Archiv der Kategorie: Geschäft

Business

Unterschätzte Risiken: Verbraucherschutz

Geschäft, IT, Nebenwirkung, Rechtsabteilung, Security, Unterschätzte Risiken, , , , ,

Wer dieses Blog schon länger liest, hat vielleicht mitbekommen, dass ich der Verknüpfung von IT-Sicherheitsbausteinen mit Rechtskonstrukten skeptisch gegenüberstehe. Verfahren wie die rechtsverbindliche digitale Signatur und Anwendungen wie De-Mail mögen manchmal nützlich sein. Sie machen es jedoch auch einfacher, Leuten etwas abzuluchsen, das sich später gegen sie verwenden lässt. Eine Überraschung ist das nicht, denn solche Phänomene gibt es nicht nur im Internet. Offline sollen beispielsweise Banken seit einiger Zeit ihren Kunden Unterschriften unter Beratungsprotokolle abnötigen. Die Chancen und die Risiken sind dabei klar verteilt:

»In der Praxis zeige sich, dass die Protokolle den Banken mehr nützten, als den Kunden. „Die schreiben da alles rein was sie brauchen, um später in einem Prozess bestehen zu können“, sagte der Liberale, der als Rechtsanwalt Opfer der Lehman-Pleite vertritt.«

(Welt Online:
Late Night „Anne Will“: Was beim Banken-Bashing gern vergessen wird)

Im Internet hat der Verbraucher jedoch bis jetzt eine günstige Rechtsposition, weil er vieles einfach abstreiten kann. Wer das Internet mit bestätigten  Identitäten oder mit Nachweisdiensten á la De-Mail sicherer machen möchte, arbeitet daran, diese Eigenschaft zu beseitigen und Risiken auf die Verbraucher zu verlagern. Obendrein wird der Alltag komplizierter. Wollen wir das?

PS: Die Hersteller von Identitätsnachweisen haben erwartungsgemäß eine klare Haltung dazu.

Unterschätzte Risiken: Vorzeichenfehler

Freundlich zum Nutzer, Geschäft, Hackmeck, Rechtsabteilung, Security, Unterschätzte Risiken, , , , , ,

Ein Vorzeichenfehler in einem Zigarettenautomaten bei VW zieht weite Kreise:

»Nach Informationen von Betroffenen sollen allein im Original-Teile-Center (OTC) 120 Mitarbeiter zu einem Gespräch vorgeladen worden sein. Ihnen wird vorgeworfen, sich mit ihrem Werksausweis, der auch als Zahlungsmittel verwendet werden kann, an einem Zigarettenautomaten, auf Kosten von VW bereichert zu haben. Durch einen technischen Defekt, so der Vorwurf des Konzerns, sei kein Geld von den Chipkarten abgebucht, sondern gutgeschrieben worden. Diesen Defekt hätten verschiedene Werksanghörige bewusst ausgenutzt, um sich zu bereichern.«

(HNA: VW-Affäre: Die Ersten müssen gehen)

Der Fehler soll bereits seit 2007 bestanden haben und im Artikel ist von einer Person die Rede, die sich seither um 100 Euro bereichert haben soll. Zwölf Mitarbeitern von VW und 37 von Fremdfirmen hat man daraufhin fristlos gekündigt, wogegen sie nun klagen.

Mehr als die Aussagen in den verlinkten Berichten kenne ich auch nicht. Interessant ist aber, dass der Betreiber des Zahlungssystems offenbar seit 2007 nichts bemerkt hat. Von den Benutzern hingegen erwartet man, dass ihnen Fehler im bargeldlosen Bezahlen auffallen, die sich bei 100 Euro am Zigarettenautomaten seit 2007 ungefähr einmal im Monat in einer kleinen, die weitere Benutzung nicht störenden Abweichung des Kartenwertes niederschlagen.

Ob nun eine bewusste Bereicherung vorliegt oder nicht, könnte man vielleicht aus der Benutzerschnittstelle des defekten Automaten und dem Fehlerbild ableiten. Wurde die Aufladung direkt beim Benutzungsvorgang deutlich und vor dem Abschluss der Benutzerinteraktion angezeigt? Handelte es sich um einen systematischen Fehler, den man gezielt ausnutzen konnte, oder um ein nur gelegentlich zufällig auftretendes Phänomen?

Update: Inzwischen kursieren weitere Zahlen:

»Nach Angaben von VW-Justiziar Gerhard Klenner haben insgesamt 239 Mitarbeiter im Kasseler Werk ihre Chipkarten unrechtmäßig aufgeladen. Das Unternehmen habe aber nur jenen Mitarbeitern gekündigt, die mehr als 150 Euro auf ihre Ausweise aufgeladen hätten. Die anderen seien mit einer Tagesgeldbuße oder Versetzungen in andere Abteilungen abgemahnt worden.

