Der Deutschlandfunk nahm die Pleiten von Air Berlin und Monarch Airlines zum Anlass, mit Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv), über verfallende Flugtickets zu sprechen. Er fordert eine Pflicht zur Insolvenzversicherung, wie sie seit Jahren für Pauschalreisen gilt, und begründet seine Forderung so:

»Weil hier die Politik und auch die Flugbranche seit Jahren ihre Hausaufgaben nicht gemacht haben. Weil wir nicht wie bei Pauschalreisen zum Beispiel eine Insolvenzversicherung haben. Sprich: Der Kunde, der früh die Tickets schon bezahlt hat, bevor er eine Leistung bekommen hat, ist zurzeit der Depp. Er steht da ohne eine Leistung und verliert sein Geld, seine Urlaubsfreude. Das ist einfach nicht in Ordnung. Das ist Politik- und Marktversagen.«

(DLF: Fluglinien-Pleiten und Verbraucher – Airlines sollten Insolvenzversicherung anbieten)

Das ist populistische Kackscheiße. Versicherungen sind sinnvoll gegen existenzbedrohende Risiken, die sie auf ein Kollektiv umlegen. Deswegen sollte jeder ein Haftpflichtversicherung haben, Hausrat muss man abwägen und Händi-, Fahrrad- oder Reiserücktrittsversicherungen sind sinnlos.

Schäden, für die man anderen ersatzpflichtig ist, kann man leicht versehentlich verursachen, und wenn etwa Menschen verletzt werden oder Gebäude niederbrennen, wird es teuer. Das ist ein klarer Fall für eine Versicherung, die für besonders riskante Fälle wie den Betrieb von Kraftfahrzeugen sogar vorgeschrieben ist. Ebenfalls unverzichtbar ist eine Krankenversicherung, denn Krankheitskosten können schnell das Vermögen übersteigen und sparen lässt sich daran schlecht.

Eine Hausratversicherung ist schon nicht mehr so eindeutig nötig. Wer zu Hause keine Wertsachen hortet und ausreichende liquide Reserven hat, kann selbst dem Totalverlust seines Hausrats, etwa durch einen Brand,  vergleichsweise gelassen entgegensehen. Natürlich wäre so etwas ärgerlich, aber eben doch zu verschmerzen. Für andere mag eine Versicherung attraktiv sein, weil sie weniger Reserven haben oder ihr Hausrat einen höheren Wert.

Komplett unnütz sind Kleinkramversicherungen gegen ärgerliche, aber überschaubare Schäden: Händiverlust, Fahrraddiebstahl, Hochzeitsrücktritt und so weiter. Solche nach oben begrenzten Risiken kann man selbst tragen und man kommt im Mittel auch nicht günstiger davon, wenn man sie versichert. Diese unnützen Versicherungen versprechen den Versicherern jedoch ein gutes Geschäft und man bekommt sie allerorten aufgeschwatzt.

Vor schlechten Geschäften, mit denen uns Versicherer bei ungenügender Gegenleistung Geld aus der Tasche ziehen, sollten uns Verbraucherschützer wie Klaus Müller eigentlich warnen und manchmal tun sie das auch. Die Forderung nach einer Zwangsversicherung einzelner Risiken passt dazu nicht und die vorgebrachten Argumente sind so fadenscheinig, dass man sie leicht gegen die Forderung wenden kann:

»Ich finde, 100.000 Einzelfälle sind schon eine ganze Menge.«

(ebd.)

Das sind sie in der Tat – aber eben auch dann, wenn man ihnen für jeden Flug ein paar Euro extra aus der Tasche zieht, ob sie wollen oder nicht. Politik- und Marktversagen wäre es, mich zum Kauf einer Leistung zu nötigen, die ich nicht will und die auch keinen berechtigten Interessen meiner Mitmenschen dient.

Sicherheit und/oder Bequemlichkeit: Die EU will ePayment regulieren.

In einem Brief vom 25. September an EU-Kommissionspräsident Jean-Claude Juncker sprechen sich 27 Verbände und Unternehmen aus der Digitalwirtschaft gegen den Entwurf der Europäischen Bankenaufsicht (EBA) zur „starken Kundenauthentifizierung“ (SCA) aus.

Der vorliegende Entwurf zu den Regulatory Technical Standards (RTS) für die EU-Zahlungsdiensterichtlinie (PSD2) bringe zahlreiche Rechtsunsicherheiten für Händler und Dienstleister mit sich und behindere den E-Commerce in Europa. Der Aufschrei kommt reichlich spät. 

Die Verbändevertreter hätten sich schließlich schon hier über den „Zwei Faktor Unsinn“ informieren können oder über die neue Paymentwelt, die die EU-Kommission in ihrer Einfalt schaffen will. Der vorläufige finale Draft der EBA, den die EU-Kommission so nicht stehen lassen will und den die EBA aber auch nicht mehr ändern will, liegt bereits seit Mai dieses Jahres auf dem Tisch.

Seither geht es lobbytechnisch in Brüssel hoch her in. Immer mal wieder poppte in den vergangenen Monaten ein Zeitungsartikel zum Thema PSD2 hoch. Mal warnen die Banken vor dem bösen „Screen Scraping“ und pochen auch Datenschutz (also insbesondere den Schutz ihrer Daten), mal schimpfen die munteren FinTechs über die (angebliche?) Blockade-Politik der Banken in Bezug auf den versprochenen Zugang zum Bankkonto (XS2A).

Debatte zu SCA fällt unter den Tisch

Das für Onlinehändler und Internetanbieter aller Coleur sowie für die Verbraucher viel zentralere Thema der „starken Kundenauthentifizierung“ interessiert dagegen keinen Menschen. Dabei droht der Unfug den EU-Kommission und EBA sich zur vermeidlichen Sicherung von elektronischen Zahlungen ausdenken, den E-Commerce in Europa nachhaltig zu beeinträchtigen und die ePayment-Welt auf den Kopf zu stellen. Profiteure der Pläne zur sogenannten „Zwei Faktor Autorisierung“ (2FA) wären vermutlich die großen Online-Plattformen und PayPal, jedenfalls aber nicht die Verbraucher oder kleine und mittelständische Händler. „Das kann nicht so kommen, weil das nicht sein kann“, ist derzeit die Vogel-Strauß-Haltung der Payment- und E-Commerce-Branche zur PSD2 – bzw. konkreter zur RTS der EBA zur SCA.

Es war daher Zeit für das Protestschreiben über das Heise berichtete und das Euroactiv zuerst veröffentlichte. Die Unterzeichner fordern – verkürzt kurzgefasst – eine Stärkung des risikobasierten Ansatzes (Transaction Risk Analysis) zur Bewertung von elektronischen Zahlungen und die Hoheit der Händler und der PSP über die Risikobeurteilung und ihre Konsequenzen.

Payment-Markt reguliert sich selbst

Die Lobbyisten versuchen mit ihrem diplomatisch formulierten Schreiben zu retten, was zu retten ist. In Kenntnis der Tatsache, dass die EU-Kommission den einmal gestarteten Quatsch Regulierungsprozess nicht mehr begraben wird. Doch die Kompromisse zwischen Kommission, EBA und der betroffenen Wirtschaft machen das verunglückte Werk nur noch schlimmer, was der final Draft der EBA mit seine Betragsstaffelungen eindrücklich beweist.

Die Kommission sollte sich besser komplett von der völlig verfehlten „starken Kundenauthentifizierung“ verabschieden – und von der Vorstellung, in die Sicherheit des Payment-Markt mit pauschalen Vorgaben eingreifen zu müssen. In punkto Sicherheit reguliert sich dieser Markt nämlich bestens selbst – siehe nur EMV, 3D-Secure, 2FA auf freiwilliger Basis, etc.. Zahlungsverfahren, die zu teuer oder zu kompliziert sind, werden auf die Plätze verwiesen oder fliegen raus.

Leseempfehlung: Einen sehr guten aktuellen Überblick  zur PSD2 bietet André M. Bajorat hier auf den Seiten von Payment and Banking. (Was gilt? Wen trifft es? Was ist offen – und wenn ja, wie viele?)

Update (11.10.17):

Als weitere Leseempfehlung zum Thema PSD2 die Stellungnahme der Schweizer Bankiervereinigung sowie ein Interview mit Andreas Kubli, Head Multichannel Management & Digitization bei UBS Schweiz, auf „ISO 20022 Schweiz). Und ein Kernzitat daraus:   „Auch PSD2 wird grosse Auswirkungen haben, aber nicht wie gewünscht für die europäischen Fintechs, sondern für global agierende Tech-Giganten.“

Das bringt auch meine Befürchtung bzgl. der PSD2 zum Ausdruck. Die Zahlungsdiensterichtlinie wird nicht, wie beabsichtigt, Innovationen und Wettbewerb im europäischen Paymentmarkt befördern, sondern als EU-Förderprogramm für Amazon, Apple, Alibaba & Co. wirken. Ein Online-KMU-Killer wie Geoblocking und andere Regulierungsvorhaben der EU zum Digitalen Binnenmarkt.

The post PSD2: Internetwirtschaft schlägt Alarm appeared first on BargeldlosBlog.

Das „Airfield Braunshardt“ liegt zwischen Worfelden und dem Braunshardter Tännchen auf Büttelborner Gemarkung.

Echo online: In den Himmel über Braunshardt

Wer dem ehemaligen Titanic-Chefredakteur Leo Fischer seinen Twitter-Account überlässt, sollte sich nicht wundern, wenn der dann genau die Grenzen von Satire auslotet. So geschehen beim Zeit-Magazin, das in einem Experiment Prominenten für eine Woche den Account für eine „Twitter-Kolumne“ überlässt.

