Security Theater

(security theater)

Angst vorm Radfahren

Ein Lesetipp fürs Wochenende:

In der Frühjahrsausgabe des Magazins Reflektor, herausgegeben vom ADFC Sachsen, findet sich ein Artikel mit dem Titel Angst vorm Radfahren? der nicht nur für Radfahrer interessant ist. Er eignet sich auch vorzüglich zur allgemeinen Reflexion unserer Ängste und unseres Umgangs damit. Inspirieren ließ sich der Autor vom Essay Fear of Cycling des britischen Soziologen Dave Horton.

Fun Fact: Ich bin in den letzten 6 Jahren fast 20.000km gefahren und dabei nicht einmal vom Fahrrad gefallen.

 

Datenkrake Google (7/7): Privatsphärenschutz in der Datenwolke

[Seriennavi: Teil 1 – Teil 2 – Teil 3 – Teil 4 – Teil 5 – Teil 6 – Teil 7]

Wir haben uns in den Artikeln dieser Serie ein Modell gebildet, was Google mit Daten macht, welche Prinzipien dahinter stecken und wie daraus optimierte und partiell personalisierte Funktionen werden. Wir haben gesehen, dass naive Vorstellungen von Nutzerprofilen wahrscheinlich falsch sind. In Wirklichkeit betreibt Google automatisierte Verhaltensforschung im Industriemaßstab, bezogen auf spezifische Funktionen wie Eingabekorrektur, Übersetzung oder Werbeoptimierung. Als Ergebnis gewinnt Google populationsstatistische Aussagen, die individuell beziehungsweise nach impliziter Gruppenzugehörigkeit modifiziert werden können; eine klare Grenze zwischen diesen Aggregationsgraden gibt es nicht. Erfasst und gespeichert sind Googles Erkenntnisse in den Konfigurationen aufgabenspezifischer Klassifikatoren, die laufend dem globalen Verhalten der Nutzerpopulation angepasst werden. Die naiven Modelle aus Folge 2 passen nicht so recht dazu, auch wenn Google selbst manchmal anderes suggeriert:

Wer ein Google+-Profil hat und mit Google nach seinem eigenen Namen sucht, bekommt vielleicht diese Aufforderung zu sehen. Gemeint sind die expliziten und freiwilligen Angaben im Profil, nicht der Durchleuchtungsgrad der Person.

Damit es keine Missverständnisse gibt: Google besteht nicht nur aus lernenden Maschinen, viele Funktionen und Dienste nutzen auch herkömmliche Verfahren. Welche Termine in meinem Google-Kalender stehen, wen ich in Google+ in welchen Circles habe und welche Nachrichten in meinem GMail-Account liegen, speichert und verarbeitet Google (auch) ganz normal im Klartext, wie es jeder SaaS-Anbieter in der Cloud tun würde. Darauf mag man alle etablierten Begriffe und Modelle des Datenschutzes anwenden, wenngleich sie sich vielleicht aus anderen Gründen als unpassend erweisen. Ich behandle hier die Angstfunktion Daten sammeln und auswerten. Daten einfach zu sammeln lohnt sich im Google-Maßstab nicht, weil man mit einer Datenhalde wenig anfangen kann. Nach meinem Modell nutzt Google umfangreiche Daten, um damit einen Satz an Betriebsparametern fortlaufend zu optimieren und dem Lauf der Welt anzupassen. Die Optimierung und Anpassung erfolgt interaktiv, Google lernt von seinen Nutzern, was richtig und was falsch ist, was ähnlich und was verschieden. Das ist etwas anderes als das elektronische Profil, das Thilo Weichert sich vorstellt und es hat Folgen, die er sich nicht vorstellt.

Was ist anders?

Ein Klassifikator häuft nicht einfach Daten an. Er besitzt eine Konfiguration und zwei Grundfunktionen, Lernen und Klassifizieren. In der Funktion Klassifizieren erhält er einen Datensatz als Eingabe und gibt eine Entscheidung oder Entscheidungsempfehlung aus. In der Funktion Lernen passt er seine Konfiguration an, um die Rate der Fehlentscheidungen zu reduzieren. Die Konfiguration des Klassifikators gibt nicht die einzelnen Eingabedaten wieder, sondern ein davon abgeleitetes Modell. Darin unterscheidet sich dieser Ansatz von der Karteikarten-IT herkömmlicher Datenbanken, die alle Eingaben wörtlich abspeichern und als Ausgabefunktion im wesentlichen das Herausfiltern der jeweils gesuchten Daten anbieten. Welche Daten ein Klassifikator nutzt und was er über uns weiß, sind zwei Paar Schuhe. Wir können einen Klassifikator nicht danach befragen, welche Eingabedaten er zu einer Person erhalten hat.

