Page 3 of 5
Re: Sicherheit
Posted: Thu Dec 09, 2004 8:31 am
by elioth
trieper wrote:@ #17
. . .
bekommst du deine Post versiegelt von den Absendern ?
Also das Stadtwappen als Wachssiegel von allen Ämtern, oder mit Logo deiner Bank die Kontoauszüge z.B. ?
Nicht auszudenken wenn der Briefbote den Brief durchliest und wieder zuklebt ... in diesen Zeiten O_o fahrlässig wenn man ohne diese Sicherheits Schmankerl Post verschickt.
Ich hätte nen Tipp nimm dir ein "Plätzschhh n" (ist ja Weihnachtszeit) und trink nen warmen Tee das beruhigt und du machst dir weniger Sorgen
Wenn Akte X wieder im TV kommt kannst du ja nochmal nen Verschwörungstheorie posten - Welterherschaft durch Serverpwasswörter . .
Wenn MTV Berichte über SSL bringt muss ich direkt mal wieder Fernsehn glotzen bestimmt informativ
Hallo Trieper,
nicht ohne Grund gibt es in Europa für den Datenschutz Gesetzesgrundlagen. Ein Datenschutzbeauftragter, der bei Bibit, MDO UND Nevrax jeweils vorhanden sein müsste, sollte diese kennen und die Geschäftlichen und technischen Abläufe in Bezug darauf prüfen. Dabei wäre ihm zweifelsfrei aufgefallen, daß der Versand von Username UND
unveränderlichem Passwort eine klare Missachtung jeder Sorgfaltsbestimmung darstellt, zumal hierüber Zugriff auf persönliche Kundendaten möglich ist, die einem besonderen Schutz zu unterliegen haben. Falls es Dir schonmal aufgefallen ist, werden selbst auf dem Postwege PIN und Kontodaten niemals gemeinsam zugesandt. Darüberhinaus werden solche Informationen so zugesandt, daß eine manipulation oder ein Öffnen feststellbar ist. Wir reden hier nicht etwa über etwas triviales. Wer auch nur einen Funken von diesen Belangen versteht, weiss, welche Schäden im Zweifelsfalle mit diesen Daten auf Drittwegen angerichtet werden können. Nicht zwangsläufig unmittelbar an der Person, deren Daten hier zur Disposition stehen, sondern MITTELS der Daten. Es ist leider so, daß im Datenschutz eben nicht der gesunde Menschenverstand und logisches Denken genügen, um Gefahrenpotentiale zu sehen. Es gehört auch ein wenig Fachwissen dazu, wenn man sich ein Urteil bilden möchte. Ich empfehle hierzu im Übrigen auch mal die Seiten des Bundesdatenschutzbeauftragten oder des C.E.R.N. Beides recht brauchbare Einstiegsseiten für den Laien.
Re: Sicherheit
Posted: Thu Dec 09, 2004 8:31 am
by 5erious
Nendra wrote:Trojaner sind dafür gar nicht notwendig, da e-mails über viele Server geleitet und mehrfach zwischengespeichert werden. Wie oben bereits ausgeführt wurde ist eine e-mail alles andere als Privat und kann einfach auch automatisch analysiert werden ohne dass es Sicherheitsprobleme auf dem sendenden oder empfangenden Rechner gibt.
Das Versenden einer Mail mit Benutzername UND Passwort ist daher eine Einladung die gespeicherten Daten der Nutzer auszulesen.
Banken nehmen es mit der IT-Sicherheit auch oftmals nicht soo ernst, aber wie man am getrennten Versand von EC- oder Kreditkarte und zugehörigen PINs erkennen kann wird dort noch nicht mal der Briefverkehr als sicher angesehen und Benutzername (Karte) und Passwort (PIN) getrennt verschickt. Da e-mails nur selten denselben Pfad nehmen um den Empfänger zu erreichen würde demnach ein getrenntes Senden der Logindaten deutlich mehr Sicherheit versprechen. Optimal wäre es natürlich, wenn der Name gar nicht mitgeschickt wird wodurch ein Zuordnung der Passwörter nicht mehr ohne weiteres möglich wäre. (Auch ein DAU ist hoffentlich in der Lage sich seinen Benutzernamen zu merken der zudem auch noch im Spiel gespeichert wird.)
thx für dies info (irgend wann werd ich hier noch pc profi
sehr viel lernt man hier )
Greetz 5erious
Re: Sicherheit
Posted: Thu Dec 09, 2004 9:05 am
by XoloX
elioth wrote:...Ein Datenschutzbeauftragter, der bei Bibit, MDO UND Nevrax jeweils vorhanden sein müsste, ...
