Archiv der Kategorie: Zwischenruf

Dialektik des Datenschutzes

Datenschutz, Zwischenruf

Bereits das bloße Gefühl, beobachtet zu werden, könne Unwohlsein verursachen und Menschen dazu bringen, ihr Verhalten zu ändern, argumentieren Datenschutzaktivisten gerne. Selbst der bloße Anschein einer Beobachtung sei daher problematisch.

Dieselben Aktivisten finden es völlig in Ordnung, wenn nicht gar erforderlich, mit riesigen Schildern auf Videokameras zur Beobachtung des öffentlichen Raumes hinzuweisen, auf dass auch niemand den gebückten Gang vergesse. Passt das zusammen?

***

Wenn von Überwachungs- und Repressionstechnologie die Rede ist, denken wir an Videokameras, an künstliche Intelligenz, an Drohnen und so weiter. Auch Maßnahmen dagegen verhandeln wir oft in Gestalt technischer oder organisatorischer Bausteine wie Anonymisierung, Verschlüsselung und so weiter.

In den chinesischen Healthcode-Systemen, die zur Bekämpfung der jüngsten Corona-Pandemie aufgebaut wurden, spielen QR-Codes eine wichtige Rolle. QR-Codes als technischen Baustein werden jedoch praktisch nie thematisiert, wenn es um Datenschutz oder die Auswirkungen neuer Technik auf unsere Freiheit geht. Warum nicht?

***

Videokonferenzen werden von Datenschützern kritisch beäugt. Wer nicht davon lassen kann, muss allerlei Datenschutzvorschriften beachten. Auf klassische Weise telefonieren darf man einfach so. Woran liegt das und wäre es auch so, hätte man den Datenschutz vor dem Telefon erfunden und nicht umgekehrt?

***

Silicon-Valley-Konzerne gelten hierzulande traditionell als „Datenkraken,“ als von „Datensammelwut“ befallene Halbverbrecher. (Obendrein bildeten sie Monopole und würden zu mächtig, heißt es, aber das ist kein Datenschutz-Thema.) Dagegen, dass Apple und Google als Plattformbetreiber das Herzstück der Corona-Warn-App bereitstellen, regt sich jedoch kein Widerspruch. Ebenso wenig dagegen, dass an ihrer Lösung kaum ein vernünftiger Weg vorbeiführt. Sind sie doch nicht so böse, wie immer wieder behauptet wurde, oder haben wir den Kampf verloren?

***

Der Datenschutz verdankt seine Entstehung dem Aufkommen des Computers. Heute widmen sich Datenschützer mit Hingabe auch mit Formen der Datenverarbeitung, die damals längst normal waren, wie der Fotografie oder der Erfassung von Kontaktdaten mit handgeschriebenen Formularen und Listen. Gehen sie sich damit nicht manchmal selbst auf den Wecker?

***

Die Wichtigkeit des Datenschutzes wird in Deutschland und Europa gerne mit dem Holocaust begründet, den die Erfassung persönlicher Daten erleichtert, wenn nicht gar ermöglicht habe. Datenschutz diene nicht zuletzt dazu, eine Wiederholung zu verhindern.

Man könnte ganz ähnlich über die Bedeutung von Landkarten im Zweiten Weltkrieg reden, ihre Schlüsselfunktion in der Zerstörung von Warschau, Stalingrad, Coventry, Rotterdam und vieler anderer Städte und in der Kriegsführung generell. Dies tut jedoch niemand. Meinen wir das Argument ernst oder ist es nur vorgeschoben, um sich unangenehmen Diskussionen zu entziehen?

***

Wer als Datenschützer hartnäckig vor der Nutzung von WhatsApp warnt, ohne jemals dadurch verursachte Schäden nachweisen zu können, genießt gesellschaftliches Ansehen.

Wer als Bürger hartnäckig von den Gefahren des Mobilfunks raunt, ohne jemals dadurch verursachte Schäden nachweisen zu können, gilt als irrationaler Paranoiker und Verschwörungstheoretiker.

Gibt es dafür eine andere nachvollziehbare Erklärung als unterschiedliche Positionen der jeweiligen Sprecher in der gesellschaftlichen Machthierarchie?

***

Seit der EuGH das Abkommen „Privacy Shield“ zwischen der EU und den USA gekippt hat, ist die Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika nicht mehr ohne weiteres zulässig. Auf diese Weise werden die Rechte und Freiheiten der betroffenen Europäerinnen und Europäer geschützt.

Weiterhin keinen Einschränkungen unterliegt hingegen – abgesehen von vorübergehenden Regelngen aufgrund der COVID-19-Pandemie – der Export ganzer Personen ins Ausland durch Fluggesellschaften und Reiseveranstalter. Gefährdet die Übermittlung unserer Daten in die USA unsere Rechte und Freiheiten stärker als eine Reise dorthin?

***

Deutsche Datenschützer und europäische Politkommisarinnen preisen Datenschutz als Digitalisierungsmotor und Wettbewerbsvorteil an.

