Archiv der Kategorie: Psycho

Unterschätzte Risiken: Käse

Angst, Safety, Unterschätzte Risiken, , ,

Hand aufs Herz: haben Sie Angst vor Käse aus dem Supermarkt? Nein? Sollten Sie aber, denn Käse kann Sie umbringen:

»Alarm bei Lidl: Der Discounter hat erneut vor dem Verzehr von zwei Käsesorten gewarnt, die offenbar mit gefährlichen Bakterien verseucht sind. An ihnen sollen bereits sechs Menschen gestorben sein, die Symptome ähnelten zunächst denen einer Grippe.«

(Welt Online: Lebensmittel: Mehrere Todesfälle – Lidl ruft Käse zurück)

Die gefährlichen Bakterien sind Listerien, und wenn die Infektion Symptome zeigt, ist der Käsekauf vielleicht längst vergessen.

Sicherheitsnichtmanagement

Datenschutz, Geschäft, IT, Security, Vertrauen, , ,

Ein virtuelles Callcenter aus Heimarbeitern, in dem die Gattin des Geschäftsführers die offenherzige Pressesprecherin gibt. Ich mag nich glauben, dass die Krisen-PR bei dieser Klitsche wesentlich besser funktioniert als der Datenschutz. Die sind ja überhaupt nicht organisiert.

»Die Ehefrau des Geschäftsführers von Value5, Dagmar Dehler, sagte WELT ONLINE, die Firma arbeite mit freien Mitarbeitern, die von zu Hause aus tätig seien: „Wir sind ein virtuelles Callcenter.“ Mit der Betreuung der Krankenkasse seien 60 Mitarbeiter befasst gewesen, die auch für andere Auftraggeber tätig seien.«

(Krankenakten zugänglich: So schlampig ging die größte BKK mit Daten um)

Unterschätzte Risiken: Leichtgläubigkeit

Biometrie, Datenschutz, Security, Unterschätzte Risiken, Wahrnehmung, , ,

Wenn sich ein Verbrecher Patrick nennt, dann bleibt der Polizei nichts anderes übrig, als alle Patricks in der Umgebung des Tatortes zu gentesten. Dass die Spur falsch, gar eine gezielte Irreführung sein könnte, auf die Idee kam man offenbar nicht:

»Hunderte Männer namens Patrick hatte die Wiesbadener Polizei nach der Vergewaltigung einer 17-Jährigen überprüft. Knapp zwei Jahre später hat sie den Täter gefunden – per Zufall. Patrick heißt er nicht.«

(HR: Zufallstreffer: Vergewaltiger heißt doch nicht Patrick)

Es sei nicht auszuschließen gewesen, dass der Name richtig sei. Dass die DNS-Rasterfahndung Blödsinn sein könnte, war offensichtlich aber auch nicht auszuschließen.

Im Informatikunterricht gefehlt

Begriffe, Off Topic, Wahrnehmung, Zwischenruf,

haben wohl die Journalisten, die uns seit Tagen mit Geschichten über Bibelverse auf amerikanischen Zielfernrohren nerven. Da stehen nämlich gar keine Bibelverse drauf. Sondern je nach Lieblingsparadigma Zeiger auf Bibelverse, Primärschlüsselwerte aus der Bibelverstabelle, Identifier für Bibelversobjekte oder irgendwas in dieser Art. Die ganze Aufregung dreht sich um Zeichenfolgen wie JN8:12 oder 2COR4:6. Wenn es wenigstens Hexspeak wäre…

Überraschend

Angst, Risiko, Safety, Zahlenspiele, , , ,

Angst ums Kind? Das ist oft Angst vor Unfällen, von der sich Eltern einschüchtern lassen. Die Realität:

»Krankheiten sind die häufigste Ursache von Schwerbehinderungen. Unfälle spielen dagegen keine Rolle. Nur 0,45 Prozent der schwerbehinderten Kinder und Jugendlichen haben sich ihre Beeinträchtigung bei einem Unfall zugezogen.«

(Finanztest 1/2010, S. 60)

Noch ein Grund, sich von Fahrradhelmen nicht zu viel Schutz zu erhoffen.

