DHL Elektronik Transportschaden

[Arno Welzel]

Andreas Neumann:

Arno Welzel wrote:
[...]
Entscheidend ist doch, dass die Sicherheitsprobleme beseitigt sind und
sowas nicht nochmal passieren kann.

Sind sie das? Woher weißt du das?

Keine Ahnung. Ich wollte damit nicht ausdrücken, dass Pollin
nachweislich alle Sicherheitsprobleme beseitigt hat, sondern dass es
entscheident ist, dass es keine solchen Probleme geben darf.


--
Arno Welzel
https://arnowelzel.de

 

[Arno Welzel]

Hergen Lehmann:

Am 10.11.18 um 11:57 schrieb Arno Welzel:

Und was genau hätte ein "tut uns leid, wir haben wohl was übersehen und
deshalb konnten Hacker in unseren Server eindringen" geändert?
Entscheidend ist doch, dass die Sicherheitsprobleme beseitigt sind und
sowas nicht nochmal passieren kann.

Entscheidend ist vor allem, das die Kunden zeitnah gewarnt werden (ist
das geschehen?), so das sie Kennwörter ändern und auf verdächtige
Kontobewegungen achten können.

Genau das ist ja passiert.

Der Glaube, das "sowas nicht (nochmal) passieren kann", ist der erste
Schritt zum nächsten Vorfall. Absolute Sicherheit gibt es nicht, nur
Wachsamkeit.

Ich glaube gar nichts. Ich sage nur, dass es entscheidend ist, dass die
Sicherheitsprobleme beseitigt werden. Deswegen habe ich auch eine
gesetzliche Verpflichtung gefordert, dass Online-Shops ihre Sicherheit
nachweisen durch unabhängige Dritte lassen müssen.

[...]

Was mehr bringen würde: gesetzliche Regelungen, die in solchen Fällen
eine Geldstrafe für fahrlässigen Umgang mit vertraulichen Daten und die
Durchführung eines Sicherheits-Audit durch eine unabhängige Stelle
vorsehen - selbstverständlich auf Kosten des Unternehmens und mit der
Auflage, die beanstandeten Punkte in einer vorgegebenen Frist zu
beseitigen. Und falls das nicht möglich ist, wird der Online-Shop
dichtgemacht, bis die nötige Sicherheit hergestellt ist.

Noch mehr Bürokratie würde nur zu einer weiteren Marktbereinigung
zugunsten der Großen führen.

Findest auch regelmäßige Lebensmittelkontrollen schlecht, weil große
Konzerne Verstöße dagegen leichter bezahlen können, als kleine Betriebe
oder Einzelhandelsgeschäfte?

Abgesehen davon kann man Strafen auch anteilig am Umsatz gestalten und
großen Unternehmen deutlich höhere absolute Beträge auferlegen, als kleinen.


--
Arno Welzel
https://arnowelzel.de

 

[Hergen Lehmann]

Am 10.11.18 um 23:03 schrieb Hartmut Kraus:

Wie gesagt: Das System "Kreditkarte" war viele, viele Jahre ziemlich
alternativlos, wenn man im Ausland bestellen wollte oder musste.
BankĂźberweisungen und Lastschriften z.B. sind in den USA so gut wie
unbekannt, das bietet dort kein seriÜser Händler an.

Klar - typisch USA. Das Land der unmÜglichen Beschränktheiten, aber
nicht erst, seit sie in ihrer Beklopptheit einen Immobilienhai zum
Präsidenten gemacht haben. Einen schlechten Schauspieler hatten sie ja

Das ist kein USA-spezifisches Problem (auch wenn es da besonders extrem
ist).

Es ist noch nicht allzu lange her, da waren selbst AuslandsĂźberweisungen
innerhalb der EU ein komplexes und kostenintensives Unterfangen. Die
einzig praktikable Lösung für haushaltsübliche Bestellsummen hieß auch
da meist "Kreditkarte".

Die latente Unsicherheit des Systems ist allgemein bekannt, was auch
seine Vorteile hat - man hat dadurch als Betroffener recht gute
Chancen, sein Geld zurĂźck zu bekommen.

Das ist natĂźrlich ein Vorteil, ha, ha. GegenĂźber dem, was eigentlich der
Normalfall sein sollte: Dass sowas gar nicht erst passiert - und wenn,
sie dann die Gangster gleich am Kanthaken haben.

So krank es klingt: Ja, ein technisch unsicheres System mit
Rechtssicherheit zugunsten des Verbrauchers ist tausendmal besser als
ein vorgeblich(!) sicheres System mit unvermeidlichen, aber vor Gericht
kaum beweisbaren LĂźcken.