Datengetriebene Unternehmen wie Verisk, ein amerikanischer Anbieter von Risikomanagementlösungen insbesondere für Versicherungen, benennen neben dem Verlust des Datenzugangs verschärfte Datenschutzregulierung und die DSGVO als Geschäftsrisiken. Zugleich ist Irland mit seiner zahmen Datenschutzaufsicht ein beliebter Standort für die Europa-Niederlassungen von Internetunternehmen.

***

In Restaurants werden zurzeit Kontaktdaten der Besucher gesammelt, um die Kontaktverfolgung im Fall von Coronavirus-Infektionen zu erleichtern. Wenn die Daten schon einmal da sind, werden sie manchmal auch von der Polizei für Ermittlungen genutzt. Das ist wahrscheinlich legal.

Datenschützer protestieren. Sie protestieren jedoch nicht gegen diese – gesellschaftlich akzeptierte – Vorratsdatenspeicherung, sondern gegen die Nutzung der gespeicherten Daten durch die Polizei: Solche zusätzlichen Datennutzungen aus vergleichsweise nichtigen Anlässen schade der anscheinend sehr wertvollen Vorratsdatenspeicherung und untergrabe das Vertrauen der Bürgerinnen und Bürger in sie.

***

Gesundheitsämter in Baden-Württemberg dürfen im Rahmen der Kontaktverfolgung bei Coronavirus-Infektionen keine unverschlüsselten E-Mails an Kontaktpersonen schicken, es sei denn, ihnen liegt eine ausdrückliche Einwilligung vor. Eine Infrastruktur, über die Ämter mit allen Bürgerinnen und Bürgern verschlüsselt kommunizieren könnten, liegt nur theoretisch in Form des selten genutzten Dienstes De-Mail vor, so dass die Verwendung von E-Mail in diesem Zusammenhang praktisch ausgeschlossen ist.

Unverschlüsselte E-Mail ist bis heute die Regel, weil fast niemand ein Sicherheitsproblem hat, das sich durch E-Mail-Verschlüsselung adäquat und zu einem angemessenen Preis lösen ließe. Fast niemand hat also das Problem, das der Datenschutz hier zu lösen versucht.

***

Gesichtserkennung ist schlimmer als Rachepornos. Weil sie Begehrlichkeiten wecke.

Querdenken statt Angst: Unser Rhetorik- und Folklore-GAU

Folklore, Hackmeck, How to, Nerds, Regierungsviertel, Unterschätzte Risiken, Zwischenruf, , , , ,

Waren wir die Avantgarde, wir, die Hacker, die Nerds, die Netzaktivisten, die Piraten?

Zurzeit gehen Menschen auf die Straße, die sich Querdenker nennen und für besonders klug halten, die hinter jeder Gesichtsmaske den autoritären Staat lauern sehen, Politikern die Kompetenz absprechen, Verschwörungstheorien nicht besonders kritisch gegenüberstehen und die Bill Gates für eine Inkarnation des Satans halten. Woher haben sie das nur? Ist das Internet schuld mit seinen kommerziellen Plattformen, werden sie von fiesen Nazis aufgehetzt oder sind sie einfach blöd?

Einige ihrer Methoden könnten sie von uns haben. Von uns, die wir uns als Nerds immer für etwas schlauer als alle anderen halten, ganz besonders als alle Politiker. Uns, die wir mehr zu durchschauen glauben als andere, gerne auch mal in Form einer kleinen Verschwörungstheorie. Uns, die wir als digitalcouragierte Aktivisten hinter jeder Videokamera, jedem Polizeigesetz und jeder Urheberrechtsreform den autoritären Staat lauern sehen und unter dem Motto „Freiheit statt Angst“ gegen neue Einsatzmittel der Exekutive protestieren als stünden Recht und Demokratie kurz vor der Abschaffung. Uns, die bei jedem Datenschutzproblem und jedem staatlichen Digitalprojekt gleich von Grundrechten reden. Uns, die wir als Digitalveganer Sicherheitsmaßnahmen empfehlen als seien Geheimdienste hinter jedem Einzelnen persönlich her. Uns, die wir Microsoft und Bill Gates schon seit Jahrzehnten doof finden und uns lieber mit Linux quälen, Hauptsache anders. Von uns, die wir eines Tages dem Größenwahn verfielen und eine inzwischen beinahe wieder verschwundene Partei gründeten, um in der ganz großen Politik mitzumischen.

Querdenker wollen wir sein, Freiheitskämpfer, Topchecker und so wichtig, dass man uns verfolgt. Zu unserer Selbstbestätigung haben wir eine reichhaltige rhetorische Folklore geschaffen und gepflegt, aber selten hinterfragt. Nun schallt uns ein Echo dieser Folklore von der Straße entgegen, doch sind es nicht wir, die dort stehen, sondern andere, mit seltsamen Ideen und fragwürdigen Zielen. Wir selbst sind stolz darauf, für den Fall der Fälle keine Datenspuren zu hinterlassen, doch haben wir kollektiv ein Waffenarsenal der Öffentlichkeitsarbeit entwickelt und getreu dem Open-Source-Gedanken allen zur Verfügung gestellt. In dessen Mittelpunkt steht die Selbstinszenierung als Freiheitskämpfer, obwohl viele von uns nie etwas anderes erlebt haben als einen demokratischen Rechtsstaat und selbst die DDR zu den gemäßigten Vertretern der weniger demokratischen Staaten zählte, was sich nicht zuletzt in der Gewaltlosigkeit ihres Ablebens äußerte. Nun beobachten wir entsetzt, wie sich andere unseres Arsenals bedienen und ihrerseits ohne sachliche Grundlage Freiheitskämpfer spielen.