7.015.630.000-mal FKK für einen Terroristendarsteller

Angst, Propaganda, Risiko, Security, Zahlenspiele, ,

Irrationale Debatten um Sicherheitsutensilien werden anscheinend zur neuen Jahreswechselmode. Erregte vor einem Jahr der Skihelm die Medien, ist es diesmal der Nackigscanner. Eigentlich gibt es für die Debatte nicht einmal einen richtigen Anlass. Auslöser war ein unbeholfener, gescheiterter Anschlagsversuch in einem Flugzeug. Passiert ist nichts, deshalb brauchen wir neue Sicherheitsgroßtechnik?

Gewiss, wir reden über Konjunktive — hätte, könnte, wäre — wie in jeder Risikobetrachtung. Aber wir haben auch Daten: um mit derselben Wahrscheinlichkeit an Bord eines Flugzeuges Terrorismus zu erleben, mit der man am Boden vom Blitz getroffen wird, muss man im Jahr mehr als zwanzigmal fliegen. Und darin sind noch die gescheiterten Anschlagsversuche enthalten. Mit anderen Worten, selbst Vielflieger haben kaum eine realistische Chance, an Bord eines Flugzeuges zum Terroropfer zu werden.

Doch das liegt sicher nur an den bereits vorhandenen Sicherheitsmaßnahmen, den konfiszierten Wasserflaschen und Nagelscheren, nicht wahr? Nein. Terroristen haben keinen Grund, unsere Selbstmordbomber-an-Bord-Fixierung zu teilen. Im Gegenteil, kluge Terroristen werden etwas anderes tun als beim letzten Mal. Die Schlange vor der Sicherheitskontrolle zum Beispiel, mit Absperrbändern in die Fläche gefaltet, eignet sich vorzüglich für einen Selbstmordanschlag mit Sprengstoff. Doch Terrorismus ist so selten, dass wir auch dort keine Angst haben müssen.

Naked Truth

Angst, English, Erich fragt, Risiko, Security, Sicherheitshinweise, Stammtisch, Wahrnehmung

In the current discussion about the use of body scanners at airports (aka strip machines) many people seem to forget, that these scanners do not pose a remedy to the latest security threat, i.e. explosives. So I am amazed that in this day and age we still are preoccupied with knives and guns. And I ask myself, do we really need expensive technology to spot them? Are the Indians really the only part of the scenario that has changed? And isn’t touching my privates a bigger privacy infringement than taking a x-ray-picture?

Entenalarm

Angst, Events, Hackmeck, Nebenwirkung, Security, Stammtisch, Verschwörung, Wahrnehmung

„Ausweischip gehackt“ titelte die taz und brachte damit noch kurz vor Jahresende eine besonders schöne Falschmeldung zum CCC-Kongress  in Umlauf, die Detlev Borchers auf Heise prompt als Ente entlarvte. Auch wenn der Vortrag im Hacking-Track lief handelte es sich vorwiegend um eine Funktionsbeschreibung des neuen Personalausweises, denn in der Tat kann man Daten aus dem Ausweis auslesen – mit Berechtigungszertifikat. Das soll so sein.  Das Beispiel beweist einmal mehr, dass guter Technikjournalismus in Tagesszeitungen schwer zu finden ist. Gut, dass es noch Fachjournalisten wie Christiane Schulzki-Hadouti gibt, die zu ganz anderen Schlüssen kommt und einen Rückzieher beim CCC entdeckt. Übrigens: Die wichtigsten Daten kann man auch jetzt schon aus dem derzeitigen Ausweis auslesen – mit den Augen, die Daten sind nämlich aufgedruckt.

Spendenaufruf

Angst, Geschäft, Phishing, Preisschild, Risiko, , , ,

Zwei Euro im Monat für ein gutes Gefühl, das ist das Kerngeschäft der Versicherungswirtschaft:

»Oft reichen einige Minuten Surfen im Internet – und schon sind Ihre Bankdaten in die Hände von Betrügern gelangt. Phishing-Angriffe, die gezielt Online-Banking Kunden im Visier haben, verursachen immer wieder hohe Schäden.
(…)
Anfang 2010 bietet CosmosDirekt die passende Lösung: Den Konto-Schutzbrief, der Sie ab 2€ im Monat gegen die Plünderung Ihres Kontos schützt*. Er sichert alle Schäden aus dem Missbrauch Ihrer EC- und Kreditkarte sowie Ihrer Kontodaten ab.«

Für ungefähr dieselbe Summe bekommt man übrigens schon eine kleine Haftpflichtversicherung. Der Preis taugt also noch nicht einmal als Risikometrik.

