Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

29. Mai 2008 um 18:22

persönliche Informationen aus frei zugänglichen Quellen

Vor zwei Wochen berichtete ich darüber, dass ich auf einer Suchseite als Landschaftsgärtner geführt werde – als ob ich einen grünen Daumen hätte… Neben meiner Adresse waren dort auch ein paar meiner Domänen angegeben und eine Mail-Adresse, die ich nicht wirklich nutze. Ich fragte bei dem dort als Datenschutzbeauftragen nach, wie sie denn an die Daten gekommen seien.

Heute bekam ich per Mail Antwort von "t-info GmbH" aus Frankfurt. Ich werde dort wirklich in der Kategorie "Garten- und Landschaftsarchitekten" geführt. Und meine Daten seien nun "als gesperrt gekennzeichnet im Sinne des § 3 Abs. 4 Nr. 4 BDSG, das heißt die Daten werden nicht genutzt oder weitergegeben".

Hier ein paar Auszüge:

2. Herkunft der Daten unter Ziffer 1 (§ 34 Abs. 1 Satz 1 Nr. 1, 2. Halbsatz BDSG)
Die Daten wurden von unserem System von einer frei zugänglichen Internetseite eingelesen.

URL: www.glorfmorph.de, www.kids-im-park.de

Da haben sie schon Glück mit der deutschen Impressumspflicht. Man kann ja wohl nicht verhindern, dass die Seite elektronisch nach Adressen abgerast wird. Aber die Daten ungefragt zu veröffentlichen scheint mir nicht koscher zu sein. Außerdem bietet keine der beiden Seiten eine Anhaltspunkt, dass ich Gärtner sein könnte! Wie kommen die auf so einen Stuss?

4. Zweck der Speicherung

Erteilung von Auskünften an Nutzer des Auskunftsservices unter suchen.de.

Gesperrte Daten: Die Daten werden gespeichert um sicherzustellen, dass 1) wir zur Ihrer Person keine Daten von Dritten erhalten, 2) wir Ihre Daten nicht aus dem Internet einlesen, und 3) Ihre Daten nicht an Nutzer des Auskunftsservices unter suchen.de weitergegeben werden (Sperrung im Sinne des § 3 Abs. 4 Nr. 4 BDSG).

Wenn ich es richtig verstehe, dann behalten sie meine Daten in deren Datenbank, damit sie meine Daten nicht noch mal über andere Webseiten einlesen und versehentlich wieder veröffentlichen. Hm, gutes Argument.

Wir hoffen, dass wir die Angelegenheit in Ihrem Sinne erledigen konnten. Weitere Informationen zur Suche und den Suchergebnissen sowie der Entfernung von Websites finden Sie unter der Internetadresse www.webadress.de im Bereich "FAQ".

Was soll das jetzt bitte wieder heißen? Soll ich alle meine Web-seiten dort angeben, damit sie mich in Ruhe lassen? Ich scheiterte bei dem Versuch mir diese Seite noch mal anzusehen, sie war nicht erreichbar. Vielleicht werden sie mit Löschaufträgen überrannt? 😉

29. Mai 2008 um 09:11

Das Leben ohne CRM

KaminkehrerHeute erlebte ich, wie es ist, wenn man eine Firma kein Kundeninformationssystem (Customer Relationship Management Programm, CRM) hat. Eigentlich hätte hier wohl auch eine gute alte Kartei gereicht, aber ich greife vor…

Vor ein paar Wochen wurde uns eine neue Heizungsanlage installiert, es wurde ein spezielles doppelwandiges Rohr in den Kamin eingezogen durch den die wenigen Abgase gepustet werden. Angenehmer Nebeneffekt ist, dass die Wärme der Abgase in dem Rohr genutzt wird und nicht einfach verpufft. Wie es Vorschrift ist, kam der Scharnsteinfeger und befand, dass sei bei uns möglich sei. Er müsse danach noch mal kommen, um das ganze abzunehmen. er würde sich melden, wir müssten nichts tun.