Das führt zu interessanten Folgerungen für den Privatsphärenschutz:

1. Verhaltensbeobachtung und -auswertung bedeutet nicht zwingend eine Verletzung der Privatsphäre. Beispiele dafür sind die Korrekturfunktionen in der Google-Suche und in Google Translate, die aus dem Benutzerverhalten lernen. Google beobachtet bestimmte Aspekte des Nutzerverhaltens über eine Folge von Vorgängen hinweg, interessiert sich am Ende aber vor allem für statistische Aussagen.
2. Ein Kontinuum an Personenbezug. Ein Klassifikator kann personenbezogene Entscheidungen treffen, er muss es aber nicht. Er wird Entscheidungen nach den Kriterien treffen, die in der Vergangenheit erfolgreich waren. Da die Konfiguration des Klassifikators variabel ist, kann sich der personenbezogene Entscheidungsanteil laufend ändern. Nützlich ist ein Klassifikator vor allem dort, wo es verallgemeinerbare Zusammenhänge in den Daten gibt – Verallgemeinerung ist das Gegenteil von persönlichen Profilen. Die vielen Einzeldaten braucht man , weil man die Verallgemeinerungsregeln vorher nicht kennt.
3. Einzelne Merkmale – IP-Adresse, Cookies, Geburtsdatum und so weiter – sind wenig relevant. Klassifikatoren arbeiten in vieldimensionalen Merkmalsräumen und bei guter Konstruktion tragen alle Dimensionen zur Klassifikationsleistung bei. Lässt man eine Merkmalsdimension weg, bleiben (n-1) übrig, für ein ziemlich großes n. Die Klassifikationsleistung verringert sich dadurch nur wenig, zumal in den verwendeten Daten Korrelationen zwischen mehreren Dimensionen auftreten können. Das heißt auch: ein Klassifikator kann relativ robust gegen gelöschte Cookies sein.
4. Der Grad der Personalisierung hängt auch vom Nutzerfeedback ab. Wie stark die Entscheidungen eines Klassifikators personalisiert sind, hängt davon ab, welches Feedback der Nutzer zu diesen Entscheidungen gibt. Wer viel Werbung anklickt, personalisiert seine Werbeeinblendungen damit, falls dieses Feedback mit Personen- oder Pseudonymbezug zum Lernen verwendet wird.
5. Klassifikator-Modelle sind inhärent zweckgebunden. Ein Klassifikator wird für eine bestimmte Aufgabe entworfen und trainiert. Zwar kann man die dabei entstehende Konfiguration als Modell der Problemlösung untersuchen und dabei Interessantes herausfinden. Jedoch lässt sich ein Klassifikator nicht einfach für etwas anderes verwenden. Einen universellen Klassifikator, der »alles« kann, gibt es nicht; jedes Optimierungsverfahren benötigt Annahmen über das Problem. Man kann freilich einen Klassifikator mit Personen als Ausgabeklassen bauen, wenn man Feedback über die Richtigkeit der Zuordnung bekommt.
6. Löschen geht nicht – aber Personenbezüge können verblassen. Sind Daten über einen Nutzer in die Konfiguration eines Klassifikators eingeflossen und dort mit anderen Daten verschmolzen, lässt sich dieser Vorgang nicht sinnvoll rückgängig machen. Liefert ein Nutzer keine neuen Daten nach, werden seine Einflüsse jedoch nach und nach von anderen überlagert. Ein fortwährend trainierter Klassifikator in einer veränderlichenUmgebung verliert im Laufe der Zeit seine Fähigkeit, auf diesen Nutzer personalisierte Entscheidungen zu treffen – er vergisst, ohne auf den Innenminister und dessen Ideenwettbewerb zu warten.

Solche Phänomene sind in unseren überlieferten Datenschutz-Konzepten nicht vorgesehen. Wir können auf verschiedene Arten damit umgehen. Wir können auf die Einhaltung formaler Vorschriften aus einer anderen Zeit pochen und Bürokratie als Selbstzweck vollziehen. Dann ist Google verboten, bis jeder Nutzer eine Generalvollmacht erteilt hat und ab und zu gibt es einen Shitstorm. Oder wir erinnern uns daran, dass Datenschutz als Mittel zum Zweck unserer Selbstbestimmung über unsere Privatsphäre dienen soll. Dann müssen wir bei diesem Ziel ansetzen und uns neu überlegen, wie die Technik es bedroht und wie vielleicht auch nicht.

