Während sich Berlin und Brüssel um Fake News und Social Bots sorgen und der Spiegel in seinen Reihen einen verwirrten Einzelfaker aufspürt, spielt sich vor unseren Augen die größte Fake-News-Krise des frühen 21. Jahrhunderts ab: die Legende von der wunderbaren Blockchain-Technologie, die alles revolutioniere. Entstanden als Behauptung windiger Geschäftemacher, schaffte sie es mittlerweile in Zeitungsartikel, auf Wahlplakate, in Koalitionsverträge sowie ins Abendprogramm der ARD. Treiber dieser memetischen Krise sind nicht die üblichen Verdächtigen – Putins Trollarmeen, horizontbeschränkte Wutbürger und Protonazis sowie Facebook, Twitter und Google – sondern gesellschaftliche Systeme, die emergent-kollektiver Bullshitterei zunehmend wehrlos gegenüberstehen.

Banale Technik

Die Blockchain gibt es tatsächlich. Sie ist allerdings keine Technologie, sondern eine IT-Architektur. Ausgangspunkt war das virtuelle Spekulationsgut Bitcoin, das auf dem Finanzmarkt gerade eine Wertberichtigung erfährt. Da sich Zufallszahlen auch mit einer guten Geschichte kaum verkaufen lassen, kombinierte Bitcoin kreativ mehrere Entwurfsmuster: (1) eine Protokolldatei aus kryptografisch verketteten Einträgen, so dass Manipulationen erkennbar werden und nur das Anhängen neuer Einträge zulässig ist, (2) die redundante Speicherung dieser Datei bei jedem Teilnehmer, (3) ein Verfahren zur (technischen) Konsensbildung darüber, welche Inhalte in welcher Reihenfolge an die Datei angehängt werden, (4) künstlich erzeugten Rechenaufwand als Voraussetzung für die Teilnahme, um Manipulationen der Konsensbildung zu verteuern, sowie (5) eine Lotterie, welche die Teilnahme an der Konsensbildung gelegentlich belohnt.

Im Wesentlichen handelt es sich bei einer Blockchain um eine Protokolldatei mit kryptografischer Integritätssicherung. Die übrigen Elemente benötigt man nur deshalb, weil man diese Protokolldatei nicht in der üblichen Weise zentral auf einem Server im Internet führt, sondern – ohne erkennbare technische Motivation – auf eine solche Instanz verzichten möchte. Später kam die Idee der „Smart Contracts” hinzu. Das sind Programme, die mit Protokolleinträgen als Ein- und Ausgaben arbeiten und selbst protokolliert sind.

Kein plausibler Nutzen

Ein Protokollierungsmechanismus, der aufgrund willkürlicher Entwurfsentscheidungen unnötig ineffizient ist, soll also die Cyberdigitalisierung revolutionieren und Krebs heilen. Wirklich Neues jedoch kann man damit gar nicht anfangen. Verlässliche Protokolle kennt die Menschheit, seit die ersten Hieroglyphen in Ton geritzt wurden. Auch Erzählungen von Smart Contracts wirken  nur noch halb so beeindruckend, wenn man erst einmal das kontaktlose Bezahlen mit Karte oder Telefon ausprobiert hat. Viel smarter als eine Kreditkarte mit Chip werden Verträge in diesem Leben voraussichtlich nicht mehr

Dass es in der Praxis zudem eher auf Pragmatik ankommt als auf starke Kryptografie, konnten wir gerade in Deutschland mehrfach schmerzhaft lernen, etwa angesichts des einst in seiner Bedeutung hoffnungslos überschätzten Signaturgesetzes oder der Investitionsruine eGK. Unterdessen kaufen wir seit inzwischen Jahrzehnten alles Mögliche im Netz ein und das funktioniert prima ohne ein zentrales Transaktionsregister.

Dementsprechend vage bleiben die Verheißungen der wunderbaren Blockchain-Technologie durch sämtliche Nachrichten hinweg. Zwar betonen alle, welch eine Revolution sich gerade vollziehe, doch der Aufforderung: „Show, don’t tell“ folgt niemand. Erfolgreiche Projekte findet man nicht einmal, wenn man sie aktiv sucht und als mögliche künftige Anwendungen werden wie im Bildschirmfoto oben vor allem solche aufgezählt, die es längst gibt, nur eben funktionierend statt mit Blockchain. Da hilft auch die Umbenennung in Distributed Ledger Technology nicht.

Das konnte man alles sehen und wissen, schon lange, wenn man ab und zu nach Antworten auf naheliegende Fragen gesucht hat: Wie soll das funktionieren? Hat das mal jemand ausprobiert? Wie hat man das Problem bisher gelöst? Was wird besser, was schlechter, wenn man eine Blockchain-Lösung baut? Handelt es sich überhaupt um ein Problem, für dessen Lösung jemand Geld ausgeben würde? Viele haben es auch gesehen und gewusst und die Blockchain-Promoter belächelt, seit Jahren schon, denn überzeugende Details enthielt die Geschichte nie, dafür viele phantasievolle Ausschmückungen des immergleichen Grundgerüsts, und zuletzt sprachen auch harte Daten gegen die Vermutung eines echten Technologietrends.

Bullshitblase

Gescheitert sind an der Legende von der Blockchain jedoch gesellschaftliche Teilsysteme, denen die Einschätzung von Wahrheit und Relevanz obliegt: die Medien, die Wissenschaft und in der Folge auch die Politik. Eine lose Allianz aus Geschäftemachern, Konzernen,  Wissenschaftlern und Wissenschaftsorganisationen sowie Journalisten bildet eine Blökchain, in der alle einander auf die Schulter klopfen und versichern, wie prächtig und revolutionär des Kaisers neue Blockchain sei – während ringsum alles in Chor ruft, da sei nicht mal ein nackter Kaiser.

Als schwarze Schafe, welche die Legende in die Welt setzten, fungierte zum einen die ICO-Szene, zum anderen Konzerne mit Innovationsdefiziten. Die ICO-Szene entwickelte sich aus der Erkenntnis, dass sich das Bitcoin-Modell beliebig vervielfältigen lässt, und der Idee, solche Kopien herzustellen und aus diesem Anlass „Token“ an risikobereite Investoren zu verkaufen. Im Gegensatz zum oberflächlich ähnlichen IPO eines Startups erwerben die Investoren dabei keine Unternehmensanteile, sondern sie investieren lediglich in die Hoffnung, jemand könne ihnen in Zukunft ihre Token abkaufen, warum auch immer, und dafür einen höheren als den ursprünglichen Preis zahlen.

Gleichzeitig sahen einige Konzerne eine Gelegenheit, sich innovativ zu geben und ihren an sich langweiligen und schwer unterscheidbaren Produkten und Dienstleistungen Alleinstellungsmerkmale anzudichten – eben die Blockchain-Technologie, welche danke Bitcoin-Blase und ICO-Meldungen im Gespräch war. Das ist nicht ungewöhnlich; man denke etwa an die Second-Life-Blase vor etwas mehr als zehn Jahren mit ähnlichem Verhalten teils derselben Akteure. Wenn ein Konzern laut darüber redet, so etwas zu tun, dann sind Nachahmer nicht weit, und so behaupten heute viele alte Unternehmen, irgendwas mit Blockchain zu tun. Zugute kommt ihnen dabei der Blökchain-Mechanismus – sie müssen nur in den Chor derer einstimmen, die von der goldenen Blockchain-Zukufnft schwärmen, und sie sind in diesem Chor herzlich willkommen.

Überforderte Institutionen

Bis hierhin handelt es sich um legitime Spekulation und PR im eigenen Interesse, um ganz normalen Kapitalismus, der bestimmungsgemäß funktioniert. Normalerweise stehen diesen Akteuren und ihrem Handeln jedoch als Korrektiv Systeme mit Objektivitätsanspruch gegenüber, etwa die Medien und die Wissenschaft. Diese Systeme sind bislang allen offensichtlichen Zeichen zum Trotz an der Legende von der Blockchain-Revolution gescheitert.

Für die Medien ist die Geschichte von der Blockchain ein gefundenes Fressen. Medien mögen Geschichten, selbst wenn sie falsch sind. Gleichzeitig steckt die Presse seit Jahren in der Krise, ihre Auflagen sinken ebenso wie die Werbeeinnahmen und vom einstigen Geschäft mit den Kleinanzeigen sind höchstens noch die Trauerfälle in der längst woanders produzierten Lokalzeitung übrig. Ein Thema ernsthaft und kritisch zu recherchieren, auch wenn keine spektakuläre Enthüllung als Belohnung winkt, kann man sich kaum noch leisten. Recherchiert man weniger gründlich, verfängt man sich jedoch fast zwangsläufig in der Blökchain. Die sichtbarsten und zugänglichsten Experten sind dann jene, auf deren Agenda die Blockchain-Promotion steht und sie verbreiten selbstverständlich ihre Legende.

Ist dies oft genug geschehen, wird die Politik aufmerksam. Was es mit einem Schlagwort wirklich auf sich hat, interessiert dort erst einmal weniger, solange es als Code für Fortschritt und Modernität oder sonst irgendeinen ätherischen Wert brauchbar scheint. So landete die Blockchain erst in den Wahlkämpfen der FDP und alsbald auch im Koalitionsvertrag der aktuellen GroKo. Das nationale und kontinentale Trauma, in der IT- und Internetwirtschaft hoffnungslos den Anschluss verloren und sich stattdessen in Datenschutz-, Ethik- und Sicherheitsdebatten verzettelt zu haben, bereitet inzwischen reale Schmerzen. Man sucht händeringend nach dem Next Big Thing, bei dem man endlich mal die Nase vorn haben möchte, und läuft deshalb jedem sich abzeichnenden Trend hinterher. So wandert die Legende weiter in die real existierende Forschungsförderung. Ähnliches spielt sich auf europäischer Ebene ab.

Dies wiederum führt die Wissenschaft an die Blökchain heran. Was mancher noch für eine hehre Wahrheitssuche hält, ist über weite Strecken längst zu einem Geschäft geworden, in dem jene als die Erfolgreichsten gelten, welche die höchsten Fördersummen akquirieren und verbrauchen. Von dort ist folglich zur Blockchain-Legende kaum ein kritisches Wort zu hören, solange man mit Fördermitteln für dieses Thema rechnet. Im Gegenteil, seit sich der Thementrend abzeichnet, produziert man eilig Thesenpapiere, Experten und Labore, um sich für den Kampf ums Geld in Position zu bringen und so auszusehen, als hätte man die Blockchain beinahe miterfunden. So stimmen Wissenschaftler und Funktionäre in den Chor ein, der von einer goldenen Blockchain-Zukunft schwärmt, denn alles andere wäre sehr dumm, wenn Geld für Blockchain-Projekte winkt.

Was  nun?

So hat sich quer durch die Gesellschaft eine Blase gebildet, in der die Legende von der wunderbaren, alles revolutionierenden Blockchain-Technologie durch wechselseitige Bestätigung und Bekräftigung am Leben erhalten wird, während man sich gegen Kritik und Zweifel durch Ausschluss der Kritiker immunisiert. Schuld daran sind weder Putins Trollarmeen noch die bösen Internetplattformen, sondern die Verhältnisse in wichtigen Teilsystemen unserer Gesellschaft sowie deren Zusammenwirken. Wo alle einander nachhaltig dieselbe offensichtlich halbwahre Geschichte nacherzählen, fehlt es an öffentlichem Widerspruch und mithin an Pluralismus.

Von ihrem gegenwärtigen Leitthema wird sich diese Fake-News-Blase bald verabschieden, weil es darüber kaum noch Neues zu erzählen gibt und sich die alte Legende abnutzt, wenn vorzeigbare Erfolge weiter ausbleiben. Doch die Strukturen und Mechanismen dahinter werden bleiben und sie werden neue Themen finden, mit denen sie uns ebenso lange und intensiv auf die Nerven gehen werden. Wir müssen uns deshalb fragen, mit welchen Mitteln wir künftig Nachrichten, Weltbilder und Kritik produzieren möchten und was wir ungenierter Bullshitterei entgegensetzen können.

Ein Hoffnungsschimmer

Andererseits sehe ich nicht so schwarz, wie es hier im Text vielleicht scheint, sondern ich glaube daran, dass sich die Wahrheit auf lange Sicht doch durchsetzt. Gegenwärtig kommt ein Hauch von Realismus in der Berichterstattung an und wenn das Rückzugsgefecht so weitergeht, lassen wir das Thema Blockchain vielleicht bald hinter uns. Es wird auch Zeit.

 

2018 war das große Jahr der Datenschutz-Grundverordnung, jedenfalls in puncto Aufmerksamkeit. Datenschutzaktivisten und die Datenschutzbranche feierten den 25. Mai, an dem die Übergangsfrist ablief und die die Regeln der DS-GVO wirksam wurden, als wäre es ein zweites Weihnachten gewesen. Wie beim echten Weihnachtsfest war das Völlegefühl danach so groß wie die Vorfreude im Advent und es hält bis heute an – die Datenschutzaufsicht ist unter der Last der neuen Verordnung weitgehend zusammengebrochen. Derweil verbreiten sich hin und wieder groteske Geschichten über entfernte Klingelschilder oder aus Fotos radierte Kindergesichter, an denen die DS-GVO schuld sei.

Zweifelhaft ist jedoch wie vor, ob die DS-GVO den große Wurf darstellt, als den sie große Teile der Datenschutzszene  vor ihrer Überlastung durch eben jene DS-GVO feierten. Positiv ist gewiss die europäische Harmonisierung, die den Adressaten innerhalb Europas den Umgang mit dem Datenschutz erleichtert. Weit weniger deutlich lassen sich inhaltliche Fortschritte gegenüber dem traditionellen Datenschutz aus den 1970er und 1980er Jahren erkennen.

Trotz einiger Modernisierungen bleibt die DS-GVO in vielen Punkten orthodox,das heißt auf Oberflächenphänomene und Vorsorge fokussiert. Der traditionelle Datenschutz ist erhebungszentriert: Gespeicherte Daten gelten pauschal als gefährlich, wenn nicht gar als Grundrechtseingriff, weshalb man die Datenerhebung als die zur Speicherung und Verarbeitung unvermeidliche Voraussetzung regulieren müsse. Risiken bemessen sich aus dieser Perspektive nicht danach, was eine Organisation mit Daten tut oder welche Folgen daraus realistisch resultieren könnten, sondern alleine danach, welche Daten sie erhebt.

Ein anschauliches Beispiel für die Defizite dieser Perspektive liefert heute die Mitteldeutsche Zeitung auf der Grundlage eines YouTube-Videos. Das Skandälchen: Die Polizei betrieb ein Geschwindigkeitsmessgeräte an der Autobahn 38 und blitzte Autofahrer, obwohl dort gar kein Tempolimit galt. Wie die MZ in ihrer Recherche herausfand, handelte es sich schlicht um einen Test des Messgeräts, an dem man einen Fehler vermutete – eine gute Sache, die den betroffenen Fahrern keinen Schaden zufügt.

Objektiv bestand nie ein Grund zur Aufregung. Selbst wenn es sich nicht um einen Test gehandelt hätte, bliebe das Schadenspotenzial gering, denn ein Foto vom Straßenrand führt hierzulande nicht zu willkürlichen, unbeschränkten Eingriffen in die Leben der Fotografierten, sondern lediglich zu einem rechtsstaatlichen Verfahren. Abgesehen davon, dass so etwas lästig sein kann und Fehler auch in der Justiz zuweilen vorkommen – ein allgemeines Lebensrisiko – haben die Betroffenen nicht mehr zu fürchten als ihre gerechte Strafe. Mangels Tempolimit im vorliegenden Fall droht ihnen also gar nichts und bei einer gerechtfertigten Anzeige eine moderate Buße. Davon abgesehen bestand hier nicht einmal die Absicht, dem Test überhaupt irgendwelche gegen die Betroffenen gerichteten Maßnahmen folgen zu lassen.

Eine tendenziell gesetzestreue Beamtenschaft, die Garantie eines rechtsstaatlichen Verfahrens sowie nach Schwere der Tat abgestufte Strafvorschriften sind hier die zentralen Mechanismen des Risikomanagements. In einer einseitig auf die Erhebung fokussierten Perspektive, die gespeicherten Daten unschätzbare Gefahren unterstellt, geraten genau diese Mechanismen aus dem Blickfeld. Aus dieser Perspektive ist äquivalent, was auf den ersten Blick ähnlich aussieht, und gleichermaßen gefährlich, was dieselben Daten erfasst.

