Kurzes Selbstzitat (und etwas mehr)

Am 5. März vorigen Jahres schrieb ich angesichts des Erpressungstrojaners, der die Stadtverwaltung von Dettelbach gepwnt hat, unter anderem Folgendes zum Umgang mit E-Mail:

Jeder E-Mail-Anhang ist mit äußerster Vorsicht zu behandeln. Niemals einen Anhang öffnen, der nicht vorher über einen anderen Kanal als E-Mail ausdrücklich mit dem Absender abgesprochen wurde […] Der Absender einer E-Mail ist beliebig fälschbar […] Richtige »E-Mail-Profis« verwenden digitale Signaturen, um den Absender jenseits jedes vernünftigen Zweifels sicherzustellen. Das kostet nicht einmal Geld. Und es ist auch nicht schwierig. Warum ihre Bank, ihr Händler, ihr Chef das nicht tut, müssen sie ihre Bank, ihren Händler oder ihren Chef fragen. Meist handelt es sich um Unwissen und den Unwillen, dieses Unwissen zu beenden, um verantwortungsvoll handeln zu können, also um Dummheit

Und, hat jetzt wenigstens jemand innerbetrieblich irgendwo digitale Signaturen für E-Mail eingeführt? Nein. Natürlich nicht. Heiliger Sankt Florian / Verschon’ mein Haus / Zünd’ and’re an! Es ist doch viel zu weitgehend und zu kompliziert, fertige Software zu nutzen, die Schutz vor dieser Art Angriff auf Betriebe bieten kann.

Und so gingen anderthalb Jahre ins Land, und die Menschen in der Bundesrepublik Neuland verwendeten weiterhin allerorten das Medium E-Mail ungefähr so, wie unerfahrene Teenager an den Geschlechtsverkehr herangehen: Schnell, einfach und gefährlich.

Von daher empfinde ich die gegenwärtige Schreckensmeldung auf Heise Online auch als gar nicht als so erschreckend, sondern eher als erwartungsgemäß und leicht überfällig:

Akute Gefahr geht von einer Schädlingswelle aus, die per E-Mail anrollt. Durch eine clevere Wahl der Absender könnten auch versierte Anwender verleitet werden, dem darin enthaltenen Link zu folgen […] Eine aktuelle Spam-Kampagne setzt auf starke Personalisierung: Sie täuscht als Absender reale E-Mail-Adressen von Mitarbeitern desselben Unternehmens vor

Und wer glaubt, dass spätestens jetzt mindestens digitale Signaturen für die innerbetriebliche Kommunikation eingeführt würden, wird in anderthalb Jahren feststellen, dass auch bis dahin nichts dergleichen geschehen ist. Außerdem hat man ja überall schmiere schmiere Schlangenöl auf den Arbeitsplatzrechnern installiert, das schützt doch, steht doch in der Reklame und im journalistischen Reklamegeschreibe. Den derben Spruch mit den Teenagern habe ich in diesem Text leider schon gebracht.

Wo die Gesellschaft so voller informationstechnischer Analphabeten ist wie die gegenwärtige deutsche, da wird eine so genannte »Cyber-Attacke« durch andere Staaten gar nicht mehr benötigt, um massiven Schaden anzurichten. Da hilft übrigens auch keine Cyberwehr, die zum Appell in adretter Uniform stramm ihre Tastaturen präsentiert.

Das einzige, was hülfe, wäre, wenn möglichst viele Menschen halbwegs zutreffend abzuschätzen wüssten, was die von ihnen verwendete Technik leisten kann, welchen Aufwand das bedeutet, und was diese Technik nicht leisten kann. Aber woher sollten sie das abzuschätzen wissen? Dafür müssten sie Wissen haben, im Idealfall sogar Freude am Wissen. Und das nehmen sie weder aus Schulen mit – die Freude schon gar nicht – in welchen heute die Erwachsenen von morgen auf die Herausforderungen von gestern vorbereitet werden; noch erfahren sie es aus den Ausflüssen einer contentindustriellen journalistischen Tätigkeit, die sich in erster Linie als möglichst breite Werbeplatzvermarktung versteht und deshalb bevorzugt intellektuelle Magerkost (oft neben mutmaßlich bezahlter Schleichwerbung) verfüttert. Wenn die Leser nicht gar in Fragen der Computersicherheit systematisch von journalistischen Medien, die zu Unrecht viel zu hoch angesehen sind, belogen werden. So bleiben sie halt unwissend, wenn man mal von ein paar verachteten Sonderlingen absieht, die sich entweder aus kecker Freude am Wissen und Verstehen oder auch aus nachvollziehbarem Interesse an gutbezahlter, körperlich nicht so anstrengender Arbeit derartiges Wissen angeeignet haben.

