Archiv der Kategorie: Risiko

Risk Management

Crypto Wars 2.0: Let the Trolling Commence (and don’t trust your phone)

English, Regierungsviertel, Risiko, Security, Unterwegs, , , , ,

That was a nice bit of trolling. A rough timeline: (1) Apple and later, Google announce modest improvements to a security building block of their respective mobile device platforms, device encryption. (2) Government officials in the US publicly complain how this would obstruct law enforcement and request means to access encrypted device data. (3) The usual suspects are all up in arms and reiterate their arguments why crypto backdoors are a bad idea.

What is wrong with this debate, apart from it being a rerun? First, encryption is not as secure as claimed. Second, encryption is not as important as assumed.

Device encryption is just one small security building block. It protects data stored on the device against access without the encryption key if the adversary encounters the device in the turned-off state. Attacks against encryption typically go for the keys. As we were just reminded, police can compel suspects to hand over their fingerprints and unlock a device. Some countries have key disclosure laws.

Against running devices there are further attack options. If any key material is held in RAM, it can be extracted, at least in principle, with a cold boot attack. Whether Apple’s Secure Enclave design does anything to protect against such attacks remains unclear. As we’ve learned with Microsoft’s encryption scheme, Bitlocker, even hardware-supported encryption can leave a number of loopholes (Trust 2009 paper).

Encryption has its limitations. It protects data subject to several conditions. In particular, the adversary must be unable to obtain the key or subvert the execution environment. While plug-and-play forensics would be more convenient for law enforcement, there are ways around device encryption.

Mobile platforms extend beyond the individual device. Not only do devices communicate liberally with other devices and with Internet services, they also depend on the platform operator. Apple and Google run appstores and supply software updates. Whatever the software of a device can or cannot do may change at any time.

Encryption protects files against access bypassing the operating system, not against access from within. Protection against rogue users or applications is a matter of authentication and access control — software making decisions, software that can be modified. While this channel entails some tampering-with-evidence problems for law enforcement, it seems technically quite feasible to use it.

Encrypted equals secure only from a microscopic perspective. I have advocated before to pay more attention to systemic and macroscopic aspects, and the crypto wars 2.0 debate illustrates nicely how a too narrow focus on a single security mechanism skews our debate. Encryption matters, but not as much as we allow them to make us believe it would.

Hintertüren für den Staat

Bedrohung, Datenschutz, Philosophie, Security, So geht das, Stakeholder Networks, Wahrnehmung, ,

Smartphones und Tablets sind neben vielen anderen Funktionen auch persönliche mobile Datenträger. Für deren Inhalt – Kontakte, Termine, Fotos, Anrufprotokolle, Kurznachrichten und so weiter – interessieren sich naturgemäß auch Strafverfolger. Die Mobilplattformen iOS und Android können gespeicherte Daten verschlüsseln, wie es sich für ein verlust- und diebstahlgefährdetes Gerät gehört. Neuerdings verspricht Apple, selbst keine Daten aus verschlüsselten Geräten auslesen zu können. Google kündigt für die nächste Android-Version an, die Verschlüsselung standardmäßig zu aktivieren und gibt ebenfalls an, über keinen Zugriffsmöglichkeit zu verfügen. Daraufhin melden sich der FBI-Direktor, der US-Justizminister und andere und kochen die alte Diskussion um Hintertüren für die Strafverfolgung neu auf. Ein Aufschrei ist ihnen sicher.

An anderer Stelle sind Hintertüren für staatliche Organisationen üblich und niemanden juckt es: Viele Gebäude verfügen über ein Feuerwehrschlüsseldepot, das der Feuerwehr den Zugang ermöglicht. Technisch handelt es sich um dasselbe Problem und denselben Lösungsansatz mit denselben Risiken wie im Fall der Verschlüsselung. Warum ist die eine Hintertür im Sicherheitskonzept ein Aufreger, die andere hingegen nicht? Bei näherer Betrachtung fallen allerlei Unterschiede auf:

  • Feuerwehr, Gebäudebetreiber und Gebäudenutzer verfolgen gemeinsame Interessen und profitieren von der Lösung. Alle drei Parteien wollen Brände schnell gelöscht und Fehlalarme ohne unnötige Nebenschäden abgestellt sehen. Strafverfolger hingegen sind für die Verfolgten, ob schuldig oder unschuldig, stets ein Gegner und für Dienstanbieter mindestens lästig. Die Krypto-Hintertür schafft keine Win-Win-Situation.
  • Im Fall der Schlüsseldepots wirkt ein weiterer Player, der ein eigennütziges Interesse an optimaler Sicherheit hat: die Versicherer, die weder für Brandschäden noch für Einbrüche mehr als unbedingt nötig zahlen möchten. Sie setzen sich mit handfesten wirtschaftlichen Mitteln dafür ein, dass das Missbrauchsrisiko gering bleibt. Kryptohintertüren könnte man zwar prinzipiell der gerichtlichen Kontrolle unterwerfen, aber den Gerichten fehlt das ökonomische Optimierungsinteresse.
  • Es gibt ein sichtbares und plausibles Risikomanagement. Feuerwehrschlüsseldepots geben bei richtiger Implementierung der Feuerwehr Darmstadt Zugang zu ausgewählten Gebäuden in und um Darmstadt und der Feuerwehr Kassel Zugang zu ausgewählten Gebäuden in Kassel. Ein Secure Golden Key™, wie es in der Neuauflage der Kryptodiskussion heißt, gäbe vermutlich den Strafverfolgungsbehörden mehrerer Länder Zugriff auf alle Geräte der jeweiligen Plattform – man wäre sonst machtlos gegen kriminelle Touristen und im Ausland gekaufte Telefone.
  • Schlüsseldepots werden vorwiegend in öffentlichen und halböffentlichen Gebäuden (Kaufhäuser, Bürogebäude, Industrieanlagen usw.) eingesetzt. Das Reihenhaus von Tante Erna hat keins.
  • Die gewährten Zugangsrechte sind begrenzt. Der Generalschlüssel aus dem Depot öffnet eine definierte Menge von Zugängen; der Safe im Büro gehört nicht dazu. Demgegenüber ermöglicht ein Kryptogeneralschlüssel mit hoher Wahrscheinlichkeit eine Privilegieneskalation, wenn sich damit  Zugangsdaten (neben Passworten zum Beispiel Session-IDs) für weitere Dienste oder Geräte lesen lassen.
  • Die Betroffenen haben subjektiv und objektiv mehr Kontrolle über die Verwendung der deponierten Schlüssel: Das Feuerwehrschlüsseldepot ist gut sichtbar vor Ort installiert, was unbemerkte Zugriffe erschwert. Dass jemand meine Daten entschlüsselt, bekomme ich dagegen nie mit.
  • Der relative Sicherheitsverlust bei Missbrauch ist geringer. Sowohl die Feuerwehr als auch Einbrecher kommen sowieso rein, wenn sie das wirklich wollen und eine Weile Lärm machen dürfen. Ein Schlüssel macht es einfacher, aber selten überhaupt erst möglich. Das ist auch jedem klar. Von verschlüsselten Daten erwarten wir, dass sie ohne Schlüssel so gut wie gelöscht sind.

Hintertüren beziehungsweise Generalschlüssel für den Staat können akzeptabel sein – wenn der Kontext und die Implementierung stimmen. Ob man sie dann auch braucht und haben möchte, ist noch einmal eine andere Frage. Die Notwendigkeit, Beweise mit einem gewissen Ermittlungsaufwand beschaffen zu müssen, statt sie einfach irgendwo auszulesen, kann ein ganz brauchbarer Kontrollmechanismus sein.

Komplette Durchleuchtung?

Datenkrake, Datenschutz, Risiko, Spackeria, Wahrnehmung

Der klassische Datenschutz europäischer und insbesondere deutscher Prägung geht von einem Vorurteil aus: Das Speichern und Verarbeiten personenbezogener Daten sei gefährlich und die Gefahr wachse proportional mit der Datenmenge pro Person. Folgerichtig bleiben diese gefährlichen Handlungen verboten, solange sie nicht eine Einwilligung des Betroffenen oder ein Gesetz erlaubt.

Max Schrems, Initiator von Europe vs. Facebook und derjenige, der von Facebook Auskunft über seine dort gespeicherten Daten erstritt, hat ein Buch geschrieben, Kämpf um deine Daten. Die zugehörige Rezension der FAZ illustriert die Datenschutz-Prämisse und wie sie unsere Wahrnehmung beeinflusst:

»Ein anderer Slogan der Digitalwirtschaft lautet: „Wir machen doch alles nur, um die Werbung auf den Nutzer zuzuschneiden.“ Dem hält Schrems entgegen, dass personalisierte Werbung längst nicht so effektiv ist, wie alle tun. Werbetreibende erzählten das hinter vorgehaltener Hand. Die komplette Durchleuchtung des Nutzers geschehe im Grunde bloß für ein paar lausige Klicks mehr, resümiert Schrems. Nur wegen Cent-Beträgen wird unser Grundrecht auf Datenschutz aufgelöst.«

Die komplette Durchleuchtung aus nichtigem Anlass, anders kann man es kaum sehen, wenn man die Grundannahme des Datenschutzes akzeptiert. Tut man dies nicht, so bietet sich eine alternative Interpretation an: Was die Datenkraken über uns wissen und vorhersagen können, genügt gerade mal, um die Werbeklickraten ein wenig zu erhöhen. Von Algorithmen, die uns besser kennen als wir selbst, kann keine Rede sein. Personalisierte Werbung ist weit davon entfernt, uns genau das vorzulegen, was wir sicher anklicken werden. Darüber liefert der Einzelne nämlich viel zu wenig Informationen. „Personalisierte“ Werbung ist in Wirklichkeit statistisch optimierte Werbung, der die Zielgruppensegmentierung und -zuordnung ein wenig besser gelingt als den extrem groben klassischen Mechanismen. Mit herkömmlichen Methoden bekomme ich Autowerbung, wenn ich eine Autozeitschrift lese und Nerdwerbung auf Slashdot. Moderne Verfahren nutzen vielfältigere Merkmale und finden die optimale Auswahlstrategie zum Teil selbst.

Viel mehr als eine etwas genauere Zielgruppensegmentierung steckt nicht hinter der personalisierten Werbung, und die meisten Anzeigen werden nach wie vor ignoriert. Statt von der kompletten Durchleuchtung für ein paar Cent sollte man besser von Optimierungen am Rande der Aufmerksamkeit sprechen. Ist das gefährlich, schädlich, manipulativ? Eher nicht, jedenfalls nicht mehr als Werbung an sich schon ist. Lebe ich besser, wenn ich sorgfältig jede Datenspur vermeide? Nicht messbar. Diese pragmatische, risikoorientierte Sicht ist dem klassischen Datenschutz fremd.

P.S. (2014-06-14): Kristian Köhntopp erklärt passend dazu, warum verschiedene Formen der Durchleuchtung unterschiedlich nützlich sind.

Kosten und Nutzen

Geschäft, Risiko, Safety, Security, Wahrnehmung, , ,

„Jede Sicherheitsmaßnahme lässt sich umgehen.“ – Jochim Selzer argumentiert auf G+, dies sei keine gute Begründung für den  Verzicht auf Sicherheitsmaßnahmen. Damit hat er Recht, aber dies ist umgekehrt keine ausreichende Begründung für beliebige Sicherheitsmaßnahmen. Seiner Betrachtung fehlt ein Faktor: das Kosten-Nutzen-Verhältnis. Mehr Sicherheit oder auch überhaupt Sicherheit wird zum Verlustgeschäft, wenn dem Aufwand keine adäquate Risikoreduktion gegenübersteht. Das klingt trivial, macht die Sache in Wirklichkeit jedoch ziemlich kompliziert.

Die Kosten einer Sicherheitsmaßnahme sind nicht nur die Anschaffungs-, sondern auch die Betriebskosten. Nicht alle Kosten manifestieren sich in finanziellen Transaktionen, sondern zum Beispiel in Zeit- und Arbeitsaufwand. Auch sehr kleine Aufwände können zu erheblichen Kosten führen, wenn sie in Alltagssituationen immer wieder anfallen. Auch das Ändern von Gewohnheiten ist teuer. Ein häufig verwendetes Passwort zu ändern, kostet mich zum Beispiel jedesmal einige Tage voller Fehlversuche mit dem alten Passwort, bis ich mich an die Änderung gewöhnt habe — und eine andere Empfehlung legt mir nahe, meinen Rechner beim Verlassen immer zu sperren.

Der Nutzen einer Sicherheitsmaßnahme ergibt sich nicht aus ihrer lokal messbaren Wirkung, sondern aus ihrem Einfluss auf das gesamte Risikoprofil. Sicherheitsmaßnahmen können irrelevant sein, wenn das Risiko – bezogen auf die Konsequenzen – insgesamt sehr klein ist und von anderen Risiken dominiert wird. Wenn ich zum Beispiel ein Smartphone oder einen Laptop mit mir herumtrage und darauf keine ungewöhnlich wertvollen Daten gespeichert sind, dann liegt das dominante Risiko im Verlust der Hardware. Ob ich meine Daten verschlüsselt habe oder nicht, ist dann relativ belanglos. Ebenso brauche ich mich als Individuum, zumal im Mitteleuropa der Gegenwart, nicht vor der NSA zu fürchten, wenn ich bedenkenlos auf Haushaltsleitern steige und am Straßenverkehr teilnehme. Ich werde höchstwahrscheinlich an einem Unfall, an einer Krankheit oder an Altersschwäche sterben und nicht an einem Drohnenangriff wegen eines algorithmisch hergeleiteten Terrorverdachts.

Hinzu kommt, dass Sicherheitsmaßnahmen nicht notwendig Risiken verringern, sondern sie oft nur verlagern oder transformieren. Einbrecher durchwühlen die unverschlossene Gartenlaube und nehmen tragbare Wertsachen sowie Alkoholvorräte mit. Einbrecher durchwühlen die verschlossene Gartenlaube und nehmen tragbare Wertachen und Alkoholvorräte mit, nachdem sie die Tür oder das Fenster demoliert haben. Was habe ich nun vom guten Schloss? Die Einbrecher müssen ein Brecheisen mitbringen und werden vielleicht (aber unwahrscheinlich) gehört – und ich habe höhere Kosten pro Vorfall, selbst wenn nichts gestohlen wird. Ich fahre besser, wenn ich die Tür offen lasse und kein potenzielles Diebesgut lagere.  Das Problem der Risikoverlagerung und -transformation ist typisch für Security, wo wir es mit adaptiven Angreiferkollektiven zu tun haben. In geringerem Maße kann es aber auch bei Safety-Maßnahmen auftreten, wenn diese Maßnahmen unerwünschte Nebenwirkungen haben und man also eine Risikoausprägung gegen eine andere eintauscht. Im Klettergerüst getragen kann ein Fahrradhelm Kinder strangulieren.

Ökonomisch betrachtet sind deswegen viele Sicherheitsratschläge für die Katz. Kosten und Nutzen haben außerdem eine subjektive Komponente. Ökonomische Rationalität beschreibt ein (angenommenes) Optimierungsverhalten unter Berücksichtigung persönlicher Präferenzen. Jeder ist frei darin festzulegen, wie viel ihm ein bestimmter, quantifizierter Nutzen im Vergleich zu anderen Angeboten mit denselben Kosten wert ist oder wie sehr ihn eine bestimmte Unannehmlichkeit im Vergleich zu einer anderen belastet. Auch ein Selbstmörder, der sich vor seiner Rettung schützt, kann ökonomisch rational handeln, wenn ihm sein eigener Tod nur wichtiger ist als alles andere. In diesem Sinne ist nichts daran auszusetzen, dass sich jemand etwa gegen den Sicherheitsgurt, gegen den Fahrradhelm, gegen ein kompliziertes Password oder gegen die E-Mail-Verschlüsselung entscheidet. Präskriptive Overrides sind nur dort angebracht, wo aus solchen Präferenzen erhebliche gesellschaftliche Probleme resultieren.

Erfolgsgeschichte Sicherheitsgurt?

Risiko, Safety

In Diskussionen über den Sinn und Unsinn von Styroporhauben für Radfahrer taucht regelmäßig der Hinweis auf, so ähnliche Debatten haben man damals zur Gurtpflicht im Auto auch geführt. Der Hinweis kommt von Befürwortern der Styroporhaube; aus ihm spricht neben der Hoffnung auf den Debattenendsieg die Annahme, SIcherheitsgurte seien eine Erfolgsgeschichte und hätten unzählige Leben gerettet. Diese Annahme ist vielleicht gar nicht so selbstverständlich, wie sie wirkt. In The Failure of Seat Belt Legislation (via) argumentiert John Adams, dass eine signifikante Wirkung der Gurtpflicht gar nicht auf der Hand liege. Wie haltbar seine Argumentation ist, kann ich noch nicht sagen; ich habe den Text nur überflogen

Daten-Bank

Angst, Datenkrake, Datenschutz, Risiko, Vertrauen, Wahrnehmung, Wolkenkuckucksheim,

Banken haben einen schlechten Ruf. Trotzdem lassen wir alle unser Geld dort. Meistens funktioniert das auch und wir bekommen unser Geld später zurück, in guten Zeiten sogar mit Zinsen. Unser Geld stapeln die Banken nicht einfach im Keller, sondern sie arbeiten damit und erwirtschaften Gewinne. Am Ende hat jeder einen Nutzen davon, mit Ausnahme einiger bedauerlicher Einzelfälle.

Cloud-Dienste haben einen schlechten Ruf. Trotzdem lassen wir alle unsere Daten dort. Meistens funktioniert das auch und wir bekommen unsere Daten ohne Nebenwirkungen zurück, in guten Diensten sogar mit Zusatznutzen. Unsere Daten lagern die Cloud-Dienste nicht einfach auf Speichermedien, sondern sie arbeiten damit und erwirtschaften Gewinne. Am Ende hat jeder einen Nutzen davon, mit Ausnahme einiger bedauerlicher Einzelfälle.

Zwei Karten, zwei Philosophien

Freundlich zum Nutzer, Philosophie, Risiko, Security, , , , ,

Ich bekomme eine neue Smartcard. Ausgestellt von der Fraunhofer-PKI, kann ich mit der Karte E-Mail und anderes verschlüssel und signieren sowie Urlaub beantragen, Besprechungsräume reservieren und meine Arbeitsstunden auf Projekte buchen. Zur Karte gehört ein Passwort, falls ich sie mal verliere, und aufgedruckt trägt sie ein Jugendfoto meiner selbst.

Ich besitze schon so eine Karte, sie funktioniert auch, doch die PKI möchte mir eine neue ausstellen. Das ist ein komplizierter Vorgang. Ich bekomme einen PIN-Brief, dann muss ich die Karte abholen und dabei einen amtlichen Lichtbildausweis vorzeigen. Vermutlich werde ich auch unterschreiben müssen, dass ich die neue Karte erhalten habe. Alles muss sehr sicher sein, sonst könnte womöglich jemand in meinem Namen Räume reservieren oder Urlaub beantragen.

Von meiner Bank bekam ich vor einigen Tagen ebenfalls eine neue Smartcard. Mit dieser Karte kann ich einkaufen und Geld abheben. Sie kam mit der Post, lag einfach im Briefkasten. Meine bisherige PIN glt auch für die neue Karte.

Die eine Karte steht für ein System, das besonders sicher sein möchte und stattdessen besonders bürokratisch ist. Die rechtsverbindliche elektronische Signatur hat sich deswegen im Alltag nie durchgesetzt, die eID-Funktion des neuen Personalausweises bislang auch nicht. Entworfen hat man Technik und Rechtskonstrukte, keine Anwendungen.Der primäre Zweck besteht darin, in einem formalen Sinn sicher zu sein.

Die andere Karte repräsentiert eine Dienstleistung: Zahlungsverkehr in verschiedenen Ausprägungen. Eine Plastikkarte als Mittel dazu ist praktisch; dass später Magnetstreifen und Chips hinzukommen würden, ahnte man bei der Erfindung des Plastikgeldes noch nicht. Die begleitenden Prozesse bleiben unbürokratisch, sie sind pragmatisch gestaltet. Nicht formale Sicherheit ist das Ziel, sondern akzeptable Risiken.

P.S.: Diese Woche ist Smartcard-Workshop.

Afraid of the Intercloud

Angst, Datenkrake, Datenschutz, Geschäft, Risiko, Spackeria, Wahrnehmung, , , ,

Jürgen Geuter asked on G+:

»Ok, help me understand. Why is #Google buying #Nest seen as bad for privacy/data control/etc.?

I don’t get it, the data Google already has about individuals is better. Is it because Google is seen tied to objects that just exist around us (and are not our direct extensions such as smartphones)? Is it the usual underspecified feeling of „creepyness“?«

I went for the creepiness option. This is my reply, which I recycle here:

Maybe it’s because we’re mentally still living in the pre-cloud and in the database paradigm. Google represents like no other organization – maybe except the NSA – a technological progress that’s hard to grasp. We have no appropriate conception of information risk and risk management for a world in which a single organization can process various data about the wealthier half of the planet’s population and draw inferences from these data. Google represents this development, working at its forefront and pushing the limits.

We have no intuition what may, could, or will happen to us in the long run due to this new technology, and we have no idea ho to manage the risks (or non-risks) that we don’t understand. In a way we are in a similar situation as those who drafted our first data protection laws back in the seventies and early eighties: having to manage not only the uncertainty inherent in any risk consideration, but rather an uncertainty about the uncertainty. Back then, the tentative conceptual and legal solution was to ban all storing and processing of personally identifiable data and grant permission only on a case-by-case basis.

Progress has turned this approach into a delusion, but we lack a convincing replacement. We don’t know what’s risky and what isn’t; most of us don’t even understand what creates value in an Internet-scale data processing business. We project all our uncertainties on the pioneers.

P.S.: Just while I was writing this, the following quote appeared in my G+ stream:

»The desire for security and the feeling of insecurity are the same thing. To hold your breath is to lose your breath. A society based on the quest for security is nothing but a breath-retention contest in which everyone is as taut as a drum and as purple as a beet.«

— Alan Watts

Morgen kann vielleicht etwas passieren

Bedrohung, Begriffe, Datenschutz, Property Degrees, Risiko, Security, Spackeria

»Ich will jedenfalls auf dieses Problem aufmerksam machen: Sicherheitsbedürfnisse sind strukturell unstillbar. Es ist gegen das Argument ‚Morgen kann vielleicht etwas passieren‘ kein Kraut gewachsen.«

— Winfried Hassemer im Streitgespräch mit Wolfgang Schäuble (via Telepolis)

Zu kurz gedacht wäre allerdings, dies – und die Schlussfolgerung, dass man Grenzen setzen müsse – nur auf staatliche Sicherheitsgesetze, -behörden und -projekte zu beziehen. Der Satz gilt in alle Richtungen und für alle Sicherheitsbedürfnisse, also auch zum Beispiel für den Ruf nach mehr Datenschutz, mehr Verschlüsselung, weniger NSA und so weiter.

Morgen kann vielleicht etwas passieren. Das ist kein ausreichender Grund, auf Segnungen des Internet-Zeitalters zu verzichten, auch wenn sie Google, Facebook oder Cloud Computing heißen. Es ist nicht mal ein ausreichender Grund, sich anders zu verhalten und etwa amerikanische Dienstleister zu meiden, öfter zu verschlüsseln oder Datenpakete anders zu routen.

Morgen kann vielleicht etwas passieren. Etwas dagegen zu tun lohnt sich nur, wenn man sein individuelles Risiko nennenswert reduziert und der Aufwand im Verhältnis zur Risikoreduktion steht. Deswegen erlaube ich mir, die Snowden-Enthüllungen mit Interesse zur Kenntnis zu nehmen, in meinem alltäglichen Verhalten aber nicht weiter darauf zu reagieren. Ich habe keinerlei Anhaltspunkte dafür, dass die NSA mein Leben beeinflusst, folglich lohnt es sich auch nicht, individuelle Maßnahmen zu ergreifen.

Unterschätzte Risiken: Heiterkeit

Studien, Unterschätzte Risiken, ,

Jauchzet, frohlocket? Besser erst mal den Hausarzt konsultieren. Das Nutzen-Risiko-Verhältnis beim Lachen ist unübersichtlich, wie eine in der Weihnachtsausgabe des BMJ veröffentlichte Literaturauswertung zeigt. Die Autoren fassen zusammen:

»However, laughter is no joke—dangers include syncope, cardiac and oesophageal rupture, and protrusion of abdominal hernias (from side splitting laughter or laughing fit to burst), asthma attacks, interlobular emphysema, cataplexy, headaches, jaw dislocation, and stress incontinence (from laughing like a drain). Infectious laughter can disseminate real infection, which is potentially preventable by laughing up your sleeve.«

(R.E. Ferner; J.K. Aronson:
Laughter and MIRTH (Methodical Investigation of Risibility, Therapeutic and Harmful): narrative synthesis)

(via)

Unterschätzte Risiken: Homöopathie

Geschäft, Unterschätzte Risiken

Homöpathie kann nicht schaden? Denkste! Manche glauben daran, andere nicht. Blöd, wenn die anderen Polizisten sind, das weiße Pulver im Paket aus Uruguay für Heroin halten und gegen die Empfänger ermitteln:

»De nada sirvieron sus explicaciones de que aquel polvo blanco era su tratamiento homeopático contra su mielitis idiopática, que dificultaba su caminar.«

(El País: “Es homeopatía, no heroína”)

In deren Ohren klingt Homöpathie nach einer ganz schlechten Ausrede.

Das Angstgeschäft – ein Verriss

Angst, Bedrohung, Geschäft, Propaganda, Security, security-industrial complex, Zahlenspiele

Für den Tagesspiegel nimmt Kevin P. Hoffmann die allgegenwärtge Sicherheitspropaganda auseinander. Kostprobe:

»Gleichwohl sind Bürger heute bereit, mitunter 60 bis über 100 Euro für ein Fahrradschloss auszugeben, um damit ein Rad zu schützen, das kaum doppelt so teuer war.

Auffällig ist auch, mit welcher souveränen Arroganz Vertreter der Sicherheitsbranchen ihrer potenziellen Kundschaft entgegentreten. Bürger seien zu dumm, Gefahren richtig einzuschätzen, hört und liest man immer wieder

(Tagesspiegel: Nach den Anschlägen von Boston: Gute Geschäfte mit der Angst)

Mit Sicherheit ist kein Geschäft zu machen. Investitionen in Sicherheit sind erzwungener Konsum; wer bei Verstand ist, wird die Ausgaben für Sicherheit minimieren und allerlei Risiken einfach hinnehmen. Geschäfte macht man mit Angst, und mit Produkten, die Angst reduzieren. Auf Sicherheit kommt es dabei nicht an.

Number Crunching

Bedrohung, Erich fragt, Geschäft, Propaganda, Risiko, Zahlenspiele, Zwischenruf

HP veröffentlicht den 2012 Cyber Security Risk Report. Neben dem Security Report 2013 von Checkpoint sieht HP natürlich alt aus, aber dafür legen die mit der neuen Forschungsabteilung jetzt ja 14-tägig neue Hot Topics auf den Tisch. Es gab mal Zeiten, da mangelte es an Zahlen, aber mittlerweile gibt es mehr als genug davon. Leider gibt es immer noch zu wenig Maßgebliches oder Interessantes. Gibt es eigentlich eine Statistik über die Anzahl der IT-Sicherheitsstatistiken?

Unterschätzte Risiken: Turmspringen gen Osten

Angst, Regierungsviertel, Safety, Unterschätzte Risiken, , , , , ,

Im Dieburger Freibad bleibt die obere Hälfte des Sprungturms künftig gesperrt. Der Grund:

»Nach den neuen Vorgaben europaweit geltender Richtlinien muss gewährleistet sein, dass sportliche Badegäste „nicht gegen die Sonne springen“, und dabei Schwimmer im Becken etwa wegen Blendung übersehen, so Thomas. Es dürfe nur noch „nach Norden“ gesprungen werden. Der Sprungturm in Dieburg zeigt nach Osten.«

(Echo Online:
Plötzlich steht der Sprungturm im Dieburger Freibad falsch)

Den Turm erst mittags zu öffnen, wenn die Sonne nicht mehr aus dem Osten scheint, wäre wohl zu einfach gewesen. Das Vorsorgeprinzip hat uns dank der EU fest im Griff – sicher ist sicher, da gibt es keine Diskussion. Oder steckt vielleicht die Freibadsanierungslobby dahinter?

Update: Erst mittags öffnen geht doch.

Mandatory Helmet Laws Reduce … Theft

English, Forschung, Risiko, Security, Studien, Unterwegs,

What happens when a government enacts and enforces a mandatory helmet law for motorcycle riders? According to criminologists, a reduction in motorbike theft follows. The 1989 study Motorcycle Theft, Helmet Legislation and Displacement by Mayhew et al. (paywalled, see Wikpedia summary) demonstrated this effect empirically looking at crime figures from Germany, where not wearing a helmet on a motorcycle is being fined since 1980. This lead to a 60% drop in motorcycle theft – interestingly, with limited compensation by increases in other types of vehicle theft.

The plausible explanation: motorcycle thieves incur higher risk of being caught when riding without a helmet after a spontaneous, opportunistic theft. Adaptation is possible but costly and risky, too: looking for loot with a helmet in one’s hand is more conspicious, and preparing specifically to steal bicycles reduces flexibility and narrows the range of possible targets.