privacy, security & usability by design? · 2018-05-17 · datenschutz, it-sicherheit &...
TRANSCRIPT
MediaTechnoLogicConsult www.mtlc.eu
Dr.-Ing. Rudolf Eyberg [email protected]
Kundentag Impulse 2018
Privacy, Security & Usability by Design? Datenschutz, IT-Sicherheit & Nutzerfreundlichkeit bei Webseiten, Dateien, Metadaten & E-Mail
26. April 2018, Dinkelsbühl
Ein Dank gilt der Druckertoner-Industrie, welche die schwarzen Präsentationsseiten gesponsort hat! Der Autor empfiehlt generell einen Verzicht auf das Ausdrucken.
2 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Verbund von Datenschutz und IT-Sicherheit
Datenschutz Personenbezogene Daten • von Kunden • von Geschäftspartnern • von Mitarbeitern und alle zugehörigen Prozesse (Gesetze/Standards: BDSG, EuDSGVO, …)
IT-Sicherheit • Alle Unternehmensdaten und IT-Prozesse • inklusive Personendaten (Gesetze/Standards: AktG, KonTraG, IT-SichG, KRITIS, BSI, ISO 27001, …)
Qualität und Anwenderfreundlichkeit • Notwendige Grundlage für echten Datenschutz und IT-Sicherheit (Gesetze/Standards: BGG, UXQB, ISO 9241, …)
Datenschutz
Privacy IT-Sicherheit
Security
Anwender- freundlichkeit
Usability
3 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
PSU by Design?
Webseiten • Kaum ein Unternehmen bietet konsequent benutzerfreundliche
Webseiten und richtig sichere Loginseiten an • „Veränderung kommt von selbst, wenn wir den
Widerstand am Abgrund aufgeben.“ (Ute Lauterbach)
Dateien
E-Mails
Datenschutz
Privacy IT-Sicherheit
Security
Anwender- freundlichkeit
Usability
4 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Vielfältige Probleme mit Webseiten
Fehlerhafte oder völlig leere Seiten • Ohne JavaScript oder Cookies
Sinnfreie Seitentitel Bandwurm-URLs Fehlender Browsercheck auf
• nötige aktivierte JavaScript-Funktionen • nötige aktivierte Cookie-Funktionen
Domainfremde JavaScripts Fehlende Besucherinfo zu
• tatsächlich benötigten Cookies • tatsächlich benötigten JavaScripts • verwendeten Trackern
Sinnfreie oder falsche Fehlermeldungen Scroll/Click-of-Death
5 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Populäre und empfehlenswerte Browser Erweiterungen
Javascript Blocker • NoScript
Cookie-Manager • …
Tracker-Control • Ghostery
Ad-Blocker • AdBlockPlus • uBlock
Diverse • Flash Block • Stop Autoplay • …
Anmerkungen • Anwendung sinnvollerweise über Whitelisting von vertrauenswürdigen Ausnahmen • Webseiten ohne Browsercheck und Besucherinfo sind benutzerunfreundlich!
6 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Newsletter DeRegistrierung 1/3
Ohne JavaScript, ohne Cookies • Merkwürdige Domain • Bandwurm-URL • Seitentitel relativ ok • Unvollständige Anzeige • Kein JavaScript Browsercheck • Kein Cookie Browsercheck • Keinerlei InfoS zu JS, Cookies • Impressum, ... fehlt völlig
Keine Funktion! Keine Fehlermeldung!
7 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Newsletter DeRegistrierung 2/3
Mit JavaScript, ohne Cookies • wie vorher, aber
auch keine Funktion! auch keine Fehlermeldung!
8 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Newsletter DeRegistrierung 3/3
Mit JavaScript und mit Cookies • wie vorher, aber • viele Cookies-Buttons
Wie bestellt man nun ab? Welche Buttons müssen wie gewählt werden?
9 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Kontaktformulare
Keine neue Gesetzeslage • Kontaktformulare mussten nach BDSG schon
immer mit SSL/https verschlüsselt sein!
Unbekanntes Problem "Interne Weiterleitung" • Hinweis auf unverschlüsselte Weiterleitung sinnvoll • Besser eine vollverschlüsselter Weiterleitung!
Sichere und benutzerfreundliche Optionen • Nur optionale anstatt automatische und
unverschlüsselter Kopie per E-Mail (Druckoption) • Sinnvolle Absendebestätigung
Kundenunfreundlich • „Mir ist bewusst und ich bin darüber informiert,
dass damit meine persönlichen Daten im Internet gegenüber Dritten offenbart werden können und ggfs. ungeschützt für jedermann einsehbar sind!“
???
kein https
10 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Login Seiten - Probleme
Verschlüsselung • Fehlende Verschlüsselung mit SSL (https) • Unsichtbare Verschlüsselung hinter Pop-Up-Fenster ohne sichtbare URL • DNSSEC ist in DE praktisch unbekannt. FI hat bereits komplett auf DNSEC umgestellt!
Login-URL • Nicht eindeutig • Nicht kurz • Login-Seite mit Tracking!
Kein eindeutiger Seitentitel • Ohne Angabe zum Unternehmen • Ohne Information "Login" • Gefüllt mir Werbung • Ständig verändert
Sicherheitsorientierte Kunden und Passwortmanager • prüfen die URL vor jedem Login • prüfen Seitentitel vor jedem Login • Ständige Variationen von URL und Titel erhöhen das Phishing-Risiko enorm!
11 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Schlechte Anti-Phishing Information
12 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Login Seiten - Chaos von URLs und Seitentiteln
Vielfältige Login-URLs • https://... • www.paypal.com/* • www.paypal.com/cgi-bin/* • www.paypal.com/cgi-bin/webscr* • www.paypal.com/signin/* • www.paypal.com/de/* • www.paypal.com/de/cgi-bin/* • www.paypal.com/de/cgi-bin/webscr?cmd=_login-run • www.paypal.com/uk/* • ...
Auch bei fast allen Banken, Versicherungen, ...
Hinweis • Der sehr gute und kostenfrei Passwortmanager
KeePass (www.keepass.info) kann die URL und den Seitentitel vor jedem Login überprüfen!
Keine eindeutigen, konstanten Seitentitel • Bei PayPal einloggen • Log in to your PayPal account • Login Deutschland - PayPal • Login Germany - PayPal • Login - PayPal • Mit PayPal bezahlen • Mit PayPal bezahlen - PayPal • Pay Fast With PayPal - PayPal • Pay with a PayPal account • Pay with a PayPal account - PayPal • PayPal-Kaufabwicklung • PayPal Checkout • PayPal Checkout - Log in • Zahlen Sie schnell mit PayPal - PayPal • ...
Auch bei fast allen Banken, Versicherungen, …
13 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Login Seite - Beispiele für schlechte Titel und URLs
Consors Bank • Login
− https://www.consorsbank.de/ev/System/Login
− https://www.cortalconsors.de/ev/System/Login?showEVLoginForm=true
• Aktien - Fonds - Kurse - Wirtschaftsdaten - Cortal Consors − https://www.cortalconsors.de/euroWebDe/-?$part=financeinfosHome.login&showLoginForm=true
• Tagesgeld zu Spitzenkonditionen, erstklassige Beratung und ausgezeichneter Wertpapierhandel − https://www.consorsbank.de/home
• Consorsbank − https://www.consorsbank.de/euroWebDe
• Consorsbank – Banking wie wir leben! − https://www.consorsbank.de/home
Sparkasse • Sparkasse Schwarzwald-Baar: Online-Banking, Kredit, Baufinanzierung,
Geldanlage und vieles mehr - Ihr Finanzpartner in alle Lebenslage! − https://bankingportal.spk-swb.de/portal/portal
14 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Login Seite - Wahl und Änderung von UserID und PW
UserName, Mailadresse und UserID • Fehlende Information über Unterschiede und Verwendung • Login-ID wäre zweckmässigerweise anonym und auch lang und komplex!
Passwort • Fehlende Informationen zu erlaubten Sonderzeichen • Fehlende Informationen zu erlaubter Länge • Kundenunfreundliche Gängelung mit Zeichenauswahl • Abgeschnittene Formulareingabe langer Passwörter • Welches Passwort ist wohl sicherer?
a) K@tze.................
b) &3^dlT'?=jvM\n*Q
Login-Eingabe Webseite oder Pop-Up-Fenster • Ohne sinnvolle Zweckbeschreibung • Welche ID und welches Passwort? • Fehlendes Hilfe, Kontakt, Impressum • Domain Name Chaos • Offenes Tor für Phishing Fake-Webseiten
15 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
PSU by Design?
Webseiten • Kaum ein Unternehmen bietet konsequent benutzerfreundliche
Webseiten und richtig sichere Loginseiten an • „Veränderung kommt von selbst, wenn wir den
Widerstand am Abgrund aufgeben.“ (Ute Lauterbach)
Dateien • Wenige Unternehmen publizieren benutzerfreundliche
Dateinamen und achten auf Metadaten und Version-Control • „Im Abgrund steht ein Trampolin, man
muss es nur treffen.“ (Liisa Hyttinen)
E-Mails
Datenschutz
Privacy IT-Sicherheit
Security
Anwender- freundlichkeit
Usability
16 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Evolution von Dateinamen - Überforderte Mitarbeiter und Systeme
"Lebens"phasen eines Besprechungsprotokolls 1. Erste E-Mail: Protokoll.doc 2. Korrektur: Protokoll neu.doc 3. Korrekturwunsch: Protokoll neu Müller.docx 4. Korrektur: Protokoll neu 2.doc 5. Endversion: Protokoll final.doc 6. Korrektur: Protokoll final 2.doc 7. …
Sinnfreie Sortierung im Dateimanager (ohne Erweiterung!) • Protokoll ganz neu • Protokoll final 2 • Protokoll final • Protokoll neu 10 • Protokoll neu 2 • Protokoll neu Müller • Protokoll neu
dl2.studyrive.net/courses/friedrich-schiller-universitaet-jena/kultur-bwl-weimar/10/protokoll-2/9813
IT-Sicherheitsrisiko (Dateierweiterung: *.ext) • ohne Erweiterung: Protokoll.docx • mit Erweiterung: Protokoll.docx.exe
17 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
PDF Dateien - Probleme mit Download und Dateiname
Download einer Datei • The global resource on the clean use of coal, www.iea-coal.org.uk • www.iea-coal.org.uk/files/site%20images/HOW%20TO%20FIND%20US%20(2).pdf • Dateiname: HOW TO FIND US (2).pdf
Probleme • Leerzeichen im Dateinamen (HTML!) " " "%20" • Sinnfreie Version im Dateinamen "_(2)" • Kein Firmenname im Dateinamen Whom to find? • Grossbuchstaben (Platz, Shouting) "ABC" • Datei im falschen Unterordner /site%20images/ • Bandwurmlink Abbruch, Zeilenumbruch • Keine Download Webseite (?) Tiny URL? • OCR, Seitenzahlen, Bookmarks, Hyperlinks, … • Information: Name, Erweiterung, Version und Größe einer Datei fehlt praktisch immer auf Webseiten • Sortierung: Im Dateimanager bei mehreren Dateien meistens absolut sinnfrei • Ausdruck: Dokumente praktisch immer ohne Name, Version, Autor und URL (Impressum)
www.iea-coal.org.uk
18 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Kundenorientierte URLs und Dateinamen?
Hyperlink https://formulare.virtuelles-rathaus.de/servlet/ de.formsolutions.FillServlet?param1=08212000-01-0005&query=1&knr=08212000-&template=KF778653LB &print=1&direktstart=1&save=1&reset=1&t=n.pdf
https://formulare.virtuelles-rathaus.de/servlet/ de.formsolutions.FillServlet?param1=08212000-01 -0005&query=1&knr=08212000-&template=KF778653LB &print=1&direktstart=1&save=1&reset=1&t=n.pdf
Dateiname
n.pdf Richtig hilfreich!
• AGB.pdf, Datenblatt.pdf, Adressänderung.pdf
Dateinamen Gruselkabinett siehe nächste Seite …
19 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Dateinamen - Gruselkabinett bei PDF-Dateien
Banken • Kontoauszug_zum_29_02_2016.pdf • Kontoauszug Nr. 2 DE70200905000007643743 28 März 2009.pdf • KONTOAUSZUG 2016_02.PDF • 1356435652081.pdf • Änderung_Allgemeine_Geschäftbedingungen_vom_08_03_2016.pdf • 971240_402._Informationsschreiben_NACHNAME,_VORNAME.PDF
Versicherungen • 400576794_Versicherungsschein_23022015.pdf • Kundeninformation+der+Cosmos+Versicherung+AG-data.pdf • Wichtige-Hinweise-zur-Beantwortung-der-Antragsfragen-data.pdf • Kündigungsbestätigung_282010517231_2014-02-24-pdf
Versandhandel • _124326993_Lieferbestaetigung_20160222_65f1a4831ceebb5d98577fbae22ac50f.pdf • F 8458554.PDF • RG150272534975.pdf • Rechnung_282010807231_2013.10.17-2015.11.15.pdf
20 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Probleme mit Dateinamen - Gründe
Unwissenheit • Über Eigenschaften und richtige Konfiguration von Software • Bei HTML-Zeichenkodierung • Zu Metadaten, Sortierung, Seitenzahl,
Bookmarks, Hyperlinks, Ausdruck, …
Kundenorientierung • Mangelhafte Kundenorientierung • Keine Spezifikation aus Kundensicht • Keine Überprüfung aus Kundensicht
Versklavung durch EDV • Zitat "Unser CMS (Content Management System) erlaubt das nicht anders!" • Kosten- und zeitintensive Anpassungen schwierig
21 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Dokument Management • Definiertes "Digital Asset Management" (DAM) • Zugehöriges "Document Life Cycle" (DLC) • Sinnvolle "Document naming conventions" • Eindeutiges "Version Management" • Hifreiche "Backup Konzeption"
Software und Systeme • Rechtzeitige Spezifikation der Anforderungen und Schnittstellen • Privacy-, Security- and Usability-by-Design • Richtige Default-Programmeinstellungen • "On the fly" Nutzerinfo anstatt "Policies, Manuals und Trainings"
Mitarbeiter- und Kundenorientierung • Datenschutz • IT-Sicherheit • Usability • Qualitätskontrolle! (Quality-by-Design)
Probleme mit Dateinamen - Lösungen
Beispiel Netzlaufwerk:
u:\events\ … • \2016\ … • \2017\ … • \2018\ …
− \2018-04-02_ulm_udis-dsb\ − 2018-04-02_rocket_vortrag-01.pdf
− …
− \2018-09-02_berlin_ifa\ − …
u:\photos\ … u:\products\ … u:\projects\ …
22 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Metadaten - PDF Dateien (Document Properties)
Probleme • Oft gar keine Informationen • Oft falsche oder gar fremde Informationen • MS-Office / PDF Konverter
− Speichern Metadaten ungewollt automatisch
− Speichert Textanfang als Titel dauerhaft mit ab
• Datenschutz − Namen von eigenen oder fremden Mitarbeitern
• IT-Sicherheit / Firmeninternas − Abteilung, Domainname, UserID
− Interne Dateinamen
− Name von (auch ganz fremden) Projekten, Kunden
− Informationen zu Software, Lizenzen und Versionen
• Original-Metadaten sind auch nach dem Überschreiben noch vorhanden! www.iea-coal.org.uk
23 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
PDF Metadaten - Beispiele
Commerzbank AGB • commerzbank.de/portal/media/efw-dokumente/agb_deutsch.pdf • Datei: agb_deutsch.pdf • Sinnfreier Dateiname • Immerhin mit sichtbarem Stand 01.02.2016 in der Datei selbst
CI-Plus Registration Application • ci-plus.com/data/ci-plus_registration-application_v0901.pdf • Datei: ci-plus_registration-application_v0901.pdf • Immerhin durchdachter Dateiname aber unklare Version (vMMDD?) • Ungewollte Metadaten!
Metadaten Gruselkabinett siehe nächste Seite …
Quellen: PDFs von öffentliche Webseiten und private Dateien
24 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Metadaten - Gruselkabinett in PDF-Dateien
25 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Metadaten bei Fotos
EXIF, IPTC, XMP, ... • ggfs. kritische Daten
Tools • Irfanview • ExifTool • ...
FujiFilm FinePixS1Pro (1).jpg
github.com/drewnoakes/metadata-extractor-images/tree/master/jpg/metadata
26 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Metadata Experiment - I Know Where Your Cat Lives
Owen Mundy • www.twitter.com/owenmundy
www.iknowwhereyourcatlives.com • A data visualization experiment • Sample of one million public images of cats
on a world map by the latitude and longitude coordinates embedded in their metadata.
27 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
PSU by Design?
Webseiten • Kaum ein Unternehmen bietet konsequent benutzerfreundliche
Webseiten und richtig sichere Loginseiten an • „Veränderung kommt von selbst, wenn wir den
Widerstand am Abgrund aufgeben.“ (Ute Lauterbach)
Dateien • Wenige Unternehmen publizieren benutzerfreundliche
Dateinamen und achten auf Metadaten und Version-Control • „Im Abgrund steht ein Trampolin, man
muss es nur treffen.“ (Liisa Hyttinen)
E-Mails • Kaum ein Unternehmen versendet vorbildliche E-mails • „Selbst im Abgrund können sich noch
neue Abgründe auftun.“ (Erhard Blanck)
Datenschutz
Privacy IT-Sicherheit
Security
Anwender- freundlichkeit
Usability
28 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
E-Mail Kommunikation - Todsünden
Betreff (Subject) • Sinnfreier Betreff ohne relevante Infos
− Einladung, Information für Anleger, Protokoll, …
• Grossschreibung (SHOUTING)
Absender-Adresse • Unklarheit, ob und wem geantwortet werden kann
− [email protected], [email protected], …
• Inkonsistenz Reply-To, From, Impressum
Dateianlagen • Keinerlei Hinweis auf Anlagen im Text
− Bei Weiterleitungen ohne Anlage und allen Antworten fehlt sonst Bezug auf Anlage völlig!
− Empfehlung: Stets Dateiname und Größe zitieren!
• Sinnfreie oder unvorbildliche Dateinamen
Format • Unnötiges RTF- oder HTML-Format • Fehlende Signierung (S/MIME)
Remote Content • Datenschutz und Sicherheitsrisiko
Anklickbare Links • Tracking-Risiko • Domainfremde URLs • Unnötige Redirection URLs
Newsletter • Fehlende Unsubscribe-Information
E-Mail-Betreff Gruselkabinett siehe nächste Seite …
29 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Kundenunfreundliche E-Mail - Betreffs (Subject) Gruselkabinett
Beispiele: • Persönlicher Informationsservice: Info Online-Kontoübersicht • Protokoll • You have received a new message • Einladung • Eine neue Nachricht in Ihrem Postfach • Sie haben eine wichtige Bankmitteilung in Ihrer Nachrichtenbox • Ab 01. Oktober: Adressänderung der Credit Europe Bank N.V., Niederlassung • (Kopie Ihrer Nachricht an WGV: Kundenmail über Nachricht schicken DKS88 S14-1191090) • RWB KundenServiceCenter GmbH: Neue Dokumente stehen in Ihrem RWB Kundenportal für Sie bereit. • RWB KundenServiceCenter GmbH: In Ihrem RWB Kundenportal sind neue Nachrichten für die Beteiligungsnummer: 49012 • Betreff: Aussagekräftigere Dateinamen der Online-Dokumente (Consorsbank Wissenscommunity Subscription Update)
• ÄãÔÚÏ뻨һÌìʱ¼äËÑË÷¹úÍâ100¼Ò¿Í»§·¢100·âÓʼþ£¬Í¬ÐÐÒ»Ñùʱ¼äÒѾ·¢³ö5ÍòÓʼþÁË£¡ • ✈The world's travel search engine Skyscanner compares millions of flights to find you the cheapest. • Ihre Einladung zur Veranstaltung "Start-ups und Mittelstand: So gelingt Partnerschaft!" am 23.01.2018 • Ihr Kreditnehmer "Traum" hat seine Rate für das Kreditprojekt "Wirtschaftskrise+ Krankheit" gezahlt • ...
30 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Absenderadresse "Friendly Name" <[email protected]>
Optionen für "Friendly Name" • beliebiger Text, z.B. "Nachname, Vorname (Abteilung)" • beliebige E-Mail-Adresse
= [email protected] (empfehlenswert) From: "smava.de" <[email protected]>
Reply to: ???
31 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Absenderadressen und domainfremde URLs
https://epl.paypal-communication.com/T/v40400015e5 c93b7bac188adf5bbe5c898/64f2da66ea5f4873000002 1ef3a0bcd6/645-ra66-ea5e-4873-ae85-68452b302b15
32 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Absenderadresse "From" versus "Reply to" versus "Impressum-Info"
E-Mail-Absenderadressen Gruselkabinett siehe nächste Seite …
Reply to: ?
From: ?
33 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Absenderadressen Chaos - "To" versus "Reply to" Gruselkabinett
34 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
E-Mail - HTML Format
Nachteile • Kein Bestandteil des Standards. RFC-3676, tools.ietf.org/html/rfc3676 • Meist völlig unnötig! • Erhöhter Speicherbedarf, längerer Download. • Einige Mail-Programme können HTML-mails nicht lesen, bei anderen ist das deaktiviert. • Fehlerhafter oder fehlender Alternativ-Text bei Multipart-Format (HTML + plain Text). • Automatische Weiterverarbeitung/Reply ist schwieriger. • Darstellung auf Mobilgeräten teils problematisch. • Lesebestätigung für Spammer durch eingebetteten Remote-Content. • Verstecken von Phishing-URLs hinter Buttons und unverdächtigen Webadressen.
Weitere Informationen
• mac-service-koeln.de/htmlemail.html • www.bernhard-marx.de/misc/E-mails-sollen-Text-sein.html • www.dominik-boecker.de/email • www.georgedillon.com/web/html_email_is_evil.shtml • en.wikipedia.org/wiki/ASCII_Ribbon_Campaign • arc.pasp.de • www.usenet-abc.de/wiki/Team/ASCIIRibbon www.scoop.it/t/ascii-art?page=91
35 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
HTML-Format versus Multipart (HTML + plain Text)
Fehlerhafte Zeichen: �...
Link fehlt
Alternativtext könnte auch richtig erstellt werden!
Fehlt im Alternativtext
Was ist [1]?
Unklar, unsicher und ohne https
36 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
E-Mail Signatur (≠ Signierung)
Angaben bei privaten E-Mails • Keine gesetzlichen Vorgaben. • Höflichkeit (Netiquette) bei der Signatur sowie Vorsicht mit Datenschutz hilft.
Pflichtangaben bei Unternehmen • Firmenname, Niederlassungsort, Rechtsform (wie im Handelsregister). • Registrierungsnummer im Handelsregister, Verantwortliche und Haftung.
vergleiche: Pflichten bei Rechnungen und Impressum auf Internetseiten.
Sinnfrei • Disclaimer = "Angstklauseln"
Diese E-Mail enthält vertrauliche und/oder rechtlich …
Signaturtrenner
• "-- " Zwei Striche mit Leerzeichen (erlauben das automatische Abtrennen beim Zitieren).
• tools.ietf.org/html/rfc3676 (Ersatz für RFC 2646)
37 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
E-Mail - Signierung
S/MIME • Vorteil: Nachteil:
− praktisch alle Mail-Clients erkennen die Signierung – Zertifikate zeitbegrenzt bzw. haben keine Probleme bei der Darstellung – Wenig Auswahl an kostenfreien Zertifikaten
− Public Key: Mitversand implizit – Public Keys nicht in Datenbanken publiziert
PGP • Vorteil: Nachteil:
− Public Keys in PGP-Datenbanken publizierbar – Mitversand des public Key nur optional
− kostenfrei – manche Mail-Clients haben Probleme
− einfach anwendbar auch für Dateiverschlüsselung mit signierten Mails (z.B. Blackberry)
Meine Empfehlung • Jede E-Mail mit S/MIME signieren (public S/MIME-Key ist automatisch dabei). • Bei Bedarf in einer ersten ersten E-Mail mit public PGP-Key Dateianlage (*.asc). • Bei Bedarf verschlüsseln/signieren möglichst mit PGP. • Hinweis auf eigene public Keys auf Visitenkarte, Webseite, E-Mail-Signatur, …
38 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Angstklauseln im Web und bei E-Mails
Webseiten Datenschutzhinweise Beispiele: • Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. • Wir behandeln Ihre personenbezogenen Daten vertraulich
und entsprechend der gesetzlichen Datenschutzvorschriften. • Wir weisen darauf hin, dass die Datenübertragung im Internet
(z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. • Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
E-Mail Disclaimer Beispiele: • Diese E-Mail enthält vertrauliche und/oder rechtlich… • Die Inhalte dieser Nachricht dürfen nur für die
beabsichtigten Zwecke verwendet werden.
Diese Klauseln sind sinnlos, teils witzig, oft unwahr und juristisch völlig unnötig!
• angstklauseln.wordpress.com • www.causse.de/recht/angstklauseln.html oft gedankenloses Kopieren von eRecht24, …
• oft unwahr! • unnötig!
• sinnlos!
• unrichtig!
39 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Eine sehr seltene, vorbildliche und verschlüsselte E-Mail
40 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Verbesserungspotential für Datenschutz und IT-Sicherheit
Webseiten • Kurze, sinnvolle URLs und aussagekräftige Seitentitel • Loginseiten und Logininformation sicherer gestalten • Gute Browserprüfung und Info zu Javascript und Cookies
Dateien • Kunden- und mitarbeiterfreundlichere Dateinamen • Korrekte Metadaten in PDF- und Bilddateien • Definiertes Document-Life-Cycle und Version-Control
E-Mail-Kommunikation • Verwendung von "-- " Signatur und S/MIME-Signierung • Verzicht auf HTML, Remote-Content und domainfremde URLs
…
Wenige Unternehmen bieten hochgradig sichere und benutzerfreundlich Webseiten an. Kaum ein Unternehmen setzt vorbildliche Dateinamen und E-Mails ein. Der Stand der Technik erlaubt schon lange eine deutlich bessere IT-Sicherheit und Benutzerfreundlichkeit
Web- seiten
Dateien
E-Mails
41 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Einige PSQU-Erfahrung aus beruflichen Tätigkeiten
• 1977 - … Geschäftsführer, Vorstand
• 1980 - 1992 Wissenschaftlicher Mitarbeiter
• 1992 - 1999 Entwicklung/Vertrieb Kabel-TV
• 1999 - 2005 Technischer Leiter Breitbandnetze
• 2005 - 2008 Gruppenleiter Optoelectronics
• 2008 - 2014 Direktor TV-Software-Entwicklung
• 2014 - 2015 Professor Elektrotechnik/IT
• 2014 - … Geschäftsführer IT-Beratung
• 2017 - … Interim-Prof. Nachrichtentechnik
Hobbies • Fahrrad, Joggen, Ski,
Kraft-, Denksport, … • Musik, Foto, TV,
DAM, Digital AV, … • Privacy, Security, Quality
& Usability by Design
Kontakt • [email protected] • [email protected]
42 / 42 | MediaTechnoLogicConsult | 2018-04-26_dinkelsbuehl_eyberg_psu.pdf | v2018-04-27 | [email protected] Copyright © DE Westhausen 2018 by Rudolf Eyberg - all rights reserved
Vielen Dank für Ihre Aufmerksamkeit!
Dr.-Ing. Rudolf Eyberg Managing Director
MediaTechnoLogicConsult
Am Fahrenbach 25 73463 Westhausen
Phone: +49 (0)7363 609 3830 Cell: +49 (0)157 5578 3057 Telefax: +49 (0)7373 609 3831 E-Mail: [email protected] Web: www.mtlc.eu Networks: Linkedin, Xing
Threema: PHRFC3XA Danke sehr für jeden sachdienlichen Hinweis auf Unternehmen mit extrem vorbildlichen Webseiten und E-Mails!
[email protected] • PGP: 4B9B E452 B7A7 1B2F FF50 9DFF 5599 FB4B 1EF8 BD94 • S/MIME: 83:D7:2D:A4:23:33:32:86:89:7E:4A:20:B3:1F:3B:A9:EF:07:CF:3C • Web: www.mtlc.eu/pgp
[email protected] • PGP: F42D B671 145C B5D8 BD10 CF8A ECB4 3E06 8537 E6E5 • S/MIME: 16:EE:C8:6C:8B:05:D6:62:7D:BF:32:B3:13:12:16:FE:63:B8:37:B1 • Profil: www.hs-aalen.de/person/rudolf-eyberg
MediaTechnoLogicConsult www.mtlc.eu
Donation 0,001 Bitcoin
1Fag69EnanAF8fPeeW58fSrWF7h644bA2Z