Archiv der Kategorie: Unterschätzte Risiken

Unterschätzte Risiken: Rumstehen ohne Helm

Da hat wohl einer geglaubt, er könne sich den Helm sparen, wenn er nur vom Fahrrad stiege und sich neben die Rennstrecke stellte. So kann man sich täuschen:

»Wie die Polizei mitteilte, sei an der Bezirksgrenze von Kreuzberg zu Neukölln gegen 12 Uhr ein bislang unbekannt gebliebener Radfahrer plötzlich gestürzt und gegen einen Streckenposten geprallt. Der Sportler und sein Rad trafen den Helfer am Kottbusser Damm Ecke Weserstraße so unglücklich, dass der 63-Jährige hinstürzte und mit dem Kopf gegen die Bordsteinkante schlug.

Der Polizei zufolge erlitt das Unfallopfer schwerste Kopfverletzungen. (…)«

(Tagesspiegel:
Helfer am Kopf verletzt: Folgenschwerer Unfall beim Velothon)

Unterschätzte Risiken: Hinterfotzigkeit

Bésame, bésame mucho / Como si fuera esta noche la última vez. / Bésame, bésame mucho, / Que tengo miedo a perderte, perderte después.

»Verletzungen an seiner Zunge nach einem heftigen Kuss erlitt dieser Tage ein 38 Jahre alter Mann aus dem Landkreis Darmstadt-Dieburg.  (…) Offenbar kam es mitten in der Nacht zu heftigen verbalen Streitereien zwischen dem Ehepaar, wie die Polizei mitteilte. (…) Mit einem Kuss wollte sich das Paar versöhnen – dabei biss die Frau zu.«

(Echo Online: Zungenbiss: Polizei ermittelt wegen gefährlicher Körperverletzung)

Unterschätzte Risiken: Hunde

Die NZZ meldet ein echtes unterschätztes Risiko: Hunde beissen häufiger als angenommen. Das ist das Ergebnis einer Studie der Schweizerischen Unfallversicherungsanstalt. Grund zur Sorge gibt es dennoch nicht:

»Obwohl jeder Unfall ein Unfall zu viel ist und menschliches Leid und Kosten verursacht, kommt die Suva zum Schluss, dass sich seitens Suva für ihre Versicherten keine spezifischen Präventionsmassnahmen zur Vermeidung von Unfällen mit Hunden aufdrängen.«

Das lese ich gerne (und viel zu selten).

Unterschätzte Risiken: Hasenpest

Um Zeckenbisse wird jedes Jahr ein großes Theater gemacht, weil es gegen die dabei selten übertragene Krankkeit FSME eine Impfung zu verkaufen gilt. Um eine Gegend zum Risiko-, ja sogar zum Hochrisikogebiet zu machen, muss die Krankheit dort einfach nur auftreten. Viel weniger Aufregung verursacht die nur wenig seltener vorkommende Hasenpest. Dabei hätte sie es genauso verdient:

»Typischerweise erkranken Jäger. Sie stecken sich beim Häuten und Ausnehmen von Hasen an. Aber auch Forstpersonal und Landwirte sind häufiger betroffen. Man kann sich durch Zecken und Stechmücken, orale Aufnahme von nicht ausreichend erhitztem Hasenfleisch und Inhalation von erregerhaltigem Staub infizieren. Selbst in Oberflächengewässern und Erdboden findet sich der Erreger bisweilen. Das Krankheitsbild ist grippeartig: Fieber, geschwollene Lymphknoten, Kopfschmerzen, zum Teil Geschwüre. Oft wird deshalb eine falsche oder keine Diagnose gestellt.«

(Planckton: Die Hasenpest)

Unterschätzte Risiken: Onlinebanking

Sicherheit hängt nicht nur von der Technik ab, sondern manchmal auch vom Vertragsverhältnis:

»A New York marketing firm that as recently as two weeks ago was preparing to be acquired now is facing bankruptcy from a computer virus infection that cost the company more than $164,000.«

(N.Y. Firm Faces Bankruptcy from $164,000 E-Banking Loss)

Dass sich die Bank nicht verantwortlich fühlt, liegt in diesem Fall möglicherweise daran, dass es sich beim Opfer um einen Geschäftskunden handelt. Der Verbraucherschutz fällt damit weg.

