Unterschätzte Risiken: Subventionen

Geschäft, Propaganda, Regierungsviertel, Safety, Unterschätzte Risiken, , , , , , ,

If you’re not paying for it, you’re the product. Was uns bezogen auf Facebook eine Selbstverständlichkeit ist, gilt auch woanders. FAZ.NET berichtet über das Zugunglück in Buenos Aires:

»Das Eisenbahnnetz, das für den Transport Tausender Argentinier zwischen der Provinz Buenos Aires und der Hauptstadt Buenos Aires unentbehrlich ist, befindet sich seit Jahren in einem maroden Zustand. Die Linien wurden bisher vom Staat hoch subventioniert. Die Betreibergesellschaften investierten nur wenig in den Erhalt des Fahrzeugparks und noch weniger in die Modernisierung der Wagengarnituren.«

(FAZ.NET: Ungebremst in den Kopfbahnhof)

Wenn eine Eisenbahn vor allem vom Staat finanziert wird und nicht von ihren Fahrgästen, dann hat sie einen starken Anreiz, viele Leute mit wenig Aufwand in ihre Züge zu stopfen. Je mehr sie transportiert, desto leichter tut sich die Politik damit, weiter Geld hineinzustecken, die Wähler freut’s ja, falls sie’s überleben. In Sicherheit zu investieren lohnt sich für so ein Unternehmen nicht, das verursacht nur Kosten, ohne die Einnahmen zu beeinflussen. Hingen die Einnahmen hingegen komplett vom Kundeninteresse ab und böte der Markt diesen Kunden Alternativen, bedeutete ein Unglück für das Unternehmen ein beträchtliches unternehmerisches Risiko, in dessen Vermeidung zu investieren sich lohnte. Die Argentinische Regierung tut deshalb möglicherweise genau das richtige für die Sicherheit, wenn sie die Subventionen zusammenstreicht:

»Sein Nachfolger [Verkehrsstaatssekretär] Schiavi ist im Auftrag der Regierung der Präsidentin Cristina Kirchner damit befasst, die staatlichen Zuschüsse für die Eisenbahnen zu kappen, um die Staatskasse zu entlasten. Das dürfte für die Benutzer der Regionalbahn-Linien eine drastische Erhöhung der extrem günstigen Tarife bedeuten.«

(ebd.)

Märkte sind weder böse noch unheimlich, sie sind ein Instrument.

Risiken aushalten

Angst, Bedrohung, Forschung, Risiko, Security, Verschwörung,

Wissenschaftler haben ein Vogelgrippevirus gebaut, mit dem man Leute umbringen könnte. Jetzt gibt es Forderungen, die gewonnenen Erkenntnisse zurückzuhalten, um sie nicht in falsche Hände gelangen zu lassen, sowie den unvermeidlichen Protest dagegen. Wir Security-Heinis können angesichts der Debatte nur gepflegt mit den Schultern zucken: Natürlich soll man’s veröffentlichen wie jede andere Wissenschaft auch. Dass wir das so sehen, hat zwei Gründe. Zum einen haben wir ähnliche Diskussionen schon oft geführt, wenn es um den Umgang mit Wissen über Sicherheitslücken ging. Zum anderen haben wir realistische Vorstellungen davon, welch geringen Sicherheitsgewinn die Nichtveröffentlichung verspricht.

Steven Bellovin zieht Parallelen zur Atombombenforschung in den 40er Jahren und vermutet, dass die erkennbare Geheimhaltung der Amerikaner den Sowjets signalisiert hat, dass was im Busch ist. Als weiteres Beispiel  führt er Versuche der NSA an, die öffentliche Kryptographie-Forschung zu behindern und argumentiert, dass die nationale Sicherheit Amerikas letzlich von der breiten Verfügbarkeit starker Kryptographie profitiert. Bellovin argumentiert außerdem, dass so eine Genmanipulationsgeschichte im Vergleich zu anderen verfügbaren Terrorwaffen viel zu kompliziert und aufwändig sei.

