Quiz

Die Götter der Cybersicherheit zeigen sich zorning. Was tun Sie, um die Götter zu besänftigen?

  1. Ich opfere zwei Accounts und eine App.
  2. Ich twittere meine Sünden und bete ein Internet-Mem.
  3. Ich vollführe wie jede Woche das Passwortritual, natürlich mit Ziffern und Sonderzeichen.

Unter allen Teilnehmern verlose ich Sicherheitshinweise, Expertentipps und Zufallszahlen.

2. CAST-Seminar »Sichere Software entwickeln« am 15. Mai 2014

Unser CAST-Seminar »Sichere Software entwickeln – Erfahrungen, Methoden, Werkzeuge« geht in die zweite Runde. Am 15. Mai 2014 laden wir zum Erfahrungsaustausch ins Darmstadtium ein. Vorträge von Praktikern und aus der angewandten Forschung beleuchten das Thema von allen Seiten. Unsere Themen in diesem Jahr:

  • Organisation der sicheren Softwareentwicklung in Großunternehmen
  • Security in schlanken und agilen Processen
  • Denial-of-Service-Schwachstellen in Anwendungen
  • Sicherheitsaspekte der Schnittstellenentwicklung
  • Bedrohungsmodellierung und Sicherheitsanforderungen in der Praxis
  • Skalierung von Methoden am Beispiel der Risikoanalyse

Anmeldung und Programm unter http://www.cast-forum.de/workshops/infos/190.

Denkverbote für Star-Trek-Computer?

Zwei Jahre nach Datenkrake Google ist aus den damals noch unscharfen Gedanken mit Unterstützung meiner Kolleginnen Annika Selzer, Andreas Poller und Mark Bedner ein Artikel geworden: Denkverbote für Star-Trek-Computer?, Datenschutz und Datensicherheit – DuD 38(1), Januar 2014, DOI: 10.1007/s11623-014-0008-x. Abgeschlossen ist das Thema damit nicht, die Diskussion geht gerade erst richtig los.

Vor 30 Jahren definierte das Bundesverfassungsgericht im Volkszählungsurteil das Recht auf informationelle Selbstbestimmung und erklärte es zu einer Voraussetzung für Freiheit und Gemeinwohl. Die elektronische Datenverarbeitung (EDV), so nannte man die Informationstechnik damals, steckte noch tief im Manufakturzeitalter. Datenbanken ersetzten gerade die Karteischränke, das beschriebene und sortierte Papier. Wissenschaftler begannen, über künstliche Intelligenz nachzudenken, aber das war eine Zukunftsvision; der Spielfilm Computer Chess fängt die Stimmung jener Zeit ein.

Einerseits zeugt das Volkszählungsurteil von Weitsicht. Aus der Datenmanufaktur ist eine Datenindustrie geworden. Computer spielen heute nicht nur Schach auf Weltmeisterniveau, sie gewinnen auch im Fernsehquiz Jeopardy! Amazon, Netflix, Last.fm und viele andere Dienste empfehlen uns, was unserem Geschmack entspricht, und liegen damit häufig genug richtig um uns erfolgreich etwas zu verkaufen. Google ermittelt aus Suchanfragen die Ausbreitung von Grippewellen, wenn auch nicht ganz genau. Das Thema Datensammlung und Datenverarbeitung grundsätzlich anzugehen erweist sich im Nachhinein als richtig.

Continue reading

7 Tätigkeiten, die 2012 gefährlicher waren als das Radfahren

Sven Türpe:

Jetzt probieren wir mal die Reblog-Funktion von wordpress.com aus. PresseRad erinnert uns daran, dass die meisten Menschen bei etwas anderem als beim Radfahren sterben. Nahezu alle, um genau zu sein: Wenn jemand gestorben ist, kann man daraus mit hoher Sicherheit schließen, dass er auf dem Weg ins Jenseits keinen Fahrradunfall hatte. (Note to self: Gelegentlich mal nachrechnen.)

Originally posted on PresseRad:

Im Jahre 2012 starben in Deutschland laut Statistischem Bundesamt exakt 412 Radfahrer. Jeder dieser getöteten Radfahrer war sicherlich einer zu viel, hinter jedem einzelnen Fall verbirgt sich ein trauriges Schicksal.

Aber was bedeutet diese Zahl “412″ eigentlich. Sind diese 412 nun viel oder wenig, ist Radfahren nun wirklich so gefährlich, wie es oftmals dargestellt wird? Um das mal ein wenig einordnen zu können, hier ein Vergleich mit anderen “Beschäftigungen” im weitesten Sinne:

  1. 417 Menschen starben durch Ertrinken und Untergehen
  2. 426 Personen sind infolge eines Arbeits-, Spiel- bzw. Schulunfalls gestorben
  3. 526 Menschen starben durch Einatmen oder Verschlucken von Nahrungsmitteln
  4. 572 Motorradfahrer starben im Verkehr
  5. 660 Menschen starben als Fußgänger
  6. 1.073 Menschen starben bei Stürzen auf Treppen
  7. 1.384 PKW-Fahrer kamen ums Leben

Insgesamt verstarben in Deutschland genau 869.582 Personen. Der Anteil der getöteten 412 Radfahrer liegt demnach bei 0,047%.

An “Unfällen, Suiziden und vorsätzlichen Handlungen” weist das Statistische Bundesamt übrigens 32.931 Personen…

View original 89 more words

Aus der eID-Filterblase

Wie der Heise-Newsticker von der CeBIT berichtet, können Eltern die  Kindergartenplätze für ihren Nachwuchs jetzt auch mit dem neuen Personalausweis beantragen. Statt umständlich mit einem Stift Formulare auszufüllen, muss man nur noch eine App auf seinem NFC-fähigen Smartphone installieren, den Antrag ins Händi wischen und seinen Personalausweis daneben legen. Die Bewilligung wird zurück aufs Händi geschickt, das dann im Kindergarten vorzulegen ist. Wenn man Pech hat, gibt es Kindergartenplätze allerdings frühestens wieder im September und das Smartphone wird bis dahin geklaut.

Goldig ist auch die Idee der BürgerDVD aus derselben Heise-Meldung. Um meinen sicheren Identitätsnachweis im Internet nutzen zu können, beende ich gerne alle laufenden Programme, starte mein System neu und verwende ein ungewohntes Betriebssystem, das nicht mal meine Browser-Bookmarks kennt. Das kostet mich höchstens eine Viertelstunde.

Neues von den Passwort-Kollegen

Hab ja seit langem die App von den Kollegen installiert, aber anfangs lieber noch die alte Passwort-Sitter-Lösung genutzt. Seit ich aber auf dem Tablet unterwegs bin, finde ich die kleine App viel praktischer und da ich vor allem mit dem Tablet surfe, vermisse ich die PC-Variante nicht. Jetzt gibt es eine neue Version des MobileSitters, die seit kurzem für 5,49 im Google Play Store zu haben ist. Jetzt kann ich Sie auch meinem Sohn empfehlen, der seit kurzem ein Android-Tablet hat. Und wer weiß, vielleicht ziehe ich ja demnächst auch auf ein Android-Gerät um. Kurz: Kleine feine App mit dem gewissen Etwas. Gutes Produkt – kaufen!

Daten-Bank

Banken haben einen schlechten Ruf. Trotzdem lassen wir alle unser Geld dort. Meistens funktioniert das auch und wir bekommen unser Geld später zurück, in guten Zeiten sogar mit Zinsen. Unser Geld stapeln die Banken nicht einfach im Keller, sondern sie arbeiten damit und erwirtschaften Gewinne. Am Ende hat jeder einen Nutzen davon, mit Ausnahme einiger bedauerlicher Einzelfälle.

Cloud-Dienste haben einen schlechten Ruf. Trotzdem lassen wir alle unsere Daten dort. Meistens funktioniert das auch und wir bekommen unsere Daten ohne Nebenwirkungen zurück, in guten Diensten sogar mit Zusatznutzen. Unsere Daten lagern die Cloud-Dienste nicht einfach auf Speichermedien, sondern sie arbeiten damit und erwirtschaften Gewinne. Am Ende hat jeder einen Nutzen davon, mit Ausnahme einiger bedauerlicher Einzelfälle.

Wohlfeile Empfehlungen

Ungefähr einmal pro Woche rät man uns zur Abkehr von einem beliebten Dienst und empfiehlt uns Nischenanbieter als Alternativen. Die Begründung: Sicherheit und Datenschutz. Die tatsächlichen Reaktionen bleiben vorhersehbar verhalten und nächste Woche geht es mit neuem Anlass wieder los. Was soll das?

Offenkundig gehen diese Ratschläge an der Realität vorbei. Auf einem funktionierenden Markt ist niemand erfolgreich von Gottes Gnaden. Nachfrager entscheiden, welche Angebote ihre Bedürfnisse am besten erfüllen. Die meisten Nutzer und Kunden hat derjenige, der die Bedürfnisse der breiten Masse ausreichend gut erfüllt. Er verliert seine Rolle, wenn ein anderer das besser tut; er verliert sie nicht, wenn sich daneben ein Nischenanbieter auf eine kleine Gruppe mit besonderen Bedürfnissen spezialisiert.

Dass viele Menschen zum Beispiel Google, Facebook oder WhatsApp nutzen, hat handfeste Gründe, die man untersuchen und erklären kann. Die Marktpositionen dieser Firmen und Dienste sind nur das Resultat. (Sie können sich auch schnell ändern. Erinnert sich noch jemand an Lycos, Altavista, Yahoo, Nokia, MySpace oder StudiVZ?) Sicherheit und Datenschutz sind dabei bereits eingepreist: Wer ein Angebot auswählt, weil es am besten zu seinen Präferenzen passt, wählt alle anderen ab, die dazu weniger gut passen. Ihm die abgewählten Alternativen noch einmal aufzuzählen und einen bereits in die Wahl eingeflossenen Aspekt herauszustreichen, wird die Entscheidung selten ändern.

Warum tun sie’s dennoch immer wieder und empfehlen uns, was wir bereits zurückgewiesen haben? Weil der Nachrichtenmarkt so etwas kauft. Wer auf sich aufmerksam machen möchte, muss Material liefern, mit dem Medien etwas anfangen können. Unabhängige Expertenempfehlungen sind gut, die kann jeder guten Gewissens verbreiten und sie sind auf diesem Niveau auch nicht schwer zu geben. Das Versprechen von mehr Sicherheit und Datenschutz ist noch besser, denn dieses Versprechen lässt sich kurzfristig kaum wiederlegen.

Vielleicht tun sie’s auch, weil sie am Ende vom ständigen Scheitern profitieren. Was wären die Mahner und Aktivisten, wenn alle ihren Ratschlägen folgten?

P.S.
Nico Lumma über Die Sache mit der hilflosen Datenschutzhysterie
.

Zwei Karten, zwei Philosophien

Ich bekomme eine neue Smartcard. Ausgestellt von der Fraunhofer-PKI, kann ich mit der Karte E-Mail und anderes verschlüssel und signieren sowie Urlaub beantragen, Besprechungsräume reservieren und meine Arbeitsstunden auf Projekte buchen. Zur Karte gehört ein Passwort, falls ich sie mal verliere, und aufgedruckt trägt sie ein Jugendfoto meiner selbst.

Ich besitze schon so eine Karte, sie funktioniert auch, doch die PKI möchte mir eine neue ausstellen. Das ist ein komplizierter Vorgang. Ich bekomme einen PIN-Brief, dann muss ich die Karte abholen und dabei einen amtlichen Lichtbildausweis vorzeigen. Vermutlich werde ich auch unterschreiben müssen, dass ich die neue Karte erhalten habe. Alles muss sehr sicher sein, sonst könnte womöglich jemand in meinem Namen Räume reservieren oder Urlaub beantragen.

Von meiner Bank bekam ich vor einigen Tagen ebenfalls eine neue Smartcard. Mit dieser Karte kann ich einkaufen und Geld abheben. Sie kam mit der Post, lag einfach im Briefkasten. Meine bisherige PIN glt auch für die neue Karte.

Die eine Karte steht für ein System, das besonders sicher sein möchte und stattdessen besonders bürokratisch ist. Die rechtsverbindliche elektronische Signatur hat sich deswegen im Alltag nie durchgesetzt, die eID-Funktion des neuen Personalausweises bislang auch nicht. Entworfen hat man Technik und Rechtskonstrukte, keine Anwendungen.Der primäre Zweck besteht darin, in einem formalen Sinn sicher zu sein.

Die andere Karte repräsentiert eine Dienstleistung: Zahlungsverkehr in verschiedenen Ausprägungen. Eine Plastikkarte als Mittel dazu ist praktisch; dass später Magnetstreifen und Chips hinzukommen würden, ahnte man bei der Erfindung des Plastikgeldes noch nicht. Die begleitenden Prozesse bleiben unbürokratisch, sie sind pragmatisch gestaltet. Nicht formale Sicherheit ist das Ziel, sondern akzeptable Risiken.

P.S.: Diese Woche ist Smartcard-Workshop.

Kreative Wissenschaft

Die Wissenschaften ergründen und beschreiben die Realität. Anders die Informatik: Sie schafft Realität. Computer und Programme sind Menschenwerk. Auch Menschenwerk kann man wissenschaftlich untersuchen – Historiker, Religionswissenschaftler und so weiter tun nicht anderes. Der objektive Blick auf eine selbst bearbeitete Realität fällt allerdings schwer, nicht nur Einzelnen, auch ganzen Gruppen. Wo hört die berechtigte gemeinsame Weltsicht auf, fängt die kollektive Täuschung an?

In der Theorie sind Theorie und Praxis gleich. In der Praxis sind sie es nicht. Einen Beleg liefert das Paper UML in Practice (DOI: 10.1109/ICSE.2013.6606618) von Marian Petre. Sie befragte 50 Softwareentwickler nach ihrer Nutzung der Unified Modeling Language (UML). Aus der wissenschaftlichen Literatur ist UML nicht wegzudenken. Sowohl die grafischen Notationen als auch die zugrundeliegenden formalen Modelle und Metamodelle werden für alles mögliche verwendet und sind auch selbst Untersuchungsgegenstand.

Von den 50 befragten Praktikern jedoch gaben 35 an, UML überhaupt nicht zu nutzen. Weitere 11 setzen (Teile von) UML zwar ein, jedoch informell als Kreativitäts-, Diskussions- und Kommunikationswerkzeug. Für die formalen Modelle unter der Haube interessiert sich diese Gruppe herzlich wenig und sie hält sich auch nicht daran. Statt im Metamodell Profile und Erweiterungen zu definieren, passen Praktiker die Modellierungssprache ad hoc ihren Bedürfnissen an.

Theoretikern gefällt UML, weil man darüber so viel schreiben und die praktische Bedeutung einfach unterstellen kann. Praktiker brauchen Tools, die ihnen objektiv bei der Arbeit helfen und lassen alles andere liegen.

Zeckenalarm außer der Reihe

Abweichend vom gewohnten Zeckenalarmzyklus warnt das Robert-Koch-Institut mitten im Winter vor einer Krankheit, die jedes Jahr ungefähr 0.0005% der Bevölkerung – 400 von 80.000.000 – befällt:

»Mit Blick auf die überdurchschnittliche hohe Zahl von Hirn- und Hirnhaut-Entzündungen nach Zeckenbissen im Jahr 2013 rät das Robert Koch-Institut (RKI) Menschen, die in Risikogebieten wohnen und sich aufhalten, sich impfen zu lassen.
(…)
Für das Jahr 2013 liegen bundesweit bisher rund 400 Meldungen für die von Zecken übertragene Frühsommer-Meningoenzephalitis (FSME) vor. Rund die Hälfte der vom RKI erfassten Patienten erkrankte schwer an einer Entzündung der Hirnhaut oder des Gehirns.«

(stern.de: Robert-Koch-Institut rät zur Impfung: Zecken übertrugen 2013 oft gefährliche Viren)

Das Robert-Koch-Institut empfiehlt eine Immunisierung durch drei aufeinanderfolgende Impfungen, die danach alle fünf Jahre aufzufrischen sei.

Experten bei der Arbeit. Das Missverhältnis zwischen Aufwand und Nutzen dürfte offensichtlich sein. Wer sich gegen FSME impfen lässt, läuft auch im kugelsicheren Anzug herum. Alle anderen behandeln besser näherliegende Risiken.

