spackblog

Bei jeder PayPal-Zahlung habe ich Angst. Der übliche Workflow lädt nämlich geradezu ein zum Phishing: Man klickt irgendwo auf einen irgendwie gearteten "Bezahlen"-Button und wird auf die Paypal-Bezahlseite weitergeleitet. Wer jetzt nicht peinlich genau auf die Domain und die Signatur achtet, dem könnte man derart leicht eine gefälschte PayPal-Bezahlseite unterjubeln, dass es nur so brummt: Einfach per Copy and Paste so eine Bezahlseite kopieren und die Werte des Eingabefeldes über ein eigenes Script umleiten, schon hat man die Zugangsdaten des PayPal-Nutzers. Wenn man danach die echte PayPal-Seite aufruft, wird der Bezahlvorgang sogar erfolgreich abgeschlossen und der Nutzer bemerkt den Account-Diebstahl nicht mal.

Dieses Phishing-Risiko besteht bei allen Diensten, die so arbeiten, nicht nur bei PayPal und das hat einen ganz simplen Grund: Die Dienste befürchten einen Komfortverlust beim Nutzer und wenn die Bezahlung nicht einfach und schnell ist, nutzen die Kunden andere Dienste. Ein echtes Dilemma, denn technisch gäbe es verschiedene Lösungsansätze, die aber eben alle mit Komforteinbußen verbunden wären.

PayPal selber führt gerade zwei Sicherheitsfunktionen ein, die aber in meinen Augen das grundsätzliche Problem nicht beheben, sondern lediglich die Symptome mindern:

Verfahren Nummer eins kostet einmalig 4,95€ und beschert einem ein kleines Gerätchen, das alle 30 Sekunden eine sechsstellige Zahl generiert, die nur PayPal (und eBay) kennt. Diese Zahl gibt man beim Login zusammen mit Benutzername und Kennwort ein und weist so recht sicher nach, dass man der Accountinhaber ist und nicht jemand, der die Accountdaten geklaut hat. Geklaute Accountdaten werden damit weitgehend wertlos, müssen also nicht mehr so stark geschützt werden, Phishing läuft weitgehend ins Leere. Man kann nur noch im Moment des Phishings den dann gültigen LogIn-Code ausspähen und den einen Transfer verändern. Diese Lücke lässt sich weitgehend abdichten, ob PayPal das auch macht, steht auf einem anderen Blatt. Andererseits ist das vorerst auch gar nicht nötig, denn dieses Feature muss erst vom Nutzer aktiviert und bezahlt werden, und man muss ständig so einen lästigen Schlüsselanhänger parat haben. Weit verbreiten wird sich das also nicht und genau da liegt der Trick: Für Angreifer ist es einfacher, sich auf Nutzer ohne dieses Feature zu konzentrieren und die Leute mit TAN-Token in Ruhe zu lassen.

Verfahren Nummer zwei ist etwas handlicher und funktioniert ein wenig wie PayBox damals (bzw. noch heute in Österreich): Das Handy wird in den Bezahlvorgang einbezogen: PayPal akzeptiert Zahlungen nur mit einem per SMS verschickten Authentifizierungscode. Wer das Handy und das Passwort hat, hat also die Macht. Die Kosten für die SMS berechnet PayPal dem Nutzer. Ein durchaus angenehmes Verfahren, für das das oben gesagte ebenfalls gilt: Zu aufwändig anzugreifen, solange es genug Nutzer ohne das Feature gibt.

Beide Verfahren lassen sich auch ohne das jeweilige Sicherheitsmedium benutzen, in dem Fall werden dem Nutzer zwei vorher festgelegte Sicherheitsfragen vorgelegt und die richtigen Antworten schalten den Transfer frei. Aber beide Verfahren gehen das zentrale Problem nicht an: Der Bezahldienst authentifiziert sich nicht wirklich dem Benutzer gegenüber. Klar gibt es da ein Sicherheitszertifikat, das man sich im Browser anschauen kann und das man überprüfen sollte. Aber ich kenne niemanden, der das macht und auch ich selbst mache das nicht immer. Die meisten Leute wissen nicht mal, wie man das überprüft geschweige denn ist ihnen klar, was es überhaupt mit SSL-Zertifikaten auf sich hat. Das kann keine allgemeingültige Lösung sein. Das Verschicken eines Authentifizierungscodes per SMS ist schon ein guter Ansatz, wenn jetzt noch das Passwort erst einen Schritt nach dem Code abgefragt würde, wäre auch das Passwort vor Fehleingaben geschützt, weil der PayPal sich gleichzeitig mit diesem Code beim Nutzer authetifiziert (bzw. durch die Tatsache, dass ihnen die Handynummer bekannt ist). Selbst da fallen mir noch Angriffsszenarien ein, aber die sind weit entfernt vom Massenphishing und daher nicht so gravierend. Ich werde jedenfalls auf das SMS-Verfahren umstellen, wenn die SMS zu vernünftigen Preisen versendet werden. Genau genommen, hätte ich es längst gemacht, wenn die nur eine Minute gültige Aktivierungs-SMS käme. Mit sowas steht und fällt das System, denn wenn der Aktivierungscode nicht kommt, kann man nicht bezahlen.

