Archiv der Kategorie: Risiko

Risk Management

Unterschätzte Risiken: Killerkurznachrichten

Angst, Unterschätzte Risiken, , , , , ,

Angst vor Händistrahlung war gestern. Heute fürchten wir uns vor der Killerkurznachricht:

»Laut den Mobilfunknutzern würden von Unbekannten massenhaft SMS-Meldungen versendet, die angeblich starke Kopfschmerzen auslösten, denen eine Hirnblutung und der Tod folgten. In Ägypten und Saudi-Arabien seien bereits mehrere Menschen mit derartigen Symptomen in Krankenhäuser eingeliefert worden, heißt es.«

(RIA Novosti: Ägyptische Behörden dementieren Gerüchte über lebensgefährliche SMS-Meldungen)

Verschwörungstheoretiker werden am Dementi der ägyptischen Behörden Gefallen finden, denn wer etwas dementiert, der hat ja sicher einen Grund dazu, und den denkt sich der Verschwörungstheoretiker aus.

Security Annoyances

English, IT, Risiko, Security

[Get only posts in English]

Stuart King has blogged a list of his top 5 information security annoyances:

  1. Security awareness programs
  2. Compliance = security
  3. Risk modelling
  4. Where are all the analysts
  5. It’s not my fault

By and large I agree with his list, not least because he seems to have annoyed a few of those who are overconfident about risk trivia and business school quadrant diagrams.

I’d like to add to the list two of my own favorite annoyances:

  1. Just make it hard – for the legitimate users and uses of a system. Attempts to improve information security often make it harder for the users of a system, for the employees of an organization to do their legitimate jobs. Sometimes this is unavoidable, we all know there is often a tradeoff betwen usability and security. The tradeoff turns into a fallacy where the primary impact of security measures is reduced usability while actual security remains more or less the same.
  2. Alice’n’Bob thinking. Academic researchers might be particularly prone to this: thinking and arguing in the Alice’n’Bob world of security textbooks as if it was a suitable model of the real world and the real security issues. It isn’t, which we somethimes forget when we name abstract entities after humans.

Sechs Jahre Zeckenalarm

Propaganda, Risiko, Zeitmaschine, , ,

Wenn eine Risikosau durchs Dorf getrieben wird, lehnt man sich am besten erst mal zurück, wartet ab und beobachtet, wie sich die Sache entwickelt. Das hat hockeystick im Blog Stationäre Aufnahme getan und sich die alljährlich wiederholten Zeckenwarnungen – die regelmäßig in eine Impfempfehlung gegen seltene Erkrankungen münden – vorgenommen. Ergebnis: nach milden Wintern gibt es Zeckenalarm. Nach kalten auch.

Dieses Blog wird übrigens in einem sogenannten Hochrisikogebiet betrieben.

Unterschätzte Risiken: Süße Hundebabys

Unterschätzte Risiken

Falls sich jemand wundert, warum manche Vermieter etwas gegen Haustiere haben:

»Ein Schäferhund-Welpe hat nur spielen wollen, als es sich am Mittwochabend im Haus seines Herrchens in Mörfelden-Walldorf über ein Kabel hermachte. Kurze Zeit später stand das Haus in Flammen.
(…)
Das Haus wurde durch den Brand so stark beschädigt, dass es unbewohnbar und einsturzgefährdet ist. Der Schaden wird auf 200.000 Euro geschätzt.«

(HR: Kabel durchgebissen: Hundebaby verursacht Hausbrand)

Der Hund hat übrigens überlebt. Vorerst zumindest.

Eine Runde TÜV-Bashing

Geschäft, IT, Risiko, Security, ,

Was der TÜV – eigentlich die TÜV, denn unter dieser Dachmarke macht sich ein etwas unübersichtliches Firmengeflecht breit – so alles zertifiziert, wissen aufmerksame Leserinnen dieses Blogs bereits. Die technische Seite habe ich damals nicht explizit diskutiert. Das nimmt mir jetzt ein anderer ab und schafft es bis in den Heise-Ticker mit dem Hinweis: TÜV-Siegel schützt nicht vor Cross Site Scripting. Damit haben wir schon zwei Dinge beisammen, vor denen ein TÜV-Siegel nicht schützt, ausnutzbare Fehler in der Technik und zweifelhafte Geschäftsmodelle. Geht da noch was?

