Archiv der Kategorie: Vertrauen

Kinderschützer züchten Forentrolle

Während die Bundesregierung hofft, das Vertrauen ins Netz durch sichere Authentizifierung mit dem elektronischen Personalausweis zu stärken, predigen Kinder- und Jugendschützer das Gegenteil. Man möge im Netz gefälligst unter einem Phantasienamen auftreten und keinesfalls so, wie man wirklich heißt. Die offensichtlichste Folge dieses gerne beherzigten Tipps dürfte verstärktes Cyber-Mobbing sein, denn im Schutz der Pseudonymität pöbelt es sich gleich viel leichter. Ein Großteil der sozialen Selbst- und Fremdkontrolle fällt weg, wenn sich jeder von sich distanziert und unter einem Phantasienamen versteckt. Nicht umsonst ist die Diskussion um Reralnamen vs. Pseudonyme so alt wie das Netz.

Zuerst aber stellt sich die Frage, was denn eigentlich so schlimm daran ist, sich im Netz unter dem Namen zu bewegen, den man seit seiner Geburt trägt. Was, außer dem guten Gefühl, etwas getan zu haben, gewinnt man dadurch? Was kann mit im Netz passieren, wenn ich meinen Namen verrrate, das mir unter einem Pseudonym nicht passieren kann, und warum ist das Auftreten unter einem Pseudonym eine korrekte und sinnvolle Lösung des Problems?

Wahlcomputer und die behauptete Fälschung

Kürzlich deutete ich in ein paar Nebensätzen die Möglichkeit an, Computerwahlen nicht tatsächlich zu fälschen, sondern eine Fälschung lediglich zu behaupten. Die Intransparenz wesentlicher Abläufe würde dafür sorgen, dass solche Anschuldigungen zwar nicht per se glaubwürdiger, aber schwerer zu widerlegen wären. Nun tut die CIA genau dies für einige der üblichen Verdächtigen, darunter zum Beispiel Venezuela. Kann ja sein, dass die Berichte alle korrekt sind, aber wenn ein Geheimdienst etwas verbreitet, weiß man nie so genau, was die Ziele sind und wieviel vom Gesagten wahr ist.

Die PrivacyBox

Kryptologie-Nerds mit ausgeprägter Paranoia dürfte die Lösung nicht überzeugen, weil sie grundsätzlich niemandem trauen und jeder hinter ihnen her ist, aber die Idee ist trotzdem gut:

»Die PrivacyBox soll es in erster Linie Journalisten, Bloggern und anderen Publizierenden ermöglichen, eine vorratsdatenfreie (und auch anonyme) Kontaktmöglichkeit für Informanten anzubieten. Sie steht aber auch weiteren Interessierten offen.«

Die PrivacyBox stellt als Grundfunktion gerichtete anonyme Kommunikation über ein Web-Interface zur Verfügung. Der Empfänger ist nur durch ein Pseudonym gekennzeichnet, der Sender liefert seine Nachricht über ein Web-Formular ab. Krypto-Voodoo mit TOR und PGP ist optional möglich, wird aber nicht erzwungen. Das ist Sicherheit für normale Menschen. Wir brauchen mehr davon.

Kontrollierbarkeit von Wahlen

Nach dem Urteil des Bundesverfassungsgerichts zum Einsatz von Wahlcomputern tauchte ein altes Argument wieder auf: Wahlen mit Stift und Papier ließen sich doch auch fälschen. Der Blogger Zettel, der das Urteil für weltfremd hält, formuliert es so (via):

»Kein Bürger kann den Wahlvorgang „zuverlässig nachvollziehen“, wenn mit Bleistift oder Kugelschreiber Formulare markiert werden. Er müßte dann kontrollieren können, daß die Urne bei Öffnung des Wahllokals leer war; er müßte nicht nur der Auszählung mit Argusaugen folgen können, sondern auch bei der telefonischen Übermittlung der Wahlergebnisse zugleich im Wahllokal und in der Zentrale sitzen, in der die Ergebnisse gesammelt werden.«

Außerdem meint er, in einer funktionierenden Demokratie kämen groß angelegte Wahlfälschungen ohnehin nicht vor oder wir verhielten uns zumindest so und vertrauten dem Staat, statt die Wahlen gründlich zu prüfen. Kontrollierbarkeit von Wahlen weiterlesen

Unterschätzte Risiken: De-Mail-Bürgerportale

De-Mail: unter diesem seltsamen Namen soll in Zukunft eine sichere Kommunikationsinfrastruktur zur Verfügung stehen. Das sieht zumindest ein Gesetzentwurf vor, den die Bundesregierung gestern verabschiedet hat. Betreiber sollen Unternehmen sein, beaufsichtigt vom BSI, und benutzen sollen es – vorerst freiwillig – wir alle.

Für die herkömmliche E-Mail ändert sich nichts. Zusätzlich zu dieser bewährten Infrastruktur erhalten wir aber die Möglichkeit, die ganzen selten benutzten Sonderfunktionen des Postzeitalters im Netz zu nutzen: Einschreiben, Ausweis zeigen, Porto zahlen. Ja, Porto. Was wir dafür bekommen, ist Sicherheit. Lehrbuchsicherheit, um genau zu sein, das heißt Mechanismen, die formale Probleme formal lösen. Ein realitätsbezogenes Bedrohungsmodell gibt es nicht, sondern man wird Sicherheitsmechanismen aus dem Lehrbuch zusammensetzen zu etwas, das dann vor den Bedrohungen schützt, vor denen die gewählten Mechanismen eben schützen. Was alten Männern mit Kugelschreibern eben so einfällt, wenn sie in einem Wahljahr beweisen wollen, für wie modern sie sich halten. Unterschätzte Risiken: De-Mail-Bürgerportale weiterlesen

S@fer Gambling, TÜV-geprüft

»Mit TÜV-geprüfter Qualität, Sicherheit und Transparenz ist http://www.swoopo.de in hohem Maße vertrauenswürdig.« Das bestätigt der TÜV Süd mit einem S@fer-Shopping-Zertifikat. Geprüft wurden dafür Usability, Datenschutz und Prozesse beim Händler. Handelt es sich also um einen empfehlenswerten und vertrauenswürdigen Dienst? Kommt drauf an.

Jede Zertifizierung funktioniert so, dass man erst einen Rahmen festlegt und sich dann innerhalb dieses Rahmens anschaut, ob die festgelegten Kriterien erfüllt sind. Anders geht es auch nicht, denn sonst würde die Sache ausufern. Außerhalb des Rahmens liegt beim S@fer-Shopping-Siegel zum Beispiel das Geschäftsmodell. Das Geschäftsmodell von Swoopo erläutert Jeff Atwood in seinem Blog Coding Horror unter dem deutlichen Titel: Profitable Until Deemed Illegal.

Nun, amtlich für illegal befunden hat die Sache bis jetzt offenbar niemand, und von mir aus soll jeder sein Geld lassen wo er mag. Sich bei seiner Entscheidung allein auf hübsche Siegel vom TÜV zu verlassen, ist allerdings keine gute Idee. Man muss schon immer noch nachdenken und verstehen, was man da eigentlich tut. Dank der TÜV-geprüften Transparenz kann ja jeder nachlesen, womit er es zu tun hat.

Wirken Fallschirme? Ja. Ist es wissenschaftlich nachgewiesen? Ähh …

Dass ich Cargo-Kult-Wissenschaft für blöd halte, habe ich schonmal geschrieben. Wenn man blind Ritualen folgt, arbeitet man gerade nicht wissenschaftlich, und den Plinsen, die über die Zulässigkeit von Enzyklopädie-Zitaten debattieren, fehlt es offensichtlich an bedeutenderen und interessanteren Fragen. Tatsächlich ist völlig schnuppe, was man zitiert, denn zu den grundlegenden Werkzeugen eines Wissenschaftlers gehört die Quellen- und Methodenkritik. Nichts, gar nichts darf man blind zitieren oder anwenden. Wenn man aber erst beginnt, über Quellen und Methoden nachzudenken, dann ist fast alles erlaubt. Man muss sich nur eben Klarheit verschaffen über die Aussagekraft und wird, wenn man dies ehrlich tut, häufig Enttäuschungen erleben, bei Wikipedia-Artikeln wie bei kollegenbegutachteten Publikationen gleichermaßen.

