Ges­tern frag­te kor­bi­ni­an auf Twit­ter, völ­lig zurecht:

Was kon­kret for­dern die #occu­p­ier denn eigent­lich? Oder is das wie­der nur so eine Empö­rungs­show wie der Echtedemokratiejetzt-Flop?

Letzt­lich geht es dar­um, die Macht der Ban­ken zu beschnei­den. Aber war­um haben die Ban­ken über­haupt Macht? Im Grun­de ja nur, weil wir Ihnen unser Geld anver­traut haben. Wenn nun einer Bank die Plei­te droht, ist der Staat erpresst: Ret­tet er die Bank, kos­tet es absur­de Men­gen Steu­er­geld, das anders­wo fehlt - zum Bei­spiel in den Sozi­al­kas­sen. Ret­tet er die Bank nicht, ver­lie­ren Bür­ger ihr Erspar­tes. Wobei hier in Deutsch­land die Sozi­al­sys­te­me so stark sind, dass dies bei klei­ne­ren Ban­ken wahr­schein­lich ver­schmerz­bar wäre. Man könn­te als Staat auch hin­ge­hen und sagen: Die Bank geht jetzt halt plei­te - aber wir geben unser Geld nicht der Bank, son­dern direkt ihren Kunden!

Aber ich bin ja nun lei­der nicht der unum­strit­te­ne Herr­scher Deutsch­lands, son­dern nur ein nor­ma­ler Bür­ger. Sagen wir mal, ich möch­te den­noch einen kon­kre­ten, wenn auch klei­nen Bei­trag dazu leis­ten, den Ban­ken ein Stück ihrer Macht zu ent­rei­ßen… wei­ter…

Den aller­we­nigs­ten Leu­ten scheint klar zu sein, wes­halb das Inter­net eine der­art star­ke poli­ti­sche Bedeu­tung hat. Klar, es ist irgend­wie prak­tisch und hat irgend­wie Frei­heit und so, aber das ist nicht der Punkt.

Mit der Erfin­dung des Inter­nets wur­de eine neue Sei­te im Buch der Mensch­heit auf­ge­schla­gen. Die­se neue Sei­te war leer - ein neu­er Lebens­be­reich, frei von vor­de­fi­nier­ten Regeln, Mei­nun­gen und Befind­lich­kei­ten! Der Staat bekam die ein­ma­li­ge Gele­gen­heit, sei­ne Idea­le ein­mal völ­lig frei aus­zu­le­ben! Eine span­nen­de Chance.

Was hat die Poli­tik dar­aus gemacht? Sie hat alles in ihrer Macht ste­hen­de ver­sucht, das Grund­ge­setz in die­sem neu­en Raum nicht Fuß fas­sen zu las­sen. Fern­mel­de­ge­heim­nis? Nicht mit uns! Pro­vi­der sol­len alle Ver­bin­dungs­da­ten spei­chern - am bes­ten so lang wie irgend mög­lich¹. Infor­ma­ti­ons­frei­heit? Kommt gar nicht in Fra­ge! Bür­ger sol­len nach dem Two-Strikes-Modell vom Netz abge­klemmt wer­den². Eine sys­te­ma­ti­sche Sper­rung belie­bi­ger Web­sites durch das  BKA wur­de trotz mas­si­ver Pro­tes­te durch­ge­drückt³. Auf Lan­des­ebe­ne sol­len Netz­sper­ren über Rund­funk­staats­ver­trag und Jugend­schutz Gesetz wer­den⁴. Ser­ver von Par­tei­en wer­den kur­zer­hand vom Netz genom­men, sobald sich irgend­ein Anlass bie­tet⁵. Unver­letz­lich­keit der Woh­nung? Wo kämen wir denn da hin? Bund und Län­der ent­wi­ckeln flei­ßig Tro­ja­ner und set­zen die­se auch ein, um den Bür­ger mög­lichst umfas­send über­wa­chen zu kön­nen⁶.

Den Poli­ti­kern war Gele­gen­heit gege­ben, ihre Idea­le aus­zu­le­ben. Ver­fas­sungs­treue oder gar Grund­rech­te gehö­ren offen­bar nicht dazu.

