federation.cloud-foo.de


Marius Friendica

Linux am Dienstag: Programm für den 1.Juni

Das Programm von Linux am Dienstag steht so früh wie noch nie :)

Wie immer Dienstags, ab 19 Uhr auf der bekannten Videokonferenz:

https://meet.cloud-foo.de/Linux


Am 1.Juni haben wir min. mal dabei:

Audacity - der nächste Angriff mit CLA
Netflix hält Linux für Browser
Bandit 11 - Das Geheimnis des Cäsar
KDE-CONNECT und Fedora 33
TRUECRYPT mit VeraCrypt oder LUKS öffnen!
Kleiner Ausflug zu VeraCrypt
77 TB Wissenschaft dezentral zugänglich.Gesellschaft:
MAC OS .. kein echtes Backup mehr.
Bitcoin Absturz - Miner verlassen China / Iran verhängt Miningverbot über den Sommer

Marius Friendica

Programmänderung: Linux Presentation Day 2021.1 am 15.5.

Passend zum Update gibt es auch einen neuen Trailer:



Am 15. Mai ab 13 Uhr findet europaweit der Linux Presentation Day 2021.1 kurz LPD statt.

Diverse Linuxgruppen veranstalten dieses Jahr einen gemeinsamen Online-Event um über Linux zu informieren, neue Trends zu zeigen oder Einsteiger bei der Wahl Ihres passenden Linux zu unterstützen. Ausdrücklich wendet sich der LPD an Ein- und Umsteiger.

Die Gruppe "Linux am Dienstag" aus Braunschweig wird dies Jahr erstmals am LPD mit einem eigenen Programm teilnehmen:

13:00 Special-Event: 21Nails - Interview mit Eximentwickler Heiko Schlittermann
14:00 „Willkommen beim Pinguin“ - Der Einführungsevent
14:30 „Keine Angst vor Gnome“ - Einführung in Linux Desktops
15:30 „Daten sicher in der Cloud ablegen“ - Ein bisschen Linux Magie und es geht auf Kopfdruck.
16:00 „Wieso ich Linux möchte“ - Eine Reflektion der Sehnsucht
16:30 „Wieso Spamfilter schlecht sind?“ - Sind sie es wirklich?
17:00 „Wie tickt eigentlich mein Desktop“ - Technikbeitrag wie Programme gestartet werden.
17:30 „Ein Tag im Leben eines PinePhones“ - Das Linux Smartphone stellt sich vor.


Ab 13 Uhr begleiten auch Mitglieder der Gruppe im Livechat Fragen und Antworten von unseren Besuchern.

Der Livestream und -chat sind beide am 15.5. ab 13 Uhr über https://Linux-am-Dienstag.de erreichbar.

Für Sie eine kurze Übersicht zu den behandelten Themen:

13:00 Special-Event: 21Nails - Interview mit Eximentwickler Heiko Schlittermann

Aus aktuellem Anlass gibt es ab 13 Uhr einen einstündigen Beitrag zur jüngsten Sicherheitsschwachstelle "21Nails" im Opensource Mailserver Exim,
bei der wir Hintergründe & Maßnahmen kennenlernen und Einblicke in eines der erfolgreichsten Linux Opensourceprodukte werfen können. Als Interviewgast haben wir Heiko Schlittermann vom Eximentwicklerteam gewinnen können.

Einen Teaser zum Thema gibt es hier: https://marius.bloggt-in-braunschweig.de/2021/05/07/21nails-interview-mit-eximentwickler-heiko-schlittermann/

14:00 „Willkommen beim Pinguin“ - Der Einführungsevent

Beim Einführungsevent in den LPD 2021 führen uns Matthias und Marius durch die kommenden Themen und geben Informationen für Linuxneulinge. Es wird z.B. erklärt was Linux ist, bzw. was ist überraschenderweise nicht ist.