Cargo-Kult funktioniert auf jedem Gebiet, das sich einen weithin akzeptierten Satz an Methoden geschaffen hat. Wer sich dieser Methoden bedient, ist im Hinblick auf Veröffentlichungen und die Meinung der Kollegen erst mal auf der sicheren Seite. Dennoch kann Unsinn herauskommen, den man nur mit gründlicher Methodenkritik erkennt. Das demonstriert ein Artikel von G.C.S. Smith und J.P. Pell, der 2003  in der medizinischen Fachzeitschrift BMJ erschien. Die Autoren folgen streng den Regeln der evidenzbasierten Medizin und suchen in einer Metastudie nach randomisierten, kontrollierten Studien, die sie nicht finden. Wofür? Für die Wirkung von Fallschirmen. Mit trockenem Humor stellen sie fest, dass die Wirksamkeit von Fallschirmen nach dem strengen angelegten Maßstab nicht nachgewiesen sei.

Gefunden habe ich die Geschichte bei Overcoming Bias, wo ein Leser ergänzt: »Even worse, parachutes encourage dangerous behavior (jumping out of airplanes). They should be banned immediately.« Fürwahr ein lehrreiches Beispiel.

Trotz Wahlcomputer: Hessenwahl ist gültig

Mit Wahlcomputern haben wir uns hier bereits beschäftigt, zuletzt aus Anlass der Hessenwahl im Januar. In einigen Wahlkreisen hatten Computer den Stimmzettel ersetzt, was zu einer ungewöhnlich intensiven Beobachtung der Wahl unter anderem durch den Chaos Computer Club führte. Erwartungsgemäß hatten die Beobachter einige Ungereimtheiten bemerkt. In der Folge kam es zu Wahleinsprüchen. Die hat das Wahlprüfungsgericht nach einem Bericht des Hessischen Rundfunks nun abgewiesen:

»(…) Weitere Beschwerden betrafen Stimmabgaben von Türken, die ihre deutsche Staatsbürgerschaft verloren hatten oder den Einsatz von Wahlcomputern. Für letzteren gebe es eine rechtliche Grundlage, urteilten die Richter. Als Wahlfehler wertete das Gericht die Übergabe von Computern vor Ende der Wahl und die Aussperrung von Wahlbeobachtern für einige Minuten. Beides habe sich aber nicht auf die Sitzverteilung im Wiesbadener Landtag ausgewirkt.«

Mit elektronischen Wahlen und Wahlcomputern wird sich übrigens auch der übernächste CAST-Workshop am 17. Oktober 2008 befassen. Das Programm steht auch schon fest, Kritiker sind anscheinend nicht geladen.

Update: Heise hat das schon vor einem halben Tag gemeldet, das war mir entgangen.

Ihr Weg durch den Zoll

Wenn Sie nach einer Flugreise aus einem Drittland nach Deutschland zurückkehren, haben Sie die Wahl zwischen zwei Ausgängen: Den grünen Ausgang benutzen Sie dann, wenn Sie Waren für den persönlichen Bedarf innerhalb der Reisefreimengen mitbringen; den roten, wenn Sie darüber hinausgehende Waren anzumelden haben. Mit Ihrer Wahl geben Sie eine Steueranmeldung ab. Wenn Sie den grünen Ausgang benutzen, können Sie in der Regel ungehindert passieren. Allerdings wird auch dort das Gepäck stichprobenweise geprüft. Sollten abgabenpflichtige Waren gefunden werden, behandelt der Zoll diese als geschmuggelte Ware (Steuerhinterziehung).

