spackblog

Hinweis: Man beachte vor allem auch die Updates.

Ich bin sehr genervt. Gestern habe ich bei redcoon.de einen Monitor für 264€ bestellt, dort gibt es alternativ zu den üblichen Bezahlmethoden noch PayPal und ClickandBuy. Da PayPal politisch etwas, sagen wir mal, umstritten ist, war ich froh über eine weitere Sofortbezahlmethode und wählte ClickandBuy aus.

Kleiner Exkurs: Warum es sofortueberweisung.de noch gibt, ist mir ernsthaft ein Rätsel. Die Banken drücken sich bezüglich der Weitergabe von PIN und TANs absolut klar aus und der viel zu kleine Skandal im letzten Mai hatte offenbar keinerlei Folgen. Für mich absolut unverständlich, wenn man sich folgendes vor Augen führt (der Einfachheit halber zitiere ich mal den Artikel auf heise.de vom 30.05.2011):

Neben dem Kontostand würden auch die Umsätze der vergangenen 30 Tage, der Dispokredit, die Stände anderer Konten bei der gleichen Bank oder ausgeführte und vorgemerkte Auslandsüberweisungen abgefragt.

Wer sowas macht, gehört für mich sofort aus dem Geschäftsverkehr gezogen, das ist ein eklatanter Missbrauch des u.a. wegen des TÜV-Siegels entgegengebrachten Vertrauens. Andererseits sind die Kunden auch selbst schuld: Wer Dritten entgegen klarer Anweisungen von ungefähr jedem seine Zugangsdaten zum Online-Banking gibt, hat es echt nicht besser verdient.

Zurück zu ClickandBuy. Nach dem Kauf werde ich also, wie von PayPal gewohnt, auf eine Bezahlseite weitergeleitet. Nach einem Login, das ein Captcha von mir ausgefüllt haben will (nerv…) gelange ich auf die Auswahl der internen Zahlvarianten. Ich habe die Wahl zwischen sofortueberweisung.de, GiroPay und Kreditkarte, alle drei sehr prominent platziert. Spannende Frage: Wozu brauche ich ClickandBuy, die hätte ich auch direkt beim Händler haben können. Verschämt ganz am Ende kann ich noch Lastschrift von einem meiner bereits verifizierten Konten wählen. Ah, die eigentliche Funktion gibt es doch noch, schön zu sehen! Einen Schritt weiter kann ich zwischen meinen beiden Konten wählen, um die Einzahlung des geforderten Betrags vorzunehmen.

Einzahlung? Leider stellt sich heraus, dass es 3-5 Tage dauert, bis die Lastschrift abgebucht und die Zahlung dem Händler gegenüber freigegeben wird. Im Ernst? Ich meine wirklich: Im Ernst? Es wird ein Zahlungsdienstleister zwischengeschaltet, dessen einzige Auswirkung ist, den Versand der Ware um 3-5 Tage zu verzögern? redcoon.de bietet sofortueberweisung.de und Kreditkarte selber an, GiroPay bringt mich nicht nach vorne und Vorkasse wäre in jedem Fall schneller als die 3-5 Tage Bearbeitung bei ClickandBuy. Ich wage zu behaupten, dass ClickandBuy damit für Beträge jenseits des Micropayments reichlich überflüssig ist. Ich hätte mein Konto dort sofort gekündigt, wenn ich nicht gelegentlich kleinere Beträge ohne Wartezeit damit bezahlen würde, zuletzt den neuen Duden-Korrektor für 20€.

Geht aber noch weiter: Heute bekomme ich eine Mail von redcoon.de, die mich auffordert, das Geld innerhalb von 7 Tagen zu überweisen, weil sonst die Bestellung storniert würde. Auf meine verwunderte Nachfrage hin erfahre ich folgendes:

Da die Zahlung nicht erfolgreich abgeschlossen wurde, haben wir diese automatisch auf Vorkasse umgestellt.

Na super, das Geld in von ClickandBuy bereits abgebucht worden und bei denen in Bearbeitung, bei redcoon.de wird es aber wohl eher nicht ankommen, denn auf deren Seite ist die Zahlung nicht erfolgreich abgeschlossen worden. ich könnte nun also auf Vertrauensbasis noch mal 264€ anweisen und dann meiner Kohle bei ClickandBuy hinterherlaufen, aber irgendwie habe ich da nur mäßig Lust zu. Ich warte jetzt noch eine Mail vom Support ab und werde die Bestellung dann wohl sauber stornieren und anderswo bestellen. Das ist hoffentlich die Lösung mit dem geringsten Ärger.

Alles in allem werde ich ClickandBuy in Zukunft noch mehr meiden als PayPal, da funktioniert die Abwicklung wenigstens (auf Kundenseite) prinzipiell sauber. Insgesamt äußerst unbefriedigend.

Nachtrag: Ein 01805er-Anruf bei ClickandBuy brachte etwas Licht ins Dunkel: Ich habe nicht bezahlt, sondern eingezahlt. Warum der normale Bezahlprozess dazu geführt hat, ist wohl nicht mehr zu klären, offenbar ist da etwas schief gelaufen bei der Übergabe vom redcoon-Schopsystem zu ClickandBuy. Sehr vertrauenerweckend… Jedenfalls kann ich mir die Kohle bei ClickandBuy in ein paar Tagen wieder ausbezahlen lassen und alles wird gut.

