In einem Wort

BesetzerInnen

Du Opfer

Und das musste auch mal gesagt werden:

»In angelsächsischen Ländern ist das Konzept des Biowetters schon deshalb undenkbar, weil man sich verbitten würde, als willfähriges Opfer eines Barometerstandes angesehen zu werden.«

(Herr Kachelmann im Stern, gefunden im weatherlog)

Kragen geplatzt

Ein überfälliger Flame an alle:

»Einzelne Todesfälle werden in der Presse geradezu zelebriert. Graphiken mit steil aufragenden Kurven signalisieren höchste Gefahr und zeigen, dass wir am Rande des Abgrunds stehen.Für Sammler von Beispielen, wie man Zahlen nicht interpretieren sollte, herrschen goldene Zeiten. Alles, wovor man Erstsemester warnt, wird geboten.

(…)

Fehlendes Wissen bedeutet Unsicherheit. Das scheint als Einladung verstanden zu werden, mit auf Glauben beruhenden Aussagen für Sicherheit zu sorgen. Zahlen und objektive Risikoabschätzungen sucht man oft vergeblich. Das könnte akzeptiert werden, wenn der Glauben als solcher deklariert und nicht als Wissensmogelpackung präsentiert würde.

(…)

Wie ein roter Faden zieht sich die Abneigung gegenüber Zahlen durch Berichte. Ein Grund mag die schlechte Datenlage sein, aber auch vorhandene werden ignoriert. Die gegenwärtig besten stammen von der Südhalbkugel. Erfahrungen und Zahlen des dort fast beendeten Winters geben keinen Anlass für Katastrophenszenarien.

(…)

Das diffuse Bild ist natürliche Folge der objektiven Unsicherheit. Verwerflich ist, dass diese Unsicherheit nicht als solche deklariert wird, sondern durch Ignoranz ein Bild von Sicherheit erzeugt wird, das mit der Realität nichts zu tun hat. Die gesellschaftliche Unfähigkeit, mit Risiken rational umzugehen, ist erschreckend.«

(sueddeutsche.de: Kranke Zahlenspiele)

Risikovisualisierung

Bei der BBC gibt’s ein click-by-click Risk-o-meter sowie einen Hinweis auf Parallel Sets, eine Methode zur Datenvisualisierung, die vielleicht zur Darstellung von Risikofaktoren geeignet ist. Wer selbst damit spielen möchte, hier gibt es Software.

Ausschneiden, aufhängen, einmal täglich nachsprechen

Diesen Satz sagen wir Securityheinis viel zu selten:

»But the truth is, there will always be a way for a determined enough adversary to thwart whatever measures we enforce.«

(Patrick Smith: Are we safer than we were eight years ago?)

Der dankbare Araber

Achtung Sicherheitshinweis: wir brauchen gar keine Terrorwarnungen, denn wir gerüchten selbst.

Digital Cold Reading: The CSS History Hack

[See only posts in English]

Cold reading is a technique used by mentalists to simulate psychic powers and impress people. Essentially, the cold reader is supplying words and the other person supplies their meaning as well as hints for the reader.

The CSS history hack, which seems to impress quite a few people, is nothing more than the Web’s version of cold reading. Your impression is that any Web site can read your browser history. Now there is indeed an information leak and no Web site should get access to history information. But this leak is very small. It doesn’t reveal the history altogether to anyone daring to ask. The CSS history issue only gives us an oracle. We can ask the oracle whether a particular URL is in the history or not. So to find out that you’ve read this blog post we would have to ask the oracle about the precise URL of this post.

Nonetheless demonstrations of the history hack impress people. The trick is simple and similar to the cold reading technique. History hack demos use a set of URLs that leads to a hit for almost every Internet user on the world: Google, YouTube, Microsoft, Wikipedia, Flickr, Apple, Slashdot, Amazon, and so on. A mentalist would guess and suggest these until you start giving feedback on which to hook. The CSS history hack replaces this interaction with asking the oracle to avoid wrong guesses. The trick is really to use a set of Web sites that guarantees a hit, and use a minor information leak to remove the wrong guesses from the set that would spoil the effect. This works well with the top 20/top 50/top 1000 sites on the Web, but it won’t scale to arbitrary URLs.

Risikoperspektive

Über die Tipps des Auswärtigen Amtes zur Redution des persönlichen Terrorrisikos wollte ich mich auch noch lustig machen. Muss ich aber nicht, denn Burkhard Müller-Ullrich hat über diese CYA-Aktion bereits alles gesagt:

»Nochmal zum Mitschreiben: Das Außenministerium rät Mallorca-Urlaubern, Menschenansammlungen zu meiden. Man fragt sich, ob der Verfasser dieses Ratschlags schon mal auf Mallorca war und was er sonst noch von der Welt weiß.«

(Die Achse des Guten: Menschenmassen meiden!)

Tatsächlich geht es wohl gar nicht gar nicht darum, brauchbare Sicherheitshinweise zu geben. Das wäre weder nötig noch praktikabel, denn das persönliche Risiko ist auch nach den Knallfröschen vom Wochenende gering und jede weitere Reduktion mit übergroßen Kosten verbunden. Aber ein zuständiges Amt traut sich nur selten, einfach mit den Schultern zu zucken und unvermeidliche Risiken auf sich beruhen zu lassen. Irgendetwas muss man vorher tun, damit einem später keiner vorwerfen kann, man habe nichts getan. Risikointuition nennen wir das, und sie ergibt sich stets aus der persönlichen Perspektive des Handelnden. Wobei der Begriff Intuition vielleicht falsch ist, denn der Kern des Problems ist nicht die intuitive Bewertung des Risikos, sondern dessen Betrachtung aus der individuellen Perspektive.

Icons sind Glückssache

How Effective Are Child Car Seats?

Steven Levitt, after looking at a vast amount of accident data, is convinced that child car seats are pretty useless for children of ages >2. His TED talk teaches important lessons on how we think about safety equipment.

(direct link)

Many thanks to reader Doppelfish for digging this video out.

Can We Say »Don’t Worry«?

[See only posts in English]

Freeman Dyson, being interviewed about his climate catastrophe skepticism, claims that some professions have trouble shrugging off issues as unimportant. He thinks there be a natural tendency to magnify threats:

»Really, just psychologically, it would be very difficult for them to come out and say, “Don’t worry, there isn’t a problem.” It’s sort of natural, since their whole life depends on it being a problem. I don’t say that they’re dishonest. But I think it’s just a normal human reaction. It’s true of the military also. They always magnify the threat. Not because they are dishonest; they really believe that there is a threat and it is their job to take care of it.«

(Freeman Dyson Takes On The Climate Establishment)

Obviously, computer security is another candidate. Paranoia is the norm in our subculture, we love to carry a better safe than sorry attitude. To an extent this attitude is justified by experience; there are many case studies of security not being taken seriously, leading to epic fail. Yet, more security technology is not always better. Do we have tools to reasonably say: »Don’t worry,« and justify our recommendation based on facts?

Security Experts: LEAVE YOUR PASSWORDS HERE

Seen by some cctv-cameras in the backgrounds and a colleague at this year’s Infosecurity Europe in London – “Europe’s No. 1 dedicated security event”. Ah those security nerds just know no fear…

4 Prozent

Glücksbürokraten finden es besorgniserregend, dass Kinder und Jugendliche in sozialen Netzen die informationelle Selbstbestimmung üben und Muttis Mahnungen dabei gerne ignorieren. Sorglos seien die Selbstbestimmer, man müsse ihnen mehr Angst machensie stärker sensibilisieren. Eine Begründung aber bleiben sie uns schuldig. Die handfesten Probleme durch selbstbestimmt veröffentlichte Daten im Netz halten sich anscheinend sehr in Grenzen:

»Schlechte Erfahrungen mit der Veröffentlichung ihrer Daten hätten die Befragten kaum gemacht, weiß Medienpädagogin Maren Würfel, nur 4 Prozent haben sich laut Umfrage darüber beschwert.«

(Heise Online:
“Besondere Herausforderung” soziale Netzwerke)

Könnten wir uns dann vielleicht wieder echten Problemen zuwenden?

PS: Isotopp hat einen Artikel über unterschiedliche Schutzziele von Eltern und Kindern ausgegraben.

Schlagzeilenvergleich

Deutsche Qualitätsmedien:

Microsofts neue Suchmaschine heißt Bing (heise.de)

Microsoft startet neue Suchmaschine (focus.de)

Microsoft startet seine neue Search-Engine (computerzeitung.de)

Microsoft startet bald neue Suchmaschine Bing (sueddeutsche.de)

Bing: Microsoft startet neue Suchmaschine (handelsblatt.com)

Slashdot:

Microsoft Rebrands Live Search As “Bing”

Compliance leicht gemacht

Microsoft hat den .NET Messenger für Nutzer in Kuba, Syrien, Iran, Sudan und Nordkorea gesperrt. Diese Länder unterliegen einem Embargo der Vereinigten Staaten; US-Firmen dürfen mit ihnen keine Geschäfte machen. Manche finden das hirnrissig (das ist es auch, aber es ist Gesetz), während andere die Umsetzung für hirnrissig halten. Microsoft benutzt nämlich einfach die im Profil hinterlegte Landeseinstellung des Nutzers, und die ist frei wählbar.

Diese Implementierung ist aber nicht hirnrissig, sondern vollständig rational und typisch für Compliance-Probleme. Security dreht sich um die Lösung eigener Probleme, die Durchsetzung eigener Interessen mit technischen und organisatorischen Mitteln. Diese Mittel sollen – im Rahmen des jeweils vertretbaren Aufwandes – effektiv sein, also böswillige Angriffe tatsächlich abwehren. Dabei besteht ein direkter Zusammenhang zwischen den erwarteten Schäden durch Angriffe und dem vertretbaren Aufwand.

Compliance hingegen erfordert die Wahrung fremder Interessen, auferlegter Regeln und Anforderungen. Zu eigenen Interessen eines Unternehmens werden sie erst aufgrund angedrohter Zwangsmaßnahmen. Effektivität ist auch hier das Ziel, aber maßgeblich sind nun nicht mehr die direkten Auswirkungen, sondern die angedrohten. Die sind willkürlich festgelegt.

Ein Unternehmen, das Compliance erzielen möchte beziehungsweise muss, wird deshalb jeweils zum einfachsten und billigsten Mittel greifen, das die angedrohten Zwangsmaßnahmen genügend zuverlässig abwehrt. Dieses Mittel muss keinen realen Effekt haben. Es muss lediglich die Kontrolleure zufriedenstellen. Die Lösung von Microsoft für das Compliance-Problem des Messengers leistet dies vermutlich.

Das tatsächliche Problem ist damit vorerst gelöst. Ob Kubaner, Sudanesen oder Nordkoreaner mit dem .NET Messenger chatten, ist dagegen nur ein Scheinproblem. Ohne Compliance-Zwänge wäre es Microsoft einfach egal. Aus geschäftlicher Sicht gäbe es keinen Grund darüber auch nur nachzudenken.

Wenn die Lösung das Problem ist

Paul Watzlawick: Wenn die Lösung das Problem ist, Vortrag von 1987.

(Direktwatzlawick, via Nightline)

Risiken sind Konjunktive

Michael Miersch stellt die richtigen Fragen:

»Und genau dieser Passus fehlt fast immer in der öffentlichen Kommunikation. Was ist eigentlich so furchtbar an dem Satz “Wir wissen es nicht?”? Warum können Schreckensszenarien nicht im Konjunktiv stehen, sondern werden wie gesicherte Berechnungen behandelt? Die Möglichkeitsform ist der Paria der Mediengesellschaft. Sie wird weggesperrt, weil sie die Botschaft verderben könnte.«

(WELT am SONNTAG: Und dann fiebert auch die Sprache)

Risiken sind stets Konjunktive: mögliche zukünftige Ereignisse, deren Eintreten wir uns ausmalen, aber nicht zuverlässig vorhersagen können. Wo wir über Risiken sprechen, gibt es immer etwas, das wir nicht wissen.

Das Eingeständnis, nicht alles zu wissen, wendet sich in der hiesigen Debattenkultur allerdings schnell gegen denjenigen, der es äußert. Aus Risiken werden dann unschätzbare oder nicht auszuschließende Risiken, woraus sich allerlei Strohmannargumente entwickeln lassen. Hinzu kommt ein tiefsitzendes Vorurteil: dass etwas zu tun stets besser sei als nichts zu tun. Wer anfinge, sich seines Nichtwissens bewusst zu werden, der käme am Ende vielleicht zu dem Schluss, dass es manchmal besser wäre, im Angesicht des Risikos einfach überhaupt nichts zu tun, die Hände in den Schoß zu legen und abzuwarten.

Steven Pinker: A brief history of violence

(direct link)

Bedrohungsgefühl

Direkt neben einem Artikel über den Prozess gegen die verhinderten Sauerland-Bomber fühlen sich auf welt.de zwei Drittel der Umfrageteilnehmer trotzdem nicht von Terroristen bedroht:

Wenn das alles nur eine Propagandainszenierung wäre, wie einige Verschwörungstheoretiker glauben, dann wäre es keine besonders erfolgreiche.

In einem Wort

GSR (Gimme Some Room) Technology

Paranoide Weltbilder

Wenn irgendwo ein Koffer steht, bringen wir ihn nicht zum Fundbüro, sondern rufen die Polizei. Wer dem Klimakonsens oder unserer Vorstellung von Klimapolitik widerspricht, ist er sicher von Exxon gekauft. Wenn einer mal sein Geschlechtsteil zeigt, sperren wir ihn vielleicht für Jahrzehnte weg. Diesmal geht die Welt aber wirklich unter. Sogar die Sonne ist hinter uns her. Kinder gehören in den Reihenhausgarten, alles andere ist zu gefährlich. Wenn ein Abgeordneter mit Kinderpornos erwischt wird, handelt es sich wahrscheinlich um ein Komplott (Update: die Wahrheit). Äußern sich Ärzte zum Impfen, steckt garantiert eine fiese Anthroposophenverschwörung dahinter.

Sind wir noch ganz dicht?

Rüsselsheim macht Ernst

Nach einer Schießerei im vergangenen Sommer hatte der Rüsselsheimer Oberbürgermeister angekündigt, man wolle das beeinträchtigte Sicherheitsempfinden der Bürger reparieren. Wie? So:

»Mit der dreiteiligen Vortragsreihe „Rüsselsheim? Aber sicher!“ möchte die Stadt das Sicherheitsgefühl der Bürger stärken. (…)«

Beruhigender für die Bürger dürfte die Mordanklage gegen drei mutmaßlich Beteiligte sein.

Chuck oder die menschliche Festplatte

Secret Geek