partikelfernsteuerung


Touch&Travel
2. Juni 2009, 11:19
Filed under: digitalgebastel, merkwürdig | Schlagwörter: , , , , , , , , , ,

Die Bahn und ein paar Verkehrsbetriebe testen gerade Touch&Travel. Das System bietet eine elektronische Fahrkarte auf dem Handy, man loggt sich an Start- und Endhaltestelle ein- und aus, am Ende bekommt man eine Rechnung für die tatsächlich getätigten Fahrten.

Das Handy wird an dazu bei Fahrtbeginn an einen Touchpoint gehalten und liest mit einer Funktechnik (Near-Field-Communication, NFC) die Haltestelle aus und meldet sie als Startpunkt an das System. Genauso erfolgt der Logout am Ziel. Der Weg dazwischen wird genau ermittelt, indem die durchquerten Funkzellen des Mobilfunknetzes an das System übermittelt werden.

Der Pilottest dieses Systems ist aus folgenden Gründen kritikwürdig:

  • Alle Berliner U- und S-Bahnstationen, bzw. in Potsdam sogar alle Bus- und Tramhaltestellen mussten mit einem oder mehreren der oben abgebildeten „Touchpoints“ ausgestattet werden. Das ist ein ziemlicher Installationsaufwand, auch wenn der Stückpreis sich wahrscheinlich in Grenzen hält. Die große Ersparnis, nämlich der Verzicht auf die alten Fahrkartenautomaten wird wohl noch ein paar Jahrzehnte auf sich warten lassen.
  • Es gibt kaum Handys, die NFC lesen können. Der Standard bedeutet die Integration einer weiteren Funktechnik in die Telefone, nachdem die Hersteller schon GSM. UMTS, Bluetooth, WLAN und GPS untergebracht haben. Dabei fallen zum Thema Positionsbestimmung und Kurzstreckenfunk selbst dem Laien bereits verbreitete Standards ein (GPS+Bluetooth)
  • Die Nutzung des Systems bedeutet einen geradezu wahnwitzigen Verlust an Privatsphäre. Im Nahverkehr kann bei einer normalen Fahrkarte nicht nachvollzogen werden, wer wann wohin gefahren ist. Bei einer Kontrolle reicht es, wenn Einstiegszeit und -ort halbwegs plausibel sind. Bei Touch&Travel werden Start und Ziel sowie der Weg dazwischen exakt aufgezeichnet. Bei fefe gibt es ein Beispiel für die detaillierte Rechnung, die man als Kunde erhält. Die anfallenden Datenberge überlässt man nicht nur der Bahn, sondern liefert sie dank Vorratsdatenspeicherung auch noch an den Mobilfunkprovider und andere interessierte Organe.
  • Ich weiß nicht, ob Marktforscher, Soziologen oder Betriebswirtschaftler einen Begriff dafür kennen. Ich nenne es einfach „Killerpauschale“. Die geht so: Wenn jemand so intensiv den ÖPNV nutzt, dass es sich lohnt, sich für die schnelle und unbürokratische Touch&Travel-Zahlweise anzumelden – kann er sich auch gleich eine Monatskarte kaufen. Oder anders: Es gibt zwischen Gelegenheitsfahrern („Fahrschein kauf ich am Automaten“) und Vielfahrern („Monatskarte!“) nur eine schmale Zielgruppe.
    Der Pauschal-Deal zwischen Kunden und Anbietern („Ich gebe dir einen Rabatt, dafür ersparst du mir Abrechnungsaufwand“) ist schon alt und funktioniert gut. Es gibt keinen Grund, ihn mit riesigem technischem Aufwand aufzukündigen.

Wer meine Zweifel ausräumen möchte, ist herzlich willkommen.

Bild von angermann(CC „by-sa 2.0“)



Anonym vs. ausgefuchst
10. Mai 2009, 17:01
Filed under: medienzirkus | Schlagwörter: , , , ,

„Abofallen werden immer ausgefuchster“ titelte heise online gestern und gab Tipps zum Umgang:

Wer eine ungerechtfertigte Rechnung erhält, sollte widersprechen, sich
von einer juristischen Drohkulisse nicht einschüchtern lassen und auf
keinen Fall bezahlen

Ein bisschen Angst wird auch geschürt:

Jeder Klick kann teuer werden: Hinter seriös aussehenden Seiten mit
vermeintlichen Freeware-Downloads stecken mitunter teure Abofallen.

