Archiv der Kategorie: Unterschätzte Risiken

Unterschätzte Risiken: Selbstorganisierte Telearbeit

Freundlich zum Nutzer, IT, Nebenwirkung, Security, Unterschätzte Risiken, Unterwegs,

Telearbeit erscheint als Sicherheitsrisiko. Mitarbeiter und IT an dezentralen Heimarbeitsplätzen, das kann nicht gutgehen, da haben wir doch gar keine Kontrolle. Schlichtere Naturen könnten dies für eine fundierte Bedrohungsanalyse halten. Es ist aber keine, solange der Realitätsabgleich fehlt. Wenn Mitarbeiter Telearbeit wollen, aber nicht bekommen, kann das Ergebnis nämlich so aussehen:

»Die Mitarbeiterin wollte demnach das Datenmaterial über das Internet an sich selbst schicken, um zu Hause daran zu arbeiten.«

(Datenpanne bei der WestLB – Betreff: Geheime Daten)

Dann vielleicht doch lieber eine offizielle Erlaubnis, verbunden mit angemessener IT-Unterstützung.

Merke:
Der Benutzer wird stets sein persönliches Problem lösen. Er wird dazu alle verfügbaren Mittel und Werkzeuge nutzen. Wo wir ihm keine geben, sucht er sich eigene.

Update: Bei Juristen, genauer: Richtern, scheint es üblich zu sein, dass man solche Workarounds erzwingt, lange bevor das Reich der Sonderwünsche beginnt. Wer ist bei den Gerichten eigentlich für die IT zuständig?

Unterschätzte Risiken: Wir

Unterschätzte Risiken, , , ,

Vor oberflächlicher Kapitalismuskritik und Vulgärmarxismus kann man sich dieser Tage kaum noch retten, und manchmal fliegen unter diesem Vorwand die Fetzen. Da tut es gut, dass uns die NZZ daran erinnert, wodurch eine spekulative Blase an der Börse überhaupt zustande kommt:

»Platzt eine Blase, wird der «Kapitalismus» verteufelt. Auch das ist Teil ihres Musters. Innerhalb spekulativer Blasen gibt es als Teilnehmer oder Mitspieler aber nur «Kapitalisten» – und es gibt viele solche Teilnehmer. Alle laufen wie der Rentier in Gerhart Hauptmanns «Biberpelz» herum oder denken in Vorfreude daran. Das ist keinesfalls auf die jetzt so verteufelte «Hochfinanz» begrenzt und auf die «Park Lane»-Quartiere unserer Metropolen oder die Waldsiedlungen in den Bergen. Der Kapitalist in uns selbst beginnt mit einem Blick zum Nachbarn.«

(Ernst Mohr: Wenn eine spekulative Blase platzt, ist an sich nichts kaputt,
NZZ vom 27. November 2008)

Dem ist wenig hinzuzufügen. Höchstens vielleicht der Hinweis, dass bereits einige Versuche gescheitert sind, Menschen diesen Blick zum Nachbarn abzugewöhnen.

Unterschätzte Risiken: Ammenmärchen

Unterschätzte Risiken, , ,

Liebe Eltern, bevor Sie Ihren Kindern vom Weihnachtsmann oder von Maria und Joseph erzählen, beachten Sie bitte diesen sachdienlichen Hinweis:

»To examine how children’s fantasy beliefs can affect memory for their experiences, 5- and 6-year-olds with differing levels of belief in the reality of the Tooth Fairy were prompted to recall their most recent primary tooth loss in either a truthful or fun manner. (…) These findings suggest that children’s beliefs in the reality of fantastic phenomena can give rise to genuine constructive memory errors in line with their fantasies.«

Applied Cognitive Psychology: The tooth, the whole tooth and nothing but the tooth: how belief in the Tooth Fairy can engender false memories

Ich bin ganz zufällig darüber gestolpert, ehrlich. Eigentlich war ich auf der Suche nach diesem Artikel.