Dass Firmen zum Opfer solcher Angriffe werden, scheint übrigens kein Einzelfall zu sein.

Unterschätzte Risiken: Testdaten

Die Geschichte endet etwas verworren, aber der Anfang passt als Fallstudie zum Thema produktionssicheres Testen:

»Embarrassed cops on Thursday cited a „computer glitch“ as the reason police targeted the home of an elderly, law-abiding couple more than 50 times in futile hunts for bad guys.

Apparently, the address of Walter and Rose Martin’s Brooklyn home was used to test a department-wide computer system in 2002.«

(Computer snafu is behind at least 50 ‚raids‘ on Brooklyn couple’s home)

Ob in diesem Fall wirklich Testdaten die Ursache sind, kann ich aus der Ferne nicht beurteilen. Plausibel ist es allemal.

Life of Brian in echt

Aus dem Guardian vom Samstag:

»What he had written off as gobbledygook suddenly turned into something altogether more bizarre: he was being lauded by members of an obscure religious group who had decided that Patel – a food activist who grew up in a corner shop in Golders Green in north-west London – was, in fact, the messiah.«

(I’m not the messiah, says food activist – but his many worshippers do not believe him)

Was macht man mit Leuten, die einen für den Auswerwählten halten wollen?

P.S.: Der unfreiwillige Messias in seinem Blog.

Stolperkampagne

Stolpern hatten wir hier schon: ein Alltagsrisiko, das uns vielleicht gerade deswegen kaum ängstigt. Wir fürchten uns lieber vor Terroristen, Flugzeugabstürzen oder Kindermördern. In der Schweiz läuft nun gerade eine Kampagne, um die Bürger auf dieses Risiko aufmerksam zu machen. Zwar wird sie wohl ebenso wirkungslos verpuffen wie alle anderen gut gemeinten Werbekampagnen, aber wenigstens ist das Thema sinnvoll gewählt. Die häusliche Umgebung ist nämlich in absoluten Zahlen gefährlicher als der Straßenverkehr. Die Website zur Kampagne: http://www.stolpern.ch/.

Unterschätzte Risiken: Literaturrecherche

»There is another questionable use of the word “standard” that is frequently encountered in the literature. After a complicated interactive problem P has been used in a couple of papers, subsequent papers refer to it as a standard problem. The casual reader is likely to think that something that is standard has withstood the test of time and that there’s a consensus among researchers that the assumption or problem is a reasonable one to rely upon—although neither conclusion is warranted in such cases. The terminology obfuscates the fact that the new problem is highly nonstandard.«

(Neal Koblitz and Alfred Menezes: The Brave New World of Bodacious Assumptions in Cryptography)

Unterschätzte Risiken: Verbraucherschutz

Wer dieses Blog schon länger liest, hat vielleicht mitbekommen, dass ich der Verknüpfung von IT-Sicherheitsbausteinen mit Rechtskonstrukten skeptisch gegenüberstehe. Verfahren wie die rechtsverbindliche digitale Signatur und Anwendungen wie De-Mail mögen manchmal nützlich sein. Sie machen es jedoch auch einfacher, Leuten etwas abzuluchsen, das sich später gegen sie verwenden lässt. Eine Überraschung ist das nicht, denn solche Phänomene gibt es nicht nur im Internet. Offline sollen beispielsweise Banken seit einiger Zeit ihren Kunden Unterschriften unter Beratungsprotokolle abnötigen. Die Chancen und die Risiken sind dabei klar verteilt:

»In der Praxis zeige sich, dass die Protokolle den Banken mehr nützten, als den Kunden. „Die schreiben da alles rein was sie brauchen, um später in einem Prozess bestehen zu können“, sagte der Liberale, der als Rechtsanwalt Opfer der Lehman-Pleite vertritt.«

(Welt Online:
Late Night „Anne Will“: Was beim Banken-Bashing gern vergessen wird)

Im Internet hat der Verbraucher jedoch bis jetzt eine günstige Rechtsposition, weil er vieles einfach abstreiten kann. Wer das Internet mit bestätigten  Identitäten oder mit Nachweisdiensten á la De-Mail sicherer machen möchte, arbeitet daran, diese Eigenschaft zu beseitigen und Risiken auf die Verbraucher zu verlagern. Obendrein wird der Alltag komplizierter. Wollen wir das?

PS: Die Hersteller von Identitätsnachweisen haben erwartungsgemäß eine klare Haltung dazu.

Unterschätzte Risiken: Datenbriefe

In einem offenbar ganz frischen Blog diskutiert ein Pflaumensaft die Risiken des Datenbriefes. Der Datenbrief soll den Datenschutz benutzerfreundlicher machen. Bislang muss sich jeder aktiv darum kümmern, bei Datenspeicherern und Datenverarbeitern Auskünfte einzuholen. Weil das Arbeit macht und man oft auch gar nicht so genau weiß, wer überhaupt Daten über einen gespeichert hat, tut das kaum jemand. Hinter dem Datenbrief verbirgt sich nun die Idee, das Ganze umzukehren und den Datennutzern die Pflicht zur aktiven Information der Dateninhaber aufzuerlegen. Der oben verlinkte Beitrag diskutiert, auf welche Weise das in die Hose gehen könnte.

Und nun? Gibt es Vorschläge, wie das Ziel des Datenbriefes — Awareness der Dateninhaber — ohne störende Nebenwirkungen zu erreichen ist?

Unterschätzte Risiken: Vorzeichenfehler

Ein Vorzeichenfehler in einem Zigarettenautomaten bei VW zieht weite Kreise:

»Nach Informationen von Betroffenen sollen allein im Original-Teile-Center (OTC) 120 Mitarbeiter zu einem Gespräch vorgeladen worden sein. Ihnen wird vorgeworfen, sich mit ihrem Werksausweis, der auch als Zahlungsmittel verwendet werden kann, an einem Zigarettenautomaten, auf Kosten von VW bereichert zu haben. Durch einen technischen Defekt, so der Vorwurf des Konzerns, sei kein Geld von den Chipkarten abgebucht, sondern gutgeschrieben worden. Diesen Defekt hätten verschiedene Werksanghörige bewusst ausgenutzt, um sich zu bereichern.«

(HNA: VW-Affäre: Die Ersten müssen gehen)

Der Fehler soll bereits seit 2007 bestanden haben und im Artikel ist von einer Person die Rede, die sich seither um 100 Euro bereichert haben soll. Zwölf Mitarbeitern von VW und 37 von Fremdfirmen hat man daraufhin fristlos gekündigt, wogegen sie nun klagen.

Mehr als die Aussagen in den verlinkten Berichten kenne ich auch nicht. Interessant ist aber, dass der Betreiber des Zahlungssystems offenbar seit 2007 nichts bemerkt hat. Von den Benutzern hingegen erwartet man, dass ihnen Fehler im bargeldlosen Bezahlen auffallen, die sich bei 100 Euro am Zigarettenautomaten seit 2007 ungefähr einmal im Monat in einer kleinen, die weitere Benutzung nicht störenden Abweichung des Kartenwertes niederschlagen.

Ob nun eine bewusste Bereicherung vorliegt oder nicht, könnte man vielleicht aus der Benutzerschnittstelle des defekten Automaten und dem Fehlerbild ableiten. Wurde die Aufladung direkt beim Benutzungsvorgang deutlich und vor dem Abschluss der Benutzerinteraktion angezeigt? Handelte es sich um einen systematischen Fehler, den man gezielt ausnutzen konnte, oder um ein nur gelegentlich zufällig auftretendes Phänomen?

Update: Inzwischen kursieren weitere Zahlen:

»Nach Angaben von VW-Justiziar Gerhard Klenner haben insgesamt 239 Mitarbeiter im Kasseler Werk ihre Chipkarten unrechtmäßig aufgeladen. Das Unternehmen habe aber nur jenen Mitarbeitern gekündigt, die mehr als 150 Euro auf ihre Ausweise aufgeladen hätten. Die anderen seien mit einer Tagesgeldbuße oder Versetzungen in andere Abteilungen abgemahnt worden.

Die zwei ehemaligen Mitarbeiter, die am Freitag vor Gericht waren, sollen 1180 Euro beziehungsweise 1178 Euro unrechtmäßig auf ihre Werksausweise geladen haben. Ein Kläger soll gar 1738 Euro auf seine Karte gebucht haben.«

(HNA: VW-Automaten-Affäre – erste Güteverhandlung vor Arbeitsgericht gescheitert)

HR Online hat auch noch ein Update.

Unterschätzte Risiken: Käse

Hand aufs Herz: haben Sie Angst vor Käse aus dem Supermarkt? Nein? Sollten Sie aber, denn Käse kann Sie umbringen:

»Alarm bei Lidl: Der Discounter hat erneut vor dem Verzehr von zwei Käsesorten gewarnt, die offenbar mit gefährlichen Bakterien verseucht sind. An ihnen sollen bereits sechs Menschen gestorben sein, die Symptome ähnelten zunächst denen einer Grippe.«

(Welt Online: Lebensmittel: Mehrere Todesfälle – Lidl ruft Käse zurück)

Die gefährlichen Bakterien sind Listerien, und wenn die Infektion Symptome zeigt, ist der Käsekauf vielleicht längst vergessen.

Unterschätzte Risiken: Sicherheitsgesetze

Schon seit einigen Jahren gibt es die Vorratsdatenspeicherung light: Telekommunikationsanbieter müssen die Identität ihrer Kunden erfassen und den Sicherheitsbehörden auf Anfrage zur Verfügung stellen. Rechtsgrundlage ist der §111 TKG (im Abschnitt Öffentliche Sicherheit), der dem anonymen Verkauf von Prepaid-Karten ein Ende machte. Sicherer geworden sind wir dadurch nicht. Wo man früher nur anonym telefonieren konnte, geht das jetzt auch unter einem falschen Namen, dem die Behörden dann vielleicht eine echte, aber unbeteiligte Person zuordnen.

An der inhärent schlechten Qualität der derart erfassten Daten wird sich kaum etwas ändern lassen. Anbieter, Händler und Kunden haben kein eigenes Interesse an der Pflege der Datenbestände, die deshalb schon ohne böswillige Eingriffe schnell degenerieren. Ein Musterbeispiel für eine wirtschaftliche Fehlkonstruktion: den Nutzen haben die Sicherheitsbehörden, den Aufwand die Betreiber und Händler und den Schaden irgend jemand. Öffentliche Sicherheit kann man so nicht schaffen.

Die Datenschützer waren übrigens gleich dagegen. Sie hatten Recht. Wie oft muss die Idee von der Sicherheit durch Identifizierung eigentlich in die Hose gehen, bis wir es lernen? Je wertvoller wir Identitätsmerkmale machen, umso häufiger werden sie missbraucht werden.

Unterschätzte Risiken: Sicherheitstheater

Wenn das stimmt, wäre es eine große Ironie: das Sicherheitstheater am Flughafen lässt Flugzeuge als gut bewacht gelten und macht sie damit als Angriffsziel erst interessant.

