Archiv der Kategorie: Unterwegs

Mobiles, Mobile Security

Patchday

Events, Security, Testlabor, Unterwegs, , , ,

Der Geldautomat hat gesagt, meine Karte sei nun wieder gesund. Die Sparkassen haben das Kartenupdate über die Geldautomaten also offenbar laufen und es scheint innerhalb der Sparkassenorganisation auch überregional zu funktionieren. Das ist technisch eh‘ kein Problem, verdient angesichts der organisatorischen Kleinstaaterei aber dennoch ein Lob. Ob die Volks- und Raiffeisenbanken das auch so hinkriegen?

Unterschätzte Risiken: Händis

Safety, Unterschätzte Risiken, Unterwegs, , ,

Ich werde wohl nie begreifen, wie man sich von einem Stück Technik bis zur Idiotie herumkommandieren lassen kann:

»Auf einem unbeschrankten Bahnübergang bei Münchhausen ist am Dienstag auf der Strecke Marburg-Frankenberg ein Zug mit einem Auto zusammengestoßen.
(…)
Der Führerschein-Neuling sagte aus, sein klingelndes Handy habe ihn abgelenkt, deshalb habe er den Zug übersehen.«

(HR: Handyklingeln führt zu Zugunfall)

Amerika überleben

Safety, Sicherheitshinweise, Unterwegs, ,

USA-Erklärer Scot W. Stevenson widmet sich heute den viefältigen Gefahren, die in der nordamerikanischen Natur auf arglose Touristen warten:

»Es sind die „kleineren“ Gefahren, mit denen die Europäer schlechter zurecht kommen, angefangen mit einem Mangel an Respekt vor den diversen Giftspinnen (darunter die sechsäugige Brown Recluse Spider und die Schwarze Witwe).«

(USA Erklärt: Böse Pflanzen und gefährliche Tiere)

Es geht dann weiter mit Würmern, Pflanzen und Killerbienen.

NSPW 2009 Papers Online

English, Forschung, Security, Unterwegs, , ,

[See only posts in English]

Just a quick note: The final papers for the New Security Paradigms Workshop 2009 are now online, including my own (also here). Two of them got their share of public attention already, Maritza Johnson’s Laissez-faire file sharing (in Bruce Schneier’s blog) and Cormac Herley’s So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users (Schneier’s blog; New School of Information TechnologyHeise.de). For those of you who can afford the trip, the authors will present these two papers again in a session at ACSAC, December 7-11.

Wenn’s am Ausgang piept

Forschung, Geschäft, So geht das, Unterwegs, , , , ,

Samstags beim Shopping. Die überlastete Fachkraft an der Kasse hat eine Diebstahlsicherung übersehen. Als Sie das Geschäft verlassen, geht der Alarm los. Was nun? Sich vor aller Augen dem Türsteher unterwerfen? Das kommt überhaupt nicht in Frage! So werden Sie lästige Kontrolleure los, ohne sich in die Einkaufstüten schauen zu lassen:

  1. Fühlen Sie sich zu nichts verpflichtet. Wenn es am Ausgang piept, dann bedeutet das nur eines: dass es am Ausgang piept. Es bedeutet nicht, dass Sie einen Schreck kriegen, stehenbleiben oder Ihre Unschuld beweisen müssen.
  2. Seien Sie selbstbewusst. Sie haben gerade ein Geschäft mit dem Ladeninhaber erfolgreich zum Abschluss gebracht, das im beiderseitigen Interesse liegt. So möchten Sie auch behandelt werden, als Geschäftspartner.
  3. Kommunizieren Sie. Dem Türsteher bleibt nichts anderes übrig, als Ihnen auf die Straße zu folgen und Sie anzusprechen. Selbstverständlich hören Sie sich erst einmal ruhig an, was der Mann zu sagen hat. Er wird Sie auffordern, mit ihm zurück in den Laden zu gehen, um die Sache dort zu klären. Darauf antworten Sie ebenso ruhig, wie Sie zugehört haben, mit einem einfachen: „Nein.” Dann schauen Sie ihn fragend an. Wenn’s am Ausgang piept weiterlesen

Prioritäten

Safety, Unterwegs,

Ich hoffe doch sehr, dass hier nur ein Journalist etwas in den falschen Hals bekommen hat:

»Die Abkehr vom Propeller hatte allerdings noch ein anderes, verstecktes Motiv, einen Grundsatz der Luftfahrt: lieber einen bewährt ausfallsicheren Motor als eine zwar effiziente, aber weniger erprobte Konstruktion. Bislang lief deshalb alles in die Richtung, dass der Passagier, der Mensch, wichtiger ist als der Eisbär. Lieber ein paar Tonnen Kerosin mehr verfeuern, das aber zuverlässig. Das ist jetzt nicht mehr zu halten.«