Diese Ignoranz gegenüber systemischen Sichten zeigt sich vielerorts im Datenschutz. Bestes Beispiel ist die Online-Werbung. Im Fokus des Datenschutzes stehen die damit verbundenen Trackingmechanismen, mit denen die Werbewirtschaft im Internet ihre – am Ende immer noch geringen – Erfolgsraten und die daraus resultierenden Einnahmen optimiert. Aus der Erhebungsperspektive scheint das alles ganz schlimm, denn „Datenkraken beobachten jeden Klick im Internet“ und bilden Profile sogar über Gerätegrenzen hinweg.

Aus der systemischen Sicht hingegen geht es die ganze Zeit nur um Werbung. Werbung ist per se übergriffig, auch als Plakat am Straßenrand, weil sie uns anheischt, den Interessen anderer gerecht zu werden. Werbung nervt, weil sie mit anderer Werbung sowie mit relevanten Informationen um unsere Aufmerksamkeit kämpft. Werbung ist jedoch auch nützlich und geduldet, wo sie uns Dienste und Inhalte im Netz finanziert. Alles in allem ist Werbung vor allem eins: ziemlich harmlos, denn sonst hätte sie uns längst alle umgebracht.

Diese Harmlosigkeit kann der erhebungszentrierte Datenschutz nicht erfassen, ausdrücken und seinen Maßnahmen zugrunde legen. Im Gegenteil, dort wird ungeniert mit frei erfundenem „Überwachungsdruck“ argumentiert, welcher sogar die Anscheinsüberwachung durch Kameraattrappen zum Problem mache. So kommt es, dass niemand mehr nachvollziehen kann, wovor ihn der Datenschutz eigentlich schütze.

© 2011-2018 Sven Türpe, CC-BY-SA

For my international readers: This is German and means bleatchain.

Fahrräder von Mobike sammeln als trojanische Pferde Daten für das Überwachungsprogramm des chinesischen Staats, mussten schockierte Nutzer in der vergangenen Woche auf Twitter lesen. „China’s Surveillance & Social Credit systeme alive & kicking in Berlin“ überschrieb Alexander Hanff seinen Beitrag, der zu lebhaften Diskussion um den Schutz der Privatsphäre beim Bikesharing-Anbieter Mobike geführt hat. So […]

Radwege und Radstreifen dienen dem Komfort des Autoverkehrs. Aus Gründen der Sicherheit sind sie unnötig. Sie fühlen sich nur sicherer an. Das ist das große Paradoxon der Radverkehrsförderung. 

Wir setzen auf Radwege, um mehr Leute, vor allem Kinder, Jugendliche und Alte aufs Fahrrad zu bringen. Es gilt als gefährlich, sich mit dem Rad unter Autos zu mischen.  Aber eigentlich ist es nur stressig. Denn wir bekommen direkt die Aggressionen mancher Autofahrender zu spüren, wir werden manchmal knapp überholt. Tatsächlich trauen sich Unerfahrene eben nicht auf die Fahrbahnen. Sie träumen von Radwegen und Radstreifen. Und sie brauchen sie auch. Ohne Radrouten, die sich sicher anfühlen, erreichen wir in unsere Stadt diejenigen nicht, die Angst haben vor dem Autoverkehr, aber eigentlich gern Rad fahren würden. Sicherer, als wir denken, sind wir auf Fahrbahnen unterwegs. Diese These untermauert Thomas Schlüter eindrucksvoll auf seinem Blog über Radverkehrsunfälle und Zusammenstöße. Also bitte erst lesen, dann diskutieren!

Witzigerweise kämpfen genau die am meisten gegen Radwege und Radstreifen, die am meisten davon hätten: nämlich die Autofans und ihre Verbände.
Autofahrende wollen nämlich eigentlich nicht, dass sie Räder auf ihren Straßen überholen müssen oder über hunderte von Metern hinter ihnen festhängen. Das aber ist der Fall, wenn man Radfahrenden keine getrennte Radinfrastruktur anbietet. Und es wird sich gerade in Stuttgart häufen, weil Autoverbände, Anwohner/innen und bestimmte Parteien Radstreifen und Radwege verhindern. Aus Sicherheitsgründen braucht man sie auch gar nicht. Radfahrende sind im Längsverkehr auf allen Straßen so sicher unterwegs wie als auf Radwegen. An Kreuzungen sogar sicherer.

Ich finde Radwege und Radsteifen auch gemütlicher als das Fahrbahnradeln. Niemand hat gern schnellere Fahrzeuge von hinten, die einen überholen (deshalb hassen Fußgänger/innen Radfahrende auch so). Aber die Gefahren, die auf der Fahrbahn, selbst auf einer Landstraße, drohen, werden drastisch überschätzt. Das weist sehr detailliert und sorgfältig Thomas Schlüter auf seinem Blog nach. Er hat eine Karte aller Unfälle und Zusammenstöße in Deutschland und eine komplette Liste aller tödlichen Radunfälle/Zusmmenstöße seit 2013 angelegt, die man nach Suchkriterien filtern kann.  Nach seinen Recherchen gibt es für Radfahrende auf den Fahrbahnen, Landstraßen und Kreisstraßen keine typischen Todesstrecken. Nirgends häufen sich Zusammenstöße, es ist jeweils ein isolierter Einzelfall, wenn ein Autofahrender von hinten auf einen Radfahrenden auffährt und ihn verletzt oder tötet.

Zusammenstöße bei Dunkelheit im Längsverkehr

Aus dem von ihm gesammelten statistischen Material geht auch hervor, dass die größte Gefahr für Radler auf Land- und Kreisstraßen zwar selbstverständlich das Auto ist, sich aber Zusammenstöße im Längsverkehr vor allem dann ereignen, wenn der Radler bei Dunkelheit unbeleuchtet unterwegs ist. Warnwesten schützen übrigens auch nicht vor solchen Dunkelheitszusammenstößen. Die  meisten tödlichen Unfälle von Radfahrenden sind übrigens Alleinunfälle, gefolgt von Zusammenstößen beim Missachten der Vorfahrt (meist durch Autofahrende) und den Abbiegezusammenstößen im toten Winkel von LkW, wobei die sich nur auf Radwegen ereignen, nicht, wenn ein Radler auf der Fahrbahn fährt. Wie Zusammenstöße im "tödlichen Winkel" ablaufen, auch das hat Schlüter in einem langen Beitrag analysiert.

Und nun?
Nach meiner Überzeugung brauchen wir in Stuttgart, wie in vielen anderen Städten, ein Signal an das ungeheuer große Reservoir (rund 60 Prozent) von potentiellen Radfahrenden, damit sie mehr Fahrten mit dem Fahrrad statt mit dem Auto machen. Und das geht nur, in dem man ihnen zeigt, dass sie erwünscht sind. Und das geht tatsächlich nur mit Radstreifen und Radwegen und all dem. Man muss ihnen Raum anbieten. Zugleich müssen wir dann aber auch deutliche Anstrengungen unternehmen, damit sie an Kreuzungen vor abbiegenden Lkw geschützt sind, gerade Kinder, Jugendliche und Alte, die sich auf Verkehrszeichen und Ampeln verlassen. Und zusätzlich darf man es Rafahrenden eben auch bequem machen, indem man ihnen an Ampeln Radstreifen rechts vom Stau und einen Aufstellplatz an der Ampel mit Radlerampel anbietet.

Ich fahre ja eh schon lieber auf einer Fahrbahn als auf einem schlechten freigegeben Gehweg oder einer engen und hoppeligen Radinfrastruktur und mache das jetzt noch öfter und noch selbstbewusster.

Beispielsweise fahre ich in der Neckarstraße schon lange nicht mehr auf dem sogenannten Sicherheitsstreifen zur Ampel am Neckartor vor, sondern mitten auf der Fahrbahn, damit Autos mich nicht mehr knapp überholen können, während ich im Dooringbereich der geparkten Fahrzeuge unterwegs bin.

Besser so als auf dem Gehweg über die Fußgängerampel

In Stuttgart haben wir viele große und sehr breite Straßen, die auch wir Radler benutzen können. Sind sie vierspurig, dann können Autofahrende uns gut überholen. Der gesamte Innenstadtring besteht aus vier- bis teils elfspurigen Fahrbahnen, da können wir uns getrost eine nehmen, um darauf zu radeln.

Wer sich mit IT-Sicherheit beschäftigt, kennt Cross-Site-Scripting (XSS) und hält es wahrscheinlich für eine Klasse schwerwiegender Verwundbarkeiten. Das ist plausibel, aber vielleicht dennoch übertrieben.

Eine Webanwendung ist anfällig für Cross-Site-Scripting, wenn Angreifer ihr HTML- und JavaScript-Code unterjubeln können, welchen der Browser eines Nutzers nicht vom echten Code der Anwendung unterscheiden kann. Damit gewinnen Angreifer die Möglichkeit, im Sicherheitskontext fremder Benutzersitzungen zu agieren. So könnte ein Angreifer beispielsweise im Namen einen angemeldeten Benutzers Daten abrufen und ändern, aber auch im Kontext der Webanwendung mit dem Benutzer interagieren – ein Man-in-the-Middle-Angriff zwischen Benutzer und Anwendung.

Große Aufmerksamkeit wird dem Cross-Site-Scripting aus mehreren Gründen zuteil:

1. Cross-Site-Scripting-Verwundbarkeiten kommen häufig vor. Wer interaktive Webanwendungen entwickelt und nicht von Anfang an stringente Maßnahmen dagegen ergreift, wird früher oder später unweigerlich XSS-Verwundbarkeiten in seine Anwendung haben.
2. Cross-Site-Scripting ist leicht zu erklären und zu verstehen. Die einfachsten Varianten lassen sich mit rudimentären HTML- und JavaScript-Kenntnissen unter Verwendung eines gewöhnlichen Webbrowsers demonstrieren – die ideale Fallstudie für jede Sicherheitsschulung.
3. Cross-Site-Scripting unterläuft mehrere Sicherheitmechanismen – zum Beispiel die Same-Origin-Policy und jede Benutzerauthentisierung – und gewährt dem erfolgreichen Angreifer volle Kontrolle über jede betroffene Benutzersitzung. Verwundbarkeiten sind daher für vielfältige Ziele ausnutzbar und die Auswirkungen lassen sich kaum wegdiskutieren.

Cross-Site-Scripting taucht deshalb zu Recht von Anfang an als eigene Kategorie in den OWASP-Top-10 („The Ten Most Critical Web Application Security Risks“) auf, obwohl es sich rein technisch eigentlich um eine Spezialfall der allgemeineren Kategorie „Injection“ handelt.

✽✽✽

In einem Artikel vom 25. Oktober berichtet Golem.de, man habe in mehreren Online-Shops – allesamt Träger des „Safer Shopping“-Siegels eines bekannten Plakettenkonzerns – Cross-Site-Scripting-Verwundbarkeiten gefunden. Nahezu dieselbe Geschichte war in anderer Besetzung, aber mit demselben Protagonisten bereits neun Jahre zuvor erschienen. Das nimmt nicht Wunder, denn die technische Sicherheit der Shopsoftware gehört gar nicht zum Prüfumfang des Safer-Shopping-Siegels.

Was dies über kommerzielle Gütesiegel aussagt, deren Verfechter sich gerade zu einem neuen Anlauf formieren, sei dahingestellt. Interessanter finde ich die darin verborgene Beobachtung, dass sich offenbar eine Dekade lang niemand ernsthaft an immer wieder auftretenden Cross-Site-Scripting-Verwundbarkeiten in deutschen Online-Shops stört.

Wo Verwundbarkeiten spürbare Auswirkungen haben, also tatsächlich ausgenutzt werden, tut man für gewöhnlich etwas dagegen oder macht öffentlich Radau, falls die Verantwortlichen andere sind als die Opfer. Wo man nichts sieht und hört, gibt es hingegen augenscheinlich kein wirkliches Problem. Gewiss, dies ist nur eine Heuristik, doch sie hat eine ökonomische Grundlage: Je höher die Schäden, desto größer der mögliche Nutzen von Sicherheitsmaßnahmen; je geringer die Schäden, desto weniger lohnt sich Sicherheit.

Dass eine „klaffende Sicherheitslücke“ (WichtigtuerExpertenjargon) dennoch nicht ausgenutzt wird, kommt häufiger vor als gedacht, denn für den Angreifer muss sich der gesamte Angriff lohnen und nicht nur im Prinzip möglich sein. Die Verfügbarkeit ausnutzbarer Verwundbarkeiten ist dabei nur ein Faktor unter mehreren. Auf den zweiten Blick zeigen sich einige Einschränkungen, die prinzipiell mögliche Cross-Site-Scripting-Angriffe auf die Nutzer von Online-Shops unattraktiv machen können.

Als Angriffsziele in einem Online-Shop kommen für ökonomisch motivierte Angreifer insbesondere das Auslösen von Transaktionen und damit Lieferungen sowie der Zugriff auf einsetzbare Zahlungsdaten (z.B. vollständige Kreditkartendatensätze) oder Kundenpasswörter in Frage. Gegen lukrative Angriffe auf der Grundlage von Cross-Site-Scripting sprechen:

1. Der begrenzte Wirkungsbereich von Cross-Site-Scripting-Angriffen:
   Die Auswirkungen bleiben auf eine Anzahl von Benutzersitzungen und Benutzern beschränkt. Eine Rechteausweitung über die Möglichkeiten eines angemeldeten Benutzers hinaus – etwa zum uneingeschränkten Zugriff auf gespeicherte Kundendaten und Zahlungsmittel – ist von dort aus normalerweise nicht möglich.
2. Die Gefahr, aufzufallen:
   Betrügerische Bestellungen bleiben nur dann nachhaltig möglich, wenn sie im Rauschen des normalen Shopbetriebes nicht auffallen. Bestellen jedoch auf einmal binnen kurzer Zeit Hunderte Nutzer das teuerste Produkt, wird sich darüber wahrscheinlich jemand wundern. Hinzu kommen Logfiles, in denen Cross-Site-Scripting-Angriffe wahrscheinlich Spuren hinterlassen. Anfangs weniger auffällig wäre der Zugriff auf Zahlungsdaten, deren späterer Missbrauch jedoch bald auffällt und zur Sperrung aller potenziell betroffenen Zahlungsmittel führen kann.
3. Logistikanforderungen an den Angreifer:
   Wer sich auf fremde Rechnung Waren liefern lassen möchte, steht vor einem Problem: Er muss Lieferungen annehmen können, ohne sich erwischen zu lassen. Das wird mit jeder Wiederholung schwerer. Wer Zahlungsmittel missbraucht, steht später vor demselben Problem. Direkt das eigene Konto aufzufüllen, ist weniger schlau.
4. Abhängigkeit von der Kooperation der Betroffenen:
   Wer Cross-Site-Scripting-Verwundbarkeiten ausnutzt, ist auf die Kooperation seiner Opfer angewiesen. Jeder betroffene Nutzer muss wenigstens einmal auf einen vom Angreifer präparierten Link geklickt oder bestimmte Funktionen des Shops besucht haben und möglicherweise in derselben Sitzung auch noch bestimmte Handlungen (z.B. Login oder Bestellvorgang mit Eingabe von Zahlungsdaten) vorgenommen haben, damit der Angriff Erfolg hat. Wer sich aktiv um diese Kooperation bemüht, fällt leichter auf. Hinzu kommt unter Umständen die Schwierigkeit, Nischenzielgruppen wie die aktiven Nutzer eines bestimmen deutschen Online-Shops überhaupt anzusprechen.

Eine Reihe denkbarer Angriffserfolge wird damit unwahrscheinlich, das unbemerkte, massenhafte Auslesen von Zahlungsdaten oder Benutzerkennungen nebst Passwörtern ebenso wie betrügerische Warenbestellungen im großen Maßstab.

Weit verbreitete und vielfältig ausnutzbare Verwundbarkeiten zu vermeiden, ist sicher dennoch eine gute Idee, schon weil sich das Gefüge der Risikofaktoren schwer überblicken lässt. Dass sich offensichtliche Nachlässigkeiten nicht in spektakulären Angriffen niederschlagen, halte ich jedoch für plausibel. Insofern liegen der Plakettenkonzern und seine Kunden möglicherweise richtig, wenn sie dem Thema Cross-Site-Scripting wenig Aufmerkamkeit widmen.

The British government has released a voluntary "Code of Practice" for securing IoT devices. I thought I'd write some notes on it.

First, the good parts

1) No default passwords

2) Implement a vulnerability disclosure policy

3) Keep software updated

4) Securely store credentials and security-sensitive data

5) Communicate securely

6) Minimise exposed attack surfaces

7) Ensure software integrity

8) Ensure that personal data is protected

9) Make systems resilient to outages

10) Monitor system telemetry data

11) Make it easy for consumers to delete personal data

12) Make installation and maintenance of devices easy

13) Validate input data

Conclusion

The recent Bloomberg article about Chinese hacking motherboards is a great opportunity to talk about problems with journalism.

Journalism is about telling the truth, not a close approximation of the truth,  but the true truth. They don't do a good job at this in cybersecurity.

Take, for example, a recent incident where the Associated Press fired a reporter for photoshopping his shadow out of a photo. The AP took a scorched-earth approach, not simply firing the photographer, but removing all his photographs from their library.

That's because there is a difference between truth and near truth.

Now consider Bloomberg's story, such as a photograph of a tiny chip. Is that a photograph of the actual chip the Chinese inserted into the motherboard? Or is it another chip, representing the size of the real chip? Is it truth or near truth?

Or consider the technical details in Bloomberg's story. They are garbled, as this discussion shows. Something like what Bloomberg describes is certainly plausible, something exactly what Bloomberg describes is impossible. Again there is the question of truth vs. near truth.

There are other near truths involved. For example, we know that supply chains often replace high-quality expensive components with cheaper, lower-quality knockoffs. It's perfectly plausible that some of the incidents Bloomberg describes is that known issue, which they are then hyping as being hacker chips. This demonstrates how truth and near truth can be quite far apart, telling very different stories.

Another example is a NYTimes story about a terrorist's use of encryption. As I've discussed before, the story has numerous "near truth" errors. The NYTimes story is based upon a transcript of an interrogation of the hacker. The French newspaper Le Monde published excerpts from that interrogation, with details that differ slightly from the NYTimes article.

One the justifications journalists use is that near truth is easier for their readers to understand. First of all, that's not justification for false hoods. If the words mean something else, then it's false. It doesn't matter if its simpler. Secondly, I'm not sure they actually are easier to understand. It's still techy gobbledygook. In the Bloomberg article, if I as an expert can't figure out what actually happened, then I know that the average reader can't, either, no matter how much you've "simplified" the language.

Stories can solve this by both giving the actual technical terms that experts can understand, then explain them. Yes, it eats up space, but if you care about the truth, it's necessary.

In groundbreaking stories like Bloomberg's, the length is already enough that the average reader won't slog through it. Instead, it becomes a seed for lots of other coverage that explains the story. In such cases, you want to get the techy details, the actual truth, correct, so that we experts can stand behind the story and explain it. Otherwise, going for the simpler near truth means that all us experts simply question the veracity of the story.

The companies mentioned in the Bloomberg story have called it an outright lie. However, the techniques roughly are plausible. I have no trouble believing something like that has happened at some point, that an intelligence organization subverted chips to hack BMC controllers in servers destined for specific customers. I'm sure our own government has done this at least once, as Snowden leaked documents imply. However, that doesn't mean the Bloomberg story is truthful. We know they have smudged details. We know they've hyped details, like the smallness of the chips involved.

This is why I trust the high-tech industry press so much more than the mainstream press. Despite priding itself as the "newspaper of record", on these technical issues the NYTimes is anything but. It's the techy sites like Ars Technica and sometimes Wired that become the "paper of record" on things cyber. I mention this because David Sanger gets all the credit for Stuxnet reporting when he's done a horrible job, while numerous techy sites have done the actual work figuring out what went on.

Die Forderung nach Datenschutz und Sicherheit „by Design“ ist schnell erhoben und gerade nach Sicherheitsvorfällen sieht rückblickend oft alles nach offensichtlicher Schlamperei aus, die man doch einfach hätte vermeiden können. Wer tatsächlich IT-Systeme gestaltet und dabei Datenschutz- und Sicherheitsanforderungen berücksichtigen soll, steht jedoch einigen Problemen gegenüber. Zum Beispiel kann man zu viel Sicherheit anstreben und sich im Ergebnis selbst blockieren, wie es die Entwicklung der Gesundheitstelematik seit ungefähr anderthalb Jahrzehnten vorführt*, oder vor unmöglichen Entscheidungen stehen, weil es zu vielfältigen Wechselwirkungen zwischen Datenschutz und Sicherheit auf der einen und allen übrigen Anforderungen und Entwurfsdimensionen auf der anderen Seite kommt. Beim Datenschutz kommt hinzu, dass anders als bei der Sicherheit Stakeholder und Angreifer zusammenfallen: Der Datenschutz beschränkt Handlungen, von denen Betreiber und Nutzer eines Systems profitieren.

Mit diesen Schwierigkeiten beschäftigt sich der Beitrag „Erfolgsfaktoren für den Datenschutz durch Technikgestaltung“ zur Konferenz „Die Fortentwicklung des Datenschutzes”, die Anfang November 2017 in Berlin stattfand. Er baut auf vorangegangenen Vorträgen (Was kommt nach „Security by Design“? Chancen der Partizipation im Software Engineering 2016 in Kassel und Security by Design? 2017 in Limburg auf. Im Konferenzband zur Tagung konnte unser Beitrag letztlich nicht erscheinen, da der Verlag über eine faire Rechteübertragung hinaus unannehmbare Forderungen an die Autoren erhob und zu Verhandlungen über die Konditionen nicht bereit war.

*) Großprojekte mit vielen Stakeholdern haben allerdings noch weitere Probleme neben dem Thema Sicherheit, an denen sie scheitern können.

„Es ist nur eine Frage der Zeit, bis etwas passiert“ – diese Vorhersage liegt immer richtig. Irgendwann wird irgend etwas passieren, worin der der jeweilige Gegenstand verwickelt ist, ganz gleich ob es sich um Atombomben oder um Trinkwasser handelt. Kein Wunder also, dass der Plakettenkonzern TÜV mit einer Variante dieses Spruchs versucht,  sich das neue Geschäftsfeld der Sicherheit von Windkraftanlagen zu erschließen. Gewiss wird es irgendwann einmal zu einem Ereignis kommen, bei dem Menschen durch ein unglückliches Zusammentreffen mit einer Windkraftanlage zu Schaden kommen.

Aus der bloßen Möglichkeit folgt jedoch noch lange nicht die Notwendigkeit, etwas dagegen zu tun. Für sinnvollen Schutz muss man Risiken betrachten und nicht nur bloße Möglichkeiten. Der Unterschied: Risikobetrachtungen berücksichtigen die Häufigkeit bzw. Wahrscheinlichkeit von Ereignissen und deren Schadenshöhe. Auf dieser Grundlage lässt sich diskutieren, wie schwer eine Gefahr wiegt und welcher Aufwand für welche Risikoreduktion angemessen erscheint. Die prinzipielle Möglichkeit hingegen bleibt stets erhalten, so dass mit Ausnahme des Totalausstiegs keine Maßnahme je genug ist.

Fielen beispielsweise Jahr für Jahr im Mittel fünf Windräder um und eins davon erschlüge Menschen, so ließe sich diskutieren, ob wir als Gesellschaft dieses Risiko tragen oder ob wir etwas tun, um es zu reduzieren. Könnte man mit einer Plakettenpflicht erreichen, dass nur noch halb so viele Windräder umfielen und entsprechend seltener Menschen zu Schaden kämen, so handelte es sich vielleicht um einen guten Deal. Jedoch erreichen die tatsächlichen Risiken bei weitem nicht jene, die dieses hypothetische Szenario unterstellt. Die Produkte des Plakettenkonzerns bleiben daher an diese Stelle voraussichtlich nutzlos, denn es gibt kaum ein Potenzial zur Risikoreduktion.

Geht es um Windräder, so liegt alles klar auf der Hand. Alltagserfahrung und gesunder Menschenverstand genügen für eine fundierte Einschätzung.

In der Cybersicherheit zeigt sich eine ähnliche Situation: Mahner drängen die Gesellschaft, mehr für die Cybersicherheit zu tun, um zunehmenden Bedrohungen nicht hilflos ausgeliefert zu sein. Die Einschätzung solcher Forderungen fällt jedoch viel schwerer. Auf der einen Seite hat ein wohlgenährter sicherheitsindustrieller Komplex das Interesse, Gefahren möglichst groß erscheinen zu lassen. Auf der anderen Seite kommt es tatsächlich zu spektakulären Angriffen mit beträchtlichen Schäden. Stehen wir vor der Cyberapokalypse oder werden wir wie im vergangenen Vierteljahrhundert auch in Zukunft vor allem die Segnungen des Internets genießen, ohne große Schäden zu erleiden?

In beide Richtungen lässt sich argumentieren, ohne dass man mit Alltagswissen entscheiden könnte, wer Recht hat. Das Internet ist weit komplexer als ein Windrad oder auch ein ganzes Stromnetz.Zu welchen Angriffen es kommt, hängt nicht nur von Sicherheitslücken ab, sondern auch von den Zielen und Interessen der Angreifer, die solche Lücken ausnutzen – oder eben auch nicht. Informationen über Angriffe bleiben häufig im Verborgenen, so dass niemand weiß, was wirklich passiert. Stattdessen nimmt man gerne die argumentative Abkürzung von bekannten oder vermuteten Verwundbarkeiten zu einem Worst-Case-Szenario eines Angriffs, dessen Eintreten „nur eine Frage der Zeit“ sei.

Tatsächliche Ereignisse wie der der NotPetya-Befall beim Konzern Maersk mit geschätzten 300 Millionen Dollar Schaden liefern scheinbar den Beleg: Man tue zu wenig für die Cybersicherheit und wenn der Markt dies nicht von sich aus ändere, müsse man regulierend eingreifen. Unterschlagen wird dabei freilich, dass gerade Konzerne durchaus ernsthaft in Sicherheit investieren – „Big Tech“ sowieso, aber auch zum Beispiel Siemens, wo man die Wirkung des Stuxnet-Schocks an der Zahl der gemeldeten Verwundbarkeiten pro Jahr ablesen kann.

Dass der Markt beim Thema Sicherheit gänzlich versage, kann man angesichts dessen kaum behaupten. Unternehmen können es sich nicht leisten, ihre Sicherheit zu vernachlässigen. Mit wenigen Ausnahmen können sie es sich jedoch auch nicht leisten, mehr als nötig und wirtschaftlich vertretbar in Sicherheit zu investieren. Allen Eventualitäten vorzubeugen ist nicht realistisch, deshalb werden stets Risiken bleiben und es wird zu Vorfällen kommen. Selbst bei großen Schäden wie im Fall von Maersk kann es am Ende die günstigste Lösung sein, das Risiko zu tragen statt es vorbeugend abzuwehren. Jedenfalls ist es nicht per se falsch, so zu entscheiden, oder zumindest nicht falscher als im Fall des psychisch kranken Germanwings-Piloten, der mit dem von ihm herbeigeführten Absturz einen ähnlich hohen Schaden verursachte und der aufgrund von Sicherheitsmaßnahmen zur Terrorabwehr von seinen Opfern nicht daran gehindert werden konnte.

Mag sein, dass in bestimmten Konstellationen regulierende Eingriffe nötig sind. Für Sicherheit schlechthin gilt dies jedoch nicht, denn wo reale Schäden entstehen, gehen sie mit Anreizen zur Risikoreduktion einher.

(Inspiriert von einer Diskussion auf Google+.)

The 10th edition of the International Workshop on Secure Software Engineering in DevOps and Agile Development will take place in conjunction with the Cyber Security 2019 conference on June 3-4 2019 in Oxford, UK. The call for papers is already online and plenty of time is left to prepare a paper before the submission deadline in early February. Besides scientific paper submissions the workshop seeks short ignite talks and also industry experience talks.

Important dates:

February 6th, 2019 – Submission Deadline
March 26th, 2019 – Author Notification
April 14th, 2019 – Author Registration/camera-ready
June 3-4th, 2019 – Workshop

Antonio Roque, of MIT Lincoln Labs, has published some provocative papers to arXiv over the last year. These include one on cybersecurity meta-methodology and one on making predictions in cybersecurity. These papers ask some good questions. The one I want to focus on in this short space is what cybersecurity can learn from Carl von Clausewitz’s treatise On War.

This might seem a bit odd to modern computer scientists, but I think it’s a plausible question. Cybersecurity is about winning conflicts, at least sometimes. And as I and others have written, one of the interesting challenges about generating knowledge with a science of security is the fact we have active adversaries. As Roque tells us, generating knowledge in the face of adversaries is also one of the things On War is about.

One important question for me is whether Clausewitz interestingly presaged our current problems (and has since been overtaken), or if On War makes contributions to thinking about cybersecurity that are new and comparable to those from the fields of economics, mathematics, philosophy of science, etc. After a close reading of these papers, my stance is: I have more questions that need answers.

In general, I actively want diverse fields contributing to cybersecurity. In our paper on practicing a science of security, we endorsed the mosaic unity of disciplines, where each field contributes to the discipline in their way on their topics. But translating strategic theory, with its focus on competing sovereign nation-states, to my grandmother’s interaction with spammers, is not an easy task. If Roque were limiting his scope to what On War teaches us about cyberwar, it would be an easier sell. But he explicitly wants to translate strategic theory to all of cybersecurity.

In my reading, Roque wants to transition two main elements of On War to security folks: the three parts of critical analysis and how Clausewitz suggests to do them, and the fact that critical analysis is a performative mental exercise.

In my opinion, the first of these, the parts of critical analysis, is transparently outdated by modern science. And, insofar as philosophy of science is the meta-reflection on the practice of science, it seems to me that Clausewitz here is superseded by the work we surveyed on modern philosophy of science. This seems clear from the parts of critical analysis: “(1) Identification of facts; (2) Determination of causes of the facts; (3) Investigation of the means used and intentions behind their use” (pg. 8).

I don’t have any problem with this as a strategic outline. I agree, this is still what we want to do. This is enough to make Clausewitz perhaps brilliant for his time. But that was the 1820s. Right now, I want to know how I, as an analyst, do each of those steps. Roque does not seem to present Clausewitz’s answer here, and he does not compare it to other modern methods of how we complete these steps to demonstrate any benefit from taking Clausewitz’s viewpoint.

Philosophers of science have spent at least a century hammering out “what do you mean by ‘fact'”, for example. Scientists and statisticians have built on that. Fisher’s 1935 book The Design of Experiments, where he introduces modern frequentist statistics for experiment design, is still a useful read today for how one “identifies facts”. Why should we use Clausewitz’s epistemology instead? It seems much poorer. Sure, On War discusses identifying facts in wartime. And Clausewitz is admirably pluralist and pragmatic, something I’m sympathetic to.

What I think happened here is that Roque found Clausewitz to be usefully pragmatic in an area of science of security where there were a lot of dogmatic laws-of-physics types saying there is no general knowledge in security. Clausewitz offers a much more pragmatic approach, as military types are wont to do, which says basically (in my reinterpretation of Roque’s explanation) stay aware and use whatever works to make predictions; avoid biases because your opponent will exploit any bias you sink into. Awesome, I agree.

The thing is, I think modern philosophy of science, game theory, economics, psychology, pedagogy, and so on actually say this same thing, and better, with more detail, and with more heuristics for actually doing the job. And if Roque is going to use the philosophical terms-of-art “epistemology” and “ontology” and try to say why those Clausewitz puts forward are good, he immediately solicits the question of how this compares to other epistemology and ontology work and why strategic theory is better. And there is no answer; this most natural question is not addressed. The whole philosophical movement of logical empircism was born and died responding to problems with these three steps just in between 1920 and 1970. My complaint has been science of security people are stuck in 1960s logical empiricism; I’m not going to easily accept a turn, however pragmatic, that’s at heart 1820s German idealism.

The second key aspect of Clausewitzian critical analysis is that it is “performative”. This is about training staff, really; about developing a “creative ability” during wartime. But I’m left with several questions here. What do we need to train? What topics or skills? If my students read Clausewitz, do they instantly win all the CTF competitions? I prefer Angela Horneman’s description of this, in her “How to think like an analyst”. It’s not clear to me what different insights strategic theory gives the analyst. I take Roque believes there are some, but I don’t see them spelled out. I’d like to know them.

I have my personal answer to this, which is that generating and applying generalised knowledge via heuristics is how we all do this, scientists included. We connected mechanistic explanation, hypothesis generation, and incident analysis in a paper a couple years ago. Roque cites this article, but he totally glosses over how strategic theory might interact with it.

Strategic theory sounds like a great source of insight for us. But I’m left from this work not knowing how it integrates.

My best guess is that I can use it as a translating tool between academics and military types. It seems like Clausewitz recommends steps that academic science of security also recommends and can elaborate on. If I can use something the military types are comfortable with to translate academic or scientific concepts, that would be wonderful. Roque doesn’t provide any such hooks or connections for translation. But my guess is that Clausewitz would agree with historian of science Peter Dear in The Intelligibility of Nature. What we need, in adversarial combat, is to use what Dear defines as “those bodies of knowledge reckoned to be most solidly grounded in evidence, critical experimentation and observation, and rigorous reasoning” (pg. 1) — namely, science.

Thanks for reading! I’m sure I’ve got something wrong, or perhaps just overlooked. Leave comments here, or reach out over email.

In der Süddeutschen fordert Adrian Lobe einen digitalen Umweltschutz und argumentiert dabei mit Datenemissionen. Das ist mir im Ansatz sympathisch, weil ich die Vorstellung der permanenten Datenemission für ein geeigneteres Modell der heutigen Datenverarbeitung halte. Andererseits geht mir jedoch seine Ausweitung des Gedankens auf eine Analogie zu Emissionen im Sinne des Umweltschutzes zu weit.

Unabhängig davon, was wir insgesamt von der personenbezogenen Datenverarbeitung halten und welche Schutzziele wir im Einzelnen verfolgen, brauchen wir als Grundlage ein passendes Modell davon, wie Daten entstehen, fließen und verarbeitet werden. In dieser Hinsicht beschreibt das Emissionsmodell die heutige Realität besser als die Begriffe des traditionellen Datenschutzes, die auf das Verarbeitungsparadigma isolierter Datenbanken gemünzt sind.

Der klassische Datenschutz in der Tradition des BDSG (alt) ist begrifflich und konzeptionell eng an die elektronische Datenverarbeitung in isolierten Datenbanken angelehnt. Daten werden „erhoben“ (jemand füllt ein Formular aus) und sodann „verarbeitet“, das heißt gespeichert, verändert, übermittelt gesperrt oder gelöscht, sowie vielleicht sogar „genutzt“ (diesen Begriff verfeinert das alte BDSG nicht weiter).

Diese Vorstellungen passen nicht zu einer Welt, in der jeder ein Smartphone in der Tasche hat, das permanent Daten in die Cloud sendet. Sie passen nicht einmal dazu, dass einer die Adresse und Telefonnummer eines anderen in der Cloud speichert. Aus dem Konflikt zwischen der veralteten Vorstellung und der heutigen Realität resultieren regelmäßig Blüten wie der Hinweis des Thüringer Datenschutzbeauftragten, die Nutzung von WhatsApp sei rechtswidrig, die den Datenschutz als realitätsfern dastehen lassen.

Mit dem Emissionsmodell bekommen wir eine neue Diskussionsgrundlage, die näher an der tatsächlichen Funktionsweise der Datentechnik liegt. Wenn wir die Schutzziele des Datenschutzes auf dieser Grundlage diskutieren, finden wir eher praktikable und wirksame Maßnahmen als auf der Basis veralteter Vorstellungen. Das ist die positive Seite des Emissionsgedankens.

Die negative Seite zeigt sich, wenn man den Gedanken zu weit treibt und daraus eine Analogie zu Emissionen im Sinne des Umweltschutzes macht. Das ist zwar verführerisch – wenn ich mich richtig erinnere, haben wir diese Frage beim Schreiben von „Emission statt Transaktion“ auch diskutiert – aber ein rückwärtsgewandter Irrweg.

Ein entscheidender Unterschied zwischen Umwelt- und Datenemissionen liegt darin, dass Umweltemissionen eine zwangsläufige Wirkung haben: Im verschmutzten Fluss sterben die Fische, Kohlendioxid ändert das Klima und Plutonium im Tee macht krank. Nach der Freisetzung lässt sich die Wirkung nur noch durch eine – meist aufwändige – Sanierung steuern und unter Umständen nicht einmal das.

Daten haben diese zwangsläufige Wirkung nicht. Wie wir miteinander und wie Organisationen mit uns umgehen, können wir unabhängig von Daten regeln. Wenn wir zum Beispiel Diskriminierung verbieten und dieses Verbot wirksam durchsetzen, dann kommt es auf die verwendeten Mittel nicht mehr an – was eine Organisation weiß, ist egal, denn sie darf damit nichts anfangen.

Dem traditionellen Datenschutz ist diese Perspektive jedoch fremd, denn er verfolgt das Vorsorgeprinzip für den Umgang mit epistemischen Risiken: Wenn wir die Gefahren von etwas noch nicht gut genug verstehen, um sie quantifizieren zu können, lassen wir besser sehr große Vorsicht walten. Dieser Gedanke ist im Umweltschutz weit verbreitet und bezieht seine Berechtigung dort aus dem Maximalschadenszenario der Zerstörung unserer Lebensgrundlage. Selbst mit dieser Drohung im Gepäck bleibt das Vorsorgeprinzip freilich umstritten, denn epistemische Ungewissheit über Gefahren impliziert auch Ungewissheit über die Kosten und Auswirkungen von Vorsichtsmaßnahmen.

Im traditionellen Datenschutz – der, ob Zufall oder nicht, etwa zeitgleich mit dem Erstarken der Umwelt- und Anti-Atomkraft-Bewegung entstand – finden wir diesen Vorsorgegedanken an mehreren Stellen: in der Warnung des Bundesverfassungsgerichts im Volkszählungsurteil vor einer Gesellschafts- und Rechtsordnung, „in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß“, im grundsätzlichen Verbot der Verarbeitung personenbezogener Daten, das nur ausnahmsweise durch eine Rechtsvorschrift oder die Erlaubnis der Betroffenen aufgehoben werde, sowie in der Forderung nach Datenvermeidung und Datensparsamkeit.

All dem liegt die Vorstellung zugrunde, die Speicherung und Verarbeitung personenbezogener Daten sei mit unschätzbaren Gefahren verbunden und daher nur äußerst vorsichtig zu betreiben. Allerdings wissen wir heute, dass man damals so manche Gefahr grob überschätzte. So warnte das Verfassungsgericht weiter: „Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen“, und: „Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“ Das war zu kurz gedacht – heute zelebrieren viele von uns ihre abweichenden Verhaltensweisen in der Öffentlichkeit von Twitter, Facebook, Instagram und YouTube und träumen dabei von einer Karriere als Influencer.

Heute leben wir in jener Welt, vor der das Verfassungsgericht einst warnte, genießen ihren großen Nutzen und spüren nur geringe Schmerzen. Von den befürchteten Gefahren für die freie Entfaltung er Persönlichkeit ist wenig zu sehen. Zudem können wir inzwischen ganz gut einschätzen, welche Gefahren bestehen und was man dagegen zu welchem Preis tun kann. Der Vorsorgegedanke ist damit überholt und deshalb passt die Analogie zum Umweltschutz nicht so gut. Andererseits ist der Umweltschutz nicht nur Vorsorge, sondern beinhaltet auch die risikoorientierte Gefahrenabwehr und in dieser Hinsicht mag man sich an ihm als Vorbild orientieren.

Dank der EU, unserer Regierung und des Bundestages wird am 25. April die DSGVO (Datenschutzgrundverordnung) Kraft treten. Was da verlangt wird, ist von einem nebenbei betriebenen Blog nicht zu leisten, bzw. so unüberschaubar, dass ich zu doof bin da durchzusteigen.

Zudem weiß ich nicht, was WordPress alles kann oder ob WordPress.com was wegen der DSGVO unternimmt. Deswegen habe ich meine anderen Blog versteckt und dieses Blog wird über kurz oder lang abgeschaltet werden.

So wie ich das sehe, werden mit der Verordnung gerade die Datenkraken gestärkt, die reguliert werden sollen. Denn Facebook und Co. werden in der Lage sein, die DSGVO zu erfüllen und zur Not auch ein paar Rechtsstreitigkeiten auszufechten. D.h., wer was posten will, macht eine öffentliche Facebookseite auf und informiert dort über seine Aktivitäten. Dann weiß er zwar nichts, weil er kaum Statistiken bekommt, dafür weiß Facebook um so mehr. Sehr schlau, liebe EU, Bundesregierung und vielen Dank an die Bundestagsabgeordneten, die bei der Implementierung der Verordnung natürlich an alles gedacht haben und der Presse- und Meinungsfreiheit einen Bärendienst erwiesen haben.

Gegenstände aus Metall werden gerne gestohlen, weil sie sogar als Schrott noch einen Wert haben. Um diesem Risiko zu begegnen, hat man bei der Erneuerung zweier Fußgängerbrücken auf größere Metallteile verzichtet und sie durch ähnlich aussehende alternative Materialien ersetzt. Man könnte analog zur Datensparsamkeit von Metallsparsamkeit sprechen und die Idee ist dieselbe – was nicht da ist, kann nicht geklaut werden. Das Hinweisschild soll vor dem sekundären Risiko schützen, dass jemand nicht so genau hinschaut, bevor der Teile abschraubt.

Metallsparsamkeit ist einfach, wenn es wie hier nur um Verzierungen geht, die keinen technischen Zweck erfüllen. In diesem Fall schränken nur wenige andere Anforderungen die Materialwahl ein. Die Verzierungen eines Brückengeländers müssen gut aussehen und den parktypischen Belastungen – Wind, Wetter, Vogelkacke, turnenden Kindern, übermütigen Jugendlichen usw. – widerstehen, das ist alles.

Schwieriger wird die Metallsparsamkeit, wenn das Material weiter Anforderungen erfüllen muss. Ein Fahrrad zum Beispiel lässt sich noch so einfach aus alternativen Materialien fertigen. Ein Fahrrad muss leicht sein, typischen Belastungen standhalten und sich zu Kosten unterhalb des Verkaufspreises fertigen lassen. Zwar lassen sich einige Teile aus alternativen Materialien fertigen, namentlich Rahmen und andere Teile aus kohlenstofffaserverstärktem Kunststoff, aber zu deutlich höheren Kosten und mit weiteren Nachteilen. Ein Fahrrad nur zum Diebstahlschutz  aus alternativen Materialien zu fertigen, kommt deswegen nicht in Frage.

Die Forderung nach Ende-zu-Ende-Sicherheit für das besondere elektronische Anwaltspostfach (beA) und andere Dienste geht auf missverstandene Anforderungen und eine eingeschränkte Sicht auf den Lösungsraum zurück. Die missverstandene Anforderung liegt in der Vorstellung, der rechtlicher Schutz der Kommunikation verlange nach technischen Garantien. Die eingeschränkte Sicht auf den Lösungsraum berücksichtigt nur ausgewählte technische Mechanismen, deren Wirkung sie überschätzt, und lässt andere Aspekte des Risikomanagements außer Acht.

✹✹✹

Die Befürworter der Ende-zu-Ende-Verschlüsselung argumentieren, der Schriftverkehr von Rechtsanwältinnen sei besonders sensibel und man müsse ihn deshalb technisch besonders gut vor unbefugter Kenntnisnahme schützen. Die besondere Sensibilität mag man annehmen, wenngleich das beA nicht der Kommunikation zwischen Anwältinnen und ihren Mandantinnen dient, sondern dem Schriftwechsel zwischen Anwältinnen und Gerichten sowie der Anwältinnen untereinander. Jedoch steht die Telekommunikation ganz allgemein unter rechtlichem Schutz durch das Telekommunikationsgeheimnis. Selbst wer sie abhören könnte, darf dies nicht und wird andernfalls verfolgt und bestraft.

Ein wirksamer rechtlicher Schutz macht kann technische Maßnahmen überflüssig machen. Umgekehrt sind individuelle Schutzmaßnahmen dort nötig, wo keine Hilfe zu erwarten ist. Im Alltag verstehen wir das auch und verzichten zum Beispiel meist darauf, unsere leicht verwundbaren Körper besonders gegen Angriffe zu schützen. Wir wissen, dass die Wahrscheinlichkeit eines körperlichen Angriffs gering ist, denn dafür sorgen Polizei und Justiz. Anders verhalten sich etwa Menschen in Kriegsgebieten, die mit solchem Schutz nicht rechnen können.Im Spektrum zwischen diesen Extremen gibt es Mischlösungen, deren Schwerpunkt auf der einen oder anderen Seite liegt. Das Ziel ist letztlich ein akzeptables Restrisiko, ganz gleich mit welchen Mitteln es erreicht wird.

Die Motivation für technische IT-Sicherheit entspringt der eingeschränkten Möglichkeit zur Strafverfolgung im Netz. Zwar gelten Gesetze auch online, doch können sich Täter leichter verstecken und selbst bekannte Täter entgehen der Verfolgung, wenn sie im Ausland sitzen. Ganz ohne Sicherheitstechnik wird ein Anwaltspostfach also nicht auskommen. Allerdings muss man sich sowohl den Schutzbedarf als auch die Sicherheitsstrategie genauer anschauen.

Interessanterweise haben Juristen in dieser Hinsicht realistischere Vorstellungen als Hacker, die perfekte Sicherheit fordern. Juristen gehen ganz selbstverständlich davon aus, dass man Sicherheitsanforderungen nicht überspitzen darf. Das Schutzniveau soll dem alternativer Kommunikationsmittel wie Telefax und Briefpost entsprechen. Auf ein theoretisches Ideal kommt es nicht an. Aus rechtlicher Sicht interessant sind dann rechtliche Implikationen, die sich beispielsweise aus der zeitversetzten Kommunikation ergeben.

Ende-zu-Ende-Verschlüsselung erfüllt keine reale Sicherheitsanforderung, sondern sie strebt ein technisch motiviertes theoretisches Ideal an. Wie ich im vorigen Beitrag erläutert habe, ist dieses theoretische Ideal im realen System kaum zu erreichen. Das ist jedoch kein Problem, da sich die realen Sicherheitsanforderungen am Sicherheitsniveau realer Kommunikationsmittel wie Post, Fax und Telefon orientieren.

✹✹✹

Den Lösungsraum verengt die Forderung nach Ende-zu-Ende-Sicherheit auf scheinbar ideale kryptografische Ansätze. Diese Ansätze sind jedoch nicht nur nicht sinnvoll, wenn man – im Gegensatz zur Gesundheits-Telematik – in endlicher Zeit ein funktionsfähiges System bauen möchte. Es gibt auch Alternativen und Aspekte, von denen die Fokussierung auf das theoretische Ideal ablenkt.

Die Befürworter der kryptografischen Ende-zu-Ende-Sicherheit kritisieren die Umschlüsselung von Nachrichten in einem Hardware-Sicherheitsmodul (HSM). Bei der Umschlüsselung wird eine Nachricht ent- und mit einem anderen Schlüssel verschlüsselt. Auf diese Weise lassen sich die Zugriffsrechte auf der Empfängerseite von der ursprünglichen Verschlüsselung auf der Absenderseite entkoppeln. So kann man Beispielsweise Vertretern Zugriff auf Nachrichten geben, die bereits vor Beginn der Vertretung vom Absender verschlüsselt wurden.

Dies schaffe einen Single Point of Failure, der das ganze System „extrem verwundbar“ mache, argumentieren die Kritiker. Das ist insofern richtig, als ein erfolgreicher Angriff auf die entsprechende Systemkomponente, ein Hardware-Sicherheitsmodul (HSM), tatsächlich sämtliche Kommunikation beträfe. Solche Angriffspunkte gäbe es freilich auch bei einer Ende-zu-Ende-Lösung noch. Alle Kommunikation ausspähen könnte beispielsweise, wer den beA-Nutzerinnen eine manipulierte Version der Software unterjubelt oder wer in die Produktion der zur Nutzung erforderlichen Smartcards eingreift.

