Logo: deam.org

Das Vodafone-Forums-Prinzip [4. Update]

November 29th, 2013 by Klaus M. Brantl

“Sende mir doch dazu bitte Deine Vodafone Kundennummer und das dazugehörige Kundenkennwort per PN zu.”

Nur um es gleich klar zu stellen: Um mich persönlich geht es nicht. Ich würde meine persönlichen Zugangsdaten niemandem überlassen.

Zum ersten Mal ist mir dieser Satz im Vodafone-Forum hier über den Weg gelaufen:
https://forum.vodafone.de/t5/LTE-Tarife-und-Vertrag/vorzeitige-Portierung-der-Rufnummer/td-p/536782

Ich habe dann in dem Thread auch darauf geantwortet (“derKlaus”, das bin ich):

Screen Shot 2013-11-29 at 12.36.03

Die Antwort war eindeutig. Und auch nach weiterem Nachfragen war es nicht zufriedenstellend.

Da mich das Thema zwar beschäftigt, ich da aber kein Interesse hatte das weiter zu verfolgen, habe ich es an Heise geschickt. Von Herrn Juergen Kuri bekam ich dann auch recht schnell eine erste Antwort:

danke für die Infos: Ja, das scheint mir auch mehr als unpassend zu sein. Wir werden uns das mal genauer anschauen.

Das war am 08.11.2013. Nach eigenem Vergessen hab ich am  26.11.2013 das an Golem weitergereicht – am 28.11. dann nochmal an zwei Golem-Redakteure, da ich keinerlei Bestätigung bekommen hatte.

Es scheint niemanden zu interessieren.

Ich wollte das mal genauer wissen und habe dann den Fehler gemacht, das im Vodafone-Forum unter “Lob & Kritik” einzukippen:
https://forum.vodafone.de/t5/Lob-Kritik/Service-Vorgehen-im-Forum-komplett-falscher-Ansatz/td-p/552212
Da schlägt einem dann Ignoranz in einem ganz neuen Level entgegen:

Es wird ja auch niemand gezwungen seine Daten zu übermitteln. Das sind in der Regel Kulanz Angebote von Seiten der VF Moderatoren.
Wie Denschnet schon geschrieben hatte gibt es nie eine 100%ige Sicherheit gegen Datenmissbrauch

Ok. Sorry, ich hatte da etwas anderes erwartet und bin schon still.

Ich habe das also direkt via Kontaktformular an Vodafone geschickt und warte gerade noch auf Antwort.

Warum mache ich mir die Mühe?

kurz: Das ganze Vorgehen von Vodafone ist falsch.

Es bringt Menschen bei, das es OK ist persönliche Zugangsdaten weiterzugeben. Es ist dabei vollkommen unerheblich wie gut oder schlecht die technischen Sicherungen sind. Die Methode ist falsch. Sie ist auch weiterhin falsch, wenn sie freiwillig ist.

Die technischen Aspekte habe ich in den Foren-Posts auch schon angerissen. Der wichtigste ist, dass ein unverschlüsseltes Passwort in einer Textnachricht (der “PN”) steht, welches bei Abhandenkommen der Forendatenbank Dritten leicht zur Verfügung stehen kann.
Wenn man Passwörter in Datenbanken speichert, dann gelten dafür gemeinhin recht hohe Standards (oder jedenfalls hohe Ansprüche). Unter Garantie werden die privaten Nachrichten in der Forensoftware nicht verschlüsselt gespeichert – Standard nicht erfüllt.

Wie geht es weiter?

Das werden wir sehen. Ich warte jetzt erstmal auf eine offizielle Antwort von Vodafone.

Update 01.12.2013

Nach Hinweis von einem Freund habe ich mich heute noch aufgerafft an den Datenschutzbeauftragten von Vodafone (Dr. Herkströter) und an den Landesdatenschutzbeauftragten (Ulrich Lepper) zu schreiben.
Nebenbei wird mir in dem Thread im Forum jetzt Langeweile unterstellt – I won’t feed the trolls (anymore).

2. Update 04.12.2013

Auf Grund meiner Kontaktformularanfrage vom Freitag wurde ich jetzt von der Kundenbetreuung kontaktiert (die hatten es gestern schon probiert, mich aber nicht erreicht).
Die Aussage des netten Herrn war sinngemäss so: Es gibt keine Firmenvorgabe das so zu handhaben und er würde seine persönlichen Zugangsdaten auch nicht über ein Forum verschicken.
Das ist natürlich jetzt nicht so ganz eine offizielle Aussage des Unternehmens vodafone, aber dennoch ein interessanter Einblick.

Vom Landesdatenschutzbeauftragten für Datenschutz hatte ich am Montag zumindest mal eine Eingangsbestätigung meiner E-Mail erhalten.

