Schlagwort-Archive: TÜV

Prüfsiegel-PR

Geschäft, Propaganda, Safety, , , , , , , ,

Ein Meisterstück der PR. Der TÜV Rheinland erklärt uns semantische Haarspaltereien, bietet sich als Wegweiser durch die unübersichtliche Welt der Schwimmhilfen an und lässt jede Verantwortung doch bei den Eltern. Das alles in einer einzigen Pressemitteilung mit dem Titel Schwimmlernhilfen sind kein Spielzeug, deren Zusammenfassung lautet:

»Kein Schutz vor dem Ertrinken / Kinder immer beaufsichtigen / Auf Kennzeichnung mit richtiger Norm EN 13138-1 achten / GS-Zeichen gibt mehr Sicherheit«

Darin klärt uns der TÜV über den Unterschied zwischen Schwimmhilfen und Schwimmlernhilfen auf, die nach unterschiedlichen Normen bewertet werden, die Schwimmhilfen nach EN 71 und die Schwimmlernhilfen nach EN 13138-1. Was das genau bedeutet, soll uns nicht interessieren und wird auch nicht aufgeführt; wichtig ist, dass wir aufs TÜV-Siegel achten. Wenn Eltern alles richtig gemacht haben, ändert sich im Freibadalltag für sie – gar nichts, denn Verantwortung möchte der TÜV lieber nicht übernehmen:

»Trotz Schwimmlernhilfe gilt jedoch: Kinder nie ohne Aufsicht ins Wasser lassen. Am besten halten sich die Erwachsenen nicht weiter als eine Armlänge entfernt auf, um im Notfall sofort eingreifen zu können.«

Unter diesen Umständen könnte man dem Kind statt einer Schwimm(lern)hilfe auch ein Wasserspielzeug in die Hand geben, dessen ausgezeichneten Spielwert der TÜV zertifiziert hat.

Epic Fail

Geschäft, IT, Security, Vertrauen,

Unter der Überschrift: Die Illusion von Safer-Shopping nimmt Heise gerade das Online-Gütesiegel eines bekannten Anbieters auseinander:

»Nach der Datenpanne im vom TÜV Süd zertifizierten Online-Shop-System von Libri.de fanden sich nun Sicherheitslücken auf weiteren Sites, die das Safer-Shopping-Siegel tragen – und sogar auf dessen eigener Homepage. Neben Safer-Shopping.de waren Audible.de, ReifenDirekt.de und weg.de betroffen.«

Über Zertifizierung, Gütesiegel und den TÜV gab es hier ja schon einiges zu lesen. Als Sekundärliteratur empfehle ich noch: 10 Things Your Auditor Isn’t Telling You.

Eine Runde TÜV-Bashing

Geschäft, IT, Risiko, Security, ,

Was der TÜV – eigentlich die TÜV, denn unter dieser Dachmarke macht sich ein etwas unübersichtliches Firmengeflecht breit – so alles zertifiziert, wissen aufmerksame Leserinnen dieses Blogs bereits. Die technische Seite habe ich damals nicht explizit diskutiert. Das nimmt mir jetzt ein anderer ab und schafft es bis in den Heise-Ticker mit dem Hinweis: TÜV-Siegel schützt nicht vor Cross Site Scripting. Damit haben wir schon zwei Dinge beisammen, vor denen ein TÜV-Siegel nicht schützt, ausnutzbare Fehler in der Technik und zweifelhafte Geschäftsmodelle. Geht da noch was?

Klar geht da noch was. Vor bekloppten Konzepten schützen TÜV-Siegel nämlich auch nicht. Bekloppte Konzepte, damit meine ich zum Beispiel die Idee, irgendeiner Wald-und-Wiesen-(bzw. Titten-und-Schwänze-)Website zur Altersverifikation ausgerechnet die PIN vom Online-Banking auszuhändigen. Darf’s vielleicht noch eine TAN-Liste sein? Sofortident nennt sich dieses Verfahren und dahinter steckt dieselbe Firma, die sich bereits die Sofortüberweisung nach ähnlichem Schema ausgedacht hat. Technisch gesehen geht die PIN nicht an die Titten-Website, sondern an Sofortident, aber der Sicherheitsgewinn dadurch ist marginal. Und wer pappt sein Siegel drauf? Einer von den TÜVs natürlich:

Sofortident mit TÜV-Siegel

Formal ist das sicher alles korrekt, der TÜV hat ja nur den Datenschutz (== die Einhaltung gesetzlicher Anforderungen an die Erhebung und Verarbeitung personenbezogener Daten) geprüft und mehr wird nicht behauptet. Das macht es aber noch lange nicht zu einer guten Idee, Leuten beim Pornogucken die Banking-PIN abzuknöpfen. Selbst wenn die Sofortler ihre Technik im Griff haben und sich an ihre Zusicherungen halten, wogegen es derzeit keinerlei Anhaltspunkte gibt, bleiben zwei Probleme. Erstens vermischt das Verfahren, ähnlich wie Giropay, Kontexte, die man besser getrennt hält. Online-Banking und Altersverifikation haben nichts miteinander zu tun und das Online-Banking ist hinreichend sensibel, um dabei zu bleiben.

Zweitens gewöhnt es den eifrigen Nutzer daran, seine Banking-PIN bei allen möglichen Gelegenheiten zu allen möglichen Zwecken einzusetzen. Das kann auch dann zum Problem werden, wenn aus ganz anderen Gründen ein Schaden eintritt, etwa wenn sich der Sofort*-Nutzer eine Schadsoftware einfängt und daraufhin Geld von seinem Konto verschwindet. Wenn die Bank dann erfährt, was ihr Kunde mit seiner PIN so alles getan hat, dürfte ihr Kulanz schwer fallen. Ein TÜV-Siegel macht dann auch keinen Eindruck.