gruß

Respekt für die ‘sachliche’ Auseinadersetzung mit Hrn. Sassen, ich hätte ihn wahrscheinlich rausgeworfen.

Sie haben es bis heute nicht geschafft, auf meine Fragen (oder auf die anderer User hier im Blog) auch nur ansatzweise einzugehen. Somit muß ich zu der Einsicht gelangen, daß es Ihnen letztlich nur darum ging, dieses Blog dazu zu verwenden, um Ihre Website und die damit zusammenhängenden Dienstleistungen kostenlos zu bewerben.

Mit Ihrem Auftritt hier in diesem Thread haben Sie sich zwar ins eigene Fleisch geschnitten, aber ich habe auch keine Lust, hier als Google Pagerank Booster herhalten zu müssen. Sollten Sie sich noch einmal zu einer solchen Aktion hinreißen lassen, werde ich mir vorbehalten, Ihre Postings kommentarlos zu löschen und/oder die von Ihnen lancierte Werbung in Rechnung zu stellen.

Um Mißverständnisse zu vermeiden: das heißt ausdrücklich nicht, daß Sie zu den oben gestellten Fragen keine Stellung mehr beziehen dürfen (im Gegenteil, ich würde mich sehr freuen, wenn hier doch noch eine sachliche Diskussion zustande käme). Ich beziehe mich ausdrücklich nur auf solche Kommentare, die offensichtlich nur der Bewerbung Ihrer Dienstleistungen/Websites dienen und dazu entsprechende Links setzen.

Mit freundlichen Grüßen,
Michael Renzmann

Der Offene Brief an den Politiker war richtig !

Um ehrlich zu sein, ich bin von Ihnen enttäuscht. Zunächst haben Sie mir vorgeworfen, ich hätte Herrn Döring beschimpft, und gaben mir den Rat, Usern doch die Angst zu nehmen, die sie Ihrer Meinung nach haben, wenn sie anonym surfen. Daraufhin habe ich Ihnen eine lange Antwort geschrieben, die Sie in Ihrem darauffolgenden Kommentar aber komplett ignorieren. Stattdessen sind Sie dazu übergegangen, Werbung für einen Dienst zu machen, der (wie sich dann herausstellt) scheinbar von Ihnen betrieben wird.

Was hat die von Ihnen genannte Dienstleistung überhaupt mit dem ursprünglichen Thema des offenen Briefes (in dem es um einen
Anonymisierungsdienst und dessen Bedeutung) zu tun? Der Schutz vor “spoofing, farming and fishing” ist doch ein anderes Konzept und setzt naturgemäß an anderer Stelle an, als ein Anonymisierungsdienst (der wieder vor spoofing beispielsweise kaum schützen kann).

Man gewinnt den Eindruck, daß es Ihnen letztlich nur darum geht, den Link auf die Website Ihres Dienstes nur möglichst oft in verschiedenen Blogs zu nennen – letztlich ist das nicht anderes als das, was ein Spambot macht, um den Pagerank der beworbenen Site zu erhöhen. Denn auf die Fragen, die Ihnen bisher (zumindest in diesem Blog) zu dem Dienst gestellt wurden, sind Sie bisher mit keinem Wort eingegangen. Stattdessen haben Sie sich darauf verlegt, einen User dieses Blogs (der nebenbei auch ein persönlicher Freund von mir ist) in ziemlich kindischer Art und Weise anzugreifen.

Wenn ich eines nicht mag, dann ist es virtueller Hausfriedensbruch – wer hier werben will, hat gefälligst um Erlaubnis zu fragen!

Nun bin ich aber von Natur aus eher optimistisch eingestellt und glaube denn auch eher an das Gute denn an das Böse im Menschen. Daher möchte ich Ihnen noch einmal konkrete Fragen zu Ihrem Dienst stellen und hoffe, daß Sie den bisher entstandenen Eindruck durch ernsthafte und inhaltsvolle Antworten darauf ausbügeln.

