Politische Beteiligung – eine Erfahrung

Politik ist mir schon immer suspekt gewesen, aber ab und zu juckt es einen und man sagt sich, man kann doch nicht immer nur schimpfen und sich ärgern, man muss doch dann einfach etwas tun. Genau das hatte ich mir in 2020, Frühjahr 2021, also während dem Großen C, auch gesagt. Daher hatte ich mich damals entschlossen doch zu versuchen, mich politisch zu engagieren. Das ist jetzt ein Weilchen her, daher möchte ich es heute reflektieren.

Natürlich war mich auch klar, dass ich einer etablierten Partei, jedwelcher Couleur, keine Chance habe etwas zu bewegen. Daher habe ich mir damals eine neue kleine junge Partei herausgesucht deren ursprüngliche Werte mir so ziemlich zugesagt hatten, nämlich Volt.

Ich bin überzeugter Europäer (nicht EU aber Europa, dazu später mehr), mir ist Umweltschutz (nicht Klima) und biologische Landwirtschaft wichtig, also schien mir das ganz gut zu passen. Die Partei war sehr jung und motiviert, also kurzum bin ich gleich in die Partei eingetreten als ordentliches Mitglied.

Man wird in die Ortsgruppe aufgenommen, bekommt Zugang zu den Tools, Mitgliedernummer etc. Das war alles sehr spannend und interessant zu sehen, wie eine moderne politische Partei sich intern organisiert. Es gab interne Foren zu allen möglichen Themen, Events zum Kennenlernen und Diskutieren und das fand ich extrem spannend, auch wenn der Zeitaufwand doch neben meinen anderen Aktivitäten wie Full-Time-Job, Immobilien- und Aktien-Investments, YouTube-Kanal etc. doch recht hoch war.

Ich hatte mir damals auch überlegt, wo kann ich am besten etwas beitragen, natürlich Finanz- und Wirtschaftspolitik, das was mich primär interessierte auch im Rahmen meines YouTube-Kanals (Outside-Invest). Also mich in Forums-Gruppen zu diesen Themen, auch Renten-Politik etc. eingeschrieben und angefangen mit Gleichgesinnten zu diskutieren und zuzuhören. Damals konnte ich sehr interessante Leute kennenlernen aus ganz Deutschland die offensichtlich das selbe Mindset hatten wie ich. Wir wollten Volt zu einer Partei machen, die zwar grün (für Umweltschutz), Europa-freundlich (Reformation der EU) aber auch Wirtschafts-liberal und vernünftig ist. Eine Partei, die eben damals, wie auch heute fehlt Eine Partei die eher links-liberal und nicht konservativ aber eben auch nicht sozialistisch ist. Genau so stand das auch im ersten Manifesto, welches von den Gründern von Volt (2017 von Andrea Venzon, Colombe Cahen-Salvador und Damian Boeselager) geschrieben wurde, was mich damals auch ansprach.

Welch schöne Illusion.

Schnell wurde jedoch klar, dass diese nette Gruppe doch eher eine Minderheit war, eine Minderheit mit wirtschaftlicher und finanziellen Kompetenz, eher aus der Mitte der Gesellschaft, liberal und nicht extrem. Aber eben leider eine Minderheit in der Partei. Schnell wurde klar, dass die Mehrheit der Partei und vor allem die führenden Köpfen auf der Deutschen- (nicht europäischen) Ebene die Partei in eine ganz andere Richtung drückten, nämlich das was Volt heute ist. Eine Europa-freundliche aber eben auch extrem linke, voke und sozialistische Partei. 

So eine Partei braucht Deutschland zumindest aber überhaupt nicht, weil davon gibt es schon genug: Die Linke, die SPD, die Grünen etc. Und sozialistisches Gedankengut ist eben für mich und meine damalige Wirtschaftsgruppe überhaupt nicht was wir für sinnvoll oder erstrebenswert gehalten haben.
Individuelle Freiheit ist das absolut höchste Gut, nicht Gleichheit und damit Unterdrückung des Bürgers wie es der grüne Sozialismus anstrebt. Kapitalismus in einer sozialen liberalen Form ist der einzige jemals funktionierende Mechanismus, der die Freiheit der Bürger erlaubt mit einem Staat, der nur die Grenzen setzt und die Vorraussetzungen für die Wirtschaft und die Bürger schafft aber eben nicht meint alles selbst kontrollieren zu müssen und zu wollen. Das ist aber leider nicht die Welt, wie ihn die obigen Parteien und eben auch Volt anstreben. 

Die Konsequenz, andere aus der Gruppe und schliesslich auch ich haben aufgegeben und die Partei wieder verlassen, ich erst Anfang 2022. Unter anderem auch, weil Volt auch was die Corona-Politik unverständlicherweise auf Mainstream-Linie war und ich diese Ziele und Parolen nicht mehr mittragen konnte. 

Was ich noch gelernt habe, ist das ich Politik nicht für mich gemacht ist. Politik bedeutet mit Menschen zu tun zu haben, die man nicht mit vernünftigen sachlichen Argumenten überzeugen kann, weil sie eigentlich nur dunkle Rhetorik verwenden und Macht erlangen oder behalten möchte. Es geht nicht um inhaltliche Themen, um die ich mich in meinem Leben immer gekümmert hatte, der Versuch die beste Lösung für alle zu finden und umzusetzen. Das ist aber in der Politik nicht wesentlich, es geht darum seinen eigenen Standpunkt anderen aufzudrücken und möglichst viel davon in einem schlechten Kompromiss durchzusetzen. 
Das ist weder etwas in dem ich gut bin, noch das meinen innersten Werten entspricht. Diese Art der Diskussionen, wo man denkt ob der Andere irgendwie noch recht bei Sinnen ist oder was in dessen Gehirn vorgeht, nichts das mit Logik, Verstand und Sinn zu tun hat. Das erzeugt nur Stress, Streit und Kopfschütteln und warum soll man sich das freiwillig und gegen Mitgliedsbeitrag auch noch antun?

Nein, ich möchte positiv denken mit vernünftigen Menschen, echte reale Probleme lösen und Werte schaffen, nicht Politik zelebrieren. 
Daher ist für mich das Thema politische Beteiligung ein für allemal beendet und das Experiment gescheitert. 

Wenn also die Politik in eine Richtung geht, die ich nicht mittragen kann, so wie momentan mit der besten Regierung, die wir je hatten, dann bedeutet das für mich nicht einen sinnlosen Kampf gegen Macht-Menschen zu führen der eh zu nichts führt. Sondern positiv bleiben und für mich und meine Familie das Beste zu suchen, auszuweichen statt zu kämpfen.

Ich schätze jeden, der in diesem Fall sich entscheidet dagegen anzukämpfen um die Vernunft doch noch zu retten, aber ich habe mich dagegen entschieden um meine persönliche individuelle geistige Gesundheit und Freiheit ist wertvoller als das Ziel andere vom richtigen Weg zu überzeugen, die keine Unterstützung dabei wollen. 

Es lebe die individuelle Freiheit und Wohlstand, das wichtigste demokratische Grundrecht des Bürgers!

Critical Thinking

Die meisten Menschen würden sagen, dass die auf der Hut sind und nicht alles glauben was ihnen jemand erzählt. Meist ist dies aber nur inhaltlich der Fall, man interpretiert die Aussagen eines anderen intuitiv. Was uns die Schule oder Universität leider nicht lehr ist die Argumente des Gegenüber zu analysieren und ihre Absicht zu durchschauen um darauf angepasst reagieren zu können. Die Bildung lehrt uns kein Critical Thinking

Mir ist das tatsächlich erst 2021 durch die bekannte Situation klar geworden, so dass ich mich intensiver mit dem Thema Critical Thinking auseinander gesetzt habe durch Video-Kurse und Bücher. Leider viel zu spät, diese Fähigkeit sollte man als Kind bereits lernen, dann hätte man es vermutlich viel leichter im Leben um Manipulation zu erkennen und zu umschiffen. 

Anbei ein paar Buch-Empfehlungen zum Thema, die ich gelesen habe und die mir zugesagt haben (Links zu Amazon):

In diesen Büchern lernt man

  • Struktur von Argumenten, Conclusion, Prämissen, Annahmen
  • Reasoning und Logik, deduktives Argumentieren
  • Beobachtung, Induktives Argumentieren
  • Abduction, Theorien, Hypothesen, echtes Evidenz-basiertes wissenschaftliches Denken, Korrelation und Kausalität
  • Kognitive Biases

Diese Dinge sollten eigentlich in der Schule gelehrt werden, nicht dass man sie mit über 50 lernt, eigentlich dramatisch. Die Fähigkeit Argumente zu zerlegen, fehlende oder falsche Prämissen und Annahmen identifizieren zu können und Argumentation von Rhetorik zu unterscheiden, sind eigentlich Basis-Fähigkeiten die man benötigt um im Leben erfolgreich zu werden und Fehl-Entscheidungen zu vermieden.

