Falls mal jemand fragt, warum wir der Polizei misstrauen:
»In Mexiko werden täglich Dutzende Menschen entführt oder ermordet. Noch schwerer als das Versagen der vermeintlichen Gesetzeshüter wiegt, dass der Bürger nicht weiss, auf welcher Seite diese stehen. (…)«
Die Polizei ist eine feine Sache, aber wenn man nicht auf die Jungs aufpasst, können sie echt lästig werden.
X-hacker: If you’re reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.
— HTTP-Response-Header von erichsieht.wordpress.com
Right after TAIC-PART I attended the 3rd European Trusted Infrastructure Summer School (ETISS). A short wrap-up of ETISS 2008 has been posted by Daniel Reynaud in his blog and our workshop paper is included here, starting from page 41. So all that is left to me is posting my own photos, it seems.
I wouldn’t go so far as to say the location is the best aspect of TAIC-PART, but it clearly contributes to the overall experience. Located in the Windsor Great Park and built on ground once appropriated from the crown by Oliver Cromwell, Cumberland Lodge is full of references to British history. Today as a conference venue it provides you with a quiet place free from distractions as well as a number of topics for smalltalk unrelated to the subject of the conference.
Religion kann tödlich sein:
»Eine Zeugin Jehovas ist in einem Krankenhaus in Lich gestorben. Sie hätte dringend eine Bluttransfusion gebraucht, doch das ließ ihr Glaube nicht zu. Jetzt ermittelt die Staatsanwaltschaft. (…)«
(HR: Glaube verbietet Bluttransfusion: Musste Arzt Zeugin Jehovas sterben lassen?)
Seinem Leben ein Ende zu setzen, steht jedem zu, aber muss man anderen Leuten damit Ärger bereiten? Das ist mindestens unhöflich.
Update: Das scheint eine ganz undurchsichtige Geschichte zu sein.
Wer schon immer mal eine Stasiakte sehen wollte: Blogger Zettmann veröffentlich seine. Nach der Seitenzahl zu urteilen, müssen die ganz schön Angst vor ihm gehabt haben.
Die Open-Source-Szene hat uns Softwarepaketmanager und -sammlungenn beschert: Ports, pkgsrc, APT, dpkg, RPM, Fink, MacPorts und so weiter. Wozu braucht man so etwas? Aus Nutzersicht ist das Problem einfach:
»Here’s the scenario: In order to accomplish some given task, Jane User wants to use a program, which is not yet installed. The sole point of a package system is to get Jane to her goal (running and using said program) as fast and efficient as possible.«
(Michael Weber, MacPorts are Fatally Flawed)
Das Problem bleibt einfach, wenn man es in der Praxis betrachtet. Eine Softwareinstallation unter Mac OS sieht ideal so aus:
Deinstallieren ist auch nicht schwerer, man wirft seine Anwendung einfach in den Papierkorb. In komplizierteren Fällen kommt noch ein Installer hinzu, der dem Benutzer jedoch selten mehr abnötigt als die Zustimmung zur Lizenz und ein paar zusätzliche Mausklicks. Softwareinstallation kann für den Benutzer äußerst einfach und entspannt sein.
Nicht so mit den szenetypischen Paketmanagern. Die lösen nicht das oben genannte Problem, sondern ein anderes, künstliches. Eine wichtige Rolle dabei spielen Abhängigkeiten zwischen Paketen. Wobei Pakete nicht das sind, was man sich landläufig unter einem Softwarepaket vorstellt, sondern ganz kleine Häppchen, von denen man sehr viele braucht, um ein nützliches Stück Software zusammenzubauen. Jedes Softwarepaket wird also in solche Häppchen aufgeteilt. Dabei sucht man nach Häppchen, die in mehreren Softwarepaketen gleichzeitig vorkommen und versucht, sie nur einmal zu installieren. Diese Optimierung ist zwar im Zeitalter der 160-GB-iPods völlig sinnlos, aber sie macht aus der einfachen Softwareinstallation von oben ein kompliziertes, anspruchsvolles Problem. So anspruchsvoll, dass keine der existierenden Paketsammlungen es auch nur annähernd befriedigend löst.
Ich will das nicht haben. Ich will Icons in den Ordner Applications schieben.
