5. Dezember 2008
Payback liefert großzügig Daten der Karteninhaber z.B. an Real. Rechtsgrundlage: keine. Es genügt anscheinend, wenn ein Partnerunternehmen behauptet, mit einer bestimmten Kartennummer sei möglicherweise oder auch nicht eine Straftat begangen worden. Payback begründet das mit § 28 BDSG, der eine Weitergabe von Daten zur Aufklärung von Straftaten erlaubt. Geprüft wird das bei Payback offensichtlich nicht.
Dazu der Leiter des Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein, Dr. Thilo Weicher, der einzige ernstzunehmende Datenschützer in Deutschland:
„Payback verstößt bei der Datenweitergabe gegen Datenschutzrecht“, sagt Weichert. Aus seiner Sicht beschränkt sich der Missstand dabei nicht auf die Zusammenarbeit mit Real. „Jeder Payback-Kunde muss theoretisch damit rechnen, dass das Unternehmen persönliche Daten ohne Absprache weitergibt – auch wenn es dafür eigentlich keine ausreichende Gründe gibt“, warnt Weichert.
Also nichts neues. Bitte weitergehen. Nur schade, dass es die Privacy Card nicht mehr gibt.
(Zitat und Quelle: Spiegel.de)
Tja … das ist mein VPN-Client, lieber Virenscanner
Aber macht ja nix … wenigstens ist es kein wichtiges Windows Programm.
(und das sind nur die Meldungen von Oktober und November 2008 🙁 seufz)
Nachtrag:
Der Fehler wurde mit dem nächsten Update behoben … aber täusche ich mich oder häufen sich die Probleme mit Virenscannern tatsächlich die letzten Jahre deutlich?
Ich bin ja der festen Meinung, dass Microsoft Vista und zukünftige Systeme mit der Online-Aktivierung und regelmäßigen Überprüfung eines der zentralen Risiken für den zukünftigen IT-Betrieb darstellen wird. Damit meine ich jetzt gar nicht die speziellen Probleme mit DRM sondern beispielsweise die Pleiten und Pannen mit der WGA-Prüfung in Windows. Aber von Microsoft sind wir ja viel Leid gewöhnt und geschäftskritische Systeme betreibe ich inzwischen nicht mehr auf Windows.
Womit ich allerdings nicht gerechnet hätte ist, dass die Online-Überprüfung von Lizenzen direkt die IT-Sicherheit von Unternehmen gefährden kann. Betroffen waren Kunden von SonicWall. Anscheinend hat SonicWall da was mit den Lizenzservern verbockt woraufhin Geräte mit eigentlich gültiger Lizenz, diese verworfen und wichtige Funktionen abgeschaltet haben. Firmen, die sich auf den Schutz und die Sicherheit von SonicWall verlassen haben, waren plötzlich verlassen. Funktionen wie Content Filter (hauptsächlich URL- und Spam-Filter), Intrusion Prevention und Antivirus der SonicWall ES Appliance waren laut Berichten ohne Vorwarnung nicht mehr verfügbar.
Die Kunden sind wohl auch entsprechend sauer:
„I’ll say it to whoever I need to say it to. This is unacceptable,“ wrote a customer using the handle „rhouseholder.“ „We are a 100 million dollar ‚technology‘ defense contractor with serious security considerations, and I can’t just have SPAM and VIRUSES pouring into my network for half a day because your license server went down.“
Ok, wenn die Mitarbeiter unerlaubt nach Pr0n surfen mag mir das vielleicht noch egal sein, dass sich aber ein gültig lizenzierter und bezahlter Virenscanner einfach so abschaltet ist absolut nicht in Ordnung. Wenn die Mailboxen der Mitarbeiter vor Spam und Schadprogrammen überquellen, weil SonicWall ihre Lizenzserver nicht richtig betreibt, dann kann das für die Unternehmen richtig teuer werden. Warum muss das überhaupt online verifiziert werden, alleine das sehe ich schon als gewaltiges Risiko.
Geschäftskritische Infrastruktur darf meiner Ansicht nach nicht mit Produkten aufgebaut werden, die online ihre Lizenzen verifizieren. Das ging schon mal bei Microsoft schief, das ging jetzt bei SonicWall schief und das wird bei anderen Herstellern auch schief gehen. Schade, damit hat sich SonicWall vermutlich aus der Liste ernsthafter IT-Security-Anbieter verabschiedet. Also wenn ich für einen 100 Millionen Dollar Defense Contractor verantwortlich wäre, die SonicWall-Kisten wären noch am selben Tag rausgeflogen!
Klare Empfehlung von mir: Finger weg von SonicWall!
Frage: Weiß eigentlich jemand, wie das mit den Ironport-Appliances ist? Die kriegen meines Wissens ihre Lizenzen auch recht von alleine von irgendeinem Ironport-Server, potentiell mit dem gleichen Problem. Oder sehe ich das falsch?