Category Archives: Regierungsviertel

Politik

Aus der eID-Filterblase

Wie der Heise-Newsticker von der CeBIT berichtet, können Eltern die  Kindergartenplätze für ihren Nachwuchs jetzt auch mit dem neuen Personalausweis beantragen. Statt umständlich mit einem Stift Formulare auszufüllen, muss man nur noch eine App auf seinem NFC-fähigen Smartphone installieren, den Antrag ins Händi wischen und seinen Personalausweis daneben legen. Die Bewilligung wird zurück aufs Händi geschickt, das dann im Kindergarten vorzulegen ist. Wenn man Pech hat, gibt es Kindergartenplätze allerdings frühestens wieder im September und das Smartphone wird bis dahin geklaut.

Goldig ist auch die Idee der BürgerDVD aus derselben Heise-Meldung. Um meinen sicheren Identitätsnachweis im Internet nutzen zu können, beende ich gerne alle laufenden Programme, starte mein System neu und verwende ein ungewohntes Betriebssystem, das nicht mal meine Browser-Bookmarks kennt. Das kostet mich höchstens eine Viertelstunde.

Cyber Security goes Ballistic

I really liked the headline, though I didn’t like what the article said, i.e. that the U.S. President might start a cyber war /launch a preemtive strike without a real conflict with the state in question. The commentator at the Homeland Security Blog gets the point: “While Presidential Policy Directive 20 is secret, what is known about it is sufficient to raise global concern. The US arsenal is stupefying as it is, and cyber capabilities add a new dimension; and preemption brings us back to the fear and insecurity of the chilliest Cold War years. The undertones of the new policy are aggressive and, as of now, there are no known restrictions.”

Unterschätzte Risiken: Turmspringen gen Osten

Im Dieburger Freibad bleibt die obere Hälfte des Sprungturms künftig gesperrt. Der Grund:

»Nach den neuen Vorgaben europaweit geltender Richtlinien muss gewährleistet sein, dass sportliche Badegäste „nicht gegen die Sonne springen“, und dabei Schwimmer im Becken etwa wegen Blendung übersehen, so Thomas. Es dürfe nur noch „nach Norden“ gesprungen werden. Der Sprungturm in Dieburg zeigt nach Osten.«

(Echo Online:
Plötzlich steht der Sprungturm im Dieburger Freibad falsch)

Den Turm erst mittags zu öffnen, wenn die Sonne nicht mehr aus dem Osten scheint, wäre wohl zu einfach gewesen. Das Vorsorgeprinzip hat uns dank der EU fest im Griff – sicher ist sicher, da gibt es keine Diskussion. Oder steckt vielleicht die Freibadsanierungslobby dahinter?

Update: Erst mittags öffnen geht doch.

Grundsatzfrage

Das wichtige Stichwort im Urheberaufruf lautet arbeitsteilige Gesellschaft, und es wird uns im Umgang mit der Piratenszene noch öfter beschäftigen. Arbeitsteilung ist eine alte und grandiose Idee, ein Pfeiler unserer Zivilisation. Arbeitsteilung und lässt uns durch Spezialisierung effizienter produzieren und gibt uns die Freiheit, Dinge zu tun, die für unser Überleben nicht erforderlich sind. Ohne Arbeitsteilung müssten wir Zeit auf Gemüsebeete und Hühnerstelle verwenden, die wir lieber im Internet verbringen. Arbeitsteilung liefert uns Pizza an die Wohnungstür – und dem Pizzaboten Internet aufs Smartphone.

Arbeitsteilung erfordert gesellschaftliche Mechanismen und Systeme, die sie ermöglichen und erleichtern. Märkte und Geld gehören zu diesen Mechanismen, differenzierte Bildungsoptionen, oder auch die repräsentative Berufspolitik.

Systemisch ist Arbeitsteilung eine gute Sache; dem Einzelnen kann sie jedoch gefühlte Nachteile bereiten: Abhängigkeiten zum Beispiel (Wo kommt mein Bier her, wenn die Tankstelle zu hat?) oder den Druck, sich für ein primäres Tätigkeitsprofil zu entscheiden und über Jahre zu dieser Entscheidung zu stehen. Arbeitsteilung bringt zudem einen gefühlten Kontrollverlust über Entwicklungen außerhalb der eigenen Spzialisierung(en) mit sich.