Fischer verkündete über den Zeit-Account heute den Tod von Ex-Fußballer Mehmet Scholl und eine Atomexplosion im nordkoreanischen Pjöngjang.

Daraufhin intervenierte hochempört ausgerechnet der Online-Chefredakteur der „Bild“ und Geheimdienst-Fan Julian Reichelt. Das Zeit-Magazin entzog dem Satiriker den Account wieder, löschte die Tweets und begründete den Schritt damit, dass die Tweets nicht mit den Standards des Mediums vereinbar seien. Es twittere nun wieder die Redaktion des Zeit Magazins.

Das Beispiel zeigt, dass Influencer Marketing, also der Einsatz von reichweitenstarken Persönlichkeiten zur Stärkung der eigenen Marke, schnell an Grenzen stoßen kann.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Ihr kennt Firefox als Browser. Aber die dahinter stehende Mozilla Foundation denkt sich gerne auch schon mal andere Dinge aus, die praktisch sein können. Jetzt ist ein Service an den Start gegangen, der immer mal wieder eine durchaus nützliche Sache sein kann. Unter send.firefox.com könnt Ihr mit Eurem Browser jetzt Dateien verschicken, die bis zu 1 GB groß sind. Einfach die Webseite aufrufen, eine Datei ins Browser-Fenster ziehen – (fast) fertig. Auf dem Bildschirm erscheint ein Link, der sich ruckzuck in die Zwischenablage kopieren lässt. Unter dieser Adresse kann die Datei wieder geladen werden.

Mit der neuen Send-Funktion von Firefox lassen sich große Dateien austauschen

Download mit Verfallsdatum

Das ist schon mal grundsätzlich praktisch, denn per E-Mail lassen sich meist nur Dateien bis maximal 50 MB Größe verschicken. Mehr geht nicht. Für größere Dateien braucht man sowieso eine andere Lösung. Deshalb gibt es Tools wie WeTransfer und viele andere – und das auch schon recht lange. Die neue Send-Funktion von Firefox hat aber noch einige Besonderheiten, die sie besonders interessant machen. Die erste: Die Daten werden verschlüsselt übertragen und gespeichert. Der Link enthält den Schlüssel – und nur wer diesen Link samt Schlüssel hat, kann die Datei wieder entschlüsseln. Das ist nicht Fort Knox, aber auf jeden Fall schon mal sehr gut. Selbst Mozilla selbst kann nicht in die Inhalte schauen, ohne den Schlüssel (der nach Angaben von Mozilla nicht gespeichert wird).

Zweite Besonderheit, die auch für technisch nicht so versierte Menschen leichter zu verstehen ist: Die hochgeladenen Daten haben ein Verfallsdatum. Sie bleiben nur 24h gespeichert. Wird eine bei send.firefox.com hochgeladene Datei nicht nach spätestens 24h wieder geladen, löscht das System sie wieder vom Server. Dasselbe passiert nach erfolgreichem Download: Auch in diesem Fall verschwindet die Datei wieder vom Server. Sofort. Ein zweiter Download ist nicht möglich. Also eine Art Snapchat für Upload-Dateien, könnte man sagen. Das verhindert auch, dass send.firefox.com zum neuen Download-Portal für Raubkopierer und Co. wird.

Download mit Verfallsdatum

Ihr benötigt für die Nutzung der Funktion kein AddOn für Firefox, nicht mal Firefox ist erforderlich. Der Service ist komplette kostenlos und steht jedem frei zur Verfügung. Wichtig zu wissen ist, dass jeder, der in den Besitz des Download-Links kommt, die hochgeladenen Dateien wieder laden und entschlüsseln kann, da der Link den öffentlichen Schlüssel zum Entschlüsseln enthält. Bei der Weitergabe des Links solltet Ihr also vorsichtig und umsichtig vorgehen. Auch handelt es sich nicht um einen komplett anonymen Dienst. Die IP-Adressen beim Upload und Download werden protokolliert, so weit das im Rahmen der rechtlichen Vorschriften erforderlich ist.

Und ja: Natürlich ist es eine Frage des Vertrauens, ob die Verschlüsselung tatsächlich derart gestaltet ist, dass die Betreiber nicht in die Dateien schauen können. Aber für viele Alltagsaufgaben ist die neue Send-Funktion von Firefox vollkommen ausreichend und vor allem eins: Praktisch.

Das Amtsgericht Bocholt beschäftigt sich in einem aktuellen Beschluss mit zwei Fragen, die im Zusammenhang mit dem Vorwurf des Besitzes von Jugend- und Kinderpornografie immer wieder eine Rolle spielen. Dabei setzt sich das Gericht recht deutlich von der überwiegenden Rechtsprechung ab.

Zunächst ging es um die Frage, wann ein Foto jugendpornografisch ist. Der mutmaßliche Täter soll zahlreiche pornografische Bilder „eines etwa 16-jährigen Mädchens“ auf seinem Rechner gespeichert haben.

Hierzu führt das Amtsgericht Bocholt aus, es sei schon nicht erkennbar, dass es sich um eine 16-Jährige handelt. Allein vom visuellen Eindruck sei eine Unterscheidung zwischen einer 16-jährigen Jugendlichen und einer 18-jährigen jungen Frau mit der nötigen Sicherheit nicht möglich. Eine Strafbarkeit komme in solchen Fällen nur in Betracht, wenn die abgebildeten Personen „ganz offensichtlich“ nicht volljährig sind, etwa dann, wenn sie fast noch kindlich wirken und eine Abgrenzung eher zum Straftatbestand der Kinderpornografie (Bilder von unter 14-Jähriger) nahe liegt.

Der Richter hält es angesichts des visuellen Eindrucks der Bilder für „nicht nachvollziehbar“, wieso die Staatsanwaltschaft von einer Frau unter 18 Jahren ausgehe. Im Zweifel, so das Gericht, müsse davon ausgegangen werden, dass die abgebildete Person nicht mehr minderjährig sei. Im entschiedenen Fall konnte nicht geklärt werden, wer auf den Fotos zu sehen ist.

Außerdem musste das Gericht die Frage beantworten, ob lediglich im Zwischenspeicher des Rechners (Cache) gespeicherte Dateien schon den Tatbestand des „Besitzes“ von Kinderpornografie erfüllen. Hier bietet es sich wirklich an, dass ich die Argumentation des Gerichts komplett zitiere. Was der Richter schreibt, ist nämlich höchst lesenswert.

Hier also der Beschluss:

Aus der Pfadbeschreibung der jeweiligen Fotos ergibt sich, dass diese unter dem Namen des Angeschuldigten/AppData/Local/Microsoft/Windows/TemporaryInternetFiles/Low/Content befunden haben. Sie befinden sich damit in einem Bereich, in dem der Nutzer nicht bewusst Daten speichern kann, sondern in dem das Betriebssystem Windows automatisch, ohne Einwirkungsmöglichkeit des normalen Nutzers Daten speichert.

Aus dem Pfad geht also zunächst einmal nur hervor, dass der Angeschuldigte oder eine dritte Person, die Zugang zu dem Rechner hatte, diese Bilder betrachtet hat und dann die Daten automatisch gespeichert wurden. Öffnet somit der Nutzer eine X-beliebige Internetseite über seinen Browser so wird diese im Hintergrund gespeichert mit dem Ziel, dass, wenn der Nutzer zu einem späteren Zeitpunkt erneut auf die Seite, hier also die inkriminierenden Bilder, zugreift, diese schneller aufgebaut werden könnten und nicht nochmal heruntergeladen werden müssten (Vergleiche Was ist Cache leeren http: …praxistipps.chip.de/was-ist-cache-leeren-einfach-erklaert_41811 Stand 23.03.2017). Die Funktion wurde in das Betriebssystem Windows Anfang der 2000er, als die Datenverbindungen langsam waren und es noch keine Flatrates gab, sondern die Kosten entsprechend dem Traffic erhoben wurden, implementiert.

Wie der Name Cache schon sagt, bedeutet dies nicht, dass der Nutzer auf diese Daten unmittelbaren Zugriff hat, sondern Cache bedeutet so viel wie „verstecken“. Er wird verwendet, da die im Cache gespeicherten Daten selbst vor dem Nutzer versteckt werden (Vergleiche: Was ist Cache a.a.O). Entsprechend hat der Nutzer auf die im Cache gespeicherten Daten zunächst einmal keinen Zugriff, denn in der normalen Verzeichnisstruktur ist der Pfad „AppData“ nicht sichtbar. Diese Daten werden nur angezeigt, wenn die Funktion „geschützte Systemdateien ausblenden“ deaktiviert wird und dafür die Funktion „versteckte Dateien und Ordner anzeigen“ aktiviert wird (Vergleiche: Verstecke Dateien anzeigen, http: …praxistipps.chip.de/versteckte-dateien-in-windows-7-anzeigen_1282, Stand 23.03.2017). Vor diesem Hintergrund ist der Besitz zweifelhaft.

Selbst wenn man dies vorliegend annehmen würde, so reicht allein der Umstand, dass in einem automatischen Verfahren kinderpornographische Inhalte auf der Festplatte des Nutzers gespeichert wurden zum Nachweis des Besitzwillens nicht aus (Vergleiche Gercke in Spindler/Schuster Rechte der elektronischen Medien, 3. Auflage 2015 § 184 b StGB Randnummer 25). § 184b ist kein Unternehmensdelikt denn § 184b Abs. 1 in Verbindung mit § 11 Abs. 3 StGB setzt ein tatsächliches Herrschaftsverhältnis über die Bilder voraus mit der Möglichkeit, die Bilder sich und anderen zugänglich zu machen. Dies muss vorsätzlich geschehen, wobei der Vorsatz als direkter oder bedingter Vorsatz gegeben sein muss. Wusste der Angeklagte nicht, dass die Bilder im Cache gespeichert werden, so setzt die Strafbarkeit erst ein, sobald der Angeschuldigte erkennt oder aber billigend in Kauf genommen hat, dass er Kinderpornographie besitzt und den Besitz gleichwohl fortsetzt (OLG Oldenburg, Urteil vom 29.11.2010 – 1SS166/10 zitiert nach Beck RS 2010).