Datenschutzreformen

Juristen diskutieren seit geraumer Zeit über Datenschutzreformen. Thomas Stadler berichtete zum Beispiel in seinem Blog über ein Thesenpapier zur Datenschutzreform (hier gibt’s einen Aufsatz dazu). In der Rechtsanwendung gibt es noch einmal ganz eigene Probleme. Aus Amerikanisch-Kanadischer Sicht beschäftigt sich Tara Whalen mit der Frage, wie man den Personenbezug sinnvoll definieren sollte und fasst im Artikel This Time, It’s Personal. Recent Discussions on Concepts of Personal Information (paywalled) den Stand der Debatte zusammen.

Als Informatiker kann ich dort nicht qualifiziert mitreden. Mir stellen sich andere, aber verwandte Fragen: Wie sieht wirksamer Privatsphärenschutz in heutigen und künftigen soziotechnischen Systemen aus? Von welchen Bedrohungsmodellen muss er ausgehen und wie kann er die Evolution der Technik zulassen und begleiten?

Cookies, IP-Adressen und die Datenübermittlung in andere Länder nützen uns als Diskussionsrahmen wenig. Die Radikallösung, Teile des Netzes ungenutzt zu lassen, ist wegen seines großen Nutzens keine realistische Option. Interessanter ist, wer uns anhand welcher Daten wehtun kann, wie wahrscheinlich das ist, und welche wirksamen Maßnahmen es dagegen gibt.

Die Abstraktion des personenbezogenen Datums und der Entscheidung des Betroffenen, wer dieses Datum haben darf, stammt aus einer anderen Ära der Informationstechnik. Unabhängig davon, in welchem Maße Techniken wie die von Google eingesetzten unsere Privatsphäre bedrohen oder nicht, können wir mit der Freigabe einzelner Datensätze und Datenfelder keinen sinnvollen Einfluss auf eventuelle Risiken nehmen. Vielleicht müssen wir uns gänzlich von der Idee lösen, dass es auf Daten ankäme, und uns damit beschäftigen, was daraus gemacht wird.

Die individuellen und gesellschaftlichen Privatsphären-Interessen müssen wir außerdem abwägen gegen das berechtigte Interesse einer Firma wie Google, technische Details für sich zu behalten. Bessere Klassifikatoren zu bauen als der Rest der Welt gehört zu Googles Kerngeschäft. Andererseits sollte die Technik so transparent sein, dass sie informierte Entscheidungen unterstützt, wobei es auf die Entscheidungen ank0mmt und nicht auf deren formalisierte Niederlegung im Vertragsstil. Mit diesem Spannungsfeld sowie mit realistischen Bedrohungsmodellen muss sich der organisierte Datenschutz beschäftigen, wenn er in Zukunft relevant bleiben möchte. Laut über Daten-Schmu zu schimpfen und dann weiter alte Modelle auf neue Technik anzuwenden, bringt uns keinen Schritt weiter.

Schlusswort

Google ist im wahrsten Sinn des Wortes ein Elektronengehirn, wie es die Science Fiction einst beschrieb. Wer um jeden Preis Angst haben möchte, stellt sich unter Google am besten so etwas wie HAL 9000 vor, hochskaliert auf einen Planeten anstelle eines Raumschiffs. Google verhielte sich ähnlich, zöge man ihm nach und nach die Speichermodule raus – Google würde nach und nach verblöden.

The famous red eye of HAL 9000 by Cryteria, CC-BY 3.0 unported

Unter dieser Prämisse lautet die Grundsatzfrage: Welche Denkverbote müssen wir so einem Computer auferlegen und welche nicht? Wie formulieren wir solche Denkverbote, wenn wir den größtmöglichen Nutzen behalten wollen? Oder brauchen wir in Wirklichkeit gar keine Denkverbote für Elektronengehirne, sondern angemessene Denkweisen und Begriffe für uns selbst als Individuen und als Gesellschaft? Fürs erste tut es auch eine kleinere Frage: Wie machen wir eine Datenverarbeitung transparent für Nutzer, die komplizierter ist als die gute alte Datenbank? Ein Stück Verständnis hat Google mit seiner aufgeräumten Datenschutzerklärung schon mal effektiv vermittelt, nämlich dass seine einzelnen Dienste nur Sichten auf ein System  sind. Das haben jetzt alle verstanden.

Risiken aushalten

Wissenschaftler haben ein Vogelgrippevirus gebaut, mit dem man Leute umbringen könnte. Jetzt gibt es Forderungen, die gewonnenen Erkenntnisse zurückzuhalten, um sie nicht in falsche Hände gelangen zu lassen, sowie den unvermeidlichen Protest dagegen. Wir Security-Heinis können angesichts der Debatte nur gepflegt mit den Schultern zucken: Natürlich soll man’s veröffentlichen wie jede andere Wissenschaft auch. Dass wir das so sehen, hat zwei Gründe. Zum einen haben wir ähnliche Diskussionen schon oft geführt, wenn es um den Umgang mit Wissen über Sicherheitslücken ging. Zum anderen haben wir realistische Vorstellungen davon, welch geringen Sicherheitsgewinn die Nichtveröffentlichung verspricht.