3. Update 11.12.2013

Am vergangenen Freitag habe ich das Thema dann auch mal an netzpolitik.org geschickt. Von denen hab ich auch keine Antwort bekommen.
Inzwischen zweifel ich etwas an mir selbst. Ist das also vollkommen inzwischen OK, wenn man persönliche Kundendaten anfordert? Bin ich schlicht aus einer anderen Zeit und viel zu rückständig?

4. Update 14.12.2013

Am Donnerstag den 12.12. bekam ich die Rückmledung vom Landesdatenschutzbeauftragen NRW – d.h. von einem Mitarbeiter. Dessen Einschätzung geht in meine Richtung, allerdings sind die nicht zuständig:

[...] handelt es sich um die Erhebung und Nutzung von Bestandsdaten aus dem Telekommunikationsverhältnis. Zuständige Aufsichtsbehörde ist insoweit der Bundesbeauftragte für den Datenschutz. [...]

Ich habe das also entsprechend weitergeleitet. Eine Eingangsbestätigung gab es von dort allerdings nicht. Sinnigerweise war am Donnerstag ja auch der letzte Tag von Peter Schaar, unserem bisherigen Bundesbeauftragten für den Datenschutz.

Persönliche Anmerkung: Ich finde es weiterhin frustrierend, dass das Thema niemanden wirklich interessiert. Was soll das ganze mit Abhörskandalen und Datenschutzdiskussionen, wenn die nächste Generation der “Technologienutzer” nicht lernt Grenzen zu erkennen? Wir ziehen uns “Nachfolger” heran, die nicht mehr einschätzen können wie hoch Risiken im digitalen Umfeld sind. Und auf der anderen Seite schütteln wir den Kopf, wenn eine ältere Dame einen Menschen arglos in die Wohnung lässt und dann bestohlen wird.(“Generation” ist nicht so wirklich der passende Begriff, aber mir fällt grad nix anderes ein.)

Tags:
Posted in diverses | No Comments »

treE auf Debian Wheezy

November 20th, 2013 by Klaus M. Brantl

Das Paket perl-suid wurde entfernt. Das ist etwas ärgerlich, wenn man den Wrapper für das Mail-Inbound nutzen will.

Kleiner Workaround geht so:

File wrapper.c

int main(void) { 
       setuid(33);
       system("/usr/bin/perl /pfad_zu/mailwrapper.pl"); 
}

compile

gcc -o wrapper wrapper.c
chown root wrapper
chmod ug+s wrapper

Alias-Eintrag aktualisieren:

support:        "|/pfad_zum_wrapper/wrapper"

Danke an Werner Detter, der mir das schon vor Monaten geschickt hatte und mir das leider etwas durchgerutscht ist.

Das nächste Wartungs-Update von treE wird es voraussichtlich kurz nach Jahreswechsel geben.

Posted in Projekte, treE | No Comments »

In eigener Sache

January 25th, 2013 by Klaus M. Brantl

Liebe Kunden,

ein ganz besonderes Projekt ist immer ein Umzug. Ich schliesse das Büro in Alteglofsheim zum 31.01.2013 und bin ab dann in Hagelstadt, dem Nachbarort, zu finden.
Telefon und eMail bleiben natürlich gleich.

Ändern wird sich die Adresse in

deam.org – Klaus M. Brantl
Ringstrasse 15
93095 Hagelstadt

Ihr
Klaus M. Brantl

Posted in diverses, Projekte | Comments Off

Zend-Lücke in Magento offenbar weitgehend unbekannt bei Shop-Betreibern

August 14th, 2012 by Klaus M. Brantl

Aus gegebenem Anlass:

heise.de und golem.de haben das auch aufgenommen:

Jetzt also ganz schnell handeln und den eigenen Shop absichern – auch wenn das schon vor gut einem Monat passieren hätte sollen.

Tags: , , ,
Posted in PHP/ PHP-Frameworks/ CakePHP, Software | Comments Off

treE: Version 1.7.3 mit Bugfixes und erster solr-Integration

March 15th, 2012 by Klaus M. Brantl

Am 6.4.2011 erschien die letzte Version. Da soll noch jemand behaupten es gäbe keine Regelmässigkeit.

In der Tat muss ich vor allem Werner Detter Dank für seine lange Geduld aussprechen. Er hat die solr-Integration geliefert und dabei lange auf meine Integration warten müssen.

Die neue Version ist vor allem eine Bugfix-Version mit einigen, kleinen Optimierungen und einer ersten solr-Integration für Administratoren.

Die neue Version steht hier zur Verfügung.

Read the rest of this entry »

Tags: ,
Posted in Projekte, treE | Comments Off

Blog :: deam.org is proudly powered by WordPress
Entries (RSS) and Comments (RSS).