Artikel

„Das Problem ist mir bereits bekannt“

Sicherheit bei Online-Produkten sind immer so eine Sache: die Absolute gibt es eben so wenig wie im realen Leben. Aber es können viele Maßnahmen ergriffen werden, um Sicherheit zu erhöhen und Gefahren zu verringern.

Kostet halt leider Zeit und Geld.

Der wahrscheinlich häufigste Grund, warum das Thema sowohl bei Unternehmen wie Privatpersonen niedriger priorisiert wird als es sollte. Wenn es dann mal kracht, ist die Überraschung groß – zumindest bei manchen. Andere haben sich eine „kann man eh nichts machen“ Mentalität zugelegt. Ole.

Wie Unternehmen reagieren sollten, wenn Sicherheitsforscher Probleme aufdecken, hat N26 gezeigt: im Gegensatz zu ihren desaströsen Maßnahmen mit Kündigung ohne Ankündigung, was dann zu ihrer Fair-Use-Policy führte, haben sie bei den aufgedeckten Schwachstellen durch den Sicherheitsforscher Vincent Haupert solide reagiert. Wer eine halbe Stunde Zeit hat, kann sich bei C3TV den gesamten Vortrag ansehen. Hierbei wird klar, dass ein paar grundlegende Design-Entscheidungen falsch getroffen wurden und bei der Sicherheit einfach geschlampt wurde. Umso erfreulicher ist es immerhin, dass sie die angesprochenen Schwachstellen zeitnah beheben konnten.

Bei anderen Seiten kann so etwas leider länger dauern. Eine kompromittierte WordPress-Seite zum Beispiel, die neben den eigentlichen Neuigkeiten auch noch Links und Weiterleitungen zu phänomenalen Gewinnspielen beinhaltet. Per E-Mail auf diese Tatsache hingewiesen, kam vom zuständigen Administrator eine freundliche Antwort mit dem Inhalt:

„Vielen Dank für die Info.
Das Problem ist mir bereits bekannt. Leider ist WordPress sehr anfällig für Angriffe.
Die Seite wird in Kürze auf ein anderes CMS umgestellt.“

Ich muss gestehen, hier war ich überrascht. Die Antwort kam vor über einer Woche, der Schadcode befindet sich noch immer aktiv auf der Seite. Wird ja bald umgestellt. Auf ein „sicheres“ CMS. Auf die neue Seite bin ich gespannt.

  • Kommentare deaktiviert für „Das Problem ist mir bereits bekannt“
  • Veröffentlicht in: Datenschutz
Artikel

So geht Banking 2016 – Teil 1

iTANs, TAN-Generatoren, kostenpflichtige Mobil-TAN, Push-TAN und weitere teils sichere, teils unsichere Verfahren haben mich die letzten Jahre beim Online-Banking begleitet. Kurzum: alles Unfug.
Zu unflexibel, zu aufwändig, zu teuer, zu unsicher, zu umständlich. Das ist das Kurz-Fazit zur deutschen Banking Welt im Jahr 2016.

Volksbanken und Raiffeisenbanken, Sparkassen und Konsorten haben die Chance verpasst, sinnvolles Online-Banking auf der (technischen und nutzerfreundlichen) Höhe der Zeit zu etablieren, das gut aussieht und einfach funktioniert.
Selbst die DKB, bei der ich eigentlich zufriedener Kunde bin, schaffte es nicht, neue Maßstäbe zu setzen. Richten muss es ein Startup, das mit dem unscheinbaren Giganten und B2B-Zahlungsdienstleister Wirecard kooperiert, um mit deren Banklizenz frischen Wind in die verstaubte Online-Banking Welt zu bringen: N26 (zuerst Number26).

Um es an dieser Stelle bereits vorwegzunehmen: nein, ich bekomme (leider) kein Geld von dem Startup, sondern schreibe diesen Beitrag aus freien Stücken. Zum einen, weil mich die Idee und die Umsetzung von N26 schlicht begeistert. Zum anderen, weil ich gerne andere Menschen überzeugen möchte, dass Online-Banking einfach sein kann.

„Ich kann dir das Geld am Wochenende überweisen, da bin ich wieder zu Hause.“ Aussage von ehemaligen Kommilitonen, wohlgemerkt dieses Jahr. Das geht einfacher – und ich versuche hier von mehreren Seiten zu beleuchten, wieso und warum.

Die Grundidee

Dreh- und Angelpunkt des N26 Kontos ist das eigene Smartphone. Also das Gerät, welches jeder heutzutage ständig bei sich hat, mit über 90% Wahrscheinlichkeit mit Android oder iOS läuft und somit für sehr sehr viele Menschen die perfekte Basis für ein sichereres und einfaches Banking bietet. Wenn das Smartphone einmal plötzlich den Dienst versagen sollte oder gegen ein neues ausgetauscht wird: es gibt natürlich ein Web-Interface, über das sich die Smartphone-Kopplung regeln lässt. Mehr dazu später bei der Darstellung des Sicherheitskonzepts.