PS (2020-05-19): Stefan Laurin von den Ruhrbaronen ordnet die Proteste in den größeren Kontext unserer seit einem halben Jahrhundert sehr skeptischen Sicht auf Technik insgesamt ein: Hygiene-Demos: Querfront gegen den Westen, Technik und Aufklärung. Das ist in etwa dieselbe Perspektive, aus der ich Macken und Meme des Datenschutzes zu erklären versuche.

PS (2020-05-24): Der Deutschlandfunk liefert noch ein passendes Foto. Darauf zu sehen ist ein Demonstrant, der ein Schild mit der Aufschrift „COVID-1984“ trägt. Unterdessen redet Fefe gleich von „anhaltsloser Massenüberwachung“, nur weil Lieblingsfeind Wolfgang „Stasi 2.0“ Schäuble das Elend um die Corona-App kritisiert.

PS (2020-05-29): Die Guten™ unter den Verschwörungstheoretikern sind wieder ganz in ihrem Element: „Amazon greift nach Grundrechten“, zitiert die Taz einen Aktivisten, der den Cloudkonzern Amazon aus Berlin herausmobben möchte.

PS (2020-08-30): Ein Bericht der NZZ aus Berlin passt ins Bild.

PS (2021-04-04): In Der Aufstand des Mittelstands analysieren William Callison und Quinn Slobodian die Querdenkerei.

PS (2021-11-23): „Die ‚Querdenker‘ stellten sich als kritische Experten und heroische Widerstandskämpfer dar, erklärte die Soziologin Nadine Frei. Sie verstünden sich als wahre Verteidiger von Demokratie und Freiheit und als Teil eines ‚Kerns der Eingeweihten‘.“, zitiert der Tagesspiegel eine Studie der Uni Basel im Auftrag der Heinrich-Böll-Stiftung.

PS (2022-01-07): «Diese Vorstellung, die Menschen hätten einst im Einklang mit allem gelebt …»„Warum sollten wir nicht erstaunt sein, wenn auf Demos gegen die Pandemiemassnahmen plötzlich Regenbogenfahnen neben Reichsflaggen wehen? Der Journalist und Autor Andreas Speit über falsche Querfronten, die Mittelschichts-Bio-Bohème und die befreiende Wirkung einer Impfpflicht.“

Ethik schlägt KI

Philosophie, Propaganda, Risiko, Zwischenruf, , , ,

#DilemmaOfTheDay: Ein von Algorithmen mit künstlicher Intelligenz gesteuertes autonomes System bedroht Menschenleben. Sie können es geschehen lassen, dann sterben Menschen, oder sie können einen Hebel umlegen und die KI vernichten. Was sollen Sie tun?

Wenn Sie diese Frage seltsam finden, haben Sie völlig Recht – mehr dazu später.

Als der Öffentlichkeit vor einiger Zeit dämmerte, dass auf unseren Straßen bald autonome Fahrzeuge unterwegs sein würden, verbreitete sich rasend schnell das Mem des Trolley-Problems. Einer konstruierte ein scheinbares Dilemma: wie sich denn „der Algorithmus“ entscheiden solle, käme ein automatisches Automobil in die Situation, einen Unfall nicht mehr vermeiden und nur noch zwischen verschiedenen Opfern wählen zu können. Und alle, alle schrieben es ab. Von Ethik hatten sie schon einmal in der Schule gehört und vielleicht später erneut bei Michael Sandel, Ethik schien irgendwie wichtig und diese Technik verstünden doch ohnehin nur Nerds im Karohemd, denen man jetzt mal auf die Finger schauen müsse, bevor sie wieder Chemie, Atom, Gene oder Cloud Computing erfänden.

Das Trolley-Problem ist ein Gedankenexperiment aus der Philosophie. In konstruierten Szenarien wendet man postulierte Handlungsleitlinien auf eine hypothetische Entscheidungssituation an oder versucht, intuitive Präferenzen rational zu begründen. Dabei versteht man besser, von welchen Annahmen diese Leitlinien ausgehen, zu welchen Ergebnissen sie unter welchen Bedingungen führen und welche Fragen sie unbeantwortet lassen. Würden Sie jemanden vor eine Straßenbahn stoßen, wenn Sie damit fünf andere retten könnten? Warum oder warum nicht? Und wenn es sich um ein kleines süßes Baby handelt oder um Hitler persönlich?

Was in der Philosophie interessante Einsichten verspricht, ist in der Diskussion über das autonome Fahren deplaziert, denn das Dilemma aus dem Gedankenexperiment überlebt den Weg in die Realität einer Unfallsituation nicht. Wer es dennoch für eine solche diskutiert, ignoriert gekonnt verletzte Annahmen und ordnet das reale Problem dem künstlichen unter.