14:30 „Keine Angst vor Gnome“ - Einführung in Linux Desktops

Marius erklärt uns, was ein Linux Desktop (die Bedienoberfläche) ist und führt Einsteiger durch den neuen Gnome Desktop. Danach vergleichen er Gnome mit dem Cinnamon Desktop. Seine Kernaussage: "Keine Angst vor dem Linux Desktop, damit kann jeder Arbeiten."

15:30 „Daten sicher in der Cloud ablegen“ - Ein bisschen Linux Magie und es geht auf Kopfdruck.

Jeden Tag hören wir von Sicherheitslücken und geleakten Datensätzen bei cloudbasierten Diensten, aber wie kann man mit "einfachen" Mitteln Daten in der Cloud speichern, deren Vorteile wie z.B. Backups nutzen und trotzdem sicher sein, daß niemand außer einem selbst, an diese Daten kommt? Linux liefert praktisch alle nötigen Hilfsmittel mit. In einfachen Diagrammen wird die Technik dahinter erklärt.

16:00 „Wieso ich Linux möchte“ - Eine Reflektion der Sehnsucht

Matthias nimmt uns mit in seine Gedankenwelt zum Thema "Wieso ich Linux möchte!". Eine kurze Übersicht über ein Leben mit Apple & PC und dem Grund, wieso man dort weg möchte.

16:30 „Wieso Spamfilter schlecht sind?“ - Sind sie es wirklich?

Matthias O. nimmt uns mit in die Welt der Spambekämpfung und der nötigen Technik um Emails überhaupt von A nach B zu verschicken.

17:00 „Wie tickt eigentlich mein Desktop“ - Technikbeitrag wie Programme gestartet werden.

Marius nimmt uns mit auf einen Ausflug in die Interna eines Linux Systems und beantwortet die Frage, was eigentlich abläuft, wenn man ein Programm startet. Dieser Vortrag ist für den Menschen geeignet, die mehr über das wissen möchten, was sie benutzen. Eine Vorbildung ist nicht unbedingt nötig, aber zu wissen, was im Dateisystem wo sein könnte, kann nie schaden ;)

17:30 „Ein Tag im Leben eines PinePhones“ - Das Linux Smartphone stellt sich vor.

Der Abschlussbeitrag des LPD 2021.1 dreht sich um das neue Sternchen am Linux Himmel: Das PinePhone - das Smartphone mit Linux als Betriebssystem. Linux Benutzer sagen immer gern, daß Android ja eigentlich Linux ist, aber jetzt haben wir endlich ein Smartphone in der Entstehung, daß nativ mit Linux und Linuxprogrammen läuft. Der Vorteil: Kein Google, Facebook, WhatsApp, Instagram und ... keine Bloatware mehr auf dem Smartphone. Wie weit das Telefon für die freie Welt ist, sehen wir ab 17:30.

Wir freuen uns auf Euren Besuch beim LPD.

# 2021-1 # # Online # #
# Presentation Day

Marius Friendica

Linux Presentation Day 2021.1 am 15.5.

Linux Presentation Day 2021.1 am 15.5.

Der LPD Teaser von Linux am Dienstag



Der Beitrag von Linux am Dienstag zum LPD 2021.1 wird live aus Braunschweig gestreamt.

Unser Programm

14:00 „Willkommen beim Pinguin“ – Der Einführungsevent
14:30 „Keine Angst vor Gnome“ – Einführung in Linux Desktops
15:30 „Daten sicher in der Cloud ablegen“ – Ein bisschen Linux Magie und es geht auf Kopfdruck.
16:00 „Wieso ich Linux möchte“ – Eine Reflektion der Sehnsucht
16:30 „Wieso Spamfilter schlecht sind?“ – Sind Sie es wirklich?
17:00 „Wie tickt eigentlich mein Desktop“ – Technikbeitrag wie Programme gestartet werden.
17:30 „Ein Tag im Leben eines PinePhones“ – Das Linux Smartphone stellt sich vor.

Selbstverständlich sind wir am Samstag den 15.5. ab 14 Uhr auch im Live-Chat erreichbar.

