Medienbrüchig mit Happy End

Die meiner Meinung nach ungerechtfertigte Mahnung für eine Arztrechnung liegt auf Papier vor, mein Gegenbeweis ist ein elektronisch signierter Zahlungsbeleg. Ich kann die Email-Adresse auf der Webseite nicht finden und die telefonische Nachfrage klärt die Sachlage: „Wir haben noch kein Email.“

Erst war ich sprachlos.

Statt damit eine Email zu signieren, erstehe ich mir mit meiner SuisseID eine Web Stamp Easy Briefmarke und sende den ausgedruckten Zahlungsbeleg per Post. Der Tag ist gerettet!

[Update 2012.02.11] Wart mal, solche Medienbrüche lassen sich doch problemlos outsourcen: pingen.com! Und bis August 2012 hätte ich dort sogar die SuisseID einsetzen können um eine Portion Rückwärtskompatibilität zur Papierpost einzukaufen…

Advertisements

Marketing auf kalifornisch

Gleichzeitig mit der Wiederwahl des Präsidenten der USA haben die kalifornischen Wähler die Deklarationspflicht von gentechnisch modifizierten Lebensmitteln abgelehnt. In diesem Artikel von Greenpeace Schweiz wird der Abstimmungskampf thematisiert.

Besonders bemerkenswert finde ich zwei Aussagen im Artikel. Hier die erste: „Tatsächlich behauptete das Nein-Komitee, eine Deklaration würde die jährlichen Lebensmittelausgaben eines Haushaltes pro Jahr um 400 Dollar erhöhen.“ Ich gehe davon aus, dass die eigentliche Deklaration nur geringe Zusatzkosten generiert und interpretiere diese Aussage so: Wenn die Kalifornier wüssten, was sie essen, dann wären sie bereit ihr Kaufverhalten zu ändern und erhebliche Mehrausgaben in Kauf zu nehmen. Diese Zahlungsbereitschaft abzuschöpfen müsste eigentlich eine interessante Opportunität für die Lebensmittelindustrie darstellen. Erstaunlich, dass sich eben diese Lebensmittelindustrie derart stark gegen diese Deklaration wehrt.

Die zweite Stelle ist eine Aussage von Nestlé über die von ihnen bekämpfte Deklarationspflicht: „Das vorgeschlagene Gesetz hätte die Lebensmittelkosten der kalifornischen Verbraucher in die Höhe getrieben, ohne ihnen einen tatsächlich spürbaren Gesundheits- oder Sicherheitsnutzen zu bringen.“ Komisch: Entweder es wird von den Verbrauchern Nutzen wahrgenommen, dann entstehen möglicherweise höhere Kosten durch Änderungen im Konsumverhalten. Oder der Nutzen wird nicht wahrgenommen, dann entstehen auch keine wesentlichen Zusatzkosten.

Oder hab ich im Marketingunterricht etwas falsch verstanden? Verwirrt…

Update 26.11.2012: Ich lass den Titel mal so stehen

Mehrfaktorauthentisierung: Dropbox, Google, Amazon AWS

Wie schützen wir unsere Daten? In sehr vielen Fällen verlassen wir uns ausschliesslich darauf, dass nur der rechtmässige Besitzer ein bestimmtes Passwort kennt oder in Kenntnis bringen kann. Das ist die einzige Hürde. Genau so verhält es sich auch bei diesem Blog. Die grosse Verbreitung darf aber nicht darüber hinwegtäuschen, dass dieses Verfahren wohlbekannte Schwächen aufweist: Mit Methoden des Phishing geraten tagtäglich Passwörter in falsche Hände oder werden mit Wörterbuchangriffen erfolgreich erraten. Reine Angstmache? Ich empfehle diesen Artikel zu lesen und danach zu neu zu urteilen…

Viele Dienste – z.B. Onlinebanking – verlangen deshalb zusätzliche Schutzmechanismen, die nicht nur darauf beruhen etwas zu wissen (das wäre der erste Faktor), sondern etwas zu besitzen (der zweite Faktor). Eine beliebte Methode einer solchen Mehrfaktorauthentisierung besteht darin nebst dem Passwort einen zusätzlichen Code zu verlangenh, den man bei jedem Loginvorgang erneut per SMS auf das persönliche Mobiltelefon erhält oder der von einer App auf dem Smartphone generiert wird. Fazit: Nur wer das richtige Mobiltelefon im Zugriff hat, kennt diesen zusätzlichen Code. Bei einigen Diensten stehen solche zusätzlichen Schutzmechanismen auf freiwilliger Basis zur Verfügung.

