Archiv der Kategorie: How to

Bicycling Safely On The Road

Vehicular cycling advocate, John Forrester, recently passed away. The video below illustrates his ideas. In a nutshell, as a cyclist you should take yourself seriously as a road user, confidently claim the same right to the road as anybody else, and behave mostly as you would driving a motor vehicle. I have only one nit to pick: the cyclists in the video seem rather shy when it comes to claiming space, they could take the middle of the lane more often.

According to my experience, Forrester’s ideas work very well although they may take some getting used to before one can really appreciate them. Against general inclusionist trends in western societies, modern-day cycling infrastructure advocates nevertheless reject his approach, arguing that roads – or rather, segregated bike paths – should be designed for cyclists instead. In a rhetorical sleight of hand they gain approval to the truism that infrastructure design influence the safety and happiness of cyclists only to switch the general notion of infrastructure for their narrow definition later.

Dense or fast traffic can feel scary, but the real danger often looms where we least expect it. A crossroads in the middle of nowhere can be dangerous due to the angle in which roads meet. This is an infrastructure issue to be fixed by redesigning the crossroads for better visibility and perceptibility. Being advocates for a particular design, segregationists rarely discuss bicycle-friendly road design – or design objectives and tradeoffs at all.

Vehicular cycling works better on some roads than it does on others. It works where other road users do not perceive cyclists as an obstacle, either because there is ample space to pass or traffic is running so slow that passing does not really make a difference.  Vehicular cycling becomes psychologically much harder for everyone when road design turns cyclists on the road into a seemingly unnecessary obstacle and therefore, a provocation. Durch designs with narrow lanes on the regular road and separate bike paths do a great job at that. Vehicular cycling would be virtually impossible here:

Luftbild einer Straße in Nuenen by Eindhoven
Discouragement by design (source: Google Maps)

This road design causes the very stress bike path advocates promise to relieve through segregation. Unless you give up and comply, that is. Any honest debate of cycling infrastructure should at least acknowledge that regular roads are infrastructure and segregation is not the only viable approach to infrastructure design for cycling. If someone tries to sell you bike paths while avoiding a more comprehensive discussion of infrastructure design for cyclists, just walk ride away.

 

 

Querdenken statt Angst: Unser Rhetorik- und Folklore-GAU

Waren wir die Avantgarde, wir, die Hacker, die Nerds, die Netzaktivisten, die Piraten?

Zurzeit gehen Menschen auf die Straße, die sich Querdenker nennen und für besonders klug halten, die hinter jeder Gesichtsmaske den autoritären Staat lauern sehen, Politikern die Kompetenz absprechen, Verschwörungstheorien nicht besonders kritisch gegenüberstehen und die Bill Gates für eine Inkarnation des Satans halten. Woher haben sie das nur? Ist das Internet schuld mit seinen kommerziellen Plattformen, werden sie von fiesen Nazis aufgehetzt oder sind sie einfach blöd?

Einige ihrer Methoden könnten sie von uns haben. Von uns, die wir uns als Nerds immer für etwas schlauer als alle anderen halten, ganz besonders als alle Politiker. Uns, die wir mehr zu durchschauen glauben als andere, gerne auch mal in Form einer kleinen Verschwörungstheorie. Uns, die wir als digitalcouragierte Aktivisten hinter jeder Videokamera, jedem Polizeigesetz und jeder Urheberrechtsreform den autoritären Staat lauern sehen und unter dem Motto „Freiheit statt Angst“ gegen neue Einsatzmittel der Exekutive protestieren als stünden Recht und Demokratie kurz vor der Abschaffung. Uns, die bei jedem Datenschutzproblem und jedem staatlichen Digitalprojekt gleich von Grundrechten reden. Uns, die wir als Digitalveganer Sicherheitsmaßnahmen empfehlen als seien Geheimdienste hinter jedem Einzelnen persönlich her. Uns, die wir Microsoft und Bill Gates schon seit Jahrzehnten doof finden und uns lieber mit Linux quälen, Hauptsache anders. Von uns, die wir eines Tages dem Größenwahn verfielen und eine inzwischen beinahe wieder verschwundene Partei gründeten, um in der ganz großen Politik mitzumischen.

Querdenker wollen wir sein, Freiheitskämpfer, Topchecker und so wichtig, dass man uns verfolgt. Zu unserer Selbstbestätigung haben wir eine reichhaltige rhetorische Folklore geschaffen und gepflegt, aber selten hinterfragt. Nun schallt uns ein Echo dieser Folklore von der Straße entgegen, doch sind es nicht wir, die dort stehen, sondern andere, mit seltsamen Ideen und fragwürdigen Zielen. Wir selbst sind stolz darauf, für den Fall der Fälle keine Datenspuren zu hinterlassen, doch haben wir kollektiv ein Waffenarsenal der Öffentlichkeitsarbeit entwickelt und getreu dem Open-Source-Gedanken allen zur Verfügung gestellt. In dessen Mittelpunkt steht die Selbstinszenierung als Freiheitskämpfer, obwohl viele von uns nie etwas anderes erlebt haben als einen demokratischen Rechtsstaat und selbst die DDR zu den gemäßigten Vertretern der weniger demokratischen Staaten zählte, was sich nicht zuletzt in der Gewaltlosigkeit ihres Ablebens äußerte. Nun beobachten wir entsetzt, wie sich andere unseres Arsenals bedienen und ihrerseits ohne sachliche Grundlage Freiheitskämpfer spielen.

 

PS (2020-05-19): Stefan Laurin von den Ruhrbaronen ordnet die Proteste in den größeren Kontext unserer seit einem halben Jahrhundert sehr skeptischen Sicht auf Technik insgesamt ein: Hygiene-Demos: Querfront gegen den Westen, Technik und Aufklärung. Das ist in etwa dieselbe Perspektive, aus der ich Macken und Meme des Datenschutzes zu erklären versuche.

PS (2020-05-24): Der Deutschlandfunk liefert noch ein passendes Foto. Darauf zu sehen ist ein Demonstrant, der ein Schild mit der Aufschrift „COVID-1984“ trägt. Unterdessen redet Fefe gleich von „anhaltsloser Massenüberwachung“, nur weil Lieblingsfeind Wolfgang „Stasi 2.0“ Schäuble das Elend um die Corona-App kritisiert.

PS (2020-05-29): Die Guten™ unter den Verschwörungstheoretikern sind wieder ganz in ihrem Element: „Amazon greift nach Grundrechten“, zitiert die Taz einen Aktivisten, der den Cloudkonzern Amazon aus Berlin herausmobben möchte.

PS (2020-08-30): Ein Bericht der NZZ aus Berlin passt ins Bild.

Dezentrale Engstirnigkeit, zentraler Realismus

Auch in der automatischen Kontaktverfolgung per Smartphone-App traut sich Großbritannien, einen eigenen Weg zu gehen. Dort beginnt gerade der Testbetrieb einer Corona-App, der eine zentrale Datenverarbeitung zugrunde liegt. Die Briten verfolgen damit in jeder Hinsicht das Gegenteil des deutschen Ansatzes: Während dort eine zentrale Lösung weitgehend einsatzreif ist, hat man hier gerade dezentral von vorne angefangen, nachdem das bereits laufende Projekt PEPP-PT mit seiner Entscheidung gegen eine streng dezentralisierte Lösung politisch in Ungnade gefallen war. Die hierzulande mitschwingenden paneuropäischen Großmachtphantasien fanden auf der Insel naturgemäß ohnehin keinen Raum.

Die Gretchenfrage: „Zentral oder dezentral?“ entstand als Artefakt einer öffentlichen Debatte, weil sie zu Positionierungen einlud, ohne Sachkenntnis zu verlangen. Den Anschein überragender Bedeutung erlangte sie zum einen durch die im Nachhinein ungeschickt wirkende Ankündigung von PEPP-PT, den technischen Datenschutz in den Mittelpunkt zu rücken, zum anderen durch das eigennützige Handeln einiger Beteiligter. Während PEPP-PT im Laufe seiner Entwicklungsarbeit offenbar das Problem und den Lösungsraum besser verstand und sich vom dezentralen Extrem verabschiedete, spitzten dreihundert Professoren die ohnehin zu enge Fokussierung auf technischen Datenschutz noch zu. Als ginge es darum, unter idealisierten Voraussetzungen zwischen zwei einander widersprechenden Hypothesen die richtigere auszuwählen, konstruierten sie ein Entweder-Oder zwischen zentral und dezentral und gaben sogleich ohne Experiment die Antwort, selbstverständlich müsse es dezentral sein. Unterdessen sprangen Apple und Google auf den bereits abfahrenden Zug auf und präsentieren sich seither so geschickt als Retter der Privatsphäre, dass sogar Margrethe Vestager darauf hereinfällt und galant darüber hinwegsieht, wie das Duopol seine Plattform-Macht ausspielt.

