DHL Elektronik Transportschaden

[Hartmut Kraus]

Am 11.11.18 um 01:09 schrieb Arno Welzel:

Hartmut Kraus:

Am 10.11.18 um 23:45 schrieb Arno Welzel:
[...]
2ct/h klingt natĂźrlich erstmal beeindruckend. Aber pro Monat sind das
auch 14,40 EUR. Bei Netcup gibt es einen Rootserver inkl. 320 GB
Speicherplatz ab 6,99 EUR:

https://www.netcup.de/bestellen/produkt.php?produkt=2103

Hm, sieht ja erst mal beeindruckend aus. Aber das waren andere auch
schon. Gibt's Erfahrungen mit netcup?

Ich habe einen eigenen Root-Server und Storage dort bisher keine
Probleme gehabt. Standort ist Karlsruhe. U.A. nutze ich auch eine
größere Nextcloud-Instanz auf dem Server für ca. 80 Nutzer, die
problemlos und flßssig läuft inkl. OnlyOffice und Draw.io in
Docker-Containern.

Meine Website <https://arnowelzel.de> läuft (neben diversen Websites
guter Freunde) auch auf diesem Server.

Ansonsten kannst Du ja auch mal in deren Forum reinschauen, um Dir einen
Eindruck zu verschaffen:

https://forum.netcup.de

Ok, das hĂśrt sich gut an, werd' wohl bald umziehen.

Aber sag' mal was zu meiner Idee: Los ging's, als ich mal hier angefragt
hatte:

http://www.miz.org/themenportale.html

Die haben eine dicke Datenbank, und ich habe mal angefragt, ob man die
Daten mal in Tabellenform (wie auch immer, meinetwegen als
*.csv-Dateien, Datenbanktabellen etc.) kriegen kĂśnnte. Nee, sie kriegen
zwar immer Ăśfter solche Anfragen, aber das geht nicht, "ohne sich
zumindest in eine rechtliche Grauzone zu begeben". Weil die Datenbank
natßrlich auch Daten enthält, die keiner sehen soll - klar, aber sie
auch "keine MĂśglichkeit bietet, diese Daten bei einem Export sicher
auszuschließen". Gröööhl - was macht denn das Programm, dass auf
Anforderung genau die Daten aus der Datenbank 'rausfischt und in die
Webseiten zaubert, die der User sehen will?

Also Klartext: Das machen sie nicht, weil's Geld kostet. Also mache
ich's jetzt. Quasi "reverse engineering" - ok, bisschen mĂźhsam:
Die Seiten 'runterladen, zusammensetzen, aus ein paar MB HTML die
eigentlichen Daten 'rausfischen und in meine Datenbank Ăźbernehmen. Je
eine Tabelle "Sinfonieorchester" / "Kammerorchester, "Konzertdirektionen
und Kßnstleragenturen" / "Musikschulen" / "Verbände, Vereingungen,
Gesellschaften", usw. usf. ...

Angenehmer Nebeneffekt: Die Beschäftigung mit diesen Daten erweitert
meinen Horizont ungemein . s.a. meine "Baustelle Webseite"
http://hkraus.eu - hat auch was mit Musik zu tun.

Am 29.07.2018 um 16:32 schrieb Hartmut Kraus:

Am 29.07.2018 um 13:30 schrieb Wolfgang Kynast:

Ich habe FlĂźchtlinge in der Nachbarschaft. Sehr nette Menschen.

Schon mĂśgich, wenn auch sehr unwahrscheinlich. (Wie gesagt, glaubwĂźrdige
Wahrscheinlichkeit so 1...2%).

Und ganz wild drauf, endlich arbeiten zu gehen.
Solltest du dir ein Beispiel dran nehmen.

Dazu brauche ich nicht zu gehen, da sitze ich dran (hatten wir schon).
Verdammt - gerade wieder ein ekliger Fehler ...

[...]

Ich hab' den Fehler! War doch ganz einfach zu finden - oder?

http://hkraus.eu/einlesen-absaetze-in-DB-neu

(Mit einem Texteditor zu betrachten, wegen der langen Zeilen, mit
ZeilenumbrĂźchen ist es sehr unĂźbersichtich.)

Aber auch wer sich da auskennt, wird vielleicht trotzdem ein bisschen
dumm gucken.

Am 29.07.2018 um 19:49 schrieb Hartmut Kraus:

Am 29.07.2018 um 19:24 schrieb Wolfgang Kynast:
Um Ăźber die rechtliche Seite nachzudenken sind wir ja hier richtig.

Was gibt's da nachzudenken?

Zum Rechtlichen: Das sind Daten, die eh' Ăśffentlich abrufbar sind, und
dazu muss das Einverständnis der Leute vorliegen. Aber die haben sie ja
meist schon selber auf ihren Seiten verĂśffentlicht ... Und welcher
KĂźnstler, welches Ensemble, welche Agentur, ... sollte was dagegen haben
... Eine Ausrede war das also von Frau Dr.

