Gefährliche Rollbretter überleben

Propaganda, Risiko, Safety, Video, ,

In diesem Kontext habe nicht einmal ich etwas gegen eine Helmempfehlung, zumal das gezeigte Material der Namen tatsächlich verdient:

(Videolink, via Nightline)

Warum? Weil wir hier ein vernünftiges Gesamtkonzept präsentiert bekommen, von einer Risikoanalyse bis zum Falltraining. Nur eines habe ich zu bemängeln: Der Kopf ist keineswegs der wichtigste Körperteil. Wollte man den Schutzbedarf von Kröperteilen von ihrer Wichtigkeit ableiten — in der IT-Sicherheit übrigens ein beliebter Ersatz für Risikoschätzungen –, so müsste man zweifellos zum Beispiel wesentliche Teile des Blutkreislaufes für gleichermaßen wichtig halten.

Kragen geplatzt

Angst, Risiko, Safety, Wahrnehmung, Zahlenspiele,

Ein überfälliger Flame an alle:

»Einzelne Todesfälle werden in der Presse geradezu zelebriert. Graphiken mit steil aufragenden Kurven signalisieren höchste Gefahr und zeigen, dass wir am Rande des Abgrunds stehen.Für Sammler von Beispielen, wie man Zahlen nicht interpretieren sollte, herrschen goldene Zeiten. Alles, wovor man Erstsemester warnt, wird geboten.

(…)

Fehlendes Wissen bedeutet Unsicherheit. Das scheint als Einladung verstanden zu werden, mit auf Glauben beruhenden Aussagen für Sicherheit zu sorgen. Zahlen und objektive Risikoabschätzungen sucht man oft vergeblich. Das könnte akzeptiert werden, wenn der Glauben als solcher deklariert und nicht als Wissensmogelpackung präsentiert würde.

(…)

Wie ein roter Faden zieht sich die Abneigung gegenüber Zahlen durch Berichte. Ein Grund mag die schlechte Datenlage sein, aber auch vorhandene werden ignoriert. Die gegenwärtig besten stammen von der Südhalbkugel. Erfahrungen und Zahlen des dort fast beendeten Winters geben keinen Anlass für Katastrophenszenarien.

(…)

Das diffuse Bild ist natürliche Folge der objektiven Unsicherheit. Verwerflich ist, dass diese Unsicherheit nicht als solche deklariert wird, sondern durch Ignoranz ein Bild von Sicherheit erzeugt wird, das mit der Realität nichts zu tun hat. Die gesellschaftliche Unfähigkeit, mit Risiken rational umzugehen, ist erschreckend.«

(sueddeutsche.de: Kranke Zahlenspiele)

Unterschätzte Risiken: Erdwärme

Regierungsviertel, Security, Unterschätzte Risiken, ,

Sieht so aus, als bekäme der Rhein einen neuen Zufluss:

»Ein riesiger Wasserschaden ist in Wiesbaden bei Erdwärme-Bohrungen entstanden. Rund 6.000 Liter Wasser schießen pro Minute in die Höhe. Wann das Bohrloch in der Innenstadt geschlossen werden kann, war am späten Abend unklar.«

(HR: Erdwärme-Bohrungen: Gewaltiger Wasserschaden in Wiesbaden)

Jetzt kann Aachen einpacken.

Epic Fail

Geschäft, IT, Security, Vertrauen,

Unter der Überschrift: Die Illusion von Safer-Shopping nimmt Heise gerade das Online-Gütesiegel eines bekannten Anbieters auseinander:

»Nach der Datenpanne im vom TÜV Süd zertifizierten Online-Shop-System von Libri.de fanden sich nun Sicherheitslücken auf weiteren Sites, die das Safer-Shopping-Siegel tragen – und sogar auf dessen eigener Homepage. Neben Safer-Shopping.de waren Audible.de, ReifenDirekt.de und weg.de betroffen.«

Über Zertifizierung, Gütesiegel und den TÜV gab es hier ja schon einiges zu lesen. Als Sekundärliteratur empfehle ich noch: 10 Things Your Auditor Isn’t Telling You.