In der Piratenszene suchen auch Angehörige von Subkulturen ihr Glück, die der Arbeitsteilung wenig abgewinnen können. Unter der Flagge eines ätherischen Freiheitsideals kämpfen sie gegen Mechanismen der Arbeitsteilung, ohne die Nebenwirkungen zu bedenken. Die einen wollen das Urheben crowdsourcen, andere wünschen sich ein Flatrate-Einkommen ohne Tauschgrundlage, und viele träumen von mehr Bürgerbeteiligung in der Politik. Sie sind auf dem Holzweg. Systeme und Verfahren, die den Grad der Arbeitsteilung reduzieren, bedeuten einen Rückschritt. Die damit scheinbar gewonnene Freiheit hat den Preis, dass sich der Einzelne um viel mehr Angelegenheiten selber kümmern muss.

Die Grünen mussten damals in den 80ern eine Auseinandersetzung zwischen Fundis (Fundamentalisten) und Realos (Realpolitikern) austragen. Die Realos haben sich durchgesetzt, die Grünen sind heute eine normale und wählbare Partei. Die Piraten steht eine ähnliche Entscheidung bevor.

Unterschätzte Risiken: Subventionen

If you’re not paying for it, you’re the product. Was uns bezogen auf Facebook eine Selbstverständlichkeit ist, gilt auch woanders. FAZ.NET berichtet über das Zugunglück in Buenos Aires:

»Das Eisenbahnnetz, das für den Transport Tausender Argentinier zwischen der Provinz Buenos Aires und der Hauptstadt Buenos Aires unentbehrlich ist, befindet sich seit Jahren in einem maroden Zustand. Die Linien wurden bisher vom Staat hoch subventioniert. Die Betreibergesellschaften investierten nur wenig in den Erhalt des Fahrzeugparks und noch weniger in die Modernisierung der Wagengarnituren.«

(FAZ.NET: Ungebremst in den Kopfbahnhof)

Wenn eine Eisenbahn vor allem vom Staat finanziert wird und nicht von ihren Fahrgästen, dann hat sie einen starken Anreiz, viele Leute mit wenig Aufwand in ihre Züge zu stopfen. Je mehr sie transportiert, desto leichter tut sich die Politik damit, weiter Geld hineinzustecken, die Wähler freut’s ja, falls sie’s überleben. In Sicherheit zu investieren lohnt sich für so ein Unternehmen nicht, das verursacht nur Kosten, ohne die Einnahmen zu beeinflussen. Hingen die Einnahmen hingegen komplett vom Kundeninteresse ab und böte der Markt diesen Kunden Alternativen, bedeutete ein Unglück für das Unternehmen ein beträchtliches unternehmerisches Risiko, in dessen Vermeidung zu investieren sich lohnte. Die Argentinische Regierung tut deshalb möglicherweise genau das richtige für die Sicherheit, wenn sie die Subventionen zusammenstreicht:

»Sein Nachfolger [Verkehrsstaatssekretär] Schiavi ist im Auftrag der Regierung der Präsidentin Cristina Kirchner damit befasst, die staatlichen Zuschüsse für die Eisenbahnen zu kappen, um die Staatskasse zu entlasten. Das dürfte für die Benutzer der Regionalbahn-Linien eine drastische Erhöhung der extrem günstigen Tarife bedeuten.«

(ebd.)

Märkte sind weder böse noch unheimlich, sie sind ein Instrument.

Missverständnis

Kommentarrecycling:

LeVampyre schreibt sich einen Wolf um zu erklären, warum sie Datenschutz gut und die Spackeria doof findet. Was sie schreibt, fühlt sich irgendwie richtig an, geht aber am Thema vorbei. Ihrem Text fehlt ein Begriff und damit der Kontext: informationelle Selbstbestimmung. Datenschutz ist nur ein Mittel zum Zweck. Wer »den Mißbrauch von Daten (…) unter Strafe stellen« möchte, braucht erst einmal einen Rahmen, in dem sich Missbrauch definieren lässt. Diesen Rahmen bildet nun nicht der Datenschutz als Selbstzweck, sondern die informationelle Selbstbestimmung als Idee: Jede soll Herrin ihrer persönlichen Informationen und Daten sein.

