Leserforum

Keine E-Mails mit Links

Banken vs. Phishing: Für Menschen, bitte!, c’t 16/2024, S. 3

Solange Banken E-Mails mit Links verschicken, die sich kaum von Phishing-Mails unterscheiden, braucht man sich nicht zu wundern, dass viele auf Phishing hereinfallen. Ich spreche da nicht nur von PayPal, sondern auch von Banken, die sich für seriös halten. Früher gab es mal Banken, die ihren Kunden sagten, sie würden niemals E-Mails mit Links schicken, sollte man also eine solche bekommen, käme die definitiv nicht von der Bank. Ich frage mich, ob es das heute noch gibt.

twm

Weniger Angriffsfläche

Das Grundproblem bei HTML-Mails ist, dass der Angreifer viel mehr Möglichkeiten hat, den Inhalt und die Funktion zu definieren – auch unabhängig voneinander. Wenn sich der Kunde davor schützen will, müsste er erst einmal die HTML-Grundlagen verstehen und hätte dann bei jedem Link, den ihm die Bank zuschickt, große Mühe, ihn zu verifizieren. Für circa zwei Prozent aller meiner Bekannten ist dies überhaupt tatsächlich machbar, beim Rest kommt es nur aufs Bauchgefühl an, das heißt eine gut gemachte Phishing-Mail reicht aus. Text-Mails mögen als hässlich empfunden werden, aber sie bieten wesentlich weniger Angriffsfläche.

7eggert

Negative Trends

Leserbrief „Problematische Touchdisplays“, c’t 16/2024, S. 10

Bezüglich des Leserbriefs über Touchscreen-Terminals für Blinde habe ich noch zwei Punkte hinzuzufügen. Bei manchen Geräten soll eine Schablone mitgeliefert werden, welche es ermöglichen soll, dass auch ein blinder Benutzer seine PIN auf einen solchen Touchscreen eingeben kann.

Es gibt aber einen weiteren negativen Trend, der auch nicht mit der Benutzung einer Schablone bewältigt werden kann. Es gibt Terminals, bei denen die Tasten für die PIN-Eingabe nicht mehr in der üblichen Anordnung angezeigt werden. Sie werden dagegen in einer willkürlichen Reihenfolge angezeigt, um das Ausspähen der PIN durch andere Personen zu erschweren. Auf einem solchen PIN-Pad ist es für eine blinde Person unmöglich, eine PIN einzugeben.

Jochen Schmitt

Ersatzlösungen

Berliner Open Source Tag buhlt um deutsche Verwaltung, c’t 16/2024, S. 34

Es fällt wieder auf, dass man anscheinend nach Ersatzlösungen für Produkte sucht, anstatt Stellen und Arbeitsplätze auf passende Lösungen zu prüfen. Mit Nextcloud und LibreOffice kann weder ein Kfz zugelassen noch ein Meldevorgang oder viele andere Aufgabe des Bürgerbüros erledigt werden. Office kann und darf nur da zum Einsatz kommen, wo hochflexible Aufgaben, manuelle Vorgänge oder Ausnahmen zu erledigen sind. Eine große Zahl der Mitarbeiter in deutschen Verwaltungen braucht kein oder nur selten Office-Produkte.

Wenn allein diese spezialisierten Anwendungen unter Linux sauber ausgerollt würden und damit liefen, müsste doch schon viel gewonnen sein. Wenn am Ende ein paar Prozent der Arbeitsplätze mit Windows übrig bleiben, darf dadurch der Rest nicht behindert werden.

Andre Büsen

Nehmen und anpassen

EUDI-Wallet: Die Debatte um die deutsche Personalausweis-App, c’t 16/2024, S. 120

Wenn das in Dänemark und Österreich funktioniert, warum nicht einfach das System von dort nehmen und anpassen? Warum muss man immer alles selbst neu erfinden (siehe Autobahnmaut, ICE), mit dem Hintergedanken „das ist technisch so brillant, das verkaufen wir ins Ausland“? Am Ende will es doch keiner, weil es zu teuer oder zu kompliziert ist, schlicht „German overengineering at its best“.

Rolf Wilhelm

Sichere Wallets nutzen

Warum brauchen wir überhaupt wieder eine neue eigene App? Andere Länder nutzen die hardwaregestützten Wallets der Systeme selbst. Die bieten bereits eine so hohe Sicherheit, dass da auch virtuelle Kreditkarten und andere Zahlkarten quasi ohne Zahlungslimit (limitiert auf den Deckungsrahmen) drin liegen und andere Länder auch Ausweise da reinpacken. Ich bin nicht sicher, ob die Regierung das sicherer hinbekommt als mit der Hardwareunterstützung und Verankerung im Betriebssystem.

CityHunter

Zertifikat ohne teures Abo

Ich möchte, dass ich mit der App auch ein Zertifikat erzeugen kann, das es mir erlaubt, elektronische Dokumente und E-Mails zu signieren. Die Anforderung hinsichtlich digitaler ID wird immer massiver kommen. Ich finde es ein Unding, dass ich dafür ein teures Abo bei einem kommerziellen „Vertrauensdiensteanbieter“ abschließen soll. Wir finanzieren schon einen Vertrauensdiensteanbieter: Es ist der Staat, der konventionelle Ausweisdokumente ausstellt und die Authentizität sicherstellt. Warum das beim elektronischen Ausweis anders sein soll, insbesondere wenn es gesetzlich verlangt wird, erschließt sich mir nicht.

embeddednerd

Ins offene Messer

Projekt DestinE zeigt Wetter und Klimawandel auf ein paar Hundert Meter genau, c’t 16/2024, S. 138

Das liest sich beeindruckend. Ich hoffe auch, dass sich daraus tatsächlich Abhilfen generieren lassen. Das Problem am Klimawandel ist ja nicht die Vorhersage, sondern dass niemand was dagegen tut. Wir sind gefühlt immer noch alle im Modus „weiter wie bisher“ – zumindest die meisten. Wenn ich eine Vorhersage habe, aber trotzdem sehenden Auges ins offene Messer laufe, hätte man sich die Vorhersage vielleicht auch sparen können.

Sebastian Wedekind

Krone der Schöpfung

KI-Technik als zweifelhafter Messias, c’t 15/2024, S. 3

Ihren Standpunkt teile ich umfänglich. Ich bin seit Jahrzehnten im Schulungs- und Supportbereich für Finanzsoftware tätig: je größer die Organisationsdefizite, desto lauter der Ruf nach (Er-)Lösung durch die Software.

Ebenfalls jahrzehntelang ging es in der Gestaltung der Benutzeroberfläche darum, immer anwendungsfreundlicher zu werden, strukturierter, organisierter – besser eben. Seit Jahren wird der Spieß umgedreht: Der Anwender soll nicht mehr strukturiert arbeiten, denken und wissen, wo seine Daten liegen, wie sie verarbeitet werden, wie er sie wiederfindet, sondern alles soll er der (er-)lösenden Software überlassen (Cloud und Ribbons sei Dank). Jetzt auch noch in Form der KI.

Kurzum: Der Anwender wird dank KI und bevormundender Systeme immer mehr dumm gehalten und wird am Ende immer dümmer (siehe einschlägige Erkenntnisse aus der Hirnforschung). Wem es nichts ausmacht, eine Zacke nach der anderen aus der Krone (der Schöpfung) zu verlieren – bitte schön. Dabei ist doch bekanntermaßen der Gebrauch der Großhirnrinde das wesentliche Merkmal, das den Menschen als sogenannte „Krone der Schöpfung“ auszeichnet.

Alois Guckenbiehl

Hifreicher Anruf

CDU-Parteizentrale per Zero-Day-Sicherheitslücke gehackt, c’t 15/2024, S. 36

Zum Artikel über den Angriff auf die CDU erhielt unser Unternehmen von der Kriminalpolizei Köln KK35 (Abt. Cybercrime) nach gut drei Wochen einen Anruf mit einer Warnung. Glücklicherweise hatte unser IT-Dienstleister bereits kurz nach dem Angriff beziehungsweise dessen Bekanntwerden die entsprechenden Schritte eingeleitet.

Überraschend, aber tatsächlich hilfreich fand ich den Anruf der Kripo schon. Natürlich denkt man, dass auch dieser Anruf ein Fake hätte sein können, tatsächlich habe ich aber über die offizielle Nummer der Polizei zurückgerufen und den Ansprechpartner in der entsprechenden Abteilung erreicht.

Rüdiger Zens

Abonnenten lesen Artikel digital und vorab

Das c’t-Abo bietet Ihnen viele Vorteile. So können Abonnenten viele c’t-Artikel im Webbrowser lesen, meist sogar bevor das Heft im Briefkasten liegt. Dazu genügt ein kostenloser Account bei heise online, den Sie allerdings noch mit Ihrem c’t-Abo verknüpfen müssen. Sollten Sie noch keinen heise-online-Account haben, legen Sie diesen unter heise.de/s/6EEjZ an. Unter heise.de/s/lwwY2 verknüpfen Sie Ihren Account mit Ihrem Abo. Danach können Sie die mit „c’t Magazin“ gekennzeichneten Artikel auf heise.de/plus lesen, solange Sie mit dem verknüpften Account angemeldet sind.

Um Ihnen das Auffinden der c’t-Artikel auf heise+ zu erleichtern, stellen wir sie jeden Dienstag im Club-Newsletter für unsere Abonnenten zusammen. Falls Sie diesen noch nicht erhalten, können Sie ihn unter heise.de/s/Wxx0e bestellen.

Accountverwaltung und Newsletteranmeldung: ct.de/yzs2

Ergänzungen & Berichtigungen

Tempolimits und Community-Karten

Navi-Apps mit Android Auto und Apple CarPlay im Test, c’t 15/2024, S. 96

Apple Karten bietet, anders als im Artikel angegeben, eine Anzeige des Tempolimits, wenn die zugehörigen Streckenabschnittsdaten vorhanden sind. Sie war auf unseren Testgeräten lediglich in den App-Einstellungen von iOS deaktiviert. Außerdem stammt das Kartenmaterial in Waze von der Community, nicht von Google. Google Maps wird lediglich als Overlay für den Waze-Karteneditor im Web verwendet.

Zotero und OneNote können mehr

Notizen wissenschaftlich organisieren im digitalen Zettelkasten, c’t 16/2024, S. 150

In der Tabelle sind folgende Angaben falsch: Zotero kann auch Backlinks setzen. OneNote speichert seine Daten auch lokal und kann Plug-ins einbinden (Microsoft listet 26 auf).

Artikel verschoben

Vorschau „Barrierefreie Websites“, c’t 16/2024, S. 178

Aus redaktionellen Gründen haben wir den für dieses Heft angekündigten Artikel zum Barrierefreiheitsstärkungsgesetz verschoben. Er erscheint in einer der kommenden Ausgaben.

Wir freuen uns über Post

redaktion@ct.de
c't Forum
c't magazin
@ctmagazin
ct_magazin
@ct_Magazin
c't magazin
Ausgewählte Zuschriften drucken wir ab. Bei Bedarf kürzen wir sinnwahrend.
Antworten sind kursiv gesetzt.
Anonyme Hinweise www.heise.de/investigativ

Fragen zu Artikeln

Bitte senden Sie uns Ihre Fragen per E-Mail an die Adresse des Redakteurs, die am Ende des Artikels steht.