- 15.01.2009, 18:49
#232064
Liebe Unimogfreunde,
ich war bisher hier nicht sehr aktiv. Ich habe auch lange überlegt, ob ich diesen Beitrag hier veröffentlichen soll. Aber die Ignoranz, mit der der Club zum wiederholten Male meine - denke ich durchaus berechtigten - Anfragen behandelt, läßt mir einfach keine andere Wahl!
Vielleicht bin ich übertrieben misstrauisch, vielleicht leide ich auch an Verfolgungswahn... Alles möglich. Vielleicht bin ich aufgrund meiner Ausbildung und meiner Erfahrung aber auch nur jemand, der die Risiken und Gefahren einer Anwendung mit Datenbank, die sämtliche persönlichen Daten inkl. Kontonummer von (aktuell) 6.700 Club Mitgliedern im Internet bereitstellt, realistisch einschätzt und nicht einfach hinnimmt, was hier ohne die Zustimmung der Mitglieder gemacht wird.
Genau das hat nämlich der UCG gerade getan: Sämtliche persönlichen Daten (inkl. der Kontodaten) seiner Mitglieder im Internet - praktisch ungeschützt - bereitgestellt.
Folgende E-Mail habe ich deswegen am 08.01.2009 an den Club gerichtet:
--- Cut ---
Hallo <xxxxx>,
...
Ich bin im Rahmen meiner Mitgliedschaft im UCG damit einverstanden, dass der UCG meine Daten im Rahmen der „normalen“ Vereinstätigkeit (Beiträge, Versand des Heft’l) in einer internen Datenbank speichert. Diese dürfen aber ohne meine Einwilligung nicht in einer Datenbank gehalten werden, die über das Internet (theoretisch quasi für jedermann) erreichbar ist. Ich bin selbst Informatiker und weiß, wie schwierig es ist, die Sicherheit solcher Anwendungen und der zugehörigen Datenbanken zu gewährleisten. Aufgrund dieser aus meiner Sicht durchaus ernstzunehmenden Problematik ist die vom UCG gewählte Vorgehensweise zur Realisierung einer Mitgliederdatenbank „unverantwortlich“, weil:
Mit freundlichen Grüßen,
--- Cut ---
Das in meiner E-Mail angesprochene Verschlüsselungsthema ist im übrigen nicht das einzige potentielle Sicherheitsrisiko.
Ich habe auf meine E-Mail hin dann vom "Internetverantwortlichen" des Clubs einen Anruf erhalten, in dem erläutert wurde, dass alle das ja mehr oder weniger nur ehrenamtlich machen, das für Sicherheitsmaßnahmen kein Geld zur Verfügung steht und so weiter und so weiter. Was ist denn das für eine Begründung? Wenn das so ist, dann kann ich so eine Anwendung einfach nicht sicher betreiben. Und dann muß ich halt die Finger davon lassen!
Mir wurde in diesem Telefonat u. a. zugesagt, dass meine Daten umgehend aus der Datenbank entfernt würden, bis eine entsprechende Lösung gefunden sei. Und ich wurde noch gebeten, deswegen nicht auszutreten und damit eine Welle der Entrüstung gegenüber der Vereinsführung loszutreten, evtl. sogar zu verursachen, dass viele andere Mitglieder mit der gleichen Forderung an den Verein herantreten, was ziemlich problematisch wäre.
Zwischenzeitlich ist mehr als eine Woche vergangen. Aber, ich hab's nicht vergessen. Weit gefehlt meine Herren: Ich habe heute meinen Zugang zur Mitgliederdatenbank getestet: Passiert ist bis heute gar nichts. Auf meine E-Mail habe ich keine Antwort erhalten, obwohl sie definitiv gelesen wurde (Lesebestätigung). Meine Daten stehen Stand heute immer noch im Internet. Sie wurden entgegen der Zusage des "Internetverantwortlichen" nicht aus der Datenbank entfernt.
Zu diesem Sachverhalt möchte ich gerne die Meinung anderer Mitglieder: Ehrlich, offen und gerne auch deutlich. Was haltet Ihr davon? Bin ich krank? Leide ich an Verfolgungswahn? Oder macht hier einfach jemand, was er will? Verantwortungslos, gedankenlos und mit maximaler Ignoranz? Und weil man sich als Ehrenamtlicher über die persönlichen Belange der Mitglieder ja unmöglich auch noch Gedanken machen kann?
Vielen Dank,
J.
ich war bisher hier nicht sehr aktiv. Ich habe auch lange überlegt, ob ich diesen Beitrag hier veröffentlichen soll. Aber die Ignoranz, mit der der Club zum wiederholten Male meine - denke ich durchaus berechtigten - Anfragen behandelt, läßt mir einfach keine andere Wahl!
Vielleicht bin ich übertrieben misstrauisch, vielleicht leide ich auch an Verfolgungswahn... Alles möglich. Vielleicht bin ich aufgrund meiner Ausbildung und meiner Erfahrung aber auch nur jemand, der die Risiken und Gefahren einer Anwendung mit Datenbank, die sämtliche persönlichen Daten inkl. Kontonummer von (aktuell) 6.700 Club Mitgliedern im Internet bereitstellt, realistisch einschätzt und nicht einfach hinnimmt, was hier ohne die Zustimmung der Mitglieder gemacht wird.
Genau das hat nämlich der UCG gerade getan: Sämtliche persönlichen Daten (inkl. der Kontodaten) seiner Mitglieder im Internet - praktisch ungeschützt - bereitgestellt.
Folgende E-Mail habe ich deswegen am 08.01.2009 an den Club gerichtet:
--- Cut ---
Hallo <xxxxx>,
...
Ich bin im Rahmen meiner Mitgliedschaft im UCG damit einverstanden, dass der UCG meine Daten im Rahmen der „normalen“ Vereinstätigkeit (Beiträge, Versand des Heft’l) in einer internen Datenbank speichert. Diese dürfen aber ohne meine Einwilligung nicht in einer Datenbank gehalten werden, die über das Internet (theoretisch quasi für jedermann) erreichbar ist. Ich bin selbst Informatiker und weiß, wie schwierig es ist, die Sicherheit solcher Anwendungen und der zugehörigen Datenbanken zu gewährleisten. Aufgrund dieser aus meiner Sicht durchaus ernstzunehmenden Problematik ist die vom UCG gewählte Vorgehensweise zur Realisierung einer Mitgliederdatenbank „unverantwortlich“, weil:
- Dem UCG keine Ermächtigung vorliegt, diese Daten über das Internet zugänglich zu machen und
der Login in die Datenbank sowie der Zugriff auf die persönlichen Daten ohne Verschlüsselung (http) erfolgt, d.h. die Informationen (Benutzername, Passwort, Anschrift, Kontodaten etc.) sind bei der Übertragung als Klartext lesbar.
Mit freundlichen Grüßen,
--- Cut ---
Das in meiner E-Mail angesprochene Verschlüsselungsthema ist im übrigen nicht das einzige potentielle Sicherheitsrisiko.
Ich habe auf meine E-Mail hin dann vom "Internetverantwortlichen" des Clubs einen Anruf erhalten, in dem erläutert wurde, dass alle das ja mehr oder weniger nur ehrenamtlich machen, das für Sicherheitsmaßnahmen kein Geld zur Verfügung steht und so weiter und so weiter. Was ist denn das für eine Begründung? Wenn das so ist, dann kann ich so eine Anwendung einfach nicht sicher betreiben. Und dann muß ich halt die Finger davon lassen!
Mir wurde in diesem Telefonat u. a. zugesagt, dass meine Daten umgehend aus der Datenbank entfernt würden, bis eine entsprechende Lösung gefunden sei. Und ich wurde noch gebeten, deswegen nicht auszutreten und damit eine Welle der Entrüstung gegenüber der Vereinsführung loszutreten, evtl. sogar zu verursachen, dass viele andere Mitglieder mit der gleichen Forderung an den Verein herantreten, was ziemlich problematisch wäre.
Zwischenzeitlich ist mehr als eine Woche vergangen. Aber, ich hab's nicht vergessen. Weit gefehlt meine Herren: Ich habe heute meinen Zugang zur Mitgliederdatenbank getestet: Passiert ist bis heute gar nichts. Auf meine E-Mail habe ich keine Antwort erhalten, obwohl sie definitiv gelesen wurde (Lesebestätigung). Meine Daten stehen Stand heute immer noch im Internet. Sie wurden entgegen der Zusage des "Internetverantwortlichen" nicht aus der Datenbank entfernt.
Zu diesem Sachverhalt möchte ich gerne die Meinung anderer Mitglieder: Ehrlich, offen und gerne auch deutlich. Was haltet Ihr davon? Bin ich krank? Leide ich an Verfolgungswahn? Oder macht hier einfach jemand, was er will? Verantwortungslos, gedankenlos und mit maximaler Ignoranz? Und weil man sich als Ehrenamtlicher über die persönlichen Belange der Mitglieder ja unmöglich auch noch Gedanken machen kann?
Vielen Dank,
J.
: es ist ABER so! Ein Freund von mir arbeitet bei einer Firma die Internet auftritte und ähnliches macht, dieser KENNT sich aus 
ich war heute bei ihm nachdem ich das las und fragte ober er das machen könnte 
ER konnte dies nicht bestätigen (mit Kontodaten oder Ähnlichem).
, der ist so trocken, dass es schon staubt.
- von JulianMack