Here we go:

Kaufen Sie eine HEARTBEAT-ID Nummer, http://www.heartbeat-id.com, dann können Sie demnächst Ihre Anwendungen vom Browser aus starten. So sind Ihre Daten und Anwendungen 100% geschützt und Sie brauchen sich nicht mehr um malware zu kümmern.

Die Website hält sich derzeit mit brauchbaren Informationen vornehm zurück. Was man momentan erkennen kann ist, daß dort für 50 Dollar Webspace für eine einzige HTML-Seite angeboten wird, die unter einer bestimmten Heartbeat-ID zu erreichen ist. Die einzige erkennbare Besonderheit, die es gegenüber den meisten anderen Hosting-Angeboten gibt ist, daß diese Seite per HTTPS verschlüsselt übertragen wird.

Es wird dort versprochen, daß man durch Verwendung dieser Website gegen “spoofing, farming and fishing” geschützt sei. Wie dieser Schutz funktionieren soll, kann man sich zwar als technisch halbwegs versierter User zwar ansatzweise vorstellen – ausdrücklich erklärt wird es aber nicht. Das ist aber schlecht für einen Dienst, der letztlich auf das Vertrauen der Kunden und Benutzer angewiesen ist. Je größer der Raum für Interpretationen ist, desto größer ist auch die Wahrscheinlichkeit, daß man mit einer Interpretation falsch liegt. Missverständnisse sind also vorprogrammiert, und das sollte eher mißtrauisch machen.

Aber nochmal zurück zum versprochenen Schutz vor “spoofing, farming and fishing” (letzteres soll vermutlich eher Phishing heißen). Zumindest Spoofing und Phishing sind Probleme, bei denen eine Person vorgibt jemand anderes zu sein. Eine mögliche Schutzmaßnahme dagegen ist die offenbar von Heartbeat-ID angebotene Möglichkeit, die Identität des Absenders auf irgendeine Art zu überprüfen.

Also gut, nehmen wir mal an, jemand schickt mir eine E-Mail. In dieser E-Mail werde ich aufgefordert, seine Heartbeat-ID-”Visitenkarte” zu besuchen und einem dort befindlichen Link zu folgen. Die Idee von Heartbeat-ID ist dann doch letztlich: wenn Du einen Kommunikationspartner nicht direkt überprüfen kannst, dann verlasse Dich auf die Prüfung, die Heartbeat-ID bei Aufnahme der Informationen auf die entsprechende Visitenkarte durchgeführt hat. Dazu muß ich aber letztlich dem Anbieter selbst vertrauen – er liefert mir dazu aber kaum wirklich vertrauensschaffende Informationen. Denn:

1. Wie überprüft der Anbieter, ob seine Kunden auch tatsächlich diejenigen sind, die sie vorgeben zu sein? Auf der Website wird ja nur knapp erklärt, wie einfach die Anmeldung ist (“4 easy steps”): 50 Dollar überweisen, auf die Bestätigung des Betreibers warten, Wunsch-IDs vorschlagen und den gewünschten Inhalt der Visitenkarte mitteilen. In welchem der Schritte und auf welche Weise findet die Überprüfung der Identität statt?

2. Wie stellt der Anbieter sicher, daß er nicht selbst zu einem Opfer von zum Beispiel Spoofing wird? Jedes Script-Kiddie kann im Namen bestehender Kunden gefälschte E-Mails an den Anbieter schicken und einen Auftrag vortäuschen, neue Links auf die Visitenkarte aufzunehmen (oder bestehende Informationen zu entfernen). Die entsprechenden Mailadressen der Kunden stehen ja dankenswerterweise meistens auf ihren ID-Visitenkarten. Wie der Anbieter diesem Problem begegnet, wird auf der Website nicht näher erläutert.

3. Beim Aufruf der Heartbeat-ID-Website warnt Firefox den User mit folgender Meldung: “Unable to verify the identity of http://www.thinsia.com as a trusted site”. Die Meldung ist verständlich, denn das Zertifikat der Website thinsia.com (von der die links auf der Startseite eingebauten Bilder geladen werden) ist von einer Firma connedata GmbH ausgegeben worden, die weder mein Firefox noch ich kenne, und der wir entsprechend beide nicht vertrauen. Letztlich ist ein solches Zertifikat erst einmal nicht besser oder schlechter als eines, was man sich selbst ausgestellt hat – und das von einem Anbieter, der um Vertrauen wirbt?

Aber davon abgesehen: warum werden die ID-Bilder von einem anderen Server eingebunden? Und dann auch noch per HTTPS? Soll das die Bilder irgendwie “vertrauenswürdiger” erscheinen lassen?

4. Mit wem hat man es überhaupt zu tun? Es gibt weder Impressum noch AGB. Potentielle Interessenten erfahren nichts weiter über den Vertrag, den sie mit Zahlung der 50$ eingehen. Unklar bleibt auch, welche Gegenleistungen man genau für diese Zahlung erhält, für welchen Zeitraum sie zur Verfügung stehen, und ob sich im Rahmen des abgeschlossenen Vertrages Verpflichtungen für weitere, eventuell regelmäßige Zahlungen ergeben.

Ja, es ist mir natürlich nicht entgangen, daß auf der Startseite der Hinweis zu finden ist, es handele sich bei “Heartbeat-ID Ltd.” um eine “Thinsia Company”. Auf der Thinsia-Website erfährt man zwar, wer hinter Thinsia steckt (nämlich eine deutsche GmbH), aber offensichtlich ist “Heartbeat-ID Ltd.” eben eine andere Firma.

Auf den ersten Blick scheinen diese Fragen erst einmal nur für potentielle Kunden interessant zu sein. Aber sie ist eben auch für mich interessant, wenn wir mal beim oben genannten Beispiel bleiben (jemand schickt mir eine E-Mail und verweist mit Hilfe seiner ID auf eine Website). Denn: in welchem Vertragsverhältnis steht der Mailsender mit dieser Firma, welche gegenseitigen Verpflichtungen gibt es, und was können beide Seiten tun, wenn der jeweils andere seinen Verpflichtungen nicht nachkommt?

Oder etwas konkreter: welche Möglichkeiten hätte der Mailversender denn, wenn Heartbeat einer möglichen Verpflichtung zum Schutz der Server vor unberechtigten Zugriffen nicht nachkommt? Falls es eine solche Verpflichtung überhaupt gibt, dieser aber nicht entsprechend mit empfindlichen Vertragsstrafen Nachdruck verliehen wird, dann kann man schon Rückschlüsse darauf ziehen, wie ernst der Anbieter seine Aufgabe nimmt. Und das wiederum ist für mich als User wichtig, wenn ich dem Anbieter Vertrauen schenken soll.

5. Es mag kleinlich klingen, aber in der heutigen Zeit gehört ein gut gestalteter Webauftritt – erst recht bei E-Commerce-Unternehmen – eben zum Handwerkszeug. Firmen, die sich einen halbwegs fähigen Webdesigner entweder nicht leisten können oder wollen, hinterlassen (zumindest bei mir) immer einen faden Beigeschmack. Es ist wie im richtigen Leben: Kleider machen Leute.

Natürlich kommt es auch auf die inneren Werte an, aber in diesem Fall ist der äußere Eindruck nur noch das Tüpfelchen auf dem i.

Fassen wir mal bis hierher zusammen: wichtige Fragen bleiben ungeklärt, das Konzept ist verschwommen. Weiterführende Informationen bekommt man zur Zeit nur über dritte Quellen, die sind dann aber immer noch sehr oberflächlich. Und last but not least ist der scheinbar bedeutenste Teil der Dienstleistung bislang überhaupt noch nicht verfügbar. Nein, ich bin nicht so naiv, Geld im voraus für eine solche Dienstleistung auszugeben – erst recht nicht, wenn es sich um eine sicherheitsrelevante Dienstleistung handelt, deren Wirksamkeit (in Gesamtheit) zum jetzigen Zeitpunkt weder klar erkennbar noch halbwegs nachprüfbar ist.

Eine HEARTBEAT-ID ist nicht komisch, aber wird das einfachste und beste Sicherheits-System der Welt sein.

