Kategorie: CHAOS

Die Welt wird immer blöder.
Hier gibt es meine Kommentare und Beiträge zu Dingen die ich seltsam finde oder mir nicht erklären kann wie sowas passieren kann…
Viel Spass beim Lesen und nicht alles ganz ernst nehmen.

Trackingfrei und Googlefrei

Trackingfrei und Googlefrei

Nachdem ich meinen Webserver erfolgreich neu aufgesetzt habe, musste ich natürlich auch schauen, dass alles der DSGVO entspricht.

DSGVO steht für Datenschutz-Grundverordnung. Einem elenden Konstrukt, das dazu dient, dass Anwälte und Behörden kleinen Webseitenbetreibern und Firmen ans Bein pinkeln können, während die wirklichen Datensammler, wie beispielsweise Microsoft, Google, Amazon und Facebook darüber nur lachen.

Trackingfrei und Googlefrei

Allein die Tatsache, dass Windows 10 eigentlich NICHT DSGVO-konform ist, man aber „mangels Alternative“ darüber hinwegsieht, anstatt endlich was zu machen, zeigt, dass es hier nicht um den Datenschutz geht, sondern nur um Macht und Geld.

Trotzdem – meine Webseite soll frei von Spyware sein.

Weiterlesen

Banking kaputti!

Banking kaputti!
Früher war Banking noch einfach

Irgendetwas läuft gewaltig schief beim Internet-Banking!

Seit weit über 30 Jahren nutze ich den Kontozugriff über die Telefonleitung. Anfangs noch via BTX, später über das Internet.
Mit Pin/TAN auf Papier oder HBCI per Chipkarte.
Über die Banken-Webseite oder am liebsten mit speziellen Programmen, wie Wiso Mein Geld, StarMoney, Quicken und ähnlichen.
Das hat alles gut funktioniert und war auch hinreichend sicher.

Banking kaputti!

Bis zu dem Zeitpunkt, als die Banken wegen PSD2 in Panik gerieten.
Seither ist alles anders. Es funktioniert nichts mehr und in der Online-Banking-Welt herrscht das totale Chaos.
Allerdings habe ich auch den Eindruck, dass das von gewissen Kreisen in der EU so gewollt ist.
Bankster sind überall!

Online-Banking mit PIN/TAN auf Papier war technologisch ausreichend sicher. Das einzige Problem sind die Benutzer, die gedankenlos überall drauf klicken. Da ist dann mal ein PC Viren-verseucht oder man ist so naiv und gibt auf Anfrage von angeblichen Bank-Sicherheitsberatern seine PIN und die Tanliste auf einer Webseite ein oder verschickt diese per eMail.

Um die Benutzer zu schützen, haben die Banken alternative Wegen eingeführt, TANs via Handy-App, SMS oder mit einem kleinen Lesegerät, das man an den Bildschirm halten musste und das per Blink-Code eine TAN generiert hat.
Auch das ist technisch ausreichend sicher. Der „Schwachpunkt MENSCH“ bleibt aber und daher kann auch dieses System ausgehebelt werden.

Banking mit HBCI und Chipkarte war sehr komfortabel und sicher.
Verschlüsselte Kommunikation über spezielle Kanäle, Anfangs über ISDN, später auch über das Internet. Tolle Lösungen mit bankeigenen Programmen wie z.B. SFIRM, aber auch mit universellen Bankingprogrammen wie oben genannt. Aber aus irgendwelchen Gründen war das offiziell nur für Firmen und wurde von den Banken kaum verbreitet.

Diese gut funktionierende Banking-Welt wurde mit PSD2 im Auftrag der EU eingerissen. Seither funktioniert nichts mehr wie zuvor.
Bei der einen Bank funktioniert keine Überweisung mehr über HBCI, die andere schafft das System gleich ganz ab. Wieder eine andere Bank führt ein System ein, das eine andere gerade abgeschafft hat.
Totales Chaos.

