Author: Teal

„E-Mail geht nicht, aus Datenschutzgründen“, sagt die professionell-freundlich gelangweilte Dame im Callcenter. „Also, Fax oder Post?“

Aber von Anfang an: Ich habe mehrere Konten und auch Kreditkarten bei der Hamburger Sparkasse. Im Gegensatz zu den meisten Sparkassen bietet die Haspa ihre Kreditkarten nicht direkt an, sondern vermittelt sie nur. Deshalb tauchen die Kreditkarten auch nicht Online-Banking auf und sind nicht per HBCI abrufbar, und wenn man die Abrechnungen einsehen will, muss man sich umständlich und langwierig (mit Briefen und so) bei First Data (Swisscom) anmelden.

Von denen bekommt man dann einen separaten Nutzernamen, der absolut nichts mit irgendwas zu tun hat und dann z.B. mit einem Unterstrich beginnt und die Zeichenfolge O01I enthalten kann. Ein Passwort darf man sich zwar selbst aussuchen, aber nur mit Einschränkungen. Nachdem man dann irgendwann seine Freischaltung per Post bekommen hat, kann man sich mit dem befremdlichen Nutzernamen und dem halbsicheren Passwort in ein unglaublich hässlichesfunktional gestaltetes Webinterface einloggen, wo man seine Kreditkartenstatements als PDF herunterladen kann. Also schonmal eine ziemlich schwache Leistung alles.

Jetzt wollte ich diesen Dienst seit längerem mal wieder nutzen. Die URL hatte ich gebookmarkt, aber sie ist immerhin auch im Online-Banking der Haspa verlinkt. Den Nutzernamen hatte ich mir aufgeschrieben, weil er tatsächlich zwei Unterstriche, einen Buchstaben, und eine Abfolge von ähnlich aussehenden Zeichen enthält. Auch das Passwort hatte ich in einem Passwort-Manager gespeichert.

Trotzdem funktionierte der Login nicht; mir wurde gedroht, dass nach drei Versuchen der Zugang gesperrt würde, und die Passwort-vergessen-Funktion bemängelte, ich habe keine Sicherheitsfrage (die eigentlich „Unsicherheitsfrage“ heißen sollte) definiert und könne daher kein neues Passwort beantragen. Statt dessen solle ich doch bitte eine Mail schreiben und mein Anliegen darlegen. Gute Karten (pun not intended) an einem Freitag Nachmittag. (Schon wenige Stunden nach der Mail kam die Antwort: Ein Autoreply, dass man meine Mail erhalten habe.)

Da ich aber trotzdem gerne zeitnah meine Kreditkartenabrechnung gesehen hätte, verfiel ich auf einen äußerst wagemutigen Plan: Ich rief bei meinem Bankberater an. Oder versuchte es zumindest. Eine freundliche, aber auch sehr leise und zurückhaltende Dame meldet sich bei der Haspa. Mein Bankberater ist im Urlaub, sein Vertreter telefoniert gerade, worum es denn ginge, fragt die Dame am Telefon. Ach, Kreditkarte, da könne sie in der Filiale sowieso nichts machen, sie würden die ja nur vermitteln. Auch Zugang zum Webinterface haben sie nicht, aber ich könne beim Kartenservice in Frankfurt anrufen, die könnten mir weiterhelfen. Sie gibt mir eine 01803-Nummer, und ich freue mich schon, diese von meinem Mobiltelefon anzurufen. Allerdings bekomme ich dort nur die Ansage, dass die Nummer sich „aus gesetzlichen Gründen“ geändert habe, und ich jetzt bitte eine Münchner(!) Festnetznummer anrufen solle.

Nach einer kurzen Wartezeit erreiche ich dort tatsächlich eine Mitarbeiterin. Ich beschreibe ihr mein Anliegen: Ich möchte ins Webinterface, alternativ zumindest irgendwie schnell meine aktuelle Abrechnung einsehen können. Für das Webinterface könnten sie nichts tun, da solle ich eine Mail schreiben, aber die Abrechnung sei „kein Problem“, sagt sie, und fragt mich erst nach meiner Kreditkartennummer und dann, „aus Sicherheitsgründen“, nach einigen persönlichen Daten. Schließlich fragt sie „Post oder Fax?“

Ich bin kurz verwirrt, bevor ich den Sinn der Frage erfasse und mit „E-Mail.“ antworte. Und dann kommt: „Das geht nicht.“ Ich gehe von einem Missverständnis aus und bitte nochmal darum, mir meine Abrechnung als PDF per E-Mail zu senden, aber bevor ich meine Mailadresse buchstabieren kann, sagt sie wieder: „Das geht nicht. E-Mail können wir nicht machen.“

Nun ist meine Neugier geweckt. „Warum nicht?“, frage ich zweimal, nachdem beim ersten Mal nur ein lapidares „Das geht nicht“ kommt. Auf die zweite Nachfrage antwortet sie dann leicht gereizt, „E-Mail dürfen wir nicht, aus Datenschutzgründen“.