P.S. apropos PayBox. Dieses System war wirklich gut, simpel zu handhaben und immens praktisch und sicher. Man musste nichts weiter machen, als seine Handynummer anzugeben und den Anruf vom PayBox Computer abzuwarten. Dort wird einem der Betrag genannt, der Empfänger und um die Eingabe der PIN gebeten. Gibt man die ein, wird die Zahlung freigegeben. Nix mit mehrehren Passwörtern oder gar TANs hantieren. Das System ist damals aus mehreren Gründen in Deutschland gescheitert: Der wichtigste war, dass 10 DM pro Jahr, die der Nutzer bezahlen musste, nicht ganz wenig sind. Was sollte das? Wollte man unbedingt scheitern?

P.P.S. die payPal-Hotline nervt total, nicht nur wegen des lästigen und wortreichen Voice-Menüs für 14¢/min, sondern auch weil sie mich für doof halten (gehen wir zusammen noch mal die Rufnummer durch…) und mir dann nicht weiter helfen (Probieren Sie es noch mal in ein paar Stunden und melden Sie sich nochmal, wenn das immer noch nicht klappt.). Fast acht Minuten vertane Telefongebühren.

Im Lawblog thematisiert Udo Vetter heute das grob fahrlässige System der Sofortüberweisung. Ich habe schon zwei mal mit größten Bauchschmerzen mit diesem System Bestellungen bezahlt und wollte immer mal was darüber schreiben. So denn.

Worum geht es also bei der Sofortüberweisung? Ähnlich wie bei PayPal wird man aus dem Bestellvorgang beim Online-Shop auf die Seite des Payment-Dienstleisters (sofortueberweisung.de und ich meine irgendwann noch einen weiteren gesehen zu haben) umgeleitet. Dort sieht man Details über die Bestellung im Online-Shop und tätigt dort die Zahlung. Bei der Sofortüberweisung gibt man dazu auf der Seite des Dienstleisters die eigene Kontonummer, die Bankleitzahl, den Kontoinhaber, die PIN und abschließend auch eine TAN ein. Der Dienstleister kontaktiert damit das Online-Banking der Bank und tätigt dort die Überweisung im Namen des Kontoinhabers. Hier stutze ich: Steht in den Nutzungsbedingungen der Banken nicht klipp und klar, dass man weder PIN noch TANs jemals einem Dritten überlasen darf? Sagt einem das nicht auch jeder Sicherheitsexperte? Für solche Vorgänge gibt es auch einen etablierten Namen: Phishing.

Das System ist also by Design ein Unding und läuft allen Bemühungen zur Phishing-Aufklärung zuwider. Warum wird es also von seriösen Online-Shops (mir fallen spontan conrad.de und cyberport.de ein) angeboten? Klar, es erweitert das System Vorkasse um die Möglichkeit der sofortigen Zahlungsbestätigung, das ist bequem für den Nutzer und den Anbieter zugleich. Aber zu welchen Kosten?

Ich rate dringend davon ab. Klar mag man dem Laden vertrauen, der sogar ein TÜV-Siegel trägt. Es ist ja nur ein Dienstleister und damit ist das ganze noch recht überschaubar. Aber was ist, wenn der nächste Laden einen anderen Dienstleister mit dem gleichen oder noch schlimmer einem nur ähnlichen System ins Spiel bringt? Was, wenn unseriöse Phisher sich eine beliebige neue Seite mit gefaketem TÜV-Logo bauen? Wer soll das unterscheiden können? Die Leute fallen ja schon auf schlecht gemachte Nachbauten ihrer eigenen Hausbank herein, die sie ganz gut kennen müssten. Und was, wenn die Daten bei dem Dienstleister nicht sicher sind? Soweit ich weiß, betreiben die kein Hochsicherheits-Rechenzentrum wie die Banken und stehen erst recht nicht für Missbrauch gerade. Ach ja: Für Bankkunden ohne PIN/TAN-Verfahren klappt das System schon mal gar nicht.

