Compliance leicht gemacht

Freundlich zum Nutzer, Geschäft, IT, Regierungsviertel, Security, Wahrnehmung, , ,

Microsoft hat den .NET Messenger für Nutzer in Kuba, Syrien, Iran, Sudan und Nordkorea gesperrt. Diese Länder unterliegen einem Embargo der Vereinigten Staaten; US-Firmen dürfen mit ihnen keine Geschäfte machen. Manche finden das hirnrissig (das ist es auch, aber es ist Gesetz), während andere die Umsetzung für hirnrissig halten. Microsoft benutzt nämlich einfach die im Profil hinterlegte Landeseinstellung des Nutzers, und die ist frei wählbar.

Diese Implementierung ist aber nicht hirnrissig, sondern vollständig rational und typisch für Compliance-Probleme. Security dreht sich um die Lösung eigener Probleme, die Durchsetzung eigener Interessen mit technischen und organisatorischen Mitteln. Diese Mittel sollen – im Rahmen des jeweils vertretbaren Aufwandes – effektiv sein, also böswillige Angriffe tatsächlich abwehren. Dabei besteht ein direkter Zusammenhang zwischen den erwarteten Schäden durch Angriffe und dem vertretbaren Aufwand.

Compliance hingegen erfordert die Wahrung fremder Interessen, auferlegter Regeln und Anforderungen. Zu eigenen Interessen eines Unternehmens werden sie erst aufgrund angedrohter Zwangsmaßnahmen. Effektivität ist auch hier das Ziel, aber maßgeblich sind nun nicht mehr die direkten Auswirkungen, sondern die angedrohten. Die sind willkürlich festgelegt.

Ein Unternehmen, das Compliance erzielen möchte beziehungsweise muss, wird deshalb jeweils zum einfachsten und billigsten Mittel greifen, das die angedrohten Zwangsmaßnahmen genügend zuverlässig abwehrt. Dieses Mittel muss keinen realen Effekt haben. Es muss lediglich die Kontrolleure zufriedenstellen. Die Lösung von Microsoft für das Compliance-Problem des Messengers leistet dies vermutlich.

Das tatsächliche Problem ist damit vorerst gelöst. Ob Kubaner, Sudanesen oder Nordkoreaner mit dem .NET Messenger chatten, ist dagegen nur ein Scheinproblem. Ohne Compliance-Zwänge wäre es Microsoft einfach egal. Aus geschäftlicher Sicht gäbe es keinen Grund darüber auch nur nachzudenken.

Heilig’s Maßnähmle

Angst, IT, Security, , , , ,

Großes Palaver unter IT-Verantwortlichen. Es geht um die unternehmensweit auf allen Arbeitsplätzen eingesetzte Antivirus-Software. Beim Zugriff auf eine bestimmte interne Web-Anwendung verursacht sie Performance-Probleme. Jemand hat vorgeschlagen, gezielt für diese Situation und nur dafür eine Teilfunktion des Virenscanners zu deaktivieren.

Im Grunde genommen ist man sich einig und hält den Vorschlag für ein Sakrileg. Sicherheitsmechanismen zu deaktivieren komme überhaupt nicht in Frage. Rationale Erwägungen über das Risiko sowie über Sinn, Zweck und Wirkung der Maßnahme spielen keine Rolle. Statt dessen versucht man einander zu übertreffen im Ringen um die schönste Begründung. Der Tenor: wenn man bei der Sicherheit einmal einen Kompromiss mache, gehe sicher bald das Abendland unter.

In diesem Fall war es nicht allzu schwer, den Weg zurück zu einer sachlichen Betrachtung zu weisen. Wovor ein Antivirus-Programm schützt beziehungsweise eben nicht schützt, ist schnell erklärt, und was danach an Szenarien übrig bleibt, gehört in die Kategorie Movie Plot.