(welt.de: Die triumphale Rückkehr des Propeller-Antriebs, Hervorhebungen von mir)

 

Zweckfreie Metriken

Unterwegs, Zahlenspiele

Energieausweise wie der unten abgebildete sind neuerdings Vorschrift, und jene für Nichtwohngebäude sind auszuhängen. Dieses Exemplar hängt in der Garderobe der Deutschen Nationalbibliothek in Leipzig:

Energieausweis Deutsche Nationalbibliothek

Und was zum Teufel soll das? Eine angezeigte Metrik ist nützlich, wenn sie mir Entscheidungen oder die Steuerung von Vorgängen erleichtert. Deswegen haben Autos Tachometer, die die Geschwindigkeit relativ zum Boden anzeigen: diese Information hilft dabei, sich zwischen Gaspedal und Bremse zu entscheiden und den Parameter Geschwindigkeit zu steuern. Ändert sich das Steuerproblem, etwa weil wir das Auto gegen ein Flugzeug eintauschen, dann ändern sich auch die Anforderungen an die Metrik und ihre Bestimmung. Im Flugzeug interessiert vor allem die Geschwindigkeit relativ zur Luft, das Ergebnis ist ein völlig anders konstruiertes Messinstrument, das in seinem Einsatzgebiet aber ausgesprochen nützlich ist.

Aber was nur soll ich mit den Informationen aus dem Energieausweis anfangen? Die Bibliothek wechseln, wenn mir die Werte nicht gefallen? Handschuhe mitbringen, weil die Energieeinsparung vielleicht durch Absenkung der Temperatur in den Lesesälen erzielt wird? Öfter in die Bibliothek gehen und dafür energetisch schlechtere Gebäude meiden? Oder mich dumm stellen und nach demselben Prinzip – Hauptsache messbar – Sicherheitsmetriken entwerfen?

Ergänzung 2009-10-24: Die Leipziger Volkszeitung schlägt vor, anhand der Energieausweise Museen mit Kindergärten zu vergleichen. Immerhin hängen in beiden Bilder herum.

Man in the Middle

Geschäft, Security, Unterwegs, , , , ,

Man in the Middle im Real Life:

»Im Zeitraum von Juli 2008 bis April 2009 hatte er bei der Deutschen Bahn AG Jahresfahrkarten für die 1. Klasse unter fingierten Namen für existierende Großunternehmen im Raum Rüsselsheim bestellt.
(…)
In mühevoller Kleinarbeit konnten die Ermittler feststellen, dass der Einundzwanzigjährige im Auftrag der Post – als Fahrer eines Taxiunternehmens – Postsendungen an Großkunden in Rüsselsheim auslieferte. Den Zugriff auf Postsendungen vor der Auslieferung machte er sich zunutze, indem er die unter fingierten Namen bestellten Fahrscheine abfing. Auch nachfolgende Mahnschreiben der Deutschen Bahn AG fing er auf gleiche Weise ab.«

(Echo Online: Rüsselsheim. Polizei überführt Fahrkartenbetrüger; Pressemeldung der Polizei dazu)

Bevor jetzt aber jemand verschärfte Sicherheitsmaßnahmen gegen dieses offene Scheunentor fordert, der Angriff ist letztendlich gescheitert, denn man hat den Kerl geschnappt. Dem zu entgehen dürfte recht schwer sein, wenn man das krumme Geschäft nachhaltig betreibt. Man muss dazu erstens identifizierbar in der richtigen Position sitzen und zweitens die erschlichenen Fahrkarten zu Geld machen. Solange keiner einen Weg findet, dabei zuverlässig der Verfolgung zu entgehen, ist reaktive Sicherheit in Form der Polizeiarbeit und Strafverfolgung ausreichend.

Madrid im Hinterkopf

Angst, Security, Unterwegs, , , ,

Eben sollten wir noch Angst haben angesichts der Videodrohung eines bartlosen Islamisten. Gleich darauf dürfen wir uns aber wieder sicher fühlen. Auf dem Frankfurter Flughafen und dem Hauptbahnhof blicken wir in die Mündungen von Maschinenpistolen, und es sind die Maschinenpistolen unserer Freunde und Helfer:

»Seit Freitag müssen sich Reisende in der Main-Metropole an ein neues Bild gewöhnen: Bundespolizisten mit schweren Schutzwesten und Maschinenpoistolen schreiten in den Hallen des Frankfurter Flughafens und an den Gleisen des Frankfurter Hauptbahnhofs umher. „Es geht um die Präsenz, wir wollen den Reisenden Sicherheit geben“, rechtfertigt eine Sprecherin des Bundespolizeipräsidiums die verschärften Sicherheitsmaßnahmen.«

(HR: Nach Terror-Drohung: Bewaffnete Polizisten patrouillieren)

Gegen eine angemessene Bewaffnung der Polizei ist nichts einzuwenden, sie ist manchmal leider nötig. Dennoch ist von dieser plakativen Maßnahme kaum ein Sicherheitsgewinn zu erwarten. Man habe »Madrid im Hinterkopf,« heißt es wenig später im Text, aber das ist doppelt falsch: erstens hat man es nicht oder nur sehr vage, und zweitens würde das auch nichts nützen.