Welche Erfolgsaussichten die Kontaktverfolgung per Smartphone und Bluetooth insgesamt hat, bleibt unabhängig von der technischen Architektur vorerst unklar. Setzt man diese Idee jedoch um, und sei es nur als Experiment, sollte man sich dabei um die bestmögliche Lösung bemühen. Was eine Lösung gut oder weniger gut macht, bestimmt dabei nicht ein zentrales technisches Detail, sondern der reale Nutzen im Anwendungskontext.

Für zentrale Elemente wie in Großbritannien spricht einiges. Erstens ist eine komplett dezentrale Architektur ohnehin nicht realistisch. Zum einen braucht man selbst bei Datenspeicherung auf den Endgeräten irgendeine zentrale Instanz zur Nachrichtenverteilung und Koordination, wenn man zugleich jede Datensammlung anonym halten und nicht Adressen wie zum Beispiel Telefonnummer für die spätere Benachrichtigung speichern möchte. Zum anderen gehören zu den verwendeten Plattformen unvermeidlich zentrale Instanzen wie Appstores und Telemetrie. Ausgehend von einem Aluhut-Bedrohungsmodell können sich Nutzerinnen und Nutzer in solch einer Umgebung sowieso auf keine Eigenschaft einer App verlassen, denn jederzeit könnte eine neue Version automatisch installiert werden, die alles ganz anders macht.

Zweitens gehören Feedbackmechanismen heute zum Stand der Technik. Seit Software nicht mehr auf Datenträgern in Pappschachteln, sondern online vertrieben und auf vernetzten Geräten benutzt wird, haben Entwickler die Möglichkeit, Telemetriedaten aus der Software selbst sowie Nutzerfeedback unmittelbar zu erhalten und auszuwerten. Das erleichtert und beschleunigt die Fehleerkennung und -behebung sowie die Weiterentwicklung enorm und erlaubt sogar interaktive Experimente mit realen Benutzerinnen und Benutzern. Beim Einsatz einer noch wenig getesteten Technologie sind Feedbackmechanismen besonders wichtig, denn sehr wahrscheinlich erlebt man Überraschungen und muss unerwartete Probleme lösen. Eine letztlich experimentelle App im Zuge der Pandemiebekämpfung einfach herauszugeben und dann sich selbst zu überlassen, wäre grob fahrlässig, zumal über das neue Coronavirus noch zu wenig bekannt ist.

Drittens kollidieren Anforderungen aus dem Anwendungskontext mit extremistischen Datenschutzkonzepten. Die Kontaktverfolgung ist kein belang- und folgenloses Smartphonespiel wie Pokémon Go, sondern sie soll reale Konsequenzen haben. Beim herkömmlichen Vorgehen gehören zu diesen Konsequenzen Quarantäneanordnungen der Gesundheitsämter. Solche Anordnungen benötigen einen Adressaten und im Rechtsstaat müssen sie auch begründet sein, um ggf. einer gerichtlichen Prüfung standzuhalten. Im Sozialstaat ist darüber hinaus geregelt, wer welchen Teil der Lasten trägt und wie beispielsweise eine quarantänebedingte Arbeitsunfähigkeit abgefedert wird. Die Verfechter eines dezentral-anonymen Ansatzes haben bis heute keine Vorschläge unterbreitet, wie das eine oder das andere funktionieren soll. Weder können die Gesundheitsämter damit irgend etwas durchsetzen, noch erhalten Betroffene eine ausreichende Begründung oder gar eine Bescheinigung zur Vorlage bei Vertragspartnern und öffentlichen Stellen.

Viertens drängen sich Nebenfunktionen einer für den Masseneinsatz bestimmten App geradezu auf. Eine offensichtliche ist die Erfassung statistischer Daten, um den Gesundheitsbehörden ein klareres Bild des Pandemieverlaufs zu vermitteln. Dazu muss man doch wieder Daten an eine zentrale Stelle übermitteln und es kann gut sein, dass sich dann aus einem integrierten Ansatz schnell Synergieeffekte ergeben.

In Großbritannien hat man sich offenbar mit den Anforderungen der Anwendung auseinandergesetzt, während Deutschland kontextarm über Technik stritt. Dort möchte man zum Beispiel besonders gute Virenverteiler anonym ausfindig machen und darauf Risikoeinschätzungen stützen. Ob das funktionieren kann, wird sich zeigen; um eine an der Oberfläche nicht offensichtliche Idee handelt es sich allemal. Ein zentralerer Ansatz ist auch nicht automatisch ein Zeichen für Nachlässigkeit oder Primitivität der Implementierung, er kann für alle realistischen Belange einen gleichermaßen effektiven Datenschutz gewähren. Nur eines haben die Briten ebenso versäumt wie die Bundesregierung: die entwickelte Technik rechtlich und organisatorisch mit vertrauensbildenden Maßnahmen zu flankieren. Ich wünsche ihnen dennoch viel Erfolg. Schneller fertig werden sie schon mal, wie auch einige andere Länder, die dem dezentralen Extremismus eine Absage erteilten.

Wearing Your Mask, Chernobyl-Style

More and more people are wearing masks as personal protective equipment to lower the risk of coronavirus infection. Together with the growing of lockdown hair and beards while hairdresser and barber shops remain closed, this trend poses a bit of a fashion challenge. How can you wear a mask and still look great? In case you need some inspiration, the Chernobyl liquidators in the following video demonstrate smart ways of wearing a mask around the smoldering ruins of a nuclear reactor.

 

Privacy by Design or Poor Requirements Engineering?

Privacy – or security or any other desirable, ethereal property – by design sounds like a great thing to do. Alas, design is complicated and hard to guide or control as a process. One common misunderstanding has become obvious in current efforts to develop and deploy contact tracing technology contributing to epidemic control. Some of these efforts such as DP^3T, TCN, or Apple’s & Google’s announcement promote privacy to the top of their list of objectives and requirements. This is wrong. It would be appropriate in an R&D project developing experimental technology, but contact tracing is an actual, real-world application and must fulfill real-world requirements. Premature optimization for technical privacy protection does not help its cause.

First and foremost, an application needs to support a basic set of use cases and provide the necessary functions in such a way that the overall approach makes sense as a solution of the given problem(s). For contact tracing, essential use cases include:

  • contact identification,
  • contact listing, and
  • contact follow-up.

In addition, any large-scale application of contract tracing needs to support:

  • safeguards against abuse, and
  • monitoring and governance.

Each use case entails requirements. Contact identification must be sufficiently reliable and comprehensive; it must also take place quickly after an infection has been detected. Contact listing needs some form of risk assessment, a method to notify contacts, and a way to justify mandatory quarantine requests. Contact follow-up needs some idea how and when to interact with listed contacts. Underlying the whole design must be some conception of which contacts matter, what an identified contact implies, what to do with or require from identified contact persons, and what to achieve through contact tracing. There needs to be some definition of success and failure for the system and individual cases, and some monitoring of how well the system operates. One also has to think about possible abuses and misuses of the system such as evasion, manipulation, or exploitation, and find ways to prevent them or to deal with them when they occur.

Such questions are to be answered in the high-level design of a contact tracing system. They can and should be pondered at the level of paper prototypes, forcing developers to get specific but allowing quick modification and user testing. Technology has to be considered at this point primarily as a constraint: What is realistically possible or available and would the design be feasible to implement? However, some fundamental design decisions have to be made at this level after evaluating alternatives, for example, which parts of the system to automate and which ones to leave to humans, or which technologies, platforms, and devices to consider and use.

Like any design process, this high-level system design may take any number of iterations before converging toward something that might work when implemented. New questions will likely come up in the process. If, for example, the system is to leave tracing to humans, how much time can they spend per case, how many of them will be needed, how will they work, and which types of data and support would really help them?

Secondary requirements like performance or privacy can and should already be considered at this stage. Privacy by design means just that, to consider privacy protection as dimensions of the design spaces from the beginning on. However, privacy is a dependent design dimension and like all other requirements it is subject to trade-offs. Dependent means that any design decision can affect the privacy properties of a system. One cannot delegate privacy to a system component or function that would take care of it comprehensively regardless of the design of any other aspect of the system. Trade-offs occur when once has to choose between design alternatives; each option will likely have some advantages over the others but also some disadvantages, so that one has to compromise and keep a balance.