Secu­ri­ty, also Sicher­heit vor Angrif­fen aller Art, ist nicht leicht zu erreichen.

Ein Begriff, der im Kon­text von IT-Secu­ri­ty recht bekannt ist, ist Secu­ri­ty through Obscu­ri­ty. Damit meint man (angeb­li­che) Sicher­heit, die dar­auf basiert, dass poten­ti­el­le Angrei­fer bestimm­te Din­ge hof­fent­lich nicht wis­sen oder kön­nen. Sol­che „Sicher­heit” ist kei­ne Sicherheit.

Beispiel 1:

Gehei­me Infor­ma­tio­nen auf einer Web­site, die prin­zi­pi­ell jeder abru­fen kann, aber nie­mand kennt die URL.

URLs und Pfa­de all­ge­mein sind nicht dafür ent­wor­fen wor­den, geheim zu sein. Man hat kei­ner­lei Garan­tie, dass nicht aus irgend einem Soft­ware-Feh­ler her­aus der Ver­zeich­nis­baum des Web­space bekannt wird oder ein Angrei­fer eine Lücke fin­det, um sel­ber in die­sem Ver­zeich­nis­baum her­um­zu­stö­bern. Zumal der Web­space-Pro­vi­der den Ver­zeich­nis­baum ein­se­hen kann!

Beispiel 2:

Den Code des eige­nen Sys­tems geheim hal­ten, damit nie­mand weiß, ob und wel­che Schwach­stel­len existieren.

Jedes Pro­gramm, dass man einem Kun­den in die Hand drückt, kann von die­sem auch rever­se-engi­nee­red wer­den, sodass er als Angrei­fer weiß was pas­siert und Schwach­stel­len fin­det. Das dau­ert unter Umstän­den sehr lang und ist auf­wen­dig - aber es geht! Außer­dem braucht man oft den Code gar nicht zu ken­nen, son­dern pro­biert ein­fach ein paar übli­che Schwach­stel­len aus.

Beispiel 3:

Ein Behör­den­mit­ar­bei­ter trans­por­tiert Daten per­sön­lich in einem Lap­top von einer Behör­de zur nächsten.

Die Hoff­nung hier ist, dass ja nie­mand weiß, dass genau der Mit­ar­bei­ter die Daten hat. Abge­se­hen davon, dass es wahr­schein­lich schon inner­halb der Behör­de jeder weiß, der es wis­sen will: Was, wenn der Lap­top geklaut wird?

Passwörter

Sind Pass­wör­ter dann nicht auch Secu­ri­ty through Obscu­ri­ty? Nein. Pass­wort­ba­sier­te Sys­te­me sind expli­zit dar­auf aus­ge­legt, bestimm­te Sicher­heits­ga­ran­tien zu bie­ten. In sol­chen Sys­te­men muss man nicht auf Geheim­hal­tung hof­fen, son­dern weiß, dass nie­mand die­se Bar­rie­re über­win­den kann bzw. ein bestimm­ter wohl­de­fi­nier­ter Schwie­rig­keits­grad gege­ben ist.

Das Ent­schei­den­de Pro­blem bei Secu­ri­ty through Obscu­ri­ty ist, dass es nahe­zu immer eine Men­ge unkla­rer Even­tua­li­tä­ten gibt, unter denen die Sicher­heit zer­stört wer­den kann. Man hofft nur oder nimmt an, dass es nicht pas­siert, dass der Angrei­fer nicht cle­ver genug ist.

Der Über­gang ist flie­ßend und es kommt immer auch dar­auf an, was man geheim hal­ten will - Omas Keks­re­zept? Die Frei­ga­be­codes für die Atom­ra­ke­ten? Je nach­dem tut’s eben auch schon eine gehei­me URL.

