Herzlich willkommen

Herzlich willkommen auf der Unimog-Community-Website. Seit 1999 treffen sich hier die Mercedes-Benz Unimog- und MBtrac-Enthusiasten zum Meinungsaustausch und Fachsimpeln.

Das Forum von Mitgliedern für Mitglieder des Unimog-Club Gaggenau (UCG).
#232064
Liebe Unimogfreunde,

ich war bisher hier nicht sehr aktiv. Ich habe auch lange überlegt, ob ich diesen Beitrag hier veröffentlichen soll. Aber die Ignoranz, mit der der Club zum wiederholten Male meine - denke ich durchaus berechtigten - Anfragen behandelt, läßt mir einfach keine andere Wahl!

Vielleicht bin ich übertrieben misstrauisch, vielleicht leide ich auch an Verfolgungswahn... Alles möglich. Vielleicht bin ich aufgrund meiner Ausbildung und meiner Erfahrung aber auch nur jemand, der die Risiken und Gefahren einer Anwendung mit Datenbank, die sämtliche persönlichen Daten inkl. Kontonummer von (aktuell) 6.700 Club Mitgliedern im Internet bereitstellt, realistisch einschätzt und nicht einfach hinnimmt, was hier ohne die Zustimmung der Mitglieder gemacht wird.

Genau das hat nämlich der UCG gerade getan: Sämtliche persönlichen Daten (inkl. der Kontodaten) seiner Mitglieder im Internet - praktisch ungeschützt - bereitgestellt.

Folgende E-Mail habe ich deswegen am 08.01.2009 an den Club gerichtet:

--- Cut ---

Hallo <xxxxx>,

...

Ich bin im Rahmen meiner Mitgliedschaft im UCG damit einverstanden, dass der UCG meine Daten im Rahmen der „normalen“ Vereinstätigkeit (Beiträge, Versand des Heft’l) in einer internen Datenbank speichert. Diese dürfen aber ohne meine Einwilligung nicht in einer Datenbank gehalten werden, die über das Internet (theoretisch quasi für jedermann) erreichbar ist. Ich bin selbst Informatiker und weiß, wie schwierig es ist, die Sicherheit solcher Anwendungen und der zugehörigen Datenbanken zu gewährleisten. Aufgrund dieser aus meiner Sicht durchaus ernstzunehmenden Problematik ist die vom UCG gewählte Vorgehensweise zur Realisierung einer Mitgliederdatenbank „unverantwortlich“, weil:
  • Dem UCG keine Ermächtigung vorliegt, diese Daten über das Internet zugänglich zu machen und
    der Login in die Datenbank sowie der Zugriff auf die persönlichen Daten ohne Verschlüsselung (http) erfolgt, d.h. die Informationen (Benutzername, Passwort, Anschrift, Kontodaten etc.) sind bei der Übertragung als Klartext lesbar.
Aus diesem Grunde fordere ich den UCG hiermit auf, meine Daten aus der im Internet zugänglichen Datenbank bis spätestens Ende dieser Woche zu entfernen und dafür einen geeigneten Nachweis zu erbringen. Die Möglichkeit, meine persönlichen Daten über einen Schalter von der Veröffentlichung auszuschließen, ist dazu nicht ausreichend.


Mit freundlichen Grüßen,

--- Cut ---

Das in meiner E-Mail angesprochene Verschlüsselungsthema ist im übrigen nicht das einzige potentielle Sicherheitsrisiko.

Ich habe auf meine E-Mail hin dann vom "Internetverantwortlichen" des Clubs einen Anruf erhalten, in dem erläutert wurde, dass alle das ja mehr oder weniger nur ehrenamtlich machen, das für Sicherheitsmaßnahmen kein Geld zur Verfügung steht und so weiter und so weiter. Was ist denn das für eine Begründung? Wenn das so ist, dann kann ich so eine Anwendung einfach nicht sicher betreiben. Und dann muß ich halt die Finger davon lassen!

Mir wurde in diesem Telefonat u. a. zugesagt, dass meine Daten umgehend aus der Datenbank entfernt würden, bis eine entsprechende Lösung gefunden sei. Und ich wurde noch gebeten, deswegen nicht auszutreten und damit eine Welle der Entrüstung gegenüber der Vereinsführung loszutreten, evtl. sogar zu verursachen, dass viele andere Mitglieder mit der gleichen Forderung an den Verein herantreten, was ziemlich problematisch wäre.

Zwischenzeitlich ist mehr als eine Woche vergangen. Aber, ich hab's nicht vergessen. Weit gefehlt meine Herren: Ich habe heute meinen Zugang zur Mitgliederdatenbank getestet: Passiert ist bis heute gar nichts. Auf meine E-Mail habe ich keine Antwort erhalten, obwohl sie definitiv gelesen wurde (Lesebestätigung). Meine Daten stehen Stand heute immer noch im Internet. Sie wurden entgegen der Zusage des "Internetverantwortlichen" nicht aus der Datenbank entfernt.

Zu diesem Sachverhalt möchte ich gerne die Meinung anderer Mitglieder: Ehrlich, offen und gerne auch deutlich. Was haltet Ihr davon? Bin ich krank? Leide ich an Verfolgungswahn? Oder macht hier einfach jemand, was er will? Verantwortungslos, gedankenlos und mit maximaler Ignoranz? Und weil man sich als Ehrenamtlicher über die persönlichen Belange der Mitglieder ja unmöglich auch noch Gedanken machen kann?


Vielen Dank,

J.
#232072
Moin,

ob Du krank bist oder an Verfolgungswahn leidest kann ich nicht beurteilen.

Aber, eins ist sicher. Du bist ganz arm, denn Du hast noch nicht einmal einen Namen.

Und, eigentlich unterhalte ich mich nicht mit Namenlosen :wink:
#232082
Moin,

ich bin zwar "nur" Schrauberazubi, ABER blöd bin ich nicht! :sorry: es ist ABER so! Ein Freund von mir arbeitet bei einer Firma die Internet auftritte und ähnliches macht, dieser KENNT sich aus :D ich war heute bei ihm nachdem ich das las und fragte ober er das machen könnte 8) ER konnte dies nicht bestätigen (mit Kontodaten oder Ähnlichem).
#232124
Hallo Namlos.

Ich hab mir jetzt gerade die Datenbank angesehen.

Da Du eingeloggt bist, wirst "Du als Du" selbst erkannt, und selbstverständlich Deine Daten angezeigt. Lasse ich mir die Daten eines x Beliebigen anzeigen, so ist dort alles mit "-".

Beim Ändern der pers. Daten ist auch angeschrieben:
"Kontodaten sind nur für das eingeloggte Mitglied und den Vorstand sichtbar",
sowie z.B. bei Telefonnummern, und Geburtsdatum kann man ein Häkchen machen bei
"Daten nicht veröffentlichen".

Also nicht gleich motzen, sondern mal kurz überlegen.

@ Sven:
Hoffentlich kann Dein Kumpel die Seite nicht verändern.
Dazu müsste er Administratorrechte haben. Oder er ist ein Häcker, der dann sofort hinter "schwedische Gardinen" und die Hände abgehackt gehört. :?

Und im restlichen: Siehe unten.

bg,
fuxel
Dateianhänge:
schil088.gif
schil088.gif (3.29 KiB) 5201 mal betrachtet
#232134
Hallo Jochen,

das folgende ist alles, was ich mit größter Anstrengung in der UCG-Datenbank über Dich herausfinden konnte:

Mitglied 5275
Jochen Tümmers

Telefon:
Internet:
Fahrzeuge:
Interessen:
Modelle
Werbeartikel
Prospekte
Geschichte
Fernreisen
Fotografie

also lediglich Deinen Namen und die Mitgliedsnummer.

