FAZ.NET präsentiert in einer Galerie von Infografiken dieses schöne Stück, das die Aufklärungsquoten verschiedener Verbrechens- und Vergehensarten zeigt und ordnet. Demnach werden Geldfälscher, Geiselnehmer und Autohehler fast immer gefasst, Autoknacker sowie Auto- und Taschendiebe hingegen fast nie. Zur Berufsberatung für legalitätsflexible Arbeitssuchende fehlen jetzt noch analoge Aufstellungen der mittleren Gewinne pro Tat sowie der mittleren Strafe, falls man erwischt wird. Mit diesen Angaben könnten wir ausrechnen, welche Verbrechen sich lohnen. Falls jemand Zahlen hat oder Leute kennt, die Zahlen haben, her damit.
Schlagwort-Archive: Statistik
In einem Wort
Von wegen Frühwarnung
Waren Frühwarnsysteme nicht in den letzen Jahren ein unheimlich wichtiges Forschungsthema, das nach großzügiger Projektförderung verlangt? Genützt hat es anscheinend nicht viel. Seit gestern staunen die Leitmedien (1, 2) über die Meldung, Java habe den Flash Player als Angriffsziel überholt und einen deutlichen Vorsprung herausgefahren.
Diese Meldung ist in der Tat überraschend – wenn man in den letzten Jahren geschlafen und alle verfügbaren Daten ignoriert hat. Ich zeige Euch mal zwei Folien aus einem Vortrag, den ich vor anderthalb Jahren als Auftragsarbeit gehalten habe. Im ersten Diagramm vergleiche ich für Flash und Java die Zahl bekannter Verwundbarkeiten, d.h. die Zahl der CVE-Datensätze über beliebige Versionen des jeweiligen Produkts im Untersuchungszeitraum von Januar 2008 bis Mai 2009. Zum Vergleich gibt es in der Mitte noch einen Balken für den Internet Explorer, den Standardbrowser des Kunden:
Das zweite Diagramm beruht auf denselben Daten. Hier habe ich aber nicht nur Verwundbarkeiten gezählt, sondern jeden Eintrag nach seinem CVSS-Score gewichtet. Dieser Wert zwischen 0 und 10 gibt an, wie schwerwiegend eine Verwundbarkeit ist. Damit wird das Bild noch deutlicher. Schon damals hatte Java nicht nur mehr Probleme, sie waren im Mittel auch noch schwerwiegender:
Unser Kunde wollte damals wissen, welche Risiken er sich einhandelt, wenn er seinen Anwendern den Flash Player in die Hand gibt. Ein Blick in die Verwundbarkeitsstatistik lag nahe. Zwar steht dort nicht, wie oft Angriffe erfolgen, aber man bekommt eine Vorstellung davon, wo sie sich lohnen, also eine hohe Erfolgswahrscheinlichkeit haben. Dass sich solche Angriffe dann auch ereignen, sollte niemanden verwundern.
Dass Java weit genug verbreitet ist, um auch Streuangriffe im Netz attraktiv zu machen, ist auch keine Neuigkeit. Sogar Adobe sieht Java nach Verbreitung auf dem zweiten Platz gleich hinter dem Flash Player. Diese Zahlen haben sich seit damals nicht wesentlich verändert.
Unterschätzte Risiken: Surf-CDs
Vom BSI gibt es eine Live-CD, von der man eine Betriebssysteminstanz zum sicheren Surfen im Web starten kann. Dieses System fungiert als Sandbox: Schadsoftware, die man sich im Netz einfägt, kann mit so einer CD höchstens die momentan laufende Systemsitzung beeinflussen. Software auf der CD ist gegen Manipulation aus dem System heraus geschützt, ebenso Daten und Programme auf der Festplatte des verwendeten PC. Nach jedem Neustart kann man folglich ein sauberes System erwarten, egal, was in der letzten Sitzung passiert ist.
Das Antiterrorblog empfiehlt die CD als Mittel gegen den Bundestrojaner, der ja auch Schadsoftware sei. Das liest sich zunächst plausibel, ist aber zu kurz gedacht. Das Angreifermodell des Bundestrojaners unterscheidet sich nämlich in zwei wichtigen Punkten von jenem gewöhnlicher Schadsoftware.
Allerweltstrojaner verbreiten sich online und ungezielt. Es geht nicht um ein bestimmtes Opfer, sondern um eine hinreichende Opferzahl. Der Angriff erfolgt als Versuch auf eine a priori unbestimmte Menge von Nutzern. Er ist erfolgreich, wenn ein gewisser – meist recht kleiner – Anteil der Einzelversuche glückt.
Anders ein Bundestrojaner. Er wird gezielt gegen einzelne Personen und deren PC eingesetzt und die Installation muss nicht über das Netz erfolgen. Damit verändert sich offensichtlich das Erfolgskriterium, der Angriff muss bei der gewählten Zielperson glücken und lange genug unbemerkt bleiben. Weniger offensichtlich verändern sich auch die Handlungsmöglichkeiten des Angreifers und damit die Angriffsfläche. Was nämlich macht der Bundestrojanerinstallateur, wenn er es mit einem Live-CD-Benutzer zu tun bekommt? Unterschätzte Risiken: Surf-CDs weiterlesen
So sterben Schweizer
Risikokompass
Wovor lohnt es sich, Angst zu haben? Wo lohnt es sich, etwas zu tun und welche Nebenwirkungen möchten wir dafür in Kauf nehmen? Um ein Risiko schnell und grob zu bewerten, kann man es in eine Skala einordnen und uns dann überlegen, ob der Umgang damit ungefähr seiner Position angemessen ist. So eine Skala finden wir im Blog mobifoto.de. Sie deckt für DE den gesamten relevanten Bereich ab, von den fast 400.000 Toten durch Herz- und Kreislauferkrankungen bis zu den 0 (null) Terrorismusopfern im Jahr. Ich habe die Zahlen nicht überprüft, sie sind jedoch hinreichend galubhaft, um zumindest eine grobe Orientierung zu geben.