Wikileaks vs Guardian

Der Grund, wes­halb ich die­sen Arti­kel heu­te schrei­be ist Wiki­leaks. Der Guar­di­an hat das Pass­wort für das Cable-Gate-Archiv in einem Buch abge­druckt. Er hat dabei ein­fach ange­nom­men, dass das Pass­wort ohne­hin nicht mehr aktu­ell sei und dass nie­mand die Datei fin­det. Secu­ri­ty through Obscu­ri­ty vom Feins­ten: Der Guar­di­an weiß nichts dar­über, ob die Ver­öf­fent­li­chung des Pass­worts pro­ble­ma­tisch ist, aber er macht es trotz­dem - aus Hoff­nung, dass es schon irgend­wie okay sein wird ver­mut­lich. Es ist ja sicher, weil nie­mand die Datei kennt! Nur blöd, dass Datei­na­men viel weni­ger geheim sind und - Über­ra­schung! - es gibt durch­aus Leu­te, die Zugang zur Datei haben!

Kann man von Jour­na­lis­ten erwar­ten, dass sie die Secu­ri­ty-Pro­ble­me ein­schät­zen kön­nen, die durch ihr Han­deln in Kom­bi­na­ti­on mit Wiki­leaks’ ver­schlüs­sel­ten Back­ups erwachsen?
Viel­leicht nicht.
Aber in dem Fall soll­te man erwar­ten, dass sie ande­rer Leu­te Pass­wör­ter nicht in Büchern abdrucken.

Jörg Rings hat einen Arti­kel geschrie­ben: Skeptizismus/Atheismus, Femi­nis­mus und wie Richard Daw­kins sich ins Aus troll­te.
Kurz­fas­sung der Sto­ry, so wie ich es momen­tan über­bli­cke: Rebec­ca Wat­son erzählt von einem Typen, der sie Nachts um 4 im Auf­zug ange­spro­chen hat, ob sie auf nen Kaf­fee auf sein Hotel­zim­mer kom­men möch­te. Dar­auf­hin ent­spinnt sich eine Dis­kus­si­on dar­über, ob das denn wirk­lich so schlimm sei. Richard Daw­kins ver­weist schroff auf Mus­li­ma, die tat­säch­lich kör­per­lich lei­den im Gegen­satz zu Rebec­ca, bei der es um Befind­lich­kei­ten gehe. Ich per­sön­lich den­ke, dass es sinn­los ist, die­se bei­den Wel­ten mit­ein­an­der zu ver­mi­schen, denn sie haben in der Pra­xis kaum etwas mit­ein­an­der zu tun, sind aber letzt­lich bei­de wichtig.

Rebec­cas Pro­blem ist inso­fern span­nen­der, als das es eins ist, dass ich, viel­leicht auch die Gesell­schaft als sol­che, bis­her nicht wirk­lich auf dem Schirm hat­te. Hier aber erst­mal das Video, auf das Jörg ver­weist. Bei 2:20 gehts los: wei­ter…

Die Tagesschau.de-Schlagzeile vom 25.05.2011

RKI warnt vor Gemü­se aus Norddeutschland

Im Arti­kel wird das noch ein­mal abgewandelt: 

Das Robert Koch-Insti­tut (RKI) warn­te nun vor dem Ver­zehr die­ser Gemü­se, wenn sie in Nord­deutsch­land ange­baut wurden. […]

und es wird mehr­fach erwähnt, dass alles nicht sicher ist, ins­be­son­de­re nicht, „ob das Gemü­se in Nord­deutsch­land nur gekauft, oder auch ange­baut wor­den ist”, auch Ilse Aigner wird mit mäßi­gen­den Wor­ten zitiert. Die Web­site des RKI warn­te der­weil sehr sach­lich und voll­stän­dig:

Vor dem Hin­ter­grund des noch anhal­ten­den, gra­vie­ren­den Aus­bruchs­ge­sche­hens mit zum teil schwe­ren gesund­heit­li­chen Fol­gen emp­feh­len RKI und BfR über die übli­chen Hygie­ne­re­geln im Umgang mit Obst und Gemü­se hin­aus, vor­sorg­lich bis auf wei­te­res Toma­ten, Salat­gur­ken und Blatt­sa­la­te ins­be­son­de­re in Nord­deutsch­land nicht roh zu verzehren.

Den­noch wähl­te man eine Über­schrift, die nicht etwa vor Toma­ten, Gur­ken, Salat­köp­fen in Nord­deutsch­land warnt, die even­tu­ell gefähr­lich sein könn­ten, falls man sie roh isst, son­dern eine Über­schrift, die pau­schal vor sämt­li­chem Gemü­se warnt, das aus Nord­deutsch­land kommt, egal ob gegart oder roh. Dabei war völ­lig klar, dass eine unacht­sam for­mu­lier­te Schlag­zei­le mas­si­ve Vor­be­hal­te beim Ver­brau­cher wecken würde!