Sorry, aber das kann jeder behaupten. Bisher gibt es für diese Behauptung aber keine wirklich nachvollziehbaren Begründungen, geschweige denn die Möglichkeit, einen Blick auf die Software zu werfen, die dieses revolutionäre Konzept verwirklicht.

das unsere secure portal Lösung absolute Sicherheit bietet können Sie selber nachlesen.
Ein Kolleg hat gerade noch etwas geschrieben: [...]

Gerade in sicherheitsrelevanten Dingen sind mir Informationen, die direkt vom Hersteller kommen, immer noch lieber als Aussagen von Leuten, die ich nicht kenne. Das gilt umso mehr, wenn die von Dritten getroffenen Aussagen sich so garnicht mit dem decken wollen, was der Hersteller selbst über sein System sagt.

Jetzt sind Sie dran, Herr Sassen. Geben Sie eine Antwort auf die sicherlich berechtigten Fragen und beweisen Sie, daß es Ihnen nicht bloß um Schleichwerbung ging. Ich bitte aber von vornherein darum, auf den Verweis auf irgendwelche andere Websites zu verzichten – deren weiterführende Informationen sind für Interessenten an Ihrer Dienstleistung nicht weiter nachvollziehbar und wie gesagt für mich nicht vertrauenswürdig, solange ich deren Autor nicht wenigstens dem Namen nach kenne.

Noch zwei Bemerkungen zum Schluß:

Sie tun Böse, Frau Philipp (oder ist das nicht Ihre richtige Nahmen?) weil Sie ohne richtige Nahmen schreiben.

Zum einen wüsste ich nicht, was an der Verwendung von Pseudonymen so “böse” sein sollte. Vielleicht erklären Sie das bei dieser Gelegenheit auch kurz, denn die Möglichkeit zur Verwendung von Pseudonymen müssen Diensteanbieter laut TDDG Paragraph 4 Absatz 6 Nutzern Ihres Dienstes bieten.

Zum anderen kann ich Ihnen versichern, daß der User ein Mann ist und hier im Blog mit seinem richtigen Namen auftritt.

Wieder falsch, Frau Philipp, personenbezogene Daten dürfen in Deutschland nicht gespeichert werden.

Es gibt in Deutschland, anders als von Ihnen behauptet, kein generelles Verbot der Speicherung personenbezogener Daten. Außerdem gehört der von Ihnen als Beleg Ihrer Behauptung angebrachte §20 BDSG zum zweiten Abschnitt dieses Gesetzes, dessen Überschrift Datenverarbeitung der öffentlichen Stellen lautet. Diese Website ist aber keine öffentliche Stelle, und spätestens §12 Absatz 1 (die Definition des Geltungsbereiches des zweiten Abschnitts) macht klar, daß §20 nicht auf eine Website anwendbar ist.

Mit freundlichen Grüßen,
Michael Renzmann

„Seien Sie versichert, dass der Inhaber des Blogs meine IP gespeichert hat und diese zu mir fuehrt…“
Wieder falsch, Frau Philipp, personenbezogene Daten dürfen in Deutschland nicht gespeichert werden.
http://www.gesetze-im-internet.de/bdsg_1990/__20.html
Sie können für mich auch ein Blog-Robot sein, wie ALICE, das macht die Inhalte ja nicht glaubwürdiger.
Es kommt Ihnen natürlich noch nicht in Sinn, das Sie gar kein Grund haben Ihre Name zu verheimlichen. So geht es ja viele Geister.

Sie werden selbstverständlich verstehen, dass ich Ihre Wunsch den Menschen zugeordnet zu werden zurzeit leider nicht entsprechen kann oder will oder werde oder möchte.
Mit freundliche Grüsse,

Roland Sassen

Roland Sassen
http://www.heartbeat-id.com/15

registrant-firstname: Roland
registrant-lastname: Sassen
registrant-street1: Birkenstr. 10
registrant-pcode: 26892
registrant-city: Kluse
registrant-ccode: DE
registrant-phone: +49.4963914201
registrant-email: sassen@thinsia.com

Das, Herr Sassen, nenne ich unverfrohren…