spackblog

Im Lawblog thematisiert Udo Vetter heute das grob fahrlässige System der Sofortüberweisung. Ich habe schon zwei mal mit größten Bauchschmerzen mit diesem System Bestellungen bezahlt und wollte immer mal was darüber schreiben. So denn.

Worum geht es also bei der Sofortüberweisung? Ähnlich wie bei PayPal wird man aus dem Bestellvorgang beim Online-Shop auf die Seite des Payment-Dienstleisters (sofortueberweisung.de und ich meine irgendwann noch einen weiteren gesehen zu haben) umgeleitet. Dort sieht man Details über die Bestellung im Online-Shop und tätigt dort die Zahlung. Bei der Sofortüberweisung gibt man dazu auf der Seite des Dienstleisters die eigene Kontonummer, die Bankleitzahl, den Kontoinhaber, die PIN und abschließend auch eine TAN ein. Der Dienstleister kontaktiert damit das Online-Banking der Bank und tätigt dort die Überweisung im Namen des Kontoinhabers. Hier stutze ich: Steht in den Nutzungsbedingungen der Banken nicht klipp und klar, dass man weder PIN noch TANs jemals einem Dritten überlasen darf? Sagt einem das nicht auch jeder Sicherheitsexperte? Für solche Vorgänge gibt es auch einen etablierten Namen: Phishing.

Das System ist also by Design ein Unding und läuft allen Bemühungen zur Phishing-Aufklärung zuwider. Warum wird es also von seriösen Online-Shops (mir fallen spontan conrad.de und cyberport.de ein) angeboten? Klar, es erweitert das System Vorkasse um die Möglichkeit der sofortigen Zahlungsbestätigung, das ist bequem für den Nutzer und den Anbieter zugleich. Aber zu welchen Kosten?

Ich rate dringend davon ab. Klar mag man dem Laden vertrauen, der sogar ein TÜV-Siegel trägt. Es ist ja nur ein Dienstleister und damit ist das ganze noch recht überschaubar. Aber was ist, wenn der nächste Laden einen anderen Dienstleister mit dem gleichen oder noch schlimmer einem nur ähnlichen System ins Spiel bringt? Was, wenn unseriöse Phisher sich eine beliebige neue Seite mit gefaketem TÜV-Logo bauen? Wer soll das unterscheiden können? Die Leute fallen ja schon auf schlecht gemachte Nachbauten ihrer eigenen Hausbank herein, die sie ganz gut kennen müssten. Und was, wenn die Daten bei dem Dienstleister nicht sicher sind? Soweit ich weiß, betreiben die kein Hochsicherheits-Rechenzentrum wie die Banken und stehen erst recht nicht für Missbrauch gerade. Ach ja: Für Bankkunden ohne PIN/TAN-Verfahren klappt das System schon mal gar nicht.

Das ist wie wenn man im Laden an der Kasse jemandem mit irgendeiner beliebigen Uniform ("Geldholservice" oder so) seine EC-Karte samt PIN in die Hand drückt, damit dieser beim Geldautomaten schnell Bargeld holen geht: Völlig irre, würde niemand machen (stimmt leider auch nicht). Die Bank kann sich bei solchem Missbrauch übrigens gemütlich zurücklehnen, immerhin hat man glasklar gegen die Nutzungsbedingungen verstoßen.

Eingeschränkt gilt meine Kritik auch PayPal und Co., weil man dort ebenso kaum kontrollierbar auf eine Paypal-Seite weitergeleitet wird, die im Prinzip jeder nachbauen könnte und damit die Paypal Zugangsdaten ergaunern. Wer achtet schon auf Sicherheitszertifikate und eine korrekte URL. Paypal ist Phishing-Risiko pur.

Ach ja, ich habe die Sofortüberweisung schon zwei mal genutzt. Warum tue ich sowas, obwohl ich Kunden und Freunden davon abrate? Beide Male brauchte ich die Ware recht dringend und konnte daher nicht auf Vorkasse zurückgreifen. Nachnahme ist indiskutabel teuer und das Paket kann dabei auch nicht bei den nachbarn abgegeben werden. Und schließlich habe ich für mein Geschäftskonto keine Kreditkarte. Ach ja: Bei Conrad klappte übrigens die Zurückleitung in den Shop nach der Zahlung nicht (ich benutze Opera, da funktionieren die wenigsten Zahlungsdienste sauber), so dass ich die Bestellung nur mit einer erneuten Befüllung eines Warenkorbs mit anschließender Vorkasse-Bestellung und einer Mail an den Support korrekt abschließen konnte. Hölle!

P.S. Klar haben die Shops eine berechtigte Angst vor Rücklastschriften, aber die Sofortüberweisung kann keine Lösung dafür sein.

Fast jeder schaltet schon ab, wenn er nur den Begriff Passwort hört. Viele Leute benutzen aus Bequemlichkeit ein oder vielleicht zwei oder drei verschiedene Passwörter für all ihre Internetkonten. Wenn diese Leute schlau sind, ist das ein halbwegs sicheres Passwort aus mindestens acht Zeichen, die zufällig aus Buchstaben und Zahlen bestehen. Jetzt kommt das Aber:

Nicht zuletzt der aktuelle Fall mit den abhanden gekommenen Zugangsdaten der PWC-Jobbörse zeigt mal wieder eindrucksvoll, dass das alleine noch nicht reicht. Da man nicht wissen kann, wie sicher die Passwörter beim jeweiligen Anbieter gespeichert werden – bei PWC etwa im Klartext und trotz Abmeldung über Jahre hinweg – muss man leider tatsächlich für jedes Konto ein eigenes Passwort generieren und verwenden. Ich hatte mal vor ein paar Jahren ein einschneidendes Passwort-Erlebnis mit dem FH-Rechenzentrum: Ich hatte meinen Benutzernamen für den WLAN-Zugang vergessen (der eine offenbar zufällig vergeben Zahl beinhaltet) und habe per E-Mail bei der DVZ nachgefragt. Als Antwort bekam ich den gewünschten Benutzernamen und die Information, mit welchem Zeichen mein Passwort beginnt. Huch? Dort werden die Passwörter also im Klartext gespeichert und können mindestens von den Mitarbeitern bequem eingesehen werden. Seitdem achte ich penibelst darauf, für jeden Webdienst ein eigenes Passwort zu benutzen. Und ja, das ist lästig.

Kleiner Tipp für Vergessliche: Das Programm KeePass ist ein wirklich guter Passwort-Manager und OpenSource und für etliche Plattformen erhältlich, etwa auch für Windows Mobile; man kann seine Passwörter also immer dabei haben. Auch die Passwort-speichern-Funktion in den aktuellen Browsern ist recht praktisch, allerdings bei weitem nicht so sicher. Also hier nur weniger wichtige Passwörter hinterlegen.

Nicht nur Frontal 21 publiziert (nennt man das bei Fernsehmagazinen so?) fragwürdige Beiträge zu verschiedenen Themen, auch Report München ist gut dabei. Einfach mal lesen und wirken lassen. Mit fällt dazu nicht mehr viel neues ein. Obwohl, doch, fast die gleiche Problematik gab es vor 20 Jahren schon mal irgendwie (hier geht es um das Lied und nicht die militärischen Bilder). Foyer des Arts haben das schon damals gut auf den Punkt gebracht. Es lebe Max Goldt.

Ach ja, man kann es nicht oft genug sagen: Es gibt durchaus einen Unterschied zwischen der freiwilligen Preisgabe verschiedneer persönlicher Daten im Internet (Blogs, StudiVZ etc.) und der zwangsweisen Totalprotokollierung aller Kommunikation. Mir ist vollkommen schleierhaft, wie man diesen offensichtlichen Unterschied nicht schnallen kann… Warum benutzt man in Fickbörsen wohl Pseudonyme? Und warum schreibe ich in meinem Blog wohl nichts über trunkene Besuche in Table-Dance-Bars oder Drogenexzesse oder über heimliche Liebschaften (exemplarische Aufzählung)? Ganz einfach, weil ich für mich persönlich eine Grenze gezogen habe zwischen Dingen, die ich für mich behalte und Dingen, über die ich mich öffentlich äußere. Informationelle Selbstbestimmung nennt man das übrigens, falls einem die Stichwörter ausgehen.

Verdammt! Schon wieder halb vier geworden und ich bin mit meinem Script für morgen noch immer nicht fertig. Die armen Studenten bekommen morgen einen illusteren Querschnitt durch die Computersicherheit um die Ohren gehauen, dass es nur noch fiept. Tut mir echt leid. Mal schauen, was ich weglassen kann.