Den Katalog von Biases im Buch von Rolf Dobelli, sollte man z.B. jedes Jahr wieder durchlesen. Weil es zu lesen und zu erkennen ist eine Sache, aber diese Erkenntnisse in der Realität (von der wir ja wissen, dass wir von ihr umzingelt sind) ist gar nicht so einfach. Meist erkennt man erst im Nachhinein, dass man in einer Situation einem solchen Bias oder argumentativen Trick aufgesessen ist. Hier hilft wohl nur Übung und eben möglichst früh sich damit zu beschäftigen. Wie es so schön heisst

Es ist nie zu spät aber selten zu früh

Sobald man Critical Thinking gelernt hat und quasi “erleuchtet” wurde, geht man plötzlich viel aufmerksamer durch die Welt. Man sollte aber darauf achten dadurch in Negativität abzugleiten sondern weiterhin positiv zu denken nur eben aufmerksamer. 
Ein schönes Beispiel ist mir kürzlich untergekommen. Zusammen mit der Europawahl gibt es hier lokal auch eine kleine Volksabstimmung zum umstrittenen (im klassischen Sinne) Thema Windenergieanlagen. So wie oft ist man für erneuerbare Energien, nur nicht vor der eigenen Haustür. Aber um die inhaltliche Seite soll es hier nicht gehen. 
Nun habe ich in meinem Briefkasten ein Flugblatt gefunden, wo offensichtlich die Gegner des Vorhabens Argumente bringen um die Wähler zu überzeugen gegen die Ausweisung von Flächen zu stimmen. Ein valides Unterfangen, das einer gute Argumentation bedarf. 

Als ich also das Flugblatt so las, ist bei mir das Critical Thinking angesprungen und folgendes ist mir dabei aufgefallen:

  • Das Bild mit den für Windkraftanlagen ausgewiesenen Flächen ist in den offiziellen städtischen Unterlagen grün markiert, im Flugblatt rot. D.h. der eine will es positiv, der andere negativ erscheinen lassen.
  • Es wurden insgesamt 11 Argumente aufgezählt, was schon viel zu viel ist, Wlad würde das horizontale Argumentation nennen. Also viele Argumente zu bringen, diese aber nicht in der tiefe auszuführen. Dies ist die falsche Strategie für das Überzeugen, vertikale Argumentation wäre besser, also sich auf wenige aber gut ausgearbeitete Argumente zu konzentrieren als den Leser vielen schwachen Argumenten zu erschlagen.
  • Dann war das erste Argument ein sehr schwaches Argument, es geht um die “Industralisierung des Waldes”, ein ziemlich obskuren Begriff, der ohne Erklärung den meisten wahrscheinlich eher nichts sagt. Ich würde dabei eher an die industrielle Holzbewirtschaftung denken, statt dass man einige Windräder im Wald aufbaut. 
    Dieses Vorgehen ist auch wieder nicht optimal, man sollte mit dem besten Argument beginnen um die Leser zu überzeugen, nicht mit einem so schwachen Argument. 
  • Das eigentlich starke Argument für die Bürger, der potentielle Wertverlust der Immobilien “in der Nähe” der Windräder wurde erst mittendrin erwähnt, wobei Nähe relativ ist, da diese ja genau deshalb mitten im Wald mit genügend Abstand stehen, aber dieses potentielle Gegenargument wird erst gar nicht erwähnt bzw. entkräftet. Damit fehlt das Rebuttal. Das Rebuttal wäre eine wichtige Komponente einer guten Argumentation am Ende.
  • Es werden zwar kurz viele Argumente ausgebreitet aber nicht in der Tiefe begründet. Das ist natürlich auf einem Flugblatt schwer zu realisieren, aber so fehlen Quellen und Fakten, die dem Leser die Argumente plausibler machen würden.
  • Dann viele der Argumente enthalten implizite fehlende Prämissen, die gewissermassen als bekannt unterstellt werden, die aber nicht selbstverständlich sind. Damit wirken die Argumente für den aufmerksamen kritischen Leser sofort manipulativ, was sie wohl auch sein sollen. Aber mir ist das durch die Beschäftigung mit dem Thema Critical Thinking sofort aufgefallen und zwar äusserst negativ. 
  • Abgeschlossen wird das Flugblatt mit einem Appell, natürlich nicht zustimmen, kombiniert mit einem Bild der möglichen Größenverhältnisse von einem Windrad zum Stuttgarter Fernsehturm und Ulmer Münster, Gebäude mit denen sicher der lokale Bürger durchaus auskennt. 
    Aber es fehlen wieder die Fakten, soll den überhaupt ein so grosses Windrad auf diesen Flächen gebaut werden, oder vielleicht doch viel kleinere? Wo steht das denn? Wieder extreme implizite Annahmen, die nicht belegt werden. 

Kurzum ein solches argumentatives Flugblatt wird bei achtlosen und leicht beeinflussbaren Lesern vielleicht seine Wirkung entfalten, aber bei kritischen Denkern eher das Gegenteil bewirken. 

Aber das ist genau so wie die Welt heute tickt, man bemüht sich gar nicht erst den mündigen kritischen Bürger mit guten vollständigen Argumenten zu überzeugen, sondern man konzentriert sich auf manipulative Rhetorik, welche die Emotionen von Bürgern anzusprechen, die man noch wie kleine Kinder behandelt. Tagesschau-Niveau, statt lange ausführliche Diskussionen, TikTok-Minuten-Beiträge, statt 1,5h Videos.

Aber nicht mit mir, nie mehr, Critical Thinking hat mich weiter gebracht auf eine neue Stufe der persönlichen Entwicklung und das empfehle ich auch jedem, der diesen Post lesen sollte. Viel Erkenntnis daraus!

Der Gesundheits-IQ

Mit der angekündigten Impf-Pflicht war für mich eine rote Linie überschritten und ich habe eine Petition unterschrieben und fühlte auch, dass ich als mündiger Bürger etwas mehr gegen diese Diskriminierung von Ungeimpften tun muss, also hatte ich die Petition an einige Bekannte und Verwandte weitergeleitet. 

Erst muss ich sagen, dass ich alle abweichenden Meinung komplett akzeptiere, jeder hat seinen Informationsstand und seine Werte und unterschiedlicher Meinung zu sein ist absolut ok.

Anhand der Reaktionen konnte ich feststellen, dass tatsächlich die Mehrheit der Menschen offensichtlich diese Maßnahme der Regierung für genau richtig ansieht. Als notwendiges Übel, nach dem Motte der Zweck heiligt die Mittel. Dazu kann man unterschiedlicher Meinung sein und man muss in einer Demokratie diese Mehrheit auch akzeptieren. Das heisst ja lange noch nicht, das so ein Gesetzt wirklich kommen kann, glücklicherweise gibt es ja noch den Rechtsstaat, der bei uns schon so manche politische Mehrheitsentscheidung wieder kassiert hat. Bleibt also auch hier zu hoffen, das dies geschieht, auch wenn mein Vertrauen in die höchsten Gerichte etwas erschüttert ist (siehe politische Korruption). Zumindest mein Rechtsempfinden fände eine Legalität einer solchen Pflicht als völlig absurd und nicht mit dem Grundgesetz vereinbar. Und nicht legitim, selbst wenn legal.

Was mir aber sehr deutlich klar geworden ist, wie sehr dieses Thema im Gegensatz zu anderen politischen Diskussionen die Gesellschaft, Firmen bis hinein in die Familie spaltet, ganz wie Marc Friedrich es in seinem Video gesagt hat. Mit manchen Bekannten kann man sehr wohl sehr sachlich darüber diskutieren, selbst wenn man am Ende bei der eigenen abschliessenden Meinung bleibt. Auf der anderen Seite gibt es selbst in der Familie Personen, die noch nicht einmal den Punkt der Ablehnung verstanden habe, quasi Thema verfehlt. Da wird man mit 3 kurzen Sätzen in die Ecke der Impf-Gegner und Corona-Verweigerer gestellt, obwohl man das im Text klar und deutlich verneint hatte. Nein man will deshalb nicht ohne Maske demonstrieren und nein man bekommt seine Informationen nicht von den Querdenkern und er AFD, also zumindest ich hatte die nicht in meine Liste geschrieben, oder? 

Man sieht wie man instinktiv ohne Argumente sofort in eine Schublade gesteckt wird, obwohl man doch nur eine kleine kritische Meinung zu einer Auswirkung der staatlichen Politik geäußert hat. Das ist einfach nur irrational, man ist sprachlos.

