Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Gegen Fake-Shops: Minister…

Ausweise sind murks

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ausweise sind murks

    Autor: phade 24.05.19 - 13:01

    Solch ein Ansatz würde nur dazu führen, dass massenhaft gescannte Ausweise rumschwirren und für Anderes missbraucht werden würde.

    Eine digitale Verifizierung fänd ich sinnvoll.

    Z.B. sind Firmen in Registern eingetragen, Handelsregister oder Handwerkerrolle. Digital könnte man das prima verknüpfen, wenn z.B. der DENIC die Daten abgleichen dürfte. Es wäre z.B. sinnvoll, wenn bei der Bestellung einer .de-Domain durch eine Firma die Handelsregisternr, Gewerbenr. oder die Aktionnotierung etc mit angegeben werden müsste. Das Handelsregister schickt darauf eine Mail an den GF der Firma und dieser muss die Eintragung der Domain mit einem Link bestätigen. Solche Authorisierungen gibt es ja ähnlich auch bei SSL-Zertifikaten, auf jeden Fall schon bei den mit Extended Validation.

    Auf der Webseite kann der Eigentümer dann noch ein prima Logo im Impressum anzeigen lassen, ala "Inhaber der Domain ist durch das Handelsregister bestätigt" oder so.

    Bei Privatpersonen kann man ja wenigstens die eMailadressen bestätigen lassen (auch bei jeder Änderung derselben).

    Oder man macht ähnliches über die Steuernummer.

  2. Re: Ausweise sind murks

    Autor: Frostwind 24.05.19 - 14:41

    Dann können wir auch gleich eine Lösung für ein öffentliches elektronisches Handelsregister finden, ohne die Privatsphäre von Künstlern zu gefährden.

  3. Re: Ausweise sind murks

    Autor: /mecki78 24.05.19 - 14:57

    phade schrieb:
    --------------------------------------------------------------------------------
    > Eine digitale Verifizierung fänd ich sinnvoll.

    Und genau das ist möglich mit allen Ausweisen, die nach dem 1. November 2010 ausgestellt wurden.

    https://www.personalausweisportal.de/DE/Verwaltung/Technik/Software/software_node.html

    /Mecki

  4. Re: Ausweise sind murks

    Autor: phade 24.05.19 - 15:25

    Nur, dass hier dann wieder sinnlos Daten über Dritte übertragen werden, z.B. die DENIC-Mitglieder, bei denen die Domainregistrierungen ja gemacht werden. Dann muss der Besteller also seinen Antrag mit einer Perso-Signatur signieren, da brauchts dann bestimmt wieder Chipleser in Tastaturen, Apps und gibt im Endeffekt massive Sicherheitslücken.

    Und die Werbeagentur wartet dann wegen einem neuen Projekt darauf, dass der GF wieder von einer Geschäftsreise zurückkommt und an seinem PC im Büro platzgenommen hat ? Unpraktikabel.

    Die Registrierungsnummern einer GmbH (etc, etc) sind bereits öffentlich bekannt, die kann man im Formular beim DENIC-Mitglied auch gerne unverschlüsselt angeben und dann übertragen.

    Das Handelsregister und die Handwerkerrolle kennen meines Wissens die eMailadresse des GF, Gesellschafters etc ...

    Und der DENIC braucht nur ein Interface zum Handelsregister etc und formuliert eine Anfrage ala "schick doch mal bitte dem Inhaber der Firma XY mit der Nr. ABC den folgenden Link"

    Das ganze müsste man eben auch nicht verpflichtend machen, wenn z.B. beim DENIC dann ein Script aufrufbar wäre, das man in der Webseite einbinden kann und eine hübsche Grafik erzeugt, die dann verifizieren lässt, dass die Domain von einer eingetragenen Firma registriert wurde. Wer nirgends eingetragen ist, bekommt dann eben kein Logo oder sollte seine Firma freiwillig eintragen lassen.

    Hier gehts schliesslich um Fake-Shops. Echte Shops werden meines Wissen eher selten von Einzelpersonen betrieben, die nirgends eingetragen sind. Jetzt braucht man nicht gleich von allen Personen, die Domains registrieren wollen, die Perso-Daten rumschicken.



    2 mal bearbeitet, zuletzt am 24.05.19 15:30 durch phade.

  5. Re: Ausweise sind murks

    Autor: 1ras 25.05.19 - 02:07

    phade schrieb:
    --------------------------------------------------------------------------------
    > Solch ein Ansatz würde nur dazu führen, dass massenhaft gescannte Ausweise
    > rumschwirren und für Anderes missbraucht werden würde.

    Um Missbrauch zu vermeiden, schwärzt man bei einer Ausweiskopie deshalb sämtliche Daten, die nicht für den jeweiligen Zweck notwendig sind. Außerdem markiert man die Ausweiskopie deutlich als Kopie und für welchen Zweck oder von wem diese Kopie verwendet werden darf.