Es ist also zu erwarten, dass auch dieser Knall nicht gehört wird. Unterdessen steht jedem interessierten Kleinkriminellen sowie ebenfalls interessierten Kreisen aus der Organisierten Kriminalität ein gehöriger »Datenreichtum« zur Verfügung, mit dem sich derartige Kampagnen sehr fein personalisieren ließen. Wenn es um gezielte Angriffe (zum Beispiel zum Zweck der Sabotage oder Erpressung) auf Unternehmen oder Behörden geht, wird dieser eh schon beeindruckende Datenbestand um öffentlich zugängliche und leicht auffindbare Informationen auf halbseidenen Websites wie LinkedIn oder Facebook ergänzt. (Die verlinkten Machenschaften der soeben benannten Unternehmen hatten übrigens keine nennenswerten juristischen Konsequenzen.) Damit kriegt jeder Kriminelle mit einem Intelligenzquotienten oberhalb der Raumtemperatur eine gezielte E-Mail an Mitarbeiter eines Unternehmens (oder einer Behörde) verfasst, die auch geöffnet wird und deren vergifteter Anhang auch ausgeführt wird. Im Falle eines Erpressungstrojaners sind das leicht verdiente Bitcoin. Das Antivirus-Schlangenöl wird nicht helfen. Auch nicht, wenn euch der Werber und sein hässlicher Bruder, der Journalist, etwas ganz anderes erzählen. Es hilft nämlich nur gegen bereits bekannte Schadsoftware, und dann oft schon nicht einmal mehr gegen eine lediglich trivial modifizierte Version.

Die Erkennungsrate beim Online-Scandienst VirusTotal liegt für den Download-Link aktuell noch bei Null

Digitale Signaturen von E-Mail nebst der Angewohnheit oder Dienstvorschrift, die Signatur einer E-Mail auch zu überprüfen, erschweren das Fälschen eines innerbetrieblichen Absenders erheblich¹. Und das kostet nicht einmal Geld. Auch die ohne jeglichen technischen Aufwand zu erledigende telefonische Rückfrage vor dem Öffnen eines Mailanhanges kostet kein Geld. Es ist nur ein bisschen angemessene Vorsicht. Den Spruch mit den Teenagern hatte ich ja schon… :(

Nichts von alledem wird geschehen. Man ist dumm und handelt dumm in der Bundesrepublik Neuland. »Und diesen Kryptokram kann doch eh keiner verstehen« … BEIM HL. LATTENJUPP, MARIAS UNPERFORIERTEM HYMEN UND ALLEN SCHWEFELKACKENDEN HÖLLENHUNDEN NOCHMAL! Es geht nicht ums Verstehen! Es geht ums schlichte Benutzen längst verfügbarer Software, die zu allem Überfluss auch noch Frei ist und nichts kostet! Ihr versteht auch nicht, wie man eine Textverarbeitung codet und was die dabei auftretenden, teils schwierigen Probleme sind, und ihr könnt sie trotzdem für eure alltäglichen Zwecke einsetzen. Ihr seid dumm, wollt dumm bleiben und seid auch noch stolz drauf! Wie die Vollidioten! Au, mein armer Blutdruck…

Niemand wird diese idiotische Dummheit, die eine ganze Gesellschaft von der Politik über die große Wirtschaft bis hinunter zu nahezu jedem einzelnen Menschen durchzieht, als ein Problem bezeichnen – jedenfalls niemand mit einer Stimme, die von einem nennenswerten Anteil der Bevölkerung vernommen wird.

Von daher bin ich schlechter Dinge.

Ein paar im Grunde mies gemachte, aber gut personalisierte Spams mit geschickt gefälschtem Absender sind erst der Anfang.

Die Dummheit und der informationstechnische Analphabetismus in Deutschland sind leider Konstanten, auf die man sich verlassen kann.

Auch Verbrecher können sich darauf verlassen.

¹Es ist ungleich schwieriger, etwa mit einem Crackerangriff an einen private key zu kommen, als einen E-Mail-Absender zu fälschen. Letzteres kann jeder aufgeweckte Achtjährige. Man kann nämlich einfach jeden beliebigen Absender in die E-Mail eintragen.