Nachtrag 09.11.2011: Unfassbar, ClickandBuy hat echt mal den Arsch offen: Nach über einer Woche ist meine falsch gelaufene Lastschrift-Einzahlung endlich verbucht. Das alleine ist schon eine Unverschämtheit. Jetzt wollte ich mir die Kohle wieder auf mein Bankkonto auszahlen und erhalte folgende Info:

Ihr für Auszahlungen verfügbarer Kontostand ist niedriger als Ihr aktueller Kontostand, da Sie auf Ihrem ClickandBuy-Konto kürzlich eine Einzahlung per Lastschrift vorgenommen haben. Wenn Sie diese Methode für eine Einzahlung auf Ihrem Konto nutzen, ist der eingezahlte Geldbetrag erst nach einer gewissen Wartezeit zur Auszahlung verfügbar.

Nicht nur, dass die gewisse Wartezeit für alles andere als gewiss ist, muss ich jetzt noch mal länger auf mein eigenes Geld warten, das überhaupt erst wegen einer Fehlfunktion eingezahlt wurde, statt als Bezahlung an den Händler zu gehen.

Nachtrag 19.11.2011: Ich bin nun noch fassungsloser als zuvor. Fast drei Wochen nach der Einzahlung ist wirklich lang, aber noch immer war der Betrag ganz frech eingefroren. Eine ziemlich wütende Mail an den Kundenservice von ClickandBuy später wurde mir kurzfristig ein Termin genannt, ab dem ich mir mein Geld wieder auszahlen lassen kann. Also logge ich mit zum angegebenen Zeitpunkt ein und tatsächlich ist der Betrag zur Auszahlung freigegeben. Doch ich habe die Rechnung ohne die Frechheit von ClickandBuy gemacht, denn ich muss 1,85€, also 0,7% Transaktionsgebühren bezahlen. Wut kocht in mir hoch. Egal, Lehrgeld. Doch dann: Bitte rufen Sie unter folgender kostenpflichtigen Hotline an, um Ihre Transaktion zu bestätigen… Mir fällt echt nichts mehr ein.

Der Mitarbeiter am Telefon ist wieder sehr freundlich, zeigt ein wenig Verständnis für meine Wut, kann aber nichts an der Sache ändern. Immerhin sagt er mir, an wen ich meine Beschwerde richten kann. Es bleibt dabei: Transaktionsgebühren für eine überflüssige und von mir nicht gewollte Transaktion und für die Dreistheit, mein Geld 16 Tage plus wieder 3-5 Tage bis zur Auszahlung einfach einzubehalten. Er erklärt mir dann noch irgendwas von Geldwäscheregelungen und klärt mich darüber auf, dass die fehlgeschlagene Bezahlung daran liegt, das Redcoon für höhere Beträge keine Lastschrift erlaubt und man deswegen intern erst bei ClickandBuy einzahlen muss. Warum der Prozess dann allerdings Redcoon einfach als abgebrochen gemeldet wird, obwohl man sich genau an die Regeln gehalten hat, konnte er mir nicht sagen.

Am Ende stellt sich also raus, dass bei mir überhaupt nichts schief gelaufen ist, sondern ich tatsächlich in einem von Redcoon und ClickandBuy absichtlich so gestalteten Prozess in eine Sackgasse geleitet wurde. Jede Bestellung bei Redcoon (wahrscheinlich oberhalb eines bestimmten Betrags), die über ClickandBuy bezahlt wird, muss dort entweder aus bereits bestehendem Guthaben oder über sofortueberweisung.de, Giropay oder Kreditkarte bezahlt werden. Bis auf Giropay und zuvor eingezahltes ClickandBuy-Guthaben bietet Redcoon diese Zahlungsweisen allerdings sowieso selber an, was a) die Sinnfrage dringender als zuvor stellt und b) die Frage aufwirft, wieso Redcoon auf diesen Umstand nicht deutlich bei der Wahl der Zahlungsmittel hinweist? Denn Giropay kann man auch selber anbieten und höheres Guthaben bei ClickandBuy halte ich für eine irrelevante Randerscheinung. Wobei, wahrscheinlich ist das gar keine Randerscheinung, denn ich werde nicht der einzige sein, dem sowas passiert und in so einem Fall hat man ja mehrere hundert Euro Guthaben, die man sich ohne Internevtion beim Kundendienst nicht so einfach wieder auszahlen kann, wohl aber ausgeben. Un-fass-bar.

Erinnert mich daran: Nie wieder ClickandBuy für Beträge >20€.

Ich bestelle viel online. Genug jedenfalls, um seit über 10 Jahren in allen Umfragen zum Thema E-Commerce die häufigste Kategorie bei Haben Sie schon mal etwas in diesem Internet bestellt ankreuzen zu können. Mit etwas Umsicht und Achtung der Händlerbewertungen bei gh.de bin ich dabei in 90% der Fälle gut gefahren. Zuletzt habe ich zwei mal für einige hundert Euro bei anobo.de bestellt: Verbuchung der Vorkasse-Überweisung nach zwei Stunden, Ware am nächsten Tag da. Fantastisch. Auch andere Händler wie hardwareversand.de lassen sich von Vorkasse-Überweisungen nicht ausbremsen und liefern fast genau so fix, wie bei Zahlung mit PayPal oder Kreditkarte. Amazon bucht sowieso bequem ab und versendet meistens sofort, mit Prime sogar eigentlich immer und auch noch versandkostenfrei.

Nun begab es sich aber, dass eine bestimmte Produktkonstellation nur bei e-bug.de kurzfristig lieferbar war, ohne gleich 20-30% mehr dafür auszugeben, also habe ich schweren Herzens dort bestellt. Schweren Herzens, weil der Laden auf mich noch nie einen sonderlich seriösen Eindruck gemacht hat. Wenn man die ungefragt hinzugefügte Premium-Abwicklung für 5€ extra wieder aus dem Warenkorb entfernt hat, kann man die Bestellung ohne schwere Komplikationen aufgeben. Übrigens nicht als Gast, man muss also erst mal ein Konto anlegen.

Nach Bestätigungsmail zu meiner Bestellung am Samstag und prompter Überweisung, die meine Sparkasse sofort am Montag gebucht hat, höre ich nichts mehr von e-bug.de. Unbefriedigend. Am Donnerstag schaue ich mal wieder im Kundenportal vorbei und stelle erleichtert fest, dass immerhin schon mal mein Zahlungseingang verbucht wurde und die Ware in Kürze versendet wird. Weiter Funkstille. Am Dienstag unveränderte Lage, also frage ich per Chat in der Bestellabwicklung nach: Die Bezahlung hätte zu lange gedauert, das Produkt hätte man zwischenzeitlich abverkauft, Nachschub sei unterwegs. Puh.

Zwischenzeitlich abverkauft? Ist das deren Ernst? Die nehmen verbindliche Bestellungen an und während deren trödelige Bank die Vorkasse-Überweisung noch mal ein paar Tage einbehält, verscheuern die das Produkt an andere Kunden? Ich würde denen glatt unterstellen, das Produkt zwar als lieferbar markiert zu haben, in Wirklichkeit aber erst bei Bestelleingang zu beschaffen, aber das wäre im Grunde genommen weniger dreist und ärgerlich, als ein verbindlich bestelltes und zugesagtes Produkt einfach zwischenzeitlich abzuverkaufen. Unfassbar. Ich bitte also um Stornierung, denn das Produkt kann an diesem Tag nicht mehr versendet werden. Eine Teillieferung lehne ich ab. Der Chatpartner bestätigt meine Stornierung und schickt mir einen Link zu einem bürokratisch anmutenden Formular für die Beantragung einer Rückerstattung des überwiesenen Geldes. Man überweise nur Dienstags, was sich gut trifft, denn es ist Dienstag.

Vorbei? Nein. Am Dienstag Nachmittag steht im Kundenmenü nichts von Stornierung, eine Bestätigung per Mail habe ich auch nicht bekommen, also noch ein Chat. Dieser Chatpartner eröffnet mir, dass er gar keine Stornierungen vornehmen könne, ich solle mich per Mail an eine sales@e-bug.de wenden. Das tue ich, bekomme eine Eingangbestätigung von einem Ticketsystem und höre in den kommenden Tagen wiederum nichts mehr, auch im Kundenmenü ändert sich der Status nicht. Ich finde mich damit ab, wohl meinem Geld hinterherzulaufen und das irgendwann doch versendete Paket wieder zurück zu schicken.

Doch, oh Wunder, am Donnerstag schon wird meinem Konto der volle Betrag gutgeschrieben. Ich habe zwar immer noch keinerlei Kommunikation erfahren, aber das Geld ist da. Immerhin. Übrigens war die Lieferung von Amazon noch vor dem Geld da, denn bei Amazon ist eine Lieferung erst am übernächsten Tag schon auffällig langsam.

Abschließend lässt sich feststellen: Nicht noch mal e-bug.de, wirklich nicht. Läden, deren Abläufe so gestaltet sind, empfinde ich als äußerst unseriös. Wie sich herausstellt, bin ich damit nicht alleine, die Bewertungen bei gh.de sprechen Bände. Andererseits beruhigend, dass mich mein vorheriges Bauchgefühl nicht getrügt hat. Es gibt ja genug Computerläden.

P.S. Heute ist ein Paket von einem anderen Versender angekommen, das ich vor über einem Monat bestellt, am selben Abend aber noch storniert hatte, weil ein anderer (sehr großer) Fahrradversender sich eine Woche nicht gemeldet hatte, dann meine Stornierung ignorniert und das Paket doch noch versandt hatte. Auch der nächste Versender ignorierte meine Stornierung mit einer wirklich dämlichen Ausrede und dann blieb das Paket erst mal einen Monat beim Paketdienst liegen. Das wäre einen eigenen Blogeintrag wert, aber ich will niemanden mit redundanten Geschichten langweilen. Drei völlig verkackte Bestellungen innerhalb weniger Wochen, ich hab echt einen Lauf.

Ungeschickt. Man sollte einfach keine nicht ganz leichten metallenen Gegenstände fallen lassen, wenn das fast neue Smartphone in der Nähe liegt. Nun hat mein Dell Streak eine kaputte Frontscheibe, da hilft auch kein bruchfestes Gorilla-Glas. Aber immerhin kein Schaden an Display oder Touchfunktion. Gerärgert habe ich mich also vorerst nur kurz, denn vom Dell-Service hielt ich bisher sehr viel. Was kann der Austausch einer 83cm² kleinen rechteckigen Glasscheibe schon kosten? Ein Anruf bei der Frankfurter Festnetznummer, ein paar Wochen Verzicht auf das Gerät und vielleicht 100, wenn es hoch kommt 200 Euro, das wäre dann aber schon recht happig.

350€! Dreihundertfünfzig Euro! So viel soll der Austausch der Scheibe kosten. Zum Vergleich: Für 430€ inkl. Versand bekomme ich im Handel ein Neugerät. Hat Dell ein Rad ab? Jetzt ärgere ich mich wirklich.

Was also tun? Der erste Impuls ging in Richtung Neugerät, nur aus Prinzip. Aber nach einem Tag schlechter Laune dreht sich meine Einstellung. Das Dell Streak ist etwa so groß wie meine Hand und liegt immer in meiner direkten Nähe, gibt also eine wirklich gute Trefferzone für alles mögliche ab, vom verschütteten Tee bis zu herabfallenden nicht ganz leichten metallenen Gegenständen. Es ist also nicht auszuschließen, dass die Scheibe irgendwann noch mal beschädigt wird. Bei 350€ für einen Scheibentausch ist mir das Risiko eklatanter Folgekosten einfach zu hoch. Vor allem aber bin ich entsetzt von und verärgert über Dell. Das können die doch nicht ernst meinen?

Momentan denke ich also über einen Markenwechsel in Sachen Smartphone nach. Das Dell Streak gefiel mir wirklich ausgesprochen gut. Die einzige wirklich bittere Pille war für mich bisher der unverschämte Preis von fast 35€ für ein zweites Ladekabel. Aber dass Dell seine Kunden im Servicefall derart nackig macht, geht gar nicht. Meine – wegen meiner bisher eigentlich hervorragenden Serviceerfahrungen – sehr Dell-affinen Notebookempfehlungen muss ich dann auch noch mal überdenken. Alles Mist.

Also werde ich wohl vorerst mal mit dem Sprung leben und die Smartphone-Neuerscheinungen der kommenden Wochen abwarten. Schade, denn das Streak habe ich in den paar Wochen wirklich lieb gewonnen.

Kürzlich wurde ich gerufen, um einen Rechner mit Windows 7 von einem Trojaner zu befreien, der eine lustige TAN-Abfrage in das Online-Banking der Postbank injiziert ("Geben Sie 20 TANs ein" direkt nach der Eingabe von Kotonummer und PIN). Schnell war klar, dass ich es mit einem ordentlichen Stück Software zu tun hatte, weil alleine die organische Einbindung der injizierten Abfrage mittels jQuery UI wirklich sauber ausgeführt wurde. So gehört sich das. Der Virenscanner hat zwar etwas gefunden, aber das verriet lediglich den Weg der Infektion über ein veraltetes Java-Plugin (Update 17, aktuell ist Update 23). Ein Autostart war auch schnell auffindbar, aber ebenfalls eine Sackgasse: Die Exe hatte 0 Byte und war zusammen mit dem Autostart-Eintrag nach jedem Löschen plus Neustart wieder da. Klingt ziemlich nach Rootkit, also Rechner mitnehmen und genauer ansehen.

Also habe ich als nächstes die Desinfec't DVD von der c't 02/2010 gebootet und einige Stunden Bitdefender, Kaspersky und Avira mit aktuellen Signaturen laufen lassen. Für sowas braucht man viel Zeit, weil alleine die Akualisierung der Scanner sich bei mir im Stundenbereich bewegt hat. Verwunderliches Ergebnis: Nichts, keine einzige verdächtige Datei, die Avira nicht schon aus dem laufenden System heraus in Quarantäne verschoben hatte. Nanu? Irgendwo her muss der Scheiß doch kommen und so neu oder unbekannt wird so ein Virus auch nicht sein. Bleibt also als letzte Möglichkeit der MBR. Also schnell mal mit fixmbr.exe hantiert und von einer Boot-CD aus den Autostart und die immer wieder neu angelegte 0-Byte-Exe gelöscht, und zack, das war es. Keine TAN-Abfrage mehr beim Banking. Die hatte übrigens den Firefox und den Internet Explorer betroffen, nicht aber einen testweise heruntergeladenen Protable Chrome. Scheinbar injiziert sich das Ding als geheime DLL in ihm bekannte Browser, um sein Unwesen zu treiben.

So muss das. Diese Scriptkiddie-Virusbaukasten-Kinderkacke langweilt doch nur. Ich warte schon lange auf solche Schadsoftware, die mal ein echter Gegner ist; die auch mal von Leuten lanciert wird, die nicht mit ihren scheiß Botnetzen und adoleszent geprägten Allmachtsfantasien irgendwelche Seiten DDoSen, weil man dort ihren Account wegen Missbrauchs geblockt hat. Von sowas hat mir gerade gestern noch jemand erzählt, der eine Matchmaker/Liga-Seite für ein beliebtes Computerspiel betreibt. Stattdessen gibt es ordentlich gestaltete Software, die ihren Zweck erfüllt und mal wieder zeigt, wie angreifbar Online-Banking mit TAN-Liste doch ist. Mit Browser-basiertem Banking hat man da besonders als Angreifer leichtes Spiel, aber wenn jemand so weit ist, dass er sich mit einem MBR-Rootkit tarnen und unauffällig den ganzen Browser manipulieren kann, sollte auch ein Angriff auf StarMoney oder andere Banksoftware kein prinzipielles Problem sein.

Dass man hier sehr auffällig direkt 20 iTANs haben will, ist wohl dem Umstand geschuldet, dass man diese nur verkauft und eben nicht direkt selber nutzt. Sollte sich jemand finden, der bereit ist, das zu tun, ist es natürlich viel erfolgsversprechender, eine legitime TAN-Abfrage abzuwarten und nur die Überweisungsdaten zu manipulieren. Dagegen helfen einige neuere TAN-Verfahren, die neben der TAN auch immer Ziel und Betrag der Überweisung anzeigen. Wenn man dem überhaupt Beachtung schenkt. mTAN oder die neueren TAN-Generatoren tun da gute Dienste, weil sie die TAN-Generierung an die angezeigten Überweisungsdaten binden. Nutzt sowas, wenn ihr das noch nicht macht. Oder eben HBCI-Chipkarten-Banking mit (teurem) Kartenleser mit Display und eigenem Pinpad, aber das ist wirklich sehr unkomfortabel, vor allem wenn man mehr als eine Bank hat.

Insgesamt muss man sagen: Haltet um Gottes Willen Eure Software aktuell! Ein Java Update 17 ist einfach mal sechs Versionen alt und enthält etliche Sicherheitslücken, die sich ohne Zutun des Anwenders bequem im Browser ausnutzen lassen. Was aus sowas werden kann, hat dieser Fall mal wieder eindrucksvoll bewiesen. Auf dem betroffenen Rechner habe ich jetzt Java einfach deinstalliert, denn bezeichnend an der Sache ist, dass der Besitzer von Java eben noch nie etwas gehört hatte; kein Wunder also, dass er dessen Update-Anfragen offensichtlich ignoriert hat. Weg damit. Überhaupt: Alle Browser-Plugins sind tickende Zeitbomben, das gilt genau so für Flash und den Adobe Reader (oder Shockwave oder Quicktime oder Windows Media). Die Browser sind heutzutage echt ziemlich sicher geworden, vor allem Google Chrome mit seinen ungefragten Hintergrund-Updates geht da den richtigen Weg. Aber wenn man sich diese Sicherheit mit Sandboxen und allem durch veraltete Plugins direkt wieder kaputt macht, ist das ein Fehler im Prinzip. Also: Plugins vermeiden oder zumindest nicht ungefragt ausführbar machen, ein Flashblocker ist heutzutage sicherheitstechnisch wirklich Gold wert, NoScript kann das sogar mit allen Plugins. Ansonsten muss Java eben ganz gehen, aber das hatten wir ja schon neulich.

Sachliche Kritik ist sinnvoller als plumpe Polemik. Dennoch ist festzustellen, dass schon bei Zensursula Polemik weder geschadet hat noch Sachlichkeit irgendetwas brachte.

Dieser Satz stammt aus diesem Blogeintrag von Jörg Tauss zum JMStV und ist gleichzeitig kraftvoll und unglaublich wahr. Traurige Welt. Also zum Thema: Schon vor ein paar Wochen hatte der 1&1-Blog unter dem Titel Das Ende der freien Kommunikation im Internet? auf die drohende Zensur durch die Hintertür in Form des Jugendschutzes hingewiesen. Doch die wirkliche Resonanz blieb aus: Zu skurril und abwegig waren die Inhalte dieses Staatsvertrages. Feste Sendezeiten für Internetseiten, obligatorische Sperrung aller Websites, die den deutschen Bestimmungen zum Jugendschutz nicht entsprechen, also quasi 99,9% des Internets. Also nix mehr mit Westfernsehen und so. Auch die Haftung für Zugangsprovider für die Inhalte ihrer Kunden ist eine irre Idee, führt sie doch die Realität völlig ad absurdum. Krude Vorstellung, man lacht kurz und blättert weiter. Doch leider ist das alles ernst gemeint, die Länder sind gerade drauf und dran diesen oder einen ähnlichen Unsinn zu verabschieden. Ein wenig Aufmerksamkeit schadet da nicht. Also nicht stumpf über den (wie es aussieht) Pyrrhussieg über Zensursula freuen, sondern besser die Realität bemerken.

Ich möchte gar nicht viel zu dem Thema schreiben und habe mehrere bereits geschriebene Absätze wieder gelöscht. Der Entwurf ist so abwegig, dass ich an eine Umsetzung beim besten Willen nicht glauben mag. Trotzdem muss man das Thema im Auge behalten. Die oben verlinkten Artikel sind schon mal gute Ansatzpunkte, der AK-Zensur hat natürlich auch schon was dazu gesagt. Einfach mal lesen und staunen. Demnächst ist Landtagswahl in NRW, ich bin gespannt, wie sich die Parteien hierzu positionieren. Die SPD ist mit Beck übrigens Federführend bei dem Unsinn und die anderen Parteien halten sich bemerkenswert bedeckt zum Thema.

P.S. Auf die Piraten würde ich zur Zeit keine Hoffnung setzen, die haben zur Zeit genug Probleme u.a. mit Leuten wie Aaron König in der Parteiführung.

Jemand hatte für 24 Stunden den Twitter-Account cdu_news gekapert und dort eine politische Kehrtwende lanciert. Dem Hörensagen nach geschah das entweder durch ein in einem offenen WLAN gesnifftes Passwort oder durch schlichtes Raten, was bei Identität von Benutzername und Kennwort schnell gegangen sein mag. So oder so, die CDU hat sich das aus verschiedenen Gründen redlich verdient, in erster Linie aber zeigt es recht schön, wie es um die Medienkompetenz dieser Partei bestellt ist. Darauf wollte ich aber gar nicht hinaus, die Häme ist schon woanders ausgeschüttet worden.

An diesem Beispiel sieht man wieder, dass viel zu wenige Leute sich zumindest im Ansatz für die Sicherheit ihrer Online-Identität interessieren. Da werden trivialste und leicht zu erratende Passwörter genutzt und wahrscheinlich für alle Dienste das gleiche, weil man sich das ja auch merken muss. Und es wird ohne Hirneinsatz in offenen WLANs fröhlich alles ohne Verschlüsselung übertragen. Dass da jeder Anwesende mit ein wenig technischem Verständnis und einem Notebook oder PDA in Reichweite alles, mit der Betonung auf alles, mitlesen kann, hat man auch schon mal gehört irgendwann. Punkt. Ich habe keinerlei Mitleid mit Menschen, denen aus diesen beiden Gründen unschöne Dinge passieren, denn sie haben es verdient. Sie haben mutwillig alle Regeln der Umsicht missachtet und müssen die Konsequenzen tragen. Jemand, der aus Bequemlichkeit vor dem Überqueren einer großen Straße und mit MP3-Player auf den Ohren weder rechts noch links guckt, wird in der Regel früher oder später in Kontakt mit fahrenden Fahrzeugen kommen. Same here.

Also noch mal ein paar simple Regeln für den sicheren Umgang mit Passwörtern:

1. Wenigstens halbwegs sichere Passwörter wählen. Admin und Admin sind kein gutes Paar, idiot@gmx.de und idiot auch nicht. idiot12345 ist schon besser, aber immer noch leicht zu erraten. Im Prinzip führt kein Weg an sowas wie 2i5j28dQ vorbei. Wer sich sein Passwort merken muss kann auch die ersten Buchstaben jedes Wortes in einem bescheuerten Merksatz nehmen. Nach ein paar Mal eintippen braucht man den Satz eh nicht mehr. Wie auch immer, ein Passwort darf nicht nach ein paar Tausend Versuchen erraten werden, also mit geeignetem Werkzeug nach ein paar Millisekunden bis Minuten. Der Name von Kindern und Haustieren oder der Hochzeitstag fallen also auch flach, ebenso wie Begriffe, die im Wörterbuch stehen.
2. Nicht überall das gleiche Passwort nehmen. Klingt besonders lästig, aber eine Anekdote beschreibt das Problem ganz gut: Ich hatte mal meinen Benutzernamen vom FH-WLAN vergessen und habe diesen in der DVZ (unser Rechenzentrum) per E-Mail nachgefragt. Der freundliche Mitarbeiter nannte mir ohne weitere Überprüfung meiner Identität meinen Benutzernamen und das erste Zeichen meines Passworts (nach dem ich nicht gefragt hatte, denn das wusste ich noch). Fuck, dieses Passwort hatte ich zu dem Zeitpunkt bei etlichen Diensten genutzt und jeder Honk konnte offenbar durch geschicktes Nachfragen bei der DVZ dieses Passwort herausfinden, das dort im Klartext abgelegt war. Fuck, fuck, fuck! Merke: Man kann nie wissen, was mit den Passwörtern bei den Betreibern passiert, also führt tatsächlich kein Weg daran vorbei, für jeden Dienst ein gesondertes Passwort zu benutzen oder zumindest für die wichtigen Dienste.
3. Kein Mensch kann sich alle Passwörter merken, wenn man für jeden Dienst ein eigenes definiert. Also führt kein Weg an einem Passwort-Manager vorbei. Ich benutze Keepass, das ein kostenloses (Open-Source) Programm ist, das auf etlichen Plattformen läuft: Neben Windows (auch vom USB Stick), Linux, Mac OSX auch auf den meisten besseren Handys und demnächst irgendwann auch mal auf dem iPhone, wenn Apple es mal im AppStore freischaltet. Aber Vorsicht: Das Master-Passwort muss besonders stark sein, denn wer eine schlecht geschützte Schlüsseldatei in die Finger bekommt, hat den Generalschlüssel.
4. Fast einen Generalschlüssel hat auch jeder, der das Passwort zum E-Mail Postfach kennt oder sonstigen Zugriff darauf hat: Eigentlich jeder Webdienst bietet die Möglichkeit, sich ein neues Passwort per E-Mail zusenden zu lassen. Und schwupps ist alles geritzt. Immerhin bemerkt man hier den Angriff meistens im Nachhinein, wenn das alte Passwort nicht mehr funktioniert. Merksatz: E-Mail und Passwort-Manager sind die wichtigsten Passwörter von allen. Hüte sie wie Deinen Augapfel.
5. Das E-Mail Postfach kommt aber gerne in falsche Hände, wenn man unverschlüsselt auf seine E-Mails zugreift. Also immer und ganz besonders in offenen WLANs Passwörter nur über verschlüsselte Verbindungen übertragen. Im E-Mail Programm muss man meist nur zwei Häkchen setzen (SSL oder TLS), je nach Provider muss man aber auch mehr Umstellen: Ein freundlicher Helfer oder die Online-Hilfe des Providers hilft auch Anfängern zuverlässig bei der Einrichtung. Auch der Webmailer sollte nur mit einem https:// vor der Adresse genutzt werden. Nochmal: In offenen WLANs, also allen öffentlichen und hoffentlich nicht dem eigenen, kann jeder in Reichweite des Netzes alle Daten mitlesen, wenn sie nicht verschlüsselt werden.
6. Und zuletzt der simple Tipp: Nicht jedem das Passwort in die Hand drücken. Ein Passwort geht niemanden etwas an. Ganz besonders gilt das für die vielen Dienste, die eine direkte Twitter-Anbindung anbieten, für die Benutzername und Kennwort eingegeben werden müssen. Das ist scheiße, liebe Betreiber. Bitte erzieht die Nutzer nicht zu solch sorglosem Umgang mit ihren Zugangsdaten.

Ja, Passwörter sind ein unbequemes Thema. Aber spätestens, wenn es um handfesten Identitätsdiebstahl oder finanziellen Schaden geht (PayPal, eBay etc. schicken einem gerne ein neues Passwort per E-Mail zu), sollte etwas Umsicht walten.

Bei jeder PayPal-Zahlung habe ich Angst. Der übliche Workflow lädt nämlich geradezu ein zum Phishing: Man klickt irgendwo auf einen irgendwie gearteten "Bezahlen"-Button und wird auf die Paypal-Bezahlseite weitergeleitet. Wer jetzt nicht peinlich genau auf die Domain und die Signatur achtet, dem könnte man derart leicht eine gefälschte PayPal-Bezahlseite unterjubeln, dass es nur so brummt: Einfach per Copy and Paste so eine Bezahlseite kopieren und die Werte des Eingabefeldes über ein eigenes Script umleiten, schon hat man die Zugangsdaten des PayPal-Nutzers. Wenn man danach die echte PayPal-Seite aufruft, wird der Bezahlvorgang sogar erfolgreich abgeschlossen und der Nutzer bemerkt den Account-Diebstahl nicht mal.

Dieses Phishing-Risiko besteht bei allen Diensten, die so arbeiten, nicht nur bei PayPal und das hat einen ganz simplen Grund: Die Dienste befürchten einen Komfortverlust beim Nutzer und wenn die Bezahlung nicht einfach und schnell ist, nutzen die Kunden andere Dienste. Ein echtes Dilemma, denn technisch gäbe es verschiedene Lösungsansätze, die aber eben alle mit Komforteinbußen verbunden wären.

PayPal selber führt gerade zwei Sicherheitsfunktionen ein, die aber in meinen Augen das grundsätzliche Problem nicht beheben, sondern lediglich die Symptome mindern:

Verfahren Nummer eins kostet einmalig 4,95€ und beschert einem ein kleines Gerätchen, das alle 30 Sekunden eine sechsstellige Zahl generiert, die nur PayPal (und eBay) kennt. Diese Zahl gibt man beim Login zusammen mit Benutzername und Kennwort ein und weist so recht sicher nach, dass man der Accountinhaber ist und nicht jemand, der die Accountdaten geklaut hat. Geklaute Accountdaten werden damit weitgehend wertlos, müssen also nicht mehr so stark geschützt werden, Phishing läuft weitgehend ins Leere. Man kann nur noch im Moment des Phishings den dann gültigen LogIn-Code ausspähen und den einen Transfer verändern. Diese Lücke lässt sich weitgehend abdichten, ob PayPal das auch macht, steht auf einem anderen Blatt. Andererseits ist das vorerst auch gar nicht nötig, denn dieses Feature muss erst vom Nutzer aktiviert und bezahlt werden, und man muss ständig so einen lästigen Schlüsselanhänger parat haben. Weit verbreiten wird sich das also nicht und genau da liegt der Trick: Für Angreifer ist es einfacher, sich auf Nutzer ohne dieses Feature zu konzentrieren und die Leute mit TAN-Token in Ruhe zu lassen.

Verfahren Nummer zwei ist etwas handlicher und funktioniert ein wenig wie PayBox damals (bzw. noch heute in Österreich): Das Handy wird in den Bezahlvorgang einbezogen: PayPal akzeptiert Zahlungen nur mit einem per SMS verschickten Authentifizierungscode. Wer das Handy und das Passwort hat, hat also die Macht. Die Kosten für die SMS berechnet PayPal dem Nutzer. Ein durchaus angenehmes Verfahren, für das das oben gesagte ebenfalls gilt: Zu aufwändig anzugreifen, solange es genug Nutzer ohne das Feature gibt.

Beide Verfahren lassen sich auch ohne das jeweilige Sicherheitsmedium benutzen, in dem Fall werden dem Nutzer zwei vorher festgelegte Sicherheitsfragen vorgelegt und die richtigen Antworten schalten den Transfer frei. Aber beide Verfahren gehen das zentrale Problem nicht an: Der Bezahldienst authentifiziert sich nicht wirklich dem Benutzer gegenüber. Klar gibt es da ein Sicherheitszertifikat, das man sich im Browser anschauen kann und das man überprüfen sollte. Aber ich kenne niemanden, der das macht und auch ich selbst mache das nicht immer. Die meisten Leute wissen nicht mal, wie man das überprüft geschweige denn ist ihnen klar, was es überhaupt mit SSL-Zertifikaten auf sich hat. Das kann keine allgemeingültige Lösung sein. Das Verschicken eines Authentifizierungscodes per SMS ist schon ein guter Ansatz, wenn jetzt noch das Passwort erst einen Schritt nach dem Code abgefragt würde, wäre auch das Passwort vor Fehleingaben geschützt, weil der PayPal sich gleichzeitig mit diesem Code beim Nutzer authetifiziert (bzw. durch die Tatsache, dass ihnen die Handynummer bekannt ist). Selbst da fallen mir noch Angriffsszenarien ein, aber die sind weit entfernt vom Massenphishing und daher nicht so gravierend. Ich werde jedenfalls auf das SMS-Verfahren umstellen, wenn die SMS zu vernünftigen Preisen versendet werden. Genau genommen, hätte ich es längst gemacht, wenn die nur eine Minute gültige Aktivierungs-SMS käme. Mit sowas steht und fällt das System, denn wenn der Aktivierungscode nicht kommt, kann man nicht bezahlen.

P.S. apropos PayBox. Dieses System war wirklich gut, simpel zu handhaben und immens praktisch und sicher. Man musste nichts weiter machen, als seine Handynummer anzugeben und den Anruf vom PayBox Computer abzuwarten. Dort wird einem der Betrag genannt, der Empfänger und um die Eingabe der PIN gebeten. Gibt man die ein, wird die Zahlung freigegeben. Nix mit mehrehren Passwörtern oder gar TANs hantieren. Das System ist damals aus mehreren Gründen in Deutschland gescheitert: Der wichtigste war, dass 10 DM pro Jahr, die der Nutzer bezahlen musste, nicht ganz wenig sind. Was sollte das? Wollte man unbedingt scheitern?

P.P.S. die payPal-Hotline nervt total, nicht nur wegen des lästigen und wortreichen Voice-Menüs für 14¢/min, sondern auch weil sie mich für doof halten (gehen wir zusammen noch mal die Rufnummer durch…) und mir dann nicht weiter helfen (Probieren Sie es noch mal in ein paar Stunden und melden Sie sich nochmal, wenn das immer noch nicht klappt.). Fast acht Minuten vertane Telefongebühren.

Im Lawblog thematisiert Udo Vetter heute das grob fahrlässige System der Sofortüberweisung. Ich habe schon zwei mal mit größten Bauchschmerzen mit diesem System Bestellungen bezahlt und wollte immer mal was darüber schreiben. So denn.

Worum geht es also bei der Sofortüberweisung? Ähnlich wie bei PayPal wird man aus dem Bestellvorgang beim Online-Shop auf die Seite des Payment-Dienstleisters (sofortueberweisung.de und ich meine irgendwann noch einen weiteren gesehen zu haben) umgeleitet. Dort sieht man Details über die Bestellung im Online-Shop und tätigt dort die Zahlung. Bei der Sofortüberweisung gibt man dazu auf der Seite des Dienstleisters die eigene Kontonummer, die Bankleitzahl, den Kontoinhaber, die PIN und abschließend auch eine TAN ein. Der Dienstleister kontaktiert damit das Online-Banking der Bank und tätigt dort die Überweisung im Namen des Kontoinhabers. Hier stutze ich: Steht in den Nutzungsbedingungen der Banken nicht klipp und klar, dass man weder PIN noch TANs jemals einem Dritten überlasen darf? Sagt einem das nicht auch jeder Sicherheitsexperte? Für solche Vorgänge gibt es auch einen etablierten Namen: Phishing.

Das System ist also by Design ein Unding und läuft allen Bemühungen zur Phishing-Aufklärung zuwider. Warum wird es also von seriösen Online-Shops (mir fallen spontan conrad.de und cyberport.de ein) angeboten? Klar, es erweitert das System Vorkasse um die Möglichkeit der sofortigen Zahlungsbestätigung, das ist bequem für den Nutzer und den Anbieter zugleich. Aber zu welchen Kosten?

Ich rate dringend davon ab. Klar mag man dem Laden vertrauen, der sogar ein TÜV-Siegel trägt. Es ist ja nur ein Dienstleister und damit ist das ganze noch recht überschaubar. Aber was ist, wenn der nächste Laden einen anderen Dienstleister mit dem gleichen oder noch schlimmer einem nur ähnlichen System ins Spiel bringt? Was, wenn unseriöse Phisher sich eine beliebige neue Seite mit gefaketem TÜV-Logo bauen? Wer soll das unterscheiden können? Die Leute fallen ja schon auf schlecht gemachte Nachbauten ihrer eigenen Hausbank herein, die sie ganz gut kennen müssten. Und was, wenn die Daten bei dem Dienstleister nicht sicher sind? Soweit ich weiß, betreiben die kein Hochsicherheits-Rechenzentrum wie die Banken und stehen erst recht nicht für Missbrauch gerade. Ach ja: Für Bankkunden ohne PIN/TAN-Verfahren klappt das System schon mal gar nicht.

Das ist wie wenn man im Laden an der Kasse jemandem mit irgendeiner beliebigen Uniform ("Geldholservice" oder so) seine EC-Karte samt PIN in die Hand drückt, damit dieser beim Geldautomaten schnell Bargeld holen geht: Völlig irre, würde niemand machen (stimmt leider auch nicht). Die Bank kann sich bei solchem Missbrauch übrigens gemütlich zurücklehnen, immerhin hat man glasklar gegen die Nutzungsbedingungen verstoßen.

Eingeschränkt gilt meine Kritik auch PayPal und Co., weil man dort ebenso kaum kontrollierbar auf eine Paypal-Seite weitergeleitet wird, die im Prinzip jeder nachbauen könnte und damit die Paypal Zugangsdaten ergaunern. Wer achtet schon auf Sicherheitszertifikate und eine korrekte URL. Paypal ist Phishing-Risiko pur.

Ach ja, ich habe die Sofortüberweisung schon zwei mal genutzt. Warum tue ich sowas, obwohl ich Kunden und Freunden davon abrate? Beide Male brauchte ich die Ware recht dringend und konnte daher nicht auf Vorkasse zurückgreifen. Nachnahme ist indiskutabel teuer und das Paket kann dabei auch nicht bei den nachbarn abgegeben werden. Und schließlich habe ich für mein Geschäftskonto keine Kreditkarte. Ach ja: Bei Conrad klappte übrigens die Zurückleitung in den Shop nach der Zahlung nicht (ich benutze Opera, da funktionieren die wenigsten Zahlungsdienste sauber), so dass ich die Bestellung nur mit einer erneuten Befüllung eines Warenkorbs mit anschließender Vorkasse-Bestellung und einer Mail an den Support korrekt abschließen konnte. Hölle!

P.S. Klar haben die Shops eine berechtigte Angst vor Rücklastschriften, aber die Sofortüberweisung kann keine Lösung dafür sein.