Dan Geer bringt den begrenzten Nutzen einer Nichtveröffentlichung auf den Punkt:

»Does anyone in this room think that the computers of, in this case, the University of Wisconsin at Madison or the Erasmus Medical Centre in Rotterdam have not already been plundered for the research we are now trying to suppress? Even if they had not been plundered before, as soon as the „do not publish“
directive hit the press those whose job it is to aim cyberattacks at high value targets hit the ground running.«

Wer Informationen vor interessierten Staaten oder fähigen Terroristen schützen möchte, muss sich richtig anstrengen, zumal wenn es so interessant ist, dass darum eine Debatte entbrennt. Etwas nicht zu veröffentlichen ist nur ein passiver Schutz, dann bekommt niemand die Information frei Haus geliefert. Wer etwas wirklich geheimhalten will, muss das Geheimnis aber aktiv schützen. Und selbst dann bestünde der maximale Gewinn der Verteidiger in einer Zeitverzögerung beim Gegner. Was zwei Labors aufbauend auf dem Stand der Forschung geschafft haben, kriegt früher oder später auch ein drittes hin. Gleichzeitig würde das Zurückhalten der Ergebnisse Arbeiten behindern, die zu wirksamen Gegenmaßnahmen gegen eine hypothetisch daraus entwickelte Biowaffe führen könnten. Das wäre ein Eigentor.

Ob das Virus überhaupt zur Biowaffe taugt, ist auch noch offen. Waffen zeichnen sich nicht dadurch aus, dass sie beliebig gefährlich sind, sondern dadurch, dass man ihre Gewalt kontrolliert anwenden kann. Sogar Selbstmordattentäter suchen sich Ziele, statt wild in der Gegend herumzuexplodieren. Damit etwas zur Waffe wird, muss es deshalb die Möglichkeit bieten, zwischen Freund und Feind zu unterscheiden. Neue Waffen müssen ferner in irgendeiner Hinsicht besser sein als die alten, damit sie sich durchsetzen, da funktionieren Terror und Krieg ganz marktwirtschaftlich.

Helmet law FAIL

English, Safety, Unterwegs, ,

This is what bicycle helmet laws achieve:

»The New Zealand helmet law (all ages) came into effect on 1 January 1994. It followed Australian helmet laws, introduced in 1990–1992. Pre-law (in 1990) cyclist deaths were nearly a quarter of pedestrians in number, but in 2006–09, the equivalent figure was near to 50% when adjusted for changes to hours cycled and walked. From 1988–91 to 2003–07, cyclists’ overall injury rate per hour increased by 20%. Dr Hillman, from the UK’s Policy Studies Institute, calculated that life years gained by cycling outweighed life years lost in accidents by 20 times. For the period 1989–1990 to 2006–2009, New Zealand survey data showed that average hours cycled per person reduced by 51%. This evaluation finds the helmet law has failed in aspects of promoting cycling, safety, health, accident compensation, environmental issues and civil liberties.«

(Colin F. Clarke:
Evaluation of New Zealand’s bicycle helmet law)

Betreutes Denken

Geschäft, Security, Testlabor, , , , , , , , , ,

Mein Kollege Jörn Eichler sucht Studenten, die unter seiner Betreuung ihre Abschlussarbeit zu einem der folgenden Themen schreiben möchten:

  • Modellgetriebene, sichere Konfiguration von Laufzeitumgebungen für elektronischer Prozesse
  • Entwicklung eines Werkzeugs für die Sicherheitsmodellierung elektronischer Prozesse
  • Modellgetriebenes Testen elektronischer Geschäftsprozesse

Rezeptdatenhandel

Bedrohung, Datenschutz, Geschäft, Risiko, Security, Wahrnehmung, , ,

Wer Gesundheitsdaten missbraucht, will bestimmt Patientenprofile anlegen und damit irgend etwas böses tun. Das scheint plausibel, wenngleich irgend etwas böses selten klar definiert wird, und spielt im Bedrohungsmodell der mühsam im Inkubator am Leben gehaltenen Gesundheitskarte eine zentrale Rolle. Nur halten sich Angreifer nicht an Angreifermodelle:

»Mit den Rezeptdateien, die nicht anonymisiert worden waren, konnten die Unternehmen eventuell nachvollziehen, welche Medikamente von bestimmten Arztpraxen verschrieben wurden. Derartige Informationen würden es ermöglichen, die Arbeit von Außendienstmitarbeitern zu kontrollieren. So könnte man demnach überprüfen, ob Ärzte nach den Besuchen von Vertretern der Pharmaindustrie häufiger bestimmte Medikamente verschreiben.«

(Heise Online: Bericht: Illegaler Handel mit Rezeptdaten)

Warum das verboten ist, spielt keine so große Rolle. Interessanter finde ich die Frage, ob man solche Angriffe im Entwurf unserer Gesundheits-IT berücksichtigt hat. Mehrseitige Sicherheit ist ja kein völlig neues Konzept.