Informationelle Selbstbestimmung ist der Zweck, Datenschutz nur ein Instrument dazu. Vergisst man den Zweck, während man die Anwendung des Instruments optimiert, kommt Paternalismus heraus. Dann bestimme nicht mehr ich, was mit meinen Daten geschieht, sondern Beauftragte, Minister oder die Subkultur meiner Peer Group. Wenn ich Google, Facebook oder dem ganzen Internet bewusst und absichtlich Daten zur Verfügung stelle, ist das weder ein Datenverbrechen der anderen noch meine eigene Dummheit, sondern zuallererst mein gutes Recht. Der Datenschutz muss mich unvoreingenommen dabei unterstützen, dieses Recht auszuüben, ganz gleich, ob ich etwas verschweigen oder etwas mitteilen möchte.

Gleichzeitig vollziehen sich grundlegende Änderugen in der Art und Weise, wie wir – und Unternehmen – Daten verarbeiten und nutzen. Die spezifischen Regelungen des Datenschutzes stammen aus einer anderen Ära und sie können mit diesen Änderungen nur ungenügend umgehen. Das gilt im Guten wie im Schlechten: die endlose Diskussion um den Personenbezug von IP-Adressen zum Beispiel ist einerseits irrelevant für Google und Facebook, andererseits nervig für alle, die sich damit auseinandersetzen müssen.

Nach meinem Verständnis treiben diese beiden Aspekte die Spackeria, der Mismatch zwischen Idee und Umsetzung sowie der Mismatch zwischen Konzept und Realität. Das Ziel der Spackeria ist nicht, die Informationelle Selbstbestimmung abzuschaffen, sondern den Datenschutz als Mittel und Werkzeug der Realität anzupassen.

Cookies, Clients und die Cloud

Politiker und Bürokraten wollen die Verwendung von Cookies gesetzlich regulieren, erst die EU (mit unklarem Regelungsgehalt und schleppender Umsetzung), ein paar Jahre später nun auch die SPD. Warum ist das blöd? Ich hole mal etwas weiter aus:

Persönliche Computer, PCs, waren in den 70er und 80er Jahren des letzten Jahrhunderts eine große Sache. Jedem seinen eigenen Computer, klein genug für den Schreibtisch und mit verschiedenen Anwendungsprogrammen für vielerlei Zwecke einsetzbar, das hatte es vorher höchstens als Vision gegeben. Aus dieser Frühzeit der Jedermann-IT stammen viele Vorstellungen, die wir noch heute hegen, darunter die Wurzeln unseres Datenschutzes.

Auf den ersten Blick hat sich seitdem wenig geändert. Aus dem PC auf Arbeit wurde ein Gerätezoo für alle Lebenslagen aus PCs, Note- und Netbooks, Smartphones, Tablets, Internetradios, Spiekonsolen und so weiter, technisch im Grunde genommen immer noch persönliche Computer, nur schöner und kleiner und schneller. Seit den 90er Jahren folgte dem Jedermann-Computer das Jedermann-Netz und im folgenden Jahrzehnt wurde dieses Netz mobil und sozial. Allen Schichten gemein ist, dass ihre Nutzer in Selbstbedienung nach Bedarf Dienste einkaufen, die nach dem Umfang der Nutzung bzw. den zugesicherten Ressourcen abgerechnet werden. Dienstanbieter stellen aus einem Pool an Ressourcen ohne Zeitverzug die jeweils nachgefragten Dienste bereit.

Die jetzige Dekade wird das Jahrzehnt des Cloud Computing. So wie der PC in den 70ern entstand und in den 80ern seinen Namen bekam und sich verbreitete, ist Cloud Computing keine ganz neue Sache, sondern längst erfunden, einsatzbereit und zum Teil auch schon etabliert. Neu ist nur, dass es jetzt einen Namen dafür gibt und alle ein Geschäft wittern, nachdem die Early Adopters vorgemacht haben, dass es funktioniert.

