Archiv der Kategorie: Risiko

Risk Management

Risikomanagement, chinesisch

Geschäft, Risiko,

Die Produktion in China halten wir gerne für ein Sicherheitsrisiko. Chinesen sind Schlitzohren und mit zunehmender Entfernung nimmt die gefühlte Kontrolle ab. Beides zusammen macht Angst. Die Realität aber kann so aussehen:

»Sun Danyong, 25, was tasked with sending 16 fourth-generation iPhone prototypes to Apple this month, but Apple only received 15 when the package arrived, according to Chinese media. Sun reportedly leaped from his apartment window last week, though police are investigating whether he may have been murdered, the Shanghai Daily said.«

(PC World: Foxconn Hands iPhone Suicide Case to Chinese Police)

Hand aufs Herz, welcher Sicherheitsbeauftragte würde nicht hin und wieder alle Ethik für einen Moment vergessen zumindest heimlich von solchen Möglichkeiten träumen?

Unterschätzte Risiken: Nerds

Unterschätzte Risiken

»We find that graduates from subjects such as science, engineering, and medicine are strongly overrepresented among Islamist movements in the Muslim world, though not among the extremist Islamic groups which have emerged in Western countries more recently. We also find that engineers alone are strongly over-represented among graduates in violent groups in both realms. This is all the more puzzling for engineers are virtually absent from left-wing violent extremists and only present rather than over-represented among right-wing extremists.«

(Engineers of Jihad, via)

Spione und Nähkästchen

Datenschutz, Erich fragt, Fundbüro, Geschäft, Propaganda, Regierungsviertel, Risiko, Sicherheitshinweise, Studien, Zahlenspiele

Das schöne am digitalen Diebstahl ist ja, es fehlt den betroffenen nix. Wenn aber in die Firma analog eingebrochen wird und die Diebe ignorieren offensichtliche Wertgegenstände wie Bildschirme,  dann war’s vielleicht ein Datendieb.  Woran man einen Griff in die Datenkasse des eigenen Unternehmens bemerken kann, erzählt Wilfried-Erich Kartden von der Spionageabwehr  des Innenministeriums von NRW in der aktuellen IT-Sicherheit. Im Wikipedia-Stil trennt er erstmal zwischen Wirtschaftsspionage (staatliche Aktivitäten) und Konkurrenz-/Industriespionage (Spionage durch Unternehmen). Nach einem Exkurs über korrupte Übersetzer, Bauarbeitern mit WLAN-Routern und Keylogger-Funde kommt die Existenzberechtigungsstatistik von Corporate Trust (2007): 35,1 Prozent der deutscheun Unternehmen glauben, sie seien schon Opfer von Wirtschaftsspionage geworden. 64,4 Prozent hätten auch einen finanziellen Schaden zu verzeichnen. Die Schäden reichen von 10.000 bis 1 Millionen und das Wichtigste – die Schadensfälle steigen – laut Umfrage um 10 Prozent pro Jahr.  Sagt alles wenig aus, hört sich aber gut an.

Spione und Nähkästchen weiterlesen

Ulfkotte macht sich wichtig

Propaganda, Risiko, , ,

Der Ulfkotte ist mal wieder los und verkauft ein neues Buch. Dazu lehnt er sich gewohnt weit aus dem Fenster, wohl wissend, dass Weissagungen in ein paar Jahren, wenn man sie überprüfen könnte, vergessen sind. (Denkste.) Zumal wenn sie modisch sind:

»Nach Ulfkottes Angaben kursieren bei deutschen Sicherheitsbehörden streng vertrauliche Listen, die soziale Brandherde quer durch Deutschland benennen.
(…)
In den neuen Ländern werden Unruheherde vor allem in Sachsen vermutet.

Danach rechnen Staatsschutz und Verfassungsschutz mit der Gefahr sozialer Unruhen vor allem in den Leipziger Stadtteilen Leutzsch und Kleinzschocher und in Dresden-Prohlis und -Pieschen, sowie in Hoyerswerda und Chemnitz-Kaßberg.«

(Welt Online: Terrorismusexperte enthüllt: Bundesregierung rechnet mit sozialen Unruhen)

Leipzig Leutzsch ein Unruheherd? Dieses langweilige Stadtrandviertel? Blödsinn. Der einzige Krawall, der dort zu erwarten ist, ist ganz gewöhnlicher Hooliganismus rund um den mäßig erfolgreichen FC Sachsen. Nein, dort wird die Revolution nicht losbrechen.

Unterschätzte Risiken: Killerspiele

IT, Unterschätzte Risiken, ,

Wer solche Dienstleister beschäftigt (und kein Backup hat), der braucht keine Feinde mehr:

»Er hatte seinen Sohn mit zu einem Firmenkunden genommen. Während der Verurteilte seiner Arbeit nachging, machte sich sein Sohn an einem Kundenrechner zu schaffen und löschte dabei beim Versuch ein Computerspiel zu installieren, versehentlich wichtige Datenbestände.«

(Blog zur IT-Sicherheit: Sind Ihre Daten wirklich sicher?)

Can We Say »Don’t Worry«?

Angst, English, Erich fragt, Geschäft, Risiko, Wahrnehmung

[See only posts in English]

Freeman Dyson, being interviewed about his climate catastrophe skepticism, claims that some professions have trouble shrugging off issues as unimportant. He thinks there be a natural tendency to magnify threats:

»Really, just psychologically, it would be very difficult for them to come out and say, “Don’t worry, there isn’t a problem.” It’s sort of natural, since their whole life depends on it being a problem. I don’t say that they’re dishonest. But I think it’s just a normal human reaction. It’s true of the military also. They always magnify the threat. Not because they are dishonest; they really believe that there is a threat and it is their job to take care of it.«

(Freeman Dyson Takes On The Climate Establishment)

Obviously, computer security is another candidate. Paranoia is the norm in our subculture, we love to carry a better safe than sorry attitude. To an extent this attitude is justified by experience; there are many case studies of security not being taken seriously, leading to epic fail. Yet, more security technology is not always better. Do we have tools to reasonably say: »Don’t worry,« and justify our recommendation based on facts?

Unterschätzte Risiken: Hackerwettbewerbe

Hackmeck, IT, Phishing, Security, Testlabor, Unterschätzte Risiken, , ,

Lehrreiches Scheitern:

»A Webmail service that touts itself as hack-proof and offered $10,000 to anyone who could break into the CEO’s e-mail has lost the challenge.
(…)
The hacking team of Aviv Raff, Lance James and Mike Bailey set up the attack by sending an e-mail to the company’s CEO Darren Berkovitz. When he opened the e-mail, the team exploited an XSS flaw to take control of the account.«

(Zero Day: StrongWebmail CEO’s mail account hacked via XSS)

Die 10.000 Dollar hätten sie auch gleich bei einem fähigen Security-Tester anlegen können, dann hätten sie für dasselbe Geld wahrscheinlich mehr über ihre Irrtümer gelernt. Allzu weit kommt man mit diesem Betrag zwar nicht, aber die Tester arbeiten wenigstens bis zum Ende des Geldes weiter, statt mit dem ersten gefundenen Problem den Preis abzuräumen. Damit sinkt auf lange Sicht der Preis pro gefunder Verwundbarkeit, während er bei einer Folge von Hackerwettbewerben vielleicht sogar steigen würde.

Unterschätzte Risiken: Laborarbeit

Forschung, Safety, Unterschätzte Risiken, Werkbank

Wir Informatiker haben es einfach. Ein Labor ist für uns meistens ein Stück Netz mit ein paar Rechnern dran, oder heute oft nur noch ein einziger Rechner mit ein paar virtuellen Maschinen drauf. Viel kann da nicht passieren.

In einem klassischen Labor ist das anders. Da gibt es Chemikalien,  Druckbehälter, Krankheitserreger, Strahlung, Elektrizität, Maschinen, Tiere und was man sonst noch braucht, wenn man sich um einen Darwin Award bewirbt.

Die American Industrial Hygiene Association (AIHA) hat einen Leitfaden mit vielen Beispielen zusammengestellt. Eine Kostprobe:

Don’t Store Dry Ice in Walk-in Refrigerators

Walk-in refrigerators (or „cold boxes“) typically recirculate the chilled air in their interiors, so storing volatile materials in them can pose special hazards—any gases or vapors may concentrate inside over time.

Recently on the X Campus, a walk-in refrigerator was used to store dry ice. (…)  The dry ice, of course, gave off carbon dioxide (CO2) gas as it sublimed, causing the refrigerator to build up CO2 levels of 12,000 parts per million (ppm)!

Zu einigen der beschriebenen Fälle gibt es auch Fotos.

Unterschätzte Risiken: Wissenschaft, Zufall und CYA

Angst, Forschung, Nebenwirkung, Propaganda, Unterschätzte Risiken, , , , ,

Die NZZ von gestern (2009-05-15) erklärt uns die Mechanismen, die vom Gedankenspiel eines Wissenschaftlers zur landesweiten Panik mit einigen Hundert Todesopfern führen können. Als Beispiel dient die Schweinegrippe – nicht jene aktuelle, die gerade in den Randspalten versickert, sondern die von 1976. Damals kam es in den USA zu einer großen Impfkampagne. Sie war wahrscheinlich unnötig, hatte aber vereinzelt Nebenwirkungen , die sich zu einigen Hundert Toten summierten.

Neben einigen Zufällen lagen die Ursachen im CYA-Bias von Behörden und Politik, der auf wilde Spekulationen eines Wissenschaftlers traf. Wobei sich die Spekulation im Rahmen des Zulässigen bewegte. Zeitreihenanalyse nennt man es, wenn man nach Mustern in einem Zeitverlauf sucht und diese in die Zukunft projiziert. Das kann interessant sein, aber zu mehr als zur Hypothesenbildung taugt es kaum. Schlecht, wenn es alle für bare Münze nehmen, nur weil es in der Zeitung steht und den Stempel Wissenschaft trägt.

Das Fazit des Artikels:

»Angesichts der unheilvollen Dialektik von voreiliger Aufregung und nachträglicher Beschwichtigung scheint eine zentrale Aufgabe der Zukunft darin zu bestehen, nicht nur exzellente Universitäten zu schaffen, sondern auch besonnene Wissenschaften zu ermöglichen, die zur Absicherung ihrer Erkenntnisansprüche keiner Mobilisierung von Ängsten bedürfen.«

(NZZ: Unbezwungene Ungeheuer, Die Schweinegrippe und die Konjunkturen des Schrecklichen)

Risiken sind Konjunktive

Angst, Propaganda, Risiko, Wahrnehmung

Michael Miersch stellt die richtigen Fragen:

»Und genau dieser Passus fehlt fast immer in der öffentlichen Kommunikation. Was ist eigentlich so furchtbar an dem Satz „Wir wissen es nicht?“? Warum können Schreckensszenarien nicht im Konjunktiv stehen, sondern werden wie gesicherte Berechnungen behandelt? Die Möglichkeitsform ist der Paria der Mediengesellschaft. Sie wird weggesperrt, weil sie die Botschaft verderben könnte.«

(WELT am SONNTAG: Und dann fiebert auch die Sprache)

Risiken sind stets Konjunktive: mögliche zukünftige Ereignisse, deren Eintreten wir uns ausmalen, aber nicht zuverlässig vorhersagen können. Wo wir über Risiken sprechen, gibt es immer etwas, das wir nicht wissen.

Das Eingeständnis, nicht alles zu wissen, wendet sich in der hiesigen Debattenkultur allerdings schnell gegen denjenigen, der es äußert. Aus Risiken werden dann unschätzbare oder nicht auszuschließende Risiken, woraus sich allerlei Strohmannargumente entwickeln lassen. Hinzu kommt ein tiefsitzendes Vorurteil: dass etwas zu tun stets besser sei als nichts zu tun. Wer anfinge, sich seines Nichtwissens bewusst zu werden, der käme am Ende vielleicht zu dem Schluss, dass es manchmal besser wäre, im Angesicht des Risikos einfach überhaupt nichts zu tun, die Hände in den Schoß zu legen und abzuwarten.

Unterschätzte Risiken: Twitter

Angst, Unterschätzte Risiken, , ,

Während der Medienmainstream anlässlich einiger Schweinegrippefälle am anderen Ende der Welt die Katastrophenticker warmlaufen lässt, setzen sich einige Außenseiter mit den Mechanismen dahinter auseinander. Ben Schwan für die taz zum Beispiel:

»Surft man auf Twitter ein wenig zu lange herum, bekommt man unweigerlich das Verlangen, zur nächsten Apotheke zu rennen und sich das Grippemittel Tamiflu samt Atemschutzmaske zu besorgen.«

(taz.de: Kommentar Schweinegrippe: Pandemische Beschleunigung)

Ein aufmerksamer Selbstbeobachter ist Marcus Anhäuser vom Plazeboalarm, der auch ein paar informative Links zum Thema zusammengetragen hat:

»UND STOPP: DA GERÄT MAN JA GANZ SCHNELL IN DIESEN MELDERAUSCH, UND ICH STELLE FEST: Das bringt ja gar nichts. Die Googlefälle kann ich auf die Schnelle nicht validieren. Also Stopp hier. Keine Updates mehr.«

(Schweinegrippe: Auf dem Laufenden bleiben)

Als Medienkonsument darf ich hinzufügen: falls wir diesmal wirklich alle sterben, sind Katastrophenticker das letzte, womit ich meine Restzeit verplempern möchte.

PS: Isotopp hat das Spiel zur Panik ausgegraben.

Wo Geld ist, da ist auch Gefahr

Forschung, Geschäft, Nebenwirkung, Propaganda, Risiko

»Falls ich übrigens morgen ein Institut zur Bekämpfung der öffentlichen Gesundheitsgefährdung durch Igelbisse gründe und dieses Institut mit zehn Planstellen ausrüste, dann werde ich jedes Jahr eine Studie bekommen, die vor der wachsenden Gefahr durch aggressive Igel warnt. Alles andere wäre ja auch ziemlich dumm von den Mitarbeitern des Institutes.«

(Harald Martenstein im Zeit-Magazin)