Category Archives: Risiko

Risk Management

Verdient „cyber“ so viel Aufmerksamkeit?

Millionen Euro
Schäden durch Cybercrime (2016) 51
Jahresetat des BSI (2016) 89
Schäden durch Fahrraddienbstahl (2014) 100
Jahresetat des BSI (2017) 107
Schaden durch NotPetya bei Maersk 170…256
Schaden durch organisierte Kriminalität (2016) >1.000
Schäden durch Ladendiebstahl 2.000
Schäden durch Wirtschaftskriminalität (2011) 4.100
Rundfunkgebühren (2015) 8.131
Verkehrsinfrastrukturinvestitionen (2016) 12.296
Schaden aus Cum-Ex- und Cum-Cum-Betrug (kumuliert) 31.800
Verteidigungshaushalt (2017, inkl. CIR) 37.005
Bürokratiekosten der Wirtschaft pro Jahr 45.140
Unbelegte Cyberschadensdrohung von Bitkom und Verfassungsschutz 50.000
Googles weltweiter Umsatz (2016) 79.450
(89.460 $)
Jährlicher Umsatzverlust durch schlechte Führungskräfte 105.000
Umsatz im Lebensmitteleinzelhandel (2016) 176.000
Bundeshaushalt (2017) 329.100
Bruttoinlandsprodukt (2016) 3.124.364
(3.466.639 $)

Cyberzeilen sind fett markiert. Zu jeder Zahl ist die Quelle verlinkt. Ich aktualisiere die Tabelle ab und zu mit weiteren Angaben.

Re: Offener Brief zu DNA-Analysen in der Forensik

Mahnungen vor dräuenden Gefahren verkaufen sich immer, sind doch vorhergesagte Probleme nie auszuschließen, ohne dass man ein Risiko eingeht und etwas ausprobiert. So lässt sich beliebig lange spekulieren, was alles passieren könnte, wenn man täte, was man wegen der Risiken besser bleiben ließe. Als neuester Gegenstand solcher „kritischen“ Betrachtungen bietet sich die Forderung nach einer Ausweitung der zulässigen DNA-Analysen in der Polizeiarbeit an. Folgerichtig haben Sozialwissenschaftler einen Offenen Brief zu DNA-Analysen in der Forensik verfasst der zur Vorsicht mahnt und seine Autorinnen als unverzichtbare Expertinnen anbietet. Der Tenor: Erweiterte DNA-Analysen seien viel zu kompliziert als dass man einfache Polizisten unbegleitet mit ihren Ergebnissen arbeiten lassen dürfe. Am Ende steht wenig mehr als die Schlussfolgerung, dass es zu Fehlern kommen könne. Dies jedoch ist eine banale Aussage: Fehler sind in der Polizeiarbeit Alltag und das System aus Gesetzgebung, Polizei und Justiz kann damit gut umgehen. Selbstverständlich muss man die Auswirkungen neuer Methoden betrachten, aber zur Panik gibt es keinen Anlass. Unser Rechtsstaat irrt sich recht zuverlässig zugunsten der Verdächtigen und die Forensiker wissen selbst ganz gut, wo die Grenzen der verschiedenen Analyseverfahren liegen. Unschätzbare Risiken können wir jeder Technik unterstellen, das hilft nur niemandem.

 

Manipulativ gefragt

»Fürchten Sie, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird oder fürchten Sie dies nicht?« Diese Frage (via) ist unmöglich sauber zu beantworten, denn es handelt sich in Wirklichkeit um zwei Fragen:

  1. Erwarten Sie, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird?
  2. Fürchten Sie sich davor?

Ich erwarte, dass es in nächster Zeit in Deutschland terroristische Anschläge geben wird, wies es sie seit der Erfindung des Terrorismus immer wieder gegeben hat. Der letzte, von dem ich gehört habe, liegt gerade zwei Tage zurück.

Zu fürchten gibt es dennoch wenig. Wir leben in einem funktionierenden Staat, der Bedrohungen für Leib und Leben gering hält. Um gewaltsam aus dem Leben zu scheiden, muss man schon ordentlich Pech haben.

Die Fragestellung macht es allzu leicht, nüchterne Antworten auf die erste Frage einzusammeln und sie später zu aufgeregten Antworten auf die zweite umzudeuten. Aber auch den Expertinnen und Experten bei infratest dimap kann ja mal ein Fehler unterlaufen, nicht wahr?

Classifying Vehicles

Security is a classification problem: Security mechanisms, or combinations of mechanisms, need to distinguish that which they should allow to happen from that which they should deny. Two aspects complicate this task. First, security mechanisms often only solve a proxy problem. Authentication mechanisms, for example, usually distinguish some form of token – passwords, keys, sensor input, etc. – rather than the actual actors. Second, adversaries attempt to shape their appearance to pass security mechanisms. To be effective, a security mechanism needs to cover these adaptations, at least the feasible ones.

An everyday problem illustrates this: closing roads for some vehicles but not for others. As a universal but costly solution one might install retractable bollards, issue means to operate them to the drivers of permitted vehicles, and prosecute abuse. This approach is very precise, because classification rests on an artificial feature designed solely for security purposes.