Ungeheuerliches aus Tokio
… kommt so etwas heraus:
»Oberbürgermeister Stefan Gieltowski (SPD) ärgert das gewaltig. Er spricht lieber von einem „beeinträchtigten Sicherheitsempfinden“ der Bürger. Gieltowski lässt deshalb prüfen, ob Hilfspolizisten, die normalerweise Strafzettel verteilen, künftig verstärkt Streife gehen können. Außerdem schlug er vor, einzelne Plätze in der Innenstadt wie zum Beispiel am Bahnhof mit Videokameras zu überwachen.«
(HR: Nach Rüsselsheimer Blutbad: Videokameras gegen die Angst, Hervorhebung von mir)
Uns mehr Sicherheit zu verkaufen, versucht er also gar nicht, uns soll ein besseres Sicherheitsempfinden genügen. Mehr können Hilfspolizisten und Videokameras auch kaum erreichen, zumal der Anlass dieser Bemühungen eine Schießerei in einem Eiscafé in der Rüsselsheimer Innenstadt ist. Nehmen wir an, der Plan ginge auf, was hätten die Bürger davon? Na? Genau, sie würden sich bis zur nächsten Schießerei sicherer fühlen.
Roland Berger hat heute eine Studie vorgestellt, die eindeutig nachweist: „20 Prozent aller IT-Projekte werden abgebrochen; jedes zweite dauert länger oder wird teurer als geplant – Imageschäden werden häufig unterschätzt – Mangelndes Risikomanagement ist eine der Hauptursachen für das Scheitern – die Wahrscheinlichkeit des Scheiterns steigt mit Dauer und Komplexität von Projekten.“ Unterschwellig möchte die Mitteilung natürlich glauben machen, dass IT-Projekte unberechenbarer sind als andere und leichter scheitern. Den Gegenbeweis liefert jedoch immer wieder Roland Berger selbst, der auch analoge Großprojekte grandios vor die Wand fahren kann. So geschehen zum Beispiel bei der Effizienzsteigerung in der Bundeswehr, für die Berger seinerzeit satt abkassiert hat. Dass laut Studie „IT-Großprojekte überdurchschnittlich häufig vorzeitig abgebrochen“ werden, ist deshalb vielleicht gar nicht so schlecht – vielleicht spart das dem Auftraggeber Geld.
Nachtrag: Ach ja – „Die Studie basiert auf der jahrelangen Erfahrung der Autoren bei der Steuerung, Restrukturierung und Sanierung großer Projekte.“
Dass ich Cargo-Kult-Wissenschaft für blöd halte, habe ich schonmal geschrieben. Wenn man blind Ritualen folgt, arbeitet man gerade nicht wissenschaftlich, und den Plinsen, die über die Zulässigkeit von Enzyklopädie-Zitaten debattieren, fehlt es offensichtlich an bedeutenderen und interessanteren Fragen. Tatsächlich ist völlig schnuppe, was man zitiert, denn zu den grundlegenden Werkzeugen eines Wissenschaftlers gehört die Quellen- und Methodenkritik. Nichts, gar nichts darf man blind zitieren oder anwenden. Wenn man aber erst beginnt, über Quellen und Methoden nachzudenken, dann ist fast alles erlaubt. Man muss sich nur eben Klarheit verschaffen über die Aussagekraft und wird, wenn man dies ehrlich tut, häufig Enttäuschungen erleben, bei Wikipedia-Artikeln wie bei kollegenbegutachteten Publikationen gleichermaßen.
Cargo-Kult funktioniert auf jedem Gebiet, das sich einen weithin akzeptierten Satz an Methoden geschaffen hat. Wer sich dieser Methoden bedient, ist im Hinblick auf Veröffentlichungen und die Meinung der Kollegen erst mal auf der sicheren Seite. Dennoch kann Unsinn herauskommen, den man nur mit gründlicher Methodenkritik erkennt. Das demonstriert ein Artikel von G.C.S. Smith und J.P. Pell, der 2003 in der medizinischen Fachzeitschrift BMJ erschien. Die Autoren folgen streng den Regeln der evidenzbasierten Medizin und suchen in einer Metastudie nach randomisierten, kontrollierten Studien, die sie nicht finden. Wofür? Für die Wirkung von Fallschirmen. Mit trockenem Humor stellen sie fest, dass die Wirksamkeit von Fallschirmen nach dem strengen angelegten Maßstab nicht nachgewiesen sei.
Gefunden habe ich die Geschichte bei Overcoming Bias, wo ein Leser ergänzt: »Even worse, parachutes encourage dangerous behavior (jumping out of airplanes). They should be banned immediately.« Fürwahr ein lehrreiches Beispiel.