Cloud Computing bedeutet, dass ein Großteil der IT als Dienst ins Netz wandert. Das kann auf verschiedenen Abstraktionsebenen geschehen. Infrastructure as a Service (IaaS) bietet virtuelle Maschinen und Speicher, Platform as a Service (PaaS) liefert Anwendungsplattformen und Software as a Service (SaaS) schließlich macht Anwendungssoftware zu einem Dienst. Ein Beispiel für SaaS ist wordpress.com, wo dieses Blog gehostet wird. Die Schichten lassen sich stapeln, ein SaaS-Anbieter kann auf PaaS-Dienste zurückgreifen, die sich ihrerseits auf IaaS stützen. Die unteren Schichten IaaS und PaaS sind vor allem für Unternehmen interessant, während SaaS in Form von allerlei Webdiensten längst Teil unseres Alltags ist und die klassische Nutzung von Anwendungssoftware auf einem PC teils ersetzt, teils ergänzt.

Geht es um Sicherheit und Datenschutz im Cloud Computing, starren alle wie gebannt auf die Dienstseite. Daten wandern ins Netz, ob aus dem Rechenzentrum eines Unternehmens oder vom heimischen PC, und man weiß nicht genau, wo sie eigentlich gespeichert und verarbeitet werden. Das macht Angst und wirft technische, organisatorische und rechtliche Fragen auf. Hinzu kommt, dass der Übergang von Software in Kartons zu Diensten im Netz in Verbindung mit agilen Entwicklungsmethoden die Softwareentwicklungs- und -lebenszyklen verändert. Es gibt kein Google 3.0, das ich kaufen und dann ein paar Jahre verwenden könnte, sondern Änderungen am Dienst im Wochen-, Tage-, Stunden- und sogar Minutentakt. Continuous Deployment und DevOps nennen wir diese bewusste Vermischung von agiler Entwicklung und Produktivbetrieb.

Ein SaaS-Dienst ist nicht in sich abgeschlossen und unabhängig vom Rest des Netzes, sondern es handelt sich, für Nutzer manchmal schwer erkennbar, um eine Aggregation mehrerer Anwendungs- und Hilfsdienste, ergänzt um spezifische Funktionen des aggregierenden Hauptdienstes. Like-Buttons, Widgets, Videos, RSS-Feeds, Analytics, Werbebanner, Nutzerkommentare, Payment, Fonts und so weiter stützen sich auf Fremddienste, die, oft clientseitig, in den Hauptdienst integriert werden. Hilfsdienste haben meist ihren eigenen Betreiber und sie werden in viele verschiedene SaaS-Dienste eingebunden.

Weniger Aufmerksamkeit erhält beim Blick auf die Cloud die irdische Hälfte des Systems, die Client-Seite. Cloud-Dienste besitzen praktisch immer ein Webinterface, mindestens fürs Management, oft auch – und bei SaaS sowieso – für den eigentlichen Dienst. Der Nutzer bekommt damit eine universelle Client-Umgebung, bestehend aus einem Browser mit generischen Plugins (Flash, Java, Silverlight) und Unterstützungsanwendungen (PDF-Viewer, Office, iTunes) auf dem klassischen PC oder aus einem Browser und anwendungsspezifischen Apps auf mobilen Gadgets wie Smartphones oder Tablets.

Nach dieser langen Vorrede nun zurück zu den Cookies. Das Konzept des Cookies wird demnächst volljährig, es handelt sich ursprünglich um kleine Datenhäppchen, die eine Website einer Browserinstanz zur Speicherung übermittelt. Der Browser merkt sich diese Daten und schickt sie für einen festgelegten Zeitraum bei jeder weiteren Interaktion mit der Website dorthin zurück. Heute gibt es darüber hinausgehende Persistenzmechanismen auch für größere Datenmengen im Browser selbst sowie in verbreiteten Plugins, zum Beispiel im Flash Player.

Jeder Dienst in einer SaaS-Aggregation kann Cookies setzen und mit Hilfe dieser Cookies Daten über das Nutzerverhalten über alle Dienstnutzungen hinweg erfassen und sammeln. Die aggregierten Hilfsdienste erhalten dabei Daten aus verschiedenen SaaS-Anwendungskontexten verschiedener Anbieter und sind gleichzeitig für den Nutzer schwer zu identifizieren. Datenschützer stellen zu Recht die Frage, wie die Dienstnutzer unter diesen Bedingungen wirksam von ihrem Recht auf informationelle Selbstbestimmung Gebrauch machen können. Sie geben darauf aber die falschen Antworten.

De jure und traditionell wäre das Problem durch Kommunikation und Vereinbarungen des Nutzers mit jedem einzelnen involvierten Dienstanbieter zu lösen. Aggregierte Hilfsdienste als Auftragsdatenverarbeitung unter einer Vereinbarung zwischen dem Nutzer und dem Anbieter des Hauptdienstes zu subsumieren, wie es etwa für Analytics-Dienste diskutiert wurde,  vereinfacht die Sache wegen der Mehrfacheinbettung der Hilfsdienste in verschiedenste SaaS-Anwendungen nur scheinbar. Außerdem ändert sich permanent irgendwo irgendwas, so dass wir als Nutzer am Ende nur noch mit Zustimmen beschäftigt wären, wenn uns keine Generalvollmacht diese Mühe abnimmt. Erforderlich sind Lösungen, die die Architektur von SaaS-Mashups und der Client-Plattform als gegeben hinnehmen und darauf effektive Mechanismen für den technischen Datenschutz bereitstellen.

Cookies sind dabei nur ein wenig kritisches Randphänomen. Da sie clientseitig gespeichert werden, lässt sich ihre Speicherung und Übermittlung auch clientseitig effektiv steuern. Verbesserungsbedarf gibt es dabei vor allem in der Usability. Wünschenswert wäre zum Beispiel ein einheitliches User Interface für Einstellungen über alle Teilsysteme (Browser, Plugins, Apps, etc.) des Clientsystems hinweg anstelle getrennter, inkonsistenter Management-Schnittstellen für Cookies, Persistent DOM Storage und Flash-Cookies. Sinnvoll fände ich auch eine Möglichkeit, meine Datenschutzeinstellungen zwischen meinen fünf regelmäßig genutzten Clientsystemen zu synchronisieren statt fünfmal dasselbe konfigurieren zu müssen. Aber Clientsysteme und ihre Eigenschaften kommen in der Diskussion oft gar nicht vor. Soll ich ernsthaft mit dreiundzwanzig Diensten Vereinbarungen treffen, statt mir einmal eine Policy zusammenzuklicken, die meine eigene Technik für mich durchsetzt? P3P hatte zwar Schwächen und hat sich nicht durchgesetzt, aber damals hat man doch immerhin noch das Gesamtsystem angeschaut und eine Komponente an die richtige Stelle gesetzt, nämlich in den Client.

Mit formalisierten Rechtsritualen aus der Frühzeit der Alltags-IT ist das Problem nicht in den Griff zu bekommen. Gesucht sind effektive und benutzbare Mechanismen. Das ist die technische Sicht, die politische Dimension hat Benjamin Siggel vor einiger Zeit im Spackeria-Blog betrachtet.

The German eID system explained and discussed

We just finished reviewing the final, ready-to-print version of our article Electronic Identity Cards for User Authentication—Promise and Practice, which will appear in the upcoming issue of IEEE Security & Privacy Magazine (vol. 10, no. 1, jan/feb 2012, DOI: 10.1109/MSP.2011.148). We outline how the German eID system works and discuss application issues. Here is our abstract:

Electronic identity (eID) cards promise to supply a universal, nation-wide mechanism for user authentication. Most European countries have started to deploy eID for government and private sector applications. Are government-issued electronic ID cards the proper way to authenticate users of online services? We use the German eID project as a showcase to discuss eID from an application perspective. The new German ID card has interesting design features: it is contactless, it aims to protect people’s privacy to the extent possible, and it supports cryptographically strong mutual authentication between users and services. Privacy features include support for pseudonymous authentication and per-service controlled access to individual data items. The article discusses key concepts, the eID infrastructure, observed and expected problems, and open questions. The core technology seems ready for prime time and government projects deploy it to the masses. But application issues may hamper eID adoption for online applications.

We think that eID functions of government-issued ID cards will not replace means of everyday online authentication. With eID, there will be few new use cases for ID cards, eID just supports online versions of the traditional use cases. Most of the traditional use cases in Germany involve bureaucracy or legal requirements: legal protection for children and young persons, required identification of mobile phone users or bank account holders, or procedures of administrative bodies involving »Ausweis bitte!« at some point. For those who followed the debate and rollout in Germany, there should be nothing new in our article, but the article may come in handy as a reference for international audiences.