Simpler mechanisms can work sufficiently well if (a) intrinsic features of vehicles are correlated with the desired classification well enough, and (b) modification of these features is subject to constraints so that evading the classifier is infeasible within the adversary model.

Bus traps and sump busters classify vehicles by size, letting lorries and buses pass while stopping common passenger cars. The real intention is to classify vehicles by purpose and operator, but physical dimensions happen to constitute a sufficiently good approximation. Vehicle size correlates with purpose. The distribution of sizes is skewed; there are many more passenger cars than buses, so keeping even just most of them out does a lot. Vehicle dimensions do not change on the fly, and are interdependent with other features and requirements. Although a straightforward way exists to defeat a bus trap – get a car that can pass – this is too expensive for most potential adversaries and their possible gain from the attack.

Besondere Arten personenbezogener Daten

Das Bundesdatenschutzgesetz hebt einige Arten personenbezogener Daten heraus und stellt sie an mehreren Stellen unter einen noch strengeren Schutz. Die Definition:

»Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.« (§ 3 (9) BDSG)

Die Idee dahinter ist so einfach wie plausibel: Datenschutz geht nicht nur selbst aus den Grundrechten hervor, er soll auch vor Eingriffen in andere Grundrechte schützen.

Angela Merkel am Rednerpult auf einem CDU-Parteitag
(Quelle: CDU/CSU-Bundestagsfraktion, CC-BY-SA, https://commons.wikimedia.org/wiki/File:Cdu_parteitag_dezember_2012_merkel_rede_04.JPG)

Was heißt das? Nehmen wir unsere Bundeskanzlerin als Beispiel. Dass sie Deutsche ist, der CDU nahesteht und sich zur evangelischen Spielart des christlichen Glauben bekennt, diese Angaben gehören zu den besonderen Arten personenbezogener Daten. Je nach Auslegung fallen diese Angaben vielleicht sogar hier im Blog unter das BDSG, immerhin ist ein Blog was mit Computern.

Nicht zu den besonderen Arten personenbezogener Daten gehören zum Beispiel ihre  Wohnanschrift oder die Vorratsdaten ihres privaten Mobiltelefons (deren Speicherung  allerdings eine eigene Rechtsgrundlage neben dem BDSG hat).

Ist das eine sinnvolle Risikorientierung des Datenschutzes? Fürs Individuum nicht unbedingt. Welche Daten welche Risiken implizieren, lässt sich im Einzelfall nicht an so einer Grobklassifikation festmachen. Im Fall der Kanzlerin gäbe es sicher so manchen, der sie gerne mal zu Hause besuchen würde (vor ungewollten Besuchen schützt sie freilich der Personen- und nicht der Datenschutz), und wann sie mit wem telefoniert, dürfte so manchen mehr interessieren als ihr religiöses Bekenntnis oder Aspekte ihres Lebenslaufs. Das bleibt so, wenn wir eine weniger im Licht der Öffentlichkeit stehende Person wählen; auch dann korrespondieren die individuellen Risiken nicht unbedingt mit den Datenarten nach BDSG.

Mehr Sinn ergeben die besonderen Arten personenbezogener Daten, wenn wir eine Kollektivperspektive annehmen. Eigentlich möchten wir erreichen, dass bestimmte Arten der Datenverarbeitung gar nicht versucht oder sehr erschwert werden, etwa ein Gesundheitsscoring durch Arbeitgeber als Grundlage für Einstellungs- und Kündigungsentscheidungen. Nicht ohne Grund ähneln die Kategorien aus § 3 (9) BDSG jenen des Antidiskriminierungsgesetzes AGG.

Gesellschaftliche Entwicklungen sind immer mit einem gewissen Konformitätsdruck auf Individuen verbunden. Die Kollektivperspektive gehört deshalb in den Datenschutz; individuelle Rechte sind nur dann etwas wert, wenn man sie auch praktisch ohne Nachteile ausüben kann. Dass sie dort auf den ersten Blick unpassend (und in manchen Ausprägungen paternalistisch) wirkt, liegt an der starken Grundrechtsbetonung. Datenschutz kommt als Grundrecht daher, das ich persönlich in Anspruch nehme. Die kollektive Klimapflege ist Voraussetzung dafür, aber der Zusammenhang ist nicht offensichtlich.

Studien

Ein schneller Tipp zwischendurch:

Drüben in der Quantenwelt erklärt Joachim Schulz kurz und bündig seine Kriterien, wann er sich Angst machen lässt und wann nicht. Der Kern: Bei unklarer Studienlage ist der untersuchte Effekt wahrscheinlich klein.

Dasselbe Prinzip kann man übrigens nicht nur auf vermutete Schadwirkungen anwenden, sondern auch auf jeden behaupteten, aber zweifelhaften Nutzen. Die Helmdiskussion zum Beispiel wäre dann schnell vorbei, und fast alle Behauptungen über IT-Sicherheit würde uns mangels Empirie sowieso keiner glauben.