Letzte Woche lag dann ein Zettel im Briefkasten, dass der Schornsteinfeger kommen wolle, um den Kamin zu kehren. Das ist bei uns jetzt natürlich völliger Blödsinn. Daher riefen wir den Herrn an und erinnerten an die neue Anlage und daran, dass sie lediglich noch abgenommen werden müsse. Alles klar, er wisse Bescheid.

Heute früh stand also ein Kehr-Geselle in der Tür und hatte das übliche Reinigungsgerät dabei. Er hatte nur das Kehrgerät dabei und machte ein ziemlich blödes Gesicht als er unsere neue Anlage sah. Die Abgasmessung und Abnahme müsse der Meister selber machen. Und so zog er wieder von dannen.

Würde der Betrieb seine Kundeneinsätze mit einer gescheiten Software organisieren, dann wäre ihm der peinliche Gang wohl erspart geblieben. Und ich hätte an dem freien Tag länger schlafen können…

28. Mai 2008 um 22:42

leer anstatt bunt

ganz leere SeiteSeitdem ich dem Rat auf Heise.de folgte und den Adobes Flash Player deinstallierte, sehe ich manche Dinge anders.
Hintergrund ist, dass die kürzlich bekannt gewordene Schwachstelle im Adobes Flash Player bereits aktiv von Webseiten genutzt wird, um friedliebenden Besuchern Trojaner unter zu schieben. Deswegen sehen einige Webseiten bei mir plötzlich nicht mehr knallbunt aus, sondern leer…

28. Mai 2008 um 18:43

Wer schützt uns vor dem Administrator?

Gestern diskutierten wir anlässlich der Nachfrage eines Kunden, ob und wie sich Kunden vor dem unbefugten Zugriff von Administratoren schützen müssen. Tatsache ist, dass so ein Admin unter Windows immer alles darf: er kann sich mit vertretbarem Aufwand zu fast allem Zugang verschaffen. Und wen nicht, dann kann er seinen Pflichten als Admin nicht nachkommen, das sind neben Sicherung und selektiver Rücksicherung auch Datenreparaturen.

Daraus ergeben sich folgende Risiken:

  • Der Administrator oder jede andere Person mit entsprechenden Rechten kann die umfassenden Berechtigungen für unlautere bzw. datenschutzrechtlich bedenkliche Zugriffe und Manipulationen der Programme oder Daten nutzen.
  • Fehler des Administrators können weitreichende unerwünschte Konsequenzen haben.

Obiger Absatz ist aus dem Aufsatz "Systemverwaltung – Orientierungshilfe und Checkliste" vom Landesbeauftragten für den Datenschutz Niedersachsen. Darin wird beschrieben, dass die Protokollierung das Mittel der Wahl ist.

Die engste – mir bekannte – Auslegung der Problematik, dass ein Admin immer alles darf, wird in dem Aufsatz "Eigen-, Fern-, Fremd- und RZ-Administration von IT-Systemen" von Uwe Jürgens (2002) aus Sicht des Landeszentrums für Datenschutz (Kiel) beschrieben. Die genannten, organisatorischen Maßnahmen dürfte mittlere oder kleinere Firmen/Büros deulich überfordern: generelles 4-Augen-Prinzip zum Schutz des Admin (gegen Unterstellungen) und der Daten.

Die Protokollierung kann aber eigentlich auch nur auf "Treu und Glauben" basieren, den jede technische Protokollierung kann ein Admin Ausschalten. Konkret heißt das doch: Im Minimalfall muss ein Admin per Vertrag zur Einhaltung des Bundesdatenschutzgesetztes verpflichtet werden. Alle lesenden und ändernden Datenzugriffe muss der Admin protokollieren. Bei potentiell "riskanten" Manövern holt er sich besser einen Zeugen an den Rechner.

27. Mai 2008 um 21:41

Mal eben in die FBI-Verbrecherdatenbank gehackt

Wenn man in Artikel "Six hours to hack the FBI (and other pen-testing adventures)" liest, wie sich ein Sicherheitsexperte über das Internet mittels altbekannter Techniken bis ganz tief rein ins FBI-Netz hackte, dann kann ich das fast nicht glauben. Mein Rechner ist zwar auch nicht so richtig abgesichert, aber ich habe ja auch keinen hauptamtlichen Admin angestellt…

Goggans used a hole in the Web server to pull down usernames and passwords that were reused on a host of enterprise systems. In those systems, he found further account details that allowed him to get Windows domain administrator privileges – a classic escalation-of-privileges attack.

