O-Töne

Unterschätzte Risiken: Höflichkeit

Wer gutes Benehmen bei sich selbst zu wichtig nimmt, macht sich manipulierbar:

»It is important to remember that calls for civility are often attempts by those in power to silence those out of power and thus preserve the power hierarchy in which they are on top. And the only proper way to respond is to refuse to be polite.«

(A Blog Around The Clock: Trust and Language)

Gefährliche Rollbretter überleben

In diesem Kontext habe nicht einmal ich etwas gegen eine Helmempfehlung, zumal das gezeigte Material der Namen tatsächlich verdient:

(Videolink, via Nightline)

Warum? Weil wir hier ein vernünftiges Gesamtkonzept präsentiert bekommen, von einer Risikoanalyse bis zum Falltraining. Nur eines habe ich zu bemängeln: Der Kopf ist keineswegs der wichtigste Körperteil. Wollte man den Schutzbedarf von Kröperteilen von ihrer Wichtigkeit ableiten — in der IT-Sicherheit übrigens ein beliebter Ersatz für Risikoschätzungen –, so müsste man zweifellos zum Beispiel wesentliche Teile des Blutkreislaufes für gleichermaßen wichtig halten.

Höchstrichterliche Risikobewertung

Nicht immer sind es Politiker und Staatsorgane, denen unsere Verfassungrichter zu vernünftigen Einschätzungen verhelfen muss. Was dem Innenminister recht ist, ist den Bürgern billig, und so haben Nachtfluggegner in Leipzig ihr Problem ein wenig aufgebauscht. Man sei von Terrorismus und Krieg bedroht, weil der Flughafen auch militärisch genutzt werden dürfe. Diesem Argument wollte das Bundesverfassungsgericht nicht folgen:

»Für die Karlsruher Verfassungsrichter war die behauptete Gefahr terroristischer Anschläge infolge der militärischen Nutzung des Transportflughafens jedoch so gering, dass dieser Umstand „nicht in die Interessensabwägung einbezogen werden“ müsse. Die Behauptung der Kläger, auf dem Flughafen Leipzig/Halle könne es zu regulären kriegerischen Auseinandersetzungen mit zivilen Kollateralschäden kommen, nannten die Bundesverfassungsrichter „völlig aus der Luft gegriffen“.«

(FAZ.NET: Flughafen Leipzig/Halle: Niederlage für Nachtfluggegner)

.bank im neuen Gewand

Sie haben .bank wieder ausgegraben, nur heißt es jetzt anders und die Zielgruppe ist neu. Wir erinnern uns: die Idee von .bank bestand im wesentlichen darin, ein Internet-Gütesiegel (Wunsch, Realität) ins DNS zu projizieren und anhand der Top-Level-Domain (TLD) kenntlich zu machen. Das schlägt man nun wieder vor, nur diesmal für die Domain-Registrare selbst. Hochsicherheitsadresszone nennt sich das dann, und einige der Anforderungen sind auch gar nicht dumm. Nur nützt es wenig, diese Anforderungen auf einzelne TLDs und ihre Registrare anzuwenden. Gauner nehmen dann eben eine andere TLD, wo diese Anforderungen nicht gelten. Oder eine Methode, bei der Adressen keine Rolle spielen, zum Beispiel Malware. Oder ein Botnetz, dessen Knoten in einer dieser Hochsicherheitsadresszonen liegen, denn ob das Gegenüber nicht ein Hund ist, weiß man am Ende als Nutzer auch dort nicht; über die Sicherheit der einzelnen Domains oder Hosts macht die Hochsicherheits-TLD nämlich keine Aussage.

Was also soll das Ganze bringen? Dem Nutzer sicher nichts. Er kann der Adresse keine verwertbare Zusatzinformation entnehmen, und selbst wenn er es könnte, würde er diese Information in aller Regel ignorieren oder sie würde keine Rolle spielen. Den Registraren damit aber auch nichts, denn niemand hat einen Vorteil davon, seine Domain bei einem teureren, weil „sicheren” Registrar zu kaufen. Im Gegenteil, in einer Hochsicherheitsadresszone muss sich keiner vorsichtshalber die Domains für seine Firmen- und Markennamen sichern, denn der Registrar soll die Berechtigung bei der Domain-Vermietung ordentlich prüfen. Dieser Teil des Geschäfts fällt ersatzlos weg, wenn alle rational handeln. Für wen also gibt es da bitteschön einen Business Case – mal abgesehen von den Auditoren und Beratern, denen sich offensichtliche Gelegenheiten bieten?