Man soll jetzt über die Webseite der Bank arbeiten, Bankingprogramme am PC sind nicht mehr modern genug. Das Tolle am Webseiten-Banking ist natürlich, dass die Banken einem bei jedem Login Werbung präsentieren können. Da freut man sich richtig, wenn man sich erst mal bis zu seinem Konto durchklicken darf.

Besser noch ist das Banking per App.
Wer glaubt, dass die Bank-Apps sicher sind, der glaubt auch an den Weihnachtsmann.

Bankprogramme, die über HBCI mit Chipkarte über einen verschlüsselten Kanal mit dem Bankrechner kommuniziert haben, waren schon immer sicher.
Irgendwelche von der Bank zusammengestückelte APPS auf einem Handy, das schutzlos dauerhaft im Internet hängt und vielleicht seit 2 Jahren keine Sicherheitsupdates mehr erhalten hat, sind es definitiv NICHT!
Ist es besonders sinnvoll, dass jede Bank eine eigene APP hat?
Alle Apps werden unterschiedlich bedient, sind vielleicht von verschiedenen Softwareklitschen programmiert, von denen man sonst noch nie gehört hat. Einen Standard gibt es nicht. Das soll sicher sein?

Wieso muss man bei manchen Banken alles über oder zumindest mit Hilfe einer Handy-App erledigen?
Zugegeben, die Apps sind meistens recht bequem, das ist aber auch schon alles.
Benötigt man wirklich immer und überall, auch unterwegs, Vollzugriff auf sein Konto?
Ein Handy kann herunterfallen, geklaut oder gehackt werden, geht verloren, wird zerstört. Dann ist der Zugriff auf das Konto weg.
Aber die sicheren System sind einfach nicht mehr modern genug. Veraltet, langweilig, unerwünscht.

Banking kaputti!

Beispiele

DIBA:
Wieso sollte man auf der Mini-Tastatur am Handy eine IBAN eintippen? Das geht doch theoretisch komfortabler am PC!
Mit WISO Mein Geld ging das bisher problemlos, mittlerweile ist aber über HBCI nur noch der Kontoabruf möglich, Überweisungen funktionieren nicht mehr, das wurde einfach abgeschaltet.

Der moderne Weg am PC geht so:
Für eine Überweisung geht man auf die Webseite der Bank, geniest die Werbung, loggt sich ein:
Zugangsnummer, Internetbanking PIN, dann im nächsten Feld den DIBA-KEY. Dann das Handy zur Hand nehmen, um das Login zu bestätigen. Anmelden am Handy, App laden, Banking-PIN eingeben.
Anmeldung am PC bestätigen. Zur Bestätigung nochmal die PIN eingeben. Warten. Werbung anschauen. (Beim Schreiben dieses Textes auf dem Handy für „FONDSHELDEN“, am PC irgendeine „ANALYSE“)
Klick auf das Girokonto, Überweisung starten, umschalten zum Handy, Freigabe mit Banking-PIN. Puh, fertig.
Das ist ja super komfortabel – NICHT!

Gleiches bei der N26
Eine lokale Volksbank wurstelt anscheinend weiter wie bisher, die Sparkasse führt ein System ein, das eine andere Volksbank gerade wegen PSD2 abgeschafft hat.
Bei der Comdirect benötigt man eine APP als TAN-Generator.
Alles schön auf dem Handy.

2-Faktor Authentifizierung in einer App?

Seltsamerweise wird der 2. Faktor, also die Auftrennung auf 2 Wege für die Sicherheitsfreigabe, auf dem Handy einfach abgeschafft.

Früher gab es PIN und TAN auf Papier, dann die TAN mit TAN-Generator oder SMS. Getrennte Medien für die Übertragung. Alles hinfällig.

