Falls sich jemand wundert, warum manche Vermieter etwas gegen Haustiere haben:
»Ein Schäferhund-Welpe hat nur spielen wollen, als es sich am Mittwochabend im Haus seines Herrchens in Mörfelden-Walldorf über ein Kabel hermachte. Kurze Zeit später stand das Haus in Flammen.
(…)
Das Haus wurde durch den Brand so stark beschädigt, dass es unbewohnbar und einsturzgefährdet ist. Der Schaden wird auf 200.000 Euro geschätzt.«
Der Hund hat übrigens überlebt. Vorerst zumindest.
Was der TÜV – eigentlich die TÜV, denn unter dieser Dachmarke macht sich ein etwas unübersichtliches Firmengeflecht breit – so alles zertifiziert, wissen aufmerksame Leserinnen dieses Blogs bereits. Die technische Seite habe ich damals nicht explizit diskutiert. Das nimmt mir jetzt ein anderer ab und schafft es bis in den Heise-Ticker mit dem Hinweis: TÜV-Siegel schützt nicht vor Cross Site Scripting. Damit haben wir schon zwei Dinge beisammen, vor denen ein TÜV-Siegel nicht schützt, ausnutzbare Fehler in der Technik und zweifelhafte Geschäftsmodelle. Geht da noch was?
Klar geht da noch was. Vor bekloppten Konzepten schützen TÜV-Siegel nämlich auch nicht. Bekloppte Konzepte, damit meine ich zum Beispiel die Idee, irgendeiner Wald-und-Wiesen-(bzw. Titten-und-Schwänze-)Website zur Altersverifikation ausgerechnet die PIN vom Online-Banking auszuhändigen. Darf’s vielleicht noch eine TAN-Liste sein? Sofortident nennt sich dieses Verfahren und dahinter steckt dieselbe Firma, die sich bereits die Sofortüberweisung nach ähnlichem Schema ausgedacht hat. Technisch gesehen geht die PIN nicht an die Titten-Website, sondern an Sofortident, aber der Sicherheitsgewinn dadurch ist marginal. Und wer pappt sein Siegel drauf? Einer von den TÜVs natürlich:
Formal ist das sicher alles korrekt, der TÜV hat ja nur den Datenschutz (== die Einhaltung gesetzlicher Anforderungen an die Erhebung und Verarbeitung personenbezogener Daten) geprüft und mehr wird nicht behauptet. Das macht es aber noch lange nicht zu einer guten Idee, Leuten beim Pornogucken die Banking-PIN abzuknöpfen. Selbst wenn die Sofortler ihre Technik im Griff haben und sich an ihre Zusicherungen halten, wogegen es derzeit keinerlei Anhaltspunkte gibt, bleiben zwei Probleme. Erstens vermischt das Verfahren, ähnlich wie Giropay, Kontexte, die man besser getrennt hält. Online-Banking und Altersverifikation haben nichts miteinander zu tun und das Online-Banking ist hinreichend sensibel, um dabei zu bleiben.
Zweitens gewöhnt es den eifrigen Nutzer daran, seine Banking-PIN bei allen möglichen Gelegenheiten zu allen möglichen Zwecken einzusetzen. Das kann auch dann zum Problem werden, wenn aus ganz anderen Gründen ein Schaden eintritt, etwa wenn sich der Sofort*-Nutzer eine Schadsoftware einfängt und daraufhin Geld von seinem Konto verschwindet. Wenn die Bank dann erfährt, was ihr Kunde mit seiner PIN so alles getan hat, dürfte ihr Kulanz schwer fallen. Ein TÜV-Siegel macht dann auch keinen Eindruck.
Der Schaden durch einen Angriff und der Gewinn des Angreifers sind weitgehend unabhängig voneinander. Dass ein Datensatz 57 Cent kostet, sagt deshalb wenig über den Schaden aus, den eine Datenpanne verursacht. Der ist vielleicht viel größer:
»Die durchschnittlichen Kosten einer Datenpanne lagen demnach in Deutschland 2008 bei etwa 112 € pro einzelnem Datensatz. Die Gesamtkosten einer Datenpanne beliefen sich bei den von Ponemon untersuchten Firmen stets im 6-7stelligen Bereich pro Ereignis.«
(Blog zur IT-Sicherheit:
Gibt es eine Rendite der IT-Sicherheit?)
Was heißt das nun? Steht dem Angreifer ein Hebel zur Verfügung, wenn er es vor allem auf den Schaden und nicht auf seinen Nutzen abgesehen hat? Oder dient dieser Hebel vor allem dem Verteidiger, der nur den geringen Gewinn des Angreifers unattraktiv machen muss, um einen viel höheren Schaden zu verhindern?
»Alleine in Hessen werden jedes Jahr zwischen zwei und drei Gerichtsvollzieher bei Zwangsräumungen erschossen.«
(Frankfurter Rundschau: Die Flinte vorm Gesicht: Aus dem Leben eines Gerichtsvollziehers)
(vgl. auch: Yes)
Juristen erklären das Internet.
(Wenn Nerds sich das Recht erklären, ist die Bullshitquote übrigens nicht nennenswert kleiner, weshalb auf Freedom to Tinker neuerdings ein Jurist das Recht erklärt.)
»If Al Quaeda managed to shut World of Warcraft down, productivity would skyrocket.«
Marcus Ranum explains the differences between crime, terrorism and war and why he thinks the idea of cyberwar is stupid.