Damit das nicht passiert, beachten Sie bitte die folgenden Hinweise: Ihr Weg durch den Zoll weiterlesen

Es gibt auch positive Todesnachrichten

DAB ist tot, schreibt Telepolis. DAB? Das steht für digitales Radio, Digital Audio Broadcast, für eine Technik, die mit großem Aufwand gefördert wird und bald das gute alte Analogradio ablösen sollte. Eigentlich. Der Telepolis-Artikel erklärt sehr schön, an welchen realen Bedürfnissen vorbei DAB entwickelt wurde.. Deshalb empfehle ich ihn hier, denn wir Security-Nerds haben ja zuweilen dasselbe Problem: unsere Technikwichserei begeistert andere Nerds, geht aber an der Realität vorbei. Normalerweise sorgt der Markt dafür, dass Nischenbedürfnisse von Nischenanbietern befriedigt werden. Das lässt sich durch politisch motivierte Förderung jedoch verhindern, und heraus kommt dann oft so etwas wie DAB. Das übrigens nicht nur an den Bedürfnissen vorbeigeht, sondern auch an der heutigen Technik, denn Musik kommt heute aus dem Internet.

Und was lehrt uns das? Nun, vor allem lehrt es uns Gelassenheit; Vertrauen in uns und unsere Umgebung. Den DAB-Nerds hat man Milliarden in den Hintern geblasen und sie verlieren dennoch. Politische Marktmanipulation ist also offenbar gar nicht so einfach, und das ist eine gute Nachricht.

Da stelle mer uns mal janz dumm

Vor dem Frühstück spontan bei einer unbekannten Website drei T-Shirts bestellt und mit Kreditkarte bezahlt. Lasst mich doch in Ruhe mit Eurer blöden Sicherheit, Fortschritt ist mir lieber. Was Ihr auch baut, ich will es nicht sehen und nicht spüren und nicht darüber nachdenken. Ich will nackig im Bett shoppen und mit Kreditkarte bezahlen. Kennt übrigens jemand einen Online-Shop, der gute persische Pistazien verkauft?

PS: Vor PayPal hatte ich dann doch ein wenig Angst. Die waren zu blöd, Dollar in Euro umzurechnen und ich weiß nicht, wieviele Bestellungen ich jetzt abgeschickt habe.

Misstrauen in Wahlcomputer breitet sich aus

Hessen hat gewählt, der Chaos Computer Club beobachtete, Berichte gibt es bei Holger Klein, im Heise-Ticker – man schaue jeweils auch in die Kommentare und Trackbacks – sowie bei den Beobachtern selbst. Zeit für die erste Interpretation.

Zur Erinnerung: Der wichtigste und am schwersten auszuräumende Einwand gegen Wahlcomputer ist der Einwand der Intransparenz. Auch das herkömmliche Verfahren mit Papier, Stift und Urne lässt vielerlei Möglichkeiten zur Manipulation. Es ist aber für die Mehrzahl der Wähler durchschaubar und lässt sich ohne besonde Kenntnisse und Fähigkeiten prüfen, durch bloße Beobachtung. Das herkömmliche Verfahren ist also unsicher, aber das macht nichts. Wir müssen dem Verfahren und den beteiligten Personen nicht vertrauen, denn wir können prüfen. Wahlcomputer ändern das. Sie verlagern wesentliche Vorgänge in eine Black Box, der wir vertrauen sollen, ob sie nun sicher ist oder nicht. Außerdem wissen wir aus Erfahrung, dass es ziemlich schwer ist, Computer wirklich sicher zu machen.
Misstrauen in Wahlcomputer breitet sich aus weiterlesen

Archive können täuschen

Und gleich noch ein Eintrag zum Thema Datenforensik. Im RISKS Digest vom 7. Januar 2008 (Volume 25, Issue 1) weist Fred Cohen auf die geringe Beweiskraft von HTML-Archiven hin. Konkret geht es um archive.org, auch bekannt als WayBack Machine. Das ist ein Dienst, der ab und zu Schnappschüsse von Seiten im Web nimmt und sie archiviert. Seine Nutzer können so einen Blick zurück in die Vergangenheit des Web werfen. Seiten in diesem Archiv kann Cohen nachweislich manipulieren. Seine Demonstration ist überzeugend: in einer archivierten Seite aus dem Jahr 1997 lässt er eine Grafik erscheinen, die damals noch ungeschehene Ereignisse wie 9/11 und Al Gores Nobelpreis nennt.