Mit Wahlcomputern haben wir uns hier bereits beschäftigt, zuletzt aus Anlass der Hessenwahl im Januar. In einigen Wahlkreisen hatten Computer den Stimmzettel ersetzt, was zu einer ungewöhnlich intensiven Beobachtung der Wahl unter anderem durch den Chaos Computer Club führte. Erwartungsgemäß hatten die Beobachter einige Ungereimtheiten bemerkt. In der Folge kam es zu Wahleinsprüchen. Die hat das Wahlprüfungsgericht nach einem Bericht des Hessischen Rundfunks nun abgewiesen:
»(…) Weitere Beschwerden betrafen Stimmabgaben von Türken, die ihre deutsche Staatsbürgerschaft verloren hatten oder den Einsatz von Wahlcomputern. Für letzteren gebe es eine rechtliche Grundlage, urteilten die Richter. Als Wahlfehler wertete das Gericht die Übergabe von Computern vor Ende der Wahl und die Aussperrung von Wahlbeobachtern für einige Minuten. Beides habe sich aber nicht auf die Sitzverteilung im Wiesbadener Landtag ausgewirkt.«
Mit elektronischen Wahlen und Wahlcomputern wird sich übrigens auch der übernächste CAST-Workshop am 17. Oktober 2008 befassen. Das Programm steht auch schon fest, Kritiker sind anscheinend nicht geladen.
Update: Heise hat das schon vor einem halben Tag gemeldet, das war mir entgangen.
»Das Internet verblödet nicht die Menschen, die Menschen verblöden das Internet!«
(elfboi, Telepolis-Blogforen)
If you don’t get what you want, ask for it.
Noch öfter als die Freundschaft hört beim Geld anscheinend der Verstand auf:
»Subventionen sind die beste Voraussetzung, um bei Geldanlagen und Krediten auf Abwege zu geraten. Wenn der Staat mit der Gießkanne über Land zieht und den Bürgern hier Prämien schenkt und dort Steuervorteile gewährt, überlegen die meisten Menschen nicht mehr lange und greifen beherzt zu. (…) Wenn zwischen Kiel und Konstanz irgendwelche Nachlässe oder Zuschüsse winken, bleibt der gesunde Menschenverstand in aller Regel auf der Strecke, und die Verkäufer haben leichtes Spiel, ihre Waren an die Frau oder den Mann zu bringen.«
Das schreibt die FAZ als Einleitung, um danach genüsslich herzuziehen über ein Anlagemodell, das Immobilien, Steuern, Kredite und Aktien so lange verquirlt, bis der Anleger den Überblick über die Erträge und Risiken verliert. Wir merken uns als Faustregel: Steuern sparen ist zu teuer, das können wir uns nicht leisten.
Unter der Überschrift Deutschlands größte Killer fasst Focus Online zwei Meldungen des Statistischen Bundesamtes zusammen. Die eine beschäftigt sich mit der weiter steigenden Lebenserwartung, die andere mit den häufigsten Todesursachen. Interessant: nur 3,7% der Todesfälle sind auf nichtnatürliche Ursachen zurückzuführen, wovon fast ein Drittel Selbstmorde sind. Und als Input für allfällige Helmdiskussionen, aufgrund von Stürzen kommen mehr Menschen, nein, mehr Frauen ums Leben als durch Transportmittelunfälle.
Nach Unglücken fragt der Laie gerne nach der Ursache. Oft gibt es aber gar keine einzelne Ursache:
»Auch der Luftfahrtexperte Heinrich Großbongardt ging von einer Kette von Ursachen aus. Im Bayerischen Rundfunk sagte er, beim Unfall eines Verkehrsflugzeugs kämen „im Schnitt sechs bis sieben Ursachen“ zusammen. „Das ist eine Kette von Ereignissen, menschliche oder technische Fehler, wo bei jedem einzelnen es möglich gewesen wäre, diese Kette zu unterbrechen“, sagte Großbongardt.«
(Spiegel Online: Unglücksflug von Madrid: Triebwerk-Trümmer sollen Heckflosse beschädigt haben)
Theoretisch bedeutet das, dass sich das Unglück sogar redundant verhindern ließe, indem man mehrere Einzelfehler verhindert. In der Praxis ist das nicht so einfach, denn jedes Element einer solchen Ereigniskette ist in das Gesamtsystem eingebettet und damit einer Reihe von Zwängen unterworfen. Und ein klarer Fehler wäre es, die Sicherheit auf einzelne, spezifische Ereignisketten hin zu optimieren, dabei aber andere Szenarien zu ignorieren. Man kann also nicht einfach alles tun, damit sich so ein Unfall nicht wiederholt, denn damit würde man vielleicht die exakte Wiederholung ausschließen, aber vielleicht auch allerlei andere Verläufe fördern.