Außerhalb des UCG über "alle Jochen Tümmers" öffentlich zugänglich noch:

Tümmers Jochen u. Annette
Im Fässjeseck 42, 64732 Bad König
Telefon: 06063 - 5 03 68 88 Diese Nummer mit SKYPE anrufen

Verantwortlich für den Inhalt:
Graham Rogers • thinktall • Kennedyallee 50 • D-60596 Frankfurt a. M. • Fon: +49 (69) 63 30 71 07 • Fax: -06
Webmaster:
Jochen Tümmers • Straße • Ort • Fon • Fax

Jochen Tümmers
Franziskus-Gymnasium Vossenack, Hürtgenwald, Schulzeit: 1982 bis 1991

THiNK - e-solutions
Dipl. Ing. (BA) Jochen Tümmers
Im Fässjeseck 42
64732 Bad König
Telefon +49 (6063) 5036880
Telefax +49 (6063) 5036881
e-mail info@think-e-solutions.com This e-mail address is being protected from spambots. You need JavaScript enabled to view it
www.think-e-solutins.com
USt-IdNr.: DE232437169
#232144
O.k. Kein guter Stil, das mit dem Namen. War so auch nicht beabsichtigt. Und wenn's hilft, dann gebe ich den natürlich auch gerne an. Mein Name ist Jochen. Und damit's vollständig ist: Jochen Tümmers. Aber das steht ja hier jetzt auch schon...

@ret411: Schade, dass man hier solche Themen nicht sachlich diskutieren kann. Ich habe nicht übertrieben und lediglich meine Meinung zur Diskussion gestellt.

@fuxel: Natürlich kenne ich die Option "veröffentlichen". Das reicht aber nicht (siehe Ausschnitt aus meiner E-Mail). Und klar geht's nicht um die Mitglieder, die potentiell auf die Daten zugreifen könnten. Natürlich geht es um die Leute, die sich unberechtigt Zugriff zu den Informationen beschaffen. Und glaub mir, davon gibt es genug und die kennen auch Mittel und Wege, das zu tun. Internetseiten werden regelmäßig gehackt. Und zwar sogar solche, die eigentlich völlig unwichtig sind, die keine wertvollen Daten beinhalten. Und jetzt?

@UuUnimog: Wärst Du denn auch in der Lage gewesen diese Informationen zu finden, ohne meinen Namen in der Datenbank des UCG?

Die implementierten Sicherheitsmechanismen sind aus meiner Sicht für diese Art von personenbezogenen Daten einfach völlig unzureichend. Sie sind ausschließlich auf Applikationsebene implementiert. Aber eigentlich ist das ja auch nur ein Nebenaspekt.

Eigentlich geht es um die Ignoranz, mit der der UCG die meiner Meinung nach berechtigten Anliegen eines Mitglieds ignoriert. Und das ist nicht das erste Mal.


Jochen
Zuletzt geändert von jtuemmer am 15.01.2009, 21:10, insgesamt 3-mal geändert.
#232146
Hallo J. und alle anderen,
jtuemmer hat geschrieben:...der Login in die Datenbank sowie der Zugriff auf die persönlichen Daten ohne Verschlüsselung (http) erfolgt, d.h. die Informationen (Benutzername, Passwort, Anschrift, Kontodaten etc.) sind bei der Übertragung als Klartext lesbar.
...
Zu diesem Sachverhalt möchte ich gerne die Meinung anderer Mitglieder:
ich bin zwar nicht angesprochen - weil kein UCG-Mitglied - aber möchte hier etwas Grundsätzliches anmerken:
Wenn es stimmt, dass die Daten unverschlüsselt übertragen werden, ist es durchaus "bedenklich", vertrauliche Daten zu übertragen, weil der Datentransport über's Internet grundsätzlich Postkartencharakter besitzt: also viele "mitlesen" können, die Zugriff auf beteiligte Rechner (z.B. Router) haben - und das sind mehr, als man sich denkt (oder hat sich schon mal jemand Gedanken darüber gemacht, WER zu dieser Personengruppe zählt, wenn man zum Beispiel
- im Büro
- im Internetcafe
- zu Hause
- mit dem Handy
- ...
surft?
Da ich beruflich bedingt in diesem Bereich nicht nur sensibilisiert bin, sondern fast paranoid sein muss, kann ich die Bedenken von J. nachvollziehen - vor allem, wenn auf seinen "Wunsch" nicht angemessen reagiert wird.

