Category Archives: Nebenwirkung

ROTFL

Als wären die Online-Postmodelle von De-Mail bis E-Postbrief nicht schon absurd genug, melden sich auch noch die Formalisten zu Wort:

»Hessische Lottospieler können ihre Tipps künftig auch über das Internet abgeben – möglich macht das der neue E-Postbrief. Suchtexperten schlagen Alarm, der Fachbeirat Glücksspielsucht klagt gegen das hessische Innenministerium.«

(HR: Fachbeirat gegen Lotto per E-Brief: “Das ist krass rechtswidrig”)

Ganz bestimmt macht Lotto per E-Postbrief süchtig.

Unterschätzte Risiken: Homoglyphen

Homoglyphen sind ein uraltes Problem, das wir eigentlich längst gelöst haben, nur nicht für immer:

»Steht da ein O oder eine 0? Im neuen Reisepass sieht beides identisch aus. Viele USA-Reisende verwechseln deshalb beim elektronischen Visa-Antrag die Ziffer mit dem Buchstaben – und bekommen Stress bei der Einreise.«

(Spiegel Online:
Ärger mit Reisepässen: Die Nullen aus dem Innenministerium)

Die Null bekommt einen Schrägstrich verpasst, so einfach ist das. Wenn die Zeichen verschieden aussehen, sind es nämlich keine Homoglyphen mehr. Oder so einfach war es zumindest, als ich vor mehr als zwei Jahrzehnten meine ersten zaghaften Schritte in der EDV (so hieß die IT damals) ging. Vielleicht hat man diesen lästigen Kleinkram auf dem Weg in die Informationsgesellschaft vergessen.

Unterschätzte Risiken: Verbraucherschutz

Wer dieses Blog schon länger liest, hat vielleicht mitbekommen, dass ich der Verknüpfung von IT-Sicherheitsbausteinen mit Rechtskonstrukten skeptisch gegenüberstehe. Verfahren wie die rechtsverbindliche digitale Signatur und Anwendungen wie De-Mail mögen manchmal nützlich sein. Sie machen es jedoch auch einfacher, Leuten etwas abzuluchsen, das sich später gegen sie verwenden lässt. Eine Überraschung ist das nicht, denn solche Phänomene gibt es nicht nur im Internet. Offline sollen beispielsweise Banken seit einiger Zeit ihren Kunden Unterschriften unter Beratungsprotokolle abnötigen. Die Chancen und die Risiken sind dabei klar verteilt:

»In der Praxis zeige sich, dass die Protokolle den Banken mehr nützten, als den Kunden. „Die schreiben da alles rein was sie brauchen, um später in einem Prozess bestehen zu können“, sagte der Liberale, der als Rechtsanwalt Opfer der Lehman-Pleite vertritt.«

(Welt Online:
Late Night “Anne Will”: Was beim Banken-Bashing gern vergessen wird)

Im Internet hat der Verbraucher jedoch bis jetzt eine günstige Rechtsposition, weil er vieles einfach abstreiten kann. Wer das Internet mit bestätigten  Identitäten oder mit Nachweisdiensten á la De-Mail sicherer machen möchte, arbeitet daran, diese Eigenschaft zu beseitigen und Risiken auf die Verbraucher zu verlagern. Obendrein wird der Alltag komplizierter. Wollen wir das?

PS: Die Hersteller von Identitätsnachweisen haben erwartungsgemäß eine klare Haltung dazu.

Unterschätzte Risiken: Datenbriefe

In einem offenbar ganz frischen Blog diskutiert ein Pflaumensaft die Risiken des Datenbriefes. Der Datenbrief soll den Datenschutz benutzerfreundlicher machen. Bislang muss sich jeder aktiv darum kümmern, bei Datenspeicherern und Datenverarbeitern Auskünfte einzuholen. Weil das Arbeit macht und man oft auch gar nicht so genau weiß, wer überhaupt Daten über einen gespeichert hat, tut das kaum jemand. Hinter dem Datenbrief verbirgt sich nun die Idee, das Ganze umzukehren und den Datennutzern die Pflicht zur aktiven Information der Dateninhaber aufzuerlegen. Der oben verlinkte Beitrag diskutiert, auf welche Weise das in die Hose gehen könnte.

Und nun? Gibt es Vorschläge, wie das Ziel des Datenbriefes — Awareness der Dateninhaber — ohne störende Nebenwirkungen zu erreichen ist?

Entenalarm

“Ausweischip gehackt” titelte die taz und brachte damit noch kurz vor Jahresende eine besonders schöne Falschmeldung zum CCC-Kongress  in Umlauf, die Detlev Borchers auf Heise prompt als Ente entlarvte. Auch wenn der Vortrag im Hacking-Track lief handelte es sich vorwiegend um eine Funktionsbeschreibung des neuen Personalausweises, denn in der Tat kann man Daten aus dem Ausweis auslesen – mit Berechtigungszertifikat. Das soll so sein.  Das Beispiel beweist einmal mehr, dass guter Technikjournalismus in Tagesszeitungen schwer zu finden ist. Gut, dass es noch Fachjournalisten wie Christiane Schulzki-Hadouti gibt, die zu ganz anderen Schlüssen kommt und einen Rückzieher beim CCC entdeckt. Übrigens: Die wichtigsten Daten kann man auch jetzt schon aus dem derzeitigen Ausweis auslesen – mit den Augen, die Daten sind nämlich aufgedruckt.

Unterschätzte Risiken: Tresore

Kleine Geldbeträge gehören in die Schublade und nicht in einen teuren Tresor:

»In der Nacht zum Donnerstag sind Unbekannte in ein Freibad in Bad Hersfeld eingebrochen. Sie knackten den Tresor und verschwanden mit der Beute.

(…)

In dem Tresor befanden sich mehrere hundert Euro Bargeld. Die Täter entkamen mit der Beute. Der Sachschaden beträgt mindestens 6.500 Euro.«

(HR: Einbruch: Tresor in Schwimmbad ausgeräumt)

Das ist allerdings ein Einzelfall, den wir obendrein noch rückwirkend betrachten. Welches Risiko der ängstliche Tresorbenutzer und der unbekümmerte Schubladenverwender jeweils insgesamt eingehen, wäre noch zu überlegen.

Unterschätzte Risiken: Wissenschaft, Zufall und CYA

Die NZZ von gestern (2009-05-15) erklärt uns die Mechanismen, die vom Gedankenspiel eines Wissenschaftlers zur landesweiten Panik mit einigen Hundert Todesopfern führen können. Als Beispiel dient die Schweinegrippe – nicht jene aktuelle, die gerade in den Randspalten versickert, sondern die von 1976. Damals kam es in den USA zu einer großen Impfkampagne. Sie war wahrscheinlich unnötig, hatte aber vereinzelt Nebenwirkungen , die sich zu einigen Hundert Toten summierten.

Neben einigen Zufällen lagen die Ursachen im CYA-Bias von Behörden und Politik, der auf wilde Spekulationen eines Wissenschaftlers traf. Wobei sich die Spekulation im Rahmen des Zulässigen bewegte. Zeitreihenanalyse nennt man es, wenn man nach Mustern in einem Zeitverlauf sucht und diese in die Zukunft projiziert. Das kann interessant sein, aber zu mehr als zur Hypothesenbildung taugt es kaum. Schlecht, wenn es alle für bare Münze nehmen, nur weil es in der Zeitung steht und den Stempel Wissenschaft trägt.

Das Fazit des Artikels:

»Angesichts der unheilvollen Dialektik von voreiliger Aufregung und nachträglicher Beschwichtigung scheint eine zentrale Aufgabe der Zukunft darin zu bestehen, nicht nur exzellente Universitäten zu schaffen, sondern auch besonnene Wissenschaften zu ermöglichen, die zur Absicherung ihrer Erkenntnisansprüche keiner Mobilisierung von Ängsten bedürfen.«

(NZZ: Unbezwungene Ungeheuer, Die Schweinegrippe und die Konjunkturen des Schrecklichen)

Wo Geld ist, da ist auch Gefahr

»Falls ich übrigens morgen ein Institut zur Bekämpfung der öffentlichen Gesundheitsgefährdung durch Igelbisse gründe und dieses Institut mit zehn Planstellen ausrüste, dann werde ich jedes Jahr eine Studie bekommen, die vor der wachsenden Gefahr durch aggressive Igel warnt. Alles andere wäre ja auch ziemlich dumm von den Mitarbeitern des Institutes.«

(Harald Martenstein im Zeit-Magazin)

Wahlcomputer und die behauptete Fälschung

Kürzlich deutete ich in ein paar Nebensätzen die Möglichkeit an, Computerwahlen nicht tatsächlich zu fälschen, sondern eine Fälschung lediglich zu behaupten. Die Intransparenz wesentlicher Abläufe würde dafür sorgen, dass solche Anschuldigungen zwar nicht per se glaubwürdiger, aber schwerer zu widerlegen wären. Nun tut die CIA genau dies für einige der üblichen Verdächtigen, darunter zum Beispiel Venezuela. Kann ja sein, dass die Berichte alle korrekt sind, aber wenn ein Geheimdienst etwas verbreitet, weiß man nie so genau, was die Ziele sind und wieviel vom Gesagten wahr ist.

Merkel-Phone

Merkel with phone
Merkel with phone

Morgen will T-Systems das Merkelphone präsentieren. Aber wenn man heise glauben schenken darf, dann darf Merkel das Ding nicht benutzen. Denn das Ding ist ja angeblich nur für VS-NfD (Verschlussache Nur für den Dienstgebrauch) bestimmt. Frau Merkel, Herr Schäuble, deren Stab, ja auch Roland Koch und seine Minister haben aber mitunter Unterlagen zu bearbeiten, die einer höheren Geheimhaltungsstufe unterliegen. Dafür ist das SIMKO2-Handy dann gar nicht zugelassen. Überhaupt viel spannender ist doch, wie die Abhörpflicht umgesetzt wird.  Müssen Politiker dann ihre BlackBerrys abgeben wie Obama? Vielleicht verrät Arnold Schwarzenegger Frau Merkel heute Abend auf der CeBIT-Eröffnung, wie der Staat Californien mit Geheimnissen umgeht.

Unterschätzte Risiken: Virenscanner

Heise-Meldungen zu verbloggen ist blöd, weil die sowieso jeder liest, der sich für ein Blog wie dieses interessieren könnte. Bei dieser kann ich jedoch nicht widerstehen, sie passt zu gut ins Beuteschema:

»Die Antiviren-Programme von Bitdefender und GData haben mit einem Signatur-Update von heute auf XP-Rechnern die Datei “Winlogon.exe” als Trojaner (Trojan.Generic.1423603) ausgemacht und haben diese bei entsprechender Voreinstellung kurzerhand gelöscht.

(…)

Ein Leser schilderte heise online, dass der Fehler von heute in einem mittelständischen Unternehmen zu einem regelrechten Chaos geführt hat: In sämtlichen 20 Filialen der Firma mussten Administratoren an die Rechner, um den Schaden zu beheben.«

(Heise Online:
Bitdefender und GData löschen Winlogon-Systemdatei)

Ich neige mehr und mehr der Ansicht zu, dass Antivirus-Programme auf professionell betriebener IT nichts zu suchen haben. Zumindest nicht so flächendeckend, dass sie eine ganze Firma herunterfahren können. Von mir aus mag man sie an geeigneter Stelle als IDS-Komponente benutzen, aber auf allen Arbeitsplätzen? Da nützen sie wenig, wenn die IT-Sicherheit insgesamt stimmt. Meine Arbeitsumgebung ist vielleicht nicht repräsentativ, aber bei mir läuft seit Jahren so ein Ding mit und es hat nie angeschlagen. Ob das ein gutes, ein schlechtes oder gar kein Zeichen ist, diskutieren wir ein andermal; vor irgend etwas geschützt hat mich die Sicherheitssoftware jedenfalls offensichtlich nicht. Wenn zur Nutzlosigkeit noch Schäden kommen, muss man wohl davon abraten.

Unterschätzte Risiken: De-Mail-Bürgerportale

De-Mail: unter diesem seltsamen Namen soll in Zukunft eine sichere Kommunikationsinfrastruktur zur Verfügung stehen. Das sieht zumindest ein Gesetzentwurf vor, den die Bundesregierung gestern verabschiedet hat. Betreiber sollen Unternehmen sein, beaufsichtigt vom BSI, und benutzen sollen es – vorerst freiwillig – wir alle.

Für die herkömmliche E-Mail ändert sich nichts. Zusätzlich zu dieser bewährten Infrastruktur erhalten wir aber die Möglichkeit, die ganzen selten benutzten Sonderfunktionen des Postzeitalters im Netz zu nutzen: Einschreiben, Ausweis zeigen, Porto zahlen. Ja, Porto. Was wir dafür bekommen, ist Sicherheit. Lehrbuchsicherheit, um genau zu sein, das heißt Mechanismen, die formale Probleme formal lösen. Ein realitätsbezogenes Bedrohungsmodell gibt es nicht, sondern man wird Sicherheitsmechanismen aus dem Lehrbuch zusammensetzen zu etwas, das dann vor den Bedrohungen schützt, vor denen die gewählten Mechanismen eben schützen. Was alten Männern mit Kugelschreibern eben so einfällt, wenn sie in einem Wahljahr beweisen wollen, für wie modern sie sich halten. Continue reading

Sicherheit durch Nagware?

Kaum nutzt man mal Muttis Computer, wird einem schlagartig eine Menge klar. Zum Beispiel warum Leute auf zweifelhafte Antivirensoftware hereinfallen. Dass sich plötzlich ein Fenster öffnet und ihnen was verkaufen will, kennen sie nämlich schon: vom kostenlosen Antivirusprogramm, das man ihnen im Seniorencomputerkurs empfohlen hat. Für sich genommen ist Nagware ja harmlos, aber ob Sicherheitssoftware auf dem PC eines IT-Laien der richtige Platz für dieses Marketingkonzept ist?

Avira-Eigenwerbung

Ich suche übrigens gerade eine Studentin oder eine Studenten für eine Bachelorarbeit, die sich mit der Frage beschäftigen soll, ob von Antivirus-Software ein Sicherheitsgewinn zu erwarten ist. Details stehen weiter unten in diesem Blog.

Continue reading

Unterschätzte Risiken: Selbstorganisierte Telearbeit

Telearbeit erscheint als Sicherheitsrisiko. Mitarbeiter und IT an dezentralen Heimarbeitsplätzen, das kann nicht gutgehen, da haben wir doch gar keine Kontrolle. Schlichtere Naturen könnten dies für eine fundierte Bedrohungsanalyse halten. Es ist aber keine, solange der Realitätsabgleich fehlt. Wenn Mitarbeiter Telearbeit wollen, aber nicht bekommen, kann das Ergebnis nämlich so aussehen:

»Die Mitarbeiterin wollte demnach das Datenmaterial über das Internet an sich selbst schicken, um zu Hause daran zu arbeiten.«

(Datenpanne bei der WestLB – Betreff: Geheime Daten)

Dann vielleicht doch lieber eine offizielle Erlaubnis, verbunden mit angemessener IT-Unterstützung.

Merke:
Der Benutzer wird stets sein persönliches Problem lösen. Er wird dazu alle verfügbaren Mittel und Werkzeuge nutzen. Wo wir ihm keine geben, sucht er sich eigene.

Update: Bei Juristen, genauer: Richtern, scheint es üblich zu sein, dass man solche Workarounds erzwingt, lange bevor das Reich der Sonderwünsche beginnt. Wer ist bei den Gerichten eigentlich für die IT zuständig?

Hirntot

Wie bekloppt muss man sein, um XSS-Versuche in den URL-Parametern einer Login-Seite erst abzufangen – und dann den auffälligen Parameter innerhalb eines Script-Elements in die Fehlerseite einzubetten, um eine Alertbox mit detaillierten Informationen zu produzieren? Also ungefähr so:

<script>alert("Böse Eingabe: [boese Eingabe]");</script>

Ich bin versucht, mir das ganze Responsible-Disclosure-Theater zu sparen und hier einfach Ross und Reiter zu nennen. Verdient hätten sie es. Ihre Kunden allerdings nicht, und einige davon kann man googeln.

Eine Unglücksursache kommt selten allein

Nach Unglücken fragt der Laie gerne nach der Ursache. Oft gibt es aber gar keine einzelne Ursache:

»Auch der Luftfahrtexperte Heinrich Großbongardt ging von einer Kette von Ursachen aus. Im Bayerischen Rundfunk sagte er, beim Unfall eines Verkehrsflugzeugs kämen “im Schnitt sechs bis sieben Ursachen” zusammen. “Das ist eine Kette von Ereignissen, menschliche oder technische Fehler, wo bei jedem einzelnen es möglich gewesen wäre, diese Kette zu unterbrechen”, sagte Großbongardt.«

(Spiegel Online: Unglücksflug von Madrid: Triebwerk-Trümmer sollen Heckflosse beschädigt haben)

Theoretisch bedeutet das, dass sich das Unglück sogar redundant verhindern ließe, indem man mehrere Einzelfehler verhindert. In der Praxis ist das nicht so einfach, denn jedes Element einer solchen Ereigniskette ist in das Gesamtsystem eingebettet und damit einer Reihe von Zwängen unterworfen. Und ein klarer Fehler wäre es, die Sicherheit auf einzelne, spezifische Ereignisketten hin zu optimieren, dabei aber andere Szenarien zu ignorieren. Man kann also nicht einfach alles tun, damit sich so ein Unfall nicht wiederholt, denn damit würde man vielleicht die exakte Wiederholung ausschließen, aber vielleicht auch allerlei andere Verläufe fördern.

Unterschätzte Risiken: StatCounter.com

Alle schimpfen über Google Analytics: der Datenschutz sei dort nicht gewährleistet. Mag sein, dass das formal korrekt ist, aber es geht deutlich schlimmer. Eben schwappte mir hier als Referer ein Link auf StatCounter.com ins Log – mit gültiger Session-ID. Ein Klick genügte und schon bekam ich deutlich detailliertere Daten über die Besucher einer fremden Website, als mir Google für meine eigene je liefern würde.

Der Bildausschnitt is so gewählt, dass man hoffentlich keine Details über einzelne Nutzer erkennt, und aus der Titelzeile habe ich den Hinweis auf den betreffenden Nutzer des Statistik-Tools entfernt. Er wird sich schon gemeint fühlen, wenn er das hier liest. (Refcontrol hilft, ist aber letztlich ein Workaround um eine kaputte Web-Anwendung.)

Ich gebe erst mal weiter Google Analytics den Vorzug. Wichtiger als die formale Einhaltung von zuweilen arg hohlen Datenschutzritualen finde ich nämlich den tatsächlichen Umgang mit den Daten. Bei Google hat man sich was gedacht und die Architektur bietet Ansatzpunkte für mehr Selbstbestimmung der einzelnen Website-Nutzer und weniger Missbrauchs- und Unfallgefahr durch Website-Betreiber. Das kann ich von StatCounter.com nicht behaupten.

Unterschätzte Risiken: Sonnenangst

Die Angst vor der Sonne. Sommerloch für Sommerloch dürfen sich die Praktikanten aller Medien an diesem dankbaren Thema austoben und die immer gleichen Versatzstücke wiederkäuen: Sonnenbrand, »aggressive« UV-Strahlung, Hautkrebs, Sonnenschutz. Der Tenor ist stets derselbe. Die Sonne sei böse, gefährlich, um jeden Preis zu meiden. Wer sich ihr dennoch auszusetzen habe, der müsse sich radikal schützen, sonst drohten Siechtum und Tod.

Mir geht dieses Theater schon länger auf den Keks. Es riecht zu deutlich nach einer zum Selbstläufer gewordenenmachten Werbekampagne für Kosmetikartikel, eine menschheitsgeschichtlich recht junge Erfindung. Wäre die Sonne tatsächlich so gefährlich, wie sie heute von überforderten Medien gemacht wird, wie konnten unsere Vorfahren dann unter dieser Sonne lange genug überleben, um uns als die Krone der Schöpfung hervorzubringen? Und wer kann eigentlich mit eigener Erfahrung die absurde Empfehlung belegen, man solle selbst unter der Kleidung noch Sonnencreme tragen, sofern es sich nicht um spezielle »Schutzkleidung« handele?

Gesunder Menschenverstand ist nicht notwendig das Gegenteil der Wissenschaft, das zeigt jetzt ein Artikel im Spektrum der Wissenschaft. Darin geht es um Vitamin D, das im Körper vielfältige positive Auswirkungen hat und das unsere Haut in großen Mengen bildet, wenn sie der Sonne ausgesetzt ist. Die Autoren kommen zu dem Schluss:

»In diesem Zusammenhang ist auch das gestiegene öffentliche Bewusstsein um die Risiken des Sonnenbadens problematisch. Moderne Sonnenschutzmittel verringern das in der Haut produzierte Vitamin D um mehr als 98 Prozent. Um den normalen Bedarf an dem Mikronährstoff zu decken, sollten Menschen mit heller oder bronzener Hautfarbe in Nordamerika oder Europa im Sommer täglich ein ungeschütztes Sonnenbad von 5 bis 15 Minuten zwischen 10.00 und 15.00 Uhr nehmen. Dabei kommt es höchstens zu einer leichten Rosafärbung der Haut.«

und weiter:

»Nach den bisherigen Forschungsergebnissen scheint eine Kampagne zur Aufklärung der Öffentlichkeit über den umfassenden physiologischen Nutzen von Vitamin D daher dringend geboten.«

Das ist eine Ohrfeige für die Panikmafia. Immerhin, nach und nach sickert das Wissen um den Nutzen der Sonne auch in die Sommerlochartikel. Wir dürfen hoffen.