Erinnert sich noch jemand an BSE? Die gefährliche Rinderkrankheit, an der wir alle sterben sollten? Die Zeit lässt es sich nicht nehmen, uns an die Fakten zu erinnern: nie waren hierzulande mehr als 125 Rinder befallen, heute gar keins mehr, und kein Mensch erkrankte je. Man glaubt kaum, das wegen so etwas Minister zurücktreten mussten, das Thema lange die Medien beherrschte und dass wir heute noch – gesetzlich vorgeschrieben – so handeln, als sei BSE eine real existierende Seuche.
Archiv der Kategorie: Psycho
Vokabular und Bedeutung
Beeindruckend, dieses Vokabular: Schwarzer Montag, Börsencrash, Absturz, Panik, Kursrutsch, Sturzflug, Rezession, Konjunkturdelle, Börsenturbulenzen, Minus, Kapitalvernichtung, Wertverlust, verheerend, Krise, Desaster, Nervosität, Stagflationsrisiko, Belastungen, platzende Kursblase, Bärenmarkt, Talfahrt, einbrechende Kurse, nervöse Börse, Kursmassaker, Dax kracht ein, Kurssturz. Was verbirgt sich dahinter?
Hackertool Kommandozeile?
Der Heise-Ticker berichtet unter der Überschrift 60.000 Dollar Strafe für DNS-Abruf:
»Das Gericht stellte fest, dass Ritz dabei seine „Identität hinter Proxies verbarg, ein UNIX-Betriebssystem verwendete und neben anderen Methoden Shell Accounts einsetzte. Außerdem gab er sich als Mail-Server aus.“ Die auf diese Weise gewonnenen Informationen machte Ritz publik. Diese Information, stellte das Gericht fest, sei nicht öffentlich verfügbar gewesen. Damit habe Ritz die Datensicherheit von Sierra gefährdet, Ritz sei also als Hacker einzustufen, schließlich sei der Befehl „host -l“ dem normalen Anwender nicht bekannt.«
Offenbar ist dem Richter alles suspekt, was er nicht kennt. Und das ist erfahrungsgemäß ziemlich viel, wenn es um Informationstechnik geht und man die Gefühlswelt eines Juristen zum Maßstab nimmt.
Tatsächlich aber ist weder am Kommando host noch an einem Shell-Account irgend etwas ungewöhnlich. Sogar mein iBook, Inbegriff des Schickimickiklickiwerkzeugs und damit juristentauglich, verfügt über beides. Ein Maßstab dafür, ob jemand unlauter gehandelt hat, ist die Benutzung nicht. Zumal das Kommando host ausgesprochen harmlos ist: es fragt öffentlich verfügbare Informationen aus den öffentlichen Servern eines öffentlichen Dienstes ab, denn DNS ist nichts weiter als eine Art automatische Telefonauskunft für das Internet. Nur hat das dem Richter offenbar keiner erklärt, wenn der meint, die Information sei nicht öffentlich zugänglich gewesen. Doch, das war sie.
Bullshit ist die Behauptung des Klägers, er habe aufgrund der Abfrage seine interne Kommunikationsstruktur ändern müssen. Erstens wäre nämlich an dieser Kommunikationsstruktur etwas sehr kaputt, wenn sie auf die Vertraulichkeit öffentlicher Informationen angewiesen wäre. Zweitens wäre anderenfalls das Sicherheitsproblem bereits durch die Veröffentlichung auf dem DNS-Server entstanden, und dafür kann man kaum denjenigen verantwortlich machen, der lediglich hinschaut.
Hoffentlich fragen deutsche Richter jemanden, der sich damit auskennt, bevor sie jemanden verknacken, dessen Werkzeuge sie nicht verstehen.
Nachtrag: Und so finden Kommandozeilenganoven ihre KompliziInnen.
Archive können täuschen
Und gleich noch ein Eintrag zum Thema Datenforensik. Im RISKS Digest vom 7. Januar 2008 (Volume 25, Issue 1) weist Fred Cohen auf die geringe Beweiskraft von HTML-Archiven hin. Konkret geht es um archive.org, auch bekannt als WayBack Machine. Das ist ein Dienst, der ab und zu Schnappschüsse von Seiten im Web nimmt und sie archiviert. Seine Nutzer können so einen Blick zurück in die Vergangenheit des Web werfen. Seiten in diesem Archiv kann Cohen nachweislich manipulieren. Seine Demonstration ist überzeugend: in einer archivierten Seite aus dem Jahr 1997 lässt er eine Grafik erscheinen, die damals noch ungeschehene Ereignisse wie 9/11 und Al Gores Nobelpreis nennt.