Klar geht da noch was. Vor bekloppten Konzepten schützen TÜV-Siegel nämlich auch nicht. Bekloppte Konzepte, damit meine ich zum Beispiel die Idee, irgendeiner Wald-und-Wiesen-(bzw. Titten-und-Schwänze-)Website zur Altersverifikation ausgerechnet die PIN vom Online-Banking auszuhändigen. Darf’s vielleicht noch eine TAN-Liste sein? Sofortident nennt sich dieses Verfahren und dahinter steckt dieselbe Firma, die sich bereits die Sofortüberweisung nach ähnlichem Schema ausgedacht hat. Technisch gesehen geht die PIN nicht an die Titten-Website, sondern an Sofortident, aber der Sicherheitsgewinn dadurch ist marginal. Und wer pappt sein Siegel drauf? Einer von den TÜVs natürlich:

Sofortident mit TÜV-Siegel

Formal ist das sicher alles korrekt, der TÜV hat ja nur den Datenschutz (== die Einhaltung gesetzlicher Anforderungen an die Erhebung und Verarbeitung personenbezogener Daten) geprüft und mehr wird nicht behauptet. Das macht es aber noch lange nicht zu einer guten Idee, Leuten beim Pornogucken die Banking-PIN abzuknöpfen. Selbst wenn die Sofortler ihre Technik im Griff haben und sich an ihre Zusicherungen halten, wogegen es derzeit keinerlei Anhaltspunkte gibt, bleiben zwei Probleme. Erstens vermischt das Verfahren, ähnlich wie Giropay, Kontexte, die man besser getrennt hält. Online-Banking und Altersverifikation haben nichts miteinander zu tun und das Online-Banking ist hinreichend sensibel, um dabei zu bleiben.

Zweitens gewöhnt es den eifrigen Nutzer daran, seine Banking-PIN bei allen möglichen Gelegenheiten zu allen möglichen Zwecken einzusetzen. Das kann auch dann zum Problem werden, wenn aus ganz anderen Gründen ein Schaden eintritt, etwa wenn sich der Sofort*-Nutzer eine Schadsoftware einfängt und daraufhin Geld von seinem Konto verschwindet. Wenn die Bank dann erfährt, was ihr Kunde mit seiner PIN so alles getan hat, dürfte ihr Kulanz schwer fallen. Ein TÜV-Siegel macht dann auch keinen Eindruck.

Unterschätzte Risiken: Parken ohne Helm

Safety, Unterschätzte Risiken, ,

Echo Online berichtet aus Mörfelden-Walldorf:

»Schwere, aber nicht lebensbedrohende Schädelverletzungen hat sich ein 77 Jahre alter Autofahrer am Montag gegen 16.55 Uhr bei einem Verkehrsunfall in der Oderstraße zugezogen. Wie die Polizei erst jetzt mitteilt, hatte der Mann nach dem Parken bemerkt, dass der Schlüssel seines Wagens noch steckte. Als er diesen von der Beifahrerseite aus abziehen wollte, drehte er ihn in die falsche Richtung und betätigte den Anlasser …«

Beim Parken vom eigenen Auto überrollt zu werden ist schon eine Leistung.

Unterschätzte Risiken: *

IT, Unterschätzte Risiken, ,

Namen sind Schall und Rauch. Vor allem, wenn sie Sonderzeichen enthalten, die sich nicht so einfach googeln lassen:

»I recently started working on a project that has a * in the middle of its name – think of GM’s On*Star as an example. Google (and other search engines I tried, including Microsoft Live, Yahoo!, and Lycos) all treat the * as a wildcard, and don’t allow wildcard escaping. (…)«

(Risks Digest Volume 25: Issue 56)

Und wir machen noch Witze.

Unterschätzte Risiken: Leitplanken

Safety, Unterschätzte Risiken, , , ,

Leitplanken sind eine feine Sache. Sie halten ein außer Kontrolle geratenes Fahrzeug auf seiner Fahrbahn und können so zwar keinen Unfall verhindern, aber oft die Folgen reduzieren. Dass ihre Wirkung Grenzen hat, sieht man regelmäßig bei Lkw-Unfällen. Sie können aber auch zu den Unfallfolgen beitragen, etwa wenn jemand ein Auto baut, das sich unter die Leitplanke schiebt:

»Der Fahrer geriet gegen 3 Uhr mit seinem Cabrio-Sportwagen bei hoher Geschwindigkeit ins Schleudern und verlor die Kontrolle über sein Fahrzeug. Der Wagen drehte sich und schob sich auf einer Länge von etwa 50 Metern unter die Leitplanke.«

(HR Online:
Erlkönig verunglückt: Porsche-Tester rast in den Tod)

Gut, dass sie das bei einer Testfahrt gemerkt haben.

Unterschätzte Risiken: Virenscanner

IT, Nebenwirkung, Security, Unterschätzte Risiken, , ,

Heise-Meldungen zu verbloggen ist blöd, weil die sowieso jeder liest, der sich für ein Blog wie dieses interessieren könnte. Bei dieser kann ich jedoch nicht widerstehen, sie passt zu gut ins Beuteschema:

»Die Antiviren-Programme von Bitdefender und GData haben mit einem Signatur-Update von heute auf XP-Rechnern die Datei „Winlogon.exe“ als Trojaner (Trojan.Generic.1423603) ausgemacht und haben diese bei entsprechender Voreinstellung kurzerhand gelöscht.

(…)

Ein Leser schilderte heise online, dass der Fehler von heute in einem mittelständischen Unternehmen zu einem regelrechten Chaos geführt hat: In sämtlichen 20 Filialen der Firma mussten Administratoren an die Rechner, um den Schaden zu beheben.«

(Heise Online:
Bitdefender und GData löschen Winlogon-Systemdatei)

Ich neige mehr und mehr der Ansicht zu, dass Antivirus-Programme auf professionell betriebener IT nichts zu suchen haben. Zumindest nicht so flächendeckend, dass sie eine ganze Firma herunterfahren können. Von mir aus mag man sie an geeigneter Stelle als IDS-Komponente benutzen, aber auf allen Arbeitsplätzen? Da nützen sie wenig, wenn die IT-Sicherheit insgesamt stimmt. Meine Arbeitsumgebung ist vielleicht nicht repräsentativ, aber bei mir läuft seit Jahren so ein Ding mit und es hat nie angeschlagen. Ob das ein gutes, ein schlechtes oder gar kein Zeichen ist, diskutieren wir ein andermal; vor irgend etwas geschützt hat mich die Sicherheitssoftware jedenfalls offensichtlich nicht. Wenn zur Nutzlosigkeit noch Schäden kommen, muss man wohl davon abraten.

Der Klimastrohmann

Angst, Propaganda, Regierungsviertel, Risiko, , , , , ,

Egal ob Slashdot oder Anti-Ökologismus-Blog Telepolis oder ScienceBlogs, wo das Netz übers Klima palavert, geht die Debatte unweigerlich den Weg jeder Helmdiskussion. Zwei Lager stehen einander unversöhnlich gegenüber und jede Seite hält die andere für die rechte Hand des Teufels. Auf einer Seite der Front kämpft man gegen Leugner, auf der anderen gegen Alarmisten.

Das Ergebnis ist eine tausendfach wiederholte Strohmanndebatte, die zu nichts führt, weil sie um die falschen Fragen kreist. Tatsächlich geht es gar nicht zuerst um Wissenschaft, sondern um Politik. Der Versuch, die politische Debatte allein wissenschaftlich zu klären, ist ebenso unseriös wie umgekehrt eine Politk, die die Erkenntnisse der Wissenschaft ohne Begründung ignoriert.

Die Wissenschaft liefert uns eine physikalische Theorie über die Wirkung von CO2 in der Atmosphäre. Diese Theorie ist erstens mit anderen, selten angezweifelten Erkenntnissen der Naturwissenschaften kompatibel bzw. folgt sie daraus. Die Wissenschaft liefert uns zweitens direkte Messdaten aus den letzten ca. 200 Jahren, die zur Theorie passen. Bis hierhin sind Zweifel blöd, so blöd, dass man sie getrost ignorieren kann. Die direkte Wirkung von CO2 tritt sehr schnell ein, so dass man sie bereits über kurze Zeiträume gut beobachten kann; gleichzeitig erfolgt die Änderung des CO2-Gehalts auch schnell genug. Der Klimastrohmann weiterlesen

Willkürliches Herumgeschubse

Freundlich zum Nutzer, IT, Risiko, Security, , ,

Wohlmeinende Sicherheitshinweise finden wir allerorten. Oft sind sie  nur deshalb entstanden, weil jemand gezwungen war, sich zum Thema zu äußern. Wozu das führt, wissen wir seit Harry G. Frankfurt sehr gut und offensichtlich wird es, wenn sich die Hinweise direkt widersprechen.

Kinder sollten Internetseiten niemals direkt ansurfen, indem sie die Adresse in den Browser eingeben, lernen wir heute. Fein, aber wenn sie dann erwachsen sind, dann sollen sie die URL fürs Online-Banking immer direkt eingeben. Und nun? [Oliver, Du hast doch Kinder. Wie würdest Du ihnen das erklären? :-)]

Sicherheitshinweise können zu sinnvollem Verhalten auffordern oder von weniger sinnvollem abraten: »Legen Sie im Auto den Sicherheitsgurt an!« oder: »Versuchen Sie nie, schlauer zu sein als die Bahnschranke!« Dagegen ist nichts zu sagen,außer dass man die Wirkung nicht überschätzen sollte. Sicherheitshinweise werden nicht nur nicht gelesen, sie setzen auch an der falschen Stelle an. Sicherheitshinweise vermitteln Wissen, aber keine Fähigkeiten, Regeln oder Gewohnheiten und sind deshalb ungefähr so wirksam wie das Lesen eines Kochrezeptes gegen den Hunger.

Darüber hinaus können Sicherheitstipps auch eine Ausrede sein, eine Ausrede dafür, dass man dem Benutzer willkürlich Aufgaben zuweist. Das machen wir in der IT-Sicherheit gerne, wenn wir am Ende unserer Weisheit angelangt sind oder die Lehrbuchwelt von Alice und Bob mit der Realität verwechseln. Dann verfügen wir schon mal, der Benutzer unseres Systems habe auf kleine gelbe Schlösser zu achten und aus eigenem Antrieb SSL-Zertifikate zu prüfen, obwohl ihm das Arbeit macht und für den Erfolg seiner Interaktion mit dem System völlig bedeutungslos ist.

Radfahren ist ja sooo gefährlich

Geschäft, Risiko, Safety, Stammtisch, Studien, Zahlenspiele, , ,

Woher kommt die gern nachgeplapperte Behauptung, Radfahren sei besonders gefährlich? Unter anderem von Leuten, die es besser wissen müssten. Das zeigt uns Ben Goldacre im Guardian sowie in seinem Blog Bad Science. Ihm ist eine Pressemeldung in die Hände gefallen, die einen dramatischen Anstieg der Fahrradunfälle behauptet. Diese Behauptung ist vorurteilskompatibel, aber völliger Blödsinn, wie er nachvollziehbar zeigt. Quelle der Desinformation: ein Versicherungsunternehmen.

Unterschätzte Risiken: Bohlen an der Uni

Safety, Unterschätzte Risiken, ,

LVZ-Online berichtet über einen Arbeitsunfall:

»Ein 30-jähriger Arbeiter ist am Mittwochnachmittag auf der Baustelle für den neuen Campus der Universität Leipzig an der Universitätskirche bei einem Arbeitsunfall ums Leben gekommen. Der Leipziger sei von herabstürzenden Bohlen erschlagen worden, teilte die Polizeidirektion Leipzig mit.«

Dass Bauarbeiten gefährlich sind, vor allem für die Bauarbeiter, wissen Leserinnen und Leser dieses Blogs bereits. Interessanter als die Statistik ist bei Unfällen meist die Ursachenforschung. Auch auf einer Baustelle regnet es ja nicht einfach kiloschwere Bohlen, sondern wie so oft spielen mehrere Faktoren zusammen:

»Zu dem Unglück kam es laut Polizei, als sich ein Fahrstuhl mit vormontiertem Boden aus zunächst ungeklärter Ursache aufwärts in Bewegung setzte. Dabei wurden Sicherungsbohlen aus Arbeitsgerüsten herausgerissen. Die 15 bis 20 Kilogramm schweren Bohlen stürzten etwa 20 Meter tief in den Fahrstuhlschacht, in dem die beiden Bauarbeiter waren.«

Da ist es gar nicht so einfach, eine eindeutige Ursache anzugeben, sofern man sich darunter einen einzelnen Fehler oder ein einziges Elementarereignis vorstellt. Sondern die Wirkung, Bohlen fallen auf Arbeiter, folgt aus einem komplizierten Geschehen. Dieses Geschehen wurde durch vielerlei Faktoren beeinflusst und hätte sich in der vorliegenden Form durch mehrere unterschiedliche Änderungen der Ausgangsbedingungen vermeiden lassen.

Bis hierhin ist alles recht einfach. Interessant wird es, wenn wir nach wirksamen allgemeinen Sicherheitsmaßnahmen suchen. Gegen diesen spezifischen Unfallverlauf etwas zu tun, ist nicht sinnvoll, wenn er sich in dieser Form nicht häufig wiederholt. Gesucht sind Maßnahmen, die einen nennenswerten Anteil der möglichen Unfälle behandeln. Das war auch der Hintergrund meiner Fragen zum Weihnachtsbaumbrand neulich.

Unterschätzte Risiken: De-Mail-Bürgerportale

Freundlich zum Nutzer, Geschäft, IT, Nebenwirkung, Phishing, Regierungsviertel, Security, Unterschätzte Risiken, Vertrauen, ,

De-Mail: unter diesem seltsamen Namen soll in Zukunft eine sichere Kommunikationsinfrastruktur zur Verfügung stehen. Das sieht zumindest ein Gesetzentwurf vor, den die Bundesregierung gestern verabschiedet hat. Betreiber sollen Unternehmen sein, beaufsichtigt vom BSI, und benutzen sollen es – vorerst freiwillig – wir alle.

Für die herkömmliche E-Mail ändert sich nichts. Zusätzlich zu dieser bewährten Infrastruktur erhalten wir aber die Möglichkeit, die ganzen selten benutzten Sonderfunktionen des Postzeitalters im Netz zu nutzen: Einschreiben, Ausweis zeigen, Porto zahlen. Ja, Porto. Was wir dafür bekommen, ist Sicherheit. Lehrbuchsicherheit, um genau zu sein, das heißt Mechanismen, die formale Probleme formal lösen. Ein realitätsbezogenes Bedrohungsmodell gibt es nicht, sondern man wird Sicherheitsmechanismen aus dem Lehrbuch zusammensetzen zu etwas, das dann vor den Bedrohungen schützt, vor denen die gewählten Mechanismen eben schützen. Was alten Männern mit Kugelschreibern eben so einfällt, wenn sie in einem Wahljahr beweisen wollen, für wie modern sie sich halten. Unterschätzte Risiken: De-Mail-Bürgerportale weiterlesen

Paradoxie der Wachsamkeit

O-Ton, Risiko, Wahrnehmung, ,

»Es gibt eine Paradoxie im Wohlergehen der Menschheit: Das Wohlergehen der Menschheit beruht auf  einer wirklichen Wachsamkeit gegen eine Menge Gefahren, aber das Wohlergehen vernichtet auch die Wachsamkeit. Die Freiheit wird leicht zu etwas Selbstverständlichem.«

(Karl R. Popper im Spiegel-Interview, April 1992, abgedruckt in: Karl Popper, Alles Leben ist Problemlösen, Piper Verlag)

Unterschätzte Risiken: Katzen

Unterschätzte Risiken

Meine Theorie ist ja, dass Katzen in Wirklichkeit Außerirdische sind, die uns untersuchen und sich dabei nichts anmerken lassen. Manchmal gehen sie aber zu weit:

»Eine streunende Katze hat am Donnerstag im südhessischen Groß-Zimmern einen Autounfall mit 25 000 Euro Schaden verursacht. Nach Angaben der Polizei in Darmstadt war das Tier einem 45 Jahre alten Autofahrer vor den Wagen gelaufen. Dieser verriss aus Schreck das Lenkrad und prallte gegen zwei am Straßenrand geparkte Autos. Die Katze lief unterdessen unverletzt weg.«

(Echo Online)

Und was tun wir? Wir stellen Katzencontent ins Netz. Das darf man wohl als asymmetrischen Konflikt bezeichnen.

Bagatellhelme aus Styropor

Propaganda, Risiko, Safety, Zahlenspiele, , ,

Ein wiederkehrendes Thema in (Fahrrad-)Helmdiskussionen ist dei Frage, wogegen genau die real existierenden Helme eigentlich schützen. Helmskeptiker behaupten, nach der Konstruktion und den Prüfstandards könne so ein Helm nur gegen Bagatellverletzungen helfen, also genau dann, wenn man eigentlich keinen Helm braucht, weil man auch ohne Hilfe überlebt.

Mit zunehmender Faszination beobachte ich nun, dass solche Argumente Eingang finden in die Berichterstattung der Mainstream-Medien, zumindest wenn es um Skihelme geht. So schreibt Focus Online: Bagatellhelme aus Styropor weiterlesen

Unterschätzte Risiken: Ernährung

Unterschätzte Risiken, ,

Die Süddeutsche Website klärt uns über Ernährungsrisiken auf, und zwar richtig:

»Apfelsinen zum Beispiel. Weiß denn niemand, wie gefährlich Apfelsinen sind? Isst man zu viele, kann das zum akuten Darmverschluss führen. Das faserige Fruchtfleisch bläht sich im Darm auf und kann ihn verstopfen – steht in jedem Chirurgie-Buch. Man muss allerdings mindestens zwei bis drei Kilogramm Orangen auf einmal essen, bis es so weit kommt – das hat selbst Onkel Dittmeyer zu seinen besten Zeiten nicht geschafft.«

Wie alle ungefragten Ratgeber sind auch jene mit Vorsicht zu, äh, genießen, die uns ins Essen hineinreden wollen. Das hat die Süddeutsche verstanden. Dass zu einer Risikobetrachtung nicht nur die möglichen Schäden gehören, sondern auch Randbedingungen und Eintrittswahrscheinlichkeiten, das hat sie auch verstanden. Und dass die meisten Tipps und Warnungen nur Entertainment sind, das auch. Davon möchte ich mehr lesen.

What’s the harm?

English, Geschäft, Risiko, Safety

[Get only posts in English]

Nice idea:

»This site is designed to make a point about the danger of not thinking critically. Namely that you can easily be injured or killed by neglecting this important skill. We have collected the stories of over 225,000 people who have been injured or killed as a result of someone not thinking critically.«

(http://whatstheharm.net/)

Thus far their collection comprises »3,284 people killed, 306,068 injured and over $2,815,114,000 in economic damages« caused by pseudoscience, alternative medicine, religion, belief in the supernatural, fears, misinformation and the like. And it’s not always harm that people inflict upon themselves as for instance the section on expert witnesses shows.

Nüchtern gerechnet

Erich fragt, Risiko, Wahrnehmung, , ,

Wer rational über Risiken urteilen möchte, der muss auch in den sauren Apfel beißen und über seine Lebenserwartung nachdenken. Das fällt nicht leicht, kann aber Fehlinvestitionen vermeiden:

»Außerdem sei Riester für Menschen, die wegen gesundheitlicher Probleme von einer niedrigen Lebenserwartung ausgehen müssen, nicht unbedingt eine Empfehlung. Denn aufgrund der Kalkulation der Anbieter lohne sich ein Vertrag häufig erst, wenn monatliche Auszahlungen bis ins hohe Alter erfolgen, hat Nauhauser ausgerechnet.«

(Frankfurter Rundschau:
Kapitalanlage: Die sechs größten Finanzirrtümer)

Kompliziert wird die Sache, wenn man dabei nicht nur vorgegebene Faktoren – genetische Disposition, Verhalten in der Vergangenheit, etc. – berücksichtigt, sondern auch solche, die man selbst noch beeinflussen kann. Wo liegt, zunächst nur wirtschaftlich betrachtet, das Optimum, wenn man einen Geldbetrag auf die eine oder andere Weise investieren kann und man damit zum einen seine Lebenserwartung beeinflusst, zum anderen seine wirtschaftliche Lage bis zum Lebensende? Einfacher gefragt, steht man wirklich schlechter da, wenn man sein Vorsorge-Budget komplett in Zigaretten, Schnaps und Risikosport investiert? Was sagt die Wirtschaftswissenschaft dazu?