Paypal kam erst später und hat auch seine Macken. Unter anderem die,
das sich noch keine etablierte Rechtssprechung gebildet hat, wie bei
Missbrauchsfällen zu verfahren ist.

Nee, aber wenn mein Hausarzt einen Befund an die Rheumatologin mailt,
kann er Probleme mit der DSGVO kriegen ... Nicht drĂźber nachenken!

Ja, die US-Datenkonzerne haben sich da eine wunderbare WohlfĂźhloase in
einem nahezu rechtsfreien Raum gebastelt.

Und die DSGVO wurde dank massivem Lobbyismus so verwässert, das sie mit
ihren windelweichen Formulierungen und ihrem kranken Zustimmungs-Prinzip
im Alltag richtig Probleme macht, während die großen Scharlatane die
Zustimmung einfach erpressen und weitermachen wie gehabt.

Hergen

 

[Arno Welzel]

Hartmut Kraus:

Am 09.11.18 um 14:17 schrieb Arno Welzel:
Ich wĂźrde das nicht "Dummheit" sondern eher "Unwissenheit" nennen.

Erklärst du mr mal den Unterschied?

Wer dumm ist, kann es auch nicht lernen. Wer unwissend ist, kann diesen
Zustand auch ändern.

--
Arno Welzel
https://arnowelzel.de

 

[Arno Welzel]

Hartmut Kraus:

Am 10.11.18 um 23:45 schrieb Arno Welzel:
[...]
2ct/h klingt natĂźrlich erstmal beeindruckend. Aber pro Monat sind das
auch 14,40 EUR. Bei Netcup gibt es einen Rootserver inkl. 320 GB
Speicherplatz ab 6,99 EUR:

https://www.netcup.de/bestellen/produkt.php?produkt=2103

Hm, sieht ja erst mal beeindruckend aus. Aber das waren andere auch
schon. Gibt's Erfahrungen mit netcup?

Ich habe einen eigenen Root-Server und Storage dort bisher keine
Probleme gehabt. Standort ist Karlsruhe. U.A. nutze ich auch eine
größere Nextcloud-Instanz auf dem Server für ca. 80 Nutzer, die
problemlos und flßssig läuft inkl. OnlyOffice und Draw.io in
Docker-Containern.

Meine Website <https://arnowelzel.de> läuft (neben diversen Websites
guter Freunde) auch auf diesem Server.

Ansonsten kannst Du ja auch mal in deren Forum reinschauen, um Dir einen
Eindruck zu verschaffen:

<https://forum.netcup.de>


--
Arno Welzel
https://arnowelzel.de

 

[Hergen Lehmann]

Am 10.11.18 um 23:45 schrieb Bernd Laengerich:

Prüfnummer. Alle diese Daten gibst du regelmäßig bei Online-Käufen
ein, sie stehen danach in der Datenbank des Händlers, und werden ggf.
bei Hacks erbeutet.

Nein, die PrĂźfnummer darf nicht gespeichert werden. Siehe PCI DSS.

Dann wird das entweder in der Praxis ignoriert, oder die PrĂźfnummer wird
nicht wirklich benĂśtigt.

Fakt ist, das bei sehr vielen Händlern die *einmalige* Eingabe der
Kartendaten genĂźgt, um in Zukunft ungehemmt Einkaufen zu kĂśnnen. Alle
fĂźr eine Abbuchung nĂśtigen Daten werden also nachweislich gespeichert.

Hergen

 

[Martin Gerdes]

Volker Bartheld <w18@bartheld.net> schrieb:

E-Mails werden heute in aller Regel verschlüsselt eingeliefert,
verschlüsselt zwischen den Servern ausgetauscht, und verschlüsselt
wieder aus dem Postfach abgerufen.

Die Übertragungsstrecke zwischen heimischem PC und Mailserver ist
verschlüsselt,

Jup. Und das ist ziemlich verschieden von End-to-End-Verschlüsselung.

Ja. Aber End-zu-End-Verschlüsselung ist zwischen "normalen"
Korrespondenzpartnern unrealistisch. Der Normalmensch hat keinen
Schlüssel (und/oder gibt ihn nicht bekannt), so daß man eine Mail an
Otto Normaluser nicht verschlüsseln kann.

Ich glaube auch nicht daran, daß das auf breiter Basis in der nächsten
Zeit kommen wird.

Davon abgesehen wäre das ohnehin nur ein Staubkorn gemessen am Problem
der allgemeinen Bürgerausforschung.

Primär verschlüsselte E-Mail hingegen ist nie aus dem Kreuz gekommen,
sie ist als Kommunikationsmittel zwischen beliebigen Empfängern
unbrauchbar.

Sehe ich anders und hängt von der Infrastruktur ab.

Ich lerne gern dazu.

