Respekt

Hackmeck, ID, Rechtsabteilung, So geht das, Vulnerability

Das fast perfekte Verbrechen. Dem Finanzamt falsche Gehaltsabrechnungen untergejubelt, später mit falschen Steuererklärungen Erstattungen kassiert und Ermittlungsverfahren gegen sich kurzerhand beendet:

»… auch eröffnete hin und wieder eine Staatsanwaltschaft ein Ermittlungsverfahren. Geschah dies, tarnte der Angeklagte sich kurzerhand als Rechtsanwalt, wies sich bei der Staatsanwaltschaft mit ebenfalls gefälschten Papieren aus, bekam seine Akten zugeschickt und vernichtete die dann genüsslich.«

(Echo Online: Einkommensteuererklärungen für erfundene Menschen)

Am Ende haben sie ihn doch gekriegt. Aber den Trick mit den Akten muss ich mir merken.

P.S.: Zwei Jahre und neun Monate gab’s dafür.

Die Schwächsten

Regierungsviertel, Risiko, Safety, Zahlenspiele, ,

»Im Übrigen glaube ich, dass wir mit der Radhelmpflicht bei den schwächsten Verkehrsteilnehmern beginnen sollten.«

Christian Carius (CDU), Verkehrsminister in Thüringen

Bei wem sollte man unsinnige Gängelung auch sonst einführen? Natürlich tut man das bei denen, die sich am wenigsten wehren werden, eben bei den Schwächsten. Um deren Sicherheit geht es dabei nicht, sondern um die willkürliche Verordnung einer Kopfbedeckung. Fast die Hälfte der im Straßenverkehr getöteten Kinder unter 15 stirbt im Auto, ein weiteres Viertel auf dem Fahrrad. Doch einen Autohelm für Kinder fordert niemand. Insgesamt verunglückte 2010 etwa dieselbe Anzahl von Kindern in Kraftfahrzeugen bzw. auf Fahrrädern. Das Todesrisiko beim Mitfahren in einem Auto liegt also pro Unfall weit höher als jenes auf dem Fahrrad. Und das trotz dem Umstand, dass typische Radverkehrsführungen ihre Benutzer an jeder Kreuzung in Gefahr bringen, wie neben jedem Radfahrer inzwischen auch die Berliner Polizei weiß:

»Allerdings sieht die Polizei auch eine „Hochrisikogruppe“ bei den Radfahrern. „Es ist die Zahl derjenigen, die sich auf ihre Vorfahrt verlassen und ohne umsichtigen Blick zum Autoverkehr bei Grün über die Radfurt fahren.“«

– Tagesspiegel, Radler und Fußgänger leben wieder gefährlicher

Wer auf dem Radweg bei Grün geradeaus über eine Kreuzung fährt, riskiert Gesundheit und Leben.  Wollte der Verkehrsminister aus dem Wald etwas für die Verkehrssicherheit tun, könnte er hier ansetzen und sich überlegen was zu tun wäre, damit der Vertrauensgrundsatz auch für Radfahrer gilt, die bei Grün geradeaus über eine Kreuzung fahren. Das will er aber nicht. Er will nur eine Kopfbedeckung vorschreiben wie ein Islamist das Kopftuch und damit bei den Schwächsten anfangen, von denen er den geringsten Widerstand erwartet.

Homecomputer im Test

Freundlich zum Nutzer, Gadget, IT, Nerds, Testlabor, Wahrnehmung, , , ,

Damals wusste man noch nicht so recht, was man mit einem Computer zu Hause anstellen soll, und arbeitete sich an offensichtlichen, aber nicht unbedingt nützlichen Anwendungen ab:

Wer beispielsweise die Bestände seines gut sortierten Weinkellers elektronisch speichern möchte, müßte – sobald ihm der Sinn nach einem edlen Tropfen steht – folgende Prozedur hinter sich bringen: Heimcomputer einschalten, Programmkassette in den Recorder einlegen, Programm laden, Kassette wechseln und »Weinkellerdaten« in den Rechner einlesen, Befehl zur Auswahl eines trockenen ’82er Württembergers eingeben, eintragen in den Daten bestand, dass die Flasche nun bald geleert sein wird. Schreiben der gesamten Daten zurück auf die Kassette. Wegräumen der Kassetten und Ausschalten des Rechners. Während der elektronisch ausgerüstete Weinkenner nun den Weg in den Weinkeller antritt. um die richtige Flasche zu suchen, hebt der technisch rückständige Bacchant gerade das weite Glas und trinkt auf die gute alte Zeit, als man Wein noch mit Kennerblick auswählte.

Wichtigtuer

Angst, Preisschild, Risiko, Safety, , ,

Wovor die Helmzwangdebatte geflissentlich ausweicht, ist die Risikoanalyse, die dem Gezänk schnell ein Ende machte. Radfahren ist keine besonders gefährliche Tätigkeit. Das Risiko, dabei an einer Kopfverletzung zu sterben, bleibt gering. Erst in der Summe über die Bevölkerung wird dieses Risiko überhaupt sichtbar − und liegt in derselben Größenordnung wie jenes von tödlichen Badeunfällen. Das eine wie das andere Übel kann man getrost als Schicksalsschlag einordnen, tragisch für den, dem er zustößt, aber weit davon entfernt, die Bevölkerung zu dezimieren. Analoge Betrachtungen kann man über die Verletzungsrisiken anstellen.

In der Aggregation wird auch der ganze wirtschaftliche Irrwitz einer Helmpflicht deutlich. Kauften wir nur zu jedem zweiten der 70 Millionen Fahrräder in Deutschland einen Helm für günstige 20 Euro, so kämen stattliche 700 Millionen Euro Kosten zusammen. Eine zweifelhafte Investition, wenn man nüchtern rechnet und das reale Schutzpotenzial ansetzt, das die kolportierten Wunderwirkungen weit untertreffen dürfte. So ein Fahrradhelm schützt nämlich nicht einmal den halben Kopf und das am besten bei Stürzen, die man auch ohne Helm leicht überlebt.

Radfahrer handeln rational, wenn sie die mit Helmen beeinflusste Risikokomponente im Rauschen der allgemeinen und insgesamt geringen Lebensrisiken verschwinden sehen und auf besondere Schutzausrüstung verzichten. Unredlich hingegen handelt, wer solche Risikobetrachtungen unterlässt und die Staatsmacht als Bekleidungspolizei missbrauchen möchte. Wer sich mit Helm wohlfühlt, mag einen tragen. Einer Pflicht dazu fehlt jedoch jede sachliche Rechtfertigung.

P.S.: Kann mal jemand im Koran nachgucken, ob ein Fahrradhelm als Kopftuch durchgeht? Das wäre zwar gemogelt, gäbe der Diskussion aber einen ganz anderen Anstrich.

Plastikschüsseldebatte

Fundbüro, Gadget, Propaganda, Safety, Zwischenruf,

Verkehrsminister Ramsauer betätigt sich als Helmtroll, und das sehr gekonnt. Weil nur wenige Menschen von der Notwendigkeit einer Styroporkopfbedeckung beim Radfahren überzeugt sind, sollen gefälligst viel mehr Leute eine solche tragen, sonst werde man es allen vorschreiben. Auf solche Begründungen muss man erst mal kommen, das ist weit kreativer als die unzählige Male ausgetauschten Sachargumente. Mutti auf Eskalationsstufe drei hätte es nicht absurder hinbekommen.

P.S.: Wunderbar, die Botschaft ist in den Medien angekommen. Ich begrüße diese Entwicklung.

Angst vorm Risiko

Angst, Begriffe, Risiko

Cora Stephan liest uns die Leviten:

»Überall Warnungen, Ratschläge: Wer hierzulande Radio hört, muss glauben, in Deutschland wohnten nur Muttersöhnchen. Das ist fatal.«

(Welt Online: Das Risiko ist zum Inbegriff des Schreckens geworden)

Recht hat sie. Risiko ist nichts, wovor man Angst haben müsste, Risiko ist einfach Ungewissheit über die Zukunft, die sich kaum vermeiden lässt. Quantifizierte und analysierte Ungewissheit, um genau zu sein, also das Maximum an Prophezeiung, zu dem wir anhand der vorliegenden Daten in der Lage sind.  Vermeiden können wir Risiken nicht, wir können uns nur darauf vorbereiten. Woraus einem interessierte Antagonisten allerdings manchmal einen Strick zu drehen versuchen, wie etwa im Falle von Stuttgart 21, wo die Gegner eine umfangreiche Analyse der Projektrisiken zu einem Kritikpunkt umdeutete. Dabei sind Projektrisiken unvermeidlich und ihre systematische Behandlung Teil jedes Projektmanagements.