  6. Re: Ausweise sind murks

    Autor: phade 25.05.19 - 10:21

    Ausweise werden schon seit Jahrzenten kopiert und dann als Beleg für irgendwas hergenommen.
    Ich würde heute einem Fax oder Brief mit einer Ausweiskopie nicht mehr vertrauen.

    Und als Anhang in eMail ? Einfach nur Wahnsinn. Dann hat jeder von jedem bald eine Ausweiskopie.

    Wie man das dann DSGVO-Konform sichern soll, ist gleich mal eine weitere Frage ...

    Es kann nie darum gehen, mehr Daten zu produzieren, um damit Sicherheit vorzugaukeln.
    Es ist viel sinnvoller, vorhandene Daten an wenigen, kontrollierten Schnittstellen zu verknüpfen.

  7. Re: Ausweise sind murks

    Autor: 1ras 25.05.19 - 14:14

    phade schrieb:
    --------------------------------------------------------------------------------
    > Ausweise werden schon seit Jahrzenten kopiert und dann als Beleg für
    > irgendwas hergenommen.
    > Ich würde heute einem Fax oder Brief mit einer Ausweiskopie nicht mehr
    > vertrauen.

    Jedes Verfahren kannst du mit genügend krimineller Energie manipulieren und ob der einfache Postbeamte beim Postident eine Ausweisfälschung sicher zu erkennen vermag, wage ich zu bezweifeln.

    > Und als Anhang in eMail ? Einfach nur Wahnsinn. Dann hat jeder von jedem
    > bald eine Ausweiskopie.

    Genau deshalb schwärzt man bei einer Ausweiskopie sämtliche Daten, die nicht für den jeweiligen Zweck notwendig sind. Außerdem markiert man die Ausweiskopie deutlich als Kopie und für welchen Zweck oder von wem diese Kopie verwendet werden darf.

    > Wie man das dann DSGVO-Konform sichern soll, ist gleich mal eine weitere
    > Frage ...

    Wenn es der Anbieter richtig macht, dann erhebt er mit der Ausweiskopie keine Daten, welche er nicht ohnehin schon hat und bewahrt die Ausweiskopie auch nicht auf. Die Ausweiskopie dient lediglich als Kontrolle der vom Kunden ohnehin bereits übermittelten Daten und setzt bei Erfolg in der Datenbank die Markierung "Daten geprüft". Eine zusätzliche Datenerhebung erfolgt nicht.

    > Es kann nie darum gehen, mehr Daten zu produzieren, um damit Sicherheit
    > vorzugaukeln.

    Und genau deshalb schwärzt man auch die Daten die der Anbieter nicht bereits erhoben hat und folglich ohnehin nicht gegenprüfen kann.

    > Es ist viel sinnvoller, vorhandene Daten an wenigen, kontrollierten
    > Schnittstellen zu verknüpfen.

    Ahja, und wie "schwärze" ich dort Daten, stelle also sicher, dass es eben gerade nicht zu einer zusätzlichen Datenerhebung kommt?

    Edit: Handelsregisternr., Gewerbenr., Aktiennotierung, Steuernummer sind genau diese zusätzlichen, nicht vertragsrelevanten Daten. Und was du mit einer bestätigten angela.merkel@mail.ru anfangen willst, erschließt sich mir auch nicht.



    1 mal bearbeitet, zuletzt am 25.05.19 14:25 durch 1ras.

  8. Re: Ausweise sind murks

    Autor: /mecki78 27.05.19 - 17:55

    phade schrieb:
    --------------------------------------------------------------------------------
    > Nur, dass hier dann wieder sinnlos Daten über Dritte übertragen werden,
    > z.B. die DENIC-Mitglieder, bei denen die Domainregistrierungen ja gemacht
    > werden.

    Aber das ist doch heute schon so. Wenn du heute irgendwo eine .de Domain registrierst, dann musst doch auch schon deine Daten angeben. Der einzige Unterschied wäre, dass diese Daten eben direkt online rechtssicher geprüft werden.

    > da brauchts dann bestimmt wieder Chipleser in Tastaturen,

    Dazu braucht es entweder eine NFC Kartenleser, den man sich für unter 30¤ schon mal zulegen kann (gibt auch welche für unter 20¤, aber ich würde hat nicht den letzten Mist kaufen), immerhin kannst du mit dem heute schon viele Behördengänge online erledigen und bis 2022 sollen es ja alle sein (diese Teile funktionieren sogar unter Linux und macOS) oder ein NFC fähiges Android Handy (iPhone geht aktuell noch nicht; von der Hardware her könnte es zwar alles, aber noch bietet Apple keine API an, um über den NFC Chip mit Ausweisen zu kommunizieren).

    https://it-schweitzer.de/hardware-technik/reinersct/1028279535/reinersct-cyberjack-rfid-basis-fuer-den-npa

    https://www.ausweisapp.bund.de/ausweisapp2/

    > und gibt im Endeffekt massive Sicherheitslücken.