Die Kontoeröffnung

Für eine Kontoeröffnung wird im ersten Schritt die N26 App installiert. Damit ist der erste von drei großen Schritten geschafft. N26 wirbt mit einer Kontoeröffnung in 8 Minuten. Das ist natürlich übertrieben. Ich hatte mitgestoppt – bei mir waren es 10 Minuten!
Die App fiel aber bereits bei diesem Prozess sehr positiv auf: liebevoll gestaltete Animationen, durchdachtes Design, extrem nutzerfreundliche und intuitive Benutzerführung: Hut ab, hier wurde alles richtig gemacht!

Eine Kontoeröffnung verlangt eine Identitätsprüfung. Die Bank muss wissen, dass ich der bin, der ich sage, dass ich bin. Das läuft bei anderen Banken entweder über das weit verbreitete PostIdent-Verfahren oder über die dermaßen komplizierte Authentifizierung mit dem elektronischen Personalausweis. Da letzteres gut gedacht, aber schlecht gemacht ist, pfeift N26 (völlig zu Recht) auf diese Lösung und setzt auf eine App innerhalb eigenen App. Über den Dienst IDnow wird bis 24 Uhr in der Nacht bestätigt, dass ich die im Registrierungsprozess angegebene Person bin und tatsächlich existiere. In meinem Fall telefonierte ich per Video-Chat um halb elf nachts mit einem sehr gut gelaunten Mitarbeiter, der fließend deutsch sprach und alles reibungslos abwickelte.

Fazit: nach dem Herunterladen und Starten der App hatte ich innerhalb von zehn Minuten ein neues Konto eröffnet mitsamt der dazugehörigen IBAN: ich konnte also ab jetzt bereits Überweisungen empfangen – Geld war ja natürlich noch keines drauf und einen Dispo gibt es ohne Antrag nicht. Dafür wird aber nicht mal der Datenkrake Schufa was mitgeteilt – wozu auch.

Die Master- und Maestro Card

Danach hieß es natürlich erst einmal warten, bis Geld eingetroffen ist (immerhin inzwischen nach einem Werktag) und bis die MasterCard kam. Drei Tage später im Briefkasten wird die Kreditkarte verifiziert und freigeschaltet – auch hier unterstützt die App durch eine einfache Bedienung und nutzerfreundlichem Design.

Die Maestro Card – quasi ein naher Verwandter der bekannten EC-Karte mit ähnlich hohem Akzeptanz-Grad bei den Geschäften, kann der Neukunde von N26 erst bestellen, wenn mindestens einmal 100 Euro drauf sind. Ist ein fairer Deal, wenn man die bisherigen Kosten von null Euro bedenkt und bereits eine Kreditkarte in den Händen hält.

Das Sicherheitskonzept

Wie eingangs erwähnt bin ich kein Freund der aktuell etablierten Lösungen der Bankenwelt – auch mit den neuen Secure Apps für die TAN-Generierung: zu kompliziert. Bei N26 ist die App mit dem physischen Gerät gekoppelt und mit dem Login-Passwort bzw. dem Fingerabdruck geschützt. Ebenfalls Bestandteil der Einrichtung ist das Festlegen eines sogenannten Überweisungscodes, mit dem Transaktionen nochmal geschützt werden. Dieser ist vierstellig, natürlich geheim und frei wählbar. Also keine TAN, die sich ständig ändert, sondern vergleichbar mit dem PIN für die EC-Karte.

Konto leerräumen

Das bedeutet: wer Geld über mein N26 Konto überweisen will, benötigt also mein Smartphone, die TouchID bzw. den PIN-Code für das Entsperren des Gerätes, nochmal die TouchID bzw. das Passwort zum Entsperren der App und meinen geheimen Überweisungscode. Das ist doch okay, oder?

N26 bietet neben der App für das Smartphone auch eine Website für die Desktop-Nutzung (und Tablet-Nutzung im Querformat – das wiederum ist Mist). Unter my.number26.de kann sich der N26-Nutzer also mit E-Mail Adresse und dem Passwort (welches auch für die App verwendet wird) anmelden, den Kontostand und Analysen einsehen und natürlich auch überweisen. Hierzu wird ebenfalls noch der Überweisungscode benötigt und – hier kommen wir wieder zum Sicherheitskonzept – die Freigabe der Transaktion mittels Smartphone.
Das bedeutet, dass selbst wenn die Zugangsdaten zum Online-Banking kompromittiert werden, können Angreifer lediglich den Kontostand und die Transaktionen sehen (wie bei jedem anderen Online-Banking auch), jedoch keine Überweisungen durchführen (fehlender Überweisungscode und fehlendes Smartphone zum Freigeben).