Ich hatte damals an Ciphire Mail mitgearbeitet...
https://events.ccc.de/congress/2004/fahrplan/files/325-ciphire-mail-slides.pdf

^^^^
Und? Was ist in den letzten 14 Jahren diesbezüglich passiert?

Nichts.

14 Jahre sind in den Zeiten des Internets eine halbe Ewigkeit.

Das Hauptproblem waren damals die noch etwas schwachen Smartphones
und dürfte heute die Tatsache sein, daß sich das Gros der User
einen Feuchten um seine Sicherheit schert, zwar eine Ciphire-App
auf seinem mobilen Endgerät installieren _könnte_

.... was per se einen Unsicherheitsfaktor und vor allem ein
Datenschutzproblem darstellt ...

Die Katze beißt sich in den Schwanz.

aber darin keine Vorteile sieht und das deswegen lieber für die
Produkte von WhatsApp, Facebook & Co tut, mithin also das
genaue Gegenteil bewirkt.

Ich gebe mich keinen Illusionen hin: Ich gehe davon aus, daß die NSA
ohnehin jeglichen Datenverkehr mitschneidet und über kurz oder lang für
ihre Hintertür in "sicheren" Äpps oder gleich in den beiden
dominierenden Betrübssystemen Android und Windows sorgt.

Bevor Du nach einem Download suchst: Aus diesen und anderen Gründen hat
Ciphire irgendwann aufgehört, Robin Hood sein zu wollen. Schafe werden
geschoren und die Rechte am Sourcecode landeten in irgendeiner Schublade,
deren Eigentümer ich lieber nicht kennenlernen will: Einige Entwickler
sind zur dunklen Seite der Macht gewechselt und haben am Bundestrojaner,
FinFisher und anderen Spionageprodukten mitgewirkt.

Natürlich kommt mir (und jedem anderen, der halbwegs etwas von der Materie
versteht) bei De-Mail und anderen treuherzigen Versprechen ein trockener
Lacher aus. Deswegen habe ich mir PGP- und S/MIME-Schlüssel hergetan,
signiere und verschlüssle meine E-Mails bei Bedarf und verfolge die
Anstrengungen gegen Spam, Phishing, Fraud, Identitätsdiebstahl, gehackte
Accounts, usw. mit eher zoologischem Interesse. Es ist gegenwärtig in der
breiten Masse kein entsprechendes Sicherheitsbewußtsein vorhanden, der
Leidensdruck muß offenbar noch steigen.

"Lächle, es könnte schlimmer kommen!"
Und ich lächelte -- und es kam schlimmer.

Das bleibt aber weiterhin problematisch, denn wie bei physikalischen
Postkarten tragen auch E-Mail und Messages vergleichbarer Dienste eben
keinen Stempel, wenn interessierte Organisationen da routinemäßig und
großangelegt ein Auge drauf geworfen haben.

Ich gehe davon aus, daß wir alle umfangreich ausgeforscht werden,
allerdings sehe ich keinerlei Ausweg aus dieser Situation, bin aber
gedanklich nicht soweit, daß ich mir gleich einen Strick nehmen wollte
(was m.E. die einzige logische Konsequenz aus dieser Erkenntnis wäre).

Eigentlich will ich das am eigenen Leib nicht ausprobiert haben, was im
vorschriftenbesoffenen Deutschland aus einer Initiative "soziales
Wohlverhalten/Sozialpunkte" würde, wie sie gerade in der Diktatur
Rotchina angestoßen worden ist. Ich hoffe, ich komme zu meinen Lebzeiten
noch darum herum.

Immerhin: Die Überwachungsdichte kann noch deutlich steigen. Würden von
jetzt auf gleich alle Überschreitungen von Verkehrsregeln so bepreist,
wie es im Bußgeldkatalog steht, so bräuchte keiner von uns mehr aus dem
Bett aufstehen, weil jede Fahrt zur Arbeit mehr Bußgeld kosten würde als
an diesem Tag verdient würde. Traumhafte Zeiten für staatliche
Umverteiler! Von einem Tag auf den anderen schwömmen sie im Geld.

E-Mail ist da sicherlich einer der kleineren Risikofaktoren,
weil sich kaum gezielt und systematisch Daten abgreifen lassen.

Auf dem Server wohl. Aber ich leide nicht an Paranoia; so richtig viel
profitieren könnte keiner, der meine Mail lesen würde.

Wenn jedesmal nur 1¤ bekäme, wenn eines der folgenden Statements fällt:

- Ich habe nichts zu verbergen. ...

ich müßte wohl nicht mehr arbeiten.

Falsche Frage, völlig falscher Ansatz.

Ich sehe die Datenschutzproblematik wohl, aber keinerlei Ausweg.
Ich habe eine ganze Menge zu verbergen, mein komplettes Privatleben
beispielsweise. Aber ich sehe keinerlei Chance mehr, all das zu
schützen, was ich für privat halte.

Was bringt es mir an Freiheit zurück, isoliert meine Mails zu
verschlüsseln (die nach dem Empfang ohnehin unverschlüsselt auf meinem
PC liegen), wenn ich davon unabhängig auf all meinen Wegen von meinem
Smartphone getrackt werde?

Wie man mit den Datenskandalen der letzten Zeit umgeht, bleibt natürlich
jedem selbst überlassen. Die Lektüre von einschlägigen Big-Data-Artikeln
- ein guter Einstieg wäre https://www.spektrum.de/thema/das-digital-manifest/1375924 - auch.

Das ist ein Rundumschlag, der allenfalls zur Hälfte in diese Diskussion
paßt.

| Algorithmen werden in den kommenden 10 bis 20 Jahren wohl die Hälfte
| der heutigen Jobs verdrängen. 40 Prozent der Top-500-Firmen werden
| in einem Jahrzehnt verschwunden sein.

Namentlich Google und Facebook werden in 10 bis 20 Jahren verschwunden
sein.

Ja, ja.

Der Job einer Putzfrau gilt heute als ausgesprochen anspruchslos (was er
nicht ist, wenn man es recht besieht, und wenn die Putzfrau ihren Job
gut macht). Es wird noch eine sehr lange Zeit dauern, bis ein Roboter so
etwas "Einfaches" wie eine Putzfrau ersetzen kann.

Ich habe gerade gestern einen Vortrag eines führenden Robotik-Experten
gehört. Eine Publikumsfrage war: "Ich bin vom Bau. Warum kann ein
Roboter eigentlich nicht in einem Rohbauzimmer eine Gipskartonplatte an
die Wand schrauben? Jede angelernte Hilfskraft kann das doch!" Antwort:
Von ihrer Sensorik und Motorik sind Roboter Menschen um mehrere
Größenordnungen unterlegen, und sie werden es voraussichtlich noch lange
Zeit bleiben. Das bedeutet aber auch, daß selbst in 20 Jahren längst
noch nicht die Hälfte der Jobs verschwunden sein werden. Nicht von
ungefähr ist "kooperative Robotik" ein so schnell wachsendes Segment:
Die eigentliche Montagearbeit macht immer noch ein Mensch, ein Roboter
unterstützt den Menschen, in dem er flexibel schwere Teile handhabt, so
daß der Mensch das schwere und sperrige Armaturenbrett vermeintlich
federleicht handhaben kann. Die eigentliche Sensorik und Feinmotorik
liefert der Mensch, der Roboter ist schlicht nur ein Kraftverstärker,
weil er selbst einfache feinmotorische Tätigkeiten nicht alleine kann.

| Auf die Automatisierung der Produktion

Done.

| und die Erfindung selbstfahrender Fahrzeuge

Work in progress. Ich bin mal gespannt, wie lang es wohl dauern wird,
bis selbstfahrende Fahrzeuge wirklich tauglich für die freie Wildbahn
sind.

| folgt nun die Automatisierung der Gesellschaft

Ja, ja.

Der Artikel ist zu lang und zu komplex.

Man könnte durchaus darüber diskutieren, allerdings scheint es
zweckmäßig, das Thema einzugrenzen.

 

[Arno Welzel]

Hartmut Kraus:

[...]

Geh' mir bloß nicht aus den S...elbigen mit deinem Gewäsch. Warum wohl
ist mir das in ...zig Jahren bei 5 oder 6 Banken nie passiert? Doch,

Weil Du die Bankverbindung bislang eben nicht Ăśffentlich verbreitet
hast. Das hat sich ja jetzt geändert - vielleicht lesen wir demnächst
Berichte von Dir, dass unbefugt Geld bei Dir abgebucht wurde.



--
Arno Welzel
https://arnowelzel.de

 

[Hartmut Kraus]

Am 11.11.18 um 00:26 schrieb Arno Welzel:

Hartmut Kraus:
Klar. Besonders Liebesbriefe. Da wĂźrde sie sich aber schĂśn bedanken.

Also gäbe es doch einen Schaden, wenn der Inhalt deiner Mails Dritten
bekannt wird?

Ja, wenn ich's selber bekanntmachen wĂźrde. Wenn das einer "hackt" und
ihr irgendwelchen Scheiß in meinem Namen schreibt - das wird sie wohl
merken.

> Merkst Du was?

Ich denke also schon.

Bist du nicht ganz dicht?

Wieso? Das war doch *deine* Aussage, siehe oben:

"Ok, du kriegst den Euro von mir, wenn du mir sagst, welchen /Schaden/
fĂźr mich oder andere man mit dem /Inhalt/ meiner Mails anrichten kĂśnnte."

Richtig, 1 € gespart.

 

[Hartmut Kraus]

Am 11.11.18 um 00:17 schrieb Hartmut Kraus:

Am 10.11.18 um 23:51 schrieb Arno Welzel:
Du hast nur eine einzige E-Mail in deinem Leben empfangen oder gesendet?

Du glaubst doch nicht, dass ich die anderen verĂśffentliche?

Hm, naja, manchmal kann ich's mir schon nicht verkneifen:

<ps7e4n$jim$1@news.albasani.net>

Wie unser BĂźrgermeister so "arbeitet", haben wohl die SchildbĂźrger ihr
Rathaus gebaut (erst die Fenster vergessen, dann das Licht in Säcken
'reingetragen), aber so kann man ja wohl keine Politk machen.

 

[Arno Welzel]

Hartmut Kraus:

Am 10.11.18 um 15:05 schrieb Hergen Lehmann:
Am 10.11.18 um 13:20 schrieb Hartmut Kraus:

Entscheidend ist vor allem, das die Kunden zeitnah gewarnt werden
(ist das geschehen?), so das sie KennwÜrter ändern und auf
verdächtige Kontobewegungen achten kÜnnen.

Ja, Kontenbewegungen - genau so'n Schwachsinn.

Kein Schwachsinn, spätestens wenn es um Kreditkarten geht.

Ha ha. Von deinem Konto kann einer per Karte was abheben, wenn er deine
Karte und deine PIN hat.

Mit einer Kreditkartennummer kann jemand eine Abbuchung zu einem anderen
Konto vornehmen lassen. Bist Du wirklich *so* naiv?


--
Arno Welzel
https://arnowelzel.de

 

[Arno Welzel]

Hartmut Kraus:

Am 10.11.18 um 12:49 schrieb Hergen Lehmann:
Am 10.11.18 um 11:57 schrieb Arno Welzel:

Und was genau hätte ein "tut uns leid, wir haben wohl was ßbersehen und
deshalb konnten Hacker in unseren Server eindringen" geändert?
Entscheidend ist doch, dass die Sicherheitsprobleme beseitigt sind und
sowas nicht nochmal passieren kann.

Entscheidend ist vor allem, das die Kunden zeitnah gewarnt werden (ist
das geschehen?), so das sie KennwÜrter ändern und auf verdächtige
Kontobewegungen achten kĂśnnen.

Ja, Kontenbewegungen - genau so'n Schwachsinn. Bitte, hier meine Daten:

MariaDB [melina]> select iban, bic from accounts where name = 'Privat
Sparkasse FFB';
[Bankverbindung gelĂśscht]

Nun bewege mal was auf meinem Konto. Sorry - wolltte sagen: Auf mein
Konto - 'runter ist etwas schwieriger.

Mit Kenntnis deiner IBAN und BIC kann nun jeder per Lastschrift etwas
abbuchen, das ist Dir schon klar? Wenn Du das nicht im Kontoauszug
kontrollierst und rechtzeitig widerrufst, ist das Geld weg.


--
Arno Welzel
https://arnowelzel.de

 

[Hartmut Kraus]

Am 11.11.18 um 00:24 schrieb Arno Welzel:

Hartmut Kraus:

Am 10.11.18 um 11:48 schrieb Arno Welzel:
Hartmut Kraus:

Am 10.11.2018 um 09:10 schrieb Volker Bartheld:
Wie man mit den Datenskandalen der
letzten Zeit umgeht, bleibt natĂźrlich jedem selbst Ăźberlassen.

Naja, was sagst du denn dazu:

https://www.heise.de/newsticker/meldung/Wegen-DSGVO-Panne-Domainfactory-Kundendaten-waren-als-XML-Feed-offen-im-Netz-4107074.html

Selten so einen Schwachsinn gelesen, oder? Da behauptet so ein Spinner
in ihrem Kundenforum, er hätte auf die Art die Daten von 6 Kunden
"gehackt". Und da lassen die sich verrĂźckt machen - holen sich die
BehĂśrden ins Haus, warnen alle Kunden, nehmen das Forum vom Netz ...

Das hätten sie sicher nicht gemacht, wenn es nur ein "Spinner" gewesen
wäre.

Das /war/ ein Spinner. Der Verfasser des Heise - Artikels offensichtlich
auch. Keine Ahnung von Tuten und Blasen.

Und woher weißt Du das so genau?

Weil ich im Gegensatz zu dneen ein bisschen Ahnung habe.

Nebenbei: DomainFactory gehĂśrt schon lange zu HostEurope und die
Administration wurde ebenfalls schon lange noch Osteuropa
"outgesourced".

Qutasch. Oder liegt vielleicht Köln oder Straßburg in Osteuropa?

Quatsch, DF hat nach wie vor seinen Hauptsitz in Imaning. Ich hab' in

Ja und? Was ändert das?

den letzten Monaten oft genug mit ihnen telefoniert, und dabei kamen wir
auch auf die Fusion mit HostEurope zu sprechen. Die "gehĂśren" nicht
Hosteurope, beide sind gleichberechtigte Partner, sozusagen. Aber DF ist
sozusagen hier das "Aushängeschild" von HE.

https://www.df.eu/blog/gemeinsam-stark/

Zitat:

Nach dem Motto „gemeinsam stark“ freuen wir uns daher, die Aufnahme der
domainfactory GmbH in die Host Europe Gruppe bekanntgeben zu dĂźrfen.

(Zitat Ende)

Hinzu kommt, dass der Firmensitz nicht der Standort ist, wo auch alle
Rechenzentren stehen, weil es billiger ist, im Ausland zu hosten, als in
Deutschland. Einen Server in Deutschland gibt es nur noch gegen Aufpreis.

Ja und - das merkt man schon an den Preisen von DF. Es war zwar mal
die Rede von einem Serverumzug, da gab's aber offenbar stĂźrmische
Proteste von Kunden, also haben sie's gelassen.

HostEurope ist mittlerweile von GoDaddy aufgekauft worden, d.h.
HostEurope ist keine eigenständige Firma mehr und DomainFactory ist auch
nur noch eine Tochter von GoDaddy - Ăźbrigens eine US-Firma:

https://www.it-business.de/godaddy-steht-fuer-exzellenten-service-a-603494/

Ja, auch eine GmbH kann weiterexistieren, selbst wenn sie nur die
Tochterfirma eines Großkonzerns ist. Aber zu glauben, dass sich dadurch
nichts ändert, ist naiv.

Ansonsten noch der Hinweis hier:

https://www.heise.de/forum/heise-online/News-Kommentare/Datenleck-bei-Domainfactory-Hacker-knackt-Systeme-laesst-Kundendaten-mitgehen/Domainfactory-hat-auch-alle-Vertraege-zur-Auftragsdatenverarbeitung-gebrochen/posting-32658365/show/

Schon gut. Heise.

Die Aussage zur Auslagerung der Datenverarbeitung nach Osteuropa ist
natĂźrlich belegbar:

https://www.df.eu/fileadmin/user_upload/Anbieter-DomainFactory.pdf

Da findet sich dann auch, dass die Firma "LvivIT!" aus der Ukraine fĂźr
die "Bereitstellung von operativer Plattformsunterstßtzung" zuständig
ist und Zugang auf "Kundenkonteninformationen" hat.

Und wo steht da was von DF?

Sowie das hier:

https://www.heise.de/forum/heise-online/News-Kommentare/Nach-Kundendaten-Hack-Was-Domainfactory-Kunden-jetzt-tun-koennen/Was-Domainfactory-Kunden-jetzt-tun-koennen-den-Anbieter-wechseln-kwt/thread-5671756/#posting_32693944

Das magst Du gerne als "Schmarrn" und "Spinnerei" abtun, ich sehe das
allerdings nach fast 20 Jahren in dem Geschäft etwas differenzierter.

Ich als langjähriger DF-Kunde mit Erfahrungen mit 5 Hostern vorher
allerdings auch. Die vorherigen waren reichlich halbseidene BrĂźder.

Auch was da intern im Kundenbereich alles läuft, ist nur
noch gruselig

Nimm's mir nicht ßbel, als langjähriger DF-Kunde kann ich da nur sagen:
Du spinnst.

Nimm's mir nicht ßbel - aber mit langjähriger Berufserfahrung kann ich
da nur sagen: Du bist bzgl. Serverhosting offenbar recht unerfahren und
sehr naiv.

Berufserfahrung als was?

Es geht aber nicht MySQL, sondern eine Schnittstelle von DomainFactory,
Ăźber die mal XML-Daten abrufen kann. Wie die im System dort abgelegt
sind, ist nicht dokumentiert, nur dass man sie als XML abrufen konnte.

Und das alles soll durch ein "umgekipptes Bit" in einer Datenbank
mĂśglich geworden sein. Wenn du diesen Schmarrn glaubst, kannst du einem
auch nur leid tun.

Welches "umgekippte Bit"?

Eben (lt. Heise):

"Demnach landeten Kundendaten in dem Feed, wenn ein Kunde Änderungen an
seinen Daten im KundenmenĂź vorgenommen hatte, weil im Zuge der
Speicherung ein Fehler auftrat. [...] Ironischerweise war gerade das
Feld, das die Kenntnisnahme des Kunden zur DSGVO-Erklärung des Kunden
speichern sollte das Problem – es erwartete Daten des Typs Boolean,
wurde aber mit einem String befĂźllt."

Das Feed ist natĂźrlich haarig. Wer programmiert denn sowas - klar mĂźssen
solche Fehler abgefangen werden, aber doch nicht mit seitenlangen
Protokollen mit allen mĂśglichen Daten, die damit Ăźberhaupt nichts zu tun
haben. Und das noch quasi Üffentlich zugänglich. Das war wirklich eine
schwache Kßr. Da muss ich mich wohl bei dir entschuldigen - DF hätte ich
ein bisschen mehr zugetraut.

https://www.df.eu/blog/zusammenfassung-datenpanne-juli-2018/

Zitat von DF selber:

Erste Ergebnisse zeigten, dass durch eine Systemumstellung Ende Januar
2018 unbeabsichtigt bestimmte Kundeninformationen für außenstehende
Dritte ßber einen Datenfeed zugänglich waren. Dieser Datenfeed wurde
ausgelöst, wenn Kunden an ihren DomainFactory-Accounts Änderungen
vorgenommen hatten, die beim Speichern zu Systemfehlern fĂźhrten. Die
Informationen in dem Datenfeed umfassten folgende personenbezogene
Informationen:

- Kundenname
- Firmenname
- Kundennummer
- Stammdaten-E-Mail-Adresse
- Anschrift
- Telefonnummer
- DomainFactory Telefon-Passwort
- Bankname und Kontonummer (z.B. BIC oder IBAN)
- Schufa-Score

(Zitat Ende)

Und wieso ist das Kundenforum unter <https://www.df.eu/forum/> abgedreht
und bis heute nicht wieder eingeschaltet?

Eben deshalb.

 

[Hartmut Kraus]

Am 11.11.18 um 00:56 schrieb Hergen Lehmann:

Am 10.11.18 um 23:03 schrieb Hartmut Kraus:

Wie gesagt: Das System "Kreditkarte" war viele, viele Jahre ziemlich
alternativlos, wenn man im Ausland bestellen wollte oder musste.
BankĂźberweisungen und Lastschriften z.B. sind in den USA so gut wie
unbekannt, das bietet dort kein seriÜser Händler an.

Klar - typisch USA. Das Land der unmÜglichen Beschränktheiten, aber
nicht erst, seit sie in ihrer Beklopptheit einen Immobilienhai zum
Präsidenten gemacht haben. Einen schlechten Schauspieler hatten sie ja

Das ist kein USA-spezifisches Problem (auch wenn es da besonders extrem
ist).

Es ist noch nicht allzu lange her, da waren selbst AuslandsĂźberweisungen
innerhalb der EU ein komplexes und kostenintensives Unterfangen.

Geschenkt. Bei der Dresdner Bank hab' ich satte GebĂźhren fĂźr jede
Transaktion berappt, wenn's Ăźber 10 im Monat oder so hinausging. Im
Inland. Und mein Alter ist mal fast aus den Latschen gekippt, als er fĂźr
eine Postanweisung 80 DM hinlegen sollte. Ok, das war kurz nach der
Wende im Osten, da haben sie Ăśfters Mondpreise gemacht. Oder war das bei
euch auch in dieser Größenordnung?

Die
einzig praktikable Lösung für haushaltsübliche Bestellsummen hieß auch
da meist "Kreditkarte".

Die latente Unsicherheit des Systems ist allgemein bekannt, was auch
seine Vorteile hat - man hat dadurch als Betroffener recht gute
Chancen, sein Geld zurĂźck zu bekommen.

Das ist natĂźrlich ein Vorteil, ha, ha. GegenĂźber dem, was eigentlich
der Normalfall sein sollte: Dass sowas gar nicht erst passiert - und
wenn, sie dann die Gangster gleich am Kanthaken haben.

So krank es klingt: Ja, ein technisch unsicheres System mit
Rechtssicherheit zugunsten des Verbrauchers ist tausendmal besser als
ein vorgeblich(!) sicheres System mit unvermeidlichen, aber vor Gericht
kaum beweisbaren LĂźcken.

Und wo gibt's Rechtssicherheit fĂźr den Verbraucher?

Paypal kam erst später und hat auch seine Macken. Unter anderem die,
das sich noch keine etablierte Rechtssprechung gebildet hat, wie bei
Missbrauchsfällen zu verfahren ist.

Nee, aber wenn mein Hausarzt einen Befund an die Rheumatologin mailt,
kann er Probleme mit der DSGVO kriegen ... Nicht drĂźber nachenken!

Ähemm - und einer musste mal wie gesagt echt und ernsthaft bei seinem
Frisur so ein Ding unterschreiben.

Ja, die US-Datenkonzerne haben sich da eine wunderbare WohlfĂźhloase in
einem nahezu rechtsfreien Raum gebastelt.

Und die DSGVO wurde dank massivem Lobbyismus so verwässert, das sie mit
ihren windelweichen Formulierungen und ihrem kranken Zustimmungs-Prinzip
im Alltag richtig Probleme macht, während die großen Scharlatane die
Zustimmung einfach erpressen und weitermachen wie gehabt.

Genau so sieht's aus. Aber Merkeldeutschland kann nun mal nicht anders
als den Amis in den Arsch kriechen und Ăźber Leichen der eigenen BĂźrger
gehen. S. meine "Baustelle Webseite"

http://hkraus.eu

Hätte mir damals einer vorausgesagt, was da so abging, seit ich nur mal
was davon gelallt habe - den hätte ich fßr verrßckt erklärt. Aber es
geht nun mal nirgends so verrĂźckt zu wie in diesem Deutschland. Mancher
hat mir schon dazu gartuliert, dass ich die Jahre /Ăźberlebt/ habe.
Mancher andere, der sich in diesem schÜnen Land selbstständig machen
wollte, nämlich nicht. Naja, diesen Traum konnte ich ja nun begraben -
aber Ăźber /meine/ Leiche gehen wollen - das muss man ein bisschen frĂźher
aufstehen, darf nicht 75 Jahre der eigenen Geschichte verpennt haben wie
so einige maßgebliche Leute in D.

 

[Hartmut Kraus]

Am 11.11.18 um 00:49 schrieb Arno Welzel:

Hartmut Kraus:

Am 10.11.18 um 15:05 schrieb Hergen Lehmann:
Am 10.11.18 um 13:20 schrieb Hartmut Kraus:

Entscheidend ist vor allem, das die Kunden zeitnah gewarnt werden
(ist das geschehen?), so das sie KennwÜrter ändern und auf
verdächtige Kontobewegungen achten kÜnnen.

Ja, Kontenbewegungen - genau so'n Schwachsinn.

Kein Schwachsinn, spätestens wenn es um Kreditkarten geht.

Ha ha. Von deinem Konto kann einer per Karte was abheben, wenn er deine
Karte und deine PIN hat.

Mit einer Kreditkartennummer kann jemand eine Abbuchung zu einem anderen
Konto vornehmen lassen. Bist Du wirklich *so* naiv?

Nee, aber mit so viel Dummheit hab' ich nun wirklich nicht gerechnet.
Da kĂśnnten sie doch in jedem Laden die Kartenleser einsparen, nee?

 

[Hartmut Kraus]

Am 11.11.18 um 00:47 schrieb Arno Welzel:

Hartmut Kraus:

Am 10.11.18 um 12:49 schrieb Hergen Lehmann:
Am 10.11.18 um 11:57 schrieb Arno Welzel:

Und was genau hätte ein "tut uns leid, wir haben wohl was ßbersehen und
deshalb konnten Hacker in unseren Server eindringen" geändert?
Entscheidend ist doch, dass die Sicherheitsprobleme beseitigt sind und
sowas nicht nochmal passieren kann.

Entscheidend ist vor allem, das die Kunden zeitnah gewarnt werden (ist
das geschehen?), so das sie KennwÜrter ändern und auf verdächtige
Kontobewegungen achten kĂśnnen.

Ja, Kontenbewegungen - genau so'n Schwachsinn. Bitte, hier meine Daten:

MariaDB [melina]> select iban, bic from accounts where name = 'Privat
Sparkasse FFB';
[Bankverbindung gelĂśscht]

Nun bewege mal was auf meinem Konto. Sorry - wolltte sagen: Auf mein
Konto - 'runter ist etwas schwieriger.

Mit Kenntnis deiner IBAN und BIC kann nun jeder per Lastschrift etwas
abbuchen, das ist Dir schon klar?

Nee, dazu braucht er schon noch eine Ermächtigung von mir. Oder muss
sich eben auf die beschriebene Weise bei irgend einem Händler mit meinen
Daten einloggen ...

Wenn Du das nicht im Kontoauszug
kontrollierst und rechtzeitig widerrufst, ist das Geld weg.

Mein Konto "kontrolliere" ich täglich online.

 

[Hartmut Kraus]

Am 11.11.18 um 01:00 schrieb Arno Welzel:

Hartmut Kraus:

Am 09.11.18 um 14:17 schrieb Arno Welzel:
Ich wĂźrde das nicht "Dummheit" sondern eher "Unwissenheit" nennen.

Erklärst du mr mal den Unterschied?

Wer dumm ist, kann es auch nicht lernen.

Ich schon.

Wer unwissend ist, kann diesen
Zustand auch ändern.

Ok, dann bin ich also sowohl als auch.