Agentur für User-Centered Design
Interessante Studie “Nutzung von Telekomdiensten auf dem Festnetz” vom Bakom, gut zusammengefasst von Hans Jörg Maron bei Inside-IT. Mich interessieren mehr als die Fix/Mobile-Substitution die Internetzahlen.
Interessante Fakten:
62% der Haushalte sind online.
ADSL hat erstmals Dialup überholt, jetzt 37% zu 35%.
Von den Offlinern wollen 82% das kurzfristig auch nicht ändern.
Von denen wiederum geben 63% als Grund “kein Interesse” an.
Dazu zwei Gedanken:
Erstens hat man bei der Mobiltelefonie auch schon öfter gedacht, es wäre ein Plateau erreicht, und dann ging es doch immer noch weiter. In manchen Ländern ja über 100% Penetration (= mehr Handy-Abos als Leute). Wobei ich zugeben muss, dass die erstmalige Anschaffung eines PC plus Installation des Internetzugangs doch eine erheblich höhere Hürde ist. Daher mag die Studie recht haben.
Zweitens zum Thema “kein Interesse”: Das hier ist ja eine quantitative Studie, da machen Interviewer mit den Leuten Interviews nach einem Fragebogen, und wenn dann einer antwortet “kein Interesse”, dann kreuzt der Interviewer das logischerweise auch ohne weiteres Aufhebens an. In qualitativen Interviews dagegen, wie wir sie jedes Mal als Vor- und Nachinterview rund um einen Usability-Test machen, kann man nachfragen. Wenn man auf die erste Antwort “brauche ich nicht” oder “will ich nicht” nachfragt, kommen oft auch Aspekte raus von “Ich hab Angst, dass es ich nicht kann.” In der Empirischen Sozialforschung nennt man das “Social Desirability Artefact”: Nach Möglichkeit werde ich so einem Fragebogen-Interviewer nur ungern Sachen sagen, bei denen er schlecht von mir denken könnte. (Deswegen erhebt man z.B. auch die Anzahl Konsumenten von Pornographie besser mit anderen Methoden.)
Daher bin ich überzeugt, dass sich bei der Grafik 12 “Weshalb kein Internet?” die Gewichtung etwas verschieben würde, wenn man Tiefeninterviews machte. An den konkreten kurzfristigen Zukunftsaussichten ändert das aber zugegebenermassen wenig — aber wenn man wüsste, dass die Leute eigentlich gern würden, aber sich nicht recht trauen, könnte man sich mittelfristig Gegenmassnahmen ausdenken.
Das ist jetzt wirklich interessant. Vor ein paar Minuten hatte ich meinen Post Aufgeblasener Spion in der Mailbox abgeschickt zum Artikel Spion in der Mailbox bei Spiegel Online. Dort geht es darum, dass eine Sicherheitslücke gibt, die zwar absolut intolerabel ist, aber aus meiner Sicht keinen Artikel mit einem unterschwelligen Watergate-Tonfall rechtfertigt.
Wie gesagt, der Artikel erscheint Montag im gedruckten Spiegel und heute (Samstag) vorab online. Machen die immer so, natürlich nicht mit allen Artikeln, aber so haben sie auch am Wochenende ein bisschen frischen Content. Ab Sonntag 0 Uhr hat man (Abo vorausgesetzt) Zugriff auf das ganze Heft als ePaper. Ich kenne den genauen Zeitplan nicht, nehme aber an, jetzt ist gerade noch die Schlussredaktion in den letzten Zügen, und die Druckmaschinen laufen ab irgendwann heute Nacht. Was ich damit sagen will: Am Samstag Nachmittag könnte man vielleicht auch noch letzte redaktionelle Änderungen machen.
Ich hatte den Artikel etwa um 14.30 Uhr gesehen und dann darüber gepostet. Um 16 Uhr, nachdem ich mein Ding geschrieben hatte, habe ich ihn noch mal überflogen, weil ich die Paris Hilton Geschichte noch bei engadget nachgelesen hatte, und — der entsprechende Absatz im Artikel ist weg!