Ungläubig frage ich nach. „Nachdem ich Ihnen über eine Telefonverbindung allerhand persönliche Daten genannt habe, können Sie mir meine Kreditkartenabrechnung, die ich sonst über das Web abrufe, nicht per Mail schicken, aber per Brief oder per Fax?“

Sie bejaht. Ich weise sie darauf hin, dass ich, wie wohl die meisten deutschen Privathaushalte, kein Faxgerät besitze, aber auch nicht mehrere Tage auf die Post warten will. Es nutzt nichts. Gut geschult wiederholt sie nur: „Es geht nur Post oder Fax.“

Ich erinnere mich, dass ich noch eine Voice-over-IP-Rufnummer habe, die auch Faxe unterstützt. Also suche ich die Nummer heraus und gebe sie ihr mit dem Hinweis, „da kann ich das Fax per E-Mail empfangen“. Das ist offenbar kein Problem. Wenige Minuten später habe ich eine E-Mail mit einem PDF eines Fax-gescannten Ausdrucks eines PDFs in der E-Mail-Inbox. Und meine Stirn hat einen deutlichen Handabdruck.

Ich wurde nach folgenden Daten gefragt: meiner Kreditkartennummer (nicht öffentlich, aber auch nicht schwer zu kriegen); meinem Namen (steht auf meiner Webseite); meiner Anschrift (steht auf meiner Webseite); meinem Geburtsdatum (steht bei diversen Social Networks); den ersten(!) drei Ziffern meiner Kontonummer (steht auf meiner Webseite, außerdem sind die ersten drei Ziffern bei den meisten Haspa-Konten der letzten Jahre gleich!). Schließlich konnte ich eine unverifizierte Faxnummer nennen, und schon habe ich mein Kreditkartenstatement. Womit ich dann meinen PayPal-Account, meine Amazon-Account und meinen Apple-Account übernehmen könnte. Aber E-Mail versenden?

Das geht nun wirklich nicht. Aus Sicherheitsgründen.

Wie ArsTechnica berichtet, hat die Firma Renew in London Mülleimer mit WLAN aufgestellt. Diese „Smart Bins“ erfassen und speichern die MAC-Adresse, eine weltweit eindeutige Nummer, die jedes netzwerkfähige Gerät erhält. Daraus kann man unter anderem den Hersteller des Geräts ablesen, manchmal auch das Modell. Renew möchte mit diesen Daten Bewegungsprofile erstellen und verkaufen. Sie schreiben dazu in ihrer Presserklärung:

The results provided a concise breakdown (to the 50th of a second) of the movement, type, direction, and speed of unique devices that the Renew Network gather across Renew ORB test sites, and help identify peak footfall times from key hotspots in the City of London.

The network figures accumulated over the week reached a total of 4,009,676 devices captured with over 530,000 uniques acquired.

Der Aufschrei der Datenschützer ließ nicht lange auf sich warten. Renew, Erfinder und Betreiber der Smart Bins, versteht die Kritik nicht. Sie vergleichen das Logging der weltweit eindeutigen MAC-Adresse von vorbeikommenden Mobiltelefonen mit der Verwendung von Cookies im Web. Diese sind jedoch auf die Kooperation des Browsers des Besuchers angewiesen und auch in ihren Möglichkeiten eingeschränkt. Nicht zuletzt müssen Webseitennutzer in Großbritannien explizit ihre Einwilligung für die Verwendung der Cookies geben.

Mittlerweile hat sich der Stadtbezirk der „City of London“ eingeschaltet und die Smart Bins werden abgeschaltet. Das Problem ist damit aber nicht aus der Welt. Mit an Sicherheit grenzender Wahrscheinlichkeit verfolgen auch andere Entitäten solche Signale, schreiben aber keine Pressemitteilungen. Um die möglichen Auswirkungen dieses Trackings zu verstehen, ist es hilfreich, sich die technischen Hintergründe zu verdeutlichen.

Kabellose Netzwerkverbindungen nutzen Funkkanäle zur Kommunikation. Davon gibt es je nach Land und verfügbarem Frequenzspektrum 11–14 Stück im für diese Benutzung freigegebenen 2,4-GHz-Band. Jeder dieser Kanäle ist ein gemeinsames Medium, auf dem alle Teilnehmer kommunizieren.

Um nun eine Liste der verfügbaren WLAN-Zugangspunkte (Access Points, APs) in der Umgebung zu bekommen, gibt es zwei Möglichkeiten – passive Scans und aktive Scans. Beim passiven Scannen bucht sich das suchende Gerät nacheinander in alle verfügbaren Kanäle ein und wartet dann eine Zeitlang, ob es eine Ankündigung von einem Zugangspunkt empfängt. Das dauert etwa 100ms, eher länger, also deutlich über eine Sekunde für das gesamte Kanalspektrum. Daher nutzen die meisten Geräte heutzutage den passiven Scan höchstens, um festzustellen, ob überhaupt irgendein WLAN in der Nähe ist, und dann auf einen aktiven Scan umzuschalten.

Bei einem aktiven Scan sendet die anfragende Station auf jedem Kanal eine Anfrage nach verfügbaren Access Points. Diese antworten darauf mit ihrem Namen und ihrer Adresse. Access Points, deren Name versteckt ist (Hidden SSID), antworten darauf nur, wenn sie „erwähnt“ werden. Zu diesem Zweck schickt der suchende Teilnehmer eine Liste von ihm bekannten Zugangspunkten inklusive Namen – im Zweifelsfall sind das alle gespeicherten APs. Da der Scan aktiv ist, enthält er außerdem immer die weltweit eindeutige MAC-Adresse des Geräts.

Nur durch das passive Mitlauschen auf allen Kanälen kann man so also feststellen, welche Geräte von welchen Herstellern zu welcher Zeit in welcher Gegend aktiv waren, häufig auch, welche Access Points diese bereits gespeichert haben. Ein einzelner AP kann dabei nur eine ungefähre Entfernung zur eigenen Position bestimmt. Betreibt man mehrere APs, kann man die Position hingegen sogar auf wenige Zentimeter triangulieren. Die MAC-Adresse eines Geräts kann zwar theoretisch häufig softwareseitig geändert werden, praktisch tut das aber niemand: Nutzer von Apples iOS-Geräten erlaubt Apple die Änderung gar nicht erst, Nutzer von Android-Geräten hätten es zwar etwas einfacher, manipulieren ihre MAC aber auch höchst selten.

Nur mit diesen Daten kann man schon pseudonyme Profile erstellen – allein die Bewegungsmuster von Menschen sind sehr eindeutig. Kombiniert mit der Liste der bekannten APs kann man häufig schon einen Namen ableiten. Um die Profile mit Realnamen zu verknüpfen, genügt es, z.B. eine Liste von Kreditkartentransaktionen im gefragten Zeitraum abzugleichen: Bei Starbucks im Wifi eingebucht und Kaffee gekauft? Dabei die Kreditkarte oder Kundenkarte genutzt? Schon nach wenigen Transaktionen ist die Zuordnung eindeutig.

Aber auch weitergehende Angriffe sind denkbar und leicht ohne das Risiko einer Entdeckung durchzuführen. Man stelle sich zum Beispiel vor, jemand würde in der ersten Klasse eines ICEs der Deutschen Bahn einen Access Point mit dem Namen „Telekom_ICE“ aufmachen. Die Laptops und Smartphones der Vielreisenden buchen sich ein; manche werden sich vielleicht sogar einloggen und dem Angreifer so ihre Anmeldedaten geben.

Was man alleine aus den Verbindungsversuchen diverser Anwendungen auslesen kann, zeigt das CreepyDOL-Projekt gut. In Verbindung mit F-BOMB ist es ein vollständiges Ausspähsystem zu einem kleinen Preis. Und was die Bewegungsdaten über eine Person verraten, hat Malte Spitz mit seiner Bestandsdatenauskunft deutlich gemacht. Im Gegensatz zu Mobilfunkverbindungen können WLAN-Daten noch viel einfacher mitgeschnitten und ausgewertet werden. Die Implikationen müssen wir uns bewusst machen – denn diesen Geist bekommt man nicht wieder in die Flasche zurück.

Liebe Philips,

vor knapp zwei Jahren kauften wir drei „Philips Fidelio AD7000W SoundAvia AirPlay Speaker“ zu je 149€, um unsere Wohnung drahtlos zu beschallen. Nachdem wir heute Abend schon wieder über eine Stunde mit den Geräten gekämpft haben, während unsere Hausgäste eintrudelten, muss ich euch schließlich und endlich etwas sagen:

Euer Produkt ist unbrauchbare Scheiße.

