Category Archives: Zahlenspiele

Ein frühes Beispiel für „Security Economics“ …

… und die Illustration eines gerne gemachten Denkfehlers verdanken wir den Grenztruppen der DDR:

„Im Frühjahr 1989 stellen Ökonomen der Grenztruppen eine groteske Rechnung auf. Sie teilen die Kosten für die Grenze durch die Summe der Festnahmen und stellen fest, dass jede Festnahme 2,1 Millionen Mark kostet. Der Wert eines durchschnittlichen Werktätigen wird mit 700.000 Mark veranschlagt. Also, folgern sie, ist eine Festnahme dreimal so teuer wie der Verlust eines Werktätigen. Das Resümee lautet nicht: ,macht die Grenze auf‘, sondern: ,macht die Grenze billiger‘.“

Der Denkfehler liegt darin, nur die aktiv abgewehrten Angriffe – Festnahmen bei versuchten Grenzübertritten – zu berücksichtigen. Die größte Wirkung entfaltete die  innerdeutsche Grenze jedoch durch Abschreckung. Die meisten, die ohne Mauer vielleicht in den Westen gegangen wären, versuchten es angesichts der geringen Erfolgsaussichten und hohen Risiken gar nicht erst oder nur auf dem legalen und langwierigen Weg per Ausreiseantrag.

Hinter diesem Denkfehler steckt ein grundsätzliches Problem, mit dem man es immer zu tun bekommt, wenn man die Wirkung von Sicherheitsmaßnahmen messen möchte. Wirksame Maßnahmen führen tendenziell dazu, dass bestimmte Arten von Angriffen insgesamt unterbleiben, weil sie sich nicht mehr lohnen und andere Angriffe oder Ziele attraktiver werden. Wer erfolgreich Sicherheit schafft, kann seinen Erfolg deshalb nicht messen und nachweisen.

Peak Blockchain

This is Peak Blockchain. You can watch it in the rear-view mirror as it lies behind us, shrinking smaller and smaller until it will disappear on the horizon. I am using Google Trends as my rear-view mirror, which allows some easy and superficial yet striking visual argument.

Google Trends interest graph for the search team “blockchain” from 2004 through March, 2018
Peak Blockchain as seen through Google Trends.

Peak Blockchain took place in December, 2017. Up to that time, starting ca. 2013, search interest grew seemingly exponentially, whereas interest has almost halved in the three months from Christmas, 2017 to Easter, 2018.

Peak Blockchain is the all-time high of attention and perceived importance of the blockchain topic. Some confound Peak Blockchain with the Peak of Inflated Expectations in Gartner’s Hype Cycle, which is followed by the Through of Disillusionment, a Slope of Enlightenment, and eventually the Plateau of Productivity. But make no mistake. Neither is the Hype Cycle a law of nature – some technologies just drop off the graph and die, while others are never discovered by the hypecyclists before they become productivenor is blockchain a real and viable technology trend.

Inflated expectations or rather, exaggerated claims were there many, this much is true in the hype cycle mapping. The blockchain narrative emerged out of the cryptocurrency bubble. When the likes of Bitcoin, Ethereum, and IOTA reached the mainstream, it became simultaneously obvious they had little to do with actual currencies and the nominal value of their tokens was not backed by any economic reality other than that of a speculative bubble.

Everyone saw that so-called cryptocurrencies were bullshit and the speculative bubble was about to burst, yet everyone also wanted to talk about it without looking like an idiot. Out of this dilemma was the narrative born that the first and most notorious of the artificial assets, Bitcoin, might collapse but the technology behind it, blockchain, was there to stay. Not only would the “blockchain technology” thus invented – it had been a mere design pattern until then – survive, it would disrupt everything from the financial industry and digital advertising to crybersecurity (sic!) and photography. For none of this claimed disruptive potential existed the slightest example or explanation, but everyone was keen to ride the mounting wave without being seen as just one of those Bitcoin dorks, and so everyone kept inventing what might happen, somehow, in the future.

Blockchain is only one of several related concepts – others being Bitcoin and cryptocurrencies – that peaked at about the same time:

Google Trends graphy for “blockchain”, “ethereum”, “iota”, and “cryptocurrency”
Peak Cyptocurrency according to Google Trends (no-BTC version).
The previous diagram with b itcoin included
Peak Bitcoin trumps all the other peaks.

In all cases we see the same steep rise followed by an equally steep decline. This observation alone should suffice to convince everyone that nothing is to be expected from blockchains, regardless of what the IBMs and SAPs of this world are claiming after having fallen for the ploy. We saw peaks like this before. Little more than a decade ago, Second Life was the blockchain of its time:

Trend graphs for blockchain and cryptocurrency compared with the one of Second Life
Peak Second Life of 2007.

At that time everyone, including a number of otherwise reputable companies, rushed to stake their claims in the virtual toy world that Second Life really was and is. The gullible and superstitious believed that companies would benefit from possessing real estate in this toy world and that 3D avatars sitting around virtual tables would be the future of business meetings. This was bullshit not only in hindsight. Everyone with the slightest understanding of human-computer interaction and collaborative technology could easily see how Second Life missed just about any point. This did not prevent IBM from betting a few bucks on the future of Second Life and even trying to create an enterprise version of it where company secrets would stay behind a firewall.

Second Life is long forgotten, and rightly so. There never was any real promise in it, there was only a popular (in certain circles) delusion and the fear of missing out that also drives our contemporary bullshit business fad.

Let us look at real technology trends for comparison. They do not peak and then collapse, but rather grow organically. Take cloud computing, for example:

Google Trends graph for “cloud computing.”
Google Trends graph for “cloud computing.”

We see no steep peak here, but rather a mostly linear growth over the course of four years from 2007 to 2011. After climbing to its all-time high, interest decreases slowly and remains at a high level for a long time. Other than Second Life, cloud computing is here to stay.

Another real trend is REST APIs, a way of designing web services that are meant to be accessed by programs rather than users:

Trend graph for REST API
Trend graph for REST API.

We see a mostly steady increase over more than a decade that at some point gained a bit of speed. Again, there is no sudden peak here. As a third example, NoSQL databases started a bit later but otherwise exhibit a similar trend graph:

Trend graph for NoSQL databases
Trend graph for NoSQL databases.

Even topics that had some hype to them and were being discussed by the general public exhibit slower increases and declines if there is substance behind the hype. Take, for example, “big data” and some related terms:

Trend graphs for “big data,” “data science,” and “machine learning.”
Trend graphs for “big data,” “data science,” and “machine learning.”

Real technology trends and topics take time to develop and then they persist or even continue to grow for quite a while. A real technology trend is an evolutionary process. Something gets discovered or invented and turns out useful. People apply the idea and develop it further, which makes it more attractive.

Genuine technology does not suddenly appear like a Marian apparition and disrupt everything within months, nor does interest in it fade as quickly as it would for anything lacking substance after its hollowness became obvious even to its advocates. Peak Blockchain is not the result of a genuine technology trend, but rather the consequence of everyone in a crowd assuring one other of the beauty of the emperor’s clothes when in fact there never even was an empire.

Blockchain is over. Time to ridicule those who jumped on the bandwagon ignoring all obvious warning signs, determined to boost their careers. They will soon exercise their right to be forgotten.

So ungefährlich ist Radfahren

Zur Helmdiskussion hatte ich hier lange nichts. Eigentlich lohnt das auch nicht, denn wer an den Nutzen eines Fahrradhelms glauben möchte, lässt sich erfahrungsgemäß von Argumenten nicht umstimmen. Doch heute bin ich über eine Zahl gestolpert, die sogar mich überrascht hat, obwohl sie mit meiner Alltagserfahrung kompatibel ist. Der großbritische nationale Gesundheitsdienst (National Health Service, NHS) macht wie so ziemlich jede Krankenkasse Werbung fürs Radfahren und hat in diesem Zusammenhang eine FAQ zur Gefährlichkeit dieser Betätigung zusammengestellt. Darin heißt es unter anderem:

“Official figures taken from the NTS suggest that the general risk of injury from cycling in the UK is just 1 injury per 19,230 hours of cycling.”

Eine Verletzung auf 19 230 Stunden Radfahren, das heißt selbst ein Fahrradkurier muss gute zehn Jahre jeden Arbeitstag acht Stunden unterwegs sein, um sich einmal zu verletzen*. Wer lediglich jeden Tag eine halbe Stunde zu seinem Büro radelt und abends zurück, der braucht sogar Jahrzehnte, um sich einmal zu verletzen. Dass Radfahren so sicher ist, hätte ich trotz vieler unfallfreier Jahre im Sattel nicht erwartet.

*) Ein Arbeitsjahr in einem Vollzeitjob hat ca. 2000 Stunden einschließlich der Urlaubstage.

Verdient „cyber“ so viel Aufmerksamkeit?

Millionen Euro
Schäden durch Cybercrime (2016) 51
Jahresetat des BSI (2016) 89
Schäden durch Fahrraddienbstahl (2014) 100
Jahresetat des BSI (2017) 107
Schaden durch NotPetya bei Maersk 170…256
Schaden durch organisierte Kriminalität (2016) >1.000
Schäden durch Ladendiebstahl 2.000
Schäden durch Wirtschaftskriminalität (2011) 4.100
Rundfunkgebühren (2015) 8.131
Verkehrsinfrastrukturinvestitionen (2016) 12.296
Schaden aus Cum-Ex- und Cum-Cum-Betrug (kumuliert) 31.800
Verteidigungshaushalt (2017, inkl. CIR) 37.005
Bürokratiekosten der Wirtschaft pro Jahr 45.140
Unbelegte Cyberschadensdrohung von Bitkom und Verfassungsschutz 50.000
Googles weltweiter Umsatz (2016) 79.450
(89.460 $)
Jährlicher Umsatzverlust durch schlechte Führungskräfte 105.000
Umsatz im Lebensmitteleinzelhandel (2016) 176.000
Bundeshaushalt (2017) 329.100
Bruttoinlandsprodukt (2016) 3.124.364
(3.466.639 $)

Cyberzeilen sind fett markiert. Zu jeder Zahl ist die Quelle verlinkt. Ich aktualisiere die Tabelle ab und zu mit weiteren Angaben.

Manipulativ gefragt

»Fürchten Sie, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird oder fürchten Sie dies nicht?« Diese Frage (via) ist unmöglich sauber zu beantworten, denn es handelt sich in Wirklichkeit um zwei Fragen:

  1. Erwarten Sie, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird?
  2. Fürchten Sie sich davor?

Ich erwarte, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird, wies es sie seit der Erfindung des Terrorismus immer wieder gegeben hat. Der letzte, von dem ich gehört habe, liegt gerade zwei Tage zurück.

Zu fürchten gibt es dennoch wenig. Wir leben in einem funktionierenden Staat, der Bedrohungen für Leib und Leben gering hält. Um gewaltsam aus dem Leben zu scheiden, muss man schon ordentlich Pech haben.

Die Fragestellung macht es allzu leicht, nüchterne Antworten auf die erste Frage einzusammeln und sie später zu aufgeregten Antworten auf die zweite umzudeuten. Aber auch den Expertinnen und Experten bei infratest dimap kann ja mal ein Fehler unterlaufen, nicht wahr?


Ein schneller Tipp zwischendurch:

Drüben in der Quantenwelt erklärt Joachim Schulz kurz und bündig seine Kriterien, wann er sich Angst machen lässt und wann nicht. Der Kern: Bei unklarer Studienlage ist der untersuchte Effekt wahrscheinlich klein.

Dasselbe Prinzip kann man übrigens nicht nur auf vermutete Schadwirkungen anwenden, sondern auch auf jeden behaupteten, aber zweifelhaften Nutzen. Die Helmdiskussion zum Beispiel wäre dann schnell vorbei, und fast alle Behauptungen über IT-Sicherheit würde uns mangels Empirie sowieso keiner glauben.

Nutzenbehauptungen können wir noch an einem zweiten, ähnlichen Kriterium messen. Verkauft sich etwas nicht (z.B. besonders sichere Messenger) oder nur an strenggläubige Randgruppen (z.B. Homöopathie), dann ist der objektive Nutzen wahrscheinlich nicht so groß wie behauptet. Erst ein starker Glaube verschiebt die subjektiven Präferenzen so weit, dass der Kauf ökonomisch rational wird.

Mein Gott, es ist voller Spam!

Spam kommt überall dort vor, wo jemand mit wenig Aufwand viele Empfänger erreichen kann, aus deren Reaktionen er einen Gewinn zieht. E-Mail ist das klassische Beispiel: Millionen von Nachrichten zu versenden, kostet fast nichts. Kann man Klicks der Empfänger direkt zu Geld machen, lohnt sich Spam, denn bereits bei geringer Antwortrate kommt mehr Geld zurück als der Versand gekostet hat.

E-Mail ist nur ein Träger für Spam. Ein anderer ist mir in Google Analytics begegnet: Referral-Spam. Dabei geben sich die Spammer als Website aus, die auf eine andere Website verlinkt, entweder mit Website-Besuchen durch Bots oder auch mit Fake-Daten, die sie bei der Google-Analytics-API abliefern. Im Referrer steht dabei jeweils eine URL, zu der man Besucher locken will; diese URL taucht dann in Logfiles oder eben in Google Analytics auf. Auf diese Weise kann man sich einerseits Links erschleichen, wenn Websites ihre Logfiles öffentlich machen. Andererseits weckt man die Neugier einzelner Analytics-Nutzer oder Logfile-Auswerter und lockt so Besucher auf die Spammer-Site.

So häufig wie in der E-Mail ist Referral-Spam noch nicht. Aktuell läuft aber gerade eine nertötende Kampagne, die ein unnützes Social-Buttons-Gedöns bewirbt. Wenn’s nervt, kann man sich in Google Analytics einen Filter einrichten. Ausführliche Erklärungen gibt es hier.


Diese Schlagzeile war wohl zu gut, um sie sich von Tatsachen kaputt machen zu lassen: »Straßenbahn-Unfälle mit Verletzten in Leipzig nehmen zu – Statistik: LVB-Fahrer häufig Schuld,« titelt die Leipziger Volkszeitung. Das kommt gewiss gut an bei der Zielgruppe, unterstellt der Leipziger seiner »Bimmel« doch traditionell, sie fahre nach dem UKB-Prinzip– Umfahren, Klingeln, Bremsen.

Im Text wird aus dem häufig erst einmal ein nichtssagendes regelmäßig. Mehr als dies geben die Daten einige Absätze weiter unten auch nicht her. Von 366 Unfällen mit Straßenbahnen verursachten deren Fahrer und Technik im vergangenen Jahr 44, das sind gerade mal 12% oder ungefär jeder achte Unfall. Die Statistik sagt das genaue Gegenteil der Schlagzeile: Die Straßenbahnfahrer sind selten schuld.

7 Tätigkeiten, die 2012 gefährlicher waren als das Radfahren

Jetzt probieren wir mal die Reblog-Funktion von aus. PresseRad erinnert uns daran, dass die meisten Menschen bei etwas anderem als beim Radfahren sterben. Nahezu alle, um genau zu sein: Wenn jemand gestorben ist, kann man daraus mit hoher Sicherheit schließen, dass er auf dem Weg ins Jenseits keinen Fahrradunfall hatte. (Note to self: Gelegentlich mal nachrechnen.)

Stundensatz: 22 Euro

Praktikanten verderben die Preise und heulen herum, weil man sie wie Praktikanten behandelt. Dieser langjährige Trend macht auch vor der Sicherheitsbranche nicht Halt. Die Deutsche Post führt vor, wie man 1000 Stunden Pentest für 22.000 Euro einkauft: Statt eine Dienstleistung zu beauftragen und für die geleistete Arbeit zu vergüten, veranstaltet sie einen Wettbewerb und bezahlt nur für Ergebnisse. Und bekommt dafür nicht etwa einen Vogel gezeigt, sondern trifft auf ein williges Prekariat, dem Geld egal ist, wenn es nur was mit Medien^H^H^H^H^H^HHacking machen darf. Damit ist die Post nicht alleine, Bug-Bounty-Programme verbreiten sich rapide und tun im Prinzip dasselbe, nur kontinuierlich. Ist das gut oder schlecht?


Sehr schön, die Fahrradhelmpropaganda beginnt sich selbst zu zerlegen. Die Helm-PR hat den Punkt erreicht, an dem sich das gepflanzte Mem verselbständigt. Dabei gerät es außer Kontrolle, viele Köche verderben den Brei. Das ist in diesem Fall gut.

Eine Versicherung behauptet dreist:

»Besonders dramatisch ist dabei, dass im Schnitt fast 9 von 10 Fahrradunfällen (85%) Kopfverletzungen nach sich ziehen. Ein Helm kann hier Schlimmstes verhindern.«

(Zurich unterstützt “Fahrradhelm macht Schule”)

Wie wir seit einem OLG-Urteil vor ein paar Tagen wissen, gehören Versicherungen zu den Profiteuren des Helmglaubens. Das Volk lehnt Fahrradhelme mehrheitlich ab, die Tragequote lag 2009 im Mittel über alle Altersgruppen bei gerade mal 11% – wie auch zwei Jahre darauf noch. Einer Versicherung kann also nichts besseres passieren als ein Gericht, welches das übliche und normale Verhalten für leichtsinnig erklärt.

Für den Tagesspiegel versucht sich Markus Mechnich darin, die Schutzwirkung von Fahrradhelmen für unbestreitbar zu erklären. Er verwendet übliche Taktiken: Verzicht auf absolute Zahlen und damit die Risikobewertung, stattdessen Prozentangaben, eine zahlenunabhängige Argumentation und die subtile Einordnung von Kopfverletzungen zwischen Speiseröhrenkrebs und akuter Strahlenkrankheit auf der Schreckensskala. Die Quintessenz: Unfälle, bei denen der Helm helfen könnte, seien nicht auszuschließen, und deshalb solle man unbedingt einen tragen.

Dabei unterläuft ihm ein Lapsus:

»Nach Zahlen des Gesamtverbands der deutschen Versicherer erleiden Radfahrer bei 25,7 Prozent aller schweren Unfälle Verletzungen am Kopf.«

(Ohne Kopfschutz wird es oft tödlich)

Was steht da? Da steht, dass 74,3% der schweren Fahrradunfälle ohne Kopfverletzung abgehen. Selbst wenn wir die ganzen harmlosen Stürze ausklammern, finden wir nur einen bescheidenen Anteil von Kopfverletzungen. Mechnich merkt das auch und versucht sich eilig in die Behauptung zu retten, das Gehirn sei doch wichtiger als Arme und Beine. Dabei unterschlägt er allerdings, dass von Kopf- und nicht von Gehirnverletzungen die Rede ist. Wie eine Kopfverletzung (nebst Beanspruchung der Halswirbelsäule) mit Helm aussieht, kann man sich in einem Helm-PR-Video anschauen, welches wiederum aus der Versicherungsbranche stammt. Zahlen, Analysen und Risikobetrachtungen sucht man dort vergebens, und so muss jeder die gezeigten Bilder selbst interpretieren. Ich sehe im Video ab 6:00 einen Faceplant, der ohne Helm bestenfalls genauso, schlimmstenfalls glimpflicher abgelaufen wäre.

Mechnich – oder sein Kronzeuge Prof. Pohlemann von der Deutschen Gesellschaft für Unfallchirurgie, so richtig klar wird das nicht – argumentiert weiter:

»Normalerweise verhindert der Schädelknochen solche Schäden. Radler erreichten allerdings so hohe Geschwindigkeiten, dass der Knochen bei manchen Stürzen nicht mehr ausreiche.«

(Ohne Kopfschutz wird es oft tödlich)

Das klingt plausibel, bis man sich anschaut, was bei hohen Geschwindigkeiten tatsächlich passiert. Beim Crashtest Pedelec mit 45 km/h in eine Autotür macht der Fahrradhelm keinen Unterschied. Die schwersten Verletzungen sind im Brustbereich zu erwarten und der Kopf schlägt wieder mit dem unbehelmten Gesicht auf.

Ich werde weiter ohne Sturzkappe fahren, wie die meisten Erwachsenen. Fahrradhelme finden eine nennenswerte Verbreitung nur unter unmündigen Kindern. Zu Recht.

Attack-as-a-Service Market Prices

An article in the latest issue of CACM (paywalled) quotes some prices advertised by criminals for elementary attack building blocks:

  • DoS – $50…$500 per day
  • hacking a private e-mail address – $30…$50
  • forged identity documents – <$30
  • software opening fake accounts – <$500
  • custom-made malware – $1,500 + monthly service fee

If you want to get rich, don’t waste your time on developing sophisiticated attack techniques. Look at the services available and devise a business model.

Das Angstgeschäft – ein Verriss

Für den Tagesspiegel nimmt Kevin P. Hoffmann die allgegenwärtge Sicherheitspropaganda auseinander. Kostprobe:

»Gleichwohl sind Bürger heute bereit, mitunter 60 bis über 100 Euro für ein Fahrradschloss auszugeben, um damit ein Rad zu schützen, das kaum doppelt so teuer war.

Auffällig ist auch, mit welcher souveränen Arroganz Vertreter der Sicherheitsbranchen ihrer potenziellen Kundschaft entgegentreten. Bürger seien zu dumm, Gefahren richtig einzuschätzen, hört und liest man immer wieder

(Tagesspiegel: Nach den Anschlägen von Boston: Gute Geschäfte mit der Angst)

Mit Sicherheit ist kein Geschäft zu machen. Investitionen in Sicherheit sind erzwungener Konsum; wer bei Verstand ist, wird die Ausgaben für Sicherheit minimieren und allerlei Risiken einfach hinnehmen. Geschäfte macht man mit Angst, und mit Produkten, die Angst reduzieren. Auf Sicherheit kommt es dabei nicht an.

Number Crunching

HP veröffentlicht den 2012 Cyber Security Risk Report. Neben dem Security Report 2013 von Checkpoint sieht HP natürlich alt aus, aber dafür legen die mit der neuen Forschungsabteilung jetzt ja 14-tägig neue Hot Topics auf den Tisch. Es gab mal Zeiten, da mangelte es an Zahlen, aber mittlerweile gibt es mehr als genug davon. Leider gibt es immer noch zu wenig Maßgebliches oder Interessantes. Gibt es eigentlich eine Statistik über die Anzahl der IT-Sicherheitsstatistiken?

Angriff abgewehrt

Im Zuge der durch die Volkspolizei seit dem 17.6.1953 zur Durchführung der Wiederherstellung der öffentlichen Ruhe und Ordnung getroffenen Maßnahmen wurden festgenommen:

Festnahmen insgesamt: 176 Personen
davon Bürger der DDR: 176 Personen
dem Militärkommandanten übergeben: 4 Personen
den Organen des MfS übergeben 142 Personen
den Gerichten übergeben: 2 Personen
bei der Volkspolizei verblieben: 10 Personen
wieder aus der Haft entlassen: 10 Personen

(Bezirksbehörde Deutsche Volkspolizei Erfurt:
Auswertung der Ereignisse seit dem 17.6.1953)

Zwei Euro fuffzich

In Hessen werden jedes Jahr gut 14-15.000 Fahrräder geklaut, davon 4000 in Frankfurt. Der geschätzte Gesamtschaden liegt bei 6,5 Millionen Euro, die Aufklärungsquote unter zehn Prozent. Bundesweit sind es  300.000 bis 350.000 im Jahr. Dramatische Zahlen? Nö. Bei 70 Millionen Fahrrädern im Land entspricht das gerade mal einem halben Prozent. Der hessische Gesamtschaden ergibt bei 14.000 Fahrrädern einen Schaden von weniger als 500 Euro pro Rad. Auf 350.000 Räder hochgerechnet macht das 175 Millionen Euro – oder zwei Euro fuffzich pro Rad.


Wieviele Geisterfahrer gibt es eigentlich? Der ADAC hat gezählt:

»Im Zeitraum von Dezember 2008 bis Dezember 2009 seien demnach 2800 Falschfahrer im Radio gemeldet worden. Bei den zwölf Unfällen, die dadurch verursacht worden seien, hätten insgesamt 20 Menschen ihr Leben verloren.«

(Spiegel Online: Geisterfahrer: Plötzlich falsch unterwegs)

Das sind ungefähr siebeneinhalb pro Tag, bundesweit. Mancher Radweg schafft diesen Wert pro Minute.