Das Personalchefargument

Angst, Datenschutz, Geschäft, Propaganda, Spackeria, , ,

Kommentarrecycling (dort im Spamfilter hängengeblieben):

Aus Diskussionen über öffentliche persönliche Informationen ist der googelnde Personalchef kaum wegzudenken. Gestritten wird dann darüber, was er denn nun sehen oder nicht sehen soll, damit dem Verkäufer eigener Arbeitskraft nichts schlimmes passiere. Gerne malt man sich phantasievoll die möglichen Folgen verstaubter Partyfotos aus, das gehört zu den Standards solcher Diskussionen. Doch es gibt ein grundlegendes Problem mit dem googelnden Personalchef: das Personalchefargument ist falsch, weil es von falschen Voraussetzungen ausgeht. Auf die Feinheit, ob der Personalchef nun etwas finden soll oder lieber nicht, kommt es dabei nicht an. Im Gegenteil, die Beliebigkeit in diesem Aspekt deutet auf ein grundlegendes Problem in den Axiomen hin. Wer mit einem falschen Satz von Axiomen anfängt, kann damit bekanntlich alles und das Gegenteil begründen.

Das Personalchefargument unterstellt als – regelmäßig unausgesprochene – Voraussetzung ein Unterwerfungsverhältnis zwischen Unternehmen („Arbeitgebern“) und für sie Arbeitenden („Arbeitnehmern“). Der Arbeitnehmer habe sich dem Arbeitgeber wohlgefällig zu verhalten, folgt daraus. In dieser Einseitigkeit ist das Modell falsch. In Wirklichkeit gibt es einen Arbeitsmarkt. Wie jeder andere Markt führt der Arbeitsmarkt führt der Arbeitsmarkt Parteien zusammen, die jeweils ihre eigenen Interessen verfolgen, und lässt sie Geschäfte zum beiderseitigen Nutzen machen. Dabei muss jeder dem anderen entgegenkommen, um seinen angestrebten Nutzen zu realisieren. Ich muss Zeit opfern, um Geld zu verdienen; eine Firma muss Geld opfern, um meine Zeit und meine Fähigkeiten zu bekommen. In der Ökonomie drückt man alles in Geld aus; im richtigen Leben spielen Faktoren wie das Betriebsklima auch ohne explizite Umrechnung eine Rolle.

In einem idealen Markt gibt es keine Ungleichgewichte, keine Seite kann den Markt über ihre Teilnahme hinaus zugunsten der eigenen Interessen beeinflussen. In der Realität greift man zuweilen regulierend ein, wo sich ein Markt zu weit von diesem Ideal entfernt. Regulierende Eingriffe können auch deshalb nötig sein, weil einige der theoretischen Eigenschaften idealer Märkte gar nicht realisierbar sind, zum Beispiel unendlich viele Teilnehmer auf beiden Seiten.

Das Personalchefargument ignoriert die Gegenseitigkeit des marktwirtschaftlichen Austauschs. Es postuliert Verhaltensregeln für Arbeitende, aber keine für Unternehmen, als gäbe es ein Kartell der Arbeitgeber. In Wirklichkeit muss aber jede Seite der anderen entgegenkommen, sonst finden keine Geschäfte statt, und was in einer Paarung von Marktteilnehmern nicht funktioniert, kann in einer anderen zum guten Geschäft werden.

Es mag also durchaus vorkommen, dass Personalchefs Saufbilder aus dem Internet in ihren Entscheidungen berücksichtigen. So wie es auch vorkommt, dass Firmen ihre Entscheidungen auf Horoskope oder graphologische Gutachten stützen. Das bedeutet dann aber nicht, dass jemand keine Arbeit findet, sondern lediglich, dass in einer bestimmten Konstellation kein Geschäft zustandekommt. Sind die Gründe dafür irrational, so ist das sogar zum Schaden des irrational Handelnden.