Ein Unfall ist ein plötzliches, unvorhergesehenes Ereignis, das sich bei Erkennen der konkreten Gefahr nicht mehr zuverlässig abwehren lässt. Es kommt nicht zum Unfall, wenn etwa ein Hindernis rechtzeitig erkannt wird und Fahrer oder Steuerung in aller Ruhe abbremsen und anhalten. Zum Unfall kommt es, wenn überraschend eine Situation eintritt, welche die Reaktionsmöglichkeiten so weit beschneidet, dass es keinen kontrollierten Ausweg mehr gibt.

Für Entscheidungen nach Luxuskriterien wie der Art und Anzahl möglicher Opfer bleibt in so einer Situation in aller Regel kein Raum mehr, für menschliche Fahrer sowieso nicht, aber auch nicht für Computer. Bestenfalls kann man noch instinktiv oder heuristisch handeln und mit einer Portion Glück in einen glimpflichen Ausgang segeln. Gelingt dies Menschen, feiern wir sie als Helden, wie zum Beispiel die Piloten von US-Airways-Flug 1549 nach ihrer Notlandung im Hudson River. Gelingt es ihnen nicht, bedauern wir sie als tragische Gestalten – oder weisen ihnen Schuld zu, hätten sie das Eintreten der Unfallsituation ohne besondere Kräfte vermeiden können.

Ersetzen wir Menschen durch Algorithmen, so kommen wir in keine grundlegend neue Lage. Die praktische Unfallvermeidung, das praktische Risikomanagement erfolgt vor Eintreten des Trolley-Dilemmas. Deshalb führt das Trolley-Problem in die Irre und wir sind besser bedient, wenn wir uns auf eben dieses Risikomanagement konzentrieren. Ob unsere Bemühungen ausgewogen sind, mag man diskutieren – allerdings auch schon für herkömmliche Autos, deren Hersteller vor allem den Insassenschutz optimieren, weil diese m Gegensatz zum Beispiel zu Fußgängern und Radfahrern in der Umgebung dafür zahlen. Seine Medienkarriere verdankt das Dilemma-Mem ohnehin nur der Tatsache, dass man es ohne nachzudenken leicht nachplappern und sich dabei für sehr intellektuell halten kann.

Zurück zum eigentlichen Thema. Über Ethik wird zunehmend im Zusammenhang mit künstlicher Intelligenz diskutiert; das autonome Fahren ist ein entgleister Spezialfall. Diesen Diskussionen liegt die Ahnung zugrunde, künstliche Intelligenz könne zu fundamentalen Umwälzungen in Technologie und Gesellschaft führen und den Menschen gar eines Tages intellektuell übertreffen, nicht nur in Spielen wie Schach oder Go. Der Phantasie sind naturgemäß keine Grenzen gesetzt und so reichen die eher popkulturell denn wissenschaftlich geprägten Vorstellungen bis zum allmächtigen Skynet. Der Diskussion ist schwer auszuweichen, denn dazu müsste man entweder vage Zukunftsvisionen falsifizieren oder sich der Ethik verweigern und beides ist rhetorisch schwierig.

Doch die ethischen Fragen könnten sich unabhängig von der technischen Entwicklung – wie weit die KI wirklich kommt, ist noch nicht geklärt – als weniger drängend erweisen. Die KI hat ethisch gesehen nämlich einen grundlegenden Nachteil: sie ist kein Mensch. Das macht es viel einfacher, ihr Verhalten zu überwachen und zu steuern, als das bei Menschen, Gruppen und Gesellschaften der Fall ist.

Menschen können allerlei Unheil anrichten und wer sie daran hindern möchte, muss ihnen vielleicht Gewalt antun. Konkrete Ausflüsse abstrakter ethischer Betrachtungen dazu finden wir in Form von Bürgerrechten und Güterabwägungen in Verfassungen, Strafgesetzen, Urteilsbegründungen und politischen Debatten. Komplizierte Fragen stellen sich dort, weil wir es sowohl auf Seiten der Täter oder Verursacher wie auch bei den Opfern und Betroffenen mit Menschen zu tun haben und wir auch dem unanständigsten Verbrecher noch eine Menschenwürde und Menschenrechte zugestehen.

Viele diese Fragen sind jedoch einfach zu beantworten, wenn auf der Täter- beziehungsweise Verursacherseite kein Mensch steht, sondern eine Maschine. Dann führt beispielsweise Notwehr nicht mehr zu Personen-, sondern nur noch zu Sachschaden und alle Abwägungen werden einfacher. Eine Maschine kann man abschalten, beschädigen, zerstören oder ihrer Betriebsmittel berauben, ohne groß über Ethik nachdenken zu müssen.

Mittelbar kann es dann doch wieder kompliziert werden, wenn Nebenwirkungen eintreten und andere Menschen betreffen. Ein medizinisches Gerät zum Beispiel, von dem die Gesundheit anderer abhängt, darf man vielleicht doch nicht einfach kaputtschlagen. Aber eine KI an sich oder eine von ihr gesteuerte Maschine hat erst einmal keine eigenen Rechte. Damit ist sie dem Menschen ethisch gesehen nachgeordnet. Die verbleibenden Probleme sind die alten zwischen den beteiligten Menschen.