In Zeiten des Cloud Speichers, in der üblicherweise insbesondere auch Bilder privater Natur im Netz gespeichert werden, erscheint diese Funktion wie ein Anachronismus. Anders als noch vor 10 Jahren, als die Nutzer bereits im praktischen Betrieb erkennen konnten, dass Bilder im Cache gespeichert wurden, beispielsweise am schnelleren Seitenaufbau oder der Nichtbelastung des mit dem Provider vereinbarte Datenvolumens, ist dies in der heutigen Zeit aus den vorgenannten Gründen nicht mehr erkennbar. Auf das Datenvolumen braucht der Nutzer heutzutage bei einer Flatrate nicht zu achten und die Geschwindigkeit des Seitenaufbaus ist beim Highspeedinternet ebenso schnell wie beim Herunterladen von der Festplatte. Gegenteilige insbesondere ältere Entscheidungen, die von einer Kenntnis des Nutzers von der Datenspeicherung im Cache ausgehen, sind aufgrund der technischen Entwicklung überholt. Der durchschnittliche Nutzer weiß im Zweifel daher nicht mehr, dass schon beim Betrachten von Bildern Daten im sogenannten Cache gespeichert werden (Vergleiche OLG Zweibrücken MMR 2016, 831, 832 f).

Dass der Angeklagte, der von sich unwiderlegbar behauptet, von den Bildern keine Kenntnis gehabt zu haben, solche überdurchschnittlichen Kenntnisse im PC Bereich hatte, ist nicht feststellbar. Der Nachweis wird letztlich im Hauptverfahren nicht zu führen sein so dass trotz der abscheulichen Bilder aus tatsächlichen Gründen eine Verurteilung nicht zu erwarten ist.

In diesem Zusammenhang ist auch darauf hinzuweisen, dass nicht einmal feststeht, dass der Angeschuldigte bewusst die inkriminierenden Bilder betrachtet hat. Im Zeitalter von Web 2.0 ist es jedermann problemlos möglich, Bilder ins Internet zu stellen. Hierdurch ist es auch möglich, Straftäter wider Willen zu generieren. Dies ergibt sich aus folgendem Szenario: Speichert beispielsweise ein x-beliebiger Straftäter Bilder kinderpornographischen Inhalts im Internet, beispielsweise bei Dropbox oder Amazon Cloud oder vergleichbaren Clouddiensten, so hat er die Möglichkeit, einen Link zu generieren und diesen dem Angeschuldigten zu schicken. Öffnet der ahnungslose Angeschuldigte dann diesen Link, so hat er die Bilder auf seinem Rechner und damit auch im Cache, ohne dass er überhaupt die Absicht hatte, derartige Bilder zu betrachten. Es ist hierdurch möglich jede x-beliebige Person zum Besitzer von kinderpornographischen Bildern zu machen. Da es auch technisch möglich ist, einen Link zu einem Verzeichnis mit einer Vielzahl an Bildern zu generieren, können auch entsprechen viele Bilder im Cache des Nutzers sein.

So könnte ein Straftäter jede x-beliebige Person allein dadurch zum Straftäter machen, indem er einen Link mit kinderpornographischem Inhalt an diese verschickt und diese irrtümlich ohne Kenntnis vom Inhalt den Link öffnen. Die Daten sind dann im Cache gespeichert und der Nutzer hätte kaum Möglichkeiten, diese Bilder zu entfernen, es sei denn, es verfügt über entsprechende Computerkenntnisse. Denn die Funktion von Microsoft „Datenträgerbereinigung“ löscht die Daten des Cache nicht mit der erforderlichen Sicherheit. Dies ist nur manuell möglich und verlangt tiefgreifende Kenntnisse über das Betriebssystem Windows, um überhaupt die Daten zu entfernen. Ein sicheres Entfernen geht nur über Spezialprogramme wie beispielsweise CC Cleaner, wobei nicht von jedermann verlangt werden kann, derartige Programme zu installieren.

Letztendlich ist dem Angeschuldigten vorliegend vom Besitz ausgehend, nicht nachzuweisen, dass er wusste oder wissen musste, dass die hier in Rede stehenden Fotos aus seinem Rechner im Cache gespeichert werden. Hinsichtlich der hier angesprochenen technischen Zusammenhänge bedurfte es nicht der Einholung eines Sachverständigen, da das Gericht über eigene Sachkunde verfügt, die auch in einer Vielzahl von Publikationen zum Thema IT und IT Recht dokumentiert ist.

Aktenzeichen 3 Ds 540 Js 100/16 – (581/16)

Cyberzeilen sind fett markiert. Zu jeder Zahl ist die Quelle verlinkt. Ich aktualisiere die Tabelle ab und zu mit weiteren Angaben.

Patching is hard? Yes---and every major tech player, no matter how sophisticated they are, has had catastrophic failures when they tried to change something. Google once bricked Chromebooks with an update. A Facebook configuration change took the site offline for 2.5 hours. Microsoft ruined network configuration and partially bricked some computers; even their newest patch isn't trouble-free. An iOS update from Apple bricked some iPad Pros. Even Amazon knocked AWS off the air.

There are lots of reasons for any of these, but let's focus on OS patches. Microsoft---and they're probably the best in the business at this---devotes a lot of resources to testing patches. But they can't test every possible user device configuration, nor can they test against every software package, especially if it's locally written. An amazing amount of software inadvertently relies on OS bugs; sometimes, a vendor deliberately relies on non-standard APIs because there appears to be no other way to accomplish something. The inevitable result is that on occasion, these well-tested patches will break some computers. Enterprises know this, so they're generally slow to patch. I learned the phrase "never install .0 of anything" in 1971, but while software today is much better, it's not perfect and never will be. Enterprises often face a stark choice with security patches: take the risk of being knocked of the air by hackers, or take the risk of knocking yourself off the air. The result is that there is often an inverse correlation between the size of an organization and how rapidly it installs patches. This isn't good, but with the very best technical people, both at the OS vendor and on site, it may be inevitable.

To be sure, there are good ways and bad ways to handle patches. Smart companies immediately start running patched software in their test labs, pounding on it with well-crafted regression tests and simulated user tests. They know that eventually, all operating systems become unsupported, and they plan (and budget) for replacement computers, and they make sure their own applications run on newer operating systems. If it won't, they update or replace those applications, because running on an unsupported operating system is foolhardy.

Companies that aren't sophisticated enough don't do any of that. Budget-constrained enterprises postpone OS upgrades, often indefinitely. Government agencies are often the worst at that, because they're dependent on budgets that are subject to the whims of politicians. But you can't do that and expect your infrastructure to survive. Windows XP support ended more than three year ago. System administrators who haven't upgraded since then may be negligent; more likely, they couldn't persuade management (or Congress or Parliament...) to fund the necessary upgrade.

(The really bad problem is with embedded systems---and hospitals have lots of those. That's "just" the Internet of Things security problem writ large. But IoT devices are often unpatchable; there's no sustainable economic model for most of them. That, however, is a subject for another day.)

Today's attack is blocked by the MS17-010 patch, which was released March 14. (It fixes holes allegedly exploited by the US intelligence community, but that's a completely different topic. I'm on record as saying that the government should report flaws.) Two months seems like plenty of time to test, and it probably is enough---but is it enough time for remediation if you find a problem? Imagine the possible conversation between FedEx's CSO and its CIO:

"We've got to install MS17-010; these are serious holes."

"We can't just yet. We've been testing it for the last two weeks; it breaks the shipping label software in 25% of our stores."

"How long will a fix take?"

"About three months---we have to get updated database software from a vendor, and to install it we have to update the API the billing software uses."

"OK, but hurry---these flaws have gotten lots of attention. I don't think we have much time."

So---if you're the CIO, what do you do? Break the company, or risk an attack? (Again, this is an imaginary conversation.)

That patching is so hard is very unfortunate. Solving it is a research question. Vendors are doing what they can to improve the reliability of patches, but it's a really, really difficult problem.

Software penetration testing has become a common practice in software companies. Penetration testers apply exploratory testing techniques to find vulnerabilities, giving developers feedback on the results of their security efforts—or lack thereof. This immediate benefit is mostly uncontested, although it comes with the caveat that testers find only a fraction of the present vulnerabilities and their work is rather costly.

Security experts commonly recommend that developers should respond to the results of a penetration test not merely by fixing the specific reported vulnerabilities, but rather analyze and mitigate the root causes of these vulnerabilities. Just as commonly, security experts bemoan that this does not seem to happen in practice. Is this true and what prevents penetration testing from having an impact beyond defect fixing?

Studying Software Developers

We studied this question by observing a product group of a software company over the course of a year. The company had hired security consultants to test one of its products for security defects and subsequently train the developers of this product. We wanted to know how effective this intervention was as a trigger for change in development. To this end we conducted two questionnaires, observed the training workshop, analyzed the contents of the group’s wiki and issue tracker, and interviewed developers and their managers.

The product group in our study comprised several Scrum teams, development managers, and product management. Scrum is a management framework for agile software development. Scrum defines three roles—Development Team, Product Owner, and Scrum Master—and artifacts and ceremonies for their collaboration. The Development Team is responsible for and has authority over technical matters and development work; the Product Owner is responsible for requirements and priorities; and the Scrum Master facilitates and moderates their collaboration.

The participants of our study appreciated the penetration test results as feedback and the training workshop as an opportunity to learn. They managed to address the particular vulnerabilities reported by the consultants. They also felt that security needed more attention in their development work. Yet, after addressing the vulnerabilities uncovered by the penetration test, they returned to their familiar ways of working without lasting change.