Da hab' ich so vor zwei Jahren angefragt, und schon mal angefangen zu
friemeln. Und mir das jetzt mal wieder vorgenommen - aber ich will mir
nicht diese Arbeit machen und dann auf den Ergebnissen sitzen bleiben -
verständlich?

Habe mich also schlau gemacht, ob sie diesen Service inzwischen anbieten
- so sah's vor zwei Jahren aus:

Am 07.07.2016 um 03:27 schrieb Hartmut Kraus:
Am 30.06.2016 um 17:40 schrieb Hartmut Kraus:
Am 30.06.2016 um 09:35 schrieb Deutsches Musikinformationszentrum:
Sehr geehrter Herr Kraus,

vielen Dank fĂźr Ihre Anfrage an das Deutsche
Musikinformationszentrum..

Die auf unserer Webseite verzeichneten Kontaktdaten sind teilweise
individualisiert, und unsere Datenbank bietet derzeit keine
MĂśglichkeit,
diese Daten bei einem Export sicher auszuschließen.

Sehr geehrte Frau Dr. Schwerdtfeger, sehr geehrte Damen und Herren,

diese MĂśglichkeit gibt es bzw. fĂźr einen, der sich etwas mit
Datenbanken
auskennt (wozu ich mich in aller Bescheidenheit auch zähle), ist es
kein Problem, eine Abfrage zu erstellen, die eben nur die
"Ăśffentlichen" Daten liefert. Solche Abfragen gib's auch schon -
eben die,
die diese (und nur diese) Daten an Ihre Webseiten liefern, Beispiel:

http://www.miz.org/suche_627_0.html?detailansicht=1

Auszug:

0700ShowStar.de

Harry Fox
Bahnhofstr. 30, 94368 Perkam
Tel.: (09429) 948400 od. (0700) 74697827 Fax: (09429) 948402
info@0700showstar.de
http://www.0700showstar.de

Tätigkeitsfeld: Kßnstleragentur, Kßnstlermanager.

Letzte Aktualisierung: 23.09.2014


A.C.T. Artist Agency GmbH
Hermjo Klein, Christian Diekmann, Viola Klein

Fritz-Foerster-Platz 2, 01069 Dresden
Tel.: (0351) 476968-0 Fax: (0351) 476968-12
office@act-artist.de
http://www.act-artist.de

Tätigkeitsfeld: Veranstalter; E-Musik, U-Musik (Veranstalter).

Letzte Aktualisierung: 15.04.2015


A.M.O.K. Promotion GmbH & Co. KG

Gabelsberger Str. 6, 83308 Trostberg
Tel.: (08621) 8188 Fax: (08621) 8288
amok@amok-promotion.de
http://www.amok-promotion.de

Tätigkeitsfeld: Kßnstlermanager, Veranstalter.

Letzte Aktualisierung: 23.09.2014

...

Na, und so weiter. Als alter Programmierer sage ich: Das ist *ein*
SQL-String (im einfachsten Fall etwa "SELECT name, strasse, ort,
telefon, fax, email, taetigkeitsfeld, timestamp FROM agenturen;" - je
nach Datenbankstruktur kann die natĂźrlich auch mehrere Tabellen /
Relationen umfassen) ...

Das Ergebnis einer solchen Abfrage als Textdatei (mit Feldtrennern,
Zeilenumbruch und nicht allzu "exotischem" Zeichensatz) wĂźrde mir
schon genĂźgen, um es in meine Datenbank 'reinzukriegen. Wie gesagt: FĂźr
Ihre IT-Spezialisten kein Problem - wĂźrden Sie mein Anliegen bitte an
die weiterleiten?

Juristisch kann Ihnen keiner was, wenn Sie mir Daten zukommen lassen,
die sowieso Üffentlich zugänglich sind. Was ja schon voraussetzt, dass
das Einverständnis der Betreffenden vorlag. Das ist nicht einmal eine
"Grauzone", das ist ganz legal.

Wie auch in Ihrem Impressum unter "Datenschutz" erklärt wird:

"Sofern innerhalb des Internetangebotes die MĂśglichkeit zur Eingabe
persÜnlicher oder geschäftlicher Daten (Emailadressen, Namen,
Anschriften) besteht, so erfolgt die Preisgabe dieser Daten seitens des
Nutzers auf ausdrĂźcklich freiwilliger Basis."

Also wo liegt das Probem?

Mit freundlichen Grüßen

Hartmut Kraus

Wirklich - wo liegt das Problem? FĂźr die Leute, die ihnen /das/ ganze
Ding programmiert haben, wäre das ja wohl ein Klacks, den sie sich aber
trozdem gut bezahlen ließen.

Und heute sieht's genauso aus wie vor zwei Jahren ...

Das Problem nun: Das richtig verkaufen.

 

[Andreas Neumann]

Arno Welzel wrote:

Andreas Neumann:

Eric Bruecklmeier wrote:
[...]
Da fällt mir nur noch wenig ein. Du verwendest direkt Spionagesoftware,
überlegst aber, ob Du künftig noch bei Pollin einkaufen sollst...