Hi Kollege (so scheint's
)
Ein Haken dabei...ich zitiere mal aus der Neufassung des BDSG:
BDSG wrote:§ 4f Beauftragter für den Datenschutz
(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für nicht-öffentliche Stellen, die höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen.
Das einzige Deutsche Unternehmen der von Dir genannten fällt in den ausgenommenen Bereich. Die Franzosen dürften ebenfalls dort hineinpassen, ich bin jetzt allerdings zu faul, die Datenschutzbestimmungen von denen hervorzukramen um zu vergleichen... Bei BiBit hingegen (NL/USA) dürfte es zutreffen. Aber die Mail kam ja nicht von BiBit, und Einfluß auf die Account-Logins haben die wohl auch nicht...
Alles Grauzone
CU
Edit: Guter Link für (auch) Privat Interessierte:
Datenschutzportal
Re: Sicherheit
Posted: Thu Dec 09, 2004 9:15 am
by trieper
Hallo Elioth,
nicht ohne Grund gibt es in Europa für den Datenschutz Gesetzesgrundlagen.
Es gibt so einiges was ich gern als verschnörkelte Bürokratie bezeichnen würde die alle mögliche Dinge verlangsammen / verteuern / etc.
Bsp.
Ein Chef einer kleinen Firma muss wenn er männliche wie weibliche Angestellte hat 1ne 2te Toilette einrichten (getrennt halt iss klar
)
das der gute Mann nur 2 Leute beschäftigt Frau Weiss und Hernn Schwarz und das die bisherife 1 Toilette abschlissbar ist und genügt interessiert nicht. Gesetz ist Gesetz , Verordung ist Verordnung
Feine Sache =) so ne 2te komplette Toilette mit Waschbecken etc. kostet ja nur paar Tausende - für ein einziges Hansel ^^ wie Effizient !
b2t - du hast eine email bekommen wo dein PW drin stand ... und dein Username
Himmel hilf was kann damit alles passieren
man könnte herausfinden wer du bist (pass auf deine Name könnte im Telefonbuch stehen) . . Ich sehe die Schlagzeile vor mir:
BILD deckt auf Enriko M. aus K. bei F. an der O. spielt Saga of Ryzom ...
Falls du Angst um deine Bankverbindung hast - Lastschriften lassen sich zurückbuchen (um Missbrauch vorzubeugen)
Tja . . . andere entsetzliche Dinge fallen mir leider nicht ein welche man mit diesen "vertraulichen Daten" anfangen kann
Ausserdem bin ich der Meinung wenn Mr.X (superhacker) scharf auf meine E-Mails ist dann bekommt der die ob mit oder ohne Verschlüsselung.
Denn alle was verschlüsselt wurde kann entschlüsselt werden. (mit welchem Aufwand ist ne andere Frage)
Ich sage nicht das die Datenschutzverordnung sinnlos ist.
Ich sage nur man sollte die notwendigkeit abschätzen und überlegen wo Sie Sinn macht und wo nicht. (Stichwort Bank = wichtig / Ryzom = unbedeutend )
Re: Sicherheit
Posted: Thu Dec 09, 2004 9:29 am
by thorlof
Ähm....das PW ist unveränderlich???
*sofort Kreditkarte sperren lass*
*grml* is doch ärgerlich, wenn man wegen einer solchen unachtsamkeit allenfalls die Kredikarte sperren lassen muss oder feststellen muss, dass es dafür schon zu spät ist....
...meine Limit ist die kleinstmögliche, macht aber dennoch ne Menge Kohle...
PS. Bin Schweizer, also nicht die bequeme Möglichkeit, LSV oder in Deutschland eben ELV zu benutzen!
*wohl bald böses mail an Nevrax schreib*
Re: Sicherheit
Posted: Thu Dec 09, 2004 9:44 am
by elioth
trieper wrote:Hallo Elioth,
nicht ohne Grund gibt es in Europa für den Datenschutz Gesetzesgrundlagen.
Es gibt so einiges was ich gern als verschnörkelte Bürokratie bezeichnen würde die alle mögliche Dinge verlangsammen / verteuern / etc.
Bsp.