Analyzing our observations through the lens of organizational routines, we found three key factors inhibiting change in response to the penetration test and training: successful application of existing routines, the organizational structure of roles and responsibilities, and the overall security posture and attitude of the company.

(1) Existing Routines

To address the immediate findings of the penetration test, our developers used an existing bug-fixing and stabilization routine. Defect reports arrive asynchronously and sometimes require quick response; developers therefore commonly dedicate some—variable—percentage of their working time to defect fixing in response to reports. The penetration test fed the team dozens of new defects at once, but developers hat a routine to deal with it. Moreover, management tracked the number of open defects, so that the sudden increase raised attention and created pressure on the team to get this number down.

Feature development, on the other hand—where change would have to occur—remained mostly unaffected. Feature development followed the process of Scrum and the penetration test neither had a specific impact here nor did it feed requests or ideas into this routine.

(2) Organizational Structure

Following the ideas of Scrum and agile development, a strong division of labor and responsibilities characterized the organizational structure in the setting of our study. Product management and product owners were responsible for the direction of the development work, whereas development teams enjoyed a certain autonomy in technical questions. This structure worked as a social contract: managers expected developers to take care of security as a matter of quality and developers were keen to deliver the features requested by management. However, the penetration test had little impact on the manager’s priorities beyond the pressure to reduce the number of open defects. The developers thus found themselves in a situation where security was not explicitly required and additional security work could not be justified.

(3) Business Role of Security

Finally, security had limited perceived importance for the business of the studied company, which thus far had not experienced any public security disaster and did not actively sell security. The company therefore lacked a security narrative that could have been used to justify security efforts beyond defect fixing. This, together with the inherent low visibility of security and insecurity, shaped priorities. Product managers knew that features sell their products—new features are easy to show and explain, whereas security improvements are not. Security was perceived as contributing little to the success of the product and the company, making it a low-priority requirement.

Our study points to some of the complexities of managing software development and of triggering change by interventions. While it would be tempting to assign blame to a single factors, such as agile development or negligent management, the problem is really more complicated. Organizational structures and routines exist and they are shaped by business needs. Scrum, for example, is highly beneficial for the studied company. One might even ask whether the company’s dealing with security is a problem in the first place. Are they perhaps doing the right thing for their market and customers?

—

Our Paper:

A. Poller, L. Kocksch, S. Türpe, F. A. Epp; K. Kinder-Kurlanda: Can Security Become a Routine? A Study of Organizational Change in an Agile Software Development Group. Proceedings of the 2017 ACM Conference on Computer Supported Cooperative Work and Social Computing (CSCW’17), February 25–March 1, 2017, Portland, OR, USA.
[DOI: 10.1145/2998181.2998191, BibTeX, slide deck]

Datenschutz ist regelmäßig ein Thema in diesem Blog, denn seine Schutzziele und Mechanismen überschneiden sich mit denen der IT-Sicherheit oder stehen mit ihnen in Wechselwirkung. Datenschutz ist auch regelmäßig der Gegenstand öffentlicher Debatten. Das ist einerseits verständlich, denn wir sind heute überall von vernetzter IT umgeben. Andererseits verlaufen solche Debatten oft bizarr, weil der Datenschutz politisch instrumentalisiert und mit sachfremden Aspekten vermischt wird. Dabei ist die Frage für sich und ohne Ballast schon schwer genug: Was soll, was kann, was bedeutet Datenschutz heute und in Zukunft?

Mit einem Aspekt dieser Frage habe ich mich zusammen mit Jürgen Geuter und Andreas Poller in einem Beitrag zur Konferenz Die Zukunft der informationellen Selbstbestimmung des Forums Privatheit Ende 2015 beschäftigt, der jetzt endlich im Konferenzband erschienen ist. Wir beschäftigen uns darin mit der Frage, wie sich die Paradigmen der Informationstechnologie seit der Entstehungszeit des deutschen Datenschutzrechts verändert haben und unter welchen Bedingungen Persönlichkeitsrechte im Zusammenhang mit der Datenverarbeitung heute geschützt werden sollen.

Der Datenschutz hat seine Wurzeln in den 1970er und 1980er Jahren. Das vorherrschende Verarbeitungsparadigma der EDV, wie man die IT damals nannte, war das der Datenbank. Darauf sind die Regeln des BDSG erkennbar zugeschnitten; sie geben der Datenerfassung und -verarbeitung ein Gerüst aus expliziten Transaktionen zwischen Betroffenen und verarbeitenden Stellen, mit denen die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen.

Heute prägen andere Paradigmen die Informationstechnik: die allgegenwärtige Vernetzung, die eine detaillierte Kontrolle durch explizite Transaktionen unpraktikabel macht, und das maschinelle Lernen, welches das Verständnis der Verarbeitungsvorgänge und die Einflussnahme darauf erschwert. Die Vorstellung einer expliziten Datenerhebung nebst informierter Einwilligung passt deshalb nicht mehr zur Technik und ihren vielfältigen Anwendungen.

Wir haben die neuen Bedingungen in eine Emissionsmetapher gepackt: Jeder von uns sendet fortlaufend Daten aus, die sich im Netz verbreiten und dort von verschiedenen Akteuren aufgefangen und verarbeitet werden, vergleichbar der Art und Weise, wie sich Licht von einer Lichtquelle im Raum ausbreitet. Das schließt Eingriffe nicht aus, aber sie müssen auf diese Verhältnisse zugeschnitten sein. Eine umfassende Lösung dafür können wir nicht präsentieren, aber wir diskutieren einige Ansätze.

Der ganze Beitrag:

Sven Türpe; Jürgen Geuter; Andreas Poller: Emission statt Transaktion: Weshalb das klassische Datenschutzparadigma nicht mehr funktioniert. In: Friedewald, M.; Roßnagel, A.; Lamla, J. (Hrsg.) (2017): Informationelle Selbstbestimmung im digitalen Wandel. Wiesbaden: Springer Vieweg DOI: 10.1007/978-3-658-17662-4_14, © Springer. [BibTeX]

Die Cyberwehr dient Neuland. Was heißt das?

Seit einigen Jahren und erst recht seit der Ankündigung des Verteidigungsministeriums, die Bundeswehr um das eben aufgestellte Kommando Cyber- und Informationsraum (KdoCIR) als neue Teilstreitkraft zu erweitern, reden alle vom Cyberkrieg. Die Online-Armee soll „Waffensysteme und Computernetze der Bundeswehr schützen, aber auch zu Angriffen in der Lage sein.“

Konkreter wird die öffentliche Diskussion selten. Von hackenden Russen und Chinesen (Spy vs. Spy?) – seltener: Amerikanern et al. – mit staatlichem Auftrag ist öfter die Rede und gelegentlich erinnert jemand an Stuxnet als erste „Cyberwaffe“. Was, wenn jemand so eine Cyberwaffe gegen kritische Infrastrukturen wie die Wasser- oder Energieversorgung unseres Landes einsetzt? Müssen wir da nicht zurückschlagen können?

Jetzt haben wir also eine Cyberwehr, die irgendwas mit Internet, Hacking und IT-Sicherheit macht, auch offensiv und im Ausland, um uns vor sowas zu beschützen. Wann braucht sie dafür ein Bundestagsmandat oder Routingrechte für die Cyber- und Informationsräume anderer Staaten? Wo verlaufen die Grenzen zwischen Angriff und Verteidigung? Ergeben solche Fragen überhaupt einen Sinn und was unterscheidet das Cybermilitär von der Security-Abteilung eines Unternehmens?

Die öffentliche Berichterstattung und Diskussion wirft munter verschiedene Dimensionen des Themas durcheinander. Ich sehe mindestens drei verschiedene Aspekte:

1. „Cyber“ als IT-Betrieb und Sicherheitsmanagement, wie wir sie kennen: Jede Organisation muss sich um den sicheren Betrieb und das Sicherheitsmanagement ihrer vernetzten Systeme kümmern, so auch die Bundeswehr. Das ist in erster Linie eine Admin- und Abwehraufgabe und für eine Armee die Ausdehnung von Wachdienst und Spionageabwehr ins Internet sowie auf die militärischen Kommunikationssysteme und die IT der Waffensysteme. Bundestagsmandate braucht man dafür so wenig wie für das zivile Gegenstück nach BSI-Kompendium. Soldaten braucht man dafür auch nur bedingt; die Bundeswehr könnte auch einen IT-Dienstleister beauftragen.
2. „Cyber“ als Erweiterung des Waffenarsenals und Operationsraums: Im Rahmen militärischer Einsätze werden zusätzlich oder alternativ zu herkömmlichen Waffen auch „Cyberwaffen“ eingesetzt, das heißt das Ziel der Operation wird auch durch Eingriffe in Netze und IT-Systeme verfolgt. Statt Bomben auf Kraftwerke zu werfen, könnte die Truppe beispielsweise versuchen, den Strom im Operationsgebiet mit anderen Mitteln abzuschalten. Für solche Einsätze braucht die Bundeswehr ohnehin ein Mandat.
   Abzuwarten bleibt, wie gut „Cyberwaffen“ in diesem Zusammenhang wirklich funktionieren. Kanonen, Gewehre, Geschosse und Bomben haben den Vorteil, im Kern sehr einfachen Funktionsprinzipien zu folgen. Sie lassen sich massenhaft herstellen und unter Feldbedingungen flexibel gegen verschiedene Ziele einsetzen. Ob es eine gute Idee ist, die Energieversorgung zu hacken, statt ein Kommando ins oder Bomber übers Kraftwerk zu schicken, wird sich zeigen.
3. „Cyber“ als neuer Raum für Konflikte geringer Intensität: Die Informationstechnik ermöglicht auch neuartige Aktionsformen unterhalb der Schwelle zum offenen militärischen Konflikt. Stuxnet ist das prominenteste Beispiel: Ein Staat verfolgt Ziele im Ausland durch Eingriffe in fremde IT-Systeme. Solche Operationen haben eher einen geheimdienstlichen als einen militärischen Charakter.
   Solche Operationen sind neu und international gibt es damit wenig Erfahrung, deshalb stellen sich hier die interessanten Fragen: Was ist ein militärischer Angriff, was nur ein unfreundlicher Akt? Welche Ziele sind legitim, welche Antworten angemessen? Und wie findet überhaupt heraus, wer der Angreifer war? Aufgrund der geheimdienstlichen Natur solcher Operationen wäre die Forderung nach einem vorher zu erteilenden spezifischen Bundestagsmandat kontraproduktiv. Stuxnet illustriert all diese offenen Fragen.

Um qualifiziert und zielführend zu diskutieren, müssen wir uns auf klare gemeinsame Begriffe einigen. Wenn Euch jemand vollcybert oder von hybriden Bedrohungen schwätzt, dann fragt ihn also erst einmal, wovon er eigentlich redet. Denkt daran: „Cyber“ ist immer für eine Geschichte gut und nicht alle Geschichten stimmen auch.

(Getriggert von Holger Schauer bei G+)

PS: Thomas Wiegold erklärt nüchtern, was das KdoCIR tut. Außerdem gibt’s dort die Rede der Vercyberungsministerin zum Anhören und auszugsweise zum Nachlesen.

Cypherpunk ideas have a long legacy and continue to influence how we are discussion matters of security and privacy, particularly in the relationship between citizens and governments. In a nutshell, cypherpunks posit that we can and should keep government intervention minimal by force-protecting our privacy by means of encryption.

Let us begin with what they got right:

“For privacy to be widespread it must be part of a social contract.”

 (Eric Hughes: A Cypherpunk’s Manifesto)

Social contracts are the basis of every society; they define a society and are represented in its formal and informal norms. Privacy is indeed a matter of social contract as it concerns very fundamental question of what the members of a society should know about each other, how they should they should learn it, and how they may or may not use what they know about others.

Privacy is not merely a matter of hiding information so that it cannot be found. The absence of expected features or utterances carries information, too. Some societies, for example, expect their members to actively demonstrate their allegiance. Members of such a society cannot merely hide what they think, they also have to perform their role as expected if they have no desire to become a leper.

What the cypherpunks got entirely wrong was their conception of social contracts and the hope that cryptography could be the foundation upon which they, the cypherpunks, would build their own. Cypherpunks believe that cryptography would allow them to define their own social contract on top of or next to the existing ones. This has not worked and it cannot work. On the one hand, this is not how social contracts work. They are a dimension of a society’s culture that evolves, for better or worse, with this society.

On the other hand, cryptography–or security technology in general–does not change power relationships as much as cypherpunks hope it would. Governments are by definition institutions of power: “Government is the means by which state policy is enforced.” Cypherpunks believe that cryptography and other means of keeping data private would limit the power of their governments and lay it into the cypherpunks’ hands. However, the most fundamental power that any working government has is the power to detain members of the society it is governing.

In an echo of cypherpunk thinking, some people react to an increased interest of the U.S. Customs and Border Protection (CBP) in travelers’ mobile devices with the suggestion to leave those devices at home while traveling. After all, the CBP cannot force you to surrender what you do not have on you, so the reasoning. This thinking has, however, several flaws.

First, from a security point of view, leaving your phone at home means to leave it just as unattended as it would be in the hands of a CBP agent. If the government really wants your data, nothing better could happen to them than getting access to your phone while you are not even in the country.

Second, the government is interested in phones for a reason. Cryptography and other security mechanisms do not solve security problems, they only transform them. Cryptography in particular transforms the problem of securing data into a problem of securing keys. The use of technology has evolved in many societies to the point where our phones have become our keys to almost everything we do and own online; they have become our primary window into the cloud. This makes phones and the data on them valuable in every respect, for those trying to exert power as well as for ourselves. You lose this value if you refrain from using your phone. Although it seems easy to just leave your phone at home, the hidden cost of it is hefty. Advice suggesting that you do so is therefore not very practical.

Third, this is not about you (or if it is, see #1 above). Everyone is using mobile phones and cloud services because of their tremendous value. Any government interested in private information will adapt its approach to collecting this information to the ways people usually behave. You can indeed gain an advantage sometimes by just being different, by not behaving as everyone else would. This can work for you, particularly if the government’s interest in your affairs is only a general one and they spend only average effort on you. However, this same strategy will not work for everyone as everyone cannot be different. If everyone left their phones at home, your government would find a different way of collecting information.

By ignoring a bit of context, cypherpunks manage to arrive at wrong conclusions from right axioms:

“We cannot expect governments, corporations, or other large, faceless organizations to grant us privacy out of their beneficence.”

“We must defend our own privacy if we expect to have any.”

(Eric Hughes: A Cypherpunk’s Manifesto)

This is true, but incomplete. Power must be contained at its source (and containment failures are a real possibility). Cryptography and other security technology does not do that. Cryptography can perhaps help you evade power under certain circumstances, but it will by no means reverse power relationships. What you really need is a social contract that guarantees your freedom ad dignity.

(Expanded version of a G+ comment)

In Berlin haben Polizisten einen Mann erschossen. Aus drei Waffen soll gefeuert worden sein, heißt es etwa in der Berliner Zeitung.

Ich will auf ein Detail des tragischen Vorfalls eingehen. Darum geht es:

Eine Einsatzhundertschaft wurde gerufen und ein Durchsuchungsbefehl beantragt. Den lehnte ein Richter jedoch ab. Die Polizisten entschieden sich dennoch, die Tür zu öffnen, wegen Gefahr im Verzug.

Das Verhalten der Polizeibeamten dürfte grob rechtswidrig gewesen sein. Das Bundesverfassungsgericht hat immerhin schon vor knapp zwei Jahren mit mehreren Beschlüssen entschieden: Wenn ein Richter mit der Sache betraut war und einen Durchsuchungsbeschluss ablehnte, ist kein Raum mehr für „Gefahr im Verzug“. Nicht mal der Staatsanwalt darf dann noch eine Durchsuchung anordnen. Polizeibeamte schon gar nicht.

Etwas anderes würde nur gelten, wenn sich die Sachlage seit der ablehnenden Entscheidung des Richters dramatisch geändert hat. Aber auch das würde dann jedenfalls wieder voraussetzen, dass der Richter nach Möglichkeit zunächst noch mal gefragt wird.

Unten stehen die Verweise zu den an sich recht gut verständlichen Beschlüssen des Bundesverfassungsgerichts. Nur für den Fall, dass der eine oder andere Einsatzleiter mal einen Blick drauf werfen möchte.

Aktenzeichen 2 BvR 2718/10, 2 BvR 2808/11, 2 BvR 1849/11

Aldi hat ja jahrzehntelang keine klassische Werbung gemacht. Leider hat sich der Discounter von dieser wohltuenden Praxis verabschiedet und nervt jetzt mit fast exakt den gleichen TV-Werbespots wie Lidl, Edeka und Rewe.

Ja, guckt Euch die mal alle hintereinander an. Wenn Ihr es aushaltet. (Büronymus-Challenge!)

Aldi kommt dabei eher konsumkritisch daher: Wir brauchen doch gar nicht so viel. (Hauptsache billig ey, da stehste doch druff.)

Übrigens wird sich eines beliebten Klischees in der deutschen Werbung bedient: unsympathische Klugscheißer-Kinder, die den Erwachsenen die Welt erklären. Kidsplaining – hab ich da gerade ein neues Wort erfunden?

Das Innovative an diesen Spots: Es geht nicht um so etwas Profanes wie Äpfel, Nudeln und Klopapier. Wenn mal ein krossgebratener Truthahn durchs Bild getragen wird, ist das subtile Andeutung genug. Die Zuschauer sind ja nicht blöd.

Nein, diese Filmchen spiegeln uns, wie wir von denen (den Supermarktketten, aber noch mehr den Werbern) gesehen werden:

Wir wissen genau, wie Ihr Euch fühlt. Ihr Opfer. Immer nur ackern, damit Ihr Euch den ganzen Kram hier leisten könnt. Darüber vernachlässigt Ihr Eure Familien. Opa ist bald tot!!! Und mit Euren Kinder könntet Ihr Euch auch mal wieder beschäftigen. Drachen steigen lassen statt immer nur vor dem ipad hocken. Schnitzt doch mal was! Und Freunde habt Ihr auch keine. Fragt Euch mal, warum.

Wie, das sind Klischees und so sind wir gar nicht? Jedenfalls nicht alle. Nicht immer. Und selbst wenn, dann wollen wir das nicht von unserem Supermarkt hören. FRESSE, SUPERMARKT!

Ich sag Euch jetzt mal, wofür wir Kunden Euch (und Eure Bananen) bezahlen: Jubelt uns keinen abgelaufenen Ketchup unter und keine matschigen Avocados. Lächelt uns an der Kasse an und findet ab und zu ein paar nette Worte (gilt nur außerhalb Berlins – ich will niemanden überfordern). Behaltet die coolen Öffnungszeiten bis 24h bei (yay, Berlin!) und jut is. DAS WAR’S. Ich glaube, das ist gar nicht mal so wenig, wenn man’s ordentlich machen will.

(Innovationsmäßig erwarten wir von Euch eigentlich nix. Da ist ja in den letzten Jahrzehnten außer breiteren Gängen und ner Lupe am Einkaufswagen nix passiert. In den Genuss von selbstfahrenden Einkaufswagen, frischgepflückten Kräutern aus dem Supermarktgarten, Lunchpaketen für die Mittagspause oder abendlichen Kochkursen wird wohl frühestens die Generation unserer Urenkel kommen. Wenn überhaupt.)

Wenn es jedenfalls etwas gibt, ewas wir nicht brauchen, dann Lebenshilfe vom Supermarkt. Behaltet Euren schmierigen guilt-trip.

Kümmert Euch lieber um Euren eigenen sozialen Fußabdruck, statt Euch hier als Hüter moralischer Werte aufzuspielen. Wie Ihr mit Euren Mitarbeiterinnen und Führungskräften umgeht und so. Mal abgesehen von allem anderen: der Preisdrückerei, der Ausbeutung von Bauern und Natur.

Wer hat’s erfunden?

So, und jetzt zu denjenigen, die diesen Mist in die Welt bringen. Den Werbern. (Nix gegen Werber – einige meiner besten Freunde sind Werber. In einem früheren Leben habe ich den Scheiß sogar studiert.)

Also, die Werber sind ja ein ziemlich homogenes Völkchen. Hier in Berlin in der Regel Hipster und unter 40.

Und – genau wie die meisten Drehbuchautoren der Öffentlich-Rechtlichen – haben sie nur so eine wage Ahnung vom Leben da draußen. Wie auch, wenn sie nie rauskommen. Und noch nie einen real job hatten. Also, wo es wirklich um was geht. Kinder erziehen, Leben retten und so. Familie haben auch die wenigsten – wenn, dann eher die Männer ab 40.

Die typische Werberin ist 30 und kinderlos, hat im Sauerland oder im Heidiland eine glückliche Kindheit verbracht und ist dann ganz aufgeregt in die große Stadt gekommen, um ihr Studium abzubrechen und das echte Leben kennenzulernen. Indem sie 65 Stunden die Woche in der Agentur vor ihrem Mac hockt. In ihrer „Freizeit“ geht sie zum Yoga, trinkt grüne Smoothies und strickt Beanies.

Oder aber: Er, der junge Werber, Vollbart, hatte eine ganz und gar nicht idyllische Kindheit in einem ostdeutschen Kinderheim, ist da irgendwie rausgekommen und redet nicht drüber. „Freizeit“: Berghain.

Deshalb machen die beiden (nennen wir sie der Einfachheit halber Anna-Lena und Philipp) jetzt Fernsehspots, in denen sie sich entweder ihre Heidi-Kindheit zurückwünschen (ist ja auch verdammt anstrengend in dog shit city) oder aber die sehnsuchtsvolle IDEE einer schönen Kindheit in die Welt hinausprojizieren. Wo die Eltern endlich mal Zeit haben. Und der Opa nicht alleine Weihnachten feiern muss.

Die wahre Wahrheit

So ein Quatsch! Was für miese Klischees, die Anna-Lena und Philipp (ohne Artikel, weil ausm Osten).

In Wirklichkeit gibt es eine Werberakademie, wo man lernt, wie man einen zeitgeistigen und zu Herzen gehenden TV-Spot macht. Mir wurde da tatsächlich was zugespielt, was man als Rezept bezeichnen könnte. (Ich gebe jetzt hier das Geheimwissen preis, das eigentlich Generationen von Werbern ein Auskommen sichern sollte – sorry ‚bout that.)

Ich bin froh, dass diese jungen Leute eine so verantwortungsvolle Aufgabe übernommen haben: uns, den Konsumentinnen und Konsumenten der Bundesrepublik Deutschland, beizubringen, worauf es im Leben ankommt. Denn damit kennen sie sich ja aus.

Früher hat das übrigens das Propagandaministerium übernommen. Jetzt erledigen das halt die Supermärkte. Nun ja. Früher war tatsächlich alles besser.

PS: Ach, einen hab ich noch. Von Lidl Rumänien. Achtet auf die Musik.

PPS: Fast vergessen: Rewe! Nicht nur, dass sie für diesen Weihnachtsspot den alten gay hit „I will survive“ missbraucht und damit gegen Punkt 1 des o.g. Rezepts verstoßen haben.

Vor allem frage ich mich: Wo wart Ihr, Pussyhat-Trägerinnen, als diese Hausfrauenschmonzette (Mutti am Herd reißt sich ein Bein aus für Schwiegermutters Anerkennung) durchgewunken wurde?!

Bitte folgen Sie mir unauffällig! Auf Twitter und Facebook.

Heute nach einem Malheur in dem eine Packung Eier eine nicht ganz unwesentliche Rolle spielte, musste ich in den Supermarkt. Nun werden Sie sagen, so etwas ist selbst für Ihre Verhältnisse Fräulein Read On doch zu banal. Aber ich bin wirklich nur sehr selten im Supermarkt, bin ich doch in der trefflichen Lage, eine Biokiste vor die Tür gestellt zu bekommen, Obst bei Herrn Yilmaz zu kaufen, mit ihm, der Käsefrau und dem Blumenmann zu ratschen und alles andere eben im Bioladen einzuholen. Dass dies nicht selbstverständlich, weiß ich wohl und weiß es zu schätzen. Wäre also das Malheur mit den Eiern auf der rutschigen Spülleiste nicht gewesen, wäre ich also kaum in den Supermarkt gelaufen.

Natürlich ist so ein Supermarkt am Samstag gerappelt voll. Mit meiner Packung Eier stand ich für fast zwanzig Minuten in einer länger und länger werdenden Schlange und sah eben so vor mich hin und da fiel es mir auf: im Supermarkt arbeiteten nur Frauen. Einzig der Marktleiter mit seinem bulligen Gesicht, dem öligen Lächeln und der scheußlichen Krawatte, dessen Foto neben der Uhr hängt, wie einmal im alten Österreich, Franz Joseph überall zwischen Wien und Triest, ist keine Frau. Dafür sah ich gleich am Eingang zum Supermarkt, wo ein Schild auf dem Ähren prangen mit: „Frische Backwaren“ wirbt, wie eine Frau mittleren Alters, ein sperriges, metallenes Gerät, das sich als so eine Art fahrender Ofen erwies und zur Warmhaltung der frischen Backwaren gedacht ist, in der engen Regalreihe zu manövrieren sucht. Mit hochrotem Gesicht, die Frau reichte ungefähr bis an die Mitte des rollenden Ungetüms zog sie, sich reckend, die heißen Bleche aus dem Ofen und schüttete die Brötchen in zur Selbstbedienung gedachte Plastikbehälter. Dann sortiert sie neue halbgefrorene Brötchen auf die Bleche stemmt sie in den Ofen und zerrt das Gerät erneut zur Seite, bis es wieder durch einen schrillen Pfeiffton verkündet, dass neue Brötchen aufgebacken sind. Indes scheitert die Kassiererin an einer Rückbuchung, denn ein Herr mit grauem Hut will anstatt zwei Packungen Billigfusel nun nur noch eine Packung bezahlen. Die Kassiererin, eine junge Frau mit pinken Plastikohrringen bekommt rote Flecken auf den Wangen und sie ruft gellend: Nathalie, ick weiß nicht weiter. Dit is janz große Scheiße mit der Kasse hier. Nathalie, die Frau die mit den heißen Blechen hantiert schreit: Mensch echt jetzt, Yvonne, ick bin hier mit die Bleche und dann krachen die heißen Bleche auf den Boden und die Frau, die Nathalie heißt flucht, denn eins der Bleche ist an ihr die Beine geraten. Die Schlange an der Kasse flucht und droht und schimpft und eine Frau, deren Wagen fast birst, zetert, sie werde sich beschweren. Dann kommt Nathalie und hilft Yvonne mit der widerspenstigen Kasse. In ein knarzendes Mikrofon, ruft sie: „Eine zweite Kasse!“ Dann geht sie zurück zu den Blechen. Vielleicht ist sie vierzig Jahre alt. Das ist schwer zu sagen, denn Frauen wie sie, haben schon lange einen harten Zug um den Mund und schon ihre Mütter haben ihnen erklärt, dass es im Leben nichts umsonst gibt. Vielleicht warten zuhause zwei Kinder und schon lange kein Mann mehr auf die Frau, die jetzt die Bleche zusammenräumt und die Augenringe hat in denen alle Träume begraben liegen. Aber vielleicht ist auch alles ganz anders und die Frau, die Nathalie heißt wohnt allein in einer Neubauwohnung und in der hellbraunen Schrankwand stehen vielleicht Nippesfiguren oder ein Hund aus weißem Porzellan.

Indes wird es nichts mit der zweiten Kasse, denn die Frau, auch sie jung und schmal und sehr, sehr zart, steht dort wo die Schlange endet und zieht einen Palettenwagen hinter sich her. Der Wagen ist hoch beladen mit Getränken, genauer mit in Plastik verschweißten Sprudel und Colaflaschen. Die Frau verschwindet hinter dem Berg von Flaschen und dann schneidet sie mit einer einfachen Küchenschere, die Bänder auf und beginnt die in Sechser-Packs verschweißten Flaschen vom Wagen in die Regale zu schichten. Sie hat weder Handschuhe, noch genagelte Schuhe, keine Trittleiter oder was auch immer hilft, um schwere Getränke Paletten von einem Wagen zu wuchten. Ein Mann, der mit seinem bulligen Gesicht, ein jüngerer Bruder des Marktleiters sein könnte, lässt sich von der Frau unter dröhnendem Gelächter einen Bierkasten auf den Einkaufswagen wuchten. „Selbst ist die Frau“ baldowert er und aus seinem Handy an den Gürtel geklemmt schallert es „I am sexy and I know it!“ Die Frau aber wuchtet weiter Flaschenpack um Flaschenpack in die Regale. Indes aber ist die Kassenschlange kurz vor der offenen Revolte und selbst die Kassiererin befürchtet, dass Kunden ihre Lauchstangen zu Schwertern umfunktionieren und beugt sich wieder über das schnarrende Mikrofon und ruft, nein fleht um Hilfe, fleht nach Kasse 2. Nach bangen Minuten kommt die Frau, die Nathalie heißt gelaufen und es gibt Gerangel, wer denn nun wie zugangsberechtigt zu Kasse 2 sei. „Keinen Zentimeter weiche ich“ keift ein Frau, deren hässlicher Terrier, vor dem Supermarkt ununterbrochen kläfft. Irgendwann stehe auch ich vor der Kassiererin, die einen harten Husten hat und „Deutschlandcard? ( Ich weiß gar nicht was das ist) mehr bellt als fragt. „Ihr Husten sage ich gehört auskuriert.“ Aber die Frau mit den pinken Plastikohrringen sieht mich an und sagt: „Dit können se ja ma dem Chef erklären.“ Ich sehe hinauf auf das Bild des feist lächelnden Marktleiters, der mit „seinem Namen für das Frischeversprechen bürgt“, nicke der Frau zu, nehme das Wechselgeld und die Packung Eier. Noch als ich die Eier greife, pfeift der Brötchenbackautomat erneut. Die Frau, die Nathalie heißt, schließt die Kasse und im Vorübergehen, sagt sie zu Yvonne, der Kassiererin: „Das Lager muss auch noch jemacht werden.“ Dann zieht sie erneut die heißen Bleche aus dem Ofen.

Manchmal durch ein Missgeschick bloß, rutschen einem vier Eier durch die Finger und im Supermarkt besorgt man sich Ersatz, zwanzig Minuten nur muss man warten und schon wirft man einen Blick in einen Abgrund, der einen schwindelig macht und dabei ist es nur ein Supermarkt, einer von vielen, in denen die Frauen allein packen, stapeln, kassieren, aufräumen, putzen, abrechnen, die pöblenden Trinker besänftigen, die verfaulten Obstkisten sortieren, sich um das Leergut kümmern und natürlich wie könnte es anders sein, dem Marktleiter zu Rechenschaft verpflichtet, fehlen am Ende des Tages siebzehn Cent. Dann gehe ich nach Haus und bin sicher, so schnell nicht zurück in einen Supermarkt.

This video of a TED talk parody was uploaded a couple of months ago and I missed somehow. Yes, it is a parody, but in the between the lines (the content is non-existent) it actually shows how body language, pausing and pacing can give you a better stage presence.

Auch in diesem Jahr organisieren wir einen CAST-Workshop zum Thema „Sichere Software entwickeln“. Der Workshop findet am Donnerstag, dem 10. November 2016 am Fraunhofer-SIT in Darmstadt statt. Am Vorabend laden wir zu einem Get-Together ein. Das Programm und alle weiteren Informationen zum Workshop findet Ihr hier: https://www.cast-forum.de/workshops/infos/227.

P.S. Jetzt haben wir auch einen Flyer zum Ausdrucken und Verteilen.

Wie bereits in den vergangenen Jahren organisieren wir wieder unter dem Dach des CAST e.V. eine Veranstaltung zum Thema “Sichere Software entwickeln”. Unser Workshop findet am 12. November 2015 am Fraunhofer SIT in Darmstadt statt. Programm, Anmeldung und alle weiteren Details unter: http://www.cast-forum.de/workshops/infos/209

The bond between a man and his profession is similar to that which ties him to his country; it is just as complex, often ambivalent, and in general it is understood completely only when it is broken: by exile or emigration in the case of one’s country, by retirement in the case of a trade or profession.

Die Wahrheitsfindung ist ein schwieriges, riskantes Geschäft. Das zeigt die Geschichte von Michael Kenneth McAlister. Der Amerikaner saß fast 29 Jahre in Haft. Für ein Verbrechen, das er nicht begangen hat, wie sich jetzt herausstellte. McAlister sah lediglich einem Täter ähnlich, der eine Frau tatsächlich überfallen und missbraucht hatte.

Maskierte Täter, schlechtes Licht, keine oder wenige brauchbare Spuren und vor allem keine belastbaren Zeugen für das eigentliche Geschehen – das sind nur einige Zutaten, die dann in einen Indizienprozess münden. So was gibt es nicht nur in den USA. Sondern auch bei uns. Jeden Tag.

Die besondere Problematik für einen Strafverteidiger liegt in solchen Fällen darin, dass vom Polizeibeamten über den Staatsanwalt bis zum Richter natürlich alle im Ergebnis die Hypothese zu Grunde legen, dass der Verdächtige auch der Täter ist. Ich muss als Anwalt gegenläufig denken, unbedingt von der Unschuld des Beschuldigten ausgehen. Das bedeutet notgedrungen, die dürftigen Tatsachen aus allen Blickwinkeln zu hinterfragen und durchaus auch das (fast) Unmögliche für möglich zu halten. Zum Beispiel den schier unglaublichen Zufall. Deshalb muss man als Anwalt manchmal auch Beweisanträge stellen, die (hoffentlich nur zunächst) mit Kopfschütteln quittiert werden.

Diese Sicht der Dinge fällt dir als Anwalt übrigens am leichtesten, wenn dein Mandant nicht mal dir gegenüber ein Geständnis abgelegt hat, so er denn dazu in der Lage ist. Das ist einer der Gründe, warum du als Anwalt gerade in solchen Fällen normalerweise den Menschen vor dir jedenfalls nicht selbst direkt fragst, ob er die Tat begangen hat. Das erleichtert es übrigens auch, sich später nicht unnötig schlaflos im Bett zu wälzen, sofern der Mandant freigesprochen worden ist.

Bericht auf Spiegel Online

Als königliche Familie hast du es ja nicht leicht: du hast nichts Vernünftiges gelernt und bist auf den Job deshalb dringend angewiesen, und den Job hast du halt nur, solange du den Leuten einreden kannst, dass du etwas besonderes bist. Deshalb hängst du in Palästen ab, läufst mit Krone und Zepter durch die Gegend und sprichst und schreibst, als ob du sprachlich aus der Zeit gefallen bist und dir dabei ordentlich den Kopf gestoßen hast.

Wenn zum Beispiel eine deiner Prinzessinnen ihr zweites Kind bekommt, dann schreibst du in der Pressemeldung nicht einfach so einen schönen aktiven Satz wie The Duchess of Cambridge has given birth to her second child, in dem du klar zum Ausdruck bringst, wer hier etwas geleistet hat (die Duchess), und was es war (ein Kind gebären). So etwas schreibt vielleicht eine gewöhnliche Zeitung, und so etwas würde jeder normale Mensch (sprich: Untertan) sagen. Aber als Königshaus fabrizierst du stattdessen folgenden Satz:

Her Royal Highness The Duchess of Cambridge was safely delivered of a daughter at 8.34am. [Pressemeldung des Britischen Königshauses, auch per Twitter.

Die Passivkonstruktion was delivered of a daughter klingt gediegen altmodisch und damit very royal – und sie hat den Vorteil, dass ihre ex-bürgerliche königliche Hoheit, die Gräfin von Cambridge, als eher unbeteiligt an der ganzen Sache dargestellt wird. Sie hat kein Kind zur Welt gebracht, sondern sie ist (wörtlich übersetzt) „von einem Kind befreit worden“. Das passt erstens gut dazu, dass die eingeheiratete (und im Fall der Fälle jederzeit entsorgbare) Gräfin ja eigentlich nur als vorübergehendes Gefäß für das waschechte, in der Thronfolge immerhin an vierter Stelle stehende Königskind gedient hat, und zweitens dazu, dass Frauen sich bei Geburten sowieso nicht immer so in den Vordergrund drängen sollen.

Im Englischen ist das Verb deliver im Geburtszusammenhang perfekt dazu geeignet, die Gebärende in den Hintergrund zu stellen. Dazu zunächst eine kleine Grammatikstunde: In aktiven Sätzen (z.B. Kate küsst William) ist das grammatische Subjekt (Kate) auch das logische Subjekt, also die handelnde Person, während William das grammatische Objekt (und das Objekt der Begierde) ist. In passiven Sätzen (William wird von Kate geküsst) ist William zwar das grammatische Subjekt, aber das logische Subjekt (die handelnde Person) ist immer noch Kate, obwohl sie nur noch am Rande vorkommt und sogar ganz weggelassen werden kann (William wird geküsst). Passive Sätze können so dazu dienen, den passiveren Beteiligten einer Handlung in die Subjektposition zu bringen (daher ja die Bezeichnung „passiver Satz“ oder „Passivsatz“), ohne diesem aber dadurch eine aktivere Rolle zuzugestehen (wenn William geküsst wird, heißt das nicht, dass er etwas dazu beiträgt).

Das englische deliver wird nun im Zusammenhang mit Geburten im Englischen fast ausschließlich mit der Hebamme oder Ärztin als logischem Subjekt (handelnder Person) verwendet. In einem aktiven Satz klingt das z.B. wie in (1) – so ein aktiver Satz wird häufig verwendet, wenn die ärztliche Hilfe bei der Geburt im Vordergrund steht (z.B. bei Kaiserschnitten):

1. But ambulancemen, realising Linda was pregnant, rushed her to hospital where doctors delivered her baby by Caesarian section. [BNC CH2]

Sätze wie (2), in denen die Gebärende das logische Subjekt ist, sind nicht völlig unmöglich, sie sind aber extrem selten:

2. A checklist of predictors was applied to the maternity notes of all non-Asian women who had delivered a child under consultant care when they were discharged from the maternity unit. [BNC CN6]

Im 100 Millionen Wörter umfassenden British National Corpus gibt es nur eine Handvoll von Beispielen wie (2) vor, aber mehr als drei Dutzend Beispiele wie (1). Die passive Variante be delivered of a child, die auch die königliche Familie verwendet, kommt knapp ein Dutzend Mal im BNC vor. Die von mir als „normal“ bezeichnete Formulierung give birth to findet sich dagegen mehrere Hundert Mal.