Das Darmstädter Echo meldet:
»Beim Brand eines Feuerwehrwagens in einem Gerätehaus im Büttelborner Stadtteil Worfelden ist ein Schaden von rund einer Million Euro entstanden. Wie die Polizei in Darmstadt heute berichtete, wurden bei dem Feuer gestern neben dem Wagen auch das Gebäude sowie Ausrüstungsgegenstände beschädigt. (…)«
Da war der Brand ja gleich in guten Händen. Ruft die Feuerwehr in solchen Fällen eigentlich die Feuerwehr?
Just a quick quote & link:
»Finally, some of the OMG’s early object services specifications, such as the life cycle, query, concurrency control, relationship, and collection services, were not only complex, but also performed no useful function whatsoever.«
(Michi Henning: The Rise and Fall of CORBA)
This quote is from a really good article, which analyzes how and why CORBA failed. I’m glad I never wasted any time on CORBA.
Vom BSI gibt es eine Live-CD, von der man eine Betriebssysteminstanz zum sicheren Surfen im Web starten kann. Dieses System fungiert als Sandbox: Schadsoftware, die man sich im Netz einfägt, kann mit so einer CD höchstens die momentan laufende Systemsitzung beeinflussen. Software auf der CD ist gegen Manipulation aus dem System heraus geschützt, ebenso Daten und Programme auf der Festplatte des verwendeten PC. Nach jedem Neustart kann man folglich ein sauberes System erwarten, egal, was in der letzten Sitzung passiert ist.
Das Antiterrorblog empfiehlt die CD als Mittel gegen den Bundestrojaner, der ja auch Schadsoftware sei. Das liest sich zunächst plausibel, ist aber zu kurz gedacht. Das Angreifermodell des Bundestrojaners unterscheidet sich nämlich in zwei wichtigen Punkten von jenem gewöhnlicher Schadsoftware.
Allerweltstrojaner verbreiten sich online und ungezielt. Es geht nicht um ein bestimmtes Opfer, sondern um eine hinreichende Opferzahl. Der Angriff erfolgt als Versuch auf eine a priori unbestimmte Menge von Nutzern. Er ist erfolgreich, wenn ein gewisser – meist recht kleiner – Anteil der Einzelversuche glückt.
Anders ein Bundestrojaner. Er wird gezielt gegen einzelne Personen und deren PC eingesetzt und die Installation muss nicht über das Netz erfolgen. Damit verändert sich offensichtlich das Erfolgskriterium, der Angriff muss bei der gewählten Zielperson glücken und lange genug unbemerkt bleiben. Weniger offensichtlich verändern sich auch die Handlungsmöglichkeiten des Angreifers und damit die Angriffsfläche. Was nämlich macht der Bundestrojanerinstallateur, wenn er es mit einem Live-CD-Benutzer zu tun bekommt? Unterschätzte Risiken: Surf-CDs weiterlesen
Letzte Woche hat mich ein Kollege auf einen hübschen Dienst aufmerksam gemacht. Wer ein Captcha gelöst haben möchte, der kann das ganze an www.captchakiller.com schicken, die machen aus kleinen JPEGs hübsche kleine ASCII-Zeichenfolgen. Wer jetzt denkt, das Ding sei ein böser Helfer der Spammer, die ihre Robots damit durch die Captcha-Kontrolle bringen wollen, um Webseitenbetreiber in diversen Formen zu belästigen, der irrt. Auf der Seite steht’s, die machen das nur wegen den Blinden, die den Captchas ansonsten völlig hilflos gegenüberstehen – also ganz im Zeichen der Barrierefreiheit. Quote: „CAPTCHA Killer is 100% focused on increasing accessibility on the Internet.“ Deshalb haben die Gutmenschen wahrscheinlich auch das Mädchen engagiert, das im häßlichen T-Shirt, aber ohne Höschen die Seite ziert. Auf der Seite tut sich aber seit vergangenem Sommer nicht mehr viel. Der werte Leser möge selbst entscheiden, ob die Blinden doch andere Mittel und Wege gefunden haben, um Captchas zu lösen, oder ab die Macher an einer besonderen Art der Wahrnehmungsstörung leiden.
Sicher ist sicher? 