Misunderstanding privacy by design as privacy technology über alles, demonstrated by current proposals for privacy-preserving contact tracing, is a recipe for disaster. Starting with perfect technical privacy protection as the primary requirement constitutes a premature optimization that de-prioritizes all other requirements and design dimensions, delays important design decisions while arbitrarily constraining them without impact assessment, and prevents well-considered trade-offs from being made. The most likely result is a system that performs well at most in the privacy dimension, reflecting the priorities of its designers.

As a symptom, none of the proposals for privacy-preserving contact tracing has yet answered question like the following: How does it assure the reliability of the data it collects or produces? Which failure modes and error rates does it produce? How is the system to be monitored for problems and abuses? In which institutional framework is it designed to operate? How does it distribute responsibilities between involved parties? How are outputs of the system to be interpreted and used in the real world, which consequences should they have and which ones are not desirable? How can its operation become transparent for its users? Should participation be mandatory or voluntary and how can the design be optimized for either case? If participation is mandatory, how would this be enforced, how can the system be made universally accessible for everyone, and how may people evade it? If voluntary, which incentives does the system create and which features let users trust or distrust the system? Such questions need to be discussed and addressed long before the technical minutiae of data protection.

Placing technical privacy protection in the center of attention can make sense in a research project, where one develops new technology to evaluate its properties and capabilities. The stakes are low in such a project, where the results are prototypes and research papers. Developing a real-world system, especially one to be used at the intended scale of contact tracing apps, requires a broader perspective and comprehensive requirements analysis.


P.S. (2020-04-18): Government Digital Services of Singapore with their TraceTogether app apparently got their requirements analysis and design process right:

One thing that sets TraceTogether apart from most private efforts to build a Bluetooth contact tracer, is that we have been working closely with the public health authorities from day 1. (…) The team has shadowed actual real-life contact tracers in order to empathise with their challenges.

P.S. (2020-04-19): The closest to a requirements document I have seen so far is this: Mobile applications to support contact tracing in the EU’s fight against COVID-19,  Common EU Toolbox for Member States (via).

P.S. (2020-04-22): The Ada Lovelace Institute published a quick evidence review report titled: Exit through the App Store? A rapid evidence review on the technical considerations and societal implications of using technology to transition from the COVID-19 crisis, which makes a number of reasonable recommendations.

 

Digitaler Veganismus

Kelbers wohlfeile Datenschutztipps an die falsche Adresse sehe ich als Symptom eines allgemeineren Trends. Nicht nur suchen sich amtliche Datenschützer mit den Bürgerinnen und Bürgern die falsche Zielgruppe, sie verbreiten dabei auch gerne fragwürdige Verhaltensmaßregeln, die zu ignorieren meist sehr vernünftig scheint. Ich nenne diese Maßregeln digitalen Veganismus, weil sie willkürlich sind, nur eine ideologische Begründung haben und sie den Alltag erschweren, ohne nennenswerten Nutzen zu stiften.

Veganer können nicht einfach zum Bäcker gehen und ein Brot kaufen, sondern müssen dort erst die Zutatenliste studieren, um herauszufinden, ob nicht jemand einen Schluck Milch oder einen Löffel Butter oder eine unglückliche Küchenschabe in den Teig gerührt hat. Glücklich wird, wer sich dabei einen Distinktionsgewinn einreden kann; die meisten Menschen hingegen kaufen einfach das Brot, das ihnen schmeckt und sind damit zufrieden. Als individuell gewählte Lebensweise ist das eine wie das andere völlig in Ordnung. Öffentliche Stellen, die den Veganismus empfählen, gibt es meines Wissens nicht.

Im Datenschutz hingegen geben Aufsichtsbehörden, Universitäten, Aktivist*innen und andere nur zu gerne Tipps für das, was sie gerne „digitale Selbstverteidigung“ nennen. Im Wesentlichen laufen diese Tipps meist darauf hinaus, sich allerorten von „Datenkraken“ verfolgt zu fühlen und Zuflucht in einem digitalen Aluhut in Form originellen, das heißt von den Gebräuchen des Mainstreams abweichenden Verhaltensweisen zu suchen. Das Angebot Data Kids der Berliner Datenschutzbeauftragten zum Beispiel warnt vor „diebi­schen dreis­ten Daten­wolken“ und „Krakina Kompli­zia“ und empfiehlt dagegen das Ritual, eine Abdeckung für eine Kamera zu bauen als sei der meist nur eingebildete Kameramann im Laptop ein relevantes Problem. Wie man dagegen rechtzeitig bemerkt, dass ein Kammergericht in ihrem Zuständigkeitsbereich in Sachen Sicherheit und Datenschutz nicht einmal näherungsweise auf der Höhe der Zeit ist, weiß die Beauftragte anscheinend  nicht, sonst hätte sie es ja bemerkt. Das ist freilich auch etwas anspruchsvoller als Kindern das Märchen von Krakina Komplizia und den sieben Clouds zu erzählen.

An die ewigen Warnungen offizieller Datenschützer, WhatsApp sei haram sei, weil es Adressbücher aus einer Cloud in eine andere hochlade, haben wir uns längst gewöhnt. Kein Mensch schert sich darum; WhatsApp ist so alltäglich geworden wie das Telefon, weil es umstandslos und ohne Schmerzen (naja) funktioniert. Nur wo die Datenschützer Macht haben, ist WhatsApp abweichend vom Normalen verboten – man möge bitteschön Alternativen nutzen.

Auf diesem Niveau bewegen sich die meisten Empfehlungen aus dem Reich des digitalen Veganismus: Andere Messenger als die meisten Menschen möge man benutzen, einen anderen Browser, ein anderes Betriebssystem, andere Suchmaschinen und andere Landkarten. Seine E-Mail möge man verschlüsseln, die Cloud links liegenlassen und bei Bedarf besser eine eigene betreiben als hätte man alle Zeit der Welt und nichts Wichtigeres zu tun. Und wer einen Termin mit anderen abstimmen wolle, solle nicht irgendeinen Terminplaner benutzen, sondern bitteschön Nuudle, am besten mit dem Tor-Browser über das Tor-Netz (im Volksmund Darknet genannt).

Einen objektiven Nutzen hat diese Kasteiung nicht, doch kann man sich selbst dafür belohnen, indem man sich einredet, zu den Erleuchteten zu gehören und im Gegensatz zur vermeintlich blöden Masse der „Sheeple“ das Richtige zu tun. Das ist zwar ziemlich arrogant, aber wer diesen Teil im Stillen abwickelt und nach außen nur seine oberflächlich als hilfreich und wohlmeinend verpackten Ratschläge zeigt, bekommt wenig Gegenwind. Wenig Erfolg auch, denn die meisten Menschen fragen sich hier ebenso wie im Angesicht eines Zutatenlisten wälzenden Veganers, was das denn solle und bringe, warum sie sich so etwas antun sollten. Erfolg ist jedoch gar nicht gewollt, denn er würde alles zerstören: Begänne eine Mehrheit damit, den Ratschlägen zu folgen, wäre das Wohlgefühl der Ratgeber dahin.

PS (2020-04-27): Die Schattenseiten der gerne als gleichwertig hingestellten Alternativen werden im Artikel Endlich glückliche Freunde bei Golem.de deutlich. Dort geht es um den Messenger Signal, der WhatsApp im Funktionsumfang merklich hinterherläuft. Darin findet sich zudem ein Verweis auf den älteren Artikel Wie ich die Digitalisierung meiner Familie verpasste, dessen Autor beschreibt, wie er sich durch WhatsApp-Verweigerung aus der Kommunikation seiner Familie ausschloss.

PS (2020-07-06): Selbst wer keine bunten Bildchen braucht, wird mit Signal nicht unbedingt glücklich.

 

Crew Resource Management

In this talk, Nickolas Means tells the story of United Airlines Flight 232, which on July 19, 1989 crash-landed in Sioux City after suffering a mid-air engine explosion and consequent loss of hydraulics. Although the crash killed more than a third of the passengers and crew, the fact that the aircraft made it to the airport at all and more than half of the occupants survived is widely attributed to extremely good airmanship and collaboration in the cockpit. Airlines teach their pilots how to work and cooperate effectively under stress and United 232 continues to be cited as a success story for this type of training.

Schnapsidee: Falschfahrerwarnung als Werbegag in der Radio-App

Der Radiosender Antenne Bayern hat sich von Bosch einen Werbegag für seine App bauen lassen und mir stehen die Haare zu Berge. Es handelt sich um eine neue Funktion in der App des Senders, eine Falschfahrerwarnung. Das noble Ziel: „Keine Verkehrstoten mehr durch Falschfahrer“, doch der Weg erscheint fragwürdig.