Dafür hab ich ein echt cooles T-Shirt für morgen, das mir inhaltlich wie geschaffen scheint. *evil*

Für meine Arbeit muss ich Safari auf meinem Windows-Rechner installieren. Grundsätzlich mag ich Webkit ja, aber Safari ist unter Windows, genau wie iTunes und Quicktime, ein Fremdkörper, der sich weder an Konventionen zur Fenstergestaltung hält, noch an übliche Menüaufteilungen unter Windows. Wirklich unschön. Was mich aber zur Weißglut treibt ist das Apple Software Update, das Apple-Software auf dem neuesten Stand halten soll. Grundsätzlich halte ich das für absolut wichtig, aber nicht in der Form, wie Apple das macht: Man bekommt nämlich nicht nur Updates für die installierte Software vorgeschlagen, sondern auf wirklich aufdringliche Weise auch iTunes und Quicktime, die ich beide nicht haben will. Beide sind aber standardmäßig zur Installation ausgewählt und wenn man sie abwählt, erscheinen sie nach dem Safari-Update direkt wieder ausgewählt als noch ausstehende Updates. Eine absolute Unverschämtheit!

Das ganze funktioniert auch andersherum, wie man sich bei computerbase.de heute beschwert. Was soll das? Dieser Missbrauch der eigentlich wichtigen Update-Funktion bringt diese nur unnötig in Verruf, nicht nur die von Apple, sondern von jeder Software. Ich kenne genug Leute, die aus irgendeiner Paranoia oder aus Genervtheit heraus Updatefunktionen abschalten oder ignorieren. Ist ja auch sooooo lästig, seinem Firefox alle paar Wochen ein Update abzunicken und ihn dann irgendwann mal neu zu starten. Honks.

Andere Update-Funktionen sind nicht so klug wie die von Mozilla. Bei Skype zum Beispiel muss man immer das komplette (über 20MB große) Installationspaket saugen und installieren, ebenso bei Opera und vielen anderen Programmen. Unschön, aber in dem Fall nicht völlig unkomfortabel. Den Vogel schießt aber OpenOffice.org ab, das einen auf die ganz normale Download-Seite verweist, das über 70MB große Paket laden und komplett neu installieren lässt; inkl. Lizenzvertrag abnicken und neuem Programmordner bei Versionssprüngen. Das ist wirklich die denkbar unkomfortabelste Update-Funktion überhaupt.

Kurz der Sachverhalt:

1. Bank hat Hundekackspuren in der Schalterhalle
2. Bank prüft Aufnahmen der Videoüberwachung
3. Bank recherchiert Identität der Kundin, deren Tochter die Hundescheiße am Fuß hatte
4. Bank schickt Rechnung über die Reinigungskosten (Steinboden laut Quelle) an Kundin
5. SWR berichtet
6. Blogger lachen drüber, sehen sich aber gleichzeitig in ihrer Kritik am Überwachungswahn bestätigt

Das Thema ist schnell hochgekocht, so dass es momentan Topnachricht bei Rivva ist. Nerdcore bringt es schon in der Überschrift auf den Punkt: Kacküberwachung, Udo Vetters Kommentatoren sehen das – wie immer – etwas differenzierter und Fefe braucht nur einen Satz für die Nennung des Dilemmas:

Erst "DIE TERRORISTEN" bzw "DIE KINDERSCHÄNDER", dann "Straftäter" und am Ende Hundekacke und Warez-Downloads.

Ja, da kann ich nur zustimmend nicken: Genau so sieht es aus. Schön, dass diese Story so lustig ist; dadurch findet sich eine gewisse Verbreitung der Problematik. Klar ist Videoüberwachung in Banken ein Alter Hut und ein nachvollziehbar sinnvoller dazu. Das Problem entsteht noch nicht mal dann, wenn diese Überwachungstechnik für solche Zwecke genutzt wird. Der Fall zeigt nur eindrucksvoll, zu welchen Stilblüten solche Technik führt und bringt die Frage auf den Tisch, ob man sowas allenthalben haben möchte. Überwachung gegen Hundescheiße finde ich persönlich eigentlich einen guten Zweck (halbironisch), aber nicht gegen die Opfer, sondern die Täter…

Nachtrag: heise.de war etwas ausführlicher.

Nachtrag 09.02.08: Man wies mich darauf hin, dass heise.de nachgetragen hat: Nix Hundekacke am Hacken, sondern frische Kinderkacke hochstselbst platziert und nicht mal unbemerkt von der Mutter. Interessante Wendung allemal, nimmt etwas den Witz aus der Geschichte (oder fügt ich hinzu für manchen). Trotzdem bleibt der Fingerzeig in Sachen Überwachung und Totalprotokollierung.