Höchstrichterliche Risikobewertung

Angst, Propaganda, Risiko, , ,

Nicht immer sind es Politiker und Staatsorgane, denen unsere Verfassungrichter zu vernünftigen Einschätzungen verhelfen muss. Was dem Innenminister recht ist, ist den Bürgern billig, und so haben Nachtfluggegner in Leipzig ihr Problem ein wenig aufgebauscht. Man sei von Terrorismus und Krieg bedroht, weil der Flughafen auch militärisch genutzt werden dürfe. Diesem Argument wollte das Bundesverfassungsgericht nicht folgen:

»Für die Karlsruher Verfassungsrichter war die behauptete Gefahr terroristischer Anschläge infolge der militärischen Nutzung des Transportflughafens jedoch so gering, dass dieser Umstand „nicht in die Interessensabwägung einbezogen werden“ müsse. Die Behauptung der Kläger, auf dem Flughafen Leipzig/Halle könne es zu regulären kriegerischen Auseinandersetzungen mit zivilen Kollateralschäden kommen, nannten die Bundesverfassungsrichter „völlig aus der Luft gegriffen“.«

(FAZ.NET: Flughafen Leipzig/Halle: Niederlage für Nachtfluggegner)

Prioritäten

Safety, Unterwegs,

Ich hoffe doch sehr, dass hier nur ein Journalist etwas in den falschen Hals bekommen hat:

»Die Abkehr vom Propeller hatte allerdings noch ein anderes, verstecktes Motiv, einen Grundsatz der Luftfahrt: lieber einen bewährt ausfallsicheren Motor als eine zwar effiziente, aber weniger erprobte Konstruktion. Bislang lief deshalb alles in die Richtung, dass der Passagier, der Mensch, wichtiger ist als der Eisbär. Lieber ein paar Tonnen Kerosin mehr verfeuern, das aber zuverlässig. Das ist jetzt nicht mehr zu halten.«

(welt.de: Die triumphale Rückkehr des Propeller-Antriebs, Hervorhebungen von mir)

 

Unterschätzte Risiken: Koalitionsverträge?

Security, Unterschätzte Risiken, ,

Das Antiterrorblog macht sich so seine Gedanken zu den aufgeschobenen Stoppschildern:

»Ende 2010 ist dann aber wiederum nur ein erneuter Erlass des Bundesinnenministers nötig, um die Schilder aufzustellen. Kein Beschluss des Bundestages oder Bundeskabinettes, also auch keine Beteiligung der FDP. Für eine Klage vor dem Bundesverfassungsgericht könnte es dann aber wegen dieser Frist schon zu spät sein! Vertrauen wir dabei also auf die FDP und lassen uns einlullen, kann das Böse enden.«

(Antiterror.blog.de: Internetsperren: Klage unzulässig?)

Wie ich dort bereits als Kommentar kurz schrieb, wäre die Masche ja nicht ganz neu. Abofallenbetrüger zum Beispiel arbeiten seit jeher damit: das Opfer schließt einen Abovertrag, ohne sich dessen bewusst zu sein. Während der gesetzlich garantierten Widerrufsfrist wird die Gegenseite nun tunlichst alles vermeiden, was das Opfer auf seinen Irrtum hinweisen könnte. Die erste Rechnung kommt folglich dann, wenn die Widerrufsfrist abgelaufen ist, denn dann ist der einfachste Ausweg verbaut.

Unterschätzte Risiken: Impfkampagnen

Safety, Unterschätzte Risiken, ,

Das ist doch mal eine schöne Theorie:

»Dann aber berichtet der Teamleiter von einer überraschenden Beobachtung: In China und anderen Ländern, wo sich die neue Variante des Virustyps H1N1 ausbreite, „gehen die Befunde mit H3N2 gleichzeitig schnell nach unten“, sagt er. Die Kollegen merken auf. Heißt das, die neuen Viren, Verursacher der weltweit verbreiteten Schweinegrippe, verdrängen die bisherigen, saisonalen Grippeviren, weil sie im Körper ihrer Wirte um den gleichen Platz konkurrieren? Werden damit die „pathogeneren“ Viren ausgerottet, diejenigen also, die mehr schwere Erkrankungen und Todesfälle verursachen?«

(Tagesspiegel: Schweinegrippe: Höchste Warnstufe)

Ob so etwas medizinisch plausibel ist, kann ich nicht beurteilen, und es interessiert mich auch nicht besonders. Viel interessanter ist nämlich der Aspekt der Risikomanagements. Wenn so ein Verdrängungseffekt prinzipiell möglich ist, er aber erst nach einer größeren Zahl beobachteter Fälle nachweisbar wird, worauf stütze ich dann a priori meine Risikoschätzung? Wieviel Willkür, wieviel Faustregel und wieviel Cargo-Kult steckt eigentlich in einer Impfempfehlung?

Liebe Sparkasse,

Geschäft, Phishing, Security, Vertrauen

dass Verified by Visa und MasterCard SecureCode Werbegags ohne sicherheitstechnischen Mehrwert für den Karteninhaber sind, wisst Ihr sicher selbst. Dass es eine Scheißidee ist, die überflüssige Registrierung dafür unter der Adresse https://secure5.arcot.com/ durch eine Organisation abwickeln zu lassen, die Eure Kunden nicht kennen können, muss man Euch aber offensichtlich noch einmal erklären. Ratet mal, was Ihr Euren Kunden damit beibringt.

Oder ist das gar nicht Euer Werk, sondern jemand hat Eure Websites gehackt?

.bank im neuen Gewand

Geschäft, Propaganda, Security, Vertrauen, ,

Sie haben .bank wieder ausgegraben, nur heißt es jetzt anders und die Zielgruppe ist neu. Wir erinnern uns: die Idee von .bank bestand im wesentlichen darin, ein Internet-Gütesiegel (Wunsch, Realität) ins DNS zu projizieren und anhand der Top-Level-Domain (TLD) kenntlich zu machen. Das schlägt man nun wieder vor, nur diesmal für die Domain-Registrare selbst. Hochsicherheitsadresszone nennt sich das dann, und einige der Anforderungen sind auch gar nicht dumm. Nur nützt es wenig, diese Anforderungen auf einzelne TLDs und ihre Registrare anzuwenden. Gauner nehmen dann eben eine andere TLD, wo diese Anforderungen nicht gelten. Oder eine Methode, bei der Adressen keine Rolle spielen, zum Beispiel Malware. Oder ein Botnetz, dessen Knoten in einer dieser Hochsicherheitsadresszonen liegen, denn ob das Gegenüber nicht ein Hund ist, weiß man am Ende als Nutzer auch dort nicht; über die Sicherheit der einzelnen Domains oder Hosts macht die Hochsicherheits-TLD nämlich keine Aussage.

Was also soll das Ganze bringen? Dem Nutzer sicher nichts. Er kann der Adresse keine verwertbare Zusatzinformation entnehmen, und selbst wenn er es könnte, würde er diese Information in aller Regel ignorieren oder sie würde keine Rolle spielen. Den Registraren damit aber auch nichts, denn niemand hat einen Vorteil davon, seine Domain bei einem teureren, weil „sicheren” Registrar zu kaufen. Im Gegenteil, in einer Hochsicherheitsadresszone muss sich keiner vorsichtshalber die Domains für seine Firmen- und Markennamen sichern, denn der Registrar soll die Berechtigung bei der Domain-Vermietung ordentlich prüfen. Dieser Teil des Geschäfts fällt ersatzlos weg, wenn alle rational handeln. Für wen also gibt es da bitteschön einen Business Case – mal abgesehen von den Auditoren und Beratern, denen sich offensichtliche Gelegenheiten bieten?

Wenigstens sind sie aber ehrlich (Hervorhebung von mir):

»Due to the risks involved measures will be needed to limit liability to ICANN. If established, ensuring public awareness of the limitations of the program in terms of not providing guarantees about the presence of malicious activity within a TLD must also be addressed.«