# # # Online # #
# Presentation Day

Marius Friendica
@Ulrich Kelber

Guten Tag Herr Kelber, das ist mal wieder ein Fall für Sie und Ihre Kollegen:

Google's neues Trackingverfahren "FLoC".

Mehr Infos hier:

Block FLoC


Mi, 14. April 2021, Ralf Hersel

Wer Google Chrome verwendet, sollte nicht überrascht sein, automatisch in Googles neue Tracking-Methode namens Federated Learning of Cohorts (FLoC) aufgenommen worden zu sein. Weiterlesen »
Ulrich Kelber mastodon (AP)
Noch kein Aufsichtsthema für uns, wir sprechen mit Google und anderen Datenschutzbehörden dazu, beraten auch Politik bei Umsetzung ePrivacy-Richtlinie und Vorbereitung ePrivacy-Verordnung

Marius Friendica

533 Millionen Datensätze bei Facebook abgegriffen

Frohe Ostern an all diejenigen,

die trotz der nachfolgenden Datenschutzpanne bei Facebook noch ruhig schlafen können:

Facebook hatte eine Datenbefreiung der besonderen Art: Hacken war nicht nötig.

Facebook: 533 Millionen Datensätze erbeutet

Anfang 2020 wurde eine Schwachstelle bekannt, die laut Twitterquelle dazu benutzt wurde, eine Datenbank mit 533 Millionen Datensätzen, bestehend aus Telefonnummer, Name, Accounterstelldatum, Geburtsdatum, Geschlecht usw. , zu erstellen. Die Lücke wurde lange in Ihrer Gefährlichkeit unterbewertet, so daß diese Datensammlung überhaupt erst möglich wurde.

Das wäre Euch mit Matrix, Jabber oder einem anderen dezentralen Dienst so nicht passiert.

Quelle: https://mobile.twitter.com/UnderTheBreach/status/1378314424239460352 @Ulrich Kelber

Hallo Herr Kelber, da sind sicher auch Deutsche von betroffen.
Marius Friendica
Update: Die Irische Datenschutzbehörde hat sich der Sache angenommen, aber wie die drauf sind, wissen Sie ja besser als wir.

Marius Friendica

Frage: wenn das OS verdeckte DNS Abfragen gen USA schickt...

Guten Abend @Ulrich Kelber (Herr Kelber),

in der Linux-Welt hat sich ein kleines Problem ergeben, zu dem ich gern Ihre (grobe) Meinung hätte:

Mit dem Update auf die Distribution Fedora 33 wird systemd-resolved als DNS Resolver eingesetzt. Der erledigt die ganzen Fragen "Wie lautet die IP für Domain x.de?"

Das Problem damit ist, daß es einen versteckten Default-Fallbackserver mitbringt, der weder vom System gesetzt wird noch per DHCP Request vom Netzwerkrouter mitgeschickt wird.

Es handelt sich dabei um die US Versionen der CloudFlare und Google DNS Server.

Da für diese Anfrage die IP des PC und der gewünschte Domainname zwangsläufig an die DNS übermittelt wird, und IPs ja Personenbezogene Daten sind laut Kammergericht Berlin 2013,
ergibt sich daraus nicht für Firmen die das Einsetzen ein Datenschutzverstoß, da der Privacy Shield mit den USA ja nicht gehalten hat?

Eine grobe Schätzung würde reichen, da wir derzeit in der Entwickler-MailingListe von Fedora über dies Thema sprechen. Das Thema ist so heiß, daß seitens der IETF erwogen wird eine CVE Nummer dafür zu vergeben, weil im gleichen Zuge auch DNSSEC zerstört wurde.

Beteiligt sind hier Red Hat/Fedoraprojekt, die IETF, Dr. Paul Vixie ( BIND ) und Leonard Pöttering ( Systemd ) und jede Menge Entwickler aus der ganzen Welt ;)

Da wir in Deutschland wegen der IP einen besonderen Status haben, wäre es echt gut, da eine Empfehlung zu bekommen. Das wäre auch für andere Projekte eine wichtige Information. Fedora möchte natürlich keine Gerüchte aufkommen lassen, daß es Privatssphärenprobleme hätte, aber wie immer im Leben braucht es einen gewissen "Druck". Immerhin als Konsequenz wurde jetzt DoT defaultmäßig aktiviert ( DNS-over-TLS ).

