leyrers online pamphlet

Von der Österreichischen Datenschutzkommission geprüft und bestätigt

Ich habe ein neues Fahrrad (ja, das wäre Thema für einen eigenen Blogeintrag). Dieses wollte ich mir für den Diebstahlsfall „codieren” lassen. Down another rabbit hole we go.

Eine erste DuckDuckGo Suche ergibt, dass die österreichische Polizei/das Innenministerium diesen Dienst nicht mehr anbietet (Thema für einen eigenen Rant). Bei der Suche stolpert mensch dann über http://www.polizei-fahrrad.at/ aka. „Bundesministerium für Inneres - Polizei - Fahrradcodierung”. Und nein, die Domain mit der dazugehörigen 1990er Gedenkseite gehört nicht dem BMI, sonder der einem nicht genannten Kunden der World4You Internet Services GmbH.

Anyways – wesentlich hilfreicher war da schon „Fahrradcodierung - sedl.at”. Hier gab es einen praktischen Hinweis auf fase24.at.

Auf den ersten Blick ja schon recht brauchbar, der ÖAMTC ist auch Registrierungsstelle, in meinem Umfeld haben auch schon ein paar Personen diesen Dienst genutzt. Österreichisches Unternehmen. Schaut gut aus. Aber dann …

„Allgemeine Geschäftsbedingungen” werden, wie so oft, abgekürzt mit einem weiteren Plural versehen – „AGBs”, also Allgemeine GeschäftsbedingungenS – ist ja heutzutage leider üblich. *Seufz*. Gendering sucht mensch auch noch vergeblich. Aber nach dem folgenden Absatz musste ich dann aber wirklich den Kaffee vom Bildschirm putzen:

10.3 fase24 wurde von der – Österreichischen Datenschutzkommission geprüft und bestätigt.

Ja, mit dem obskuren Bindestrich drinnen und allem.

Die österreichische Datenschutzkommission, der zahnloseste Löwe in der Menagerie der Österreichischen Ministerien und Kommissionen, jende DSB, die chronisch unterbesetzt ist und kaum bis kein technisches Wissen intern hat, soll fase24 „geprüft” haben? Seriöslich? Da bin ich neugierig geworden.

OK, der Server dürfte zumindest mal in DE stehen. Nicht so übel.

traceroute --resolve-hostnames fase24.at
traceroute to fase24.at (192.0.78.219), 64 hops max
  1   [Snip] 
  2   [Snip]
  3   [Snip]
  4   [Snip]
  5   62.53.0.5 (ae5-0.0001.corx.01.off.de.net.telefonica.de)  16,536ms  16,030ms  15,624ms 
  6   62.53.14.163 (bundle-ether1.0003.dbrx.02.fra.de.net.telefonica.de)  14,757ms  13,260ms  13,455ms 
  7   62.53.10.51 (bundle-ether1.0005.prrx.02.fra.de.net.telefonica.de)  12,657ms  11,083ms  11,459ms 
  8   80.81.193.69 (edge-a01.fra.automattic.net)  11,938ms  10,903ms  11,272ms 
  9   192.0.78.219 (192.0.78.219)  13,799ms  13,743ms  13,730ms

Allerdings gehören die Server dem in den USA beheimateten Unternehmen Automattic (bekannt in Film, Funk und Fernsehen durch „WordPress”). Damit läuft fase24 schon mal in den „Clarifying Lawful Overseas Use of Data Act” aka. „CLOUD Act”, §103(a)(1), der USA:

A [service provider] shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession,custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Baba, personenbezogene Daten.

Damit ist es auch nicht überraschend, dass die Webpage selber dann auch schon eher meh ist. Hier wird bereits heftig von Google und Wordpress mitprotokolliert, wer die Seite besucht.

uMatrix Screeshot mit geblocktem Googl eund Wordpress Inhalten

Ist ja auch „praktisch”. So kann Google den NutzerInnen von fase24 dann überall gleich Werbung für Fahrradzubehör schalten. Yay! NOT!