Das ist wie wenn man im Laden an der Kasse jemandem mit irgendeiner beliebigen Uniform ("Geldholservice" oder so) seine EC-Karte samt PIN in die Hand drückt, damit dieser beim Geldautomaten schnell Bargeld holen geht: Völlig irre, würde niemand machen (stimmt leider auch nicht). Die Bank kann sich bei solchem Missbrauch übrigens gemütlich zurücklehnen, immerhin hat man glasklar gegen die Nutzungsbedingungen verstoßen.

Eingeschränkt gilt meine Kritik auch PayPal und Co., weil man dort ebenso kaum kontrollierbar auf eine Paypal-Seite weitergeleitet wird, die im Prinzip jeder nachbauen könnte und damit die Paypal Zugangsdaten ergaunern. Wer achtet schon auf Sicherheitszertifikate und eine korrekte URL. Paypal ist Phishing-Risiko pur.

Ach ja, ich habe die Sofortüberweisung schon zwei mal genutzt. Warum tue ich sowas, obwohl ich Kunden und Freunden davon abrate? Beide Male brauchte ich die Ware recht dringend und konnte daher nicht auf Vorkasse zurückgreifen. Nachnahme ist indiskutabel teuer und das Paket kann dabei auch nicht bei den nachbarn abgegeben werden. Und schließlich habe ich für mein Geschäftskonto keine Kreditkarte. Ach ja: Bei Conrad klappte übrigens die Zurückleitung in den Shop nach der Zahlung nicht (ich benutze Opera, da funktionieren die wenigsten Zahlungsdienste sauber), so dass ich die Bestellung nur mit einer erneuten Befüllung eines Warenkorbs mit anschließender Vorkasse-Bestellung und einer Mail an den Support korrekt abschließen konnte. Hölle!

P.S. Klar haben die Shops eine berechtigte Angst vor Rücklastschriften, aber die Sofortüberweisung kann keine Lösung dafür sein.

Fast jeder schaltet schon ab, wenn er nur den Begriff Passwort hört. Viele Leute benutzen aus Bequemlichkeit ein oder vielleicht zwei oder drei verschiedene Passwörter für all ihre Internetkonten. Wenn diese Leute schlau sind, ist das ein halbwegs sicheres Passwort aus mindestens acht Zeichen, die zufällig aus Buchstaben und Zahlen bestehen. Jetzt kommt das Aber:

Nicht zuletzt der aktuelle Fall mit den abhanden gekommenen Zugangsdaten der PWC-Jobbörse zeigt mal wieder eindrucksvoll, dass das alleine noch nicht reicht. Da man nicht wissen kann, wie sicher die Passwörter beim jeweiligen Anbieter gespeichert werden – bei PWC etwa im Klartext und trotz Abmeldung über Jahre hinweg – muss man leider tatsächlich für jedes Konto ein eigenes Passwort generieren und verwenden. Ich hatte mal vor ein paar Jahren ein einschneidendes Passwort-Erlebnis mit dem FH-Rechenzentrum: Ich hatte meinen Benutzernamen für den WLAN-Zugang vergessen (der eine offenbar zufällig vergeben Zahl beinhaltet) und habe per E-Mail bei der DVZ nachgefragt. Als Antwort bekam ich den gewünschten Benutzernamen und die Information, mit welchem Zeichen mein Passwort beginnt. Huch? Dort werden die Passwörter also im Klartext gespeichert und können mindestens von den Mitarbeitern bequem eingesehen werden. Seitdem achte ich penibelst darauf, für jeden Webdienst ein eigenes Passwort zu benutzen. Und ja, das ist lästig.

Kleiner Tipp für Vergessliche: Das Programm KeePass ist ein wirklich guter Passwort-Manager und OpenSource und für etliche Plattformen erhältlich, etwa auch für Windows Mobile; man kann seine Passwörter also immer dabei haben. Auch die Passwort-speichern-Funktion in den aktuellen Browsern ist recht praktisch, allerdings bei weitem nicht so sicher. Also hier nur weniger wichtige Passwörter hinterlegen.