In wie weit ist eigentlich ein Distributionshersteller für solche Dinge verantwortlich?

mit freundlichen Grüßen,
Marius
Es ist sehr schwierig, dazu ohne Einblick in die vertragliche Grundlage überhaupt etwas zu sagen. Aber es ist zumindest ein vermintes Terrain, bedarf einer exakten Analyse durch den datenschutzrechtlich Verantwortlichen. Vielleicht könnte eine einsetzende Institution exemplarisch die Frage mit der für sie zuständigen Datenschutzbehörde klären!?
Marius Friendica
im (quasi) 4. Versuch hat es dann heute geklappt ;) In ganz Niedersachsen ist genau eine Person für "Internet" zuständig. Da eine "Grundlagenfrage" zu klären, überlastet dann natürlich den Mitarbeiter komplett.

Wem muß man da eigentlich Feuer machen, damit sich dort etwas ändert? Wäre da der Ministerpräsident zuständig, weil die Leiterin der Behörde hier ja vermutlich auch Opfer ihrer bescheidenen Möglichkeiten ist.

Marius Friendica

Let's Encrypt gibt milliardstes Zertifikat aus \o/

Am 27.2. wurde die eine Milliarde SSL Zertifikate von Let'sEncrypt überschritten. Bei 46 Millionen Webseiten für die Zertifikate ausgestellt wurden, war das ja auch nur eine Frage der Zeit, wenn man 4 Zerts pro Jahr pro Domain durchbringen muß :)

Herzlichen Glückwunsch - Let's Encrypt :D

"We issued our billionth certificate on February 27, 2020. We're going to use this big round number as an opportunity to reflect on what has changed for us, and for the Internet, leading up to this event. In particular, we want to talk about what has happened since the last time we talked about a big round number of certificates - one hundred million. One thing that's different now is that the Web is much more encrypted than it was. In June of 2017 approximately 58% of page loads used HTTPS globally, 64% in the United States. Today 81% of page loads use HTTPS globally, and we're at 91% in the United States! This is an incredible achievement. That's a lot more privacy and security for everybody. Another thing that's different is that our organization has grown a bit, but not by much! In June of 2017 we were serving approximately 46M websites, and we did so with 11 full time staff and an annual budget of $2.61M. Today we serve nearly 192M websites with 13 full time staff and an annual budget of approximately $3.35M. This means we're serving more than 4x the websites with only two additional staff and a 28% increase in budget. The additional staff and budget did more than just improve our ability to scale though - we've made improvements across the board to provide even more secure and reliable service."

Das selbstgesteckte Ziel haben Sie jedenfalls erreicht, das ist mal sicher. Ob das Netz wirklich sicherer geworden ist, ist eine andere Frage :D

# # # #

Marius Friendica

Mozilla aktiviert DoH in Firefox für US Benutzer

Zitat von der Mozilla Presseveröffentlichungswebseite:

"Wir haben die Auswirkungen bereits beschrieben, die ungesicherte DNS auf unsere Privatsphäre hat:

Aufgrund der fehlenden Verschlüsselung können andere Geräte Nutzerdaten sammeln oder sogar blockieren und verändern. Die DNS-Suchen werden an Server weitergeleitet, die Ihren Browserverlauf ausspähen können, ohne Sie zu informieren oder Richtlinien darüber zu veröffentlichen, was sie mit diesen Informationen tun.