Zum Glück habe ich noch das alte Fenster offen, und tatsächlich, ich habe nicht halluziniert (dagegen hätte auch gesprochen, dass das Paris-Hilton-Bild jetzt irgendwie etwas wenig Bezug zum Text hat), da ist er noch. Nebeneinander sieht das so aus — links alt, rechts neu:
(nebeneinander gross – nur alt ganzes Fenster – nur neu ganzes Fenster)
Der Absatz nochmal als Text:
Um 14.30 Uhr:
Ganz unbekannt war die Bedrohung zumindest bei der Telekom nicht. Schon im Februar war das ehemalige Staatsunternehmen von T-Mobile-Kunden in den USA auf das Problem aufmerksam gemacht worden. In einem ähnlich gelagerten Fall hatten Hacker sogar das private Telefonverzeichnis der Skandalnudel Paris Hilton ausspioniert und die Daten ihrer prominenten Freunde ins Internet gestellt.
Um 16 Uhr:
Ganz unbekannt war die Bedrohung zumindest bei der Telekom nicht. Schon im Februar war das ehemalige Staatsunternehmen von T-Mobile-Kunden in den USA auf das Problem aufmerksam gemacht worden.
Was soll man davon halten? Der Spiegel ist ja berühmt für sein Fact Checking, sie waren in Deutschland die ersten und lange auch die einzigen, die das seriös machen, hat Gabriele Fischer mal bei einem Workshop erzählt. Aber gehen die erst drüber, nachdem die Online-Version des Artikels schon live gegangen ist? Würde mal wieder dafür sprechen, dass man Print immer noch deutlich wichtiger nimmt, denn online kann man es ja zur Not noch schnell ändern, wie gesehen.
Oder Frank Patalong hat sich bei Technorati einen Alert für seinen Namen gesetzt und noch schnell interveniert.
Womöglich — per SMS.
Update: Live Fact checking bei Spiegel Online??
Ich lese den SPIEGEL jetzt seit etwa 15 Jahren und immer noch gern. Mir geht noch nicht mal die eigentlich penetrante Manie auf die Nerven, jeden Artikel mit einer persönlichen Begebenheit zu beginnen, um Authentizität zu suggerieren. Wenn Angie zu Münte sagt, er soll gefälligst seinen roten Schal abnehmen, bevor er sich zu ihr auf die Regierungsbank setzt — oder man dasselbe nur vermutet — ich find’s ganz lustig. Und auch diese pseudodramatisch ausklingenden Enden, wo ein bedeutungsschwerer Satz noch lange nachhallt (mehr im Heft als online), sind manchmal etwas übertrieben, aber wieso nicht.
Mir fällt allerdings auf, dass mir bei allen Themen, bei denen ich mich selbst etwas auskenne, dieselben Manierismen unglaublich auf die Nerven, vor allem da, wo es eigentlich keine Nachricht von Bedeutung zu vermelden gibt. Vor sechs Wochen war es Facts, das simples Googeln als sensationellen Hack verkaufte, heute ist es der Spiegel mit dem Artikel Spion in der Mailbox (aus der Ausgabe von Montag vorab online), der aus einer kleinen Meldung eine grosse Geschichte machen will.
Die Fakten sind nämlich schnell erzählt: Mit verschiedenen VoIP-Diensten kann man bei Anrufen seine Nummer faken, dadurch kann man auf Voicemail-Applikationen zugreifen, die so eingestellt sind, dass sie Anrufe von der “eigenen” Nummer automatisch autorisieren. Mit einem zusätzlichen Trick kann man so auch gratis telefonieren: Man hinterlässt zuerst eine Nachricht mit Kennung der (z.B. ebenfalls gefaketen) Absendernummer, dann hört man diese ab und wählt die Option “Rückruf”. Ich nehme mal an, danach löscht man die Nachricht wieder. Der richtige Kunde merkt es nur, wenn er zufällig dazwischen selbst die Mailbox abhört.