Nicht nur Frontal 21 publiziert (nennt man das bei Fernsehmagazinen so?) fragwürdige Beiträge zu verschiedenen Themen, auch Report München ist gut dabei. Einfach mal lesen und wirken lassen. Mit fällt dazu nicht mehr viel neues ein. Obwohl, doch, fast die gleiche Problematik gab es vor 20 Jahren schon mal irgendwie (hier geht es um das Lied und nicht die militärischen Bilder). Foyer des Arts haben das schon damals gut auf den Punkt gebracht. Es lebe Max Goldt.

Ach ja, man kann es nicht oft genug sagen: Es gibt durchaus einen Unterschied zwischen der freiwilligen Preisgabe verschiedneer persönlicher Daten im Internet (Blogs, StudiVZ etc.) und der zwangsweisen Totalprotokollierung aller Kommunikation. Mir ist vollkommen schleierhaft, wie man diesen offensichtlichen Unterschied nicht schnallen kann… Warum benutzt man in Fickbörsen wohl Pseudonyme? Und warum schreibe ich in meinem Blog wohl nichts über trunkene Besuche in Table-Dance-Bars oder Drogenexzesse oder über heimliche Liebschaften (exemplarische Aufzählung)? Ganz einfach, weil ich für mich persönlich eine Grenze gezogen habe zwischen Dingen, die ich für mich behalte und Dingen, über die ich mich öffentlich äußere. Informationelle Selbstbestimmung nennt man das übrigens, falls einem die Stichwörter ausgehen.

Verdammt! Schon wieder halb vier geworden und ich bin mit meinem Script für morgen noch immer nicht fertig. Die armen Studenten bekommen morgen einen illusteren Querschnitt durch die Computersicherheit um die Ohren gehauen, dass es nur noch fiept. Tut mir echt leid. Mal schauen, was ich weglassen kann.

Dafür hab ich ein echt cooles T-Shirt für morgen, das mir inhaltlich wie geschaffen scheint. *evil*

Für meine Arbeit muss ich Safari auf meinem Windows-Rechner installieren. Grundsätzlich mag ich Webkit ja, aber Safari ist unter Windows, genau wie iTunes und Quicktime, ein Fremdkörper, der sich weder an Konventionen zur Fenstergestaltung hält, noch an übliche Menüaufteilungen unter Windows. Wirklich unschön. Was mich aber zur Weißglut treibt ist das Apple Software Update, das Apple-Software auf dem neuesten Stand halten soll. Grundsätzlich halte ich das für absolut wichtig, aber nicht in der Form, wie Apple das macht: Man bekommt nämlich nicht nur Updates für die installierte Software vorgeschlagen, sondern auf wirklich aufdringliche Weise auch iTunes und Quicktime, die ich beide nicht haben will. Beide sind aber standardmäßig zur Installation ausgewählt und wenn man sie abwählt, erscheinen sie nach dem Safari-Update direkt wieder ausgewählt als noch ausstehende Updates. Eine absolute Unverschämtheit!

Das ganze funktioniert auch andersherum, wie man sich bei computerbase.de heute beschwert. Was soll das? Dieser Missbrauch der eigentlich wichtigen Update-Funktion bringt diese nur unnötig in Verruf, nicht nur die von Apple, sondern von jeder Software. Ich kenne genug Leute, die aus irgendeiner Paranoia oder aus Genervtheit heraus Updatefunktionen abschalten oder ignorieren. Ist ja auch sooooo lästig, seinem Firefox alle paar Wochen ein Update abzunicken und ihn dann irgendwann mal neu zu starten. Honks.

Andere Update-Funktionen sind nicht so klug wie die von Mozilla. Bei Skype zum Beispiel muss man immer das komplette (über 20MB große) Installationspaket saugen und installieren, ebenso bei Opera und vielen anderen Programmen. Unschön, aber in dem Fall nicht völlig unkomfortabel. Den Vogel schießt aber OpenOffice.org ab, das einen auf die ganz normale Download-Seite verweist, das über 70MB große Paket laden und komplett neu installieren lässt; inkl. Lizenzvertrag abnicken und neuem Programmordner bei Versionssprüngen. Das ist wirklich die denkbar unkomfortabelste Update-Funktion überhaupt.

