4. Januar 2008
Ja, ich weiß … diese Webseite hinterlässt Spuren im Internet die sich nie wieder tilgen lassen. Ich bin quasi auf immer und ewig im Netzwerk. Zum Glück meistens eher unauffällig … weder gehört mir diese Website noch diese hier. Allerdings ist dieser Beitrag von mir (und spiegelt immer noch meine aktuelle Meinung wieder) und hier hatte ich tatsächlich 1995 auf eine E-Mail geantwortet.
Nicht nur Personalabteilungen haben das Thema z.B. bei StudiVZ und Xing/OpenBC inzwischen aufgegriffen und nutzen die unbegrenzten Möglichkeiten zur Auswahl ihrer Mitarbeiter. Auch privat gibt es interessante Möglichkeiten wie die Süddeutsche herausgefunden hat. Suchmaschinen wie Stalkerati (der Name scheint Programm zu sein) erlauben es, in kurzer Zeit relevante Informationen über einen möglichen Bewerber herauszufinden.
Leider nutzen die großen Portale die gesammelten Daten hauptsächlich, um daraus maximalen Gewinn zu ziehen. In der Regel auf Kosten der Nutzer die sich der Gefahren nicht bewusst sind. StudiVZ und Facebook durch personalisierte Werbung, Xing durch Advanced Stalking, eigentlich sollte man sich wo nur möglich abmelden. Oder zumindest mit den eigenen Daten vorsichtig umgehen.
3. Januar 2008
Eben hatte ich auf YouTube folgenden Fehler:
Rechnet Google ernsthaft damit, dass irgendwer diesen unverständlichen Datenblock zurückschickt?
pK0zSizYtvxnfD5f8vdx2ZaT6RCM7RSOPIOi7t8y3z7fCgK8aZf389D3QAeY
ync04sYJA_EpStEklafKVBEeNciyLIhXasHvpQiBnWTR_1VYavZGE0wd7L0E
UOMEaV7gpv2mA7S8BCHyUGhMUWhl3O-wsSWB89-DoyXrPibHuMyM-ThV9_5M
pKuVOxeN5MOXp5z7jC8Rxsf3HUm1ZmZTqeqh8yEgnXQJPj-WIefiMa7K_-Sz
g-UdlpFcTdi3SDHirOrsxJ4c5MNu7dCJ7TFudlaCBCsPWEfeh7nvW3b4-mgw
YRPxI-uD0B59zj2x0RHvRidMRN0Hxqg0Jvu0IoHe0_wbpqqcrDJQ2hUE10jL
zCE5a1YP4qRc4AYlQ8k_jVJv8fw3xWyoKa7EguBZoWYftaEWNWv0ca8Bhs97
9zWGg5giw_tAlFcLG5SeQ1C50Ik_9LeLwAcDWuf1ClUuhMgDBStCfzSQgwfE
LGTW2tErRLMdEsftXmithFm7GowWknIvj9Ro-nGsF8suF8CZfuIsLtmirXdj
uFBvXldNwAuVRX0Eg8yNmY7HniTDtLkzca1FImLsTkZjRorKHN3C7rDBKTD_
VuSGj6pRlKjQRZ6-Z9jLPUSgiCuMjU0-D63nfZmnOAeUQN0f5tcCS-Q803Tp
LBTJ8DLrYpIqQA1-YVVGEHHPNn03qYvINBO4GRPBQoLe13VhBfI45ympN2tZ
KSenERB-tJ9EOJdBjoReUGdSb5AkHYkGxrvSZJ48KXxhJQpASbJKeV3jkCyZ
z0kpLTTa9RSDEIH_UILYRQWg3JhYaazi-hcm_PbkwkXV-50sOalFLc1ztYzt
QZpmWv2UwnJUqkmC3c0owiHPRI9xKca5g-QEb9p1Z3oxBMnAd6EncU6wLgMX
OMYztzbw0bOxsOKLh2v1Rdrdid_zQ-u-PFtoTgY5sACdTQnsijDM5WZFzzzI
kfhuiVUCrkmmAmOunDYQVnfRAwdwiB8krHO91TaMqH53wJf12ylH--ye4NmC
bUJeT45n2e6lUDcK1zxYi_q8CU71XSbgy0L5VV5YaFDxMw5egM62akSO3ASn
fSL4d1xRqQea8G1whbeLkmEjhmYgIjAlT8RAQz78vrBvV2HAKOCIPYuwJ3q5
5NrzP991XSlKWL7rr6Qj3tnPmin6R6Aoe2SWH96qOIGCy9Mo9eeG4DE58X3m
2n01mvm5a2y5ZBCq5g4MTT6j5qUl8oMxQ1pEN6tKWQ0F6oMtyoULNLIQ9-W4
CLySOk7A_rdvHrQdHtFdr2J1VQ4HsoCE0BpZ8C-yK8LOYcVee1zBxmLvEJno
68MEwiCV-TXG-DdYeHxyRqrF