Die Wifi-Verbindung bricht dauernd ab, vor allem, wenn man mehrere Lautsprecher gleichzeitig verwenden will. Trotz eines der besten Router auf dem Markt – unser WLAN kann locker vier Häuser weiter empfangen werden – schaffen es die SoundAvia nicht, einen Musik-Stream mit niedriger Bitrate zu halten. Das Firmware-Update (Version 2012-04-15) von Philips musste umständlich über den Support angefordert werden und ist offenbar immer noch nicht veröffentlicht. Mittlerweile sind die Firmware-Updates nicht mal mehr zu finden.

Immerhin behob das Update das Problem, dass die Lautsprecher sich nach wenigen Stunden einfach aus dem WLAN verabschiedeten und nicht mehr ansprechbar waren: Dann musste man zu den drahtlosen Lautsprechern hingehen, sie aus- und wieder anschalten, und 30-60 Sekunden warten, dann ging es wieder eine Weile.

Was das Firmware-Update allerdings nicht behoben hat, ist das Problem, dass man auf den AirPlay-Lautsprechern keine Musik abspielen kann. Wohlgemerkt das einzige Feature der AirPlay-Lautsprecher – Musik via Wifi abzuspielen. Wohlgemerkt, eines der Geräte steht 5cm vom Router entfernt, das andere immerhin 1,5m in direkter Sichtverbindung ohne Störungen in der Fresnel-Zone. Sobald das zweite Gerät zur Audio-Ausgabe hinzugefügt wird, bricht der Stream ab. Nach 30 Sekunden verabschiedet sich dann ein Gerät und die Musik läuft nur auf dem anderen weiter. Manchmal brechen auch beide ab und man muss alles neustarten, damit es wieder für ein paar Sekunden bis Minuten funktioniert.

Das, Philips, ist scheiße. Und ganz schön peinlich. (Von den Apps für die Fidelio-Serie will ich gar nicht anfangen. Die Reviews sagen alles.)

(Nerderei: Die Firmware enthält Referenzen auf MP3StreamProcess.cpp, WmaStreamProcess.cpp und ShoutcastStreamProcessor, obwohl AirPlay eigentlich nur den Apple Lossless Codec unterstützt. Außerdem gibt es rudimentäre Unterstützung für externe Speichergeräte (MassStorageDeviceClient.cpp). Der mDNSResponder von Apple wird eingebettet, das Gerät spricht irgendwo SOAP, uPnP, hat eine Referenz auf https://api.dev.napster.com:443 (!), Rhapsody, Pandora [hi, „rostislav.simonik“] und Sirius, könnte ein Radio ansteuern und zwischen Lautsprechern und Kopfhörern unterscheiden. Außerdem ist eine Verknüpfung von Last.fm rudimentär vorhanden, und auch MTP-Geräte könnten angesteuert werden. Schließlich hat es Weckfunktionen und spricht Xmodem(!). Hinter der Funktionalität steckt (zumindest in Teilen) „JukeBlox 2“. Aber man findet auch den String „Trial expired, please visit http://www.twonky.com/“ und die „BridgeCo AG“ in der Firmware. Alles sehr Comedy Gold. Außerdem betten sie die GNU GPL in die Firmware ein. Hey, Philips: Macht doch die Specs öffentlich, dann hacken wir uns das Ding selbst auf brauchbar.)

Ich schreibe eine Bewertung für die Philips Fidelio SoundAvia AirPlay-Lautsprecher:

Die Wifi-Verbindung bricht dauernd ab, vor allem, wenn man mehrere Lautsprecher gleichzeitig verwenden will. Trotz des besten Routers auf dem Markt – unser WLAN kann vier Häuser weiter empfangen werden – schaffen es die SoundAvia nicht, einen Niedrig-Bitrate-Stream zu halten. Ein Firmware-Update von Philips musste umständlich angefordert werden, und ist offenbar immer noch nicht veröffentlicht. Mittlerweile sind die Firmware-Updates nicht mal mehr zu finden.

Philips schreibt mir zurück:

Vielen Dank, dass Sie sich die Zeit genommen haben, um uns Ihre Erfahrungen mit Ihrem Philips Produkt mitzuteilen. Leider entspricht Ihre Rezension nicht unseren Richtlinien.

Insbesondere bezogen sich Ihre Erfahrungen auf unseren Kundendienst und nicht auf ein bestimmtes Produkt.

