Greenpeace-Logik

Angst, Begriffe, Geschäft, Risiko, Safety, ,

Es gibt Menschen und Organisationen, für die sind beherrschbare Unfälle der größte anzunehmende Unfall:

»Sollte Tepco die Lage in Fukushima unter Kontrolle bekommen, könnte der falsche Eindruck entstehen, selbst schwere Atomunfälle seien vom Menschen beherrschbar.«

(Tagesspiegel: Fukushima: Kampf mit den Elementen)

Die träumen wohl weiter vom zweiten Tschernobyl. Gut, dass wir das endlich mal empirisch klären.

PIN-Gambit

Rechtsabteilung, Security, So geht das, Testlabor, Vulnerability, , , , ,

Wenn die Bankkarte weg ist und kurz darauf Geld vom Konto verschwindet, dann treffen Sie Ihre Bank wahrscheinlich bald vor Gericht. Sie werden Ersatz fordern, die Bank wird ihn verweigern. Für solche Situationen sind Gerichte da, aber wer dort Erfolg haben will, braucht die richtige Strategie. Die Bank hat eine Strategie,  sie wird das PIN-Gambit spielen. Das PIN-Gambit geht so: Die Bank behauptet, ihre Systeme seien sicher, das Abheben von Bargeld am Automaten nur mit Kenntnis der zugehörigen PIN möglich und diese PIN nicht aus der Karte zu ermitteln. Folglich weise eine erfolgte Abhebung kurz nach dem Diebstahl darauf hin, dass der Täter die PIN gekannt haben müsse. Da die Vertraulichkeit der PIN durch den Kunden zu gewährleisten sei, müsse dieser seine Sorgfaltspflichten verletzt und die PIN irgendwo aufgeschrieben haben. Klingt bizarr, aber Richter akzeptieren so etwas und nennen es Anscheinsbeweis.

Als Prozessgegner können und müssen Sie den Anschein erschüttern, aber das ist nicht leicht, denn dazu bedarf es konkreter Beweise. Vage Schilderungen denkbarer anderer Abläufe genügen nicht. Das aber ist sehr schwer, auch wenn Sie sich korrekt verhalten und die PIN weder auf der Karte noch sonst irgendwo vermerkt haben. Die Karte ist weg, fällt als Beweis also aus. Die technischen Systeme der Bank sind vielfältig und komplex, eine gründliche Analyse auf Sicherheitsmängel könnte mehrere Sachverständigenjahre verschlingen. Wenn Sie versuchen, den Anscheinsbeweis der Bank zu erschüttern, nehmen Sie das Gambit an. Das können Sie tun, aber dann wird die Sache mühsam. Im weiteren Verlauf wird sich alles um die Frage drehen, auf welche Weise der Täter an die PIN gelangt ist, und die Beweislast liegt bei Ihnen.

Stattdessen könnten Sie direkt zum Gegenangriff übergehen. Dazu rufen Sie Vertreter der Bank in den Zeugenstand und stellen ihnen Fragen:

  • Welche PIN wurde bei den missbräuchlichen Abhebungen verwendet?
  • Erfolgte die PIN-Prüfung anhand des Magnetstreifens oder unter Verwendung des Kartenchips?
  • Woran erkennt die Bank, wenn sie eine Buchung ausführt, dass die richtige PIN eingegeben wurde?
  • Falls die Abhebung am Automaten eines anderen Instituts erfolgte, woher weiß die Bank, dass dort alles mit rechten Dingen zugeht? Woran erkennt die Bank, dass dort eine korrekte PIN-Prüfung erfolgte?
  • Führt die Bank Aufzeichnungen über Fehlversuche bei der PIN-Eingabe? Welche Aufzeichnungen liegen der Bank für den fraglichen Zeitraum vor? Sind davon alle Anwendungen des Chips erfasst, die eine PIN-Prüfung erfordern oder ermöglichen?
  • Welche Anwendungen oder Funktionen des Kartenchips erfordern oder ermöglichen eine PIN-Prüfung? Verwenden diese Anwendungen alle dieselbe PIN? Verwenden sie einen gemeinsamen Fehlversuchszähler?
  • Gibt es technische Möglichkeiten, die PIN oder den Programmcode des Kartenchips zu verändern? (Tipp: Ja, die gibt es.)
  • Gibt es eine technische Möglichkeit, eine nach mehrfacher Fehleingabe der PIN gesperrte Karte zu entsperren?
  • Wird eine Karte nach Ablauf der Geltungdauer ausgetauscht, stellt die Bank dann eine neue Karte mit derselben PIN aus? Wie ist das technisch realisiert? Wo werden die erforderlichen Informationen aufbewahrt?

    • Um den Prozess zu gewinnen, genügen diese Fragen vielleicht nicht. Eine gute Grundlage für das Gutachten eines Sachverständigen liefern sie allemal, und vor allem ändern sie den Blick auf das Problem.

    * * *

    Wenn Sie eine Rechsberatung benötigen, konsultieren Sie bitte einen Rechtsanwalt Ihrer Wahl.

    Datenschutzprioritäten

    Datenschutz

    Meine Rede seit Jahren:

    »ELENA? Klar. SWIFT? Naja, nicht schön, aber was will man machen. Steuer-ID aka PKZ2.0: Mei, wir haben halt keine Handhabe. Aber wehe ein privates Webforum wagt es Werbung zu schalten und „IP-Adressen zu übermitteln“. Da feiert der Adminarsch aber Kirmes, da wird draufgekloppt als gäbe es kein Morgen. Schließlich muss die Privatsphäre der Forenuser gegenüber Google geschützt werden, sind die ja zu doof Cookies zu sperren oder nen AdBlocker zu benutzen.«

    (tarzun: „Datenschutz“ im Jahr 2011)

    DDoS

    Begriffe, Datenschutz, Rechtsabteilung, Unterwegs, Verboten, , ,

    Welches Hackertool nimmt man, um einen Denial-of-Service-Angriff gegen eine kritische Infrastruktur ins Werk zu setzen? Genau, das Gesetzbuch:

    »Schon gestern war der Tiergartentunnel ohne Vorwarnung gesperrt worde. Kurzzeitig war das zwar vorgesehen, aber der Grund für die Dauersperrung ist ein bizarres Datenschutzproblem: Nach Auskunft der Stadtentwicklungsverwaltung wurden die Bilder aus den Überwachungskameras aufgezeichnet, obwohl die Kameras nur der augenblicklichen Kontrolle des Verkehrs dienen sollen.«

    (Tagesspiegel: Verkehr lahmgelegt: Stadtweites Chaos durch Nato-Gipfel und Tunnelproblem)

    Wir haben viel zu wenig Phantasie. Hand aufs Herz, wem wäre Datenschutz-DoS als Bedrohung eingefallen?

    Risk Compensation and Bicycle Helmets

    English, Risiko, Safety, Wahrnehmung

    Found via de.rec.fahrrad:

    This study investigated risk compensation by cyclists in response to bicycle helmet wearing by observing changes in cycling behavior, reported experience of risk, and a possible objective measure of experienced risk. The suitability of heart rate variability (HRV) as an objective measure of experienced risk was assessed beforehand by recording HRV measures in nine participants watching a thriller film. We observed a significant decrease in HRV in line with expected increases in psychological challenge presented by the film. HRV was then used along with cycling pace and self-reported risk in a field experiment in which 35 cyclist volunteers cycled 0.4 km downhill, once with and once without a helmet. Routine helmet users reported higher experienced risk and cycled slower when they did not wear their helmet in the experiment than when they did wear their helmet, although there was no corresponding change in HRV. For cyclists not accustomed to helmets, there were no changes in speed, perceived risk, or any other measures when cycling with versus without a helmet. The findings are consistent with the notion that those who use helmets routinely perceive reduced risk when wearing a helmet, and compensate by cycling faster. They thus give some support to those urging caution in the use of helmet laws.

    (PubMed, Fulltext)

    This video is totally unrelated.

    Nerdhumor

    Freundlich zum Nutzer, IT

    Auf so eine blöde Idee muss man erst einmal kommen. Und dann muss man es auch noch tun.

    »Just in time for April Fool’s Day! I built a device that has the potential to drive a computer user insane.

    This device plugs into a USB port and implements a USB HID keyboard. Instead of doing anything useful, it waits between 30 seconds and 8 minutes and sends the scancode for the Caps Lock key. This will toggle the Caps Lock status on or off. (…)«

    (Stealth USB CapsLocker)

    Radfahren verlängert das Leben

    Risiko, Safety, Unterwegs

    Von wegen besonders gefährlich. Radfahren ist zwar nicht so billig wie angenommen, aber sehr gut für die Gesundheit:

    »An drei Punkten beeinflusst regelmäßiges Radeln nach ihrer Kalkulation die Lebenserwartung:

    • Einatmen verschmutzter Luft: -1 bis -40 Tage
    • Unfälle: -5 bis -9 Tage
    • Trainingseffekt für den Körper: plus 3 bis 14 Monate«

    (Spiegel Online:
    Kostenvergleich Rad gegen Auto: Das Velo ist Sieger der Herzen     über die Studie Gesamtwirtschaftlicher Vergleich von Pkw- und Radverkehr)

    Was wollte man an solchen Risiken noch optimieren?