Investitionsruine eGK

Geschäft, Investitionsruinen, Regierungsviertel, security-industrial complex, Zwischenruf, ,

Die Digitalisierung schreitet unaufhaltsam voran. In der Zeit, die wir seit den ersten Konzepten für den Aufbau unserer hochsicheren und hochverfügbaren Telematikinfrastruktur für das Gesundheitswesen nach Konzepten aus den frühen nuller Jahren verbraucht haben, verbreiteten sich draußen unter anderem:

  • Windows Vista, 7, 8 und 10
  • UMTS und LTE
  • Smartphones, Tablets und Smart Watches
  • Cloud Computing auf allen Schichten von IaaS bis SaaS
  • Site Reliability Engineering und Chaos Engineering
  • API Management
  • Agile Methoden und DevOps
  • Big Data, Machine Learning und KI
  • Stuxnet und andere Cyberwaffen

Auch kamen und gingen der neue Personalausweis, DE-Mail, das beA sowie die Piratenpartei.

Bekäme man das Gesundheitskartennetz zusammen mit dem Berliner Flughafen eines Tages doch noch fertig – was würde man dann mit dieser hoffnungslos veralteten Technik tun?

Number Crunching

Bedrohung, Erich fragt, Geschäft, Propaganda, Risiko, Zahlenspiele, Zwischenruf

HP veröffentlicht den 2012 Cyber Security Risk Report. Neben dem Security Report 2013 von Checkpoint sieht HP natürlich alt aus, aber dafür legen die mit der neuen Forschungsabteilung jetzt ja 14-tägig neue Hot Topics auf den Tisch. Es gab mal Zeiten, da mangelte es an Zahlen, aber mittlerweile gibt es mehr als genug davon. Leider gibt es immer noch zu wenig Maßgebliches oder Interessantes. Gibt es eigentlich eine Statistik über die Anzahl der IT-Sicherheitsstatistiken?

Grundsatzfrage

Regierungsviertel, Stammtisch, Zwischenruf

Das wichtige Stichwort im Urheberaufruf lautet arbeitsteilige Gesellschaft, und es wird uns im Umgang mit der Piratenszene noch öfter beschäftigen. Arbeitsteilung ist eine alte und grandiose Idee, ein Pfeiler unserer Zivilisation. Arbeitsteilung und lässt uns durch Spezialisierung effizienter produzieren und gibt uns die Freiheit, Dinge zu tun, die für unser Überleben nicht erforderlich sind. Ohne Arbeitsteilung müssten wir Zeit auf Gemüsebeete und Hühnerstelle verwenden, die wir lieber im Internet verbringen. Arbeitsteilung liefert uns Pizza an die Wohnungstür – und dem Pizzaboten Internet aufs Smartphone.

Arbeitsteilung erfordert gesellschaftliche Mechanismen und Systeme, die sie ermöglichen und erleichtern. Märkte und Geld gehören zu diesen Mechanismen, differenzierte Bildungsoptionen, oder auch die repräsentative Berufspolitik.

Systemisch ist Arbeitsteilung eine gute Sache; dem Einzelnen kann sie jedoch gefühlte Nachteile bereiten: Abhängigkeiten zum Beispiel (Wo kommt mein Bier her, wenn die Tankstelle zu hat?) oder den Druck, sich für ein primäres Tätigkeitsprofil zu entscheiden und über Jahre zu dieser Entscheidung zu stehen. Arbeitsteilung bringt zudem einen gefühlten Kontrollverlust über Entwicklungen außerhalb der eigenen Spzialisierung(en) mit sich.

In der Piratenszene suchen auch Angehörige von Subkulturen ihr Glück, die der Arbeitsteilung wenig abgewinnen können. Unter der Flagge eines ätherischen Freiheitsideals kämpfen sie gegen Mechanismen der Arbeitsteilung, ohne die Nebenwirkungen zu bedenken. Die einen wollen das Urheben crowdsourcen, andere wünschen sich ein Flatrate-Einkommen ohne Tauschgrundlage, und viele träumen von mehr Bürgerbeteiligung in der Politik. Sie sind auf dem Holzweg. Systeme und Verfahren, die den Grad der Arbeitsteilung reduzieren, bedeuten einen Rückschritt. Die damit scheinbar gewonnene Freiheit hat den Preis, dass sich der Einzelne um viel mehr Angelegenheiten selber kümmern muss.

Die Grünen mussten damals in den 80ern eine Auseinandersetzung zwischen Fundis (Fundamentalisten) und Realos (Realpolitikern) austragen. Die Realos haben sich durchgesetzt, die Grünen sind heute eine normale und wählbare Partei. Die Piraten steht eine ähnliche Entscheidung bevor.

Plastikschüsseldebatte

Fundbüro, Gadget, Propaganda, Safety, Zwischenruf,

Verkehrsminister Ramsauer betätigt sich als Helmtroll, und das sehr gekonnt. Weil nur wenige Menschen von der Notwendigkeit einer Styroporkopfbedeckung beim Radfahren überzeugt sind, sollen gefälligst viel mehr Leute eine solche tragen, sonst werde man es allen vorschreiben. Auf solche Begründungen muss man erst mal kommen, das ist weit kreativer als die unzählige Male ausgetauschten Sachargumente. Mutti auf Eskalationsstufe drei hätte es nicht absurder hinbekommen.