Screenshot N26 Geldabhebung

Push-Benachrichtigung über eine soeben erfolgte (kostenfreie) Abhebung an einem Geldautomaten.

Sicherheit durch sofortige Transaktionsanzeige

Egal ob Bezahlen mit der Mastercard, Maestro Card, bei Online-Bestellungen oder normale Daueraufträge: jede Transaktion (auch eine Vorab-Belastung) wird umgehend angezeigt. Kein mehrtägiges Warten, bis das Geld des letzten Restaurant-Besuchs auch wirklich in der Umsatzanzeige auftaucht, sondern eine umgehende Push-Benachrichtigung aufs Smartphone über die soeben erfolgte Abbuchung (oder Gutschrift). Das bedeutet: wenn meine Kreditkarte für eine Bezahlung verwendet wird, erfahre ich das sofort – und kann sie umgehend sperren, wenn die Transaktion nicht ich ausgelöst habe.

Screenshot N26 Karteneinstellungen

Kreditkarte vermeintlich verloren? Einfach sperren! Wieder gefunden? Wieder entsperren und weiter nutzen!

Fortsetzung folgt im Teil 2 mit einer Übersicht von Vor- und Nachteilen, Alternativen und einer Erfahrung aus einem halben Jahr N26-Nutzung.

  • Kommentare deaktiviert für So geht Banking 2016 – Teil 1
  • Veröffentlicht in: Fundstück
Artikel

WordPress mit FIDO U2F absichern – so geht’s (mit Update Oktober 2016)

Yubikey Neo und WordPress

WordPress kann den neu aufkeimenden Standard FIDO U2F. Was das ist? Yubico erklärt das Verfahren anschaulich auf ihrer Webseite ». Um nicht nur den eigenen Google-Account und hoffentlich bald viele weitere Dienste mit dem eigenen Sicherheitsschlüssel absichern zu können, sondern auch WordPress, braucht ihr Folgendes:

Zutatenliste

Durchführung

HILFE! Klappt nicht!

Ja, leider kann das sein. Die größten Stolperfallen:

  • Kein PHP 5.5 oder höher aktiv  (all-inkl setzt z. B. bei der Standard-WordPress-Installation PHP 5.4 ein!)
  • Du hast die PHP-U2F-Library nicht mit in das Plugin kopiert
  • Du verwendest nicht den Chrome Browser (keine Sorge: Mozilla Firefox will bald nachziehen und Microsoft ist ebenfalls in der FIDO-Allianz; die Zukunft wird’s richten)

Und was, wenn ich den sicherheitsschlüssel verliere?

Das U2F Plugin für WordPress ist – abgesehen von der eher komplizierten Installation – eigentlich richtig mächtig: wenn du dein Sicherheitsschlüssel gerade nicht zur Hand hast, kannst du die integrierte Rückfall-Lösung verwenden: du bekommst einen kurzen Schlüssel bestehend aus Buchstaben und Zahlen an die in deinem WordPress-Account hinterlegte E-Mail Adresse zugesendet. E-Mail öffnen, Code rauskopieren, bei der 2FA-Anmeldung eingeben und WordPress normal nutzen wie zuvor!

2FA auch für Benutzer ohne Sicherheitsschlüssel

Einen weiteren Vor- oder auch Nachteil (Bequemlichkeit!) bringt das U2F-Plugin dadurch ebenfalls mit: alle Benutzer, egal ob mit oder ohne registrierten Sicherheitsschlüssel, benötigen bei aktivem Plugin eine Zwei-Faktor-Authentifizierung. Für die ohne Schlüssel heißt das: Mails checken. Eine einfache aber effektive Möglichkeit, unerlaubte Logins in den eigenen WordPress Account abzuwehren.


Update 30. Oktober 2016: Plugin Two-Factor

Ein Plugin, das es eigentlich schon vor geraumer Zeit (zu Recht) in den WordPress-Core schaffen sollte, hört auf den schlichten aber eingängigen Namen Two-Factor.

Das 2FA-Plugin wird noch als dev-Version ausgegeben, funktioniert aber bei meinen WordPress-Installationen absolut reibungslos und ist richtig fein konzipiert: statt nur einen zweiten Faktor einzurichten, kann jeder Nutzer nach persönlicher Vorliebe seine eine oder mehrere 2FA-Lösung verwenden. Sinnvollerweise nisten sich die Möglichkeiten zur Einrichtung da ein, wo sie hingehören: in das persönliche Profil unter das Passwort. Das Plugin erlaubt auch – vorausgesetzt, es wird entsprechend eingestellt – den einfachen Wechsel des zweiten Faktors, sollte der Yubikey grad nicht am Mann sein.

