[Info] 1&1 und der Datenschutz

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,518
Punkte für Reaktionen
846
Punkte
113

Zentronix

Mitglied
Mitglied seit
24 Jan 2010
Beiträge
526
Punkte für Reaktionen
24
Punkte
18
Hallo,

ich habe am 8. November eine E-Mail von 1&1 bekommen, daß bis Mitte Dezember eine "1&1 Service-PIN" eingeführt werden soll. Wohl zu langsam ...

Grüße.
 

prisrak1

Mitglied
Mitglied seit
14 Mai 2017
Beiträge
248
Punkte für Reaktionen
24
Punkte
18
war bei denen seit 1998, oder so dabei. Nun seit einigen Jahren bei kd. Kann nur empfehlen. Mit richtigen Infos bekommt man eine / manchmal sogar zwei F!B gratis zur Leibox dazu. Und ein Guthaben inklusive.
 

Tippfehler

IPPF-Promi
Mitglied seit
14 Sep 2004
Beiträge
3,168
Punkte für Reaktionen
15
Punkte
38
Die PIN am besten gleich auf die Fritzbox kleben. Beim Handy muss man die wohl ins Telefonbuch schreiben, was die Sache ja nicht sicherer macht. Das wird sicher spassig für Leute mit Problemen. Eine schnelle Behebung ist damit fast ausgeschlossen, wenn man sich erstmal eine Ersatz-PIN per Schneckenpost zuschicken lassen muss.
 
  • Like
Reaktionen: prisrak1

prisrak1

Mitglied
Mitglied seit
14 Mai 2017
Beiträge
248
Punkte für Reaktionen
24
Punkte
18
unfreiwiliege Werbung zu remoters.de , aber wenns euch hielfts bin auch froh:):
Die Doppel Fritzbox Aktion ist zurück. Remoters startet die Aktion wieder.

Es gibt bei Abschluss eines DSL Vodafone Vertrages die 7590 2x Gratis dazu. Insgesamt Gesamtwert von ca. 360€
..
Das ganze gibt's auch für Kabel.

Da gibt es die 6590 Fritzbox 2x dazu.
 

Peter_Lehmann

Neuer User
Mitglied seit
13 Mrz 2007
Beiträge
118
Punkte für Reaktionen
18
Punkte
18
Als ich diese Meldung heute Mittag bei heise sah, dann fragte ich mich, welches Forum diese Meldung zuerst übernimmt.
Der Punkt geht an das IPPF ... .

Im 1&1-Forum habe ich mich mehrfach mit entsprechenden sachbezogenen Fragen gemeldet. Bspw. wie dort die PW-gespeichert werden (fast zufriedenstellende Antwort: bcrypt). Ich schreibe "fast", weil ich keine Antwort auf meine Frage erhielt, wieso ich mein sehr langes und kryptisches und immer ggw. aktuelles (also selbst vergebenes) PW für das CC bei meinen ca. 5 Umzügen als 1&1-Kunde immer im Klartext per Snailmail auf einem kleinen Kärtchen bekam.
Ich will an dieser Stelle auch mal loben:
Bei vielen sicherheitskritischen Einstellungen (bspw. Anlegen von VOIP-Einträgen) ist es erforderlich, dass diese von der IP des angemeldeten Kunden ausgehen müssen. Sonst geht da - außer einem entsprechenden Hinweis - nichts. Nun, ich habe dafür auf alle F!B, welche ich im Auftrag der Kunden pflege, einen VPN-Zugang und somit immer eine passende IP.

Aber in einem Punkt beiße ich mit meinen Hinweisen an 1&1 immer wieder auf Granit bzw. auf eisernes (Tot-)Schweigen.
Ich kann einfach nicht verstehen, wieso der Provider immer noch an der Auth. mit Benutzername und Passwort (und ergänzendem Google-Bilderrätsel oder Kontoverbindung oder PIN usw.) klebt. Ich habe mehrfach vorgeschlagen, zumindest als Option für sicherheitsbewusste User, auf 2FA oder jetzt FIDO2 zu setzen. Wer nicht zu geizig ist, dafür 20-30€nen für einen Yubi- oder Solo-Key zu investieren, kann dieses moderne Verfahren nutzen. Und wer es nicht will oder kann, der muss eben eine Erklärung über das Risiko abnicken und kann weiter Benutzername und PW verwenden. Ich kann mir auch vorstellen, dass eine Firma wie UI mit den Herstellern der Keys einen entsprechenden Rahmenvertrag abschließt und diese Gerätchen für'n Appel und 'n Ei bekommt und im eigenen Shop anbietet.
Und ich kann mir auch nicht vorstellen, dass die Techniker von 1&1 nicht in der Lage sind, diese Verfahren einzubinden. Wenn ich das bei meinem privaten Gerödel kann, dann sollten sie das auch hinbekommen ;-)

Und manchmal dient eben so eine kleine Geldbuße als Denkanstoß für Entscheidungsträger. Es wäre zu wünschen.


MfG Peter
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,518
Punkte für Reaktionen
846
Punkte
113
Ich hatte die Meldung zunächst mal ohne jeden eigenen Kommentar verlinkt, nachdem ich sie selbst recht zeitnah bei heise.de gelesen hatte - schon die Kürze der Zeit ließ keinen Raum für das Forumulieren(!) eigener Ansichten.

Ich habe auch gelesen, daß 1&1 sich auf die Mahnungen des Bundesdatenschutzbeauftragten hin "einsichtig und kooperativ" verhalten habe (das Update des Artikels kam dann ja auch erst 40 Minuten später) ... nur sollte man m.E. auch gerade bei den Firmen, die sich mit solchen Technologien auch auskennen müßten, eben deutlich höhere Maßstäbe anlegen und eigentlich auch erwarten können, daß diese Firmen von alleine auf die Tatsache aufmerksam werden, daß seit dem 25.05.2018 die Übergangsphase für die Umsetzung der DSGVO abgelaufen ist und sie müssen sich auch die Frage gefallen lassen, warum sie in den zwei Jahren, die seit dem Inkraftreten am 25.05.2016 verstrichen waren, nichts (Sichtbares und Wirkungsvolles) unternahmen.

Insofern finde ich persönlich es jetzt nicht sooo unverhältnismäßig, DASS 1&1 hier mit einem Bußgeld belegt wurde ... und die Höhe der Bußgelder ist durch die Datenschutzaufsichtsbehörden einigermaßen klar geregelt: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf

Die Tatsache, daß 1&1 wohl zu den Unternehmen mit mehr als 500 Mio. EUR Jahresumsatz gehört (mithin zur Klasse der "Großunternehmen" in D.VII - alleine der EBIT lag 2018 jenseits der 500 Mio. EUR: https://www.united-internet.de/uploads/tx_unitedinternetpublication/United_Internet_Konzern_2018.pdf - ab Seite 29) und man es dort trotzdem nicht geschafft hat, rechtzeitig einen DSGVO-konformen Umgang mit den Kundendaten umzusetzen (und Art. 32 DSGVO fordert eben auch organisatorische Maßnahmen und nicht nur technische), führt jetzt am Ende zu einem Bußgeld, das vielen unverhältnismäßig erscheinen mag (auch wenn es der Meldung nach am unteren Ende der möglichen Spanne liegt) ... nur ist das nun einmal der wichtigste Zweck, den ein solches Bußgeld auch entfalten soll.

Wie wollte man denn einen "Tagessatz" für den Umsatz eines Unternehmens festlegen (meinetwegen auch nur für den Gewinn) und wieviele solcher Tagessätze wären angesichts der Versäumnisse wohl angemessen? Ausgehend von > 500 Mio. EUR EBIT wären die kolportierten 9,55 Mio. EUR wohl irgendetwas in der Gegend von 6-7 Tagessätzen ... eher "witzig" bzw. "symbolisch" in anderen Zusammenhängen und nun kann man ja mal raten, wie sich 20.000 EUR (oder ähnliches) für einen solchen Konzern als "Bußgeld" anhören - wer will, kann das ja mal mit den von der BNetzA verhängten Bußgeldern (und deren Wirkung bei den Betroffenen) vergleichen: https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Verbraucher/UnerlaubteTelefonwerbung/massnahmenliste/massnahmenliste-node.html

Wenn es sich am Ende nur um Beträge handeln würde, die so ein Konzern aus der Portokasse bezahlt und sich damit auch nach der Verhängung eines solchen Bußgeldes nichts ändert oder dieses gar als "zahnloser Tiger" daherkommt und so den anderen, potentiell bußgeldbedrohten Unternehmen nur signalisiert: "Die können ohnehin nichts machen, plant einfach solche Ausgaben bei Euch mit ein und macht ansonsten weiter wie bisher, ist allemal billiger als ein wirksamer Datenschutz.", dann brächte die DSGVO gar nichts ... weder den Betroffenen, noch den vielen anderen Unternehmen, die sich nach Kräften bemühen, sich an deren Regelungen zu halten (wobei viele von denen auch erst durch die DSGVO überhaupt dazu "gezwungen wurden", sich mal einen Überblick zu verschaffen, wo und wie (sicher) sie eigentlich die Daten ihrer Kunden (und das sind i.d.R. wir alle) speichern).

Wenn ich mir in Erinnerung rufe, an wievielen Hotlines ich mich schon darüber mockiert habe, daß eine "Identifikation" eines Kunden nur über dessen Vor- und Nachnamen und das Geburtsdatum erfolgt (das sind alles Angaben, die zu besorgen bei vielen Leuten keine wirkliche Kunst ist, erst recht, wenn man die aus dem "real life" - von Arbeitskollegen bis zu irgendwelchen Vereinen - kennt und nicht nur "unter Synonym", wie es häufig im Internet der Fall ist), dann sind solche Fälle von "Informationsdiebstahl" quasi vorprogrammiert.

Wenn Anbieter A jedem Dussel vor dem Support-Terminal genau diese Informationen anzeigt (das Geburtsdatum bräuchte es dort gar nicht, eine "Kundennummer" oder ähnliches wäre viel sinnvoller - auch die gerne abgefragte "Kontonummer" für irgendwelche SEPA-Lastschriften dürfte einem "normalen" Supporter gar nicht angezeigt werden, solange es nicht um Rechnungen und Abbuchungen geht) und Anbieter B genau dieselben Infos "abfragt" für die Identifikation des Kunden, dann ist dem Mißbrauch Tür und Tor geöffnet. Wer die Arbeitsbedingungen und die Bezahlung in solchen "Call-Centern" kennt, an die auch große Unternehmen gerne mal den Support außerhalb der "Kernzeiten" auslagern, der versteht irgendwann auch, warum "Datensparsamkeit" im Kundensupport genauso wichtig ist, wie im Umgang mit Google, Facebook und anderen "Datenkraken".

Nur haben sich die Unternehmen bisher i.d.R. gar keine Gedanken darüber gemacht, mit wem sie diese Daten alles teilen (auch wenn das "Datenverarbeitung im Auftrag" (Art. 28 DSGVO) ist, bleiben die Unternehmen ggü. dem eigenen Kunden in der Pflicht) und da kann es in meinen Augen nicht wirklich schaden, wenn hier mal einem der "Großen" (bei dem Jahresumsatz gehört 1&1 (bzw. United Internet) schon zu den größeren "Playern" in D) ein Schuß vor den Bug verpaßt wird - obendrein ja wohl noch auf Basis eines konkreten Falls bzw. einer konkreten Beschwerde nach eingetretenem Schaden.

Ich habe zwar schon ein halbes Jahr nicht mehr mit dem Kundensupport meines Internet-Anbieters telefonieren müssen ... aber wenn ich mich nicht wahnsinnig irre, gab es auch bei diesem einen ähnlichen Ablauf der "Identifikation" des Kunden ... Name, Vorname, Geburtsdatum. Nur ist das eben vollkommen unzureichend ... nicht einmal die zusätzliche Abfrage der Wohnanschrift stellt sicher, daß es sich tatsächlich um den jeweiligen Kunden handelt, denn diese Info kann auch der Nachbar i.d.R. leicht ermitteln.

Will/muß man sich dann noch deshalb beschweren, weil die eigene Internet-Verbindung wieder mal ausgefallen ist (und damit heutzutage auch das Festnetz-Telefon), wird man auch selten "automatisch" erkannt bei seinem Anruf ... erst recht nicht dann, wenn man die eigene Rufnummer bei solchen Telefonaten schon mal prinzipiell unterdrückt, weil man die (durchaus gängige) Praxis kennt, daß bei solch einem Anruf dann auch schnell mal diese Nummer dauerhaft gespeichert wird und zwar auch in Verknüpfung mit dem jeweiligen Kundenkonto.

Ich sehe ja ein, daß das alles im Kontext einer Telefon-Hotline nicht so einfach zu lösen ist ... nur was ist eigentlich aus den guten alten "Kundenpasswörtern" geworden, die bei den Mobilfunkanbietern Telekom und Vodafone einst gang und gäbe waren und schon beim Vertragsabschluß (zumindest als "Ausgangswert") niedergeschrieben wurden? Solche (nun wirklich auch simplen) Möglichkeiten haben die Unternehmen nach und nach zugunsten der eigenen Bequemlichkeit fallengelassen (es ist auch nicht besonders schlau, solche Infos an "externe Dienstleister" herauszugeben - dann muß man sich eben eigene Call-Center leisten und die Kunden werden es einem meist auch noch danken) und wenn sie jetzt die Quittung dafür erhalten, wenn sich aus ihrer "Kostenvermeidung" Probleme beim Schutz der Kundendaten ergeben, dann ist das in meinen Augen "nur gerecht". Wer Sicherheit nicht als "Produktmerkmal" begreift, sondern nur den Kostenfaktor dabei sieht, der soll bei Verstößen auch so bluten, daß es bei ihm Eindruck hinterläßt.

Insofern kann ich mich der Hoffnung, daß Entscheidungsträger in den Firmen dieses Signal verstehen (es ist ja auch nicht nur 1&1, das (Berliner) Bußgeld für die "Deutsche Wohnen" hat ja auch bundesweit Schlagzeilen gemacht) und erkennen, daß Datenschutz (zumindest der Kundendaten) auch Kundenschutz ist und daß sie eine Verantwortung tragen.

Wenn ich mir ansehe, was in jüngster Zeit bei einer von mir verwendeten E-Mail-Adresse so an Spam-Mails aufläuft, dann kann und muß ich auch davon ausgehen, daß die Firma, bei der ich diese Adresse verwendet habe (ich habe "Wildcard-Adressen" im Postfix und kann daher ziemlich genau sagen, um welche Firma es sich dabei handelt), entweder einen unerwarteten Datenreichtum hatte (bei dem ein anderer den "Überfluß" entgegengenommen und gut verwahrt hat) oder es mit der Sicherheit der Kundendaten generell nicht so eng gesehen wird.

Von einer "Datenschutz-Panne" habe ich bei diesem Unternehmen nichts gelesen ... wobei das auch nichts heißen muß. Nur kann ich eben den Mail-Empfang für diese eine Adresse einfach einstellen ... das können viele andere nicht und schon anhand so eines eher "unbedeutenden" Datums wie einer E-Mail-Adresse zeigt es sich dann eben auch, welche (oft unangenehmen) Auswirkungen die Datenschutzverstöße von Unternehmen haben können (und eine E-Mail-Adresse ist lt. DSGVO eindeutig personenbezogen - die Besonderheit von "Adressen für bestimmte Rollen" regelt die DSGVO nicht gesondert).

Wie sieht das erst aus, wenn man mit dem Nachbarn im Clinch liegt und er dann einfach mal (in fremdem Namen) irgendwelche Dummheiten in die Wege leitet? Das geht (bleiben wir mal bei Vodafone als Beispiel) bis zur Meldung einer Störung des Internet-Zugangs, die der Techniker dann erst mal mit dem Zurücksetzen des Routers auf die Werkseinstellungen beheben will (oder soll) ... schwups sind die eigenen Einstellungen im (Provider-)Router wieder weg und der Besitzer des Anschlusses hat keinen Schimmer, warum und wieso das jetzt wieder passiert ist.

Da könnte man dann nur sagen: "Mit einem Kundenkennwort wäre das nicht passiert." ... es gibt ja auch Gründe, warum z.B. ein Wachdienst mit seinen Kunden solche "Geheimnisse" vereinbart und nicht einfach der Ansicht ist, daß derjenige, der beim Alarm dort im Haus ans Telefon geht, schon der Zutrittsberechtigte sein wird und wenn der dann versichert, es wäre alles in Ordnung, hat sich die Sache erledigt.

Wenn dann ein Kunde wirklich mal sein eigenes Kundenkennwort vergißt (man sollte als Kunde dann natürlich auch nicht überall dasselbe verwenden, auch wenn das immer noch vor dem streitsüchtigen Nachbarn schützt), dann muß man eben etwas genauer (und damit auch zeitintensiver) erkunden, ob es tatsächlich der Richtige am anderen Ende ist oder nicht. Es muß also gar nicht zwingend eine technische Lösung her (die "Service-PIN" von 1&1 ist sicherlich am Ende auch nur eine solche organisatorische Maßnahme) ... erst recht nicht gleich FIDO2. Auch wenn das Potential hat, geht es ja doch eher um heute schon alltagstaugliche Lösungen und schon die Frage, wieviele "Berechtigte" es am Ende für eine solche Aktion (wie den Anruf einer Service-Hotline) geben muß/soll, macht irgendein "Security-Token" zu einem Merkmal, das (im Gegensatz zu einem nicht hardware-gestützten Geheimnis wie einer PIN) mit der Zahl der handelnden Personen auch den finanziellen Aufwand linear steigen läßt.

Und auch wenn das Smartphone (zumindest mit Android - Apple versteht unter FIDO(2) wohl nicht "Fast IDentity Online", sondern immer noch den Hund von Tom Jennings) als "Token" dienen kann ... erstens braucht das m.W. einen Fingerabdruck-Scanner und zweitens hat tatsächlich nicht jeder (erst recht nicht, wenn er > 70 Jahre alt ist und/oder in seinem Leben mit diesen Themen nie nachhaltig konfrontiert wurde) ein Smartphone (auch wenn viele das nicht glauben wollen).

Ich beobachte zwar auch die Entwicklung bei "WebAuthn" mit Interesse ... aber das taugt eben auch nicht "für alle Lebenslagen" und auch nicht "für alle Kunden". Wobei es i.d.R. auch selten um die Sicherheit bei irgendwelchen Web-Anmeldungen geht (auch wenn ein einzelnes, gehacktes Postfach da schon der GAU sein kann, so wie das heutzutage meist umgesetzt ist) ... das kann man mit Benutzername/Kennwort auch nicht sooo falsch machen. Viel häufiger kommen eben Daten durch "social engineering" abhanden, wo dann der Mensch (auch am anderen Ende im Call-Center) die Schwachstelle ist und der kann man nur mit "Datensparsamkeit" (auch im Hinblick darauf, was da wer zu sehen kriegt, selbst wenn unterschiedliche "Masken" höhere Kosten bedeuten) und durchdachten, vorgeschriebenen Abläufen beikommen.

Genau da greift ja die 1&1-Service-PIN auch an, wenn man der Beschreibung folgt: https://hilfe-center.1und1.de/vertrag-und-lieferung-c85327/kundendaten-und-zugaenge-c82719/identifizierung-1und1-service-pin-und-vollmacht-a797796.html - nur finde ich es einigermaßen mutig, wenn 1&1 dann behauptet: "als eines der ersten Unternehmen seiner Branche". Denn am Ende ist so eine Service-PIN auch nichts anderes (und schwerer zu merken, wobei man sie ja wohl ändern kann), als ein Kundenkennwort, wie es bei T-Mobile und Vodafone schon früher Usus war.
 

Zentronix

Mitglied
Mitglied seit
24 Jan 2010
Beiträge
526
Punkte für Reaktionen
24
Punkte
18
Hurra, die Service-PIN ist da.

Man kann sie anscheinend selbst ändern. Schlauerweise 5 Stellen, damit niemand sein Geburtsdatum verwendet. ;)

Grüße.
 

NDiIPP

Aktives Mitglied
Mitglied seit
13 Apr 2017
Beiträge
2,475
Punkte für Reaktionen
409
Punkte
83
Hm... "10571" für 10.05.1971. Sind doch 5 Stellen, oder? ;) DuW
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,861
Punkte für Reaktionen
250
Punkte
83
Einfach die Postleitzahl nehmen :cool:
...oder wer es komplizierter mag, 5x die Quersumme aus 5 Postleitzahlen.
 
  • Haha
Reaktionen: NDiIPP

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,518
Punkte für Reaktionen
846
Punkte
113
Und keinen Tag nach meiner Bemerkung, daß Apple bisher bei FIDO2 das Schlußlicht bildet, wird von denen dann das iOS-Update auf 13.3 freigegeben, was ebendiese Unterstützung (neben anderen Änderungen) enthält.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
234,000
Beiträge
2,041,249
Mitglieder
353,260
Neuestes Mitglied
tmpUser