Archiv der Kategorie: Psycho

Irgendwas tun

Angst, Risiko, Security

Das lesen wir selten so deutlich:

»Kameras helfen gegen Leute, die unerkannt bleiben wollen, etwa Diebe. Amokläufe sind aber keine geheimen Taten, sondern bewusst öffentlich. Metalldetektoren nützen wenig, wie auch Wachmänner. An der Schule von Jeffrey Weise gab es Metalldetektoren und Wachmänner. Jeffrey erschoss einen von ihnen, auch der Metalldetektor hielt ihn nicht auf.«

(Spiegel Online: Schüler als Mörder: Was Amokläufer antreibt)

Sicherheitsmaßnahmen haben spezifische Wirkungen unter spezifischen Bedingungen. Sind die zugrundeliegenden Annahmen verletzt, werden die Maßnahmen wirkungslos. Manche Annahmen kann ein Täter verletzen, ohne sein Ziel zu ändern. Andere gelten für einen Teil der möglichen Taten, der Sicherheitsmechanismus wählt dann gewissermaßen aus, welche Täter noch zum Zuge kommen.

Madrid im Hinterkopf

Angst, Security, Unterwegs, , , ,

Eben sollten wir noch Angst haben angesichts der Videodrohung eines bartlosen Islamisten. Gleich darauf dürfen wir uns aber wieder sicher fühlen. Auf dem Frankfurter Flughafen und dem Hauptbahnhof blicken wir in die Mündungen von Maschinenpistolen, und es sind die Maschinenpistolen unserer Freunde und Helfer:

»Seit Freitag müssen sich Reisende in der Main-Metropole an ein neues Bild gewöhnen: Bundespolizisten mit schweren Schutzwesten und Maschinenpoistolen schreiten in den Hallen des Frankfurter Flughafens und an den Gleisen des Frankfurter Hauptbahnhofs umher. „Es geht um die Präsenz, wir wollen den Reisenden Sicherheit geben“, rechtfertigt eine Sprecherin des Bundespolizeipräsidiums die verschärften Sicherheitsmaßnahmen.«

(HR: Nach Terror-Drohung: Bewaffnete Polizisten patrouillieren)

Gegen eine angemessene Bewaffnung der Polizei ist nichts einzuwenden, sie ist manchmal leider nötig. Dennoch ist von dieser plakativen Maßnahme kaum ein Sicherheitsgewinn zu erwarten. Man habe »Madrid im Hinterkopf,« heißt es wenig später im Text, aber das ist doppelt falsch: erstens hat man es nicht oder nur sehr vage, und zweitens würde das auch nichts nützen.

Wir erinnern uns. In Madrid fuhren die Bomben in Nahverkehrszügen in den Bahnhof. Wer das im Hinterkopf hätte, verspräche sich von Maschinenpistolen auf den Bahnsteigen des Hauptbahnhofes wohl wenig. Ein Terrorist könnte sie getrost ignorieren und an irgendeinem Vorortbahnhof mit seiner Bombe in die S-Bahn steigen. Und selbst wenn er das nicht könnte, warum sollte ein Terrorist auf Züge, Bahnhöfe oder Flughäfen fixiert sein? Wer viele Menschen auf einen Schlag treffen möchte, kann auch Samstags auf die Zeil gehen. Oder zur IAA aufs Messegelände. Oder in die Oper. Oder zur Konsumtempeleröffnung nach Weiterstadt. Oder, oder oder.

Weder gibt es eine besonders große Bedrohung; selbst wenn sich tatsächlich gerade entschlossene Terroristen auf ihren großen Tag vorbereiten, bleibt das individuelle Risiko gering. Noch tragen die Polizisten mit Maschinenpistolen nennenswert zur Risikoreduktion bei. Sie helfen nur den Verantwortlichen, ihre Verantwortung zu tragen.

Digital Cold Reading: The CSS History Hack

English, IT, Phishing, Security, Wahrnehmung, ,

[See only posts in English]

Cold reading is a technique used by mentalists to simulate psychic powers and impress people. Essentially, the cold reader is supplying words and the other person supplies their meaning as well as hints for the reader.

The CSS history hack, which seems to impress quite a few people, is nothing more than the Web’s version of cold reading. Your impression is that any Web site can read your browser history. Now there is indeed an information leak and no Web site should get access to history information. But this leak is very small. It doesn’t reveal the history altogether to anyone daring to ask. The CSS history issue only gives us an oracle. We can ask the oracle whether a particular URL is in the history or not. So to find out that you’ve read this blog post we would have to ask the oracle about the precise URL of this post.