Veröffentlicht unter Bloggen | Verschlagwortet mit , , , , , | Hinterlasse einen Kommentar

Es ist ja nicht nur der Zerfall…

Hauseingang Ihmeplatz 8 am Ihmezentrum

Es ist ja nicht nur der Zerfall des Ihmezentrums, der so deprimierend ist, es ist die schon zum Auslieferungszustand des Gewaltbaus gehörende Kälte, die sich anfühlt, als sei sie gegen das Licht und das Leben selbst gerichtet und die jahrzehntelang einen in Beton gegossenen Tod auf alles am und um das Ihmezentrum ausgestrahlt hat. Das Foto zeigt den Eingang zum Haus Ihmeplatz 8, der heute immer noch so aussieht wie in den Siebziger Jahren. Da kann man noch so viel mit Lautsprechern und einer Endlosschleife auf einer PR-Veranstaltung zu Bier und Bratwurst von Urbanität und Heimat (ja, wirklich!) faseln, da wird nichts Hübsches draus, und nicht einmal etwas halbwegs Erträgliches – und dies schon gar nicht, wenn der gegenwärtige Eigentümer »Intown« gar kein Interesse an den bestehenden Unterlagen zur Statik des Gebäudes hat und mit diesem auf andere Weise kaum erklärlichen Desinteresse den begründeten Verdacht nahelegt, dass er sich mit seinem so genannten »Engagement« im Ihmezentrum nur staatliche Fördermittel erschleichen will. Dieser Verdacht passt leider prächtig zum leicht durch Hinschauen beobachtbaren Stillstand der an- und vorgeblichen Bauarbeiten (wenn man vielleicht einmal von der staatlich mit einem Millionenbetrag geförderten und inzwischen praktisch zum Abschluss gekommenen Sanierung des Fuß- und Radweges längs der Ihme absieht). Eine »Baustelle«, auf der nicht einmal Klos stehen, ist kein Ort, an dem gearbeitet wird. Was dort zu sehen ist – wohlgemerkt: während eines bedrückenden Mangels an Wohnraum und angesichts der Tatsache, dass Menschen in der Ruine leben – das ist wohl nichts anderes als Korruption auf allen Ebenen.

Übrigens: Einen warmen Dank an die Macher der verlinkten Website, deren allzustark an Reklame erinnerndes Treiben ich sonst mit großer Ferne und Skepsis beäuge, dafür, dass sie diese »Kleinigkeit« öffentlich gemacht haben!

Eine Digitalisierung der geretteten Unterlagen sowie ihre anschließende Veröffentlichung im Freien Internet (am besten auf einer dauerhaft archivierenden Plattform wie archive.org) würde ich übrigens sehr begrüßen. Dies wäre die beste Vorkehrung gegen einen Verlust und vermutlich auch ein wichtiger Beitrag zur Rationalisierung jeglicher Diskussion um bestehende und kommende Planungen. Nichts hilft besser gegen PR-Lügen, Betrugspläne und irrational-populistische Manipulationsversuche als eine niederschwellige und anonym zugängliche Verfügbarkeit gesicherter, strikt faktischer Informationen.

Veröffentlicht unter Allgemeines | Verschlagwortet mit , , , , | Hinterlasse einen Kommentar

Barbies in Mud

Veröffentlicht unter Musik | Verschlagwortet mit | Hinterlasse einen Kommentar

Endlich gibt es ein großes »ẞ«!

IN GROẞBUCHSTABEN DARF MAN SEIT GESTERN MIT OFFIZIELLEM SEGEN DES RECHTSCHREIBRATES DAS GROẞE »ẞ« BENUTZEN! Das ist gut, wenn auch nicht weiter wichtig. Denn das »ß«, eine diese einzigartigen Gemeinheiten der deutschen Sprache, mit denen wir Deutschschreibenden nebst jenen armen Seelen, die die deutsche Sprache erlernen wollen oder müssen gestraft sind, ist, wenn man einmal von den glücklichen Menschen in der Schweiz absieht, die ohne diesen gleichermaßen hässlichen wie unnützen Buchstaben schreiben und sich dennoch, ohne dass schwere Missverständnisse aufkämen, außerordentlich gut verstehen, neben der Möglichkeit zu schwer durchsteigbaren Satzverschachtelungen, in denen sich der Leser leicht verläuft, wohl der sinnloseste Buchstabe der Welt.

Aber als Deutschschreibender hat man den Salat, und der Salat wird gegessen. Wenn er auch manchmal nicht sehr schmackhaft ist.

Ich bin ja – nach den Neunziger Jahren, in denen Umlaute regelmäßig zu Problemen in der Darstellung, im Druck oder bei einer Suche in einer Datenbank führten – gespannt, wie viele Jahre es noch dauern wird, bis die standardmäßig verwendeten Versionen der wichtigsten Programmiersprachen mit der neuen Situation klarkommen. Hier nur ein kleiner, schneller Test mit Python:

$ cat eszett.py
# -*- coding: utf-8 -*-
from __future__ import print_function
from __future__ import unicode_literals
import sys
quux="ß"
quox="ẞ"
print("Python-Version:", sys.version.replace("\n", ""))
print("Das 'ß' als Majuskel:", quux.upper())
print("Das 'ẞ' als Minuskel:", quox.lower())
$ python2 eszett.py 
Python-Version: 2.7.12 (default, Nov 19 2016, 06:48:10) [GCC 5.4.0 20160609]
Das 'ß' als Majuskel: ß
Das 'ẞ' als Minuskel: ẞ
$ python3 eszett.py 
Python-Version: 3.5.2 (default, Nov 17 2016, 17:05:23) [GCC 5.4.0 20160609]
Das 'ß' als Majuskel: SS
Das 'ẞ' als Minuskel: ß
$ _

Auch, wenns weh tut: Python 3 verhält sich Unicode-konform [Archivversion der FAQ-Seite des Unicode-Konsortiums, denn dieser Punkt wird bald geändert]:

Q: Why does ß (U+00DF LATIN SMALL LETTER SHARP S) not uppercase to U+1E9E LATIN CAPITAL LETTER SHARP S by default?

A: In standard German orthography, the sharp s (»ß«) is uppercased to a sequence of two capital S characters. This is a longstanding practice, and is reflected in the default case mappings in Unicode. A capital form of ß is attested in a number of instances, and has thus been encoded in the Unicode Standard. However, this character is not widely used, and is not recognized in the official orthography as the uppercase form of ß. Therefore, the original mapping to »SS« is retained in the Unicode character properties.

Unicode geht in seinen Definitionen konform zur offiziellen deutschen Rechtschreibung in ihrer bis vorgestern gültigen Fassung. Jede Programmiersprache oder Bibliothek, die Unicode implementiert, wird das genau so machen. Mit Ausnahme einiger Funktionen im immer noch häufig verwendeten Python 2. :(

Ich befürchte ja, dass eine Menge subtiler kleiner Bugs vor uns liegen, wenn Menschen – zum Beispiel in Webanwendungen – damit beginnen, so zu schreiben, wie es ihnen jetzt von der offiziellen deutschen Rechtschreibung erlaubt wird. Vor allem das völlig standardkonforme Verhalten von Python 3 kann sehr unerwartet sein: Der Großbuchstabe zu »ß« ist »SS«, aber der Kleinbuchstabe zu »ẞ« ist »ß«. Python 2 hingegen kennt überhaupt keine Sonderbehandlung für das »ß« und lässt das Zeichen bei derartigen Umwandlungen unverändert. Und nein, das fällt in der offiziellen Python-Dokumentation nicht weiter auf:

$ python2
Python 2.7.12 (default, Nov 19 2016, 06:48:10) 
[GCC 5.4.0 20160609] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> from __future__ import unicode_literals
>>> print "quux".lower.__doc__
S.lower() -> string

Return a copy of the string S converted to lowercase.
>>> print "quox".upper.__doc__
S.upper() -> string

Return a copy of the string S converted to uppercase.
>>> print "ß".upper(), "ẞ".lower()
ß ß
>>> _

*grusel!*

Gut, dass solche Probleme zurzeit nicht Bestandteil meines Lebens sind – denn nach jahrelangem Genuss der nachreformierten Reform der Reformrechtschreibung schreibe ich am liebsten so, wie ich will.

Wer in anderen Sprachen programmiert, sollte mal einen kleinen Test machen… ;)

Veröffentlicht unter Technisches | Verschlagwortet mit , , , , , | 1 Kommentar

Der Vorübergehende und die Mode für Gesichtslose

Ein Schaufenster in der hannöverschen Innenstadt, in dem gesichtslose Schaufensterpuppen die gegenwärtige Mode zur Schau tragen. Im Schaufenster eine Reflektion von mir und meinem Fahrrad im sommerlichen Abendlicht, während ich dieses Schaufenster fotografiere.

Ich konnte einfach nicht widerstehen, dieses (recht hässliche) Schaufenster zusammen mit dieser Reflektion von mir und meinem Fahrrad zu fotografieren… ;)

Veröffentlicht unter Allgemeines | Verschlagwortet mit | Hinterlasse einen Kommentar