Die zwei ehemaligen Mitarbeiter, die am Freitag vor Gericht waren, sollen 1180 Euro beziehungsweise 1178 Euro unrechtmäßig auf ihre Werksausweise geladen haben. Ein Kläger soll gar 1738 Euro auf seine Karte gebucht haben.«

(HNA: VW-Automaten-Affäre – erste Güteverhandlung vor Arbeitsgericht gescheitert)

HR Online hat auch noch ein Update.

Mit Twitter Geld verdienen (NSFW)

Geschäft, Off Topic, ,

Erst erklärt Don Alphonso Social-Media-Berater zu Schelmen und trampelt damit genüsslich auf einiger Leute Nerven herum, die sich wohl mindestens einen Rant verdient haben. Dann holt Jürgen Seeger im iX-Editorial Second Life aus der Versenkung, ist sich jedoch selbst nicht sicher, ob das nun der nächste Abschnitt auf im Hype Cycle ist oder nur ein letztes Aufbäumen. Und wer macht sich unterdessen auf recht bodenständige Weise daran, mit Twitter Geld zu verdienen? Na klar, das sind jene, die schon immer die Innovation im Netz vorangetrieben haben:

Ist irgend jemand erstaunt?

Identitätsmissbrauch am Beispiel

Datenschutz, Geschäft, ID, Security

Ein schneller Lesetipp:

»Betrüger verwenden die Identität Fremder, um Straftaten zu begehen. Tina Groll hat das selbst erlebt und beschreibt, wie sich Datenmissbrauch anfühlt.«

(Zeit Online: Datenmissbrauch : Meine Identität gehört mir!, via Plazeboalarm)

Und wir wollen das Internet sicherer machen, indem wir dem Konzept der Identität mit einer Kombination aus Recht und Technik noch mehr Gewicht verleihen? Eine groteske Idee.

Sicherheitsnichtmanagement

Datenschutz, Geschäft, IT, Security, Vertrauen, , ,

Ein virtuelles Callcenter aus Heimarbeitern, in dem die Gattin des Geschäftsführers die offenherzige Pressesprecherin gibt. Ich mag nich glauben, dass die Krisen-PR bei dieser Klitsche wesentlich besser funktioniert als der Datenschutz. Die sind ja überhaupt nicht organisiert.

»Die Ehefrau des Geschäftsführers von Value5, Dagmar Dehler, sagte WELT ONLINE, die Firma arbeite mit freien Mitarbeitern, die von zu Hause aus tätig seien: „Wir sind ein virtuelles Callcenter.“ Mit der Betreuung der Krankenkasse seien 60 Mitarbeiter befasst gewesen, die auch für andere Auftraggeber tätig seien.«

(Krankenakten zugänglich: So schlampig ging die größte BKK mit Daten um)

Wie verkauft man geklaute Daten an einen Staat?

Datenschutz, Erich fragt, Geschäft, Regierungsviertel, Risiko, Security, ,

Während alle Welt über ethische und rechtliche Fragen des Ankaufs geklauter Daten durch den Staat debattiert, interessieren mich die praktischen Aspekte. Wie fädelt man als Besitzer kompromittierender Daten so ein Geschäft ein, damit die Wahrscheinlichkeit, das verlangte Geld später in Ruhe ausgeben zu können, möglichst hoch wird?

Wir haben auf der einen Seite einen Verkäufer, der im Prinzip irgendwo auf der Welt sitzen und die Daten übers Internet bereitstellen kann. Sein möglicher Abnehmer wird sich jedoch kaum auf eine Lieferung gegen Vorkasse einlassen, was einen beiderseits akzeptierten Prozess für den Austausch erfordert.

Auf der anderen Seite haben wir als Käufer einen Staat mit einer Polizei und Gesetzen, der seine Kosten reduzieren kann, wenn er den Lieferanten nicht bezahlt, sondern ihn auf frischer Tat mitsamt den Daten ertappt. Mit der verlangten Summe dürften sich eine Polizeiaktion, ein Prozess sowie einige Gefängnispersonenjahre ohne Schwierigkeiten finanzieren lassen. Der Käufer ist außerdem international vernetzt, hat also die Möglichkeit, Verhaftungen auch im Ausland zu erwirken.

Als dritter Mitspieler ist ein weiterer Staat im Spiel, der über dieselben Fähigkeiten verfügt und das Interesse verfolgt, das Geschäft zu vereiteln und den Verkäufer seinerseits hinter Schloss und Riegel zu bringen – oder ihn vielleicht auch zur Abschreckung öffentlich einer Geheimdienstaktion zum Opfer fallen zu lassen.

Wie würde man sich als Täter in dieser Situation absichern?

P.S.: Wie ist die ganze Aktion eigentlich Datenschutzrechtlich zu bewerten?

Platzt die Ökoblase bald?

Geschäft, Off Topic, , , , , ,

Vor zehn Jahren platzte die Dotcom-Blase. Dass es dazu kommen musste, war aufmerksamen Beobachtern schon länger klar. Zu grotesk waren die börsennotierten Geschäftsideen. Heute sieht es so aus, als drohte der Ökowirtschaft ein ähnliches Schicksal. Ökowirtschaft, das ist der Handel mit virtuellen Produkteigenschaften und Wirtschaftsgütern. Virtuelle Produkteigenschaften sind solche, die  man einem Produkt ohne Kennzeichnung nicht ansieht: Biomilch, Ökostrom, ohne Gentechnik hergestellter Zucker. Produkte mit diesen virtuellen Eigenschaften lassen sich anscheinend teurer verkaufen als identische Produkte ohne sie. Deshalb gibt es im Supermarkt neben dem Obst aus der Kiste auch noch sorgfältig eingepacktes Obst mit einem Biosiegel drauf. Ein wenig Verpackungsmüll muss man der Umwelt zuliebe schon hinnehmen.

Virtuelle Produkteigenschaften sind eine Einladung zum Geldverdienen. Dazu muss man lediglich das gewöhnliche Produkt nehmen, und ihm die gewünschte Eigenschaft verleihen, was nichts weiter erfordert als eine Deklaration. Wenn das jemand allzu deutlich zeigt, gilt es allerdings als Skandal, denn das macht den Markt kaputt.

Noch einen Schritt weiter gehen rein virtuelle Produkte, zum Beispiel CO2-Zertifikate. Das sind Produkte, bei denen sowohl die Herstellung als auch die Verwendung rein deklarativ erfolgen. Das Produkt ist eine bloße Behauptung, wird aber gehandelt, als sei es real. In Ecuador hat man dieses Konzept offenbar richtig verstanden. Man bietet dem Ausland an, vorhandenes Erdöl gegen Geld im Boden zu lassen. Viel verrückter geht es nicht mehr, deshalb prognostiziere ich, dass die aufgeblasene Ökowirtschaft bald ein Ende haben wird.

Spendenaufruf

Angst, Geschäft, Phishing, Preisschild, Risiko, , , ,

Zwei Euro im Monat für ein gutes Gefühl, das ist das Kerngeschäft der Versicherungswirtschaft:

»Oft reichen einige Minuten Surfen im Internet – und schon sind Ihre Bankdaten in die Hände von Betrügern gelangt. Phishing-Angriffe, die gezielt Online-Banking Kunden im Visier haben, verursachen immer wieder hohe Schäden.
(…)
Anfang 2010 bietet CosmosDirekt die passende Lösung: Den Konto-Schutzbrief, der Sie ab 2€ im Monat gegen die Plünderung Ihres Kontos schützt*. Er sichert alle Schäden aus dem Missbrauch Ihrer EC- und Kreditkarte sowie Ihrer Kontodaten ab.«

Für ungefähr dieselbe Summe bekommt man übrigens schon eine kleine Haftpflichtversicherung. Der Preis taugt also noch nicht einmal als Risikometrik.

Sicherheitszeug als Statussymbol

Geschäft, Security,

FAZ.NET schreibt über eingezäunte Wohnsiedlungen in Warschau und zitiert dabei diese nüchterne Analyse:

»Immobilienfachmann Mendel hingegen glaubt, bei Zaun und Kamera handele es sich um klassische Statussymbole: Seht her, ich kann’s mir leisten.«

Das sollten wir mal als DiplomarbeitsthemaBachelor-/Master-Dings ausschreiben: Analyse von Sicherheitsprodukten auf ihre Tauglichkeit als Statussymbol.

Sven vs. McAfee — 1:0

Geschäft, IT, Security, Zahlenspiele, , , , ,

Wozu schleppe ich eigentlich seit Jahren zwangsweise ein Dreckstool von Virenscanner auf meinem PC mit mir herum, wenn er im − äußerst seltenen − Ernstfall nichts tut? Zugegeben, ich brauche keine Softwareunterstützung, um mich über eine unaufgefordert heruntergeladene PDF-Datei und die Fehlermeldung bei deren Interpretation zu wundern. Nur ist es dann, wenn ich etwas bemerke, für die Abwehr schon zu spät. Falls die PDF-Datei bösartig ist, wird sie nämlich versuchen, Fehler im PDF-Betrachter auszunutzen.

Na ja, immerhin liefert der Vorfall einen Datenpunkt für die empirische Forschung. McAfee hat mir auf diesem Rechner noch nie irgend etwas gemeldet und liegt damit klar im Rückstand.

P.S.: Heise meldet zwei Tage später das hier.

Umsonst gefürchtet

Angst, Datenschutz, Geschäft, , ,

Endlich räumt mal jemand mit den FUD-Geschichten vom googelnden Personalchef auf, der seine Entscheidung anhand längst verjährter Partyfotos aus Studententagen fällt:

»Es ist noch nicht lange her, da wurden Bewerber vor Personalchefs gewarnt, die angeblich nichts Besseres zu tun hatten als von morgens bis abends nach verfänglichen Partyfotos und peinlichem Privatkram im Internet zu stöbern.
(…)
Jetzt zeigt eine Studie, dass der Alarm übertrieben war. Denn bisher interessieren sich die wenigsten Personalexperten für soziale Netzwerke.«

(sueddeutsche.de: Soziale Netzwerke – Der Spion schläft)

Plausibel waren diese Geschichten ohnehin nie. Partyfotos liefern einfach keine relevante Information über einen Bewerber.

Wenn’s am Ausgang piept

Forschung, Geschäft, So geht das, Unterwegs, , , , ,

Samstags beim Shopping. Die überlastete Fachkraft an der Kasse hat eine Diebstahlsicherung übersehen. Als Sie das Geschäft verlassen, geht der Alarm los. Was nun? Sich vor aller Augen dem Türsteher unterwerfen? Das kommt überhaupt nicht in Frage! So werden Sie lästige Kontrolleure los, ohne sich in die Einkaufstüten schauen zu lassen:

  1. Fühlen Sie sich zu nichts verpflichtet. Wenn es am Ausgang piept, dann bedeutet das nur eines: dass es am Ausgang piept. Es bedeutet nicht, dass Sie einen Schreck kriegen, stehenbleiben oder Ihre Unschuld beweisen müssen.
  2. Seien Sie selbstbewusst. Sie haben gerade ein Geschäft mit dem Ladeninhaber erfolgreich zum Abschluss gebracht, das im beiderseitigen Interesse liegt. So möchten Sie auch behandelt werden, als Geschäftspartner.
  3. Kommunizieren Sie. Dem Türsteher bleibt nichts anderes übrig, als Ihnen auf die Straße zu folgen und Sie anzusprechen. Selbstverständlich hören Sie sich erst einmal ruhig an, was der Mann zu sagen hat. Er wird Sie auffordern, mit ihm zurück in den Laden zu gehen, um die Sache dort zu klären. Darauf antworten Sie ebenso ruhig, wie Sie zugehört haben, mit einem einfachen: „Nein.” Dann schauen Sie ihn fragend an. Wenn’s am Ausgang piept weiterlesen

Epic Fail

Geschäft, IT, Security, Vertrauen,

Unter der Überschrift: Die Illusion von Safer-Shopping nimmt Heise gerade das Online-Gütesiegel eines bekannten Anbieters auseinander:

»Nach der Datenpanne im vom TÜV Süd zertifizierten Online-Shop-System von Libri.de fanden sich nun Sicherheitslücken auf weiteren Sites, die das Safer-Shopping-Siegel tragen – und sogar auf dessen eigener Homepage. Neben Safer-Shopping.de waren Audible.de, ReifenDirekt.de und weg.de betroffen.«

Über Zertifizierung, Gütesiegel und den TÜV gab es hier ja schon einiges zu lesen. Als Sekundärliteratur empfehle ich noch: 10 Things Your Auditor Isn’t Telling You.

Liebe Sparkasse,

Geschäft, Phishing, Security, Vertrauen

dass Verified by Visa und MasterCard SecureCode Werbegags ohne sicherheitstechnischen Mehrwert für den Karteninhaber sind, wisst Ihr sicher selbst. Dass es eine Scheißidee ist, die überflüssige Registrierung dafür unter der Adresse https://secure5.arcot.com/ durch eine Organisation abwickeln zu lassen, die Eure Kunden nicht kennen können, muss man Euch aber offensichtlich noch einmal erklären. Ratet mal, was Ihr Euren Kunden damit beibringt.

Oder ist das gar nicht Euer Werk, sondern jemand hat Eure Websites gehackt?