Zu doof für Ligaturen

Die Geschichte ist nicht neu, aber seit Jahrzehnten herrscht in Deutschland ein riesiges misverständnis über eine Ligatur. Auslöser dass ich nun darüber schreiben muss sind folgende Zeilen aus dem Buch “Generation Doof”:

Durch Mund-zu-Mund-Propaganda haben sich zwei weitere großartige Missverständnisse festgesetzt: ß wird grundsätzlich zu ss, und Kommata kann ich so setzen, wie ich lustig bin. Damit gelingt es auch dem Letzten, seinen Satz so zu verhunzen, dass man, Jahre, braucht, um zu, entschlüsseln, was, gemeint ist.

Es geht um dieses “Beta”, allenthalben auch als “scharfes-s” oder “sz” bekannt, was es natürlich alles nicht ist. Es ist nämlich überhaupt kein Zeichen, sondern im Rahmen des Schriftsatzes allenfalls eine Glyphe, es ist nämlich eine Ligatur für “ss”.

Da wir es nun früher mit zwei verschiedenen “s” zu tun hatten, nämlich dem langen, das welches aussieht wie ein “f” (na fast: “ſ”) und innerhalb des Wortes benutzt wurde, und dem kurzen, welches tatsächlich wie ein “s” aussieht und am Wortanfang oder -ende steht, ergibt sich durch den Zusammenzug von “ſs” eben dieses beta-ähnliche Konstrukt ß.

Selbstverständlich ist es komplett unlogisch und inkonsequent sämtliche Ligaturen zu ignorieren aber diese eine behalten zu wollen, und das ganze auch noch in irgendwelchen Gremien durchzuwürgen so dass es tatsächlich in verschiedene Zeichensätze aufgenommen wurde, oder gar auf Tastaturen auftaucht. Wo bitte ist etwa das st? Und alle anderen Ligaturen: Æ, æ, Œ, œ, IJ, ij, ᵫ, ff, fi, fl, ffi, ffl, ſt? Weshalb sollen die nicht mehr geschrieben werden, aber ein “ss” muss als Ligatur geschrieben werden? Und vorallem, wo ist das “ſ”?

Übrigens läuft nicht der gesamte deutsche Sprachraum diesem Blödsinn nach. In der Schweiz wird diese Ligatur tatsächlich offiziellerweise niemals verwendet, ausser man würde in einem Text auch alle anderen Ligaturen verwenden. Das hat natürlich in der deutschsprachigen Wikipedia auch zu einem halben Krieg geführt, als man herausgefunden hat dass da Schweizer nicht in Baskerville oder Caslon schreiben und ergo auch keine Ligaturen verwenden…

Ich persönlich liebe ja Ligaturen (und Baskerville und Caslon) aber entweder man schreibt konsequent mit Ligaturen, oder man lässt es sein. Aber die Generation Doof hat offensichtlich immer noch nicht mitgekriegt dass ß eine Ligatur ist und wird dessen unzeitgemässe Verwendung vermutlich bis aufs Blut verteidigen. Vorher werden sämtliche Kommaregeln abgeschafft.

Security as Service

I’ve been sceptical about offerings of Security as Service. It’s sounds an awful lot like “Outsourcing Security”, and security is a process which involves every aspect of business or life.

However, I’m working now in a company which does just that, selling Security as Service. And I think it can work. As opposed to any other company which sells you a product, or some other services, if you’re selling security, you’ve got an interest in your customers security not being breached. Because you will loose that customer.

If you’re a Bank, you sell banking services. As long as the cost of one of your clients accounts being misused is not really your cost, the security of your clients is a total non-issue. The same goes for vendors of security-appliances. The client bought it, and already paid it, so if somebody hacks it, it’s not really your problem, unless you get bad publicity out of it.

And we’ve seen with the whole “full-disclosure”-debate, that bad publicity is a very weak instrument, and some companies can take hideous amounts of it before they improve security. Microsoft is the classical example; it took them aeons to do something about security, and the security of its products is still very weak.

On the other hand, if you get paid by subscription, you have a very real interest in keeping the customer. That means you have an interest of providing the services you are being paid for. If it’s not security the client pays for, this also means that security is probably not your concern (as seen with banks and credit card companies).

Of course, security embedded in you company will be much more capable and resilient. You can design every process with security in mind. You can choose specific products with a good security track-record. You can have system administrators with a very intimate knowledge of your network and IT-landscape, who can provide for a very fine-grained incident-response and emergency management.

But most smaller companies can’t have that. Because they don’t have the expertise, the money to hire specialists, and most of all, an IT-landscape that is not modeled by security-considerations but by habit. And habit is of course the biggest foe of security. It could be his friend too, but old habits die hard, and most people today grew up in a world where not everything was networked, and where systems of a company which gave a damn about networks and security were, and still are, prevalent. So the people in these companies don’t have the slightest clue about security, e-mail their passwords around, get their negotiations eavesdropped on mobile phones, infect their computers with viruses and get their e-banking accounts phished.

And this is where Security as Service can help. It can’t make you into a company where everything is secure. But it can mitigate some of the effects the security-unconscious acts of your employees cause. It can filter out malicious emails before someone can click on it, or some stupid mail client executes the malware-payload on its own. It can encrypt the emails at least between hosts. It can keep the botnets at bay that try to penetrate your servers. And it can provide incident-response if something goes wrong.

And finally, Security as Service is the fundamental better idea than Security as Product. Because Security is a Process, it never ends; and because with any product you bought, the sale is done, and the supplier is only interested in selling you another product, but not in making the already sold product better. Furthermore, if you lack the expertise, will you even be able to manage the product correctly?

There are those who can, with in-house security expertise, where it would be stupid to outsource it. But for the rest of us, there’s at least a certain measure of security available with Security as Service.