Das ging ja fast wie im Lehrbuch. Kaum zu glauben.

27. Mai 2008 um 18:32

Internationale Meldungen

Als ich heute versuchte den Patch von HP auf meinem Windows-XP zu installieren, hatte ich eine Erfahrung der besonderen Art. Ich vermute, dass sich der Patch nicht installieren ließ, weil irgendwelche Voraussetzungen nicht passten, aber wer weiß…

Nach den englisch-sprachigen Lizenzbestimmungen kam diese Meldung, die ich mit "Ja" bestätigte. Sie kommt mir spanisch vor – man beachte aber die englische Überschrift und die deutschen Ja/Nein-Knöpfe.
erste Meldung (in spanisch?)

Das war offenbar richtig, denn es ging weiter mit:
zweite Meldung (in deutsch)

Aber so richtig klappte es dann doch nicht:
Dritte Meldung (kommt mir spanisch vor)

Alles klar?

26. Mai 2008 um 18:35

Suche nach dem Kundenbetreuer

Letztes Jahr informierte mich die LVM-Versicherung, dass mein langjähriger Kundenbetreuer in den Ruhestand gegangen sei. Langjährig stimmt, denn den hätte ich noch aus der Schul- und Studienzeit, also seit über 20 Jahren. Er saß dementsprechend in NRW – genauer im idyllischen Wipperfürth. Man wolle mich informieren, wenn man einen Neuen gefunden habe, bis dahin solle ich mich an einen seiner Kollegen dort wenden. Das hatte ich schon ganz vergessen.

Heute kam ein Brief: Sie haben einen neuen Betreuer für mich. Ich bin schwer beeindruckt, dass sie so lange und intensiv suchten, um einen Kundenbetreuer in meiner Nähe zu finden. Aber irgendwann haben sie wohl aufgegeben: der Neue ist auch im 400km entfernten Wipperfürth… :-))

PS: Das ist nicht wirklich schlimm, immerhin kommt der nicht mal schnell vorbei und will mir die neuesten Produkte präsentieren… 😉

25. Mai 2008 um 20:42

gefälschte Studien

Hund der Eier legt
Das eine Studie derart vorsätzlich gefälscht wird, wie im Artikel "Studien über Handystrahlung gefälscht?" beschrieben, das ist sicher die Ausnahme.

Die Studienergebnisse hatten die Zweifel anderer Forschergruppen geweckt. Eine vom Universitätsrektor Wolfgang Schütz daraufhin in Auftrag gegebene statistische Begutachtung bestärkte den Verdacht. Eine Mitarbeiterin, die an beiden Studien mitwirkt hatte, gestand daraufhin, die Untersuchungsergebnisse manipuliert zu haben, und kündigte ihre Arbeitsstelle.

Meiner Studien-Erfahrungen mit den statistischen Kenntnissen von Medizinern war allerdings sehr erschütternd. Die waren noch schlechter als ich in den Sprachen – und das will was heißen!

Als mir ein Freund das Buch "Der Hund der Eier legt" empfahl, war ich aber dann doch sprachlos. Hier beschreiben die Autoren an konkreten Beispielen was man bei Studien und Statistiken alles falsch machen kann (und wie es richtig gewesen wäre). Super-lesenswert für alle, die ab und zu mal Statistiken lesen oder erstellen…

22. Mai 2008 um 16:39

SQL Server 2000 auf Windows Vista

Weil mich jetzt innerhalb kurzer Zeit mehrere darauf ansprachen, poste ich hier mal den Link unter dem Microsoft sagt, welche SQL-Server-Versionen unter Windows Vista laufen. Im Artikel "Running SQL Server on "Microsoft Windows Server Longhorn" or Microsoft Windows Vista" schreibt Microsoft:

In an effort to provide customers with more secure products, Microsoft Windows Server "Longhorn" and Microsoft Windows Vista are supported by SQL Server 2005 [..]. Earlier versions of SQL Server, including SQL Server 2000 (all editions including Desktop Engine edition, a.k.a MSDE), SQL Server 7.0, and SQL Server 6.5, will not be supported on Windows Server "Longhorn" or Windows Vista.

