Datenschutz des tages

Die iX kam zu dem Fazit, dass ein sicherer, datenschutzkonformer Betrieb von Office 365 nach europäischem Recht und gemäß DSGVO nicht möglich sei. Auch eine vom niederländischen Justizministerium in Auftrag gegebene Untersuchung endete mit der Aussage, dass Microsoft mit seiner Enterprise-Version Office 2016 Pro Plus massenhaft gegen die europäische Datenschutzgrundverordnung (DSGVO) verstößt. Das hat inzwischen den Datenschützer der EU auf den Plan gerufen, der die Verträge der EU-Behörden mit Microsoft untersucht

Hej, datenschützer, kommt mal an mit euren fetten bußgeldern bei den ganzen datenschleudern, die alles bei irgendwelchen fremdfirmen im kriegs-, folter- und überwachungsstaat USA abliefern! Und keine zurückhaltung dabei! Dass dieses problem kommen würde, ist nämlich schon seit ein paar verdammten jahren bekannt.

Gruß auch an die stadt münchen und an die niedersäxischen finanzämter und andere jetzt-noch-schnell-auf-windohs-umsteller in der bananigen republik korruptistan! Zu schade, dass die dafür persönlich verantwortlichen p’litarschlöcher nicht aus ihrem persönlichen vermögen für die angerichteten schäden haften müssen!

via @kuketzblog@social.tchncs.de

Meikrosoft des tages

Na, hat sich hier schon jemand dieses offißß 365 von meikrosoft andrehen lassen, weil eine terminal-anwendung nach ideen aus den großrechner-architekturen der sechziger jahre ja viel moderner und hipper ist und die klaut sowieso viel besser ist als der eigene massenspeicher und der eigene kompjuter?

Eines der verblüffendsten Ergebnisse ist, dass Office 365 beim ersten Anmelden das Kennwort des Nutzers im Klartext und nicht als Salted Hash übermittelt

Meine fresse! Oh, wie kriege ich diese hand wieder aus dem gesicht‽

Klar, das passwort wird über TLS übertragen, also mit transportverschlüsselung (wie bei HTTPS). Aber in einer unternehmung sitzt normalerweise mindestens ein proxy zwischen firmennetz und internetz. Und der macht viel mehr, als einfach nur proxy zu sein, zwischenzuspeichern und zugriffe zu beschleunigen. Oft macht er zum beispiel auch HTTPS unter verwendung eines eigenen zertifikates auf (zum beispiel für virenskänns und anderes schlangenöl), und dann wird halt auf den firmenrechnern ein weiteres TLS-zertifikat installiert, damit das ruckelfrei geht. Der privatschlüssel, den man braucht, um mit jedem irgendwo reingehängten einplatinenrechner die verschlüsselte übertragung mitlesen zu können, liegt dann auf dem proxy. Und dann gibt es natürlich auch noch lokale antivirus-schlangenöle, die genau die gleiche nummer machen und wo es eher ein noch kleinerer akt wird, die damit von sicherheitssoftwäjhr aufgerissene sicherheitslücke auszunutzen. Das ist eher so eine fingerübung für ein ehrgeiziges kind. TLS ist im arsch. Wir haben nur leider zurzeit nix besseres.

Mit einer sicherheitstechnik aus den frühen siebziger jahren, nämlich dem gesalteten häsching eines passwortes für die speicherung und die übertragung über einen möglicherweise unsicheren kanal, ist man bei meikrosoft aber leider überfordert.

Bedeutet das etwa, dass meikrosoft gar nix mehr hinkriegt? Aber nein doch. Es bedeutet nur, dass meikrosoft auch schon die elementarste kompjutersicherheit scheißegal ist. An anderen stellen zeigt sich meikrosoft hingegen sehr ambizjoniert, und…

Ebenso überrascht, dass Office 365 noch vor der Zustimmung zur zugehörigen Einverständniserklärung Telemetriedaten an Microsoft sendet

