Der Jurist schrieb:
Lieber DD,
ist Dir bewußt, was Du gerade gesagt hast. Das bedeutet, dass im E-Commerce, als nicht nur bei Dialern, kein Vertrag belegbar abzuschließen ist, wenn man etwa vom Einsatz von qualifizierten Signaturen absieht.
Lieber Jurist,
Vielen Dank, das wenigsten Du meiner Argumentation folgst.
Ja und Nein!
Ja, es kann kein Vertrag bei gängigen Paymentarten belegbar und vorallem zweifelsfrei geschlossen werden im Internet. Nein, (das mag zwar überraschen, aber) der Einsatz qualifizierter Signaturen ist davon nach meinem Wissensstand NICHT vollständig ausgenommen. Ob es auch für zukünftige Systeme 100%ige Sicherheit geben wird, will ich nicht vollständig ausschliessen, aber zumindest stark anzweifeln.
Ein bösartiges Programm fungiert als Proxy zwischen der Kommunikation mit dem Paymentsystem des Anbieters. Alle sicherheitsrelevanten Daten vom Anbieter werden durch eigene ersetzt und dem User angezeigt oder auch nicht (je nachdem noch eine PIN oder TAN erforderlich ist), die Eingaben des Users werden verwendet um die Anwort an das Paymentsystem zu fälschen.
Dazu ein Beispiel: Wir bleiben bei meinem erwähnen Trojaner der das Onlinbanking manipuliert. Mein Programm (natürlich nicht meins, aber ich begebe mich mal in die Rolle des Angreifers) manipuliert als erstes die berühmte Host-Datei des Windowssystems. Der User tippt die Url seiner Bank ein, die aber auf "magische" Weise auf meine eigene Seiten zeigt, die rein zufällig genauso aussehen. Die Angaben zum aktuellen Kontostand und auch die namentliche Begrüssung holt mein Programm über eine parallele Verbindung von der Orginalseite ab. Passwort und TAN's werden einfach vom User entgegen genommen, allerdings mit anderem Betrag und neuer Kontonummer an die Bank geschickt. So, wenn der User fertig ist, beseitige ich sorgfältig alle Spuren und mein Programm selbst. Der User hat als einzigen Beweis, das er nur seine 5 Euro zahlen wollte, seine Erinnerung.
Sämtliche Protokolle von Bank, Provider und sogar sein eigener Cache (den habe ich natürlich nicht vergessen) sagen etwas anderes. Schade nicht mal Anscheinensbeweise gibt es.
Auch die sichere Verbindung (HTTPS) ändert nichts an der Sache. Die Verwendung asynchroner Verschlüsselungsverfahren sind nicht immun gegen die berühmte Man-In-The-Middle-Attack. Mein Programm erzeugt einfach neue Schlüsselpaare und schiebt die anstelle der orginalen vor.
Sicher kann es eigendlich nur werden durch eine qualifizierte digitale Signatur des Users, die allerdings, wenn mal beantragt auch nur per Post verschickt wird.... ok, ok, ich gebe zu mein Proggi kann leider nicht im Briefkasten nachschauen, aber ich kann doch mal schauen ob "mein User" nicht mal ausversehen die zugehörige PIN im Rechner eintippt um eine Email zu signieren. Das bissel Hardwareansteuerung des Kartenlesers ist ja nicht wirklich ein Problem....
Ok, reicht! Fazit dazu: Ich will weder Illusionen über Sicherheit im Internet zerstören (ich muss zugeben, der geschilderte Fall kostet schon ne ganze Menge Programmierzeit, also Kosten-Nutzen-Verhältnis sind schon ziemlich strapaziert), noch will ich, wie mir vieleicht von einigen unterstellt wird, von den Misständen der gegenwärtigen Situation ablenken. Auch will ich nicht, das ihr meine Interessen oder Ansichten als "einer der Branche" teilt. Ich versuche lediglich beim Thema zu bleiben: Wie kann man sinnvoll gegen diese ferngesteuerte Zustimmungserklärung und dem generellen Missbrauch von Dialern vorgehen? Und mein Standpunkt, wie meine Argumente gehen dahin, das vollständige Sicherheit nicht möglich ist, und man sich auf den Einzelfall konzentrieren sollte, statt beim Versuch eine generellen Lösungen einzuführen, mehr Schaden anrichtet als Nutzen erzielen könnte.