Dabei ist es doch gar nicht so schwer. Man kann sich nach wie vor anonym im Netz bewegen. Auch wenn mancherorts schon von einer Registrierungspflicht mit Personalausweis geträumt wird. Zwar ist man potenziell anhand der IP-Adresse identifizierbar, aber dafür müsste die Betrügerfirma erstmal ein Gericht einschalten.

Also bleibt der Grundsatz ganz einfach: Gib niemandem deine Daten, außer es ist unbedingt nötig. Im Detail wurde das an dieser Stelle ja schon thematisiert (Trau, schau wem. Belüg den Rest.) Dann können die Abofallensteller meinetwegen noch so „ausgefuchst“ werden.



Mikrofiche. Bitte?
13. Dezember 2008, 17:53
Filed under: dumm gefragt | Schlagwörter: , , ,

Dass große Unternehmen es irgendwie nicht hinkriegen, mit den Daten ihrer Kunden vernünftig umzugehen, ist ja dieses Jahr mehrfach deutlich geworden. Jetzt hat die Berliner Landesbank einen Haufen Informationen verloren:

Der Verlust zehntausender Kreditkartendaten der Berliner Landesbank stellt nach Einschätzung des Datenschützers Thilo Weichert alle bisherigen Datenskandale in den Schatten.

Besonders spannend ist, wie die Daten gespeichert waren:

Die Daten seien auf mehrere Hundert Folien, sogenannten Mikrofiches, aufgezeichnet.
[…] LBB-Sprecher Marcus Recher sagte, dass die Mikrofiches offenbar auf dem Weg von der Servicefirma Atos Worldline in Frankfurt am Main zu der Bank abhanden kamen. (tagesschau.de)

Mikrofiches habe ich Mitte der 90er in der Stadtbibliothek bewundert. Hunderte Zeitungsseiten passten auf einen kleinen Film, das Lesegerät war quasi ein Mikroskop. Aber was machen Kreditkartenabrechnungen 2008 auf Mikrofiche?
Es wäre so einfach:

  1. Verschlüssele deine Datenbestände (dafür ist es von Vorteil, wenn sie in digitaler Form vorliegen)
  2. Gib deine Datenbestände nicht 35 Subunternehmern.


Social Networking unter der Lupe

Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie haben einen umfassenden Vergleichstest zu Sozialen Netzwerken veröffentlicht (Zusammenfassung auf heise.de, Komplette Studie als PDF). Im Mittelpunkt stand die Frage, wie weit der Nutzer kontrollieren kann, wer welche Daten einsehen darf – und ob diese Mechanismen auch tatsächlich funktionieren. Das Ergebnis ist eher ernüchternd:

Hinsichtlich des Privatsphärenschutzes konnte keiner der getesteten Dienste überzeugen. Viele Plattformen sind nur in einigen wenigen Punkten gut oder zeigen nur teilweise gute Ansätze.

Das ist keine Überraschung, hört man doch immer mal wieder von Sicherheitslücken in den im Wettbewerb mit heißer Nadel gestrickten Netzwerken. Viel interessanter ist, warum die Teilnahme an StudiVZ & Co. mit dem Realnamen generell ein Problem darstellt: Online könne man seine verschiedenen sozialen Rollen nur schwer trennen, so die Forscher. Dass man alle Clubs der Stadt auswendig kennt, ist in der Rolle „Hipper Student“ total positiv. In der Rolle „Bewerber für ein Praktikum“ würde man diese Tatsache aber eher verschweigen.

Problematisch ist an dieser Stelle, dass aktuelle Soziale-Netzwerke-Plattformen weitestgehend nur zur Abbildung einer sozialen Rolle geeignet sind, also z. B. »Student«, »Sohn/Tochter«, »Arbeitskollege«, »Familienvater/mutter« oder »ehemaliger Schulfreund«.

Diese These bringt ziemlich gut auf den Punkt, warum die Nutzung verschiedener Pseudonyme dringend zu empfehlen ist.

Neu ist das alles allerdings nicht, wie man bei F!XMBR zurecht kritisiert. Aber ein komplette Übersicht samt einiger grundlegender Hinweise für die einzelnen Plattformen ist wertvoll. Eine Prise Wissenschafts-Reputation kommt dazu und schon hat Datenschutz wieder einen kleinen Schritt in Richtung Allgemeinbildung gemacht.