Ein Schelm, wer …

Überwachung ist überall. Nun ist sie endlich auch in den Medien angekommen. Nach den Enthüllungen von Edward Snowden wird man nicht mehr müde angelächelt, wenn man von Echelon und Geheimdienstlichen Eskapaden redet. Die Reaktionen auf diese veränderte Realität sind jedoch mehr als durchwachsen. Und es werden die falschen Prioritäten propagiert.

Zwischen NSA, GCHQ, BND und anderen Geheimdiensten wird unsere gesamte Telekommunikation überwacht. So kann man wohl zusammenfassen, was jetzt nach und nach dank Whistleblowern und Aktivisten ans Licht kommt. Wir müssen also davon ausgehen, dass keine Kommunikation mehr privat ist, außer, wir treffen besondere Vorkehrungen wie Verschlüsselung.

Der eigentliche Skandal neben der fehlenden Reaktion der Politik ist aber, dass in der öffentlichen Diskussion immer wieder die Pflichten verkehrt werden: „Bürger, wenn du nicht willst, dass deine Mails gelesen werden, so nutze Verschlüsselung!“ Wer seinen Standort nicht kontinuierlich verfolgbar haben möchte, muss sein Mobiltelefon eben abschalten, am besten auch den Akku rausnehmen – und auch WLAN und Bluetooth darf man nicht mehr nutzen, weil mittlerweile sogar werbetreibende Unternehmen diese Dienste für Tracking und Profiling missbrauchen.

Halt. Hier läuft doch etwas falsch. Der Bürger soll in der modernen Zeit auf das Smartphone verzichten, nicht mehr erreichbar sein, beim Mailversand zusätzlichen Aufwand betreiben, keine sozialen Netzwerke nutzen und am besten das Haus gar nicht mehr verlassen? Oder eben akzeptieren, dass das Smartphone getrackt, die Bewegungsdaten gesammelt, die Mails gelesen, Profile erstellt und von öffentlichen Kameras Gesichter erkannt werden? Mit der gleichen bizarren Logik könnte man von schwächeren Vekehrsteilnehmern wie Radfahrern und Fußgängern verlangen, doch bitte auf die Autos Rücksicht zu nehmen (oder Helme zu tragen). Helme, Protektoren und Polster für Fußgänger, damit die Autos schneller und rücksichtsloser fahren können.

Keine technische Diskussion oder Entwicklung wird hier eine angemessene Lösung finden. Eine Lösung kann nur politisch sein und muss aus der Breite der Gesellschaft unterstützt werden. Und der Onus darf hier nicht auf den Bürger oder den Nutzer gelegt werden, wie es gerade mit einer Rhetorik à la „Verschlüssele! Achte darauf, mit wem du dich umgibst!“ geschieht. Neben der konkreten Überwachung und den bei algorithmischer Überwachung zwangsläufig zu erwartenden Fehlern führt ein solches allgegenwärtiges Tracking auch zu einer Schere im Kopf. Eine freie Gesellschaft kann und darf das nicht akzeptieren. Die Forderung muss vielmehr vehement lauten: Überwacht uns nicht!

Spätestens seit den Anschlägen des 11. September leben wir in einer Kultur der Angst. Für diese Ängste gibt es gute Gründe: Ideologie, Profit, und Kontrolle sind die wichtigsten davon. Geheimdienste sind ähnlich wie der militärisch-industrielle Komplex ein Selbstzweck, ein Krebs in Gesellschaft und Politik. Wird er nicht früh erkannt und bekämpft, wuchert und metastasiert er. Um den Apparat am Leben zu halten, müssen immer neue Bedrohungen herangezogen werden, die weitere Ausgaben oder weitere Einschränkungen der Bürgerrechte legitimieren. Gleichzeitig wehrt sich dieser Organismus im Organismus gegen externe Bedrohungen: Aktivisten sind verdächtig, besonders wenn sie begründete Kritik äußern und verbreiten können. Nicht umsonst beschreibt die NSA ihre Gegner als „activists, hackers, twentysomethings“: Mediale Macht, die man nicht kontrollieren kann, ist die größte Bedrohung für eine Entität, deren Existenz davon abhängt, die öffentliche Meinung steuern zu können.

Genau darum muss die Öffentlichkeit eine klare Meinung entwickeln und zeigen. Eine, die sich nicht auf „nutzt kein Facebook“ oder „verschlüsselt eure Mails“ zurückzieht. So lange es noch eine Chance gibt, Geheimdienste & Co. parlamentarisch zu kontrollieren, müssen wir sie ergreifen. Die Alternative ist, dass der Krebs den politischen Körper auffrisst und dann mit ihm stirbt. Im Gegensatz zu Parasiten haben solche Wucherungen kein Interesse am Überleben des Wirtskörpers. Sie sind reine Egoisten. Uns aber sollte etwas an unserer Freiheit und Demokratie liegen.

Die Zivilgesellschaft ist der direkte Gegner der Geheimdienste. Daher müssen die Dienste stärker kontrolliert oder abgeschafft werden. Jetzt wäre ein guter Zeitpunkt, Briefe an die Abgeordneten und die Presse zu schreiben, und deutlich zu machen: Ein Rückzug der Gesellschaft ist nicht die Lösung.

Verified by VISA bzw. das MasterCard-Äquivalent SecureCode sind übelste Grütze. Hinter den nichtssagenden Marketingnamen verbirgt sich 3-D Secure, ein von VISA entwickeltes Verfahren, bei dem man sich bei Kreditkartentransaktionen im Netz gegenüber der kartenausgebenden Bank authentifiziert.

Dahinter steckt natürlich einzig der Versuch von VISA und MasterCard, die Haftung für Kreditkartenmissbrauch loszuwerden. Üblicherweise bekommt man, wenn irgendwelcher Schindluder mit der eigenen Kreditkarte getrieben wird, anstandslos das verlorene Geld zurück. Da mit der Verbreitung der Kreditkarte und des Internets aber auch der Missbrauch zugenommen hat, suchten die Kreditkartenanbieter natürlich nach Wegen, diese lästige Sache zu minimieren, um mehr Profit zu scheffelnum die Sicherheit und den Komfort für den Kunden zu erhöhen.

In der Umsetzung gibt es allerdings einige dicke Probleme, neben dem Umstand, dass das Verfahren den Kunden in Haftungsfragen schlechter stellt.

Zum einen sehen die Zwischenschaltseiten aus wie übelst billige Phishing-Versuche (außer, dass die echten Phisher mittlerweile deutlich bessere Seiten bauen, Ironie des Schicksals). Die vorherrschende Lösung ist, dass der Kunde ein zusätzliches Passwort eingeben muss – sich also ein weiteres Passwort merken. Angelegt wird das Passwort bei der ersten Benutzung von 3-D Secure – jeder, der die Daten der Karte hat, kann also ein Passwort anlegen und nutzen.

Zum anderen werden sie gerne mal in IFRAMEs eingebettet, womit auch die letzte Illusion von Sicherheit dahin ist. Die übergeordnete Seite kann zwar mittlerweile nicht mehr beliebig auf den Inhalt des IFRAMEs zugreifen, aber die meisten Nutzer haben nicht das Wissen oder schlicht nicht die Muße, zu prüfen, ob das wirklich der erwartete IFRAME ist. Die üblichen Indikatoren wie die URL-Leiste oder der SSL-Marker sind nicht sichtbar. Die Alternativen zur IFRAME-Einbettung wären übrigens Pop-ups (häufig mit reduziertem Browser-Interface) oder Zwischenschaltseiten (ungern genutzt, weil sie den Käufer komplett aus der kontrollierten und designten Shopumgebung herausreißen).

Zumindest bei den Sparkassen und der Deutschen Bank war es übrigens auch bisher so, dass man 3-D Secure nicht ablehnen konnte, auch wenn die Formulierung im Anmeldefenster anderes suggerierte. Wer nicht mit 3-D Secure spielen wollte, wurde dann einfach kommentarlos zurück in den Shop geschmissen, mit einer nichtssagenden Fehlermeldung.

Wenn man dann in der Wikipedia liest:

Mittlerweile wird von jedem deutschen Acquirer – den Unternehmen, die Händlern die Kartenakzeptanz vermitteln – die Implementierung von MasterCard SecureCode oder Verified by Visa verpflichtend auferlegt.

Tröstet einen auch das nicht (selber Ort):

Die deutsche Kreditwirtschaft hat allerdings im Mai 2011 gegenüber der Stiftung Warentest zugesichert, dass bei Benutzung der neuen Verfahren keine Schlechterstellung deutscher Bankkunden zu befürchten sein soll.

Alles nerviger und schlechter für alle, aber immerhin sichern die Banken gegenüber der Stiftung Warentest zu, dass schon alles okay sei. Dazu bedurfte aus nur dreier Jahre und mehreren medienwirksamen Missbrauchsfällen.

This is the future. Future is now.

Ich habe endlich wieder ein Fahrrad. Noch endlicher wiederer eins, das den Namen verdient. Ich will schon ewig ein neues, aber Katalog ist nichts für mich, für Kleinanzeigen und Flohmärkte habe ich nicht die Geduld, wenn ich mich darauf zurückziehe, wird es nie was. Also ging ich Freitag Abend einfach zum Fahrradladen „nebenan“, der mir mehrfach empfohlen wurde. Dort stand ich dann knapp drei Stunden in der Sonne, während ich mich nicht zwischen zwei Rädern entscheiden konnte. Am Ende kaufte ich in einer schnellen Entscheidung das Viva Extravaganza. Die Flip-Flop-Nabe ist auf Singlespeed konfiguriert und das Rad sieht eigentlich etwas hipsterig aus, aber der Rahmen ist so schön, fuck Hipsterigkeit.

Tags darauf geht es nach Allermöhe um die Deiche kurven, per S-Bahn mit Rad festhalten, das Schloss um die Hüften gelegt. Eine kleine Tour, um ein Gefühl für die neuen Räder zu bekommen. Nach der Hälfte der Strecke, und vor allem nach dem Picknick am Elbufer, setze ich mich von der Gruppe ab und nehme einen längeren Rückweg, das Rad mal ein bisschen ausfahren. Großer Spaß, dieses Singlespeed, vorne ist nämlich eine große Übersetzung drauf. Man kommt schön schnell vom Fleck, und auch bei einer Trittfrequenz unterhalb von Kolibri kriegt man locker die 35–40 km/h hin.

Zurück aus Allermöhe nehme ich das Rad mit zum Ingress-Treffen. Wir „achtern“ die Friedenskirche in Altona, das heißt, eine Gruppe von 5–15 Nerds läuft mehrmals im Kreis und starrt dabei auf ihre Smartphones. Ich war überpünktlich da und hatte so Gelegenheit, zu bemerken, dass mein Hinterrad Luft verliert. Einen Telefonanruf kurz nach 20 Uhr und 15 Minuten mit Fahrrad auf der Schulter später stehe ich im Werkstattkeller des kleinen Fahrradladens und versuche, einen Kevlarstreifen in den Mantel zu kriegen. Für die Reparatur nach Ladenschluss wollte der Laden partout keine Bezahlung annehmen, außer meinen überschwänglichen Dankesbekundungen. Nach einer halben Stunde gehe ich also mit neuem Schlauch und verstärktem Mantel zurück zur Ingress-Gruppe.

Eine knappe Stunde später ist die Farm-Route abgegrast, die Gruppe entscheidet sich, zum naheliegenden Wohlerspark weiterzuziehen. Während wir diesen „begrünen“, laufen wir immer wieder im Kreis an mehreren feiernden Gruppen vorbei. Eine spielt Ethno-Pop, eine andere Jazz, Blues und Big Band. Bei der dritten läuft erst Drum’n’Bass und Dubstep, später wechselt es abrupt zu Kinderliedern und Theme Songs von Serien der 90er Jahre. Die Dubstep-Gruppe fragt, warum wir alle mit unseren Smartphones rumlaufen. Ich versuche gleichzeitig mit einer Hand mein Rad zu schieben, mit der anderen alle Portale zu hacken, und dabei im Laufen Ingress zu erklären. Es gelingt mir nur so mittelgut, immerhin wissen sie, was Geocaching ist. Noch ein paar Runden, am Ende landen wir im Wohlers Eck bei Guinness, Cider und Cola. Mit dem Plan, halbwegs zeitig heim zu kommen, verlasse ich die Gruppe nach einem Guinness.

Auf dem Rückweg will ich noch St. Johannis erobern und verlinken, da erfahre ich, dass Freunde gerade neuen Rum auf ihrer Loggia probieren, sie laden mich ein, vorbeizukommen. Ich probiere einen neuen Gin und trinke einen Gin Tonic. Ein wenig müde mache ich mich auf den Heimweg, nehme dabei noch ein paar Portale mit, inmitten der draußen feiernden Menschenmassen bin ich ein Fremdkörper und froh darüber. Und auch darüber, nicht direkt am Schulterblatt zu wohnen. Zuhause angekommen kann ich mir nicht vorstellen, zu schlafen, aber genau dieses Nachtleben ist in dem Moment auch nichts für mich. Ich lese Dune, trinke Wasser, irgendwann zwinge ich mich ins Bett und schlafe sofort ein.

Nach dem ersten Tag mit Fahrrad ist meine Handfläche wund und mein Handteller hat blaue Flecken. Mein rechter Arm und meine rechte Schulter tun weh, weil ich das Rad tragen musste. Außerdem habe ich einen leichten Sonnenbrand auf meinen Schultern und einen leichten Sonnenstich davongetragen. Das unverhoffte Bier und der noch unverhofftere Gin und Gin Tonic tun ihr übriges, die ersten paar Stunden des Tages begleitet mich ein leichter Kopfschmerz. Und unter meinen Nägeln ist Kettenöl, das ich auch so schnell nicht los werde. Nur meine Beine, die tun nicht weh.

Also fahre ich nach dem Frühstück erst mal zum Burger essen zum Grindelhof.

Ich bemerke: Die Stadt ist kleiner geworden.

“Waterfall” is called that because it only goes downhill and disintegrates along the way.

Wir alle sollen verschlüsseln. Am besten alles, und jederzeit. Schließlich wollen wir ja nicht, dass die NSA oder gar der BND unsere Mails liest oder die Passwörter zu unseren Blogs kennt, oder? Unabhängig von der Problematik, einen massiven Verstoß gegen die Bürgerrechte so achselzuckend abzutun, „man kann ja eh nichts machen“, und nur noch eine komplizierte Form von Selbstschutz als Alternative anzugeben, gibt es auch Probleme mit dem PGP-everything-Mantra: Wie komme ich an den Key meines intendierten Kommunikationspartners? Und woher weiß ich, dass es wirklich der richtige Key ist?

Anlass für diesen Artikel ist eine Reihe von gefälschten PGP-Keys (u.a. 1, 2, 3, 4), die als Proof of Concept erstellt und in den größten Keyserver-Pool geladen wurden. Diese Fakes sind noch relativ offensichtlich, da sie nur eine Identität (E-Mail-Adresse) enthalten und nur selbst-signiert sind. Es wäre aber kaum mehr Aufwand, ein Netz an falschen Identitäten zu erstellen und damit andere falsche Keys zu signieren. Die von PGP-Erfinder Phil Zimmermann vorgesehen Lösung für diese Probleme ist das sogenannte „Web of Trust“, das Vertrauensnetz. Die Theorie ist, dass alle nur Keys signieren, wenn sie die Identität ihrer Besitzer geprüft haben, und dass man andererseits nur den Signaturen von Menschen traut, deren Keys von jemandem signiert wurden, den man kennt, und so weiter.

Gleichzeitig empören wir uns darüber, dass diverse Geheimdienste unsere Verbindungsdaten analysieren, um herauszufinden, mit wem wir häufig kommunizieren, wen wir kennen, wem wir vertrauen. Das Web of Trust liefert diese Daten frei Haus. Die PGP-Key-Signing-FAQ schreibt dazu nur „Remember that signing a person’s key says nothing about whether you actually like or trust that person or approve of his/her actions.“

In einer Welt, in der Verbindungen verdächtig sind, klingt das hohl. Als Ergänzung oder Alternative zum Signieren kann – und sollte – man seinen Key daher auch auf mehreren Wegen zur Verfügung stellen. Außerdem sollten Keys von Kommunikationspartnern immer auf verschiedenen Kanälen verifiziert werden, z.B. per Mail und Telefon, oder Twitter und einen Chatkanal etc.

Wer mir verschlüsselte Nachrichten schicken möchte, kann den Key 0x79ACF996 verwenden, der von Keyservern, von Dropbox und von diesem Server abgerufen werden kann. Die ID kann gerne auf anderen Kanälen nochmal verifiziert werden.

• Für Mac-Nutzer: GPGtools
• Für Windows-Nutzer: GPG4win
• Für alle: Nicht das Feld räumen, aber Privatsphäre ist eh keine Lösung

Geduld ist eine Tugend, heißt es.

Aber es heißt auch: Die Dosis macht das Gift.

Manche Menschen sind sehr geduldig. Ich gehöre nicht zu ihnen. Wenn Dinge nicht vorangehen, suche ich nach Wegen, sie voranzutreiben, sie anders oder besser zu machen, oder sie einfach komplett zu vermeiden. Das ist anstrengend, keine Frage. Aber es bewegt Dinge.

„Mein Job macht mich nicht unglücklich“, sagt sie. Ich frage zurück, „Macht er dich glücklich?“ Sie blinzelt zweimal, bevor sie antwortet. „Nein.“ Mit der Antwort kommt die Erkenntnis.

Das Leiden beginnt nicht mit dem Unglück, sondern mit der Abwesenheit von Freude.