Steven Bellovin zieht Parallelen zur Atombombenforschung in den 40er Jahren und vermutet, dass die erkennbare Geheimhaltung der Amerikaner den Sowjets signalisiert hat, dass was im Busch ist. Als weiteres Beispiel  führt er Versuche der NSA an, die öffentliche Kryptographie-Forschung zu behindern und argumentiert, dass die nationale Sicherheit Amerikas letzlich von der breiten Verfügbarkeit starker Kryptographie profitiert. Bellovin argumentiert außerdem, dass so eine Genmanipulationsgeschichte im Vergleich zu anderen verfügbaren Terrorwaffen viel zu kompliziert und aufwändig sei.

Dan Geer bringt den begrenzten Nutzen einer Nichtveröffentlichung auf den Punkt:

»Does anyone in this room think that the computers of, in this case, the University of Wisconsin at Madison or the Erasmus Medical Centre in Rotterdam have not already been plundered for the research we are now trying to suppress? Even if they had not been plundered before, as soon as the “do not publish”
directive hit the press those whose job it is to aim cyberattacks at high value targets hit the ground running.«

Wer Informationen vor interessierten Staaten oder fähigen Terroristen schützen möchte, muss sich richtig anstrengen, zumal wenn es so interessant ist, dass darum eine Debatte entbrennt. Etwas nicht zu veröffentlichen ist nur ein passiver Schutz, dann bekommt niemand die Information frei Haus geliefert. Wer etwas wirklich geheimhalten will, muss das Geheimnis aber aktiv schützen. Und selbst dann bestünde der maximale Gewinn der Verteidiger in einer Zeitverzögerung beim Gegner. Was zwei Labors aufbauend auf dem Stand der Forschung geschafft haben, kriegt früher oder später auch ein drittes hin. Gleichzeitig würde das Zurückhalten der Ergebnisse Arbeiten behindern, die zu wirksamen Gegenmaßnahmen gegen eine hypothetisch daraus entwickelte Biowaffe führen könnten. Das wäre ein Eigentor.

Ob das Virus überhaupt zur Biowaffe taugt, ist auch noch offen. Waffen zeichnen sich nicht dadurch aus, dass sie beliebig gefährlich sind, sondern dadurch, dass man ihre Gewalt kontrolliert anwenden kann. Sogar Selbstmordattentäter suchen sich Ziele, statt wild in der Gegend herumzuexplodieren. Damit etwas zur Waffe wird, muss es deshalb die Möglichkeit bieten, zwischen Freund und Feind zu unterscheiden. Neue Waffen müssen ferner in irgendeiner Hinsicht besser sein als die alten, damit sie sich durchsetzen, da funktionieren Terror und Krieg ganz marktwirtschaftlich.

Das Personalchefargument

Kommentarrecycling (dort im Spamfilter hängengeblieben):

Aus Diskussionen über öffentliche persönliche Informationen ist der googelnde Personalchef kaum wegzudenken. Gestritten wird dann darüber, was er denn nun sehen oder nicht sehen soll, damit dem Verkäufer eigener Arbeitskraft nichts schlimmes passiere. Gerne malt man sich phantasievoll die möglichen Folgen verstaubter Partyfotos aus, das gehört zu den Standards solcher Diskussionen. Doch es gibt ein grundlegendes Problem mit dem googelnden Personalchef: das Personalchefargument ist falsch, weil es von falschen Voraussetzungen ausgeht. Auf die Feinheit, ob der Personalchef nun etwas finden soll oder lieber nicht, kommt es dabei nicht an. Im Gegenteil, die Beliebigkeit in diesem Aspekt deutet auf ein grundlegendes Problem in den Axiomen hin. Wer mit einem falschen Satz von Axiomen anfängt, kann damit bekanntlich alles und das Gegenteil begründen.

Das Personalchefargument unterstellt als – regelmäßig unausgesprochene – Voraussetzung ein Unterwerfungsverhältnis zwischen Unternehmen (“Arbeitgebern”) und für sie Arbeitenden (“Arbeitnehmern”). Der Arbeitnehmer habe sich dem Arbeitgeber wohlgefällig zu verhalten, folgt daraus. In dieser Einseitigkeit ist das Modell falsch. In Wirklichkeit gibt es einen Arbeitsmarkt. Wie jeder andere Markt führt der Arbeitsmarkt führt der Arbeitsmarkt Parteien zusammen, die jeweils ihre eigenen Interessen verfolgen, und lässt sie Geschäfte zum beiderseitigen Nutzen machen. Dabei muss jeder dem anderen entgegenkommen, um seinen angestrebten Nutzen zu realisieren. Ich muss Zeit opfern, um Geld zu verdienen; eine Firma muss Geld opfern, um meine Zeit und meine Fähigkeiten zu bekommen. In der Ökonomie drückt man alles in Geld aus; im richtigen Leben spielen Faktoren wie das Betriebsklima auch ohne explizite Umrechnung eine Rolle.

