Car-Security

English, Erich fragt, Forschung, Freundlich zum Nutzer, Safety, Security, Vertrauen

Yesterday I visited the CAST-Workshop on mobile security for intelligent cars, which ended with a very interesting discussion that illustrated the complexity of the problem and raised many interesting questions. First the speakers gave a good overview over the main research areas and important projects like Evita or SIM-TD, which is said to be the biggest field test world wide, that focusses on car-2-x-communication. Everybody agreed on the main distinctions (Safety vs. Security; in-car communication, car2car communication, etc.) and privacy issues were the main topic. As Frank Kargl  from the University of Ulm pointed out, the car has a strong connection to its owner and its movements might tell a lot about the individual. Already privacy concerns have entered the car world, because navigation tools send home gps information and companies like Tom Tom generate a large data collection.

Car-Security weiterlesen

Was ist eigentlich Identität?

Begriffe, Freundlich zum Nutzer, ID, , , , ,

Warum viele auf Identitätsmanagement abfahren und sich davon einen Sicherheitsgewinn erhoffen, habe ich mich schon früher gefragt. Ein Teilproblem dabei: was ist eigentlich die Identität einer Firma oder Organisation? Warum das ein Problem ist, illustrieren jetzt ausgerechnet Verbraucherschützer, die uns beim Schutz vor Phishing helfen möchten. Sie geben die üblichen Tipps – und illustrieren ihre Erklärung über SSL ausgerechnet mit einer URL-Zeile der Dresdner Bank:

Dresdner Commerzbank Privat oder so

Die ist seit kurzem eine Marke der Commerzbank, und das zeigt der Browser auch an. Formal ist das völlig korrekt, aber dem Bankkunden hilft diese zertifizierte Identitätsinformation nur bedingt weiter. Oder gelten SSL-Zertifikate nur in Verbindung mit Nachrichten aus dem Wirtschaftsteil?

Übrigens muss der arme Nutzer nicht nur zwischen Unternehmen und Marken unterscheiden, sondern auch zwischen echten und weniger echten Warnungen. Wer bei der Adresseingabe das Präfix www vergisst, dem macht die Technik unnötig Angst:

https://dresdner-privat.de

Auch dies ist formal völlig korrekt, hilft dem Nutzer aber nicht weiter. Er kann aus solchen Beobachtungen kein einfaches, konsistentes Sicherheitsmodell entwickeln. Verbraucherportale mit wohlmeinenden Tipps ändern daran nichts und lösen deshalb auch das Problem nicht.

Management ohne Metriken

IT, O-Ton, Risiko, , , ,

Der eine oder andere dürfte es mitbekommen haben. Tom DeMarco, dem wir die Manager-Faustregel: “You can’t control what you can’t measure.” verdanken, macht einen Rückzieher. An Software Engineering will er nicht mehr so recht glauben, und an Metriken auch nicht. In seinem Artikel Software Engineering: An Idea Whose Time Has Come and Gone? erläutert er seinen Sinneswandel unter anderem an diesem Beispiel:

»Imagine you’re trying to control a teenager’s upbringing. The very idea of controlling your child ought to make you at least a little bit queasy. Yet the stakes for control couldn’t be higher.
(…)
Now apply “You can’t control what you can’t measure” to the teenager. Most things that really matter—honor, dignity, discipline, personality, grace under pressure, values, ethics, resourcefulness, loyalty, humor, kindness—aren’t measurable.«

Von der Vorstellung, wir könnten ausgerechnet in der IT-Sicherheit Risiken anhand von Metriken steuern, sollten wird uns schnell verabschieden. Zusätzliche Unbekannte und Rückkopplungen vereinfachen das Problem sicher nicht.

Ach ja, und hört nicht auf Gurus.

»Minister Tatenlos«

Angst, Begriffe, Regierungsviertel, Risiko, , , ,

Schäublone-Erfinder Dirk Adler im Interview (via Isotopp) über die mutmaßlichen Motive des Innenministers:

»Ich glaube, er fürchtet sich davor nach einem Terroranschlag hier in Deutschland als Minister Tatenlos da zu stehen. Seine Verantwortung für die Sicherheit treibt ihn an alle möglichen Hebel in Bewegung zu setzen, ob sie nun die richtigen sind oder nicht.«

Ich nenne das mal vorläufig Visible Precaution Bias und meine damit die bereits früher beschriebene Tendenz verantwortlicher Amtsträger, sichtbar Vorsichtsmaßnahmen zu ergreifen, auch wenn diese Maßnahmen objektiv keinen Sinn haben.

Kennt jemand Ansätze im Risikomanagement, die solche Effekte berücksichtigen und systematisch korrigieren?

Unterschätzte Risiken: Tresore

Nebenwirkung, Risiko, Security, Unterschätzte Risiken, Werkbank,

Kleine Geldbeträge gehören in die Schublade und nicht in einen teuren Tresor:

»In der Nacht zum Donnerstag sind Unbekannte in ein Freibad in Bad Hersfeld eingebrochen. Sie knackten den Tresor und verschwanden mit der Beute.