Richtig. Der Vorfall bei Pollin war nicht meine Entscheidung, da hat eine
Klitsche ohne Wertschätzung meiner Daten über meinen Kopf hinweg
geschlampt. Darauf hatte ich keinerlei Einflussmöglichkeit.

Das hat WhatsApp auch schon geschafft - mehrfach.

Jetzt wird's affig.
Nochmal zum mitmeisseln:
Bei Pollinš sollte man davon ausgehen können, dass die Daten sicher sind.
Dass die trotzdem so geschlampt haben liegt nicht im Entscheidungsrahmen
des Kunden.

Bei Whatsapp und Konsorten weiss man im voraus, dass Daten abgegriffen
werden. Wenn man sich darauf einlässt, weiss man was einen erwartet, man
entscheidet sich aktiv dafür.

Das muss aber jetzt als Ausführung genügen, weiter werde ich das nicht
elaborieren. Vielleicht merkt der Eine oder Andere ja doch noch was.



š Pollin steht hier exemplarisch für jeden beliebigen Webshop.

 

[Rupert Haselbeck]

Hergen Lehmann schrieb:

Fakt ist, das bei sehr vielen Händlern die *einmalige* Eingabe der
Kartendaten genĂźgt, um in Zukunft ungehemmt Einkaufen zu kĂśnnen. Alle
fĂźr eine Abbuchung nĂśtigen Daten werden also nachweislich gespeichert.

Fakt ist aber auch, dass du der Belastung des Kreditkartenkontos nicht
(erfolgreich) widersprechen kannst, wenn du neben Kartennummer und
Ablaufdatum auch die PrĂźfnummer korrekt mit angegeben hast. Mit letzterem
hast du (halbwegs) belegt, dass du die Karte in der Hand hast, weil diese
PrĂźfnummer nicht elektronisch auslesbar gespeichert sind.
Dass manche/viele Händler beim zweiten/dritten/x-ten Einkauf dann auf die
Eingabe der PrĂźfnummer verzichten, liegt daran, dass du bereits beim ersten
Mal mit der erfolgreichen Kartenzahlung nachgewiesen hast, dass du diese
Karte in den Fingern hast und somit (hoffentlich) der berechtigte Besitzer
ebendieser Karte bist.
Das ist von der Intention her nicht anders als die Gewohnheit vieler
Onlinehändler, beim ersten Kauf nur gegen Zahlung per Vorkasse, Paypal oder
Kreditkarte zu liefern, dann aber auch Lastschrift oder Überweisung nach
Rechnung anzubieten

MfG
Rupert

 

[Arno Welzel]

Hartmut Kraus:

Am 11.11.18 um 00:49 schrieb Arno Welzel:
Hartmut Kraus:

Am 10.11.18 um 15:05 schrieb Hergen Lehmann:
Am 10.11.18 um 13:20 schrieb Hartmut Kraus:

Entscheidend ist vor allem, das die Kunden zeitnah gewarnt werden
(ist das geschehen?), so das sie KennwÜrter ändern und auf
verdächtige Kontobewegungen achten kÜnnen.

Ja, Kontenbewegungen - genau so'n Schwachsinn.

Kein Schwachsinn, spätestens wenn es um Kreditkarten geht.

Ha ha. Von deinem Konto kann einer per Karte was abheben, wenn er deine
Karte und deine PIN hat.

Mit einer Kreditkartennummer kann jemand eine Abbuchung zu einem anderen
Konto vornehmen lassen. Bist Du wirklich *so* naiv?

Nee, aber mit so viel Dummheit hab' ich nun wirklich nicht gerechnet.
Da kĂśnnten sie doch in jedem Laden die Kartenleser einsparen, nee?

Im Prinzip ja. Im Online-Handel braucht man auch keinen Kartenleser.

--
Arno Welzel
https://arnowelzel.de

 

[Arno Welzel]

Andreas Neumann:

Arno Welzel wrote:

Andreas Neumann:

Eric Bruecklmeier wrote:
[...]
Da fällt mir nur noch wenig ein. Du verwendest direkt Spionagesoftware,
überlegst aber, ob Du künftig noch bei Pollin einkaufen sollst...

Richtig. Der Vorfall bei Pollin war nicht meine Entscheidung, da hat eine
Klitsche ohne Wertschätzung meiner Daten über meinen Kopf hinweg
geschlampt. Darauf hatte ich keinerlei Einflussmöglichkeit.

Das hat WhatsApp auch schon geschafft - mehrfach.

Jetzt wird's affig.
Nochmal zum mitmeisseln:
Bei Pollinš sollte man davon ausgehen können, dass die Daten sicher sind.
Dass die trotzdem so geschlampt haben liegt nicht im Entscheidungsrahmen
des Kunden.

Auch bei WhatsApp liegt es nicht im Entscheidungsrahmen des Kunden, wenn
dort geschlampt wird.

Bei Whatsapp und Konsorten weiss man im voraus, dass Daten abgegriffen
werden. Wenn man sich darauf einlässt, weiss man was einen erwartet, man
entscheidet sich aktiv dafür.

Ach so - Dir ist also egal, wenn WhatsApp eine Sicherheitslücke hat, die
Zugriff auf alle Daten deines Gerätes gibt, weil Du ohnehin damit
rechnest. Ok, das war mir so nicht klar.



--
Arno Welzel
https://arnowelzel.de

 

[Arno Welzel]

Hartmut Kraus:

Am 11.11.18 um 00:24 schrieb Arno Welzel:
Hartmut Kraus:

[DF-Hack]

Das /war/ ein Spinner. Der Verfasser des Heise - Artikels offensichtlich
auch. Keine Ahnung von Tuten und Blasen.

Und woher weißt Du das so genau?

Weil ich im Gegensatz zu dneen ein bisschen Ahnung habe.

Aha.

Und, wo sind die Informationen von Dir, die den Vorfall genauer
erläutern und erklären, wieso eigentlich nichts schlimmes passiert ist?

Die Aussage zur Auslagerung der Datenverarbeitung nach Osteuropa ist
natĂźrlich belegbar:

https://www.df.eu/fileadmin/user_upload/Anbieter-DomainFactory.pdf

Da findet sich dann auch, dass die Firma "LvivIT!" aus der Ukraine fĂźr
die "Bereitstellung von operativer Plattformsunterstßtzung" zuständig
ist und Zugang auf "Kundenkonteninformationen" hat.

Und wo steht da was von DF?

Wem gehĂśrt <https://www.df.eu>?

Aber weil Du vermutlich glaubst, dass die Firmenliste mit den
Auftragnehmer von DF nur ein Fake ist:

<https://www.df.eu/de/support/df-faq/service-infos/datensicherheit/>

Und da den Punkt "Liste der DomainFactory Subunternehmer" ziemlich am
Ende der Seite anklicken - das ist genau das o.G. PDF, wo u.A. eben die
Firma aus der Ukraine aufgefĂźhrt ist.

Nimm's mir nicht ßbel - aber mit langjähriger Berufserfahrung kann ich
da nur sagen: Du bist bzgl. Serverhosting offenbar recht unerfahren und
sehr naiv.

Berufserfahrung als was?

Seit etwa 30 Jahren Softwareentwicklung, seit rund 20 Jahren
Netzwerkadministration (Windows Server und Linux) sowie Hosting fĂźr
Websites, E-Mail, Container, VMs etc..

[...]

Welches "umgekippte Bit"?

Eben (lt. Heise):

"Demnach landeten Kundendaten in dem Feed, wenn ein Kunde Änderungen an
seinen Daten im KundenmenĂź vorgenommen hatte, weil im Zuge der
Speicherung ein Fehler auftrat. [...] Ironischerweise war gerade das
Feld, das die Kenntnisnahme des Kunden zur DSGVO-Erklärung des Kunden
speichern sollte das Problem – es erwartete Daten des Typs Boolean,
wurde aber mit einem String befĂźllt."

Und wo ist da das "umgekippte Bit"? Es wurde ein String statt Boolean
gespeichert, das ist kein "umgekippte Bit" sondern ein Programmierfehler.

[...]

https://www.df.eu/blog/zusammenfassung-datenpanne-juli-2018/
[...]
Und wieso ist das Kundenforum unter <https://www.df.eu/forum/> abgedreht
und bis heute nicht wieder eingeschaltet?

Eben deshalb.

Weshalb? Was hat das Kundenforum mit einem fehlerhaften Datenfeed zu tun?


--
Arno Welzel
https://arnowelzel.de

 

[Rupert Haselbeck]

Axel Berger schrieb:

Arno Welzel wrote:
kann nun jeder per Lastschrift etwas
abbuchen, das ist Dir schon klar?

Ganz so einfach ist das nicht.

Richtig schwer ist es allerdings auch nicht...

Um Lastschriften einzuziehen, braucht man
einen gesonderten Vertrag mit der Bank und die prĂźfen halbwegs
sorgfältig, ob der betreffende vertrauenswßrdig ist und einen plausiblen
Grund nachweist. (Ich habe vor Jahren, bis SEPA, Mieten eingezogen.)

Man braucht einen Vertrag mit der /eigenen/ Bank. Und da wird man
beispielsweise hinsichtlich manch russischer oder ukrainischer, auch manch
griechischer oder maltesischer Bank manchmal durchaus andere Maßstäbe
erwarten mĂźssen als das bei der hiesigen Volksbank, der Postbank oder der
Kreissparkasse MĂźnchen oder Hannover Ăźblich ist.
Davon abgesehen braucht es auch hierzulande im Wesentlichen nur einen
(gßltig aussehenden, mÜglichst gut gefälschten) Ausweis, um ein Konto,
besser aber gleich mehrere, zu erĂśffnen. Danach bedarf es etwas etwas Geduld
und etwas Geldgeschiebe, um seriös zu erscheinen. Wenn man dieselben 30000 €
einige Wochen lang auf drei Konten rindherum wandern lässt, so erweckt das
den Eindruck eines florierenden Ladens und die Lastschriftvereinbarung wird
einem fÜrmlich ausgedrängt...

