Kein vertretbares Risiko ohne Grenzwert, denn selbst Kirchenglocken dürfen nicht so läuten, wie sie möchten. Aber was taugen die magischen Zahlen wirklich, schließlich wimmelt es ja derzeit nur so von Mykrogrammgefahren? Schafften es Zeitschriften wie Ökotest früher nur alle Jubeljahre mal mit Fundstücken aus der Nahrungskette in die Agenturmeldungen, treiben die Jungs von Foodwatch heute jede Woche ein neues Schwellenschwein durch die Gazetten und veranstalten auch gerne mal ganze Kampagnen, die nur der Schaffung eines neuen Grenzwertes dienen. Wer sich klar macht, wie Grenzwerte für Nahrungsmittel entstehen, wird jedoch schnell einsehen, dass die vermeintlich verlässlichen Zahlen nur äußerst begrenzte Aussagekraft haben. Read the rest of this entry »
Wenn man ein Auto fährt, das auf der Autobahn irgendwo jenseits der Richtgeschwindigkeit automatisch das Licht anschaltet, was möchte man da in der Betriebsanleitung nicht missen? Genau, Sicherheitshinweise. Sie sollten aber doch bitte beim Thema und den Fakten bleiben. VW zeigt, wie man es nicht macht: Read the rest of this entry »
Oliver [für die Leser: das ist mein stiller Co-Blogger], jetzt musst Du mal was schreiben. Ich bin nämlich verhindert, und das für länger.
Das Buch zum Foto gibt es übrigens hier und für die erste Urlaubswoche ist es genau die richtige Lektüre. In der letzten würde ich es lieber nicht lesen, das untergräbt die Arbeitsmoral nach der Rückkehr.
»Mit einem Maßkrug hat ein 67 Jahre alter Rentner im Münchner Hofbräuhaus einen italienischen Touristen schwer am Kopf verletzt. (…) Er packte den Italiener an der Jacke und
schlug ihm einen Maßkrug auf den Kopf. Der Tourist wurde mit schweren Kopfverletzungen in ein Krankenhaus gebracht und dort notoperiert. (…)«
»Mitten in der Nacht brach sie einfach weg, die Giebelwand eines Hauses in Fulda. Der einzige Bewohner blieb zwar unverletzt, aber der Vorfall kann wohl als “Totalschaden” bezeichnet werden.
(…)
Der Hausbesitzer soll seit Monaten mit der Sanierung des Gebäudes beschäftigt gewesen sein.«
Hätte er über seine Arbeit gebloggt, wie es andere Selbstsanierer tun, hätte man ihm ja vielleicht in den Kommentaren einen Hinweis hinterlassen können. Andererseits, Haus und Leben gleichzeitig zu riskieren, hat schon was. No guts, no glory; in die Schlagzeilen hat er es jedenfalls geschafft.
What is the purpose of antivirus companies? They produce tools to detect and remove malicious software on a large number of computers. Their basic process is pretty simple. They collect samples of new malicious software from various sources, including the general public. You, too can send a piece of software to antivirus companies if you suspect it might be malicious. Each sample will be analyzed by the antivirus company. If it really is malicious, a signature will be produced and disseminated to all users of the company’s products through an automated mechanism. After receiving the new signature, antivirus software is capable of detecting the new malicious software and often also stopping it from working in one way or the other.
»Mit seinen Blähungen hat ein 25 Jahre alter Obdachloser im Frankfurter Hauptbahnhof einen Bahn-Reisenden derart provoziert, dass es zu einem handfesten Streit mit Körperverletzung kam. (…)«
Oh, die wissenschaftliche Helmdiskussion geht ja weiter. Schade, dass ich nicht zugegriffen habe, als es im Supermarkt Helme für’n Zehner gab, jetzt habe ich nichts, was ich wissenschaftlich in Styroporbröckchen zerlegen kann.
Gut, dass ich dort gesperrt bin, sonst käme ich glatt noch in die Versuchung, deutlich auf die Strohmannargumente hinzuweisen. Glaubt die Frau wirklich, dass wir über die hingehaltenen Stöckchen springen und uns an absurden Verschwörungstheorien abarbeiten?
Update: Im Po8tischen Blog gibt es noch einen Kommentar zur Debatte: Neulich bei Lord Helmchen…, sowie eine Umfrage nach Kopfverletzungen beim Radfahren.