Während bei den „normalen” Seiten und den Schadensmeldungen halt das mittlerweile leider übliche „nein, wie fragen dich nicht vorher, ob wir Deine Daten (IP, …) an Drittanbieter weitergeben dürfen”, wie es die DSGVO eigentlich vorsieht (und wofür es für self-hostes Wordpress Instanzen auch Plugins gibt), herrscht, wird es bei der Registrierung (Händler wie Endkunden) wirklich gruselig.

Hier landen wir nun nach dem dem relativ stabilen und sicheren Wordpress in einer Microsoft ASP.NET Anwendung, „Designed and developed by fase24” (Anm.: Das sieht man).

Screenshot Fase24 - Fahrradregistrierung

Seht ihr das Icon in der Adresszeile, das ich nochmals rot hervorgehoben habe? Jup, das ist eine „mixed content” Warnung. In 2020.

Screenshot Screenshot mixed content Warnung

Wir sind hier auch auf eine neue Site/Domain übersiedelt. Nämlich fase24-registrierungen.at. Diese wird wunderbar bei Microsoft gehostet. Damit gilt natürlich das oben gesagte zum CLOUD Act und wir „verlieren” nun auch noch zusätzich Daten zu Microsoft und ihren msecnd.net Servern. Natürlich ebenso ohne Zustimmung der EndbenutzerInnen.

Nachdem es sich bei Microsoft um ein in den USA beheimatetes Unternehmen handelt, gilt neben dem bereits erwähnten CLOUD Act natürlich auch die Folgenkette des durch Max Schrems zu Fall gebrachten „EU-US-Privacy-Shield”. So führt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz in einer FAQ zu dem Urteil Stand: 24.7.2020 aus:

Datenübermittlungen auf Grundlage des EU-U.S.-Datenschutzschilds sind seit dem Urteilspruch rechtswidrig. Die Gewährung einer Karenzzeit durch die Aufsichtsbehörden sehen weder das Urteil noch die DS-GVO vor.

Nachdem diese Aussage auf dem EU-Konstrukt der DSGVO basiert, ist sie durchaus auch für Österreich anwendbar.

An der ASPX Anwendung selbst will ich jetzt eigentlich gar nicht mit irgendwelchen Tools rütteln. Das kann nur böse enden. Wordpress sollte durch das Hosting bei Automattic wenigstens sicherheitstechnisch „OK” sein.

Leider bin ich in der Registrierung noch nicht so weit vorgedrungen, dass ich zur Speicherung der Passwörter schon eine Aussage tätigen könnte – aber ich fürchte mich schon.
Prinzipell sollten europäische Unternehmen bei einem USA-basierten Hosting alle Daten sowohl „in-transit”, als auch „at-rest” verschlüsseln. Mit einem Schlüssel, den nur die fase24 BetreibeInnenkennen. Ich wage zu bezweifeln, dass dies (schon) geschieht.

Einen sinnvollen IT-Security oder Datenschutz-Audit hat die Lösung meines Erachtens noch nicht gesehen, von einem „Von der Österreichischen Datenschutzkommission geprüft und bestätigt” sind sie – wenn es sowas überhaupt gäbe – meines Erachtens WEIT entfernt.

Ich schreib den Jungs und Mädls mal eine Mail und schau, was dabei raus kommt, bevor ich denen meine Daten gebe.

Tagged as: , , | Author:
[Dienstag, 20200922, 23:21 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Search

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, eu, EU, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, it, IT, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, Linux, linux, linuxwochen, linuxwochenende, live, living, lol, london, lost+found, lotus, Lotus, Lotus Notes, lotus notes, LotusNotes, lotusnotes, Lotusphere, lotusphere, Lotusphere2006, lotusphere2007, Lotusphere2008, lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, Microsoft, microsoft, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, Notes, notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, surveillance, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, videoüberwachung, vienna, vim, Vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

Blogroll

AFK Readinglist