Ein Chef einer kleinen Firma muss wenn er männliche wie weibliche Angestellte hat 1ne 2te Toilette einrichten (getrennt halt iss klar
)
das der gute Mann nur 2 Leute beschäftigt Frau Weiss und Hernn Schwarz und das die bisherife 1 Toilette abschlissbar ist und genügt interessiert nicht. Gesetz ist Gesetz , Verordung ist Verordnung
Feine Sache =) so ne 2te komplette Toilette mit Waschbecken etc. kostet ja nur paar Tausende - für ein einziges Hansel ^^ wie Effizient !
b2t - du hast eine email bekommen wo dein PW drin stand ... und dein Username
Himmel hilf was kann damit alles passieren
man könnte herausfinden wer du bist (pass auf deine Name könnte im Telefonbuch stehen) . . Ich sehe die Schlagzeile vor mir:
BILD deckt auf Enriko M. aus K. bei F. an der O. spielt Saga of Ryzom ...
Falls du Angst um deine Bankverbindung hast - Lastschriften lassen sich zurückbuchen (um Missbrauch vorzubeugen)
Tja . . . andere entsetzliche Dinge fallen mir leider nicht ein welche man mit diesen "vertraulichen Daten" anfangen kann
Ausserdem bin ich der Meinung wenn Mr.X (superhacker) scharf auf meine E-Mails ist dann bekommt der die ob mit oder ohne Verschlüsselung.
Denn alle was verschlüsselt wurde kann entschlüsselt werden. (mit welchem Aufwand ist ne andere Frage)
Ich sage nicht das die Datenschutzverordnung sinnlos ist.
Ich sage nur man sollte die notwendigkeit abschätzen und überlegen wo Sie Sinn macht und wo nicht. (Stichwort Bank = wichtig / Ryzom = unbedeutend )
Ich bin selbst - hmm lass mich überlegen - 15 oder mehr Jahre als Unternehmer konfrontiert gewesen mit solch grösstenteils unsinnigen Regelungen und Gesetzen für alles mögliche. Nun zum Glück nicht mehr, denn Deutschland ist nicht mehr mein Gewerbestandort. Dennoch muss man hierzu einige Dinge beachten:
1. Lässt man sich auf Handelsverkehr oder gewerblichen Betrieb in einem Handelsraum ein, so bleibt nichts übrig, als geltendem Recht folge zu tragen. Einzig bleibende Möglichkeit gegenüber willkürlicher Missachtung ist das Anfechten und ggf. Ändern von nach eigener Ansicht unsinnigen Gesetzesgrundlagen (dies ist die Funktionsweise der viel hier proklamierten "Demokratie", statt einer Anarchie)
2. Um den Sinn oder Unsinn einer Vorschrift zu verstehen, gehört immer ein gewisses Fachwissen hinzu, denn nur wenn die Grundlagen der Vorschrift einem vertraut sind, kann man sich ein allumfassendes Bild darüber machen.
3. Der Schutz vertraulicher Daten ist eine sogenannte Sorgfaltspflicht, die hier technisch ohne weiteres möglich ist. Es geht hierbei nämlich lediglich um die Versendung eines
NICHT veränderlichen Passwortes für den Zugriff auf
personenbezogene Daten. Der Versand eines solchen Passwortes ist durchaus möglich, nur verlangt dieses eine besondere Sorgfalt, wie bereits in einem Posting weiter oben zum Thema "Bank-Pin" beschrieben. Der andere Weg ist der Versand eines temporären Passwortes, welches vom Nutzer verändert werden kann. Beide Herangehensweisen stellen keinen unzumutbaren zusätzlichen Aufwand dar und führen eine akzeptable Datensicherheit herbei. Alle von Dir gemachten Vergleiche entsprächen in etwa der Einstellung, sein Haus nicht abzuschliessen, denn ein "richtiger" Dieb könne eh einbrechen, wenn er es wolle.
Zu den möglichen Folgen einer Kompromitierung von personenbezogenen Daten befrage am besten mal einen ortsansässigen Datenschutzfachmann in Deiner Nähe. Er wird Dir möglicherweise etwas auf die Sprünge helfen. Es geht hierbei übrigens selten um Vermögensschäden an Privatpersonen. Vielmehr um die Haftungsfrage bei Drittschäden und vor allem um volkswirtschaftliche, soziologische und demografische Aspekte des Missbrauches solcher Daten. Eine öffentliche Diskussion dieser Dinge wird nicht ganz ohne Grund selten geführt
Aber als kleines Stichwort für unmittelbar erkennbare Folgeschäden auf privater Ebene sei das Beispiel des Ebay-Fakes angeführt. Werden unter Deinen personenbezogenen Daten (gewonnen aus Massenscans unsicherer Mailserver) dort strafbare Handlungen ausgeführt, hast Du den Ärger am Hals und bist - zunächst - dafür haftbar. Dies kann erhebliche rechtliche Probleme hervorrufen, zumal LEIDER bisher mit dieser Thematik vor deutschen Gerichten sehr ungeschickt (meist zu Lasten der Geschädigten) umgegangen wird. Von der Länge solcher anhängigen Verfahren (bis zu 5 Jahren) mal ganz abgesehen. Dies kann im Zweifelsfalle fazu führen, daß Deine Kreditwürdigkeit bis zu einer Klärung stark eingeschränkt ist. Selbst die Aufnahme einiger beruflicher Tätigkeiten wäre bis dahin unmöglich. Kleine Ursache, grosse - mögliche - Folgeschäden, die durch Winzigkeiten hervorgerufen wurden.
Re: Sicherheit
Posted: Thu Dec 09, 2004 10:02 am
by elioth
XoloX wrote:Hi Kollege (so scheint's
)
Ein Haken dabei...ich zitiere mal aus der Neufassung des BDSG:
Das einzige Deutsche Unternehmen der von Dir genannten fällt in den ausgenommenen Bereich. Die Franzosen dürften ebenfalls dort hineinpassen, ich bin jetzt allerdings zu faul, die Datenschutzbestimmungen von denen hervorzukramen um zu vergleichen... Bei BiBit hingegen (NL/USA) dürfte es zutreffen. Aber die Mail kam ja nicht von BiBit, und Einfluß auf die Account-Logins haben die wohl auch nicht...
Alles Grauzone
CU
Edit: Guter Link für (auch) Privat Interessierte:
Datenschutzportal
Bei
automatisierter Erhebung dieser Daten gelten die Bestimmungen bei jeder Anzahl an Beschäftigten. (diese Angabe ist leider nur für Deutschland gesichert)
. Bei "klein genügenden" Unternehmen ist lediglich die schriftliche Bestellung eines zusätzlichen DSBA nicht erforderlich, es genügt hier die Benennung eines ausreichend qualifizierten Mitarbeiters.
Für Zahlungsverkehr in Deutschland im ELV ist die Firma Bibit Global Payment Services Vertriebsgesellschaft mbH mit Sitz in Deutschland zuständig. Ein anderes Unternehmen wäre nicht in der Lage, dieses vorzunehmen.
Lustig ist übrigens, daß Bibit für die deutsche Gesellschaft eine Domain angibt
http://www.bibit.de, deren Inhaber nicht etwa die Bibit GmbH oder die Muttergesellschaft, sondern eine Privatperson aus Warschau ist.
Ausschnitt aus dem Bibit-Impressum wrote:
# Bibit Global Payment Services
Vertriebsgesellschaft mbH
Münsterstraße 246
D-40470 Düsseldorf
Deutschland
T: +49 (0)211 687 738-0
F: +49 (0)211 687 738-11
info.de@bibit.com
http://www.bibit.de
# Bibit Global Payment Services
Vertriebsgesellschaft mbH
Ansbacherstraße 45
D-10777 Berlin
Deutschland
T: +49 (0)30 2101 9708
F: +49 (0)30 2101 9709
info.de@bibit.com
http://www.bibit.de
Was das Thema nevrax als französischer Anbieter anbelangt. Wenn nicht nur die leistungserbringung in Frankreich stattfände, sondern auch die Vermarktung, wäre alles in trockenen Tüchern. Da jedoch eine gezielte Vermarktung in lokalen Handelsräumen durchgeführt wird, unterwirft sich der Anbieter möglicherweise dejure trotz anderslautender (und ohnehin teilweise sittenwidriger) EULA deutscher Rechtssprechung. Im Übrigen ist der Ort der Leistungserbringung ohnehin definitiv nicht Frankreich, sondern am ehesten United Kingdom.
Re: Sicherheit
Posted: Thu Dec 09, 2004 10:03 am
by trieper
"Alle von Dir gemachten Vergleiche entsprächen in etwa der Einstellung, sein Haus nicht abzuschliessen, denn ein "richtiger" Dieb könne eh einbrechen, wenn er es wolle."
Muss ich verneinen da ich die "Notwendikeit" angeführt habe.
Ich erachte es als notwendig mein Haus so gut es geht zu "schützen" jedoch sehe ich durch einsicht meiner persönlichen Daten (welche in Ryzom erhoben werden) ein geringes "Gefahrenpotential" daher ist mir dieser Bereich eher unwichtig.
Das andere Menschen diesem Bereich mehr Beachtung / Bedenken entgegenbringen ist für mich schon nachvollziehbar (besonders dank deiner Ausführungen)
Was mich nur gestört hat an der ursprünglichen Ausage hier im Forum war "bei MTV gesehen".
