Forschungsmafia: Titelhandel · Forschungsbetrug · Wissenschaftskorruption · Hochschulkriminalität

Eine sehr fragwürdige Tele-Banking-Sicherheitsstudie

Im Juli 2006 erschien in der Zeitschrift Capital ein Artikel über die Sicherheit von Telebanking-Webseiten deutscher Banken. Und weil ausgerechnet das Fraunhofer Institut für Sichere Informationstechnologie (SIT) aus Darmstadt daran beteiligt war, habe ich den natürlich gelesen. An der Seriosität des Artikels müssen einige Zweifel aufkommen.

Beim Lesen des Artikels sind mir damals folgende Punkte aufgefallen:

  1. Auf Seite 84 wird mTan mit 8 Punkten nur geringfügig höher als eTan(6) bewertet, während für HBCI sogar vier Sonderpunkte vergeben werden. Im Ergebnis ist diese höhere Bewertung sogar dafür ausschlaggebend, daß die Deutsche Bank mit einem Punkt Vorsprung gewinnt.

    Das ist nicht recht nachvollziehbar, denn HBCI wird i.d.R. nicht durch autarke Geräte der Sicherheitsklasse 3 genutzt (die teuer und erst seit kurzem verfügbar sind), sondern bezieht den PC für die Eingabe der Daten mit ein. Ob die Bank das Verfahren auf Sicherheitsklasse 3 beschränkt (und wie), wird nicht erwähnt. Von allen betrachteten Verfahren ist mTan durch die Rückmeldung der tatsächlich bei der Bank angekommenen Daten an ein vom PC unabhängiges Gerät (Handy) daher das einzige Verfahren, bei dem eine Veränderung der Bankdaten durch Kompromittierung des PC erkannt wird. Anders sieht das erst aus, wenn man HBCI nur auf Geräte der Sicherheitsklasse 3 beschränkt, was hier aber nicht passiert ist und was derzeit nicht realistisch ist.

  2. Auf Seite 84 gibt es außerdem vier Punkte dafür, wenn das SSL-Zertifikat den Namen der Bank enthält. Das ist zwar schön, aber es ist völlig ungeklärt, wie der Kunde das nachprüfen soll. Kaum ein normaler Anwender weiß, daß es überhaupt eine Anzeige der Zertifikatsdaten gibt und wie man sie prüft.

    Außerdem habe ich bei Versuchen schon mehrfach beobachtet, daß eine solche Angabe des Bank-Namens den Anwender in falscher Sicherheit wiegt: Verwende ich ein Self-Certified-Zertifikat mit dem Namen der Bank, dann überwiegt das bei weitem die Bedenken, die der normale Anwender vor einem OK-Klick in dem Browser-Fenster hat, wenn der Browser bezüglich des nicht vertrauenswürdigen Zertifikats rückfragt. Insbesondere dann, wenn ich diese Anzeige vorher ankündige und dem Kunden durch Screenshots genau erkläre, wo und “warum” er da klicken soll. Da fallen die meisten drauf rein. Deshalb ist die Überbewertung mit 4 Punkten fragwürdig.

  3. Ebenfalls unverständlich ist mir, daß die Angabe von Sicherheitshinweisen mit bis zu 9 Punkten sehr viel höher als die technischen Sicherheitsverfahren gewichtet werden. Die liest nämlich fast niemand, und von denen, die sie lesen, versteht und merkt sie sich kaum jemand. Da werden kaum relevante Sachen viel höher bewertet als die Sicherheitsmechanismen. Bedenkt man, daß mTan gegenüber den anderen TAN-Verfahren nur einen Vorsprung von 2 bzw. 4 Punkten bringt, ist das unverständlich.
  4. Auf Seite 84 werden Punkte dafür vergeben, daß der Kunde keine E-Mail-Adresse für die Anmeldung angeben muß. Das ist mir unverständlich und m. E. ebenfalls ein Entwurfsfehler. Nur weil der Kunde keine E-Mail-Adresse angegeben hat, heißt das noch lange nicht, daß er jede ihm zugesandte E-Mail folglich als Angriff erkennt. Nach spätestens 2 Monaten kann sich niemand mehr daran erinnern, daß er die E-Mail-Adresse nicht angegeben hat. Außerdem würde eine solche Aussage voraussetzen, daß die Bank die E-Mail-Adressen generell nicht aufgenommen hat und nicht nur beim Telebanking. Ob aber beispielsweise die Vertriebsabteilung dem Kunden irgendwelche Newsletter oder Investmentangebote schickt, wurde im Artikel überhaupt nicht betrachtet. So kann es sein, daß eine Bank 2 Punkte mehr erhält, weil sie vermeintlich keine E-Mail-Adressen abfragt, obwohl sie die Adresse längst woanders abgelegt hat und dem Kunden regelmäßig Mails mit Bank-Logo usw. schickt. Ob solche E-Mails dann auch signiert sind, geht aus dem Artikel auch nicht hervor. Das erscheint als ziemlich oberflächliches Pseudo-Argument. Security by Obscurity.

    Oder anders gesagt: Man hält den Phisher nicht dadurch von Phishing-Mails ab, daß die Bank die E-Mail-Adresse des Kunden nicht kennt.

    Im Gegenteil wäre es sinnvoll, wenn jede Überweisung erst nach einer Latenzzeit getätigt, aber sofort per E-Mail (signiert und ggf. verschlüsselt) bestätigt würde – oder sogar noch einen von der Bank erzeugten und von den Überweisungsdaten abhängigen Bestätigungscode enthält, den der Kunde eingeben muß. Dann nämlich hätte der Kunde Zeit, einen Angriff rechtzeitig zu erkennen und notfalls Alarm zu schlagen bzw. die Überweisung zurückzurufen. Einen solchen Kommunikationsweg der Bank zum Kunden ungenutzt zu lassen und dafür auch noch Punkte zu vergeben halte ich für einen groben Schnitzer.

  5. Auf Seite 85 links wird behauptet, daß iTan gegen Phishing immun sei. Das ist ein grober Fehler. Zum einen gibt es diverse Phishing-Angriffe, die den Kunden gleich zur Eingabe von 10-20 TANs auffordern. Geht man davon aus, daß ein Kunde im Mittel die Hälfte seiner TANs verbraucht hat, könnte ein Angreifer damit immer noch genug TANs abgreifen, um mit einer Wahrscheinlichkeit von 40% einen Treffer zu landen. Da der Angreifer im Falle des Mißlingens ja mehrere Überweisungsversuche frei hat bis die Bank den Zugang sperrt, liegt die Quote sogar deutlich höher. Hat der Angreifer z. B. 15 von 50 verbliebenen TANs und drei Versuche, dann liegt die Wahrscheinlichkeit für einen Treffer bei 69%. Das kann man wohl kaum als “immun” bezeichnen.

    Davon abgesehen kann der Angreifer ja durchaus eine “aktive” Webseite gestalten, die die TAN nicht nur entgegennimmt und zur späteren Verwendung sammelt, sondern die direkt – als man-in-the-middle – die Verbindung zur Bank herstellt und einfach die von der Bank angeforderte iTan-Nummer durchreicht. Das würde ich nicht als fiktiv, sondern als Stand der (Angriffs-)Technik ansehen. Die Gefährdung ist also keineswegs geringer, der Angreifer muß nur seine Software geringfügig umstricken. Einen Trojaner braucht es dazu nicht, wie im Artikel fälschlich behauptet wird. Im Gegenteil kann die iTan-Technik den Anwender in falscher Sicherheit wiegen und so die Bereitschaft erhöhen, auf Phishing-Seiten seine TAN einzugeben. Vor allem, wenn er vorher den Capital-Artikel gelesen hat und irrtümlich annimmt, iTan wäre gegen Phishing immun.

  6. Seite 85 mitte: Da wird behauptet, daß HBCI nicht über das Internet liefe und deshalb immun gegen jeglichen Angriff sei. Das ist falsch.

    Selbst wenn man unterstellt, daß nur die Formulierung unglücklich gewählt war und tatsächlich nur die Kommunikation zwischen Benutzer und Chipkarte gemeint war: Die Aussage wäre nur für HBCI-Geräte der Sicherheitsklasse 3 haltbar. Die Sicherheitsklassen werden aber nicht erwähnt. Das beschriebene Verfahren, das Gerät zwischen Tastatur und PC zu schalten, wäre aber Sicherheitsklasse 2, für die eine solche Aussage nicht mehr vertretbar ist.

  7. Die im Artikel beschriebene Sicherheit wäre nur mit Geräten der Sicherheitsklasse 3 zu erreichen.

    Zwar sind solche Geräte mittlerweile tatsächlich im Handel erhältlich, sie liegen aber preislich bei etwa 130 Euro. Das können sich viele Leute nicht leisten, sie müßten aber flächendeckend eingesetzt werden.