Das Ding mit der Vorratsdatenspeicherung ist durch. Nachzulesen eigentlich überall (einfach jetzt mal bei rivva.de reinschauen), gut aufbereitet auch bei heise.de. Hervorzuheben ist davon dieser Absatz:

"Das Fernmeldegeheimnis wird von den Gerichten wieder hergestellt werden", meint Patrick Breyer von dem Zusammenschluss von Bürgerrechtsorganisationen und Internet-Nutzern. Dagegen sei die Wählbarkeit von SPD, CDU oder CSU für die Generation Internet "endgültig verloren gegangen". Diesmal habe die Koalition noch "auf stur geschaltet", ergänzt der Politikwissenschaftler Ralf Bendrath. "Aber der Protest gegen die Vorratsdatenspeicherung wird sich ausweiten zu einer gesellschaftlichen Bewegung für mehr Freiheit und weniger Angst."

Der von mir hervorgehobenen Aussage kann ich nur voll zustimmen. Ich habe mich übrigens schon vor einiger Zeit dieser "Sammelklage" angeschlossen, es schadet sicher nicht, da ebenfalls mitzumachen. Man muss leider einen unterschriebenen Wisch per Schneckenpost verschicken. Ich halte diese Klage übrigens für recht aussichtsreich, das in meinen Augen diese verdachtsunabhängige Vorratsdatenspeicherung glasklar gegen verschiedene Grundrechte verstößt. Mal schauen, die Hoffnung stirbt zuletzt.

Nachtrag: Für die "Ja, aber…"-Sager gibt es hier eine Sammlung von Statements pro Vorratsdatenspeicherung, zu denen ausführlich Stellung genommen wird. Mir ist bisher kein Pro-Argument unter gekommen, das zutreffend wäre. Aber testet es einfach selbst aus. Hier geht es weiter mit den Stellungnahmen zu populistischen Argumentationen Contra Datenschutz.

So, passend zu meinem neuen und ultra scharfen Stasi 2.0 Shirt (ich hab das retro2) haben die Grünen (was soll das alberne Bündnis 90 im Namen eigentlich noch) die witzige Seite schnueffel-schaeuble.de aufgezogen. Meldung auf heise.de dazu.

Wenn ich das Shirt so trage fällt mir allerdings auf, dass die wenigsten überhaupt über den Schäubleschen Amoklauf Bescheid wissen. Wirklich erschreckend. Nur die Frau an einer Losbude auf der Kirmes gestern nickte anerkennend und ein Typ sagte zu seiner Freundin: "Geiles T-Shirt, ne?" und erklärte ihr darauf, was das bedeutet.

Schlimmdas, wenn die Leute nicht mal Bescheid wissen. Wie man das findet ist ne andere Frage, aber dazu muss man wenigstens sehen, was da auf uns alle zukommt. Also geht in die Welt und informiert Euch über die gruseligen Besprebungen zu Bundestrojaner, Vorratsdatenspeicherung, Alles-Überwachung und die ganzen anderen schönen Ideen. Wo? Macht mal die Augen auf und lest auch, was im Spiegel Online so Woche für Woche passiert. Dafür muss man wirklich nicht erst heise.de lesen. Jede ernst zu nehmende Newsquelle berichtet darüber, sogar auf die Titelseiten von Bild und Express hat es das Thema schon geschafft. Die oben erwähnte Seite von den Grünen fasst das schon kurz in einem Absatz zusammen.

Vorgekaute Links für die Faulen (Achtung, teilweise Aktivistenzeugs):

• dataloo.de Aktivismus kann auch cool und hip sein, hier kommt das T-Shirt her
• vorratsdatenspeicherung.de mit 5-Minuten-Info zum Thema
• heise.de 16.07.2007: Vorratsdatenspeicherung für eine 0,006 Prozentpunkte höhere Aufklärungsquote sehr lesenswert!
• heise.de 10.07.2007: Mit neuen Vorschlägen mischt Schäuble die Sicherheitsdebatte auf Struck vergleicht Schäuble mit einem Amokläufer, guter Vergleich!
• Telepolis Schwerpunkt "Stasi 2.0"

P.S.: Gleich drei neue Tags heute: Aktivismus, Politik, Stasi 2.0

Meine Herren. Symantec (Norton Antivirus) baut seit Jahren den so ziemlich nervigsten und unbeliebtesten Virenscanner, der aus unerfindlichen Gründen aber wohl noch immer Marktführer ist. Vor allen kommen die Signaturupdates deutlich später als bei vielen anderen Herstellern. So viel zur Vorgeschichte.

Vor einigen Wochen brachte Avira ein fehlerhaftes Update heraus, das eine Windows-Datei unkorrekt als Virus erkannte und so für einige Verwirrung sorgte. Bereits eine Stunde später wurde ein weiteres Update nachgeschoben, dass diesen Fauxpas behob. Alles easy also.

Das hielt aber einen Symantec-Mitarbeiter auf der Hobbytronic in Dortmund nicht davon ab, in etwa folgendes zu sagen: Unsere Updates kommen zwar nicht so schnell wie bei anderen Herstellern, dafür testen wir auch alle Updates ausreichend. Dieser süffisante Seitenhieb ist mir damals schon sehr sauer aufgestoßen. Aus der Not eine Tugend zu machen kann manchmal sehr offensichtlich sein.

Nun begab es sich aber gestern, dass Symantec in China ein Update auslieferte (Beitrag bei winfuture.de), dass auf den davon betroffenen Rechnern die Windows-Installation so schwer beschädigt, dass ein Neustart mit einem Bluescreen abbricht und dieser Zustand nur mit der Wiederherstellungskonsole behoben werden kann.

Insgesamt bedarf diese äußerst peinliche Konstellation meiner Meinung nach nicht einmal eines Kommentars. Ich wüsste auch nicht, was ich dazu noch sagen sollte. Sowas kann natürlich jedem Hersteller passieren, aber in Anbetracht der blöden Kommentierung des Symantec-Schmierlappens auf der Hobbytronic stellt sich bei mir eine gewisse Genugtuung ein.

Nachtrag: Ich war nur auf der Hobbytronic, weil sie im Eintrittspreis der Intermodellbau inbegriffen ist. Machts aber auch nicht besser, oder?

Immer wieder sehe ich auf verschiedensten Rechnern irgendeine Toolbar installiert. Sei es die Google-Toolbar, MSN, Yahoo, ICQ oder was auch immer. Vielleicht gar die gruselige, aber konsequent weiter gedachte Idee: Google-Desktop. Die Fragen, die sich mir dann immer stellen, sind folgende:

1. Wer zur Hölle braucht diese Toolbars?
2. Sind die absichtlich auf den Rechner gekommen?
3. Werden sie überhaupt benutzt?
4. Sind sie dem Computerbesitzer überhaupt aufgefallen?
5. Warum sind auf den schwächsten Rechnern (gerne mit nur 256MB oder gar nur 128MB RAM ausgestatteten) die meisten Toolbars zu finden, die am wenigsten benutzt werden? Ganz abgesehen von den mehreren Instant Messengern, den ausgeschalteten automatischen Updates und all den anderen schönen Gruseligkeiten.

Ich habe wirklich noch niemanden gesehen, der eine dieser ständig laufenden Toolbars benutzt hätte. Der allereinzige sinnvolle Einsatz ist doch die Anzeige des Google-PageRank (zum Preis eines minutiös aufgezeichneten Surfprofils). Suchfelder sind in jedem besseren Browser zu finden und die komischen anderen Funktionen braucht man nicht ständig nur einen Klick entfernt zu haben. Für sowas gibt es Bookmarks, wenn man denn nun unbedingt das tolle XY-Spiel so liebt.

Absichtlich oder nicht ist ebenfalls so ne Frage. Die Auskenner ist ein witziger Schnelltest, ob Leute wirklich auch nur im Ansatz ihren Computer im Griff haben. Und Aufgabe eins ist schon sehr gut: Installier ein Windows mit allen nötigen Programmen, ohne Dir eine (in dem Fall die Google-)Toolbar aufschwatzen zu lassen. Da geht es schon los. Ich bezweifle ernsthaft, dass auch nur 10% der User so eine Toolbar aus freien Stücken installiert haben.

Nun zur letzten Frage: Sind Leute, die so einen alten Computer benutzen besonders anfällig für bösartige und unnütze Software? Wenn ich mir die Leute angucke, die mit so alten Gurken (6-10 Jahre sind da keine Seltenheit) arbeiten, dann muss ich leider deutlich einen Zusammenhang feststellen zwischen der Weigerung, sich angemessen auf die Technik einzulassen und dem Alter der verwendeten Hardware. Klar gibt es auch Leute, die sich nach zwei Jahren einen neuen Computer kaufen, weil die ganzen Toolbars den alten Aldi-PC soooo langsam machen und sie keinen Bock haben, da einfach mal aufzuräumen. Das sind Leute, für der Computer eine gewisse Wichtigkeit einnimmt, die aber trotzdem keine Lust haben, sich darauf ernsthaft einzulassen und die vor allem genug Geld für solche Spielchen haben. Bei dieser Gruppe finde ich übrigens regelmäßig die meiste überflüssige Software neben der Uhr.