Amica: „Pornos für Frauen werden immer beliebter“ – ein interessantes Interview mit der mehrfach preisgekrönten Filmemacherin Erika Lust aka Erika Hallqivst.

„Zudem betreibe ich das Online-Kino-Portal ‚Lustcinema.com‚, auf dem man sich die Videos ansehen oder downloaden kann, wann immer man will.“ (Um die gestreamten Filme ansehen zu können, muss man sich registrieren lassen und leider Javascript erlauben.)

Der Artikel ist gewohnt linkfrei, und denen scheint das noch nicht einmal peinlich zu sein. Amica gehört zu Burda und wurde 2009 eingestellt – die Website ist offenbar unter das Dach von Focus geschlüpft. Gut so – ein Medium, dass zu feige ist, die Websites zu verlinken, die in Artikeln sogar erwähnt werden, sollte so schnell wie möglich pleite gehen und verschwinden.

Die Emma wird sogar das ganze Thema verschwiegen (werden), obwohl erfolgreiche Frauen eigentlich zu deren Portfolio gehörten. Deutscher Journalismus at its best: Prüde, feige und Angst vor dem Link ins Internet.

„Über Werbebanner haben Kriminelle versucht, massenhaft Rechner mit Schadsoftware zu infizieren. Auch SPIEGEL ONLINE war betroffen.“

Bruhahahaha. Das ist baer nur wahr, wenn man so dämlich ist und Javascript einschaltet (Java ist bei mir auch deaktiviert) und sich die Werbung antut. Doch wer ist so blöd – außer Spiegel-Online-Redakteuren?

Aber mein Reden hilft nichts, die sind total belehrungsresistent – und nicht nur die. Wer Werbung blockt, ruiniert ja das Geschäftsmodell. Darüber darf kein Wort verloren werden.

Das Netz. Unendliche digitale Weiten. Aber wissen die so genannten „NetzpolitikerInnen“, was das „Netz“ ist? Ein kleiner Test eignet sich für die Selbstauskunft.

1. „World Wide Web“ ist kein Synonym für „Internet“. Könnten Sie in einer Talkshow den Unterschied erklären?

2. Was ist eine „Sina-Box“ und welche Bundesregierung hat große Provider gesetzlich verpflichtet, eine anzuschaffen? Wie heisst dieses Gesetz? [Die SINA-Box ist die Abhörschnittstelle aller großen Provider in Deutschland. die TKÜV 22.01.2002 vom Bundesministerium für Wirtschaft unter der rot-grünen Bundesregierung erlassen.]

3. Können Sie Ihre E-Mails verschlüsseln und bieten Sie auf Ihrer Website Ihren öffentlichen Schlüssel zum Download an? (Wenn Sie hier mit „nein“ antworten, sind Sie keine „Netzpolitikerin“: Jemand, der den Unterschied zwischen einem Brief und einer Postkarte nicht kennt, würde bei der Post noch nicht einmal als Briefträger angestellt.)

4. Können Sie bei Bedarf Ihre IP-Adresse beim Surfen anynomisieren?

5. Was hat „paketorientierte Datenübertragung“ mit Netzneutralität zu tun?

6. Was ist der Unterschied zwischen der Vorratsdatenspeicherung und der TKÜV? [Bei der TKÜV geht es darum, die Inhalte der Kommunikation zu belauschen, bei der Vorratsdatenspeichernung, wer mit wem kommuniziert.]

7. Nennen Sie eine Alternative für Tor beim Surfen im World Wide Web!

8. Haben Sie schon einmal Javascript in Ihrem Browser deaktiviert und wissen Sie, wozu das gut sein könnte?

9. Welches Programm würden sie für IRC benutzen?

10. Welches Land hat, gemessen an seiner Einwohnerzahl, weltweit die meisten Anfragen an Google gerichtet, Inhalte zu zensieren? [Deutschland]

Das Folgende muss man nicht wirklich auf Anhieb und auswendig wissen. Aber kennen Sie sich beim Thema Netz-Folklore aus?

11. Was ist der Kremvax-Hoax? Könnten Sie das Original auf ihren Monitor holen? Wer verfasste ihn? [eunet.politics, Usenet, 01.04.1984]

12. Welche Zeitschrift erfand das Wort „Cyberporn“, und was war der Irrtum des Redakteurs, der die Titelstory dazu schrieb? [Time Magazin, 03.07.19956, der Autor Philip Elmer-Dewitt hatte aber nicht im Internet recherchiert, sondern ausschließlich in Pornografie- Mailboxen (Bulletin Board System). Der Artikel führte aber zu einem der größten Hypes in der Geschichte des Internet über „Kinderpornografie“.]

13. Welche Zeitschrift behauptete, Hacker können fremde private Computer zu einer ferngesteuerten Bombe umprogrammieren? [Das satirische Magazin Weekly World News im Jahr 2000]

14. Die Bielefeld-Verschwörung stammt nicht aus dem „World Wide Web“. Wo wurde sie zuerst veröffentlicht? [1994 im deutschsprachigen Usenet]

15. Was ist der „Good-Times-Hoax„?

16. Für welche Organisation wasr derjenige juristischer Berater, der „Godwin’s Law“ formuliert hat? Und wie lautet Seitz‘ Addendum zu Godwin’s Law? [Mike Godwin beriet die Electronic Frontier Foundation. Seitz‘ Addendum zu Godwin’s Law lautet: „Dito für unpassende Kinderschänder-Vergleiche, allerdings mit der erhöhten Gefahr, dass die Diskussion nicht beendet wird.“

17. Welcher britische Politiker wurde wegen einer Word-Datei der Lüge überführt? [Tony Blair]

18. Wie hieß der Mann, der von einem deutschen Amtsgericht zu zwei Jahren Haft auf Bewährung verurteilt wurde, weil seine Firma ihren Kunden einen Dienst des Internet angeboten hatte? [Felix Somm wurde 1998 wegen „Mittäterschaft“ bei der Verbreitung von Kinder- und Tierpornographie zu zwei Jahren Bewährungsstrafe und der Zahlung von 100.000 Mark verurteilt, weil die Compuserve-Kunden Zugang zu Newgroups des Usenet hatten.]

19. Welcher deutscher Innenminister plante wann, Verschlüsselung für private Nutzer zu verbieten? [Manfred Kanther 1998]

20. Was beeinträchtigte den Hacker, der so mit den Lippen pfeifen konnte, dass sich der Gebührenzähler seiner Telefonfirma ausschaltete und er gratis telefonieren konnte – und wie hieß er? [Joe Engressia war blind.]

21. Was war das Neue an der Software SATAN? [SATAN (Security Administrator Tool for Analyzing Networks) bot zum ersten Mal eine grafische Oberfläche zur Netzwerkanalyse]

Wenn Sie nicht mindestens 15 Fragen mit „ja“ oder richtig beantworten können (ohne die Hilfe einer Suchmaschine), sind Sie kein(e) Netzpolitiker(in), sondern sollten sich zunächst informieren, was das „Internet“ eigentlich ist. Aber da man in Bayern sogar Verkehrminister werden kann, wenn man einen Menschen totgefahren hat, wird Sie mein gut gemeinter Rat nicht interessieren.

[Javascript muss ausnahmsweise eingeschaltet werden.]

^{Burks.de-exklusiv: Die chinesische Hackerin 你是如此的可爱 manipuliert einen Journalisten der New York Times via Webcam, eine E-Mail mit dem Attachment 安装自己.exe anzuklicken.}

„Wie die Hacker sich ursprünglich Zugang zu den Systemen der Zeitung verschafften, ist nicht geklärt“, schreibt SpOn über die New York Times, deren Rechner mit Malware verseucht waren, die angeblich aus China stammt. „Computerexperten vermuten, dazu seien manipulierte E-Mails an Mitarbeiter des Blattes verschickt worden“.

Ach ja, wenn unsere Computerexperten anfangen zu vermuten, dann wird es immer spannend. Vermutlich arbeiten die Computerexperten auch beim Berliner Flughafen mit.

Ferndiagnostizieren wir mal: Die New York Times schreibt per default nur elektronische Postkarten. Es gibt keine vernünftige E-Mail-Policy. Die Journalisten wurden nicht geschult, sondern man verließ sich die auf „EDV-Abteilung“ im Keller und nutzlose Virenscanner. Alle Browser erlauben Javascript und sind für Phishing anfällig. Noch weitere Vorschläge? Nein, ich habe kein Mitleid. Bei der New York Times ist es eben wie bei deutschen Medien auch.

„Die Messgeräte“ schlugen an, formuliert Spiegel online. Was machen die denn da? Benutzen die einen Geigerzähler, um verdächtige Attachments zu untersuchen?

By the way: Ich hatte der größten deutschen Fortbildungsanstalt für Journalisten im August eine Seminarreihe angeboten. Als ich drei Monate später anrief, weil niemand reagierte, entschuldigte man sich, man fände mein E-Mail nicht, die wäre „vermutlich“ in einen Spam-Filter geraten. Mein Seminarangebot wurde abgelehnt, am Thema „E-Mail-Sicherheit“, Verschlüsselung und Sicherheit beim Surfen bestünde „kein Interesse“ bei den Kolleginnen und Kollegen.

Quod erat demonstrandum. Also bitte weitermachen, Chinesen oder wer auch immer! Macht alles kaputt und späht sie aus. Sie haben es nicht anders gewollt.

Ich hatte schon länger nach einer Alternative für Skype gesucht. Durch einen Hinweis in einem Forum wurde ich auf Trillian aufmerksam. Ich bin ein misstrausicher Mensch und informiere mich erst einmal, genau so wie ich es mit Pillen machen würde:

Trillian ist ein Multi-Protokoll-Client für Windows, Mac, Android, iOS und BlackBerry der Firma Cerulean Studios. Es existiert weiterhin eine clientunabhängige Webversion (Zugang via Webbrowser). Dieser ermöglicht es, über verschiedene Protokolle auch mit Personen zu kommunizieren, die andere Instant Messenger oder soziale Netzwerke einsetzen. Mit den aktuell erhältlichen Version kann man mit Nutzern der Instant Messaging-Netzwerke Astra, AIM, Google Talk, Facebook, ICQ, XMPP, Windows Live Messenger, Yahoo! Messenger, Skype, und IRC per Textchat kommunizieren.

Das Programm scheint also eine Art eierlegende Wollmichsau zu sein. Es kann sowohl Internet Relay Chat als auch Skype.

Merke: „Ich frage mich immer, wie man so dämlich sein kann anzunehmen, daß es so etwas wie eine kostenlose Dienstleistung geben könne. Nach meiner Erfahrung gilt immer noch: wenn Dir etwas kostenlos angeboten wird, bist Du nicht der Kunde, sondern das Produkt, mit dem der Anbieter sein Geld verdient.“

Wo also ist der Haken, wenn einem ein nützliches Programm gatis angeboten wird? Ich verhalte mich anders als die meisten Menschen und lese, schon aus Neugier und um mein Englisch zu verbessern, auch das Kleingedruckte aka Privacy Policy:
Cerulean Studios is committed to protecting the security of your personal information. We use a variety of security technologies and procedures to help protect your personal information from unauthorized access, use, or disclosure. For example, we store the personal information you provide on computer systems with limited access, which are located in controlled facilities

Controlled Facilities. Da ist man doch gleich „beruhigt“. Jeder DAU meint ja auch, dass er oder sie die „Facilities“ kontrolliere, was aber meistens gar nicht der Fall ist. Der Witz ist aber: Einem vernünftigen Menschen mit vernünftigen Voreinstellungen des Browsers passiert eh nichte. Ich habe in den Paragrafen bei Trillian auch nichts gefunden, was den Rahmen des Üblichen sprengen würde.

Natürlich versucht einem der Installer allen möglichen Quatsch anzudrehen. Das ist das Geschäftsmodell. Vor allem diese unsägliche Tracking-Software, die „Toolbar“ genannt wird und die den Rechner bzw. den Browser befällt wie eine heimtückische Seuche und nur mit den härtesten Mitteln wieder zu entfernen ist. Deshalb immer nein nein nein nein klicken. Nie etwas erlauben. Ich wollte nur Trillian, ich wollte keinen anderen Mist!

Fazit: Trillian ist uneingeschränkt gut. Man kann sich auch in den Skype-Account einloggen. IRC ist kein Problem-

Twitter zum Beispiel verlangt vom Browser, dass man sich nackt auszieht und alle Daten herausrückt. Sonst kann man nichts schreiben. (Ich erlaube aber keine Cookies und kein Javascript. Basta.) Das Problem hatte ich gelöst, indem ich für Websites, die meine Daten haben wollen, den Browser SRW Iron benutze – und nur dort. Mein Surfverhalten geht niemanden etwas an. Mit Trillian ist es jetzt etwas einfacher. Skype habe ich auf allen Rechnern deinstalliert.

Neuer Beruf: „Penetrationstester“ – vielleicht habe ich doch meinen Beruf verfehlt.

Der Deutsche Wortschatz sagt:
Sachgebiet: Chemie
Technik allgemein
Sex
Morphologie: penetr|at|i|on
Grammatikangaben: Wortart: Substantiv
Geschlecht: weiblich
Flexion: die Penetration, der Penetration, der Penetration, die Penetration
die Penetrationen, der Penetrationen, den Penetrationen, die Penetrationen
Pragmatikangaben: etym: lat.

Interessante Auskünfte gibt auch das Digitale Wörterbuch der deutschen Sprache (geht leider nur mit Javascript) zum Thema „Penetration“.

Zu welchem bescheuerten Online-Verhalten will mich denn die Berliner Boulevard-Zeitung BZ Berlin hier erziehen? Ich vermute, dass „Canvas element“ etwas mit einer falsch gestellten S-Bahn-Weiche meinem ausgeschalteten Javascript zu tun hat?

Gestern hatte ich ein interessantes Problem zu verstehen und zu lösen: Mein Firefox-Browser wollte und durfte Google nicht mehr benutzen, ohne ein Captcha vorher eingegeben zu haben. Begründung: Man habe ungewöhnlichen Traffic „von meinem Computer“ aus festgestellt. Potztausend – was erlauben Google?

Was hatte ich gemacht? Einer meiner Rechner und der Laptop waren in der Nacht online geblieben, um mit einem Text-Viewer mehrere Avatare auf einer Sim herumstehen zu lassen. Das kann es ja wohl nicht gewesen sein, dachte ich spontan, und mit dem „Terms of Service“ hat es auch nichts zu tun.

Was bietet Google an Erklärungen an? Angeblich könne es sich um Malware („malicious“) auf meinem Rechner handeln – man wird also auf Websites zum Erwerb und Download von „Virenscannern“ und anderen Placebos weitergeleitet. Da ich so etwa noch nie besessen habe, weil ich mich vernünftig verhalte und nichts ohne meine ausdrückliche Genehmigung auf meinen Rechner kommt, war ich natürlich schon auf 180. Zudem konnte ich selbstredend das Captcha sowieso nicht eingeben, weil man dazu alles Mögliche – unter anderem Cookies – erlauben muss. Ich weigere mich. Google auch nur einen Finger hinzustrecken – schon aus Prinzip. Ihr kriegt meine Cookies niccht!

Mein Zweitbrowser SRWare Iron konnte Google nach Eingabe des Captchas aufrufen. SRWare Iron nutze ich nur für ganz bestimmte Seiten wie Twtter, LiquidFeedback, Ebay oder Second Life Marketplace, wo man Cookies und eventuell auch Javascript erlauben muss.

Dennoch konnte ich danach immer noch nicht Google per Firefox benutzen. Das machte mich stutzig – war „mein Computer“ in Google-Sprech etwa doch nicht meine IP-Adresse? Ich probierte ein paar Variablen durch: Die Captcha-Website kam auch bei meinem Laptop und sogar mit meinem Linux-Rechner. Das Gefasel von „malicious software“ war sowieso wieder die übliche Volksverdummung. Ergo lag es also doch an meiner IP-Adresse. Die aber ist dynamisch und nicht immer dieselbe.

Dann habe ich auf allen Rechner JonDo eingeschaltet, um anonym zu surfen. Google akzeptierte meinen Firefox klaglos ohne Captcha. Am nächsten Tag war es genau das Gleiche.

Ein Freund, mit dem ich die Affäre besprach, sagte, das käme auch manchmal vor, wenn man Tor benutzte – wenn mit der IP-Adresse vorher – von einem anderen Nutzer – irgendein Unsinn angestellt worden war. Also hilft ein Router-Resetting von mehreren Minuten.

Irgendein T-Online-Nutzer musste also vorher Google unangenehm aufgefallen sein, und ich musste die „Sperre“ der IP-Adresse dann ausbaden. Das hat mich weniger geärgert als der irreführende Quatsch, den Google verbreitet, um zu „erklären“, warum ein Captcha notwendig sei, und die Links zu „Anti-Viren-Software“, an denen Google wahrscheinlich auch noch verdient.

Google hat mich als „Kunden“ verloren. Ich benutze jetzt mit allen Rechner und Browsern StartPage als Suchmaschine und Startseite. Das hätte ich schon viel eher machen sollen.

[Update] Heise: „Google fordert Captcha-Eingabe von Suchmaschinennutzern“

Diesen Screenshot bekam ich gestern von einer Kollegin zugeschickt. Schlimm, schlimm, dieser Burks – der versteckt sogar Trojaner auf seiner Website, wenn man der Regenzauber-Software dem Anti-Viren-Placebo diesem „Virenscanner“ glauben will.

Welt online: „Er hackte ihre Konten, griff auf private Fotos und Informationen zu und verbreitete sie im Internet.“

Da wüsste man doch zu gern, wie der „gehackt“ hat: Jemand, der seinen Beruf ernst nimmt als Journalist, würde das recherchieren und dem Publikum erklären.

Hat Christopher Chaney Beschwörungsformeln vor seinem Monitor gemurmelt? „Abrakadabra, jetzt onlinedurchsuche ich dich!“ Oder wie?

Auf solch schwachsinniger Berichterstattung basieren die Computer-Mythen in Fernseh-Krimis und in Filmen – und in den Köpfen der DAUs.

Der Hacker ist der Schamane des 21. Jahrhunderts und wird von der ahnungslosen Journaille mit magischen Fertigkeiten ausgestattet wie der Zauberer eines Dorfes in Papua-Neuguinea. (Ja, das hatte ich vor fünf Jahren schon einmal geschrieben).

Guckst du bei Sawf News: „The photos of Christina Aguilera being leaked to the press were illegally obtained by a hacker who tapped into Christina’s personal stylist’s account“.

Aha. Ein Phishing-Angiff auf die E-Mail-Accounts des sozialen Umfelds der Opfer – technisches social engineering sozusagen.

Das funktioniert, weil DAUs mit eingeschaltetem Javascript surfen und E-Mails in HTML-Format erlauben. (Das ist leider ab Werk in den meisten E-Mail-Programmen so eingestellt, das kann man aber ändern!)

Nein, das ist kein Scherz. Die meinen das im Ernst (Vorsicht, gawker.com erzwingt Javascript).

Facebook, it appears, will delete pretty tame stuff. For example, any of the following content will be deleted, according to the guidelines:
Blatant (obvious) depiction of camel toes and moose knuckles.
Mothers breastfeeding without clothes on.
Sex toys or other objects, but only in the context of sexual activity.
Depicting sexual fetishes in any form.
ANY photoshopped images of people, whether negative, positive or neutral.
Images of drunk and unconscious people , or sleeping people with things drawn on their face.
Violent speech (Example: „I love hearing skulls crack.“).
When it comes to sex and nudity, Facebook is strictly PG-13, according to the guidelines. Obvious sexual activity, even clothed, is deleted, as are „naked ‘private parts‘ including female nipple bulges and naked butt cracks.“ But „male nipples are OK.“

Die sind doch nicht mehr ganz dicht bei Fratzenbuch – aber auch nicht schlimmer als deutsche Jugendschutzwarte.

Ich frage mich manchmal, ob die so genannten „Webdesigner“, die für den Quellcode diverser deutscher Medien-Websites verantwortlich sind, irgendwann auf die Idee kommen, das Ergebnis ihrer Schlamperei mit einem anderen Browser als dem Internet Explorer anzusehen oder ob die schon mal etwas davon gehört haben, dass sich eine winzig kleine Minderheit der Surfer um ihre Sicherheit Gedanken macht und mit den dementsprechenden Brower-Einstellungen unterwegs ist. Die Antowrt ist natürlich: nein. So sieht die „Internet-Präsenz“ von Spiegel Online und vom Berliner Tagesspiegel bei mir aus. Pappnasen eben.

Internet-Voodoo mit Spiegel Online: „Die Kriminellen hatten die Rechner unter anderem mit der Schadsoftware namens DNS-Changer infiziert, welche die DNS-Einstellungen der Rechner manipulierte.“

Sehr hübsch. Mehr davon. Ich wüsste ja nur zu gern, wie die pöhsen Kriminellen das gemacht haben? Haben sie ein Feuer entzündet, magische Formeln gesprochen und sind herumgehüpft? Ein ernsthafter journalistischer Artikel hätte sich mit der Frage befasst, warum die Mehrheit der Nutzer so bekloppt ist, sich Schadsoftware auf den Rechner beamen zu lassen und wer sie täglich dazu erzieht (Webdesigner und Datenkraken, die uns zu Javascript und Cookies zwingen wollen).

Sehr geehrte Pappnasen: Das ist Astrologie, kein Journalismus. „Ausgenutzt haben die Täter diese Möglichkeiten dem FBI zufolge zum Beispiel so: Anwender, die Apples offizielle iTunes-Seite aufrufen wollten, seien zum Angebot eines Unternehmens umgeleitet worden, das mit Apple in keinerlei Beziehung stehe und vorgab, Apple-Software zu verkaufen.“

Ach ja? Es geht also nur um Leute, die ITunes benutzen? Zum Beispiel? Und wie geht es noch? Und warum steht das Wort „ausgenutzt“ am Beginn des Satzes, was den Sitten, Regeln und Gebräuchen des Deutschen krass widerspricht?

Abgeheftet habe ich dieses Geschmiere unter der Rubrik „Deutsch des Grauens“. Welcher Praktikant durfte da wieder was schreiben? Ach nein, es ist der Ressortleiter Netzwelt bei Spiegel Online. Qood erat demonstrandum.

„Die kriminellen Betreiber des DNS-Changer-Netzwerks installierten demnach sogenannte Rootkits auf den Rechnern ihrer Opfer. Das sind Schädlinge, die tief im Betriebssystem des Computers wurzeln und schwer wieder zu entfernen sind“. Neiiiiiiiin! Die Nutzer haben sich infizieren lassen – freiwillig, weil sie zu dämlich, faul und ignorant waren, sich um ihre Sicherheit zu kümmern!

Update: Noch dümmer formuliert die Tagesschau: „US-Hacker greifen Zehntausende Computer an“. Leute, eure Ignoranz kotzt mich einfach nur an.

Das ist ja mal origineller gemacht als üblich – nur „allfällig“ dürfte auffallen:

^{Mastercard Securcode Kartenverfizierung}

^{Sehr geehrte(r) Herr / Frau,
Wegen sicherheitstechnischen Mängeln in diversen größeren Sicherheitsfirmen in Deutschland sind wir gezwungen, unsere Kunden einer Kartenverifizierung zu unterziehen. Wenn Sie eine Mastercard besitzen, empfehlen wir Ihnen, diese Kartenverifizierung dringend durchzuführen um eine allfällige Kartensperrung zu verhindern.
Wenn Sie Ihre Karte nicht verifizieren, sehen wir uns gezwungen, diese binnen 2 Tagen zu Ihrem Schutz zu sperren. Hierzu besuchen Sie die unten aufgeführte Seite:
Jetzt Verifizieren! http://urlin.it/22cd9> [Der Link geht jetzt zu Whois, B.S.]
Tragen Sie Ihre Daten ein und vergewissern Sie sich nochmals, dass diese korrekt eingetragen wurden, damit die Verifizierung erfolgreich verlaufen kann.Herzlichen Dank für Ihr Verständnis.
Harald Fischer
Representative Office Germany
Unterschweinstiege 2-14
60549 Frankfurt/Main
Mastercard Sicherheitsteam Deutschland}

Diese E-Mail von Kriminellen (ein Phishing-Versuch) ist der 23787463ste Grund, Javascript beim Surfen auszustellen und keine HTML-Mails zuzulassen.

Aber ich weiß, dass man menschliches Verhalten nicht ändern kann und dass ein Dödel ein Dödel und ein DAU ein DAU bleibt und dass niemand auf mich hören will. Wer nicht hören will, muss dann eben fühlen und Stunden aufbringen, um den verwanzten und versuchten Rechner wieder zu reparieren.

Nein, tu ich nicht, ihr Pappnasen von der ARD! Warum sollte ich? Weil Ihr nicht in der Lage seid, eine für Nutzer sichere und barrierefreie Website zu bauen? Wo kämen wir denn da hin! (Zum merkbefreiten Lautsprecher Bosbach fällt mir eh nichts mehr ein.)

Jetzt raunt und hackt es wieder im deutschen Blätterwald. Das Internet ist ja sooo gefährlich! Und erst die pöhsen Chinesen! Ganz viele Rechner wurden „gehackt“, schreibt das ehemalige Nachrichtenmagazin Spiegel online und häckselt den Artikel in vielen kleine Abschnitte, um die Klickraten zu erhöhen:

„Den Analysen der Sicherheitsexperten zufolge nutzten die Angreifer traditionelle Phishing-Methoden: Sie schickten fingierte E-Mails an Mitarbeiter der Zielobjekte, die über die nötigen Zugriffsrechte für das jeweilige Computernetzwerk verfügten. Sobald die Opfer diese Mails öffneten oder auf einen darin enthaltenen Link klickten, lud der Trojaner weitere Schadsoftware.“

Und alle plappern es nach und fallen auf die PR-Kampagne von McAfee herein. Das sind Lobbyisten bei McAfee! (Und wie viele unabhängige Quellen hattet ihr eigentlich?)

Noch mal ganz langsam zum Mitschreiben: Wie kann ein Unternehmen so bescheuert sein, dass die Mitarbeiter auf Phishing-Angriffe hereinfallen? Ich weiß es: Man erlaubt E-Mails in HTML und surft mit Javascript. Wie in allen deutschen Medienanstalten auch üblich.

Euch ist einfach nicht zu helfen. Oder: Dummheit muss bestraft werden. Meine Schadenfreude ist groß, aber auch mein Ärger über die gewohnt dämliche Berichterstattung, die den Lesern das Wesentliche vorenthält: Niemand kann sich irgendwo „reinhacken“, wenn das nicht irgendein Idiot zulässt.