Verständige Menschen

Vielleicht ist die Helmdiskussion bei den Juristen ganz gut aufgehoben, denn gute Juristen sind der natürliche Feind schlechter Argumente:

»Die Helmquote läge bei Erwachsenen wohl kaum bei unter 10%, wenn tatsächlich alle „verständigen Menschen” den Helm trügen.«

– Rechtsanwalt Professor Dr. Winfried Born, Editorial NJW 31/2013

Helmquoten veröffentlicht die Bundesanstalt für Straßenwesen regelmäßig. Trotz jahrelanger Propaganda konnte sich dieses Utensil bei Radfahrern nicht durchsetzen. Ausnahme: unmündige Kinder. Die PR der Styroporbranche versucht sich in den Spin zu retten, Kindern seien vernünftiger als Erwachsene.

Afraid of the Intercloud

Jürgen Geuter asked on G+:

»Ok, help me understand. Why is #Google buying #Nest seen as bad for privacy/data control/etc.?

I don’t get it, the data Google already has about individuals is better. Is it because Google is seen tied to objects that just exist around us (and are not our direct extensions such as smartphones)? Is it the usual underspecified feeling of “creepyness”?«

I went for the creepiness option. This is my reply, which I recycle here:

Maybe it’s because we’re mentally still living in the pre-cloud and in the database paradigm. Google represents like no other organization – maybe except the NSA – a technological progress that’s hard to grasp. We have no appropriate conception of information risk and risk management for a world in which a single organization can process various data about the wealthier half of the planet’s population and draw inferences from these data. Google represents this development, working at its forefront and pushing the limits.

We have no intuition what may, could, or will happen to us in the long run due to this new technology, and we have no idea ho to manage the risks (or non-risks) that we don’t understand. In a way we are in a similar situation as those who drafted our first data protection laws back in the seventies and early eighties: having to manage not only the uncertainty inherent in any risk consideration, but rather an uncertainty about the uncertainty. Back then, the tentative conceptual and legal solution was to ban all storing and processing of personally identifiable data and grant permission only on a case-by-case basis.

Progress has turned this approach into a delusion, but we lack a convincing replacement. We don’t know what’s risky and what isn’t; most of us don’t even understand what creates value in an Internet-scale data processing business. We project all our uncertainties on the pioneers.

P.S.: Just while I was writing this, the following quote appeared in my G+ stream:

»The desire for security and the feeling of insecurity are the same thing. To hold your breath is to lose your breath. A society based on the quest for security is nothing but a breath-retention contest in which everyone is as taut as a drum and as purple as a beet.«

— Alan Watts

Morgen kann vielleicht etwas passieren

»Ich will jedenfalls auf dieses Problem aufmerksam machen: Sicherheitsbedürfnisse sind strukturell unstillbar. Es ist gegen das Argument ‘Morgen kann vielleicht etwas passieren’ kein Kraut gewachsen.«

— Winfried Hassemer im Streitgespräch mit Wolfgang Schäuble (via Telepolis)

Zu kurz gedacht wäre allerdings, dies – und die Schlussfolgerung, dass man Grenzen setzen müsse – nur auf staatliche Sicherheitsgesetze, -behörden und -projekte zu beziehen. Der Satz gilt in alle Richtungen und für alle Sicherheitsbedürfnisse, also auch zum Beispiel für den Ruf nach mehr Datenschutz, mehr Verschlüsselung, weniger NSA und so weiter.

Morgen kann vielleicht etwas passieren. Das ist kein ausreichender Grund, auf Segnungen des Internet-Zeitalters zu verzichten, auch wenn sie Google, Facebook oder Cloud Computing heißen. Es ist nicht mal ein ausreichender Grund, sich anders zu verhalten und etwa amerikanische Dienstleister zu meiden, öfter zu verschlüsseln oder Datenpakete anders zu routen.

Morgen kann vielleicht etwas passieren. Etwas dagegen zu tun lohnt sich nur, wenn man sein individuelles Risiko nennenswert reduziert und der Aufwand im Verhältnis zur Risikoreduktion steht. Deswegen erlaube ich mir, die Snowden-Enthüllungen mit Interesse zur Kenntnis zu nehmen, in meinem alltäglichen Verhalten aber nicht weiter darauf zu reagieren. Ich habe keinerlei Anhaltspunkte dafür, dass die NSA mein Leben beeinflusst, folglich lohnt es sich auch nicht, individuelle Maßnahmen zu ergreifen.