Wenn Sie nach einer Flugreise aus einem Drittland nach Deutschland zurückkehren, haben Sie die Wahl zwischen zwei Ausgängen: Den grünen Ausgang benutzen Sie dann, wenn Sie Waren für den persönlichen Bedarf innerhalb der Reisefreimengen mitbringen; den roten, wenn Sie darüber hinausgehende Waren anzumelden haben. Mit Ihrer Wahl geben Sie eine Steueranmeldung ab. Wenn Sie den grünen Ausgang benutzen, können Sie in der Regel ungehindert passieren. Allerdings wird auch dort das Gepäck stichprobenweise geprüft. Sollten abgabenpflichtige Waren gefunden werden, behandelt der Zoll diese als geschmuggelte Ware (Steuerhinterziehung).
Looks like they really care about their wireless security at the Radisson SAS in Lillehammer. This D-Link something box is secured by not just one but two surveillance cameras, so you can feel really safe and secure while using the network. And no, I did not scan the network for Webcams, although I should have. Shame on me!
Bei manchen Journalisten setzt anscheinend der Verstand aus, sobald sie eine Story wittern. PR-Profis nutzen diese Schwäche gnadenlos aus. Das sieht dann zum Beispiel so aus:
»Berlin, 10. April 2008. Die ARD-Zeitgeistsendung „Polylux“ ist einer Fälschung des „Kommando Tito von Hardenberg“ aus dem Umfeld der Hedonistischen Internationalen aufgesessen. Das Magazin strahlte heute einen Beitrag über die „Alltagsdroge Speed“ aus. Der dort gezeigte Speed-User „Tim“ ist eine Erfindung des Kommandos. Er mag in Wirklichkeit gar kein Speed und macht auch keine „Speed-Diät“. (…)«
The Sectest08 workshop, which I attended today, was of typical workshop size, so my plan to use the flipchart rather than PowerPoint did work out well.
The Keynote speaker, David Litchfield, gave a pretty good introduction into the kind of security testing that he is doing—bug-hunting of various kinds. He included a live presentation of format string vulnerabilities, presented the notion of surety for what might be missed by the too formal approaches to security and described security testing as exploring interesting avenues and evaluating implications. His talk pretty much covered the issues and topics of my own world of security testing. He embraced the idea that (this type of) security testing might be an art, claiming that the bug-hunting type of security testers were often also into artistic activities such as painting or photography and that teams of testers would work best if they included scientific and artistic types of persons. Read the rest of this entry »
»Der 66 Jahre alte Mann, der an Heiligabend in Heppenheim (Kreis Bergstraße) während eines Polizeieinsatzes getötet wurde, musste offenbar deshalb sterben, weil ein Elektroschockgerät versagt hat. In dem sogenannten Taser waren nach den Erkenntnissen eines Gutachters falsche Batterien eingebaut. Außerdem wurden die dünnen Stromkabel offenbar mit einer Kartusche verschossen, deren Haltbarkeitsdatum um 17 Monate überschritten war. (…)«
Wie das geht? Das erfahren wir im ausführlicheren Bericht beim Hessischen Rundfunk: Weil der Taser nicht funktionierte, griffen die Polizisten zur guten alten Pistole. Gegen 12 Kugeln aus dem Bleibeschleuniger hatte der Mann keine Chance.
Das Heise-Blog aka Telepolis erzählt aus der NYT nach:
»Die neuen Aufmerksamkeitstools von Web 2.0 haben nach einem Artikel der New York Times ihre Kehrseite. So sollen Blogger lange und bis zur Erschöpfung arbeiten, wenn sie Geld oder Aufmerksamkeit als Karrieresprung anvisieren. Da sie mitunter, bezahlt nach Postings wie am Fließband, rund um die Uhr arbeiten müssen, würden auch schon die ersten Todesopfer zu beklagen sein. (…)«
Das Original ist erwartungsgemäß besser geschrieben:
»They work long hours, often to exhaustion. Many are paid by the piece — not garments, but blog posts. This is the digital-era sweatshop. You may know it by a different name: home. (…)«
Ich bin dann mal weg, ihr könnt unterdessen Einleitungen üben.
Der Paranoiker in mir fragt sich bei Werbegeschenken zuerst, was das Ding wohl wirklich tut, während es auf dem Schreibtisch herumliegt oder -steht. Gleich danach kommt die Neugier. Taugt es was und was kann ich damit anstellen?
Heute gab’s eine Ladung Stifte, die der Hersteller als außerordentlich fälschungssicher anpreist. Ein Fall fürs Testlabor? Ist zwar keine IT und damit außerhalb unserer <BWL>Kernkompetenz</BWL>, aber die grundlegende Fragen sind dieselben:
Welche Sicherheitsanforderungen muss ein Schreibgerät unter welchen Randbedingungen erfüllen, damit es als fälschungssicher gelten darf?
Welche Sicherheitseigenschaften muss er dazu haben?
Welche Eigenschaften darf er nicht haben?
Welche Anforderungen an ein Gesamtsystem kann der Stift schon prinzipbedingt überhaupt nicht selbst abdecken?
Wie hängt die Sicherheit von der Einsatzumgebung ab?
Je länger ich darüber nachdenke, desto absurder erscheint mir die Idee eines fälschungssicheren Stiftes, aber erst mal sind meine Leser dran. Was heißt Fälschungssicherheit und was muss ein fälschungssicherer Stift können?
Als ich Auszüge aus dem Urteil 23 U 38/05 des Oberlandesgerichtes Frankfurt ins Blog stellte, hielt ich mich zunächst mit Kommentaren zurück. Jetzt diskutiert ein Telepolis-Artikel das Urteil im Zusammenhang mit der Kameraüberwachung in Supermärkten und der Möglichkeit, damit Kunden bei der PIN-Eingabe zu beobachten.
Der Artikel endet mit der anscheinend unvermeidlichen Forderung nach besserer Sicherheitstechnik. So einfach ist das aber nicht. Das Grundproblem des EC-Karten-Urteils ist ja gerade die Überschätzung der Sicherheitstechnik. Grob gesagt ist das Gericht der Ansicht, alle möglichen und aus Sicht des Sicherheitsingenieurs erforderlichen Betrachtungen nicht anstellen zu müssen, sondern System und Verfahren dem Anschein nach für sicher halten zu dürfen. Bessere oder auch nur für besser gehaltene Sicherheitstechnik kann die Richter in dieser Sicht nur bestärken. Einwände hätten dann noch weniger Chancen auf Gehör und ernsthafte Berücksichtigung.
Das könnte man hinnehmen, gäbe es eine mehr oder weniger perfekte Technik, die alle Probleme angemessen löst. So eine Sicherheitstechnik ist jedoch nicht in Sicht. Einige Anregungen, was sich mit Karten und Terminals noch alles anstellen lässt, gibt die Truppe um Ross Anderson in ihrem Blog:
Wenn man solche Gedanken zu Ende spinnt, kommt man zu dem Schluss, dass vorerst in jedem System mit Schwachstellen zu rechnen ist, gerade an der Schnittstelle zum Benutzer. Was wir wirklich brauchen, ist deshalb nicht bessere Sicherheitstechnik, sondern klügere Gerichte. Sie müssen klären, welche Einwände gegen die Sicherheitsvermutung gerechtfertigt sind und welche nicht, und das geht nur auf der Grundlage einer detaillierten technischen Betrachtung des Gesamtsystems. Die ist mühsam und aufwändig, aber notwendig. Nach Augenschein kann man Sicherheit nicht sinnvoll beurteilen.
Derzeit hat man als Geschädigter die besten Karten, wenn ein Verfahren Sicherheitsmängel hat, die auch ein Richter versteht, und wenn man außerdem erklären kann, was diese Sicherheitsmängel mit dem konkreten Fall zu tun haben oder zu tun haben könnten. Solche Fälle landen allerdings oft gar nicht erst vor Gericht, weil die Banken so böse dann doch nicht sind. Das Urteil des Oberlandesgerichts macht uns also letztlich nicht schlauer, sondern folgt implizit einer perversen Logikeinem Zirkelschluss: wäre eine echte Schwachstelle ausgenutzt worden, wäre der Fall gar nicht vor Gericht gelandet, deshalb wird die Klage abgewiesen. Das kann vollkommen richtig sein, aber die Begründung ist falsch.
»A highly visible lane-control position,« für so etwas würde man als Radfahrer in Deutschland beinahe gelyncht. Bei uns erwartet man von Radfahrern nur eines, dass sie sich möglichst effektiv verpissen, weshalb man ihnen seit 1937 Radwege baut. Sicherheit spielt keine Rolle. Ganz anders in Amerika. Dort gibt es zwar mancherorts eine Helmpflicht, über die man geteilter Meinung sein kann, aber sonst ist das Land ein wahres Paradies für Rafahrer. Die haben dort nämlich explizit die gleichen Rechte und Pflichten wie andere Fahrzeugführer auch. Wie man unter diesen Bedingungen selbstbewusst und sicher fährt, zeigt das folgende Video, das der Bike Noob auf YouTube ausgegraben hat:
No Comments » | 
Propaganda, Risiko, Wahrnehmung | 
Permalink
Posted by Oliver Küch