Nutzenbehauptungen können wir noch an einem zweiten, ähnlichen Kriterium messen. Verkauft sich etwas nicht (z.B. besonders sichere Messenger) oder nur an strenggläubige Randgruppen (z.B. Homöopathie), dann ist der objektive Nutzen wahrscheinlich nicht so groß wie behauptet. Erst ein starker Glaube verschiebt die subjektiven Präferenzen so weit, dass der Kauf ökonomisch rational wird.

Carcinogenic agents classified by evidence

Carcinogenic is a scary word, but what exactly does it mean? The International Agency for Research on Cancer (IARC),  a part of the World Health Organization (WHO), has established a framework. The IACR reviews scientific evidence for and against carcinogenicity claims and places agents in one of the following categories:

  • Group 1 – carcinogenic: Sufficient evidence exists that an agent is carcinogenic in humans. In this group we find, as expected, agents like various forms of radiation (gamma, x-ray, utraviolet), tobacco smoke, alcohol, estrogen-progestogen oral contraceptives, and asbestos.
  • Group 2A – probably carcinogenic: Strong evidence exists that an agent is carcinogenic, yet the evidence rmains insufficient to be sure. More precisely, there is sufficient evidence of carcinogenicity in animals but limited evidence in humans. This group contains, for example, acrylamide and occupational exposure to oxidized bitumens and their emissions during roofing.
  • Group 2B – possibly carcinogenic: Some evidence exists for carcinogenicity of an agent, but it is neither sufficient nor strong. This class comprises agents like chloroform, coffee, DDT, marine diesel fuel, gasoline and gasoline engine exhaust, and certain surgical implants and other foreign bodies.
  • Group 3 – unclassifiable: Evidence is inadequate; the agent may or may not be carcinogenic, we do not know enough to tell. This category contains agents like caffeine, carbon-nanotubes, static or extemely low-frequency electric fields, fluorescent lighting, phenol, polyvinyl chloride, and rock wool.
  • Group 4 – probably not: We have evidence that an agent is not carcinogenic. Perhaps due to publication bias, this group contains only one element, caprolactam.

The IACR publishes classification criteria and lists (by category, alphabetical). Wikipedia also maintains lists by these categories with links to the respective pages.

Keep in mind that this classification represents only the state of evidence regarding cancerogenicity in humans, not your risk of becoming exposed to an agent, a dose-response assessment, or overall health risk from exposure. Hint: everything that kills you quickly and reliably is unlikely to cause you cancer.

The Social Component of Risk Assessment

(This post appeared first on the ESSE project blog.)

Earlier this year Andreas presented at the New Security Paradigms Workshop our paper An Asset to Security Modeling? Analyzing Stakeholder Collaborations Instead of Threats to Assets (DOI: 10.1145/2683467.2683474). During our work with the GESIS Secure Data Center team it emerged that the common way we use to do risk assessment may be flawed. In this paper we discuss what is missing and how to analyze collaboration networks to understand consequences of security incidents.

Risk assessment, as described for example in ISO 31000, is a systematic process that prepares decisions. The goal of this process is to find appropriate risk responses and treatments. A risks can be accepted or even increased (if doing so entails an opportunity); it can be avoided, shared or transferred; or the risk can be mitigated by reducing its likelihood or impact. As a prerequisite for informed decisions one goes through the risk assessment process, during which one identifies, analyzes, and evaluates pertinent risks. The figure below, a more elaborate version of which can be found in ISO 31000, illustrates this process chain.

A 4-step process: (1) risk identification; (2) risk analysis; (3) risk evaluation; (4) risk treatment. Risk assessment comprises steps 1-3.Stakeholders participate in this process as a source of information, knowing their respective business or business function and being able to assess likelihoods and impacts. This standard approach to risk assessment has the premise that risk treatments are variable and the objective is to find optimal values for them.

In our paper we propose a complementary approach. Our premise: Stakeholders collaborate in complicated networks for mutual benefit. Risk and incident responses are to a large degree determined by their collaboration relationships. These pre-determined responses are not to be defined as a result of risk assessment, they rather constitute a factor to be considered in risk analysis and evaluation. The figure below is a simplified version of Figure 8 in our paper:

SDC Stakeholder NetworkThe Secure Data Center serves its users, which are part of a larger research community; the SDC also needs its users as serving them is its pupose. Beyond the individual user, the research community at large benefits from SDC services and influences their acceptance. Primary investigators provide data; they benefit from wider recognition of their work through secondary analyses and fulfil obligations by archiving their data. Survey participants are the source of all data. Everyone wants to preserve their willingness to participate in studies.

The need for an extension of risk assessment methodologies became apparent when we reviewed and discussed with the participants of our study the threat models they had produced. They expressed various concerns about the stakeholders involved and their possible reactions to security incidents. Although traditional approaches to risk assessment include the analysis of consequences, they fail to provide tools for this analysis. In the security domain in particular it is often assumed that consequences can be evlauated by identifying assets and assigning some monetsary value to each of them. According to our experience it’s more complicated.

