Category Archives: Zahlenspiele

7 Tätigkeiten, die 2012 gefährlicher waren als das Radfahren

Sven Türpe:

Jetzt probieren wir mal die Reblog-Funktion von wordpress.com aus. PresseRad erinnert uns daran, dass die meisten Menschen bei etwas anderem als beim Radfahren sterben. Nahezu alle, um genau zu sein: Wenn jemand gestorben ist, kann man daraus mit hoher Sicherheit schließen, dass er auf dem Weg ins Jenseits keinen Fahrradunfall hatte. (Note to self: Gelegentlich mal nachrechnen.)

Originally posted on PresseRad:

Im Jahre 2012 starben in Deutschland laut Statistischem Bundesamt exakt 412 Radfahrer. Jeder dieser getöteten Radfahrer war sicherlich einer zu viel, hinter jedem einzelnen Fall verbirgt sich ein trauriges Schicksal.

Aber was bedeutet diese Zahl “412″ eigentlich. Sind diese 412 nun viel oder wenig, ist Radfahren nun wirklich so gefährlich, wie es oftmals dargestellt wird? Um das mal ein wenig einordnen zu können, hier ein Vergleich mit anderen “Beschäftigungen” im weitesten Sinne:

  1. 417 Menschen starben durch Ertrinken und Untergehen
  2. 426 Personen sind infolge eines Arbeits-, Spiel- bzw. Schulunfalls gestorben
  3. 526 Menschen starben durch Einatmen oder Verschlucken von Nahrungsmitteln
  4. 572 Motorradfahrer starben im Verkehr
  5. 660 Menschen starben als Fußgänger
  6. 1.073 Menschen starben bei Stürzen auf Treppen
  7. 1.384 PKW-Fahrer kamen ums Leben

Insgesamt verstarben in Deutschland genau 869.582 Personen. Der Anteil der getöteten 412 Radfahrer liegt demnach bei 0,047%.

An “Unfällen, Suiziden und vorsätzlichen Handlungen” weist das Statistische Bundesamt übrigens 32.931 Personen…

View original 89 more words

Stundensatz: 22 Euro

Praktikanten verderben die Preise und heulen herum, weil man sie wie Praktikanten behandelt. Dieser langjährige Trend macht auch vor der Sicherheitsbranche nicht Halt. Die Deutsche Post führt vor, wie man 1000 Stunden Pentest für 22.000 Euro einkauft: Statt eine Dienstleistung zu beauftragen und für die geleistete Arbeit zu vergüten, veranstaltet sie einen Wettbewerb und bezahlt nur für Ergebnisse. Und bekommt dafür nicht etwa einen Vogel gezeigt, sondern trifft auf ein williges Prekariat, dem Geld egal ist, wenn es nur was mit Medien^H^H^H^H^H^HHacking machen darf. Damit ist die Post nicht alleine, Bug-Bounty-Programme verbreiten sich rapide und tun im Prinzip dasselbe, nur kontinuierlich. Ist das gut oder schlecht?

Verrechnet

Sehr schön, die Fahrradhelmpropaganda beginnt sich selbst zu zerlegen. Die Helm-PR hat den Punkt erreicht, an dem sich das gepflanzte Mem verselbständigt. Dabei gerät es außer Kontrolle, viele Köche verderben den Brei. Das ist in diesem Fall gut.

Eine Versicherung behauptet dreist:

»Besonders dramatisch ist dabei, dass im Schnitt fast 9 von 10 Fahrradunfällen (85%) Kopfverletzungen nach sich ziehen. Ein Helm kann hier Schlimmstes verhindern.«

(Zurich unterstützt “Fahrradhelm macht Schule”)

Wie wir seit einem OLG-Urteil vor ein paar Tagen wissen, gehören Versicherungen zu den Profiteuren des Helmglaubens. Das Volk lehnt Fahrradhelme mehrheitlich ab, die Tragequote lag 2009 im Mittel über alle Altersgruppen bei gerade mal 11% – wie auch zwei Jahre darauf noch. Einer Versicherung kann also nichts besseres passieren als ein Gericht, welches das übliche und normale Verhalten für leichtsinnig erklärt.

Für den Tagesspiegel versucht sich Markus Mechnich darin, die Schutzwirkung von Fahrradhelmen für unbestreitbar zu erklären. Er verwendet übliche Taktiken: Verzicht auf absolute Zahlen und damit die Risikobewertung, stattdessen Prozentangaben, eine zahlenunabhängige Argumentation und die subtile Einordnung von Kopfverletzungen zwischen Speiseröhrenkrebs und akuter Strahlenkrankheit auf der Schreckensskala. Die Quintessenz: Unfälle, bei denen der Helm helfen könnte, seien nicht auszuschließen, und deshalb solle man unbedingt einen tragen.

