Was wichtig ist an Sicherheitsanweisungen
Eine allgemeine Besserwisserei.
Manchmal bin ich Klugscheißer. Und lange genau dafür bezahlt worden. Gerade war ich noch unterwegs, einen schönen frischen Salat essen und frische Ziegenmilch kaufen, da kam noch eine Mail von Ubuntu rein. Sie haben das jetzt doch noch mal etwas näher überprüft, und Inkonsistenzen gefunden, die sie jetzt geradeziehen wollen.
Wie ich da also bei meinem Salat saß, ging mir der Mailverkehr noch mal so durch den Kopf.
Sie haben das übliche Problem. Und genau deshalb möchte ich hier auf das übliche Problem aufmerksam machen.
Sie schreiben solche Dinge wie „you can verify“ oder „should look like“ oder „something like“ .
Sie schreiben aber nicht, was daraus folgt, wenn es denn mal nicht looked like, wenn, was immer man da prüfen soll, die Prüfung eben nicht besteht.
Was dann?
Übertragungsfehler, nochmal runterladen?
Jemanden rufen? Pfarrer, Polizei, Veterinär?
Virenscanner installieren?
Rechner isolieren und entsorgen?
Ziege opfern?
Oder einen Aufsatz für die Gender-Studies über das schreckliche sexistische Patriarchat am Beispiel von SHA256-Prüfsummen schreiben?
Oder toleriert man es?
Da fehlt was.
Da fehlt: Wenn die Prüfsumme oder deren Signatur nicht stimmt, und das heißt, dass die und die Ausgabe exakt so aussehen müssen, das Wichtige farbig markiert, dann darfst Du das Image keinesfalls verwenden und informierst uns bitte sofort, warnst andere, die das auch verwenden wollen.
Leute, es ist ungemein wichtig, dass man an solche Sicherheitsanweisungen dran schreibt, was eigentlich daraus folgen soll, wenn eine Prüfung nicht positiv ausfällt.
Beispiel Supermarkt
Ein Super-Beispiel, schon im Blog beschrieben, ist mir vor langer Zeit, 10 oder 20 Jahre her, mal passiert.
Ich kam vom Sport (lange her…), war fix und alle und hundemüde, und habe mir auf dem Heimweg im Supermarkt noch ein paar Kleinigkeiten für ein Abendessen geholt. Lastschrift an der Kasse, ich fix und fertig, keine Brille auf, dann wackelte das Brett, auf dem man unterschreiben soll, auch noch. Mein Gekrakel sah wirklich nicht wie die Unterschrift auf meiner Bankkarte aus.
Kassiererin: „Das kann ich nicht anerkennen, das ist nicht die gleiche Unterschrift!“
Nun hatte ich gerade so gar keine Lust, mich mit der zu streiten. Es war mir auch nicht wichtig.
Also sagte ich nur: „Aha. Un’ nu’?“
Offenbar erwartete sie eine Reaktion von mir. Sie wiederholte das, dass die Unterschrift nicht stimme und sie die nicht anerkennen könne.
Ja, ja, das sagten Sie bereits. Und wie geht’s jetzt weiter?
„Die Unterschrift stimmt nicht!“
Mag ja sein, aber besser wird’s heut’ nicht mehr. Sie sind doch die Kassiererin, Sie müssen doch wissen, was Sie jetzt tun wollen.
Die hatte nicht damit gerechnet, dass ich das überhaupt nicht bestreite, mir das gerade völlig egal war. Die hatte erwartet, dass ich Bargeld hinlege, ich hatte aber nicht genug dabei.
Stellte sich heraus: Man hatte ihr gesagt, dass sie die Unterschriften zu vergleichen habe. Man hatte ihr aber nicht gesagt, was zu tun ist, wenn sie nicht gleich sind.
Ja, sagte ich, dann wird’s nichts. Dann müssen Sie das jetzt stornieren, die Lastschrift wieder rückbuchen und das Zeug wieder ins Regal stellen (was nicht geht, weil Kühlkettenartikel nicht zurückgestellt werden dürfen).
Die Kolleginnen wussten auch nicht weiter.
Das Ende vom Lied war, dass sie die Unterschrift einfach ignoriert und die Zahlung anerkannt haben. Nimm den Kram, aber geh’!
Sowas habe ich noch öfter erlebt. Sicherheitsanweisungen, irgendetwas zu prüfen, aber keiner weiß, niemand hat darüber nachgedacht, was zu tun ist, wenn die Prüfung fehlschlägt.
Das kann man vermeiden, indem man ein Ablaufdiagramm malt. Denn dann hat man einen Pfeile aus einer Entscheidung, der nicht verbunden ist.
Sicherheitsüberprüfung und Sicherheitsinteresse
Wichtig ist auch, dass der, der die Prüfung durchführt, überhaupt ein Interesse daran hat. Den Fehler habe ich auch schon oft erlebt.
Ich hatte mal in einer Tankstelle blöd gefragt, kurz nach dem Supermarkterlebnis, aus Interesse, warum der sich meine Unterschrift an der Kasse erst gar nicht anschaut.
War der Eigentümer der Tankstelle. Und der erklärte mir, dass er einen Teufel tun werde, sich die Unterschrift anzuschauen.
Ei, warum?
Ja, sagt er, wenn die Unterschrift gefälscht ist, er es aber nicht bemerke (wozu er sowieso nicht ausgebildet sei, es also gar nicht prüfen könne), dann sei er home and dry. Dann sei alles gut. Niemand könne ihm hinterher nachweisen, dass die Unterschrift auf der Karte, die ihm gezeigt wurde, anders aussah als die auf dem Zettel, und dann haftet irgendwer anderes, Bank oder Konteninhaber oder wer auch immer, nur eben nicht er. Er bekomme sein Geld und gut is’.
Würde er die Zahlung aber ablehnen, weil gefälscht, dann dürfte er das Geld nicht annehmen, und riskiere außerdem Messer und Schlägerei, jede Menge Ärger, auch die anderen Kunden zu vergraulen. Er bleibe auf dem Schaden sitzen und müsste das Benzin wieder aus dem Fahrzeugtank pumpen, was er dann aber auch nicht mehr verkaufen oder in den Verkaufstank zurückfüllen dürfe.
Wenn er also bemerke, dass eine Unterschrift faul ist, sei er der Dumme. Wenn er es aber nicht bemerkt, dann ist jemand anderes der Dumme.
Er werde also einen Teufel tun, die Unterschrift mit der Karte zu vergleichen. Er schaue nur, dass überhaupt irgendwas drauf ist und kein nicht unterschriebener Zettel zurückgegeben wird.
Man muss sich also auch immer überlegen, ob der, der eine Prüfung durchführen soll, überhaupt ein eigenes Interesse daran haben kann, das zu tun. Elementare Spieltheorie.
Und wenn er eines hat, auch sicherstellen, dass er das weiß.
Auf eine solche Downloadseite und ähnliche Dinge gehört also der Hinweis: Führe die Prüfung durch, sonst läufst Du Gefahr, Dir Malware, Viren und Computersyphilis auf den Rechner zu laden.
Der Benutzer, der das prüfen soll, muss also ein eigenes Interesse daran haben, das zu tun, und man muss dafür sorgen, dass er das auch weiß, dass das in seinem eigenen Interesse steht.