The American Way of Electronic Signatures

English, Freundlich zum Nutzer, Gadget, Security, , ,

An electronic signature is not what security nerds think it is, or think it should be. This is a valid implementation of electronic signatures:

»Instead, you sign a piece of paper and hold it up to your iSight/Facetime camera while Preview snaps a photo. It’ll then detect the signature and allow you to add it to your document. To do this, just open the PDF document you want to sign, click “Annotate” in the toolbar if the annotations bar isn’t already showing, and then click the Signature drop-down menu.«

(Lifehacker via Timyeo’s Blog)

If people are happy with it, as they surely will as Apple made it, what exactly are the problems that we are trying to solve with all our cryptography?

Kleine Datenschutztheaterlinksammlung

Begriffe, Datenschutz, Propaganda, Rechtsabteilung, Spackeria, Wahrnehmung

In den Kreisen der Spackeria macht die Wortschöpfung Datenschutztheater die Runde. Bereits vor knapp einem Jahr prägteverwendete Ed Felten die englische Entsprechung Privacy Theater, die ungefähr dasselbe bezeichnet, nur ohne den deutschen Bürokratie- und Beauftragtenoverhead. Google findet noch ein paar frühere Verwendungen. Isotopp beleuchtet schon seit längerer Zeit immer wieder Beispiele, zuletzt das Opt-Out für WLAN-Accesspoints und die amtlich datenschutzkonforme Verwendungsweise von Google Analytics. Zeit für einen Paradigmenwechsel im organisierten Datenschutz.

28C3: CFP for 28th Chaos Communication Congress

English, Events, Forschung, Hackmeck

Und noch ein CfP:

The Chaos Communication Congress the annual four-day conference organized by the Chaos Computer Club (CCC) in Berlin, Germany. First held in 1984, it has since established itself as “The European Hacker Conference” attracting a diverse audience of thousands of hackers, scientists, artists, and utopists from all around the world.
(…)
The deadline for submission is October 11th, 2011 Midnight (23:59) UTC. Notification of acceptance will be sent by e-mail on November 20th, 2011 the latest. However, you may very well get your notification earlier than that if needed.
– October 11th, 2011 (Midnight UTC) Submission due
– November 20th, 2011 (Midnight UTC) Final notification of acceptance (or earlier)
– December 27th – 30th, 2011 Chaos Communication Congress

GI SICHERHEIT 2012

Events, IT, Security

Deadline für Beiträge ist der 24. Oktober 2011. Details unter http://sicherheit2012.cased.de/.

GI SICHERHEIT 2012 Sicherheit – Schutz und Zuverlässigkeit

Fachtagung vom 5. – 7. März 2012
Kongresszentrum darmstadtium
Schlossgraben 1, 64283 Darmstadt

Die Sicherheit 2012 ist die regelmäßig stattfindende Fachtagung des Fachbereichs  ”Sicherheit – Schutz und Zuverlässigkeit” der Gesellschaft für Informatik e.V. Sie bietet einem Publikum aus Forschung, Entwicklung und Anwendung ein Forum zur Diskussion von Herausforderungen, Trends, Techniken und neuesten wissenschaftlichen und industriellen Ergebnissen. (…)

Trust Center

Begriffe, IT, Security, Vertrauen, Vulnerability, , , , ,

Nach dem Vorfall bei Diginotar − Unbekannte haben sich mehrere von Diginotar ausgestellte SSL-Zertifikate verschafft, und eines davon blieb längere Zeit unbemerkt gültig − schimpfen viele über das Geschäft der Zertifikatsaussteller und deren vorinstallierte CA-Zertifikate in Webbrowsern. Es ist einfach, Dinge für kaputt zu erklären, aber damit verbessert man nicht unbedingt die Welt. CAs heißen auch Trust Center. Das ist die bessere Bezeichnung, denn mit einem realistischen Vertrauensbegriff ergibt alles einen Sinn.

Vertrauen ist ein Vorurteil zur Reduktion sozialer Komplexität, eine Erwartung an das Verhalten anderer, die erfüllt oder auch entäuscht werden kann. Ob online oder im Alltag, ich könnte vor jeder Interaktion mit anderen gründlich prüfen, mit wem ich es zu tun habe, und  Vorsichtsmaßnahmen gegen das Scheitern ergreifen. Das wäre aber aufwändig, vor allem Im Verhältnis zur Größe und Häufigkeit von Alltagsgeschäften wie dem Kauf eines belegten Brötchens oder dem Aufbau einer SSL-Verbindung. Also lasse ich die Vorsichtsmaßnahmen weg und ersetze sie durch Vertrauen.

Unbekannte ohne Interaktionshistorie bekommen ein Basisniveau an Vertrauen zugeordnet, das begrenzt ist: einem Fremden im Park werde ich gerne drei Jonglierbälle im Wert von ca. 20 Euro borgen, nicht aber mein Fahrrad. Wiederholte erfolgreiche Interaktion lässt das Vertrauen wachsen. Wer ein paarmal im Park mit mir jongliert und meine Bälle nicht an Hunde verfüttert hat, bekommt unter Umständen höhere Werte anvertraut. Ich verborge auch mein Fahrrad, nur nicht an jeden. Enttäuschtes Vertrauen wird unmittelbar zerstört, wenn die Enttäuschung bemerkt wird. Es kann danach dauerhaft zerstört bleiben oder erneut aufgebaut werden, möglicherweise von einem niedrigeren Startniveau als bei Unbekannten.

Vertrauen lässt sich böswillig ausnutzen. Dazu muss sich der Angreifer lediglich anders verhalten als sein Opfer es erwartet und dabei im Verfügungsrahmen des ihm entgegengebrachten Vertrauens bleiben. Ein unseriöser Spendensammler auf der Straße nutzt das Basisvertrauen gegenüber Unbekannten, während ein Anlagebetrüger oft bewusst Vertrauenspflege betreibt, um größere Summen anvertraut zu bekommen. Solche Vertrauensbrüche sind verboten und werden verfolgt. Unsere Gesellschaft hält Vertrauen für so nützlich, dass sie seine böswillige Ausnutzung bestraft. Auf diese Weise erleichtert sie uns das Vertrauen ineinander und damit die soziale und ökonomische Interaktion.

Analoge Vorgänge beobachten wir im Zusammenhang mit Diginotar und anderen SSL-CAs. Den vorinstallierten CAs zu vertrauen, erleichtert unseren Alltag. Unser Vertrauen bleibt begrenzt, Bankgeschäfte zum Beispiel mit ihrem vergleichsweise hohen Verlustpotenzial stützen sich nicht alleine auf SSL, sondern verwenden weitere Mechanismen. Das Vertrauen in Diginotar ist aufgrund des Vorfalls nun zerstört. Vasco als Mutterfirma hat die Wahl, die Investition abzuschreiben oder neues Vertrauen aufzubauen, vorzugsweise unter neuem Namen, um scheinbar unbelastet beim Basisniveau anfangen zu können.

Das einzige gefährliche Trugbild, das ich hier sehe, ist die falsche Perfektionserwartung, die aus vermeintlichen Sicherheitsversprechen folgt. Browser mit vorinstallierten CA-Zertifikaten geben kein Sicherheitsversprechen, sondern sie ermöglichen Vertrauen, nicht mehr und nicht weniger. Wer an der Verwendung von CA-Zertifikaten wirklich etwas verbessern möchte, der sollte daran arbeiten, Vertrauensbrüche schnell und verlässlich erkennbar zu machen. Das halte ich für das eigentliche Problem: ich bekomme nur zufällig und unsystematisch mit, wie sich eine CA verhält.

(Das war zuerst ein Kommentar auf Google+, passt aber besser hier ins Blog.)