So weit, so schlecht, aber auch nicht eben dramatisch. Es gibt eine neue technische Möglichkeit, die zu einer Verschlechterung der Sicherheit in einem bestimmten Aspekt führt, und nun muss man die Sicherheitsvorkehrungen anpassen. Im Gegensatz zu relevanten Fällen von Sicherheitslücken ist hier die Gegenmassnahme völlig trivial: Die richtige Nummer reicht einfach in Zukunft nicht mehr als Identifikationsmerkmal. (Die E-Mail-Absenderadresse zum Beispiel war nie ein sicheres Merkmal von Authentizität, leider eigentlich, aber abgesehen davon, dass ein paar Millionen Leute das nicht wissen und daher potenziell auf Phishing-Mails hereinfallen könnten, ist es kein grosses technisches Problem, Authentifizierungsprozesse via E-Mail werden einfach anders aufgebaut, nicht durch Senden wird eine Mailadresse beglaubigt, sondern durch Empfangen, vgl. Double-opt-in.) Und entsprechend wundert es auch nicht weiter, dass “alle Firmen versprachen, das leidige Problem innerhalb weniger Tage in den Griff zu bekommen”.
Natürlich, schon nervig, aber sowas wird sich nie ganz verhindern lassen, weil es halt immer den Tradeoff Convenience vs. Security gibt (vgl. PIN “1234″), und manchmal muss man da halt nachjustieren.
Aber nun wieder der Spiegel.
Erst dieses Intro, mit einem Typen, der eigentlich Videocassetten repariert. Sehr relevant. Und ausgerechnet so einer hat jetzt dieses RIESENding aufgedeckt. Wahnsinn. Leider kommt er dann in der Geschichte gar nicht mehr vor, nur war der Deal vermutlich, dass man ihn namentlich nennt, weil er es dem investigativen Spiegel-Reporter gesteckt hat.
Ohne großes technisches Equipment und mit relativ bescheidenem Fachwissen…
Ja, man muss halt ein bisschen VoIP-Equipment und einen Vertrag mit einem Anbieter haben (keine Ahnung, mit welchem das geht) und dort die Dialogbox finden, wenn ich mir so die Usability von VoIP-Bastelsystemen anschaue, eventuell schwieriger als man denkt. :-)
Dann der “Bluebug”. Der überhaupt gar nichts mit dem vorliegenden Fall zu tun hat, aber zweifellos auch sehr gefährlich war. Aber “der Spion musste sich im Umkreis von höchstens zwei Kilometern um das Handy aufhalten”. Was? Mit Bluetooth? Zehn Meter, würde ich sagen, und das besser ohne Wand dazwischen. (Gefunden bei AVM: Unter “idealen Bedingungen”, das ist vermutlich auf dem Mond, und mit der neusten Generation kommt man maximal 400 m weit.)
Gegenüber dem neuentdeckten Leck wirkt der Klassiker aber wie ein Kindergeburtstagsspaß…
Abgesehen von der albernen Formulierung, ist das wirklich so? Ob jemand Adressbuch und Kalender von meinem Handy kopiert oder löscht oder meine Voicemails abhört? Natürlich ist beides doof, aber wenn man es in Menge geklauter Information umrechnet, ist der Zugriff auf die Handy-Daten wohl eher schlimmer.
Von der neuen Sicherheitslücke dagegen sind Handys jeder Bauart betroffen. Der Hacker kann Tausende Kilometer entfernt sitzen. Er muss nur die Rufnummer des Mobiltelefons kennen, das er illegal aushorchen will. Und das Problem, so vermuten Experten, betrifft fast alle Netze weltweit.
Ja, das erste stimmt, weil es mit dem Handy überhaupt nichts zu tun hat. Wenn auf der Autobahn Stau ist, sind auch Autos jeder Bauart betroffen. Und dass man Tausende Kilometer entfernt sein kann beim Telefonieren, potz, das ist auch so, aber schon länger. Und dreimal ja, es dürfte alle Netze betreffen, zumindest alle, die ihren Kunden diesen komfortablen Autologin angeboten haben, weil es, wie gesehen, ein logisches Problem ist, kein technisches.
Die Lücke riss offenkundig auf, als etwas anderes zusammenwuchs: klassische Telefonnetze und Internet.
Das stimmt. Jetzt kommen ja auch die drei Absätze mit dem eigentlichen Inhalt, der knapp die Hälfte des Artikels ausmacht und den ich mir erlaubt habe vorzuziehen. Aber wenn man erstmal nicht schreibt, worum es geht, und die Leser über 20 Zeilen in dem Glauben lässt, es habe jemand sonstwas für einen Hack zustande gebracht, dann wird es natürlich viel spannender.
Voice over IP (VoIP) heißt das Zauberwort im Jargon der Techniker.
Also, der Videocasettenbügler hat mit Klaus-Peter Kerbusk schon mal nicht unbedingt den Technikexperten des Spiegel erwischt. Hier wird über VoIP geschrieben, als wäre es ein obskurer Geheimbund. Wenn das Frank Patalong liest (Chef Ressort “Netzwelt” bei SpOn), dann wird er sich auch seinen Teil denken, denn bei SpOn gibt es schon ein ganzes Dossier über VoIP.
Zwischendurch kommt’s dann nochmal ganz dicke: In einem “ähnlich gelagerten Fall” habe ein Hacker neulich schon das private Telefonverzeichnis von Paris Hilton “ausspioniert”. Ähnlich gelagert? Damals ging es darum, dass Paris Hilton den “Sidekick” von T-Mobile hatte, der automatisch einen Backup des Adressbuchs im Web speichert. Was praktisch ist, wenn man das Gerät verliert. Aber weniger sicher als wenn man die Daten nur lokal hat. Siehe oben zum Tradeoff. Wenn ich mich recht entsinne, hatte Paris als Username ihren Namen und als Passwort den Namen ihren Hundes, Tinkerbell, den jeder GALA-Leser kennt. Das war so dämlich, dass man gar nicht von einem Hack sprechen konnte, sondern der Typ hat sich einfach regulär eingeloggt. Cool war nur, dass er alle Promi-Telefonnumern gleich gepostet hat, und nur deswegen stand es auch am Ende in “20 Minuten”. Diese beiden Sicherheitslücken sind nun wirklich überhaupt nicht “ähnlich gelagert”, ausser dass beide etwas mit Computern zu tun haben, aber, sorry, das ist das Niveau, auf dem meine Mutter unseren Nachbarn erklärt, “unser Sohn macht was mit Computern”.
Ja, und am Ende kommt dann natürlich noch der Nachhall-Ausklang:
Die Lösung scheint relativ einfach: Ab sofort werden sich alle Handy-Nutzer vor der Abfrage ihrer Mobilbox über eine Geheimnummer identifizieren müssen, wenn sie nicht direkt aus dem eigenen Netz heraus anrufen.
Eben. Gefahr erkannt, Gefahr gebannt.
Die entsprechende Zahlenkombination sollen sie bei speziellen Hotlines erfahren oder zugeschickt bekommen – per SMS.
Nicht im Ernst! Was soll denn das jetzt heissen? So konspirativ hatte der Artikel doch schon angefangen, und dann war rausgekommen, dass die Riesensicherheitslücke ein kleines, unangenehmes, aber schnell zu behebendes Leck ist. Und am Ende will der Autor uns en passant doch noch mal schnell weismachen, dass eigentlich doch alles unsicher ist, was mit Handys zu tun hat??
Also auch SMS…
Denn — man weiss ja nie.
Schreibe gerade im ersten Fenster darüber, wieviel sich in den letzten zehn Jahren im Web verändert hat, wie Kernprozesse aufs Web portiert worden etc. Im zweiten Fenster lese ich, dass die neue Bundesregierung vielleicht schon per 31.12. die Eigenheimzulage abschafft. (Was ich gut finde. Einfach alles weg, anders geht’s eh nicht. Vor allem die Kohlesubventionen.) Im dritten, zunächst virtuellen Fenster denke ich, Moment, ich habe doch einen uralten Bausparvertrag bei der Schwäbisch Hall, der läuft, seit ich 18 bin, vielleicht kriege ich da noch was obendrauf, wenn wir schnell sind? (Nennen die Ökonomen “Mitnahmeeffekt” — ich kaufe nicht ein Haus, weil ich eine Eigenheimzulage bekomme, aber wenn ich eh gerade eins kaufe und es sie gibt, wieso soll ich sie verfallen lassen?) Und tatsächlich, als ich ein reales Fenster öffne, gibt es bei Schwäbisch Hall eine aktuelle Meldung “Streichung der Eigenheimzulage” auf der Homepage, sieht ein bisschen reingeflickt aus, aber ist wenigstens nicht zu übersehen, also gut. Wohl dem, der solche Container für “Krisenkommunikation” vorsieht.