Unterschätzte Risiken: Schlangen

Unterschätzte Risiken, Zahlenspiele,

Während Spiegel Online uns vor Würfelquallen fürchtet, die in den Tropen alle paar Jahre einen Touristen meucheln, sterben täglich Hunderte Menschen an Schlangenbissen. Das meldet die Leipziger Volkswebsite:

»Die so ermittelte Zahlen von 421 000 Vergiftungs- und 20 000 Todesfällen seien Mindestangaben, betonen die Wissenschaftler. Nach einer etwas weniger zurückhaltenden Berechnung kommen sie auf eine Zahl von mehr als 1,8 Millionen Vergiftungen und 94 000 Todesfällen weltweit. Schlangenbisse allgemein kämen weltweit noch sehr viel häufiger vor, zwischen 1,2 und 5,5 Millionen Mal, denn nur etwa jeder vierte Biss führe auch zu einer Vergiftung.«

Unterschätzte Risiken: Risikomodelle

Risiko, Unterschätzte Risiken, , , ,

William M. Briggs hat einen Artikel (Volltext leider nicht frei zugänglich) aus dem Wall Street Journal ausgegraben, der sich mit dem Versicherungskonzern AIG und den dort verwendeten Risikomodellen beschäftigt. Seine Zusammenfassung:

»AIG built a lot of models which attempted to quantify risk and uncertainty in their financial instruments. They, like many other firms, tried to verify how well these models did, but they only did so on the very data that was used to build the models.

(…)

What happened at AIG, and at other financial houses, was that events occurred which were not anticipated or that had not happened before. Meaning, in short, that the models in which so many had so much faith, did not work in reality.«

Und ich dachte immer, Finanzdienstleister hätten die Risikoanalyse quasi erfunden und wir mit unserem IT-Pillepalle könnten von ihnen lernen. Immerhin geht es dort ja um richtiges Geld und nicht nur um ein paar Server im Keller. So kann man sich irren.

Unterschätzte Risiken: E-Mail-Automaten

Unterschätzte Risiken, , , ,

Die Geschichte hat das Zeug zur Urban Legend, denn sie ist zu schön, um sie nicht zu weiterzuerzählen, und es gibt ein Photo, dessen Beweiskraft ohne Sprachkenntnisse unklar bleibt:

»Statt der Übersetzung von „Kein Schwerlastverkehr. Nur Anwohner“ kam jedoch eine walisische Abwesenheitsnotiz des Empfängers zurück: „Ich bin gerade nicht im Büro“, wie die Behörden mitteilten.

In der Annahme, es handle sich bereits um die Übersetzung, wurde dieser Text auf das Schild übertragen und in der Nähe eines Supermarkts aufgestellt – was für heftiges Stirnrunzeln bei Passanten sorgte.«

Zeit online: Wales: Mail-Missverständnis sorgt für verwirrendes Straßenschild

Einen flüchtigen Plausibilitätstest besteht das Schild immerhin. Das Online-Wörterbuch der University of Wales übersetzt office mit swyddfa, und das steht auf dem Schild.

Unterschätzte Risiken: Rentner

Unterschätzte Risiken, , ,

Die Rentner, immer wieder die Rentner:

»Mit einer 60 Zentimeter langen Machete hat ein Rentner in Weilburg am Mittwoch einem Taxifahrer einen Finger abgetrennt – aus Wut darüber, dass der Taxifahrer angeblich falsch geparkt hatte.«

(HR: Mit Buschmesser: Rentner hackt Taxifahrer Finger ab)

Bezahlen wir sie am Ende dafür, dass sie uns hier das Blog füllen und Arbeitsplätze im Gesundheitswesen, in der Exekutive und in der Justiz sichern? Werde ich auch so sein, wenn ich doppelt so alt bin?

Unterschätzte Risiken: katholische Fundamentalisten

Unterschätzte Risiken, , , ,

Religiösen Fundamentalismus kennen wir nur aus dem Fernsehen, nicht wahr? Iran, Irak, Talibanistan, Nordirland, Amerika, da gibt es sie, die spinnerten Fundamentalisten. Aber mitten unter uns? Doch, hier auch:

»Ein evangelischer Pfarrer und Liedermacher aus dem Odenwald erhält einem Medienbericht zufolge Drohungen von katholischen „Fundamentalisten“. Der Grund: Er hat ein papstkritisches Lied geschrieben.«

(HR: Wegen Papstkritik: Drohungen gegen evangelischen Pfarrer)

Protestant und den Papst kritisieren, das sind gleich zwei Sünden auf einmal. So unergründlich sind Gottes Wege denn doch nicht, dass man so etwas schulterzuckend hinnehmen könnte.