(via)
Ein Nachtrag zu meinem Passwort-Post neulich:
Im aktuellen Risks Digest 25:60 findet sich ein Hinweis auf ein Paper mit dem Titel Do Strong Web Passwords Accomplish Anything? das ähnlich argumentiert und außerdem die unterschiedlichen Perspektiven einzelner Nutzer und einer ganzen Organisation betrachtet. Die Autoren weisen am Ende aber auch darauf hin, dass ihr Paper nicht dazu gedacht ist, Verhaltensregeln für Benutzer abzuleiten.
Wenn irgendwo ein Koffer steht, bringen wir ihn nicht zum Fundbüro, sondern rufen die Polizei. Wer dem Klimakonsens oder unserer Vorstellung von Klimapolitik widerspricht, ist er sicher von Exxon gekauft. Wenn einer mal sein Geschlechtsteil zeigt, sperren wir ihn vielleicht für Jahrzehnte weg. Diesmal geht die Welt aber wirklich unter. Sogar die Sonne ist hinter uns her. Kinder gehören in den Reihenhausgarten, alles andere ist zu gefährlich. Wenn ein Abgeordneter mit Kinderpornos erwischt wird, handelt es sich wahrscheinlich um ein Komplott (Update: die Wahrheit). Äußern sich Ärzte zum Impfen, steckt garantiert eine fiese Anthroposophenverschwörung dahinter.
Sind wir noch ganz dicht?
Nach dem Urteil des Bundesverfassungsgerichts zum Einsatz von Wahlcomputern tauchte ein altes Argument wieder auf: Wahlen mit Stift und Papier ließen sich doch auch fälschen. Der Blogger Zettel, der das Urteil für weltfremd hält, formuliert es so (via):
»Kein Bürger kann den Wahlvorgang „zuverlässig nachvollziehen“, wenn mit Bleistift oder Kugelschreiber Formulare markiert werden. Er müßte dann kontrollieren können, daß die Urne bei Öffnung des Wahllokals leer war; er müßte nicht nur der Auszählung mit Argusaugen folgen können, sondern auch bei der telefonischen Übermittlung der Wahlergebnisse zugleich im Wahllokal und in der Zentrale sitzen, in der die Ergebnisse gesammelt werden.«
Außerdem meint er, in einer funktionierenden Demokratie kämen groß angelegte Wahlfälschungen ohnehin nicht vor oder wir verhielten uns zumindest so und vertrauten dem Staat, statt die Wahlen gründlich zu prüfen. Kontrollierbarkeit von Wahlen weiterlesen
Heise zitiert Hartmut Isselhorst, Leiter der BSI-Abteilung „Sicherheit in Anwendungen, kritischen Infrastrukturen und in Netzen“, zur Veröffentlichung des BSI-Lageberichts zur IT-Sicherheit:
»In der IT seien in Analogie zur Straßenverkehrsordnung nicht nur Sicherheitsgurte, sondern auch eine regelmäßige technische Überwachung nötig. Wer dazu selbst nicht in der Lage sei, könne zum Beispiel einen Sohn damit beauftragen.«
(Heise:
BSI-Lagebericht: IT braucht Sicherheitsgurte und TÜV)
Und jetzt überlegen wir alle zusammen, an welcher Stelle die Analogie zusammenbricht. Tipp: es sind zwei Sätze und wenn ich Mutti eine Plakette aufs Nummernschild ihrer roten Rennsemmel klebe, gültet das nicht.
(Nach einer Idee von J. Random Spammer.)
Es gibt noch einige andere Funktionen, die sich ähnlich verwenden lassen. Klicks auf einzelne Treffer im Suchergebnis gehen auch über einen Google-Redirect, von dem man normalerweise nichts merkt.
PS: Funktioniert heute so nicht mehr.
Einige sind der Ansicht, ein Styroporhäubchen sei in erster Linie ein Modeartikel. Dagegen spricht, dass zumindest Radfahrer mit Helm selten besser aussehen als ohne. Aber wozu passt er dann? Guckst Du hier.
Nach einer Schießerei im vergangenen Sommer hatte der Rüsselsheimer Oberbürgermeister angekündigt, man wolle das beeinträchtigte Sicherheitsempfinden der Bürger reparieren. Wie? So:
»Mit der dreiteiligen Vortragsreihe „Rüsselsheim? Aber sicher!“ möchte die Stadt das Sicherheitsgefühl der Bürger stärken. (…)«
Beruhigender für die Bürger dürfte die Mordanklage gegen drei mutmaßlich Beteiligte sein.
Echo Online berichtet aus Mörfelden-Walldorf:
»Schwere, aber nicht lebensbedrohende Schädelverletzungen hat sich ein 77 Jahre alter Autofahrer am Montag gegen 16.55 Uhr bei einem Verkehrsunfall in der Oderstraße zugezogen. Wie die Polizei erst jetzt mitteilt, hatte der Mann nach dem Parken bemerkt, dass der Schlüssel seines Wagens noch steckte. Als er diesen von der Beifahrerseite aus abziehen wollte, drehte er ihn in die falsche Richtung und betätigte den Anlasser …«
Beim Parken vom eigenen Auto überrollt zu werden ist schon eine Leistung.
Vor einem knappen Jahr wunderte ich mich über fälschungssichere Stifte, die man mir unaufgefordert zugesandt hatte und die seitdem auf meinem Schreibtisch verstauben. Über so etwas wundert sich Bruce Schneier auch. Eine bessere Gesellschaft kann ich mir kaum wünschen.
Für 57 Cent bekommt man einen Datensatz, zwei Dollar kostet ein Zombie im Netz. Davon braucht man 40 bis 60 für einen kleinen Denial-of-Service-Angriff.
Sicher ist sicher? 