P.S.: Wunderbar, die Botschaft ist in den Medien angekommen. Ich begrüße diese Entwicklung.

Frommer Wunsch

Freundlich zum Nutzer, IT, Security, Zwischenruf, ,

Wenn wir Programmierern die Möglichkeit geben, sich (bzw. den Anwendern ihrer Produkte) in den Fuß zu schießen, was werden sie dann wohl tun? Genau, sie werden sich (bzw. den Anwendern ihrer Produkte) in den Fuß schießen. Daran ändern auch Gebete nichts:

»8.5 SQL Injection

Authors are strongly recommended to make use of the ? placeholder feature of the executeSql() method, and to never construct SQL statements on the fly.«

(W3C: Web SQL Database, Editor’s Draft 14 January 2010)

Kann sich nicht mal jemand hinsetzen und das richtig machen?

Im Informatikunterricht gefehlt

Begriffe, Off Topic, Wahrnehmung, Zwischenruf,

haben wohl die Journalisten, die uns seit Tagen mit Geschichten über Bibelverse auf amerikanischen Zielfernrohren nerven. Da stehen nämlich gar keine Bibelverse drauf. Sondern je nach Lieblingsparadigma Zeiger auf Bibelverse, Primärschlüsselwerte aus der Bibelverstabelle, Identifier für Bibelversobjekte oder irgendwas in dieser Art. Die ganze Aufregung dreht sich um Zeichenfolgen wie JN8:12 oder 2COR4:6. Wenn es wenigstens Hexspeak wäre…

Warum wettern Datenschützer gegen Google Analytics?

Datenschutz, Regierungsviertel, Zwischenruf, ,

Datenschützer nerven. Folgt man den Medienberichten der letzten Zeit, so scheint ihre Arbeit nur noch um grotesk Irrelevantes zu kreisen. Die langjährigen Lieblingsthemen: IP-Adressen als personenbezogene Daten und formale Nörgeleien an Google Analytics. Relevant ist das kaum und es interessiert auch keinen. Warum tun die Datenschützer das?

Vielleicht versuchen sie nur, mit einer Situation umzugehen, die sie zur Hilflosigkeit verdammt. An den Stellen, an denen es darauf ankäme, ist Datenschutz politisch nicht oder nur als formalistisches Deckmäntelchen gewollt. Eigentlich müssten sich Datenschützer mit Vorratsdatenspeicherung und Bankdatentransfer beschäftigen, aber auf diesen Gebieten werden sie von vornherein durch die Politik übergangen.

Ähnlich machtlos ist der Datenschutz gegenüber dem Gegenstand seiner Bemühungen, dem Bürger. Der macht von seinem Recht auf informationelle Selbstbestimmung Gebrauch: er unterschreibt fröhlich Verträge für Rabattkarten und hat zu Hause ein Trojanisches Pferd auf dem PC, das ihm beim Online-Banking zuschaut.

Das lässt den Datenschützern zwei Möglichkeiten. Sie könnten erstens das Scheitern der Idee Datenschutz eingestehen und ihre Ämter niederlegen. Was aber auch nur einen personellen Wechsel zur Folge hätte, ohne das Problem zu beseitigen. Oder sie können sich zweitens neue Betätigungsfelder suchen, die zwar nicht relevant sind, auf denen ihr Gegner aber nicht so haushoch überlegen ist wie im Kampf gegen die Politik. Diese Möglichkeit haben sie gewählt und deshalb beschäftigen sie sich mit Diskussionen über IP-Adressen als personenbezogene Daten, über Google Analytics und ähnliche Themen.

Vielleicht ist ihnen sogar bewusst, dass das eine Ersatzbefriedigung mit einem nur sehr vagen Realitätsbezug ist. Aber irgendwie müssen sie vor sich und der Welt rechtfertigen, Datenschützer zu sein. Die Alternative wäre das Eingeständnis, ein totes Pferd geritten zu haben, und das fällt keinem leicht. Auch wenn es nervt, menschlich verständlich ist das alles schon.

(Erweiterte Fassung eines Kommentars im Heise-Forum)

Ergänzung: Zur angeprangerten Nutzung der IP-Adresse für die Geolokalisierung  steuert User REPNZ im Forum noch diese schöne Bemerkung bei: »…wissen das auch „Angelica and Sheila from Offenbach“, die immer mal wieder mit mir „chatten“ oder „daten“ wollen?« Das ist eine sehr gute Frage, denn so ziemlich alles, was Google Analytics technisch anstellt, um Daten zu erfassen und auszuwerten, findet tausendfach an anderer Stelle auch statt, ohne dass es angeprangert würde.

10 Essential Security Checks

English, IT, Security, Zwischenruf,

[Get only posts in English]

A few days ago Oliver presented his 10 essential Web site checks. Except for a few very basic things I didn’t see security on his list, so here are a few essential security checks for your Web site. You will have to scale them to your needs; the Web site of your local juggling club won’t need the same level of security as an Internet business built around a Web application.