Ich rechne ja fest damit, dass der Datenblock meine IP-Adresse, meinen Browser, mein Betriebssystem, die aufgerufene URL, sonstige Daten aus dem Betriebssystem etc. enthält. Die Datenschutzbestimmungen von Google sind jedenfalls nicht gerade vertrauenserweckend. Naja, jetzt ist es ja eh öffentlich 🙂
Falls jemand den Datenblock dekodieren kann, wäre ich sehr verbunden. Ich habe zwar eine Anfrage an YouTube geschrieben aber ich erwarte eigentlich nicht, da eine Antwort zu bekommen. Offensichtlich kümmern sich ja nur Affen darum. Ein Service von Affen für Affen?
Nachtrag:
Base64 scheidet aus, weil in Base64-kodierten Dateien keine „-“ und „_“ vorkommen können. Der Wikipedia-Artikel zu Base64 verweist jedoch auf RFC 3548, in dem die Zeichen „+“ durch „-“ und „/“ durch „_“ ersetzt werden. Das bei Base64 übliche Padding mit „=“ zeigt z.B. auch dieser Screenshot. Eine schöne Javascript-Implementierung gibt es auch.
Nachtrag 2:
Bei YouTube sitzen anscheinend wirklich nur Affen an der Tastatur. Jedenfalls hat es bisher noch niemand geschafft, auf meine Anfrage zu reagieren. Für einen Laden von der Größe von Google finde ich das zumindest peinlich.
25. Dezember 2007
Nur eine kurze Zusammenfassung:
- 3. November: Around 15,000 Standard Life customers could be at risk of fraud after their personal details were lost by HM Revenue & Customs (HMRC).
Die Daten enthalten u.a. Versicherungsnummern, Geburtsdaten und Pensionsansprüche und wurden von einer Regionalbehörde mit einem Kurier nach London geschickt.
- 21. November: The UK government has lost child benefit data on as many as 25 million people in its country, making it the largest loss of personal information ever reported.
Die Daten von fast allen Familien im Land sind betroffen, insgesamt etwa 40% der Gesamtbevölkerung. Die Daten befanden sich auf zwei Disks und wurden trotz 20.000 Pfund Belohnung nicht wieder aufgefunden. Besonders schlimm ist, dass die Daten auch Kontoverbindungen enthalten, eine Goldgrube für Identitätsdiebe.
- 18. Dezember: UK lost data on 3 million citizens, this time on drivers with the British equivalent of a learner’s permit.
Die Daten enthalten Namen, Adressen und andere persönliche Identifikationsmerkmale jedoch keine Bank- oder Kreditkartendaten. Die Daten befanden sich auf einer Festplatte, die von einem Vertragspartner in den USA aufbewahrt wurden. Ich vermute ja mal, die Daten wandern jetzt in die große FBI-Datenbank.
Ich will jetzt gar nicht auf unseren Freunden von Ernst & Young herum prügeln, mehr Sorgen macht mir die Sicherheit der Daten, die im Rahmen der Vorratsdatenspeicherung aufbewahrt werden. Wir reden hier von vielen tausend Einzeldatenbanken. Die werden garantiert nicht alle angemessen abgesichert. Man kann nur hoffen, dass es unsere unfähige Politikerkaste zuerst erwischt. Vielleicht kapiert Herr „Ich bin anständig“ größter Innenminister aller Zeiten (GröIaZ) Schäuble, dass ER die größte Gefahr für unsere Demokratie ist und nicht ein paar islamistische Attentäter.