Die APPS machen das alles intern, die haben die Sicherheit ab Werk verbaut und sind sicher. Kann man glauben oder auch nicht.
Mit den meisten Banking-Apps hat man vollständigen Kontozugriff, sobald man sich angemeldet hat.

Jedenfalls herrscht aktuell totales Chaos.

Zweithandy fürs Banking

Ich wollte niemals meine gesamten Bankdaten auf dem Handy mit herumtragen.
Deswegen habe ich mir ein billiges Handy zugelegt, bei einem Hersteller, der regelmäßig Updates verteilt.
Dieses Handy hat eine Prepaid-SIM-Karte von Netzclub (günstigste Lösung für sowas). Es bekommt KEINEN mobilen Datenzugriff und liegt nur zuhause. Damit kann es schon mal nicht verloren gehen.
Außerdem laufen alle Internet-Zugriffe über das hausinterne Netz und können per Firewall und mit verschiedenen Tools einigermaßen gesichert werden. Das Handy ist nur für das Banking zuständig.

Open Banking

Ein „nettes“ Feature, welches mit PSD2 eingeführt wurde, ist das „open banking“. Damit müssen Banken Drittanbietern Zugriff auf die Konten ermöglichen. Hört sich komfortabel an, wenn mit einer App die Konten aller Banken auf dem Handy sind. Aber ganz ehrlich – wer ist so bekloppt und gibt irgendeiner unbekannten Firma seine Kontozugangsdaten?
Da bastelt ein Startup eine App, meldet eine GmbH an und bietet ganz tolle Finanzdienstleistungen.
FINTECHS nennt man diese modernen, hippen Firmen.
Superduper Dienstleister, das braucht jeder, ohne sowas ist man hoffnungslos veraltet.
Falls da jetzt irgendein krimineller Mitarbeiter mal eben die Kundenkonten leerräumt, dann ist das halt dumm gelaufen. Man hat ja freiwillig seine Kundendaten weitergegeben.
Tja, denkste, der letzte Satz war eher ein Traum!
Der Witz am „open banking“: man muss da nicht mal wirklich seine Einwilligung geben, die Bank darf das nicht einmal prüfen. Sie muss anfragenden Dienstleistern den Zugriff gewähren. Also irgendein Dienstleister kann problemlos auf ein Konto zugreifen, ohne dass der Kontoinhaber das mitbekommt. Das ist natürlich total im Sinne der DSGVO.

Man stelle sich vor:
Firma XYZ fragt bei der Bank Kontodaten ab, ohne dass der Kontoinhaber zustimmen muss und die Bank muss diese Abfrage ausführen. Das ist ja toll!
Wer das nicht glaubt, darf gerne die PSD2-Richtlinien durchlesen.
Das machen vermutlich die Wenigsten, wie sonst ist zu erklären, dass es noch keinen Aufschrei gibt?

Ich hatte ja schon Probleme mit meinem Prepaid-Handy-Vertrag.
Gerne hätte ich die automatische Aufladung, aber dafür muss ich bei Vodafone „aus Sicherheitsgründen“ die erste Ladung per Überweisung über einen Dienstleister durchführen, dem ich PIN und TAN für mein Konto geben soll.
Wie bekloppt ist das denn? Die können (und machen das auch, zumindest nehmen sich die Firmen das Recht per AGB und Datenschutzhinweis – das liest ja auch niemand) erst mal die Kontobewegungen der letzten Wochen und Monate abrufen und ein Profil erstellen, während sie die Überweisung durchführen.

Außerdem: Früher war es mal verboten, PIN und TAN für andere Zwecke als direkt bei der kontoführenden Bank zu verwenden. Heute sehen die Konzerne das nicht mehr so genau. Den Ärger hat ja im Zweifelsfall der Kunde.
Mit PSD2 wird das jetzt alles legalisiert, ausgebaut und sogar zwangsweise eingeführt.

Also nicht wundern, wenn irgendwann mal das Konto leer ist.
Das ist alles nur zum Wohle der Kunden.