Von dieser freiwilligen Möglichkeit der Mehrfaktorauthentisierung Gebrauch gemacht habe ich bei meinen Online Konti von Dropbox, Google und Amazon AWS. Praktischerweise verwenden alle diese Dienste die gleiche Authentisierungsmethode und ich kann die zusätzlichen Codes mit der gleichen App auf dem Smartphone generieren. Ich verwende hierfür die App „Google Authenticator„. Die Aktivierung der Mehrfaktorauthentisierung ist bei allen diesen Diensten gut dokumentiert (Google, Dropbox, Amazon AWS) und verläuft recht problemlos. Der wesentlichste Schritt ist bei allen diesen Diensten gleich: Mit dem Smartphone einen auf dem Bildschirm angezeigten QR-Code einscannen und damit die App initialisieren. Zudem gibt es noch etwas Vorbereitungsarbeiten, damit man sich beim Verlust des Smarphones nicht definitiv aussperrt und sich von seinen Daten verabschieden muss. Darauf komm ich noch zurück. Geschafft: nun muss beim Login immer ein 6-stelliger zusätzlicher Code eingegeben werden, den in meinem Fall die „Google Authenticator“ App anzeigt.

Aber was passiert, wenn man sein Smartphone verliert? Ich hab meines zwar nicht verloren, aber die „Google Authenticator“ App bei einem „Factory Reset“ meines Smartphones seiner Daten beraubt. Aus, Amen. Und nun Kurzzusammenfassungen meiner Erfahrungen mit diesen drei Diensten, inklusive der Wiederherstellung des Zugriffs:

  • Google Konto: Der Zugriff auf die Daten bei Google kann auf vielfältige Weise erfolgen. Nebst dem Zugriff mit Hilfe des Browsers greifen auch diverse Apps und Programme auf die dort hinterlegten Daten mit dem selben Passwort zu. Nicht in allen Fällen ist die Eingabe eines zusätzlichen Codes vernünftig handhabbar oder das Programm ist nicht in der Lage diesen einzufordern. Solche Apps und Programme verlieren beim Einschalten der Mehrfaktorauthentisierung den Zugriff und müssen gezielt wieder freigeschaltet werden. Sie erhalten dann ein neues Passwort zugeteilt. Dieser Aufwand ist nicht ganz unbeträchtlich.
    Für den Verlust des Smartphones wappnet man sich, indem sogenannte Zusatzcodes bereitgestellt werden, die man am besten in Kreditkartengrösse ausdruckt und ins Portemonnaie legt. Mit einem dieser Codes war ich in der Lage nach dem „Factory Reset“ im Konto einzuloggen, die Mehrfaktorauthentisierung zu deaktivieren und die neu installierte  „Google Authenticator“ App wieder zu initialisieren.
  • Dropbox: Einschalten der Mehrfaktorauthentisierung verläuft problemlos. Einen speziellen Rücksetzcode erhält man beim Einschalten, diesen muss man sicher hinterlegen. Mit dessen Hilfe konnte ich die Mehrfaktorauthentisierung deaktivieren und darauf das Einschaltprozedere erneut durchlaufen.
  • Amazon AWS: Leider gilt die Mehrfaktorauthentisierung nur für das AWS-Konto (Cloud-Dienste von Amazon) und nicht für das „normale“ Amazon Konto mit dem gleichen Passwort (Büchershop, etc.). Vermutlich bestehen Ängste betreffend Usability. Die Beschreibung fällt etwas technischer aus als bei den anderen Diensten, aber das passt gut zur technischen Natur der Cloud-Dienste.
    Nach dem „Factory Reset“ meines Smartphones musste ich telefonisch an den Support gelangen und die Mehrfaktorauthentisierung ausschalten lassen. Dazu benötigte ich die Angabe der Mailadresse, Postadresse und Teile der Kreditkartennummer. Das sind alles Angaben, die im „normalen“ Amazon-Konto ohne Zusatzcodes einsehbar sind, wenn man das Passwort kennt. Als einziges zusätzliches Merkmal musste ich eine Nummer nennen, die mir beim Aktivieren des AWS-Kontos per Mail mitgeteilt wurde.