    Gibt es nicht, denn der Ausweis hat ja einen Chip und die Kommunikation läuft direkt zwischen Ausweis Chip und einen Server der Regierung ab und das Ende-zu-Ende verschlüsselt und Ende-zu-Ende signiert, d.h. niemand kann dazwischen niemand mitlesen (das Lesegerät nicht und dein Computer/SmartPhone nicht, selbst dann nicht wenn ein Angreifer mit einem Trojaner die volle Kontrolle über beide Geräte hätte) oder übertragende Daten manipulieren.

    Das Lesegerät dient dem Ausweis nur als Kommunikationskanal. Server und Ausweis handeln über ein offen standardisiertes Verfahren einen Session Schlüssel aus (so wie das ein VPN Client mit einem VPN Server macht) und danach wird sämtliche Kommunikation mit diesen Sessionschlüssel verschlüsselt und abgesichert. Dabei kommt ein Key Exchange Verfahren zum Einsatz, ähnlich wie Diffie-Hellman, d.h. selbst wenn ein Angreifer alle Daten dazwischen mitlesen und manipulieren kann (was er dank TLS normalerweise überhaupt nicht kann), nützt ihn das rein gar nichts, weil auch dann kann er nicht an Sessionschlüssel gelangen. Deswegen ist es auch egal ob er dein Gerät kontrolliert oder nicht. Er müsste schon den Regierungsserver oder deinen Ausweischip kontrollieren.

    Einzig den PIN könnte ein Angreifer abfangen, wobei der PIN nur dazu dient zu verhindern, dass jemand, der deinen Ausweis gestohlen hat, ihn in deinen Namen benutzen kann (wie der PIN bei deiner EC Karte). Solange der Angreifer aber keinen Zugang zu deinen Ausweis hat, nützt ihn der PIN nichts (wenn ich dir jetzt sage, welchen PIN meine EC Karte hat, nützt dir das auch nichts, oder?) Wenn du aber davor Angst hast, dass du einen Keylogger auf deinen Gerät hast, dann holst du dir ein Lesegerät mit PIN Eingabe:

    https://it-schweitzer.de/hardware-technik/reinersct/1028279534/reinersct-cyberjack-rfid-standard-fuer-den-npa

    Hier tippst du den PIN direkt am Lesegerät ein, sprich, dein Rechner bekommt den nie zu Gesicht und keine Software auf deinen Rechner kann den abfangen. Musst du entscheiden, ob dir das Plus an Sicherheit den doppelten Preis Wert ist.

    > Das Handelsregister und die Handwerkerrolle kennen meines Wissens die
    > eMailadresse des GF, Gesellschafters etc ...

    Denkst du diese Betrüger sind im Handelsregister eingetragen? Du musst doch weder DeNIC noch einen Domainanbieter sagen, wofür du eine Domain nutzen willst. Die wissen doch gar nicht, ob du darüber einen Onlineshop anbieten wirst oder nicht und das interessiert die auch nicht. Ich habe z.B. mehrer Domains, die ich nur für E-Mail Nutze, kein einziger davon führt auf eine Webseite (ist nicht nötig, wenn man die für Mail nutzen will, man muss nur einen MX Eintrag anlegen; MX = Mail Exchange und ist der Name des Mail Servers, der für Adressen @<domain> zuständig ist, denn das muss ja kein Server unter der Domain selber sein).

    Eine Domain ist kein Dienst und einen Domain ist ein Server, eine Domain ist ein Name für den man auf einen Namensserver ein paar hundert Byte Daten ablegen kann, die sich dann über das DNS Protokoll abfragen lassen, wobei es hier ca. ein dutzend vordefinierte Felder gibt, man aber auch beliebige Freitextfelder erstellen kann (deren Inhalt natürlich nur ein Client versteht, der diese Felder dann auch kennt, ein Standard DNS Client kann natürlich nichts damit anfangen). Es geht hier nur darum, dass der Inhaber eine Domain zweifelsfrei bekannt sein soll, um mehr als das geht es gar nicht.

    Und der Inhaber einer Domain muss auch mit Nichten der Betreiber einer Webseite sein, die dann über diese Domain erreichbar ist. Dafür gibt es ja das Impressum, wo derjenige steht, der für den Inhalt der Seite verantwortlich ist. Allerdings ist es so gut wie ausgeschlossen, dass ein Domaininhaber nicht weiß, wer hinter seiner Domain eine Seite betreibt. Daher ist es zumindest hilfreich, wenn die Polizei den Domaininhaber befragen kann, weil auf die Frage, wer diesen Shop betreibt, müsste er eine Antwort parat haben.

    /Mecki

  9. Re: Ausweise sind murks

    Autor: 1ras 27.05.19 - 18:09

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Dazu braucht es entweder eine NFC Kartenleser

    Wie kann dabei der Anwender zuverlässig kontrollieren, welche der auf dem Ausweis gespeicherten Daten, an den Anbieter(DeNIC) übertragen werden?