Fazit aus mehreren Wochen Einsatz: so gehört ein Sicherheitsplugin aus Usability-Sicht! Einfach zu bedienen, unaufdringlich und sauber. Bitte weiter so!

Artikel

Erweiterter Passwortschutz: Datenschutz Teil II

Im ersten Teil der Serie ging es darum, wie andere Seiten beim einfachen Surfen Informationen über uns und unsere Gewohnheiten sammeln. Hier geht es um etwas viel tiefgreiferenderes: die eigene Online-Identität. Denn die ist voll mit Daten: den persönlichen E-Mails, vertraulichen Facebook-Nachrichten, dem eigenen Adressbuch, teils sogar den persönlichen Suchverlauf bei Google. Alles Inhalte, die fremde Personen nun wahrlich nichts angehen.

Es ist so schön einfach: du hast ein langes, (vermeintlich) sicheres Passwort. Mit Zahlen. Und Großbuchstaben. Und Sonderzeichen! Und du kannst es dir merken. Denn du brauchst es überall: Bei Facebook. Bei Twitter. Beim Bezahlen via PayPal. Und natürlich für deinen Google Account. Und eine eigene Website hast du inzwischen auch. Da nimmst du es natürlich auch her. Ist so ja so schön lang und sicher.

Und ich sage: am Arsch. Du weißt nicht, wie der billig programmierte Dienst von nebenan dein super langes und sicheres Passwort speichert. Du gibst es bei Online-Diensten ein, die ihren Login nicht über TLS (http:// statt https://) verschlüsseln und somit kann jeder, der sich im gleichen Netzwerk befindet, deine Anmeldeinformationen mitlesen. Und du weißt auch nicht, ob dir beim letzten Eintippen nicht vielleicht doch jemand ganz genau auf die Finger geschaut hat. Oder einen Keylogger auf seinem PC mitlaufen lässt, auf dem du dich „mal eben kurz“ anmeldest.

Die schlechte Nachricht: du solltest dir unbedingt einen Passwort-Tresor zulegen. Und für jeden Dienst im Web ein eigenes Passwort verwenden. Und ja, das ist umständlicher als dein einzelnes Standard-Passwort. Unbequemer. Aufwändiger. Aber es schützt vor Viagra-Werbung auf der Seite und einem plötzlich geleertem Bankkonto.

2FA und U2F

Die gute Nachricht: du kannst dein super Passwort behalten. Zumindest bei Diensten, die dir eine Zwei-Faktor-Authentifizierung anbieten. 2FA kurz erklärt: du hast einen Benutzernamen und ein Passwort, brauchst aber neben diesen Authentifizierungsdaten noch eine zweite Instanz, die dich autorisiert. Das kann ein PIN-Code sein, der an dein Handy geschickt wird, das kann eine TAN sein, wie man es vom Online-Banking kennt. Es kann aber auch ein Sicherheitsschlüssel sein. Letzteres ist Hardware und kostet Geld. In der Top-Ausstattung und mit allen fancy Funktionen um die 50-60 Euro. Einmalig. Für einige Dienste ist er bereits nutzbar und viele weitere Folgen hoffentlich in Zukunft. Denn es gibt endlich einen Standard, auf den sich die großen Unternehmen im Markt verständigt haben: Intel, Lenovo, Microsoft, PayPal, RSA, Visa, Samsung, um nur einige wenige zu nennen.

Richtig Schwung in die Sache hat aber der Online-Gigant Google gebracht: dieser bietet seit Mai 2015 die sogenannte U2F (Universal 2. Factor) Authentifizierung an, um den eigenen Google-Account abzusichern. Kein Warten auf eine Bestätigungs-SMS inklusive Abtippen, sondern einloggen, Sicherheitsschlüssel schnell in den USB-Port, einmal drauf tippen, fertig.

Also selbst wenn jemand eure Zugangsdaten rausfindet: der unerwünschte Eindringling benötigt dann immer noch die zweite Authentifizierungs-Stufe – und die hängt im Idealfall an eurem Schlüsselbund und somit nicht in Reichweite von dem Übeltäter.

Schwachstelle: aktuelle Verbreitung

Der Standard ist geschaffen, aber noch längst nicht etabliert. PayPal lässt leider noch auf sich warten (bieten aber bereits 2FA via SMS und ihren proprietären TOTP-Schlüssel), Microsoft will FIDO 2.0 in Windows 10 integrieren und bei den hiesigen Banken sieht es noch richtig mau aus. Den eigenen Google-Account aber mit einer Zwei-Faktor-Authentifizierung abzusichern ist bei der Vielzahl an Diensten goldwert. Und wer WordPress nutzt, sollte sich ebenfalls mal mit dem genialen Plugin 2FA beschäftigen.

Weiterführende Informationen

  • Kommentare deaktiviert für Erweiterter Passwortschutz: Datenschutz Teil II
  • Veröffentlicht in: Datenschutz
Artikel

Keine neue Vorratsdatenspeicherung!

Kurz notiert: eigentlich wollte ich einen schönen Artikel zum Thema Vorratsdatenspeicherung (kurz VDS) veröffentlichen, aber mit diesem Kommentar von Judith Horchert auf Spiegel Online ist eigentlich alles gesagt: » „Lassen Sie sich nicht für dumm abspeichern!“

Also bitte liebe Politik: einfach mal in die Richtung nichts tun und die eigene Zeit und Aufmerksamkeit den viel wichtigeren Themen widmen. Danke.

P.S.: eigentlich sollte das Ganze gar nicht Vorratsdatenspeicherung heißen – „Kommunikations-Überwachung“ trifft es doch viel besser. Versehen mit dem Spruch: „Wir speichern, wann Ihr mit wem wo und wie kommuniziert. Immer.“ Na das klingt doch verlockend.

P.P.S: » Kopfschütteln… (unbedingt das Protokoll lesen. Macht Angst.)

  • Kommentare deaktiviert für Keine neue Vorratsdatenspeicherung!
  • Veröffentlicht in: Datenschutz, Grant
Artikel

Seite ist jetzt (fast) Google-frei: Datenschutz Teil I

Noch ist nicht viel los auf diesem Webauftritt – ändert sich bestimmt mal, wenn ich groß bin. Doch bis dahin kommen trotzdem schon paar Besucher – das erfuhr ich bisher immer aus Google Analytics. Ihr wisst schon, dieses schöne Stasi-Modul vom Internet-Riesen. Ich will an dieser Stelle den Laden aber gar nicht verteufeln – was Google macht, ist für ein gewinnorientiertes Unternehmen nur normal und konsequent. Aber mit voller Breitseite muss man dieses Geschäft und diese Politik ja nicht unbedingt unterstützen – schon gar nicht, wenn ich persönlich nicht auf Googles Dienste wie AdWords, die tiefgehende Analytics-Funktionen oder die Google-Webfonts angewiesen bin.

Nun werde ich auch in Zukunft wissen, dass sich ein paar Besucher auf dieser Seite tummeln – Open Web Analytics wird es mir verraten. Der Dienst ist mit Sicherheit nicht so schön wie GA, jedoch bietet er einen großen Vorteil: die erhobenen Informationen werden selbst gehostet und wandern nicht zu Google in die USA. Und mich interessiert hier eigentlich eh nur, ob überhaupt jemand vorbei schaut.

Mut zu mehr Datenschutz

Was war nun der Grund und was wurde gemacht? Vor der Umstellung wurden neben den lokalen Abfragen auf sebastian-eggersberger.de auch weitere durchgeführt: zu Google Analytics, Google Webfonts und zu Youtube. Bei vielen anderen privaten wie kommerziellen Seiten horcht natürlich noch der blaue Riese Facebook mit dem Social Plugin mit; und bei den etablierten Nachrichtenseiten im deutschsprachigen Web wird zwar gerne auf die Internetriesen und ihre Gier nach persönlichen Daten eingedroschen – aber zeitgleich laufen 20 Tracker von den verschiedensten kommerziellen Diensten ohne großen Hinweis mit (natürlich, in den Datenschutzbestimmungen ist es vermutlich aufgeführt – wird auch bestimmt oft aufgerufen): Beispiel Zeit Online, Spiegel Online oder Focus Online (aber auch alle anderen sind hier nicht besser).

Die Abfragen von fonts.gstatic.com, Youtube und Co. auf meiner Seite hatten zur Folge, dass Google hier sämtliche Besucher – sofern diese die Abrufe nicht blockieren (vgl. hierzu Link- und Plugin-Empfehlung am Ende des Beitrags) – theoretisch tracken könnte. Wie sich das auf anderen Seiten für jeden selbst auswirkt, kann man mit dem Firefox-Addon Lightbeam für sich persönlich herausfinden (natürlich vorausgesetzt, er nutzt Firefox). Selbst nach einem kurzen Surfen zeigen sich schnell zwei große Zentren, die mit anderen Diensten verknüpft sind: Google und Facebook.