Die Warnfunktion besteht offenbar aus zwei Teilen. Der eine erkennt Falschfahrten daran, dass sich eine aktive Instanz der App in der falschen Richtung durch eine Autobahnauffahrt bewegt, und meldet dieses Ereignis an einen Clouddienst. Der andere empfängt Warnmeldungen und gibt sie aus. Nach eigenen Angaben hat man dabei auch an den Datenschutz gedacht. Technisch ist das so weit plausibel und den Datenschutz glaube ich einfach mal ohne Prüfung. Wenig Sinn ergibt jedoch das Konzept insgesamt, wenn als übliche Anforderungen an einen Sicherheitsmechanismus erstens Verlässlichkeit verlangt und zweitens die Anpassung der Technik an den Menschen.

Die Verlässlichkeit scheitert daran, dass sie Warnfunktion in einer Radio-App steckt. Erkannt werden nur Falschfahrer, welche die App benutzen und die Funktion aktiviert haben, gewarnt ebenso nur Nutzer der App mit aktivierter Warnfunktion. Laut den Mediadaten für Antenne Bayern hat die App im Monat knapp 300.000 „Unique User“. Das entspricht etwa der Einwohnerzahl von Bayerns drittgrößter Stadt Augsburg oder weniger als 2,5% der bayerischen Bevölkerung. Gehört ein Geisterfahrer nicht zu dieser Minderheit, warnt auch niemand vor ihm. Nach Angaben von Bosch steckt die Funktion noch in einigen anderen Apps, aber das ändert nichts am grundlegenden Problem, dass Entertainment-Apps kein guter Träger für Sicherheitsfunktionen sind.

Selbst wenn die Warnfunktion auf jedem bayerischen Mobiltelefon aktiv wäre, übersähe sie immer noch ausgerechnet ortsunkundige Auswärtige sowie jeden, der das Telefon zu Hause ließe, dessen Akkuladung zur Neige ginge oder der im Funkloch geisterführe. Umgekehrt hätten Bayern auswärts wenig von der Warnfunktion, nähmen sie per App zwar ihren Lieblingssender mit, begegneten jedoch in der Fremde falschfahrenden Saupreißn ohne App. Man müsste schon gewaltiges Glück in einem nicht sehr wahrscheinlichen Unglück haben, um aus der App überhaupt jemals eine gerechtfertigte und spezifische Warnung zu erhalten.

Nicht verlässlich scheint die App auch im Hinblick auf die Abdeckung relevanter Gefahrensituationen. Geisterfahrer im engeren Sinne können überall auftreten und zur Gefahr werden, wo Straßen getrennte Richtungsfahrbahnen haben und hohe Geschwindigkeiten gefahren werden. Laut Beschreibung erfasst die App nur Autobahnen und lässt damit Bundesstraßen und andere autobahnähnliche Schnellstraßen unberücksichtigt. Darüber hinaus würde mich interessieren, wie das System mit ausgedehnten und unkonventionellen Falschfahrten umgeht. Bei mir vor der Haustür schaffte ein betrunkener Lkw-Fahrer vor einem Jahr eine Geisterfahrt von einem Rastplatz über 21 Kilometer und ein Autobahnkreuz, bevor er gestoppt wurde. Wer nur Auffahrten überwacht, müsste sehr großflächig vor der Gefahr warnen, um alle Betroffenen erreichen zu können.

Unklar bleibt aus der kurzen Erläuterung, wie hoch das Risiko von Fehlwarnungen ist. Merkt es die App oder die Cloud dahinter, wenn etwa ein Bauarbeiter Antenne Bayern hört und sich bei der Arbeit falsch herum durch eine Autobahnabfahrt bewegt? Oder ein Autofahrer, der eine Panne hat und mit dem Händi in der Tasche ordnungsgemäß das Warndreieck aufstellt? Und wie steht es um Manipulationsmöglichkeiten? Was passiert, wenn jemand mit aktiver App in der falschen Richtung neben der Abfahrt herläuft? Wie ist der Clouddienst gegen das Einspeisen falscher Daten aus anderen Quellen als der echten App geschützt?

Daneben stellen sich bei einer solchen Funktion Fragen der benutzergerechten Gestaltung. Falls die App verlässlich warnen könnte, so müsste sie den betroffenen Fahrern – dem Geisterfahrer sowie jenen, denen er entgegenkommt – eine wirksame Warnung übermitteln. Da Geisterfahrten selten sind, wird es sich in der Regel um die erste Warnung dieser Art handeln, die der Fahrer erhält, und dann bleibt keine Zeit zum Nachdenken.

Unter diesen Umständen kommt eigentlich nur eine akustische Warnung mit einer direkten Handlungsanweisung in Frage. Vorbilder dafür liefert jedes moderne Flugzeugcockpit in unmittelbaren Gefahrensituationen. So warnt das Ground Proximity Warning System (GPWS) vor bevorstehendem Bodenkontakt und das Traffic Alert and Collision Avoidance System (TCAS) vor Zusammenstößen mit anderen Flugzeugen. Beide Systeme sagen den Piloten in knappen Worten, was sie tun sollen, denn für alles andere ist keine Zeit. Im Falle des TCAS wird die Anweisung zudem mit dem anderen Flugzeug koordiniert, so dass die Piloten des einen Flugzeugs zum Steigen und die anderen zum Sinken aufgefordert werden. Piloten werden zudem darauf trainiert, mit diesen Warnungen richtig umzugehen. Demgegenüber lenkt eine App auf dem Händi mit einer ungewohnten Warnung eher ab als dass sie hülfe und auf eine situationsabhängige Ausweichanweisung hoffen Betroffene wohl vergebens.

Im Auto und erst recht in einer Radio-App muss man sich außerdem noch Gedanken darüber machen, wie man wirklich wichtige Informationen aus dem Geplapper der Radiomoderatoren, des Navigationsgeräts oder des E-Mail-und-Kurznachrichtenvorlesers heraushebt. Vielleicht ist der Sprachkanal dann doch keine gute Wahl und es wäre besser, den entgegenkommenden Geisterfahrer im Head-Up-Display mit einem größer werdenden roten Punkt zu markieren.

In der vorliegenden Form ist die Falschfahrerwarnung in der Radio-App nichts weiter als ein Werbegag und daran änderte sich wenig, machten möglichst viele Menschen in Bayern mit, wie es sich der Sender wünscht. Eine sinnvolle Warnfunktion müsste Falschfahrten überall verlässlich, aber ohne Fehlarme und Manipulationsmöglichkeiten erkennen und in Gefahrensituationen verbal spezifische, umsetzbare Anweisungen zur Gefahrenabwehr geben. Dazu müsste sie zwingend in die Fahrzeugelektronik integriert sein – Hersteller Bosch sieht dies anscheinend als Alternative zum Smartphone vor – und zur Detektion von Falschfahrten auf absehbare Zeit zusätzlich auf Sensoren außerhalb der Fahrzeuge zurückgreifen. Wäre man darauf nicht angewiesen, könnte man gleich das Entwurfsziel ändern und überlegen, wie man Falschfahrer rechtzeitig stoppt, statt vor ihnen zu warnen.

Mythos personalisierte Werbung

“There is a rational explanation for everything.
There is also an irrational one.”
Schwa World Operations Manual

Eines der Gebiete, die Laien zur Algorithmenschelte einladen, ist die automatisierte Werbung. Wenn wir – ohne Adblocker – Websites besuchen, wählen geheimnisvolle Algorithmen aus, welche Werbung wir zu sehen bekommen, gespeist von Daten aus Trackern, die uns im Internet auf Klick und Reload verfolgen. Wahre Wunderdinge erzählt man sich von diesen Algorithmen: Sie kennten uns besser als wir selbst, wüssten um unsere Interessen und könnten unsere Kaufentscheidungen mit personalisierter Werbung manipulieren. Die Realität ist oft viel banaler. So geisterte vor Jahren eine Geschichte durchs Netz und die Medien vom Supermarkt mit dem passenden Namen Target, der einer Kundin mutmaßlich aufgrund der Daten aus einem Rabattprogramm à la Payback Werbung für Babysachen nach Hause schickte, bevor sie selbst wusste, dass sie tatsächlich schwanger war. Solche Ereignisse wiederholen sich bis heute, doch wenn die Algorithmen falsch liegen, entpuppt sich das ganze Wunder zum Beispiel als naheliegender Schluss aus den weiterverkauften Daten eines Zyklustrackers nach versäumter Dateneingabe. Auch im ersten Fall dürfte die Erklärung harmlos sein, handelt es sich doch um einen Einzelfall und wir wissen nicht, bei wie vielen Empfängerinnen Target falsch lag.