In den Anfangstagen des Internets waren solche Bedrohungen für die Privatsphäre und Sicherheit der Nutzer zwar bekannt, wurden allerdings noch nicht ausgenutzt. Heute wissen wir, dass DNS nicht nur anfällig für Bespitzelungen ist, sondern die Schwachstellen auch aktiv ausgenutzt werden. Deshalb helfen wir dem Internet dabei, zu sichereren Alternativen zu wechseln. Dafür werden DNS-Suchen in Firefox über eine verschlüsselte HTTPS-Verbindung durchgeführt. Auf diese Weise wird Ihr Browserverlauf vor Angreifern im Netzwerk versteckt sowie die Sammlung von Daten durch Drittanbieter verhindert, die Ihren Computer andernfalls mit den Webseiten, die Sie besuchen, verknüpfen könnten."

Wir fassen zusammen:

Firefox wird alle DNS Abfragen über den DoH Anbieter von Mozilla abwickeln, was dann Cloudfare ist.

All das, was Mozilla als Bedrohung der Privatsphäre auflistet, trifft auf das DOH Modell mit Cloudflare auch zu, nur millionenfach verstärkt.

Warum?

Weil vorher hunderte DNS Cache von regionalen Zugangsanbietern von deren Kunden benutzt wurden und sich diese Anfragen jetzt nur noch bei einem einzigen Anbieter konzentrieren werden. Das Cloudfare Management wird sich jetzt bereits den Champus liefern lassen, für die Profite, die mit diesen Daten in Zukunft gemacht werden.

Erschwerend kommt hinzu, daß die Benutzer meistens einen Vertrag mit Ihrem DSL Anbieter haben, an dessen Inhalt dieser gebunden ist, aber über die Voreinstellung von Mozilla werden Daten an jemanden übermittelt, mit dem man selbst in keiner vertraglichen Beziehung steht. Ich denke, daß ist am Ende sogar in den USA strafbar.

Mozilla wendet jetzt natürlich ein, daß das ja "vertraglich" ausgeschlossen sei, aber a) hat den Vertrag mal wer gesehen? und b) was juckt schon die Konventionalstrafe(falls vorhanden) wenn die Gewinne stimmen?

All die Szenarien die Mozilla anprangert, hat es also jetzt selbst über seine Nutzer gebracht. Das da nicht jeder mitmacht, ist ein sehr lobende Entwicklung.

Red Hat + Fedora haben lange angekündigt, daß Sie in Ihren Firefoxversionen diese DoH Voreinstellung nicht aktiveren werden. Der Bundesdatenschutz hat in einer Reaktion auf eine kleine Anfrage von mir im letzten Jahr bereits angedeutet, daß, würde so eine Voreinstellung kommen, der Fall Datenschutzrechtlich für die EU geprüft würde.

Dabei gibt es gegen alle die von Mozilla genannten DNS Probleme erfolgreiche Gegenmaßnahmen. Das Hauptargument, daß ein DNS Anbieter den Browserverlauf sehen könnte, ist natürlich hahnebüchener Unsinn. Bei einer DNS Anfrage durch den Browser wird nur der Domainname abgefragt, was und wie oft man dort etwas aufgerufen hat, bleibt dem DNS Cache verborgen.

Sollte man sich darüber Sorgen machen, kann man dies bei linuxbasierten Betriebssystemen mit einem DNS Spreader verhindern. Dieser verteilt die DNS Anfragen einfach an hunderte/tausende öffentliche DNS Cache, so daß keiner der Betreiber ein Profil des Benutzers erstellen kann.

Der DSL Anbieter kann im übrigen allein an den kontaktierten IPs erkennen, wer wann wo war und so immer ein Profil erstellen. Das verhindert Mozillas DoH Aktion im übrigen auch nicht.

In der Vergangenheit hat es einige Versuche gegeben, das Profilbildungsproblem zu lösen:

DOT (Dns-Over-TLS), sollte die Profilbildung beim DSL Anbieter verhindern, nutzte aber wegen der IP->Domain Datenbanken nichts.

Eine Erweiterung von HTTPS sollte das Domainnamen-Leak vom TLS Connect verhindern, tut es aber nicht, weil das keiner einsetzt und wenn doch, würde wieder die IP->Domainnamen Datenbank eine Profilbildung erlauben.