Eine Voraussetzung für einen gut funktionierenden Markt ist übrigens Transparenz: jeder Teilnehmer soll alle für rationale Entscheidungen relevanten Preise und Qualitätsmerkmale kennen. Die richtige Schlussfolgerung aus dem Personalchefargument ist deshalb nicht, dass jeder Arbeitende sein Online-Image zu polieren habe, sondern dass neben unseren Saufbildern auch die Dreckecken der Unternehmen ins Netz gestellt gehören. Wenn ich mich bei einem Unternehmen bewerbe, bewirbt sich gleichzeitig das Unternehmen bei mir. Da möchte ich schon etwas über seine Vergangenheit erfahren, und die Sommerfeste und Weihnachtsfeiern sind dabei minder relevant.

Missverständnis

Datenschutz, Philosophie, Rechtsabteilung, Regierungsviertel, Spackeria, Wolkenkuckucksheim, ,

Kommentarrecycling:

LeVampyre schreibt sich einen Wolf um zu erklären, warum sie Datenschutz gut und die Spackeria doof findet. Was sie schreibt, fühlt sich irgendwie richtig an, geht aber am Thema vorbei. Ihrem Text fehlt ein Begriff und damit der Kontext: informationelle Selbstbestimmung. Datenschutz ist nur ein Mittel zum Zweck. Wer »den Mißbrauch von Daten (…) unter Strafe stellen« möchte, braucht erst einmal einen Rahmen, in dem sich Missbrauch definieren lässt. Diesen Rahmen bildet nun nicht der Datenschutz als Selbstzweck, sondern die informationelle Selbstbestimmung als Idee: Jede soll Herrin ihrer persönlichen Informationen und Daten sein.

Informationelle Selbstbestimmung ist der Zweck, Datenschutz nur ein Instrument dazu. Vergisst man den Zweck, während man die Anwendung des Instruments optimiert, kommt Paternalismus heraus. Dann bestimme nicht mehr ich, was mit meinen Daten geschieht, sondern Beauftragte, Minister oder die Subkultur meiner Peer Group. Wenn ich Google, Facebook oder dem ganzen Internet bewusst und absichtlich Daten zur Verfügung stelle, ist das weder ein Datenverbrechen der anderen noch meine eigene Dummheit, sondern zuallererst mein gutes Recht. Der Datenschutz muss mich unvoreingenommen dabei unterstützen, dieses Recht auszuüben, ganz gleich, ob ich etwas verschweigen oder etwas mitteilen möchte.

Gleichzeitig vollziehen sich grundlegende Änderugen in der Art und Weise, wie wir – und Unternehmen – Daten verarbeiten und nutzen. Die spezifischen Regelungen des Datenschutzes stammen aus einer anderen Ära und sie können mit diesen Änderungen nur ungenügend umgehen. Das gilt im Guten wie im Schlechten: die endlose Diskussion um den Personenbezug von IP-Adressen zum Beispiel ist einerseits irrelevant für Google und Facebook, andererseits nervig für alle, die sich damit auseinandersetzen müssen.

Nach meinem Verständnis treiben diese beiden Aspekte die Spackeria, der Mismatch zwischen Idee und Umsetzung sowie der Mismatch zwischen Konzept und Realität. Das Ziel der Spackeria ist nicht, die Informationelle Selbstbestimmung abzuschaffen, sondern den Datenschutz als Mittel und Werkzeug der Realität anzupassen.

Zwei Euro fuffzich

Risiko, Security, Unterwegs, Zahlenspiele

In Hessen werden jedes Jahr gut 14-15.000 Fahrräder geklaut, davon 4000 in Frankfurt. Der geschätzte Gesamtschaden liegt bei 6,5 Millionen Euro, die Aufklärungsquote unter zehn Prozent. Bundesweit sind es  300.000 bis 350.000 im Jahr. Dramatische Zahlen? Nö. Bei 70 Millionen Fahrrädern im Land entspricht das gerade mal einem halben Prozent. Der hessische Gesamtschaden ergibt bei 14.000 Fahrrädern einen Schaden von weniger als 500 Euro pro Rad. Auf 350.000 Räder hochgerechnet macht das 175 Millionen Euro – oder zwei Euro fuffzich pro Rad.

