Der Bundesverband Digitale Wirtschaft (BVDW) forderte, im Gesetzentwurf eine einheitliche Kennzeichnung der De-Mails zu verankern,…
Die Deutsche Post weicht allerdings davon ab, hier soll die Adresse «vorname.nachname@epost.de» lauten.

«Zusätzliche Domains bergen ein erhebliches Risiko, die Endnutzer zu verwirren und so die Eindeutigkeit und die Glaubwürdigkeit der De- Mail zu gefährden», erklärte der BVDW.

Ich wollte eigentlich nur etwas genauer schauen wer, was, wann gesagt hatte — denn das was die Deutsche Post anbietet gehört nicht zu De-Mail, sondern ist ein Konkurrenzprodukt — aber soweit kam ich gar nicht:

Safe Browsing Diagnostic page for bvdw.org (google.com) (Screenshot)
Da hat Google also Malware gefunden oder zumindest etwas verdächtiges registriert.


Im Quellcode auf bvdw.org fand ich dann einen Hinweis:
<!-- Generated by OpenX 2.8.1 -->

“Schwachstelle in OpenX ermöglicht Kompromittierung von Ad-Serern” (buerger-cert.de)

Empfehlung
Das Bürger-CERT empfiehlt Adminstratoren von OpenX Ad-Servern [1] ihre Systeme auf Kompromitterung zu überprüfen. Desweitern empfiehlt das Bürger-CERT eine Aktualisierung auf Version 2.8.5,…

“OpenX Ad Server – SQL Injection on 2.8.4” (developer.openx.org)
Allerdings ist diese Meldung schon ein paar Monate (!) alt:

Created: 03/Mar/10 03:48 PM     Updated: 03/Mar/10 03:48 PM

Mit veralteten Software-Versionen und den anderen Lücken (Cross-Site Scripting, Session Fixation, Information Disclosure, etc.) macht bvdw.org keine gute Figur. Aber ihr Slogan “Wir sind das Netz” passt zu dem was ich so üblicherweise im Netz finde — ich habe also nichts herausragend schlechtes gefunden. ;O)

Diese Fernsehmenschen aus Berlin machen so als ob das eine neue Geschichte war, als ob sie da etwas ausgegraben haben was vor ihnen kein Mensch wusste. Wenn man sich als Journalist mit Politik beschäftigt, dann sollte man schon wissen, das viele Informationen öffentlich zugänglich sind, bei denen die Politik gar nicht auf die Idee kommt, das darin zum Teil auch peinliche, zweifelhafte oder gar ungesetzliche Details beschrieben sind.

Bereits am 30.07.2007 schrieb ich in Schmiermittelbericht über Sponsoring, auch im Bundespräsidialamt. Hier zitier ich mich mal selber:

Zu von Brauchitsch-Zeiten hieß sowas noch “politische Landschaftspflege”, wurde dann zu “Bimbes” und nun heißt es “Sponsoring” — gemeint ist immer das Gleiche…

Zweijahresberichte des Bundesministeriums des Innern über die Sponsoringleistungen an die Bundesverwaltung

1. Berichtszeitraum: 1. August 2003 bis 31. Dezember 2004
   • Zweijahresbericht
   • Tabellarische Übersicht
2. Berichtszeitraum: 1. Januar 2005 bis 31. Dezember 2006
3. Berichtszeitraum: 1. Januar 2007 bis 31. Dezember 2008

Quelle: jeweils bmi.bund.de / als PDF

Siemens wird zusammen mit Openlimit den sogenannten Bürgerclient für den elektronischen Personalausweis entwickeln. Den entsprechenden Auftrag vergab das Bundesinnenministerium jetzt an Siemens IT Solutions and Services, Openlimit und die Bundesdruckerei.

Dieser “Bürgerclient” ist die Software, die auf dem Computer des Bürgers installiert sein muss, die dann die Kommunikation zwischen dem Kartenlesegerät und dem eID-Server herstellt. Es ist eine der Komponenten der ich vertrauen muss, dass sie mit meinen Daten keinen Mist baut.

Die eigentliche Bürgerclient-Software soll Openlimit entwickeln.

“Adhoc-Mitteilung: OpenLimit realisiert den Bürger-Client” (openlimit.com)

Ok, dies ist nur mal wieder etwas Cross-Site Scripting, was wohl an dem CMS bzw. der Form-Erweiterung liegt, aber trotzdem schwindet mein Vertrauen, wenn so etwas sehe.