    Davon abgesehen wäre das kaum rentabel: Legt man die Zahlen auf Seite 83 des Artikels zugrunde, gab es im letzten Jahr etwa 2000 Schadensfälle mit Schäden zwischen 2000 und 3000 Euro. Also ein Gesamtschaden von etwa 5 Millionen Euro. Ich kenne die genaue Zahl nicht, aber m. W. gibt es in Deutschland etwa 30 Millionen Haushalte.

    Also lag der durchschnittliche Schaden durch Phishing bei etwa 0,17 Euro pro Haushalt und Jahr.

    Stellt man dem die Anschaffung eines solchen Gerätes gegenüber, zu dem ja nicht nur die Anschaffung, sondern auch noch die Arbeitszeit, Transport, Probleme, Support, Austausch verlorener Karten usw. hinzukommen, kann man Anschaffungskosten von vielleicht 200 Euro pro Haushalt ansetzen. Vielleicht auch deutlich mehr, wenn jeder Kontoinhaber im Haushat sein eigenes Gerät möchte.

    Gehen wir davon aus, daß ein solches Gerät 2-4 Jahre hält, haben wir jährliche Kosten pro Haushalt von 50 bis 100 Euro. Selbst wenn man annimmt, daß die Gerätekosten durch Stückzahlen sinken, würde ich immer noch von mindestens 30-70 Euro pro Jahr und Haushalt ausgehen.

    Das heißt, die wenden mindestens 30 Euro auf um einen Schaden in Höhe von 0,17 Euro abzuwenden.

    Nur zum Vergleich: Würde man HBCI weglassen, bei mTan bleiben, vielleicht noch mit etwas Software-Unterstützung der Mobilfunkbetreiber, und dafür pro Kunde und Jahr 2 Euro in eine Versicherung einzahlen, die Restschäden trägt, wäre man billiger, besser und flexibler dran.

    Welchen Wert hat wohl ein Sicherheitswissenschaftler, dessen Sicherheitsmethoden weitaus mehr kosten als erfolgreiche Angriffe? Wer solche Sicherheitsspezialisten hat, braucht eigentlich gar keine Angreifer mehr…

  8. Noch ein dicker Fehler findet sich auf Seite 85 rechts: Nur weil ein System “funktioniert” und es noch keinen “Betrugsfall” gab, heißt das nicht, daß das System sicher wäre. Ein solcher Denkfehler darf eigentlich überhaupt niemandem unterlaufen, der im Bereich Security tätig sein will.

    Darin liegt der böse Denkfehler, die Angreifer für dumm zu halten und zu unterschätzen: Warum sollte der Angreifer jetzt die Lücke ausnutzen? Es gibt bisher so wenig Nutzer des Verfahrens, daß sich der Aufwand für den Angreifer noch gar nicht lohnt. Daraus auf die Sicherheit des Verfahrens zu schließen, darf einem Sicherheitswissenschaftler einfach nicht passieren. Der Angreifer wäre auch strategisch dumm, wenn er jetzt angriffe: Er würde zeigen, daß das System unsicher ist und es würde nicht eingeführt. Wartet der Angreifer aber ab, und werden dann noch solche Artikel veröffentlicht, dann gibt es irgendwann ganz viele Nutzer, und dann lohnt sich auch der Angriff. Und dann sind es so viele Nutzer und die Investition so hoch, daß die Bank nicht mehr schnell und nicht mehr ohne weiteres davon wegkommt. Die Sichtweise ist naiv. Auch Spammer greifen Anti-Spam-Methoden erst an, wenn eine gewisse Mindestmenge von Benutzern sie anwendet. Warum sollten sie etwas angreifen, was nur von den wenigsten verwendet wird?

    Das Prinzip ist das gleiche wie bei den RSA ACE Tokens. Teilweise werden die sogar von Banken in den USA eingesetzt. Aber die Angriffe sind auch die gleichen.

    Ebenso unsinnig ist es, von der auf Sekunden beschränkten Gültigkeit auf die Sicherheit zu schließen. Automatisierte Angriffe sind stets schneller.

Ich habe damals direkt die Capital-Redakteure angeschrieben und zu den Ungereimtheiten befragt. Eine konkrete Antwort habe ich nicht bekommen. Sie haben zwar geantwortet, aber nichts zur Sache. Sie hätten sich externer Fachleute bedient. Man will aber nicht sagen, welcher der im Artikel erwähnten Fachleute denn nun eigentlich was behauptet haben. Man wehrt sich aber gegen die Vermutung, daß man den Artikel von außen bekommen und einfach durchgereicht hätte. So wirkt er aber auf mich. Die Capital-Redakteure konnten jedenfalls überhaupt nichts von dem erklären, woran sie ja angeblich mitgeschrieben haben (also weder ja noch nein: Nicht durchgereicht, aber trotzdem auf Experten gestützt).

Auffällig war jedoch, daß das Fraunhofer Institut für Sichere Informationstechnologie (SIT) den Artikel auf seiner Webseite groß beworben hat. (Auch der oben angegebene Link zeigt auf das SIT). Kommerzielle Zeitschriften geben ihre Artikel nicht Dritten zur kostenlosen Veröffentlichung, wenn die nicht maßgeblich daran beteiligt waren. Also habe ich durchaus bei SIT mal nachgefragt. Man bestreitet nicht, die Stellen im Artikel inhaltlich entworfen zu haben, will sich aber überhaupt nicht dazu äußern. Zitat aus einer E-Mail des SIT:

Sehr geehrter Herr Danisch,

zwischenzeitlich hatte ich kurz Gelegenheit einmal Ihre Homesite anzuschauen und frage mich nun, von welcher eigenen Lebensleistung Sie eigentlich ableiten die Kompetenzen anderer – und das sind neben meiner Person ja wohl nicht irgendwelche dahergelaufenen Laute, sonder gestandene Professoren, teilw. von der ETH – in Frage zu stellen.

Das heißt, ob etwas richtig oder falsch ist, kommt hier auf die akademische Rangordnung dessen an, der fragt. Die Angegriffenen werden hochgelobt, ich werde herabgewürdigt. Was aber meine Lebensleistung mit dem Artikel zu tun haben soll, und wie der Artikel dadurch besser werden soll, daß ihm meine Webseite nicht gefällt, leuchtet zumindest mir nicht ein. (Es scheint aber nicht unüblich zu sein. Ein anderer Darmstädter Professor gab mir gerade die Schuld für Fehler auf seiner Webseite, indem er mir über meine Wortwahl bei der Nachfrage zürnte. Schuld ist nicht der, der Fehler macht, sondern immer der, der sie findet und danach fragt.) Eine Erklärung für die Ungereimtheiten in dem Artikel liegt jedenfalls bis heute nicht vor.

Der rein persönliche Eindruck, den ich von der Sache habe, ist jedenfalls kein guter. Das SIT ist ziemlich mit der Industrie verbandelt, man muß nur in die Auftragsliste des SIT und in das CAST-Forum sehen. Wie sich schon mehrfach zeigte scheint die Politik des SIT zu sein, auf Biegen und Brechen Digitale Signaturen, Chipkarten und die nötige Ausstattung dafür einzuführen – koste es, was es wolle. Und die direkte Nähe zu denen, die daran profitieren, ist durchaus fragwürdig. Gerade dann, wenn in Artikeln solche Fehler auftauchen, drängt sich der Eindruck auf, daß unter dem Deckmantel der Wissenschaftlichkeit Kommerz betrieben wird.

Ich habe oben gezeigt, daß ein durchschnittlicher Phishing-Schaden von gerade mal ein paar Cent pro Jahr und Haushalt mit Methoden bekämpft werden soll, die mindestens 30-70 Euro pro Jahr und Haushalt kosten.

Ich habe mich kürzlich mit der Sicherheitsabteilung einer Bank unterhalten. Die fühlen sich natürlich durch solche Artikel unter Druck gesetzt, weil die Kunden sowas lesen, das glauben und damit drohen, ihr Geld abzuziehen und zu vermeintlich sichereren Banken zu bringen. Zudem fühlen sie sich genötigt, das SIT als Berater zu beauftragen. Im Endeffekt ist es aber unsinnig, denn bei der Einführung etwa von HBCI würden allein Anschaffung und Betrieb der Banken-Server ein erhebliches Vielfaches dessen verschlingen, was bei dieser Bank an Schaden durch Phishing und Telebanking-Betrug auftritt. Und da sind noch keinerlei Kosten und Geräte beim Kunden berücksichtigt. Die mit Abstand billigste – und damit eigentlich sicherste – Methode ist für diese Bank, gar nichts zu tun und falls mal ein Phishing- oder Betrugsfall vorkommt, dem Kunden zur Abschreckung einen bösen Blick zuzuwerfen und dann stillschweigend und “aus Kulanz” den Schaden einfach zu übernehmen. Die vermeintlichen “Sicherheitsmechanismen” verursachen mehr Kosten und richten damit mehr Schaden an, als die Angreifer selbst. Ist das etwa “Sicherheit”?

Was steckt also hinter diesem Artikel?

Meine Vermutung ist die: Schafft man es, HBCI mit Geräten der Klasse 3 allgemein durchzusetzen und bei den Banken zum Standard zu machen, liefe das darauf hinaus, nicht nur den Banken teure Server und Dienste anzudrehen, sondern auch jedem Haushalt so ein Ding hinzustellen. Dreht man 20 Millionen Haushalten je einen Kartenleser zu 100 Euro an, sind das auch 2 Milliarden Umsatz. Und verblüffend viele der üblichen Verdächtigen, bei denen dieser Umsatz hängen bliebe, sind mit dem SIT verbandelt.

Ein Schelm, wer sich etwas dabei denkt.

5 Kommentare (RSS-Feed)

user unknown
16.6.2007 3:58
Kommentarlink

Eine gute Kritik, auf die ich aufmerksam wurde, weil bei Heise jmd. mich drauf hinwies: (Link) als ich Überlegungen zur Wirtschaftlichkeit von HBCI anstellte.

Zu 2 Punkten will ich mich aber äußern, obwohl ich von HBCI grob gesprochen gar keine Ahnung habe.

1. Zu Punkt 7 – die Zahl der Haushalte.
M.E. muß man hier auf die Zahl derer abheben, die Onlinebanking betreiben, und nicht auf (lt. heise.de
(lt. heise.de

40 Mio. Deutsche online).
Mitgezählte Kinder und Jugendliche haben nicht immer ein Konto – schätzen wir also 30 Mio. Konten, die online erreichbar wären.
Aus meinem Bekanntenkreis kann ich aber berichten, daß viele Internetnutzer kein Onlinebanking betreiben. Dazu ist vielen Windows dann doch zu unsicher.
Wenn ich mich festlegen müßte, würde ich auf 15 Mio. tippen – aber das ist natürlich nicht zu erhärten.

2. Auch zu Punkt 7 – die Lebenserwartung des Gerätes mit 2-4 Jahren anzugeben scheint mir nicht sportlich fair.
Meine erste PC-Tastatur hielt 10 Jahre bei ständiger intensiver Nutzung – 10-20 Jahre sollte man den Geräten schon zubilligen, finde ich.
Daß Gerät und Verfahren länger genutzt werden wäre dann aber wohl doch zu großzügig gedacht.
Damit käme man auf jährliche Kosten von 5-10 Euro pro Gerät.

Die Diskrepanz zw. Kosten und Nutzen sind immer noch eklatant, aber man war schon sehr großzügig in der Kalkulation.

P.S.: Das Layout der Seite ist im Firefox unter Linux suboptimal.
Der Textblock beginnt erst in der Seitenmitte – die Navigationsleiste klebt am rechten Rand und die Schrift ist winzig.
Vergrößere ich den Text mit CTRL- so wandert die Navigationsleiste nach rechts aus.
Hier 3 Screenshots:

Normalgröße


2 Stufen vergrößert


3 Stufen


Hadmut
16.6.2007 11:19
Kommentarlink

Danke für die Kritik. Kurze Anmerkungen dazu:

Für die Zahl der Haushalte, insbesondere die Telebanking-willigen, hatte ich – wie gesagt – keine genaue Zahl sondern eben nur in Erinnerung, die Zahl der existierenden Haushalte mal wo gelesen zu haben. Ich bin davon ausgegangen, daß in nächster Zukunft die Zahl der Homebanking-Kunden schon deshalb massiv zunehmen wird, weil die Banken aus Kostengründen vom Papierkram wegwollen (Siehe Euroscheck). Sicherlich wird nicht jeder Haushalt Telebanking treiben, dafür wird es andere Haushalte geben, in denen mehrere Geräte angeschafft werden müssen, weil mehrere Leute ihr Zeugs selbst verwalten wollen, z. B. wenn der volljährige Sohn noch im Hotel Mutti wohnt. Von durchschnittlich (!) einem Gerät pro Haushalt auszugehen, scheint mir nicht allzu abwegig. Allerdings ging es mir hier auch gar nicht um die konkreten Zahlen, sondern darum, daß man so etwas überhaupt nicht betrachtet hat. Mir ging es mehr darum, daß man nicht betrachtet, ob die Einführung von HBCI wirtschaftlich sinnvoll ist, sondern einfach nach Industrieinteressen handelt und das Zeug unter der Fahne der Sicherheit durchzuprügeln versucht. Es ging mir darum aufzuzeigen, daß “Sicherheit” hier als Verkaufsmasche mißbraucht wird und kein ernsthafter Sicherheitsentwurf dahintersteckt. Hängt auch mit meiner Meinung des Fraunhofer-Instituts SIT zusammen, das an dieser Studie eben maßgeblich mitgewirkt hat.

Auch bei der Lebenserwartung kann ich den Optimismus nicht teilen. Auch hier ist wieder von durchschnittlicher Dauer und nicht einzelnen Langzeit-Exemplaren auszugehen. Tastaturen hielten deshalb so lange, weil sie zu den wenigen Geräten gehörten, die sich lange Zeit – auch beim Stecker – nicht änderten und überhaupt keine Software-Updates und dergleichen brauchten. Ich weiß außerdem von Tastaturen, die schon nach einem Jahr verbraucht waren. Viel Computer-Zubehör, das ich habe – externe Platten, Drucker, Scanner, Kartenleser, Mäuse usw. – sind nach 3 Jahren technisch überholt. Ich habe gerade einen 2 1/2 Jahre alten Drucker durch einen neuen ersetzt. Der alte war noch prima und druckte wie am ersten Tag. Der neue hat aber eine Duplex-Einrichtung und viel niedrigere Tonerkosten pro Seite. Und auch meinen vorletzten Laserdrucker habe ich noch, der funktioniert auch noch, ist aber zu teuer im Druck, zu langsam, zu wenig Speicher – und auch über 10 Jahre alt. Obwohl meine Laserdrucker also tatsächlich über 10 Jahre lang halten und funktionieren habe ich mehrfach, diesmal sogar nach nur 3 Jahren, aufgrund technologischen Fortschritts neue gekauft. Die alten habe ich noch als Reserve-Drucker im Regal stehen, nutze sie aber nicht mehr (regelmäßig). Und obwohl auch Tastaturen bei mir lange halten, habe ich in den letzten Jahren de facto mindestens 20-30 Tastaturen unterschiedlicher Herkunft bekommen und einen Teil davon – sogar wenig oder unbenutzte – im Elektronikschrott entsorgt. Teils noch mit Dioden-Stecker, teils ohne Windows-Taste usw. Hardware veraltet teilweise im Rhythmus der Windows-Neuauflagen oder sogar Service-Packs – oder wenn der Hersteller pleite ist und keine Firmware-Updates mehr kommen. Die Annahme, daß ein USB-Kartenleser in 10 Jahren noch technisch aktuell sei und ein solches Gerät in einem durchschnittlichen Haushalt überhaupt 10 Jahre lang überlebt, halte ich für mehr als verwegen. Ich habe genug 10 Jahre alte Kartenleser, die in den Schrott können. Teils haben sie serielle Schnittstellen, die man an heutigen Rechnern nicht mehr findet und extra USB-Adapter nötig machten, was schon deshalb finanziell unsinnig wäre, weil ja noch der Stromverbrauch des externen Netzteils für den Kartenleser dazukommt. Teils sind sie überhaupt nicht mehr in Betrieb zu nehmen, weil der Hersteller nicht mehr existiert, sie nicht mehr unterstützt, man keine Treiber für heutige Windows mehr bekommt usw. Eine Lebensdauer von 10 Jahren für Computerperipherie halte ich nur noch in ganz besonderen Ausnahmefällen für annehmbar. Vielleicht für den Schreibtisch oder die Kaltgerätekabel. Von Tisch und 220V-Gekabels abgesehen ist das einzige, was bei mir gerade noch in Gebrauch und älter als 5 Jahre ist, ein AMD-K7-Prozessor. Selbst der steckt in einem neueren Board.

Mein Layout: Das ist nicht “suboptimal”, das ist einfach schlecht, um nicht zu sagen beschi…. Ich weiß. Meine ganze Website ist veraltet und in einem saumäßigen Zustand. Ich bin nur in letzter Zeit nicht dazu gekommen, etwas dran zu machen, weil ich einfach mit Inhalten usw. zu viel zu tun hatte, siehe Adele und die Fledermaus. Dazu kommt, daß die verschiedenen Themes, die man für WordPress bekommt, meistens einfach lausig sind. Ich hatte in letzter Zeit verschiedene ausprobiert, die dauerhaften Leser meines Blogs werden sich gewundert haben, warum sich das Aussehen mehrfach völlig änderte. Unter den Themes, die ich optisch für erträglich halte, zeigten sich aber immer wieder irgendwelche technischen Mängel. Mal fehlten irgendwelche WordPress-Links, mal gab es Probleme mit der Datumsanzeige, mal dies, mal das. Die meisten Themes sind einfach Murks (auch WordPress selbst ist nicht uneingeschränkt toll, da hat es auch Macken, aber was besseres hab ich bisher auch nicht gefunden…). Ich werde in den nächsten Monaten meine Website komplett überarbeiten, ausmisten, aufräumen, mir ein neues Design und Layout überlegen, und dann dazu auch mein eigenes WordPress-Theme schreiben (oder ganz auf was anderes umsteigen). Bis dahin muß ich noch um etwas Geduld bitten. Ich weiß, daß die Webseite übel aussieht, aber ich hab momentan einfach wichtigere Sachen zu tun und muß auch bei der Webseite leider derzeit Inhalt über Form stellen.


Hadmut
16.6.2007 11:29
Kommentarlink

Noch ne Anmerkung:

Ich hab mir mal Deine Screen-Shots angeguckt. Nee, bei mir taucht der Fehler nicht auf, ich hab auch Firefox unter Linux auf mindestens vier verschiedenen Rechnern (Debian und Ubuntu). Bei mir sieht das Layout zwar nicht gerade künstlerisch übermäßig schön, aber “normal” aus.


user unknown
17.6.2007 3:13
Kommentarlink

Uhm – braucht man pro Bank oder pro Konto ein Gerät?
Oder ist die Annahme mehrerer Geräte auf im Haushalt auf die Annahme, jeder hat seinen eigenen PC-Arbeitsplatz gegründet?

Das ist für viele Haushalte plausibel, und für viele andere Haushalte nicht so plausibel – zumindest solange die Geräte so teuer sind.

Und ja – die Wirtschaftlichkeit ist nicht Dein Anliegen, aber eine Technik – vorrausgesetzt sie wäre wirksam – die unrentabel ist, also deutlich mehr kostet, als sie Schaden abwendet, scheint anderen Zwecken zu dienen – das war doch der Argumentationsfaden?


Hadmut
17.6.2007 10:55
Kommentarlink

Na, was heißt “brauchen”?

Rein formal “braucht” man es nicht. Man braucht auch genaugenommen nicht mehrere Computer, keine Handys und ein Telefon pro Familie reicht auch. Als ich noch Kind war (gut, schon länger her) hatten wir genau ein Telefon, so einen grauen Amtsapparat mit Wählscheibe. Und niemand hätte die Notwendigkeit eines zweiten eingesehen. Heute hat jedes Familienmitglied sein eigenes (mindestens eins).

Im Prinzip würde ein Leser pro Haushalt reichen. Es wird wohl auch kein zweiter angeschafft, solange die Eltern ein Konto haben und die Kinder gar keins. Spätestens wenn verschiedene Arbeitsplätze entstehen wird den Leuten die Umstöpselei aber zu blöde. Und ich kenne eine ganze Menge Leute, die ihren Freiberufler-Kram strikt von ihrem privaten Kram trennen. Und einige Jugendliche/Studenten, die noch bei Mutti wohnen, aber ihren Kram vollständig alleine machen.

Aber die Diskussion ist eigentlich überflüssig und nicht sinnvoll. Ob es jetzt 20 oder 30 Millionen Geräte sind, spielt für die Größenordnung keine Rolle, das ist ein Faktor von 1,5.

Es geht darum, daß der Aufwand in keinem Verhältnis zum verhinderten Schaden steht.

Deshalb beende ich diesen Thread auch hiermit, sofern es um Nebensächlichkeiten und nicht um die Hauptsache geht. Hier geht es um verfehlte Sicherheitstechnik, Industriepolitik, die sich als Sicherheitstechnik ausgibt, und nicht um Überlegungen zur Durchschnittsfamilie.