Wir erinnern uns. In Madrid fuhren die Bomben in Nahverkehrszügen in den Bahnhof. Wer das im Hinterkopf hätte, verspräche sich von Maschinenpistolen auf den Bahnsteigen des Hauptbahnhofes wohl wenig. Ein Terrorist könnte sie getrost ignorieren und an irgendeinem Vorortbahnhof mit seiner Bombe in die S-Bahn steigen. Und selbst wenn er das nicht könnte, warum sollte ein Terrorist auf Züge, Bahnhöfe oder Flughäfen fixiert sein? Wer viele Menschen auf einen Schlag treffen möchte, kann auch Samstags auf die Zeil gehen. Oder zur IAA aufs Messegelände. Oder in die Oper. Oder zur Konsumtempeleröffnung nach Weiterstadt. Oder, oder oder.

Weder gibt es eine besonders große Bedrohung; selbst wenn sich tatsächlich gerade entschlossene Terroristen auf ihren großen Tag vorbereiten, bleibt das individuelle Risiko gering. Noch tragen die Polizisten mit Maschinenpistolen nennenswert zur Risikoreduktion bei. Sie helfen nur den Verantwortlichen, ihre Verantwortung zu tragen.

Unterschätzte Risiken: Mallorca

Safety, Unterschätzte Risiken, Unterwegs,

Was die Frankfurter Rundschau berichtet, ist bis zur nächsten Badesaison sicher wieder vergessen:

»Innerhalb von rund zwei Wochen sind auf der Ferieninsel elf Menschen beim Schwimmen oder Tauchen im Meer ums Leben gekommen – acht der Opfer waren deutsche Touristen.«

(Frankfurter Rundschau: Badeunfälle: Tod vor Mallorca)

Alles übers Ertrinken erfahren Sie unter www.blausand.de. Insgesamt kommen jedes Jahr einige Hundert Deutsche bei Badeunfällen ums Leben.

Swiss Cheese Security

Classifier Security Model, English, Forschung, IT, Security, Unterwegs, , , , ,

I’m off for the New Security Paradigms Workshop in Oxford, where I will present what I currently call the Swiss Cheese security policy model. My idea is to model security mechanisms as classifiers, and security problems in a separate world model as classification problems. In such a model we can (hopefully) analyze how well a mechanism or a combination of mechanisms solves the actual problem. NSPW is my first test-driving of the general idea. If it survives the workshop I’m going to work out the details. My paper isn’t available yet; final versions of NSPW papers are to be submitted a few weeks after the workshop.

Risikoperspektive

Angst, Freundlich zum Nutzer, Regierungsviertel, Risiko, Sicherheitshinweise, Unterwegs, Wahrnehmung, , , , ,

Über die Tipps des Auswärtigen Amtes zur Redution des persönlichen Terrorrisikos wollte ich mich auch noch lustig machen. Muss ich aber nicht, denn Burkhard Müller-Ullrich hat über diese CYA-Aktion bereits alles gesagt:

»Nochmal zum Mitschreiben: Das Außenministerium rät Mallorca-Urlaubern, Menschenansammlungen zu meiden. Man fragt sich, ob der Verfasser dieses Ratschlags schon mal auf Mallorca war und was er sonst noch von der Welt weiß.«

(Die Achse des Guten: Menschenmassen meiden!)

Tatsächlich geht es wohl gar nicht gar nicht darum, brauchbare Sicherheitshinweise zu geben. Das wäre weder nötig noch praktikabel, denn das persönliche Risiko ist auch nach den Knallfröschen vom Wochenende gering und jede weitere Reduktion mit übergroßen Kosten verbunden. Aber ein zuständiges Amt traut sich nur selten, einfach mit den Schultern zu zucken und unvermeidliche Risiken auf sich beruhen zu lassen. Irgendetwas muss man vorher tun, damit einem später keiner vorwerfen kann, man habe nichts getan. Risikointuition nennen wir das, und sie ergibt sich stets aus der persönlichen Perspektive des Handelnden. Wobei der Begriff Intuition vielleicht falsch ist, denn der Kern des Problems ist nicht die intuitive Bewertung des Risikos, sondern dessen Betrachtung aus der individuellen Perspektive.