Die damit verbundenen Restrisiken nehmen wir jedoch notgedrungen in Kauf und ergreifen Maßnahmen, um sie zu klein zu halten. So wird man beispielsweise die Smartcard-Produktion durch Zugangskontrollen und Überwachung so gut wie eben praktikabel vor unbefugten Eingriffen schützen. Nichts spricht grundsätzlich dagegen, dies auch für die Umschlüsselung zu tun – deswegen unter anderem das Sicherheitsmodul. Die Fokussierung auf das vermeintliche Allheilmittel Ende-zu-Ende-Verschlüsselung verstellt jedoch den Blick auf solche Maßnahmen, die zum Risikomanagement beitragen.

Falls wir in einem Single Point of Failure ein grundsätzliches Problem sähen und die damit verbundenen Risiken für nicht beherrschbar hielten, müssten wir jedoch nach ganz anderen Wegen Ausschau halten. Wir müssten dann nämlich nach einer organisatorischen und technischen Architektur suchen, welche die Auswirkungen eines einzelnen erfolgreichen Angriffs auf einen Teil des Systems, der Nutzer und der Inhalte begrenzt und verlässlich dafür sorgt, dass der Aufwand für erfolgreiche Angriffe proportional zu ihren Auswirkungen wächst.

Solche Ansätze hätten erst einmal überhaupt nichts mit Kryptografie zu tun, sondern mit Organisationsprinzipien. Man könnte beispielsweise ein Ökosystem verschiedener unabhängiger Lösungen und Anbieter schaffen und die Haftung angemessen regeln.  Angriffe auf einen Anbieter beträfen dann nur dessen Nutzer. Mit DE-Mail gibt es sogar bereits ein solches Ökosystem, welches weitgehend brachliegt und sich nach Anwendungen sehnt.

Auf solche Fragen und Ansätze – deren Nutzen und Notwendigkeit allerdings erst nach einer gründlichen Bedrohungs- und Risikoanalyse klar wird – kommt man gar nicht erst, wenn man eine Abkürzung nimmt und blind die Anwendung bestimmter technischer Entwurfsmuster fordert.

Der aktuelle Skandal um Facebook und Cambridge Analytica ist gar nicht so neu. Die Geschichte von der psychometrischen Wahlkampfbeeinflussung geistert schon länger durch die Medien. Ganz knapp lautet die Erzählung: Jemand verwendet Daten aus Quellen wie Facebook, um Persönlichkeitsprofile von Wählern zu erstellen, und nutzt diese Profile zur gezielten Beeinflussung.

Das ist eine wunderbare Gruselgeschichte, aber nicht besonders plausibel. Zweifel an der Effektivität wurden bereits vor einem Jahr laut und auch im Zuge der aktuellen Diskussion sieht so mancher mit Ahnung mehr Angeberei als reale Fähigkeiten. Zu recht, denn die Geschichte von der Manipulation durch Persönlichkeitsprofile passt besser zu naiven Vorstellungen als zum real existierenden Internet. Sie ergibt ökonomisch keinen Sinn.

Individuen wählen bereits ohne Nachhilfe aus den verfügbaren Informationen diejenigen aus, die zu ihrem Weltbild passen. Bestätigungsfehler nennt man das – wir richten unsere Überzeugungen nicht nach rational abgewogenen Argumenten, sondern wir legen uns zu unseren Überzeugungen die passenden Argumente zurecht und ignorieren, was ihnen widerspricht. Diesen Effekt könnt Ihr beispielsweise in jeder Diskussion über Fahrradhelme beobachten, wo nie jemand seine Ansichten ändert. Das ist natürlich in dieser Form etwas übertrieben, denn nicht alle Ansichten sind fest gefügt und etwas Spielraum für erfolgreiche Überzeugungsarbeit bleibt.

Wenn sich jeder zu seinem Weltbild die bestätigenden Inputs sucht und inkompatible Aussagen verwirft, gibt es keinen Grund, Kampagnen aufwändig an individuelle Ansichten und Vorlieben anzupassen. Man kann einfach alle mit allen Botschaften in allen möglichen Versionen zuschütten, selbst wenn man eigentlich nur auf ein paar Zweifler und Wankelmütige zielt. Nichts anderes geschieht in einem klassischen Wahlkampf oder auch bei herkömmlicher Werbung.

Dass man dennoch bei jeder Werbung, ob politisch oder nicht, eine Optimierung durch Targeting versucht, hat vor allem einen ökonomischen Hintergrund. Ein Werbekontakt, der von vornherein ohne Erfolgschance beibt, weil das Ziel am Inhalt kein Interesse hat, ist rausgeworfenes Geld. Man wird deshalb versuchen, absehbar überflüssige Werbekontakte zu vermeiden.

Bei einem Plakat am Straßenrand geht das nicht. In den herkömmlichen Medien kann man sich an der Demografie der Konsumentinnen orientieren und seine politische Werbung wahlweise in der FAZ, der taz, dem Neuen Deutschland oder dem Bayernkurier schalten und damit grob verschiedene Zielgruppen ansprechen. Außerhalb der Politik tun Zeitschriftenverlage nichts anderes als zielgruppenspezifische Werberahmenprogramme zu gestalten, etwa Computermagazine für Anfänger, Fortgeschrittene und Profis, Automagazine, Sportzeitschriften (getrennt nach Sportarten) und so weiter.

Absehbar überflüssig ist statistisch gesehen alle Werbung – die Reaktionsraten bleiben, Optimierung hin oder her, verschwindend gering. Das dürfte ähnlich auch für Beeinflussungsversuche gelten, die im Gewand von Nachrichten oder Gerüchten daherkommen (Test: Wer von Euch ist so leichtgläubig, dass er sich von plumpen Fake News beeinflussen ließe?). Weiter optimieren als mit einer groben Zielgruppensegmentierung lässt sich herkömmliche Werbung jedoch kaum, ohne dass der Aufwand zu groß würde.

Das Internet erlaubt in dieser Situation einen neuen Optimierungsansatz. Man kann hier mit geringen Kosten nahezu alle ansprechen – und aus den Reaktionen in Form von Klicks ersehen, wer für welche Ansprache anfällig ist. Cormac Herley hat sich unter dem Gesichtspunkt der IT-Sicherheit mit solchen Ansätzen beschäftigt und unter anderem dieses Paper veröffentlicht: „Why do Nigerian Scammers Say They are from Nigeria?“. Darin beschreibt er am Beispiel der Betrugsmasche der Nigeria Connection genau diesen interaktiven Ansatz. Die Betrüger streuen breit ihre absurde Geschichte von herrenlosen Millionen, die man außer Landes bringen wolle, und beschäftigen sich dann einzeln mit den wenigen Trotteln, die blöd genug sind, darauf einzugehen.

Der Schlüssel zum Erfolg ist hier die Interaktion. Man durchleuchtet nicht ganz viele Menschen, um dann auf die passende Weise mit ihnen zu reden, sondern man versucht es bei allen und lernt aus den Reaktionen.

Mit einer ähnlichen Methode kann man Werbung gezielter verbreiten und ihre Erfolgsraten – im Rahmen der bescheidenen Möglichkeiten – optimieren. Dazu misst man, welche Werbung in welchem Kontext (Website, Inhalt, Nutzergruppe, Uhrzeit usw.) wie oft angeklickt wird, und optimiert die Auswahlkriterien anhand dieser Daten. Werbenetze tun so etwas, optimieren aber nicht stur die Klickrate, sondern ihre daraus resultierenden Einnahmen.

Dabei müssen sie gar nicht besonders persönlich werden. Im Gegenteil, über einzelne Nutzer erfährt man auch aus all ihren Facebook-Daten zu wenig, um individuelle Voraussagen über so ungewisses Verhalten wie die Reaktion auf eine Werbung oder Nachricht vorhersagen zu können. Hingegen erfährt man aus der wiederholten Einblendung einer Anzeige in verschiedenen Situationen nach und nach, unter welchen Umständen diese Anzeige häufiger oder weniger häufig Reaktionen hervorruft.

Ökonomisch nicht plausibel ist demgegenüber die Vorstellung, man könne ohne weiteres zwei Elemente kombinieren: die Skalierbarkeit einer Massenansprache mit sehr geringen Kosten pro Einzelfall und die individuelle Beeinflussung nach ausgefeilten Kriterien. Unabhängig davon, welche Daten ein Laden wie Cambridge Analytica über Menschen hat, kann er nicht zu geringen Kosten Millionen individuell zugeschnittener Botschaften entwerfen. Andererseits braucht man die ganze schöne Psychometrie überhaupt nicht, wo man Reaktionen messen und sie statistisch mit vielfältigen Parametern in Beziehung setzen kann. Deswegen ist die Erzählung von der massenhaften individualisierten Manipulation ökonomischer Blödsinn.

This is Peak Blockchain. You can watch it in the rear-view mirror as it lies behind us, shrinking smaller and smaller until it will disappear on the horizon. I am using Google Trends as my rear-view mirror, which allows some easy and superficial yet striking visual argument.

Peak Blockchain took place in December, 2017. Up to that time, starting ca. 2013, search interest grew seemingly exponentially, whereas interest has almost halved in the three months from Christmas, 2017 to Easter, 2018.

Peak Blockchain is the all-time high of attention and perceived importance of the blockchain topic. Some confound Peak Blockchain with the Peak of Inflated Expectations in Gartner’s Hype Cycle, which is followed by the Through of Disillusionment, a Slope of Enlightenment, and eventually the Plateau of Productivity. But make no mistake. Neither is the Hype Cycle a law of nature – some technologies just drop off the graph and die, while others are never discovered by the hypecyclists before they become productive – nor is blockchain a real and viable technology trend.

Inflated expectations or rather, exaggerated claims were there many, this much is true in the hype cycle mapping. The blockchain narrative emerged out of the cryptocurrency bubble. When the likes of Bitcoin, Ethereum, and IOTA reached the mainstream, it became simultaneously obvious they had little to do with actual currencies and the nominal value of their tokens was not backed by any economic reality other than that of a speculative bubble.

Everyone saw that so-called cryptocurrencies were bullshit and the speculative bubble was about to burst, yet everyone also wanted to talk about it without looking like an idiot. Out of this dilemma was the narrative born that the first and most notorious of the artificial assets, Bitcoin, might collapse but the technology behind it, blockchain, was there to stay. Not only would the “blockchain technology” thus invented – it had been a mere design pattern until then – survive, it would disrupt everything from the financial industry and digital advertising to crybersecurity (sic!) and photography. For none of this claimed disruptive potential existed the slightest example or explanation, but everyone was keen to ride the mounting wave without being seen as just one of those Bitcoin dorks, and so everyone kept inventing what might happen, somehow, in the future.

Blockchain is only one of several related concepts – others being Bitcoin and cryptocurrencies – that peaked at about the same time:

In all cases we see the same steep rise followed by an equally steep decline. This observation alone should suffice to convince everyone that nothing is to be expected from blockchains, regardless of what the IBMs and SAPs of this world are claiming after having fallen for the ploy. We saw peaks like this before. Little more than a decade ago, Second Life was the blockchain of its time:

At that time everyone, including a number of otherwise reputable companies, rushed to stake their claims in the virtual toy world that Second Life really was and is. The gullible and superstitious believed that companies would benefit from possessing real estate in this toy world and that 3D avatars sitting around virtual tables would be the future of business meetings. This was bullshit not only in hindsight. Everyone with the slightest understanding of human-computer interaction and collaborative technology could easily see how Second Life missed just about any point. This did not prevent IBM from betting a few bucks on the future of Second Life and even trying to create an enterprise version of it where company secrets would stay behind a firewall.

Second Life is long forgotten, and rightly so. There never was any real promise in it, there was only a popular (in certain circles) delusion and the fear of missing out that also drives our contemporary bullshit business fad.

Let us look at real technology trends for comparison. They do not peak and then collapse, but rather grow organically. Take cloud computing, for example:

We see no steep peak here, but rather a mostly linear growth over the course of four years from 2007 to 2011. After climbing to its all-time high, interest decreases slowly and remains at a high level for a long time. Other than Second Life, cloud computing is here to stay.

Another real trend is REST APIs, a way of designing web services that are meant to be accessed by programs rather than users:

We see a mostly steady increase over more than a decade that at some point gained a bit of speed. Again, there is no sudden peak here. As a third example, NoSQL databases started a bit later but otherwise exhibit a similar trend graph:

Even topics that had some hype to them and were being discussed by the general public exhibit slower increases and declines if there is substance behind the hype. Take, for example, “big data” and some related terms:

Real technology trends and topics take time to develop and then they persist or even continue to grow for quite a while. A real technology trend is an evolutionary process. Something gets discovered or invented and turns out useful. People apply the idea and develop it further, which makes it more attractive.

Genuine technology does not suddenly appear like a Marian apparition and disrupt everything within months, nor does interest in it fade as quickly as it would for anything lacking substance after its hollowness became obvious even to its advocates. Peak Blockchain is not the result of a genuine technology trend, but rather the consequence of everyone in a crowd assuring one other of the beauty of the emperor’s clothes when in fact there never even was an empire.

Blockchain is over. Time to ridicule those who jumped on the bandwagon ignoring all obvious warning signs, determined to boost their careers. They will soon exercise their right to be forgotten.

Studying Computer Science at Delft University of Technology has become immensely popular: our student numbers have shown double digit growth for seven years in a row, with record enrollments expected for 2018/2019.

To handle this demand in computer science education, we have a number of exciting teaching-related vacancies available:

• Professor Positions (Assistant or Associate in Tenure Track) in Computer Science with Focus on Teaching.
  https://www.academictransfer.com/employer/TUD/vacancy/46032/lang/en/

• 6-Year PhD Students in Computer Science with Teaching Responsibilities.
  https://www.academictransfer.com/employer/TUD/vacancy/46059/lang/en/

• Teachers in Computer Science. https://www.academictransfer.com/employer/TUD/vacancy/46140/lang/en/

• Educational Software Developers in Computer Science. https://www.academictransfer.com/employer/TUD/vacancy/46143/lang/en/

Together with our current faculty, it will be your job to help educate future generations of computer scientists using the latest teaching methods.

The faculty’s main educational programs in computer science include a three-year bachelor programme in Computer Science and Engineering, a two-year master program in Computer Science (with main tracks in Software Technology and Data Science & Technology) and a two-year master program in Embedded Systems. The faculty offers a recently renewed minor in the third bachelor year for non-computer science students of Delft University of Technology in the area of Software Design & Data Science. Through its participation in EdX, the faculty offers a series of highly successful computer science MOOCs. All programmes are lectured in English.

Bachelor courses have enrollments of hundreds of students. Such courses are lectured by a teaching team, including professors, educators, and up to 30 teaching assistants. Master-level courses are typically lectured in smaller groups of up to 100 students, and are closely related to research carried out in the Computer Science Departments. Both the bachelor and the master are concluded with an individual research thesis (of 15 and 45 credit points, respectively).

The faculty’s research in computer science is internationally leading and conducted in the departments of Software Technology and Intelligent Systems. The two departments consist of in total 11 sections, which together are active in all core disciplines of computer science. Furthermore, the faculty conducts research in various themes that crosscut disciplines and other faculties, such as data science, cyber-security, blockchain, and Internet of Things.

To ensure continued high quality research and education, the faculty is in the process of strengthening its Computer Science Teaching Team. Responsibilities of the teaching team include supporting all bachelor-level education, co-teaching selected courses, managing a group of around 150 teaching assistants, supporting educational innovation, and blending on line and on campus education. Teaching team members with research responsibilities will also be attached to one of the research sections of the faculty. All teaching staff has the opportunity follow teaching training, leading to a University Teaching Qualification (UTQ).

Screening of applications will begin April 3, 2018 and will continue until all required positions are filled.

The anticipated starting date for all positions is as soon as possible. Interested applicants are advised to apply as early as possible. A trial lecture (except for the educational software developers) will be part of the interview.

To apply, follow the procedure as described in the vacancies: For further information, feel free to contact me. We look forward to your application!!