Fazit

Zusätzliche Sicherheit hat ihren Preis. Mehrfaktorauthentisierung verbessert die Sicherheit, einiger Aufwand entsteht einmalig beim Einschalten, bei der Nutzung ist der Mehraufwand gering und die Usability ist insgesamt recht gut. Insbesondere sollte man den Zugriff auf die eigenen Mailkonti schützen: diese werden häufig für Passwort-Resets bei „normalen Diensten“ benötigt, oder – wie im Fall Amazon AWS – auch für Resets bei Mehrfaktorauthentifizierung. Ich finde die zusätzliche Sicherheit rechtfertigt den zusätzlichen Aufwand und ich behalte die Mehrfaktorauthentisierung bei.

SuisseID: Praxisbericht

SuisseID

Als „ersten standardisierten elektronischen Identitätsnachweis der Schweiz“ lanciert, steht die SuisseID unter hohem Erwartungsdruck. Seit gut 2 Jahren ist eine solche SuisseID mein ständiger Begleiter. Wofür ich diese bislang einsetzen konnte, möchte ich in diesen Zeilen festhalten.

Vor über einem Jahrzehnt besass ich mit einen Swisskey ein Produkt, das mit einer ähnlichen Absicht lanciert wurde. Kurz danach wird das Produkt jedoch eingestellt. Zuerst Kater-, dann Aufbruchstimmung: Im Jahr 2010 lanciert das SECO mit der SuisseID ein indirektes Nachfolgeprodukt und subventioniert dessen Kauf. Ich steige auf dieses Angebot des SECO ein – rein aus persönlichem Interesse, ohne konkreten Anwendungsfall im Hinterkopf und mit der Absicht diese SuisseID bei allen sich bietenden Gelegenheiten einzusetzen!

Die Beschaffung der Post SuisseID im August 2010 verlief recht problemlos. Der ganze Prozess war zwar etwas umständlich – aufgrund der gesetzlichen Anforderungen wohl unvermeidbar -, aber kommunikativ gut begleitet und dokumentiert. Echt positiv überrascht hat mich, dass ich die ganze Inbetriebnahme ohne nennenswerte Hürden über meinen Linux-basierten Laptop abwickeln konnte. Und dies, obwohl meine damals verwendete Distribution (Debian) nicht zu den unterstützten Plattformen zählte.

Zwei Jahre sind vorbei, Zeit für einen Rückblick auf meine Erfahrungen mit der SuisseID! Mit etwas Kratzen am Kopf und einigen Recherchen in meiner Mailbox kommt folgende Liste zustande:

  • Versenden und empfangen elektronisch signierter Email: Die SuisseID funktioniert gut mit Thunderbird auf meinem Laptop (vorerst mit Debian Linux und später mit Ubuntu). Nur bin ich bisher nie auf einen Anwendungsfall gestossen, in dem die Verwendung signierter Mail gefordert gewesen wäre oder relevante Vorteile gebracht hätte.
  • Dokumente elektronisch signieren und prüfen: PDF-Dokumente lassen sich mit SwissSigner, einem Tool der Post SuisseID, recht einfach signieren und prüfen. Die freie Office-Suite LibreOffice unterstützt elektronisches Signieren mit der SuisseID von Haus aus. Funktioniert gut, nur hatte ich keinen konkreten Anwendungsfall ausmachen können.
  • Briefe und PDF  online durch pingen.com in Papierform versenden: Bis September 2012 wurde die SuisseID unterstützt, heute nicht mehr. Der einzige mir bekannte Dienst, bei dem die SuisseID die Erstellung eines Kontos konkret erleichtert hat (Übernahme der Attribute von der SuisseID). Nur testhalber genutzt.
  • Identity Management mit clavid.ch: unterstützt mehrere Authentisierungsvarianten, auch mittels SuisseID. Habe etwas Schwierigkeiten den Mehrwert zu erkennen, wenn ein Element mit geprüften Attributen verwendet wird um den Zugang zu selbstverwalteten Identitäten abzusichern.
  • Login auf Linux-Laptop mit SuisseID gesichert: ziemliche Bastelei, habe mir dabei die SuisseID mit mehrfacher Falscheingabe des PINs ruiniert. Seither hab ich das bleiben lassen…
  • Briefmarken selber drucken mit Web stamp easy der Schweizerischen Post: Das Login-Verfahren der Post erlaubt es eine SuisseID mit einem bestehenden Konto zu verlinken.
  • Einsicht in das eigene Staatssteuerkonto mit den eServices der Wohngemeinde: Obwohl bei der SuisseID die benötigten Daten (Adresse etc.) bereits geprüft wurden und hinterlegt sind, wird der konventionelle Registrationsprozess inklusiver erneuter Adressprüfung durchlaufen.
  • Strafregisterauszug online beantragen: Das Highlight zuerst: Mit der SuisseID online beantragt erhielt ich den Auszug innerhalb von weniger als 90 Minuten bereitgestellt! Ich hätte einen Monat Zeit dafür gehabt… Der Dämpfer: Das Prüftool der Post SuisseID reklamiert, dass die Signatur auf dem Auszug nicht vertrauenswürdig sei.

Mein persönliches Fazit:

Beschaffung und Einsatz der SuisseID ist etwas umständlich und nicht ganz billig, aber funktioniert grundsätzlich. Zudem setzen die genutzten Dienste fast ausnahmslos voraus, dass ein konventionell erstelltes Konto existiert, bevor die SuisseID damit verlinkt werden kann. Statt einer Vereinfachung resultiert beim Einsatz der SuisseID pro Dienst ein Mehraufwand.

Der Besitz einer SuisseID vereinfacht oder verbessert die Nutzung der diversen Dienste entweder gar nicht, oder – zumindest in meinem Kontext – nicht erheblich.

In der aktuellen Online-Werbekampagne der Post für ihre Post SuisseID werden weitere Anwendungsfälle vorgestellt, z.B. folgender: „… melden Sie Ihrer Gemeinde den Zivilstands- oder Wohnortwechsel aus den Flitterwochen“. Ich habe – zugegebenermassen – Schwierigkeiten alltägliche, nutzbringende Einsatzszenarien für den Privatgebrauch zu finden. Die Post auch!

Datenroaming

Smartphone-Nutzer wissen das: Verlässt man das Wohnsitzland, dann schlägt der Roaming-Tarif gnadenlos zu – und bei gleichem Konsumverhalten in Sachen Datennutzung ändern sich die Kosten um Grössenordnungen.

Besonders illustrativ finde ich folgendes Beispiel. Wir verbrachten in diesem Sommer 2 Wochen Ferien in Island. Eine Prepaid SIM-Karte eines Isländischen Anbieters hatte ich bereits von einem früheren Aufenthalt und konnte auf dieser für umgerechnet etwa CHF 12 ein Datenvolumen von 3GB freischalten. Dieses Volumen hab ich dann auch tatsächlich fast vollständig genutzt – zum Hochladen der Bilder und Filme, die während dieser Reise entstanden.

Hätte ich die SIM-Karte aus der Schweiz im Gerät belassen, so hätte das beim regulären Roamingtarif von gegen CHF 15/MB und gleicher Nutzung CHF 45’000 gekostet.

Irgendwie schon noch krass, dass sich die gleiche Dienstleistung um mehr als den Faktor 3000 verteuert, wenn ich die falsche SIM-Karte lade…

%d Bloggern gefällt das: