Category Archives: Geschäft

Business

Wohlfeile Empfehlungen

Ungefähr einmal pro Woche rät man uns zur Abkehr von einem beliebten Dienst und empfiehlt uns Nischenanbieter als Alternativen. Die Begründung: Sicherheit und Datenschutz. Die tatsächlichen Reaktionen bleiben vorhersehbar verhalten und nächste Woche geht es mit neuem Anlass wieder los. Was soll das?

Offenkundig gehen diese Ratschläge an der Realität vorbei. Auf einem funktionierenden Markt ist niemand erfolgreich von Gottes Gnaden. Nachfrager entscheiden, welche Angebote ihre Bedürfnisse am besten erfüllen. Die meisten Nutzer und Kunden hat derjenige, der die Bedürfnisse der breiten Masse ausreichend gut erfüllt. Er verliert seine Rolle, wenn ein anderer das besser tut; er verliert sie nicht, wenn sich daneben ein Nischenanbieter auf eine kleine Gruppe mit besonderen Bedürfnissen spezialisiert.

Dass viele Menschen zum Beispiel Google, Facebook oder WhatsApp nutzen, hat handfeste Gründe, die man untersuchen und erklären kann. Die Marktpositionen dieser Firmen und Dienste sind nur das Resultat. (Sie können sich auch schnell ändern. Erinnert sich noch jemand an Lycos, Altavista, Yahoo, Nokia, MySpace oder StudiVZ?) Sicherheit und Datenschutz sind dabei bereits eingepreist: Wer ein Angebot auswählt, weil es am besten zu seinen Präferenzen passt, wählt alle anderen ab, die dazu weniger gut passen. Ihm die abgewählten Alternativen noch einmal aufzuzählen und einen bereits in die Wahl eingeflossenen Aspekt herauszustreichen, wird die Entscheidung selten ändern.

Warum tun sie’s dennoch immer wieder und empfehlen uns, was wir bereits zurückgewiesen haben? Weil der Nachrichtenmarkt so etwas kauft. Wer auf sich aufmerksam machen möchte, muss Material liefern, mit dem Medien etwas anfangen können. Unabhängige Expertenempfehlungen sind gut, die kann jeder guten Gewissens verbreiten und sie sind auf diesem Niveau auch nicht schwer zu geben. Das Versprechen von mehr Sicherheit und Datenschutz ist noch besser, denn dieses Versprechen lässt sich kurzfristig kaum wiederlegen.

Vielleicht tun sie’s auch, weil sie am Ende vom ständigen Scheitern profitieren. Was wären die Mahner und Aktivisten, wenn alle ihren Ratschlägen folgten?

P.S.
Nico Lumma über Die Sache mit der hilflosen Datenschutzhysterie
.

Zeckenalarm außer der Reihe

Abweichend vom gewohnten Zeckenalarmzyklus warnt das Robert-Koch-Institut mitten im Winter vor einer Krankheit, die jedes Jahr ungefähr 0.0005% der Bevölkerung – 400 von 80.000.000 – befällt:

»Mit Blick auf die überdurchschnittliche hohe Zahl von Hirn- und Hirnhaut-Entzündungen nach Zeckenbissen im Jahr 2013 rät das Robert Koch-Institut (RKI) Menschen, die in Risikogebieten wohnen und sich aufhalten, sich impfen zu lassen.
(…)
Für das Jahr 2013 liegen bundesweit bisher rund 400 Meldungen für die von Zecken übertragene Frühsommer-Meningoenzephalitis (FSME) vor. Rund die Hälfte der vom RKI erfassten Patienten erkrankte schwer an einer Entzündung der Hirnhaut oder des Gehirns.«

(stern.de: Robert-Koch-Institut rät zur Impfung: Zecken übertrugen 2013 oft gefährliche Viren)

Das Robert-Koch-Institut empfiehlt eine Immunisierung durch drei aufeinanderfolgende Impfungen, die danach alle fünf Jahre aufzufrischen sei.

Experten bei der Arbeit. Das Missverhältnis zwischen Aufwand und Nutzen dürfte offensichtlich sein. Wer sich gegen FSME impfen lässt, läuft auch im kugelsicheren Anzug herum. Alle anderen behandeln besser näherliegende Risiken.