Screenshot Lightbeam

Das Add-On Lightbeam zeigt die Vernetzungen der verschiedenen Websites und Dienste grafisch auf

 

Google erreicht dies durch die Services Webfont, Google+, Analytics, Youtube und weitere; Facebook schafft das Tracking durch die direkte Einbindung von Like-Buttons und Fanboxen. Wie sich diese Informations-Sammlung auswirkt, kann ein jeder bei Google auch selbst nachschlagen: Einschätzung von Google zu dem Nutzer

Google Webfonts konnte ich dank der Anleitung auf coder-welten.com selbst abändern. Statt also die zwei Fonts Crimson Text und Raleway von Google zu beziehen (und somit Informationen über den Seitenabruf weiterzugeben), laden die Schriftarten nun von dem lokalen Webspace.

Nicht verteufeln, aber informieren

Grundsätzlich gilt es an dieser Stelle festzuhalten: es ist nicht das Böse per se, Werbeanbieter, andere Webdienste und Cloud-Lösungen einzusetzen – nur jede Seite sollte es bewusst und wissentlich tun. Auch eine personalisierte Werbung kann in vielen Fällen angenehmer sein als wenn mir irgendein Mist eingeblendet wird, der mich überhaupt nicht interessiert.
Aber eine solide Aufklärung darüber, was wie wo eingesetzt wird, herrscht nur in den wenigsten Fällen, wobei gerade bei diesem Thema eine Nachvollziehbarkeit über die Erhebung und Verfolgung von Tracking-Daten so wichtig wäre.

Ghostery Info - BeispielDamit wenigstens auf Seite der Otto-Normal-Verbraucher ein wenig direkte Aufklärung herrscht, gibt es das grandiose Tool Ghostery für alle gängigen moderne Browser. Dieses kleine Add-On informiert dezent an der Seite, welche zusätzlichen Tracking-Maßnahmen auf einer Webseite neben den einfachen Cookies laufen – und können auf Knopfdruck auch deaktiviert werden.

Natürlich gibt es aber eine ganze Reihe klick- und lesenswerter Links, die ich hier aufliste und kurz beschreibe:

Add-Ons und Opt-outs für Browser

  • Ghostery – das Datenschutz-Tool hilft, das eigene Surf-Verhalten zu verstehen und die Datenerhebung von Dritten zu kontrollieren
  • Lightbeam – Visualisierung der Vernetzung von Tracking-Tools, nur für den Firefox-Browser
  • Disconnect.me – Open Source und eine Mischung aus Ghostery und Lightbeam
  • Präferenzmanagement – Opt-Outs für personalisierte Online-Werbung
  • Digital Advertising Alliance – Opt-Outs für amerikanische Online-Werbedienste

Lesenswertes zu dem Thema

So, das war es jetzt auch schon fast wieder. Und warum heißt der Beitrag „Seite ist jetzt (fast) Google-frei“? Weil Google Font im WordPress-Backend noch aktiv ist. Betrifft also nur mich, die Seite ist aber halt trotzdem noch mit einer dünnen Nabelschnur mit Google verbunden. Lesenswerter Beitrag (und damit die letzte Empfehlung in dem Artikel) auf xwolf.de. Werde ich auch noch kappen. Einfach weil ich es kann ;)

  • Kommentare deaktiviert für Seite ist jetzt (fast) Google-frei: Datenschutz Teil I
  • Veröffentlicht in: Arbeit, Datenschutz
Artikel

Erfahrungen mit Flyeralarm

Schnelle Lieferung, zuverlässige Qualität, deutlich günstiger als die Druckerei um die Ecke: so kennt man Flyeralarm – eigentlich. Wir hatten Mitte Dezember aber eine andere – interessante – Erfahrung mit dem Beschwerde- und Qualitätsmanagement von Flyeralarm.de machen dürfen.

Ausgangssituation: bestellt wurde rechtzeitig und mit (eigentlich) genügend Puffer 100 knapp 15×15 cm große Karten zum Aufklappen:

  • Faltblätter, Einbruchfalz
  • Ausführung: Quadrat
  • Geschlossenes Endformat: Quadrat groß (14,8 x 14,8 cm)
  • Platzierung Falz / Nut: Falz links
  • Materialart: matt
  • Material: 300g Bilderdruck matt – genutet, offen geliefert
  • Veredelung: beidseitiger Dispersionslack matt
  • Farbigkeit: 4/4-farbig

Der Kenner würde sagen: ein Klassiker – quasi Tagesgeschäft. Die Lieferung kam mit einem Tag Verspätung an die gewünschte Adresse und wirkten auf den ersten Blick top. Beschnitt und Falz einwandfrei. Nur die Innenseiten waren farbenfroher als gewünscht: an einer markanten und an vielen weiteren Stellen waren magentafarbene Kleckser (links die Druck-PDF, rechts die eingescannte Karte):

Ungewolltes Farb-Upgrade auf dem Hochzeitskleid: die Braut hat’s am schnellsten bemerkt

Auch am rechten Rand gesellte sich mehr Farbe auf das Papier, als ursprünglich in der Druck-PDF angedacht war

 


 

Was folgt, ist ein interessantes Lehrstück, wie viel Zeit und Aufwand für ein 57,82 Euro teures Produkt investiert werden kann – und Flyeralarm schlussendlich draufzahlte.

