In einem Wort

security-industrial complex

O-Töne

TR-Mail

E-Mail vom Staat, das löst hierzulande einiges Misstrauen aus. Woanders fragt man gar nicht erst:

»Ab nächstem Jahr bekommen alle türkischen Neugeborenen eine E-Mail-Adresse vom Staat. Diese Adresse wird von einer Behörde verwaltet und in den Pass gedruckt. Zugleich soll die Verwendung ausländischer Dienste wie Google und Yahoo verboten werden. Das Projekt dient der nationalen Sicherheit.«

(Welt Online: Nationale Sicherheit: Jeder Türke erhält eine E-Mail-Adresse vom Staat)

Warum wettern Datenschützer gegen Google Analytics?

Datenschützer nerven. Folgt man den Medienberichten der letzten Zeit, so scheint ihre Arbeit nur noch um grotesk Irrelevantes zu kreisen. Die langjährigen Lieblingsthemen: IP-Adressen als personenbezogene Daten und formale Nörgeleien an Google Analytics. Relevant ist das kaum und es interessiert auch keinen. Warum tun die Datenschützer das?

Vielleicht versuchen sie nur, mit einer Situation umzugehen, die sie zur Hilflosigkeit verdammt. An den Stellen, an denen es darauf ankäme, ist Datenschutz politisch nicht oder nur als formalistisches Deckmäntelchen gewollt. Eigentlich müssten sich Datenschützer mit Vorratsdatenspeicherung und Bankdatentransfer beschäftigen, aber auf diesen Gebieten werden sie von vornherein durch die Politik übergangen.

Ähnlich machtlos ist der Datenschutz gegenüber dem Gegenstand seiner Bemühungen, dem Bürger. Der macht von seinem Recht auf informationelle Selbstbestimmung Gebrauch: er unterschreibt fröhlich Verträge für Rabattkarten und hat zu Hause ein Trojanisches Pferd auf dem PC, das ihm beim Online-Banking zuschaut.

Das lässt den Datenschützern zwei Möglichkeiten. Sie könnten erstens das Scheitern der Idee Datenschutz eingestehen und ihre Ämter niederlegen. Was aber auch nur einen personellen Wechsel zur Folge hätte, ohne das Problem zu beseitigen. Oder sie können sich zweitens neue Betätigungsfelder suchen, die zwar nicht relevant sind, auf denen ihr Gegner aber nicht so haushoch überlegen ist wie im Kampf gegen die Politik. Diese Möglichkeit haben sie gewählt und deshalb beschäftigen sie sich mit Diskussionen über IP-Adressen als personenbezogene Daten, über Google Analytics und ähnliche Themen.

Vielleicht ist ihnen sogar bewusst, dass das eine Ersatzbefriedigung mit einem nur sehr vagen Realitätsbezug ist. Aber irgendwie müssen sie vor sich und der Welt rechtfertigen, Datenschützer zu sein. Die Alternative wäre das Eingeständnis, ein totes Pferd geritten zu haben, und das fällt keinem leicht. Auch wenn es nervt, menschlich verständlich ist das alles schon.

(Erweiterte Fassung eines Kommentars im Heise-Forum)

Ergänzung: Zur angeprangerten Nutzung der IP-Adresse für die Geolokalisierung  steuert User REPNZ im Forum noch diese schöne Bemerkung bei: »…wissen das auch “Angelica and Sheila from Offenbach”, die immer mal wieder mit mir “chatten” oder “daten” wollen?« Das ist eine sehr gute Frage, denn so ziemlich alles, was Google Analytics technisch anstellt, um Daten zu erfassen und auszuwerten, findet tausendfach an anderer Stelle auch statt, ohne dass es angeprangert würde.

Auf den Punkt gebracht

»Innenminister erklären den Cyberspace zum Taliban-Gebiet.«

(FAZ.NET: Der Staat erobert das Internet zurück)

Unterschätzte Risiken: Wettsingen

Das kommt heraus, wenn man seinen Sicherheitsbehörden freien Lauf lässt, statt sie auf nützliches Handeln gegen echte Bedrohungen zu beschränken:

»Beamte des aserbaidschanischen Ministeriums für Nationale Sicherheit (…) haben nach verschiedenen Medienberichten die Identität von Bürgern ermittelt, die beim Eurovision Song Contest 2009 in Moskau für den Beitrag Armeniens gestimmt haben. Mindestens ein Betroffener wurde verhört und aufgefordert, sein Handeln schriftlich zu begründen.«

(sicherheitsblog.info: Aserbaidschan, der Geheimdienst und der Eurovision Song Contest 2009)

Merke: Sicherheit darf weder Selbstzweck sein noch als Begründung für x-beliebige Maßnahmen herhalten. Was sogleich die Frage aufwirft, wie man vorbeugende Maßnahmen denn richtig begründet.