Am nächs­ten Tag dann folgendes

Ein­nah­me­ver­lus­te durch miss­ver­ständ­li­che EHEC-Warnung

Aber wer Selbst­kri­tik erwar­tet hat, wird ent­täuscht. Statt­des­sen schiebt tagesschau.de dem RKI die Schuld in die Schuhe:

Meck­len­burgs Land­wirt­schafts­mi­nis­ter Till Back­haus kri­ti­sier­te kon­kret das Vor­ge­hen des Koch-Insti­tuts, das wegen EHEC sofort vor dem Ver­zehr von Toma­ten, Salat und Gur­ken in Nord­deutsch­land abge­ra­ten hatte.

Am 7.6. dann wur­de ein Inter­view mit Klaus Weid­mann ver­öf­fent­licht, des­sen Ant­wor­ten ich ges­tern schon einen eige­nen Arti­kel gewid­met habe. In die­sem Inter­view fragt tagesschau.de:

In Ihrem Arti­kel beschrie­ben Sie einen Fall in den USA: Nach­dem sich dort 1997 15 Men­schen mit EHEC infi­zier­ten, und zum Glück kei­ner starb, zogen die Behör­den 25 Mil­lio­nen Ham­bur­ger aus dem Ver­kehr. Wie­so gibt es in Deutsch­land nicht der­ar­ti­ge Ver­su­che, die Bevöl­ke­rung zu schützen?

Gleich­zei­tig, auf der Hauptseite:

Wie kann man als ehr­li­cher Jour­na­list ein der­ma­ßen wider­sprüch­li­ches Welt­bild pro­pa­gie­ren? Und dann noch der­art schein­hei­li­ge Fra­gen auf Bild-Niveau stellen?

Die Qua­li­tät des rest­li­chen Inter­views ist auch unter aller Kano­ne. Dabei hät­te tagesschau.de ohne wei­te­res erken­nen kön­nen, dass die Ant­wor­ten Weid­manns nicht ver­wert­bar sind. Sei­nen Vor­wurf , Deutsch­lands For­schung hän­ge mas­siv zurück, wird bereits im „RKI warnt …”-Arti­kel wie­der­legt. In dem dar­in ein­ge­bet­te­ten Video wird direkt ein Wis­sen­schaft­ler genannt, der sich seit 30 Jah­ren mit dem Erre­ger befasst. Tagesschau.de wuss­te auch, dass die Erkennt­nis­se Weid­manns auf einem über zehn Jah­re alten Arti­kel fußen und damit poten­ti­ell hoch­gra­dig über­holt sein kön­nen - zumal Wei­de­mann selbst kein Natur­wis­sen­schaft­ler ist, son­dern Poli­to­lo­ge und Redak­teur aus den Rei­hen der ARD.

Ist das die Qua­li­tät, die ich in Zukunft von der ARD zu erwar­ten habe? Inkon­sis­ten­te, lücken­haf­te Hys­te­rie, ange­rei­chert mit ver­al­te­ter Pole­mik eines fach­frem­den Ex-„Experten”?

Auf Tagesschau.de steht momen­tan ein Inter­view mit Dr. Klaus Weid­mann¹ zu The­ma EHEC. Weid­mann ist Redak­teur beim SWR und hat­te 1998² mal zu dem The­ma recher­chiert. Schon damals hat er gra­vie­ren­de Män­gel im Umgang mit EHEC auf­ge­deckt. Dem­entspre­chend schlägt er im Inter­view im Wesent­li­chen in die „Der Staat hat versagt!”-Kerbe, was mich immer schon mal skep­tisch stimmt, denn irgend­je­man­dem bloß Ver­sa­gen vor­zu­wer­fen, ist zunächst mal kei­ne gro­ße Leis­tung. Naja, trotz­dem habe ich erst mal wei­ter gele­sen, aber dann stieß ich auf fol­gen­den Satz:

So ver­fü­gen die Ame­ri­ka­ner über einen ganz ande­ren Erfah­rungs­schatz. Ein Bei­spiel: Auf der Web­site des CDC  hat man heu­te 15.300 Tref­fer zum Such­be­griff „EHEC”. Auf der Inter­net­sei­te des Robert-Koch-Insti­tuts fin­det man gera­de 60 Treffer.

Das ist nicht euer Ernst, oder? Wie kann man auf die Idee kom­men, jeman­des Erfah­rung am Umfang sei­ner Web­site zu bemes­sen!? An der Anzahl von Such­ergeb­nis­sen!? Wer sol­che Schlüs­se zieht, dem traue ich schlicht kei­ne Kom­pe­tenz zu, beson­ders nicht im Kon­text von Krank­hei­ten, in dem soli­des wis­sen­schaft­li­ches Den­ken und sta­tis­ti­sches Grund­wis­sen essen­ti­ell sind. Hin­zu kommt: Die Zah­len stim­men nicht mal. Beim CDC fin­det man nur 760 Tref­fer für „EHEC”. (Nicht dass der Ver­gleich davon sinn­vol­ler würde.)

In Japan gibt es seit den 40ern eine Mel­de­pflicht für EHEC. Des­halb weiß man auch, dass es sich nicht um eine pure Lebens­mit­tel­krank­heit han­delt, son­dern um eine Infek­ti­ons­krank­heit. Japa­ner wis­sen schon lan­ge: EHEC ist auch von Mensch-zu-Mensch und von Tier-zu-Tier über­trag­bar. Auch gab es schon vor 15 Jah­ren Auf­klä­rungs­kam­pa­gnen in Japan. Ich hat­te sel­ber Fly­er in der Hand, die erklär­ten, wie man mit Hygie­ne umgeht. Es gab Vide­os im Fern­se­hen, in Schu­len und Restau­rants. Ich fin­de es beschä­mend, dass es sowas in Deutsch­land nicht gibt.

Und in Deutsch­land gibt es das etwa nicht? Wird nicht auch hier­zu­lan­de jedes Mal wie­der vor E. Coli gewarnt? Wird nicht auch hier alle Nase lang erwähnt, dass man die Grund­la­gen der Hygie­ne ein­hal­ten soll? Vor allem aber: EHEC/HUS ist bereits mel­de­pflich­tig! Seit 1998 schon, wie man im Bun­des­ge­setz­blatt S. 3425 nach­le­sen kann!

Weid­manns ursprüng­li­cher Arti­kel beschreibt die Miss­stän­de in der Gesetz­ge­bung der 90er Jah­re. So weit so gut. Beim gro­ben Drü­ber­schau­en fin­det man dort auch:

Unter den fata­len poli­ti­schen Rah­men­be­din­gun­gen haben vor allem Mikro­bio­lo­gen und Hygie­ni­ker zu lei­den, die sich ernst­haft mit der Erfor­schung von Seu­chen, hier von EHEC, beschäf­ti­gen. […] Vom Insti­tut für Hygie­ne und Mikro­bio­lo­gie an der Uni­ver­si­tät Würz­burg erfah­ren wir, daß EHEC-Erre­ger erst­mals 1985 in Deutsch­land ent­deckt wur­den. […] Unter Feder­füh­rung des Robert-Koch-Insti­tuts sei bereits 1993 in einer Stu­die vor EHEC gewarnt worden […].

Sieh an! Was man in Japan so lang weiß, wuss­te man also auch in Deutsch­land schon. Die For­schung steckt kei­nes­wegs in den Kin­der­schu­hen - das RKI ist lang an der Sache dran. Zumal For­schung ohne­hin län­der­über­grei­fend ist und das RKI auch eng­lisch­spra­chi­ge Publi­ka­tio­nen liest.

Es ist ärger­lich, dass so vie­le Tage ver­gan­gen sind, bis man auf­wacht um nach­zu­den­ken: Wie wol­len wir die Labo­re aus­stat­ten? Wer ist eigent­lich ver­ant­wort­lich? Wie ist das mit der Mel­de­pflicht? Wer orga­ni­siert die Auf­klä­rung der Bevöl­ke­rung? Das meis­te wur­de in all den Jah­ren versäumt.