  10. Re: Ausweise sind murks

    Autor: phade 28.05.19 - 10:37

    @Mecki: es geht doch darum, dass der Endkunde einen Fake-Shop einfach unterscheiden kann.

    Wer einen Shop anbietet, handelt. Als Firma oder Privatperson, ist also gewerblich und ist eben auch irgendwo eingetragen. Ein Nicht-Fake-Shop wird eben von jemanden betrieben, der irgendwo eingetragen ist und das gilt es klarzustellen.

    Warum sollten z.B. deine Domains, mit denen du nur eMails betreiben willst, deshalb irgendwo "bestätigt" werden ? Worum sollte als die Unterscheidung eines Fakeshops auch ALLE Domains ausgedehnt werden ?

    Wer einen Shop mit seiner Domain betreiben will, kann ja dann seine Gewerbenummer oder ähnlich beim DENIC, im DNS oder eben den Handelsregistern hinterlegen. Freiwillig und nicht verpflichtend. Und dann gibt es einen Dienst/Server mit einem klickbaren Logo, der die Eintragung prüft und bestätigt. Das Verfahren wird passend kommuniziert, damit jeder weiss: wenn ich dieses Logo anklicke und dann erscheint die Eintragung bei der IHK oder ähnlichem, dann ist das ein offiziell in Deutschland arbeitendender Händler.

    Den Service kann ja dann das Wirtschaftministerium deutschlandweit anbieten. Es geht ja um Handel.

  11. Re: Ausweise sind murks

    Autor: 1ras 28.05.19 - 13:14

    phade schrieb:
    --------------------------------------------------------------------------------
    > Wer einen Shop mit seiner Domain betreiben will, kann ja dann seine
    > Gewerbenummer oder ähnlich beim DENIC, im DNS oder eben den
    > Handelsregistern hinterlegen. Freiwillig und nicht verpflichtend. Und dann
    > gibt es einen Dienst/Server mit einem klickbaren Logo, der die Eintragung
    > prüft und bestätigt. Das Verfahren wird passend kommuniziert, damit jeder
    > weiss: wenn ich dieses Logo anklicke und dann erscheint die Eintragung bei
    > der IHK oder ähnlichem, dann ist das ein offiziell in Deutschland
    > arbeitendender Händler.

    Jeder seriöse Händler veröffentlicht im Impressum seine Handelsregisternummer. Diese kann jeder Informierte z.B. unter www.online-handelsregister.de abfragen. Das ist der IST-Zustand von HEUTE. Der Umweg über die Domain ist nicht nur nicht erforderlich sondern bringt auch keinen zusätzlichen Nutzen.

  12. Re: Ausweise sind murks

    Autor: phade 28.05.19 - 13:18

    Ein etwas informierter User kann das.
    Der "Normalo" aber nicht.

    Ausserdem ist www.online-handelsregister.de ja wohl keine offizielle Stelle.

  13. Re: Ausweise sind murks

    Autor: 1ras 28.05.19 - 13:35

    phade schrieb:
    --------------------------------------------------------------------------------
    > Ein etwas informierter User kann das.
    > Der "Normalo" aber nicht.

    Und eine Hinterlegung der Daten bei der DENIC ändert daran exakt nichts.

    > Ausserdem ist www.online-handelsregister.de ja wohl keine offizielle
    > Stelle.

    Und eine Hinterlegung der Daten bei der DENIC ändert daran exakt nichts.

    Edit:
    Meine zentrale Aussage ist weiterhin: Der Umweg über die Domain ist nicht nur nicht erforderlich sondern bringt auch keinen zusätzlichen Nutzen.

    Wie gut das mit den Logos funktioniert sieht man übrigens an dem Trusted Shops Logo, welches von unseriösen Shopbetreibern auch gerne benutzt wird. Natürlich ohne dazugehörigen Link zur Verifizierung, aber wer klickt da schon drauf...



    1 mal bearbeitet, zuletzt am 28.05.19 13:41 durch 1ras.

  14. Re: Ausweise sind murks

    Autor: phade 28.05.19 - 14:10

    Sehe ich doch alles wie du.

    Nur was ist eine wirklich sinnvolle Lösung ?
    Aufklärung vielleicht. Das man wirklich mal auf diese Logos klicken soll. Oder eben auf das eine, wichtige, das offizielle und abgesegnete. Sowas wie das Energeeffizienzlogo, die "Ampel" etc über die alle Medien ja genügend berichten.

    Aber vielleicht muss man den Leuten einfach nur eintrichtern, dass sie nicht mehr per Vorkasse bezahlen sollen ...

  15. Re: Ausweise sind murks

    Autor: 1ras 28.05.19 - 15:18

    phade schrieb:
    --------------------------------------------------------------------------------
    > Sehe ich doch alles wie du.
    >
    > Nur was ist eine wirklich sinnvolle Lösung ?
    > Aufklärung vielleicht. Das man wirklich mal auf diese Logos klicken soll.
    > Oder eben auf das eine, wichtige, das offizielle und abgesegnete. Sowas wie
    > das Energeeffizienzlogo, die "Ampel" etc über die alle Medien ja genügend
    > berichten.
    >
    > Aber vielleicht muss man den Leuten einfach nur eintrichtern, dass sie
    > nicht mehr per Vorkasse bezahlen sollen ...

    Aufklärung wie ein seriöser Shop von einem unseriösen unterschieden werden kann und keine einfachen Lösungen die ohnehin nicht funktionieren werden.

    Dafür müssten die Leute aber erstmal bereit sein, sich mit einer Sache ernsthaft auseinanderzusetzen. Über das Internets steht heute die größtmögliche Informationsmöglichkeit zur Verfügung die jemals der Menschheit zur Verfügung stand, man müsste sie nur nutzen (wollen).

  16. Re: Ausweise sind murks

    Autor: /mecki78 28.05.19 - 17:10

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Wie kann dabei der Anwender zuverlässig kontrollieren, welche der auf dem
    > Ausweis gespeicherten Daten, an den Anbieter(DeNIC) übertragen werden?

    Zeigt dir die App vorher an und musst du explizit zustimmen:
    https://de.wikipedia.org/wiki/AusweisApp#/media/File:AusweisApp.png

    /Mecki

  17. Re: Ausweise sind murks

    Autor: /mecki78 28.05.19 - 17:22

    phade schrieb:
    --------------------------------------------------------------------------------
    > Wer einen Shop anbietet, handelt.

    Wer einen Fakeshop betreibt, der handeln eben nicht, genau das ist ja das Problem.
    Sie tun so, als ob sie handeln würden, deswegen ja Fakeshop.

    > Ein Nicht-Fake-Shop wird eben von jemanden betrieben, der irgendwo eingetragen ist

    Eben. Irgendwo. Die meisten wissen nicht einmal wo, weil sie nicht einmal wissen, was der Unterschied zwischen einen Gewerberegister und einen Handelsregister ist oder wer wann eigentlich wo eingetragen sein muss. Und ein Handelsregisterauszug kostet 13 ¤ pro Anfrage.

    > Warum sollten z.B. deine Domains, mit denen du nur eMails betreiben willst,
    > deshalb irgendwo "bestätigt" werden ?

    Damit im Falle eines irgendwie gearteten Rechtsbruch zweifelsfrei feststeht, dass das meine Domains sind und damit klar ist, an wen sich die Polizei oder die Staatsanwaltschaft in so einen Fall wenden muss. D.h. ja nicht, dass ich mir etwas zu Schulden habe kommen lassen, im ersten Schritt wollen die dann nur mal mit mir reden und den Sachverhalten klären.

    Ob so etwas nötig ist, das kann man im Vorfeld nicht wissen. Deine Forderung, das nur für Webshops zu machen ist so wie wenn du forderst, dass nur für die KFZ Kennzeichen von Verkehrssündern die Adresse bekannt sein muss. Warum sollte man die Adresse von harmlosen Autofahren kennen müssen? Ganz einfach: Weil du im Vorfeld nicht weißt, wer ein harmloser Autofahrer ist und wer nicht. Genauso wenig kannst du beim Registrieren einer Domain wissen, ob diese Person später mal unter dieser Domain einen Webshop anbieten wird oder nicht (egal ob der dann fake ist oder nicht).

    Wenn ich mir raindrop-everest.de sichere, weißt du dann, ob ich darunter einen Webshop anbieten werden? Nein, weißt du nicht. Gibst du mir die Domain ohne mein Daten zu prüfen, dann habe ich die Domain und kann jetzt einen Webshop einreichten. Dazu muss ich aber eine Handelsregisternummer angeben? Na und? Mach ich nicht. Und jetzt? Das ist aber strafbar? Einen Fakeshop anzubieten ist auch strafbar. Na dann bestrafe doch mal jemanden, dessen Namen oder Adresse du nicht kennst. Siehst du. Daher muss das schon beim Registrieren abgeklärt werden, denn hinterher kannst du niemanden mehr bestrafen, wenn du ihn nicht fassen kannst.

    Eine Handelsregiesternunmmer kann ich frei erfinden. Irgend ein Logo kann ich fälschen. Irgend einen Link, kann ich fälschen. Leute fälschen Paypal und Bankingseiten und die Leute fallen darauf rein. Denkst du ernsthaft, dass die auf eine gefälschte IHK Seite nicht reinfallen würden? Und denkst du ernsthaft Paypal und die Banken würden nicht schon lange so etwas anbieten, wenn es so einfach wäre dafür zu sorgen, dass die Leute sofort Fälschungen erkennen würden? Wir sprechen hier von einem Problem, das seit über 10 Jahren existiert und für das seit über 10 Jahren die schlausten Sicherheitsexperten nach Lösungen suchen. Man, sind das alle Idioten, oder? Hätten die halt einfach mal dich gefragt.