Verständige Menschen

Vielleicht ist die Helmdiskussion bei den Juristen ganz gut aufgehoben, denn gute Juristen sind der natürliche Feind schlechter Argumente:

»Die Helmquote läge bei Erwachsenen wohl kaum bei unter 10%, wenn tatsächlich alle „verständigen Menschen” den Helm trügen.«

– Rechtsanwalt Professor Dr. Winfried Born, Editorial NJW 31/2013

Helmquoten veröffentlicht die Bundesanstalt für Straßenwesen regelmäßig. Trotz jahrelanger Propaganda konnte sich dieses Utensil bei Radfahrern nicht durchsetzen. Ausnahme: unmündige Kinder. Die PR der Styroporbranche versucht sich in den Spin zu retten, Kindern seien vernünftiger als Erwachsene.

Afraid of the Intercloud

Jürgen Geuter asked on G+:

»Ok, help me understand. Why is #Google buying #Nest seen as bad for privacy/data control/etc.?

I don’t get it, the data Google already has about individuals is better. Is it because Google is seen tied to objects that just exist around us (and are not our direct extensions such as smartphones)? Is it the usual underspecified feeling of “creepyness”?«

I went for the creepiness option. This is my reply, which I recycle here:

Maybe it’s because we’re mentally still living in the pre-cloud and in the database paradigm. Google represents like no other organization – maybe except the NSA – a technological progress that’s hard to grasp. We have no appropriate conception of information risk and risk management for a world in which a single organization can process various data about the wealthier half of the planet’s population and draw inferences from these data. Google represents this development, working at its forefront and pushing the limits.

We have no intuition what may, could, or will happen to us in the long run due to this new technology, and we have no idea ho to manage the risks (or non-risks) that we don’t understand. In a way we are in a similar situation as those who drafted our first data protection laws back in the seventies and early eighties: having to manage not only the uncertainty inherent in any risk consideration, but rather an uncertainty about the uncertainty. Back then, the tentative conceptual and legal solution was to ban all storing and processing of personally identifiable data and grant permission only on a case-by-case basis.

Progress has turned this approach into a delusion, but we lack a convincing replacement. We don’t know what’s risky and what isn’t; most of us don’t even understand what creates value in an Internet-scale data processing business. We project all our uncertainties on the pioneers.

P.S.: Just while I was writing this, the following quote appeared in my G+ stream:

»The desire for security and the feeling of insecurity are the same thing. To hold your breath is to lose your breath. A society based on the quest for security is nothing but a breath-retention contest in which everyone is as taut as a drum and as purple as a beet.«

— Alan Watts

Stundensatz: 22 Euro

Praktikanten verderben die Preise und heulen herum, weil man sie wie Praktikanten behandelt. Dieser langjährige Trend macht auch vor der Sicherheitsbranche nicht Halt. Die Deutsche Post führt vor, wie man 1000 Stunden Pentest für 22.000 Euro einkauft: Statt eine Dienstleistung zu beauftragen und für die geleistete Arbeit zu vergüten, veranstaltet sie einen Wettbewerb und bezahlt nur für Ergebnisse. Und bekommt dafür nicht etwa einen Vogel gezeigt, sondern trifft auf ein williges Prekariat, dem Geld egal ist, wenn es nur was mit Medien^H^H^H^H^H^HHacking machen darf. Damit ist die Post nicht alleine, Bug-Bounty-Programme verbreiten sich rapide und tun im Prinzip dasselbe, nur kontinuierlich. Ist das gut oder schlecht?

Attack-as-a-Service Market Prices

An article in the latest issue of CACM (paywalled) quotes some prices advertised by criminals for elementary attack building blocks:

  • DoS – $50…$500 per day
  • hacking a private e-mail address – $30…$50
  • forged identity documents – <$30
  • software opening fake accounts – <$500
  • custom-made malware – $1,500 + monthly service fee

If you want to get rich, don’t waste your time on developing sophisiticated attack techniques. Look at the services available and devise a business model.

Unterschätzte Risiken: Homöopathie

Homöpathie kann nicht schaden? Denkste! Manche glauben daran, andere nicht. Blöd, wenn die anderen Polizisten sind, das weiße Pulver im Paket aus Uruguay für Heroin halten und gegen die Empfänger ermitteln:

»De nada sirvieron sus explicaciones de que aquel polvo blanco era su tratamiento homeopático contra su mielitis idiopática, que dificultaba su caminar.«

(El País: “Es homeopatía, no heroína”)

In deren Ohren klingt Homöpathie nach einer ganz schlechten Ausrede.