  1. Understand your threat profile
    Understand who might be your enemy and what would be the impact on your Web site and the users of your Web site if an attack succeeds. Don’t be overly paranoid but be honest to yourself.
  2. Use SSL
    Although it has its limitations, SSL is a standard security mechanism today and there is almost no excuse for not offering it to your users. It won’t solve all your security problems but it is useful.
  3. Have a person in charge of security
    Security requires continuous attention throughout the life cycle of your site. Somebody should be responsible for security, and this person must have sufficient authority to be more than a fig leaf.
  4. Baseline protection
    Don’t forget the simple things: backup, patches, secure configuration, etc. Be aware, however, that baseline protection will not make your applications and your own code any more secure.
  5. Build security in
    If your Web site serves more than a set of static pages, you must build secure software. Security is not a box in your architecture diagram, it is a set of rules and best practices for software development.
  6. Test early and often
    Everybody makes mistakes, and so will you. Have somebody to point out those mistakes to you before the bad guys find and exploit them. Do not rely on automated scanners too much. They are useful but limited.
  7. Be hacker-friendly
    The best security testers you can get are white-hat hackers who happen to find issues on your site. Be accessible, properly credit those who helped you, and don’t sue the messenger. Don’t be too proud of not having been hacked, though.
  8. Don’t annoy your users
    The point of security measures is to make attacks hard. Their point is not to make legitimate use of the site hard. Putting unnecessary burdens upon your users will likely reduce your security—and the number of users.
  9. Plan ahead for failures and disasters
    They are out to get you and eventually they will. Know what to do if your security failed despite all your efforts. Have plans for incident handling, business continuity and disaster recovery.
  10. Compliance is just that
    Do not assume that compliance with whichever standard or regulation would be a replacement for actual security.

Homework assignment: pick one item and expand it into another list of 10.

Medienkompetenz lernen: Wie man Diskussionsforen moderiert

Off Topic, Propaganda, Werkbank, Zwischenruf, , , , , ,

Burdas ScienceBlogger haben gerade gemerkt, dass sie mit Nerd-Attitüde, Flames und der Löschtaste für Kommentare keine Diskussion übers Klima überleben. Jetzt sitzen sie im Stuhlkreis und analysieren sich selbst, ohne recht zu wissen, was dabei herauskommen soll. Wir geben mit ein paar Links Nachhilfe in Medienkompetenz:

  • Michael Tobis bezieht sich in seinem Blogeintrag Why truth is losing ground direkt auf Klimadebatten im Netz und gibt eine Kurzanleitung zum Umgang mit Skeptikern. Sein wichtigster Tipp: wenn man nicht in der Lage ist, effektiv zu kommunizieren, hält man am besten die Klappe. Er führt es auch gerne vor, wenn in seinen Kommentaren Trolle auftauchen, und erklärt auf Nachfrage, was er tut.
  • Wie effektive Kommunikation aussehen kann, hat Kristian Köhntopp untersucht, ganz wissenschaftlich mit Experiment. Er hat sich mit der inhaltlichen und kulturellen Steuerung von Foren beschäftigt und seine Ansätze in Usenet-Newsgroups und anderswo ausprobiert. Erkenntnis: es geht (wenn man es schafft, im Netz kontrolliert Statussignale zu übermitteln und außerdem ein wenig nachdenkt und organisiert.)
  • In den Kommentaren bei Isotopp  findet sich noch ein Link auf das Vortragsmanuskript A Group Is Its Own Worst Enemy von Clay Shirky. Das habe ich selbst bis jetzt nur überflogen und empfehle es deshalb hier halbblind.
  • Für Fortgeschrittene und Freelancer schließlich gibt es Arthur Schopenhauers Eristische Dialektik oder die Kunst, Recht zu behalten. Das war selbst Schopenhauer zu heikel und wurde erst nach seinem Tode veröffentlicht. Er beschäftigt sich darin mit dem sportlichen Teil des Debattierens, mit der Frage, wie man eine Diskussion gewinnt, ganz gleich, wer wirklich Recht hat. Diskussionen werden nicht unbedingt sachlicher und angenehmer, wenn sich Teilnehmer der Schopenhauerschen Kunstgriffe bedienen, aber es schadet nicht, sie zu kennen und notfalls auch zu beherrschen.
  • Update 2009-02-10: Eben bin ich noch über einen Text von Paul Graham gestolpert, How to Disagree. Den Abstract gibt’s hier. Im Vorbeigehen lernen wir noch Postman’s Third Law: »At any given time, the chief source of bullshit with which you have to contend is yourself,« und ergänzen unsere Blogroll um die Fundstelle.

Lehrreich ist auch, sich Diskussionsverläufe als Unbeteiligter anzuschauen und zu überlegen, wie die einzelnen Teilnehmer wirken und was die jeweilige Entsprechung im Real Life wäre. Das funktioniert aber wahrscheinlich nur, wenn man tatsächlich unbeteiligt ist und nicht heimlich Sympathien für die eine oder andere Ansicht oder Person hegt. Wer nicht gerade Computernerd ist, googelt sich am besten einen Editor War.