    /Mecki



    2 mal bearbeitet, zuletzt am 28.05.19 17:27 durch /mecki78.

  18. Re: Ausweise sind murks

    Autor: phade 28.05.19 - 18:29

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > phade schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wer einen Shop anbietet, handelt.
    >
    > Wer einen Fakeshop betreibt, der handeln eben nicht, genau das ist ja das
    > Problem.
    > Sie tun so, als ob sie handeln würden, deswegen ja Fakeshop.

    Fakeshop handeln ja nicht, die betrügen und sind nirgends eingetragen.

    > > Ein Nicht-Fake-Shop wird eben von jemanden betrieben, der irgendwo
    > eingetragen ist
    >
    > Eben. Irgendwo. Die meisten wissen nicht einmal wo, weil sie nicht einmal
    > wissen, was der Unterschied zwischen einen Gewerberegister und einen
    > Handelsregister ist oder wer wann eigentlich wo eingetragen sein muss. Und
    > ein Handelsregisterauszug kostet 13 ¤ pro Anfrage.

    Zeit es zu vereinheitlichen, anstatt alle Domaininhaber in Sippenhaft nehmen zu wollen.

    > Damit im Falle eines irgendwie gearteten Rechtsbruch zweifelsfrei
    > feststeht, dass das meine Domains sind und damit klar ist, an wen sich die
    > Polizei oder die Staatsanwaltschaft in so einen Fall wenden muss. D.h. ja

    Das kann die Staatsanwaltschaft jetzt schon.
    Die darf nämlich beim DENIC das whois benutzen.

    > Ob so etwas nötig ist, das kann man im Vorfeld nicht wissen. Deine
    > Forderung, das nur für Webshops zu machen ist so wie wenn du forderst, dass
    > nur für die KFZ Kennzeichen von Verkehrssündern die Adresse bekannt sein
    > muss. Warum sollte man die Adresse von harmlosen Autofahren kennen müssen?

    Nene, der Vergleich hakt.
    Jedes Auto hat ein Kennzeichen, öffentlich von jedermann zu sehen.
    Gleiches brauchst du für einen Shop. Ein Siegel, dass nicht zu fälschen ist und das nur jemand bekommt, der ein angemeldeter Gewerbetreibende, GmbH, AG und so weiter ist. Damit klar ist, dass man im Fall der Fälle die Personen hinter dem Shop auch "bekommt".

    > Ganz einfach: Weil du im Vorfeld nicht weißt, wer ein harmloser Autofahrer
    > ist und wer nicht. Genauso wenig kannst du beim Registrieren einer Domain
    > wissen, ob diese Person später mal unter dieser Domain einen Webshop
    > anbieten wird oder nicht (egal ob der dann fake ist oder nicht).

    Ich will es doch auch nicht mit der Domain verknüpfen. Sondern registrierte Händler und Firmen von nicht bekannten, nicht eingetragenen Firmen unterscheiden.

    > Wenn ich mir raindrop-everest.de sichere, weißt du dann, ob ich darunter
    > einen Webshop anbieten werden? Nein, weißt du nicht. Gibst du mir die

    Nö. Aber wenn du dann einen Shop betreibst und das Siegel nicht hast, werde ich nicht bei dir bestellen. Weil du keine Gewerbetreibender oder Firma bist, die irgendwo bekannt ist.
    Ergo: wirst du dich eintragen lassen.

    > Domain ohne mein Daten zu prüfen, dann habe ich die Domain und kann jetzt
    > einen Webshop einreichten. Dazu muss ich aber eine Handelsregisternummer
    > angeben? Na und? Mach ich nicht. Und jetzt? Das ist aber strafbar? Einen

    Nein. Muss doch nicht verpflichtend sein. Siehe oben.
    Du wirst dich schon selber beim Gewerbeamt melden, wenn du (mehr) Bestellungen haben willst.

    > Fakeshop anzubieten ist auch strafbar. Na dann bestrafe doch mal jemanden,
    > dessen Namen oder Adresse du nicht kennst. Siehst du. Daher muss das schon

    Nö, wer dann dort noch bestellt, ist selber Schuld.

    > Eine Handelsregiesternunmmer kann ich frei erfinden. Irgend ein Logo kann
    > ich fälschen. Irgend einen Link, kann ich fälschen. Leute fälschen Paypal
    > und Bankingseiten und die Leute fallen darauf rein. Denkst du ernsthaft,
    > dass die auf eine gefälschte IHK Seite nicht reinfallen würden? Und denkst

    Wenns eindeutig ist. Ja. Bzw kann sich dann keiner mehr beschweren, dann ist er einfach zu doof.

    > du ernsthaft Paypal und die Banken würden nicht schon lange so etwas
    > anbieten, wenn es so einfach wäre dafür zu sorgen, dass die Leute sofort
    > Fälschungen erkennen würden? Wir sprechen hier von einem Problem, das seit
    > über 10 Jahren existiert und für das seit über 10 Jahren die schlausten
    > Sicherheitsexperten nach Lösungen suchen. Man, sind das alle Idioten, oder?

    Nein, die Politik will aber jetzt an einer Stelle was drehen, was deiner eigenen Aussage nichts mit der Domain zu tun hat. Das ist Over-Acting, wie immer in der Politik (siehe Geschichtserkennung. Erstmal ALLE erkennen, um die Bösen rauszufiltern).

    > Hätten die halt einfach mal dich gefragt.

    Ich würde zu gerne mal eine Statistik finden, die ansatzweise den Schaden von FakeShops schätzt und das dem Gesamthandel im deutschen Internet gegenüber stellt. Ist wahrscheinlich marginal.

  19. Re: Ausweise sind murks

    Autor: 1ras 28.05.19 - 18:43

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > 1ras schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie kann dabei der Anwender zuverlässig kontrollieren, welche der auf
    > dem
    > > Ausweis gespeicherten Daten, an den Anbieter(DeNIC) übertragen werden?
    >
    > Zeigt dir die App vorher an und musst du explizit zustimmen:
    > de.wikipedia.org#/media/File:AusweisApp.png

    Danke, nur leider disqualifiziert sich die AusweisApp wovon dieser Screenshot stammt, schon durch die Nichtverfügbarkeit des Quellcodes. Wäre deshalb die Frage, ob die Abfrage/Anzeige der zu übermittelnden Daten zum allgemeinen Leistungsumfang dieser Programme gehört? Leider kann man dazu kaum etwas finden.

    Bild wird nicht übertragen oder warum ist es nicht aus/abwählbar?

  20. Re: Ausweise sind murks

    Autor: /mecki78 28.05.19 - 20:09

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Danke, nur leider disqualifiziert sich die AusweisApp wovon dieser
    > Screenshot stammt, schon durch die Nichtverfügbarkeit des Quellcodes.

    Der Screenshot ist von der AusweisApp 1, den habe ich nur verlinkt, weil ich keine Screenshot von der AusweisApp 2 parat hatte, die November 2014 die erste Version abgelöst hat. Ich wollte damit nur verdeutlichen, wie das so abläuft, wenn du dich mit diesen Ausweis online authentifizierst.

    Hier ist der Quelltext der AusweisApp 2:

    https://github.com/Governikus/AusweisApp2/

    Du kannst sie dir gerne selber bauen, viel Spaß dabei.

    > Bild wird nicht übertragen oder warum ist es nicht aus/abwählbar?

    Das Bild, sowie ggf. Fingerabdrücke (aktuell noch optional, wird aber verpflichtend werden) stehen in einen geschützten Bereich, zu den man über den PIN keinen Zugang erhält.

    Um auf diesen geschützten Bereich zuzugreifen, brauchst du ein Lesegerät, wie der Zoll bei Grenzkontrollen nutzt oder wie bei den Einwohnermeldeämter steht. Nur wenn sich das Gerät gegenüber deinen Ausweis als ein berechtiges Lesegerät einer Regierung ausweist (durch ein entsprechendes Berechtigungszertifikat), kann es auf diesen geschützten Bereich zugreifen.

    Allerdings wird auch dann eine Art PIN gebraucht. Statt der PIN, die nur du kennst (die Regierung kennt deine PIN gar nicht, die wird zufällig generiert und dann einmal ausgedruckt und nur dir mitgeteilt) kommt dann die CAN oder die MRZ zum Einsatz.

    Die CAN, das ist die Nummer, die vorne am Ausweis steht, rechts neben den Ablaufdatum (im Bild "Zugangsnummer" genannt):

    https://de.wikipedia.org/wiki/Personalausweis_(Deutschland)#/media/File:Neuer_deutscher_Personalausweis_ab_1._November_2010,_Vorder-_und_R%C3%BCckseite_(Muster).jpg

    Die MRZ, das ist dieser Bereich mit den vielen "<" Zeichen unten auf der Rückseite des Ausweis.

    Wie kommt das Lesegerät an diese Informationen, wenn die nur aufgedruckt sind? Beim Einwohnermeldeamt tippt der Mitarbeiter einfach die CAN in's Gerät, die Geräte vom Zoll haben einen Bildsensor, d.h. machen ein Foto von deinen Ausweis, erkennen dort die CAN oder die MRZ (deswegen ist es egal wiederum du ihn hältst) und suchen dann per Bilderkennung die nötigen Daten aus dem gemachten Bild. Damit soll gewährleistet werden, dass wer auch immer deine Ausweis auslesen möchte Sichtkontakt zum Ausweis haben muss, denn ohne diese Informationen kann er ihn nicht auslesen, auch nicht mit so einem speziellen Gerät. Du musst ihn also schon aus deiner Hosentasche herausholen bei einer Zollkontrolle.

    In Deutschland dürfen nur folgende Einrichtungen über solche Lesegeräte verfügung laut Gesetz:

    - Polizeivollzugsbehörden
    - Zollverwaltung
    - Steuerfahndungsstellen der Länder
    - Pass-, Personalausweis- und Meldebehörden

    Die Geräte bei den Meldebehörden haben noch eine Besonderheit, es sind die einzigen, die folgende Daten verändern können:

    * Ein- und Ausschalten der eID-Funktion (wenn ausgeschaltet, dann können nur noch Behördengeräte darauf zugreifen, dein PIN ist dann nutzlos)

    * Wohnadresse, falls du mal umziehst

    Außerdem können sie die PIN/PUK zurücksetzen. Denn wenn du 3x die PIN falsch eingibst, dann ist die gesperrt. Über die PUK kannst du sie entsperren, aber wenn du die 10x falsch eingibst, dann ist der Ausweis komplett gesperrt. Diese Sperre kannst du nur am Meldeamt mit deren Gerät wieder aufheben lassen. Du kannst die PIN übrigens jederzeit bei dir daheim am PC ändern, wenn du magst.

    Alle anderen Daten können nicht geändert werden, sie stehen in einem Read-Only Bereich, der rein physikalisch gar nicht verändert werden kann. Daher kannst du dir nicht schnell mal eine neue Identität da rein hacken. Muss z.B. dein Name geändert werden (z.B. wegen Hochzeit/Scheidung), braucht du einen neuen Ausweis.

    /Mecki

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Villeroy & Boch AG, Mettlach
  2. Fresenius Medical Care Deutschland GmbH, Sankt Wendel
  3. Bundesanstalt für Post und Telekommunikation Deutsche Bundespost, Bonn, Stuttgart
  4. BfS Bundesamt für Strahlenschutz, Oberschleißheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 137,70€
  2. (-40%) 29,99€
  3. 34,99€
  4. 2,80€


Haben wir etwas übersehen?

E-Mail an news@golem.de


MINT: Werden Frauen überfördert?
MINT
Werden Frauen überfördert?

Es gibt hierzulande einige Förderprogramme, die mehr Frauen für MINT begeistern und in IT-Berufe bringen möchten. Werden Männer dadurch benachteiligt?
Von Valerie Lux

  1. Recruiting Wenn das eigene Wachstum zur Herausforderung wird
  2. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  3. LoL Was ein E-Sport-Trainer können muss

IAA 2019: PS-Wahn statt Visionen
IAA 2019
PS-Wahn statt Visionen

IAA 2019 Alle Autobosse bekennen sich auf der IAA zur Nachhaltigkeit, doch auf den Ständen findet man weiterhin viele große, spritfressende Modelle. Dabei stellt sich die grundsätzliche Frage: Ist das Konzept der Automesse noch zeitgemäß?
Eine Analyse von Dirk Kunde


    Umwelt: Grüne Energie aus der Toilette
    Umwelt
    Grüne Energie aus der Toilette

    In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
    Von Monika Rößiger

    1. Fridays for Future Klimastreiks online und offline

    1. Open Source: NPM-Chef geht schon nach wenigen Monaten wieder
      Open Source
      NPM-Chef geht schon nach wenigen Monaten wieder

      Nach nicht einmal einem Jahr Dienstzeit ist der Chef von NPM zurückgetreten. Das Unternehmen mit dem gleichnamigen Javascript-Paketmanager hat in diesem Jahr einige Mitarbeiter verloren, Arbeitnehmerklagen verhandeln müssen und eine aussichtsreiche Konkurrenz bekommen.

    2. Google: Chrome soll bessere Tab-Verwaltung bekommen
      Google
      Chrome soll bessere Tab-Verwaltung bekommen

      Der Chrome-Browser von Google soll künftig noch einfacher nutzbar sein. Die Entwickler setzen dafür Verbesserungen an der Tab-Verwaltung um. Links sollen sich einfach vom Smartphone auf den Rechner übertragen lassen und der Browser soll individueller werden.

    3. Samsung: Galaxy Fold bleibt extrem empfindlich
      Samsung
      Galaxy Fold bleibt extrem empfindlich

      Die versprochenen Überarbeitungen von Samsung an dem Falt-Smartphone Galaxy Fold, scheinen nach dem missglückten Marktstart doch nicht weitreichend genug zu sein. Eine offizielle Pflegeanleitung zeigt, wie empfindlich das Gerät weiterhin ist.


    1. 12:30

    2. 11:51

    3. 11:21

    4. 10:51

    5. 09:57

    6. 19:00

    7. 18:30

    8. 17:55