Das Angstgeschäft – ein Verriss

Für den Tagesspiegel nimmt Kevin P. Hoffmann die allgegenwärtge Sicherheitspropaganda auseinander. Kostprobe:

»Gleichwohl sind Bürger heute bereit, mitunter 60 bis über 100 Euro für ein Fahrradschloss auszugeben, um damit ein Rad zu schützen, das kaum doppelt so teuer war.

Auffällig ist auch, mit welcher souveränen Arroganz Vertreter der Sicherheitsbranchen ihrer potenziellen Kundschaft entgegentreten. Bürger seien zu dumm, Gefahren richtig einzuschätzen, hört und liest man immer wieder

(Tagesspiegel: Nach den Anschlägen von Boston: Gute Geschäfte mit der Angst)

Mit Sicherheit ist kein Geschäft zu machen. Investitionen in Sicherheit sind erzwungener Konsum; wer bei Verstand ist, wird die Ausgaben für Sicherheit minimieren und allerlei Risiken einfach hinnehmen. Geschäfte macht man mit Angst, und mit Produkten, die Angst reduzieren. Auf Sicherheit kommt es dabei nicht an.

Number Crunching

HP veröffentlicht den 2012 Cyber Security Risk Report. Neben dem Security Report 2013 von Checkpoint sieht HP natürlich alt aus, aber dafür legen die mit der neuen Forschungsabteilung jetzt ja 14-tägig neue Hot Topics auf den Tisch. Es gab mal Zeiten, da mangelte es an Zahlen, aber mittlerweile gibt es mehr als genug davon. Leider gibt es immer noch zu wenig Maßgebliches oder Interessantes. Gibt es eigentlich eine Statistik über die Anzahl der IT-Sicherheitsstatistiken?

Something to ponder

Which of the following statements do you agree or disagree with, and why?

  1. If you get robbed, it’s your fault. You should have carried a gun and used it to defend yourself.
  2. If your home gets burgled, it’s your fault. Your should have secured your home properly.
  3. If you get raped, it’s your fault. Your shouldn’t have worn those sexy clothes, and hey, what were you doing in that park at night?
  4. If your computer gets hacked, it’s your fault. You should have patched the computer every day and used a better password.
  5. If you get run over by a car and injured in the accident, it’s your fault. You should have worn a helmet and a high-viz jacket.
  6. If someone bullies you on the Internet, it’s your fault. You should have used a pseudonym on Facebook.

Do you agree with all, some, or none of these statements? Please elaborate in the comments. I’m not so much interested in nitpicking about the causation of certain incidents – read »your fault« as »in part your fault« if you like so. What interests me rather is the consistency or incocnsistency in our assessment of these matters. If you happen to agree with some of the statements but disagree with others, why is that?

Tracking und Targeting

In ihrem Paper Targeted, Not Tracked: Client-side Solutions for Privacy-Friendly Behavioral Advertising (HotPETS’11) machen Mikhail Bilenko, Matthew Richardson und Janice Y. Tsai auf eine verbreitete Begriffsunsauberkeit in öffentlichen Datenschutzdebatten aufmerksam. Sie diskutieren den Unterschied zwischen dem Targeting als Zweck und dem Tracking als Mittel, den ich vor einiger Zeit hier in der Serie Datenkrake Google behandelt habe.

Tracking ist das, wovor alle Angst haben: jemand sammelt quer durchs Internet individualisierte Daten über das Nutzerverhalten. Daraus entsteht eine große, unheimliche Datenhalde aus detaillierten Informationen über jeden von uns, mit der man alles Mögliche anstellen könnte. Isoliert betrachtet ergibt dieses Tracking jedoch als Geschäftsmodell wenig Sinn:

  1. Sammle detaillierte Verhaltensdaten über alle
  2. ???
  3. Profit!

Viel Sinn ergibt hingegen das Targeting von Werbung, um das Kosten-Nutzen-Verhältnis der Werbetreibenden zu optimieren. Targeting ist, was die Werbewirtschaft in erster Linie möchte. Tracking stellt ein mögliches Mittel zu diesem Zweck dar und ist übrigens nur so effektiv wie die Modelle, mit denen man aus den vorhandenen Daten Entscheidungen ableitet.