…die permanente heimliche überwachung des anwenders an seinem datensichtgerät funkzjoniert natürlich ganz hervorragend. Müsst ihr verstehen! Daten sind das öl des 21. jahrhunderts (A. Merkel). Das muss man aus den menschen rausfördern! Mit allen mitteln. Zur not mit dem äkwivalent zum fräcking. Da kann man sich doch nicht auch noch an gesetze halten, bei dem ganzen schönen öl und dem ganzen schönen reichtum durch datensammlungen. Oder sich gar um so einen unwichtigen scheißkram wie passwortsicherheit kümmern, wenn man eigentlich nur überwachungsfunkzjonen haben will und den menschen künstliche abhängigkeiten ins leben drücken will, damit sie niemals niemals niemals wieder frei werden…

„Cloud“ des tages

Wisst ja, wenn ihr in der „cloud“ (werbedeutsch für: auf den rechnern anderer leute) arbeitet, sind eure daten immer und von überall aus verfügbar, so dass immer und von überall aus arbeiten könnt. Außer manchmal, wenns dann mal nicht mehr geht. Und nicht nur das offißß geht nicht mehr, auch ansosten scheint eine menge für mehrere stunden weggebrochen zu sein, ohne dass es auch nur einen im web veröffentlichten hinweis an die nutzer gegeben hätte, dass da was kaputt ist, was da gerade kaputt ist und wie lange die störung wohl schätzungsweise anhalten könnte.

Ich ertappe mich dabei, mir bei jedem dieser „cloud“-ausfälle milljonenschäden bei irgendwelchen klitschen zu wünschen, deren entscheidungsträger mangels tieferer einsichtsfähigkeiten auf den reklameblah von der „cloud“ reingefallen sind… :mrgreen:

Und für jene, die das mit der einsichtsfähigkeit nicht sofort verstehen: die erhöhung von komplexität — und das unnötigen anbinden von „cloud“ an anwendungen wie textverarbeitung, die prächtig ein paar jahrzehnte lang ohne „cloud“ auskamen, ist eine erhebliche erhöhung von komplexität — ist das gegenteil von stabilität, verfügbarkeit und sicherheit. Entscheidungsträger mögen bitte mal jemanden fragen, der etwas von technik versteht. Ach, ihr könnt euch nicht konzentrieren, wenn ein techniker mal in aller ruhe etwas erklärt, weil eure borgimplantate dabei immer so jucken? Na, dann bleibt halt dumm, ihr drohnen, bleibt dumm und hört wie süß die reklame in euch singt! Für die, die noch denken können, gibts gute alte anwendungen, netzlaufwerke und regelmäßige datensicherungen! Das funkzjoniert sogar noch, wenn der internetz-zugang mal zusammenbricht und erschwert übrigens auch die betriebsspionage durch US-geheimdienste. (Mich, der ich immer das gras waxen höre, würde es ja gar nicht wundern, wenn der fuckup beim zwischenschalten einer neuen NSA-datenschnorchelschnittstelle passiert ist.)

Datenschleudern des tages

Datenschleuder des tages ist das freundliche unternehmen, mit dem du einen vertrag hast und das seine gesamte korrespondenz mit dir in meikrosoft offißß verfasst und alle dokumente halbautomatisch in der meikrosoft-„cloud“ speichert, weil das ja so irre bekwem und gut ist:

Durchschnittlich 1,37 Terabyte Daten lädt ein Unternehmen laut der Studie pro Monat zu Office 365 hoch – das entspricht ungefähr einer Milliarde Word-Dokumente. 17,4 Prozent von ihnen enthalten vertrauliche Informationen in Form von personenbezogenen Daten wie Sozialversicherungsnummer, Telefonnummern oder Postadressen (4,2 Prozent), Gesundheitsdaten (2,2 Prozent) sowie Finanzinformationen (1,8 Prozent), etwa Kreditkarten- und Kontonummern

Das wird noch ein fest für kriminelle, erpresser und stalker! Oder glaubt hier noch irgendwer an die sicherheit von daten, die irgendwo im internet für den bekwemen zugriff von der ganzen welt aus vorgehalten werden? Dann bitte ganz schnell hier weiterlesen. Und danach von jedem verdammten scheißunternehmen, mit dem man einen vertrag hat, eine verbindliche, schriftlich zu gebende zusicherung einfordern, dass keinerlei kundendaten in der so genannten „cloud“ gespeichert werden. Am besten mit vertragsstrafe. Und wenn sich jemand darauf nicht einlassen will, rechtfertigt das meiner meinung nach (ich bin kein jurist) ein sonderkündigungsrecht und eventuell sogar schadenersatzansprüche. Wer das nicht jetzt macht und alles voll bekwem und gleichgültig über sich ergehen lässt, soll auch schön die fresse halten, wenns demnächst schiefgeht! Denn das wird passieren, das ist sicher.

