datenritter blog

Wer sich die Whois-Daten für die Domains t-beutel.de und t-wurst.de anschaut (z.B. durch Abfrage bei der DENIC), wird überrascht: Die Domains sind auf die Deutsche Telekom AG, Abteilung "Domainmanagement" registriert.

Diese Art von "Markenschutz" erscheint mir doch etwas übereifrig. (Da können nur Juristen dahinterstecken.)

Auch t-offline.de hat sich die Telekom gekrallt, was irgendwie nachvollziehbar ist.

t-licht.de gehört allerdings einem gewissen Tobias Licht, und t-error.de ist eine Seite des Satire-Magazins Titanic.

Einige sagen scherzhaft, das Akronym PCMCIA (ein Standard für Laptop-Erweiterungskarten) stünde für "People Can't Memorize Computer Industry Acronyms".

Doch ist es wirklich die Computerindustrie, die am Abkürzungsfimmel (Aküfi) leidet? Werfen wir einen kleinen Blick in die sonderbare Welt der Juristen: Liste der Gesetze und Verordnungen mit S bei bundesrecht.juris.de.

Wir sehen eine Liste von Abkürzungen, wie:

• SaatEinfMeldV (Verordnung über die Meldung und Vorführung von Saatgut bei der Einfuhr)

• SAEGÜSchG (Gesetz zur Gewährleistung der Geheimhaltung der dem Statistischen Amt der Europäischen Gemeinschaften übermittelten vertraulichen Daten)

• SanOAAusbgV (Verordnung über das Ausbildungsgeld für Sanitätsoffizier-Anwärter)

• SattlFeintMstrV (Verordnung über das Meisterprüfungsberufsbild und über die Prüfungsanforderungen in den Teilen I und II der Meisterprüfung im Sattler- und Feintäschner-Handwerk)

• SchAnpGArt11Abs2aBek (Bekanntmachung nach Artikel 11 Abs. 2a des Seeschiffahrtsanpassungsgesetzes)

• SchSiServAusbV (Verordnung über die Berufsausbildung zur Servicekraft für Schutz und Sicherheit)

• SchÜbkDÜbkProt (Protokoll zu dem Übereinkommen zur Durchführung des Übereinkommens von Schengen vom 14. Juni 1985 zwischen den Regierungen der Staaten der Benelux-Wirtschaftsunion, der Bundesrepublik Deutschland und der Französischen Republik betreffend den schrittweisen Abbau der Kontrollen an den gemeinsamen Grenzen)

• SchZusStrZustÜbk (Internationales Übereinkommen zur Vereinheitlichung von Regeln über die strafgerichtliche Zuständigkeit bei Schiffszusammenstößen und anderen mit der Führung eines Seeschiffes zusammenhängenden Ereignissen)

• SozSichRVbgDVbg CAN (Vereinbarung zur Durchführung der Vereinbarung zwischen der Regierung der Bundesrepublik Deutschland und der Regierung von Quebec über Soziale Sicherheit)

Selbstverständlich können die Menschen sich so etwas problemlos merken.

Randall Munroe bringt es mal wieder auf den Punkt:



Leider wird diese Betrachtung von Risiken oft falsch und dann als Fatalismus verstanden. "Man kann sowieso" ist eine Ausrede, die der um Sicherheit besorgte gerne von Betriebswirten und solchen, die es werden wollen, hört. Dabei wird nicht das Risiko durch eine bestimmte Gefahr mit den Kosten für die Sicherheitsmaßnahmen verglichen, wie es eigentlich korrekt wäre, sondern die Maßnnahme einfach kleingeredet.

In den meisten Fällen ist es aber so, dass die beiden verglichenen Bedrohungen voneinander unabhängig sind. Wird zum Beispiel argumentiert, dass es nichts bringt, den Hauptserver besser vor Hackerangriffen zu schützen, weil ja "sowieso" jeder "einbrechen und ihn stehlen" könnte, so ist das schlichtweg ein Fangschluss. Ein russischer Cracker wird sich nach einem gescheiterten Angriff wohl kaum "sowieso" mit dem LKW aufmachen, um den Server zu stehlen. Das Gesamtrisiko wird durch die diskutierten Maßnahmen also real verkleinert.

Etwas anderes wäre es, wenn zum Beispiel eine Verschlüsselung dort eingesetzt würde, wo die selben Datenpakete (sowieso) auch unverschlüsselt über die selbe (potentiell abgehörte) Leitung gehen. Hier wird die Sicherheit real nicht vergrößert. Solche Fälle sind selten und ziemlich nah an unmöglich.

Woran der Comic erinnert, ist trotzdem nicht völlig unerheblich, nur eben ein anderes Thema: Mit zunehmendem Wert einer Information wird die Bedrohung durch Bestechung, Erpressung und nicht zuletzt Schraubenschlüsseleinsätze größer.

Update 2009-03-08: Es gibt tatsächlich einen Fachausdruck für diese Methode. Man spricht allerdings nicht von Schraubenschlüsseln, sondern euphemistisch von "Rubber-hose cryptanalysis", also Gummischlauch-Kryptanalyse.

Bruce Schneier berichtet über einen Gesetzentwurf der Republikaner, der angeblich vorsieht, dass alle Digitalkameras in den USA bei Aufnahme ein "Klick"-Geräusch machen müssen. Tatsächlich bezieht sich der Entwurf nur auf Kameras in Mobiltelefonen, was die Idee aber nicht besser macht.

Begründet wird er damit, dass Menschen sonst heimlich Fotos von anderen machen könnten. Welch eine Überraschung! Doch damit nicht genug, der Entwurf kommt wie so oft unter dem Deckmäntelchen des Kinderschutzes, ein emotionalisierendes Scheinargument, auf das leider immer noch Menschen hereinfallen.

Bruce meint dazu nur:

This is so silly it defies comment.

Das sehen seine Leser allerdings anders und diskutieren:
• wie nervig die Geräuschkulisse auf den Straßen wäre
• wie es unmöglich wird, Sprecher auf Konferenzen abzulichten ohne dumm aufzufallen, und
• welchen Nutzen heimliches Fotografieren beispielsweise bei der Verbrechensbekämpfung hat.

In dem Irrglauben, es gehe um alle Digitalkameras überschlagen sich die Kommentare:

• Freilich hätten "Kriminelle oder Politiker" gerne so eine akustische Warnung, meint einer.
• Problematisch sei, dass Polizeigewalt zum Beispiel auf Demonstrationen nun nicht mehr unbemerkt und sicher dokumentiert werden könne, ein anderer. In der Tat bekommt das Gesetz hierdurch einen gewissen Beigeschmack.
• Die Frage, ob Kameras mit Teleobjektiv lauter klicken sollten, steht im Raum.
• Einer meint gar sarkastisch, dass taube Mitmenschen benachteiligt würden, wenn man Kameras nicht auch zum Blitzen zwingt.

In Italien und Japan gibt es angeblich schon entsprechende Regelungen, was zeigt, dass man vor den Dummen nirgends sicher ist. Natürlich kann man das Geräusch immer irgendwie abschalten, notfalls setzt man einen einfachen Schalter in das Lautsprecherkabel.

Die Idee, das ganze gleich noch auf Camcorder auszudehnen, die das Surrgeräusch einer Super-8-Kamera machen sollten, wurde auch schon genannt.

Ich frage mich ja: Was ist eigentlich aus der roten Signallampe geworden? Insbesondere Überwachungskameras zeigen den nicht mehr, werden gar in Zügen und Geldautomaten hinter dunklen Plexiglasscheiben angebracht. Was mir daher noch fehlt: Ein Gesetz, dass Überwachungskameras zu dem aus Film und Fernsehen bekannten dezenten "Piep Piep Piep" und bei Bewegung zu einem eutlichen "Frrrrrr" zwingt!

Schon einiger Zeit plagt ein gravierender Fehler Nutzer des Microsoft Internet Explorers, der sich allein durch Öffnen einer manipulierten Webseite mit einem Virus infiziert. Bereits seit Oktober soll der Schädling umgehen.

Heute erst wurde die Lücke von Microsoft behoben. Zu spät, wie ich finde, aber was soll man von Microsoft schon erwarten?

In den heise-Meldungen ist die Rede von einem Exploit. Die Wikipedia erklärt in einfachen Worten, was das ist:

Ein Exploit (englisch to exploit - ausnutzen) ist eine Software oder eine Sequenz von Befehlen, die spezifische Schwächen beziehungsweise Fehlfunktionen eines anderen Computerprogramms zur Erlangung von Privilegien (...) ausnutzt.

Etwas banalisierend könnte man einen Exploit also als Hälfte eines Computervirus' bezeichnen. Die andere Hälfte ist der Teil, der im infizierten Browser tätig wird.

Wird die Sicherheitslücke, die einem Exploit zugrundeliegt, erst bekannt, wenn sie bereits ausgenutzt wird, so spricht man von einem Zero-Day-Exploit. Dazu die Wikipedia:

Ein Exploit, das vor dem oder am selben Tag erscheint, an dem die Sicherheitslücke (Neudeutsch Zero-Day-Lücke) allgemein bekannt wird, nennt man Zero-Day-Exploit (0-Day-Exploit, 0day). Die Gefährlichkeit dieser Exploits rührt daher, dass zu diesem Zeitpunkt kaum ein Hersteller bzw. Entwickler in der Lage ist, die Sicherheitslücke sinnvoll und umfassend mittels eines Patches zu schließen.

Zero-Day-Exploit ist also, wie jeder leicht nachlesen kann, ein Fachbegriff.

Das hat die "Computer Bild", zu meinem Bedauern die auflagenstärkste deutsche Computerzeitschrift, bis gestern zumindest nicht verstanden:

Ein Computerschädling namens „Zero Day“ bedroht derzeit PCs. Im Moment seien allerdings nur Rechner in China betroffen, die mit dem Browser „Internet Explorer“ (IE) ausgestattet sind.

Nein, ihr Computerbild-Schreiberlinge, "Zero Day" ist nicht der Name des Schädlings!!!

Und nicht um die chinesischen Windows-Nutzer geht es, vielmehr breitete sich der Schädling anfangs über chinesische Webseiten aus. Die heise-Meldung erklärt es:

Derzeit sieht es auch so aus, als würden hauptsächlich gehackte chinesische Webseiten den Exploit enthalten. Auf einem (...) Testsystem (...) startete der Zero-Day-Exploit ein Programm namens ko[1].exe, das sofort Kontakt mit einem chinesischen Server aufnahm und begann, Rootkit-Komponenten nachzuladen.

Angesichts dieses Blödsinns bin ich versucht, von gefährlicher Verharmlosung des Fehlers im Microsoft-Browser zu sprechen.

Da sieht man mal wieder, dass "auflagenstark" nur bedeutet, dass viele Exemplare gedruckt werden, nicht aber, dass sie gelesen und verstanden werden, geschweige denn, dass die Autoren wissen, wovon sie reden.

Update: Torsten Feld formuliert es so:

Schon doof, wenn man sich dümmer macht, als man sowieso schon ist...

Update: Mittlerweile hat die "Computer Bild" den Artikel überarbeitet. Vermutlich war ihnen die Erwähnung bei fefe zu peinlich.

Die Bahn ist ein Großkonzern, also bezieht sie auch ihre Betriebssysteme von Großkonzernen. Und da auch die Fahrkartenautomaten mit Windows laufen, glaube ich die folgende Geschichte ungeprüft:

Zur Zeit sitze ich im ICE 26 (...) und es geht nicht weiter weil — und jetzt haltet Euch fest — der Zug wegen einer Allgemeinen Schutzverletzung resettet werden muß. Das Hochfahren des Zuges dauert eine halbe Stunde. Ich fahre nie wieder Bahn. Lieber Gott, mach daß das nicht wahr ist und der ICE nicht mit Windows als Betriebssystem fährt (...)

Amen.

Hier gibt es die E-Mail einer amerikanischen Lehrerin, die so gar nichts verstanden hat über Linux, Microsoft und den ganzen Rest. Auch wenn die Mail und die Antwort darauf amerikanisch überemotionalisiert sind, sind sie beide absolut lesenswert. Der Blogger trifft mit seiner Antwort zumindest den Ton, der der E-Mail der Lehrerin angemessen ist.

Denn in ihrem Wahn glaubt sie, dass es keine kostenlose Software geben könne:

No software is free and spreading that misconception is harmful.

Sie hat sich von der freien Welt abgewandt:

I along with many others tried Linux during college and I assure you, the claims you make are grossly over-stated and hinge on falsehoods.

Und behauptet sogar, dass Linux gar Kinder behindern würde:

I admire your attempts in getting computers in the hands of disadvantaged people but putting linux on these machines is holding our kids back.

Damit nicht genug, sie glaubt an die Gutmütigkeit Microsofts:

I am sure if you contacted Microsoft, they would be more than happy to supply you with copies of an older verison [sic] of Windows

Wow. Was ist nur geschehen, dass diese arme Frau derart radikalisiert wurde? Hat man sie gezwungen, Emacs zu benutzen oder in LISP zu programmieren? Wurde sie von einem religösen Verführer einer Sekte, einem "Rattenfänger", brutal indoktriniert und "umgedreht", um als menschliche Waffe gegen ihre eigene freiheitliche Kultur missbraucht werden zu können? Und wie wird die amerikanische Öffentlichkeit mit diesem dreisten Anschlag auf das Gemeinwesen umgehen? Ist die Sekte der Microsoft-Jünger, die mit einem Drogencocktail aus bunten Bildern und vorgetäuschter Benutzerfreundlichkeit abhängig gemacht wurden, und die nun um jedes noch so kleine Feature betteln, vielleicht größer und gefährlicher als angenommen? Droht die Gefahr euch in Europa? Die Innenminister sollten handeln!

Die meisten Menschen verstehen: Nicht der Website-Betreiber bestimmt, welchen Browser man zu benutzen hat, sondern die Webseite hat für alle (standardkonformen) Browser geschieben zu sein.

Die Kultusminister der Länder scheinen da anderer Meinung zu sein:



Gefunden bei fefe.

Ich zitiere die offenbar automatische Übersetzung einer Webseite der Firma RAID Data Recovery, die den RAID-Modus 1+0 erklärt:

Der ÜBERFALL 1+0 ist die Kombination des ÜBERFALLS 0 und des ÜBERFALLS 1. Der ÜBERFALL 1+0 wird auch als der ÜBERFALL 10 genannt. Der Zweck, den ÜBERFALL 0 und den ÜBERFALL 1 zu verbinden, besteht dass darin, die Technologie sowohl des Datenabstreifens als auch der widerspiegelnden Daten zu verbinden. Das Datenabstreifen ist für die Geschwindigkeit des ÜBERFALL-Systems, und die widerspiegelnden Daten ist für die Fehler-Toleranz des Systems.

Aus einer E-Mail:

Gerade schickte ich denen eine Mail (doppelt, damit die nicht sagen können, es sei nichts angekommen) [...]

Eine todsichere Lösung. Wer am todsichersten sein will, schickt die Mail gleich hundertfach.