Cyber-Krieg, nüchtern betrachtet

Begriffe, Forschung, IT, Security, Vulnerability, Wahrnehmung, ,

Die Süddeutsche hat James A. Lewis (vermutlich den hier) zum Thema Cyberwar interviewt. Herausgekommen ist eine Reihe vernünftiger Ansichten wie diese:

»Ein Staat würde für den Einsatz von Cyberwaffen die gleiche Art militärischer Entscheidungen vornehmen wie für jede andere Art von Waffen. Welchen Vorteil bringt es, die Stromversorgung zu kappen? Und was sind die Risiken dabei? Wenn die USA und China im südchinesischen Meer kämpfen, ist das ein begrenzter Konflikt. Wenn China zivile Ziele auf dem Gebiet der USA attackiert, ist das eine ungeheure Eskalation, die das Risiko birgt, dass die USA auf chinesischem Boden zurückschlagen. Streitkräfte werden gründlich darüber nachdenken, bevor sie einen solchen Angriff wagen. Dazu kommt, dass solche Attacken schwierig sind, und wir dazu neigen, den Schaden zu überschätzen, den sie anrichten. Ich kann mir nicht vorstellen, warum jemand sich die Mühe machen sollte, die Wasserversorgung anzugreifen.«

(sueddeutsche.de: „Wir müssen unsere Verteidigung stärken“)

Lewis betrachtet das Thema nicht im Hollywood- oder Scriptkiddie-Modus, sondern konsequent aus einer militärischen Perspektive. Militärs handeln rational, sie verfolgen taktische und strategische Ziele mit verfügbaren Mitteln und gegen die Handlungen eines Gegeners. Daraus ergibt sich auch das Angreifermodell, das der Verteidigung zugrunde liegt, wie oben im Zitat illustriert. Cyber-Krieg, so Lewis‘ Paradigma, ist keine neue Form des Krieges, die andere verdrängt, sondern eine neue Waffengattung, die den Krieg nicht grundlegend reformiert.

Geisterfahrerzählung

Risiko, Safety, Unterwegs, Zahlenspiele, , , ,

Wieviele Geisterfahrer gibt es eigentlich? Der ADAC hat gezählt:

»Im Zeitraum von Dezember 2008 bis Dezember 2009 seien demnach 2800 Falschfahrer im Radio gemeldet worden. Bei den zwölf Unfällen, die dadurch verursacht worden seien, hätten insgesamt 20 Menschen ihr Leben verloren.«

(Spiegel Online: Geisterfahrer: Plötzlich falsch unterwegs)

Das sind ungefähr siebeneinhalb pro Tag, bundesweit. Mancher Radweg schafft diesen Wert pro Minute.

Causal Insulation

Begriffe, Classifier Security Model, English, Philosophie, Security, , , , , , ,

I just came across an essay by Wolter Pieters that complements my 2009 NSPW paper (mentioned here and here in this blog before) in style and content. In The (social) construction of information security (author’s version as PDF), Pieters discusses security in terms of causal insulation. This notion has its roots in Niklas Luhmann’s sociological theory of risk. Causal insulation means that to make something secure, one needs to isolate it from undesired causes, in the case of security from those that attackers would intentionally produce.On the other hand, some causes need to be allowed as they are  necessary for the desired functioning of a system.

I used a similar idea as the basis of my classifier model. A system in an environment creates a range of causalities—cause-effect relationships—to be considered. A security policy defines which of the causes are allowed and which ones are not, splitting the overall space into two classes. This is the security problem. Enforcing this policy is the objective of the security design of a system, its security mechanisms and other security design properties.

A security mechanism, modeled as a classifier, enforces some private policy in a mechanism-dependent space, and maps the security problem to this private space through some kind of feature extraction. In real-world scenarios, any mechanism is typically less complex than the actual security problem. The mapping implies loss of information and may be inaccurate and partial; as a result, the solution of the security problem by a mechanism or a suite of mechanisms becomes inaccurate even if the mechanism works perfectly well within its own reference model. My hope is that the theory of classifiers lends us some conceptual tools to analyze the degree and the causes of such inaccuracies.

What my model does not capture very well is the fact that any part of a system does not only classify causalities but also defines new causalities, I’m still struggling with this. I also struggle with practical applicability, as the causality model for any serious example quickly explodes in size.

Unterschätzte Risiken: Kinderüberraschung

Safety, Unterschätzte Risiken, Unterwegs, Verboten, Zahlenspiele,

Laptopdurchsuchung an der Grenze? Pah! Viel eifriger ist der amerikanische Zoll im Beschlagnahmen von Überraschungseiern:

»The U.S. takes catching illegal Kinder candy seriously, judging by the number of them they’ve confiscated in the last year. Officials said they’ve seized more than 25,000 of the treats in 2,000 separate seizures.«

(CBS News: Kinder Surprise egg seized at U.S. border)