600:500.000

Angst, Risiko, Security, Zahlenspiele, , , ,

Wieviel Angst müssen wir eigentlich vor Straßenraub haben? Hier sind die Zahlen für Leipzig (500.000 Einwohner) in den letzten Jahren:

»Ermittler gehen davon aus, dass die Zahl der Raubstraftaten in diesem Jahr erneut angestiegen ist, sich bei etwa 600 einpegeln dürfte. Im vorigen Jahr hatte die Kripo 547 Fälle registriert, 2007 waren es 590.«

(LVZ: Prügel für ein paar Euro: Etwa 600 Raubstraftaten in diesem Jahr)

Das sind ungefähr 1,2 Fälle auf 1000 Einwohnerjahre.

Umsonst gefürchtet

Angst, Datenschutz, Geschäft, , ,

Endlich räumt mal jemand mit den FUD-Geschichten vom googelnden Personalchef auf, der seine Entscheidung anhand längst verjährter Partyfotos aus Studententagen fällt:

»Es ist noch nicht lange her, da wurden Bewerber vor Personalchefs gewarnt, die angeblich nichts Besseres zu tun hatten als von morgens bis abends nach verfänglichen Partyfotos und peinlichem Privatkram im Internet zu stöbern.
(…)
Jetzt zeigt eine Studie, dass der Alarm übertrieben war. Denn bisher interessieren sich die wenigsten Personalexperten für soziale Netzwerke.«

(sueddeutsche.de: Soziale Netzwerke – Der Spion schläft)

Plausibel waren diese Geschichten ohnehin nie. Partyfotos liefern einfach keine relevante Information über einen Bewerber.

Kragen geplatzt

Angst, Risiko, Safety, Wahrnehmung, Zahlenspiele,

Ein überfälliger Flame an alle:

»Einzelne Todesfälle werden in der Presse geradezu zelebriert. Graphiken mit steil aufragenden Kurven signalisieren höchste Gefahr und zeigen, dass wir am Rande des Abgrunds stehen.Für Sammler von Beispielen, wie man Zahlen nicht interpretieren sollte, herrschen goldene Zeiten. Alles, wovor man Erstsemester warnt, wird geboten.

(…)

Fehlendes Wissen bedeutet Unsicherheit. Das scheint als Einladung verstanden zu werden, mit auf Glauben beruhenden Aussagen für Sicherheit zu sorgen. Zahlen und objektive Risikoabschätzungen sucht man oft vergeblich. Das könnte akzeptiert werden, wenn der Glauben als solcher deklariert und nicht als Wissensmogelpackung präsentiert würde.

(…)

Wie ein roter Faden zieht sich die Abneigung gegenüber Zahlen durch Berichte. Ein Grund mag die schlechte Datenlage sein, aber auch vorhandene werden ignoriert. Die gegenwärtig besten stammen von der Südhalbkugel. Erfahrungen und Zahlen des dort fast beendeten Winters geben keinen Anlass für Katastrophenszenarien.

(…)

Das diffuse Bild ist natürliche Folge der objektiven Unsicherheit. Verwerflich ist, dass diese Unsicherheit nicht als solche deklariert wird, sondern durch Ignoranz ein Bild von Sicherheit erzeugt wird, das mit der Realität nichts zu tun hat. Die gesellschaftliche Unfähigkeit, mit Risiken rational umzugehen, ist erschreckend.«

(sueddeutsche.de: Kranke Zahlenspiele)

Epic Fail

Geschäft, IT, Security, Vertrauen,

Unter der Überschrift: Die Illusion von Safer-Shopping nimmt Heise gerade das Online-Gütesiegel eines bekannten Anbieters auseinander:

»Nach der Datenpanne im vom TÜV Süd zertifizierten Online-Shop-System von Libri.de fanden sich nun Sicherheitslücken auf weiteren Sites, die das Safer-Shopping-Siegel tragen – und sogar auf dessen eigener Homepage. Neben Safer-Shopping.de waren Audible.de, ReifenDirekt.de und weg.de betroffen.«

Über Zertifizierung, Gütesiegel und den TÜV gab es hier ja schon einiges zu lesen. Als Sekundärliteratur empfehle ich noch: 10 Things Your Auditor Isn’t Telling You.