Der Trick ist so simpel, dass er gar keiner ist. Archiviert ist nämlich nur der HTML-Quelltext von damals. Enthält er Bildreferenzen, so zeigen diese nach wie vor auf die ursprüngliche Adresse. Jedoch garantiert nichts und niemand, dass dort noch dasselbe Bild liegt oder derselbe Server steht. Beim Anzeigen der archivierten Seite aber wird sich der Webbrowser nicht um solche Erwägungen kümmern, sondern die Referenz einfach verwenden und versuchen, von dort ein Bild zu laden. Hat er Erfolg, so zeigt er es auch an. Falls man statt eines Bildes JavaScript-Code in die archivierte Seite injizieren kann, was unter diesen Voraussetzungen nicht allzu schwer ist, dann hat man sogar den kompletten Inhalt unter Kontrolle.

Die Aussage des Archivs hängt also davon ab, unter welchen Randbedingungen man es auswertet. Einfach hinzuschauen genügt nicht. Man wird statt dessen sehr sorgfältig prüfen müssen, auf welche anderen Daten der archivierte HTML-Code verweist, welchen Einfluss diese Daten auf die Präsentation und damit den sinnlich wahrnehmbaren Seiteninhalt haben, und inwieweit sich aus dem archivierten Material eine aussagekräftige Ansicht rekonstruieren lässt. Im schlimmsten Fall, so ein Beispiel lässt sich konstruieren, genügt eine einzelne ungesicherte Referenz, das ganze archivierte Material für Beweiszwecke wertlos zu machen. Juristen dürfte das, je nach Rolle bzw. Mandat, entweder freuen oder ärgern.

Das Problem ist nicht neu, wir kennen es als das Präsentationsproblem von den digitalen Signaturen. Es betrifft viele moderne Datenformate, deren Interpretation von Randbedingungen abhängt.

Vorratsverdacht, Verdachtsvorrat

Schwierigkeiten, Unklarheiten und Denkfallen bei der Interpretation gespeicherter Daten waren schon einmal Thema in unserem Blog. Plastischer wird das Problem vielleicht, wenn man es sich an eigenen Datenspuren veranschaulicht. Bloggerin Ari macht es vor und kommt zu dem Schluss:

»Na bravo: Mit den Augen des Vorratsdatenspeicher-Kriminal-Ermittlers bin ich jetzt also ein rechtradikaler Scientologe mit Kontakten zur russischen Sex-Mafia.

Ob mich das verdächtig macht???«

Man müsste es pro forma vielleicht noch mal empirisch untersuchen, aber als Eindruck kann ich jetzt schon sagen: die ganzen »Sicherheits«maßnahmen der jüngeren Vergangenheit schaffen augenscheinlich genau das Gegenteil. Unsicherheit nämlich, Unsicherheit darüber, welche Folgen ein Handeln heute haben kann, das bis gestern keinen etwas anging.

Scareware

Die Masche ist bekannt: irgendwo im Netz stößt man auf eine Website, die einen kostenlosen Sicherheitscheck verspricht. Dazu lädt man sich ein Program herunter und führt es aus. Dieses Programm findet tatsächlich eine Reihe von Sicherheitsproblemen oder behauptet das jedenfalls. Und es hört mit dem Behaupten gar nicht mehr auf, denn das Opfer soll auf jeden Fall die »Vollversion« kaufen, von der es heißt, sie könne die gefundenen Probleme beseitigen.

Seit es diesen Betrug auch für den Mac gibt, hat er sogar einen schönen Namen: Scareware.

Attitude Adjustment Needed?

[Notice for our international readers]

I have no idea what went wrong today when a British Airways jet crashed short of the runway in London Heathrow. Nobody does at this point, we’ll have to wait for the results of a thorough investigation as will undoubtedly be carried out for this crash like for any other. This is the way the aviation community learns from mistakes all around the world.