Nonetheless demonstrations of the history hack impress people. The trick is simple and similar to the cold reading technique. History hack demos use a set of URLs that leads to a hit for almost every Internet user on the world: Google, YouTube, Microsoft, Wikipedia, Flickr, Apple, Slashdot, Amazon, and so on. A mentalist would guess and suggest these until you start giving feedback on which to hook. The CSS history hack replaces this interaction with asking the oracle to avoid wrong guesses. The trick is really to use a set of Web sites that guarantees a hit, and use a minor information leak to remove the wrong guesses from the set that would spoil the effect. This works well with the top 20/top 50/top 1000 sites on the Web, but it won’t scale to arbitrary URLs.

Car-Security

English, Erich fragt, Forschung, Freundlich zum Nutzer, Safety, Security, Vertrauen

Yesterday I visited the CAST-Workshop on mobile security for intelligent cars, which ended with a very interesting discussion that illustrated the complexity of the problem and raised many interesting questions. First the speakers gave a good overview over the main research areas and important projects like Evita or SIM-TD, which is said to be the biggest field test world wide, that focusses on car-2-x-communication. Everybody agreed on the main distinctions (Safety vs. Security; in-car communication, car2car communication, etc.) and privacy issues were the main topic. As Frank Kargl  from the University of Ulm pointed out, the car has a strong connection to its owner and its movements might tell a lot about the individual. Already privacy concerns have entered the car world, because navigation tools send home gps information and companies like Tom Tom generate a large data collection.

Car-Security weiterlesen

»Minister Tatenlos«

Angst, Begriffe, Regierungsviertel, Risiko, , , ,

Schäublone-Erfinder Dirk Adler im Interview (via Isotopp) über die mutmaßlichen Motive des Innenministers:

»Ich glaube, er fürchtet sich davor nach einem Terroranschlag hier in Deutschland als Minister Tatenlos da zu stehen. Seine Verantwortung für die Sicherheit treibt ihn an alle möglichen Hebel in Bewegung zu setzen, ob sie nun die richtigen sind oder nicht.«

Ich nenne das mal vorläufig Visible Precaution Bias und meine damit die bereits früher beschriebene Tendenz verantwortlicher Amtsträger, sichtbar Vorsichtsmaßnahmen zu ergreifen, auch wenn diese Maßnahmen objektiv keinen Sinn haben.

Kennt jemand Ansätze im Risikomanagement, die solche Effekte berücksichtigen und systematisch korrigieren?

Risikoperspektive

Angst, Freundlich zum Nutzer, Regierungsviertel, Risiko, Sicherheitshinweise, Unterwegs, Wahrnehmung, , , , ,

Über die Tipps des Auswärtigen Amtes zur Redution des persönlichen Terrorrisikos wollte ich mich auch noch lustig machen. Muss ich aber nicht, denn Burkhard Müller-Ullrich hat über diese CYA-Aktion bereits alles gesagt:

»Nochmal zum Mitschreiben: Das Außenministerium rät Mallorca-Urlaubern, Menschenansammlungen zu meiden. Man fragt sich, ob der Verfasser dieses Ratschlags schon mal auf Mallorca war und was er sonst noch von der Welt weiß.«

(Die Achse des Guten: Menschenmassen meiden!)

Tatsächlich geht es wohl gar nicht gar nicht darum, brauchbare Sicherheitshinweise zu geben. Das wäre weder nötig noch praktikabel, denn das persönliche Risiko ist auch nach den Knallfröschen vom Wochenende gering und jede weitere Reduktion mit übergroßen Kosten verbunden. Aber ein zuständiges Amt traut sich nur selten, einfach mit den Schultern zu zucken und unvermeidliche Risiken auf sich beruhen zu lassen. Irgendetwas muss man vorher tun, damit einem später keiner vorwerfen kann, man habe nichts getan. Risikointuition nennen wir das, und sie ergibt sich stets aus der persönlichen Perspektive des Handelnden. Wobei der Begriff Intuition vielleicht falsch ist, denn der Kern des Problems ist nicht die intuitive Bewertung des Risikos, sondern dessen Betrachtung aus der individuellen Perspektive.