Atomkrebs und die Medien
Mit zunehmendem Abstand zur Studie werden die Artikel sachlicher. Die Zeit machte den Anfang, jetzt folgt die Süddeutsche. Nur die taz tut sich noch schwer mit der Erkenntnis, dass da vielleicht nichts ist, hält alle anderen für Ignoranten und legt ein Interview drauf, in dem Professor Eberhard Greiser der Leiterin der Studie allen Ernstes vorwirft, die Ergebnisse ihrer eigenen Studie zu manipulieren.
Derselbe Eberhard Greiser übrigens, der das Krebsrisiko durch Mobiltelefone für unterschätzt hält – und dort gibt es nachweislich nicht mal theoretisch einen Wirkmechanismus, der überhaupt irgend etwas auslösen könnte. Die elektromagnetischen Wellen des Telefons können es jedenfalls nicht sein, die haben Wellenlängen ungefähr zwischen einem und fünf Kopfdurchmessern und sind damit schlicht zu groß, um in einer Zelle etwas zu bewirken. Derselbe Eberhard Greiser auch der sich früher selber mit windigen, aber zielgerichteten Studien zur Sache Kritik einfing und der Fluglärm für eine Ursache von Krebs und Allergien hält. Auch von einem taz-Journalisten erwarte ich unter diesen Umständen, dass er mir den Befragten nicht als neutralen Experten vorstellt, sondern wenigstens mal einen dezenten Hinweis auf mögliche Voreingenommenheit gibt. Das Attribut atom-kritisch hätte schon genügt.
Grippe so gefährlich wie Atom, Lampenöl auch
Was das Ergebnis der KiKK-Studie bedeutet beziehungsweise eben nicht bedeutet, wissen wir schon. Zur Erinnerung: wir reden nüchtern betrachtet über 0,2 bis 0,3 Prozent der Krankheitsfälle oder mit einer sehr gewagten Interpretation von höchstens 275 Neuerkrankungen.
Zum Vergleich erinnert uns Spiegel Online daran, dass »im gleichen Zeitraum und in der gleichen Altersgruppe … 214 Kinder an Grippe und 3320 Kinder aufgrund von Verkehrsunfällen« starben. Die gewöhnliche Virusgrippe ist also in etwa so riskant wie ein Kernkraftwerk hinterm Haus. Vielleicht sogar riskanter, denn hier reden wir über Tote, während es in der Krebsstudie um Erkrankungen ging, die durchaus heilbar sind. Und wenn wir schon bei Verkehrsunfällen und toten Kindern sind, die Hälfte der im Straßenverkehr getöteten Kinder stirbt nicht als Radfahrer oder Fußgänger, sondern im Auto. Wer Angst um seine Kinder hat, fährt sie also besser nicht zur Schule.
Eine weitere Vergleichszahl liefert die taz, die der Propaganda für die Kernkraft gewiss unverdächtig ist. Seit dem Jahr 2000 haben sich bundesweit mehr als 700 Kinder mit Lampenöl vergiftet. Fünf davon sind gestorben, weitere trugen bleibende Schäden davon. Die Meldung der taz beruht auf einer Warnung des Gesundheitsministeriums von Nordrhein-Westfalen. Das kann jetzt jeder selbst auf die 24 Jahre der KiKK-Studie hochrechnen.
Update: Die Sueddeutsche hat zwar unnötig Angst vorm Netz, aber auch einen schönen Artikel übers Aufbauschen und Abwiegeln im nämlichen. Und der Tagesspiegel lässt endlich mal die Wissenschaft selbst zu Wort kommen.
Machen Atomkraftwerke Krebs?
Ein Physiker erklärt uns, was interessierte Kreise lieber verschweigen: die KiKK-Studie sagt weniger aus, als Kernkraftgegener gern hätten.
Mein Kommentar: Faszinierend, welches Geschrei eine Studie auslöst, deren Ergebnis bereits an einem einfachen Bullshit-Detektor scheitert: 0,8 Leukämiefälle pro Jahr schreibt die Studie der Nähe des Wohnortes zu Kernkraftwerken zu – bundesweit, insgesamt. Da braucht man keine Signifikanztests mehr, so ein Ergebnis sagt einfach nichts über Risiken aus, wie uns das Ärzteblatt vorrechnet. Falls Kernkraftwerke die betrachteten Krankheiten verursachen – die Studie macht keine Angaben darüber und kann es auch nicht –, reden wir über 2 bis 3 Promille der insgesamt auftretenden Fälle. Attributables Risiko nennen sie das, ein schöner Begriff.
Wer sich auf so etwas beruft, wenn er gegen die Kernkraft wettert, den muss man dringender abschalten als alle Kraftwerke zusammen. Mit einer rationalen Debatte über unsere Energieversorgung hat das reflexhafte Gebell in den Medien jedenfalls nichts zu tun. Liebe Politker, wenn Ihr mich für so dumm verkaufen wollt und Euch dabei auch noch erwischen lasst, macht Ihr Euch auf der Stelle und für alle Zeit unwählbar.
Ausführliche Flames zur Sache habe ich bereits im Forum zur Telepolis-Meldung geschrieben. Auch dort geht in einige Köpfe nicht hinein, dass eine wissenschaftliche Studie vielleicht trotzdem nichts bedeuten könnte. Merke: auch die Wissenschaft kann man zum Anker eines Glaubenssystems machen. Wissenschaftlich ist das aber nicht.
Sicher ist sicher? 