Our article will be in good company as it will appear in a theme issue on authentication. If I read the preprints collection correctly, there will be a user study by Amir Herzberg and Ronen Margulies,  Training Johnny to Authenticate (Safely), and an article by Cormac Herley and Paul van Oorschot, A Research Agenda Acknowledging the Persistence of Passwords (authors’ version). It seems sexy to many to call the days of the password counted—IBM just predicted password authentication would die out soon—but if I had to make a bet I would follow Cormac and Paul.

The final version of our article will be paywalled by IEEE, but you can find our preprint with essentially the same contents on our website.

Die Schwächsten

»Im Übrigen glaube ich, dass wir mit der Radhelmpflicht bei den schwächsten Verkehrsteilnehmern beginnen sollten.«

Christian Carius (CDU), Verkehrsminister in Thüringen

Bei wem sollte man unsinnige Gängelung auch sonst einführen? Natürlich tut man das bei denen, die sich am wenigsten wehren werden, eben bei den Schwächsten. Um deren Sicherheit geht es dabei nicht, sondern um die willkürliche Verordnung einer Kopfbedeckung. Fast die Hälfte der im Straßenverkehr getöteten Kinder unter 15 stirbt im Auto, ein weiteres Viertel auf dem Fahrrad. Doch einen Autohelm für Kinder fordert niemand. Insgesamt verunglückte 2010 etwa dieselbe Anzahl von Kindern in Kraftfahrzeugen bzw. auf Fahrrädern. Das Todesrisiko beim Mitfahren in einem Auto liegt also pro Unfall weit höher als jenes auf dem Fahrrad. Und das trotz dem Umstand, dass typische Radverkehrsführungen ihre Benutzer an jeder Kreuzung in Gefahr bringen, wie neben jedem Radfahrer inzwischen auch die Berliner Polizei weiß:

»Allerdings sieht die Polizei auch eine „Hochrisikogruppe“ bei den Radfahrern. „Es ist die Zahl derjenigen, die sich auf ihre Vorfahrt verlassen und ohne umsichtigen Blick zum Autoverkehr bei Grün über die Radfurt fahren.“«

– Tagesspiegel, Radler und Fußgänger leben wieder gefährlicher

Wer auf dem Radweg bei Grün geradeaus über eine Kreuzung fährt, riskiert Gesundheit und Leben.  Wollte der Verkehrsminister aus dem Wald etwas für die Verkehrssicherheit tun, könnte er hier ansetzen und sich überlegen was zu tun wäre, damit der Vertrauensgrundsatz auch für Radfahrer gilt, die bei Grün geradeaus über eine Kreuzung fahren. Das will er aber nicht. Er will nur eine Kopfbedeckung vorschreiben wie ein Islamist das Kopftuch und damit bei den Schwächsten anfangen, von denen er den geringsten Widerstand erwartet.

R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 4)

Einst galt das Rechtskonstrukt der digitalen Signatur als Schritt in die Zukunft. Inzwischen haben selbst unsere Bürokraten verstanden, dass die einfache Übertragung althergebrachter Konzepte in die digitale Welt der Entwicklung benutzergerechter Lösungen im Wege steht:

»Das Bundesministerium für Wirtschaft und Technologie und das Bundesministerium für Arbeit und Soziales haben sich nach eingehender Überprüfung des ELENA-Verfahrens darauf verständigt, das Verfahren schnellstmöglich einzustellen.

Grund ist die fehlende Verbreitung der qualifizierten elektronischen Signatur. (…)«

(Gemeinsame Pressemitteilung des Bundesministeriums für Wirtschaft und Technologie und des Bundesministeriums für Arbeit und Soziales,
via Netzpolitik)

Das war ein langer, schmerzhafter  Erkenntnisprozess (vgl. Teil 1, Teil 2, Teil 3). Vielleicht versuchen wir in Zukunft mal, Sicherheitstechnik um Anwendungen herum zu konstruieren und nicht Anwendungen um ein Stück Sicherheitstechnik plus Rechtskonstrukt. Es kommt nämlich nicht auf formale Compliance an, sondern darum, dass eine Anwendung funktioniert, nützlich ist und dabei in der Praxis keine Unfälle passieren.