In einem idealen Markt gibt es keine Ungleichgewichte, keine Seite kann den Markt über ihre Teilnahme hinaus zugunsten der eigenen Interessen beeinflussen. In der Realität greift man zuweilen regulierend ein, wo sich ein Markt zu weit von diesem Ideal entfernt. Regulierende Eingriffe können auch deshalb nötig sein, weil einige der theoretischen Eigenschaften idealer Märkte gar nicht realisierbar sind, zum Beispiel unendlich viele Teilnehmer auf beiden Seiten.

Das Personalchefargument ignoriert die Gegenseitigkeit des marktwirtschaftlichen Austauschs. Es postuliert Verhaltensregeln für Arbeitende, aber keine für Unternehmen, als gäbe es ein Kartell der Arbeitgeber. In Wirklichkeit muss aber jede Seite der anderen entgegenkommen, sonst finden keine Geschäfte statt, und was in einer Paarung von Marktteilnehmern nicht funktioniert, kann in einer anderen zum guten Geschäft werden.

Es mag also durchaus vorkommen, dass Personalchefs Saufbilder aus dem Internet in ihren Entscheidungen berücksichtigen. So wie es auch vorkommt, dass Firmen ihre Entscheidungen auf Horoskope oder graphologische Gutachten stützen. Das bedeutet dann aber nicht, dass jemand keine Arbeit findet, sondern lediglich, dass in einer bestimmten Konstellation kein Geschäft zustandekommt. Sind die Gründe dafür irrational, so ist das sogar zum Schaden des irrational Handelnden.

Eine Voraussetzung für einen gut funktionierenden Markt ist übrigens Transparenz: jeder Teilnehmer soll alle für rationale Entscheidungen relevanten Preise und Qualitätsmerkmale kennen. Die richtige Schlussfolgerung aus dem Personalchefargument ist deshalb nicht, dass jeder Arbeitende sein Online-Image zu polieren habe, sondern dass neben unseren Saufbildern auch die Dreckecken der Unternehmen ins Netz gestellt gehören. Wenn ich mich bei einem Unternehmen bewerbe, bewirbt sich gleichzeitig das Unternehmen bei mir. Da möchte ich schon etwas über seine Vergangenheit erfahren, und die Sommerfeste und Weihnachtsfeiern sind dabei minder relevant.

Unterschätzte Risiken: Sicherheitsbewusstsein – und Kindergartenbedrohungsmodelle

Die Vorgeschichte:

Jemand hat eine Schadsoftware verbreitet, die den Datenverkehr befallener Systeme umleitet. Das FBI hat die dafür verwendeten Server unter seine Kontrolle gebracht und zunächst weiterlaufen lassen, will sie aber demnächst abschalten. Das BSI stellt zusammen mit der Telekom eine Website bereit, mit der man seinen PC auf Befall prüfen kann und ggf. ein Tool zur Bereinigung angeboten bekommt.

Das Ergebnis:

»Verwirrung um die Schadsoftware DNS-Changer: User fürchten nach dem Aufruf zum Rechner-Selbsttest des Bundesamtes für Sicherheit in der Informationstechnik, sie könnten sich den Staatstrojaner einfangen. Die Behörde weist die Vermutung zurück.«

(Focus Online:
Angst vor Hacker-Angriff und dem Staatstrojaner: Internetnutzer trauen dns-ok.de nicht)

Kinder, das ist doch blöd. Wenn ich einen Staatstrojaner unter die Leute bringen will, dann mache ich das nicht so, dass mein Werk nach drei Stunden aufgeflogen und durchanalysiert ist. Und überhaupt, woher habt Ihr Euer Angreifermodell? Was muss man geraucht haben, um bei jeder Handlung der Behörden eines demokratischen Rechtsstaates zuerst eine gegen sich selbst gerichtete Verschwörung zu vermuten? Sicher, Behörden machen manchmal Mist, zuweilen auch richtig großen und mit Vorsatz. Aber so eine plumpe Verteilaktion, wie Ihr sie unterstellt? Ihr seid ja nicht ganz dicht.