Unterschätzte Risiken: irrationale Ängste

Datenschutz, Unterschätzte Risiken, Wahrnehmung, ,

Nicht alles, was plausibel klingt, ist auch richtig:

»Personaler schnüffeln immer und überall. Kaum liegt die Bewerbermappe auf dem Tisch, wird gegooglet, geyoutubt, geflickert, gefacebookt, gexingt, gelinkedint, gemyspacet, werden Spezialdienste wie Stalkerati, Technorati oder Yasni angesurft.

Meinungsäußerungen, Hobbies, Vorlieben, Neigungen – kein noch so kleines Detail in der Vita eines Kandidaten bleibt ihnen verborgen, alles wird gesammelt und in einem so genannten B-Profil ausgewertet, so der gängige Medien-Tenor. Doch ist dem wirklich so? (…)«

(FAZjob.NET: Karrieresprung: Bewerber googeln – oder lieber doch nicht?)

Selbstverständlich interessiert sich kein Mensch für die Studentenpartyfotos im Netz, und falls wider Erwarten eine Firma ihre Personalauswahl auf solche Kindereien stützt, möchte man dort nicht arbeiten. Reputationsmanagement durch Löschen dürfte sich deshalb in der Regel erübrigen und ganz dumm wäre es, im Netz überhaupt keine Spuren zu hinterlassen.

Das soll keine Einladung zum sorglosen Umgang mit sich selbst im Netz sein. Aber unrealistische Bedrohungsszenarien sind selten die Grundlage eines brauchbaren Sicherheitskonzeptes und wer sich von Angst lähmen lässt, wo andere etwas tun, der kann nur verlieren.

Unterschätzte Risiken: Polizisten

Regierungsviertel, Unterschätzte Risiken, Wahrnehmung, , ,

Falls mal jemand fragt, warum wir der Polizei misstrauen:

»In Mexiko werden täglich Dutzende Menschen entführt oder ermordet. Noch schwerer als das Versagen der vermeintlichen Gesetzeshüter wiegt, dass der Bürger nicht weiss, auf welcher Seite diese stehen. (…)«

(NZZ: Mexikos Rechtsstaat ist ein Trugbild)

Die Polizei ist eine feine Sache, aber wenn man nicht auf die Jungs aufpasst, können sie echt lästig werden.

Unterschätzte Risiken: Religion

Unterschätzte Risiken, , ,

Religion kann tödlich sein:

»Eine Zeugin Jehovas ist in einem Krankenhaus in Lich gestorben. Sie hätte dringend eine Bluttransfusion gebraucht, doch das ließ ihr Glaube nicht zu. Jetzt ermittelt die Staatsanwaltschaft. (…)«

(HR: Glaube verbietet Bluttransfusion: Musste Arzt Zeugin Jehovas sterben lassen?)

Seinem Leben ein Ende zu setzen, steht jedem zu, aber muss man anderen Leuten damit Ärger bereiten? Das ist mindestens unhöflich.

Update: Das scheint eine ganz undurchsichtige Geschichte zu sein.

Unterschätzte Risiken: Subventionen, Nachlässe, Zuschüsse und Steuervorteile

Geschäft, Unterschätzte Risiken, , , ,

Noch öfter als die Freundschaft hört beim Geld anscheinend der Verstand auf:

»Subventionen sind die beste Voraussetzung, um bei Geldanlagen und Krediten auf Abwege zu geraten. Wenn der Staat mit der Gießkanne über Land zieht und den Bürgern hier Prämien schenkt und dort Steuervorteile gewährt, überlegen die meisten Menschen nicht mehr lange und greifen beherzt zu. (…) Wenn zwischen Kiel und Konstanz irgendwelche Nachlässe oder Zuschüsse winken, bleibt der gesunde Menschenverstand in aller Regel auf der Strecke, und die Verkäufer haben leichtes Spiel, ihre Waren an die Frau oder den Mann zu bringen.«

Das schreibt die FAZ als Einleitung, um danach genüsslich herzuziehen über ein Anlagemodell, das Immobilien, Steuern, Kredite und Aktien so lange verquirlt, bis der Anleger den Überblick über die Erträge und Risiken verliert. Wir merken uns als Faustregel: Steuern sparen ist zu teuer, das können wir uns nicht leisten.