Cool or not cool?

Cryptographic Voting the MIT style.

Unterschätzte Risiken: Erdwärme

Sieht so aus, als bekäme der Rhein einen neuen Zufluss:

»Ein riesiger Wasserschaden ist in Wiesbaden bei Erdwärme-Bohrungen entstanden. Rund 6.000 Liter Wasser schießen pro Minute in die Höhe. Wann das Bohrloch in der Innenstadt geschlossen werden kann, war am späten Abend unklar.«

(HR: Erdwärme-Bohrungen: Gewaltiger Wasserschaden in Wiesbaden)

Jetzt kann Aachen einpacken.

In einem Wort

Rotationseuropäer (a.k.a. mobile ethnische Minderheiten)

Spurensuche

Neue Regeln für Radfahrer, dabei hat doch eine neue Studie gerade enthüllt, dass sich die Radfahrer noch nicht mal an die alten halten und Regelverstöße absichtlich begehen. Vielleicht hat man deshalb jetzt die Regeln auch eher gelockert. Das nennt man dann bedarfsgerechte Gesetzgebung.

»Minister Tatenlos«

Schäublone-Erfinder Dirk Adler im Interview (via Isotopp) über die mutmaßlichen Motive des Innenministers:

»Ich glaube, er fürchtet sich davor nach einem Terroranschlag hier in Deutschland als Minister Tatenlos da zu stehen. Seine Verantwortung für die Sicherheit treibt ihn an alle möglichen Hebel in Bewegung zu setzen, ob sie nun die richtigen sind oder nicht.«

Ich nenne das mal vorläufig Visible Precaution Bias und meine damit die bereits früher beschriebene Tendenz verantwortlicher Amtsträger, sichtbar Vorsichtsmaßnahmen zu ergreifen, auch wenn diese Maßnahmen objektiv keinen Sinn haben.

Kennt jemand Ansätze im Risikomanagement, die solche Effekte berücksichtigen und systematisch korrigieren?

Risikoperspektive

Über die Tipps des Auswärtigen Amtes zur Redution des persönlichen Terrorrisikos wollte ich mich auch noch lustig machen. Muss ich aber nicht, denn Burkhard Müller-Ullrich hat über diese CYA-Aktion bereits alles gesagt:

»Nochmal zum Mitschreiben: Das Außenministerium rät Mallorca-Urlaubern, Menschenansammlungen zu meiden. Man fragt sich, ob der Verfasser dieses Ratschlags schon mal auf Mallorca war und was er sonst noch von der Welt weiß.«

(Die Achse des Guten: Menschenmassen meiden!)

Tatsächlich geht es wohl gar nicht gar nicht darum, brauchbare Sicherheitshinweise zu geben. Das wäre weder nötig noch praktikabel, denn das persönliche Risiko ist auch nach den Knallfröschen vom Wochenende gering und jede weitere Reduktion mit übergroßen Kosten verbunden. Aber ein zuständiges Amt traut sich nur selten, einfach mit den Schultern zu zucken und unvermeidliche Risiken auf sich beruhen zu lassen. Irgendetwas muss man vorher tun, damit einem später keiner vorwerfen kann, man habe nichts getan. Risikointuition nennen wir das, und sie ergibt sich stets aus der persönlichen Perspektive des Handelnden. Wobei der Begriff Intuition vielleicht falsch ist, denn der Kern des Problems ist nicht die intuitive Bewertung des Risikos, sondern dessen Betrachtung aus der individuellen Perspektive.

Spione und Nähkästchen

Das schöne am digitalen Diebstahl ist ja, es fehlt den betroffenen nix. Wenn aber in die Firma analog eingebrochen wird und die Diebe ignorieren offensichtliche Wertgegenstände wie Bildschirme,  dann war’s vielleicht ein Datendieb.  Woran man einen Griff in die Datenkasse des eigenen Unternehmens bemerken kann, erzählt Wilfried-Erich Kartden von der Spionageabwehr  des Innenministeriums von NRW in der aktuellen IT-Sicherheit. Im Wikipedia-Stil trennt er erstmal zwischen Wirtschaftsspionage (staatliche Aktivitäten) und Konkurrenz-/Industriespionage (Spionage durch Unternehmen). Nach einem Exkurs über korrupte Übersetzer, Bauarbeitern mit WLAN-Routern und Keylogger-Funde kommt die Existenzberechtigungsstatistik von Corporate Trust (2007): 35,1 Prozent der deutscheun Unternehmen glauben, sie seien schon Opfer von Wirtschaftsspionage geworden. 64,4 Prozent hätten auch einen finanziellen Schaden zu verzeichnen. Die Schäden reichen von 10.000 bis 1 Millionen und das Wichtigste – die Schadensfälle steigen – laut Umfrage um 10 Prozent pro Jahr.  Sagt alles wenig aus, hört sich aber gut an.

Read the rest of this entry »

Jubel für Wolfgang Schäuble

Ein Veranstaltungstipp für unsere Leserinnen und Leser im süddeutschen Raum:

»In Tübingen hat sich ein Kreis von Aktiven getroffen und sich Gedanken darüber gemacht, wie die Verleihung der Ehrendoktorwürde an Wolfgang Schäuble gebührend gewürdigt werden kann.

Der Kreis kam zum Ergebnis eine Aktionsform zu wählen die der Position und dem Amt eines Innenminister würdig ist. Am Freitag, 26. Juni 2009 um 11 Uhr möchten sich doch alle Menschen vor dem Clubhaus (Wilhelmstraße 30) treffen, um anschließend vor dem Bonatzbau in spontanen Jubel für Wolfgang Schäuble auszubrechen. (…)«

(BlogChronik der Kommunikationsguerilla:
Jubel für Wolfgang Schäuble)

Demonstrieren

Der Bundestag hat Zensursulas Denkzeugmanipulation erwartungsgemäß abgenickt. Wer deswegen wütend ist und sich im Rhein-Main-Gebiet aufhält, der könnte das zum Beispiel morgen (Samstag, 2009-06-20) Mittag in Frankfurt zeigen. Die hessischen Piraten rufen zur Demonstration. Treffpunkt: Paulsplatz ab 11:30.

Kurze Durchsage

Die Herren Isotopp, Knüwer und Vetter kommentieren die politische Lage.

Compliance leicht gemacht

Microsoft hat den .NET Messenger für Nutzer in Kuba, Syrien, Iran, Sudan und Nordkorea gesperrt. Diese Länder unterliegen einem Embargo der Vereinigten Staaten; US-Firmen dürfen mit ihnen keine Geschäfte machen. Manche finden das hirnrissig (das ist es auch, aber es ist Gesetz), während andere die Umsetzung für hirnrissig halten. Microsoft benutzt nämlich einfach die im Profil hinterlegte Landeseinstellung des Nutzers, und die ist frei wählbar.

Diese Implementierung ist aber nicht hirnrissig, sondern vollständig rational und typisch für Compliance-Probleme. Security dreht sich um die Lösung eigener Probleme, die Durchsetzung eigener Interessen mit technischen und organisatorischen Mitteln. Diese Mittel sollen – im Rahmen des jeweils vertretbaren Aufwandes – effektiv sein, also böswillige Angriffe tatsächlich abwehren. Dabei besteht ein direkter Zusammenhang zwischen den erwarteten Schäden durch Angriffe und dem vertretbaren Aufwand.

Compliance hingegen erfordert die Wahrung fremder Interessen, auferlegter Regeln und Anforderungen. Zu eigenen Interessen eines Unternehmens werden sie erst aufgrund angedrohter Zwangsmaßnahmen. Effektivität ist auch hier das Ziel, aber maßgeblich sind nun nicht mehr die direkten Auswirkungen, sondern die angedrohten. Die sind willkürlich festgelegt.

Ein Unternehmen, das Compliance erzielen möchte beziehungsweise muss, wird deshalb jeweils zum einfachsten und billigsten Mittel greifen, das die angedrohten Zwangsmaßnahmen genügend zuverlässig abwehrt. Dieses Mittel muss keinen realen Effekt haben. Es muss lediglich die Kontrolleure zufriedenstellen. Die Lösung von Microsoft für das Compliance-Problem des Messengers leistet dies vermutlich.

Das tatsächliche Problem ist damit vorerst gelöst. Ob Kubaner, Sudanesen oder Nordkoreaner mit dem .NET Messenger chatten, ist dagegen nur ein Scheinproblem. Ohne Compliance-Zwänge wäre es Microsoft einfach egal. Aus geschäftlicher Sicht gäbe es keinen Grund darüber auch nur nachzudenken.

Die wissen, was sie tun

“Befürchtungen, die Liste sperrwürdiger Inhalte würde sehr schnell sehr lang werden, sind in meinen Augen berechtigt”, sagte Zypries dem “Hamburger Abendblatt”.
(…)
Zypries erinnerte daran, dass die Internetfirmen gezwungen werden, eine Technik anzubieten, mit der sich beliebig Seiten sperren lassen. “Ich gehe davon aus, dass dadurch Begehrlichkeiten geweckt werden, auch Inhalte ausländischer Anbieter zu reglementieren, die keinen Bezug zu Kinderpornografie aufweisen”, sagte sie.