Der Jurist schrieb:
Wenn dem aber so ist. Dann wird der Markt es richten. Dann ist die Geschäftsidee Dialer erledigt, es sei denn die Nutzer zahlen "freiwillig".
Leider nicht ganz, diese Sicherheitsaspekte betreffen ALLE Verfahren des Vertragsschlusses im Internet und in der Telekommunikation (übrigends incl. der qualifizierten digitalen Signatur, für die es ein Gesetz gibt, und so sicher ist, das kein Schwein es nutzt :lol: ). Nicht der Dialer wäre erledigt, Mehrwertedienste und Rechtssicherheit im Internet wären erledigt. Angesichts der Fakten sind sie es auch, ABER es gibt ja noch einen Bedarf von beiden Seiten. Und der verdrängt natürlich die Risiken.
Auch hier nicht monierten Bezahlmethoden wie Creditcard und Lastschrift weisen genauso große Lücken auf. Bezahlung per Voice-Call: was hindert ein Programm per Modem eine Voicenummer anzuwählen? Wie will ein User aus der Schweiz nachweisen, das er die Nummer nicht von Hand gewählt hat? Wie will ein schweizer Carrier nachweisen, das es nicht doch so sein könnte? Weder der Anbieter kann sicher sein, das sein Dienst nicht missbraucht wird (sei es auch nur um ihn zu dikreditieren), noch kann der User wissen, das seine Aktionen bei der Gegenstelle ungefälscht ankommen.
Und die Ursache liegt nur in der Möglichkeit Trojaner unbemerkt auf den Userrechner zu bringen. Ich lasse mich glatt dazu hinreissen, das jeder mir ein Verfahren nennen kann, das er für "sicher" hält, und ich ihm sage, wie es ausgehebelt werden kann mittels "meines" Trojaners. Was mich wieder zur Ursache meines Einmischens bringt: Das Problem ist die Hintertür und NICHT der Dialer selbst, deswegen sind die gesetzlichen Regelungen ausreichend. (Mit Servicepack2 und der geplanten neuen Verfügung erst recht, die wir im Übrigen begrüßen; wers dann nich schnallt... :roll: )
ok, soll reichen!
Danke an Dich Jurist für Deine Aufmerksamkeit, dank an alle, die die Geduld aufbringen konnten meinen Text zu Ende zu lesen.
Noch ein paar persönliche Komentare:
@Teleton: der überwiegende Anteil, die geächteten 30€-Angebote sind zwar leider momentan eine, naja ich will mal sagen, Modeerscheinung bei einigen Anbietern, aber der überwiegende Teil der Anbieter verlangt minutenbasierende Tarife. Tendenziell ist die Ablehnung der teuren Flattarife erkennbar, viele schauen lieber mal gerne kurz rein, ob das Angebot passt und halten sich somit eine intensivere Nutzung und damit verbundene Kosten offen.
@piccard: ja, ich hatte mich erst kürzlich angemeldet, weil ich vor hatte, hier weiter zu posten, und vermeiden wollte, meinen namen zu vergessen, wie es mir schon passiert ist, aber ich bin der selbe. Wie du dir sicher sein kannst? tja... siehe oben thema Sicherheit!
@dvill: Ja, Andreas weiss, wie ich meine Zeit verplemper, da er sieht welche Postings ich hier lesen MUSS um zu entscheiden, ob ich darauf eingehen sollte.
@andere oder gleiche Zwischenrufer
Sollten dir die Ideen ausgehen, lass es mich wissen, ich poste gerne ein paar alte Passbilder von mir, damit du auch noch über mein Aussehen herziehen kannst..... :roll:
