The Smile-IT Blog » Blog Archives

Tag Archives: Privacy

Vicious Circle into the Past

We are on the edge of an – as recently called it – exploding era: The IoT Era. An interesting info graphic tells us stunning figures of a bright future (at least when it comes to investment and sales; see the full picture further below or in the article).

The info graphic in fact stresses the usual numbers (billions of devices, $ trillion of ROI) and draws the following simple explanation of the ecosystem:

IoT and BigData Analysis (info graphic clip)

A simple explanation of IoT and BigData Analysis

Devices are receiving requests to send data, in return they do send data and data gets analyzed. Period.

Of course, this falls short of any system integration or business strategy aspect of the IoT evolution. But there’s more of a problem with this (and other similar) views onto IoT. In order to understand that, let us have a bullet point look at the mentioned domains and their relation with IoT (second part of the graph; I am intentionally omitting all numbers):

  • Manufactoring: smart sensors use increases
  • Transportation: connected cars on advance
  • Defense: more drones used
  • Agriculture: more soil sensors for measurements
  • Infrastructure, City: spending on IoT systems increases
  • Retail: more beacons used
  • Logistics: tracking chips usage increases
  • Banking: more teller-assist ATMs
  • Mining: IoT systems increase on extraction sites
  • Insurance (the worst assessment): IoT system will disrupt insurances (surprise me!)
  • Home: more homes will be connected to the internet
  • Food Services: majority of IoT systems will be digital signs
  • Utilities: more smart meter installations
  • Hospitality: room control, connected TVs, beacons
  • Healthcare: this paragraph even contents itself with saying what devices can do (collect data, automate processes, be hacked ?)
  • Smart Buildings: IoT devices will affect how buildings are run (no! really?)

All of these assessments fall short of any qualification of either which data is being produced, collected and processed and for which purpose.

And then – at the very beginning – the info graphic lists 4 barriers to IoT market adoption:

  • Security concerns
  • Privacy concerns
  • Implementation problems
  • Technological fragmentation

BusinessInsider, with this you have become part of the problem (as so many others already have): Just like in the old days of cloud commencement, the most discussed topics are security and privacy – because it is easy to grasp, yet difficult to explain, what the real threat would possibly be.

Let us do ourselves a favour and stop stressing the mere fact that devices will provide data for processing and analysis (as well as more sophisticated integration into backend ERP, by the way). That is a no-brainer.

Let us start talking about “which”, “what for” and “how to show”! Thereby security and privacy will become and advantage for IoT and the digital transformation. Transparency remains the only way of dealing with that challenge, because – just as with cloud – those concerns will ultimately not hinder adoption anyway!


The IoT Era will explode (BusinessInsider Info Graphic)

The IoT Era will explode (BusinessInsider Info Graphic)

{feature image from}

Published by:

Android is a scary platform

Significant Other is asking me in 12-hour intervals: “Which state are we in: Like, dislike, hate?” Kids are showing me handling best practice and useful apps. Any time and again you’d hear me cursing or smiling in joy – I’ve switched from a Windows Phone to Android!

Why? Well … 2 reasons, mainly: (1) my mobile provider doesn’t really support WP too well and (2) I wanted to know what Android is on to these days.

To begin with: I may have made a mistake by not choosing the Android-native Nexus; reason: I missed the SD card slot. Secondly, I stumbled across a review of OnePlus just a few days too late (that would’ve been interesting, too). So, eventually I ended up with a Samsung Galaxy S5 which after boot instantly updated to Lollipop (5.0) – without flaw.


The device is a 2.5GHz/2GB hardware with 16GB of internal memory (I added my 16G SD card holding all Windows Phone data – no prob here, either). First impressions in short:

  • solidly built hardware
  • nice display
  • very (very!) good camera with a lot of parameter possibilities (and HDR, of course)
  • LTE (fast and stable enough)
  • download booster combining WiFi and 4G for increased bandwidth (even faster, notably)
  • and a ton of apps from the beginning

Major annoyance: Some really strange and not at all useful native Samsung Apps (yes, I was warned that I won’t like that – took me a bit to wipe or disable and exchange them by their Android-native relatives but in the end I was fine).


You know that typical Android look-and-feel, right?

Homescreen overview

Homescreen overview

Turns out that Samsung had of course added their own launcher (TouchWiz) deeply into the OS – it isn’t too bad a feature; however, I’d have loved more to get what the OS manufacturer had in mind. Now, there’s no way really to get rid of TouchWiz w/o rooting the device; but there’s even some more annoyances …

I don’t have a screenshot of my old WP available (there’s lot’s of examples to be found anyway); however, the main flaw of Android’s way of presenting a home screen – with whatever launcher one eventually uses – is that it still remains “unstructured” in a way. Unless one develops a very own logic of grouping, ordering into folders and one’s personal homescreen sequence, it gets nothing short from searching anytime one wakens the phone. Also, the default setting is that every new app is automatically added to the homescreen – somewhere (obviously to the first free space). Where would one seek for this setting? Application Manager? Display Settings? No. It’s inside the Play Store app … well …

With WP I really honestly liked the tiled main screen and the instantly logical way of displaying installed apps. And recently they even added some visual customization capabilities – just enough to add personality to the screen. The openness of Android clearly has its drawback: There’s just too many places to change settings, customize appearance or control behaviour … and that continues …

Social and Comms

Why a smartpone if not for social media. Kids are teaching us how to use technology and social media really smart (think, we’ve discussed that many times before). One is well-off with Android in that respect.

Social media apps on Android

Social media apps on Android

I only even installed the obvious (as you can see above). There’s far more social media supporters to be found in Play Store – I didn’t have much time to test’em, yet. The ones I did try are doing their duty in a stable manner and I hardly miss any feature (just maybe that switching twitter accounts is much more convenient by just doing a swipe from the top in WP – in Android one has to go to the menu, select accounts and then choose the one to use).

One more on social (and communication): Every – emphasizing: every – social and comms app is by far faster in Android than their respective relative in WP (applies especially to WhatsApp and Messenger). And I’m still wondering why, indeed …

Mail & Calendar

To be blunt open: So far, this is an utter nightmare on Android!

While with WP7 the calendar was – to be honest – pretty ridiculous, the WP8 calendar (solidly redesigned) really offered some useful and perfectly helpful features. The Samsung Android phone – to begin with – comes with their own S-Planner application. Totally counterintuitive look-and-feel. Far too much information on one screen. … I instantly switched to another cal app I found pre-installed (probably the native Android calendar), just to discover that it is not much of a bummer, either. And — I was unable to discover any possibility to show upcoming meetings on the lock screen (also in this respect WP Notification Center is well ahead).

It gets worse with eMail (yes, I am still using that – sometimes ;)): I cannot remember whether there was a Samsung-owned eMail app (if there was, I probably got rid of it immediately). One of the very first eMail experiences one gets with a Google device is Google’s own GMail app. I was prepared for that. I never really liked Google’s way of categorization instead of a real folder structure. Anyway … the thing I really needed was a way to present my Exchange mailboxes – either in one place or as separate mail accounts within the system. I went with the built-in eMail app,

  • added all accounts,
  • discovered that I cannot change the order
  • discovered that I cannot change the mail account colour either
  • and finally realized that the app – depending on its daily mood – crashes within one particular mailbox (but not always the same one) or the “combined view” (which as such is pretty useful, but not when crashing).

So, this was no way to go. After finding out by fellow victims who already took time to complain online, that there isn’t really a way to solve that other than changing the mail client, I am now in the process of evaluating myriads of different clients (the advantage of Android’s developer openness pays off) and may share experiences in another post – let’s see. So far, I go with a thing called MailWise for Exchange/Office365 accounts and GMX Mail for POP accounts.

Android eMail apps as shown in the home screen folder

Android eMail apps as shown in the home screen folder

One more word re customization: With eMail and calendar – as a matter of fact – every single app ads its own notification scheme. Every one. And in eMail – for some weird reason – one even has to configure notification for every single account. I could possibly alter the notification tone for every mail account I am managing within the respective mail app. And this applies to A-N-Y mail app tested so far. One would end up with myriads of different rings, pops, knocks and melodies — wonder which brain is able to remember all those different assignments …


One major drawback of WP is their utterly limited app ecosystem. It gets better overtime – step by step, but still there is a lot of things one cannot do with WP that any other platform offers. I would love to urge Microsoft to invest heavily into overcoming that disadvantage of their OS; my take is, that they’d actually have to offer coding the WP app for free to any important vendor or services in order to increase acceptance of their phones.

The only problem with the Android app ecosystem really is that there’s so many to choose from – for every single area. So far, there’s only one useful app from my former WP times which I dearly miss on Android: CarRadar – an app that combines multiple “Cloud Car” (car sharing) offerings within one UI (including reservation). Other than that, there’s simply no shortage of features anymore. Meanwhile, I got 5 screens full of icons – which doesn’t necessarily mean that I search less and find more more quickly; it only means: it’s there. And sometimes I feel like: Less is more (though, not as few as on WP).

Data and how to control it

So, after having customized the basics to my needs (pretty awkward to spend some 2+ usage weeks and still not feeling fully under control of features), my utmost concern – as always – is: What happens to my data? Now, one knows, of course, that Microsoft spends much more thought on transparency than Google ever will. There is, however, a great big disclaimer whenever one commences using another Google service; it’s essentially an outtake of the full privacy policy:

  • we collect usage data, location data, logging data, …
  • we use it for presenting you with appropriate ads
  • we even combine data to improve your experience
  • bla bla bla

Nothing new under the sun. If one opts into using a Google device, one has to be prepared for that.

However, what one may not be prepared to is the utter nightmare that comes when wanting to get into control of all that again. With so many different apps, so many different places for settings, so many different parameters, a totally non-unified user experience (as a price for developer openness), … it gets really hard to find out all possible settings in all those many apps for controlling how those deal with data.

Here’s just some examples of what I discovered – intentionally or by accident – during the first 2 weeks of using the new phone:

  • Every new folder created and potentially filled with pictures gets grabbed by the Android photo backup feature asking whether to backup data within that folder to your Google account – there is no way of getting to the parameterization of backup other than when it pops up (as far as I could find out by now)
  • When an eMail is deleted from one of the accounts, MailWise still shows the deleted eMail as part of a conversation; the eMail object is nowhere to be found as such – it just shows in MailWise, hence must be somewhere (btw: I didn’t find a way of deleting one piece of a multi-mail conversation thread in MailWise – anyone able to help here? – please comment)
  • Everyone – by now – should know about Google’s aim to track your ways; if not -> read this!

However, by far the most weird moment was when suddenly out of nothing the (pretty newly developed) Google Photo Assistant popped up on my phone, telling me that it had discovered some images which seemingly combine well into a new banner photo (and it showed it to me):

Technology-Panorama from Ars Electronica Center Linz

Technology-Panorama from Ars Electronica Center Linz, auto-developed from 4 separate pics by Google Photo Assistant (no post work)

I never told Photo to act respectively; I even – thought to have – disabled all autonomy of Google Photo (knowing its still algorithmic weakness); nevertheless, it did its (Google-defined) duty and started suggesting things … simply utterly “scary” in a way …


“Which state are we in: Like, dislike, hate?” – Not “hate”, i’d say; “like” not either, though. I consider myself an advocate of transparency. I solidly believe that the way into the digital age is paved by a seriously vast data highway. We should know what flows there. We should be aware of our part in it. Microsoft is – to my believe – doing well with their OS in supporting the user to maintain control of what the device is doing; Android is missing out here. Totally. As a pay-off to flexibility and feature richness.

In a research document from earlier this year, IDC shows phone OS market share as follows:

IDC: Smartphone OS Market Share 2015, 2014, 2013, and 2012 Chart

Source: IDC Smartphone OS Market Share – Worldwide Quarterly Mobile Phone Tracker


If this is really true, WP is severely undervalued in my opinion. WP – to me – is by far the most logical, most transparent and most user friendly phone OS (I should maybe mention that for a customer project I am also testing an iPhone 5S at the moment; I just didn’t want to mingle experiences into this post).

Android is more flexible and simply offers a whole world of options – drawback being that you need far more time to dig into them all.

According to the report above, we are seeing a total of 260 million Android devices in use worldwide. I would dearly love to see all those users spend enough time to understand their device and especially understand its usage of data provided by them – and how to control it.


{feature image source:}

Published by:

So sollte Werbung sein

Ausnahmsweise Werbung am Blog:

A1 hat sich ein Quäntchen Hochachtung für Werbekreativität erwirkt – mit dem Titelblatt (eigentlich: dem Titel-Überblatt) zur Samstagsausgabe der Zeitung unseres Vertrauens. Das sah nämlich gestern so aus:

A1 Zeitungsseite - Informationen schein-verschlüsselt

A1 Zeitungsseite – Informationen schein-verschlüsselt

Und nach kurzem Erstaunen und kopfschüttelndem Umblättern fand sich auf der Innenseite das:

A1 Werbung "Datenverschlüsselung" - Die Innenseite

A1 Werbung “Datenverschlüsselung” – Die Innenseite

Gut gemacht, A1. So muss Werbung … sein. Gscheit und Aufmerksamkeit erregend.


Published by:

Patriot Act: Illegal?

Woke up this morning to find this in my newsfeed: A New York Times article about the NSA collection of bulk call data being illegal!

“Significant”, to quote Ed Snowdon.

In essence, the ruling comes to the conclusion that

a provision of the U.S.A. Patriot Act, known as Section 215, cannot be legitimately interpreted to allow the bulk collection of domestic calling records.

This is the first time ever, that a higher court has reviewed this program and defined at least a section of it as being illegal. I cannot emphasize enough how important it is for anyone having the slightest interest in privacy and security to read this article, the details around the ruling and the consequences to expect from it.

Speaking of the consequences, however, I am asking myself: When in the past has any national security and/or investigative agency been acting within the boundaries of legitimacy? Best case is: they extend’em … I dearly hope, that one consequence of this is to continue surveillance practice on a legal basis where applicable and tremendously increasing transparency about it!


Published by:

3 Gründe, warum es egal ist, was in den facebook AGBs steht

Da war er wieder – der 2-3 mal jährliche Aufschrei der Online-Gemeinde über die AGBs eines Sozialen Netzwerks. Nicht irgendeines Sozialen Netzwerks: DES Sozialen Netzwerks.

Facebook hatte seine “Allgemeinen Nutzungsbedingungen” wieder einmal überarbeitet und ich stolperte unvermeidbar über den diesbezüglichen Artikel der ORF futurezone (es gab bestimmt noch weitere).

Kurz darauf überschlugen sich Kritiker und Kalmierer und warfen sich gegenseitig vor, den falschen Umgang mit der nackten Tatsache der Änderung zu pflegen (erfrischend dabei lediglich jene facebook (sic!) Posts, die dazu aufforderten, irgendetwas auf das persönliche Profil zu stellen, um dadurch den neuen AGBs zu widersprechen; mein unerreichter Favorit dabei: das Einhorn – ich bin sicher, auch dazu gibt’s ein paar “Gläubige”).

Letztendlich bleibt jedoch ohnehin von solchem Aufruhr nichts übrig – und das ist auch gut so. Weil es nämlich vollkommen wurscht ist, was in den facebook AGBs steht. Und zwar aus folgenden simplen Gründen:

1. Die Welt ist Werbung!

So ist das nun mal. Was immer wir tun (falsch: was immer wir schon immer taten) wurde und wird dazu benutzt, dass Unternehmen versuchen, uns zu sagen, was wir in Zukunft tun, kaufen, benutzen, buchen, … leben sollen. Schauen Sie sich einfach nur die Evolution von Werbung (vom Plakat, über die Radio-Information, zum Fernsehspot, zwei-, drei-, viermal pro Tag, vor und nach Sendungen, inmitten des Films, nun vor dem youtube-Video, … usw.) an: Unternehmen und Medien versuchen, in gegenseitigem Kreativwettlauf an immer noch mehr Möglichkeiten zu kommen, uns mit ihrer “Information” zu überschütten. Neuerdings bekomme ich vor jedem youtube-Video den Spot eines SharePoint Migrationstools zu sehen (womit habe ich mich wohl in letzter Zeit online beschäftigt).

Und ehrlich gestanden frage ich mich: Was ist so falsch daran? Wenn ich ein Hotelzimmer in Madrid buchen möchte, besuche ich mal kurz, suche ausgiebig danach und warte dann, bis mir was günstiges vorschlägt. War ich dann dort und es war gut, schreib ich mir die eMail-Adresse auf und sieht mich für diese Stadt nie wieder. Werbung kann so einfach ausgeblendet und gleichzeitig zielführend genutzt werden. Daher ist allein dieser Grund genug, die facebook AGB Änderung zu ignorieren, wenn es – wie die futurezone einleitend feststellt – doch nur darum geht, zielgerichtetere Werbung zu ermöglichen.

2. Welches Recht zählt wirklich?

Schon mal genauer in die AGBs reingeschaut? Hier nochmal der Link dazu. Wenn man nach dem Gerichtsstand sucht, findet man da:

“You will resolve any claim, cause of action or dispute (claim) you have with us arising out of or relating to this Statement or Facebook exclusively in the U.S. District Court for the Northern District of California or a state court located in San Mateo County, and you agree to submit to the personal jurisdiction of such courts for the purpose of litigating all such claims. The laws of the State of California will govern this Statement, as well as any claim that might arise between you and us, without regard to conflict of law provisions.”

Na dann! Auf in die Staaten. Gehen wir uns beschweren, was uns facebook da antut.

Verstehen Sie mich richtig, bitte: Die Sammelklage des österr. Jusstudenten, Max Schrems, beispielsweise finde ich im Grunde richtig und sogar notwendig. Leider gerät der ursprünglich auslösende Moment für dieses Vorgehen ein wenig in Vergessenheit: Begonnen hatte dieser Fall ja mit dem Versuch, alle gesammelten Daten von facebook zu erhalten; ich halte es für ein Grundrecht jedes Menschen auf dieser Welt, detailliert erfahren zu können, was wo über einen selbst gespeichert ist (vgl. auch meine Transparenz-Forderung im “Citizenfour”-Artikel).

Ich halte es natürlich auch für ein Grundrecht, selbst entscheiden zu können, welche persönlichen Daten verwendet werden – und genau deshalb sind die AGBs von facebook genau genommen Makulatur, denn (last not least):

3. Ich entscheide selbst, was ich wie nutze!

facebook zwingt mich in keiner Weise, facebook zu nutzen. facebook zwingt mich nicht einmal, facebook auf eine bestimmte Art und Weise zu nutzen. facebook bietet mir Möglichkeiten. Möglichkeiten zur Kommunikation, zur Information, … ja: zu Eigenwerbung. Ich kann das Medium ja auch selbst dazu nutzen, für etwas, das mir ein Anliegen ist, Werbung zu machen. Das geht so weit, dass ich gegen Einwurf kleiner Münzen die Datenmaschine “facebook” selbst für meine Zwecke gebrauchen kann: Zielgerichtet wird facebook dann meine Statusmeldungen und Seiten-Aktualisierungen in den “Newsfeed” meiner Freunde platzieren, um sie auf mein Anliegen aufmerksam zu machen. Perfekt. Genau so wünsche ich mir das.

Wenn ich bestimmte Informationen sehen möchte, werde ich bestimmte Dinge, Themen, Inhalte, Schlüsselwörter im Netz publizieren. Wenn ich für ein bestimmtes Thema nicht gefunden oder damit identifiziert werden möchte, werde ich zu diesem Thema einfach die Klappe halten.

Der Punkt ist doch der:

Unser unbändiges Mitteilungsbedürfnis und unsere unbändige Neugierde spielen uns bei der Nutzung von Online-Medien einen bösen Streich: Denn heutige Technologien ermöglichen halt einfach ein Mehr an Zielgenauigkeit, als es der guten alten Fernsehwerbung im spannendsten Moment des Hauptabendfilms möglich war – sie erlauben es dem Informationsanbieter einfach, seine Information exakter passend zu platzieren.

Das Argument einiger lautstarker Kritiker der neuen facebook-AGBs, man könne sich der Nutzung von facebook ja heutzutage gar nicht mehr entziehen, ist schlichter, wenig differenzierender Blödsinn. Es mag stimmen, dass Schulen, Vereine und andere menschliche “Netzwerke” das Medium “facebook” als einzige Kommunikations-Plattform nutzen und man daher zur Teilnahme an dieser Kommunikation an einem facebook-Benutzerprofil nicht vorbei kommt. Die Inhalte dieses Profils – allerdings – bestimme ich dann selbst. Und ich kann die Inhalte durchaus auf den Zweck meines Dabei-Seins beschränken.

Und abgesehen davon: Suchen Sie auch machmal im Internet nach Dingen, Themen, Inhalten oder bestimmten Schlüsselwörtern? Und was zeigt die Suchmaschine ihrer Wahl dann gleich zu oberst an?

Es ist halt einfach zu einfach, die Verantwortung für meine eigenen Handlungen (Mitteilungen, Suchanfragen, Bilder oder Videos, …) den AGBs eines Unternehmens zu übertragen, das sich die hochgradig effektive Nutzung dieser meiner “Handlungen” zum eigenen Geschäftszweck gemacht hat.


{feature image “Digital Footprint” via Flickr/Creative Commons}

Published by:

Digital Business Trends – Erste Veranstaltung der neuen APA-Reihe

{Im Bild die Teilnehmer an der Podiumsdiskussion der DBT-Veranstaltung “Health Gadgets”, 29.01.2015, Haus der Musik}


Gestern, Donnerstag, fand im Haus der Musik die erste Abendveranstaltung der neuen APA-Eventreihe “Digital Business Trends” zum Thema “Health Gadgets” statt. Die Diskussions- und Netzwerkveranstaltungen werden gemeinsam mit Styria Digital One organisiert und von namhaften österreichischen IT(-nahen) Unternehmen gesponsert.

Dem Charakter nach der bereits seit den frühen 00er-Jahren bekannten APA-eBusiness-Community nachempfunden, folgte auch diesmal einem Impulsvortrag zum Thema eine Podiumsdiskussion, abgerundet durch – diesmal sehr intensive – Publikumsbeteiligung.

Und der Grundtenor der verschiedenen Meinungen war für mich besonders in zwei Aspekten neu:

1. Sicherheit und Datenschutz

Selbstredend, dass in einer Diskussion, in der es im Wesentlichen um das Messen, Sammeln und Bereitstellen von Daten durch Gadgets geht, die Frage des Schutzes dieser Daten irgendwann gestellt wird. Florian Schumacher, Vortragender und Experte am Podium, nahm jedoch dem Thema sofort die sonst in derartigen Diskussionen so übliche Tragweite, in dem er feststellte, dass das permanente Hinterfragen des Schutzes der Daten ein Innovations-Inhibitor sei. Die Haltung der Menschen würde sich zunehmend dahingehend verändern, dass sie bereitwillig ihre Daten diversen Systemen anvertrauen, weil sie den persönlichen Vorteil deren Nutzbarmachung erkennen und spüren könnten.

Während also bisher in Trend-Veranstaltung das Gros der Anwesenden seinen Ausweg aus der Unwissenheit über den diskutierten Trend oftmals in einer Art “Panikmache” über den Verlust von Datenschutz- und Kontrolle nahm, schwenkten diesmal die Mehrheit der Meinungen auf die Linie: “Meine Daten werden durch die Verknüpfung mit geeigneten Diensten und Dienstleistungen zu einem nützlichen Werkzeug für mich selbst.”

Die genannten Beispiele dazu blieben zwar – gewissermaßen – noch in den Kinderschuhen stecken (im Wesentlichen drehten sie sich um innovative Prämienmodelle von Versicherungen oder Gesundheits-Diagnosesysteme), aber der Trend hin zu einem offeneren Umgang mit persönlichen Daten – innerhalb ethischer Grenzen – war durchaus ablesbar. Ein positives Novum, also.

2. Geschäftsmodelle

Mehrheitlich blieb die Diskussion beim “Coolness”-Faktor und der persönlichen Daten-“Auswertung” der besprochenen Gadgets stecken. Das greift meiner (und manch anderer Diskussionsteilnehmer) Meinung nach bei weitem zu kurz: Am Ende wird ein Hype dann zum Trend, wenn Einzelne oder Mehrere daraus Nutzen und letztendlich Geschäft machen können. Den Nutzen von Health-Gadgets dadurch zu rechtfertigen, dass Einzelpersonen auf einem Web-Portal ihre eigenen Daten mit sich selbst vergleichen können, definiert noch kein Geschäftsmodell. Ebensowenig – wenn auch mit mehr Rechtfertigung – tut das der Effekt der Selbstmotivation.

Schon nachvollziehbarer ist da der Ansatz, dass Versicherungen Prämiennachlässe auf Basis von Daten gewähren könnten, die einen gesunden Lebensstil nachweisen (der ethische Hintergrund eines solchen Vorgehens, der durchaus auch mehrfach angesprochen wurde, sei hier für den Moment mal dahingestellt), oder ärztliche Diagnosen durch Online-Diagnosesysteme ersetzt oder zumindest unterstützt werden könnten.

Während der zitierte Ansatz von Versicherungen sicherlich eines der nachvollziehbarsten und möglicherweise auch nahe-liegendsten Geschäftsmodelle werden könnte, blieb es sonst in dieser Frage eher dünn, und ich denke, dass Health Gadgets im momentanen Hype-Status stecken bleiben werden, wenn Dienstleistungs-Unternehmen, Plattformen und/oder Hersteller nicht mehr Umsatz-Möglichkeiten finden, als den Verkauf von Armbändern, Uhren, Broschen oder – vielleicht bald – Implantaten.

Eine der wohl interessantesten Ansätze kam von Eugenius Kaniusas (TU Wien), der mehrfach in der Diskussion meinte, dass das vergleichen von Zahlen (Puls- und Blutwerte, Schrittanzahl, oder Indexwerte für Fitness, etc.) zwar eine nette “Spielerei” für den Endverbraucher sei, aber am Ende doch wenig inhaltlichen Mehrwert böte, weil ja Sinn und Konsequenz der Werte und ihrer Veränderung dem medizinisch Fachfremden verborgen blieben. Wirklich Nutzen entstünde erst durch eine alltagstaugliche Übersetzung der gesammelten Information. Plattformen müssten geschaffen werden, die für gesammelte Daten geeignete kontextuelle Interpretation und Übersetzung anböten.

In Anbetracht der großen Anzahl an Menschen, die mit medizinischen Befunden schon so ihre Schwierigkeiten haben, vielleicht in der Tat eine erste verfolgenswerte, über Versicherungs- und Diagnose-Modelle hinausgehende Idee für innovatives Geschäft im Zusammenhang mit Health-Gadgets …



  • Link zur Presseaussendung
  • Link zur Fotogalerie


Published by:

#CITIZENFOUR – a film by Laura Poitras

Thanx to rolfgeneratedcontent, I decided for one of my meanwhile (unfortunately) rare visits to the cinema and watched CITIZENFOUR, the documentary film by Laura Poitras outlining the chronology of events leading to the disclosure of some of the biggest spying endeavours of western governments (no, this is not only on the US, indeed).

The film is great work! It offers a glimpse of the vastness of data collected by programs like PRISM or TEMPORA, how security agencies engaged with big telecommunication providers in order to simply intercept lines, communications, traffic, … on the very source of transmission instead of at its origin – the persons involved.

Technology of these interceptions isn’t really rocket science (except, of course, for the decryption intelligence that those national security agencies posses just by their exceptionally high budgets – brain power is venal, either).

However, the question I keep pondering since having watched this documentary film is: What’s really the revelation? Not only of the film but of Ed Snowden’s work as such? Don’t get me wrong! I won’t argue for dropping human rights and personal privacy laws. Not at all. Neither will I say that the collection and structured analysis of data from millions of people against whom there’s no legal suspicion has any rightful legal basis. No. What I do, though, want to query is all those post-Snowden arguments against Cloud vendors and Service providers which state that no data can be given off-premise anymore for the reason of all the various programs that Snowden “whistleblowed” on.

Let me give you three simple considerations why I think that Snowden may have shaken us up (as awareness was so low prior to his revelations) but has not really disclosed the unknown:

  1. In a talk in 2013, Dr. Gerd Polli, ex head of the Austrian National Security, in essence stated that National Security Agencies always throughout the years head the possibilities, the money and the brain power to not only be ahead but supersede by far any technological intelligence within any non-governmental endeavour. Not only where they able to create respective programs but additionally have governments and businesses been their best-paying customers to receive espionage services; over decades. So the fact as such is far less new than – e.g. – Cloud Computing as a disruptive technology.
  2. Last year, facebook claimed 2.23 billion active users. All of them disclosing information about their current, their future, their past position, their activities, the people they surround themselves with, … Even though facebook – in my humble opinion – does a good job in allowing people to keep a respective level of privacy, it still lets through quite a bit even when I’m not connected to someone. Very useful information for anyone intending to stalk out the little extra of me.
  3. Anytime in the past – long before 9/11 and long before the capabilities of Cloud and Social services – could I have been observed by governmental institutions just because I may have been mistakenly judged to have illegal objectives of some kind. In the quest of identifying truly dangerous characters in a society it is highly unfortunate that sometimes legally acting people become victims. I’m by no means claiming this to be a good thing. And I believe, it is everyone’s responsibility to help clearing up wrong accusations and even more is it the core responsibility of governmental executives to treat observation and investigation cases with ever more care. However, fact remains – such things happen, also did they happen in the past.

My claim here is: This isn’t new. This isn’t a revelation. This isn’t a disclosure of the unknown. And this is by no means a reasoning why any kind of online services should be considered less secure than they have ever been before.

Remains the utterly hardest question: What can – what should – be done about it? Nothing? Abandon those programs? Let them Agencies act freely ever on just upon their will?

There’s no right answer to that, I believe. And I will always appreciate the aim of governments to reduce the danger of the next silly poacher causing a human life in the name of some religious interpretation …

I do think, the only rightful answer for acting and living within the fact of ubiquitous observation and data collection is two-folded:

  • Every single person has to act transparently, openly and humanly in a manner which obeys the laws, rules and regulations of his society for the benefit of a calm and secure life of everyone.
  • And every company – especially but by no means only telcos, security agencies and/or service providers – have to be fully transparent about every – literally: EACH and EVERY – interception of information running through their lines, services, …, their business.

I as a citizen have a right to know what is known about me by whom. And that includes Security Agencies to the full extent. In that, Ed Snowden’s revelations indeed serve the greater purpose of making a change to how governmental security treated privacy so far – and in that, they do need to be continued.


{ feature image from }

Published by:

Innovationskraft ist nicht das Problem!

Und so ist dies hier also mein erster österreichischer (vulgo: deutschsprachiger) Blogbeitrag. Garnicht so einfach, stelle ich gerade fest, wenn man es gewohnt ist, “English” zu schreiben … Und warum das Ganze? Weil diese Methode – “Arse First”, Greg Ferro’s Heransgehen an das Bloggen einfach immer noch funktioniert.

Bleibt die simple Frage:

Was war es diesmal

…, das mich dazu veranlasst hat, etwas zu schreiben?

Vergangene Woche besuchte ich das Pioneers Festival in der Wiener Hofburg: Eine Manifestation der Innovationskraft in der IT, ein Fingerzeig in die Richtung, in der sich die IT – nicht nur in diesem Lande, der Region oder Europa schlechthin – sondern einfach überhaupt hinbewegt. Eine grandiose Veranstaltung, die sogar einen nicht unbedingt genuinen Gründer wie mich (so, von der prinzipiellen Art her) motiviert. Ganz einfach durch den “Spirit”, der zwei Tage lang durch die altehrwürdigen Hallen der Hofburg wehte …

Und dann, am Abend des zweiten Tages, ergab es sich, dass ich wieder einmal Zeit fand, eine der regelmäßigen – durchaus guten – Veranstaltungen der APA EBC (eBusiness Community) zu besuchen. Ein Impulsvortrg mit Podiumsdiskussion zum Thema “Das neue Maschinenzeitalter: Wie die Automatisierung die Arbeitswelt verändert“. Peter Brandl (evolaris) sprach den Vortrag, der sich im wesentlichen mit Industrie 4.0 und IoT beschäftigte (der Mann hatte Gartner gründlich studiert und die wichtigsten Entwicklungen durchaus gut und launig zusammengesfasst). Vertreter von IBM, Kapsch und der TU Wien diskutierten danach mit ihm die brennenden Fragen rund um das Thema des Veranstaltungstitels, von welchen die heißeste offenbar jene nach dem möglichen Verlust von Arbeitsplätzen durch die nahen IT-technischen Zukunftsentwicklungen zu sein schien (Zusammenfassung gefällig?)

Während Andreas Kugi (TU) noch einige Male einbrachte, dass die innovativen und umwälzenden Entwicklungen der nächsten Jahre vor allem einer reformierten Art der Ausbildung bedürfen, hatten die übrigen Gesprächspartner offensichtliche Mühe, sich von Gemeinplätzen wegzubewegen. Warum? Weil ein Thema in der gesamten Diskussion – auch bei den Wortmeldungen aus dem Publikum (deren aus Zeitgründen überhaupt nur 3 zugelassen werden konnten) – völlig unter den Tisch fiel: Der Einfluss der Legislative an der Weiterentwicklung der IT in unserem und den übrigen Europäischen Ländern!