Erklärtes Ziel: Karten schnellsmtöglich neu drucken lassen, sodass sie über Weihnachten ohne Magenta-Plus verteilt werden können. Denn die Farbkleckser waren alle identisch an der exakt gleichen Stelle und auf allen hundert Karten (bzw. noch mehr, da Flyeralarm ca. zehn Prozent Überschuss mitliefert).

Farbschwankungen und -flecken

Magenta-Verzierung auf allen Karten, Farbschwankungen einzelner Karten inklusive

 

Die Ursache (meine Vermutung): hier ist bei der Belichtung der Platten einfach was schief gegangen. Tropfen einer Flüssigkeit, Dreck oder eine andere Unachtsamkeit – und schon wird zigfach der immergleiche Fehler aufs Papier gebracht. Passiert einfach mal und kann auch mal durch die Qualitätssicherung rutschen. Aber wie starr der Reklamations-Ablauf gestaltet ist, war dann doch ein wenig ernüchternd:

Versuch einer Neubeauftragung am Donnerstag, 18. Dezember:

08:26 Uhr: erster Anruf bei der in der Rechnung angegebenen Telefonnummer: Anrufbeantworter. Das Büro ist erst ab 09:00 Uhr besetzt.

08:35 Uhr: ich werde darauf aufmerksam gemacht, dass Flyeralarm eine schöne Callback-Funktion besitzt. Formular ausgefüllt mit der Bitte, schnellstmöglich neu zu produzieren, damit das noch vor Weihnachten ankommt.

09:35 Uhr: ich frage mich gerade, ob es eine kluge Idee war, als erreichbare Uhrzeit 08:00 bis 17:00 Uhr anzugeben – vielleicht doch wieder bei der ersten Nummer anrufen? In genau diesem Moment ruft das Call-Center von Flyeralarm an. Eine nette Frau mit leicht gebrochenem Deutsch will mir erklären, wie ich das Reklamations-Formular ausfüllen kann. Kenne ich aber schon und winke ab. Immerhin bekomme ich noch die richtige und wichtige E-Mail-Adresse reklamation@flyeralarm.de. Ich fülle das Formular online aus und schicke zusätzlich per E-Mail Fotos als Beweis für die Mängel an die angegebene Adresse.

09:49 Uhr: es gibt eine Mail von info@flyeralarm.de: wir sollen 10 Belegexemplare innerhalb der nächsten 14 Tage zusenden, auf denen die Mängel gut sichtbar sind. Scheinbar wurde meine individuelle Mail nicht berücksichtigt.

10:27 Uhr: es tut sich – abgesehen von der vermutet automatisierten Mail – nichts. Ich rufe bei der Nummer an, die bei der Reklamations-Mail kam: ein freundlicher Mitarbeiter erklärt mir, dass ich 10 Belegexemplare einschicken muss. Ob meine Mails mit den Fotos ankam, kann er leider nicht sagen, ist schließlich eine andere Abteilung.

~11 Uhr: ich beschließe, wieder die Callback-Funktion zu nutzen und wünsche explizit, von der Qualitätssicherungs-Abteilung angerufen zu werden.

13:36 Uhr: Mittagessen. Flyeralarm ruft an. Das Callcenter. Ob die Mail angekommen ist, keine Ahnung. Auftrag kann erst neu gedruckt werden, wenn Belegexemplare da sind.

13:44 Uhr: Rückruf von der Qualitätssicherung: sie brauchen zwingend die Exemplare live vor Ort. Wir können neu bestellen (Express) und beim anderen dann das Geld zurückfordern. Zwecks dem Express-Zuschlag wird vermerkt, dass das verrechnet werden soll. Irgendwie, irgendwann.

14:55 Uhr: Mail an ehemaligen Kommilitonen geht raus. Vitamin B muss doch für irgendwas gut sein. Neuer Auftrag immer noch nicht in der Flyeralarm-Warteschlange.

17:04 Uhr: Er hockt in der falschen Abteilung. Customer Service Center hat die Oberhand (mehr dazu weiter unten).

 


 

Ich verwerfe die Idee einer „schnellen Neubeauftragung“. Wir gehen den offiziellen Weg von Flyeralarm, wenngleich ich mir entsprechende Anmerkungen erlaube:

Sehr geehrte Damen und Herren,

anbei wie von Ihnen gefordert die Belegexemplare für die Reklamation der Drucksache xxxxxxxxx.