Schöne neue Banking-Welt.

Banking kaputti!

Kleine Anekdote:
Der Sparplan unseres Juniors ist ausgelaufen. Ich bin daher mit einer fertig geschriebenen Kündigung zur Bank, habe dort den Schrieb und das Sparbuch übergeben, der Bankmitarbeiter hat alles angeschaut und dann erklärt, es sei soweit ok.
Das Geld würde wie gewünscht nach Ende der Kündigungsfrist auf das angegebene Konto überwiesen.

Er war ganz erstaunt, dass ich eine Quittung wollte. Immerhin hatte ich ihm das Sparbuch übergeben und damit keinerlei Nachweis mehr über das Eigentum am Konto.
Er hat mir dann auf einer Kopie meines Schreibens den Erhalt des Sparbuchs bestätigt, mit mehreren Stempeln und Unterschrift.
Fertige Belege oder Bescheinigungen gibt es bei der Bank dafür nicht, anscheinend ist es nicht vorgesehen, dem Bankkunden eine Quittung auszustellen. Da muss man der Bank schon vertrauen.

Sollte man der Bank wirklich so weit vertrauen, um so etwas ohne Beleg durchzuführen?

Ich vertraue niemandem. Zumindest keiner Bank!


EXIT – EX-IT – Das ganz normale Chaos

EXIT - EX-IT - Das ganz normale Chaos

Zum 31.12.2017 war ich nach über 30 Jahren aus dem IT-Service ausgestiegen. Ich habe es noch keinen Tag bereut.


Erst diese Woche hat mir wieder gezeigt, wie Recht ich mit meiner Entscheidung hatte.

Hier mal eine ganz normale Woche eines EX-IT-Dienstleisters, der immer noch mit IT zu tun hat (Anfang Dezember 2019):

In meiner aktiven Zeit hatte ich über 10 Arztpraxen betreut. Da war eine aktuelle Meldung doch recht interessant zu lesen:
Ein IT-Verlag hatte eine Arztpraxis gefunden, deren Daten offen im Web standen. Eine Verkettung aus mehreren kapitalen Fehlern. Der erste Fehler – Dateizugriff auf dem Server für jedermann ohne Passwort, das wäre mir sicher nicht passiert.
Der zweite Fehler aber, da hätte man als IT-Dienstleister verloren: Telekom-Router mit einem kapitalen Firmware-Bug, der einfach mal so verschiedene interne Dienste nach außen freigeschaltet hat, sobald man auch nur einen Port geöffnet hatte. Unter anderem den Dateizugriff. Der Telekom war der Fehler seit über einem halben Jahr bekannt, man hielt das Problem aber nicht für besonders wichtig.
DSGVO, Anbieterhaftung und der ganze Schrott gilt ja sowieso nur für kleine Firmen. Also hier für die Arztpraxis und den betroffenen IT-Dienstleister.
Während ich am frühen Morgen meinen Kaffee schlürfe, überlege ich, ob mir das auch hätte passieren können. Vermutlich nicht. Ich hatte weder Dienste nach außen freigeschaltet, noch Freigaben ohne Passwort eingerichtet. Aber wer weiß, ganz sicher kann man nie sein.
Gut, dass ich das nicht mehr machen muss.

EXIT - EX-IT - Das ganz normale Chaos


Meine PCs laufen überwiegend unter Linux, aber für manche Dinge braucht man noch Windows. Meine Buchhaltung läuft mit Lexware Financial Office in einer virtuelle Maschine mit Windows 10. Das Ding wünscht sich ein Update. Kann man ja am frühen Montagmorgen mal starten.
Das Windows-Update läuft aber leider mehrfach in eine Fehlermeldung. Laut Internet könnte es an meinem Pi-Hole liegen. Irgendwelche MS-Server, die auf der schwarzen Liste stehen, werden für das Update benötigt. Das ist hier aber nicht die Ursache. Ich entscheide mich daher für das umständliche Update:
Aktuelles Windows10-Image herunterladen und ein Inplace-Update. Das startet und läuft…und läuft… Irgendwann bemerke ich, dass ich diese Windows10-Maschine doch für die Arbeit benötige. Da läuft ein Gateway für den Paketlabel-Drucker drauf. Die nächsten 2 (ZWEI!) Stunden ist der Rechner mit dem Windows-Update beschäftigt (AMD Ryzen5-2500, 64GB RAM, SSD). Was macht die Kiste da nur?
Immerhin läuft das Update fehlerfrei durch und ich habe nach den 2 Stunden ein aktuelles Windows 10.

Schnell Lexware Faktura starten, um Rechnungen zu schreiben – Denkste!
Die Software läuft nicht mehr. Ich benötige ein Update. Version 2019 ist OUT, ich soll auf Version 2020 aktualisieren. Geht aber nicht. Ich soll eine Kundennummer angeben. Wenn ich die nicht weiß, soll ich die Hotline anrufen – sagt das Programm.
Die Hotline ist nett und gibt mir meine Kundennummer. Mit Angabe von Kundennummer und Postleitzahl funktioniert das Update – NICHT.
Ich versuche mich auf der Lexware-Webseite anzumelden. Geht nicht. Zugangsdaten falsch. Ich kann das Passwort ändern, aber anscheinend wird die Änderung nicht übernommen. Also nochmal die Hotline „Ja, das Problem mit der Webseite ist bekannt. Ich soll doch mal die technische Hotline anrufen.“
Neue Nummer, neues Spiel: Die Seriennummer ist hinterlegt und ich bin auch als Kunde geführt, aber für mich ist kein Abo registriert, daher bekomme ich auch das Update nicht. Ich soll doch nochmal die andere Hotline anrufen. Schön, ich rufe wieder die andere Hotline an und schildere mein Problem. Man kann mir leider auch nicht helfen, die Datenbank ist da wohl etwas fehlerhaft. Da meine Lizenz sowieso am 16.12. abläuft, bestelle ich bei der Hotline eine neue Lizenz. Die wird hinterlegt, ich bekommen per Mail einen Link und das Update läuft tatsächlich. 10 Minuten später ist mein Lexware Office auf dem neuesten Stand. Es funktioniert sogar – das war bei den vorherigen Updates nicht immer der Fall.

Ich schreibe eine erste Rechnung und will diese als PDF speichern. Geht aber nicht. Acrobat Reader findet mein Netzlaufwerk nicht mehr!
Seltsam im Explorer ist das Laufwerk K: noch vorhanden und funktioniert. In Acrobat gibt es das Laufwerk nicht mehr. Da steht jetzt statt k:\rechnungen auf einmal \\k\rechnungen. Das ist natürlich Quatsch. Mit manueller Eingabe von \\server\kunden\rechnungen funktioniert es. Das Windows-Update hat anscheinend irgendwelche Funktionen versemmelt. Ich habe es hinbekommen, aber bei meinen IT-Kunden würde nach diesem Update mein Telefon glühen. 3 Stunden für Nichts. Zum Glück konnte ich unter Linux problemlos weiterarbeiten. Nur die Paketlabel und Rechnungen gab es leicht verzögert.
3 Stunden vergeudete Lebenszeit. Ich erinnere mich, dass ich sowas früher auch bei Kunden gemacht habe. Sinnlose Updates und Fehlerbehebungen und dann auch noch eine Rechnung dafür geschrieben. Aber was sollte ich machen, das Problem lag ja nicht an mir.
Das haben viele nicht verstanden. Na gut, die sind jetzt bei anderen Dienstleistern und netterweise haben mich schon mehrere gefragt, ob ich nicht wieder einsteigen will. Kann also so schlecht nicht gewesen sein. Die neuen Dienstleister können nur noch Maus schubsen oder es fehlt der persönliche Ansprechpartner.
Aber nein. IT-Dienstleistung mache ich nicht mehr.