Das Modell vom algorithmisch durchleuchteten und manipulierten Konsumenten führt vielfach in die Irre. Es unterstellt „den Algorithmen“ Fähigkeiten, die sie so nicht haben, erklärt unerwartetes Verhalten fälschlich als Irrtümer einer Intelligenz und verengt die Vorstellung von Werbung auf personalisierten Druckverkauf von Consumer-Produkten. Aus dieser Perspektive erscheinen Beobachtungen grotesk, wie sie der Journalist Hendrik Wieduwilt machte und belustigt teilte:

Belustigter Tweet über Twitter-Werbung für militärische Transporthubschrauber
Psst, brauchst du Transporthubschrauber? Gute Stoff, NATO nimmt auch!

Was auf den ersten Blick und mit dem Modell der persönlich zugeschnittenen Werbung im Hinterkopf wie eine erheiternde Fehlfunktion wirkt, lässt sich in Wirklichkeit leicht erklären. Die Kaufentscheidung, um die es geht, fällt im Verteidigungsministerium. Seit Anfang des Jahres läuft das Beschaffungsverfahren für einen neuen Transporthubschrauber für die Bundeswehr. Einer der beiden Bieter* ist Boeing mit dem gezeigten Modell Chinook.

Ein wie auch immer gearteter direkter Einfluss dieser Werbung auf die Beschaffungsentscheidung der Bundeswehr ist nicht zu erwarten. Man investiert nicht mehrere Jahre in die Vorbereitung und Abwicklung eines Beschaffungsverfahrens, nur um am Ende die Ministerin nach Bauchgefühl und der am häufigsten gesehenen Anzeige entscheiden zu lassen. Dennoch ergibt die Werbung Sinn, wenn man sie Teil einer Imagekampagne betrachtet, mit der die öffentliche Meinung zugunsten des eigenen Angebots gepflegt werden soll. Welche Wirkung man davon am Ende erwarten kann, sei dahingestellt; schaden wird es nicht, der Öffentlichkeit bekannt zu sein.

Besonders gut zielen muss man mit einer solchen Kampagne nicht, sie soll ja viele erreichen. Eine Portion Targeting wird dennoch im Spiel sein und das versteht man am besten, wenn man es als Ausschluss offensichtlich unsinniger Versuche auffasst.

Henry Ford wird das in verschiedenen Fassungen kursierende Zitat zugeschrieben: „Ich weiß, die Hälfte meiner Werbung ist hinausgeschmissenes Geld, ich weiß nur nicht welche Hälfte.“ Die Chance, mit Werbung bei einem zufällig ausgewählten Individuum eine Wirkung zu erzielen, ist gering, meist viel geringer als fünfzig Prozent. Es gibt kein Geheimwissen, mit dem sich dies grundlegend ändern ließe. Denkt nur daran, wie viel Werbung Ihr Tag für Tag ignoriert, für wie viele Produkte Ihr Werbung erhaltet, die Ihr nie kaufen würdet.

Dennoch lassen sich die Erfolgsquoten einer Kampagne pro Kontakt und damit das Kosten-Nutzen-Verhältnis optimieren, indem man offensichtlich chancenlose Versuche gleich ganz bleiben lässt und die dafür sonst aufzuwendenden Kosten einspart. Im vorliegenden Fall zielt die Kampagne auf Deutschland. Man kann also schon mal auf alle Versuche verzichten, bei denen die Empfänger keinen Bezug zu Deutschland haben. Das ließe sich noch näherungsweise durch die Auswahl der Medien und sonstigen Werbeumfelder erreichen, wie man es früher getan hat und in Printmedien noch tut. Im Internet mit seinen zentralen Werbeplattformen ist man jedoch weniger eingeschränkt und so ließe sich diese Zielgruppenbeschränkung auch dann noch umsetzen, wenn jemand Slashdot oder El País oder eben Twitter besucht.

Je nach Ausrichtung der Kampagne könnte eine weitere Einschränkung sinnvoll sein, nämlich auf relevante Entscheider und Multiplikatoren, also ungefähr höhere Militärs und Verteidigungsbeamte sowie Journalisten und einflussreiche Blogger. Ob das hier der Fall ist, weiß ich nicht. Vielleicht bekommt auch jeder zurzeit Hubschrauberwerbung, ob Journalistin, Militär, Klempnerin oder Katzenbildblogger. Wer wahrscheinlich journalistisch tätig ist, kann Twitter wissen; ob es sich ohne weitere Verknüpfung aus Tracking-Daten herauslesen ließe, weiß ich nicht. Um hingegen jemanden halbwegs verlässlich als, sagen wir, Staatssekretär im BMVg einordnen zu können, wird man ihn de facto persönlich identifizieren oder sich auf seine Angaben verlassen müssen.

So fein müssen Zielgruppen freilich gar nicht immer abgegrenzt werden, auch wenn man zuweilen von Microtargeting liest. Brauchbare Einschränkungen beim Zielen auf Entscheidungsträger könnten Kriterien sein wie: „hat studiert und ist schon etwas älter“, oder „verfügt mutmaßlich über ein monatliches Einkommen von mehr als x-tausend Euro“. Wichtig ist nur, dass man halbwegs verlässlich möglichst große Zahlen derjenigen ausschließt, die man nicht erreichen möchte.

Das heißt nicht, dass die Werbewirtschaft nicht alle Daten sammeln würde, die sie kriegen kann, oder dass sie Hemmungen hätte, über jeden einzelnen von uns ein persönliches Dossier anzulegen. Doch die mächtigen  und geheimnisvollen Algorithmen, die uns durch unsere DSL-Anschlüsse gleichsam direkt ins Gehirn schauen und unser Verhalten vorhersagen könnten, diese Algorithmen gibt es nicht.


*) Als einziger Konkurrent tritt der ebenfalls amerikanische Hersteller Sikorsky an und die Ausschreibung war wohl so formuliert, dass auch niemand sonst überhaupt die Bedingungen erfüllen konnte. Angesichts dessen frage ich mich, warum wir bei der Bundeswehr nicht so einen Souveränitätszirkus veranstalten wie für die Cloud, obwohl wir doch auf diesem Gebiet mit Airbus sogar über einen eigenen Kandidaten verfügen.

IT Security made in Germany

Das Berliner Kammergericht hat sich Emotet eingefangen, den „König der Schadsoftware” (BSI), und arbeitet seither im Notbetrieb. Wer den Schaden hat, braucht für den Spott nicht zu sorgen, und so melden sich auch aus diesem Anlass jene „Experten“ zu Wort, denen nichts besseres einfällt als den Opfern die Schuld in die Schuhe zu schieben und sie zu verhöhnen:

„Auch generell sollte man sich fragen, ob man eine E-Mail mit einem Anhang von dem angezeigten Absender erwartet – denn die Kennung könnte gefälscht sein. Im Zweifel sollte man den Absender anrufen und ihn fragen, ob die E-Mail wirklich von ihm kommt. Anhänge mit den Dateiendungen ‚.exe‘ oder ‚.zip‘ sollte man generell nicht öffnen, denn sie können noch viel leichter Viren und Trojaner enthalten.“

(Bastian Benrath @ FAZ.net:
Wie ein Trojaner das höchste Gericht Berlins lahmlegte)

Das ist eine Bankrotterklärung. In Wirklichkeit muss ein Computersystem, mit dem man E-Mail liest, in der Lage sein, mit den empfangenen Nachrichten umzugehen. Und zwar selbständig und ohne Nachhilfe seiner Nutzer, zumal wenn es sich dabei nicht um IT-Experten handelt, sondern um Richter und Justizangestellte.

So etwas ist kein Hexenwerk. Schon wer den Schritt in die Cloud geht und seine E-Mail konsequent zum Beispiel mit den Anwendungen von Google (GMail + Office Suite + Drive) bearbeitet, dürfte um Größenordnungen sicherer sein als Old-School-PC-Benutzer, die jeden Anhang herunterladen und lokal öffnen.

Doch die Cloud, zumal die ausländische aus Amerika, wo die Datenkraken hausen und nichts auf die deutsche Hochkultur von Datenschutz bis Algorithmenethik geben, die Cloud gilt als haram und ist zu meiden. Ehe man sich mit dem Teufel einlässt, opfert man lieber ein Kammergericht und hofft, so den Zorn der Götter zu besänftigen. Unsere Gesellschaft ist in der IT-Sicherheit so rückständig wie in allem anderen, was mit Informationstechnik zu tun hat.