Image credit: @Felienne.

Als wäre das Desaster um das besondere elektronische Anwaltspostfach (beA) nicht schon schlimm genug, kommen nun auch noch Aktivisten aus ihren Löchern und fordern eine „echte Ende-zu-Ende-Verschlüsselung“.

Kann diesen Cypherpunks mal jemand das Handwerk legen? Eine „echte Ende-zu-Ende-Verschlüsselung“ ist für ein beA technisch eben nicht möglich, sondern als Anforderung das Rezept für ein Desaster.

Unter Laborbedingungen lässt sich gewiss ohne große Schwierigkeiten eine Public-Key-Infrastruktur (PKI) aufbauen und auf beliebig viele Teilnehmer skalieren, so dass jeder mit jedem verschlüsselt kommunizieren kann. So eine Labor-PKI löst aber nur das halbe Problem – und macht es schwer, die andere Hälfte zu lösen, die unter den idealisierten Bedingungen der Laborumgebung keine Rolle spielt.

Drei Teilprobleme, mit denen eine Lösung für die Anwaltskommunikation zurechtkommen muss, sind (1) komplizierte Zugriffsrechte, (2) der Konflikt zwischen Vertraulichkeit und Verfügbarkeit sowie (3) Veränderungen im Zeitverlauf.

1. Komplizierte Zugriffsrechte
   Anwaltskommunikation ist nicht einfach Kommunikation von Person zu Person. Anwälte haben Gehilfen für administrative Tätigkeiten, die beispielsweise Post holen und verschicken. Diese Gehilfen brauchen ausreichende Zugriffsrechte, um ihre Arbeit zu verrichten, aber sie haben keine Prokura. Anwälte haben außerdem Vertreter für Urlaub, Krankheit usw., die von der Anwältin oder der Rechtsanwaltskammer bestellt werden. Alleine der Versuch, § 53 BRAO in eine PKI und eine Ende-zu-Ende-Verschlüsselung zu übersetzen, dürfte Entwicklern einiges Kopfzerbrechen bereiten.
2. Vertraulichkeit vs. Verfügbarkeit
   Vertraulichkeit der Anwaltskommunikation ist wichtig, aber zweitrangig. Wichtiger ist die Verfügbarkeit. Fragen des Zugangs von Erklärungen und der Einhaltung von Fristen können einen Rechtsstreit unabhängig davon entscheiden, wer in der Sache eigentlich Recht hätte. Vor allem anderen werden Anwältinnen Wert darauf legen, dass sie unter allen Umständen verlässlich kommunizieren können. Demgegenüber genügt hinsichtlich der Vertraulichkeit oft das Schutzniveau „Telefon“.
3. Zeitliche Dynamik
   Ein reales System zur Anwaltskommunikation muss nicht zu einem Zeitpunkt funktionieren, sondern über einen langen Zeitraum, währenddessen sich die Welt ändert. Das betrifft neben den offensichtlichen Aspekten – Hinzukommen und Ausscheiden von Nutzern in den verschiedenen Rollen, veränderte Vertretungsregelungen usw. – auch die Technik, zum Beispiel den Schlüsseltausch. Damit muss ein beA unter Berücksichtigung von (1) und (2) zurechtkommen. Darüber hinaus können sich auch gesetzliche Regelungen jederzeit ändern.

Wir brauchen deshalb keine Ende-zu-Ende-Sicherheit, sondern im Gegenteil endlich die Einsicht, dass Sicherheit:

• sekundär ist und der Funktion nicht vorausgeht, sondern folgt,
• keine theoretischen Ideale verfolgen, sondern reale Risiken reduzieren soll,
• nicht durch formale Garantien und einzelne Wunderwaffen entsteht, sondern aus der Kombination verschiedener partieller Maßnahmen resultiert,
• nicht perfekt sein muss, sondern nur gut genug.

Die Vorstellung, man könne konkurrenzfähige Anwendungen um starke Kryptographie herum konstruieren, ist vielfach gescheitert und diskreditiert. Als um die Jahrtausendwende der Online-Handel wuchs, entwickelte man kryptografische Bezahlverfahren von eCash bis SET – den Markt gewannen jedoch Lastschrift, Kreditkarte, Nachnahme und Rechnung. Das Online-Banking wollte man einst mit HBCI / FinTS sicher machen – heute banken wir im Browser oder auf dem Händi und autorisieren Transaktionen mit TANs und Apps. Das vor gut zwanzig Jahren entstandene Signaturgesetz ist in seiner ursprünglichen Form Geschichte und elektronische Signaturen haben sich bis heute nicht auf breiter Front durchgesetzt.

Wer dennoch weiter an die heile Scheinwelt der Ende-zu-Ende-Sicherheit glauben möchte, der möge sich seine Lösungen von den Experten der Gematik entwickeln lassen. Die kennen sich damit aus und sobald ihr Flughafen ihre Telematikinfrastruktur läuft, haben sie sicher Zeit für neue Projekte.

Der Radentscheid Darmstadt läuft seit einigen Wochen mit vielen kreativen Aktionen, und wird oft in der Presse erwähnt. Das führt  zu Diskussionen, die u.a. bei Facebook ausgetragen werden. In der Gruppe „Facebook Darmstadt“ mit 17.000 Mitgliedern von Autoliebhaber Stefan Zitzmann gab es zum Thema „Kidical Mass“ folgende Aussagen von dem FDP-Stadtverordneten Ralf Arnemann (Mitglied im … Was Darmstadts FDP von Radfahrern hält weiterlesen →

Die Digitalisierung schreitet unaufhaltsam voran. In der Zeit, die wir seit den ersten Konzepten für den Aufbau unserer hochsicheren und hochverfügbaren Telematikinfrastruktur für das Gesundheitswesen nach Konzepten aus den frühen nuller Jahren verbraucht haben, verbreiteten sich draußen unter anderem:

• Windows Vista, 7, 8 und 10
• UMTS und LTE
• Smartphones, Tablets und Smart Watches
• Cloud Computing auf allen Schichten von IaaS bis SaaS
• Site Reliability Engineering und Chaos Engineering
• API Management
• Agile Methoden und DevOps
• Big Data, Machine Learning und KI
• Stuxnet und andere Cyberwaffen

Auch kamen und gingen der neue Personalausweis, DE-Mail, das beA sowie die Piratenpartei.

Bekäme man das Gesundheitskartennetz zusammen mit dem Berliner Flughafen eines Tages doch noch fertig – was würde man dann mit dieser hoffnungslos veralteten Technik tun?

#DilemmaOfTheDay: Ein von Algorithmen mit künstlicher Intelligenz gesteuertes autonomes System bedroht Menschenleben. Sie können es geschehen lassen, dann sterben Menschen, oder sie können einen Hebel umlegen und die KI vernichten. Was sollen Sie tun?

Wenn Sie diese Frage seltsam finden, haben Sie völlig Recht – mehr dazu später.

—

Als der Öffentlichkeit vor einiger Zeit dämmerte, dass auf unseren Straßen bald autonome Fahrzeuge unterwegs sein würden, verbreitete sich rasend schnell das Mem des Trolley-Problems. Einer konstruierte ein scheinbares Dilemma: wie sich denn „der Algorithmus“ entscheiden solle, käme ein automatisches Automobil in die Situation, einen Unfall nicht mehr vermeiden und nur noch zwischen verschiedenen Opfern wählen zu können. Und alle, alle schrieben es ab. Von Ethik hatten sie schon einmal in der Schule gehört und vielleicht später erneut bei Michael Sandel, Ethik schien irgendwie wichtig und diese Technik verstünden doch ohnehin nur Nerds im Karohemd, denen man jetzt mal auf die Finger schauen müsse, bevor sie wieder Chemie, Atom, Gene oder Cloud Computing erfänden.

Das Trolley-Problem ist ein Gedankenexperiment aus der Philosophie. In konstruierten Szenarien wendet man postulierte Handlungsleitlinien auf eine hypothetische Entscheidungssituation an oder versucht, intuitive Präferenzen rational zu begründen. Dabei versteht man besser, von welchen Annahmen diese Leitlinien ausgehen, zu welchen Ergebnissen sie unter welchen Bedingungen führen und welche Fragen sie unbeantwortet lassen. Würden Sie jemanden vor eine Straßenbahn stoßen, wenn Sie damit fünf andere retten könnten? Warum oder warum nicht? Und wenn es sich um ein kleines süßes Baby handelt oder um Hitler persönlich?

Was in der Philosophie interessante Einsichten verspricht, ist in der Diskussion über das autonome Fahren deplaziert, denn das Dilemma aus dem Gedankenexperiment überlebt den Weg in die Realität einer Unfallsituation nicht. Wer es dennoch für eine solche diskutiert, ignoriert gekonnt verletzte Annahmen und ordnet das reale Problem dem künstlichen unter.

Ein Unfall ist ein plötzliches, unvorhergesehenes Ereignis, das sich bei Erkennen der konkreten Gefahr nicht mehr zuverlässig abwehren lässt. Es kommt nicht zum Unfall, wenn etwa ein Hindernis rechtzeitig erkannt wird und Fahrer oder Steuerung in aller Ruhe abbremsen und anhalten. Zum Unfall kommt es, wenn überraschend eine Situation eintritt, welche die Reaktionsmöglichkeiten so weit beschneidet, dass es keinen kontrollierten Ausweg mehr gibt.

Für Entscheidungen nach Luxuskriterien wie der Art und Anzahl möglicher Opfer bleibt in so einer Situation in aller Regel kein Raum mehr, für menschliche Fahrer sowieso nicht, aber auch nicht für Computer. Bestenfalls kann man noch instinktiv oder heuristisch handeln und mit einer Portion Glück in einen glimpflichen Ausgang segeln. Gelingt dies Menschen, feiern wir sie als Helden, wie zum Beispiel die Piloten von US-Airways-Flug 1549 nach ihrer Notlandung im Hudson River. Gelingt es ihnen nicht, bedauern wir sie als tragische Gestalten – oder weisen ihnen Schuld zu, hätten sie das Eintreten der Unfallsituation ohne besondere Kräfte vermeiden können.

Ersetzen wir Menschen durch Algorithmen, so kommen wir in keine grundlegend neue Lage. Die praktische Unfallvermeidung, das praktische Risikomanagement erfolgt vor Eintreten des Trolley-Dilemmas. Deshalb führt das Trolley-Problem in die Irre und wir sind besser bedient, wenn wir uns auf eben dieses Risikomanagement konzentrieren. Ob unsere Bemühungen ausgewogen sind, mag man diskutieren – allerdings auch schon für herkömmliche Autos, deren Hersteller vor allem den Insassenschutz optimieren, weil diese m Gegensatz zum Beispiel zu Fußgängern und Radfahrern in der Umgebung dafür zahlen. Seine Medienkarriere verdankt das Dilemma-Mem ohnehin nur der Tatsache, dass man es ohne nachzudenken leicht nachplappern und sich dabei für sehr intellektuell halten kann.

—

Zurück zum eigentlichen Thema. Über Ethik wird zunehmend im Zusammenhang mit künstlicher Intelligenz diskutiert; das autonome Fahren ist ein entgleister Spezialfall. Diesen Diskussionen liegt die Ahnung zugrunde, künstliche Intelligenz könne zu fundamentalen Umwälzungen in Technologie und Gesellschaft führen und den Menschen gar eines Tages intellektuell übertreffen, nicht nur in Spielen wie Schach oder Go. Der Phantasie sind naturgemäß keine Grenzen gesetzt und so reichen die eher popkulturell denn wissenschaftlich geprägten Vorstellungen bis zum allmächtigen Skynet. Der Diskussion ist schwer auszuweichen, denn dazu müsste man entweder vage Zukunftsvisionen falsifizieren oder sich der Ethik verweigern und beides ist rhetorisch schwierig.

Doch die ethischen Fragen könnten sich unabhängig von der technischen Entwicklung – wie weit die KI wirklich kommt, ist noch nicht geklärt – als weniger drängend erweisen. Die KI hat ethisch gesehen nämlich einen grundlegenden Nachteil: sie ist kein Mensch. Das macht es viel einfacher, ihr Verhalten zu überwachen und zu steuern, als das bei Menschen, Gruppen und Gesellschaften der Fall ist.

Menschen können allerlei Unheil anrichten und wer sie daran hindern möchte, muss ihnen vielleicht Gewalt antun. Konkrete Ausflüsse abstrakter ethischer Betrachtungen dazu finden wir in Form von Bürgerrechten und Güterabwägungen in Verfassungen, Strafgesetzen, Urteilsbegründungen und politischen Debatten. Komplizierte Fragen stellen sich dort, weil wir es sowohl auf Seiten der Täter oder Verursacher wie auch bei den Opfern und Betroffenen mit Menschen zu tun haben und wir auch dem unanständigsten Verbrecher noch eine Menschenwürde und Menschenrechte zugestehen.

Viele diese Fragen sind jedoch einfach zu beantworten, wenn auf der Täter- beziehungsweise Verursacherseite kein Mensch steht, sondern eine Maschine. Dann führt beispielsweise Notwehr nicht mehr zu Personen-, sondern nur noch zu Sachschaden und alle Abwägungen werden einfacher. Eine Maschine kann man abschalten, beschädigen, zerstören oder ihrer Betriebsmittel berauben, ohne groß über Ethik nachdenken zu müssen.

Mittelbar kann es dann doch wieder kompliziert werden, wenn Nebenwirkungen eintreten und andere Menschen betreffen. Ein medizinisches Gerät zum Beispiel, von dem die Gesundheit anderer abhängt, darf man vielleicht doch nicht einfach kaputtschlagen. Aber eine KI an sich oder eine von ihr gesteuerte Maschine hat erst einmal keine eigenen Rechte. Damit ist sie dem Menschen ethisch gesehen nachgeordnet. Die verbleibenden Probleme sind die alten zwischen den beteiligten Menschen.

I wrote an article for the Parallax about the security of third party Android app stores.

Büronymus: Chris, mit deiner Beratungsfirma Immigrant Spirit unterstützt du Expats dabei, in Deutschland beruflich Fuß zu fassen. Warum hast du das zu deinem Thema gemacht?

Chris Pyak: Ich hab ein Herz für den Underdog, vielleicht, weil ich selbst aus einer Familie mit fünf Kindern komme und mich da immer durchsetzen musste. Aber auch, weil ich selbst gemerkt habe, wie unglaublich schwer es ist, sich im Ausland etwas aufzubauen. Ich habe ganz lange im Ausland gelebt, vor allem in Estland. Du kannst die Sprache nicht, hast keine Kontakte, kannst nur durch Leistung überzeugen. Das ist hart. Wenn es erst mal nicht klappt, fragt man sich: Liegt es an mir?

Büronymus: Was für Leute wenden sich an dich?

Chris Pyak: Ein Teil der Leute, die mich kontaktieren, ist schon in Deutschland. Andere sind überall in der Welt, vor allem in den USA, Canada, Südafrika, Australien und Indien. Die einen sind im oberen Management, können es sich leisten, sich beraten zu lassen und verstehen mich als Türöffner. Andere haben es schon ein Jahr lang versucht, haben hervorragende Abschlüsse aus Harvard, Cambridge, eine Superkarriere und kommen in Deutschland einfach nicht weiter. Das ist deprimierend, wenn eine Frau mit einem Masterabschluss der Universität Cambridge sich fragt: Bin ich gut genug?

Daran sieht man, wie gründlich unsere Arbeitswelt das Selbstbewusstsein zerstört.

Büronymus: Woran liegt das deiner Meinung nach?

Chris Pyak: Unfähige Personaler. Thomas Sattelberger hat einmal gesagt: „Wenn Sie die Performance von HR verdoppeln wollen, schmeißen sie die Hälfte der Personaler raus.“ Nach über 500 Gesprächen mit Personalern kann ich das bestätigen. Es gibt großartige Recruiter wie Henrik Zaborowski, aber die sind die seltene Ausnahme. Das eigentliche Problem ist aber: Personaler haben keine Ahnung, was in dem zu besetzenden Job gemacht wird. Das ist wie ein Fußballtrainer, der keine Ahnung hat, dass es in dem Spiel ums Tore Schießen geht.

Oft ist es so: Wenn ich komme, sitzen Personaler und Abteilungsleiter zu ersten Mal zusammen. Ich stelle dann Fragen: Was muss jemand bei Ihnen erreichen, damit er oder sie erfolgreich ist? Wen haben Sie schon in dieser Position erlebt? Sortieren Sie diese von den Besten zu den Schlechtesten. Was haben die anders gemacht? Heraus kommen immer dieselben drei Dinge, die die Besten anders machen: Sie übernehmen Verantwortung und halten mir den Rücken frei. Sie liefern sichtbare Erfolge. Und sie verstehen, wie sich ihre Arbeit als Puzzlestück ins große Ganze einfügt.

Kein einziges Kriterium hat zu tun mit dem Abschluss oder dem Geburtsort.

Eine Freundin, sie ist Inderin, hochqualifiziert, hatte lange in den USA gearbeitet. Sie hatte in Deutschland ihre Traumfirma entdeckt und sich dort immer wieder beworben – ein Jahr lang. Ohne Erfolg. Bis die Firma gemerkt hat, für eine bestimmte Software gibt es in ganz Deutschland nur 20 Leute, die sich damit auskennen. Und die indische Freundin. Was glaubst du, was sie gemacht haben? Sie haben erst mal zwei eigene Leute zur Weiterbildung geschickt, bis sie gemerkt haben, so funktioniert es nicht. Dann haben sie meine indische Freundin eingestellt, die kein Deutsch konnte. Wie das ging? Mit Google Translate. Die Frau hat in zwei Stunden Meeting kein Wort verstanden. Hat sich dann hinterher aber von einem Kollegen alles in drei Minuten erklären lassen. Man braucht nicht Deutsch sprechende Leute, man braucht intelligente Leute. Sie ist heute übrigens bei Daimler.

Büronymus: So einfach ist es doch aber nicht. Eine befreundete Architektin hat mir erzählt, dass es eine Zeit lang einen Architektenmangel in Deutschland hab. Lang, lang ist’s her. Da wurde jeder genommen, aus allen möglichen Ländern. Das gab dann Riesenprobleme mit der Verständigung, mit der Kultur und vor allem mit den deutschen Bauvorschriften.

Chris Pyak: Es kommt natürlich auf die Position an. Was mich stört, ist diese Erwartungshaltung, dass jemand am ersten Tag 100 Prozent perfektes Deutsch sprechen muss. Das ist wie wenn jemand nach Homeoffice fragt und dann heißt es: Oh nein! Und der Deal ist gelaufen.

Kleine Firmen wehren sich am meisten, was zu verändern.

Es gibt da eine kleine Firma in Süddeutschland, die verkaufen Reifen nach Frankreich. Seit acht Monaten spreche ich mit denen. Am Anfang wollte ich ihnen was verkaufen – jetzt bin ich nur noch fasziniert. Die schalten jeden Monat eine Anzeige für 800 Euro. Am Ende jeden Monats rufe ich die verantwortliche Dame an, wir sind mittlerweile per Du. Null Bewerbungen! Ich schlage vor, doch einen Franzosen einzustellen. Ich kenne großartige Leute, die würden bestimmt gut passen. Ach nein, wir versuchen es noch mal nächsten Monat mit der Anzeige. Die geben 6.800 Euro für Werbung aus und verlieren natürlich auch noch den Umsatz, den ein französischer Kollege machen würde. Das ist so typisch.

Büronymus: Worauf führst du das zurück?

Chris Pyak: Ich führe das darauf zurück, dass Personaler keine Ahnung haben, worum es geht. Sie schauen auf Zeugnisse und Abschlüsse, wollen sich vor allem selbst absichern und keine Risiken eingehen. Man muss das ganze System hinterfragen.

Meiner Erfahrung nach sollte das Team entscheiden – das weiß oft besser, was für ein Job gemacht werden muss.

Meine Frau ist auch ein gutes Beispiel. Sie hat in Russland für Morgan Stanley und die Deutsche Bank gearbeitet. Und dann sagt man ihr im Bewerbungsgespräch: Es wäre gut, wenn Sie eine Ausbildung bei der Sparkasse hätten. Letztlich hat sie ihren Job nur bekommen, weil ihr Chef bei den gleichen Firmen gearbeitet hatte. Ihre Deutschkenntnisse waren am Anfang auf dem Level A2. Am ersten Tag hat sie einen Brief geschrieben. Ihr Chef hat korrigiert. Am zweiten Tag wieder. Am dritten Tag wieder. Inzwischen ist sie über vier Jahre bei der Firma, spricht fließend Deutsch, also Level C2, und ist zweimal befördert worden. Das passiert, wenn man jemanden einstellt, der Intelligenz und Drive hat.

Büronymus: Du lässt ja kein gutes Haar an Personalern. Leider deckt sich das mit meinen Erfahrungen – auf beiden Seiten. Was können sie besser machen?

Chris Pyak: Entweder werden sie meinen Job machen, d. h. helfen, Erfolgskriterien zu definieren.

Wenn man nicht weiß, wonach man suchen muss, kann man es gleich lassen.

Oder sie machen weiter wie bisher und schreiben eine Liste von Skills, die sie dann abhaken wollen. Dann wird es eines Tages heißen: Hier ist ihr neuer Kollege, er heißt Software Update. Diese Art von Personalern wird niemand mehr brauchen. Es gibt immer noch welche, die nach Foto entscheiden, wen sie einladen!

Eine Wirtschaftsförderungsgesellschaft in einem ostdeutschen Bundesland hat mal jemanden gesucht für den Aufbau des Geschäfts mit Japan. Die wichtigste Voraussetzung war ein BWL-Studium. Ich habe dann den Chef gefragt: Was machen Ihre besten Leute anders als der Durchschnitt? Er sagte: Sie schaffen bei den Investoren Vertrauen, bei uns zu investieren, halten den Geschäftspartnern auch später noch die Hand, arbeiten gut mit denen zusammen. Und da hatte man sich gedacht, ein Abschluss in Wirtschaft wäre gut. Ich habe dann vorgeschlagen, die Stellenanzeige ganz anders aufzubauen, sich ehrlich zu machen: Wer ist bereit, in Japan zu arbeiten? Wer kann Vertrauen aufbauen und dann auch wirklich liefern? Welche ähnlichen Aufgaben wurden bereits gelöst, was für Probleme gab es und wie haben Sie die gelöst? Ein CV kann man dann auch noch dranhängen. Aber viel wichtiger ist für diese Position jemand mit Lebenserfahrung, der Ergebnisse bringt.

Büronymus: Ja, es muss sich einiges ändern in Deutschland, was das Thema Bewerbungsverfahren angeht. Ich habe mich dazu ja auch schon ausführlich ausgelassen. Du hast ja nun im Ausland gearbeitet. Was war da total anders?

Chris Pyak: Ehrlich gesagt überleg ich einmal die Woche, ob ich wieder dorthin gehe. Estland zum Beispiel war 2001 sehr, sehr arm, es gab nix. Im Westen hat man viel mehr verdient. Aber der unglaubliche Optimismus dort hat mich angezogen. Die Esten sind ein sehr liberales Volk, die fragen sich zuerst immer: Warum soll man etwas verbieten? In Deutschland lautet die Frage: Können wir das erlauben? Der Este sagt sich: Ich bin ein freier Mensch und wer mir was verbieten will, muss das gut begründen. Das Grundgefühl ist: Wir können was machen. Es gibt auch diese Sachlichkeit: Erklär mir, wie du es machen willst. Bei uns muss immer jemand zwanghaft Einwände bringen, warum etwas nicht geht.

Im Ausland machst du Karriere, indem du Erfolge bringst. In Deutschland machst du Karriere, indem du Fehler vermeidest.

---

Über Chris Pyak

Chris Pyak rekrutiert und coacht mit seiner Firma Immigrant Spirit internationale Talente in Deutschland. Er ist Autor des Buches How To Win Jobs & Influence Germans: The Expats‘ Guide to a Career in Germany [Amazon Partner Link]. Ich habe das Buch gelesen. Es enthält viele Praxistipps für Bewerber aus dem Ausland und wirft ganz nebenbei ein nicht sehr schmeichelhaftes Licht auf verknöcherte deutsche Unternehmenskulturen und teils grotesk amateurhafte Bewerbungsverfahren. Will sagen: Wenn man es Ausländern erkärt, erscheint das ganze Theater noch absurder als ohnehin schon. Chris ist auch ein aktiver Twitterer (@chris_pyak), was mir immer wieder eine große Freude ist. Vor einiger Zeit hat er mich für seinen Expat Career Podcast interviewt. Wir haben darüber gesprochen, warum es für Expats eine Chance sein könnte, als Freiberufler in Deutschland Fuß zu fassen.

Zur Helmdiskussion hatte ich hier lange nichts. Eigentlich lohnt das auch nicht, denn wer an den Nutzen eines Fahrradhelms glauben möchte, lässt sich erfahrungsgemäß von Argumenten nicht umstimmen. Doch heute bin ich über eine Zahl gestolpert, die sogar mich überrascht hat, obwohl sie mit meiner Alltagserfahrung kompatibel ist. Der großbritische nationale Gesundheitsdienst (National Health Service, NHS) macht wie so ziemlich jede Krankenkasse Werbung fürs Radfahren und hat in diesem Zusammenhang eine FAQ zur Gefährlichkeit dieser Betätigung zusammengestellt. Darin heißt es unter anderem:

“Official figures taken from the NTS suggest that the general risk of injury from cycling in the UK is just 1 injury per 19,230 hours of cycling.”

Eine Verletzung auf 19 230 Stunden Radfahren, das heißt selbst ein Fahrradkurier muss gute zehn Jahre jeden Arbeitstag acht Stunden unterwegs sein, um sich einmal zu verletzen*. Wer lediglich jeden Tag eine halbe Stunde zu seinem Büro radelt und abends zurück, der braucht sogar Jahrzehnte, um sich einmal zu verletzen. Dass Radfahren so sicher ist, hätte ich trotz vieler unfallfreier Jahre im Sattel nicht erwartet.

*) Ein Arbeitsjahr in einem Vollzeitjob hat ca. 2000 Stunden einschließlich der Urlaubstage.

TL;DR: The author thinks Snowden’s home security app, Haven, is snake oil regardless of the algorithms it uses. Operational security is at least as hard as cryptography and no app is going to provide it for you.

Bogus cryptography is often being referred to as snake oil—a remedy designed by charlatans to the sole end of selling it to the gullible. Discussions of snake oil traditionally focused on cryptography as such and technical aspects like the choice of algorithms, the competence of their designers and implementers, or the degree of scrutiny a design and its implementation received. As a rule of thumb, a set of algorithms and protocols is widely accepted as probably secure according to current public knowledge, and any poorly motivated deviation from this mainstream raises eyebrows.

However, reasonable choices of encryption algorithms and crypto protocols alone does not guarantee security. The overall application in which they serve as building blocks needs to make sense as well in the light of the threat models this application purports to address. Snake oil is easy to mask at this level. While most low-level snake oil can be spotted by a few simple patterns, the application layer calls for a discussion of security requirements.

Enter Haven, the personal security app released by Freedom of the Press Foundation and Guardian Project and associated in public relations with Edward Snowden. Haven turns a smartphone into a remote sensor that alerts its user over confidential channels about activity in its surroundings. The intended use case is apparently to put the app on a cheap phone and leave this phone wherever one feels surveillance is need; the user’s primary phone will then receive alerts and recordings of sensed activity.

Haven is being touted as “a way to protect their [its users] personal spaces and possessions without compromising their own privacy.” The app allegedly protects its users against “the secret police making people disappear” and against evil maid attacks targeting their devices in their absence. To this end, Haven surveils its surroundings through the smartphone’s sensors for noise, movement, etc. When it detects any activity, the app records information such as photos through the built-in camera and transmits this information confidentially over channels like the Signal messenger and Tor.

Alas, these functions together create a mere securitoy that remains rather ineffective in real applications. The threat model is about the most challenging one can think of short of an alien invasion. A secret police that can make people disappear and get away with it is close to almighty. They will not go through court proceedings to decide who to attack and they will surely not be afraid of journalists reporting on them. Where a secret police makes people disappear there will be no public forum for anyone to report on their atrocities. Just imagine using Haven in North Korea—what would you hope to do, inside the country, after obtaining photos of their secret police?

Besides strongly discouraging your dissemination of any recordings, a secret police can also evade detection through Haven. They might, for example, jam wireless signals before entering your home or hotel room so that your phone has no chance of transmitting messages to you until they have dealt with it. Or they might simply construct a plausible pretense, such as a fire alarm going off and agents-dressed-as-firefighters checking the place. Even if they fail to convince you, you will not be able to react in any meaningful way to the alerts you receive. Even if you were close enough to do anything at all, you would not physically attack agents of a secret police that makes people disappear, would you?

What Haven is trying to sell is the illusion of control where the power differential is clearly in favor of the opponent. Haven sells this illusion to well pampered westerners and exploits their lack of experience with repression. To fall for Haven you have to believe the  premise that repression means a secret police in an otherwise unchanged setting. This premise is false: A secret police making people disappear exists inevitably in a context that limits your access to institutions like courts or media or the amount of support you can expect from them. Secret communication as supported by Haven does not even try to address this problem.

While almost everyone understands the problems with low-level snake oil and how to detect and avoid it, securitoys and application layer snake oil continue to fool (some) journalists and activists. Here are a few warning signs:

1. Security is the only or primary function of a new product or service. Nothing interesting remains if you remove it.
2. The product or service is being advertised as a tool to evade repression by states.
3. The threat model and the security goals are not clearly defined and there is no sound argument relating the threat model, security goals, and security design.
4. Confidentiality or privacy are being over-emphasized and encryption is the core security function. Advertising includes references to “secure” services like Tor or Signal.
5. The product or service purports to solve problems of operational security with technology.

When somebody shows you a security tool or approach, take the time to ponder how contact with the enemy would end.

Vorbemerkung: Mit „meiner“ Generation meine ich im folgenden Text ganz grob die Geburtsjahrgänge 1960 bis 1980; was uns für diese Argumentation verbindet, ist der Umstand, dass wir im Gegensatz zu unseren Kindern keine Digital Natives sind, im Gegensatz zu unseren Eltern aber noch alle Möglichkeiten hatten und haben, diesem Zustand zumindest sehr nah zu kommen.

Als unsere Größere ihr erstes Smartphone bekam – wie immer bei uns Natural Born Sceptics zwei bis drei Jahre später als alle anderen, also noch nicht in der Grundschule –, da habe ich gescherzt, dass es das Passwort fürs heimische WLAN aber erst zum 18. Geburtstag gibt. Rückblickend muss ich wohl festhalten, dass das gar nicht mal so witzig war – im Gegenteil wäre genau das (zusammen mit einer Prepaid-Karte ohne Datenoption) die richtige Strategie gewesen, unseren Kindern im ohnehin permanenten emotionalen Ausnahmezustand, der sich Pubertät nennt, einiges an Last von der Schulter zu nehmen.

Ich höre die ersten Schnappatmer. Deshalb gleich angefügt: Nein, das hätte natürlich nicht funktioniert. In einem Umfeld, in dem nahezu jede Mittelstufenschülerin permanent online schnattert und sich die zwölfjährigen jungen Hunde nicht mehr auf dem Bolzplatz, sondern auf den Multiplayer-Maps der jeweils gerade so bezahlbaren Ego-Shooter kloppen, kann ich meine Kinder nicht offline halten. No way.

Aber ich hätte es besser wissen können. Ich zumindest, und ein paar von uns in meiner Generation auch. Ich meine damit uns, die wir schon vor der Jahrtausendwende gebloggt haben (HTML freihändig ins WordPad, alle Links manuell aktualisieren, wir hatten ja nur Nullen und Einsen), die wir zu #Zensursula-Zeiten und noch ein bisschen danach einen gemeinsamen Feind hatten, die wir seit unserer ersten faszinierten Suchanfrage bei altavista.com so tief im Internet drin waren, dass wir hätten wissen müssen, was es mit uns machen kann.

Und vor allem: Was es mit dem sich gerade erst entpuppenden menschlichen Geist eines Pubertisten machen könnte.

Macht die Probe aufs Exempel. Auch ihr, die ihr Facebook schon ziemlich cool und den Rest des Internets diffus beunruhigend findet und die ihr noch nicht mal dann ins Darknet schauen würdet, wenn euch jemand den Eingang zeigte. Hier die Probe: Setzt euch an den Rechner oder schnappt euch das Tablet und sagt euch: Fünf Minuten zur Entspannung auf Instagram die neuesten Deko-Ideen durchzappen, dann weiterarbeiten.

Fünf Minuten? Immer? Eben.

Denn das ist ja erst der Anfang. Das Internet, selbst wenn man es auf die per Smartphone zugänglichen Teilbereiche reduziert, ist eine unendliche Ansammlung von Verlockungen und Abgründen. Wieso noch klassisches Schulwissen pauken, wenn doch offensichtlich alles, was man wissen muss, bei Google zu finden ist? Wieso im echten Leben treffen und abhängen, wenn es direkt nach der Schule im Bett viel gemütlicher ist und sowieso alle on sind? Wieso nur auf dem Schulhof mobben, wenn das per Bloßstellung in einer möglichst breit gefächerten Whatsapp-Gruppe viel effizienter (und schmerzhafter) klappt?

Und das alles in der Pubertät? In einer Phase, in der unsere Kinder ohnehin nicht wissen, wo oben und wo unten ist auf der Welt?

Wir haben da einen riesigen Fehler gemacht: Wir haben das Internet fasziniert von allen Seiten angeschaut und darüber die Skepsis vergessen. Wir wussten noch nicht genau, was wir davon halten sollten, aber wir hatten schon eine Ahnung, dass es nie wieder weggehen würde; und deshalb dachten wir, es sei eine gute Idee, es unseren Kindern so leicht wie möglich zu machen, sich dort auf eigene Faust zurechtzufinden.

Wir wussten ja nichts. Medienkompetenz? Also bitte, wer hätte die denn uns und dann unseren Nachfolgern vermitteln sollen? Wir selbst, noch die Internet-Affinsten unter uns, waren die meiste Zeit zu begeistert, um zu begreifen, dass dieses Medium eben doch noch mehr ist, anders, zweischneidiger, als nur die Vollendung der Brechtschen Radiotheorie. Und die Lehrer, die heute unsere Kinder unterrichten? Die sind doch unsere Generation, was sollen die denn anders machen als wir? Ich habe einen sogenannten Computerführerschein in der Mittelstufe aus der Nähe gesehen: Da wurde auswendig gebüffelt, an welchen Stellen dieser bestimmten Word-Version man zu klicken hatte, um exakt jenen Effekt zu erzielen, und wenn die Formatierung hinterher so aussah wie in der Vorlage, dann hatte man bestanden. Nur gelernt hatte man genau nichts. Aber das kann ich keinem Lehrer zum Vorwurf machen: Wir selbst hätten es doch auch nicht besser gewusst …

Kurz zusammengefasst: Mit dem Web, mit Social Media, dem Internet of Things und den Bemühungen um Künstliche Intelligenz haben wir einen Zug auf die Schiene gesetzt, der sich als lupenreiner Runaway Train entpuppt. Sieht schon irgendwer Jon Voight im Schneegestöber? Ich sehe ihn noch nicht. Aber ich sehe unsere Kinder auf den hinteren Waggons sitzen und die Fahrt live da- und dorthin streamen, und weder sie noch wir, ihre Eltern und Lehrer, wissen, wo die Reise hingeht. Aber die Idee, dass sie irgendwo hinfahren, wo wir noch nie gewesen sind, die finden wir immer noch dufte.

Habe ich eine Lösung für das Dilemma anzubieten? Nein. Aber ich habe da noch eine Beobachtung:

Wer kritisiert denn heute das Internet? Im englischen Sprachraum sind das manchmal sogar Menschen, die sich im Internet auskennen. Aber der prototypische netzskeptische Intellektuelle, der seine regelmäßigen Spiegel-Essays in seiner Muttersprache verfasst, der kokettiert offen damit, weder ein Smartphone zu benutzen noch jemals bei Facebook herumgeklickt zu haben. Dass dieser Umstand tiefe Kerben in seine Glaubwürdigkeit haut, scheint weder ihm noch seinen Claqueuren bewusst zu sein.

Möglicherweise wären wir schon einen kleinen Schritt weiter, wenn die Netzgemeinde, die sich alle Jahre wieder zwischen den Jahren unter der Weihnachtsrakete des CCC versammelt, endlich mal ihre Scheuklappen der Euphorie ein wenig zur Seite schöbe und offen kommunizierte: Leute, selbst wenn wir alle Hacks von NSA, GCHQ und BND durch Counterintelligence und zivilen Ungehorsam zum Verpuffen bringen, selbst in dem Augenblick, in dem im echten Leben das utopische Moment von Little Brother das dystopische besiegt hat, selbst wenn der Innenminister die letzte Überwachungskamera eigenhändig abschraubt, weil er es endlich begriffen hat, …

… selbst dann, Leute, ist das Internet noch nicht ausschließlich der Arabische Frühling.

Denn das Internet ist genau wie wir. Nicht nur gut, nicht nur böse, aber unter den jeweils geeigneten Einflüssen zu nahezu allem fähig. Und deshalb haben wir eine Verantwortung der nächsten Generation gegenüber – sie so lange von den extremsten Auswüchsen der Welt fernzuhalten, bis sie gefestigt genug ist, allein damit klarzukommen –, der wir zumindest im Online-Bereich der Welt bislang nicht mal im Ansatz gerecht werden.

This is a fascinating video from the Devops Enterprise Summit:

“the airline that reports more incidents has a lower passenger mortality rate. Now what’s fascinating about this … we see this replicated this data across various domains, construction, retail, and we see that there is this inverse correlation between the number of incidents reported, the honesty, the willingness to take on that conversation about what might go wrong and things actually going wrong.”

The speaker’s website is sidneydekker.com/, there’s some really interesting material.

 

Looking at where we are coming from

For the sake of simplicity, let’s say that the application security industry is traditionally split between two main types of offering: those who are selling products and those who are selling pen test services. In many occasions both are from the same vendor, but from different teams internally. Let’s break down how they are judged on their success to have an idea how it managed to evolve.

For the products approach, we must concede that the actual work is executed by a computer program. It requires a certain level of intelligence from software, but at least we can have a certain amount of codified knowledge that can scale and work 24/7 to ensure larger coverage. Ironically enough, one of the focus of that machine seems to be somewhat the same as many talented individuals want for themselves: to be right. Success is defined when the tool finds the correct issues, while not annoying people too much with false positive.

For pen test services, work can be over simplified into running tools as well, but the value is also when the amount of false positives is quite low. A real human that does a proof of concept can ensure that, plus it makes a great thing to show off. Also, a lot of creativity and adapted deep technical knowledge need to be applied dynamically, a thing that most tools don’t achieve at all. The findings will then be amplified and the actual coverage will not matter as much. A pen test can be deemed successful if it finds a few critical issues without having a 100% coverage. To be fair, many pen test services will try to achieve full coverage. They will also work in a black box model, making it a difficult endeavor. The evolution of pen testing seems to be heading toward acting as a Red Team; a team that focuses on mimicking what attackers does. In this case, all we need for success is one or a few open doors in the right place at the right time.

Both tools and pen testing service are useful and should be the first thing you try when you want to address the “security problem”. They also both always provides recommendations on how to fix. Those recommendations tend to be simple and tied only to issues found. They might not be on point with identifying the root cause of the problem and often come too late in the development process. Since security tools and pen testers know best about security, and that knowledge is humongous to grasp, not much is left for the knowledge of building secure software. That is part of defining what is success in the software industry and, while they are here to help, the security industry has it as a byproduct of its own success.

It makes sense that an industry who wants solve a problem, tries to solve it like it has always done before: by using exceptional talents doing over-specialization. Unfortunately, the efforts required to fix are not from the realm of security engineering, but from the broader realm of software engineering. This is yet another large body of knowledge where only a fraction overlap with security.

 

A partial view of the industry

So before going on with what I personally think, I want to explore how the industry defines the role and tasks of an application security engineer.

Fair warning, what I’ve done here is a totally biased research. The bias I can see is the following: I’ve collected all the job offers that one individual has received in the past two years while identifying as Sr. Application Security Engineer on a popular social media platform that is the hunting ground for recruiters. It is not representative of the industry at wide at all, but rather a view of what someone would attract in a specific geographical region. What I like about that bias, is that it expresses a consensus of people looking for the same thing, so really pin pointed at what I want to explicit in this post.

Let’s look at what trend we can extract from a total number of 57 job offers.

• 35% (20) have the title “Application Security Engineer”
• 11% (6) have the title “Application Security Architect”
• 4% (2) includes “Product Security” in the title instead of “Application Security”
• 7% (4) are about management or the title “Application Security Manager”
• 21% (12) have senior in the title
• 11% (6) have the title “Security Engineer”
• 2% (1) have the title “Software Engineer”
• 19% (11) talk about an AppSec program, SDL or SDLC
• 5% (3) talk about pen testing
• 18% (10) talk about code review
• 9% (5) talk about threat modeling
• 12% (7) perform development/building tasks
• 26% (15) are far from the regional position
• 35% (20) didn’t provide details about the role
• 3% (3) mentioned an application security team

A few years ago, I was barely seeing the “Application Security Engineer” title, but now it has become more predominant. That change had probably the effect to put the role in a high demand situation as few people has it in their background history.

For more complete offerings that include many activities such as threat modeling and code review, the offer is also low, as it is hard to find a single individual that can and want to tackle everything on the table. The fact that we rely on one role also make it hard to institutionalize, and that doesn’t help at all at the resource management problem we now face with that offer-to-demand ratio.

The core of this current blog post is about building a team, and that’s for me a solution for easier recruiting and better security impact overall.

 

Enough with contextualization, let’s go on the subject!

So here we go, here’s the list of 11 roles I can think of, with sample responsibilities and skills requirements. A role in this case is not a job title but rather a label that is easy to use and refer to.

In order for the list to make sense, you must have some prior knowledge in application security programs that define diverse activities during the software development life cycle (SDLC). OpenSAMM and BSIMM are good ressources to help you enumerate and understand those practices.

Roles	Responsibilities	Requirements
The Hacker	Break the applications Do manual and dynamic security testing Provide insight on threats	Participated in bug bounties in the past Knows the threats related to your target applications
The Secure Developer	Code Review Guideline for fixing Contribute to code changes if needed	Deep knowledge of tech stack you are using Knows the pitfalls in programming languages and frameworks
The Organizer	Keep in touch with development & other security teams Manage schedule and planning	Strong communication skills Project management experience
The Architect	Lead Threat Modeling Steer secure architecture changes in the entreprise	Experiences with systems related to the target applications Good with creation of diagrams
The Automation Engineer	Integrate tools in CI/CD Work on automation of the team’s tasks	Proficiency in scripting language Experience in DevOps
The Vulnerability Researcher	Digg in the details of some systems Elaborate proof of concepts when needed Find pin pointed vulnerabilities	Deep knowledge of operating system internals Knowledge of exploitation techniques
The Apprentice	Anything to assist other roles Help with team motivation and staying current	Is highly motivated by the objectives of the team Quick learner
The Cheerleader	Provide positive focus for the team Ensure team motivation and well-being Detail the service offering of the team to customers	High charisma Marketing background Good at karaoke
The Teacher	Prepare and execute training Identify what needs attention for education	Great communication skills Good charisma Knowledgeable in security
The Documentation Artist	Helper for training and documentation Design and polish documents	Some Photoshop skills Some Office suite skills Reads a lot about security and/or programming
The AppSec Lead	Builds the Application Security Program Can do most of the other tasks by the team	Proven vision and leadership skills Knowledge of SDLC Knowledge of Security

Of course, those are stereotypical as a real person can take on many roles and responsibilities can be swapped between team members. Too many roles played at the same time (over a quarter or sprint, depending on your velocity) will dilute the competence of the person. Having one person do everything might make sense when the target size of the customer pool is small (<10) but doesn’t cut it on large teams.

To be successful, I’m arguing that only some combinations are to be considered optimal, that is called the Most Effective Tactic Available (META). That META will surely change with the evolution of the industry and the actual application security practice in the target enterprise.

For example, you probably need way more junior level technical people first if the company has never taking care of software security before. They will be great at finding low hanging fruits. They can even pin point emergent security issues, that will seem simple to them, in a complex system by having an external point of view. The good thing about this, is that over time, those people will evolve into more senior roles. The team will then have less junior roles as the problems left will be harder to solve.

I’m proposing that those META should be relative to the maturity level of the security program in the organization. The exact number of individuals needed can be calculated from the number of developers†. Every entreprise will be different, but here’s some examples that are realistic for a target application security team of about 4 to 6 people:

• The organization is new to Security; 3 Hackers, 2 Secure Developers, 1 Organizer (0 need for advanced roles such as Architect or Vulnerability Researcher)
• The organization already is composed of network security people; 2 Hackers, 2 Secure Developer (the Organizer will be part of what is already in place)
• The organization already have at least 2 well established Hackers (known as “pen testers”) but none of the following; 2 Secure Developers, 2 Organizers
• The organization wants to focus on automation; 1 Hackers, 1 Secure Developer, 2 Automation Engineers

The reason you don’t see an AppSec lead in the small proposed teams above is because that role can be seen as your wild card that can be used to replace single or even multiple roles. For example, you can probably exchange 1 Hacker and 1 Secure Developer for 1 AppSec Engineer for a good trade-off. We often see teams composed uniquely of those wild cards, but in this case the problem will be to have it grow to more than a couple members. If you want growth and have the enterprise establish a strong team over time, then the diverse META based approach will get you there.

Getting the right META for a particular group of customers is a difficult task. It can require a lot of observation of the current workplace reality at the enterprise and target group level. It is wrong to say that one META fits all, but you can sure find yours based on objectives and current security practices already in place.

There’s also a few good team tactics I can think of that can push the outcome of certain tasks to the next level. The synergy that you can get from team work will make the effective results better than the sum of its parts. Here’s a few examples:

• The Hacker and the Vulnerability Researcher provide the Architect with threat intelligence
  • Then the Architect has access to more knowledge regarding threat actors and their capabilities
• The Secure Developer works with the Hacker and Vulnerability Researcher
  • Then the Secure Developer can implement more solid security controls by having them based on vulnerability knowledge and tested
• The Hacker works on finding vulnerability in a horizontal fashion (multiple applications) while the Vulnerability Researcher works vertically (only one application)
  • The combinaison of the two will ensure better coverage as one dimension is often not enough
• The Organizer and the Cheerleader explains to less technically savvy people the impact of vulnerabilities and gain of fixing
  • The fixing rate ratio will be higher for findings by the Hacker and proposed fixes by the Secure Developer
• The Architect validate its security decisions with the Vulnerability Researcher, the Hacker and the Secure Developer
  • This makes the decisions stronger and introduce peer review within the team for more quality
• The Automation Engineer participate in finding issues with the Hacker, the Secure Developer or the Vulnerability Researcher
  • This will make him better at creating or adapting rules for the tools
• The Teacher and the Documentation Artist work with everyone to gather needs based on security findings and best practices
  • This ensure a consensus between the team in the vision and message communicated to software engineering teams
• The Cheerleader ensure that everyone else treats the customers with respect and good energy
  • This minimize the impact of the “fix your sh*t” that we see so often by Hackers that are lacking empathy
• The AppSec lead utilize any other team member to empower its strengths and complement its weaknesses, while also covering the various responsibilities and tasks for an unfilled role
  • This will ensure that no AppSec activities are left untouched as their usage can be beneficial even if done to a lesser degree than someone dedicated

 

Conclusion

It is hard if not realistic to gather a full team that fits exactly what you need. Most of the successful combinations will evolve around roles resembling those presented here. Asking all that knowledge, workload and versatility from one person will almost end up in making concession or burning out the candidate. It will inevitably make the growth of the application security team past a certain size very difficult if not impossible.

 

† BSIMM 8, a quantitative study of the software security industry, state that the average percentage ratio of software security people to developers is 1.60% with a median of 0.88%. Note that I think that this should be a minimum as proper staffing is a hard requirement for great success. The average size of a Software Security Group (or AppSec team) observed in BSIMM is 11.6, a pure coincidence related to my proposal of 11 roles.