Archiv der Kategorie: Unterwegs

Mobiles, Mobile Security

7 Tätigkeiten, die 2012 gefährlicher waren als das Radfahren

Jetzt probieren wir mal die Reblog-Funktion von wordpress.com aus. PresseRad erinnert uns daran, dass die meisten Menschen bei etwas anderem als beim Radfahren sterben. Nahezu alle, um genau zu sein: Wenn jemand gestorben ist, kann man daraus mit hoher Sicherheit schließen, dass er auf dem Weg ins Jenseits keinen Fahrradunfall hatte. (Note to self: Gelegentlich mal nachrechnen.)

Verständige Menschen

Vielleicht ist die Helmdiskussion bei den Juristen ganz gut aufgehoben, denn gute Juristen sind der natürliche Feind schlechter Argumente:

»Die Helmquote läge bei Erwachsenen wohl kaum bei unter 10%, wenn tatsächlich alle „verständigen Menschen“ den Helm trügen.«

– Rechtsanwalt Professor Dr. Winfried Born, Editorial NJW 31/2013

Helmquoten veröffentlicht die Bundesanstalt für Straßenwesen regelmäßig. Trotz jahrelanger Propaganda konnte sich dieses Utensil bei Radfahrern nicht durchsetzen. Ausnahme: unmündige Kinder. Die PR der Styroporbranche versucht sich in den Spin zu retten, Kindern seien vernünftiger als Erwachsene.

Verrechnet

Sehr schön, die Fahrradhelmpropaganda beginnt sich selbst zu zerlegen. Die Helm-PR hat den Punkt erreicht, an dem sich das gepflanzte Mem verselbständigt. Dabei gerät es außer Kontrolle, viele Köche verderben den Brei. Das ist in diesem Fall gut.

Eine Versicherung behauptet dreist:

»Besonders dramatisch ist dabei, dass im Schnitt fast 9 von 10 Fahrradunfällen (85%) Kopfverletzungen nach sich ziehen. Ein Helm kann hier Schlimmstes verhindern.«

(Zurich unterstützt „Fahrradhelm macht Schule“)

Wie wir seit einem OLG-Urteil vor ein paar Tagen wissen, gehören Versicherungen zu den Profiteuren des Helmglaubens. Das Volk lehnt Fahrradhelme mehrheitlich ab, die Tragequote lag 2009 im Mittel über alle Altersgruppen bei gerade mal 11% – wie auch zwei Jahre darauf noch. Einer Versicherung kann also nichts besseres passieren als ein Gericht, welches das übliche und normale Verhalten für leichtsinnig erklärt.

Für den Tagesspiegel versucht sich Markus Mechnich darin, die Schutzwirkung von Fahrradhelmen für unbestreitbar zu erklären. Er verwendet übliche Taktiken: Verzicht auf absolute Zahlen und damit die Risikobewertung, stattdessen Prozentangaben, eine zahlenunabhängige Argumentation und die subtile Einordnung von Kopfverletzungen zwischen Speiseröhrenkrebs und akuter Strahlenkrankheit auf der Schreckensskala. Die Quintessenz: Unfälle, bei denen der Helm helfen könnte, seien nicht auszuschließen, und deshalb solle man unbedingt einen tragen.

Dabei unterläuft ihm ein Lapsus:

»Nach Zahlen des Gesamtverbands der deutschen Versicherer erleiden Radfahrer bei 25,7 Prozent aller schweren Unfälle Verletzungen am Kopf.«

(Ohne Kopfschutz wird es oft tödlich)

Was steht da? Da steht, dass 74,3% der schweren Fahrradunfälle ohne Kopfverletzung abgehen. Selbst wenn wir die ganzen harmlosen Stürze ausklammern, finden wir nur einen bescheidenen Anteil von Kopfverletzungen. Mechnich merkt das auch und versucht sich eilig in die Behauptung zu retten, das Gehirn sei doch wichtiger als Arme und Beine. Dabei unterschlägt er allerdings, dass von Kopf- und nicht von Gehirnverletzungen die Rede ist. Wie eine Kopfverletzung (nebst Beanspruchung der Halswirbelsäule) mit Helm aussieht, kann man sich in einem Helm-PR-Video anschauen, welches wiederum aus der Versicherungsbranche stammt. Zahlen, Analysen und Risikobetrachtungen sucht man dort vergebens, und so muss jeder die gezeigten Bilder selbst interpretieren. Ich sehe im Video ab 6:00 einen Faceplant, der ohne Helm bestenfalls genauso, schlimmstenfalls glimpflicher abgelaufen wäre.

Mechnich – oder sein Kronzeuge Prof. Pohlemann von der Deutschen Gesellschaft für Unfallchirurgie, so richtig klar wird das nicht – argumentiert weiter:

»Normalerweise verhindert der Schädelknochen solche Schäden. Radler erreichten allerdings so hohe Geschwindigkeiten, dass der Knochen bei manchen Stürzen nicht mehr ausreiche.«

(Ohne Kopfschutz wird es oft tödlich)

Das klingt plausibel, bis man sich anschaut, was bei hohen Geschwindigkeiten tatsächlich passiert. Beim Crashtest Pedelec mit 45 km/h in eine Autotür macht der Fahrradhelm keinen Unterschied. Die schwersten Verletzungen sind im Brustbereich zu erwarten und der Kopf schlägt wieder mit dem unbehelmten Gesicht auf.

Ich werde weiter ohne Sturzkappe fahren, wie die meisten Erwachsenen. Fahrradhelme finden eine nennenswerte Verbreitung nur unter unmündigen Kindern. Zu Recht.

Mandatory Helmet Laws Reduce … Theft

What happens when a government enacts and enforces a mandatory helmet law for motorcycle riders? According to criminologists, a reduction in motorbike theft follows. The 1989 study Motorcycle Theft, Helmet Legislation and Displacement by Mayhew et al. (paywalled, see Wikpedia summary) demonstrated this effect empirically looking at crime figures from Germany, where not wearing a helmet on a motorcycle is being fined since 1980. This lead to a 60% drop in motorcycle theft – interestingly, with limited compensation by increases in other types of vehicle theft.

The plausible explanation: motorcycle thieves incur higher risk of being caught when riding without a helmet after a spontaneous, opportunistic theft. Adaptation is possible but costly and risky, too: looking for loot with a helmet in one’s hand is more conspicious, and preparing specifically to steal bicycles reduces flexibility and narrows the range of possible targets.

CAST-Seminar: Sichere Software entwickeln – Erfahrungen, Methoden, Werkzeuge am 25. April 2013

Wir veranstalten am 25. April 2013 unter dem Dach des CAST e.V. das Seminar Sichere Software entwickeln – Erfahrungen, Methoden, Werkzeuge. Es wendet sich an Praktiker der Softwareentwicklung, die für die Sicherheit der Ergebnisse verantwortlich sind. Die Themen reichen von Werkzeugen für die Praxis über Schulung und Zertifizierung für Entwickler bis zur Architektur sicherer Software. Das Vortragsprogramm steht auf der Website des CAST e.V., dort erfolgt auch die Anmeldung.

Leichte Kopfverletzungen

Am besten schützt ein Helm vor Kopfverletzungen, wenn wir Kopfverletzungen als das definieren, wovor ein Helm schützt. Mehrere verlorene Zähne sind nach Ansicht der Helmpropagandisten von Amts wegen keine Kopfverletzung:

»Der Rennradfahrer erlitt bei dem Zusammenstoß laut Polizei Prellungen, leichte Kopfverletzungen und verlor mehrere Zähne. Zum Glück trug er einen Fahrradhelm …«

(Echo Online: Rennradfahrer bei Unfall schwer verletzt)

 

Italian Internet Mafia

Just returned from Italy, where I attended NSPW and spent a few days on the beaches of Rimini. It seems the Italian Internet Mafia is after me: I just received a load of malware in an e-mail message colorably coming from Banca Popolare dell’Emilia Romagna – Emilia-Romagna was my destination region – and asking me in italian to open an attachment. I really wonder where they harvested my e-mail address. Any idea?

Bankrotterklärung

Langsam setzt sich die Erkenntnis durch, dass die Wirkung typischer Fahrradhelme lediglich eine unbewiesene Behauptung darstellt:

»“Niemand kann wissenschaftlich nachweisen, wie viele Verkehrstote durch einen Radhelm verhindert werden können“, erklärt Siegfried Brockmann, Leiter der Unfallforschung der Versicherer (UDV).«

(stern.de: Echte Schützer und falsche Versprechen)

Das ficht die Freunde des Styropors aber nicht an. Sie erwidernwie jeder geübte Esoteriker, es gebe mehr Dinge zwischen Himmel und Erde als die Wissenschaft zu fassen vermöge:

»Auch Stefan Grabmeier, Helmexperte vom ADAC, ist sich sicher, ein Helm kann Leben retten: „Wissenschaftlich ist das schwer zu beweisen, aber wenn man sich mit der Praxis beschäftigt, weiß man, es gibt gerade bei Kindern sehr viele Fälle, wo ein Helm geholfen hätte.“«

(ebd.)

Ähnlich argumentieren Hebammen, die bei Vollmond mehr Kinder zur Welt kommen fühlen. Auch sie sind sich sehr sicher, dass sich die Wissenschaft irrt und nicht sie selbst. Wäre ja noch schöner, wenn Wissenschaftler unser als Erfahrung verbrämtes Wunschdenken in Frage stellen könnte.