Um Missverständnisse zu vermeiden: Das heißt nicht, dass man nur alle Daten zu Google tragen müsse und alles werde gut. Doch wir nehmen anscheinend nicht einmal mehr zur Kenntnis, dass sich die Welt in den letzten Jahrzehnten weitergedreht hat, manches Problem lösbar geworden ist und sich die wohlmeinenden Hinweise von einst – Sei vorsichtig im Internet! – als wenig hilfreich erwiesen haben.

Die Politik hat bereits einen Plan, wie wir die Weltspitze einholen wollen, ohne sie zu überholen: indem wir sie zerschlagen, ach was, zerschmettern! wie es einst die Armee unserer Großväter mit ihren Gegnern zu tun pflegte, bevor sie Schal und Mütze für kalte Tage zu Hause vergaß und ihrerseits zerschmettert wurde. Freilich nicht mit einem Heer, dessen Ausrüstung die Bedingungen des Versailler Vertrags besser denn je erfüllt, sondern mit neuen Schwertern des Wettbewerbsrechts, die im GWB-Digitalisierungsgesetz gerade geschmiedet werden.

Wäre doch gelacht, wenn wir uns nicht ein drittes Mal eine blutige Nase holen könnten. Wer weiß, vielleicht endet es diesmal damit, dass die Chinesen vorbeikommen und Harmonie exportieren.

Spezifischer Generalverdacht

Anlässlich eines Festivals, das am vergangenen Wochenende in der Nähe von Leipzig stattfand, befürchtete die Polizei Übergriffe durch rumänische Diebesbanden. Diese Erwartung stützt sich auf frühere Fälle organisierter Taschendiebstähle auf Festivals. Vor dem Festival sandte die Polizei Schreiben an Hotels in der Umgebung des Festivalorts und bat deren Betreiber, den Aufenthalt rumänischer Staatsangehöriger in ihren Hotels während des Festivals der Polizei zu melden. Nun werfen einige der Polizei Racial Profiling und Rassismus vor; das Vorgehen der Polizei stelle „alle rumänischen Staatsbürger*innen pauschal unter Verdacht“. Der zuständige Datenschutzbeauftragte hingegen sieht kein Problem.

Ist die Kritik berechtigt? Diese Frage beantwortet sich, wenn man das Geschehen kontextualisiert und realistische Alternativen beleuchtet.

Hotels sind verpflichtet, die Identitäten ihrer Gäste zu erfassen, diese Daten eine Zeitlang aufzubewahren und sie auf Verlangen den zuständigen Behörden zu übermitteln. Bemerkenswert sind deshalb einzig die Aufforderung zur aktiven Meldung sowie das damit verbundene Auswahlkriterium der Staatsangehörigkeit.

Eine Alternative zur aktiven Meldung durch die Hotels wäre die regelmäßige Kontrolle aller neu ausgefüllten Meldescheine durch die Polizei in kurzen Abständen. Sie wäre zum einen zuverlässiger – Hotelangestellte könnten den Anruf bei der Polizei schon mal vergessen – und zum anderen aufwändiger. Für die letztlich Betroffenen ändert sich dadurch wenig.

Alternativ zur Nennung des Auswahlkriteriums könnte die Polizei auch alle Meldedaten der betreffenden Hotels einsammeln und selbst filtern. Auch diese hätte auch die letztlich Betroffenen keine nennenswerten Änderungen zur Folge. Jedoch nähme die Transparenz – eines der Gewährleistungsziele des Datenschutzes – ab, denn nun behielte die Polizei für sich, wonach die warum suche.

Bleibt noch das Auswahlkriterium selbst. Tatsächlich handelt es sich um eine Kombination von Kriterien, nämlich (1) die rumänische Staatsangehörigkeit, (2) der Aufenthalt in einem Hotel (3) während und in der Nähe eines bestimmten Festivals. Diese Kriterienkombination ist weit spezifischer als die bloße Staatsangehörigkeit. Gleichwohl besteht bestenfalls ein loser Zusammenhang zwischen diesen Kriterien und den gesuchten Straftätern.

Jedoch gehören vage Suchkriterien unvermeidlich zur Polizeiarbeit. Wenn Zeugen einen flüchtigen Täter als „männlich, etwa 1,80 Meter groß und dunkel gekleidet“ beschreiben, wird die Polizei in der Umgebung des Tatorts nach Menschen Ausschau halten, auf die diese Beschreibung passt, und möglicherweise mehrere Unbeteiligte kontrollieren. Begrenzt werden die Auswirkungen auf die Betroffenen durch die begrenzten Ressourcen der Polizei – Großfahndungen nach Kleinkriminellen sind nicht praktikabel – sowie durch die rechtsstaatlichen Kontrollmechanismen, insbesondere die Rechtsweggarantie.

Spezifischere Auswahlkriterien sind auch nicht per se besser. Das der Fahndung anhand wenig spezifischer Kriterien entgegengesetzte Extrem ist die Fahndung nach konkret bezeichneten Personen anhand ihrer persönlichen Daten oder mit Hilfe von Fotos. Die Zahl der potenziell Betroffenen wäre wegen der spezifischen Auswahl geringer, dafür könnte die Polizei wenige Personen intensiv bearbeiten. Die Einbindung der Öffentlichkeit würde bestimmte identifizierbare Personen betreffen statt einer grob umrissene und im Alltag nur ausnahmsweise eindeutig zu identifizierenden Gruppe.

Grund zur Empörung gibt es also kaum, zumal die Kritiker auch keinen Vorschlag unterbreiten, wie die Polizei ihre Arbeit besser machen könnte.

PS (2019-09-23): Es bestehen Zweifel, ob der Anlass der Aktion überhapt bestand.

Massenhafte Individualmanipulation ist viel zu teuer

Der aktuelle Skandal um Facebook und Cambridge Analytica ist gar nicht so neu. Die Geschichte von der psychometrischen Wahlkampfbeeinflussung geistert schon länger durch die Medien. Ganz knapp lautet die Erzählung: Jemand verwendet Daten aus Quellen wie Facebook, um Persönlichkeitsprofile von Wählern zu erstellen, und nutzt diese Profile zur gezielten Beeinflussung.

Das ist eine wunderbare Gruselgeschichte, aber nicht besonders plausibel. Zweifel an der Effektivität wurden bereits vor einem Jahr laut und auch im Zuge der aktuellen Diskussion sieht so mancher mit Ahnung mehr Angeberei als reale Fähigkeiten. Zu recht, denn die Geschichte von der Manipulation durch Persönlichkeitsprofile passt besser zu naiven Vorstellungen als zum real existierenden Internet. Sie ergibt ökonomisch keinen Sinn.

Individuen wählen bereits ohne Nachhilfe aus den verfügbaren Informationen diejenigen aus, die zu ihrem Weltbild passen. Bestätigungsfehler nennt man das – wir richten unsere Überzeugungen nicht nach rational abgewogenen Argumenten, sondern wir legen uns zu unseren Überzeugungen die passenden Argumente zurecht und ignorieren, was ihnen widerspricht. Diesen Effekt könnt Ihr beispielsweise in jeder Diskussion über Fahrradhelme beobachten, wo nie jemand seine Ansichten ändert. Das ist natürlich in dieser Form etwas übertrieben, denn nicht alle Ansichten sind fest gefügt und etwas Spielraum für erfolgreiche Überzeugungsarbeit bleibt.

Wenn sich jeder zu seinem Weltbild die bestätigenden Inputs sucht und inkompatible Aussagen verwirft, gibt es keinen Grund, Kampagnen aufwändig an individuelle Ansichten und Vorlieben anzupassen. Man kann einfach alle mit allen Botschaften in allen möglichen Versionen zuschütten, selbst wenn man eigentlich nur auf ein paar Zweifler und Wankelmütige zielt. Nichts anderes geschieht in einem klassischen Wahlkampf oder auch bei herkömmlicher Werbung.

Dass man dennoch bei jeder Werbung, ob politisch oder nicht, eine Optimierung durch Targeting versucht, hat vor allem einen ökonomischen Hintergrund. Ein Werbekontakt, der von vornherein ohne Erfolgschance beibt, weil das Ziel am Inhalt kein Interesse hat, ist rausgeworfenes Geld. Man wird deshalb versuchen, absehbar überflüssige Werbekontakte zu vermeiden.