Kurz der Sachverhalt:

1. Bank hat Hundekackspuren in der Schalterhalle
2. Bank prüft Aufnahmen der Videoüberwachung
3. Bank recherchiert Identität der Kundin, deren Tochter die Hundescheiße am Fuß hatte
4. Bank schickt Rechnung über die Reinigungskosten (Steinboden laut Quelle) an Kundin
5. SWR berichtet
6. Blogger lachen drüber, sehen sich aber gleichzeitig in ihrer Kritik am Überwachungswahn bestätigt

Das Thema ist schnell hochgekocht, so dass es momentan Topnachricht bei Rivva ist. Nerdcore bringt es schon in der Überschrift auf den Punkt: Kacküberwachung, Udo Vetters Kommentatoren sehen das – wie immer – etwas differenzierter und Fefe braucht nur einen Satz für die Nennung des Dilemmas:

Erst "DIE TERRORISTEN" bzw "DIE KINDERSCHÄNDER", dann "Straftäter" und am Ende Hundekacke und Warez-Downloads.

Ja, da kann ich nur zustimmend nicken: Genau so sieht es aus. Schön, dass diese Story so lustig ist; dadurch findet sich eine gewisse Verbreitung der Problematik. Klar ist Videoüberwachung in Banken ein Alter Hut und ein nachvollziehbar sinnvoller dazu. Das Problem entsteht noch nicht mal dann, wenn diese Überwachungstechnik für solche Zwecke genutzt wird. Der Fall zeigt nur eindrucksvoll, zu welchen Stilblüten solche Technik führt und bringt die Frage auf den Tisch, ob man sowas allenthalben haben möchte. Überwachung gegen Hundescheiße finde ich persönlich eigentlich einen guten Zweck (halbironisch), aber nicht gegen die Opfer, sondern die Täter…

Nachtrag: heise.de war etwas ausführlicher.

Nachtrag 09.02.08: Man wies mich darauf hin, dass heise.de nachgetragen hat: Nix Hundekacke am Hacken, sondern frische Kinderkacke hochstselbst platziert und nicht mal unbemerkt von der Mutter. Interessante Wendung allemal, nimmt etwas den Witz aus der Geschichte (oder fügt ich hinzu für manchen). Trotzdem bleibt der Fingerzeig in Sachen Überwachung und Totalprotokollierung.

Das Ding mit der Vorratsdatenspeicherung ist durch. Nachzulesen eigentlich überall (einfach jetzt mal bei rivva.de reinschauen), gut aufbereitet auch bei heise.de. Hervorzuheben ist davon dieser Absatz:

"Das Fernmeldegeheimnis wird von den Gerichten wieder hergestellt werden", meint Patrick Breyer von dem Zusammenschluss von Bürgerrechtsorganisationen und Internet-Nutzern. Dagegen sei die Wählbarkeit von SPD, CDU oder CSU für die Generation Internet "endgültig verloren gegangen". Diesmal habe die Koalition noch "auf stur geschaltet", ergänzt der Politikwissenschaftler Ralf Bendrath. "Aber der Protest gegen die Vorratsdatenspeicherung wird sich ausweiten zu einer gesellschaftlichen Bewegung für mehr Freiheit und weniger Angst."

Der von mir hervorgehobenen Aussage kann ich nur voll zustimmen. Ich habe mich übrigens schon vor einiger Zeit dieser "Sammelklage" angeschlossen, es schadet sicher nicht, da ebenfalls mitzumachen. Man muss leider einen unterschriebenen Wisch per Schneckenpost verschicken. Ich halte diese Klage übrigens für recht aussichtsreich, das in meinen Augen diese verdachtsunabhängige Vorratsdatenspeicherung glasklar gegen verschiedene Grundrechte verstößt. Mal schauen, die Hoffnung stirbt zuletzt.

Nachtrag: Für die "Ja, aber…"-Sager gibt es hier eine Sammlung von Statements pro Vorratsdatenspeicherung, zu denen ausführlich Stellung genommen wird. Mir ist bisher kein Pro-Argument unter gekommen, das zutreffend wäre. Aber testet es einfach selbst aus. Hier geht es weiter mit den Stellungnahmen zu populistischen Argumentationen Contra Datenschutz.

So, passend zu meinem neuen und ultra scharfen Stasi 2.0 Shirt (ich hab das retro2) haben die Grünen (was soll das alberne Bündnis 90 im Namen eigentlich noch) die witzige Seite schnueffel-schaeuble.de aufgezogen. Meldung auf heise.de dazu.

Wenn ich das Shirt so trage fällt mir allerdings auf, dass die wenigsten überhaupt über den Schäubleschen Amoklauf Bescheid wissen. Wirklich erschreckend. Nur die Frau an einer Losbude auf der Kirmes gestern nickte anerkennend und ein Typ sagte zu seiner Freundin: "Geiles T-Shirt, ne?" und erklärte ihr darauf, was das bedeutet.

Schlimmdas, wenn die Leute nicht mal Bescheid wissen. Wie man das findet ist ne andere Frage, aber dazu muss man wenigstens sehen, was da auf uns alle zukommt. Also geht in die Welt und informiert Euch über die gruseligen Besprebungen zu Bundestrojaner, Vorratsdatenspeicherung, Alles-Überwachung und die ganzen anderen schönen Ideen. Wo? Macht mal die Augen auf und lest auch, was im Spiegel Online so Woche für Woche passiert. Dafür muss man wirklich nicht erst heise.de lesen. Jede ernst zu nehmende Newsquelle berichtet darüber, sogar auf die Titelseiten von Bild und Express hat es das Thema schon geschafft. Die oben erwähnte Seite von den Grünen fasst das schon kurz in einem Absatz zusammen.

Vorgekaute Links für die Faulen (Achtung, teilweise Aktivistenzeugs):

• dataloo.de Aktivismus kann auch cool und hip sein, hier kommt das T-Shirt her
• vorratsdatenspeicherung.de mit 5-Minuten-Info zum Thema
• heise.de 16.07.2007: Vorratsdatenspeicherung für eine 0,006 Prozentpunkte höhere Aufklärungsquote sehr lesenswert!
• heise.de 10.07.2007: Mit neuen Vorschlägen mischt Schäuble die Sicherheitsdebatte auf Struck vergleicht Schäuble mit einem Amokläufer, guter Vergleich!
• Telepolis Schwerpunkt "Stasi 2.0"

P.S.: Gleich drei neue Tags heute: Aktivismus, Politik, Stasi 2.0

Meine Herren. Symantec (Norton Antivirus) baut seit Jahren den so ziemlich nervigsten und unbeliebtesten Virenscanner, der aus unerfindlichen Gründen aber wohl noch immer Marktführer ist. Vor allen kommen die Signaturupdates deutlich später als bei vielen anderen Herstellern. So viel zur Vorgeschichte.

Vor einigen Wochen brachte Avira ein fehlerhaftes Update heraus, das eine Windows-Datei unkorrekt als Virus erkannte und so für einige Verwirrung sorgte. Bereits eine Stunde später wurde ein weiteres Update nachgeschoben, dass diesen Fauxpas behob. Alles easy also.

Das hielt aber einen Symantec-Mitarbeiter auf der Hobbytronic in Dortmund nicht davon ab, in etwa folgendes zu sagen: Unsere Updates kommen zwar nicht so schnell wie bei anderen Herstellern, dafür testen wir auch alle Updates ausreichend. Dieser süffisante Seitenhieb ist mir damals schon sehr sauer aufgestoßen. Aus der Not eine Tugend zu machen kann manchmal sehr offensichtlich sein.

Nun begab es sich aber gestern, dass Symantec in China ein Update auslieferte (Beitrag bei winfuture.de), dass auf den davon betroffenen Rechnern die Windows-Installation so schwer beschädigt, dass ein Neustart mit einem Bluescreen abbricht und dieser Zustand nur mit der Wiederherstellungskonsole behoben werden kann.

Insgesamt bedarf diese äußerst peinliche Konstellation meiner Meinung nach nicht einmal eines Kommentars. Ich wüsste auch nicht, was ich dazu noch sagen sollte. Sowas kann natürlich jedem Hersteller passieren, aber in Anbetracht der blöden Kommentierung des Symantec-Schmierlappens auf der Hobbytronic stellt sich bei mir eine gewisse Genugtuung ein.

Nachtrag: Ich war nur auf der Hobbytronic, weil sie im Eintrittspreis der Intermodellbau inbegriffen ist. Machts aber auch nicht besser, oder?