Dabei unterläuft ihm ein Lapsus:

»Nach Zahlen des Gesamtverbands der deutschen Versicherer erleiden Radfahrer bei 25,7 Prozent aller schweren Unfälle Verletzungen am Kopf.«

(Ohne Kopfschutz wird es oft tödlich)

Was steht da? Da steht, dass 74,3% der schweren Fahrradunfälle ohne Kopfverletzung abgehen. Selbst wenn wir die ganzen harmlosen Stürze ausklammern, finden wir nur einen bescheidenen Anteil von Kopfverletzungen. Mechnich merkt das auch und versucht sich eilig in die Behauptung zu retten, das Gehirn sei doch wichtiger als Arme und Beine. Dabei unterschlägt er allerdings, dass von Kopf- und nicht von Gehirnverletzungen die Rede ist. Wie eine Kopfverletzung (nebst Beanspruchung der Halswirbelsäule) mit Helm aussieht, kann man sich in einem Helm-PR-Video anschauen, welches wiederum aus der Versicherungsbranche stammt. Zahlen, Analysen und Risikobetrachtungen sucht man dort vergebens, und so muss jeder die gezeigten Bilder selbst interpretieren. Ich sehe im Video ab 6:00 einen Faceplant, der ohne Helm bestenfalls genauso, schlimmstenfalls glimpflicher abgelaufen wäre.

Mechnich – oder sein Kronzeuge Prof. Pohlemann von der Deutschen Gesellschaft für Unfallchirurgie, so richtig klar wird das nicht – argumentiert weiter:

»Normalerweise verhindert der Schädelknochen solche Schäden. Radler erreichten allerdings so hohe Geschwindigkeiten, dass der Knochen bei manchen Stürzen nicht mehr ausreiche.«

(Ohne Kopfschutz wird es oft tödlich)

Das klingt plausibel, bis man sich anschaut, was bei hohen Geschwindigkeiten tatsächlich passiert. Beim Crashtest Pedelec mit 45 km/h in eine Autotür macht der Fahrradhelm keinen Unterschied. Die schwersten Verletzungen sind im Brustbereich zu erwarten und der Kopf schlägt wieder mit dem unbehelmten Gesicht auf.

Ich werde weiter ohne Sturzkappe fahren, wie die meisten Erwachsenen. Fahrradhelme finden eine nennenswerte Verbreitung nur unter unmündigen Kindern. Zu Recht.

Attack-as-a-Service Market Prices

An article in the latest issue of CACM (paywalled) quotes some prices advertised by criminals for elementary attack building blocks:

  • DoS – $50…$500 per day
  • hacking a private e-mail address – $30…$50
  • forged identity documents – <$30
  • software opening fake accounts – <$500
  • custom-made malware – $1,500 + monthly service fee

If you want to get rich, don’t waste your time on developing sophisiticated attack techniques. Look at the services available and devise a business model.

Das Angstgeschäft – ein Verriss

Für den Tagesspiegel nimmt Kevin P. Hoffmann die allgegenwärtge Sicherheitspropaganda auseinander. Kostprobe:

»Gleichwohl sind Bürger heute bereit, mitunter 60 bis über 100 Euro für ein Fahrradschloss auszugeben, um damit ein Rad zu schützen, das kaum doppelt so teuer war.

Auffällig ist auch, mit welcher souveränen Arroganz Vertreter der Sicherheitsbranchen ihrer potenziellen Kundschaft entgegentreten. Bürger seien zu dumm, Gefahren richtig einzuschätzen, hört und liest man immer wieder

(Tagesspiegel: Nach den Anschlägen von Boston: Gute Geschäfte mit der Angst)

Mit Sicherheit ist kein Geschäft zu machen. Investitionen in Sicherheit sind erzwungener Konsum; wer bei Verstand ist, wird die Ausgaben für Sicherheit minimieren und allerlei Risiken einfach hinnehmen. Geschäfte macht man mit Angst, und mit Produkten, die Angst reduzieren. Auf Sicherheit kommt es dabei nicht an.

Number Crunching

HP veröffentlicht den 2012 Cyber Security Risk Report. Neben dem Security Report 2013 von Checkpoint sieht HP natürlich alt aus, aber dafür legen die mit der neuen Forschungsabteilung jetzt ja 14-tägig neue Hot Topics auf den Tisch. Es gab mal Zeiten, da mangelte es an Zahlen, aber mittlerweile gibt es mehr als genug davon. Leider gibt es immer noch zu wenig Maßgebliches oder Interessantes. Gibt es eigentlich eine Statistik über die Anzahl der IT-Sicherheitsstatistiken?