Wir können also nur verhindern, das Dritte den Inhalt der Kommunikation sehen können, aber nicht wo wir hin wollen. Wenn das pseudogeheim bleiben soll, dann muß man ein VPN oder TOR einsetzen. Damit verlagert man das Profilbilden aber nur an eine andere Stelle. Im Falle von TOR erreicht diese Verlagerung ggf. einen Punkt, an dem nicht mehr auf den Benutzer zurück geschlossen werden kann. Eine Garantie ist das aber nicht.

Marius Friendica

Weltbild: Emailrechnungen wie von einem Scammer

Schaut mal was mir heute ins Haus geflattert ist:



Ich weiß nicht was schlimmer ist, die Phisherfloskel oder die mangelnde Zeichensetzung.

Erstmal müßte es lauten: "... anbei erhalten Sie Ihre Rechnung als PDF-Datei, die Sie bedenkenlos öffnen und, wenn Sie möchten, ausdrucken können."

Inhaltlich ist das schon komisch von "Ihre Rechnung als PDF-Datei, die Sie bedenkenlos öffnen ... können" zusprechen, weil das würde natürlich auch exakt jeder Scammer/Virenversender/Phisher so von sich geben :) Und denen würde ich das auch nicht glauben ;)

Das einzige Merkmal, was für eine echte Email von Jokers ( gehört zu Weltbild ) spricht, ist der korrekte Name des Empfänger/in/s. In Zeiten wo praktisch alle Datensätze irgendwo schon einmal abhanden gekommen sind, ist das natürlich nur noch ein schwaches Merkmal.

Das war übrigens die Reaktion auf die Bestellung:



Von einer "Nachlieferung" nur reden, wenn es überhaupt eine Lieferung gegeben hat. Das war aber hier nicht der Fall wie man sieht, weil keines der beiden Bücher sofort versendet wurde :)

Davon mal abgesehen gibt es mit der Lieferung dann auch noch PC-Probleme, weil Jokers folgende Stückelung einer einzigen Bestellung versendet:

3x Buch 1
1x Buch 1 +3 Tage zur vorherigen Lieferung
1x Buch 2 +5 Tage zur ersten Lieferung

Umweltfreundlich ist das mit Sicherheit nicht und betriebswirtschaftlich rentabel kann das auch nicht sein.

3x Liefern bedeutet:
3x CO2 für den Transport,
3x Transportkosten
und 3x Verpackungsmüll.

Vielleicht sollten die Kinder der Angestellten von Weltbild mal Freitags am Arbeitsplatz Ihrer Eltern protestieren, denn das umweltunfreundliche Verhalten wäre leicht vermeidbar gewesen. Zu keiner Zeit gab es einen Zwang, daß die Bücher so schnell wie möglich versendet werden sollten. Das waren/sind nämlich Weihnachtsgeschenke für 2020, die mir bloß jetzt bereits über den Weg gelaufen sind.

Am Ende sind es die kleinen Dinge, die dem Kampf um den Klimawandel entscheiden:
Nicht mehr 4x im Jahr in den Urlaub fliegen, mal mit dem Fahrrad in die Innenstadt zum Shoppen fahren, unnötige Lieferungen quer durch das Land vermeiden und nur ein Handy pro Nase pro Jahrzehnt ( Stichworte: Reperatur- und Updategarantie), keine Turbotrendklamotten mehr. Tut alles nicht weh und spart eine Menge an Ressourcen, Müll und vor allem Co2 ein.