Da meine Banking-Software unter Windows lief, habe ich die Zeit des Updates am Montag genutzt und Jameica Hibiscus ausprobiert. Eine Freeware-Banking-Software für Linux. Was soll ich sagen – das Ding läuft auf Anhieb!
Sogar die N26-Bank, die unter „WISO Mein Geld“ nie richtig funktioniert hat, kann problemlos angesprochen werden. Damit gibt es einen weiteren Grund weniger für Windows.

Später bemerke ich noch, dass der Acrobat-Reader weitere Probleme hat. Wenn bereits ein Dokument offen ist, öffnet er bei Doppelklick auf ein weiteres PDF dieses nicht mehr. Man muss erst das offene Dokument schließen. Toll. Ein Update gibt es bisher noch nicht. Aber die meisten PDF öffne ich sowieso unter Linux, da funktioniert es.

Am Freitag früh funktioniert der Paketlabeldruck nicht mehr. Windows hat sich ohne Rückfrage aktualisiert und neu gestartet. Dabei wurden die Hintergrundprogramme einfach beendet. Ich hatte vergessen, die Update-Dienste wieder zu sperren.
Zum Glück nur eine Kleinigkeit – Label-Dienstprogramm wieder gestartet und weiter ging es.
Trotzdem nervig: ICH entscheide, wann ein Update durchgeführt wird, sonst niemand! Das ist MEIN PC.


Auch die Wetterstation für www.ludwigsburgwetter.de lieferte wieder mal keine Daten. Der PC steht bei einem Freund und läuft (leider) unter Windows 10, nach jedem Update muss das Ding neu gestartet werden. Das passiert so alle 2 Wochen. Die Wetterstation für www.ingersheimwetter.de läuft unter Windows7 und hatte in 2019 noch keinen Ausfall!

Diese Woche hatte ich bei meinem letzten IT-Kunden 2 neue Rechner installiert. Seine Branchensoftware fordert ab dem 1.1.2020 auf allen Clients Windows 10. Eigentlich mache ich keine IT mehr. Aber ich helfe hier noch unterstützend bei Problemen. Den Rest macht der Kunde alleine. Die Installation lief ganz gut. Während der Installation erzählt er mir, dass sein 3 Monate alter Laserdrucker nicht mehr funktioniert und er von der Hotline mehrfach hingehalten wurde und dringend auf den Service wartet. Es handelt sich um einen Brother-Laserdrucker für 150,- Euro. Ich gebe ihm den Tipp, das Ding einfach zurückzuschicken. (Gekauft über Amazon Marketplace, da klappt das problemlos)
Wenn der Service das nicht hinbekommt, dann ist das doch nicht sein Problem. Er hat auf meinen Rat hin gleich einen neuen Drucker bestellt, diesmal direkt bei Amazon – falls es wieder Probleme gibt.
Klar, Amazon macht die anderen Händler platt. Aber das liegt einfach am Service.
Eine Woche auf den Support warten und mehrfach nervige Telefonate führen oder das defekte Gerät einpacken und zurückschicken – welcher Lieferant wird wohl zukünftig bevorzugt?

Früher habe ich mich mit den Lieferanten herumgeschlagen. Die Kunden haben gemeckert, weil irgendetwas nicht funktionierte und ich musste für die Fehler der Hersteller und Lieferanten geradestehen. Dafür bin ich mittlerweile zu alt. Sollen sich andere damit rumschlagen.

Am nächsten Tag gab es einen Anruf – die Branchensoftware funktionierte nicht mehr. Es gab wohl ein automatisches Update. Die Hotline der Branchensoftware wusste zum Glück Bescheid – die aktuellen HP-Sicherheitstools machen Probleme.
Einen Tag später wieder ein Anruf: Der neu bestellte Drucker war wohl auf dem Weg zurück zu Amazon, DHL hat die Adresse nicht gefunden! (Firma mit Außenwerbung, da muss man schon sehr blind sein).
Am dritten Tag ein weiterer Anruf, die Netzlaufwerke sind nicht mehr verfügbar. Auf meinen Tipp hin hat er den Server überprüft – der hat mitten in der Arbeitszeit Updates installiert und war gerade mit einem Neustart beschäftigt – ein Server mit automatischen Updates!
Welcher Hersteller kommt auf so einen Schwachsinn?
Eigentlich hatte ich automatische Server-Neustarts so weit wie möglich unterbunden, aber für das letzte Update seiner Branchensoftware musste auch der Server aktualisiert werden. Da hat Microsoft diesen „Service“ wohl wieder eingeschalten.
Da bin ich froh, daß ich selbst keinen Microsoft-Server mehr verwende.

Das ist nur ein Kunde, bei dem ich auch nur unterstütze, wenn er selbst nicht weiterkommt.
Erschreckend, wenn ich daran denke, dass das bei den meisten Firmen ähnlich läuft.
Bin ich froh, dass die IT-Zeit vorbei ist.

Dann war da diese Woche noch ein Bericht im Web zu finden, dass eine Arzt-Software unsichere Updates eingespielt hat. Genau die Software war bei meinen Kunden damals installiert. Der Hersteller behauptet, es gäbe kein Problem, die Presse reitet darauf herum. Der Arzt springt im Viereck und der IT-Dienstleister hat die A-Karte. Zum Glück nicht mehr meine Baustelle.

Alles in nur einer Woche.
Zum Glück mache ich eigentlich keine IT-Dienstleistungen mehr.
Das ist sehr entspannend und schont die Nerven.

Update 19.12.2019
Linux Mint 19.3 wurde veröffentlich.
Das Update von Linux Mint 19.2 auf 19.3 entspricht in etwa einem Versions-Update bei Windows 10.
Installationsdauer: weniger als 5 Minuten (!)
Aufgetretene Probleme nach dem Update: keine!

Ich kann nur jedem, der nicht unbedingt auf Windows angewiesen ist, einen Blick auf Linux zu werfen. Es lohnt sich!
Von den meisten Distributionen gibt es Live-Images, die man von DVD oder USB-Stick ausprobieren kann.

Verstümmelte Links in eMails als Feature.

Verstümmelte Links in eMails als Feature.

Neulich bekomme ich eine eMail die mich etwas stutzig macht.

Sämtliche Links der Mails werden von meinem Mailserver als verdächtig klassifiziert und rot gefärbt. Darunter unter anderem auch mein eigener Footer den der Absender als Kopie meiner Mail an mich zurückgeschickt hat.

Eigentlich versende ich garkeine Links, im Footer meiner Mails steht nur meine Adresse und meine Webseite. Als Text, nicht als Link, d.h. nicht direkt anklickbar sondern einfach nur als Info.

In der Rückmail war der Text aber als Link ausgestaltet. Er zeigte allerdings nicht auf meine Webseite sondern auf eine Microsoft-Seite!

Und das hat meinem Mailserver natürlich nicht gefallen – Ein Link der eine Seite anzeigt, bei Anklicken aber auf eine andere führt! Das ist zu 99% Müll, in der Regel sind das sogenannte Phishing-Mails.

Darunter versteht man irgendwelchen Müll in dem z.B. Fake-Mails von Banken verschickt werden oder Rechnungen von Firmen und man soll irgendwas anklicken. Beispielsweise mit dem Text „Klicke hier bei TolleBank um Dein Konto zu überprüfen“, wenn man draufklickt kommt man aber auf „ganzüble Verbrecherseite.“ Sowas ist Schrott, normalerweise wird das nur von Betrügern benutzt und nun aber offensichtlich auch von Microsoft!