Read the paper on our website or in the ACM digital library:

Andreas Poller; Sven Türpe; Katharina Kinder-Kurlanda: An Asset to Security Modeling? Analyzing Stakeholder Collaborations Instead of Threats to Assets. New Security Paradigms Workshop (NSPW’14), Victoria, BC, September 15-18, 2014. DOI: 10.1145/2683467.2683474 [BibTeX]

Crypto Wars 2.0: Let the Trolling Commence (and don’t trust your phone)

That was a nice bit of trolling. A rough timeline: (1) Apple and later, Google announce modest improvements to a security building block of their respective mobile device platforms, device encryption. (2) Government officials in the US publicly complain how this would obstruct law enforcement and request means to access encrypted device data. (3) The usual suspects are all up in arms and reiterate their arguments why crypto backdoors are a bad idea.

What is wrong with this debate, apart from it being a rerun? First, encryption is not as secure as claimed. Second, encryption is not as important as assumed.

Device encryption is just one small security building block. It protects data stored on the device against access without the encryption key if the adversary encounters the device in the turned-off state. Attacks against encryption typically go for the keys. As we were just reminded, police can compel suspects to hand over their fingerprints and unlock a device. Some countries have key disclosure laws.

Against running devices there are further attack options. If any key material is held in RAM, it can be extracted, at least in principle, with a cold boot attack. Whether Apple’s Secure Enclave design does anything to protect against such attacks remains unclear. As we’ve learned with Microsoft’s encryption scheme, Bitlocker, even hardware-supported encryption can leave a number of loopholes (Trust 2009 paper).

Encryption has its limitations. It protects data subject to several conditions. In particular, the adversary must be unable to obtain the key or subvert the execution environment. While plug-and-play forensics would be more convenient for law enforcement, there are ways around device encryption.

Mobile platforms extend beyond the individual device. Not only do devices communicate liberally with other devices and with Internet services, they also depend on the platform operator. Apple and Google run appstores and supply software updates. Whatever the software of a device can or cannot do may change at any time.

Encryption protects files against access bypassing the operating system, not against access from within. Protection against rogue users or applications is a matter of authentication and access control — software making decisions, software that can be modified. While this channel entails some tampering-with-evidence problems for law enforcement, it seems technically quite feasible to use it.

Encrypted equals secure only from a microscopic perspective. I have advocated before to pay more attention to systemic and macroscopic aspects, and the crypto wars 2.0 debate illustrates nicely how a too narrow focus on a single security mechanism skews our debate. Encryption matters, but not as much as we allow them to make us believe it would.

Hintertüren für den Staat

Smartphones und Tablets sind neben vielen anderen Funktionen auch persönliche mobile Datenträger. Für deren Inhalt – Kontakte, Termine, Fotos, Anrufprotokolle, Kurznachrichten und so weiter – interessieren sich naturgemäß auch Strafverfolger. Die Mobilplattformen iOS und Android können gespeicherte Daten verschlüsseln, wie es sich für ein verlust- und diebstahlgefährdetes Gerät gehört. Neuerdings verspricht Apple, selbst keine Daten aus verschlüsselten Geräten auslesen zu können. Google kündigt für die nächste Android-Version an, die Verschlüsselung standardmäßig zu aktivieren und gibt ebenfalls an, über keinen Zugriffsmöglichkeit zu verfügen. Daraufhin melden sich der FBI-Direktor, der US-Justizminister und andere und kochen die alte Diskussion um Hintertüren für die Strafverfolgung neu auf. Ein Aufschrei ist ihnen sicher.

An anderer Stelle sind Hintertüren für staatliche Organisationen üblich und niemanden juckt es: Viele Gebäude verfügen über ein Feuerwehrschlüsseldepot, das der Feuerwehr den Zugang ermöglicht. Technisch handelt es sich um dasselbe Problem und denselben Lösungsansatz mit denselben Risiken wie im Fall der Verschlüsselung. Warum ist die eine Hintertür im Sicherheitskonzept ein Aufreger, die andere hingegen nicht? Bei näherer Betrachtung fallen allerlei Unterschiede auf:

  • Feuerwehr, Gebäudebetreiber und Gebäudenutzer verfolgen gemeinsame Interessen und profitieren von der Lösung. Alle drei Parteien wollen Brände schnell gelöscht und Fehlalarme ohne unnötige Nebenschäden abgestellt sehen. Strafverfolger hingegen sind für die Verfolgten, ob schuldig oder unschuldig, stets ein Gegner und für Dienstanbieter mindestens lästig. Die Krypto-Hintertür schafft keine Win-Win-Situation.
  • Im Fall der Schlüsseldepots wirkt ein weiterer Player, der ein eigennütziges Interesse an optimaler Sicherheit hat: die Versicherer, die weder für Brandschäden noch für Einbrüche mehr als unbedingt nötig zahlen möchten. Sie setzen sich mit handfesten wirtschaftlichen Mitteln dafür ein, dass das Missbrauchsrisiko gering bleibt. Kryptohintertüren könnte man zwar prinzipiell der gerichtlichen Kontrolle unterwerfen, aber den Gerichten fehlt das ökonomische Optimierungsinteresse.
  • Es gibt ein sichtbares und plausibles Risikomanagement. Feuerwehrschlüsseldepots geben bei richtiger Implementierung der Feuerwehr Darmstadt Zugang zu ausgewählten Gebäuden in und um Darmstadt und der Feuerwehr Kassel Zugang zu ausgewählten Gebäuden in Kassel. Ein Secure Golden Key™, wie es in der Neuauflage der Kryptodiskussion heißt, gäbe vermutlich den Strafverfolgungsbehörden mehrerer Länder Zugriff auf alle Geräte der jeweiligen Plattform – man wäre sonst machtlos gegen kriminelle Touristen und im Ausland gekaufte Telefone.
  • Schlüsseldepots werden vorwiegend in öffentlichen und halböffentlichen Gebäuden (Kaufhäuser, Bürogebäude, Industrieanlagen usw.) eingesetzt. Das Reihenhaus von Tante Erna hat keins.
  • Die gewährten Zugangsrechte sind begrenzt. Der Generalschlüssel aus dem Depot öffnet eine definierte Menge von Zugängen; der Safe im Büro gehört nicht dazu. Demgegenüber ermöglicht ein Kryptogeneralschlüssel mit hoher Wahrscheinlichkeit eine Privilegieneskalation, wenn sich damit  Zugangsdaten (neben Passworten zum Beispiel Session-IDs) für weitere Dienste oder Geräte lesen lassen.
  • Die Betroffenen haben subjektiv und objektiv mehr Kontrolle über die Verwendung der deponierten Schlüssel: Das Feuerwehrschlüsseldepot ist gut sichtbar vor Ort installiert, was unbemerkte Zugriffe erschwert. Dass jemand meine Daten entschlüsselt, bekomme ich dagegen nie mit.
  • Der relative Sicherheitsverlust bei Missbrauch ist geringer. Sowohl die Feuerwehr als auch Einbrecher kommen sowieso rein, wenn sie das wirklich wollen und eine Weile Lärm machen dürfen. Ein Schlüssel macht es einfacher, aber selten überhaupt erst möglich. Das ist auch jedem klar. Von verschlüsselten Daten erwarten wir, dass sie ohne Schlüssel so gut wie gelöscht sind.

Hintertüren beziehungsweise Generalschlüssel für den Staat können akzeptabel sein – wenn der Kontext und die Implementierung stimmen. Ob man sie dann auch braucht und haben möchte, ist noch einmal eine andere Frage. Die Notwendigkeit, Beweise mit einem gewissen Ermittlungsaufwand beschaffen zu müssen, statt sie einfach irgendwo auszulesen, kann ein ganz brauchbarer Kontrollmechanismus sein.

Komplette Durchleuchtung?

Der klassische Datenschutz europäischer und insbesondere deutscher Prägung geht von einem Vorurteil aus: Das Speichern und Verarbeiten personenbezogener Daten sei gefährlich und die Gefahr wachse proportional mit der Datenmenge pro Person. Folgerichtig bleiben diese gefährlichen Handlungen verboten, solange sie nicht eine Einwilligung des Betroffenen oder ein Gesetz erlaubt.

Max Schrems, Initiator von Europe vs. Facebook und derjenige, der von Facebook Auskunft über seine dort gespeicherten Daten erstritt, hat ein Buch geschrieben, Kämpf um deine Daten. Die zugehörige Rezension der FAZ illustriert die Datenschutz-Prämisse und wie sie unsere Wahrnehmung beeinflusst:

»Ein anderer Slogan der Digitalwirtschaft lautet: „Wir machen doch alles nur, um die Werbung auf den Nutzer zuzuschneiden.“ Dem hält Schrems entgegen, dass personalisierte Werbung längst nicht so effektiv ist, wie alle tun. Werbetreibende erzählten das hinter vorgehaltener Hand. Die komplette Durchleuchtung des Nutzers geschehe im Grunde bloß für ein paar lausige Klicks mehr, resümiert Schrems. Nur wegen Cent-Beträgen wird unser Grundrecht auf Datenschutz aufgelöst.«

Die komplette Durchleuchtung aus nichtigem Anlass, anders kann man es kaum sehen, wenn man die Grundannahme des Datenschutzes akzeptiert. Tut man dies nicht, so bietet sich eine alternative Interpretation an: Was die Datenkraken über uns wissen und vorhersagen können, genügt gerade mal, um die Werbeklickraten ein wenig zu erhöhen. Von Algorithmen, die uns besser kennen als wir selbst, kann keine Rede sein. Personalisierte Werbung ist weit davon entfernt, uns genau das vorzulegen, was wir sicher anklicken werden. Darüber liefert der Einzelne nämlich viel zu wenig Informationen. “Personalisierte” Werbung ist in Wirklichkeit statistisch optimierte Werbung, der die Zielgruppensegmentierung und -zuordnung ein wenig besser gelingt als den extrem groben klassischen Mechanismen. Mit herkömmlichen Methoden bekomme ich Autowerbung, wenn ich eine Autozeitschrift lese und Nerdwerbung auf Slashdot. Moderne Verfahren nutzen vielfältigere Merkmale und finden die optimale Auswahlstrategie zum Teil selbst.

Viel mehr als eine etwas genauere Zielgruppensegmentierung steckt nicht hinter der personalisierten Werbung, und die meisten Anzeigen werden nach wie vor ignoriert. Statt von der kompletten Durchleuchtung für ein paar Cent sollte man besser von Optimierungen am Rande der Aufmerksamkeit sprechen. Ist das gefährlich, schädlich, manipulativ? Eher nicht, jedenfalls nicht mehr als Werbung an sich schon ist. Lebe ich besser, wenn ich sorgfältig jede Datenspur vermeide? Nicht messbar. Diese pragmatische, risikoorientierte Sicht ist dem klassischen Datenschutz fremd.

P.S. (2014-06-14): Kristian Köhntopp erklärt passend dazu, warum verschiedene Formen der Durchleuchtung unterschiedlich nützlich sind.

Kosten und Nutzen

“Jede Sicherheitsmaßnahme lässt sich umgehen.” – Jochim Selzer argumentiert auf G+, dies sei keine gute Begründung für den  Verzicht auf Sicherheitsmaßnahmen. Damit hat er Recht, aber dies ist umgekehrt keine ausreichende Begründung für beliebige Sicherheitsmaßnahmen. Seiner Betrachtung fehlt ein Faktor: das Kosten-Nutzen-Verhältnis. Mehr Sicherheit oder auch überhaupt Sicherheit wird zum Verlustgeschäft, wenn dem Aufwand keine adäquate Risikoreduktion gegenübersteht. Das klingt trivial, macht die Sache in Wirklichkeit jedoch ziemlich kompliziert.

Die Kosten einer Sicherheitsmaßnahme sind nicht nur die Anschaffungs-, sondern auch die Betriebskosten. Nicht alle Kosten manifestieren sich in finanziellen Transaktionen, sondern zum Beispiel in Zeit- und Arbeitsaufwand. Auch sehr kleine Aufwände können zu erheblichen Kosten führen, wenn sie in Alltagssituationen immer wieder anfallen. Auch das Ändern von Gewohnheiten ist teuer. Ein häufig verwendetes Passwort zu ändern, kostet mich zum Beispiel jedesmal einige Tage voller Fehlversuche mit dem alten Passwort, bis ich mich an die Änderung gewöhnt habe — und eine andere Empfehlung legt mir nahe, meinen Rechner beim Verlassen immer zu sperren.

Der Nutzen einer Sicherheitsmaßnahme ergibt sich nicht aus ihrer lokal messbaren Wirkung, sondern aus ihrem Einfluss auf das gesamte Risikoprofil. Sicherheitsmaßnahmen können irrelevant sein, wenn das Risiko – bezogen auf die Konsequenzen – insgesamt sehr klein ist und von anderen Risiken dominiert wird. Wenn ich zum Beispiel ein Smartphone oder einen Laptop mit mir herumtrage und darauf keine ungewöhnlich wertvollen Daten gespeichert sind, dann liegt das dominante Risiko im Verlust der Hardware. Ob ich meine Daten verschlüsselt habe oder nicht, ist dann relativ belanglos. Ebenso brauche ich mich als Individuum, zumal im Mitteleuropa der Gegenwart, nicht vor der NSA zu fürchten, wenn ich bedenkenlos auf Haushaltsleitern steige und am Straßenverkehr teilnehme. Ich werde höchstwahrscheinlich an einem Unfall, an einer Krankheit oder an Altersschwäche sterben und nicht an einem Drohnenangriff wegen eines algorithmisch hergeleiteten Terrorverdachts.

Hinzu kommt, dass Sicherheitsmaßnahmen nicht notwendig Risiken verringern, sondern sie oft nur verlagern oder transformieren. Einbrecher durchwühlen die unverschlossene Gartenlaube und nehmen tragbare Wertsachen sowie Alkoholvorräte mit. Einbrecher durchwühlen die verschlossene Gartenlaube und nehmen tragbare Wertachen und Alkoholvorräte mit, nachdem sie die Tür oder das Fenster demoliert haben. Was habe ich nun vom guten Schloss? Die Einbrecher müssen ein Brecheisen mitbringen und werden vielleicht (aber unwahrscheinlich) gehört – und ich habe höhere Kosten pro Vorfall, selbst wenn nichts gestohlen wird. Ich fahre besser, wenn ich die Tür offen lasse und kein potenzielles Diebesgut lagere.  Das Problem der Risikoverlagerung und -transformation ist typisch für Security, wo wir es mit adaptiven Angreiferkollektiven zu tun haben. In geringerem Maße kann es aber auch bei Safety-Maßnahmen auftreten, wenn diese Maßnahmen unerwünschte Nebenwirkungen haben und man also eine Risikoausprägung gegen eine andere eintauscht. Im Klettergerüst getragen kann ein Fahrradhelm Kinder strangulieren.