Daher ist auch eine Reaktion verständlich, die gleich gesagt hat, nur unter uns persönlich man hat auch schon aufgegeben mit Anderen darüber zu sprechen, weil es eh nichts bringt. Sehr symptomatisch für die Diskussionskultur, die die Spaltung mit sich bringt.

Das Problem, ist dass sich die meisten Menschen nur aus dem Fernsehen und den offiziellen Medien informieren. Das habe ich schon vor vielen Jahren aufgegeben und das Internet entdeckt um mich direkt und vielfältig zu informieren. Und da ist dann auch gleich das alte Argument, wie du informierst dich auf Youtube und Facebook (letztes übrigens nein!) ja dann ist ja klar dass du zum Spinner geworden bist. 
Äh? Nein? Ja es gibt viel Unsinn im Internet, aber auch es gibt dort heute einfach alles, auch die richtigen und kompetenten unabhängigen Information, man muss sie nur finden. Und liegt das jetzt an der Platform, d.h. Social Media ist immer Unsinn, ich denke nicht, es liegt an den Autoren!

Die meisten Menschen machen sich doch gar nicht die Mühe solche medizinischen Themen zu recherchieren, da wird einfach nur geglaubt was in den Medien als Main Stream Meinung immer das selbe geplappert wird. Das ist ja auch nicht alles falsch, keine Frage. Auch hier ist einfach kritisch zu denken.

Jeder Mensch muss sich im Laufe seines Lebens eine gesundheitliche Bildung aneignen, sozusagen einen Gesundheits IQ erlangen, genau so wie man eine finanzielle Bildung oder Finanziellen IQ braucht. Es ist genau das Gleiche, Auch ohne finanzielle Bildung kann man nicht erfolgreich an den Kapitalmärkten investieren und hält die Börse für Teufelszeug. Genau so ist es in anderen Gebieten, besonders der Gesundheit. Wenn man sich nicht intensiv theoretisch und praktisch damit beschäftigt, so hält man alle abweichenden Meinungen für unwissenschaftlich und alle alternativen Methoden für schlecht und abzulehnen. 

Wir, meine Partnerin und ich haben uns in den letzten Jahren notgedrungen begonnen sehr intensive mit dem Thema Gesundheit auseinander zu setzen und ich hatte eine ähnliches Gefühl der Erleuchtung wie beim Thema Finanzen. Natürlich stösst man dabei unweigerlich auf Themen neben der Schulmedizin und man muss die feine Linie beschreiten zwischen Unsinn und mittelalterlicher Technik und Techniken wie TCM, Mikronährstoffen, Vitaminen und Darmgesundheit, die vielleicht bei den meisten niedergelassenen Ärzten nicht als wichtig angesehen werden und teilweise wissenschaftlich nicht durch Doppel-Blind-Studien abgedeckt sind, die aber offensichtlich funktionieren und man eine klare deutliche persönliche Verbesserung sieht. 

Ein Beispiel, ich hatte einen Tennis-Ellenbogen, d.h. Schmerzen bei der Bewegung durch falsche Haltung am Arbeitsplatz. Von der Schulmedizin habe ich eine Salbe zum Einreiben bekommen, was leider ein halbes Jahr nicht zu einer Verbesserung geführt hat. Dann habe ich im bösen Internet Übungen gefunden und bin zur TCM (Traditionellen Chinesischen Medizin) gegangen für Akupunktur und Akupressur. Die Akupressur zusammen mit den Übungen hat meine Beschwerden nach wenigen Tagen (!) komplett gelöst. War das jetzt Unsinn? Ich würde sagen absolut nein, es hat funktioniert auch ohne Placebo. 

Wenn man einen solchen Gesundheits-IQ entwickelt, dann fängt man an mitzudenken, natürlich etwas, dass Ärzte nicht mögen. Aber es ist doch wesentlich, genauso wie ich mich beim Thema Finanzen natürlich auf einen Fond-Manager oder Geheimtipp-Provider verlassen kann, as ist eine valide Methode, aber ich kann mich auch selbst einarbeiten und dadurch für mich die richtige Strategie und Erfolg finden. 
Genau so ist es bei Gesundheit, wenn ich lerne zu verstehen ob eine vorgeschlagene Behandlung für mich Sinn macht oder nicht, Beispiel Antibiotika welches schnell verschrieben wird aber negative Auswirkungen auf den Darm hat. Vielleicht werde ich dann eher nachbohren und für mich entscheiden gleichzeitig Bakterienkulturen zu nehmen um negative Begleiterscheinungen zu lindern oder aber das Antibiotika in diesem Fall abzulehnen und eine Andere Therapie zu wählen. Um es klar zu sagen, es gibt viele Fälle in denen ist Antibiotika absolut wichtig und richtig und es gibt Erkrankungen wo das der einzige Weg ist, nur für die meinen da wäre jetzt wieder ein Antibiotika-Kritiker, nein!

Leider ist es viel schwieriger einen Gesundheits-IQ zu bilden als einen Finanziellen IQ, weil es sich hier um ein Naturwissenschaftliches Thema handelt und man dafür eigentlich ein Biochemie und Medizin-Studium nachholen müsste, wofür wohl die wenigsten Zeit hätten. In sofern halte ich diesen Aufbau von Gesundheits-Know-How für viel schwieriger als ein guter Investor zu werden. Nichtsdestotrotz sollte man es versuchen, es lohnt sich.

Jetzt aber zurück zu, was hat das mit der Impfpflicht und Corona zu tun? Nun man hat sich angewöhnt im Sinne des Critical Thinking, die Argumente zu hinterfragen und seine eigenen Nachforschungen anzustellen und damit kommt man nun mal eben zu anderen logischen Schlussfolgerungen wie das offizielle Narrativ. Nicht Schwarz-Weiss Impfen ist immer schlecht oder immer gut, sondern “it depends”. Nicht mehr und nicht weniger. Und wenn es vom Fall abhängt, dann ist eine Impfpflicht nun eben nicht angemessen und schädlich. 

Man sollte übrigens neben dem Finanziellen IQ und dem Gesundheits-IQ sich auch in vielen anderen Bereichen über die Zeit sein eigenes Wissen aufbauen, z.B. Psychologie, Philosophie, Rhetorik und Critical Thinking. So wird man zum mündigen und mit-denkenden Bürger und eben nicht nur zum, um hier diesen verbrannten Begriff zu verwenden, “Querdenker”.

Dann kann ich aber auch von der Gesellschaft, meinen Mitmenschen und Familie erwarten, das dies akzeptiert wird und man nicht als Spinner abgestempelt wird. Denn nichts könnte weiter entfernt sein von der Wahrheit. Auch im Internet.

Corona-Staatsterror in Deutschland

Wir müssen reden. Aber zuerst Kontext, ich bin kein Impfgegner nur rational um das klarzustellen. Was momentan in Deutschland, Österreich oder auch im Rest Europas und der Welt passiert ist echt krass. Ich spreche über die Diskriminierung der “Ungeimpften”. Ich bin sprachlos ob der absichtsvollen gesellschaftlichen Spaltung die jetzt von der Politik in voller Absicht vorangetrieben wird. 

Daher erst einmal ein Schritt zurück zu den Fakten. Nun bin ich kein Mediziner und habe mich bis November 2021 auch nicht zu sehr mit COVID-19, der Impfung etc. beschäftigt. Im Gegenteil, ich war der Meinung Impfen macht Sinn und habe durchaus dafür argumentiert. Und es ist völlig klar dass die Medizin dazulernt, erst war nicht klar, dass geimpfte auch Überträger des Virus sein können oder selbst auch krank werden können (sog. Impfdurchbrüche, welche Formulierung, die sagt, dass der Impfstoff nicht die Wirksamkeit hat die behauptet wurde). Oder dass die Wirksamkeit geringer ist und in kurzer Zeit abnimmt. Man kann niemand einen Vorwurf machen, dass Entscheidungen getroffen wurden ohne diese Erkenntnisse, die vielleicht die eine oder andere Maßnahme nachträglich nicht mehr so sinnvoll erscheinen lassen. Alles ok.

So hat sich auch die Argumentation natürlich immer wieder gewandelt, erst dachte man, wenn es erst den Impfstoff gibt, dann kann man sich aus dem Problem raus-impfen. Jetzt weiss man das wird nicht funktionieren, da die Immunität abnimmt und der Virus wie ein Grippevirus auch eben mutiert und sich dagegen wehrt. 

Dann ging es darum, dass man möglichst alle impft um die Risikogruppen zu schützen und jetzt ist das argument, dass sich alle impfen lassen müssen um wieder die Überlastung der Kliniken zu verhindern. Und keine Frage dieses Argument ist valide, ich möchte in keine Weise die Fakten ignorieren, dass die COVID-Stationen überlastet sind und Patienten verlegt werden müssen. 