Also muss man wenigstens SQL-Server-2005 haben, wenn die Kunden Vista einsetzen wollen. In den Download-Informationen der MSDE steht es auch noch mal explizit drin:

Wichtiger Hinweis Microsoft SQL Server Desktop Engine (MSDE) wird auf dem Betriebssystem Microsoft Vista nicht unterstützt.

Tja. Das hat natürlich den Absatz des SQL-Servers-2005 enorm angekurbelt.

21. Mai 2008 um 21:16

Prompte Antwort

Ermutigt durch Christoph schickt ich eine Beschreibung des Problems mit den nicht-deterministischen Funktionen an Craig Freedman (zum Glück privat, sonst wäre meine Mail vermutlich nie angekommen). Er antwortete sehr prompt und schrieb mir, dass er das Problem dem für den Teil zuständigen Entwickler gezeigt habe. Hier die Antwort des Entwicklers, die Craig mir weiterleitete:

In general, SQL Server does not guarantee the timing of execution of scalar operators. For non-deterministic scalars (built-in and user-defined), that means the timing semantics (number of times executed and when) is not defined. In addition, it may change from one plan to another, or from one release to the next.

Er selber fügte noch als persönlichen Kommentar an, dass er die Lösung mittels temporärer Tabelle favorisiere:

Unfortunately, I am not aware of (and was unable to identify) a better workaround than simply storing the GUIDs in a temp table before joining with the original table.

Er schlug auch vor, dass ich das Kundenfeedback unter http://connect.microsoft.com melde, obwohl ich da möglicherweise die gleiche Antwort bekomme. Ich stimme ihm in all diesen Punkten zu. Es lohnt sich sicher das dort einzukippen, weil es dann mal in einem Forum öffentlich diskutiert wird. Mal sehen, ob ich morgen dazu komme…

21. Mai 2008 um 20:43

Meine Firma ist auf einer IP-Blocking-Liste von Microsoft

Cool! Jetzt hat es uns auch mal erwischt. Als ich heute eine dienstliche Mail an Microsoft schickte, kam von unserem Mail-Server die Antwort, dass meine Mail vom Zielserver abgewiesen worden sei. Das kannte ich noch nicht (die IP-Adresse habe ich entfernt):

Remote-MTA: dns; mailc.microsoft.com
Diagnostic-Code: smtp; 550 5.7.1 External client with IP address xxx does not have permissions to submit to this server. Visit http://support.microsoft.com/kb/928123 for more information.

Unter dem angegebenen KB-Artikel 928123 steht folgende Problembeschreibung:

CAUSE
Exchange Server 2007 provides an IP address-blocking feature that is based on the sender's reputation. The issue that is described in the "Symptoms" section occurs if your mail server's IP address is included on the IP Block list of the Edge server for the receiving Exchange 2007 organization.

Leider wird nicht klar auf welcher IP-Block-Liste wir stehen. Aber zum Glück haben wir engagierte Admins, die sich um solche Probleme kümmern. Ich bin mal gespannt, wann Microsoft wieder Mails von uns bekommen kann…

20. Mai 2008 um 20:11

Raucherecke schon in Sicht

Neulich schrieb ich doch, dass die Raucherkabinen abgebaut werden. Derzeit wird aber immer noch der Innenhof vorbereitet, um Platz für den Raucherunterstand zu schaffen. Aber ein paar der Kollegen mit Zimmer zum Hof bekamen schon mal einen Ausblick auf die Zukunft. Mein Kollege Horst erzählt mir wie er beobachtete, dass einer unserer Werkschützer zu den Plattenlegern im Hof ging und sie bat nicht mehr zu rauchen, weil sich jemand mit Zimmer zum Hof dadurch belästigt fühlte.
Wie soll das erst werden, wenn der Hof fertig ist und dann alle Raucher da hin gehen müssen? 😉