Das hat er dann auch getan: Jugendschutz.net, Moral und Medienkompetenz.
Wozu SAP?
Ausgedehntes Bit
TeleTrusT und Microsoft tun was gegen Phishing. Die Lösung ist so einfach, man hätte schon viel früher darauf kommen können. Und so falsch, dass man besser nie darauf gekommen wäre. Das Schlangenöl des Tages: Extended-Validation-Zertifikate. Das sind besondere SSL/TLS-Serverzertifikate.
Hostessen und Sicherheitspersonal
Wenn man Besuchern eines bisher öffentlichen Festivals an neu geschaffenen Eingängen in einem neuerdings vorhandenen Zaun mitgebrachte Getränke wegnehmen will, dann kann man das auch so umschreiben:
»Das Schlossgrabenfest bekommt erstmals in seiner Geschichte fest definierte „offizielle“ Eingänge für einen kontrollierten Zugang. Hier werden die Besucher ab diesem Jahr durch Hostess-Service und Sicherheits-Personal persönlich und hilfsbereit begrüßt und auf dem Schlossgrabenfest herzlich Willkommen geheißen. (…) Ziel ist ein noch höheres Maß an Sicherheit für unsere Besucher durch einen kontrollierten Zugang zum Gelände. Das Aufkommen von Glasbruch und allgemeinem Müll, durch mitgebrachte Getränke, soll maßgeblich zum Wohl der Besucher reduziert werden.«
So phishen Profis
Gefunden bei Stefan Niggemeier: ein Beitrag von Plusminus über die Praktiken der Call-TV-Sender. Den Text gibt’s bei der Süddeutschen.
Link: sevenload.com
.bank? .not!
Yet another proposed way to stop phishing: create a .bank top-level domain (TLD) and market it to banks exclusively, at a forbidding price per domain. Sounds compelling? It isn’t:
- It’s a static solution based on today’s most common attack pattern, phishing attacks against bank customers. The perpetrators, however, could easily change their behavior. They will stick to phishing only as long as it is the cheapest working method. They can choose different victims and alternative methods.
Von wegen Gewinnmaximierung
»Immerhin hat es das Unternehmen geschafft, seit seiner Gründung 1992 zu überleben, ohne in einem einzigen Jahr aus den roten Zahlen zu kommen.«
heise online – „Der helle Wahnsinn“: Intershop-Aktionärstreffen nach Palastrevolte
09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0
According to the Motion Picture Association of America (MPAA) this seemingly innocent 32-digit hexadecimal number is verboten. Slashdot reports they sent out DMCA takedown notices (sample at chillingeffects.org) to several sites that spread the number 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0.
The DMCA, or Digital Millennium Copyright Act is a U.S. copyright law. A takedown notice is a letter or other message that a legitimate copyright holder can send to an internet service provider, requesting that specific infringing material be taken off the Net.
So why and how would an association of the motion picture, home video and television industries attempt to maintain and defend their copyright in a 32-digit hexadecimal number, 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0?
Visualisierung und Fake-Blogs
Eine Werbeagentur, die das Netz nicht verstanden hat, verkauft einer Duftwasserfirma, die das Netz auch nicht verstanden hat, eine »Telenovela im Blogformat«. Kommentarspam, Schleichwerbung und Fake nennen das die betroffenen Blogger und lassen das Ganze durch gründliche Recherche auffliegen. Die Presse berichtet, Die Fakeblogs waren zu auffällig.
Da müsse man nur die Spuren etwas besser verwischen, denkt sich der erfolglose Werber jetzt sicher. Falsch. Fakeblogs kann man auch mit Google und dem TouchGraph-Browser erkennen. Das macht die Recherche der Details nicht überflüssig, kann aber einen Anfangsverdacht liefern.
Sicher ist sicher? 