19. Dezember 2007
Amazon S3 (Simple Storage Service) ist eigentlich ein cooler Dienst …
„Amazon hat S3 mit dem erklärten Ziel gestartet, Entwicklern eine günstige Speicher-Infrastruktur zur Verfügung zu stellen. […] Dazu verspricht Amazon Ausfallsicherheit, schnelle Verfügbarkeit, Einbindungsmöglichkeiten in Web-Applikationen und dergleichen mehr. Doch das beste Argument für S3 ist und bleibt der Preis: Nutzer zahlen 15 US-Cent pro Gigabyte Speicherplatz pro Monat und 20 Cent pro Gigabyte verbrauchter Bandbreite – und zwar ganz nach Bedarf. Zusätzliche Fixkosten gibt es nicht.“
Nur, die eigenen Daten liegen halt jetzt Offsite, d.h. bei Amazon oder einem anderen vergleichbaren Anbieter. Und jetzt wird es wieder spannend. Nein, diesmal meine ich gar nicht den Fall der aneignenden AGB, eher, was ist wenn z.B. eine Behörde Zugriff auf die Daten fordert? Das muss gar nicht mal eine deutsche Behörde mit korrekter von einem Richter ausgestellten Durchsuchungserlaubnis sein, das können gerne auch US-Behörden sein, die sich die Erlaubnis zum Zugriff gerne mal selbst ausstellen.
The Register hat unter der Überschrift „don’t be evil“ die wichtigsten Knackpunkte zumindest aus amerikanischer Sicht zusammengestellt.
„So what happens when Google gets a subpoena or court order for my documents and spreadsheets – whether in a civil or a criminal case? As noted, the law generally requires an entity to produce any „evidence“ – including documents and records – within its possession, custody or control. So my records are in the „possession“ of Google in the same way that, if I left a smoking gun in your living room, the cops could either search your house for the gun, or get a subpoena compelling you to give up the gun.“
Für jeden, der erwägt z.B. seine Backups extern zu speichern (und ja, ich gehöre auch dazu) ist der Artikel von Mark Rasch, früher im US Justizministerium Chef der Computer Crime Unit, ein klares „must read“!
Natürlich ist es sinnvoll und notwendig, alle Daten vor der Übertragung zu verschlüsseln. Aber das hilft inzwischen auch nur eingeschränkt weiter, wie spätestens der Hushmail-Fall oder die nächste Reise nach Großbritannien zeigen werden.
7. Dezember 2007
Ich weiß gar nicht, ob ich einen Artikel über Paypal schreiben will. Ich weiß einfach viel zu wenig über diesen Dienst und das wenige, das ich weiß ist so, dass ich Paypal vermutlich niemals verwenden werden.
Paypal Phishing
Phishing bei Paypal ist viel zu einfach.
Daran ist Paypal indirekt mit Schuld. Das Login mit einem selbst gewählten Login und Passwort ohne TANs macht es Hackern einfach viel zu leicht, notwendige Daten abzufangen. Jede normale Bank wäre dadurch längst in die Haftung geraten aber die AGB von Paypal scheinen jeden Schmu abzudecken. Mir persönlich wäre es viel zu gefährlich, da in irgendetwas unerwünschtes hinein zugeraten.
Paypal Zwang
Der Ebay-Konzern zu dem Paypal gehört versucht mit Gewalt, Nutzer an seinen hauseigenen teuren Zahlungsdienst zu binden. Heise schreibt dazu:
„eBay nutzt offenbar den Hype um Apples iPhone, um Verkäufer zu zwingen, sich beim Bezahldienst Paypal zu registrieren und diesen als Bezahlweise anzubieten: Bei der Online-Auktion dürfen nur PayPal-Mitglieder Apples iPhone in einer Versteigerung anbieten. Paypal ist ein Tochterunternehmen des Online-Marktplatzes und trägt nicht unerheblich zu dessen Umsatz bei. Bislang war es Verkäufern freigestellt, ob sie den Bezahldienst nutzen, bei dem außer Einstellungsgebühr und Verkaufsprovision noch zusätzliche Transaktionskosten anfallen.“
Eine einfache Überweisung in Deutschland kostet mich (ein geeignetes Konto vorausgesetzt) gerade mal gar nichts, bei Paypal ich weiß gar nicht wie viel der Überweisung. Im Hinblick auf die real anfallenden Kosten empfinde ich das persönlich schon nahe an der Wucher, egal wie legal das alles noch ist.