Bevormundungsstaat angreifen

Jörg Friedrich ruft zum Widerstand gegen die Sicherheitsbürokratie auf und hat damit vollkommen Recht:

»Wer nicht eines Tages mit leuchtender Warnweste und Helm auf dem Kopf durch die Stadt spazieren will, dem bleibt im Moment nur, Sand ins Getriebe zu streuen. Keiner automatischen Verpflichtung, auch wenn man sie selbst für sich als angenehm empfindet, zuzustimmen. Niemand muss mir vorschreiben, etwas zu tun oder zu lassen, dessen Risiko nur mich selbst betrifft.«

(Der Freitag:
Bevormundungsstaat: Die risikolose Gesellschaft)

Unterschätzte Risiken: Angstpolicies

Sicherheitsverantwortliche in Unternehmen und anderen Organisationen sind dazu da, dass man jemanden feuern kann, wenn etwas in die Hose gegangen ist. Policies – Verhaltensregeln für Mitarbeiter – dienen dazu, diesen Vorgang möglichst weit hinauszuzögern. Der Verantwortliche als Herausgeber einer Policy hat mit der Herausgabe etwas getan, er hat Risiken von sich auf andere verlagert. Und nebenbei vielleicht der Organisation geschadet:

»A recent survey conducted by Telus and the Rotman School of Management indicates that companies that ban employees from using social media are 30 per cent more likely to suffer computer security breaches than firms that are more lenient on the issue of workers tweeting and checking Facebook posts in the office.«

(Facebook bans at work linked to increased security breaches)

 

0,00035-mal tot

Die Rad-Spannerei hat sich mehr Mühe gegeben als ich neulich und konkrete Zahlen zum Risiko beim Radfahren zusammengetragen und in Relation zum allgemeinen Lebensrisiko gesetzt:

»Pro 100 Millionen Personenkilometer gab der ADAC in Fachbroschüren am Anfang des Jahres 1,6 getötete Radfahrer an (Link). Für Berlin kann man folgendes berechnen: Gut 1 Millionen Fahrten täglich*, als Durchschnittstrecke wurde im Jahr 2006 vom Senat ein Wert von ca. 3,8 Kilometern angegeben. Das sind pro Jahr ca. 1,4 Milliarden Fahrradkilometer, auf denen sich jeweils 500 Personen schwer verletzen und etwa 10 sterben. So berechnet gibt es pro 100 Millionen Personenkilometer 0,7 Tote und 35 Schwerverletzte. Wer pro Jahr 3000 Kilometer fährt, wird dabei 0,00021 Tote erzeugen und 0,00105 Schwerverletzte.«

Die Schlussfolgerung bleibt dieselbe. Nach dieser Rechnung werde ich bei 5000km in diesem Jahr im Mittel 0,00035-mal an einem Fahrradunfall sterben oder einmal in 2857 Jahren. Selbst wenn sie sich um eine Größenordnung, d.h. den Faktor 10 verschätzt hätten, bekäme ich keine Angst. Ich kenne nämlich keinen, der in 2857 oder auch in 286 Jahren nicht gestorben wäre, woran auch immer.

Wichtigtuer

Wovor die Helmzwangdebatte geflissentlich ausweicht, ist die Risikoanalyse, die dem Gezänk schnell ein Ende machte. Radfahren ist keine besonders gefährliche Tätigkeit. Das Risiko, dabei an einer Kopfverletzung zu sterben, bleibt gering. Erst in der Summe über die Bevölkerung wird dieses Risiko überhaupt sichtbar − und liegt in derselben Größenordnung wie jenes von tödlichen Badeunfällen. Das eine wie das andere Übel kann man getrost als Schicksalsschlag einordnen, tragisch für den, dem er zustößt, aber weit davon entfernt, die Bevölkerung zu dezimieren. Analoge Betrachtungen kann man über die Verletzungsrisiken anstellen.

In der Aggregation wird auch der ganze wirtschaftliche Irrwitz einer Helmpflicht deutlich. Kauften wir nur zu jedem zweiten der 70 Millionen Fahrräder in Deutschland einen Helm für günstige 20 Euro, so kämen stattliche 700 Millionen Euro Kosten zusammen. Eine zweifelhafte Investition, wenn man nüchtern rechnet und das reale Schutzpotenzial ansetzt, das die kolportierten Wunderwirkungen weit untertreffen dürfte. So ein Fahrradhelm schützt nämlich nicht einmal den halben Kopf und das am besten bei Stürzen, die man auch ohne Helm leicht überlebt.

Radfahrer handeln rational, wenn sie die mit Helmen beeinflusste Risikokomponente im Rauschen der allgemeinen und insgesamt geringen Lebensrisiken verschwinden sehen und auf besondere Schutzausrüstung verzichten. Unredlich hingegen handelt, wer solche Risikobetrachtungen unterlässt und die Staatsmacht als Bekleidungspolizei missbrauchen möchte. Wer sich mit Helm wohlfühlt, mag einen tragen. Einer Pflicht dazu fehlt jedoch jede sachliche Rechtfertigung.