Der Trick ist so simpel, dass er gar keiner ist. Archiviert ist nämlich nur der HTML-Quelltext von damals. Enthält er Bildreferenzen, so zeigen diese nach wie vor auf die ursprüngliche Adresse. Jedoch garantiert nichts und niemand, dass dort noch dasselbe Bild liegt oder derselbe Server steht. Beim Anzeigen der archivierten Seite aber wird sich der Webbrowser nicht um solche Erwägungen kümmern, sondern die Referenz einfach verwenden und versuchen, von dort ein Bild zu laden. Hat er Erfolg, so zeigt er es auch an. Falls man statt eines Bildes JavaScript-Code in die archivierte Seite injizieren kann, was unter diesen Voraussetzungen nicht allzu schwer ist, dann hat man sogar den kompletten Inhalt unter Kontrolle.
Die Aussage des Archivs hängt also davon ab, unter welchen Randbedingungen man es auswertet. Einfach hinzuschauen genügt nicht. Man wird statt dessen sehr sorgfältig prüfen müssen, auf welche anderen Daten der archivierte HTML-Code verweist, welchen Einfluss diese Daten auf die Präsentation und damit den sinnlich wahrnehmbaren Seiteninhalt haben, und inwieweit sich aus dem archivierten Material eine aussagekräftige Ansicht rekonstruieren lässt. Im schlimmsten Fall, so ein Beispiel lässt sich konstruieren, genügt eine einzelne ungesicherte Referenz, das ganze archivierte Material für Beweiszwecke wertlos zu machen. Juristen dürfte das, je nach Rolle bzw. Mandat, entweder freuen oder ärgern.
Das Problem ist nicht neu, wir kennen es als das Präsentationsproblem von den digitalen Signaturen. Es betrifft viele moderne Datenformate, deren Interpretation von Randbedingungen abhängt.
Vorsicht DachHai!
Die Eigenheimbesitzer unter unseren Leserinnen und Lesern warnt Dexheimer Inside vor den DachHai und erklärt, was im Falle einer Begegnung zu tun ist. Die gute Nachricht daran ist, dass man den DachHai leicht erkennt, die schlechte, dass er trotzdem oft genug sein Fressen findet und nicht ausstirbt.
Vorratsverdacht, Verdachtsvorrat
Schwierigkeiten, Unklarheiten und Denkfallen bei der Interpretation gespeicherter Daten waren schon einmal Thema in unserem Blog. Plastischer wird das Problem vielleicht, wenn man es sich an eigenen Datenspuren veranschaulicht. Bloggerin Ari macht es vor und kommt zu dem Schluss:
»Na bravo: Mit den Augen des Vorratsdatenspeicher-Kriminal-Ermittlers bin ich jetzt also ein rechtradikaler Scientologe mit Kontakten zur russischen Sex-Mafia.
Ob mich das verdächtig macht???«
Man müsste es pro forma vielleicht noch mal empirisch untersuchen, aber als Eindruck kann ich jetzt schon sagen: die ganzen »Sicherheits«maßnahmen der jüngeren Vergangenheit schaffen augenscheinlich genau das Gegenteil. Unsicherheit nämlich, Unsicherheit darüber, welche Folgen ein Handeln heute haben kann, das bis gestern keinen etwas anging.
Wieder eine Angst weniger
Jahre-, ach was, jahrzehntelang sorgten wir uns um unsere körperliche und geistige Gesundheit und konnten uns doch niemandem mitteilen. Jetzt, endlich, erlöst uns die Frankfurter Rundschau. Herzlichen Dank, uns fällt ein Stein vom Herzen. Obwohl, woran genau erkennt man eigentlich, dass die Ersatzhandlung neurotisch wird?
Populäre WLAN-Irrtümer
Kurz verlinkt:
Christoph Wissing klärt Populäre WLAN-Irrtümer auf. IT-Experten dürften wenig Neues lernen, Laien schon.
Vertrauen Sie niemandem
Eine kurze Erinnerung zwischendurch: vertrauen Sie niemandem, auch nicht der Feuerwehr. Vielleicht wollen Ihnen die netten Herren nur teure Rauchmelder andrehen. Bevor Sie Feuerwehrleuten etwas abkaufen, lassen Sie sich entweder ihren Ausweis zeigen, oder das Feuer.
Scareware
Die Masche ist bekannt: irgendwo im Netz stößt man auf eine Website, die einen kostenlosen Sicherheitscheck verspricht. Dazu lädt man sich ein Program herunter und führt es aus. Dieses Programm findet tatsächlich eine Reihe von Sicherheitsproblemen oder behauptet das jedenfalls. Und es hört mit dem Behaupten gar nicht mehr auf, denn das Opfer soll auf jeden Fall die »Vollversion« kaufen, von der es heißt, sie könne die gefundenen Probleme beseitigen.
Seit es diesen Betrug auch für den Mac gibt, hat er sogar einen schönen Namen: Scareware.
Attitude Adjustment Needed?
[Notice for our international readers]
I have no idea what went wrong today when a British Airways jet crashed short of the runway in London Heathrow. Nobody does at this point, we’ll have to wait for the results of a thorough investigation as will undoubtedly be carried out for this crash like for any other. This is the way the aviation community learns from mistakes all around the world.
So there would be not much to say about this accident, hadn’t I tripped over a statement that BBC News quotes prominently in their online coverage of the events, attributed to David Learmount, Air transport expert:
»BA pilots don’t make error of judgements of that type, especially not at the home base, let alone anywhere else«
This is not the appropriate attitude towards safety and the causes of accidents. In reality, pilot or flight crew error is the primary cause of accidents in aviation. At this point, let me repeat myself, we don’t have the slightest idea what caused this crash, but we know for sure that even BA pilots make errors of judgement, perhaps even of this particular type.
To be fair, according to my experience with the media, this sentence is one short snippet selected by a journalist out of a longer conversation. It may not entirely represent what had been said and our air transport expert may be innocent. However, in the particular way in which it appears on the BBC page, emphasized through page layout and ripped out of its possible context, it is just plain wrong.
Update:
- The Man in a Shed points out: »It is worth speculating as to why all BA 777’s and other airline 777s haven’t been grounded given the reported total electrical failure of the aircraft. Perhaps something is known about the cause after all.« I’m afraid he might have wrong expectations about aircraft being grounded. This is not the common reaction to any incident or accident unless it is obvious that there would be a high, immediate danger in not doing so.
- Kevin Anderson criticizes the Times‘ coverage of the events.
- Holly of PlaneBuzz discusses the many ways in which this accident is perplexing. This is exactly why it needs to be investigated.
- Juan Antonio Giner of Innovations in Newspapers noticed a BA ad in the middle of a news report on the accident, and has further comments on the reporting.
- Jon, too, complains about the style of reporting and recommends that we wait for the results of the investigation.
Wie übersetzt man »trusted« richtig?
Im Englischen kann man ohne sprachliche Verrenkungen zwischen trusted und trustworthy unterscheiden. Trotzdem kriegen es viele nicht richtig hin. Auf Deutsch ist das noch viel schwerer. Trustworthy lässt sich noch entspannt und korrekt mit vertrauenswürdig übersetzen: das bedeutet, dass etwas Vertrauen verdient, dass Vertrauen – ganz gleich, ob man es tatsächlich hat oder nicht – jedenfalls nicht enttäuscht würde. Ob jemand oder etwas vertrauenswürdig war, wissen wir zuverlässig immer erst hinterher, wenn uns das Ergebnis wovon auch immer gezeigt hat, dass unser Vertrauen gerechtfertigt war. Meine Bank zum Beispiel hat sich in der Vergangenheit als vertrauenswürdig erwiesen. Viel spricht dafür, dass sie es auch in Zukunft bleiben wird, aber hundertprozentig weiß ich das jetzt noch nicht.
Für die Zukunft muss ich meiner Bank vertrauen: ich vermute oder hoffe, dass sie sich als vertrauenswürdig erweisen wird, und handle jetzt schon so, als sei sie es. Ich könnte mich statt dessen auch bei einer anderen Instanz absichern, hätte dort aber dasselbe Problem. Meine Bank, oder die andere Instanz, ist damit trusted. Meine Sicherheit hängt davon ab, dass sie sich wie erhofft verhält. Tut sie es nicht, bricht mein Sicherheitskonzept zusammen. Ein anschauliches Beispiel gibt es hier. Der Übersetzer ist trusted, jemand vertraut ihm. Er ist aber nicht trustworthy, denn er enttäuscht dieses Vertrauen.
Für diese Rolle in der Vertrauensbeziehung hätte ich gern ein deutsches Adjektiv. Vertraut passt nicht. Abhängig ist gerichtet und genau umgekehrt: ich bin abhängig von dem, dem ich vertraue. Im Einzelfall kann man sich vielleicht in Umschreibungen retten, aber darunter leidet die Verständlichkeit. Einfach trusted zu benutzen ist auch nicht besonders schön, das Lesen macht dann keinen Spaß mehr. Betraut oder verantwortlich ginge vielleicht, wenngleich mir beides unüblich scheint. Wie lösen unsere geschätzen Leserinnen und Leser dieses Problem?
Eingreifen?
Sie kreischt. Er schreit. Es rummst. Ich warte, Johannes Gernert über Zivilcourage im Mehrfamilienhaus. Eingreifen ist gar nicht so einfach, wenn es mal wirklich nötig ist.
Uns geht’s wohl zu gut
27 Milliarden Euro.
Das ist das jährliche Marktvolumen für Glücksspiel in Deutschland. Jeder Durchschnittliche unter uns riskiert also 337 Euro im Jahr – für Spiele, über die jeder in der Schule gelernt hathaben könnte, dass sie stets Geld von den Teilnehmern zu den Veranstaltern bewegen und nur einen Teil davon in wieder die andere Richtung. 27 Milliarden Euro geben wir jedes Jahr aus in der statistischen Gewissheit, einen nennenswerten Teil davon zu verlieren. Sogar die als geisparsam geltenden Schwaben machen mit.
Zum Vergleich: der Klimawandel könnte die deutsche Wirtschaft bis zum Jahr 2050 nach düsteren Prognosen 800 Milliarden Euro kosten, das sind grob überschlagen 20 Milliarden im Jahr. So gesehen ergibt es fast einen Sinn, dass wir einige Energie in die Regulierung des Glücksspiels investieren, kostet es uns doch mehr als unsere derzeitige Lieblingskatastrophe.
Wahlcomputer: die FAQ als Lackmustest für Bullshit
Woran erkenne ich, wie gründlich jemand nachgedacht hat? Nun, im Netz bietet sich die jeweilige FAQ an, die Liste häufig gestellter Fragen. In der Blütezeit des Usenet und der Mailinglisten, in den 80er und 90er Jahren des letzten Jahrhunderts also, handelte es tatsächlich noch um häufig gestellte Fragen. Heute ist daraus ein Stilmittel für Online-Texte geworden und es handelt sich in aller Regel um antizipierte Fragen. Das ist gut, denn eine so entstandene FAQ gibt uns tiefen Einblick in die Gedankenwelt ihrer Autoren. Man kann sie als Lackmustest für das Problemverständnis und die Komplexität einer Lösung verwenden. Das haben wir bereits früher festgestellt. Interessanter als die Antworten sind dabei die Fragen selbst, vor allem auch die nicht gestellten.
Wahlverfahren sind ein Gebiet, auf dem so ein Lackmustest gut funktioniert. Nötig ist er: leider fühlen sich Ingenieure und Informatiker von aktuellen Themen angespornt, mal schnell ein paar Lösungsansätze zu skizzieren. Die sind dann oft nicht zu Ende gedacht; heraus kommen Kindereien wie das Bingo Voting des E.I.S.S. der Uni Karlsruhe. Als wissenschaftliche Fingerübung ist so etwas gewiss akzeptabel, aber der Öffentlichkeit präsentiert man es bereits als Lösung, für welches Problem auch immer. Sogar eine eigene Domain hat man schon reserviert, als wolle man bald eine Firma gründen und ein Produkt daraus machen. Der Heise-Ticker berichtete, und im Forum dazu stehen bereits allerlei kluge Kommentare. Wie gesagt, Diskussion und Untersuchung sind vollkommen legitim, man muss die Sache nur richtig einordnen.
Wahlcomputer: die FAQ als Lackmustest für Bullshit weiterlesen
Angstneurose und Religion
Eine gern gepflegte Angst der Deutschen ist die Angst vor Scientology. Wie jede Angst sollte man auch diese bei Gelegenheit hinterfragen, vielleicht ist sie ja irrational. Das hat Beda M. Stadler auf der Achse des Guten versucht – aus einer atheistischen Position. Seine Schlussfolgerung:
»Wer Scientology verbieten will, muss auch die klassischen Kirchen und sämtliche Sekten abstrafen. Sie alle verfechten merkwürdige Dogmen, nehmen ihre Mitglieder aus, betreiben allerlei Hokuspokus und sind wissenschaftsfeindlich…«
»So‘n paar Risiken muss man eingehen«
Wovor haben wir eigentlich Angst und warum? Das ist eine Frage unter anderem für Soziologen. Professor Heinz Bude ist ein solcher. Im Interview in der Weihnachtsausgabe der taz berichtet er, dass seine Studenten ihm nicht glauben, wenn er ihnen eine rosige Zukunft prophezeit.
Klimaglaube und Medienwirkung
69 Prozent der Deutschen erwarten eine Klimakatastrophe, meldete Spiegel Online im Sommer 2006. Inzwischen dürften es noch einige mehr sein, denn 2007 war das Klima ein Dauerbrenner in den Medien. Ein Musterbeispiel gelungener Risikokommunikation auf der Grundlage wissenschaftlicher Erkenntnisse?
Keineswegs. Wie wir aus einer anderen Umfrage wissen, sind 70% der Deutschen religiös. Siebzig Prozent unserer Mitbürger glauben also alles, wenn es nur gut genug verpackt ist. Die Kunst des Verpackens aber haben die Medien so weit perfektioniert, dass es sogar Wissenschaftlern unheimlich wird, die eigentlich keine Angst vor den Medien haben und sich auch schon mal mit der Achse des Guten anlegen.
Was auch immer die Wissenschaft herausfindet oder diskutiert, für die Medien ist es bestenfalls ein Anlass zu eigenen Geschichten. Ganz gleich ob man Katastrophiker, Skeptiker, gleichgültig oder etwas anderes ist, die Mainstream-Medien sind eine ganz schlechte Quelle zur Meinungsbildung. Ob wir tatsächlich ein Problem haben oder nicht und wie sicher oder unsicher die Prognose ist, wird man dort nicht erfahren. Wer eine seriöse Risikoschätzung braucht, muss sich selbst mit den Klimaforschern und ihren Kritikern auseinandersetzen. So viel Zeit muss sein.
Terror-Thermometer
Fefe zählt Terror in den Nachrichten. Das kommt dabei heraus. Jeder Kommentar erübrigt sich.
Gefühlte Sicherheit oder wie man sich seines Aberglaubens vergewissert
Was würden Sie tun, wenn Ihnen jemand einen zerrissenen Sicherheitsgurt zeigt und Ihnen sagt, dieser habe ihm bei einem Unfall das Leben gerettet? Wenn jemand auf den zersplitterten Kunststoff seines verunfallten Trabis weist und gleiches behauptet? Sie würden ihm wahrscheinlich einen Vogel zeigen. Jeder weiß doch, wie die wichtigsten passiven Sicherheitsfeatures am Auto funktionieren. Die Knautschzone nimmt durch Verformung Energie auf und sorgt dafür, dass die Fahrgastzelle beim Aufprall weniger abrupt gebremst wird. Der Gurt hält die Insassen darin fest, damit sie sich nicht selbständig und die Knautschzone wirkungslos machen.
Für Helmträger auf Fahrrädern gelten andere Gesetze, oder jedenfalls glauben sie das. Von ihnen hört man regelmäßig genau solche Berichte. Über ein Musterbeispiel bin ich am Wochenende gestolpert. Das Foto gibts bei Flickr, den zugehörigen Unfallbericht hier.
Gefühlte Sicherheit oder wie man sich seines Aberglaubens vergewissert weiterlesen
Sicher ist sicher? 