Paypal Datenschutz
Der Datenschutz bei Paypal ist leider nicht wirklich existent. Statt dessen ist Paypal immer sehr schnell um persönliche Daten zu sammeln, die Paypal nun wirklich nichts angehen:
Um meine beiden Paypal Konten (werden gewerblich genutzt) mit 1000 Euro Guthaben nach einer vollkommen unverhofften Sperrung im Januar wieder freigeben zu können, musste ich PayPal folgende Sachen schicken: Telefonrechnung, Ausweiskopie, Gewerbeschein und Stromrechnung […]
Und was passiert mit diesen Daten? Nun, Paypal gehört Ebay und zu den Datenschutzbestimmungen von Ebay schreibt beispielsweise die Deutsche Vereinigung für Datenschutz, dass sie vollkommen unzureichend sind.
„Besonders unangenehm ist allerdings die Tatsache, dass Ebay sich erlaubt, sämtliche erhobenen Daten an Dritte weiterzugeben. Vor allem das Versatzstück „zur Abwehr von Gefahren für die staatliche (…) Sicherheit“ sollte bei jedem Datenschützer die Alarmglocken klingeln lassen“
Aha. Das begeistert mich.
Paypal Sicherheitslücken
Leider ist Paypal selbst nicht gerade der sicherste Dienst. Alle paar Ecken tauchen neue Probleme auf. Mal ist es der Security Key, der nicht funktioniert. Dann werden über Paypal die eBay-Kundendaten abgephischt (und wenn sogar das ZDF berichtet, dessen Zielgruppe ja bekanntlich der „Silver Surfer“ ist, der wenig mit Ebay zu tun hat, dann muss es wirklich dramatisch sein. Die Warner von Falle Internet decken regelmäßig Sicherheitsprobleme auf, die mit Ebay und Paypal zu tun haben. Beispielsweise hier:
„Dieser (teilweise unkenntlich gemachten) Codezeile ist zu entnehmen, dass hier ein Programmmodul (cgi-xxx/webscr) der US-amerikanischen Website von PayPal mit dem Befehl aufgerufen wurde, um Daten zu dem eBay-Mitgliedskonto der angegebenen Variable buyer zu liefern.“
Alleine diese extreme Verknüpfung der Datenbanken von Paypal mit der von Ebay macht mir schon Sorge. Wenn an einer Stelle ein Problem auftritt gibt es an allen Ecken ein Problem.
Paypal Schweinereien
So schnell wie Paypal Konten sperrt und dann das Geld einbehält wäre jede andere Bank pleite. Es lohnt sich, dazu den Wikipedia-Artikel zu Paypal und insbesondere die Kritik dazu zu lesen:
„Immer wieder treten im Internet in einschlägigen Foren und Zeitschriften Berichte darüber auf, dass Paypal die Konten seiner Nutzer sperrt, wenn nur der geringste Verdacht besteht, der Kunde gehe terroristischen Aktivitäten nach, oder auch beim behaupteten Verdacht betrügerischer Aktivitäten. Dies trifft auch viele unschuldige Personen, die dann vom Zugriff auf ihr Guthaben ausgeschlossen sind.“
Wenn meine Bank mein Konto sperren würde, alleine auf den vagen Verdacht oder die vage Anschuldigung, ich sei eventuell vielleicht möglicherweise aber doch nicht sicher ein Betrüger … zum Glück gibt es hier noch eine halbwegs funktionierende Bankenaufsicht. Auch wenn wir von ähnlichen Willkürentscheidungen in Deutschland nicht mehr weit entfernt sind.
Fazit
Ich glaube, das kann einfach und kurz ausfallen … Finger weg!
4. Dezember 2007
Schon einige Zeit online aber bisher übersehen, die aktuelle neue SANS Top 20 ist online.
Client-side Vulnerabilities in:
- C1. Web Browsers
- C2. Office Software
- C3. Email Clients
- C4. Media Players
Server-side Vulnerabilities in:
- S1. Web Applications
- S2. Windows Services
- S3. Unix and Mac OS Services
- S4. Backup Software
- S5. Anti-virus Software
- S6. Management Servers
- S7. Database Software
Security Policy and Personnel:
- H1. Excessive User Rights and Unauthorized Devices
- H2. Phishing/Spear Phishing
- H3. Unencrypted Laptops and Removable Media
Application Abuse:
- A1. Instant Messaging
- A2. Peer-to-Peer Programs
Network Devices:
- N1. VoIP Servers and Phones
Zero Day Attacks:
Webbrowser und Webapplikationen ganz oben sind natürlich kein Wunder. Office hat die zweite Stelle bei Client-side Vulnerabilities gewonnen, aber mein Eindruck ist eher, die Angreifer ziehen bereits weiter (z.B. Quicktime). Neu ist der Punkt H3, unverschlüsselte Laptops und Datenträger. Mal sehen, ob das bei Ernst & Young jemand zur Kenntnis nimmt.
2. Dezember 2007
Fefe würde sagen, Captain Obvious hat wieder zugeschlagen.
In Großbritannien haben mehrere Forscher einen offenen Brief an das Parlament geschrieben in dem sie die Abgeordneten darauf hingewiesen haben, dass Biometrie keine Datenschutz- und Sicherheitsprobleme löst.
Der Brief richtet sich natürlich hauptsächlich gegen die Einführung einer National ID Card in England, die ebenfalls wie in Deutschland mit biometrischen Verfahren ausgestattet werden soll. Trotzdem ist der Brief hervorragend geeignet auch die Lügen der deutschen Politiker zu entlarven.
Biometrische Verfahren in Pass und Personalausweis bringen erst einmal deutlich weniger Sicherheit und erhöhen das Risiko von Identitätsdiebstahl. Besonders kritisch wird es, wenn wie von einigen minderbemittelten Innenpolitikern gefordert, die gesamten biometrischen Daten in einer zentralen staatlichen Datenbank gespeichert werden sollen. Das öffnet Missbrauch Tür und Tor.
Trusted Computing wurde so 2002/2003 groß gehyped. Diverse Hersteller, allen voran IBM bauten TPMs (Trusted Platform Module) in ihre Systeme ein und Microsoft entwickelte unter dem Namen Palladium, später umbenannt in Next Generation Secure Computing Base (NGSCB) die Software dazu. Und niemand wollte es. Der US-Amerikanische Cryptoexperte Lucky Green ließ sich damals sogar extra die Möglichkeit patentieren, DRM mit Hilfe von TPMs zu erzwingen, nachdem Microsoft, IBM & Co behauptet hatten, niemals auf diese Idee zu kommen.
Inzwischen finden sich mehr und mehr Anwendungen für die ein TPM sinnvoll wäre. Angefangen von sicherer Verschlüsselung (damit Schäuble nicht alles ausschnüffeln kann) über digital signierte Programme (z.B. im Vista-Kernel aber für Linux wäre das auch praktisch). Der allgemeine Tenor wenn man heute mit IT-Sicherheitsexperte spricht ist, dass man im Grunde nichts gegen TPM an sich habe. Man möchte diese Technik und die damit verbundenen Möglichkeiten nur nicht in den Fingern von Microsoft sehen.
Vielleicht bietet ein Open Source Projekt einen Ansatz zur sicheren und akzeptablen Umsetzung von Trusted Computing. Leise und still hat sich OpenTC entwickelt und inzwischen (im Juli) auch spannende Software für SuSE Linux veröffentlicht.
Meiner Ansicht nach lohnt es sich, sich die Konzepte und Technologien genauer anzuschauen. Da stecken sehr interessante Ideen drin. Die endgültige Implementierung wird leider noch einige Zeit auf sich warten lassen. Das könnte TeleTrust doch mal fördern, oder?
29. November 2007
Ich habe eine ganze Weile überlegt, was ich darüber schreiben will. Irgendwie beschäftigt und vor allem beunruhigt mich der Fall doch mehr als mir lieb ist. Darum der Eintrag.
Die Vorgeschichte
Hushmail bietet seinen Kunden sichere, verschlüsselten E-Mail, mit dem Slogan „Free Email with Privacy“. Der Nutzer lädt sich dazu ein Java-Applet auf seinen Client, dort wird die Mail verschlüsselt und nur die verschlüsselte Mail landet auf den Mailservern von Hushmail. Der Dienst verwendet starke Verschlüsselung und bewährte Algorithmen und Protokolle wie AES und OpenPGP. Aus diesem Grund wird Hushmail auch von Sicherheitsexperten und Privacy-Anwälten weltweit empfohlen und eingesetzt. Allerdings gibt es eine zweite Variante der Verschlüsselung, weil es einigen Nutzern zu mühsam war, das Java-Applet auf ihren Rechner zu installieren. Dabei erfolgt die Verschlüsselung serverseitig auf den Rechnern von Hushmail.
Der Fall
Wie u.a. The Register und Wired berichtet, wurde Hushmail jetzt per Gericht gezwungen, die Verschlüsselung soweit aufzubrechen, dass Beweisdaten für den illegalen Handel androider Steroide (also Dopingmittel) dem Gericht im Klartext vorliegen. In diesem Fall wurde vermutlich die serverseitige Verschlüsselung so modifiziert, dass die privaten Verschlüsselungskeys einzelner überwachter Nutzer im Klartext abgespeichert werden, so dass eine Entschlüsselung aller Nachrichten und E-Mails trivial möglich ist.
„The key point, though, is that in the non-Java configuration, private key and passphrase operations are performed on the server-side. This requires that users place a higher level of trust in our servers as a trade off for the better usability they get from not having to install Java and load an applet,“ sagte Brian Smith, CTO von Hushmail gegenüber The Register.
Anders ausgedrückt … wer einem serverseitigen Dienst die Verschlüsselung von Daten anvertraut, ist selbst schuld. Der Server kann kompromittiert worden sein und Hacker können Zugriff auf alle Daten erhalten. Der Server kann per Gerichtsbescheid von Behörden überwacht werden ja es wäre sogar denkbar, dass die Betreiber eines solchen Dienstes selbst nicht ganz koscher sind. Wired stellt konkret die Frage:
„But can the feds force Hushmail to modify the Java applet sent to a particular user, which could then capture and sends the user’s passphrase to Hushmail, then to the government?“
Die verwendete Java-Architektur lässt das zumindest technisch zu. Hushmail hat zwar den Source Code des Java-Applets veröffentlicht, aber ob das tatsächlich von Hushmail angebotene Applet aus diesem Source Code kompiliert wurde ist schwer festzustellen. Natürlich gibt es Java Decompiler, z.B. den DJ Java Decompiler den ich selbst gern verwende. Allerdings ist der Source Code manchmal nur schwer zu verstehen und Hintertüren können unter Umständen sogar im Zufallszahlengenerator versteckt sein.
Für den Nutzer stellt sich die konkrete Frage, kann man Hushmail in Zukunft noch trauen oder nicht.
Das Fazit
Der staatliche Trend, Nutzer immer weiter ausspähen zu wollen ist ungebrochen. Die folgende Tabelle soll ein paar Ideen geben, wo es gerade hingeht:
Es kann nicht mehr lange dauern, dann wird der Versuch, seine Privatsphäre zu erhalten bereits strafbar. Der Trend ist jedenfalls klar erkennbar. Ausgenommen sind übrigens nur Priester, Strafverteidiger und Abgeordnete. Hat eigentlich mal jemand die Straffälligkeitsquote bei Bundesinnenministern untersucht? Die muss deutlich über dem Bundesdurchschnitt liegen. Mir fallen da spontan Kanther (Spendenaffäre), Schily (Verfassungsbruch, Nebenverdienst) und Schäuble (schwarze Koffer) ein. 20%, das ist eine krasse Quote.