P.S.: Kann mal jemand im Koran nachgucken, ob ein Fahrradhelm als Kopftuch durchgeht? Das wäre zwar gemogelt, gäbe der Diskussion aber einen ganz anderen Anstrich.

Angst vorm Risiko

Cora Stephan liest uns die Leviten:

»Überall Warnungen, Ratschläge: Wer hierzulande Radio hört, muss glauben, in Deutschland wohnten nur Muttersöhnchen. Das ist fatal.«

(Welt Online: Das Risiko ist zum Inbegriff des Schreckens geworden)

Recht hat sie. Risiko ist nichts, wovor man Angst haben müsste, Risiko ist einfach Ungewissheit über die Zukunft, die sich kaum vermeiden lässt. Quantifizierte und analysierte Ungewissheit, um genau zu sein, also das Maximum an Prophezeiung, zu dem wir anhand der vorliegenden Daten in der Lage sind.  Vermeiden können wir Risiken nicht, wir können uns nur darauf vorbereiten. Woraus einem interessierte Antagonisten allerdings manchmal einen Strick zu drehen versuchen, wie etwa im Falle von Stuttgart 21, wo die Gegner eine umfangreiche Analyse der Projektrisiken zu einem Kritikpunkt umdeutete. Dabei sind Projektrisiken unvermeidlich und ihre systematische Behandlung Teil jedes Projektmanagements.

Angstlust

»Ängste sind für Journalisten etwas Grenzerotisches. Über Ängste zu berichten, sie zu schüren, mit ihnen zu spielen, ist die Verlockung dieses aufmerksamkeitsheischenden Berufes, weil Leser oder Zuschauer viel über Dinge erfahren wollen, die ihnen Angst machen.«

(sueddeutsche.de: Todesfalle, Sexfalle, Hirnfalle)

Liebe Melanie Berg,

Wenn Sie wieder einmal eine verlorene Tasche finden, dann machen Sie sich damit nicht wichtig. Sondern tun Sie in aller Ruhe das, was Ihren Mitmenschen als das Naheliegendste erscheint: bringen Sie ihren Fund ins Fundbüro. Dass Menschen etwas verlieren oder liegenlassen, ist ein alltäglicher Vorgang, der keinen Polizeieinsatz und keine Bahnhofssperrung erfordert. Und falls Sie sich wirklich einmal unsicher sind, ob die gefundene Tasche nicht doch eine Bombe enthält, dann öffnen Sie einfach den Reißverschluss und schauen Sie hinein. Meistens ist ein Rucksack nämlich einfach ein Rucksack. Oder haben Sie so viele schlechte Filme gesehen, dass Sie Angst davor haben?

Greenpeace-Logik

Es gibt Menschen und Organisationen, für die sind beherrschbare Unfälle der größte anzunehmende Unfall:

»Sollte Tepco die Lage in Fukushima unter Kontrolle bekommen, könnte der falsche Eindruck entstehen, selbst schwere Atomunfälle seien vom Menschen beherrschbar.«

(Tagesspiegel: Fukushima: Kampf mit den Elementen)

Die träumen wohl weiter vom zweiten Tschernobyl. Gut, dass wir das endlich mal empirisch klären.

Imagerisiko?

Einer plappert es dem anderen nach, bis alle ganz fest dran glauben: Fehler in der IT-Sicherheit fügen Unternehmen schwere Reputaitonsschäden zu, die sie an den Rand des Untergangs bringen. Das klingt zunächst plausibel – stimmt aber vielleicht überhaupt nicht. Oder ist schon mal eine Bank pleite gegangen, nachdem ihre Kundendaten an deutsche Steuerbehörden verkauft wurden?

Wir brauchen langsam mal ein neues Marketing und neue Beraterpasswörter.

Mehr Sicherheitsgefühl durch Terrorwarnungen

Der Bundesinnenminister hat seinen Schopenhauer gelesen und verstanden:

»De Maizière betonte, nach seinem öffentlichen Gefahrenhinweis hätten Umfragen gezeigt, dass sich viele Bürger sicherer gefühlt haben als vorher.«

(Spiegel Online: Innenminister de Maizière: “Schöner Sieg über psychologische Kriegführung der Terroristen”)

Wenn uns jetzt noch Rösler vor einer Epidemie, Ramsauer vor Verkehrsunfällen und Aigner vor dem Internet warnt, gehen wir völlig unbesorgt aus dem Haus.

Kindernet

Gut, dass das mal jemand sagt:

„Die Wahrscheinlichkeit, dass Kinder in Deutschland mit Sex und anderen jugendgefährdenden Inhalten ist im Internet konfrontiert werden, ist geringer als im Fernsehen oder bei DVD.“

(Welt Online:
Kinder im Netz: Die Internet-Risiken werden maßlos übertrieben)

Offen bleibt, warum alle immer zuerst an Sex denken, wenn von Jugendgefährdung die Rede ist.