Helmet law FAIL

This is what bicycle helmet laws achieve:

»The New Zealand helmet law (all ages) came into effect on 1 January 1994. It followed Australian helmet laws, introduced in 1990–1992. Pre-law (in 1990) cyclist deaths were nearly a quarter of pedestrians in number, but in 2006–09, the equivalent figure was near to 50% when adjusted for changes to hours cycled and walked. From 1988–91 to 2003–07, cyclists’ overall injury rate per hour increased by 20%. Dr Hillman, from the UK’s Policy Studies Institute, calculated that life years gained by cycling outweighed life years lost in accidents by 20 times. For the period 1989–1990 to 2006–2009, New Zealand survey data showed that average hours cycled per person reduced by 51%. This evaluation finds the helmet law has failed in aspects of promoting cycling, safety, health, accident compensation, environmental issues and civil liberties.«

(Colin F. Clarke:
Evaluation of New Zealand’s bicycle helmet law)

Zwei Euro fuffzich

In Hessen werden jedes Jahr gut 14-15.000 Fahrräder geklaut, davon 4000 in Frankfurt. Der geschätzte Gesamtschaden liegt bei 6,5 Millionen Euro, die Aufklärungsquote unter zehn Prozent. Bundesweit sind es  300.000 bis 350.000 im Jahr. Dramatische Zahlen? Nö. Bei 70 Millionen Fahrrädern im Land entspricht das gerade mal einem halben Prozent. Der hessische Gesamtschaden ergibt bei 14.000 Fahrrädern einen Schaden von weniger als 500 Euro pro Rad. Auf 350.000 Räder hochgerechnet macht das 175 Millionen Euro – oder zwei Euro fuffzich pro Rad.

Geisterfahrerzählung

Wieviele Geisterfahrer gibt es eigentlich? Der ADAC hat gezählt:

»Im Zeitraum von Dezember 2008 bis Dezember 2009 seien demnach 2800 Falschfahrer im Radio gemeldet worden. Bei den zwölf Unfällen, die dadurch verursacht worden seien, hätten insgesamt 20 Menschen ihr Leben verloren.«

(Spiegel Online: Geisterfahrer: Plötzlich falsch unterwegs)

Das sind ungefähr siebeneinhalb pro Tag, bundesweit. Mancher Radweg schafft diesen Wert pro Minute.

Unterschätzte Risiken: Kinderüberraschung

Laptopdurchsuchung an der Grenze? Pah! Viel eifriger ist der amerikanische Zoll im Beschlagnahmen von Überraschungseiern:

»The U.S. takes catching illegal Kinder candy seriously, judging by the number of them they’ve confiscated in the last year. Officials said they’ve seized more than 25,000 of the treats in 2,000 separate seizures.«

(CBS News: Kinder Surprise egg seized at U.S. border)

 

Safe and sorry

A common delusion in security engineering is the idea that one could secure a system by identifying items that need protection (assets), describing the ways in which they might be damaged (threats or attacks, which are not synonymous but often confused), and then implementing countermeasures or mitigations such that all, or the most common, or the most damaging threats are covered. The system thus becomes secure with respect to the threat model, so the reasoning. This is the model underlying the Common Criteria, and it works fine as a descriptive model. To give an example from everyday life, consider a bicycle as an asset. If your bicycle gets stolen (the threat), your damage is the value of the bicycle plus any collateral damage that the loss may cause you, such as coming late to an appointment, having to pay for a taxi or public transport instead of riding your bicycle, and having to go to the gym for workout instead of getting a workout for free on your way to work. The typical countermeasure against this threat is locking the bicycle to a fence, pole, or other appropriate object. Locking your bicycle reduces the risk of it being stolen. What could possibly go wrong? Besides the obvious residual risk of your countermeasures not being strong enough, this could go wrong:

A bicycle frame locked to a fence, wheels and other parts stolen
Safe and sorry © 2012 Sven Türpe, CC-BY 3.0

 

This (ex-)bicycle was and remains properly locked and no vulnerability in the lock or in items the lock depends on have been exploited. Yet, somebody made a fortune stealing bicycle parts, and somebody else lost a bicycle to an attack. What’s the problem? The problem is the gross simplification in the asset-threat-countermeasure model, which neglects three important factors:

  1. Adaptive adversaries. A countermeasure does not oblige the adversary to stick to the original attack plan that the countermeasure is targeted at. Security measures change the threat model. They don’t force the adversary to give up, they force the adversary to change strategy and tactics.
  2. The victim’s loss and the adversary’s gain are not necessarily the same. In the case of the bicycle above, the lock may reduce the attacker’s gain to the black market value of the removed parts. The victim’s loss is still one bicycle.
  3. Asset dependencies. Thinking of a bicycle as one asset is an abstraction. A bicycle is really a collection of assets—its parts—and an asset by itself. Such dependencies, nested assets in this case, are common.

The bicycle lock, it turns out, is not really a bicycle lock, it’s a bicycle frame lock. It protects only one sub-asset of the bicycle, and an economically motivated adversary can make a gain that seems worth the risk without breaking the lock.

Prescriptive threat modeling—threat modeling done with the aim of finding a proper set of security features for a system—needs to take these issues into account. A good threat model anticipates changes in attacker behavior due to security measures. A good threat model considers not only damages to the victim but also gains of the adversary, as the latter are what motivates the adversary. And good security engineering is biased towards security, always overestimating adversary capabilities and always underestimating the effect of security measures, systematically.