27. November 2007
Ich bin gerade in einem Workshop in einem Hotel in Garmisch-Partenkirchen. IT-Security, Datenschutz, die üblichen Themen. In diesem Hotel ist u.a. gerade eine Filmfirma untergebracht, die scheinen da irgendetwas zu planen. Dumm nur, dass genau gegenüber meines Seminarraums ein großer Kopierer mit einer noch größeren Mülltonne steht. Nachdem die mit Papier übergequollen ist, hab ich halt genötigter Weise einen Blick hineingeworfen.
| Agency |
Name* |
Telefon* |
Rolle |
Gage |
| Real.-Life |
Galina P. |
0170-422xxxx |
Komparse/Muc |
75 auf 10h |
| Real.-Life |
Harald G. |
0170-271xxxx |
Komparse/Muc |
75 auf 10h |
| Real.-Life |
Willi P. |
0171-160xxxx |
Komparse/Muc |
75 auf 10h |
| ZBF |
Ludwig F. |
01520-613xxxx |
Komparse/Muc |
80 auf 10h |
| ZBF |
Peter B. |
0173-896xxxx |
Komparse/Muc |
80 auf 10h |
| ZBF |
Katrin S. |
0177-443xxxx |
Komparse/Muc |
100 auf 10h |
| ZBF |
Edwin S. |
0179-992xxxx |
Komparse/Muc |
80 auf 10h |
| ZBF |
Peter W. |
0163-617xxxx |
Komparse/Muc |
80 auf 10h |
| ZBF |
Horst W. |
0175-201xxxx |
Komparse/Muc |
80 auf 10h |
| Producers Friends |
Herman K. |
0172-470xxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Barbara N. |
0171-886xxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Jozsef S. |
0163-172xxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Sonja L. |
01577-407xxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Marc K. |
0176-176xxxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Anna P. |
0177-751xxxx |
Komparse/Muc |
75 auf 10,5h |
| Producers Friends |
Gerda D. |
0160-928xxxx |
Komparse/Muc |
75 auf 10,5h |
| Rent-A-Face |
Jutta S. |
keine |
Komparse/Muc |
– |
| Rent-A-Face |
Alfred S. |
keine |
Komparse/Muc |
– |
| Rent-A-Face |
Eva S. |
keine |
Komparse/Muc |
– |
| Actots&Arts |
Oliver K. |
keine |
Butler |
150 auf 10h |
| ZBF |
Paul O. |
0163-910xxxx |
Bodyguard |
120 auf 10h |
| Producers Friends |
Konstantin S. |
0151-144xxxx |
Butler |
120 auf 10h |
| Producers Friends |
Stefan P. |
0163-293xxxx |
Bodyguard |
120 auf 10h |
| Producers Friends |
Monika M. |
0176-243xxxx |
Maid |
120 auf 10h |
| Producers Friends |
Desirée E. |
0172-816xxxx |
Maid |
120 auf 10h |
Die Spalten mit * sind auf meinem Ausdruck komplett, außerdem steht „Produktion:Markenfilm“ und „Projekt:Werbefilm“ drüber.
Ich weiß nicht, ob 75 Euro für 10 Stunden als Komparse eine übliche Bezahlung ist. Generell scheint mir, handelt jedoch ZBF die besseren Verträge aus. 100 auf 10h klingt jedenfalls besser als 75 auf 10,5h. Der eine oder andere könnte da versucht sein zu wechseln. Die Schauspieler ganz unten bekommen vermutlich mehr, weil sie wichtigere Rollen spielen (Butler, Bodyguard und Maid). Wobei … was macht so eine Maid eigentlich? Vielleicht sollte ich die Desirée mal anrufen 🙂
Ach ja, Details zur Produktion habe ich keine … ich habe aber auch nicht weiter gesucht. „Real.-Life“ steht wirklich so auf dem Zettel. Vermutlich ist Reallife Media in Berlin gemeint. Und die ZBF gibt es meines Wissens so auch nicht mehr, die ist schon im Juni in der ZAV aufgegangen.