So there would be not much to say about this accident, hadn’t I tripped over a statement that BBC News quotes prominently in their online coverage of the events, attributed to David Learmount, Air transport expert:

»BA pilots don’t make error of judgements of that type, especially not at the home base, let alone anywhere else«

This is not the appropriate attitude towards safety and the causes of accidents. In reality, pilot or flight crew error is the primary cause of accidents in aviation. At this point, let me repeat myself, we don’t have the slightest idea what caused this crash, but we know for sure that even BA pilots make errors of judgement, perhaps even of this particular type.

To be fair, according to my experience with the media, this sentence is one short snippet selected by a journalist out of a longer conversation. It may not entirely represent what had been said and our air transport expert may be innocent. However, in the particular way in which it appears on the BBC page, emphasized through page layout and ripped out of its possible context, it is just plain wrong.

Update:

  • The Man in a Shed points out: »It is worth speculating as to why all BA 777’s and other airline 777s haven’t been grounded given the reported total electrical failure of the aircraft. Perhaps something is known about the cause after all.« I’m afraid he might have wrong expectations about aircraft being grounded. This is not the common reaction to any incident or accident unless it is obvious that there would be a high, immediate danger in not doing so.
  • Kevin Anderson criticizes the Times‘ coverage of the events.
  • Holly of PlaneBuzz discusses the many ways in which this accident is perplexing. This is exactly why it needs to be investigated.
  • Juan Antonio Giner of Innovations in Newspapers noticed a BA ad in the middle of a news report on the accident, and has further comments on the reporting.
  • Jon, too, complains about the style of reporting and recommends that we wait for the results of the investigation.

Wie übersetzt man »trusted« richtig?

Im Englischen kann man ohne sprachliche Verrenkungen zwischen trusted und trustworthy unterscheiden. Trotzdem kriegen es viele nicht richtig hin. Auf Deutsch ist das noch viel schwerer. Trustworthy lässt sich noch entspannt und korrekt mit vertrauenswürdig übersetzen: das bedeutet, dass etwas Vertrauen verdient, dass Vertrauen – ganz gleich, ob man es tatsächlich hat oder nicht – jedenfalls nicht enttäuscht würde. Ob jemand oder etwas vertrauenswürdig war, wissen wir zuverlässig immer erst hinterher, wenn uns das Ergebnis wovon auch immer gezeigt hat, dass unser Vertrauen gerechtfertigt war. Meine Bank zum Beispiel hat sich in der Vergangenheit als vertrauenswürdig erwiesen. Viel spricht dafür, dass sie es auch in Zukunft bleiben wird, aber hundertprozentig weiß ich das jetzt noch nicht.

Für die Zukunft muss ich meiner Bank vertrauen: ich vermute oder hoffe, dass sie sich als vertrauenswürdig erweisen wird, und handle jetzt schon so, als sei sie es. Ich könnte mich statt dessen auch bei einer anderen Instanz absichern, hätte dort aber dasselbe Problem. Meine Bank, oder die andere Instanz, ist damit trusted. Meine Sicherheit hängt davon ab, dass sie sich wie erhofft verhält. Tut sie es nicht, bricht mein Sicherheitskonzept zusammen. Ein anschauliches Beispiel gibt es hier. Der Übersetzer ist trusted, jemand vertraut ihm. Er ist aber nicht trustworthy, denn er enttäuscht dieses Vertrauen.

Für diese Rolle in der Vertrauensbeziehung hätte ich gern ein deutsches Adjektiv. Vertraut passt nicht. Abhängig ist gerichtet und genau umgekehrt: ich bin abhängig von dem, dem ich vertraue. Im Einzelfall kann man sich vielleicht in Umschreibungen retten, aber darunter leidet die Verständlichkeit. Einfach trusted zu benutzen ist auch nicht besonders schön, das Lesen macht dann keinen Spaß mehr. Betraut oder verantwortlich ginge vielleicht, wenngleich mir beides unüblich scheint. Wie lösen unsere geschätzen Leserinnen und Leser dieses Problem?