Neugierig mit Javascript(2)
24. September 2008, 10:11
Filed under: digitalgebastel | Schlagwörter: , , , , ,

Über die geschickte Analyse der Browserchronik mit Javascript hatte ich hier schon geschrieben. Nun gibt es eine spannende Erweiterung der ursprünglichen Technik: Beim Social-Bookmarking-Service delicious.com werden zu allen besuchten URLs die von Benutzern vergebenen Tags abgefragt. Die besuchten Webadressen werden damit quasi in allgemein gültige Schlagworte übersetzt. Die resultierende Liste ist ein Traum für alle Werbevermarkter. Einfach selbst mal ausprobieren: BrainCloud.



Trau, schau wem. Belüg den Rest.
18. August 2008, 22:50
Filed under: medienzirkus | Schlagwörter: , , , , , , , ,

Die illegalen Überwachungen bei der Telekom und die aktuelle Affäre um verkaufte Bankdaten von Lotteriespielern zeigen es: Berge von sensiblen Daten wecken Begehrlichkeiten. Wenn die Möglichkeit da ist, werden unsere privaten Informationen ganz routiniert ausgeschlachtet. Und der Staat steht den Verbrauchern nicht zur Seite, im Gegenteil, mit der Vorratsdatenspeicherung spielt er seit Anfang dieses Jahres ganz vorne mit. Wir sind also auf uns selbst gestellt.

Beim Abschluss eines Telefonvertrages kommt man wohl um die Preisgabe seiner Daten nicht herum. In vielen Bereichen können wir allerdings eine Menge dagegen tun, betrogen und belästigt zu werden. Dabei kann man auch ruhig mal gegen lästige AGB verstoßen und sich vor unangemessenen Pflichtangaben drücken. Denn eine Menge Unternehmen habe unser Vertrauen nicht verdient. Im Folgenden einige Grundsätze gesunder Paranoia: weiterlesen…



Neugierig mit Javascript
1. August 2008, 17:53
Filed under: digitalgebastel | Schlagwörter: , , , , ,

Bei vielen Sicherheitslücken und sonstigen Risiken im Internet muss man fast schmunzeln, weil sie so effektiv um die Ecke gedacht sind. Meist sind die Szenarien, in denen sie tatsächlich zur Anwendung kommen könnten, aber schwer hypothetisch. Für eine schon vor einer Weile bei heise veröffentlichte Lücke gibt es jetzt eine interessante Anwendung, die versucht, das Geschlecht des Besuchers herauszufinden – eine Information, die für alle Werbevermarkter viel wert ist. Das Ganze geht so:

Im Browser können Links, die in letzter Zeit bereits besucht wurden, in einer anderen Farbe dargestellt werden, damit der Besucher den Überblick behält. Das Aussehen von besuchten/noch nicht besuchten Links kann der Webdesigner völlig getrennt per CSS einstellen. Mit Javascript können die CSS-Eigenschaften aller auf der Seite vorhandenen Elemente abgefragt werden, selbstverständig also auch, ob ein Link besucht wurde oder nicht. Wenn ich als Webdesigner nun Links zu vielen wichtigen Sites setze, kann ich abfragen, auf welchen dieser Seiten der Besucher schon unterwegs war. Dass das auch versteckt im Hintergrund geschehen kann, versteht sich von selbst.

Mit ein bisschen Rechnen will Mike in seiner Beispielanwendung nun das Geschlecht seiner Besucher herausfinden. Er fragt für 5000 populäre Websites mit dem obigen Trick ab, ob man sie kürzlich genutzt hat. Da für all diese Websites statistische Daten über die Geschlechterverhältnisse ihrer Besucher bestehen, kann ziemlich einfach berechnet werden, mit welcher Wahrscheinlichkeit der Besucher zum einen oder anderen Geschlecht gehört. (An dieser Stelle kam bei mir das anerkennende Schmunzeln). Aus den Kommentaren von Mikes Besuchern lässt sich schließen, dass dieses einfache Verfahren immerhin öfter richtig liegt als falsch. Mit mehr einbezogenen Webseiten und einer ausgefeilteren Analyse ließe es sich sicher noch verbessern.

Eine richtige Sicherheitslücke ist es nicht, aber es wird deutlich, wie leicht man dem gemeinen Surfer mal wieder viel mehr Informationen entlocken kann, als dieser eigentlich will.

Ach so, NoScript hilft. Außer man nutzt eine andere Methode…