Wer an solch sensiblen Projekten arbeitet, der muss ganz besonders darauf achten, dass nicht der Hauch von Misstrauen auftaucht. Da ich nun annehmen muss, dass diese Firma Software aus fremden Quellen ungeprüft verwendet, stellen sich mir verschiedene Fragen:

• Wird im “Bürgerclient” auch Fremdsoftware zum Einsatz kommen?
  • Ist dies Open Source, damit man prüfen kann was sie mit den Daten anstellt?
  • Wenn es kein Open Source ist, wie wird dann geprüft, um unerwünschte Funktionen darin aufzuspüren?
• Wer bekommt die Möglichkeit in den Quellcode zu schauen, um zu prüfen, was der “Bürgerclient” mit den Daten anstellt?

Da die Verteilung über die Einwohnermeldeämter und deren Websites erfolgen soll, frage ich mich, wie man dort verhindern will, dass keine manipulierten Versionen unter das Volk gebracht werden?

Im letzten Jahr schrieb ich in “Meldedaten leck(t)en ins Netz” über diese Ämter, weshalb die Frage nicht ganz unberechtigt ist. Mehr als ein Jahr ist in der IT eine halbe Ewigkeit, in der sich viel ändern kann, aber bei den Ämtern?

Am Arbeitslosenamt sah man in den letzten Wochen ja wie man dort tickt:
“Bewerber und Betrüger” (sueddeutsche.de)

Jeder, der sich als Arbeitgeber ausgibt, kommt über die Jobbörse der Arbeitsagentur an sensible Bewerberdaten.

Man wollte erst nichts an der bisherigen Praxis ändern:

“Im Hinblick auf die Engpässe am Arbeitsmarkt wollte die BA eine Erhöhung der Einstiegsbarrieren für die Jobbörse vermeiden”, heißt es in einer Stellungnahme.

Erst nach dem “Missbrauch der Jobbörse der Arbeitsagentur” (faz.net) wollte man handeln:

Die Bundesagentur reagierte auf diesen und ähnliche Vorfälle und verschärft die Zulassungsbedingungen für Arbeitgeber, wie BA-Vorstandsmitglied Raimund Becker gegenüber der F.A.Z. sagte

Und hier “Datenschutzmängel bei neuem Computersystem der Arbeitsagentur” (heise.de) wurde über die Datenbank geschrieben, über die jeder der beim Arbeitslosenamt angestellt ist, auf die Datensätze aller Arbeitslosen zugreifen kann.

Und wenn ich dann auf Golem noch

Unternehmen und Institutionen müssen sich ebenfalls authentifizieren, um auf die Daten der Bürger zugreifen zu dürfen.

lese, so wird mir ganz schlecht. Beim Arbeitslosenamt hat es bisher ausgereicht sich als Arbeitgeber auszugeben, um an die Daten der Arbeitssuchenden zu kommen und bei den Meldeämtern reicht es noch immer aus, wenn man ein paar Euro bezahlt, um an Meldedaten der Bürger zu gelangen, sofern diese der Weitergabe nicht explizit widersprochen haben.

Da werden wir wohl die ersten Missbrauchsfälle abwarten müssen, bis man sich mit großer Vorsicht dem ePerso und dem “Bürgerclient” nähern kann.


Nach wie vor glaube ich nicht, dass die Verantwortlichen in Politik, Wirtschaft und Verwaltung schon reif genug sind, um Projekte solcher Tragweite, unter das Volk zu bringen.

Die Problematik bei solchen jährlichen Prüfungen liegt auf der Hand. Die zertifizierte Website besitzt zu dem geprüften Termin den, zu dem Zeitpunkt, korrekten Status einer zertifizierten Seite, aber bei der nächsten Änderung an den Seiten kann sofort eine Sicherheitslücke aufgerissen werden, die diesen Status augenblicklich aufhebt.


Eine Änderung die zu neuen Lücken führt, kann vielfältiger Natur sein.

Ein Update der verwendeten Software könnte zwar den eigentlichen Zweck haben, dass bekannte Sicherheitslücken geschlossen werden sollen, aber gleichzeitig tun sich u.U. neue, noch unbekannte, Lücken auf. Hierbei ist es unerheblich, welche Software ein Update erfährt. Es könnte das Betriebssystem des Servers sein, der Web- oder Datenbankserver oder auch die Shopsoftware selber.

Integriert man z.B. ein ein neues Widget, so wird meist nur eine Zeile Code in die Templates eingefügt, welche ab sofort ein JavaScript von einem externen Anbieter nachlädt. Ist der Code des Widgets nicht sorgfältig genug programmiert, so könnte es sein, dass man sich gerade eine Lücke in sein System eingebaut hat – ein Widget mit eher unerwünschten Features.


Ich würde nun zwar nicht behaupten, dass diese Zertifikate vollkommen wertlos sind – da nicht nur die Sicherheit aus technischer Sicht geprüft wird, sondern auch die Prozesse einer Bestellung, die nach dem letzten Klick im Shop folgen – aber die Zertifizierer sollten dem Endkunden klar machen, dass das Zertifikat, aus technischer Sicht, nur ein Schnappschuss, eine Zustandsbeschreibung für den Zeitpunkt der Prüfung sein kann.

Aus meiner Sicht gibt es nur zwei Möglichkeiten, um mit dieser unbefriedigenden Position, als Zertifikat ausstellende Stelle, umzugehen:

1. Man muss seine Kunden dazu zwingen, jegliche Änderungen an der Website mitzuteilen, damit eine Nachprüfung erfolgen kann. Jede Nachprüfung (Datum, evtl. kurze Beschreibung) wird auch für den Endkunden Dokumentiert, um auch hier Vertrauen zu schaffen. Wird festgestellt, das Änderungen nicht mitgeteilt wurden, so verfällt ein Zertifikat mit sofortiger Wirkung, was ebenfalls für den Endkunden dokumentier wird.
2. Dem Endkunden muss glasklar Mitgeteilt werden, dass das Zertifikat für das Datum gilt, an dem eine Prüfung abgeschlossen wurde und er sich darauf verlassen kann, dass zu diesem Datum eine relative Sicherheit bestand – denn 100% Sicherheit gibt es nicht. Dem Besucher der Website muss aber auch vermittelt werden, dass die nächste Prüfung erst in 12 Monaten erfolgt und bis dahin jederzeit Lücken entstehen könnten, die alleine im Verantwortungsbereich des Betreibers der Website liegen und nicht der Zertifikat ausstellenden Stelle anzulasten sind.

Die Betreiber der Websites wollen mit der Zertifizierung werben, um dadurch mehr Umsatz zu generieren – was durchaus legitim ist – aber, sie müssen sich dann auch mehr in die Pflicht nehmen lassen. Wenn eine Website eine Prüfung erfolgreich durchlaufen hat, so kann man nicht die nächsten 12 Monate fleissig neue Features einbauen oder Änderungen vornehmen und wirklich meinen, weiterhin mit einem Zertifikat glaubhaft werben zu können.


Als Zertifizierer könnte man aus dem Dilemma – zwischen 364 Tage Risiko und fortlaufender Prüfung nach jeder Änderung, welche angeblich kein Websitebetreiber will – auch entkommen, indem ein neues Produkt mit zwei Stufen angeboten wird.

1. Der Kunde bekommt das bisherige Zertifikat, allerdings mit dem für den Endkunden deutlich erkennbaren Hinweis, dass das Zertifikat nur für das Datum der Ausstellung des Zertifikats gilt und jegliche zukünftigen Lücken von dem Betreiber der Website zu verantworten sind. Sollte der Websitebetreiber eine angeforderte Nachprüfung erfolgreich durchlaufen, so wird natürlich auch das Datum des Zertifikats aktualisiert.
2. Jegliche Änderungen an der Website müssen dem Zertifizierer mitgeteilt werden, welche eine kostenpflichtige Nachprüfung erfordert. Nur bei dieser Variante kann der Websitebetreiber glaubhaft mit dem Zertifikat werben.

Die weiteren Details zu den zwei Varianten müssen genau erarbeitet werden, welche auch die juristischen Gesichtspunkte mit einbeziehen, wer wofür haftbar gemacht werden kann, etc.


Sollte an der aktuellen Vergabepraxis von Zertifikaten nichts geändert werden, so werden wir erleben, dass diese, von der technischen Seite her, vollkommen wertlos werden, da der Endkunde jegliches Vertrauen verloren hat.

• “Was kaufen Kunden, nachdem sie diesen Artikel angesehen haben?”
• “Wird oft zusammen gekauft”
• “Passendes Zubehör zu diesem Artikel”
• “Kunden, die diesen Artikel gekauft haben, kauften auch”

Im Shop von OTTO (otto.de) gibt es etwas ähnliches:


Aber zu welchem Produkt könnte das eine Empfehlung sein?
Auf dieses Produkt wäre ich jetzt nicht gekommen… ;O)

Und was haben Nass-/Trockenrasierer, Stabmixer-Set, Fußmatte, Jeans-Hose, Oberarm-Blutdruckmessgerät, Plasma-TV, Bügel-BH und Allesschneider gemein?


Worauf will ich hinaus? Die alten Versender, die mit ihren dicken Katalogen Mutti beglückten, haben in der pre-Internet-Zeit gutes Geld verdient, aber die Zeichen der Zeit nicht erkannt. Es reicht natürlich nicht aus, dem Besucher einer Website einfach irgendwelche Produkte vor die Füße zu werfen, in der Hoffnung, er wird sie schon kaufen.

Im Shop von Neckermann (neckermann.de) sieht es zwar etwas besser aus, aber die Produkte die unter “Kombinierbar mit” verlinkt sind, sind häufig “ausverkauft”. Naja, auch nicht so wirklich sinnvoll, dem Kunden erst zu sagen “Hier gibt es noch etwas passendes!” und dann ist es nicht lieferbar.

Ich hätte ja gerne noch den Shop von Quelle besucht, um mir die “Ausgewählte(n) Preis-Knaller!” anzuschauen, aber über die Startseite kam ich nicht hinaus. Es war abzusehen, dass die Quelle-Server den Ansturm der Schnäppchenjäger (man könnte auch Aasgeier sagen) nicht bewältigen werden.

Zwar hatten die Techniker des Unternehmens nach eigener Erklärung extra für zusätzliche Serverkapazität gesorgt, doch kaum war das Rennen auf die Restbestände um 6 Uhr eröffnet, kam der Netzwerkverkehr mit dem Quelle-Webshop auch schon zum Erliegen.

Quelle: heise.de

Ich nehme mal an, dass man bei den “Preis-Knaller(n)” von Quelle ähnliches erleben wird wie bei den anderen alten Versendet. Da nehmen ich mir mal ein Produkt heraus: “Samsung PS50B430″ ein Plasma-Fernseher.

• Preis bei Quelle: 849,99 Euro (aus dem Google-Cache), wenn es auf den auch 10% Rabatt gibt, so sollte er nun 764,99 Euro kosten.
• OTTO meint “bei uns nur € 849,90“.
• Und die Neckermänner “jetzt 849,00 € bis zu 150,00 € gespart”.

Wenn ich nun meinen Favoriten guenstiger.de anwerfe, so finde ich den gleichen Fernseher für 634 Euro.

Geiz ist nicht geil, aber bei dem Preisunterschied, wird wohl kaum jemand (ohne Rabatt) 215 Euro mehr ausgeben wollen.


Warum sollte ich bei den alten Katalogversendern bestellen?

• Die Preise sind nicht gut, auch bei nicht technischen Produkten.
  (Levis 501 / Neckermann 90,90 Euro inkl. Versandkosten, OTTO 99,95 Euro zzgl. Versandkosten und in einem beliebigen Shop den ich per Google finde, zwischen 70 Euro und 90 Euro inkl. Versandkosten.)
• Kaum/keine oder fehlerhafte Verknüpfung mit passenden weiteren Produkten, die auch gerne mal “ausverkauft” sind.
• Lieferzeiten z.T. eher verwirrend “sofort lieferbar innerhalb 3 Wochen”.
  (Na watt denn nu?)

Von Amazon könnten sich die alten Versender eine Scheibe abschneiden. Amazon versteht es, meiner Meinung nach, so gut wie kaum ein anderer Shop, den Kunden relevante Infos zu Produkten anzubieten und die Preise klammern sich nicht am UVP der Hersteller.

Sollten die alten Katalogdrucker nicht kurzfristig auf das Internetzeitalter reagieren und umschalten, so wird ihnen sehr wahrscheinlich ein ähnliches Schicksal wie Quelle ereilen. Leider haben die, die die Folgen von Missmanagement auszubaden haben, kaum Einfluss auf eine Modernisierung.

In verschiedenen Blogs wurde über dieses Datenleck berichtet:
“Datenpanne bei der DHL? Sendungsverfolgung für fremde Pakete” (netzrecht.org)
“DHL gibt Auskunft über fremde Pakete” (lawblog.de)
“Datenschutz: Paketverfolgung bei der DHL für jeden möglich” (nachgeblogt.com)

Gestern wurde dann der Praktikant der DHL-EiTea-Abteilung aus seinem wohlverdienten Wochenende gerissen. Erst schaltete er den Wartungsmodus ein, damit niemand mehr auf den Sendungsstatus zugreifen konnte. Irgendwann war er dann mit seinem Gefrickel fertig und aktivierte das System wieder für die Öffentlichkeit.

Nun kann man nur noch die Sendungsnummer eingeben, es gibt kein Feld mehr für die Referenznummer. Da man ja genau in dem jetzt fehlenden Feld die PLZ eingeben mußte… könnte man… aber nein, es war doch nur der Praktikant. :O)

Die Lücke besteht nach wie vor, man kann noch immer die Daten auslesen.

Nur ein Hinweis von mir: Lieber DHL-EiTea-Praktikant, es reicht nicht aus, nur ein Formularfeld aus einem Template zu entfernen, um die Lücke zu schließen.

Update: 13.07.2009 – 11:50 Uhr
Liebe DHL-EiTealer, ihr braucht nicht meinen ganzen Blog durchkämmen – wie ihr die Lücke schließen könnt habe ich nirgends geschrieben, fragt mich einfach, geht schneller. :O)

Update: 14.07.2009 – 17:04 Uhr
DHL hat nun die Lücke endlich geschlossen. Ob meine beiden Hinweisen (per E-Mail und per Kontaktformular) mit Beispiellinks dazu geführt haben weiß ich nicht, da sie mir natürlich nicht geantwortet haben.


Was bei DHL noch fehlt, die vollständige Adresse des Empfängers, da kann ein anderer Paketdienst aushelfen. Auch bei DPD waren EiTea-Frickler am Werk, denn anders ist es nicht zu erklären, dass man nur mit der Paketscheinnummer bewaffnet, jeden Zustellbeleg, inkl. Postanschrift des Empfängers und Name und Unterschrift des Menschen der die Sendung angenommen hat, runterladen kann:

DPD nutzt fortlaufende Paketscheinnummern, was das Abgreifen der Daten per Script sehr vereinfacht:

Im Moment fällt mir noch kein sinnvoller Betrugsversuch ein, bei dem ein Angreifer die gewonnenen Daten nutzen könnte, aber: DPD, muß das so sein? Oder verstehe ich nur mal wieder dieses Feature nicht?

(Ich habe ganz bewusst nur mit alten Paketscheinnummern die Screenshots erstellt. Die verfügbaren Zustellbelege sind tagesaktuell abrufbar.)

Das Video der Pressekonferenz ist hier noch online verfügbar:
http://m.vodafone.de/pk/

Meine paranoide, präkognitive Ahnung sagte mir: Die Kommentare aus dem Facebook-Chat sind bald nicht mehr online und diese sind das Beste an der ganzen PK, also schnell vorher sichern. Das Netz vergisst zwar nichts, aber so schnell ist nicht einmal Google. :O) Es wurden insgesamt 2194 Kommentare oder Fragen über Facebook-Chat kommuniziert, also werde ich hier nur einige wenige aufführen.


Erst dachte ich, ich bin einfach nur zu dumm um Vodafone zu verstehen, aber aus den Kommentaren entnahm ich dann, dass auch die anderen Zuschauen nicht wussten worum es eigentlich geht:

• Wenn die Kommentare nicht wären, wär die Präsentation stink langweilig
• grade fragt mich jmd.: Was machen die da? Was ist das Thema? :)))
• Immer noch nicht klar, welchen Mehrwert nun “Empowerment” mitbringt! A lot of buzzwords, non-differentiated, nothing else than chestpounding…
• ach jetzt versteh ich das ist hier Werbung, und ich dachte schon die stellen nen neues Gadget oder nen tollen neuen Dienst vor. wozu dann die übertragung? “wir” sind doch nicht die Zielgruppe von dem Marketingsprech was der nette Herr redet..

Es ging einfach nur um eine “Vodafone-Markenkampagne” mit der der “Claim” “Es ist Deine Zeit.” (esistdeinezeit.de) zur Welt gebracht wurde und mit der man die “Generaion Upload” ansprechen will, wer auch immer diese Generation sein soll. Kein neues Produkt, keine neuen Dienste, kein neues Handy in Verbindung mit einem neuen Tarif oder ähnliches. Wenn man dies weiß bevor man das Video der PK sieht… :O) Dann wird auch klar warum da so viel Unsinn geschwafelt wurde, von “Generation Upload”, “Empowerment”, “P O Essen”, etc. Wenn man eigentlich nicht viel zu sagen hat, aber man muß viel sagen, tja, da kann dann nichts gutes bei rauskommen.

Aber wenn man diese Kommentare liest, dann scheint wohl die Inhaltslosigkeit bei Pressekonferenzen nicht neu zu sein:

• Aber schon schön, dass jetzt mal “alle” sehen, was sich sonst so die Journalisten anhören dürfen.
• Gut, dass es Journalisten gibt. Live-PKs sind nichts für Endkunden.
• Es ist immerhin schön, dass hier auch Nicht-Journalisten mitbekommen, welche heiße Luft man bei Pressekonferenzen präsentiert bekommt. Das führt dann leider dazu, dass Kollegen entweder aufgeben, indem sie nichts berichten – oder einfach die Pressemitteilung übernehmen.

Das Marketingsprech der Pressekonferenz war wirklich sehr sehr grausam, nicht nur mir ging es so:

• schon mal die buzzwordbingo-karte bereit legen ;-)
• Hört eigentlich jemand zu und wenn ja, versteht jemand, was der da sagt? Ich mach mal Business Bullshit Bingo.
• BINGO! Net promoter score
• BINGO! Nachtrag: Brand refresh
• BINGO! Empowerment
• Wer hat diese Rede geschrieben? Buzzword-Bullshit-Bingo vom grausamsten…
• generation upload, empowerement, client first, brand refresh BINGO
• Ist dies hier die Vodafone Pressekonferenz oder das Buzzword Bingo mit Business Kaspern?
• Ich will Lobo. Der ist beim Bullshit-Bingo wenigstens lustig.
• Bullshit BINGO! “Jänärätion Aplood”

Aber es geht auch andersherum:

• Eine sehr homogene Veranstaltung mit exorbitant hohem Informationsgehalt als Reaktion auf die Projektion der disintegrierten, kolaborativ kontraproduktiv vorgehenden Opponenten mit rein destruktiver Insistierung, welche der aufstrebenden Upload-Community ein De-Empowerment offerieren wollen, oder?

Neben “Empowerment” (de.wikipedia.org)

Mit Empowerment bezeichnet man Strategien und Maßnahmen, die geeignet sind, den Grad an Autonomie und Selbstbestimmung im Leben von Menschen oder Gemeinschaften zu erhöhen und es ihnen ermöglichen, ihre Interessen (wieder) eigenmächtig, selbstverantwortlich und selbstbestimmt zu vertreten und zu gestalten.

wurde in den Kommentaren die “Generation Upload” aufs Korn genommen:

• Wenn dies der Versuch ist, sich bei mir einzuschleimen, dann habt ihr versagt! Das muesst Ihr einfach einsehen! Ich bin Computer-affin und nicht irgendeine Generation Blah.
• OK, mal eine ernsthaft Frage an die Leute die da reden: Merken Sie eigentlich, dass Sie von der Zielgruppe nicht ernst genommen werden, wenn Sie dem Trend hinterherlaufen mit Aktionen wie “Generation Upload”?
• Generation Upload – jetzt schon das Unwort des Jahres.
• Generation Upload ist ja überhaupt mal so etwas von einer kranken Marketing-Produktmanager-Nixversteher-Hirnausgeburt

Bis auf Sascha Lobo ist mir keiner der Protagonisten der Spots bekannt. Für mich sieht es so aus als ob Herr Lobo, entweder von Vodafone nicht zu dieser Kampagne befragt wurde oder sein Rat nicht auf fruchtbaren Boden gefallen ist. Ich kann mir nämlich nicht vorstellen das Herr Lobo nicht erkannt hat, dass dieser “Du bist Generation Upload”-Unsinn ein Schuss ins Knie ist bzw. voll nach hinten losgeht. Unter den Zuschauern gab es wohl auch den einen oder anderen der ähnlich dachte wie ich:

• sascha auf verlorenem posten…. – mann, fühlt der sich deplaziert
• Der Lobo sieht aus als müsste er gleich brechen
• Hat Sascha Magenschmerzen?
• würde gerne saschas ehrliche meinung zur Kampagne hören …
• Lobo wirkt genervt. Muss zusehen, wie sie es vergeigen.
• Wird Lobo gerade klar, dass er einen Fehler gemacht hat, indem er sich hier vor den Wagen spannen laesst?
• heijeijei, der Lobo sieht so aus, als würde ihm gerade klar, was hier alle denken. doofe Idee…

Dank suggestiver Fragen kann viel belegt werden, auch, dass eine Mehrheit Netzsperren befürwortet. Werden die Fragen anders formuliert, ist das Ergebnis genau umgekehrt

Wenn ich so etwas lese, dann muß ich immer an die Frage “Schlagen Sie Ihre Frau noch immer?” denken. Oft liest man das eine Umfrage das Ergebnis Xyz gebracht hat, wenn man die gestellten Fragen aber nicht kennt, so kann man mit dem Ergebnis dann aber kaum etwas anfangen, wie man oben sieht.


“Autoindustrie trickst bei Jobzahlen” (capital.de)

Die Behauptung, jeder siebte Arbeitsplatz in Deutschland sei an die Automobilindustrie geknüpft, beruht nach Capital-Recherchen auf einem simplen Rechentrick des Verbands der Automobilindustrie (VDA). Der VDA geht davon aus, dass ohne Autoindustrie in Deutschland niemand mehr Auto fahren würde – weder deutsche Wagen noch ausländische. Damit würden alle Jobs wegfallen, die irgendwie durch das Auto bedingt sind – vom Straßenbauarbeiter bis zum Parkhauspförtner. Nach Berechnungen des Rheinisch-Westfälischen Instituts für Wirtschaftsforschung (RWI) hängt dagegen nur rund jeder 20. Arbeitsplatz von der Autonachfrage ab.

Und hierbei fällt mir dies ein:

… der Schweizer Physiologe Gustav von Bunge hatte 1890 den Wert zwar richtig berechnet, doch bezogen sich seine Angaben auf getrockneten Spinat, wurden aber später irrtümlich frischem Spinat zugeschrieben, der zu ca. 90 % aus Wasser besteht. 100 Gramm frischer Spinat enthalten also durchschnittliche 3,5 Milligramm Eisen und nicht außergewöhnliche 35 Milligramm.

Quelle: de.wikipedia.org


Wem kann man noch trauen? Den Politikern wohl auch nicht!

Die leyenhafte Frau erwähnt im Zusammenhang mit der Internet-Zensur gerne die Operation Himmel, mit 12.000 Verdächtigen. Verdächtige – denn nicht einer von denen wurde bisher angeklagt oder gar verurteilt. Aber wer fragt schon danach? Die wenigsten!

“Aktion Himmel: Keine Verurteilungen, aber ein Erfolg” (lawblog.de)


“Bundesministerin Ursula von der Leyen – Meine Biografie” (bmfsfj.de)

Beruflicher und wissenschaftlicher Werdegang:

• Assistenzärztin, Frauenklinik der MHH 1988 – 1992
• Aufenthalt in Stanford, Californien/USA 1992 – 1996
• (…)

“Eine steile Karriere” (faz.net)

Die Zeit in Amerika erscheint denn auch in ihrem offiziellen Lebenslauf als „Aufenthalt in Stanford“ – so dass man vermuten muss, sie habe an der dortigen Eliteuniversität gelehrt oder geforscht. In Wahrheit war sie Gasthörerin.

Und ich hatte ’90 einen Aufenthalt an der Eliteuniversität Harvard!
Zwar nur ein paar Stunden… aber ich war da. :O)


Mal wieder ein komischer Rundumschlag… was mir so manchmal alles durch den Kopf geht… Es hängt ja irgendwie alles mit allem zusammen. :O)

Es geht darum das bis zum vergangenen Donnerstag alle 30 Millionen Kundendatensätze, inkl. Anschrift und Bankverbindung, der T-Mobile-Kunden per Internet einsehbar und änderbar waren.

Einige wenige Benutzerangaben und ein simples Passwort genügten. Diese sensiblen Zugangscodes haben nicht nur unzählige Mitarbeiter in den T-Punkt-Läden, sie kursieren auch in entsprechenden Hacker-Kreisen.

In der gestrigen Tagesschau (tagesschau.de) verkündete der Sprecher der Deutschen Telekom Philipp Schindera (telekom.com) folgendes:

Das Szenario was hier vorgestellt wird ist ein sehr theoretisches und ein sehr schwieriges. Man braucht dafür ein hohes Maß an krimineller Energie. Wir haben unser schon hohes Niveau durch eine zusätzliche Maßnahme noch mal erhöht.

Herr Schindera hat einen schönen Titel: “Leiter Unternehmenskommunikation”, sein englischer Titel ist noch cooler “Senior Vice President Communications “.. aber leider scheint er wenig Ahnung von Datenschutz und Datensicherheit zu haben. Das Szenario war weder theoretisch noch schwierig – wenn sogar Spiegel-Mitarbeiter Manipulationen vornehmen konnten. ;O)

Noch etwas von dem T-Mensch:
“Gewerkschaften zeigen Telekom wegen Bespitzelung an” (computerwoche.de)

Ein erster Fall war nach Telekom-Darstellung bereits im Sommer 2007 ans Licht gekommen, allerdings ohne dass die Telekom darüber bereits damals Betroffene und Öffentlichkeit informierte. “Die Telekom hat die Redaktion damals nicht informiert”, sagte ein Telekom-Sprecher der “Süddeutschen Zeitung” (Donnerstag). Telekom-Sprecher Schindera erklärte dies am Donnerstag im ARD-Morgenmagazin mit der schwierigen Lage des Konzerns in der fraglichen Zeit: “Der Punkt damals war für uns, dass wir in einer Zeit, wo wir beispielsweise auch einen Streik hatten, wo das Unternehmen vor der Zerreißprobe war, davon Abstand genommen haben, diesen Einzelfall an die Öffentlichkeit zu bringen.”

Also wenn es grad nicht so günstig für ein Unternehmen ist dann sagt man lieber nichts und hofft das niemand etwas bemerkt… Jo, also die übliche T-aktik wenn es um Datenschutz und Aufklärung geht? Erst etwas zugeben wenn es schon in den Medien veröffentlicht wird.


Die Telekom hat nicht nur weitere Datenlecks… “17 Millionen Datensätze gestohlen” (manager-magazin.de)…sondern auch etwas eigenwillige Praktiken, was den Schutz und die Nutzung von Daten angeht: “Die Telekom-Bespitzelungsaffäre weitet sich weiter aus” (heise.de) Auf dieser Heise-Seite bitte mal nach unten scrollen, für weitere Links zum Thema. :O)


Der Bundesschäuble hat da noch was nettes auf der Pfanne, wie er jeden überwachen will, die “De-Mail (kbst.bund.de)”.

Einfach wie E-Mail, zuverlässig und sicher wie Papierpost
Das Ziel des Projekts Bürgerportale (kbst.bund.de) ist es, eine einfach zu nutzende Infrastruktur aufzubauen, über die Bürgerinnen und Bürger, Wirtschaft und Verwaltung Informationen zuverlässig und vertraulich austauschen können. Unter dem Namen De-Mail werden die damit verbundenen Dienste (sichere E-Mail, Identifizierungsdienst, Dokumentenablage) von privatwirtschaftlichen, aber staatlich zertifizierten Unternehmen angeboten.

Ein “Dokumentensafe” (kbst.bund.de) ist auch dabei, damit man seine wichtigen Daten dem Bund sicher übergeben kann…

“Heftige Kritik an Bundes-E-Mail” (ftd.de)

Bleibt nur eine Frage: Welche Unternehmen arbeiten denn mit dem Innenministerium zusammen? Es ist unter anderem die Telekom! Ausgerechnet jener Konzern, der zurzeit von einem Datenskandal in den nächsten trudelt. Jedenfalls verfügt die Tochter T-Systems bisher allein über das verlangte Zertifikat des Bundesamts für Sicherheit in der Informationstechnik. Vertrauen in die Bundes-E-Mail schafft das kaum.

Und was macht der Onkel Schäuble wenn T-Error-isten sich eine De-Mail inkl. Datensafe holen? Dann kann er und seine Schergen aus dem reichen T-Erfahrungsschatz schöpfen, um alle 82 Millionen Bürger zu überwachen und die gewonnenen Daten gleich ins Netz zu stellen. ;O)

BSI könnte man leicht mit BSE verwechseln, denn da muß schon eine große Portion Wahnsinn (oder Schmiermittel?) drinstecken, wenn gerade diese Datenschutz-Verweigerer ein Zertifikat bekommen, um die Daten aller Bürger zu sichern – oder sollte es eher – »die Daten aller Bürger sichten« – heißen?

• Google findet eine sechs Jahre alte Meldung und verbreitet diese “News” per Google-Alert und Google-News.
• User erkennen nicht das die Meldung alt ist, weil ein Datum darin fehlt.
• Durch das häufige Aufrufen der Meldung erscheint sie auf der Zeitungs-WebSite wieder unter “Most viewed”.
• Auch die Börsen-Profis von Bloomberg merken erst 15 Minuten nach (wieder)Veröffentlichung das die Meldung antiquarisch ist.
• Einige Aktien-Händler sagten hirntot ihren Computern “sell”.
• Die anderen Computer brauchten dann keinen Hirntoten mehr und handelten alleine, bis die Aktie bei 3 Dollar stand (-76%) und die Börsenaufsicht eingriff.

Da kann man nur hoffen das da noch ein Mensch nicht hirntot ist wenn die Computer melden das die UDSSR alle ihre Atomraketen abgefeuert haben. :O)