Neben den Farb-Flecken, deren Ursache wir bei einer fehlerhaften Belichtung bzw. Druckplatte vermuten, sind auch starke Farbschwankungen von einzelnen Karten sehr auffällig. *

 

Lassen Sie uns bitte wissen, ob dieses Qualitäts-Niveau eine Ausnahme ist oder zu den Bedingungen der günstigen Produktionsweise gehört.

 

Auch wenn Ihre Vorgehensweise – zuerst die Belegexemplare postalisch zu bekommen und erst dann eine Neuproduktion anzustoßen – hier scheinbar streng vorgegeben ist, hätten wir uns eine kulantere und vor allem schnellere Abwicklung der Reklamation gewünscht, sodass die Lieferung wie gewünscht rechtzeitig vor Weihnachten fehlerfrei beim Kunden ankommt.

 

Mit freundlichen Grüßen,

Sebastian Eggersberger

* Anmerkung: grammatikalischer, aber nicht sinn-entstellender Fehler wurde in dem Satz hier nachträglich korrigiert.

Wenige Tage später kam eine freundliche Antwort per Post: jawohl, der Fehler liegt auf seiten von Flyeralarm, selbstverständlich können wir kostenlos nachproduzieren lassen, alternativ wird der Betrag voll rückerstattet. Geht doch. Wären halt die paar Tage Verzögerung nicht dazwischen gewesen.

 

Fazit: Eine Reklamation mit Beweis via Fotos per E-Mail reicht bei Flyeralarm nicht aus, sondern die Reklamation muss physisch vorliegen. Wer also merkt, dass das Ergebnis nicht passt, die eigene Druckvorstufe keine Schuld trifft und die Drucke zeitnah neu und einwandfrei benötigt, sollte die Reklamation anstoßen und umgehend den Auftrag neu einreichen.

Bleibt natürlich trotzdem festzuhalten: Jammern auf hohem Niveau.

  • Kommentare deaktiviert für Erfahrungen mit Flyeralarm
  • Veröffentlicht in: Grantlerino
Artikel

Twitter-Versuch, Teil I

„Melde dich bei Twitter an“ – diesen Satz hörte ich schon des Öfteren und ja, er mag stimmen. Ich bewege mich viel im World Wide Web; arbeite und verdiene mein Geld damit. Ich nutze Google+ aktiv (hier geht es um Inhalte), auch um Facebook komme ich schon lange nicht mehr drum rum (hier geht es um Personen) – und ja, Twitter gehört da irgendwie dazu.

Heute dann den Krautreporter-Workshop besucht – und endlich motiviert, mich für Twitter anzumelden. Und dann bricht gleich beim ersten Formular-Feld der Grant aus: Sebastian Eggersberg. Ohne „er„. Quasi gegendert.

Twitter hat dazu auch eine Antwort:

Twitter-Screenshot 20 Zeichen Beschränkung

Nein, liebe Designer und Entwickler von Twitter: mein Name kann nicht 20 Zeichen lang sein. Er ist 22 Zeichen lang!

  • Kommentare deaktiviert für Twitter-Versuch, Teil I
  • Veröffentlicht in: Grantlerino
Artikel

Würzburg

hofkeller-teaser

Die Bahn hatte vor einiger Zeit eine nette Idee (zumindest für alle bis 26 Jahre) und bot in Kooperation mit mydays vier Fahrten für 99 Euro an. Warum die Altersbegrenzung und vor allem warum auf 26 weiß wohl nur die DB selber – aber sei es drum.

Die ersten zwei Fahrten gingen für Hamburg drauf, die letzten beiden hätten wir vor Ablauf der Gültigkeit fast nicht mehr hinbekommen. So lief es auf einen doch eher spontanen Trip nach Würzburg raus, die Stadt des Weines. Mehr zufällig als geplant war an dem Sonntag auch noch die ganze Stadt unterwegs, denn das internationale Straßenmusikfestival wurde ausgetragen.

Würzburger Weinkeller

Interessanter war aber fast der Staatliche Hofkeller Würzburg, welcher unter der Residenz liegt. Für sieben Euro gab es eine sehr angenehme Führung zwischen den Fässern durch inklusive einer kleinen Verkostung.

Laut der Führung ist so ziemlich halb Würzburg unterkellert, schließlich muss der ganze Weißwein ja irgendwo gelagert werden. Die Herstellung läuft auch nicht mehr in den schönen alten Holzfässern, sondern in Edelstahltanks. Klingt mehr industriell als traditionell, doch so sind stabilere Prozesse möglich und der Wein ist heutzutage besser als in den alten Zeiten.

Die alten Holzfässer sind natürlich trotzdem noch da, dienen aber nur der kurzzeitigen Lagerung oder sind komplett leer. Für eine atmosphärische Stimmung sorgen sie aber allemal.

 

  • Kommentare deaktiviert für Würzburg
  • Veröffentlicht in: Urlaub