Letztendlich ist die Sachlage in unseren Breitengraden relativ simpel: Es gibt

3 einfache Punkte

für das Scheitern des Digitalzeitalters (neudeutsch: “Digital Business”) in unseren Landen:

  1. Während andernorts längst außer Diskussion steht, dass die Verbindung und nahtlose technologisierte Kommunikation von Menschen, Unternehmungen und Dingen Einzug in unseren täglichen (nein: nicht nur den Arbeits-)Alltag halten wird, war jene oben zitierte Diskussion über weite Strecken noch von der Frage geprägt, in welchem Ausmaß uns diese disruptiven Veränderungen treffen werden. Voll und ganz werden sie es – das ist relativ einfach vorherzusagen.
  2. Am – ebenfalls oben bereits erwähnten – Pioneers Festival meinte der Amerikanische Venture Capitalist Erik Bovee ( – Wien, Silicon Valley) wörtlich: “Venture Capitalists hassen Österreichisches Recht und Deutsche Besprechungsprotokolle”. Was als launige Bemerkung in einer einstündigen Präsentation zu StartUp-Tips gedacht war, zeigt eines schon sehr deutlich: StartUps und junge Unternehmer, die ihre Ideen vor allem mit den neuen Möglichkeiten der IT-Veränderungen unseres Zeitalters umzusetzen wissen, siedeln sich eher in Ländern an, die ihnen unterstützend unter die Arme greifen, als in solchen, die durch ihre Gesetzgebung oder regulative Kraft die Entwicklung und den Höhenflug einer brillanten Idee zu stoppen wissen.
  3. Eine weitere viel zu schwergewichtig in der genannten APA Podiumsdiskussion erwähnte Fragestellung war jene der Privatsphäre. O-Ton: “Natürlich ist es erforderlich, sich im Zuge des Platz-Greifens all dieser Industrie 4.0 und IoT-Technologien über den Umgang mit sensiblen Daten klar zu werden und dafür geeignete Maßnahmen zu ergreifen.” (eine Ebene, die übrigens bereits vor 6 Jahren in der damals hierzulande beginnenden Cloud-Diskussion immer wieder erklommen wurde – wohl um sich um die konkreten Cloud Computing Fakten herumzuschummeln – siehe auch diesen Blogbeitrag zum Thema). Die Frage nach den Chancen wird also offensichtlich wenn dann erst nach sorgsamer Betrachtung, Beantwortung und Regulierung möglicher Risiken in Augenschein genommen.

Ich glaube, wir sollten uns darüber im Klaren sein, dass die Weiterentwicklung von allem, was auf Basis von Cloud Computing in unsere alltägliche Lebenswelt Einzug gehalten hat – mobile Verfügbarkeit, der Einsatz sozialer Netzwerke für alles mögliche, Datananalyse in Echtzeit, inklusive entsprechender Schlussfolgerungen, die Verknüpfung von Informationen von uns, unserem Verhalten, den Dingen, mit welchen wir interagieren, … – nicht aufzuhalten ist. Wir sollten uns auch darüber im Klaren sein, dass diese Weiterentwicklung eine Unmenge an Chancen mit sich bringt, unser Leben – bei entsprechend weisem, bewussten Umgang damit – in jeder Hinsicht zu bereichern. Und wir sollten uns darüber im Klaren sein, dass da draußen irgendwo eine schier unglaubliche Anzahl an intelligenten, kreativen Menschen herumläuft (über 3.000 alleine am Pioneers Festival), die mit täglich neuen Ideen diese Weiterentwicklung aufgreifen, in Lösungen integrieren und vorantreiben.

Und wenn wir uns hinter Regularien und Gesetzen verstecken, die zu unserem angeblichen Schutz verankert werden – nun: Dann werden diese Menschen eben wo anders hingehen, um ihre Ideen zu verwirklichen. In der Tat: Das “Internet der Dinge”, intelligente Maschinen und Industrie 4.0 wird Arbeitsplätze lediglich verändern, nicht vernichten – in diesem Punkt stimme ich den Diskussionsteilnehmern der APA EBC Veranstaltung unbedingt zu. Vernichtet werden Arbeitsplätze in unserem Lande dadurch, dass den Möglichkeiten durch die Weiterentwicklung von Technologien und innovativen Ansätzen nicht genügend Platz, Raum und Recht gegeben wird.

In Österreich war Innovationskraft noch nie das eigentliche Problem! Das Problem war meist, dass sie nur in anderen Ländern wirklich Nutzen-schaffend ausgelebt werden konnte. Es wäre an der Zeit, das zu ändern. Dringend!


Update: Link zur Keynote von Peter Brandl

Published by:

Challenging Security

Security standards, guidelines, recommendations and audit instructions seem to evolve from nowhere just like weed wherever you’d need it the least. And – to share the bad news first: There’s no way out, no way to avoid any new standard created – at least not as soon as anybody in the field decided to adopt it. You’ll be second best instantly.


“The nice thing about standards is that you have so many to choose from”

says Andrew Tannenbaum.


I dived into security standards recently and got pretty bugged by the standards to choose from, hence, started to note things down in a structured manner and – well — dumped it here to re-find it (and to get your thoughts on it, to be honest … )


Some slight differences to know

There’s (security) standards, (security) reporting standards and (security) attestation standards.

ISO 27001 – oftenly quoted a “data center security standard” – is actually a process and control definition for information security matters in organizations dealing with information in the broadest possible sense.  names it a “specification for an ISMS” (Information Security Management System). Actually it is the only real standard dealing with information security as such.

SOC (“Service Organization Control”) – e.g. – is a reporting standard specifying how an organization or a certified public accountant (CPA) would issue reports according to common other (security control) standards such as SSAE16 or AT Section 101.

Having said that, it is further important to understand that – e.g. – SAS70 (deprecated) or its replacement SSAE16 describe a standard for attesting controls at service organizations. In other words, these standards set the guidance for assessment on (a set of) controls which shall serve the purpose for an organization to adhere to (security – but not only security) regulations, both financially and technically.

Finally: By ensuring compliancy with the respective standard as well as reporting on the respective compliancy the organization at the same time proves (to itself as well as to customers) that it adheres to the standard, hence has and keeps a respective level of security and (technical or financial) compliancy.