Unterschätzte Risiken: Feuerwehrautos

Unterschätzte Risiken,

Das Darmstädter Echo meldet:

»Beim Brand eines Feuerwehrwagens in einem Gerätehaus im Büttelborner Stadtteil Worfelden ist ein Schaden von rund einer Million Euro entstanden. Wie die Polizei in Darmstadt heute berichtete, wurden bei dem Feuer gestern neben dem Wagen auch das Gebäude sowie Ausrüstungsgegenstände beschädigt. (…)«

Da war der Brand ja gleich in guten Händen. Ruft die Feuerwehr in solchen Fällen eigentlich die Feuerwehr?

Unterschätzte Risiken: Surf-CDs

Unterschätzte Risiken, Wahrnehmung, , , , , , ,

Vom BSI gibt es eine Live-CD, von der man eine Betriebssysteminstanz zum sicheren Surfen im Web starten kann. Dieses System fungiert als Sandbox: Schadsoftware, die man sich im Netz einfägt, kann mit so einer CD höchstens die momentan laufende Systemsitzung beeinflussen. Software auf der CD ist gegen Manipulation aus dem System heraus geschützt, ebenso Daten und Programme auf der Festplatte des verwendeten PC. Nach jedem Neustart kann man folglich ein sauberes System erwarten, egal, was in der letzten Sitzung passiert ist.

Das Antiterrorblog empfiehlt die CD als Mittel gegen den Bundestrojaner, der ja auch Schadsoftware sei. Das liest sich zunächst plausibel, ist aber zu kurz gedacht. Das Angreifermodell des Bundestrojaners unterscheidet sich nämlich in zwei wichtigen Punkten von jenem gewöhnlicher Schadsoftware.

Allerweltstrojaner verbreiten sich online und ungezielt. Es geht nicht um ein bestimmtes Opfer, sondern um eine hinreichende Opferzahl. Der Angriff erfolgt als Versuch auf eine a priori unbestimmte Menge von Nutzern. Er ist erfolgreich, wenn ein gewisser – meist recht kleiner – Anteil der Einzelversuche glückt.

Anders ein Bundestrojaner. Er wird gezielt gegen einzelne Personen und deren PC eingesetzt und die Installation muss nicht über das Netz erfolgen. Damit verändert sich offensichtlich das Erfolgskriterium, der Angriff muss bei der gewählten Zielperson glücken und lange genug unbemerkt bleiben. Weniger offensichtlich verändern sich auch die Handlungsmöglichkeiten des Angreifers und damit die Angriffsfläche. Was nämlich macht der Bundestrojanerinstallateur, wenn er es mit einem Live-CD-Benutzer zu tun bekommt? Unterschätzte Risiken: Surf-CDs weiterlesen

Unterschätzte Risiken: StatCounter.com

Datenschutz, Nebenwirkung, Security, Unterschätzte Risiken, , , , , ,

Alle schimpfen über Google Analytics: der Datenschutz sei dort nicht gewährleistet. Mag sein, dass das formal korrekt ist, aber es geht deutlich schlimmer. Eben schwappte mir hier als Referer ein Link auf StatCounter.com ins Log – mit gültiger Session-ID. Ein Klick genügte und schon bekam ich deutlich detailliertere Daten über die Besucher einer fremden Website, als mir Google für meine eigene je liefern würde.

Der Bildausschnitt is so gewählt, dass man hoffentlich keine Details über einzelne Nutzer erkennt, und aus der Titelzeile habe ich den Hinweis auf den betreffenden Nutzer des Statistik-Tools entfernt. Er wird sich schon gemeint fühlen, wenn er das hier liest. (Refcontrol hilft, ist aber letztlich ein Workaround um eine kaputte Web-Anwendung.)

Ich gebe erst mal weiter Google Analytics den Vorzug. Wichtiger als die formale Einhaltung von zuweilen arg hohlen Datenschutzritualen finde ich nämlich den tatsächlichen Umgang mit den Daten. Bei Google hat man sich was gedacht und die Architektur bietet Ansatzpunkte für mehr Selbstbestimmung der einzelnen Website-Nutzer und weniger Missbrauchs- und Unfallgefahr durch Website-Betreiber. Das kann ich von StatCounter.com nicht behaupten.