»Einzelne Todesfälle werden in der Presse geradezu zelebriert. Graphiken mit steil aufragenden Kurven signalisieren höchste Gefahr und zeigen, dass wir am Rande des Abgrunds stehen.Für Sammler von Beispielen, wie man Zahlen nicht interpretieren sollte, herrschen goldene Zeiten. Alles, wovor man Erstsemester warnt, wird geboten.
(…)
Fehlendes Wissen bedeutet Unsicherheit. Das scheint als Einladung verstanden zu werden, mit auf Glauben beruhenden Aussagen für Sicherheit zu sorgen. Zahlen und objektive Risikoabschätzungen sucht man oft vergeblich. Das könnte akzeptiert werden, wenn der Glauben als solcher deklariert und nicht als Wissensmogelpackung präsentiert würde.
(…)
Wie ein roter Faden zieht sich die Abneigung gegenüber Zahlen durch Berichte. Ein Grund mag die schlechte Datenlage sein, aber auch vorhandene werden ignoriert. Die gegenwärtig besten stammen von der Südhalbkugel. Erfahrungen und Zahlen des dort fast beendeten Winters geben keinen Anlass für Katastrophenszenarien.
(…)
Das diffuse Bild ist natürliche Folge der objektiven Unsicherheit. Verwerflich ist, dass diese Unsicherheit nicht als solche deklariert wird, sondern durch Ignoranz ein Bild von Sicherheit erzeugt wird, das mit der Realität nichts zu tun hat. Die gesellschaftliche Unfähigkeit, mit Risiken rational umzugehen, ist erschreckend.«
Ich hoffe doch sehr, dass hier nur ein Journalist etwas in den falschen Hals bekommen hat:
»Die Abkehr vom Propeller hatte allerdings noch ein anderes, verstecktes Motiv, einen Grundsatz der Luftfahrt: lieber einen bewährt ausfallsicheren Motor als eine zwar effiziente, aber weniger erprobte Konstruktion. Bislang lief deshalb alles in die Richtung, dass der Passagier, der Mensch, wichtiger ist als der Eisbär. Lieber ein paar Tonnen Kerosin mehr verfeuern, das aber zuverlässig. Das ist jetzt nicht mehr zu halten.«
»Dann aber berichtet der Teamleiter von einer überraschenden Beobachtung: In China und anderen Ländern, wo sich die neue Variante des Virustyps H1N1 ausbreite, „gehen die Befunde mit H3N2 gleichzeitig schnell nach unten“, sagt er. Die Kollegen merken auf. Heißt das, die neuen Viren, Verursacher der weltweit verbreiteten Schweinegrippe, verdrängen die bisherigen, saisonalen Grippeviren, weil sie im Körper ihrer Wirte um den gleichen Platz konkurrieren? Werden damit die „pathogeneren“ Viren ausgerottet, diejenigen also, die mehr schwere Erkrankungen und Todesfälle verursachen?«
Ob so etwas medizinisch plausibel ist, kann ich nicht beurteilen, und es interessiert mich auch nicht besonders. Viel interessanter ist nämlich der Aspekt der Risikomanagements. Wenn so ein Verdrängungseffekt prinzipiell möglich ist, er aber erst nach einer größeren Zahl beobachteter Fälle nachweisbar wird, worauf stütze ich dann a priori meine Risikoschätzung? Wieviel Willkür, wieviel Faustregel und wieviel Cargo-Kult steckt eigentlich in einer Impfempfehlung?
Auf der Website des Veranstalters heißt es, man erhalte eine Aufwandsentschädigung für Fahrtkosten. Was die Frage aufwirft, welche Motivation es für Eltern geben könnte, ihre Wänsdr zur Verfügung zu stellen.
Was die Frankfurter Rundschau berichtet, ist bis zur nächsten Badesaison sicher wieder vergessen:
»Innerhalb von rund zwei Wochen sind auf der Ferieninsel elf Menschen beim Schwimmen oder Tauchen im Meer ums Leben gekommen – acht der Opfer waren deutsche Touristen.«
Software testers increasingly have to deal with production systems. Some tests make sense only with production systems, such as Nessus-style vulnerability scanning. And an increasing number of systems is hard to reproduce in a test bed as the system is really a mashup of services, sharing infrastructure with other systems on various levels of abstraction.