Im Fall von WidersprĂźchen kann der Vertrag sehr schnell wieder weg sein
und außerdem ist der Beschuldigte leicht und schnell zu finden. Da den
wichtigsten Teil der Kriminalität das Nichterwischtwerden darstellt,
scheint mir das eine besonders schlechte Methode.

siehe oben. Selbst wenn die Konten in Deutschland oder dem europäischen
Ausland bestehen, wird der Übeltäter unbekannten Namens möglicherweise in
einem unbekannten aussereuropäischen Land (gerne im Osten, weit im Osten)
sitzen

Das kann sich aber gerade ändern. SEPA funktiomiert grenzßberschreitend,
Strafverfolgung de facto nicht.

So ist es gelegentlich, ja. Vor allem auch dann, wenn der Übeltäter nicht
bekannt ist

MfG
Rupert

 

[Axel Berger]

Arno Welzel wrote:

kann nun jeder per Lastschrift etwas
abbuchen, das ist Dir schon klar?

Ganz so einfach ist das nicht. Um Lastschriften einzuziehen, braucht man
einen gesonderten Vertrag mit der Bank und die prüfen halbwegs
sorgfältig, ob der betreffende vertrauenswürdig ist und einen plausiblen
Grund nachweist. (Ich habe vor Jahren, bis SEPA, Mieten eingezogen.)

Im Fall von Widersprüchen kann der Vertrag sehr schnell wieder weg sein
und außerdem ist der Beschuldigte leicht und schnell zu finden. Da den
wichtigsten Teil der Kriminalität das Nichterwischtwerden darstellt,
scheint mir das eine besonders schlechte Methode.

Das kann sich aber gerade ändern. SEPA funktiomiert grenzüberschreitend,
Strafverfolgung de facto nicht.

--
/Ż\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --

 

[Arno Welzel]

Hartmut Kraus:

Am 11.11.18 um 00:47 schrieb Arno Welzel:
[...]
Mit Kenntnis deiner IBAN und BIC kann nun jeder per Lastschrift etwas
abbuchen, das ist Dir schon klar?

Nee, dazu braucht er schon noch eine Ermächtigung von mir. Oder muss

NÜ, das geht auch so. Die Ermächtigung wird nur nÜtig, um das *legal*
machen zu kĂśnnen.



--
Arno Welzel
https://arnowelzel.de

 

[Bernd Laengerich]

Am 11.11.2018 um 01:00 schrieb Hergen Lehmann:

Dann wird das entweder in der Praxis ignoriert, oder die PrĂźfnummer wird
nicht wirklich benĂśtigt.

Beides nicht.

Fakt ist, das bei sehr vielen Händlern die *einmalige* Eingabe der
Kartendaten genĂźgt, um in Zukunft ungehemmt Einkaufen zu kĂśnnen. Alle
fĂźr eine Abbuchung nĂśtigen Daten werden also nachweislich gespeichert.

Nein. Du mußt die Vorgänge Kartenprüfung, Autorisierung und Buchung bei
card-not-present-Transaktionen im Webumfeld voneinander trennen, auch
wenn diese teilweise technisch in einem Vorgang laufen. Ich gehe jetzt
einmal von einer korrekten aktuellen Implementierung mit Tokenisierung
aus. PCI prĂźft seit vielen Jahren sehr konkret die Umsetzung nach PA-DSS
und DSS mit regelmäßigen Audits, Codeanalysen und PEN-Tests.

Im ersten Schritt gibt der Kunde Ăźber eine sichere Website Name,
Kartennummer, Ablaufdatum und PrĂźfnummer ein. Diese werden zum Acquirer
zur KartenprĂźfung und Autorisierung eines entsprechenden Betrages
gesandt, der sie wiederum beim Issuer prßfen lässt. Das Ergebnis ist
mehrteilig:
1. Die Karte ist valide
2. Der Betrag ist autorisiert, Referenz ist eine Autorisierungsnummer
3. FĂźr Folgetransaktionen mit dieser Karte wird ein Token zurĂźckgegeben

An dieser Stelle speichert das System des Händlers die Kundendaten
inlusive Token. Wird der Bestellvorgang fortgesetzt, erfolgt die Buchung
des vorher autorisierten Betrages Ăźber die Autorisierungsnummer.

Wird nun eine Folgebestellung angenommen, wird mittels Token eine neue
Autorisierung angestoßen. Die Kartendaten und die Prüfziffer werden
daher nicht erneut benĂśtigt. Auch kann eine weitere Autorisierung nur
mittels der Kartendaten ohne PrĂźfnummer erfolgen, da die Kartennummer ja
bereits verifiziert wurde (altes Verfahren ohne Tokenisierung). Die
PrĂźfnummer zumindest darf in keinem System gespeichert werden, das ist
nicht erlaubt (und gibt immer wieder interessante Probleme, da z.B. auch
sichergestellt werden muß, daß diese nicht in z.B. einem SWAP-File
auftaucht und nach der Autorisierung auch nicht im Hauptspeicher sein darf).

Auf Grund der relativ hohen Anforderungen sourcen inzwischen alle
kleineren Unternehmen das Geschäft an Payment-Anbieter (oft auch die
Acquirer) aus, da sich der Aufwand fĂźr ein eigenes zertifiziertes System
nicht lohnt.

Im Unternehmen in dem ich beschäftigt bin erstellen wir eine nach
PCI-PA-DSS zertifizierte ServerlĂśsung und betreiben zwei nach PCI-DSS
zertifiziertes Rechenzentrum. Dabei darf ich mich immer wieder um die
Umsetzung der Sicherheitsanforderungen in der Software kĂźmmern.

Bernd

 

[Volker Bartheld]

On Sun, 11 Nov 2018 01:18:17 +0100, Martin Gerdes wrote:

Volker Bartheld <w18@bartheld.net> schrieb:
Die Übertragungsstrecke zwischen heimischem PC und Mailserver ist
verschlüsselt,
Jup. Und das ist ziemlich verschieden von End-to-End-Verschlüsselung.
Ja. Aber End-zu-End-Verschlüsselung ist zwischen "normalen"
Korrespondenzpartnern unrealistisch. [...] Ich glaube auch nicht daran,
daß das auf breiter Basis in der nächsten Zeit kommen wird.

Auch nicht in ferner Zukunft, m. b. M. n.

Ich hatte damals an Ciphire Mail mitgearbeitet...
https://events.ccc.de/congress/2004/fahrplan/files/325-ciphire-mail-slides.pdf
^^^^
Und? Was ist in den letzten 14 Jahren diesbezüglich passiert?
Nichts.

Natürlich nicht. Wenig überraschend. Es gab dann und wann Lamento, einen
Skandal, das Versprechen auf "umfangreiche Aufklärung", es wurden
Anschhuldigungen erhoben... und die Karawane zieht weiter.

> 14 Jahre sind in den Zeiten des Internets eine halbe Ewigkeit.

Kryptokrams existiert schon seit (nahezu) der Erfindung von E-Mail.

Ich gebe mich keinen Illusionen hin: Ich gehe davon aus, daß die NSA
ohnehin jeglichen Datenverkehr mitschneidet und über kurz oder lang für
ihre Hintertür in "sicheren" Äpps oder gleich in den beiden
dominierenden Betrübssystemen Android und Windows sorgt.

Davon dürfen wir getrost ausgehen. Die Sache mit den unsicheren Seeds von
Schlüssel als Empfehlung einer amerikanischen Gesellschaft für die
Empfehlung von Standards war ja auch der Brüller. Bei Bedarf sind die
Quellen leicht nachzuforschen.

Ich gehe davon aus, daß wir alle umfangreich ausgeforscht werden,
allerdings sehe ich keinerlei Ausweg aus dieser Situation, bin aber
gedanklich nicht soweit, daß ich mir gleich einen Strick nehmen wollte

Das wäre m. M. n. übers Ziel hinausgeschossen. Basisdemokratisch und als
bottom-up-Approach - wie es neudeutsch so schön heißt - nutzt Du halt
Verschlüsselung bei Bedarf. Das ist vielleicht nicht großindustriell
ausgerollt, aber machbar.

Immerhin: Die Überwachungsdichte kann noch deutlich steigen. Würden von
jetzt auf gleich alle Überschreitungen von Verkehrsregeln so bepreist,
wie es im Bußgeldkatalog steht, so bräuchte keiner von uns mehr aus dem
Bett aufstehen, weil jede Fahrt zur Arbeit mehr Bußgeld kosten würde als
an diesem Tag verdient würde.

Nicht zwingend. Aber zu einer gewissen Lähmung wird es kommen, ist ja jetzt
schon spürbar. Gefühlt bewegt sich der Straßenverkehr immer mehr im
Schneckentempo, die Menschen sind irgendwie wie in Trance unterwegs.

Die Lektüre von einschlägigen Big-Data-Artikeln
- ein guter Einstieg wäre https://www.spektrum.de/thema/das-digital-manifest/1375924 - auch.
Das ist ein Rundumschlag, der allenfalls zur Hälfte in diese Diskussion
paßt.

Natürlich. Ich will den o. g. Artikel auch gar nicht diskutieren. Da gibts
m. M. n. auch wenig Diskussionsbedarf. Lesen, Gedanken machen - oder halt
auch nicht.

 

[Hartmut Kraus]

Am 11.11.18 um 12:33 schrieb Arno Welzel:

Hartmut Kraus:

Am 11.11.18 um 00:24 schrieb Arno Welzel:

[einiges zu DF]

Ist doch gut nune, ich habe meine Fehler eingesehen und mich bei dir
entschuldigt, ok?

Und wieso ist das Kundenforum unter <https://www.df.eu/forum/
abgedreht
und bis heute nicht wieder eingeschaltet?

Eben deshalb.

Weshalb? Was hat das Kundenforum mit einem fehlerhaften Datenfeed zu tun?

Das musst du DF fragen. Entweder haben die in ihrer Panik etwas
Ăźberreagiert oder im Forum / seiner Umgebung steckt derselbe Fehler
(wahrscheinlicher - das schließe ich daraus, dass das Forum von Design
her genauso aussah wie alle ihre Seiten).

Eben (lt. Heise):

"Demnach landeten Kundendaten in dem Feed, wenn ein Kunde Änderungen an
seinen Daten im KundenmenĂź vorgenommen hatte, weil im Zuge der
Speicherung ein Fehler auftrat. [...] Ironischerweise war gerade das
Feld, das die Kenntnisnahme des Kunden zur DSGVO-Erklärung des Kunden
speichern sollte das Problem – es erwartete Daten des Typs Boolean,
wurde aber mit einem String befĂźllt."

das ist kein "umgekippte Bit"

Meine Fresse, legst du jedes Wort so auf die Goldwaage, ist fĂźr dich
"Humor" ein Fremdwort?

> das ist [...] ein Programmierfehler.

Sach' ich doch. Sowas kann schon mal passieren (das Problem der
Fehlerfreiheit ist ein ebenso interessantes wie ungelĂśstes in der
theoretischen Informatik), aber da muss die Qualitätssicherung
geschlafen haben - so es Ăźberhaupt eine gab. Ich zitiere einen
Projektleiter, bei dem ich mich mal als Freelancer vorgestellt habe:
"SQL - Fehler kommen nicht bis zur QS!" Von dieser
Selbstverständlichkeit haben allerdings die Kapazitäten, die das Ding
bei DF verbockt haben, wohl noch nichts gehĂśrt.

Aber schlimmer ist ja der Fehler, der dazu gefĂźhrt hat, dass Protokolle
"umgekippter Bits" (Verzeihung) mit recht "sensiblen" Kundendaten
leicht von außen zugänglich waren. Das dürfte zusätzlich ein Fehler der
Administration gewesen sein.

Seit etwa 30 Jahren Softwareentwicklung, seit rund 20 Jahren
Netzwerkadministration (Windows Server und Linux) sowie Hosting fĂźr
Websites, E-Mail, Container, VMs etc..

Sauber. Da mĂźsste ich dich mal noch einiges fragen, was nicht an die
Öffentlichkeit gehört. Ich vermute mal stark, dass man dich unter
Mailadresse, mit der du hier drin bist, außerhalb des Usenet nicht
erreicht - korrekt? Also mail' mich doch bitte mal kurz an. Das
unterliegt bei mir selbstverständlich dem hÜchsten Geheimhaltungsgrad
("vor dem Lesen lĂśschen" - wie meine russischen Liebesbriefe).

Als erstes werde ich dann zurĂźckmailen - unter einem Account, den bisher
außer mir nur eine absolut vertrauenswürdige Person kennt. (Nein, nicht
die Russin - nicht, dass ich ihr misstrauen wĂźrde, aber fĂźr meine
Begriffe fehlt ihr vor allem ein gutes StĂźck nĂśtiges Selbstvertrauen.
Außerdem kann ja wohl keine ganz richtig im Kopf sein, die was an mir
findet.)

 

[Andreas Neumann]

Arno Welzel wrote:

> Ach so - Dir ist also egal,

Falsch.

> wenn WhatsApp eine Sicherheitslücke hat,

Falsch.

die
Zugriff auf alle Daten deines Gerätes gibt, weil Du ohnehin damit
rechnest.

Nicht in o.g. Zusammenhang.

Du solltest mal lesen, was ich schreibe.

Was mir nicht klar ist, was willst du eigentlich rüberbringen?

 

[Guido Grohmann]

Andreas Neumann schrieb:

Dito. Bei solcher Gelegenheit kommt von mir immer die Gegenfrage, wenn du
nichts zu verbergen hast, warum hast du einen Vorhang vor dem
Schlafzimmerfenster

Das wäre sonst ggf. Erregung, und zwar öffentlichen Ärgernisses

> und machst die Tür zu wenn du zum scheissen gehst?

Ich habe mal darauf entgegnet, wenn ich sie auflassen würde, würdet ihr
(es waren mehrere Zuhörer) euch beschweren.

> Der darauf folgende Gesichtsausdruck ist meist unbezahlbar.

Stimmt.

Ich finds übrigens Lustig, daß manche Geldautomaten den Kontostand
anzeigen. Ich halte immer die Hand vor den Betrag, nicht daß da jemand
hinter mir auf ganz dumme Gedanken kommt.

Guido

 

[Hanno Foest]

Am 11.11.18 um 15:01 schrieb Andreas Neumann:

Ach so - Dir ist also egal,

Falsch.

wenn WhatsApp eine Sicherheitslücke hat,

Falsch.

die
Zugriff auf alle Daten deines Gerätes gibt, weil Du ohnehin damit
rechnest.

Nicht in o.g. Zusammenhang.

Du solltest mal lesen, was ich schreibe.

Ich versteh das allerdings auch so. Vielleicht solltest du an deinen
Formulierungen arbeiten?

> Was mir nicht klar ist, was willst du eigentlich rüberbringen?

Was im Thread steht: Es ist sinnfrei, sich über die Sicherheit seiner
Daten bei Pollin wegen eines, und dazu überdurchschnittlich gut
gehandhabten Sicherheitsvorfalls, Gedanken zu machen, wenn man Whatsapp
benutzt.