It is a matter of fact – unfortunately, if I may say – that ensuring compliancy as well as reporting this ensurement follows myriads of guidelines and policies and Cloud/SaaS providers will most probably need a bunch of analgesics to get rid of their headaches again

I’ll gonna provide an analgesics starter package in the next few lines …:


Attestation Standards

SSAE16 – Statement on Standards for Attestation Engagements No. 16

  • replaces SAS70
  • is issued by the American Institute of Certified Public Accountants (AICPA)
  • has an international equivalent – the International Standard on Assurance Engagements – ISAE 3402
  • is a framework
  • requires service organization to provide a description of their system to control financial transactions
  • plus(!) a written assertion by management of the organization (which as a significant addon to the former SAS70)

A good summary on SSAE16 can be found here. Overview on ISAE 3402 is provided here.

AT Section 101

To put it very simple, AT Section 101 adds additional guidance to service organization outside the area of financial controls. Having said that, AT Section 101 actually creates value for customers when assessing their chosen service organization towards its capability and compliancy in the areas of

  • Security
  • Availability
  • Processing Integrity
  • Confidentiality
  • Privacy

The SSAE16 resource guide provides a comprehensible explanation of AT Section 101 here.

Trust Services Pricinples – in addition to AT Section 101 – describe the above principles in more detail. Comprehensible one-liners of these principles can be found here.

No question, there’s more. I wouldn’t have talked of a “myriads” otherwise; however, let’s keep it with those being most commonly talked about at the moment (please, do drop a comment if you feel, I’m missing one in this respect)


The Cloud Security Alliance Cloud Control Matrix (CSA CCM) provides an addition to the before mentioned relating to information security tailored to the cloud industry. It is becoming increasingly common to add attestation according this standard to SOC 2 reports (see e.g. the Windows Azure Trust Center).

More on the CCM to find here


Reporting Standards

Let’s KISS – keep it simple and stupid: Recently what evolved to be THE reporting standard, is the (set of) Service Organization Control reports – or SOC reports. Their intention is to guide service organizations as well as certified public accountants (CPA) through how to compliantly report on a given standard.


  • is used to issue reports in accordance to SSAE16
  • can lead to SSAE16 Type 1 reports (reporting on the service organization’s control system itself)
  • or SSAE16 Type 2 reports (reporting on management’s description of the service organization’s control system)

It has – according to SOC1 Reports and SSAE16 (at the webpages) – become common understanding, not to speak of a SOC1 report but rather of a SSAE16 Type 1 or SSAE16 Type 2 report.

BUT: SSAE16 Type 1 and/or Type 2 is simply not enough … because:


  • is the standard to report on controls relevant to security, availability, processing integrity, confidentiality or privacy.
  • is conducted in accordance to AT Section 101
  • hence extends reporting of an organization’s control system on financial controls to those on the Trust Service Principles (see above).
  • can be issued as Type 1 or Type 2 report in the same way as SOC 1

Fair to say, therefore, that an organization NOT issueing and providing a report according SOC2 may not be claimed compliant with security constraints necessary for Cloud/SaaS provisioning.


is an addition for SOC 2 in accordance with the Trust Service Principles (see above). Scope of any SOC 3 based assurance engagement is essentially defined by the 5 Trust Service Principles (Security, Availability, Process Integrity, Confidentiality and Privacy) as stated further above.

SOC 3 in essence comes into place when neither SOC 1 nor SOC 2 nor additional security standards such as payment card regulations (PCI DSS or HIPAA Privacy Regulations) or the like are considered appropriate.


Finally: SarbOx

And why all that?

In 2002 – after facing significantly serious loss of trust with service organizations out of well-known bankruptcies and control system breakdowns – the US Congress passed the Sarbanes-Oxley Act into a law.

SarbOx – aka: SOX, SOA (what an unfortunate abbreviation!) or simply “the Act” – requires management’s certification over their financial results as well as management’s assertion on the effectiveness of an organization’s control system. Thus said, it somehow forms the basis for all evolved standards in the respective area. If interested in that even more boring (yet: important!) aspect of security, check out this ->


So, truth is: There’s no way out

Having only walked through all the high level definitions of the mentioned standards and at the same time having understood the importance that analysts – and customers respectively – pose towards service organizations to assert their internal control system successfully, I reckon that there’s quite a way to go if you intend to become a trusted Cloud provider. So, actually there’s good news only for those, who’ve already started pathing their security way …


Related articles


Published by:

Internet behavioural education

Facebook: 1.26 billion users; Twitter: 500 million

Gmail: 425 million users (but Google+ only 343 – interesting, actually) and 400 million

WhatsApp: 300 million

LinkedIn: 238 million

Skydrive: 250 million

Shazam: 350, Spotify: 24, eBay: 120, Instagram: 150, Flickr: 87, Netflix: 38 million

Even Paypal (the payment platform: note – it’s about money!) has 132 million users


And then there’s this guy – a German “Spiegel” journalist – doing a self experiment by asking a group of hackers to inject malicious software into his devices (the full – German – article is here); and within 5 days his privacy is revealed and shared with millions, he’s outed gay on facebook, has a status posted that he’d resigned from his job, … …

… proving – by that experiment – that millions of billions of Internet users are actually idiots.


How can millions of billions still dare to use those services when it’s so ludicrously simple that their privacy is disclosed? Obviously the vast majority of those users still move safely around the net without fear. Why?

Maybe because they don’t reuse nor share their passwords, keep their pins secret, make use of elevated security measures (like security questions, alternate email, privacy settings). Maybe they also don’t click suspicious links in suspicious emails.


Folks – here’s a secret: Malicious software has to find its way into your devices first in order to successfully unfold its maliciousness!

I’m rather asking: How can an obviously small number of un-educated Internet users raise fear within the majority and thereby help such articles gain attention?

Maybe, we could push Internet behavioural education in our schools? I reckon, this might help more than slightly unrealistic self experiments …


(Figures above sourced from

Published by:
%d bloggers like this: