«Die Medien lieben Strahlen.»

Risiko, Safety, Wahrnehmung

Die NZZ fasst zusammen, was bereits jeder beobachten konnte:

»Was im japanischen Atomkraftwerk Fukushima geschah, ist eine Frage, die Spezialisten klären müssen nach Massgabe wissenschaftlicher Erkenntnis. Ein anderes ist es, was die Medien den Menschen über die Katastrophe erzählen. Dabei macht sich jede Nation einen eigenen Reim auf das Geschehen.«

(NZZ: Fukushima – eine Erzählung in nationalen Geschichten)

Usable Security: Participatory Design

English, Freundlich zum Nutzer, Fundbüro

»If your PERSHING II system needs improvement, let us know. Send us an EIR. You, the user, are the only one who can tell us what you don’t like about your equipment. Let us know why you don’t like the design. Put it on an SF 368 (Quality Deficiency Report). Mail it to Commander, U.S. Army Missile Command, AlTN: AMSMI-QA-QMD, Redstone Arsenal, AL 35898-5290. We’ll send you a reply.«

(TM 9-1425-386-10-1)

Expertentipps

Geschäft, Propaganda, So geht das, Vertrauen, Wahrnehmung,

FAZ.NET watscht die Dauernuckelfraktion und ihre Ratgeber ab: man möge doch einfach auf seinen Durst hören statt auf die Trinkmengenempfehlungen von Trinkmengenexperten. Solche Emfehlungen hätten keine wissenschaftliche Grundlage, übertriebener Trinkeifer könne sogar schaden.

So weit, so gut. Was die Autorin freilich unterschlägt, ist die Rolle der Medien in diesem Spiel. Es mag ja sein, dass die Mineralwasserabfüller zu schwarzer PR greifen, um mehr Wasser in Flaschen abzusetzen. Auch die beste PR braucht aber jemanden, der die Botschaft weiterträgt. Das tun Medien nur zu gerne und nennen es Service, praktische Lebenshilfe mit einfachen Empfehlungen auf berufenem Munde.

Servicethemen muss man kaum einem Medium aufdrängen, sie suchen selbständig danach, nicht nur in Serviceformaten, sondern praktisch immer, wenn sie einen Experten für irgend etwas vors Mikrofon bekommen. Der Experte darf gerne eine Weile erklären und einschätzen und abwägen, aber am Ende soll er dem Publikum bitteschön konkrete Tipps geben: Wie oft soll ich meine Unterhose wechseln? Womit kann ich mich vor Regen schützen? Wann kommt der Weihnachtsmann und biete ich ihm Kaffee an? Aber bitte ganz einfach, wir wollen das Publikum ja nicht überfordern.

So kommt es, dass die Medien voll sind von Expertentipps. Zeckenexperten geben Zeckenalarm und empfehlen Zeckenschutzzimpfungen, Fahrradhelmexperten empfehlen Styropor auf dem Kopf, IT-Sicherheitsexperten empfehlen Virenscanner und unrealistisch (und oft unnötig) komplizierte Passworte.

Das ist nicht nur eine Einladung an jeden PR-Arbeiter, seinen Mineralwasserexperten dort einzureihen, sondern auch ein Problem für echte Experten. Gewiss, ein paar einfache Tipps sind leicht formuliert. Nützlich und seriös werden sie aber erst, wenn sie auch eine nennenswerte Wirkung versprechen. Das tun einfache Tipps für komplizierte Probleme aber kaum. Ich kann niemandem in drei einfachen Tipps erklären, wie er Unfälle vermeidet, seine IT-Sicherheit erhält oder länger lebt.

Anders herum ausgedrückt, alle einfachen und verständlichen Tipps, die ich geben kann, werden in der Zielgruppe ohne messbare Wirkung bleiben. Mit einer Ausnahme. Wer dem Rat der Experten folgend etwas getan und vorgesorgt hat, fühlt sich besser, ganz gleich, was es wirklich bringt. Das ist der Service.

R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 4)

eBürokratie, Freundlich zum Nutzer, Regierungsviertel, Security

[Teil 1Teil 2Teil 3 – Teil 4]

Einst galt das Rechtskonstrukt der digitalen Signatur als Schritt in die Zukunft. Inzwischen haben selbst unsere Bürokraten verstanden, dass die einfache Übertragung althergebrachter Konzepte in die digitale Welt der Entwicklung benutzergerechter Lösungen im Wege steht:

»Das Bundesministerium für Wirtschaft und Technologie und das Bundesministerium für Arbeit und Soziales haben sich nach eingehender Überprüfung des ELENA-Verfahrens darauf verständigt, das Verfahren schnellstmöglich einzustellen.

Grund ist die fehlende Verbreitung der qualifizierten elektronischen Signatur. (…)«

(Gemeinsame Pressemitteilung des Bundesministeriums für Wirtschaft und Technologie und des Bundesministeriums für Arbeit und Soziales,
via Netzpolitik)

Das war ein langer, schmerzhafter  Erkenntnisprozess (vgl. Teil 1, Teil 2, Teil 3). Vielleicht versuchen wir in Zukunft mal, Sicherheitstechnik um Anwendungen herum zu konstruieren und nicht Anwendungen um ein Stück Sicherheitstechnik plus Rechtskonstrukt. Es kommt nämlich nicht auf formale Compliance an, sondern darum, dass eine Anwendung funktioniert, nützlich ist und dabei in der Praxis keine Unfälle passieren.

 

Zwei lesenswerte Rants

Forschung, IT, Security

Die aktuelle Ausgabe des IEEE Security and Privacy Magazine enthält zwei schöne Rants, beide zum Thema Realitätssinn. Leider liegen die Artikel hinter einer Paywall, ich empfehle sie trotzdem.

Ian Grigg und Peter Gutmann beschäftigen sich in The Curse of Cryptographic Numerology mit der vielfach anzutreffenden einseitigen Fokussierung auf Schlüssellängen unter Vernachlässigung realer Bedrohungen und praktischer Aspekte. Sie argumentieren, dass das nicht nur am Problem vorbeigeht, da Kryptographie selten gebrochen und häufig umgangen wird, sondern auch den pragmatischen Einsatz mit nicht idealen, aber im Anwendungskontext ausreichenden Schlüssellängen behindert.

In Vulnerability Detection Systems: Think Cyborg, Not Robot lässt sich Sean Heelan über akademische Arbeiten zu Sicherheitstestverfahren aus und attestiert ihnen Irrelevanz in der Praxis. Er nimmt kein Blatt vor den Mund und empfiehlt den Wissenschaftlern, sich doch bitte mal mit aktuellen Sicherheitsbugs, Testverfahren und Exploit-Methoden zu beschäftigen.

Unterschätzte Risiken: Politik

Geschäft, Regierungsviertel, Zahlenspiele

Wenn’s eine Privatbank wäre, könnten wir jetzt über die gierigen Spekulanten herziehen:

»Die EZB ist momentan mit dem 23-fachen ihres Eigenkapitals nahezu so gehebelt wie Lehman Brothers in den dunkelsten Zeiten (damals das 30-fache). (…) Die EZB hat aber nur 82 Mrd. Euro Eigenkapital und knapp 1900 Mrd. Euro Papiere auf ihrer Bilanz. Sie unterliegt keiner Aufsicht führenden Behörde.«

(Welt Online:
Euro-Zone: Griechen-Anleihen sind ein Fiasko für die EZB)

Ist aber keine, sondern das, was herauskommt, wenn wir nicht auf unsere Politiker aufpassen.

Post-privacy in practice

Datenschutz, English, Fundbüro, O-Ton

While our government-appointed privacy officials fight Google, Facebook, and everyone who dares processing IP addresses, this is going on in the world around us:

»One incident that recently came up is the fact that my car reports latitude, longitude, position, and speed whenever it downloads an RSS feed (yes my car actually downloads RSS – it’s a Nissan Leaf).«

(SIGCRAP: The continuing erosion of privacy)

[Update: See The Risks Digests for links to details.] I suppose my cellphone may do the job for me while I’m riding my bicycle.