MfG Maatsch

...der auf weitere Reaktionen wartet :oops:
#232148
Hallo Leute,

einmal von Reiners Beitrag abgesehen, heißt es nicht, daß etwas das man nicht sieht, deshalb auch nicht da ist.

Jochens Hinweis ist vermutlich etwas sehr erregt formuliert, aber inhaltich trotzdem sicherlich nicht unberechtigt.

Computer und Informationen, die am Netz hängen, sind grundsätzlich auch angreifbar. Ich hatte mich gerade auch eingeloggt und kann bestätigen, daß scheinbar keine Verschlüsselung erfolgt.

Für den Rest fehlen mir die technischen Kenntnisse.

Gruß
Markus
#232152
Hallo Jochen,

nachdem Christoph Dich ja nun enttarnt hat :D erstmal herzlich willkommen hier im Forum. Unimogverrückt bist Du ja schon darüber brauch man hier nicht mehr schreiben.

An alle anderen die jetzt über Jochen hergefallen sind:

tief durch atmen und richtig lesen:
der Login in die Datenbank sowie der Zugriff auf die persönlichen Daten ohne Verschlüsselung (http) erfolgt, d.h. die Informationen (Benutzername, Passwort, Anschrift, Kontodaten etc.) sind bei der Übertragung als Klartext lesbar.
Es geht nicht darum das ich jetzt unmittelbar hier die Daten eines anderen aus der Datenbank legal lese, sondern wie sie von mir als Berechtigtem zum Server bzw umgekehrt übertragen werden. Üblicherweise wird so eine Verbindung verschlüsselt, scheinbar aber nicht bei der Seite des UCG. (Habe ich jetzt noch nicht überprüft) wobei mir schon alleine das Default-Passwort = Kontonummer sehr schwer im Magen liegt.

Hier wird einigen Bösewichten, die sicher nicht im UCG und schon garnicht in der UCOM zu suchen sind, leider die Arbeit sehr erleichtert und ich muss mich daher Jochen anschließen, dies sollte vom UCG dringend geändert werden.
#232160
Servus.
jtuemmer hat geschrieben:..........
@ret411: Schade, dass man hier solche Themen nicht sachlich diskutieren kann. Ich habe nicht übertrieben und lediglich meine Meinung zur Diskussion gestellt.
Das ist ret's nordischer Humor :clown: , der ist so trocken, dass es schon staubt.:rofl:
Man beachte aber auch den Smily.
@fuxel:..............Internetseiten werden regelmäßig gehackt. Und zwar sogar solche, die eigentlich völlig unwichtig sind, die keine wertvollen Daten beinhalten. Und jetzt?
Klar, weil die keine Sicherung haben, und jeder dahergelaufene Schuljunge dann sich damit brüstet - ist spätestens seit der Selbsverherrlichung welche der "berümte" Caos-Computerklub HH betreibt, In ist.
@UuUnimog: Wärst Du denn auch in der Lage gewesen diese Informationen zu finden, ohne meinen Namen in der Datenbank des UCG?
Ja.
Christop hatte zunächst auch nur Deinen Nick und den Wohnort zur Verfügung, um dich in der UCG-Datenbank zu finden........... s
Die implementierten Sicherheitsmechanismen sind aus meiner Sicht für diese Art von personenbezogenen Daten einfach föllig unzureichend. Sie sind ausschließlich auf Applikationsebene implementiert. Aber eigentlich ist das ja auch nur ein Nebenaspekt.
auch @Jürgen:
Dann setzt Euch mal zusammen, formuliert einen Antrag, und stellt diesen bei der nächsten Mitgliederversammlung vor.

Bester Jochen, wenn ich so "Webmaster" und "Dippel Ing" lese, dann kannst Du dich beim UCG auch anbieten, ehrenamtlich die Admins zu unterstützen. Wenn Du was auf dem "Kasten hast", können die sicher was mit Dir anfangen und wären über Deine "Fachkompetenz" sicher froh.
Eigentlich geht es um die Ignoranz, mit der der UCG die meiner Meinung nach berechtigten Anliegen eines Mitglieds ignoriert. Und das ist nicht das erste Mal.
Jo, dass soll schon vorgekommen sein........ :cry:

bg

fuxel
#232362
Hallo Jochen,

Fuxel hat es schon beantwortet: Auch ohne den Eintrag in der UCG Datenbank warst Du zu finden. Wenn man in Google nur "tümmer" als Suchbegriff eingibt, bist Du schon dabei. Gerade kam noch folgendes Suchergebnis aus einem Blog:

J. Tümmers:
Hallo Herr Trautmann,
erst mal herzlichen Dank für diese Formulierungen.
Hinsichtlich des Themas ‘Logfiles’ schaudert es mich in Erwartung der dann anrollenden Pop-Up-Welle, die uns da evtl. droht. Ich frage mich, ob demnächst dann auch bei jedem ‘Palim-Palim’-Eintritt in einen Gemischtwarenladen mit Videoüberwachung uns ein Schild vor die Nase fällt, um uns darauf aufmerksam zu machen, daß mit unseren Bildern sorgsam umgegangen wird …
cheers,
J. Tümmers
02.12.05 um 12:05 pm

Wer lange genug sucht, findet immer etwas!

Für mich heißt das - nach wie vor und auch außerhalb des web: Nichts äußern, was sich als unhaltbar herausstellen könnte und nicht zuviel von sich selbst preis geben - und keinesfalls Online-Banking!

Auch den Vorschlag von Fuxel halte ich für überlegenswert. Vielleicht kannst Du als Fachmann im Handumdrehen das Problem lösen, wenn Du Dich hier ein wenig einbringst. :wink:
#232404
Lieber Jochen,

jetzt schalte ich mich auch noch ein.

Ich finde es Schade, dass Du nicht vollständig berichtest !

Hier kann man Themen sachlich besprechen, DU hast schon in Deiner ersten Mail die sachliche Ebene verlassen.

Sicherlich werden die Daten unverschlüsselt übertragen, aber es hat eben nicht jeder Einsicht in Deine Daten. Dies legst Du selbst fest, wobei die Kontodaten niemals öffentlich sind. Natürlich kann die Datenbank gehackt werden, aber Du selbst hattest doch Thilo angeboten bei der Problemlösung zu helfen, dies hattest Du zumindest im Telefongespräch mit Thilo gesagt, davon hast Du ja hier auch nichts erwähnt

Thilo ist der Internetbeauftragte des UCG und dieser hat sich einen Tag nach Deiner Email mit Dir in Verbindung gesetzt ! Oder stimmt dies etwa nicht ?
Wo hat DIch der Club hängen lassen ? Laesst Du jetzt als Fachmann vielleicht nicht eher den Club hängen ? Findest Du dies was Du tust lösungsorientiert ? Ich nicht.

Musste ich nach Deiner heutige Mail einfach schreiben.

Grüße Klaus
#232448
Hallo zusammen,

bevor ihr euch jetzt aber auf den Überbringer der schlechten Nachricht einschießt, sollte der eigentliche Sachverhalt nicht aus dem Auge verloren gehen.

Es ist zwar sehr praktisch seine Kontodaten online pflegen zu können. Wenn der UCG (bin auch Mitglied) aber nicht in der Lage ist, das angemessen zu schützen, dann darf das schlicht und ergreifend nicht ans Netz gehangen werden. Das hat auch nichts mit Verein, Ehrenamt und wenig Zeit zu tun. Zudem klingt das fast so, als sei Jochen aufgrund seines Hinweises nun auch noch für die Beseitigung des Problems verantwortlich.

Gruß
Markus
#232520
Hallo Klaus,

ja, Thilo hat sich mit mir am Tag meiner E-Mail in Verbindung gesetzt. Fand ich auch sehr gut. Aber danach ist eben nichts, gar nichts passiert. Meine Daten sind nach wie vor in der Datenbank, obwohl zugesagt wurde, dass sie umgehend gelöscht werden. Und mich hat danach auch niemand mehr gefragt, wie ich das Thema lösen würde.

Und, ja, natürlich habe ich Thilo angeboten, meinen Input zu liefern und damit zu helfen, das angesprochene Sicherheitsproblem zu lösen. Im übrigen habe ich meine Mithilfe bei diesen Themen schon vor einigen Jahre angeboten, damals sogar persönlich mit Michael Wessel darüber gesprochen. Wenn der Club das nicht annimmt, dann ist das doch nicht mein Problem, oder? Was soll das? Und mit der Sache an sich hat das auch überhaupt nichts zu tun.

Meine erste E-Mail, die ich in Kopie an Dich geschickt habe, weil Du meine Regionalgruppe vertritts, und die ich auch hier zitiert habe, war "lösungsorientiert" - wie Du das so schön sagst. Ich habe das Thema nicht gleich öffentlich gemacht, ich habe die betroffenen direkt angesprochen und auch meinen Input geliefert. Und trotzdem hält es offensichtlich niemand für erforderlich, etwas zu tun. Und auch nach meinem Telefonat mit Thilo gab es keinerlei offizielles Feedback mehr vom Club.

Um es mal ganz deutlich zu sagen: Der Club verstößt hier gegen das Bundesdatenschutzgesetzt (BDSG). Und zwar in ganz massiver Weise. Das kann und will ich so nicht hinnehmen. Das ist ein sehr sensibles Thema und stellt einen Straftatbestand dar.

Natürlich muß jeder einzelne hier sich seine Meinung machen, wie er mit dem Risiko umgeht. Die technischen Risiken die mit einer Anwendung wie der Mitgliederdatenbank verbunden sind, sind sicherlich nicht jedem hier bekannt. Das wird im übrigen auch aus den geposteten Beiträgen ziemlich deutlich.

Hat sich schon einmal jemand gedanken darüber gemacht, ob es ihm bei der Kontrolle der Kontoauszüge auffallen würde, wenn irgendjemand diese dazu nutzt, einmalig oder regelmäßig ein paar Euros von seinem Konto abzubuchen? Das ist keine Theorie, Leute. Das passiert jeden Tag!

Ich habe mir zu diesem Sicherheitsthema meine Meinung gebildet, den Club informiert und darum gebeten, dem Rechnung zu tragen. Der Club hat nichts unternommen. Eine Woche lang.


Jochen


P.S.: @fuxel, @UuUnimog: Mitunter ist dieses Thema völlig unabhängig davon, ob und auf welchen Wegen man sonst noch Informationen über mich im Internet finden kann, die möglicherweise gar nicht geschützt sind. Auch hier gibt es nämlich rechtliche Rahmenwerke wie etwa das Teledienstegesetzt (TDG), die mich sogar verpflichten, bestimmte Informationen zu publizieren. Mit solchen Fragestellungen müßte man sich vielleicht mal beschäftigen, oder?
#232522
Lieber Jochen,

mich stört die Art und Weise Deiner Kommunikation. Du löst nicht Probleme, Du verunsicherst mit Deinen Kommentaren und Deinen Zitaten aus BDSG die Leute.

Anstelle dramatische Szenarien aufzubauen, solltest Du deeskalierend lösungsorientiert aufklären und die Zeit die Du in dem Forum verbringst als Admin zur Verfügung stellen und bei der Umsetzung sicherer Szenarien zu helfen.

Mir hast Du auch schon Hilfe bei der homepage angeboten und als es ernst geworden ist mit der Arbeit hast Du keine Zeit mehr gehabt.

Abschliessend möchte ich noch bemerken, dass es nicht stimmt das der UCG Dich in der DB gelassen hat, man hat Deine Daten vollständig gelöscht.

@Markus: Jochen ist aus meiner Sicht keineswegs der Buhmann. Er hat das Problem aufgezeigt und dies ist gut ! Ich bin nur nicht mit der Art und Weise der Kommunikation einverstanden, wie Du meinem Kommentar entnehmen kannst. Wi sind ein Verein und keine Firma!

Mit besten Grüßen
Klaus
Unimog 427 Kabinenträger

Ja, da hast du recht, der Preis und die Viele zus&[…]

Hallo Unimogschrauber, ich biete hier zwei hinter[…]

Zuverlässige Unzuverlässigkeit

Hallo Johannes, den Kaltstart wie bi modernen Auto[…]

Gewicht Achsen 401 und 411

Hallo Heinz, genau weiß ich es mal wieder ni[…]