Leserforum

Pflichtfach-Quatsch

Editorial: IT-Sicherheit – Von Clowns und Affen, c’t 4/2020, S. 3

Sie schreiben: „Aber was will man auch erwarten, in einem Land, wo die Informatik an den meisten Schulen kein Pflichtfach ist.“ Wir haben auch kein Pflichtfach Maschinenbau und trotzdem (noch) eine weltweit konkurrenzfähige Fahrzeug- und Maschinenbauindustrie. Und was ist der Grund? Wir haben in diesem Bereich ein sorgfältig ausbalanciertes Ausbildungssystem. An der Spitze die Technischen Universitäten, dann die Fachhochschulen, die Technikerschulen und die Facharbeiterausbildung. Je näher man der praktischen Anwendung kommt, umso breiter ist die personelle Basis. Und was dieses System inhaltlich auszeichnet, ist das fachliche Grundwissen, das von „oben“ nach „unten“ zwar immer weiter vereinfacht, aber vorhanden ist, um den Einzelnen zu befähigen, zu verstehen, was er tut, und es ihm erlaubt, selbstständig Entscheidungen zu fällen (im Gegensatz übrigens zum angelsächsischen Verständnis von Training).

Dieses System wird in den Bereichen, in denen Deutschland eine nennenswerte Industrie hat, von dieser durch Forschungs- und Entwicklungsaufträge bis hin zur Festlegung des Curriculums auf der Ebene der Industrie- und Handelskammern gestaltet und wettbewerbsfähig gehalten. Nun haben wir aber keine nennenswerte IT-Industrie, weder im Bereich Computer noch Nachrichtentechnik, und so funktioniert dieser Mechanismus dort nicht. Und weil die Politik mit Minderleistern besetzt und die Verwaltung von nichtsahnenden, aber arroganten Juristen gesteuert wird, hat dort niemand darauf geachtet, dass hier der Staat die Aufgabe hätte, ein entsprechendes System rechtzeitig zu etablieren. Und als Leser von inzwischen 751 kompletten Ausgaben der c’t hat auch dieses Medium meiner Erinnerung nach das Thema praktisch völlig ignoriert und steht damit stellvertretend für die Fachöffentlichkeit.

etwasvernunft

Funktionalität entscheidet

Ein Pixel-Smartphone wechselt bei Garantietausch die Farbe, c’t 5/2020, S. 62

Ich habe mich über Ihre Ausführungen und die Unterstützung für Herrn N. sehr gewundert. Herr N. hat ein gebrauchtes Smartphone gekauft und Glück gehabt, dass überhaupt Herstellergarantie dafür angeboten wird. Weder das Vorhandensein der Garantie noch deren Geltung für den Zweiterwerber sind selbstverständlich. Dass die Farbe eines Smartphones für dessen Funktionalität unerheblich ist, ist mehr als naheliegend. Anders wäre es bei einer Warnweste, die in Tarnfarbe nicht so gut funktioniert. Und nur um die Funktionalität geht es.

Die Ausführungen zum BGH-Urteil erscheinen mir daher deplatziert. Der BGH hat entschieden, dass die Lieferung eines Autos mit einer anderen Farbe als der vereinbarten beim Autokauf einen erheblichen Mangel darstellt. Für die Garantie ist das aber ohne Belang. Im Artikel werden Garantie und Mängelrechte aus dem Kauf unzulässigerweise durcheinandergeworfen. Die Aussage „Es spricht einiges dafür, dass diese vom BGH für ein Auto aufgestellten Grundsätze auf ein Oberklasse-Smartphone übertragbar sind“ ist daher mehr als fragwürdig.

Im Ergebnis haben Sie einem sehr unangenehmen Kunden zu seinem „Recht“ verholfen, aber allen anderen Gebrauchtkäufern einen Bärendienst erwiesen. Das Verhalten solcher Kunden verleitet Hersteller dazu, die Garantie ausdrücklich auf den Erstkäufer zu beschränken.

Pavel Denev

Die Garantie ist an das Gerät gekoppelt, nicht an den Käufer. Es ist unwahrscheinlich, dass ein eventueller Ausschluss von Nacherwerbern zulässig wäre. Dann würden zum Beispiel Weihnachtsgeschenke auch schon durch das Schenken ihre Garantie verlieren.

Werbung versus ­Kassenbons

Zettelflut für Vater Staat, ct 5/2020, S. 44

Ich habe im Januar mal den ganzen Werbemüll gesammelt, der über meinen Briefkasten ins Haus geliefert wird. Dabei sind über 7 kg zusammengekommen. Für Umweltschützer wäre das ein lohnenswerter Ansatz und nicht der im Vergleich lächerliche Umfang der Kassenbons.

Michael Schade

Chaos bei PSD2

Neues von alten und neuen Bankenschnittstellen, c’t 5/2020, S. 144

Während einige Banken sehr bequem (und dennoch meines Erachtens ausreichend sicher) für den Kunden sind, scheinen andere Banken nach dem Motto: „Lieber doppelt und dreifach als haften“ zu agieren. So läuft die Web-Portal-Authentifizierung bei der ING seit PSD2-Einführung wie folgt: 1. Anmeldung mit Konto-Nr. und PIN. 2. Eingabe DiBa-Key mit der Maus (2 vorgegebene Stellen aus sechsstelliger Zahl). Bis dahin war es schon vor PSD2 so. Seitdem darf man nun noch: 3. Handy-App öffnen, mit fünfstelliger PIN oder Fingerabdruck an der App authentifizieren, 4. Anmeldung am Web-Formular bestätigen, 5. (erneute) Eingabe der Mobil-Pin in der App, um die Anmeldung zu bestätigen. Und das bei jeder Anmeldung – seit Juli 2019.