Höchstrichterliche Risikobewertung

Angst, Propaganda, Risiko, , ,

Nicht immer sind es Politiker und Staatsorgane, denen unsere Verfassungrichter zu vernünftigen Einschätzungen verhelfen muss. Was dem Innenminister recht ist, ist den Bürgern billig, und so haben Nachtfluggegner in Leipzig ihr Problem ein wenig aufgebauscht. Man sei von Terrorismus und Krieg bedroht, weil der Flughafen auch militärisch genutzt werden dürfe. Diesem Argument wollte das Bundesverfassungsgericht nicht folgen:

»Für die Karlsruher Verfassungsrichter war die behauptete Gefahr terroristischer Anschläge infolge der militärischen Nutzung des Transportflughafens jedoch so gering, dass dieser Umstand „nicht in die Interessensabwägung einbezogen werden“ müsse. Die Behauptung der Kläger, auf dem Flughafen Leipzig/Halle könne es zu regulären kriegerischen Auseinandersetzungen mit zivilen Kollateralschäden kommen, nannten die Bundesverfassungsrichter „völlig aus der Luft gegriffen“.«

(FAZ.NET: Flughafen Leipzig/Halle: Niederlage für Nachtfluggegner)

Liebe Sparkasse,

Geschäft, Phishing, Security, Vertrauen

dass Verified by Visa und MasterCard SecureCode Werbegags ohne sicherheitstechnischen Mehrwert für den Karteninhaber sind, wisst Ihr sicher selbst. Dass es eine Scheißidee ist, die überflüssige Registrierung dafür unter der Adresse https://secure5.arcot.com/ durch eine Organisation abwickeln zu lassen, die Eure Kunden nicht kennen können, muss man Euch aber offensichtlich noch einmal erklären. Ratet mal, was Ihr Euren Kunden damit beibringt.

Oder ist das gar nicht Euer Werk, sondern jemand hat Eure Websites gehackt?

.bank im neuen Gewand

Geschäft, Propaganda, Security, Vertrauen, ,

Sie haben .bank wieder ausgegraben, nur heißt es jetzt anders und die Zielgruppe ist neu. Wir erinnern uns: die Idee von .bank bestand im wesentlichen darin, ein Internet-Gütesiegel (Wunsch, Realität) ins DNS zu projizieren und anhand der Top-Level-Domain (TLD) kenntlich zu machen. Das schlägt man nun wieder vor, nur diesmal für die Domain-Registrare selbst. Hochsicherheitsadresszone nennt sich das dann, und einige der Anforderungen sind auch gar nicht dumm. Nur nützt es wenig, diese Anforderungen auf einzelne TLDs und ihre Registrare anzuwenden. Gauner nehmen dann eben eine andere TLD, wo diese Anforderungen nicht gelten. Oder eine Methode, bei der Adressen keine Rolle spielen, zum Beispiel Malware. Oder ein Botnetz, dessen Knoten in einer dieser Hochsicherheitsadresszonen liegen, denn ob das Gegenüber nicht ein Hund ist, weiß man am Ende als Nutzer auch dort nicht; über die Sicherheit der einzelnen Domains oder Hosts macht die Hochsicherheits-TLD nämlich keine Aussage.

Was also soll das Ganze bringen? Dem Nutzer sicher nichts. Er kann der Adresse keine verwertbare Zusatzinformation entnehmen, und selbst wenn er es könnte, würde er diese Information in aller Regel ignorieren oder sie würde keine Rolle spielen. Den Registraren damit aber auch nichts, denn niemand hat einen Vorteil davon, seine Domain bei einem teureren, weil „sicheren” Registrar zu kaufen. Im Gegenteil, in einer Hochsicherheitsadresszone muss sich keiner vorsichtshalber die Domains für seine Firmen- und Markennamen sichern, denn der Registrar soll die Berechtigung bei der Domain-Vermietung ordentlich prüfen. Dieser Teil des Geschäfts fällt ersatzlos weg, wenn alle rational handeln. Für wen also gibt es da bitteschön einen Business Case – mal abgesehen von den Auditoren und Beratern, denen sich offensichtliche Gelegenheiten bieten?

Wenigstens sind sie aber ehrlich (Hervorhebung von mir):

»Due to the risks involved measures will be needed to limit liability to ICANN. If established, ensuring public awareness of the limitations of the program in terms of not providing guarantees about the presence of malicious activity within a TLD must also be addressed.«