Archiv der Kategorie: Risiko

Risk Management

60μg/m³

Risiko, Safety, Zahlenspiele, , ,

60μg/m³ betrug die Feinstaubkonzentration, die man am Montag 4 Kilometer über Leipzig maß. [Update: Wenn man von der Seite guckt und ein Pfeil dran ist, kann man diese Konzentration auch sehen.] Der Luftdurchsatz der Triebwerke eines modernen Verkehrsflugzeuges liegt bei etwa 1000 bis 1300kg/s für alle Triebwerke zusammen. Ganz grob überschlagen wiegt ein Kubikmeter Luft ungefähr ein Kilogramm. Das Nebenstromverhältnis ziviler Mantelstromtriebwerke liegt bei 5:1 bis 9:1, das heißt 1/9 bis 1/5 der angesaugten Luft gelangen in die Brennkammer.

P.S.: Die Luftqualitätsrichtlinie der EU erlaubt als Tagesmittelwert höchstens 50μg/m³ bei bis zu 7 Überschreitungen pro Jahr und als Jahresmittelwert 20μg/m³.

P.P.S.: Das DLR schreibt zum Messflug vom Montag:

»Die gemessenen Konzentrationen von großen Partikeln in den Vulkanschichten lagen bei Werten, die typisch in Sahara-Staubschichten beobachtet werden. Sie lagen jedoch niedriger, als die Konzentrationen von großen Partikeln, die in einer verschmutzten bodennahen atmosphärischen Grenzschicht gemessen werden.«

(Bericht zum Falcon Messflug am 19. April 2010)

Die Zusammenfassung des Berichts sagt nach meinem Verständnis: der Staub war messbar, aber nicht ungewöhnlich.

P.P.P.S.: Erste Schätzungen drei Tage vor dem Messflug lagen um eine Größenordnung höher bei etwa 600 bis 1000μg/m³. Das wären dann — vielen Dank an die rechnenden Leser — anderthalb bis zwei Pfund Staub in der Stunde.

„Wir möchten kein Risiko eingehen.“

Risiko, Safety, ,

Man wolle kein Risiko eingehen, sagen jezt alle, die sich vom Vorsorgeprinzip einen festen Sitz in ihrem Amtssesseln erhoffen. Und wie lange kann man „kein Risiko eingehen“, ohne dass diese Risikoaversion selbst riskant wird? Mehr als das ist es ja nicht, wie Spiegel Online schreibt:

»Iata-Präsident Giovanni Bisignani sagte am Montag in Paris, es gebe „keine Risikoeinschätzung, keine Konsultation, keine Koordinierung und keine Führung“ in der EU. Sicherheit gehe natürlich vor. Doch in einer solchen Krisenlage habe es fünf Tage gedauert, bis die EU-Kommission eine Videokonferenz zustande gebracht habe. Erst am Montagnachmittag wollen die Verkehrsminister über Wege aus dem seit Tagen anhaltenden Chaos im Luftverkehr beraten.«

Wie sichern sich Luftfahrtungternehmen eigentlich gegen solche Ereignisse ab? Anscheinend gar nicht.

P.S.: Pilot und Flugzeug zum Thema.

Unterschätzte Risiken: Hasenpest

Safety, Unterschätzte Risiken, Wahrnehmung, Zahlenspiele

Um Zeckenbisse wird jedes Jahr ein großes Theater gemacht, weil es gegen die dabei selten übertragene Krankkeit FSME eine Impfung zu verkaufen gilt. Um eine Gegend zum Risiko-, ja sogar zum Hochrisikogebiet zu machen, muss die Krankheit dort einfach nur auftreten. Viel weniger Aufregung verursacht die nur wenig seltener vorkommende Hasenpest. Dabei hätte sie es genauso verdient:

»Typischerweise erkranken Jäger. Sie stecken sich beim Häuten und Ausnehmen von Hasen an. Aber auch Forstpersonal und Landwirte sind häufiger betroffen. Man kann sich durch Zecken und Stechmücken, orale Aufnahme von nicht ausreichend erhitztem Hasenfleisch und Inhalation von erregerhaltigem Staub infizieren. Selbst in Oberflächengewässern und Erdboden findet sich der Erreger bisweilen. Das Krankheitsbild ist grippeartig: Fieber, geschwollene Lymphknoten, Kopfschmerzen, zum Teil Geschwüre. Oft wird deshalb eine falsche oder keine Diagnose gestellt.«

(Planckton: Die Hasenpest)

Unterschätzte Risiken: Onlinebanking

Geschäft, IT, Security, Unterschätzte Risiken

Sicherheit hängt nicht nur von der Technik ab, sondern manchmal auch vom Vertragsverhältnis:

»A New York marketing firm that as recently as two weeks ago was preparing to be acquired now is facing bankruptcy from a computer virus infection that cost the company more than $164,000.«

(N.Y. Firm Faces Bankruptcy from $164,000 E-Banking Loss)

Dass sich die Bank nicht verantwortlich fühlt, liegt in diesem Fall möglicherweise daran, dass es sich beim Opfer um einen Geschäftskunden handelt. Der Verbraucherschutz fällt damit weg.

Dass Firmen zum Opfer solcher Angriffe werden, scheint übrigens kein Einzelfall zu sein.

Unterschätzte Risiken: Testdaten

IT, Testlabor, Unterschätzte Risiken,

Die Geschichte endet etwas verworren, aber der Anfang passt als Fallstudie zum Thema produktionssicheres Testen:

»Embarrassed cops on Thursday cited a „computer glitch“ as the reason police targeted the home of an elderly, law-abiding couple more than 50 times in futile hunts for bad guys.

Apparently, the address of Walter and Rose Martin’s Brooklyn home was used to test a department-wide computer system in 2002.«

(Computer snafu is behind at least 50 ‚raids‘ on Brooklyn couple’s home)

Ob in diesem Fall wirklich Testdaten die Ursache sind, kann ich aus der Ferne nicht beurteilen. Plausibel ist es allemal.

Stolperkampagne

Safety, Unterschätzte Risiken, , ,

Stolpern hatten wir hier schon: ein Alltagsrisiko, das uns vielleicht gerade deswegen kaum ängstigt. Wir fürchten uns lieber vor Terroristen, Flugzeugabstürzen oder Kindermördern. In der Schweiz läuft nun gerade eine Kampagne, um die Bürger auf dieses Risiko aufmerksam zu machen. Zwar wird sie wohl ebenso wirkungslos verpuffen wie alle anderen gut gemeinten Werbekampagnen, aber wenigstens ist das Thema sinnvoll gewählt. Die häusliche Umgebung ist nämlich in absoluten Zahlen gefährlicher als der Straßenverkehr. Die Website zur Kampagne: http://www.stolpern.ch/.

Unterschätzte Risiken: Literaturrecherche

English, Forschung, Security, Unterschätzte Risiken, , ,

»There is another questionable use of the word “standard” that is frequently encountered in the literature. After a complicated interactive problem P has been used in a couple of papers, subsequent papers refer to it as a standard problem. The casual reader is likely to think that something that is standard has withstood the test of time and that there’s a consensus among researchers that the assumption or problem is a reasonable one to rely upon—although neither conclusion is warranted in such cases. The terminology obfuscates the fact that the new problem is highly nonstandard.«

(Neal Koblitz and Alfred Menezes: The Brave New World of Bodacious Assumptions in Cryptography)

Unterschätzte Risiken: Verbraucherschutz

Geschäft, IT, Nebenwirkung, Rechtsabteilung, Security, Unterschätzte Risiken, , , , ,

Wer dieses Blog schon länger liest, hat vielleicht mitbekommen, dass ich der Verknüpfung von IT-Sicherheitsbausteinen mit Rechtskonstrukten skeptisch gegenüberstehe. Verfahren wie die rechtsverbindliche digitale Signatur und Anwendungen wie De-Mail mögen manchmal nützlich sein. Sie machen es jedoch auch einfacher, Leuten etwas abzuluchsen, das sich später gegen sie verwenden lässt. Eine Überraschung ist das nicht, denn solche Phänomene gibt es nicht nur im Internet. Offline sollen beispielsweise Banken seit einiger Zeit ihren Kunden Unterschriften unter Beratungsprotokolle abnötigen. Die Chancen und die Risiken sind dabei klar verteilt:

»In der Praxis zeige sich, dass die Protokolle den Banken mehr nützten, als den Kunden. „Die schreiben da alles rein was sie brauchen, um später in einem Prozess bestehen zu können“, sagte der Liberale, der als Rechtsanwalt Opfer der Lehman-Pleite vertritt.«

(Welt Online:
Late Night „Anne Will“: Was beim Banken-Bashing gern vergessen wird)

Im Internet hat der Verbraucher jedoch bis jetzt eine günstige Rechtsposition, weil er vieles einfach abstreiten kann. Wer das Internet mit bestätigten  Identitäten oder mit Nachweisdiensten á la De-Mail sicherer machen möchte, arbeitet daran, diese Eigenschaft zu beseitigen und Risiken auf die Verbraucher zu verlagern. Obendrein wird der Alltag komplizierter. Wollen wir das?

PS: Die Hersteller von Identitätsnachweisen haben erwartungsgemäß eine klare Haltung dazu.

Unterschätzte Risiken: Datenbriefe

Datenschutz, Freundlich zum Nutzer, Nebenwirkung, Security, Unterschätzte Risiken

In einem offenbar ganz frischen Blog diskutiert ein Pflaumensaft die Risiken des Datenbriefes. Der Datenbrief soll den Datenschutz benutzerfreundlicher machen. Bislang muss sich jeder aktiv darum kümmern, bei Datenspeicherern und Datenverarbeitern Auskünfte einzuholen. Weil das Arbeit macht und man oft auch gar nicht so genau weiß, wer überhaupt Daten über einen gespeichert hat, tut das kaum jemand. Hinter dem Datenbrief verbirgt sich nun die Idee, das Ganze umzukehren und den Datennutzern die Pflicht zur aktiven Information der Dateninhaber aufzuerlegen. Der oben verlinkte Beitrag diskutiert, auf welche Weise das in die Hose gehen könnte.

Und nun? Gibt es Vorschläge, wie das Ziel des Datenbriefes — Awareness der Dateninhaber — ohne störende Nebenwirkungen zu erreichen ist?

Unterschätzte Risiken: Vorzeichenfehler

Freundlich zum Nutzer, Geschäft, Hackmeck, Rechtsabteilung, Security, Unterschätzte Risiken, , , , , ,

Ein Vorzeichenfehler in einem Zigarettenautomaten bei VW zieht weite Kreise:

»Nach Informationen von Betroffenen sollen allein im Original-Teile-Center (OTC) 120 Mitarbeiter zu einem Gespräch vorgeladen worden sein. Ihnen wird vorgeworfen, sich mit ihrem Werksausweis, der auch als Zahlungsmittel verwendet werden kann, an einem Zigarettenautomaten, auf Kosten von VW bereichert zu haben. Durch einen technischen Defekt, so der Vorwurf des Konzerns, sei kein Geld von den Chipkarten abgebucht, sondern gutgeschrieben worden. Diesen Defekt hätten verschiedene Werksanghörige bewusst ausgenutzt, um sich zu bereichern.«

(HNA: VW-Affäre: Die Ersten müssen gehen)

Der Fehler soll bereits seit 2007 bestanden haben und im Artikel ist von einer Person die Rede, die sich seither um 100 Euro bereichert haben soll. Zwölf Mitarbeitern von VW und 37 von Fremdfirmen hat man daraufhin fristlos gekündigt, wogegen sie nun klagen.

Mehr als die Aussagen in den verlinkten Berichten kenne ich auch nicht. Interessant ist aber, dass der Betreiber des Zahlungssystems offenbar seit 2007 nichts bemerkt hat. Von den Benutzern hingegen erwartet man, dass ihnen Fehler im bargeldlosen Bezahlen auffallen, die sich bei 100 Euro am Zigarettenautomaten seit 2007 ungefähr einmal im Monat in einer kleinen, die weitere Benutzung nicht störenden Abweichung des Kartenwertes niederschlagen.

Ob nun eine bewusste Bereicherung vorliegt oder nicht, könnte man vielleicht aus der Benutzerschnittstelle des defekten Automaten und dem Fehlerbild ableiten. Wurde die Aufladung direkt beim Benutzungsvorgang deutlich und vor dem Abschluss der Benutzerinteraktion angezeigt? Handelte es sich um einen systematischen Fehler, den man gezielt ausnutzen konnte, oder um ein nur gelegentlich zufällig auftretendes Phänomen?

Update: Inzwischen kursieren weitere Zahlen:

»Nach Angaben von VW-Justiziar Gerhard Klenner haben insgesamt 239 Mitarbeiter im Kasseler Werk ihre Chipkarten unrechtmäßig aufgeladen. Das Unternehmen habe aber nur jenen Mitarbeitern gekündigt, die mehr als 150 Euro auf ihre Ausweise aufgeladen hätten. Die anderen seien mit einer Tagesgeldbuße oder Versetzungen in andere Abteilungen abgemahnt worden.

Die zwei ehemaligen Mitarbeiter, die am Freitag vor Gericht waren, sollen 1180 Euro beziehungsweise 1178 Euro unrechtmäßig auf ihre Werksausweise geladen haben. Ein Kläger soll gar 1738 Euro auf seine Karte gebucht haben.«

(HNA: VW-Automaten-Affäre – erste Güteverhandlung vor Arbeitsgericht gescheitert)

HR Online hat auch noch ein Update.

Unterschätzte Risiken: Käse

Angst, Safety, Unterschätzte Risiken, , ,

Hand aufs Herz: haben Sie Angst vor Käse aus dem Supermarkt? Nein? Sollten Sie aber, denn Käse kann Sie umbringen:

»Alarm bei Lidl: Der Discounter hat erneut vor dem Verzehr von zwei Käsesorten gewarnt, die offenbar mit gefährlichen Bakterien verseucht sind. An ihnen sollen bereits sechs Menschen gestorben sein, die Symptome ähnelten zunächst denen einer Grippe.«

(Welt Online: Lebensmittel: Mehrere Todesfälle – Lidl ruft Käse zurück)

Die gefährlichen Bakterien sind Listerien, und wenn die Infektion Symptome zeigt, ist der Käsekauf vielleicht längst vergessen.

Unterschätzte Risiken: Sicherheitsgesetze

Datenschutz, ID, Security, Unterschätzte Risiken, , , ,

Schon seit einigen Jahren gibt es die Vorratsdatenspeicherung light: Telekommunikationsanbieter müssen die Identität ihrer Kunden erfassen und den Sicherheitsbehörden auf Anfrage zur Verfügung stellen. Rechtsgrundlage ist der §111 TKG (im Abschnitt Öffentliche Sicherheit), der dem anonymen Verkauf von Prepaid-Karten ein Ende machte. Sicherer geworden sind wir dadurch nicht. Wo man früher nur anonym telefonieren konnte, geht das jetzt auch unter einem falschen Namen, dem die Behörden dann vielleicht eine echte, aber unbeteiligte Person zuordnen.

An der inhärent schlechten Qualität der derart erfassten Daten wird sich kaum etwas ändern lassen. Anbieter, Händler und Kunden haben kein eigenes Interesse an der Pflege der Datenbestände, die deshalb schon ohne böswillige Eingriffe schnell degenerieren. Ein Musterbeispiel für eine wirtschaftliche Fehlkonstruktion: den Nutzen haben die Sicherheitsbehörden, den Aufwand die Betreiber und Händler und den Schaden irgend jemand. Öffentliche Sicherheit kann man so nicht schaffen.

Die Datenschützer waren übrigens gleich dagegen. Sie hatten Recht. Wie oft muss die Idee von der Sicherheit durch Identifizierung eigentlich in die Hose gehen, bis wir es lernen? Je wertvoller wir Identitätsmerkmale machen, umso häufiger werden sie missbraucht werden.