Die Frage ist nur, berechtigt das den Staat eine Impfpflicht gesetzlich zu beschliessen? Dafür muss man erst einmal bei den Ungeimpften zwei Gruppen unterscheiden, zum einen die einen triftigen Grund haben und die, welche aus irgendwelchen diffusen und wirren Gedanken die Impfung einfach grundsätzlich ablehnen. Leider ist die zweite Gruppe größer und das ist auch die Gruppe auf die die Politik abzielt. Leider wird damit die erste Gruppe mit ausgekehrt. In dieser ersten Gruppe muss man auch wieder zwei Teile unterscheiden, nämlich die, welche vom Arzt eine Bescheinigung bekommen, die Ihnen eine Ausnahme offiziell bestätigt. Diese haben i.d.R. keine Probleme, ausser dass sie ihren Bescheid vermutlich bei jedem Betreten eines Ladens vorzeigen müssen. Vermutlich auch nicht lustig.

Dann gibt es da den Teil, der sich sehr gut informiert und viele Gedanken macht ob er sich impfen soll oder nicht und der konkrete Zweifel hat ob das Risiko einer Impfung höher ist als das Risiko einer Infektion. Ich vermute diese Gruppe ist die kleinere, da sich wenig Leute tatsächlich so intensiv mit der medizinischen Sachlage beschäftigen, genauso wie sich relativ wenige Leute finanzielles Wissen aneignen um selbst am Kapitalmarkt zu investieren (man verzeihe mir diesen Vergleich).

Um es klar zu sagen, mir geht es um die Rechte dieser kleinen Gruppe. Ich möchte mich nicht für die Spinner verkämpfen, die esoterische Argumente um sich werfen und mit Pseudo-Fakten jonglieren. Eine Impfpflicht trifft leider auch diese Personen, die sich aus guten Gründen gegen eine Impfung entschieden haben. Dazu gehören sicherlich Personen mit besonderen Erkrankungen, Schwangere und Frauen mit Kinderwunsch oder Kinder selbst (bzw. deren Eltern). 

ich denke der Staat hat kein Recht diese Gruppe zur Impfung zu zwingen, egal wie schlimm die Lage ist. Hier wird das “Kind mit dem Bade ausgeschüttet”. Bzw. die Sorgen dieser Personen werden von der Politik in keiner Weise ernstgenommen. Man stempelt einfach alle Ungeimpften als Spinner ab, die gezwungen werden müssen, weil sie uneinsichtig sind. Vielleicht sind einige dieser Personen einfach viel einsichtiger als ein Politiker, der das Ganze von einer sehr hohen generellen Warte aus sieht und nicht in die Details schaut. 

Leider ist es auch nicht einfach die Parteien zu trennen und daher versucht man es gar nicht und kämmt einfach drüber. Schaut man auf Youtube und anderen Social Media Plattformen, so gibt es tatsächlich viele Beiträge der Gruppe esoterischen Spinner und man muss schon genau suchen bis man die rationalen Beiträge und Aktoren findet, welche vernünftige Argumente und ein fachlich fundiertes Wissen zu dem Thema in durchaus kritischem Bereich beitragen. Aber diese gibt es, Ärzte, Wissenschaftler und auch Nicht-Fachleute, die überzeugende Argumente bringen um die Situation etwas differenzierter zu beurteilen. Leider werden auch diese einfach mit-gemobbt einfach weil jeder der kritisch zu den Corona-Impfungen steht, gleich behandelt wird ohne Ansehen des Inhalts. Aber wie immer, auf den Inhalt kommt es eben an!

Warum werden diese Fachleute einfach mit-diskreditiert? Weil es so viele andere Schwachsinns-Kritik-Beiträge gibt und die Stimmung so aufgeheizt und irrational geworden ist, dass sich niemand mehr die Mühe macht zu unterscheiden und sich die “gegnerischen” Argumente im Detail anzuschauen. Nur Populismus hier und Agitation da. Eben eine Spaltung der Gesellschaft, wie in den USA des Donald Trump (glücklicherweise überstanden). 

Hier ein paar Beispiele:

  • Dr. Med. Dirk Wiechert: https://www.youtube.com/c/DrmedDirkWiechert
  • Dr. Schiedel: https://www.youtube.com/channel/UCxzvS-HbJ7lVzvECnZRS87w/playlists
  • Dr. Med. Ralf Kirkamm: https://www.youtube.com/c/DrmedRalfKirkamm
  • https://www.youtube.com/channel/UCSiFC1DCXr3p1YDzyu9rogA

  • Und Sahra Wagenknecht von den Linken, so schwer es mir fällt, sie hat in diesem Punkt leider auch sehr sehr recht: https://www.youtube.com/channel/UCPH3ZPeqWqRVZ_ef4vOZgSw
  • Und sehr lustig übrigens, Nikolai Binner (Comedian): https://www.youtube.com/c/NikolaiBinner

und viele andere mehr, denen man nicht nachsagen kann, sie wären inkompetent oder würden versuchen die Leute zu verwirren oder gar vom Impfen abzubringen. Darum geht es nämlich nicht. Es geht nicht um Impfgegnerschaft. Personen als Impfgegner zu bezeichnen ist nur ein Diffamierungsversuch um von Argumenten abzulenken. Professoren, Ärzte zu diffamieren nur weil sie eine kritisches Statement sachlich von sich zu geben, das ist anti-demokratisch. Nicht Ungeimpfte im Allgemeinen sind asozial, sondern wie mit der Diskussionskultur zu diesem Thema umgegangen wird, das ist asozial.

Man kann einige Argumente, insb. die Überbelegung der Kliniken durch viele Fälle von Ungeimpften Corona-Erkrankten nicht weg diskutieren, das ist ein sehr ernstes Thema. Aber dass die Politik nicht anderes einfällt als mit einer Impfpflicht in höchst undemonkratischer Weise einfach durch puren Zwang das Problem zu lösen, das ist m.E. nicht akzeptabel. Ja in demokratischer Weise könnte eine Mehrheit der deutschen Bevölkerung dafür sein eine Impfpflicht einzuführen, aber das macht es eben immer noch nicht rechtens. Denn hier geht es um die körperliche Unversehrtheit und die steht im Grundgesetz. 

Daher möchte ich auf diese Petition hinweisen um diese Gesetzesvorschlag zu stoppen:

Petition: https://chng.it/4WHQVZCKgZ

Es ist keine Petition gegen Impfen, sondern gegen einen Impfzwang, wohlgemerkt und noch einmal wiederholt. 

Nicht jede Situation rechtfertigt jedes Mittel. Was momentan politisch durchgesetzt wird unter dem Deckmantel des Corona-Schutzes ist grenzwertig. Wir werden vermutlich so oder so erst richtig Ruhe haben, wenn mehr als 60 – 80% aller Menschen irgendwann ihre Corona-Infektion hinter sich haben, genau so wie bei der Grippe und sie wird auch bleiben für immer. Ich denke das ist äusserst logisch und bedarf keiner Hellseherei. 

Nur müssen wir auch weiter in diesem Land leben und in dieser Gesellschaft und daher sollten wir jetzt nicht dieses Zusammenleben ohne triftigen medizinischen Grund zerstören. Denn wie gesagt auch Geimpfte verbreiten den Virus genau wie die Ungeimpften. Also sitzen wir im selben Boot und sollten uns nicht durch die Politik auseinander dividieren lassen. 

In diesem Sinne und übrigens ich bin geimpft, auf eine entspannte bessere Zukunft!

 

Outside-Invest Website and Blog

Based on my last article New Youtube-Channel Outside-Invest it is clear that such a channel also needs a web site. And as the video description is pretty terse, it makes sense to have a web site and blog where more details and links can be shared. 

Well so, welcome to the new Outside-invest website https://www.outside-invest.de with the same visual look and feel as the channel. The website includes an about page, more details on the motivation and channel intro and a list of social media channel besides Youtube: Pinterest and Twitter at the moment. Furthermore there is also space for having references to other blogs that I listen or watch. I think that is also important because I want to cite or refer to other channels for more detailed videos that I do not provide. We’re not in the self-marketing business overall.

A bit of disclosure for the material used there, the nice free background is from https://www.pexels.com/. On the story why the Youtube channel and this website has been  started, can be found, of course on the website, in https://www.outside-invest.de/about/.

The Problem with AI and ML today

I have to admit, that I’m not an expert in AI or machine learning (ML) but I think that I understand it on a certain high level good enough. In the end I did some work in BigData, Hadoop and have been reading on AI and ML quite a bit already. And since the start I had this uncertain feeling, that the current state of AI even with deep learning is not really intelligent. Yes it seems to work to a certain level, you see this with the current progress with automated driving or also with use cases in IIoT like visual inspection or material checks that are based on AI models and deep learning. 

But what always struck me, is that the system that does all great functionality is really dump and it has no idea what it has learned. Nobody can look at the “mental” model of the AI model and explain why it can detect an object or recognise a pattern. It just works based on pure data. That is exactly this, AI today works on detecting something interesting just based on the input data it has been trained with. 

So a couple of weeks ago I bought a book as I stumbled over it on Amazon. This week I started reading “The book of Why” from Judea Pearl and Dana Mackenzie. The book is about the theory of causal relations and the need for causation in artificial intelligence.

Already the first chapter struck me like a lightening bolt. Judea explained exactly what I always felt, that the current AI is level 1 of the ladder of causation. Level 1 means that learning is based on associations that are found in the data by the algorithm.  The mechanism for this is in the end statistics, probability, that’s all.

The Book of Why: The new science of cause and effect | @TAragonMD

Associations are detected in the data because the AI model has been trained with some similar pattern and when it sees it again it can detect it. But the pattern needs to be at least similar to something learned, that is why it is so important to have good and tons of training data. If there is a completely new pattern in the data that the algorithm hasn’t learned yet, it cannot detect it. That is why the intelligence of such an algorithm is on the level of an animal but any small child with 3 years is more intelligent. 

And worst, the model doesn’t really know what it has learned, the representation is just factors in e.g. a neural network. There is really no knowledge representation as such.

Now I do have since quite some time one topic that is always in my focus and that is semantic web technology and the way how knowledge can be represented in a knowledge graph and how to work with that in real-world technology. Before in the space of IT management, now in the area of IIoT.

Now and here is the point that struck me like a hit with a lamp post. On the one hand there is the classical AI technology with the ability to automatically learn and detect patterns. On the other hand there is semantic technology with its semantic data models and query mechanisms on a formal machine readable knowledge representations. 

And the difference to the next level 2 in Judea’s ladder of causation is exactly that one has a causal model not just data. The causal model is represented as a directed graph of causal relations with numerical factors on the edges.

Book review: The Book of Why: The New Science of Cause and Effect (Judea  Pearl, Dana Mackenzie) – Clear Language, Clear Mind

Now that sounds very familiar to me, that is easy to represent as a semantic graph in RDF or OWL! Causal relations represented as relations in a semantic model as one of the most important relations. 

Technically there are of course a couple of questions practically how an AI ML model can work with a semantic graph model. Probably one needs to transform the knowledge graph into a ANN first. It would be interesting to speak with an AI expert on this.

I would even go so far as to it would be a benefit to represent learned associations in such a model as well. Knowledge is in the end different types, there is fact knowledge, rules, causal relations, associations and other relations, that are not causal. If we represent all these in a semantic model, we come closer to how we see the human brain. Because as human beings we do record these relations as well and we are aware of them, we can search and access them, just like a knowledge graph!

Maybe this is in the end the way how we can bring computers to at least level two of the ladder of causation and doing this also for our applications in IIoT.

 

New Youtube-Channel Outside-Invest

All the thing I ever did in life as a profession had been super interesting, be it IT management, IIoT, IT security or innovation management. But even when I worked in my own “startup” until 2015, I effectively was not working for myself but for a company, and be it mine. In the end in my own company, I’d been responsible for research and development and all kinds of technical functions but not for finance, that was the only area I kept my nose and fingers out. I though other would be better suited to do this area and I should stick to my business, which is technology. 

Rich dad poor dad
That was until last year, when I got the book “Rich Dad Poor Dad” from Robert Kiyosaki as a gift. Surely one thinks that this is yet another book from an American author that repeats one simple message over and over again to fill 200 pages of paper. While to a certain extend this is true of course, this book literally changed my life!

For the first time I got aware of the rat race I’m in as an employee of a company, be it my own or a renown big one as today. In the end one works the full 40 hours and much more before I started looking at work-life balance and looks forward for the next vacation time or weekend, just as everyone else does, right?

Having a good job, a decent house this is the way so many employees spend their life without looking at their own business and without trying to get out of that rat race seriously. Well when reading this book I realised how much I fit in this picture and that it is time to change something fundamentally. That doesn’t necessarily means not working at a good company as I do today. But it means also looking into my financial situation and how I can improve in order to at least work less at some time, even when being financially free seems very far away at the moment.

So I started to look seriously into the topic of financial education for myself and as always I tend to do such learning with very much energy and dedication, just like the other topics like security before. So one year I was thoroughly learning about finance, investing and real estate using books, youtube videos and blogs. 

Finally I was knowledgable enough to notice missing topics on youtube in the income investor community and I was doing investments that are absolutely not common to that investors do after short time. So the next phase starts, that I can myself start to publish content about finance and investment that bring value to the community and not just consume information.

outside-investThat is why I now started in September 2020 my own Youtube channel, called “outside-invest” a new channel for income investors. A new adventure and opportunity to learn how to create videos that provide value beyond company-inside videos in IT security. The introduction video provides details about motivation and what can be expected from the channel. The plan is of course to provide regularly new videos, though not weekly, regarding investment topics and systematic summaries of financial concepts. I do not intend to duplicate other content of other channels, that provide deep analytics of single stocks or funds. I leave this to the experts in the finance industry. But what I think i can provide is summarising and systematically present certain concepts as I learn them. And second transfer knowledge from areas outside of finance into the area and thus contribute to a broader understanding, such as in the first video about risk management.

Note, that the videos are currently in German but the slides display are at least partially in English.

Please feel free to watch the videos and don’t forget that even a new channel can be subscribed, you know that means the world to me! 

See you there on Youtube, on the inside-invest channel for income investors!

Books, that shape the thinking

Since last year, I’ve read plenty of books on the topic of innovation management, startups and business models. Among them classics like Eric Ries’ lean startup or the innovation dilemma from Clayton Christensen. Good basics, no doubt, but the books that really impressed me to the level that I can say they are pieces of literature that change the way one thinks are the following:

The book from Alberto Savoia (ex-Google “innovation agitator”) THE book about pretotyping. Pretotyping is the concept to validate that one builds the right “it” (e.g. product or service) before thinking and spending a lot of time, money and effort in defining how to build the product (building it right). All too often we start by building a prototype of a product and then try to verify it in the market. But even building a prototype is sometimes quite some effort, especially in bigger corporations. Pretotyping tries to make the validation of product-market fit before building a prototype with minimal cost (metric dollar to data, $TD), minimal time (hours to data, HTD) and minimal effort (distance to data, DTD). Alberto presents some, after you’ve heard it, obvious tools like market engagement hypothesis (MEH), XYZ hypothesis, hypozooming and the importance of collecting your own data (YODA). A must read, valuable for each innovator from the first to the last page! If I’d only had read this book before delving into the world of startup.

The small cross-industry innovation book is more a collection of pointer to ideas and lots of example of how to translate concepts that are established in one domain or part of an industry into a seemingly completely unrelated other industry. This is something that I already did several times in my life, so this book was a late confirmation that this type of innovation is really a very valid and relevant one and not just a dump tactical technique. 
Especially in industries, like manufacturing, that seem years behind other areas of IT, this is a very interesting source of innovation. I do think though that it requires a extremely open mind and is not easy, if one is deeply involved in a domain. Being an expert, say in manufacturing or logistics, probably makes it very hard to recognize that there are shortcoming in areas that you take for granted, that have long been solved in other domains. 

Finally the best, Simon Wardley with his wardley maps. Not yet a book, only a series of online blog articles but probably the most significant contribution to thinking about and visualizing strategy, that I’ve ever seen. He thinks so differently but sharp like a knife, that you have to be alert when reading the articles every minute, in order not to miss one of the important points. I would rate this work as one of the epocal ones and most inspiring that I’ve ever read. 


And guess what, I’ve started to use wardley maps immedately to map out the innovation landscape or solutions at work in order to understand them. But I have to say, it is somewhat difficult to create maps that other understand without explanation. One automatically creates the maps based on the own way of thinking, which might not be how others look at such a “landscape”. So it is an extremely valuable basis for having a conversation or explanation but can’t just be forwarded without adding words by mail. 

So, Simon Wardley’s articles and videos (youtube) are an absolute MUST READ for someone that is trying to find tools for detecting opportunities and evaluate innovations.

*-Papier Notstand in Deutschland

Heute habe ich den Realitätscheck Hamsterkäufe in Deutschland gemacht, nachdem ich bereits letzte Woche kein Clopapier oder Küchenpapier in dem einen Supermarkt (dm) zu finden war, in dem wir normalerweise Hygieneartikel einkaufen. Glücklicherweise ist Clopapier momentan bei uns noch keine Mangelware aber Küchenpapier ist aus. Also auf in den Krieg, Küchenpapier in Weil der Stadt finden!