(…)

In dem Tresor befanden sich mehrere hundert Euro Bargeld. Die Täter entkamen mit der Beute. Der Sachschaden beträgt mindestens 6.500 Euro.«

(HR: Einbruch: Tresor in Schwimmbad ausgeräumt)

Das ist allerdings ein Einzelfall, den wir obendrein noch rückwirkend betrachten. Welches Risiko der ängstliche Tresorbenutzer und der unbekümmerte Schubladenverwender jeweils insgesamt eingehen, wäre noch zu überlegen.

50 Euro

Preisschild, Zahlenspiele

Falls das stimmt, ist es überraschend. Wir machen uns Sorgen über den möglichen Handel mit personenbezogenen Daten, während die bösen Jungs ihr Geld mit Online-Spielen verdienen:

»Für gekaperte Onlinespieler-Profile blättern Kriminelle derzeit jeweils bis zu 50 Euro hin. Das haben Experten vom Unternehmen G Data aus Bochum ermittelt.

Sie beobachteten im Juni und Juli die Aktivitäten auf dubiosen Börsen im Internet, wo die Accounts gehandelt werden. Am lukrativsten ist es demnach, Profile bei der Onlinespiele-Plattform Steam zu knacken. Aber auch Accounts von ‹World of Warcraft›-Spielern wurden für bis zu 30 Euro angeboten.«

(LVZ, n-tv, SZ)

Formal fällt auch ein solches Profil unter den Begriff der personenbezogenen Daten. Aber Hand aufs Herz, wessen Phantasie hat so weit gereicht, die scheinplausiblen Szenarien des Datenmissbrauchs zu verwerfen und an so etwas zu denken? Meine jedenfalls nicht. Wir brauchen dringend objektive Maßstäbe für den Schutzbedarf sowie Methoden zum Risikomanagement, die tatsächlich das Risiko einschätzen.

Strategischer Datenverlust

Archivierung, Forschung, Fundbüro, Risiko, Security

Ob das eine großer Vertuschung ist oder nur eine aufgeblasene Nebensächlichkeit, möchte ich nicht beurteilen, ebenso wenig ob es sich um Schlamperei oder Absicht handelt:

»The world’s source for global temperature record admits it’s lost or destroyed all the original data that would allow a third party to construct a global temperature record. The destruction (or loss) of the data comes at a convenient time for the Climatic Research Unit (CRU) in East Anglia – permitting it to snub FoIA requests to see the data.«

(The Register: Global Warming ate my data)

Eine interessante Anregung zum Risikomanagement ist es allemal. Vielleicht ist der erwartete Schaden ja geringer, wenn die Daten einfach weg sind.

Risikoperspektive

Angst, Freundlich zum Nutzer, Regierungsviertel, Risiko, Sicherheitshinweise, Unterwegs, Wahrnehmung, , , , ,

Über die Tipps des Auswärtigen Amtes zur Redution des persönlichen Terrorrisikos wollte ich mich auch noch lustig machen. Muss ich aber nicht, denn Burkhard Müller-Ullrich hat über diese CYA-Aktion bereits alles gesagt:

»Nochmal zum Mitschreiben: Das Außenministerium rät Mallorca-Urlaubern, Menschenansammlungen zu meiden. Man fragt sich, ob der Verfasser dieses Ratschlags schon mal auf Mallorca war und was er sonst noch von der Welt weiß.«

(Die Achse des Guten: Menschenmassen meiden!)

Tatsächlich geht es wohl gar nicht gar nicht darum, brauchbare Sicherheitshinweise zu geben. Das wäre weder nötig noch praktikabel, denn das persönliche Risiko ist auch nach den Knallfröschen vom Wochenende gering und jede weitere Reduktion mit übergroßen Kosten verbunden. Aber ein zuständiges Amt traut sich nur selten, einfach mit den Schultern zu zucken und unvermeidliche Risiken auf sich beruhen zu lassen. Irgendetwas muss man vorher tun, damit einem später keiner vorwerfen kann, man habe nichts getan. Risikointuition nennen wir das, und sie ergibt sich stets aus der persönlichen Perspektive des Handelnden. Wobei der Begriff Intuition vielleicht falsch ist, denn der Kern des Problems ist nicht die intuitive Bewertung des Risikos, sondern dessen Betrachtung aus der individuellen Perspektive.

Zahlen-TV

Security

Das einzelgängerische Mathematik-Genie Maximilian Cohen ist nichts Geringerem als einer universellen Weltformel auf der Spur, die Zugang zu den endgültigen Zusammenhängen des Seins verschaffen soll. Auf der Grundlage zu Berechnungen der Pi-Funktion hofft er, dahin vorzustoßen, »was die Welt im Innersten zusammenhält«.

TV-Tipp: Pi, 3Sat 22:55 Uhr

http://www.schnitt.de/202,2310,01