Can We Say »Don’t Worry«?

Angst, English, Erich fragt, Geschäft, Risiko, Wahrnehmung

[See only posts in English]

Freeman Dyson, being interviewed about his climate catastrophe skepticism, claims that some professions have trouble shrugging off issues as unimportant. He thinks there be a natural tendency to magnify threats:

»Really, just psychologically, it would be very difficult for them to come out and say, “Don’t worry, there isn’t a problem.” It’s sort of natural, since their whole life depends on it being a problem. I don’t say that they’re dishonest. But I think it’s just a normal human reaction. It’s true of the military also. They always magnify the threat. Not because they are dishonest; they really believe that there is a threat and it is their job to take care of it.«

(Freeman Dyson Takes On The Climate Establishment)

Obviously, computer security is another candidate. Paranoia is the norm in our subculture, we love to carry a better safe than sorry attitude. To an extent this attitude is justified by experience; there are many case studies of security not being taken seriously, leading to epic fail. Yet, more security technology is not always better. Do we have tools to reasonably say: »Don’t worry,« and justify our recommendation based on facts?

4 Prozent

Angst, Datenschutz, ID, Wahrnehmung, Zahlenspiele, ,

Glücksbürokraten finden es besorgniserregend, dass Kinder und Jugendliche in sozialen Netzen die informationelle Selbstbestimmung üben und Muttis Mahnungen dabei gerne ignorieren. Sorglos seien die Selbstbestimmer, man müsse ihnen mehr Angst machensie stärker sensibilisieren. Eine Begründung aber bleiben sie uns schuldig. Die handfesten Probleme durch selbstbestimmt veröffentlichte Daten im Netz halten sich anscheinend sehr in Grenzen:

»Schlechte Erfahrungen mit der Veröffentlichung ihrer Daten hätten die Befragten kaum gemacht, weiß Medienpädagogin Maren Würfel, nur 4 Prozent haben sich laut Umfrage darüber beschwert.«

(Heise Online:
„Besondere Herausforderung“ soziale Netzwerke)

Könnten wir uns dann vielleicht wieder echten Problemen zuwenden?

PS: Isotopp hat einen Artikel über unterschiedliche Schutzziele von Eltern und Kindern ausgegraben.

Compliance leicht gemacht

Freundlich zum Nutzer, Geschäft, IT, Regierungsviertel, Security, Wahrnehmung, , ,

Microsoft hat den .NET Messenger für Nutzer in Kuba, Syrien, Iran, Sudan und Nordkorea gesperrt. Diese Länder unterliegen einem Embargo der Vereinigten Staaten; US-Firmen dürfen mit ihnen keine Geschäfte machen. Manche finden das hirnrissig (das ist es auch, aber es ist Gesetz), während andere die Umsetzung für hirnrissig halten. Microsoft benutzt nämlich einfach die im Profil hinterlegte Landeseinstellung des Nutzers, und die ist frei wählbar.

Diese Implementierung ist aber nicht hirnrissig, sondern vollständig rational und typisch für Compliance-Probleme. Security dreht sich um die Lösung eigener Probleme, die Durchsetzung eigener Interessen mit technischen und organisatorischen Mitteln. Diese Mittel sollen – im Rahmen des jeweils vertretbaren Aufwandes – effektiv sein, also böswillige Angriffe tatsächlich abwehren. Dabei besteht ein direkter Zusammenhang zwischen den erwarteten Schäden durch Angriffe und dem vertretbaren Aufwand.

Compliance hingegen erfordert die Wahrung fremder Interessen, auferlegter Regeln und Anforderungen. Zu eigenen Interessen eines Unternehmens werden sie erst aufgrund angedrohter Zwangsmaßnahmen. Effektivität ist auch hier das Ziel, aber maßgeblich sind nun nicht mehr die direkten Auswirkungen, sondern die angedrohten. Die sind willkürlich festgelegt.

Ein Unternehmen, das Compliance erzielen möchte beziehungsweise muss, wird deshalb jeweils zum einfachsten und billigsten Mittel greifen, das die angedrohten Zwangsmaßnahmen genügend zuverlässig abwehrt. Dieses Mittel muss keinen realen Effekt haben. Es muss lediglich die Kontrolleure zufriedenstellen. Die Lösung von Microsoft für das Compliance-Problem des Messengers leistet dies vermutlich.

Das tatsächliche Problem ist damit vorerst gelöst. Ob Kubaner, Sudanesen oder Nordkoreaner mit dem .NET Messenger chatten, ist dagegen nur ein Scheinproblem. Ohne Compliance-Zwänge wäre es Microsoft einfach egal. Aus geschäftlicher Sicht gäbe es keinen Grund darüber auch nur nachzudenken.

Heilig’s Maßnähmle

Angst, IT, Security, , , , ,

Großes Palaver unter IT-Verantwortlichen. Es geht um die unternehmensweit auf allen Arbeitsplätzen eingesetzte Antivirus-Software. Beim Zugriff auf eine bestimmte interne Web-Anwendung verursacht sie Performance-Probleme. Jemand hat vorgeschlagen, gezielt für diese Situation und nur dafür eine Teilfunktion des Virenscanners zu deaktivieren.

Im Grunde genommen ist man sich einig und hält den Vorschlag für ein Sakrileg. Sicherheitsmechanismen zu deaktivieren komme überhaupt nicht in Frage. Rationale Erwägungen über das Risiko sowie über Sinn, Zweck und Wirkung der Maßnahme spielen keine Rolle. Statt dessen versucht man einander zu übertreffen im Ringen um die schönste Begründung. Der Tenor: wenn man bei der Sicherheit einmal einen Kompromiss mache, gehe sicher bald das Abendland unter.

In diesem Fall war es nicht allzu schwer, den Weg zurück zu einer sachlichen Betrachtung zu weisen. Wovor ein Antivirus-Programm schützt beziehungsweise eben nicht schützt, ist schnell erklärt, und was danach an Szenarien übrig bleibt, gehört in die Kategorie Movie Plot.

Ich hätte aber schon gerne ein Werkzeug, eine Methode, um den Verzicht auf eine Sicherheitsmaßnahme nicht nur im Einzelfall gut zu begründen. So etwas brauchen wir dringend, denn Verantwortliche entscheiden selten unvoreingenommen. Für sie ist eine Maßnahme stets besser als keine Maßnahme. Kommt es wider Erwarten zu einem Vorfall, dann wird er in der befürchteten Interpretation trotz der ergriffenen Maßnahmen geschehen, aber wegen der nicht ergriffenen.

Wie also begründet man sauber, dass man eine verfügbare Sicherheitsmaßnahme nicht ergreift, ohne sich auf phantasievolle Kosten- und Risikoschätzungen zu stützen?

Unterschätzte Risiken: Wissenschaft, Zufall und CYA

Angst, Forschung, Nebenwirkung, Propaganda, Unterschätzte Risiken, , , , ,

Die NZZ von gestern (2009-05-15) erklärt uns die Mechanismen, die vom Gedankenspiel eines Wissenschaftlers zur landesweiten Panik mit einigen Hundert Todesopfern führen können. Als Beispiel dient die Schweinegrippe – nicht jene aktuelle, die gerade in den Randspalten versickert, sondern die von 1976. Damals kam es in den USA zu einer großen Impfkampagne. Sie war wahrscheinlich unnötig, hatte aber vereinzelt Nebenwirkungen , die sich zu einigen Hundert Toten summierten.

Neben einigen Zufällen lagen die Ursachen im CYA-Bias von Behörden und Politik, der auf wilde Spekulationen eines Wissenschaftlers traf. Wobei sich die Spekulation im Rahmen des Zulässigen bewegte. Zeitreihenanalyse nennt man es, wenn man nach Mustern in einem Zeitverlauf sucht und diese in die Zukunft projiziert. Das kann interessant sein, aber zu mehr als zur Hypothesenbildung taugt es kaum. Schlecht, wenn es alle für bare Münze nehmen, nur weil es in der Zeitung steht und den Stempel Wissenschaft trägt.

Das Fazit des Artikels:

»Angesichts der unheilvollen Dialektik von voreiliger Aufregung und nachträglicher Beschwichtigung scheint eine zentrale Aufgabe der Zukunft darin zu bestehen, nicht nur exzellente Universitäten zu schaffen, sondern auch besonnene Wissenschaften zu ermöglichen, die zur Absicherung ihrer Erkenntnisansprüche keiner Mobilisierung von Ängsten bedürfen.«

(NZZ: Unbezwungene Ungeheuer, Die Schweinegrippe und die Konjunkturen des Schrecklichen)