Angriff abgewehrt

Im Zuge der durch die Volkspolizei seit dem 17.6.1953 zur Durchführung der Wiederherstellung der öffentlichen Ruhe und Ordnung getroffenen Maßnahmen wurden festgenommen:

Festnahmen insgesamt: 176 Personen
davon Bürger der DDR: 176 Personen
dem Militärkommandanten übergeben: 4 Personen
den Organen des MfS übergeben 142 Personen
den Gerichten übergeben: 2 Personen
bei der Volkspolizei verblieben: 10 Personen
wieder aus der Haft entlassen: 10 Personen

(Bezirksbehörde Deutsche Volkspolizei Erfurt:
Auswertung der Ereignisse seit dem 17.6.1953)

Zwei Euro fuffzich

In Hessen werden jedes Jahr gut 14-15.000 Fahrräder geklaut, davon 4000 in Frankfurt. Der geschätzte Gesamtschaden liegt bei 6,5 Millionen Euro, die Aufklärungsquote unter zehn Prozent. Bundesweit sind es  300.000 bis 350.000 im Jahr. Dramatische Zahlen? Nö. Bei 70 Millionen Fahrrädern im Land entspricht das gerade mal einem halben Prozent. Der hessische Gesamtschaden ergibt bei 14.000 Fahrrädern einen Schaden von weniger als 500 Euro pro Rad. Auf 350.000 Räder hochgerechnet macht das 175 Millionen Euro – oder zwei Euro fuffzich pro Rad.

Geisterfahrerzählung

Wieviele Geisterfahrer gibt es eigentlich? Der ADAC hat gezählt:

»Im Zeitraum von Dezember 2008 bis Dezember 2009 seien demnach 2800 Falschfahrer im Radio gemeldet worden. Bei den zwölf Unfällen, die dadurch verursacht worden seien, hätten insgesamt 20 Menschen ihr Leben verloren.«

(Spiegel Online: Geisterfahrer: Plötzlich falsch unterwegs)

Das sind ungefähr siebeneinhalb pro Tag, bundesweit. Mancher Radweg schafft diesen Wert pro Minute.

Unterschätzte Risiken: Kinderüberraschung

Laptopdurchsuchung an der Grenze? Pah! Viel eifriger ist der amerikanische Zoll im Beschlagnahmen von Überraschungseiern:

»The U.S. takes catching illegal Kinder candy seriously, judging by the number of them they’ve confiscated in the last year. Officials said they’ve seized more than 25,000 of the treats in 2,000 separate seizures.«

(CBS News: Kinder Surprise egg seized at U.S. border)

 

Flawed Security Economics

I just stumbled upon a piece of economics-of-security reasoning that amazes me:

»Bank robbers steal approximately $100 million per year in the US. (…) To prevent this, banks spend $600 million per year on armored car services and $25 million per year on vault doors. The FBI spends $50 million per year investigating robberies. A good deal more is spent on security guards—approximately 1 million in the US, paid about $24 billion per year (outsourcing makes it difficult to say how many work for banks). In summary, the cost of protecting against bank robberies far exceeds the loss.«

(Michael Lesk, Cybersecurity and Economics, IEEE S&P Nov./Dec. 2011)

I don’t doubt the figures, but the conclusion does not make sense to me. Why should one put the cost of security measures in relation to the losses that they don’t prevent? The $100 million per year are the losses that remain after security. What the security investment prevents is the losses that would occur without it, not the losses that continue to occur despite the effort. I’d love to see an estimation of this quantity. The author even gives a hint towards the possible magnitude, as he continues:

»To look at a less safe society, in a single 2007 bank robbery in Baghdad, robbers made off with $280 million (it was an inside job).«

Perhaps it is even normal for the cost of security to exceed the losses that remain, once the security spending has been optimized?

Fünf Blüten auf 10.000 Einwohner

»Rund 39 000 gefälschte Geldscheine registrierte die Notenbank im vergangenen Jahr mit einem Schaden von 2,1 Millionen Euro. Im Vorjahr hatten 60 000 Falschnoten noch Einbußen von 3,4 Millionen Euro verursacht.
(…)
Rechnerisch kommen jährlich fünf (2010: sieben) Blüten auf 10 000 Einwohner. Im gesamten Euro-Raum liegt das Verhältnis bei 18 Fälschungen auf 10 000 Einwohner.«

(Echo Online: Weniger Euro-Blüten beschlagnahmt als je zuvor)