Ich suche also irgendeinen Brief von denen raus, in dem meine Bausparvertragsnummer steht, und schreibe eine Mail. Der Einfachheit halber suche ich mir nicht über die “Beratersuche” irgendjemanden bei mir zu Hause auf dem Dorf, der dann eh keine Ahnung hat, sondern ich schreibe an die unten auf dem Brief vermerkte Adresse service@schwaebisch-hall.de, irgendwie werden sie es via meiner Nummer wohl zuordnen.
Und tatsächlich, die Antwort kommt schon nach einer halben Stunde (für eine menschliche Antwort wäre das kurz, für eine automatische ist es eher lang):
Dies ist eine automatische Rückantwort. Vielen Dank für Ihre E-Mail.
Aus Sicherheitsgründen versendet die Bausparkasse Schwäbisch Hall personenbezogene und vertrauliche Daten nicht per E-Mail.
Bitte haben Sie Verständnis, dass sich bei diesbezüglichen Anfragen die Bearbeitungszeit verlängern kann. Die Antwort geht Ihnen in diesen Fällen per Post zu.
Unter der Tel.-Nr. (0791) 46-46 46 können Sie die MitarbeiterInnen der Bausparkasse Schwäbisch Hall von Montag bis Freitag zwischen 08:00 – 20:00 Uhr erreichen.
Auf Wunsch rufen Sie, die Experten der Bausparkasse Schwäbisch Hall auch kostenfrei zurück.
Nutzen Sie dafür folgenden Link: https://www.schwaebisch-hall.de/forms/callback.html?nav=w_429_rueckrufservice
Mit freundlichen Grüßen
Ihr Service-Team der
Bausparkasse Schwäbisch Hall
Meine Antwort, und die ist jetzt nicht künstlich wütender gemacht, weil ich sie hier posten wollte, das habe ich mir erst danach überlegt:
So ein kompletter Blödsinn. Ob der E-Mail-Kanal zu unsicher ist oder nicht, sollte doch eigentlich ich als die Person mit den potenziell schützenswerten Daten entscheiden, oder?
Dann vergessen Sie es. Ich bin nicht in Deutschland; bis ich Ihre Post sehe, ist es Weihnachten, und dann ist es zu spät.
Tja, so ist es halt. Ich denke gar nicht da dran, da jetzt bei einem Call Center anzurufen und mich weiter zu ärgern. Ich wollte den Prozess heute anstossen, weil ich gerade von der aktuellen Nachricht darauf gestossen wurde, dann irgendwann eine mehr oder weniger ergiebige Mail zurück bekommen, das hätte meine “Wiedervorlage”-Erinnerung sein sollen, und dann nächste Woche, wenn ich mehr Zeit habe, entscheiden, ob etwas Weitergehendes zu tun ist.
Jetzt mache ich einfach nichts. Sollen sie ihre Eigenheimzulage halt behalten, der deutsche Bundeshaushalt kann das Geld gut gebrauchen, und überhaupt, Bausparen ist ja eh eigentlich uncool, wie man schon aus der Werbung der Konkurrenz wusste, aber jetzt auch wieder live gesehen hat.
Nach zehn Jahren Web sind zum Glück inzwischen diverse Unternehmen etwas weiter, antworten schnell, schicken prompt PDF-Offerten per E-Mail, sind gleichermassen per Mail wie per Call Center erreichbar, können dabei auch denselben Vorgang unabhängig vom Mitarbeiter weiter bearbeiten (ist durch Einsatz von sog. “EDV” eigentlich gar nicht so schwer, weil der Vorgang nicht mehr in einem Mäppchen bei einem Sachbearbeiter liegt), und so weiter, und wenn ich dann noch weniger zahle, als wenn ich eine lahme Filialorganisation finanzieren muss, umso besser. Sehr positives Beispiel, das ich vor einem halben Jahr so kennen gelernt habe: Der Direktversicherer Züritel.
Ich jedenfalls werde meine Anbieterwahl in Zukunft klar nach solchen Kriterien ausrichten, und ich glaube nicht, dass das sehr freakig von mir ist. Alles Gute, Schwäbisch Hall.