(Frankfurter Rundschau:
Internet: Zypries warnt vor weiterer Beschränkung)

Die dunkle Seite des Ministeriums

Widerstand ist zwecklos

Das Bundesinnenministerium hat die eigene Internetseite modernisiert und setzt dabei voll auf Sicherheit. Bei der Bildauswahl zum Thema hat  sich die zuständige Agentur jedoch vergriffen. Ein schwarzer Hubschrauber schafft bei niemandem ein Gefühl der Sicherheit und des Vertrauens, sondern wirkt eher einschüchternd und verunsichernd. Könnte natürlich Absicht sein!

Merkel-Phone

Merkel with phone

Morgen will T-Systems das Merkelphone präsentieren. Aber wenn man heise glauben schenken darf, dann darf Merkel das Ding nicht benutzen. Denn das Ding ist ja angeblich nur für VS-NfD (Verschlussache Nur für den Dienstgebrauch) bestimmt. Frau Merkel, Herr Schäuble, deren Stab, ja auch Roland Koch und seine Minister haben aber mitunter Unterlagen zu bearbeiten, die einer höheren Geheimhaltungsstufe unterliegen. Dafür ist das SIMKO2-Handy dann gar nicht zugelassen. Überhaupt viel spannender ist doch, wie die Abhörpflicht umgesetzt wird.  Müssen Politiker dann ihre BlackBerrys abgeben wie Obama? Vielleicht verrät Arnold Schwarzenegger Frau Merkel heute Abend auf der CeBIT-Eröffnung, wie der Staat Californien mit Geheimnissen umgeht.

Rüsselsheim macht Ernst

Nach einer Schießerei im vergangenen Sommer hatte der Rüsselsheimer Oberbürgermeister angekündigt, man wolle das beeinträchtigte Sicherheitsempfinden der Bürger reparieren. Wie? So:

»Mit der dreiteiligen Vortragsreihe „Rüsselsheim? Aber sicher!“ möchte die Stadt das Sicherheitsgefühl der Bürger stärken. (…)«

Beruhigender für die Bürger dürfte die Mordanklage gegen drei mutmaßlich Beteiligte sein.

Chips für Schäuble?

kryptochip

Gestern konnte man in Heise über die geplante Präsentation von SIMKO2 (aka Schäuble-Handy) lesen, mit dem die Regierung Politiker und hohe Amtsträger abhörsicher machen will. Entsprechende Krypto-Chips kann man derzeit in Barcelona auf dem World Mobile Congress bestaunen, etwa von der  Firma certgate aus Nürnberg. Wie der Deutschlandfunk im Januar deutlich machte, sind bzgl. des SIMKO-Einsatzes ja noch einige fragen offen. Technische Details gibt es wohl erst bei der SIMKO2-Präsentation auf der CeBIT, hier der aktuelle Stand der Dinge:

Read the rest of this entry »

Der Klimastrohmann

Egal ob Slashdot oder Anti-Ökologismus-Blog,  Telepolis oder ScienceBlogs, wo das Netz übers Klima palavert, geht die Debatte unweigerlich den Weg jeder Helmdiskussion. Zwei Lager stehen einander unversöhnlich gegenüber und jede Seite hält die andere für die rechte Hand des Teufels. Auf einer Seite der Front kämpft man gegen Leugner, auf der anderen gegen Alarmisten.

Das Ergebnis ist eine tausendfach wiederholte Strohmanndebatte, die zu nichts führt, weil sie um die falschen Fragen kreist. Tatsächlich geht es gar nicht zuerst um Wissenschaft, sondern um Politik. Der Versuch, die politische Debatte allein wissenschaftlich zu klären, ist ebenso unseriös wie umgekehrt eine Politk, die die Erkenntnisse der Wissenschaft ohne Begründung ignoriert.

Die Wissenschaft liefert uns eine physikalische Theorie über die Wirkung von CO₂ in der Atmosphäre. Diese Theorie ist erstens mit anderen, selten angezweifelten Erkenntnissen der Naturwissenschaften kompatibel bzw. folgt sie daraus. Die Wissenschaft liefert uns zweitens direkte Messdaten aus den letzten ca. 200 Jahren, die zur Theorie passen. Bis hierhin sind Zweifel blöd, so blöd, dass man sie getrost ignorieren kann. Die direkte Wirkung von CO₂ tritt sehr schnell ein, so dass man sie bereits über kurze Zeiträume gut beobachten kann; gleichzeitig erfolgt die Änderung des CO₂-Gehalts auch schnell genug. Read the rest of this entry »