Tracking kann ein Mittel zu allen möglichen Zwecken sein. Targeting ist nicht zwingend auf bedrohliches Tracking angewiesen.

Scheintransparenz

Wer sich die Datennutzungserklärung von PayPal durchliest, findet darin eine lange Tabelle. Sie informiert ihn darüber, mit welchen Unternehmen PayPal zu welchen Zwecken welche Daten teilt. So erfährt er beispielsweise, dass Nuance Communications »Aufnahmen von ausgewählten Kundengesprächen, in denen Kontoinformationen im Gespräch genannt werden können« für die »Einstellung und Optimierung von Spracherkennungssystemen für den telefonischen Kundenservice« bekommt oder RSA Security »alle Kontoinformationen« zur »Identitätsprüfung«.

Diese Tabelle macht gut die Hälfte der ganzen Erklärung aus. Dass sie so lang ist, lässt sich ohne Datenkrakengeschrei damit erklären, dass sich PayPal wie jedes moderne Unternehmen einer Reihe von Dienstleistern bedient. Um den Kern seines Geschäfts kümmert man sich selbst, mit allem anderen beauftragt man Spezialisten, die es besser und günstiger können – gewöhnliche Arbeitsteilung, wie sie jeder betreibt, der einen Steuerberater, eine Reinigungskraft oder einen Handwerker beschäftigt.

Der formal korrekte Transparenzmechanismus einer solche Auflistung schafft jedoch nur wenig Verständnis dafür, was dort eigentlich geschieht und welche Auswirkungen es auf den Nutzer hat. Um mehr zu erfahren, müsste man die Firmen abklappern und sich jeweils das Geschäftsmodell anschauen. Das ist nicht praktikabel, und so vermittelt die lange Tabelle wenig nutzbare Information. Der Nutzer ist förmlich informiert, weiß aber doch nicht mehr.

Das Web funktioniert heute genauso arbeitsteilig. Hinter kaum einer Website steckt noch ein in sich geschlossener Dienst, ein einsamer Webserver mit Inhalten und Programmen drauf. Wer eine Website nutzt, interagiert mit einer umfangreichen Dienstaggregation, manchmal sichtbar, oft auch verdeckt. Ein Symptom ist die umfangreiche Keksmischung, die man vom Besuch mit nach Hause nimmt.

Der Datenschutz hat bislang keinen konstruktiven Umgang mit diesem Phänomen gefunden. Heftige Diskussionen entzünden sich zuweilen an einzelnen seiner Ausprägungen, etwa am Like-Button von Facebook oder an Google Analytics. Der organisierte Datenschutz behandelt diese Ausprägungen als Einzelfälle statt als Repräsentanten einer Grundsatzfrage, und diskutiert etwa die Behandlung von Google Analytics als Auftragsdatenverarbeitung oder die Anforderungen an eine wirksame Einwilligung vor dem Einblenden eines Like-Buttons.

Sinnvoller wäre, das grundsätzliche Problem zu diskutieren: Was müsste geschehen, damit Nutzer in einem komplizierten (und variablen) Gefüge miteinander vernetzter Dienste ein praktisches Verständnis der Datennutzung erwerben können? In welchen Situationen entstehen tatsächlich Risiken? Welche praktikablen Kontrollmechanismen stehen diesen Risiken gegenüber? Welches Verständnis ist überhaupt nützlich, weil es die Auswahl zwischen Handlungsmöglichkeiten unterstützt? Für die formale Datennutzungserklärung spielen solche Fragen keine Rolle. Sie dient nicht der Interaktion mit dem Nutzer, sondern der Beruhigung der Aufsicht.

Alle Jahre wieder

Anderthalb Wochen nach Frühlingsanfang: Die Sonnencreme-Kampagne 2012 ist angelaufen und informiert uns wie jedes Jahr darüber, dass wir uns der gefährlichen Strahlung aus dem All keinesfalls ungeschützt aussetzen dürfen. Auch die aktuelle Ausgabe des alljährlichen Zeckenalarms wurde bereits gesichtet. Nach Ostern kommen die Fahrradhelme dran und danach wird man uns daran erinnern, wie wir ohne Explosionen und ohne Verbrennungen grillen.