Schützt unsere Jugend erst mal vor ihren Lehrern

Waren das vielleicht gar keine Nerds, die uns die abstrakte Schneeballschlacht bescherten, sondern Pennäler, die ihre übervorsichtigen Lehrer öffentlich auslachen? Dieser Zettel hing ungefähr hundertfach in der Schule, die ich am Abend zwecks Teilnahme an einem VHS-Kurs besuchte:

Was geht in so einem Lehrerkopf vor, während die Hände das aufhängen? Oder vorher schon, wenn der erste Gedanke bei Schneefall der ans Aufhängen einer Angstklausel ist? Vermutlich denkt er vor allem an sich selbst: bloß nicht schuld sein, wenn etwas passiert. Wen kümmert schon der Realitätsbezug, wenn es darum geht, sich durch die Schaffung einer günstigen Aktenlage abzusichern.

Man beachte auch, obwohl hier völlig off-topic, wie die rituelle Genderei aus unseren Kindern zunächst Schülerinnen und Schüler, inzwischen jedoch »SuS« gemacht hat. Ihr habt doch alle einen Klaps. Und wir sollen für den Jugendschutz zwischen sechs und zehn kein Internet mehr senden?

In einem Wort

RUMINT (Rumour Intelligence)

Rolltore gegen Terroristen

Das wird den fiesen Terrorplan bestimmt vereiteln:

»Um 15.18 Uhr gingen die stählernen Rolltore an den Seiteneingängen des Hauptbahnhofs hinunter. Und dort sollen sie bis auf weiteres auch bleiben. Denn die akute Terrorgefahr, die Bundesinnenminister Thomas de Maizière am Mittwochmittag für das gesamte Bundesgebiet öffentlich gemacht hatte, hat auch für den Großraum München sichtbare Folgen.«

(sueddeutsche.de: Wenn am Bahnhof die Gitter runtergehen)

Jedenfalls wenn der fiese Terrorplan ganz wesentlich darauf beruht, den Münchener Hauptbahnhof durch die Seiteneingänge zu betreten oder zu verlassen. Bestünde der Plan hingegen darin, sagen wir mal, einen Selbstmordanschlag auf einen katholischen Gottesdienst zu verüben, dann wären die Rolltore an den Seiteneingängen des Bahnhofes bedeutungslos. Aber dieses Szenario ist natürlich weit hergeholt, kein islamistischer Terrorist käme auf die Idee, einen katholischen Gottesdienst in Bayern anzugreifen.

Wie beruhigend, dass unser Terrorkommando erst am Montag eintreffen soll, da haben wir noch ein wenig Zeit zum Nachdenken. Zum Beispiel darüber, wie ernst wir “Geheim”dienstinformationen nehmen sollen, die derart breitgetreten werden, dass sie in jeder Zeitung zu lesen sind.

Spezialexperten (2)

»Scharen von Mikrofonträgern, die im Wendland unterwegs sind und stündlich ihre Frontberichte vom Castor-Transport abliefern, präsentieren einen Atom-Experten im Ostfriesen-Nerz nach dem anderen – aber immer von derselben Feldpostnummer: der der Gegner. Die haben Strahlenmessgeräte und Powerpoint-Präsentationen zur Hand und raunen von hundertfach erhöhten Messwerten, die ihnen jeder wirkliche Experte um die Ohren hauen würde.

Nie kommt einer der Geologen und Physiker zu Wort, die seit dreißig Jahren für Bundes- und Landesregierungen Gutachten über Gorleben erstellen; nie ein Bundesbeamter, der die einzelnen Erkundungsschritte beantragt hat, nie ein Landesbeamter, der die Anträge und Gutachten geprüft und Genehmigungen ausgestellt hat.«

(FAZ.NET: „Atom-Experten“: Protest und Prozeduren)

Wir werden alle sterben

Surveillance Studies macht auf einen Beitrag im Deutschlandradio aufmerksam: Nur der Tod ist sicher, Theorie und Praxis der Risikoabwägung. Hat jemand einen Link zum Anhören gefunden oder muss das Manuskript genügen?

Dreimal Endlagerung

Die Kernkraft steht wieder auf der Tagesordnung. Während die üblichen Verdächtigen ihre eingeübten Protestrituale vollziehen, denken andere nach und erinnern uns an die Realität:

• Die Risiken der Kerntechnik im Vergleich
• Eine politische Betrachtung
• Der Endlagerpopanz im erdgeschichtlichen Kontext (die konditionierte Schlussfolgerung sei verziehen)