Richtig – es handelt sich um outlook.de / outlook.com

Im genannten Fall steht da einfach nur „www.druckeronkel.de“ in meinem Footer. Zurück kam aber folgendes (komplett mit Original-Link hinterlegt):

MailPlus Server has detected a possible fraud attempt from „eur02.safelinks.protection.outlook.com“ claiming to be www.druckeronkel.de

Mein Server (Mailplus auf der Synology Station) hat erkannt daß der Link hinter www.druckeronkel.de auf die Seite eur02.safelinks.protection.outlook.com verweist.

Hier stimmt also der Text nicht mit dem Link überein, das ist ein Versuch auf eine andere Seite umzuleiten.

Und das war nicht der einzige Link. Auch ein Link auf Youtube wird auf outlook.com umgebogen!

Natürlich führen die Links am Ende auf die gewünschte Seite, aber immer über den Umweg einer Microsoft-Seite.

Wer weiss was die da noch machen – Tracking-Counter? Wer klickt wie oft auf Links? Welche Links werden angeklickt? Es gibt auch keinen Hinweis daß die Links verändert wurden. Ohne meinen Mailserver wäre mir das auch garnicht aufgefallen. Da sind einfach nur anklickbare Adressen. Daß die Links dahinter verändert wurden fällt erst mal nicht auf.

Wer bitte macht denn sowas?

Nach kurzer Recherche steht fest:

das ist kein Bug sondern ein Feature! Microsoft macht das Absichtlich!

Und es ist auch nicht vorgesehen, daß der Benutzer diese Funktion abschaltet. Eine Babysitter-Funktion quasi.

Quellen:

(Achtung – die Links führen auf externe Seiten, ich übernehme keine Haftung!)

https://techcommunity.microsoft.com/t5/Outlook/Advanced-Threat-Protection-ATP-is-ruining-Outlook-com/td-p/117532

https://support.office.com/de-de/article/erweiterte-outlook-com-sicherheit-f%C3%BCr-office-365-abonnenten-882d2243-eab9-4545-a58a-b36fee4a46e2

„To provide the best protection for your account, these features are on by default and not designed to be turned off.“

Auf Deutsch: das ist immer an und kann nicht ausgeschalten werden.

„Alle Outlook.com-Benutzer profitieren von Spam- und Schadsoftwarefilterung.“

„Der Schutz ist automatisch. Diese Premium-Sicherheitsfeatures werden automatisch für Office 365 Home-und Office 365 Personal-Abonnenten aktiviert“

Der Sinn dahinter ist die Überprüfung von Links, der Schutz vor Viren und verseuchten Seiten.

Soweit ganz löblich. Nur die Art der Überprüfung geht garnicht. Das ist Datenmanipulation!

Die Links kann das System gerne beim Aufruf überprüfen wenn jemand unbedingt Microsoft-Software einsetzen und diese Babysitterfunktion nutzen will. Aber es ist ein Unding daß Links in Mails automatisch verändert werden!

Was kommt als nächstes?

Worte die der Zensur nicht gefallen werden gelöscht (oder gleich die ganze Mail?)

Links zu Onlineshops werden auf andere Shops umgebogen die dafür bezahlen? Oder man bekommt nach Klick auf den Link personalisierte Werbung mit Bezug auf die genannte Webseite?

Ich kann mir auch gut vorstellen daß es Links gibt die nach dieser Manipulation nicht mehr funktionieren. z.B. wenn überprüft wird ob der Link direkt angeklickt wurde ober eben weitergeleitet wurde.

Mit dieser Umleitung kann man sog. „Man-in-the-Middle“-Angriffe starten.

Im Prinzip steht das ganze Arsenal böswilliger Manipulationen zur Verfügung. Und das angeblich nur für ein „besseres Benutzererlebnis“.

Da kann ich nur sagen: Nein Danke!