PC meinte oben natürlich "Political Correctness" und nicht "Personal Computer" wie Ihr eventuell angenommen habt ;)

Marius Friendica

Strike: Smartphone-Hersteller liefern 5G Handies mit abgeschaltetem 5G Modem aus

Weil der Chiphersteller Qualcomm seinen Abnehmern die 5G fähigen Snapdragon 865 SOCs auf Auge gedrückt hat, 5G aber kaum irgendwo verbreitet ist, liefern die jetzt Ihre Handies zwar mit dem 5G Modem aus, aber das Modem ist deaktiviert :D

Mehr zu dem Unsinn könnt Ihr hier lesen:

Marius Friendica

T-Online schützt den Datentransport nicht per TLS

Wenn man internen Adressen von T-Online, in diesem Fall dem Server-Support, eine Mail schicken will, dann kann man das nicht, ohne das Gesetz zu brechen:

"2020-02-25 04:55:03 1j69ZJ-0001iL-S3 H=rx.t-online.de [194.25.134.67]: a TLS session is required, but the server did not offer TLS support"

Artikel 32 1 a DSGVO meint dazu:

"Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten .... treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;"

Artikel 4 Satz 2 DSGVO definiert als Verarbeitung auch den Transport von Personenbezogenen Daten. Wegen der einfachen, kostengünstigen und dem Stand der Technik entsprechenden Technik Namens STARTTLS, in Form von TLS1.2, ist der Transportschutz ganz leicht zu implementieren. Die Kosten einen Mailserver TLS sprechen zu lassen, sind praktisch nicht vorhanden, wenn da nicht eine vor sich hin siechende uralt Mailserveranlage wäre.

Die oben gezeigte Logzeile stammt von einer Email an T-Online und nachdem alle personenbezogenen Daten Dritter aus selbiger entfernt waren, durfte Sie dann auch endlich T-Online zugestellt werden, manuell versteht sich ;)

Die Antwort von T-Online war zwar inhaltlich super, aber leider offenbarten die RECEIVED Header das wahre Ausmaß des TLSGATES bei T-ONLINE.

Der Teamserver vom Support konnte nur TLS 1.0 zu einem internen Mailserver reden, der wiederum sprach dann gar komplett unverschlüsselt mit einem dritten Server, welcher dann final mit unserem Mailserver TLSv1.2 kommunizierte.

Jetzt regelt die DSGVO nicht nur den Umgang mit Daten nach außen, sondern auch den Internen Umgang damit und dies bedeutet, daß Artikel 32 auch bei den internen Mailservern greift, womit eine unverschlüsselte bzw. gebrochene Krypto Kommunikation dann wohl einen Datenschutzverstoß darstellt.

Oder wie sehen Sie das Herr @Ulrich Kelber ? Sie sind doch vom Fach, das müßte doch jetzt genau Ihr Ding sein :)

Nun wird man natürlich wie folgt argumentieren: "Da wurden ja gar keine Personenbezogenen Daten transportiert, ergo gilt Artikel 32 gar nicht."

Tja, klingt toll, ist aber Unsinn, weil man als Betreiber des Servers nie wissen kann, was einem da in Zukunft mal geschickt wird. Aus der Unmöglichkeit die Kommunikation der Vergangenheit nachträglich fallbezogen zu verschlüsseln, ergibt sich eine Pflicht zur generellen Verschlüsselung von Emailtransporten.

Jetzt kommt erschwerend hinzu, daß Emailadressen wie niels.böhrdings@blah auch als personenbezogene Daten gelten. Solche Adressen gibt es viele, eine Eintrittswahrscheinlichkeit dafür, daß man auf so eine Adresse stößt, ist also hoch. Damit ist das Argument, daß Eintrittrisiko wäre gering, weg gefallen.

Zum Glück muß man sich das nicht auf mein Wort verlassen, fachkundige Stellen z.b. beim Landesdatenschutz NRW ließen dies bereits 2018 verlautbaren:

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html

An T-Online gerichtet, freut Euch schon mal auf das Audit durch den LDS, dann bekommt ihr endlich neue Server und ein neues Supportsystem, denn das schickt Emails mit ISO-8859-1 Zeichensatz passend zum Gebrauch von TLS 1.0 ;D


@Ulrich Kelber : Die waren doch mal Bundesbehörde, da gibt es doch bestimmt einen guten Kontakt hin ;)

# # # # #

(Pinnwand kopie)
Later posts Earlier posts