Testing production systems imposes an additional requirement upon the tester, production safety. Testing is production-safe if it does not cause undesired side-effects for the users of the tested or any other system. Potential side effects are manifold: denial of service, information disclosure, real-world effects caused by test inputs, or alteration of production data, to name just a few. Testers of production systems therefore must take precautions to limit the risks of their testing.
Unfortunately it is not yet very clear what this means in practice. Jeremiah Grossman unwittingly started a discussion when he made production-saftey a criterion in his comparison of Website vulnerability assessment vendors. Yesterday he followed up on this matter with a questionnaire, which is supposed to help vendors and their clients to discuss production-safety.
The time is just right to point to our own contribution to this discussion. We felt a lack of documented best practice for production-safe testing, so we documented what we learned over a few years of security testing. The result is a short paper, which my colleague and co-author Jörn is going to present this weekend at the TAIC PART 2009 conference: Testing Production Systems Safely: Common Precautions in Penetration Testing. In this paper we tried to generalize our solutions to the safety problems we encountered.
The issue is also being discussed in the cloud computing community, but their starting point is slightly different. Service providers might want to ban activities such as automated scanning, and deploy technical and legal measures to enforce such a ban. They have good reason to do so, but their users may have equally good reason to do security testing. One proposal being discussed is a ScanAuth API to separate legitimate from rogue scans. Such an API will, however, only solve the formal part of the problem. Legitimate testing still needs to be production-safe.
Yesterday I visited the CAST-Workshop on mobile security for intelligent cars, which ended with a very interesting discussion that illustrated the complexity of the problem and raised many interesting questions. First the speakers gave a good overview over the main research areas and important projects like Evita or SIM-TD, which is said to be the biggest field test world wide, that focusses on car-2-x-communication. Everybody agreed on the main distinctions (Safety vs. Security; in-car communication, car2car communication, etc.) and privacy issues were the main topic. As Frank Kargl from the University of Ulm pointed out, the car has a strong connection to its owner and its movements might tell a lot about the individual. Already privacy concerns have entered the car world, because navigation tools send home gps information and companies like Tom Tom generate a large data collection.
Steven Levitt, after looking at a vast amount of accident data, is convinced that child car seats are pretty useless for children of ages >2. His TED talk teaches important lessons on how we think about safety equipment.
»Ein Rollerfahrer ist am Sonntagabend in Giessen durch ein Wahlplakat verletzt worden.
Das 100 mal 50 Zentimeter große Plakat hatte sich wegen starker Windböen aus seiner Halterung gelöst und wurde direkt vor den fahrenden Pizzaboten geweht.«
Wir Informatiker haben es einfach. Ein Labor ist für uns meistens ein Stück Netz mit ein paar Rechnern dran, oder heute oft nur noch ein einziger Rechner mit ein paar virtuellen Maschinen drauf. Viel kann da nicht passieren.
In einem klassischen Labor ist das anders. Da gibt es Chemikalien, Druckbehälter, Krankheitserreger, Strahlung, Elektrizität, Maschinen, Tiere und was man sonst noch braucht, wenn man sich um einen Darwin Award bewirbt.
Walk-in refrigerators (or “cold boxes”) typically recirculate the chilled air in their interiors, so storing volatile materials in them can pose special hazards—any gases or vapors may concentrate inside over time.
Recently on the X Campus, a walk-in refrigerator was used to store dry ice. (…) The dry ice, of course, gave off carbon dioxide (CO2) gas as it sublimed, causing the refrigerator to build up CO2 levels of 12,000 parts per million (ppm)!
Zu einigen der beschriebenen Fälle gibt es auch Fotos.
»A Canadian woman driving a small car was involved in a car crash. Investigators found that she likely would have survived if not for her laptop, which had been placed unsecured in the back seat and which flew forward and hit her in the back of the head.«
Zur Forderung der Gesellschaft für Neurochirurgie vor zwei Jahren nach einer Hempflicht für Radfahrer hat Jan Niklas Fingerle nachgefragt, worauf sie denn beruhe. Ergebnis: dazu möchte man nichts sagen.
Auf rationale Argumente kommt es aber ohnehin nicht an. Wer einmal an den Helm glaubt, dem ist sowieso alles Bestätigung, selbst offenkundiges Versagen. Neu ist das freilich nicht.
»Schwere, aber nicht lebensbedrohende Schädelverletzungen hat sich ein 77 Jahre alter Autofahrer am Montag gegen 16.55 Uhr bei einem Verkehrsunfall in der Oderstraße zugezogen. Wie die Polizei erst jetzt mitteilt, hatte der Mann nach dem Parken bemerkt, dass der Schlüssel seines Wagens noch steckte. Als er diesen von der Beifahrerseite aus abziehen wollte, drehte er ihn in die falsche Richtung und betätigte den Anlasser …«
Beim Parken vom eigenen Auto überrollt zu werden ist schon eine Leistung.
Leitplanken sind eine feine Sache. Sie halten ein außer Kontrolle geratenes Fahrzeug auf seiner Fahrbahn und können so zwar keinen Unfall verhindern, aber oft die Folgen reduzieren. Dass ihre Wirkung Grenzen hat, sieht man regelmäßig bei Lkw-Unfällen. Sie können aber auch zu den Unfallfolgen beitragen, etwa wenn jemand ein Auto baut, das sich unter die Leitplanke schiebt:
»Der Fahrer geriet gegen 3 Uhr mit seinem Cabrio-Sportwagen bei hoher Geschwindigkeit ins Schleudern und verlor die Kontrolle über sein Fahrzeug. Der Wagen drehte sich und schob sich auf einer Länge von etwa 50 Metern unter die Leitplanke.«
»Glück im Unglück hatte ein 77-jähriger Autofahrer in Kassel: Weil sich seine Fußmatte am Gaspedal verhakte, raste er mit Vollgas gegen eine Ampel. Der Wagen hatte Totalschaden – der Rentner blieb unverletzt.«
In the morning hours of December 8th, 2008 a railcar left the train station of Merseburg, Germany and made a journey of 40 kilometers to Querfurt – all on its own, without a driver or any other person on board. The train finally came to a standstill on an uphill section of the railroad line. Luckily, nobody was injured and no damaged was caused by this ghost train. Apparently the incident was noticed when the railcar began to move and the line could be closed for other railway traffic to avoid collision.
There is no official investigation report so far and the exact causes of the incident remain unknown to the public. However, a programme broadcasted on January 6th, 2009 by the TV station MDR mentioned some interesting details about the incident. The programme quoted an official from the Federal Railway Authority (Eisenbahn-Bundesamt, EBA) vaguely hinting towards “technical faults” and “software problems” as the possible cause. More interesting than that was the description of the incident, which I enrich here with some additional information from Wikipedia:
The railcar was a Bombardier LVT/S, also known as series 672, operated by Burgenlandbahn, a subsidiary of Deutsche Bahn. It had arrived in Merseburg as one part of multiple unit coming from Querfurt. As the trailing unit, to be precise, which means that it still had been self-propelled during its previous service, but remote-controlled from another unit. In Merseburg the train was separated with the intention of using the trailing railcar to operate another service back from Merseburg to Querfurt. This was the one that drove off without waiting for its driver.
The series 672 railcar is equipped with automatic couplers. This makes separating the units really easy: the driver in the leading car stops the multiple unit, pushes a button and drives off with a single railcar, leaving the trailing car behind. It seems that this can leave the former trailing car in a particular condition: with its engines running and the driver’s safety device (aka dead man’s switch) still disabled. According to the TV programme the dead man’s switch, which is mandatory for trains in Germany, has to be disabled in the trailing railcar(s) of a multiple unit where there is no driver to operate it.
This does not explain how the railcar started its uncommanded run in the first place, but it provides a plausible explanation why the train was not stopped by safety mechanisms. The railroad line, being a secondary line, is not equipped with a train protection system. The dead man’s switch therefore was the only mechanism that could have stopped the railcar but failed to do so. To prevent further incidents of this kind, procedures have been changed to ensure that a driver is present in each of the cars when a multiple unit is being separated.
The incident illustrates how straightforward solutions to seemingly simple problems can be subtly wrong. The problem is that the railcar can be operated in different modes that require different configurations of its safety equipment. The system does not enforce, however, that the configuration is appropriate at any time. This may simplify the design of the technology but imposes upon the operator the need to deal with situations of inconsistency that might not be obvious until such an incident occurs.
Posted by Sven Türpe 
Posted by Sven Türpe 
Posted by Sven Türpe 