Das Internet, Dein Freund und Helfer

Zwischenruf,

Das Internet sei ein Hort des Bösen, des Terrorismus und der Kriminalität. Schlichtere Naturen halten das für einen guten Grund, das Internet zu sperren oder digitale Personalausweise einzuführen. Andere machen einfach ihre Arbeit:

»Die Demonstranten hatten sich offenbar im Vorfeld über das Internet verabredet. So konnte sich die Polizei vorbereiten und war mit starken Kräften vor Ort.«

(HR: Griechenland-Demo: Ausschreitungen in Frankfurt)

Gewöhnen wir uns etwa langsam an das Internet? Falsch wäre das ja nicht.

Hirntot

IT, Nebenwirkung, Security, Vulnerability, Zwischenruf, , , ,

Wie bekloppt muss man sein, um XSS-Versuche in den URL-Parametern einer Login-Seite erst abzufangen – und dann den auffälligen Parameter innerhalb eines Script-Elements in die Fehlerseite einzubetten, um eine Alertbox mit detaillierten Informationen zu produzieren? Also ungefähr so:

<script>alert("Böse Eingabe: [boese Eingabe]");</script>

Ich bin versucht, mir das ganze Responsible-Disclosure-Theater zu sparen und hier einfach Ross und Reiter zu nennen. Verdient hätten sie es. Ihre Kunden allerdings nicht, und einige davon kann man googeln.

Sicherheit anders

Begriffe, Security, Unterwegs, Zwischenruf, , , , , , ,

Sicherheit anders. Was der Untertitel unseres Blogs heißten soll, haben wir uns vorher nicht überlegt, denn wer mit großen Plänen ein Blog anfängt, fällt meistens auf die Nase. Irgendwas muss aber dran sein, sonst wäre aus dem Blogunter- kein Vortragstitel geworden. Oder ist das nur eine selbsterfüllende Prophezeiung? Egal.

Angefragt war ein Vortrag zur Zukunft der IT-Sicherheit auf dem Pressetag CeBIT Vision. So etwas könnte ich natürlich zusammenspinnen und mich darauf verlassen, dass sich keiner mehr daran erinnern würde, wäre es erst so weit, dass sich meine Vorhersagen prüfen ließen. Aber das habe ich nicht übers Herz gebracht. Herausgekommen ist statt dessen ein Vortrag über ungelöste Probleme. Von denen haben wir einige. Sicherheit anders weiterlesen

Oliver, Du bist dran!

Off Topic, Zwischenruf,

UrlaubOliver [für die Leser: das ist mein stiller Co-Blogger], jetzt musst Du mal was schreiben. Ich bin nämlich verhindert, und das für länger.

Das Buch zum Foto gibt es übrigens hier und für die erste Urlaubswoche ist es genau die richtige Lektüre. In der letzten würde ich es lieber nicht lesen, das untergräbt die Arbeitsmoral nach der Rückkehr.

Helmdiskussionsfortsetzung

Safety, Zwischenruf

Oh, die wissenschaftliche Helmdiskussion geht ja weiter. Schade, dass ich nicht zugegriffen habe, als es im Supermarkt Helme für’n Zehner gab, jetzt habe ich nichts, was ich wissenschaftlich in Styroporbröckchen zerlegen kann.

Gut, dass ich dort gesperrt bin, sonst käme ich glatt noch in die Versuchung, deutlich auf die Strohmannargumente hinzuweisen. Glaubt die Frau wirklich, dass wir über die hingehaltenen Stöckchen springen und uns an absurden Verschwörungstheorien abarbeiten?

Update: Im Po8tischen Blog gibt es noch einen Kommentar zur Debatte: Neulich bei Lord Helmchen…, sowie eine Umfrage nach Kopfverletzungen beim Radfahren.

Spaß mit dem Gebührenbeauftragten

Off Topic, Zwischenruf, , , ,

Irgendwie warst du ja süß. Wie du hier kreuz und quer durch die halbfertige Reihenhaussiedlung liefst und ab und zu wildfremde Leute ansprachst. Hilfe wolltest du von ihnen, weil dir der Mann da hinterherlief, Zeugenaussagen und Unterstützung beim Notruf, während jener Mann den verdatterten Spielplatzomis freundlich zuwinkte. Ich hatte Spaß daran, ehrlich. Dass du nicht einfach die 110 gewählt hast auf deinem hoffentlich angemeldeten Händi, das war sehr vernünftig. (Hatten dir die Nachbarn tatsächlich die Faxnummer des Polizeireviers gegeben oder hast du dir das nur ausgedacht, um nicht anrufen zu müssen?) Ich hätte den Beamten ganz wahrheitsgemäß erzählt, dass ich dich bereits eine Weile beobachtet habe, wie du herumgelaufen seiest und Leute angesprochen hättest. Ich bin mir sicher, sie hätten dich für einen Irren gehalten und mich für einen harmlosen Spaziergänger. Doch, das war vergnüglich. Für mich jedenfalls. Aber eines muss ich hier doch noch einmal klarstellen: für gewöhnlich ist es so, dass Damen und zuweilen auch Herren mir hinterherlaufen. Und ausgerechnet für einen Vollhorst wie dich, der mich an der Tür überfiel mit der verwegenen Aussage, er solle hier »ein Fernsehgerät zumelden,« habe ich eine Ausnahme gemacht. Bin ich Unterschicht? Natürlich habe ich keinen Fernseher, Fernseher sind 20. Jahrhundert. Meine Unterhaltung ist interaktiv.