Ich hätte aber schon gerne ein Werkzeug, eine Methode, um den Verzicht auf eine Sicherheitsmaßnahme nicht nur im Einzelfall gut zu begründen. So etwas brauchen wir dringend, denn Verantwortliche entscheiden selten unvoreingenommen. Für sie ist eine Maßnahme stets besser als keine Maßnahme. Kommt es wider Erwarten zu einem Vorfall, dann wird er in der befürchteten Interpretation trotz der ergriffenen Maßnahmen geschehen, aber wegen der nicht ergriffenen.

Wie also begründet man sauber, dass man eine verfügbare Sicherheitsmaßnahme nicht ergreift, ohne sich auf phantasievolle Kosten- und Risikoschätzungen zu stützen?

Unterschätzte Risiken: Wissenschaft, Zufall und CYA

Angst, Forschung, Nebenwirkung, Propaganda, Unterschätzte Risiken, , , , ,

Die NZZ von gestern (2009-05-15) erklärt uns die Mechanismen, die vom Gedankenspiel eines Wissenschaftlers zur landesweiten Panik mit einigen Hundert Todesopfern führen können. Als Beispiel dient die Schweinegrippe – nicht jene aktuelle, die gerade in den Randspalten versickert, sondern die von 1976. Damals kam es in den USA zu einer großen Impfkampagne. Sie war wahrscheinlich unnötig, hatte aber vereinzelt Nebenwirkungen , die sich zu einigen Hundert Toten summierten.

Neben einigen Zufällen lagen die Ursachen im CYA-Bias von Behörden und Politik, der auf wilde Spekulationen eines Wissenschaftlers traf. Wobei sich die Spekulation im Rahmen des Zulässigen bewegte. Zeitreihenanalyse nennt man es, wenn man nach Mustern in einem Zeitverlauf sucht und diese in die Zukunft projiziert. Das kann interessant sein, aber zu mehr als zur Hypothesenbildung taugt es kaum. Schlecht, wenn es alle für bare Münze nehmen, nur weil es in der Zeitung steht und den Stempel Wissenschaft trägt.

Das Fazit des Artikels:

»Angesichts der unheilvollen Dialektik von voreiliger Aufregung und nachträglicher Beschwichtigung scheint eine zentrale Aufgabe der Zukunft darin zu bestehen, nicht nur exzellente Universitäten zu schaffen, sondern auch besonnene Wissenschaften zu ermöglichen, die zur Absicherung ihrer Erkenntnisansprüche keiner Mobilisierung von Ängsten bedürfen.«

(NZZ: Unbezwungene Ungeheuer, Die Schweinegrippe und die Konjunkturen des Schrecklichen)

Kinderschützer züchten Forentrolle

Datenschutz, ID, Stammtisch, Vertrauen, ,

Während die Bundesregierung hofft, das Vertrauen ins Netz durch sichere Authentizifierung mit dem elektronischen Personalausweis zu stärken, predigen Kinder- und Jugendschützer das Gegenteil. Man möge im Netz gefälligst unter einem Phantasienamen auftreten und keinesfalls so, wie man wirklich heißt. Die offensichtlichste Folge dieses gerne beherzigten Tipps dürfte verstärktes Cyber-Mobbing sein, denn im Schutz der Pseudonymität pöbelt es sich gleich viel leichter. Ein Großteil der sozialen Selbst- und Fremdkontrolle fällt weg, wenn sich jeder von sich distanziert und unter einem Phantasienamen versteckt. Nicht umsonst ist die Diskussion um Reralnamen vs. Pseudonyme so alt wie das Netz.

Zuerst aber stellt sich die Frage, was denn eigentlich so schlimm daran ist, sich im Netz unter dem Namen zu bewegen, den man seit seiner Geburt trägt. Was, außer dem guten Gefühl, etwas getan zu haben, gewinnt man dadurch? Was kann mit im Netz passieren, wenn ich meinen Namen verrrate, das mir unter einem Pseudonym nicht passieren kann, und warum ist das Auftreten unter einem Pseudonym eine korrekte und sinnvolle Lösung des Problems?