 

Unterschätzte Risiken: Politik

Wenn’s eine Privatbank wäre, könnten wir jetzt über die gierigen Spekulanten herziehen:

»Die EZB ist momentan mit dem 23-fachen ihres Eigenkapitals nahezu so gehebelt wie Lehman Brothers in den dunkelsten Zeiten (damals das 30-fache). (…) Die EZB hat aber nur 82 Mrd. Euro Eigenkapital und knapp 1900 Mrd. Euro Papiere auf ihrer Bilanz. Sie unterliegt keiner Aufsicht führenden Behörde.«

(Welt Online:
Euro-Zone: Griechen-Anleihen sind ein Fiasko für die EZB)

Ist aber keine, sondern das, was herauskommt, wenn wir nicht auf unsere Politiker aufpassen.

Unterschätzte Risiken: Ahnungsloses Parolenrecycling

»Wahltag ist Zahltag,« plakatierten Parteien am äußersten rechten Rand des legalen politischen Spektrums jahrelang, um sich Unzufriedenen als Wahlalternative anzudienen. Das dürfte eigentlich niemandem entgangen sein, der einmal mit offenen Augen durch die Welt gelaufen ist. Oder durchs Internet.

Nach aktuellen Medienberichten plappern die Stuttgarter Bahnhofsprotestler diese Parole nun nach. Damit machen sie ihren seit je seltsamen Widerstand zum nationalen Widerstand und verabschieden sich, ob gewollt oder nicht, endgültig aus der Arena des konstruktiven Diskurses. Wir können das Thema abhaken, es gibt keinen ernstzunehmenden Protest mehr gegen Stuttgart 21.

Unterschätzte Risiken: Gerüchte

Snopes.com kennt Ihr sicher, das Standardwerk der Gerüchteforschung mit einem umfassenden Verzeichnis von Urban Legends und Folklore samt Wahrheitsbewertung und ggf. Richtigstellung. Für die EU hat die Europäische Kommission mit dem Aufbau eines ähnlichen Lexikons begonnen, das sich exklusiv mit EU-Folklore befasst:

»Es gibt in den nationalen Medien zwar viele klare und informative Berichte über die EU – aber leider auch eine große Zahl von Geschichten, die entweder auf Halbwahrheiten basieren oder sogar frei erfunden sind. Zweifellos sind diese Geschichten manchmal recht amüsant. Aber viele Menschen glauben das, was darin behauptet wird, und das Bild, das sie von der EU haben, ist das eines Haufens verrückter „Eurokraten“. Auf diesen Seiten wollen wir einige dieser Geschichten wiedergeben und die Fakten gerade rücken – leider können wir das nicht mit allen Falschmeldungen tun.«

(Europäische Kommission: Dichtung und Wahrheit)

Bürgerbeteiligung ist erwünscht, jeder kann eigene Beispiele einsenden.

Meine teuerste Karte

X3 bringt auf den Punkt, was am neuen Personalausweis blöd ist:

(Direkt-nPA)

So etwas kommt heraus, wenn man Sicherheit als Funktion und Teilsystem missversteht und diese Funktion unabhängig vom Anwendungskontext realisiert. Wer’s besser machen möchte, muss von den Anwendungen und ihrem Sicherheitsbedarf ausgehen. Dabei können am Ende auch generische Mechanismen herauskommen. Dann aber solche, die ihr Geld wert sind und zu den jeweiligen Problemen passen. Bis das alle begriffen haben, wird meine wichtigste Karte weiterhin eine lange Nummer und das Logo einer Kreditkartenorganisation tragen. Damit kann ich online wie offline was anfangen, und Kosten wie Risiken bleiben bescheiden.

Mehr Sicherheitsgefühl durch Terrorwarnungen

Der Bundesinnenminister hat seinen Schopenhauer gelesen und verstanden:

»De Maizière betonte, nach seinem öffentlichen Gefahrenhinweis hätten Umfragen gezeigt, dass sich viele Bürger sicherer gefühlt haben als vorher.«

(Spiegel Online: Innenminister de Maizière: “Schöner Sieg über psychologische Kriegführung der Terroristen”)

Wenn uns jetzt noch Rösler vor einer Epidemie, Ramsauer vor Verkehrsunfällen und Aigner vor dem Internet warnt, gehen wir völlig unbesorgt aus dem Haus.