Anderen durch solche Aussagen Inkompetenz nachzusagen finde ich unschön.
Re: Sicherheit
Posted: Thu Dec 09, 2004 10:19 am
by anasazi
hi trieper
hätte mir nicht gedacht das "bei MTV gesehen" dich so geärgert hat, aber kein Problem.
Ich erzähl dir mal eine Geschichte:
ich hab während der OB mal im Forum eine Diskussion zum Thema security in SoR angezettelt und die vorschläge an Vince geschickt.
Es wurde uns versichert es wurden in Bezug auf security sehr viele dinge getan wurden usw. Wenn jedoch soviel dahingehend getan wurde, warum versendet man dann login inkl. passwort in einem mail? Würdest du so etwas tun? Klar, es stehen nicht wirklich schlimme Informationen drauf, nur regen sich sehr viele Menschen darüber auf, wenn ihre Anschrift usw. von Firmen an andere weitergegeben wird, und hier werden logins und passwörter einfach übers netz geschickt die es ermöglichen genau zu solchen infos zu kommen. und die ereignisse der letzten wochen zeigen uns auch, dass trotz aller dinge es doch jemand geschafft hat. und server mit solchen netzanbindungen sind ja wirklich ein gefundenes fressen.
jaja, verschwörungstheorien hin oder her. eine einfache frage: cDc, CCC, HtP?
für mich hatte dies schon einen beigeschmack von inkompetenz. würdest du das versenden von accounts inkl. passwort kompetent nennen??? fehler können passieren, finde ich auch okay so, aber ich würde es begrüßen, wenn dies nicht nochmals auftreten würde.
was wäre, so als beispiel, jemand hätte sich deinen account geschnappt (oder hätte die DB im hintergrund erwischt) und dein char/deine chars wären jetzt weg. würdest du dich darüber aufregen???
okay, text ist sicher verwirrend, aber meine kollegen machen direkt neben mir ne telecon. jesus christ, noch lauter reden geht echt bald nimmer
/edit: nachtrag
ja, es ist fies anderen mit solchen aussagen inkompetenz zuzusprechen, aber für mich hat das wirklich so den anschein. ich begrüße es auch wirklich nicht, das solche e-mails übertragen werden. und dinge wie mein geburtsdatum stehen ja auch nicht unbedingt in einem telefonbuch. wie schon bereits in diesem thread erwähnt: wie sollte ich einem richter klar machen woher diese informationen stammen (werden sie zB für einen fake account verwendet), wenn zB dinge wie mein geburtstag auch mit angegeben werden.
und ja, ich leide schon an paranoia. ist auch klar, aber ich beschäftige mich schon länger mit IT security und bin verfechter der meinung: IT security geht uns alle etwas an.
eine frage die ich gerne habe: wer ist schuld? der, der sein geld offen herumliegen läßt, oder der, der das geld nimmt.
und damit meine frage an dich: würdest du deinen account-name und dein passwort per e-mail verschicken, wenn du weißt, dass du dieses passwort nicht ändern kannst? und vor allem plain text?
würdest du nicht versuchen es wenigstens vor script kiddies zu schützen?
/edit: ende
Re: Sicherheit
Posted: Thu Dec 09, 2004 11:00 am
by trieper
"würdest du das versenden von accounts inkl. passwort kompetent nennen???"
Ich würde es als üblich bezeichnen da ich z.B. bei einer Anmeldung in einem Forum ebenfall meine Logindaten zusammen in einer Mail erhalte.
Jedoch kann man das nicht direkt vergleichen weil bei einer Forenanmeldung natürlich nicht halb soviele Daten im Umlauf sind. Ich habe diesbezüglich keine Vergleichsmöglichkeit da Ryzom das erste MMORPG ist für welches ich bezahle (Beta`s und Trail Accounts sind ja Gratis =) ).
"was wäre, so als beispiel, jemand hätte sich deinen account geschnappt (oder hätte die DB im hintergrund erwischt) und dein char/deine chars wären jetzt weg. würdest du dich darüber aufregen???"
Ich würde mich wahrscheinlich aufregen und meinen Account kündigen da ich relativ "wenig" spiele und für mich die Zeit bis zu meinem jetzigen Level wertvoll ist. Daher hätte ich den Nerv wharscheinlich nicht nochmal bei 0 anzufangen.
Das Hauptproblem liegt wahrscheinlich wirklich darin das dieses PW nicht geändert werden kann.