Ökonomisch betrachtet sind deswegen viele Sicherheitsratschläge für die Katz. Kosten und Nutzen haben außerdem eine subjektive Komponente. Ökonomische Rationalität beschreibt ein (angenommenes) Optimierungsverhalten unter Berücksichtigung persönlicher Präferenzen. Jeder ist frei darin festzulegen, wie viel ihm ein bestimmter, quantifizierter Nutzen im Vergleich zu anderen Angeboten mit denselben Kosten wert ist oder wie sehr ihn eine bestimmte Unannehmlichkeit im Vergleich zu einer anderen belastet. Auch ein Selbstmörder, der sich vor seiner Rettung schützt, kann ökonomisch rational handeln, wenn ihm sein eigener Tod nur wichtiger ist als alles andere. In diesem Sinne ist nichts daran auszusetzen, dass sich jemand etwa gegen den Sicherheitsgurt, gegen den Fahrradhelm, gegen ein kompliziertes Password oder gegen die E-Mail-Verschlüsselung entscheidet. Präskriptive Overrides sind nur dort angebracht, wo aus solchen Präferenzen erhebliche gesellschaftliche Probleme resultieren.

Erfolgsgeschichte Sicherheitsgurt?

In Diskussionen über den Sinn und Unsinn von Styroporhauben für Radfahrer taucht regelmäßig der Hinweis auf, so ähnliche Debatten haben man damals zur Gurtpflicht im Auto auch geführt. Der Hinweis kommt von Befürwortern der Styroporhaube; aus ihm spricht neben der Hoffnung auf den Debattenendsieg die Annahme, SIcherheitsgurte seien eine Erfolgsgeschichte und hätten unzählige Leben gerettet. Diese Annahme ist vielleicht gar nicht so selbstverständlich, wie sie wirkt. In The Failure of Seat Belt Legislation (via) argumentiert John Adams, dass eine signifikante Wirkung der Gurtpflicht gar nicht auf der Hand liege. Wie haltbar seine Argumentation ist, kann ich noch nicht sagen; ich habe den Text nur überflogen

Daten-Bank

Banken haben einen schlechten Ruf. Trotzdem lassen wir alle unser Geld dort. Meistens funktioniert das auch und wir bekommen unser Geld später zurück, in guten Zeiten sogar mit Zinsen. Unser Geld stapeln die Banken nicht einfach im Keller, sondern sie arbeiten damit und erwirtschaften Gewinne. Am Ende hat jeder einen Nutzen davon, mit Ausnahme einiger bedauerlicher Einzelfälle.

Cloud-Dienste haben einen schlechten Ruf. Trotzdem lassen wir alle unsere Daten dort. Meistens funktioniert das auch und wir bekommen unsere Daten ohne Nebenwirkungen zurück, in guten Diensten sogar mit Zusatznutzen. Unsere Daten lagern die Cloud-Dienste nicht einfach auf Speichermedien, sondern sie arbeiten damit und erwirtschaften Gewinne. Am Ende hat jeder einen Nutzen davon, mit Ausnahme einiger bedauerlicher Einzelfälle.

Zwei Karten, zwei Philosophien

Ich bekomme eine neue Smartcard. Ausgestellt von der Fraunhofer-PKI, kann ich mit der Karte E-Mail und anderes verschlüssel und signieren sowie Urlaub beantragen, Besprechungsräume reservieren und meine Arbeitsstunden auf Projekte buchen. Zur Karte gehört ein Passwort, falls ich sie mal verliere, und aufgedruckt trägt sie ein Jugendfoto meiner selbst.

Ich besitze schon so eine Karte, sie funktioniert auch, doch die PKI möchte mir eine neue ausstellen. Das ist ein komplizierter Vorgang. Ich bekomme einen PIN-Brief, dann muss ich die Karte abholen und dabei einen amtlichen Lichtbildausweis vorzeigen. Vermutlich werde ich auch unterschreiben müssen, dass ich die neue Karte erhalten habe. Alles muss sehr sicher sein, sonst könnte womöglich jemand in meinem Namen Räume reservieren oder Urlaub beantragen.

Von meiner Bank bekam ich vor einigen Tagen ebenfalls eine neue Smartcard. Mit dieser Karte kann ich einkaufen und Geld abheben. Sie kam mit der Post, lag einfach im Briefkasten. Meine bisherige PIN glt auch für die neue Karte.

Die eine Karte steht für ein System, das besonders sicher sein möchte und stattdessen besonders bürokratisch ist. Die rechtsverbindliche elektronische Signatur hat sich deswegen im Alltag nie durchgesetzt, die eID-Funktion des neuen Personalausweises bislang auch nicht. Entworfen hat man Technik und Rechtskonstrukte, keine Anwendungen.Der primäre Zweck besteht darin, in einem formalen Sinn sicher zu sein.