Dass gewisse unternehmen demnächst…

Des Weiteren haben Unternehmen im Schnitt 143 Dateien im Office 365 gespeichert, in deren Dateinamen das Wort „Password“ vorkommt

…an den insolvenzverwalter übergeben werden, ist hingegen nicht weiter schlimm. Muss man halt vorher nachdenken. Wenn mans erst hinterher tut, ist das dumm.

Schleichwerbung des tages

Doch für manche Unternehmen ist es angenehmer monatlich oder jährlich – zu den Details hält sich der Konzern noch bedeckt – an Microsoft zu zahlen, statt alle acht Jahre überhastet die alte Infrastruktur zu aktualisieren. Und dass es funktioniert, hat Microsoft bereits mit Office 365 bewiesen, das das alte Büro-Chaos aufgeräumt hat

Hat schon mal irgendjemand in irgendeinem unternehmensumfeld dieses office 365 im einsatz gesehen, das hier so groß von den heise-onlein-schleichwerbern als toller meikrosoft-erfolg vermeldet wird? Gibts wirklich irgendjemanden, der auf funkzjonierende softwähr angewiesen ist und der sich deshalb ohne not davon abhängig macht, dass die internetzverbindung steht und dass die „cloud“ von meikrosoft sicher ist? Wie sieht es in solchen fällen mit dem datenschutz aus, und in wie weit müssen die kunden ihr informiertes einverständnis damit erklären, dass es zu einer sachlich und technisch unnötigen datenspeicherung bei einem drittanbieter (mit zugriffsmöglichkeit durch NSA und für eventuelle wirtschaftsspione in den USA) kommt und was geschieht, wenn kunden das nicht mit sich machen lassen und lieber zu einem mitbewerb gehen, der ihnen ihre wünsche ohne dieses sachlich und technisch unnötige risiko erfüllt, und zwar mit softwäjhr, die nicht nur kostenlos, sondern auch noch Frei ist? Und inwieweit ist es ein „büro-kaos“, wenn die daten auf einem dateisörver im unternehmen gespeichert werden und nicht in der so genannten „cloud“?

Oder hat heise onlein einfach nur mal wieder ein paar reklamegroschen von meikrosoft kassiert und deshalb wieder den verlogenen reklame-bullschitt im redakzjonellen teil untergebracht. Diese schleichwerbung wird übrigens auch nicht besser, wenn man sie denglisch als „native advertising“ bezeichnet!

Nur weiter so, heise, ihr schafft es noch, mich (und hoffentlich auch ein paar andere leser) durch solche intelligenzverachtungen zu vertreiben. Vor allem, wenn die frekwenz so bleibt oder gar noch zunimmt. Ist zwar schade drum, ist aber nicht zu ändern. Jedenfalls nicht von mir.

Meikrosoft des tages

Microsofts Juni-Patches können Office-2013-Installation zerstören„… hej, keine sorge, liebe_r anwender_in, der näxste pätchdaj kommt bestimmt, und dann wirds wieder gefixt. Meikrosoft offiss ist ein mit hohem aufwand erstelltes kwalitätsprodukt und nicht so eine frickelware, die sie kostenlos aus dem internetz runterlutschen können. Vielen dank, dass sie sich für meikrosoft entschieden haben.

Aber jetzt mal ohne beißend zynischen ton dahinter: wers noch nicht weiß, sollte spätestens jetzt mal nachlesen, wo die systemwiederherstellung ist, seine kiste auf einen etwas älteren stand bringen und erstmal durchatmen. Erst wenn auch das scheitert, hat man überhaupt ein problem. Es ist ja wirklich nicht so, dass meikrosoft im laufe der jahre nicht die eine oder andere richtige verbesserung in sein beliebtes betrübssystem verbaut hätte.