Hanno

 

[Hanno Foest]

Am 11.11.18 um 15:38 schrieb Guido Grohmann:

Ich finds übrigens Lustig, daß manche Geldautomaten den Kontostand
anzeigen. Ich halte immer die Hand vor den Betrag, nicht daß da jemand
hinter mir auf ganz dumme Gedanken kommt.

Ich finde es übrigens interessant, daß die früher den Kontostand bereits
angezeigt haben, wenn man nur die Karte reingesteckt hat. Heute kommt
der erst nach Eingabe der PIN. Man braucht wenig Fantasie, um sich
vorzustellen, was zu der Änderung geführt haben mag...

Hanno

 

[Hergen Lehmann]

Am 11.11.18 um 13:37 schrieb Bernd Laengerich:

Nein. Du mußt die Vorgänge Kartenprüfung, Autorisierung und Buchung bei
card-not-present-Transaktionen im Webumfeld voneinander trennen, auch
wenn diese teilweise technisch in einem Vorgang laufen. Ich gehe jetzt
einmal von einer korrekten aktuellen Implementierung mit Tokenisierung
aus. PCI prĂźft seit vielen Jahren sehr konkret die Umsetzung nach PA-DSS
und DSS mit regelmäßigen Audits, Codeanalysen und PEN-Tests.

Im ersten Schritt gibt der Kunde Ăźber eine sichere Website Name,
Kartennummer, Ablaufdatum und PrĂźfnummer ein. Diese werden zum Acquirer
zur KartenprĂźfung und Autorisierung eines entsprechenden Betrages
gesandt, der sie wiederum beim Issuer prßfen lässt. Das Ergebnis ist
mehrteilig:
1. Die Karte ist valide
2. Der Betrag ist autorisiert, Referenz ist eine Autorisierungsnummer
3. FĂźr Folgetransaktionen mit dieser Karte wird ein Token zurĂźckgegeben

An dieser Stelle speichert das System des Händlers die Kundendaten
inlusive Token. Wird der Bestellvorgang fortgesetzt, erfolgt die Buchung
des vorher autorisierten Betrages Ăźber die Autorisierungsnummer.

Wird nun eine Folgebestellung angenommen, wird mittels Token eine neue
Autorisierung angestoßen. Die Kartendaten und die Prüfziffer werden
daher nicht erneut benĂśtigt. Auch kann eine weitere Autorisierung nur
mittels der Kartendaten ohne PrĂźfnummer erfolgen, da die Kartennummer ja
bereits verifiziert wurde (altes Verfahren ohne Tokenisierung).

Danke fßr die ausfßhrliche Erklärung!

Eine Frage bleibt allerdings noch: Was passiert, wenn bei einem Hack
Kundendaten+Kartennummer+Token gestohlen werden? Was passiert, wenn die
Angreifer außerdem noch Zugangsdaten oder private Schlüssel, mit denen
sich der Händler beim Acquirer autorisiert, stehlen konnten?

Besteht die Sicherheit dann letztlich wieder nur darin, daß die Bank
sich auf irgendwelche Zertifikate berufen kann, und somit der
Karteninhaber der Dumme ist?

Die
PrĂźfnummer zumindest darf in keinem System gespeichert werden, das ist
nicht erlaubt (und gibt immer wieder interessante Probleme, da z.B. auch
sichergestellt werden muß, daß diese nicht in z.B. einem SWAP-File
auftaucht und nach der Autorisierung auch nicht im Hauptspeicher sein
darf).

Das kommt noch dazu. Es ist technisch unmĂśglich, Daten zu Ăźbermitteln,
ohne sie zumindest temporär irgendwo zu speichern.

Hergen

 

[Guido Grohmann]

Hanno Foest schrieb:

Ich finde es übrigens interessant, daß die früher den Kontostand bereits
angezeigt haben, wenn man nur die Karte reingesteckt hat. Heute kommt
der erst nach Eingabe der PIN. Man braucht wenig Fantasie, um sich
vorzustellen, was zu der Änderung geführt haben mag...

Oh, welche Banken haben denn das so gemacht? Das ist mir nie untergekommen.

Guido

 

[Axel Berger]

Arno Welzel wrote:

Auch bei WhatsApp liegt es nicht im Entscheidungsrahmen des Kunden,
wenn dort geschlampt wird.

Schlampt da einer? Imho betreiben sie den Datenabgriff sehr effizient,
sorgfältig und gründlich.

--
/Ż\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --

 

[Hanno Foest]

Am 11.11.18 um 17:27 schrieb Guido Grohmann:

Ich finde es übrigens interessant, daß die früher den Kontostand
bereits angezeigt haben, wenn man nur die Karte reingesteckt hat.
Heute kommt der erst nach Eingabe der PIN. Man braucht wenig Fantasie,
um sich vorzustellen, was zu der Änderung geführt haben mag...

Oh, welche Banken haben denn das so gemacht? Das ist mir nie untergekommen.

Sparkassen. Im Ruhrgebiet, falls das relevant sein sollte.

Hanno