Jumping to Conclusions Marc Ruef | 04.03.2013 Ja, man könnte mich als Serienjunkie bezeichnen. Es gibt eine Vielzahl an Fersehserien, die ich schaue oder geschaut habe. Und dies tue ich dann meist sehr konsequent: Alle Folgen, in chronologischer Reihenfolge und im englischen Original. Das reicht von aktuellen Kriminalserien (CSI: Las Vegas (http://www.imdb.com/title/tt0247082/) und Numb3rs (http://www.imdb.com/title/tt0433309/)) über klassisches Science-Fiction (Star Trek: The Next Generation (http://www.imdb.com/title/tt0092455/) und X-Files (http://www.imdb.com/title/tt0106179/)) bis hin zu zeitgenössischer Comedy (Two and a Half Men (http://www.imdb.com/title/tt0369179/) und How I met your Mother (http://www.imdb.com/title/tt0460649/)). Eine der Serien, die ich hingegen nach drei Seasons nicht weiter verfolgt habe - meine Zeit ist schliesslich auch begrenzt - ist Bones (http://www.imdb.com/title/tt0460627/). Die im deutschsprachigen Fernsehen mit dem Untertitel "Die Knochenjägerin" laufende Serie dreht sich um eine forensische Anthropologin, die in erster Linie mittels Knochen kriminologische Rückschlüsse tätigt. Die Hauptfigur Dr. Temperance Brennan gilt als sehr verschroben und nüchtern. Immerwieder massregelt sie ihr Team mit den Worten: "Don't jump to conclusions without all the facts." Dieses zurückhaltende, disziplinierte Verhalten wissenschaftlicher Natur gefällt mir. Vielleicht vor allem deswegen, weil es den meisten sehr schwerfällt, diesem Grundsatze beständig Folge leisten zu können. Gut und gerne wird eine Meinung formuliert, ohne sich genügend Zeit zu nehmen, die ihr zugrundeliegenden Fakten fein säuberlich zu sammeln und zu analysieren. Im Dezember 2011 berichteten verschiedene Seiten zu einem Zwischenfall in einer holländischen CA (http://webwereld.nl/nieuws/108815/weer-certificatenleverancier-overheid-gehackt.html). Es schien ein weiterer Fall zu sein, bei dem durch den Einbruch in die Systeme des Unternehmens deren gesamte Glaubwürdigkeit weggewischt worden ist. Der dem CCC nahe deutsche Blogger Fefe hat den Fall - der auf einem Fehler in PhpMyAdmin zu fussen schien - lapidar mit den Worten "Die BESTEN der BESTEN der BESTEN!" kommentiert (http://blog.fefe.de/?ts=b01e15f2). Schadenfreude haftet stets etwas sadistisches an, weshalb ich sie nur begrenzt für mich in Anspruch nehmen möchte. Doch das war noch nicht die eigentliche Sache, die ich zur Sprache bringen wollte. Viel mehr hat es mich irritiert, dass Fefe selbst nach der Korrektur der Meldung auf seiner Meinung sitzen blieb. Denn es stellte sich heraus, dass nur die öffentliche Webseite kompromittiert wurde. Die der eigentlichen CA angehörigen Komponenten blieben unangetastet. Fefe erweiterte seine Meldung um: "(...) ich persönlich würde auch der CA nicht mehr trauen, wenn die auf ihrer Webseite solche Anfängerfehler machen." Für Fefe - und dieser sei hier nur exemplarisch genannt - scheint es also klar: Hinweise auf Schwächen stellen ein gesamtes System in Frage. Auch mir sagt man nach, dass ich der Statistik und Stochastik verfallen bin. Denn auch ich postuliere, dass die zur Verfügung stehende Datenmenge extrapoliert werden soll, um Trends voraussagen zu können. Das ist genau das, was Fefe in diesem Fall gemacht hat. Doch wer mit Statistiken umgehen will, der muss mit einem hohen Mass an Skeptizismus zu Werke gehen. Eine Statistik basiert nämlich stets auf subjektiv gewählten und gewichteten Datenquellen. In diesem Fall ist die Datenquelle die eine Newsmeldung, die sich zu einer Webseite äussert. Daraus wird der Schluss zum Rest der Infrastruktur gezogen. Hierbei werden aber potentielle Variablen, die die gesamte Hochrechnung verfälschen könnten, ausser Acht gelassen. Werden Webseite und CA von den gleichen Leuten betreut? Gelten die gleichen technischen/sicherheitstechnischen Anforderungen? Steht das gleiche Budget in Bezug auf Finanzierung und Mannkraft zur Verfügung? etc. Aus über 10 Jahren als professioneller Pentester kann ich sagen, dass eine öffentliche Webseite in den allerwenigsten Fällen die Qualitäten eines Unternehmens widerspiegelt. Es käme ja auch niemand auf die Idee, dass nur weil die Webseite der Credit-Suisse besonders langsam ist, dass auch die als Kunde ausgelösten Finanztransaktionen träge ausgeführt werden. Genauso ist die Ableitung der Sicherheit des Online-Banking von der Qualität der offiziellen Webseite immer mit Vorsicht zu geniessen. Denn sonst macht man in seiner Naivität (http://xkcd.com/932/) genau das, was man in der Wissenschaft nicht machen sollte: "Jumping to conclusions."