Soviel dazu, und es überrascht vermutlich niemanden, dass die königliche Familie die Geburt des königliche Baby mit einer anachronistischen und patriarchalen Formulierung verkündet, die der Gebärenden jede aktive Teilnahme an der Geburt abspricht.

Ich habe dann angefangen, über das Deutsche nachzudenken (denn du sollst ja vor deiner eigenen Tür kehren, bevor du bemängelst, dass der Hochadel deines Nachbarn sich schon länger vor dem Treppenhausputz drückt). Und da haben wir ja neben der dem normalen give birth to a child entsprechenden Formulierung ein Kind zur Welt bringen/gebären auch das etwas altertümliche ein Kind entbinden (und natürlich das geschenkhafte ein Kind bekommen, aber das ist eine andere Geschichte).

Die Formulierung (ein Kind) entbinden wird meiner Intuition nach in aktiven Sätzen mit der Gebärenden als Subjekt verwendet (wie in den Beispielen 3 und 4), und meine Kinder und meine Schwiegermutter haben das in einem informellen Experiment bestätigt:

3. Die Prinzessin hat heute früh entbunden.
4. Die Prinzessin hat ein gesundes Kind entbunden.

Aber stimmt das? Das deutsche entbinden ist semantisch dem englischen deliver sehr ähnlich (ent-binden bedeutet ja im Prinzip „befreien“), und meine Lebensgefährtin hat in meinem Experiment auch prompt Passivkonstruktionen mit der Gebärenden (wie in 5) oder dem Kind (wie in 6) als grammatischem Subjekt prozduziert (das logische Subjekt wäre in beiden Fällen die Ärztin/Hebamme):

5. Die Prinzessin wurde von einem gesunden Kind entbunden.
6. Das Kind wurde heute früh endlich entbunden.

Und tatsächlich ist diese Form die ursprünglich „korrekte“. Im Google-Books-Archiv finden sich für das 19. Jahrhundert fast ausschließlich Fälle wie (5). Drei Beispiele:

7. Dr. Mason theilt einen Bericht über ein Frauenzimmer mit, welches von einem ausgewachsenen Kinde und drei Kalendermonate später von einem zweiten, dem Anscheine nach vollzeitigen, entbunden wurde [1836]
8. …nichtsdestoweniger wurde sie rechtzeitig von einem vollkommen gesunden Kinde entbunden. [1858]
9. H. Apollonia, 32 Jahre alt, wurde am 16. October 1856 von ihrem dritten Kinde mit der Zange entbunden. [1860]

Für die in (6) gezeigte Variante konnte ich nur eine Handvoll Beispiele finden, darunter die folgenden:

10. Die Untersuchung er regte Kontractionen und das Kind wurde entbunden. [1825]
11. Sobald daher das Kind entbunden ist, bringe man dasselbe in ein lauwarmes Weitzenkleyenbad. [1800]

Für die Variante mit der Gebärenden als aktivem Subjekt habe ich überhaupt nur zwei Beispiele entdeckt:

12. Patientin, welche vor 25 Jahren das letzte (sechste) Kind entbunden hatte, gibt an, vor 14 Jahren durch das Tragen einer schweren Last sich die Nabelhernie zugezogen zu haben. [1884]
13. Frauen, die auf dem Rücken liegend entbinden wollen, legt man bloß Polster unter das Kreuz, damit die Geschlechtstheile, um dem Kinde einen leichtern Ausgang zu gestatten. [1826]

Auch im Deutschen war also das deutsche Äquivalent zu der Formulierung des britischen Königshauses ursprünglich die vorherrschende Form. Aber wie sieht es heute aus? Um das herauszufinden, habe ich im Deutschen Referenzkorpus die Wortfolge [Kind entbunden] gesucht, die sowohl in Passivsätzen (…wurde von einem Kind entbunden…, …Kind entbunden wurde…) als auch in Aktivsätzen (…ein Kind entbunden hat/hatte…) auftreten kann. Es finden sich vier Varianten. Erstens, Aktivsätze mit Hebamme oder Ärztin als grammatischem und logischem Subjekt (siehe 14); zweitens, Passivsätze mit der Gebärenden als grammatischem aber Ärztin/Hebamme als logischem Subjekt (siehe 15); drittens, Passivsätze mit dem Kind als grammatischem aber Ärztin/Hebamme als logischem Subjekt (siehe 16); und viertens, Aktivsätze mit der Gebärenden als grammatischem und logischem Subjekt (siehe 17);

14. Die Hebamme, die sie von ihrem zweiten Kind entbunden hat, durchschaute den Sektenwahn. (N99)
15. Madonna: Die Pop-Ikone wurde im Alter von 41 Jahren von ihrem zweiten Kind entbunden. (M13)
16. Antinori wollte allerdings geheim halten, wo das Kind entbunden werden soll.
17. Penélope Cruz (39) hat laut Medienberichten in einer Klinik in Madrid ihr erstes Kind entbunden. (NUN13)

Dabei ist die für mich „normal“ klingende Form in (17) knapp die häufigste (obwohl die Wortfolge, nach der ich gesucht habe, Passivsätze bevorzugt – ich hätte ja noch nach Wortfolgen wie [entbindet ein/ihr Kind], [ein/ihr Kind entbinden] usw. suchen können, die nur in Aktivsätzen auftreten können).

Verwendungen von [Kind entbunden] im Deutschen Referenzkorpus

Inzwischen sind wir (außerhalb des britischen Königshauses) etwas weiter: Wir gestehen Gebärenden eine Eigenleistung bei der Geburt zu, die sich in der Grammatik dadurch zeigt, dass sie nun Subjekt eines Aktivsatzes ist.

Ermöglicht wurde diese grammatische Verschiebung vermutlich durch einen Zwischenschritt, nämlich den Fall, in dem das Kind selbst das grammatische Subjekt eines Passivsatzes ist: bei Das Kind wurde entbunden ist unklar, wer das logische Subjekt ist – gemeint ist eigentlich Hebamme oder Ärztin, aber es könnte theoretisch auch die Gebärende sein. An dieser Stelle konnte der Wandel im gesellschaftlichen Bewusstsein unter der grammatischen Oberfläche wirksam werden und der Gebärenden die aktive Rolle zuschieben. So entsteht dann ein dazugehöriger Aktivsatz, in dem die Gebärende ganz offen die Rolle des logischen und grammatischen Subjekts einnimmt.

Wenn sie nicht ausgerechnet britische Prinzessin ist.

Michael Sippey on Medium:

“The fundamental unit of the blog is not the blog post. The fundamental unit of the blog is the stream.”

Also, Sippey is blogging on Stating the Obvious. His original blog with the same name was a major inspiration for Rands in Repose.

#

Ein Teil der Arbeit eines Wissenschaftlers ist die Begutachtung von Anträgen, die andere Wissenschaftler bei Forschungsförderungsorganisationen stellen. Die Begutachtung solcher Anträge kostet Zeit und bringt dem Gutachter insofern etwas, dass er auf seinem Gebiet einiges interessantes erfährt. Ansonsten ist es keine besonders angenehme Tätigkeit.

Neulich nahm ich an einem Arbeitstreffen der Gutachter einer Forschungsförderungsorganisation in Räumen dieser Organisation statt. Das Gebäude im Mitten eines kleinen Parks, die Räumen und ihre Ausstattung waren viel schöner als die Arbeitsumgebung der Wissenschaftler, die bei der Forschungsförderungsorganisation Mittel beantragen. „Wieso?“, habe ich mich gefragt.

In einer Pause sprach ich mit einer der Funktionsträger dieser Forschungsförderungsorganisation und erfuhr von ihm, erstens dass die Anmietung dieses sehr schönes Gebäude sehr teuer ist, zweitens dass 30% der Mittel, die diese Forschungsförderungsorganisation erhält, für Gebäude und Verwaltung dieser Organisation verbraucht werden. „Das ist viel!“ habe ich dabei gedacht.

Es ist nicht nur viel. Es ist auch zu viel, viel zu viel. So drängt sich der Gedanke auf, dass diese Forschungsförderungsorganisation, die ihre Mittel ausschließlich von Staaten erhält, nicht nur der Wissenschaft dient, sondern auch ihre Funktionsträger und ihr Personal bedient. Vermutlich zutreffender kann man vermuten, dass diese Funktionsträger und dieses Personal sich aus Gelder bedient, die von Staaten zur Förderung der Forschung gegeben werden. Eine solche Selbstbedienung verstoßt gegen die Ethik.

FB

Srijith Nair and I have written a new paper - "Using the OWASP Top Ten to Upgrade your Authorization Services." The paper uses code examples to show how improving authorization can help mitigate some common vulnerabilities illustrated in WebGoat. The paper implements these techniques for JSON Injection, Forced Browsing, Parameter Tampering, and Access Control vulnerabilities.

One of the factors that makes security so challenging is the dual mandate of delivering better access control and identity services, making these policies reflect how the business works. At the same time, security architects have to deliver defensive services to cope with malicious actors.

One of the main areas we explore in the paper is how extending access control down to the attribute level gives you better coverage of the defensive services needed to defend against certain vulnerabilities. We'll have a webinar coming soon on this as well. The paper includes code that you can run against WebGoat or your own apps to test it all out in practice. 

Call for Papers:

First International Workshop on Agile Development of Secure Software (ASSD’15)

in conjunction with the 10th International Conference on Availability, Reliability and Security (ARES’15) August 24-28, 2015, Université Paul Sabatier, Toulouse, France

Submission Deadline: April 15, 2015

Workshop website:

Scope