Bei einem Plakat am Straßenrand geht das nicht. In den herkömmlichen Medien kann man sich an der Demografie der Konsumentinnen orientieren und seine politische Werbung wahlweise in der FAZ, der taz, dem Neuen Deutschland oder dem Bayernkurier schalten und damit grob verschiedene Zielgruppen ansprechen. Außerhalb der Politik tun Zeitschriftenverlage nichts anderes als zielgruppenspezifische Werberahmenprogramme zu gestalten, etwa Computermagazine für Anfänger, Fortgeschrittene und Profis, Automagazine, Sportzeitschriften (getrennt nach Sportarten) und so weiter.

Absehbar überflüssig ist statistisch gesehen alle Werbung – die Reaktionsraten bleiben, Optimierung hin oder her, verschwindend gering. Das dürfte ähnlich auch für Beeinflussungsversuche gelten, die im Gewand von Nachrichten oder Gerüchten daherkommen (Test: Wer von Euch ist so leichtgläubig, dass er sich von plumpen Fake News beeinflussen ließe?). Weiter optimieren als mit einer groben Zielgruppensegmentierung lässt sich herkömmliche Werbung jedoch kaum, ohne dass der Aufwand zu groß würde.

Das Internet erlaubt in dieser Situation einen neuen Optimierungsansatz. Man kann hier mit geringen Kosten nahezu alle ansprechen – und aus den Reaktionen in Form von Klicks ersehen, wer für welche Ansprache anfällig ist. Cormac Herley hat sich unter dem Gesichtspunkt der IT-Sicherheit mit solchen Ansätzen beschäftigt und unter anderem dieses Paper veröffentlicht: „Why do Nigerian Scammers Say They are from Nigeria?“. Darin beschreibt er am Beispiel der Betrugsmasche der Nigeria Connection genau diesen interaktiven Ansatz. Die Betrüger streuen breit ihre absurde Geschichte von herrenlosen Millionen, die man außer Landes bringen wolle, und beschäftigen sich dann einzeln mit den wenigen Trotteln, die blöd genug sind, darauf einzugehen.

Der Schlüssel zum Erfolg ist hier die Interaktion. Man durchleuchtet nicht ganz viele Menschen, um dann auf die passende Weise mit ihnen zu reden, sondern man versucht es bei allen und lernt aus den Reaktionen.

Mit einer ähnlichen Methode kann man Werbung gezielter verbreiten und ihre Erfolgsraten – im Rahmen der bescheidenen Möglichkeiten – optimieren. Dazu misst man, welche Werbung in welchem Kontext (Website, Inhalt, Nutzergruppe, Uhrzeit usw.) wie oft angeklickt wird, und optimiert die Auswahlkriterien anhand dieser Daten. Werbenetze tun so etwas, optimieren aber nicht stur die Klickrate, sondern ihre daraus resultierenden Einnahmen.

Dabei müssen sie gar nicht besonders persönlich werden. Im Gegenteil, über einzelne Nutzer erfährt man auch aus all ihren Facebook-Daten zu wenig, um individuelle Voraussagen über so ungewisses Verhalten wie die Reaktion auf eine Werbung oder Nachricht vorhersagen zu können. Hingegen erfährt man aus der wiederholten Einblendung einer Anzeige in verschiedenen Situationen nach und nach, unter welchen Umständen diese Anzeige häufiger oder weniger häufig Reaktionen hervorruft.

Ökonomisch nicht plausibel ist demgegenüber die Vorstellung, man könne ohne weiteres zwei Elemente kombinieren: die Skalierbarkeit einer Massenansprache mit sehr geringen Kosten pro Einzelfall und die individuelle Beeinflussung nach ausgefeilten Kriterien. Unabhängig davon, welche Daten ein Laden wie Cambridge Analytica über Menschen hat, kann er nicht zu geringen Kosten Millionen individuell zugeschnittener Botschaften entwerfen. Andererseits braucht man die ganze schöne Psychometrie überhaupt nicht, wo man Reaktionen messen und sie statistisch mit vielfältigen Parametern in Beziehung setzen kann. Deswegen ist die Erzählung von der massenhaften individualisierten Manipulation ökonomischer Blödsinn.

Mit Sicherheit ins Desaster

Als wäre das Desaster um das besondere elektronische Anwaltspostfach (beA) nicht schon schlimm genug, kommen nun auch noch Aktivisten aus ihren Löchern und fordern eine „echte Ende-zu-Ende-Verschlüsselung“.

Kann diesen Cypherpunks mal jemand das Handwerk legen? Eine „echte Ende-zu-Ende-Verschlüsselung“ ist für ein beA technisch eben nicht möglich, sondern als Anforderung das Rezept für ein Desaster.

Unter Laborbedingungen lässt sich gewiss ohne große Schwierigkeiten eine Public-Key-Infrastruktur (PKI) aufbauen und auf beliebig viele Teilnehmer skalieren, so dass jeder mit jedem verschlüsselt kommunizieren kann. So eine Labor-PKI löst aber nur das halbe Problem – und macht es schwer, die andere Hälfte zu lösen, die unter den idealisierten Bedingungen der Laborumgebung keine Rolle spielt.

Drei Teilprobleme, mit denen eine Lösung für die Anwaltskommunikation zurechtkommen muss, sind (1) komplizierte Zugriffsrechte, (2) der Konflikt zwischen Vertraulichkeit und Verfügbarkeit sowie (3) Veränderungen im Zeitverlauf.

  1. Komplizierte Zugriffsrechte
    Anwaltskommunikation ist nicht einfach Kommunikation von Person zu Person. Anwälte haben Gehilfen für administrative Tätigkeiten, die beispielsweise Post holen und verschicken. Diese Gehilfen brauchen ausreichende Zugriffsrechte, um ihre Arbeit zu verrichten, aber sie haben keine Prokura. Anwälte haben außerdem Vertreter für Urlaub, Krankheit usw., die von der Anwältin oder der Rechtsanwaltskammer bestellt werden. Alleine der Versuch, § 53 BRAO in eine PKI und eine Ende-zu-Ende-Verschlüsselung zu übersetzen, dürfte Entwicklern einiges Kopfzerbrechen bereiten.
  2. Vertraulichkeit vs. Verfügbarkeit
    Vertraulichkeit der Anwaltskommunikation ist wichtig, aber zweitrangig. Wichtiger ist die Verfügbarkeit. Fragen des Zugangs von Erklärungen und der Einhaltung von Fristen können einen Rechtsstreit unabhängig davon entscheiden, wer in der Sache eigentlich Recht hätte. Vor allem anderen werden Anwältinnen Wert darauf legen, dass sie unter allen Umständen verlässlich kommunizieren können. Demgegenüber genügt hinsichtlich der Vertraulichkeit oft das Schutzniveau „Telefon“.
  3. Zeitliche Dynamik
    Ein reales System zur Anwaltskommunikation muss nicht zu einem Zeitpunkt funktionieren, sondern über einen langen Zeitraum, währenddessen sich die Welt ändert. Das betrifft neben den offensichtlichen Aspekten – Hinzukommen und Ausscheiden von Nutzern in den verschiedenen Rollen, veränderte Vertretungsregelungen usw. – auch die Technik, zum Beispiel den Schlüsseltausch. Damit muss ein beA unter Berücksichtigung von (1) und (2) zurechtkommen. Darüber hinaus können sich auch gesetzliche Regelungen jederzeit ändern.

Wir brauchen deshalb keine Ende-zu-Ende-Sicherheit, sondern im Gegenteil endlich die Einsicht, dass Sicherheit:

  • sekundär ist und der Funktion nicht vorausgeht, sondern folgt,
  • keine theoretischen Ideale verfolgen, sondern reale Risiken reduzieren soll,
  • nicht durch formale Garantien und einzelne Wunderwaffen entsteht, sondern aus der Kombination verschiedener partieller Maßnahmen resultiert,
  • nicht perfekt sein muss, sondern nur gut genug.

Die Vorstellung, man könne konkurrenzfähige Anwendungen um starke Kryptographie herum konstruieren, ist vielfach gescheitert und diskreditiert. Als um die Jahrtausendwende der Online-Handel wuchs, entwickelte man kryptografische Bezahlverfahren von eCash bis SET – den Markt gewannen jedoch Lastschrift, Kreditkarte, Nachnahme und Rechnung. Das Online-Banking wollte man einst mit HBCI / FinTS sicher machen – heute banken wir im Browser oder auf dem Händi und autorisieren Transaktionen mit TANs und Apps. Das vor gut zwanzig Jahren entstandene Signaturgesetz ist in seiner ursprünglichen Form Geschichte und elektronische Signaturen haben sich bis heute nicht auf breiter Front durchgesetzt.