Wenigstens sind sie aber ehrlich (Hervorhebung von mir):

»Due to the risks involved measures will be needed to limit liability to ICANN. If established, ensuring public awareness of the limitations of the program in terms of not providing guarantees about the presence of malicious activity within a TLD must also be addressed.«

 

Der dankbare Araber

Achtung Sicherheitshinweis: wir brauchen gar keine Terrorwarnungen, denn wir gerüchten selbst.

Gute Ingenieure haben keine Visionen

Kein technischer Fortschritt ist je aus einer Anwendungsvision hervorgegangen. Stets waren es Bastler und Tüftler, die ein Stück Technik um seiner selbst willen schufen und optimierten, die universelle Technologien entwickelten und der Menschheit zum Fortschritt verhalfen. Die Dampfmaschien war Auslöser der Industrialisierung, aber sie entstand nicht mit der Industrialisierung als Ziel; der Verbrennungsmotor ermöglichte Autos, Panzer und Flugzeuge, wurde aber nicht für Autos, Panzer und Flugzeuge geschaffen; der Weg zum Internet führte über die Entwicklung der Glühbirne und des Telegraphen, ohne dass dabei jemand an ein Internet gedacht hätte.

Genau umgekehrt stellt man sich die Sache vor, wo man versucht, den Fortschritt zu bürokratisieren. Wer schon einmal Fördergelder für die Forschung beantragt hat, der kennt dieses Spiel. Da kommt erst die Vision und dann die Technik. Das Ergebnis ist oft ziemlicher Käse, der schlichteren Naturen – Anforderungsanalyse ist anspruchsvoll – gleichwohl plausibel erscheint. Read the rest of this entry »

How to Become a Cult Leader

(direct leader, via Nerdcore)

Schadenfreude

Man staunt und wundert sich. Die Krise ist verantwortlich für den Rückgang bei der Schadsoftware, aber dann irgendwie doch nicht.

Spione und Nähkästchen

Das schöne am digitalen Diebstahl ist ja, es fehlt den betroffenen nix. Wenn aber in die Firma analog eingebrochen wird und die Diebe ignorieren offensichtliche Wertgegenstände wie Bildschirme,  dann war’s vielleicht ein Datendieb.  Woran man einen Griff in die Datenkasse des eigenen Unternehmens bemerken kann, erzählt Wilfried-Erich Kartden von der Spionageabwehr  des Innenministeriums von NRW in der aktuellen IT-Sicherheit. Im Wikipedia-Stil trennt er erstmal zwischen Wirtschaftsspionage (staatliche Aktivitäten) und Konkurrenz-/Industriespionage (Spionage durch Unternehmen). Nach einem Exkurs über korrupte Übersetzer, Bauarbeitern mit WLAN-Routern und Keylogger-Funde kommt die Existenzberechtigungsstatistik von Corporate Trust (2007): 35,1 Prozent der deutscheun Unternehmen glauben, sie seien schon Opfer von Wirtschaftsspionage geworden. 64,4 Prozent hätten auch einen finanziellen Schaden zu verzeichnen. Die Schäden reichen von 10.000 bis 1 Millionen und das Wichtigste – die Schadensfälle steigen – laut Umfrage um 10 Prozent pro Jahr.  Sagt alles wenig aus, hört sich aber gut an.

Read the rest of this entry »

Ulfkotte macht sich wichtig

Der Ulfkotte ist mal wieder los und verkauft ein neues Buch. Dazu lehnt er sich gewohnt weit aus dem Fenster, wohl wissend, dass Weissagungen in ein paar Jahren, wenn man sie überprüfen könnte, vergessen sind. (Denkste.) Zumal wenn sie modisch sind:

»Nach Ulfkottes Angaben kursieren bei deutschen Sicherheitsbehörden streng vertrauliche Listen, die soziale Brandherde quer durch Deutschland benennen.
(…)
In den neuen Ländern werden Unruheherde vor allem in Sachsen vermutet.

Danach rechnen Staatsschutz und Verfassungsschutz mit der Gefahr sozialer Unruhen vor allem in den Leipziger Stadtteilen Leutzsch und Kleinzschocher und in Dresden-Prohlis und -Pieschen, sowie in Hoyerswerda und Chemnitz-Kaßberg.«

(Welt Online: Terrorismusexperte enthüllt: Bundesregierung rechnet mit sozialen Unruhen)

Leipzig Leutzsch ein Unruheherd? Dieses langweilige Stadtrandviertel? Blödsinn. Der einzige Krawall, der dort zu erwarten ist, ist ganz gewöhnlicher Hooliganismus rund um den mäßig erfolgreichen FC Sachsen. Nein, dort wird die Revolution nicht losbrechen.

Jubel für Wolfgang Schäuble

Ein Veranstaltungstipp für unsere Leserinnen und Leser im süddeutschen Raum:

»In Tübingen hat sich ein Kreis von Aktiven getroffen und sich Gedanken darüber gemacht, wie die Verleihung der Ehrendoktorwürde an Wolfgang Schäuble gebührend gewürdigt werden kann.

Der Kreis kam zum Ergebnis eine Aktionsform zu wählen die der Position und dem Amt eines Innenminister würdig ist. Am Freitag, 26. Juni 2009 um 11 Uhr möchten sich doch alle Menschen vor dem Clubhaus (Wilhelmstraße 30) treffen, um anschließend vor dem Bonatzbau in spontanen Jubel für Wolfgang Schäuble auszubrechen. (…)«

(BlogChronik der Kommunikationsguerilla:
Jubel für Wolfgang Schäuble)

Schlager für Uschi

Sehr professionell produziert, könnte glatt in Funk und Fernsehen laufen:

(Oliver Kels, via noch ein Markus)

Read the rest of this entry »

SOX – the new security standard

Sock security has been troubling me for a long time. Endless sundays I have spent with the fight against the single sock syndrom. But those days are over. Thanks to a colleague I have discovered sockstar, the revolutionary tool to improve the lower department of your wardrobe-BCM – a simple thing that just does what it should, if you manage to integrate it into your business processes… [end of commercial] http://www.sockstar.de/

Unterschätzte Risiken: Wissenschaft, Zufall und CYA

Die NZZ von gestern (2009-05-15) erklärt uns die Mechanismen, die vom Gedankenspiel eines Wissenschaftlers zur landesweiten Panik mit einigen Hundert Todesopfern führen können. Als Beispiel dient die Schweinegrippe – nicht jene aktuelle, die gerade in den Randspalten versickert, sondern die von 1976. Damals kam es in den USA zu einer großen Impfkampagne. Sie war wahrscheinlich unnötig, hatte aber vereinzelt Nebenwirkungen , die sich zu einigen Hundert Toten summierten.

Neben einigen Zufällen lagen die Ursachen im CYA-Bias von Behörden und Politik, der auf wilde Spekulationen eines Wissenschaftlers traf. Wobei sich die Spekulation im Rahmen des Zulässigen bewegte. Zeitreihenanalyse nennt man es, wenn man nach Mustern in einem Zeitverlauf sucht und diese in die Zukunft projiziert. Das kann interessant sein, aber zu mehr als zur Hypothesenbildung taugt es kaum. Schlecht, wenn es alle für bare Münze nehmen, nur weil es in der Zeitung steht und den Stempel Wissenschaft trägt.

Das Fazit des Artikels:

»Angesichts der unheilvollen Dialektik von voreiliger Aufregung und nachträglicher Beschwichtigung scheint eine zentrale Aufgabe der Zukunft darin zu bestehen, nicht nur exzellente Universitäten zu schaffen, sondern auch besonnene Wissenschaften zu ermöglichen, die zur Absicherung ihrer Erkenntnisansprüche keiner Mobilisierung von Ängsten bedürfen.«

(NZZ: Unbezwungene Ungeheuer, Die Schweinegrippe und die Konjunkturen des Schrecklichen)

Writing Cyberwarfare Articles

Foreign Policy net.effect:  10 easy steps to writing the scariest cyberwarfare article ever (via 1 Raindrop)

Risiken sind Konjunktive

Michael Miersch stellt die richtigen Fragen:

»Und genau dieser Passus fehlt fast immer in der öffentlichen Kommunikation. Was ist eigentlich so furchtbar an dem Satz “Wir wissen es nicht?”? Warum können Schreckensszenarien nicht im Konjunktiv stehen, sondern werden wie gesicherte Berechnungen behandelt? Die Möglichkeitsform ist der Paria der Mediengesellschaft. Sie wird weggesperrt, weil sie die Botschaft verderben könnte.«

(WELT am SONNTAG: Und dann fiebert auch die Sprache)

Risiken sind stets Konjunktive: mögliche zukünftige Ereignisse, deren Eintreten wir uns ausmalen, aber nicht zuverlässig vorhersagen können. Wo wir über Risiken sprechen, gibt es immer etwas, das wir nicht wissen.

Das Eingeständnis, nicht alles zu wissen, wendet sich in der hiesigen Debattenkultur allerdings schnell gegen denjenigen, der es äußert. Aus Risiken werden dann unschätzbare oder nicht auszuschließende Risiken, woraus sich allerlei Strohmannargumente entwickeln lassen. Hinzu kommt ein tiefsitzendes Vorurteil: dass etwas zu tun stets besser sei als nichts zu tun. Wer anfinge, sich seines Nichtwissens bewusst zu werden, der käme am Ende vielleicht zu dem Schluss, dass es manchmal besser wäre, im Angesicht des Risikos einfach überhaupt nichts zu tun, die Hände in den Schoß zu legen und abzuwarten.

Bedrohungsgefühl

Direkt neben einem Artikel über den Prozess gegen die verhinderten Sauerland-Bomber fühlen sich auf welt.de zwei Drittel der Umfrageteilnehmer trotzdem nicht von Terroristen bedroht:

Wenn das alles nur eine Propagandainszenierung wäre, wie einige Verschwörungstheoretiker glauben, dann wäre es keine besonders erfolgreiche.

Krankheitserreger bedrohen Dein Kind

Wo Geld ist, da ist auch Gefahr

»Falls ich übrigens morgen ein Institut zur Bekämpfung der öffentlichen Gesundheitsgefährdung durch Igelbisse gründe und dieses Institut mit zehn Planstellen ausrüste, dann werde ich jedes Jahr eine Studie bekommen, die vor der wachsenden Gefahr durch aggressive Igel warnt. Alles andere wäre ja auch ziemlich dumm von den Mitarbeitern des Institutes.«

(Harald Martenstein im Zeit-Magazin)

Die dunkle Seite des Ministeriums

Widerstand ist zwecklos

Das Bundesinnenministerium hat die eigene Internetseite modernisiert und setzt dabei voll auf Sicherheit. Bei der Bildauswahl zum Thema hat  sich die zuständige Agentur jedoch vergriffen. Ein schwarzer Hubschrauber schafft bei niemandem ein Gefühl der Sicherheit und des Vertrauens, sondern wirkt eher einschüchternd und verunsichernd. Könnte natürlich Absicht sein!

Lant*

[Get only posts in English]

My dear fellow attention whores,

Can we please stop inventing new bullshit terms for each and every variant of a variant of an attack scenario? Sure, at times we need new terms naming new concepts. Spam is an example, phishing is another. I don’t complain about these. What bothers me is our tendency to modify these general terms every time some slight modification of the concept appears: from spam to spit, from phishing to pharming, hishing, sishing, or wishing. Other than the useful terms for generic concepts, these creations make our lives harder, not easier. They are confusing us and others.

Why this rant? I got a call this morning from a journalist. She wanted to know everything about whaling. WTF? It turned out she really wanted to know everything about GhostNet and the security issues and attack strategies involved. But she didn’t say so and she seemed fixated upon whaling, which, I have to admit, sounds sort of cool and interesting. However, it lead to a failure in communication. She failed to get across her actual need for information, confusing me with a meaningless term that she had picked up somewhere. I failed to get across to her that I do know my share of computer security and that I might actually be able to answer some of her questions.

Coining new terms isn’t wrong per se. But names are like money. Producing too many makes them all worthless.

Yours sincerely,

Sven

*) Letter-style rant.

Scares are changing