Unterschätzte Risiken: Sepsis

Die meisten Menschen sterben bekanntlich im Bett, zum Beispiel so:

»Das Kompetenznetz Sepsis hat vor wenigen Jahren nachgewiesen, dass in Deutschland jeden Tag 162 Patienten an dieser Eskalation sterben. Die Zahl ist fast so hoch wie die Zahl der Herzinfarkttoten. Damit ist die Sepsis die dritthäufigste Todesursache, obwohl sie nur selten in der Todesursachenstatistik erscheint, weil dort nur die Grunderkrankungen gelistet werden. Ein Drittel aller intensivmedizinischen Kosten entstehen bei der Behandlung der Sepsis.«

(FAZ.NET: Sepsis-Therapie: Infektion außer Kontrolle)

Risikoanalyse für Gauner

FAZ.NET präsentiert in einer Galerie von Infografiken dieses schöne Stück, das die Aufklärungsquoten verschiedener Verbrechens- und Vergehensarten zeigt und ordnet. Demnach werden Geldfälscher, Geiselnehmer und Autohehler fast immer gefasst, Autoknacker sowie Auto- und Taschendiebe hingegen fast nie. Zur Berufsberatung für legalitätsflexible Arbeitssuchende fehlen jetzt noch analoge Aufstellungen der mittleren Gewinne pro Tat sowie der mittleren Strafe, falls man erwischt wird. Mit diesen Angaben könnten wir ausrechnen, welche Verbrechen sich lohnen. Falls jemand Zahlen hat oder Leute kennt, die Zahlen haben, her damit.

Eine gute Idee schlecht umgesetzt

Das Infor­mations­system der Gesund­heits­bericht­erstat­tung des Bundes ist eine Fundgrube für statistische Gesundheitsdaten, die Joseph Kuhn vom Gesundheits-Check zu Recht empfiehlt. Dort erfahren wir zum Beispiel, dass in der Bundesrepublik des Jahres 1989 aus jeder Milli0n Personenkilometer für Kfz-Insassen 1,31 verlorene Lebensjahre resultierten, aus dem Radfahren hingegen nur 0,02 und damit weniger als aus der Benutzung von Bus (0,11) und Bahn (0,05).

Diese Tabelle hätte ich gerne verlinkt, aber da fängt der Ärger an. Die Inhalte haben keine festen URLs, sondern die Site merkt sich die Navigation ihres Benutzers irgendwo in ihrem Session Management. Wer die Site in mehreren Tabs oder Fenstern öffnet, bekommt beim Reload einer Seite Schwierigkeiten, und verlinken lässt sich anscheinend nur eine Fehlermeldung, aber kein Inhalt.

Stärken zeigt die Site nur in der Erfüllung formaler Anforderungen, vulgo: Compliance. Auf der Startseite prangen CSS- und HTML-Validator-Buttons, und barrierenfrei gibt man sich auch. Das ist nur leider völlig bedeutungslos, solange die Grundfunktionen kaputt sind.

Vielleicht hätten sie die Site nicht in der DDR bei Robotron bauen lassen sollen. Genau danach sieht sie nämlich aus.

0,00035-mal tot

Die Rad-Spannerei hat sich mehr Mühe gegeben als ich neulich und konkrete Zahlen zum Risiko beim Radfahren zusammengetragen und in Relation zum allgemeinen Lebensrisiko gesetzt:

»Pro 100 Millionen Personenkilometer gab der ADAC in Fachbroschüren am Anfang des Jahres 1,6 getötete Radfahrer an (Link). Für Berlin kann man folgendes berechnen: Gut 1 Millionen Fahrten täglich*, als Durchschnittstrecke wurde im Jahr 2006 vom Senat ein Wert von ca. 3,8 Kilometern angegeben. Das sind pro Jahr ca. 1,4 Milliarden Fahrradkilometer, auf denen sich jeweils 500 Personen schwer verletzen und etwa 10 sterben. So berechnet gibt es pro 100 Millionen Personenkilometer 0,7 Tote und 35 Schwerverletzte. Wer pro Jahr 3000 Kilometer fährt, wird dabei 0,00021 Tote erzeugen und 0,00105 Schwerverletzte.«

Die Schlussfolgerung bleibt dieselbe. Nach dieser Rechnung werde ich bei 5000km in diesem Jahr im Mittel 0,00035-mal an einem Fahrradunfall sterben oder einmal in 2857 Jahren. Selbst wenn sie sich um eine Größenordnung, d.h. den Faktor 10 verschätzt hätten, bekäme ich keine Angst. Ich kenne nämlich keinen, der in 2857 oder auch in 286 Jahren nicht gestorben wäre, woran auch immer.