Wer dennoch weiter an die heile Scheinwelt der Ende-zu-Ende-Sicherheit glauben möchte, der möge sich seine Lösungen von den Experten der Gematik entwickeln lassen. Die kennen sich damit aus und sobald ihr Flughafen ihre Telematikinfrastruktur läuft, haben sie sicher Zeit für neue Projekte.

Von der Datentransaktion zur Datenemission

Datenschutz ist regelmäßig ein Thema in diesem Blog, denn seine Schutzziele und Mechanismen überschneiden sich mit denen der IT-Sicherheit oder stehen mit ihnen in Wechselwirkung. Datenschutz ist auch regelmäßig der Gegenstand öffentlicher Debatten. Das ist einerseits verständlich, denn wir sind heute überall von vernetzter IT umgeben. Andererseits verlaufen solche Debatten oft bizarr, weil der Datenschutz politisch instrumentalisiert und mit sachfremden Aspekten vermischt wird. Dabei ist die Frage für sich und ohne Ballast schon schwer genug: Was soll, was kann, was bedeutet Datenschutz heute und in Zukunft?

Mit einem Aspekt dieser Frage habe ich mich zusammen mit Jürgen Geuter und Andreas Poller in einem Beitrag zur Konferenz Die Zukunft der informationellen Selbstbestimmung des Forums Privatheit Ende 2015 beschäftigt, der jetzt endlich im Konferenzband erschienen ist. Wir beschäftigen uns darin mit der Frage, wie sich die Paradigmen der Informationstechnologie seit der Entstehungszeit des deutschen Datenschutzrechts verändert haben und unter welchen Bedingungen Persönlichkeitsrechte im Zusammenhang mit der Datenverarbeitung heute geschützt werden sollen.

Der Datenschutz hat seine Wurzeln in den 1970er und 1980er Jahren. Das vorherrschende Verarbeitungsparadigma der EDV, wie man die IT damals nannte, war das der Datenbank. Darauf sind die Regeln des BDSG erkennbar zugeschnitten; sie geben der Datenerfassung und -verarbeitung ein Gerüst aus expliziten Transaktionen zwischen Betroffenen und verarbeitenden Stellen, mit denen die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen.

Heute prägen andere Paradigmen die Informationstechnik: die allgegenwärtige Vernetzung, die eine detaillierte Kontrolle durch explizite Transaktionen unpraktikabel macht, und das maschinelle Lernen, welches das Verständnis der Verarbeitungsvorgänge und die Einflussnahme darauf erschwert. Die Vorstellung einer expliziten Datenerhebung nebst informierter Einwilligung passt deshalb nicht mehr zur Technik und ihren vielfältigen Anwendungen.

Wir haben die neuen Bedingungen in eine Emissionsmetapher gepackt: Jeder von uns sendet fortlaufend Daten aus, die sich im Netz verbreiten und dort von verschiedenen Akteuren aufgefangen und verarbeitet werden, vergleichbar der Art und Weise, wie sich Licht von einer Lichtquelle im Raum ausbreitet. Das schließt Eingriffe nicht aus, aber sie müssen auf diese Verhältnisse zugeschnitten sein. Eine umfassende Lösung dafür können wir nicht präsentieren, aber wir diskutieren einige Ansätze.

Der ganze Beitrag:

Sven Türpe; Jürgen Geuter; Andreas Poller: Emission statt Transaktion: Weshalb das klassische Datenschutzparadigma nicht mehr funktioniert. In: Friedewald, M.; Roßnagel, A.; Lamla, J. (Hrsg.) (2017): Informationelle Selbstbestimmung im digitalen Wandel. Wiesbaden: Springer Vieweg DOI: 10.1007/978-3-658-17662-4_14, © Springer.

What the Cypherpunks Got Wrong

Cypherpunk ideas have a long legacy and continue to influence how we are discussion matters of security and privacy, particularly in the relationship between citizens and governments. In a nutshell, cypherpunks posit that we can and should keep government intervention minimal by force-protecting our privacy by means of encryption.

Let us begin with what they got right:

“For privacy to be widespread it must be part of a social contract.”

 (Eric Hughes: A Cypherpunk’s Manifesto)

Social contracts are the basis of every society; they define a society and are represented in its formal and informal norms. Privacy is indeed a matter of social contract as it concerns very fundamental question of what the members of a society should know about each other, how they should they should learn it, and how they may or may not use what they know about others.

Privacy is not merely a matter of hiding information so that it cannot be found. The absence of expected features or utterances carries information, too. Some societies, for example, expect their members to actively demonstrate their allegiance. Members of such a society cannot merely hide what they think, they also have to perform their role as expected if they have no desire to become a leper.

What the cypherpunks got entirely wrong was their conception of social contracts and the hope that cryptography could be the foundation upon which they, the cypherpunks, would build their own. Cypherpunks believe that cryptography would allow them to define their own social contract on top of or next to the existing ones. This has not worked and it cannot work. On the one hand, this is not how social contracts work. They are a dimension of a society’s culture that evolves, for better or worse, with this society.

On the other hand, cryptography–or security technology in general–does not change power relationships as much as cypherpunks hope it would. Governments are by definition institutions of power: “Government is the means by which state policy is enforced.” Cypherpunks believe that cryptography and other means of keeping data private would limit the power of their governments and lay it into the cypherpunks‘ hands. However, the most fundamental power that any working government has is the power to detain members of the society it is governing.

In an echo of cypherpunk thinking, some people react to an increased interest of the U.S. Customs and Border Protection (CBP) in travelers‘ mobile devices with the suggestion to leave those devices at home while traveling. After all, the CBP cannot force you to surrender what you do not have on you, so the reasoning. This thinking has, however, several flaws.

First, from a security point of view, leaving your phone at home means to leave it just as unattended as it would be in the hands of a CBP agent. If the government really wants your data, nothing better could happen to them than getting access to your phone while you are not even in the country.

Second, the government is interested in phones for a reason. Cryptography and other security mechanisms do not solve security problems, they only transform them. Cryptography in particular transforms the problem of securing data into a problem of securing keys. The use of technology has evolved in many societies to the point where our phones have become our keys to almost everything we do and own online; they have become our primary window into the cloud. This makes phones and the data on them valuable in every respect, for those trying to exert power as well as for ourselves. You lose this value if you refrain from using your phone. Although it seems easy to just leave your phone at home, the hidden cost of it is hefty. Advice suggesting that you do so is therefore not very practical.

Third, this is not about you (or if it is, see #1 above). Everyone is using mobile phones and cloud services because of their tremendous value. Any government interested in private information will adapt its approach to collecting this information to the ways people usually behave. You can indeed gain an advantage sometimes by just being different, by not behaving as everyone else would. This can work for you, particularly if the government’s interest in your affairs is only a general one and they spend only average effort on you. However, this same strategy will not work for everyone as everyone cannot be different. If everyone left their phones at home, your government would find a different way of collecting information.

By ignoring a bit of context, cypherpunks manage to arrive at wrong conclusions from right axioms:

“We cannot expect governments, corporations, or other large, faceless organizations to grant us privacy out of their beneficence.”

“We must defend our own privacy if we expect to have any.”

(Eric Hughes: A Cypherpunk’s Manifesto)

This is true, but incomplete. Power must be contained at its source (and containment failures are a real possibility). Cryptography and other security technology does not do that. Cryptography can perhaps help you evade power under certain circumstances, but it will by no means reverse power relationships. What you really need is a social contract that guarantees your freedom ad dignity.

 

(Expanded version of a G+ comment)

 

Manipulativ gefragt

»Fürchten Sie, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird oder fürchten Sie dies nicht?« Diese Frage (via) ist unmöglich sauber zu beantworten, denn es handelt sich in Wirklichkeit um zwei Fragen:

  1. Erwarten Sie, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird?
  2. Fürchten Sie sich davor?

Ich erwarte, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird, wies es sie seit der Erfindung des Terrorismus immer wieder gegeben hat. Der letzte, von dem ich gehört habe, liegt gerade zwei Tage zurück.

Zu fürchten gibt es dennoch wenig. Wir leben in einem funktionierenden Staat, der Bedrohungen für Leib und Leben gering hält. Um gewaltsam aus dem Leben zu scheiden, muss man schon ordentlich Pech haben.

Die Fragestellung macht es allzu leicht, nüchterne Antworten auf die erste Frage einzusammeln und sie später zu aufgeregten Antworten auf die zweite umzudeuten. Aber auch den Expertinnen und Experten bei infratest dimap kann ja mal ein Fehler unterlaufen, nicht wahr?