»Und zuletzt sind Flugzeuge ein sehr symbolisches Anschlagsziel, weil sie gut bewacht sind. Die Terroristen schicken eine Botschaft: „Selbst in der Luft seid ihr nicht vor uns sicher.“«

(Spiegel Online: Flugsicherheit: „Ich will den bösen Jungs keine Nachhilfe geben“)

Das ist natürlich nur einer von vielen Faktoren, der Artikel zählt weitere auf, etwa die verstärkte Wirkung einer vergleichsweise kleinen Bombe, wenn sie in zehn Kilometern Höhe in einer Druckkabine gezündet wird. Dennoch stellt sich die Frage, wie man so einen Faktor sinnvoll optimiert und ob Sicherheit insgesamt nicht einfach nur Voodoo und Aberglaube ist.

Unterschätzte Risiken: Leichtgläubigkeit

Wenn sich ein Verbrecher Patrick nennt, dann bleibt der Polizei nichts anderes übrig, als alle Patricks in der Umgebung des Tatortes zu gentesten. Dass die Spur falsch, gar eine gezielte Irreführung sein könnte, auf die Idee kam man offenbar nicht:

»Hunderte Männer namens Patrick hatte die Wiesbadener Polizei nach der Vergewaltigung einer 17-Jährigen überprüft. Knapp zwei Jahre später hat sie den Täter gefunden – per Zufall. Patrick heißt er nicht.«

(HR: Zufallstreffer: Vergewaltiger heißt doch nicht Patrick)

Es sei nicht auszuschließen gewesen, dass der Name richtig sei. Dass die DNS-Rasterfahndung Blödsinn sein könnte, war offensichtlich aber auch nicht auszuschließen.

Unterschätzte Risiken: Händis

Ich werde wohl nie begreifen, wie man sich von einem Stück Technik bis zur Idiotie herumkommandieren lassen kann:

»Auf einem unbeschrankten Bahnübergang bei Münchhausen ist am Dienstag auf der Strecke Marburg-Frankenberg ein Zug mit einem Auto zusammengestoßen.
(…)
Der Führerschein-Neuling sagte aus, sein klingelndes Handy habe ihn abgelenkt, deshalb habe er den Zug übersehen.«

(HR: Handyklingeln führt zu Zugunfall)

Unterschätzte Risiken: Gender Mainstreaming

Kerzen im Badezimmer sind Mädchenkram. Waschbenzin dagegen gehört zu den Jungs in die Werkstatt. Wer die Geschlechtergrenzen verwischt, tut sich damit keinen Gefallen:

»Die 29-Jährige putzte am Mittwochabend ihre Badewanne mit Waschbenzin und hatte aus unerklärlichen Gründen am Wannenrand eine brennende Kerze aufgestellt, wie die Polizei am Donnerstag mitteilte. Als sie mit dem benzingetränkten Lappen in der Nähe der Flamme gewischt habe, sei es zu einer Verpuffung gekommen.«

(Spiegel Online: Frau verbrennt sich beim Putzen der Badewanne)

Unterschätzte Risiken: Wettsingen

Das kommt heraus, wenn man seinen Sicherheitsbehörden freien Lauf lässt, statt sie auf nützliches Handeln gegen echte Bedrohungen zu beschränken:

»Beamte des aserbaidschanischen Ministeriums für Nationale Sicherheit (…) haben nach verschiedenen Medienberichten die Identität von Bürgern ermittelt, die beim Eurovision Song Contest 2009 in Moskau für den Beitrag Armeniens gestimmt haben. Mindestens ein Betroffener wurde verhört und aufgefordert, sein Handeln schriftlich zu begründen.«

(sicherheitsblog.info: Aserbaidschan, der Geheimdienst und der Eurovision Song Contest 2009)

Merke: Sicherheit darf weder Selbstzweck sein noch als Begründung für x-beliebige Maßnahmen herhalten. Was sogleich die Frage aufwirft, wie man vorbeugende Maßnahmen denn richtig begründet.