Leider scheint es so, dass die Leute auch eine Woche nach Beginn der Hamsterkäufe, oder bin ich naiv und es hat schon früher begonnen, Papier als Brotersatz verwenden. Anders lässt es sich nicht erklären, das auch heute in 4 von 5 angefahrenen Supermärkten (dm, Edeka, Norma, Lidl) absolut kein Clopapier oder Küchenpapier zu finden ist. Und das trotz gestiegener Preise und Limits auf der Anzahl der kaufbaren Papierrollen pro Person. Schliesslich bin im Netto auf eine neue Palette von beiden Papiersorten gestoßen und konnte zumindest meinen akuten Bedarf decken.

Ich frage mich aber immer noch wie das entsteht? Also ich habe eigentlich immer einen Vorrat an Papier im Haus, d.h. ich kaufe immer im Abstand von einigen Monaten 3-4 Großpackungen Clopapier und Küchenpapier. Nun weiss ich dass andere nur den akuten Bedarf kaufen normalerweise. D.h. es müssen jetzt ein Großteil der Kunden in kurzer Zeit auf ein Model umgestellt haben, bei dem sie 3-5 Großpackungen kaufen aber das jede Woche? Irgendwann müssen ja alle Haushalte rund um Weil der Stadt gesättigt sein mit Papierrollen und der Trend muss sich abflachen?

Das Problem bei den Hamsterkäufen ist natürlich, dass wenn plötzlich kein Papier mehr für den akuten Bedarf zu bekommen ist, man vorsichtshalber nicht die eine Packung wie normal, sondern gleich 3-5 Packungen kauft. Weil man weiss ja nie wie es nächste Woche aussieht. Damit werden plötzlich alle zu Hamsterkäufern und natürlich kommt es zu Lieferengpässen. 

Vielleicht gibt es, insbesondere in der älteren Generation, auch Erfahrungen mit Hamsterkaufpatterns während des Kriegs. Während das für uns als Nachkriegsgeneration eine ganz neue Erfahrung ist. 

Aus Gründen des Ansteckrisikos ist es natürlich auch nicht sinnvoll durch 4 ausverkaufte Supermärkte rennen zu müssen um etwas zu kaufen was sonst im Centbereich verramscht wird. Lieber mehr kaufen und dann länger zuhause bleiben. Aber das funktioniert halt nur für die, die aus Erfahrung?, dies schnell verstanden haben. Ich vermute Deutschland ist, im Gegensatz zu anderen Ländern, eher ein Ort, wo Einzeloptimierung auf Kosten der Anderen ein verbreitetes Problem ist, wo es um Solidarität und gesundem Menschenverstand nicht so gut bestellt ist. Italien und andere Länder werden uns auch so tollen Deutschen, die gerne auf die Anderen herunterschauen von ihrem hohen Ross der boomenden Wirtschaft, das mal wieder zeigen.

In diesem Sinne, Mahlzeit, lasst Euch das Clopapier schmecken!

BarCamp Stuttgart 2019 (#bcs12)

BarCamp Stuttgart #12This weekend Saturday 14th and Sunday 15th of September the 12th yearly BarCamp Stuttgart took place again. As usual the event communications happens via twitter, see https://twitter.com/bcstuttgart hashtag #bcs12. I had paused for 5-6 years since last attending BCS. While the topic focus has shifted a bit since that time, it became more open and non-technical IMHO, it had been a really interesting and enjoying event again. I had the impression that this event is a place where some of the most motivated and engaged people from Stuttgart meet once a year. 

As usual, the topics on the open BarCamp had been very diverse but there were many new inputs and things to learn. The most technical session was probably on the Python scripting language, that answered some of the questions I had from my fight with python 2 versus 3 and virtualenv.
While the most physical and practical session has been Augen-Yoga:

A bit worrying is that the number of participants declined from last year’s 250. The Hospitalhof could have easily hosted more participants. So is the format of a BarCamp out of vogue eventually? It would be a pity as the organisation team did a great job again and in the contrary the BarCamp format could be used as a hack to the culture of a company potentially. No other format of event is so open, free and basic democratic that it could be an alternative or addition to corporate management updates or question and answer sessions.

So join next year again when BarCamp is again in Stuttgart or anywhere else!

OWASP SecurityRAT

SecurityRAT is a OWASP open-source project (github), the RAT stands for requirements automation tool. Currently the version 1 (1.7.8 as of the time of writing) is the productive version, but a version 2 is in the making with new architecture. SecurityRAT is based on JHipster Java rapid application development framework. Version 1 is a classic application, version 2 will be JHipster micro-service based.

SecurityRAT is used to create a set of security requirements for a supporting asset, the main part of a security concept. In the end it is nothing more than a replacement for MS Excel a way to get a filtered list of requirements with status and details provided by the development team on the implementation of the requirement in the asset. That status and the details are the important part, because having a list of requirements if fine but without knowing, whether they have been implemented or not and how, they don’t help a lot. Spending time on the details is important, they should contain additional information on the implementation, such as a link to the Jira or TFS issue, a link to a wiki page with implementation details or prove of implementation.

The cool thing is that one can define its own fields and values as long as it fits into the general idea of SecurityRAT. The central concept is a list of requirement skeletons classified by categories and tags that have columns and belong to a project type. The requirements in the database are skeletons or templates, from which instance of requirements for a given supporting assets will be created at run time. Those requirement instances are never actually stored in the database but exist only in memory on the client (browser) side. As soon as one has understood this, it’s a done deal in understanding how the tool works. You pour a pre-classified list of requirement templates into a database and instantiate them for a supporting asset at runtime with the additional benefit of filtering the list down to the relevant ones using category questions, filtering and tag selection at runtime.

We use SecurityRAT as an expert tool. This means, that not all developers work with the tool all day but only selected security lead experts, do. SecurityRAT spits out a Excel document with the requirement instances together with the up-to-date status and comment (optional columns). This is what other people work with. You put the Excel into the wiki for documentation or generate sub-tasks in Jira etc. SecurityRAT can also directly create stories and sync them bi-directionally, which would be really cool. Unfortunately this doesn’t work at my place, don’t ask why, it’s a sad big enterprise problem.

But working with Excel, or better CSV files, has some advantages, too. You can convert it to markup or generate task language in Jira from it easily with a little script. I use Groovy for it, but that’s a matter of personal taste.

SecurityRAT comes out of the box with a SQL dump for the OWASP ASVS (Application Security Verification Standard) requirements catalog. We have in the mean time at work also version 4.1 and many other catalogs that we pour into SecurityRAT instances. Version 1 somehow requires one RAT instance per catalog, although you can of course put multiple catalogs that have the same structure into one big instance, e.g. CIS Benchmarks. That ends up in a big list of instances for e.g.

  • OWASP ASVS
  • IEC 62443
  • DIN SPEC 27072
  • Corporate security requirement lists
  • CIS Benchmarks (you need to be member to get the XLS files)
  • Own catalogs e.g. for RabbitMQ

Apart from really filling in security requirements, SecurityRAT can be mis-used very well for other tasks. Things I use it for are among others:

  • Vulnerability assessment according to the OWASP Testing Guide (OTG). Excellent, you set the status to passed/failed and fill in the findings and get a nice Excel
  • Security maturity assessment according e.g. BSIMM or OWASP SAMM, answer the questions pre-filtered by level that should be achieved and get a nice Excel
  • Threat modelling using STRIDE – that stretches a bit the idea but works, when you have a list of threat skeletons instead of requirements.

Using SecurityRAT for status tracking with the OTG or ASVS are a good example where it makes sense to fill multiple, testing or requirement guides, into one instance, e.g. web services, mobile and IoT. The make a category or project types for these (one support asset can be either a web service or a mobile app or a IoT device). This way the user selects the type of asset in the initial “question” aka collection instance list implicitly.

In the end you could do a lot of this with Excel but you have IMHO the following advantages by SecurityRAT:

  • It’s not a document that rots somewhere on a share but a server with a nice web-based interface
  • The definable collection categories allow you to pre-filter the requirements at the beginning using customizable questions. Yes you could filter in Excel but you don’t have this very usable two-step process that helps in reality. Using Tags you can also filter when the requirements list has been generated, as well.
  • You can save the working results in a YAML file, load that again and continue, e.g. by adding also custom requirements. So only one place.

Being a server and database solution, filling an instance with data could either be done by UI, but you will quickly skip this idea for larger catalogs, even when the batch operations are really handy. Just use (again Groovy or other) scripts to convert a CSV source into SQL statements or directly insert it into the DB, which is then a bit more work. Unfortunately the entities in the SecurityRAT do not have surrogate keys so your script needs to manage the uniqueness of the database IDs by itself, which is sometimes, well a mess.

The down-side of the tool is a bit the missing calculation and missing colors for status fields that you have in a spreadsheet. E.g. for risk assessments it would be cool to calculate a risk factor from likelihood and impact automatically. But that is not possible.

BTW, SecurityRAT runs with docker out of the box, using MySQL or for license sake MariaDB is no problem. Problems will manifest themselves with endlessly long Spring Java exceptions, that will require a bit of digging into. We run everything in docker-compose, backup with mysqldump using docker exec and a nice landing page for the different instances.

Overall SecurityRAT, thumbs up!

The Practice of Network Security Monitoring

The second book from Richard Bejtlich in short time: “The Practice of Network Security Monitoring” has been read. This one is a bit newer, though not totally up to date, from 2014. The practical part of the book is based on the Security Onion (SO) distribution. Unfortunately a lot has happened with SO in the mean time. The book is still based on ELSA as part of SO, which has been swapped with the Elastic stack in the meantime. So the installation part could be skipped, also due to the fact, that I have already several times performed a SO installation at home. 

Just as with the TAO of network security monitoring book a lot of space is dedicated to various, in the mean time, well-known sniffing tools such as Wireshark, Bro, Argus, Sguil, Squert, Snorby etc. Nevertheless in the last third these tools are used for various real-life scenarios such as binary extraction with Bro, detecting server- and client-side intrusions, that were especially helpful. 

Security Onion is definitively the first choice for a real NSM with Sguil as real-time NSM console. For a home NSM a more historic Elastic stack-based NSM will probably be more useful, as I will not constantly monitor a NSM console all day long :-). The problem is a bit that SO is a big system, unfortunately a bit too heavy for the old laptop that I can dedicate to the NSM server part at the moment. Therefore I switched to SELKS, also a NSM distribution from Status Networks, also based on Elastic stack but a bit more light-weight. ELSA, based on syslog-ng doesn’t fit well anymore when you would like to use filebeat/packetbeat as logfile shipper. 

BSides Stuttgart 2019

This post is a bit delayed, on the weekend, 25th and 26 of May, the first BSides Stuttgart took place in the Wizemann location. I was lucky to have been there, because after monitoring the site months and weeks before, there was no program published and no way to buy tickets. But when looking on it 2 weeks before again, it was already sold out. As this was, as you can see, a Bosch-organized event, I still managed to get listed as a guest, thanks to dear colleague from Bosch CC. 

Security BSides conferences were originally a way to give those a platform whose presentations had been reject by the large conferences like DefCon or BlackHat, but in the mean time this is a grass-roots DIY conference format world-wide. And the contents are not second class in any way, in the contrary as this event has demonstrated!

BSides Stuttgart as the first of its kind in Stuttgart in 2019 took place in the previous industrial facility Wizemann co-working space. Same place as a digitalisation hackathon form Bosch before, just smaller. Great atmosphere and well prepared by CC security people from Bosch.

Co-organized by the ASRG (Automotive Security Research Group) and being hosted in Stuttgart, the event was pretty automotive oriented in general. BUT there was a general track with interesting presentations on cyber security in general. As you can image, this was the track I’ve been mostly following. 

Many colleagues from Bosch PSIRT and CERT and other (automotive) Bosch GBs attended the conference together with people from other companies such as Daimler.

These are the topics I had attended and are noteworthy on day 1:

  • How does ASCII and Unicode affect our Security
    Very interesting presentation on how Unicode and Punycode tricks can be used for DNS squatting and opening vulnerabilities for buffer overflows
  • Elastic Stack for Security Monitoring in a Nutshell
    Workshop on using ELK and Beats to build a SIEM more powerful than commercial products
  • OpSec++ the FastTrack
    Security testing using OSSTMM methodology
  • Cyber Threat Intelligence for Enterprise IT and Products
    A presentation from @Wagner Thomas Daniel (Bosch PSIRT)form PSIRT on a concept for product CTI
  • Weaponizing Layer 8
    How to treat users not as DAU but involve them into building a security culture in the organization.
  • Introduction to Osquery
    Very interesting workshop on osquery a service that exposes system information such as processes, filesystems, etc. via a SQLliste-compatible SQL interface. Also works with docker (as a companion to Sysdig?) and spits out logs.

On the second day, the sunny Sunday, I’ve been listening to the following presentations:

  • What to log? so many events, so little time
    On a tool from a Microsoft lady to catalog and filter the many events that the Windows OS produces with mapping to MITRE Att@ck techniques. Interesting approach and using sigma for generating SIEM queries for the relevant events. 
  • Security Onion
    Workshop on Security Onion, a Linux distribution specially for security monitoring, forensics and incident response, just like Kali is for pentesting.
    Included some real-live example how an attack could be detected and handled based on network logs using the various tools bundled in the distribution.
  • NoSQL Means no Security?
    Insights on the security posture and evolution of MongoDB, Redis and Elasticsearch. This will get us some ideas on hardening our NoSQL databases potentially.
  • Scale your Auditing Events
    Again from Elastic but on the Linux auditd sub-system and how to process its audit events with Auditbeat and Elastic stack for security monitoring.

Slides have been published on a bsidesstuttgart gitlab site or are posted on the bsidesstuttgart twitter

I’ve learned so many new tools, and new information especially in the areas of network security and security monitoring for getting OpSec started.

What’s pretty sure is that BSides Stuttgart will continue next year, maybe growing and giving also you a chance to grep a seat. I’s cool that we finally have a cheap and open security conference right here in Stuttgart, thanks to the organizers from Bosch for the great event! See you there next year, mark your calendar already for May 14 -16 2020!

The TAO of Network Security Monitoring

Wow, that was a thick book, the Tao of Network Security Monitoring, beyond intrusion detection from the guru of NSM, Richard Bejtlich. This book is considered the bible of NSM. The book is from 2004 and thus a bit out of date, especially as it is filled with tons and tons of tool, one will find that some of these do not yet exist anymore or development has stopped years ago. But the intention of the book is not to serve as a tool reference but to show which tools are available and what they can be used for. So the brain needs to translate the samples to what tools we have today available. And anyhow in each category we still have enough candidates.

The story line of the book is basically along the different types of network security monitoring data that one can capture along with the tools that provide it:

  • full content data (packet capture, e.g. from tcpdump, wireshark)
  • Packet headers
  • Session or flow data (e.g. from Argus, flow-tools)
  • Alert data (e.g. from Bro)
  • Statistic data

Bejtlich explains the use of these types of data and the corresponding tools using real-life samples of attacks. This is cool, although following the packet dumps without in-depth protocol knowledge of IP, UDP, TCP, DNS etc. is really a bit hard. Luckily he explains it after the printed dump, so one can be a bit lazy. Probably that is not a good idea, as one missing some learning, but that would probably require a second round of reading.

But the real learning from this book is understanding what a well-configured NSM system and especially stored session data can really give you to detect all kinds of attacks, if you just watch closely enough. The interesting question for me still to answer is how can I transfer this knowledge to cloud-based NSM, where we have some packet capture abilities but all the rest of the tools, how to make use of them in such an environment is left as an exercise. 

Summary: definitively worth a read, although it could get an update once a while.

IoT Hackers Handbook

Somewhere, I don’t know where, I was getting aware of the book “IoT Hackers Handbook” from Aditya Gupta. Well, bought it, read it. That wasn’t quite a long job as the font size is a bit larger than normal. There are two reasons you do this, either you want to avoid that older reader need their glasses (me?) or there’s not too much content but you still want to make it look like a in-depth book on the topic.

It was indeed a bit different than expected. Not bad, but different, which also tells you something. I’m a software guy, looking into hardware-near topics like BLE sniffing is interesting but not my homeland, so to say. But this book really started with hardware hacking after some introductory chapter on penetration testing IoT devices. I mean UART communication, JTAG debugging. Then it went slowly up in direction software, via firmware hacking, mobile apps (Android), software define radio (SDR) to Zigbee and BLE sniffing and packet resend. It didn’t get higher than this. That’s ok, as there had been topic, I hadn’t touched so far except for BLE sniffing. Especially the SDR part was quite interesting and encouraged my to maybe dig a bit into this topic. Understanding the communication of garage door openers etc. sounds interesting over all.

Don’t get me wrong, for consumer IoT devices, this is all important stuff to understand, test and hack. But IoT is a bit more than hardware, firmware and communication, at least in my mind. IoT lives from software, and not just hardware-near software. That is what brings the value and the new business models for IoT. Sure the book touched mobile apps as important part of a IoT solution but there is all the cloud connectivity and the software stack on the IoT device that I find the interesting part. And that was not covered beyond ZigBee and BLE. So not bad and helpful but surprising regarding the direction of what IoT pentesting should be like and maybe telling something about how IoT is regarded still today. 

To be fair, the book did dig into some use-cases of what you could do when having access to the device and being able to manipulate it at will, which wasn’t really difficult with the examples provided by the author. Weather stations, door openers, garage openers, the usual smart light bulb and beacons. I learned still a lot about tools and techniques for these low-end IoT devices and how easy it is to break them with just a little bit of knowing some tools and reading specifications. And unfortunately you can transfer this experience to more complex “IoT” devices like PLCs in IIoT or gateways. Just the specifications are a bit thicker and complex. But the door is equally wide open for white as well as black hats. 

HTTP Health Check for Docker

I just published a little tool called htcheck (docker-health-go project) on github: https://github.com/pklotz/docker-health-go . This being my first Go program, be kind to me, should there be better ways to implement it. 

It is intended as a very simple HTTP health check client for use in Docker health checks. Motivation, why this program?

When using docker directly or via docker-compose, you can and should define a health check, so that docker knows that the process it is running is doing well. There are a couple of libraries to provide a HTTP health endpoints for Go, such as [https://github.com/docker/go-healthcheck] and also Java offers with Spring Boot Actuator corresponding framework.

But on the client side, you still need to use curl or the outdated wget to perform the check. If you ever checked, which dependencies curl and thus libcurl4 brings with it, you might wonder if this is worth the ballast just to do a simple HTTP get with an exit code. Libcurl brings openldap libraries into the image and what not. So this little decent project provides a special-purpose HTTP client to use for health checks in docker or elsewhere instead of throwing a general-purpose HTTP client at the job.

It supports making a HTTP GET request to a URL and reading a JSON document back and checking for a value in it using a jq-like path expression.

Simple sample usage in Dockerfile:

COPY ./htcheck /usr/bin/

HEALTHCHECK --interval=5m --timeout=3s CMD htcheck -u http://localhost/ || exit 1

Sample usage for Spring Boot actuator health endpoint, which normally serve a JSON document in the form:

{
    "status" : "UP"
}
So using the JSON path feature, we can compare against a expected value:
COPY ./htcheck /usr/bin/

HEALTHCHECK --interval=5m --timeout=3s CMD htcheck -u http://localhost/health -p .status -v UP || exit 1

Licenses are checked and documented in the README. Thanks to the dependency projects [https://github.com/savaki/jq] and [https://github.com/spf13/pflag] that were made use of. Probably some features are still missing, but as a first shot, it should serve. S’il vous plaît!

Dualcomm 10/100/1000Base-T Gigabit Ethernet Network TAP

As I only have only a unmanaged switch Netgear FS116 at home, I don’t have a SPAN port to do network sniffing on the home LAN. In the course of building up a NSM (network security monitoring) setup for my home network, I needed a way to tap the wired LAN. Therefore I looked at network taps, which tend to be extremely expensive for home use. Finally I found some recommendation and bought a Dualcomm 10/100/1000Base-T Gigabit Ethernet Network TAP. It’s not cheap but better quality than a throwing star tap and offers full duplex passive sniffing of network traffic for affordable price. 

Setup is absolutely seamless, as there is no setup, just put the tap between the home router and the switch in order to get all internal traffic coming from outside, LAN cable to the sniffing ethernet interface and that’s it. The little box is powered by USB, so just put the USB cable to a monitor’s USB and that worked fine enough. 

Currently there are two options, either I use my RPI 3B LAN interface as sniffing interface and the RPI’s WLAN as management interface. Or I can also attach it to a old laptop, that I use as a monitoring collection station with SELKS distribution on it. I use SELKS instead of Security Onion (SO), because the laptop is just too old and SO freezes on this hardware. SELKS also has ELK stack and suricata installed and runs decently. Not optimal performance, but for testing it works. Also here WLAN is the management interface as the laptop also only has one wired LAN interface. And sniffing interfaces are not managed and don’t get an IP, as they are input only.

Long-term it could be interesting to replace the unmanaged switch with a managed switch so that one can move the tap to any other place  and use the SPAN port of the managed switch for e.g. the RPI. With the new RPI 4 model B one gets true gigabit LAN and that should be able to handle all traffic that the switch provides without any problems in such a home setup.

The packet-foo blog contains the probably best article series on network package capture and analysis including network taps, that you can find. 

Trying to build packetbeat for Raspberry PI (arm64)

After my previous article on building filebeat for Raspberry PI 3 B+ (arm64), I now wanted to get a binary for packetbeat, the second most interesting module of elastic beats. I tried the same approach with cross-compiling using GOARCH=arm64 but it fails, while a straight compile for amd64 works. It fails with a message that it excludes all Go files due to build constraints. Issue is that there is probably native C code involved and you cannot cross-compile this beat. I searched posts and tried all options for 2 hours, it does not work.

I tried again on the PI directly, the build is running but if you do a “go install”, it finally gets out of memory (“cannot allocate memory”). Problem is that the PI 3 has only 1 GB of memory and that does not seem to be enough. I tried all kinds of tricks, like setting GOMAXPROC=1, GOGC=70 but njet. The problem also seems to be related to the C build using gcc. You need to install “libpcap-dev” for the “pcap.h” header file using “apt-get install”, otherwise one gets a compile error earlier.  If using “go build -v -x” directly you get this “cannot allocate memory” message from gcc. When using “make” the build gets killed instead. Nevertheless it’s rare are there are reports from people that compile Kubernetes on arm64 RPI 3B like mine. Probably K8s does not contain native C parts like the libpcap in packetbeat. So I finally gave up, because …

But … there is good news ahead! Since a few days, the new Raspberry PI 4 Model B has been released! With up to 4 GB memory that will hopefully work. Also it has now true GB LAN, which is for network sniffing, not a bad idea either, when attaching it to a real network tap. So that is a clear buying plan for Juli!

Modsecurity Handbook

Modsecurity (from SpiderLabs) is probably the best known open-source web application firewall (WAF) originally (and still is) a module from the Apache web server. But in the mean time it is also available as module for Nginx (nginx-modsecurity) and IIS and other integrations. I came into contact with modsecurity in the context with Nginx.

The second important project in conjunction with modsecurity is the OWASP core rule set (CRS) a set of modsecurity rules for a WAF. You meet these two in many unexpected places, e.g. the Azure application gateway is based on Nginx with the CRS. Or the Kubernetes ingress controller is an Nginx with CRS and modsecurity WAF module included.

This is why I recently bought the book “Modsecurity Handbook” from Feisty Duck and the authors Christian Felini and Ivan Ristić (see https://www.feistyduck.com/books/modsecurity-handbook/).

This is really “THE” book on modsecurity from its authors, the bible to to say and goes into the depth of writing rules youself. It is not an explanation of the CRS, for this there no books, you have to read the rules in the github repository. This book does prepare you to do this, something that look daunting at first when you ever looked at the CRS ruleset without preparation.

That is probably one of the most important learnings one gets from the book, because I don’t know yet, whether I will write my own modsecurity rulesets myself. Although the second interesting insight were the use cases that you could cover with a WAF. The book has a long chapter on this topic and delves into detailed implementation ideas on use cases such as

  • IP address tracking and blacklisting
  • Session tracking, blocking, forced renegotiation and restricting session lifetime as well as detecting session hijacking (a well-known attack technique)
  • Brute force attack detection
  • Denial of service (DoS) detection
  • Periodic security testing and alerting
  • User tracking
  • Whitelisting of application operations
  • File inspection
  • Dynamic patching of application vulnerabilities or for exploits

The idea that nginx logs are an important source for security and audit logs for a SIEM is certainly not surprising. But being able to actively detect during runtime certain vulnerabilities and constantly reporting them as security alert is interesting. Think about missing security headers or wrongly configured content security policies (CSP) in HTTP. Instead of detecting it during vulnerability assessments or penetration tests, such inspection can happen during operations and thus provide a 100% coverage of all operations.

Also having a tool to quickly mitigate a vulnerability before the development team can come up with a fix and new release for a backend sounds interesting. You can even inject content into a response, e.g. Javascript. I just have some doubts about the complexity to introduce new rules and such mitigations quickly in environments where modsecurity and CRS are realistically found these days, such as Kubernetes ingress or WAF. An Azure application gateway for example does not expose the full functionality of modsecurity directly but hides most juwels under some own configuration portal.

At the end the book contains an extensive reference part with explanation of all the directives, variables, operators and actions of the modsecurity rule language. This way the book serves well when you need to actually develop rules in practice beyond what the Internet provides as reference resources.

Creating your own rulesets has its quite hard complexities in my opinion, but it is a tool in your defensive toolset. At least using the CRS with a WAF out-of-the box with just slight tuning, such as disabling rules that produce false positive or unneeded rulesets should be possible. That is anyhow the only thing that environments such as Azure application gateway allow you to do. Going beyond that needs a good reason. The disadvantage is really that such configuration is decoupled from the protected service or application and if we can fix a vulnerability there quickly it certainly is the preferable option before we turn to using custom modsecurity rules. In times of continuous deployment that should be fast enough to avoid dynamic patching. For old applications where there is no team anymore maintaining security or that has half-year release cycles this is still a valid option in the security control portfolio.

I’m curious if I will finally use it one time or not.

Yours, Peter