Garry Glendown

„Saubere Lizenzen

Geld sparen beim Windows-Kauf, c’t 5/2020, S. 64

Die Rechnung ist doch für den PC-Einzelexemplar-Hersteller recht einfach: Billigstes Angebot – in diesem Augenblick 1,32 bei Rakuten – oder vielleicht doch das für 4,95 (fühlt sich ein bisschen besser an) verwenden und sollte Microsoft tatsächlich irgendwann einmal diese Lizenz abschießen, dann her mit dem nächsten billigen Aktivierungsschlüssel, und so fort. Da werden wohl einige Jährchen vergehen beziehungsweise über 50 Wiederbelebungsmaßnahmen anfallen müssen, bis er mit seinen Ausgaben in die Nähe der Microsoftschen Preisvorstellungen vorstößt.

Gustav Schrobsdorff

Kein Wunder

Wie Avast die Daten seiner Kunden verkaufte, c’t 5/2020, S. 38

Man muss sich halt bei einem „wertvollen“ Dienst fragen, ob man lieber zahlender Kunde der Firma ist oder Ware, deren Daten genutzt werden. Man wurde zwischenzeitlich schon ausgelacht, noch kostenpflichtige Programme zu nutzen; ich lächle immer noch wissend vor mich hin, während die Lacher weniger werden. (Und klar, ich bin mir bewusst, dass die Daten nicht hundertprozentig sicher sein müssen, wenn man zahlt.)

Ralf Jansen

CUPS zukünftig ohne PPDs

Tipps & Tricks: Ricoh-Mufus drucken langsam unter Linux, c’t 5/2020, S. 174

Der Tipp ist nicht sonderlich attraktiv, denn aktuell ist nicht klar, ab welcher Version CUPS die PPDs nicht mehr unterstützen wird. Ich hatte hier mit dem weit verbreiteten Samsung MuFu M2675FN ebenfalls Probleme. Die konnte ich lösen, indem ich CUPS driverless mit CUPS-filters ausgewählt habe. CUPS erstellt dann im Dialog mit dem Drucker direkt eine eigene PPD-Datei, die optimal sowohl auf die Fähigkeiten des CUPS-Rasterizers als auch auf die Fähigkeiten des Druckers abgestimmt ist. Der Druckvorgang läuft bei mir seither schnell und problemlos.

Ich-weiss-zu-wenig

Ergänzungen & ­Berichtigungen

Smart-Meter-Schonfrist

Startschuss für verpflichtenden Smart-Meter-Einbau, c’t 5/2020, S. 37

Anders als berichtet sind Haushalte, die eine Solaranlage betreiben oder ein verringertes Netzentgelt für eine Wärmepumpe zahlen, aktuell noch nicht zum Smart-Meter-Einbau verpflichtet. Die Einbaupflicht gilt erst, wenn das Bundesamt für Sicherheit in der Informationstechnik die Freigabe erteilt hat, was bislang nicht der Fall ist.

Google Nest Wifi

Mesh-WLAN-Kit mit Assistent, c’t 5/2020, S. 78

In der Tabelle ging ein Detail verloren: Der Nest-Wifi-Router hat im 5-GHz-Band 4-Stream-WLAN, erreicht also bis zu 1733 MBit/s brutto. Der Nest-Point bleibt bei 2 Streams und maximal 867 MBit/s.

T-Systems: Konnektoren auf Verwundbarkeiten überprüft

Hinweise auf mögliche Verwundbarkeiten der ­Medizin-Telematik, c’t 3/2020, S. 14

T-Systems weist in seinem Handbuch darauf hin, dass aufgrund der fehlenden Echtheitsprüfung des Zertifikats im Browser eine direkte Verbindung per Ethernet-Kabel zum Konnektor aufgebaut werden muss. Bei den vom Autor untersuchten fünf Praxen hielt sich allerdings nur eine an diese Vorgabe. Das Fehlen einer Echtheitsprüfung des Browser-Zertifikats hat der Autor auch beim Konnektor CGM KoCobox beobachtet.

T-Systems betont, dass laufend und umfassend geprüft werde, ob die im Konnektor verwendeten Software-Bibliotheken von in der CVE-Liste aufgeführten Verwundbarkeiten betroffen sind und dass diese beseitigt würden. Derzeit gäbe es im Konnektor keine in der CVE-Datenbank geführten Sicherheitslücken. Sollten in der CVE-Liste neue auftreten, würde T-Systems Firmware-Updates nach Bedarf zertifizieren lassen und ausspielen – falls nötig mehrmals im Jahr.

Wir haben T-Systems gebeten, eine genaue Liste aller beseitigten Verwundbarkeiten gemäß der für die Konnektoren gültigen Zertifizierungsanforderung ALC_FLR.2 zu veröffentlichen.