Die andere Karte repräsentiert eine Dienstleistung: Zahlungsverkehr in verschiedenen Ausprägungen. Eine Plastikkarte als Mittel dazu ist praktisch; dass später Magnetstreifen und Chips hinzukommen würden, ahnte man bei der Erfindung des Plastikgeldes noch nicht. Die begleitenden Prozesse bleiben unbürokratisch, sie sind pragmatisch gestaltet. Nicht formale Sicherheit ist das Ziel, sondern akzeptable Risiken.

P.S.: Diese Woche ist Smartcard-Workshop.

Afraid of the Intercloud

Jürgen Geuter asked on G+:

»Ok, help me understand. Why is #Google buying #Nest seen as bad for privacy/data control/etc.?

I don’t get it, the data Google already has about individuals is better. Is it because Google is seen tied to objects that just exist around us (and are not our direct extensions such as smartphones)? Is it the usual underspecified feeling of “creepyness”?«

I went for the creepiness option. This is my reply, which I recycle here:

Maybe it’s because we’re mentally still living in the pre-cloud and in the database paradigm. Google represents like no other organization – maybe except the NSA – a technological progress that’s hard to grasp. We have no appropriate conception of information risk and risk management for a world in which a single organization can process various data about the wealthier half of the planet’s population and draw inferences from these data. Google represents this development, working at its forefront and pushing the limits.

We have no intuition what may, could, or will happen to us in the long run due to this new technology, and we have no idea ho to manage the risks (or non-risks) that we don’t understand. In a way we are in a similar situation as those who drafted our first data protection laws back in the seventies and early eighties: having to manage not only the uncertainty inherent in any risk consideration, but rather an uncertainty about the uncertainty. Back then, the tentative conceptual and legal solution was to ban all storing and processing of personally identifiable data and grant permission only on a case-by-case basis.

Progress has turned this approach into a delusion, but we lack a convincing replacement. We don’t know what’s risky and what isn’t; most of us don’t even understand what creates value in an Internet-scale data processing business. We project all our uncertainties on the pioneers.

P.S.: Just while I was writing this, the following quote appeared in my G+ stream:

»The desire for security and the feeling of insecurity are the same thing. To hold your breath is to lose your breath. A society based on the quest for security is nothing but a breath-retention contest in which everyone is as taut as a drum and as purple as a beet.«

— Alan Watts

Morgen kann vielleicht etwas passieren

»Ich will jedenfalls auf dieses Problem aufmerksam machen: Sicherheitsbedürfnisse sind strukturell unstillbar. Es ist gegen das Argument ‘Morgen kann vielleicht etwas passieren’ kein Kraut gewachsen.«

— Winfried Hassemer im Streitgespräch mit Wolfgang Schäuble (via Telepolis)

Zu kurz gedacht wäre allerdings, dies – und die Schlussfolgerung, dass man Grenzen setzen müsse – nur auf staatliche Sicherheitsgesetze, -behörden und -projekte zu beziehen. Der Satz gilt in alle Richtungen und für alle Sicherheitsbedürfnisse, also auch zum Beispiel für den Ruf nach mehr Datenschutz, mehr Verschlüsselung, weniger NSA und so weiter.

Morgen kann vielleicht etwas passieren. Das ist kein ausreichender Grund, auf Segnungen des Internet-Zeitalters zu verzichten, auch wenn sie Google, Facebook oder Cloud Computing heißen. Es ist nicht mal ein ausreichender Grund, sich anders zu verhalten und etwa amerikanische Dienstleister zu meiden, öfter zu verschlüsseln oder Datenpakete anders zu routen.

Morgen kann vielleicht etwas passieren. Etwas dagegen zu tun lohnt sich nur, wenn man sein individuelles Risiko nennenswert reduziert und der Aufwand im Verhältnis zur Risikoreduktion steht. Deswegen erlaube ich mir, die Snowden-Enthüllungen mit Interesse zur Kenntnis zu nehmen, in meinem alltäglichen Verhalten aber nicht weiter darauf zu reagieren. Ich habe keinerlei Anhaltspunkte dafür, dass die NSA mein Leben beeinflusst, folglich lohnt es sich auch nicht, individuelle Maßnahmen zu ergreifen.

Unterschätzte Risiken: Heiterkeit

Jauchzet, frohlocket? Besser erst mal den Hausarzt konsultieren. Das Nutzen-Risiko-Verhältnis beim Lachen ist unübersichtlich, wie eine in der Weihnachtsausgabe des BMJ veröffentlichte Literaturauswertung zeigt. Die Autoren fassen zusammen:

»However, laughter is no joke—dangers include syncope, cardiac and oesophageal rupture, and protrusion of abdominal hernias (from side splitting laughter or laughing fit to burst), asthma attacks, interlobular emphysema, cataplexy, headaches, jaw dislocation, and stress incontinence (from laughing like a drain). Infectious laughter can disseminate real infection, which is potentially preventable by laughing up your sleeve.«

(R.E. Ferner; J.K. Aronson:
Laughter and MIRTH (Methodical Investigation of Risibility, Therapeutic and Harmful): narrative synthesis)

(via)