War­um sach­lich recher­chie­ren, wenn man rei­ße­ri­sche Sug­ges­tiv­fra­gen stel­len kann? Hier die Jahr­zehn­te alten Ant­wor­ten für alle, denen Nach­den­ken eben­falls zu anstren­gend ist:  Geforscht wird über­all - es wird nicht für jedes neue E.-Coli-Bakterium ein neu­es Labor gebaut. Ver­ant­wort­lich sind sicher­lich die Gesund­heits­äm­ter. Mel­de­pflicht ist im Infek­ti­ons­schutz­ge­setz glas­klar gere­gelt. Gesund­heits­mi­nis­te­ri­en klä­ren jeden auf, der es wis­sen will.

Das nächs­te Mal: Ruhe bewah­ren. Den­ken. Dann schreiben.

Der Finanz­markt basiert im Wesent­li­chen dar­auf, die Gier ande­rer Leu­te auszunutzen.

Die Kunst ist, genau das zu tun, ohne aber selbst gie­rig zu sein.

Das erscheint dir unmög­lich? Dann hast du eine sehr gesun­de Ein­stel­lung zu dem Thema.

Anläss­lich des all­jähr­li­chen Stöh­nens über Ben­zin­prei­se und Ostern habe ich mir bei benzinpreis.de die Zah­len von 2002-2010 für Super Ben­zin ange­schaut - und in ein Dia­gramm gepackt. Der Monat in dem Ostern liegt, ist blau mar­kiert. Die Feh­ler­bal­ken geben die Stan­dard­ab­wei­chung an.

Es gibt über das Jahr hin­weg Schwan­kun­gen. Die Vari­an­zen sind dabei aber so immens, dass die­se Schwan­kun­gen im Ein­zel­fall eben­so­gut Zufall sein können.

Wer es ger­ne kon­kre­ter haben möch­te: Ein­fach mal auf benzinpreis.de durch die Jah­re durch kli­cken und schau­en, was zu Ostern jeweils geschah. Es gab fast nie einen merk­li­chen Anstieg, der sich vom Anstieg im Vor­mo­nat oder dem danach unterschied.

Zum Ver­grö­ßern kli­cken! (cc-by nkblog)

Die Earth-Hour macht 0,0114% des Jah­res aus.

Frei­tag dach­te ich: Na okay. Da war ein, selbst für japa­ni­sche Ver­hält­nis­se, unglaub­lich star­kes Erd­be­ben - und dann noch ein eben­so zer­stö­re­ri­scher Tsu­na­mi hin­ter­her! Da kann in einem Kern­kraft­werks schon mal das Kühl­sys­tem aus­fal­len. Ein gra­vie­ren­des Pro­blem, sicher­lich - aber beherrschbar!

Nun sind fünf Tage ver­gan­gen und man wür­de mei­nen, dass das Küh­lungs­pro­blem rasch beho­ben wor­den und alles halb so schlimm gewe­sen wäre. So hat­te ich mir das auch aus­ge­malt. Tat­säch­lich wird es jedoch von Tag zu Tag schlim­mer statt bes­ser. Inzwi­schen sind drei der Gebäu­de explo­diert, teil­wei­se sind Con­tain­ments beschä­digt, immer wie­der brennt es irgend­wo. Vom Sicher­heits­kon­zept ist schon längst kaum etwas übrig. Als ulti­ma Ratio ist nur die Flu­tung der Con­tain­ments geblie­ben. Ob das über­all geklappt hat, ist unklar. Wenn nicht, sieht es düs­ter aus, denn einen rea­lis­ti­schen Plan B gibt es offen­bar nicht. Hin­zu kommt, dass die bereits aus­ge­tre­te­ne Radio­ak­ti­vi­tät jeden neu­en Ret­tungs­ver­such erschwert.

Mich erschreckt dabei weni­ger die Exis­tenz die­ses Stör­falls, son­dern die voll­kom­me­ne Macht­lo­sig­keit, mit der Kraft­werks­be­trei­ber und Staat der selbst­er­schaf­fe­nen Bedro­hung gegen­über stehen.

Gut mög­lich, dass der Super-GAU noch ein­mal abge­wen­det wer­den kann. Aber „beherrsch­bar” sieht anders aus.