Risiken sind Konjunktive

Angst, Propaganda, Risiko, Wahrnehmung

Michael Miersch stellt die richtigen Fragen:

»Und genau dieser Passus fehlt fast immer in der öffentlichen Kommunikation. Was ist eigentlich so furchtbar an dem Satz „Wir wissen es nicht?“? Warum können Schreckensszenarien nicht im Konjunktiv stehen, sondern werden wie gesicherte Berechnungen behandelt? Die Möglichkeitsform ist der Paria der Mediengesellschaft. Sie wird weggesperrt, weil sie die Botschaft verderben könnte.«

(WELT am SONNTAG: Und dann fiebert auch die Sprache)

Risiken sind stets Konjunktive: mögliche zukünftige Ereignisse, deren Eintreten wir uns ausmalen, aber nicht zuverlässig vorhersagen können. Wo wir über Risiken sprechen, gibt es immer etwas, das wir nicht wissen.

Das Eingeständnis, nicht alles zu wissen, wendet sich in der hiesigen Debattenkultur allerdings schnell gegen denjenigen, der es äußert. Aus Risiken werden dann unschätzbare oder nicht auszuschließende Risiken, woraus sich allerlei Strohmannargumente entwickeln lassen. Hinzu kommt ein tiefsitzendes Vorurteil: dass etwas zu tun stets besser sei als nichts zu tun. Wer anfinge, sich seines Nichtwissens bewusst zu werden, der käme am Ende vielleicht zu dem Schluss, dass es manchmal besser wäre, im Angesicht des Risikos einfach überhaupt nichts zu tun, die Hände in den Schoß zu legen und abzuwarten.

Unterschätzte Risiken: Twitter

Angst, Unterschätzte Risiken, , ,

Während der Medienmainstream anlässlich einiger Schweinegrippefälle am anderen Ende der Welt die Katastrophenticker warmlaufen lässt, setzen sich einige Außenseiter mit den Mechanismen dahinter auseinander. Ben Schwan für die taz zum Beispiel:

»Surft man auf Twitter ein wenig zu lange herum, bekommt man unweigerlich das Verlangen, zur nächsten Apotheke zu rennen und sich das Grippemittel Tamiflu samt Atemschutzmaske zu besorgen.«

(taz.de: Kommentar Schweinegrippe: Pandemische Beschleunigung)

Ein aufmerksamer Selbstbeobachter ist Marcus Anhäuser vom Plazeboalarm, der auch ein paar informative Links zum Thema zusammengetragen hat:

»UND STOPP: DA GERÄT MAN JA GANZ SCHNELL IN DIESEN MELDERAUSCH, UND ICH STELLE FEST: Das bringt ja gar nichts. Die Googlefälle kann ich auf die Schnelle nicht validieren. Also Stopp hier. Keine Updates mehr.«

(Schweinegrippe: Auf dem Laufenden bleiben)

Als Medienkonsument darf ich hinzufügen: falls wir diesmal wirklich alle sterben, sind Katastrophenticker das letzte, womit ich meine Restzeit verplempern möchte.

PS: Isotopp hat das Spiel zur Panik ausgegraben.

Die wissen, was sie tun

Regierungsviertel, , ,

„Befürchtungen, die Liste sperrwürdiger Inhalte würde sehr schnell sehr lang werden, sind in meinen Augen berechtigt“, sagte Zypries dem „Hamburger Abendblatt“.
(…)
Zypries erinnerte daran, dass die Internetfirmen gezwungen werden, eine Technik anzubieten, mit der sich beliebig Seiten sperren lassen. „Ich gehe davon aus, dass dadurch Begehrlichkeiten geweckt werden, auch Inhalte ausländischer Anbieter zu reglementieren, die keinen Bezug zu Kinderpornografie aufweisen“, sagte sie.

(Frankfurter Rundschau:
Internet: Zypries warnt vor weiterer Beschränkung)