Ich zeige Euch was – diese E-Mail bekam ich gestern:

Date 2011.08.01
Aktuelle jдhrliche Berechnung Ihrer steuerlichen Tдtigkeit haben wir festgestellt, dass Sie haben Anspruch auf eine Steuerrьckerstattung von 431,10 EUR erhalten. Bitte senden Sie eine verifizierte Steuererstattung Anfrage und lassen uns von 1-3 Tagen in Oder, um es zu verarbeiten.

Eine Erstattung kann fьr eine Vielzahl von Grьnden verzцgert. zum Beispiel Vorlage ungьltige Datensдtze oder die Anwendung nach Ablauf der Frist.

Bitte downloa Datei in E-Mail mit dem Namen „Ьberprьfen Formular“ angehдngt fьr die Neugrьndung 431,10 EUR

Mit freundlichen GrьЯen,
Deutsche Postbank AG
Copyright © 2010. Alle Rechte vorbehalten.

Das Attachement war eine HTML-Datei. Ich kann die natürlich gefahrlos öffnen, da ich dem Browser verbiete, irgendwelche aktiven Inhalte zu laden. (Surft noch irgendein dümmster anzunehmende User mit eingeschaltetem Jacascript? Ja? Quod erat demonstrandum.)

Die HTML-Datei – das Attachment (vgl. oben) – sieht auf den ersten Blick wie die Login-Website der Postbank aus. Aber der Quellcode ist aufschlussreich:

Noch Fragen? Ich habe übrigens beim LKA Berlin Strafanzeige gegen Unbekannt wegen Betrugsversuchs gestellt. Die haben alles bekommen, was sie brauchen. Mal sehen, was daraus wird.

Der Regierende Bürgermeister von Berlin
Senatskanzlei
Landesredaktion Berlin.de
Berliner Rathaus; 10178 Berlin
Tel. (030) 9026-2435; Fax. (030) 9026-2285
E-Mail: landesredaktion@berlin.de
Ihre Nachricht:
Der Stadtplan von Berlin ist ohna Javascript nicht zu benutzen und also nicht barrierefrei. Das BSI empfiehlt Nutzern, Javascript beim Surfen auszustellen. Behörden müssen eine barrierefreie Website anbieten. Warum macht das berlin.de nicht?

Sehr geehrter Herr Schröder,
sie haben Recht. Der Stadtplan ist leider nicht barrierefrei. Er muss allerdings nicht zwingend barrierefrei sein, da sich die Seite außerhalb des Verwaltungsangebots von www.berlin.de befindet. Der Stadtplan ist sozusagen auf dem privaten Teil des Angebotes. Aber wir sind natürlich daran interessiert die komplette Seite barrierefrei zu gestalten. Wir haben die Umgestaltung in unsere Agenda aufgenommen und versuchen bei freien Ressourcen diese zu bearbeiten. Eine barrierefreie Variante des Stadtplanes finden Sie auf www.berlinonline.de/citymap.
Mit freundlichen Grüßen
(…) landesredaktion@berlin.de

Ein Leserkommentar im Heise-Forum: „Wenn eine Firma oder Institution, erst recht, wenn diese mit sensiblen Daten zu tun hat, ihre Mitarbeiter nicht halbwegs zu schulen in der Lage ist, wie man mit solchen Mails umzugehen und dass man eben nicht wahllos auf Links zu klicken hat … sorry, dann hat sie es einfach nicht anders verdient als ausspioniert zu werden. Vermutlich findet man in den Papiermüll-Containern hinterm Haus auch massenhaft Akten in einwandfreiem Zustand inkl. Stempel ‚Streng geheim!'“

Ich finde, dass man eine Firma, die keine vernünftige E-Mail-Policy hat, deren Mitarbeiter noch nicht einmal mit Javascript umgehen können und die so doof sind, dass sie auf Phishing hereinfallen, sogar noch Strafe zahlen müsste.